Curso CCNA

CCNA R&S Exame 200-120

Curso CCNA - Gustavo Salvador Campos 2

INSTRUTOR

Gustavo Salvador Campos● Bacharel em Sistemas de Informação, PUC/MG - 2008● Especialista em Redes, PUC/MG - 2009● Especialista em Gestão de Infraestrutura de TI utilizando Software Livre,

PUC/MG -2009● [email protected]● br.linkedin.com/pub/gustavo-salvador-campos/23/496/286/

Certificações:

CCIE Routing and Switching Written Exam #350-001, v4.0

mailto:[email protected]


BIBLIOGRAFIA

● CCNA 5.0 Guia Completo de Estudo – Marco Aurélio Filippetti

● https://sites.google.com/site/cursoccnabh/

● http://www.cisco.com/web/learning/certifications/associate/ccna/index.html

● www.ccna.com.br

● www.vue.com

https://sites.google.com/site/cursoccnabh/

http://www.cisco.com/web/learning/certifications/associate/ccna/index.html

http://www.cisco.com/web/learning/certifications/associate/ccna/index.html

http://www.ccna.com.br/

http://www.vue.com/


CISCO

● Fundada por Len e Sandy Bosack em 1984;● Líder mundial em infraestrutura para redes;● Criação do programa Cisco Career

Certifications.


Certificações CISCO (Carreiras)


Cisco Certified Network Associate (R&S)

● Deve ser capaz de implementar, configurar, gerenciar e prestar suporte a redes de pequeno-médio porte.

● Um exame: 200-120 “composite exam”;● Desde 2007 pode ser dividido em duas provas: 100-

101 (ICND1) e o 200-101(ICND2) “Interconnecting Cisco Network Devices”;

● Caso passe na ICND1 o candidato se torna CCENT (Cisco Certified Entry Network Technician), obtendo também a ICND2 ele se tornará CCNA R&S.


Por que se certificar?

● Os estudos e a prática para se obter uma certificação invariavelmente melhorarão seu entendimento da área;

● Normalmente quanto mais difícil de se obter maior prestígio no mercado;

● Apesar de ser oferecida por um fabricante específico, os conhecimentos podem ser aplicados em redes com elementos de qualquer fabricante;

● Ao optar pela carreira Cisco, você está optando pela melhor e mair reconhecida formação profissional na área de redes.


Mercado

● Deficit de 120mil profissionais até 2015 (IDC) no Brasil;

● Extremamente competitivo;● Certificações podem fazer muita diferença na

disputa por uma vaga;● Belo Horizonte?


Como, quanto e onde

● Basta inscrever-se em um dos centros VUE;● Para achar o centro mais próximo e para

agendar a prova: www.vue.com e cadastre-se;● Exame 200-120 = U$295,00;● ICND 1 e 2 = U$150,00 cada;● Necessário cartão de crédito internacional;● Não parcela :(

http://www.vue.com/


Inglês

● Ainda não existe versão em português do novo exame;

● Inglês técnico é suficiente;● Área de tecnologia tem que saber inglês, então

comece agora;● Tempo maior para fazer a prova em língua não

nativa 120min.


Prática

● Recomendado o contato com dispositivos reais ou virtuais, mas é possível obter a certificação sem nunca ter mexido em nada;

● A própria Cisco não utilizará equipamentos reais na sua certificação top, o CCIEv5, será tudo via dispositivo emulado;

● Deus abençoe o GNS3, amém.


Outras dúvidas

● Fui aprovado, fiquei rico! #SQN● 3 anos de validade, recertificação automática se

fizer qualquer exame de nível superior, ex CCNP;● 50 a 60 questões;● Planejamento e Design, Implementação e

Operação, Resolução de Problemas, Tecnologias;● 85% de acerto para ser aprovado.


Questões Típicas

● Conceitos sobre domínios de colisão e broadcast;● Configuração de senhas;● Configuração de roteamento EIGRP, OSPF, ou RIP;● Conversão binário, decimal e hexadecimal;● Cálculo de subnet;● ACLs;● NAT;● Conceitos de Frame-relay;● Modelo OSI e TCP/IP;● Ipv6.


Dicas

● User “>”, Privileged “#”, Global (config)#● Evite usar comandos abreviados● Mesmo se não acertar tudo o que for correto será

considerado (Pontuação parcial)● Mais de uma opção correta● Não é possível retornar● Não esqueça os documentos, na última vez me pediram

dois documentos com foto● Não pode levar, papel, caneta... nada!


O Modelo OSI


Há Muito Tempo Atrás

● Antes de 1980, problemas de compatibilidade;● ISO (International Organization for Standardization) cria um grupo

de trabalho para tentar resolver o problema;– Em 1984 surge o modelo de referência OSI (Open Systems

Interconnection);

– Especifica os processos requeridos para que a comunicação de dados ocorra;

– Processos divididos em grupos lógicos, chamados “layers”;

● Não foi o primeiro modelo, já existia um tal de TCP/IP (testado em 1974) idealizado e desenvolvido em Stanford CA;

– TCP/IP nem era um modelo, era praticamente um conjunto de protocolos...

– Criação motivada por uma RFP do Departamento de Defesa Americano, que buscava um modo eficiente e confiável de mover dados, mesmo que alguma base fosse destruída;

– ARAPANET – Advanced Research Projects Agency Network.


Camadas... Layers...

● Dividir para conquistar;● Jack, o Estripador, Elize Matsunaga...● A divisão ajuda a isolar as tarefas, encontrar

falhas de forma mais rápida, criação de dispositivos para certo tipo de tarefa (redução de custo);

● Não tenho mais um grupo complexo e pesado.


AS 7CAMADA DESCRIÇÃO

APLICAÇÃOApplication Layer

Provê a interface com o usuário

APRESENTAÇÃOPresentation Layer

Semântica, compressão/descompressão, criptografia e tradução dos dados

SESSÃOSession Layer

Gerencia o “diálogo” entre as portas lógicas e mantém a separação entre as diferentes aplicações

PDU

TRANSPORTETransport Layer

Provê a comunicação confiável (ou não) e executa checachem de erros antes da retransmissão dos segmentos

Segmento

REDENetwork Layer

Define e gerencia o endereçamento lógico da rede (ex: IP)

Pacote

ENLACEData-link Layer

Acomoda os pacotes em “quadros” através do processo de encapsulamento. Detecta erros, porém, não os corrige

Quadro/ Frame

FÍSICAPhysical Layer

Movimentação dos bits entre as portas, especificações elétricas entre outros


Resumindo

● Divisão de complexas operações de rede em camadas individuais;

● Possibilidade de se alterar elementos de uma camada sem ter que alterar elementos de outras;

● Interoperabilidade entre protocolos e aplicações.


A Camada de Transporte

● Segmentação e reconstrução de fluxos de dados provenientes de camada superiores;

● “Esconde” os detalhes, promovendo uma transmissão de dados entre aplicações de modo transparente;

● Controle de fluxo: tenta evitar que a origem “inunde” os buffers do destino. Mas e se tiver várias origens?


A Camada de Rede

● Endereçamento lógico (endereço é configurado, não vem de fábrica, ex IP);

● Roteamento (Roteadores);● Encaminham os pacotes de acordo com o seu destino e

se o destino estiver na sua tabela de roteamento;● Não propaga broadcast;● Podem prover funções da camada de enlace se

necessário e, simultaneamente, efetuar roteamento de pacotes. (basicamente, um elemento definido em uma camada superior sempre englobará também as funções das camadas inferiores.


A Camada de Enlace de Dados

● Faz a ponte entre a camada de Rede e a camada Física, tornando possível a transmissão através de meios físicos diversos;

● Switches;● Tomam decisão baseados nas informações da

camada de enlace, ignorando por completo os cabeçalhos das camadas superiores;

● MAC address.


A Camada Física

● São definidos os meios físicos de acesso e conectores;

● Par Trançado, Fibra, Rádio;● RJ45, V.35, RS-232;● HUBs.


Ethernet

● Padrão definido pelo IEEE (Instituto de Engenheiros Eletricistas e Eletrônicos);

● Extremamente consolidado;● Alta maturidade, escalabilidade, baixo custo e

de fácil atualização para novas tecnologias (GB e 10GB por exemplo);

● CSMA/CD;● HALF-DUPLEX e FULL-DUPLEX.


Endereço Ethernet● Endereço MAC, encontra-se gravado no hardware de cada

dispositivo de rede;● Sequência de 48 bits;● Formato hexadecimal e deve ser único por dispositivo;● OUI – Organizationally Unique Identifier, parte do endereço

alocado pelo IEEE para identificação do fabricante;● Vendor Assigned – Parte do endereço designado pelo

fabricante;● No mac 00:16:c8:ea:d3:80 – 00:16:c8 = OUI, ea:d3:80 =

Vendor Assigned (Designado pelo fabricante);● Se buscarmos no google o OUI 00:16:c8 acharemos

rapidamente quem é o fabricante.


Encapsulamento

● Quando um dispositivo transmite através de uma rede para outro dispositivo, os dados transmitidos são encapsulados com informações de controle (cabeçalhos) de cada camada do modelo OSI pela qual passam;

● Cada camada do dispositivo transmissor comunica-se apenas com sua camada “irmã” no dispositivo receptor.


Domínios de Colisão e de Broadcast

● Switches L2 – Cada porta é um domínio de colisão e o switch inteiro é um domínio de broadcast;

● Routers L3 – Não propagam broadcast, sendo assim dividem domínios de broadcast;

● Hubs L1 – Repetidor de sinal elétrico, o hub inteiro é um único domínio de colisão e um único domínio de broadcast.


HUB x SWITCH

IP: 192.168.10.3MASC: 255.255.255.0MAC: 00:50:79:66:68:03

192.168.10.4255.255.255.000:50:79:66:68:04

192.168.10.1255.255.255.000:50:79:66:68:01

192.168.10.2255.255.255.000:50:79:66:68:02


Switching e VLANS


Comutação Ethernet na Camada de Enlace

● Switches são rápidos e eficientes;● Tomam decisão baseado no cabeçalho da

camada 2;● Comutação realizada em hardware e não em

software;● Processo de Aprendizagem de endereços.


Topologia

IP: 192.168.10.3MASC: 255.255.255.0MAC: 00:50:79:66:68:02

IP: 192.168.10.2MASC: 255.255.255.0MAC: 00:50:79:66:68:01

WIRESHARK


Esquema de Inibição de Loops

● Conexões redundantes entre switches;● Adotado para evitar a indisponibilidade da rede no caso da falha da

conexão primária;● Lembre-se que o switch propaga broadcast por todas as suas portas;● Um fenômeno chamado loop de camada 2 pode ocorrer;● Se nenhum recurso para inibir a ocorrência de loops estiver ativado

nos switches, as chances de um dispositivo receber mútilas cópias de um mesmo frame aumentam significativamente;

● Switches ficarão confusos ao tentar atualizar suas tabelas MAC;● O switch vai ficar constantemente atualizando sua tabela MAC,

deixando de executar o encaminhamento de frames. Trashing da tabela MAC.

● Broadcast Storm


Broadcast Storm

IP: 192.168.10.2MASC: 255.255.255.0MAC: 00:50:79:66:68:02

IP: 192.168.10.1MASC: 255.255.255.0MAC: 00:50:79:66:68:01


Spanning Tree Protocol (STP)

● IEEE 802.1d;● Evitar que loops em redes comutadas ocorram;● Basicamente fica monitorando a rede

identificando eventuais conexões redundantes;● Se houver caminhos redundantes, ele atuará

elegendo um deles como primário e desativando os caminhos alternativos por meio do bloqueio de interfaces.



● Para alcançar este objetivo, switches que tenham o protocolo STP ativo trocam informações de controle, chamado BPDU;

● Um switch raiz (root bridge) será eleito;● À partir desse switch, a topologia lógica da

rede comutada será definida e os caminhos redundantes serão identificados e devidamente colocados em modo “standby”.



● Em um mesmo domínio broadcast, apenas um switch raiz pode existir;

● Todas as portas do switch raiz são designated ports. (Forwarding state) – Modo de encaminhamento;

● Os outros switches são denominados non-root bridges;● No caso dos non-root a interface com menor custo até o raiz é

denominada root-port e também estará em forwarding state;● Em cenários com redundância de caminhos uma ou mais portas

estarão em modo block, as portas block são chamadas de non-designated ports.

● As portas em blocking mode não recebem nem enviam frames de dados, mas podem receber frames de controle STP (BPDUs) para poderem saber se, em algum momento, elas precisarão ser reativadas.


STP Ativado

IP: 192.168.10.2MASC: 255.255.255.0MAC: 00:50:79:66:68:02

IP: 192.168.10.1MASC: 255.255.255.0MAC: 00:50:79:66:68:01

#spanningtree vlan1

#spanningtree vlan1


Eleição do Switch Raiz● Como o STP escolhe qual switch será o raiz?● Em uma rede com o STP, switches trocam informações de controle

através dos BPDUs, via frames multicast;● Cada switch possui um identificador, chamado de Bridge ID (BID);● O BID, custo de cada porta até o raiz e outras informações são

enviadas entre os switches com STP através dos BPDUS;● O BID é a informação utilizada na eleição do switch raiz da rede;● 8 bytes, Priorit Value + MAC address do switch;● Valor de prioridade padrão é 32768;● Num primeiro momento, todos os switches se consideram root,

conforme os BPDUs vão sendo recebidos os switches começam a comparar seu próprio BID com os demais. No fim o switch com MENOR BID é eleito o root;

● Nunca haverá empate.


Determinação das Portas Designadas

● No switch raiz todas as portas são designadas, ou seja, nenhuma porta será bloqueada;

● Nos switches não raiz, em caso de links redundantes, uma das portas deverá ser bloqueada;

● Para se determinar as portas que permanecerão ativas, deve-se considerar o custo para se alcançar o switch raiz, o caminho com menor custo será o escolhido, o outro será bloqueado;

● Custo é inversamente proporcional à largura de banda do caminho; (Quanto maior a banda, menor o custo)

● 100Gbps = 1 , 10Gbps = 2 , 1 Gbps = 4 , 100Mbps = 19 , 10Mbps = 100


Eleições STP

● 1 - Menor BID é leito root (impossível empate);● 2 - Caminho com menor custo até o sw root determina

quais serão as portas designadas nos demais switches;– 2.1 - Em caso de empate no custo do caminho (path cost)

até o root bridge:

– 2.1.1 - O STP irá optar pelo caminho conectado ao switch com menor BID;

– 2.1.2 – E, em caso de dois ou mais caminhos conectados a um mesmo switch:

– 2.1.2.1 – o STP irá escolher a porta com menor número;


Modos STP de Operação das Portas de um Switch

● Blocking: não encaminhará frames. Pode receber e analisar BPDUs. Todas as portas de um switch encontram-se em modo blocking quando ele é ligado;

● Listening: envia, recebe e analisa BPDUs para verificar a topologia da rede antes de começar o encaminhamento de frames, não encaminhará frames.

● Learning: registra os endereços dos hardwares conectados às interfaces e forma a tabela MAC, não encaminhará frames.

● Forwarding: envia e recebe frames de dados e BPDUs normalmente;

● Disabled: a interface está em modo inativo e não encaminha ou recebe qualquer tipo de frames ou participa do processo STP.


Modos STP de Operação das Portas de um Switch

● Tipicamente, portas de um switch se encontram ou no modo blocking ou no modo forwarding;

● Uma porta em modo forwarding será sempre uma root port ou designated port;

● Se houver alteração na topologia todas as portas STP do switch retornarão aos modos listening e learning (ex: falha de link, ou adição de outro switch na rede);

● Se o STP por algum motivo determinar que uma porta não designada (em modo blocking) deve tornar-se uma porta designada, esta entrará em modo listening, analisando todas as BPDUs recebidas para certificar-se de que não criará um loop.


Convergência STP

● Tempo gasto para a porta sair do modo blocking e entrar no modo forwarding;– Não há transmissão de dados durante o processo,

só troca de informações STP;

– Assegura que todos os switches estejam em perfeito sincronismo;

– Leva em média 40 segundos.


Exemplo de Funcionamento STP

BID 32768 aabb.cc00.0100

BID 32768 aabb.cc00.0200

BID 32768 aabb.cc00.0300

BID 32768 aabb.cc00.0400

0/10/2

0/0

0/1

0/0 0/1

0/0

0/3

0/1 0/2

Qual será o root bridge, quais portas estarão em modo block?


Questão:

Refer to the topology shown in the exhibit. Which ports will be STP designated ports if all the links are operating at the same bandwidth? (Choose three)

A. Switch A – Fa0/0 B. Switch A – Fa0/1 C. Switch B – Fa0/0 D. Switch B – Fa0/1 E. Switch C – Fa0/0 F. Switch C – Fa0/1


Tipos de Comutação

● Store and forward: “armazene e encaminhe”, frame é recebido e armazenado no buffer. È feita uma checagem de erros e depois enviado, Padrão em linhas mais recentes de switches Cisco (2960, 3560);

● Cut-through: Comum em linhas de switches de alta performance, como a linha Nexus. Examina apenas o MAC de destino e encaminha, muito rápido mas não sabe se o frame está ou não corrompido;

● FragmentFree: Variação do cut-through, pois aguarda a passagem da chamada “janela de colisão” (collision window – 64 bytes) antes de encaminhar o pacote. Ele assume que se houver uma eventual colisão tem grandes chances de ser identificada nos 64bytes iniciais do frame, comum em switches antigos (1900 e 2900).


Spanning Tree PortFast com BPDU Guard

● Em vários casos determinadas portas não precisarão participar do processo STP (ex: servidores, computadores, impressoras...);

● O recurso PortFast exclui a porta configurada com ele do processo STP, ficando permanentemente em modo forwarding;

● Deve ser utilizado apenas em portas de acesso (conectadas a dispositivos finais);

● Para evitar problemas causados pela eventual conexão de switches às portas configuradas com este recurso, a Cisco criou o “BPDU Guard”, que bloqueia uma porta configurada com PortFast se uma BPDU for recebida por ela. (Apenas switches deveriam gerar BPDUS).


Spanning Tree UplinkFast

● Proprietário Cisco;● Voltado para uplinks (conexões entre switches) em switches de

acesso;● Identifica um caminho alternativo para o switch root (o segundo

caminho com menor custo) e o adiciona a um grupo chamado “uplink group”;

● Caso o link primário falhe o link secundário será imediatamente ativado, sem passar pelos modos “listening” e “learning”;

● Convergência cai de 40s para 1s no caso de falhas de uplinks.


Spanning Tree BackboneFast

● Proprietário Cisco;● Pode ser aplicado em todos os switches da rede;● Análise mais eficiente de falhas indiretas

fazendo com que o switch precise de menos tempo para compreender o que houve com a rede e como ele deve agir;

● Pode reduzir em até 20 segundos o tempo de convergência.


Rapid Spanning Tree 802.1w

● Protocolo STP “tunado” do IEEE que incorpora todas as melhorias citadas anteriormente e ainda funciona em switches de qualquer fabricante;

● Os modos de operação das portas foram alterados:– Discarding

– Learning

– Forwarding


Rapid Spanning Tree 802.1w

● Tipos de porta– Alternate

● Porta que entra em atividade caso a root port falhe;

– Backup● Porta que entra em atividade caso a designated port falhe;

– Edge● Normalmente a porta que conecta um host

● Ativação:– spanning-tree mode rapid-pvst


EtherChannel

● Agregação de links redundantes criando um canal virtual cuja largura de banda equivale à soma das larguras de banda dos links que o compõem;

● Até 8 links;● Para o STP é como se fosse um único link;● Versão proprietária Cisco: PagP (Port Agregation

Protocol);● Versão aberta IEEE 802.3ad, LACP (Link Agregation

Control Protocol).


Vitual LANS (VLANs)

● Em uma mesma rede comutada, temos um único domínio de broadcast;

● Quanto mais uma rede cresce, maior o volume de frames broadcast;

● Cada elemento da rede consegue enxergar todos os demais;

● Solução desses problemas é a divisão da rede em redes menores;

● VLANs;


Virtual LANS (VLANs)

● Domínios Lógicos definidos em switches;● É uma forma de conseguirmos segmentar um

grande domínio de broadcast (uma LAN) sem a necessidade de utilizarmos um elemento de camada 3;

● Máquinas associadas a outras VLANs não terão acesso a esses frames, mesmo que estejam fisicamente conectadas ao mesmo switch;


Benefícios alcançados com VLANs

● Segmentação de domínios de broadcast;● Agrupamento lógico de usuários e recursos;● Flexibilidade e escalabilidade;● Melhor desempenho e gerenciabilidade;● Melhor segurança e controle.


Identificação de VLANs

● Portas de Acesso (access port): geralmente portas conectadas aos dispositivos finais (Pcs, impressoras, servidores, etc), pode ser associada a uma única VLAN. Dispositivos conectados a portas de aceso não conseguem se comunicar na camada de enlace com dispositivos em outras VLANs;

● Portas de Transporte (trunk port): normalmente utilizadas em uplinks entre switches, de forma simplista seria como associar uma única porta a várias VLANs simultaneamente.


Tipos de Associações VLAN

● VLANs são, tipicamente, criadas manualmente (modo estático);

● Podemos associar uma VLAN a uma determinada porta de forma dinâmica por meio de um servidor centralizado que mapeia determinadas informações a determinas VLANS.


Associação Dinâmica

● Requer um servidor VMPS (VLAN Management Policy Server);

● Útil em redes com alta mobilidade de dispositivos;

● É possível a associação de VLANs específicas a endereços MAC, protocolos, aplicações e até login de usuário.


Frame Tagging

● O processo de identificação de frames (frame tagging) insere no cabeçalho do frame Ethernet um campo que permite essa identificação (VLAN ID ou VLAN Color);

● Este campo adicional é inserido apenas quando um frame precisa ser encaminhado através de uma porta de transporte, e é removido assim que o frame chega a uma porta de acesso;

● Dessa forma, as máquinas finais não recebem frames com este campo adicional, não possuindo nenhuma informação sobre qual VLAN pertencem.


Frame Tagging

● O campo de identificação adicionado ao frame original tem um “tamanho”;

● Podendo fazer com que o frame ultrapasse o tamanho de 1518 bytes definidos pelo padrão Ethernet;

● Se interfaces de rede comuns receberem frames com esse campo adicional, não vão compreender a “modificação” e vão pensar que o frame não está íntegro descartando-o.


VLAN Nativa

● VLAN que não precisa ser identificada, ou seja, frames originados nessa VLAN não precisam ser tagueados quando atravessam um link de transporte;

● Por padrão é a VLAN 1, mas pode ser alterada;● Todas as portas inicialmente estão nessa

VLAN.


Métodos de Identificação de VLANs

● ISL (Inter Switch Link) Cisco;– Proprietário Cisco, adiciona um novo cabeçalho

com a informação sobre a VLAN, literalmente encapsula novamente o Frame. As novas linhas de switch Cisco não suportam mais ISL e não é cobrado no exame CCNA.

● Dot1q (802.1q) IEEE;– Padrão criado pelo IEEE, altera o cabeçalho

original inserindo a informação sobre a VLAN.


Roteamento entre VLANs

● Dispositivos na mesma VLAN estão no mesmo domínio de broadcast, na mesma rede, e portanto podem se comunicar;

● Dispositivos em VLANs diferentes não se comunicam,

● Como fazer para que VLANs diferentes se comuniquem?


Router on a Stick

SW1

R1

172.16.20.1/24

172.16.20.2/24

172.16.10.1/24

172.16.10.2/24

G0/0.10 – 172.16.10.254G0/0.20 – 172.16.20.254


VTP – Vlan Trunk Protocol

● Criado pela Cisco para gerenciar e manter a consistência de todas as VLANs configuradas na rede;

● Um domínio VTP nada mais é que um conjunto de switches que trocam informações VTP;

● Teremos um switch que fará o papel de VTP server, que basicamente centraliza todo o processo de criação e alteração de VLANs;

● Switches clientes recebem informações do server e não podem adicionar nem alterar VLANs;



● Um switch pode trocar frames VTP apenas com outros switches configurados no mesmo domínio, e são sempre encaminhados via portas de transporte (trunk);

● Frames VTP contêm várias informações de controle, com o domínio VTP, número de revisão da configuração (configuration revision number), a senha do domínio e as VLANs conhecidas;

● Senhas podem ser definidas para aumentar o controle do domínio VTP, todos os switches pertencentes a um mesmo domínio devem ser configurados com a mesma senha;

● Todos os switches Cisco têm, por padrão, o protocolo VTP ativado e encontram-se pré configurados no modo server;

● Quando um switch em domínio VTP recebe uma atualização com um número de revisão mais alto do que a última recebida, ele sobrescreve se banco de dados com as novas informações trazidas por ela;



● Não é muito utilizado na prática;– A rede tem que ser toda Cisco, pode ser perigoso;

● Vantagens:– Administração centralizada;

– Controle;

– Consistência de informações.


Modos de operação VTP● Server– Modo padrão de todos os switches Cisco. É necessário ao menos um servidor em um

domínio VTP, mas vários servidores podem coexistir. Switch em modo servidor é capaz de criar, excluir ou modificar VLANs em um domínio VTP. Qualquer alteração sofrida por um switch em modo servidor VTP é propagada para todo o domínio VTP com um número de revisão de atualização igual ao último recebido +1;

● Client– Switches recebem informações de servidores VTP, verificam os números de revisão de

atualização e aceitam a que tiver o maior número. Switches clientes não podem efetuar mudanças por si só. Atualizações recebidas e aceitas são também propagadas para switches vizinhos que estejam no mesmo domínio VTP;

● Transparent– O switch não modifica suas configurações com base nas atualizações VTP recebidas,

mas ainda assim os encaminha para switches vizinhos. Podem adicionar, excluir ou modificar VLANs livremente mas não propagam suas próprias configurações para o domínio VTP;

● Off– Semelhante ao modo transparente, porém, não encaminha atualizações VTP recebidas

para os switches vizinhos.


VTP Pruning

● Tradução: “poda”;● Quando o pruning está ativado, frames com destino a

VLANs são apenas encaminhados para switches que tenham portas de acesso associadas a essas VLANs;

● Um frame na VLAN 20 não será encaminha a um switch que não tenha pelo menos uma porta na VLAN 20;

● Versão 1 e 2 basta habilitar o recurto no switch VTP server, versão 3 tem que habilitar em cada switch.


O modelo TCP/IP


Camadas do modelo TCP/IP

OSI TCP/IP

7 Aplicação

Aplicação 46 Apresentação

5 Sessão

4 Transporte Host-to-host 3

3 Rede Internet 2

2 EnlaceNetwork Interface 11 Física

A função de cada camada no modelo TCP/IP é análoga às funções da camada correspondente no modelo OSI. Focaremos então nos protocolos e serviços mais importantes para o CCNA, definidos em cada uma das camadas do modelo TCP/IP.


A camada de aplicação

● Telnet: Aplicação para acesso remoto. O nome vem de Telephone Network. Desenvolvido pelo DoD em 1969. Em 1977 foi liberado para uso público, tornando-se um padrão mundial de acesso remoto.

● FTP/TFTP File Transfer Protocol/Trivial FTP: a aplicação foi criada em 1980. Não é apenas uma aplicação, mas também um protocolo. Operando como protocolo, o FTP pode ser utilizado por outras aplicações como base para a transferência de arquivos. No modo aplicação, é utilizado no formato cliente-servidor para executar a transferência de arquivos. O TFTP Trivial, é uma versão simplificada e mais rápida do FTP.



● SMTP: Simple Mail Transfer Protocol. Protocolo padrão para envio de e-mails através da internet.

● SNMP: Simple Network Management Protocol é o protocolo padrão para a gerência de redes TCP/IP.

● POP3: o Post Office Protocol é um protocolo utilizado no acesso remoto a uma caixa de correio eletrônico.

● HTTP: Hypertext Transfer Protocol é a base para comunicação de dados na internet. Hipertexto é uma forma estruturada de texto que utiliza ligações lógicas chamadas hiperlinks para outras fontes de informações existentes na web. Dessa forma, páginas em um site são associadas a outras.



● DHCP (Dynamic Host Configuration Protocol): Permite a configuração dinâmica de elementos conectados a uma rede, via concessão de endereços IP, máscara, default gateway, DNS e algumas outras opções. Sucessor do antigo protocolo BOOTP.

● Syslog: Essencialmente, o syslog é uma aplicação servidora que recebe mensagens de log de outros dispositivos de rede, armazenando-as e possibilitando o tratamento posterior.


A camada Host-to-Host (Transporte) TCP

● TCP (Transmission Control Protocol): Recebe um fluxo de dados da camada de aplicação e os quebra em partes menores, chamadas segmentos;

● Os segmentos são numerados e sequenciados, permitindo a montagem do fluxo original na camada de aplicação da máquina de destino;

● Orientado a conexão;● 3-way hand-shake;● Confiável mas lento;● Transferência de arquivos ou acesso remoto por exemplo.


A camada Host-to-Host (Transporte) UDP

● UDP (User Datagram Protocol): o UDP surgiu após o TCP. Basicamente o UDP seria uma versão simplificada do TCP;

● Cabeçalho com poucos campos de controle;● Rápido mas não é confiável;● Aplicações em tempo real (VoIP) e aplicações que não

precisam de confiabilidade de entrega;● Não sequencia os segmentos, não aguarda uma

confirmação de recebimento, ele simplesmente transmite.


Cabeçalho TCP

Porta lógica de origem (16bits) Porta lógica de destino (16bits)

Sequence Number

Acknowledgemet Number

Data Offset ReservedURG

ACK

PSH

RST

SYN

FIN

Window (controle de fluxo)

Checksum Urgent Pointer

Options Padding

Dados (payload)

Formato do cabeçalho header de um segmento TCP, com os diferentes campos que o compõe.

O cabeçalho TCP possui 20 bytes de extensão.


Cabeçalho UDP

Porta lógica de origem (16bits) Porta lógica de destino (16bits)

Lenght Checksum

Dados (payload)

Cabeçalho bem mais reduzido que o TCP, bem como sua complexidade, possui 8 bytes de extensão.


TCP x UDP

TCP UDP

Numera e sequencia os segmentos Não os numera ou sequencia

Comunicação confiável, com a confirmação de “lotes” de segmentos

recebidos pelo destinoComunicação não-confiável

Comunicação orientada à conexão (o processo de 3-way handshake e

estabelece um circuito virtual)Não orientado à conexão

Latência de transmissão mais elevada devido ao maior tamanho de cabeçalho

(20 bytes)Baixa latência (cabeçalho menor, 8 bytes)

Analogia: Carta registrada (“mandou, chegou”)

Analogia: Carta comum (melhor esforço, ou seja, não há garantia de que a carta

chegará)


Portas Lógicas e Sockets

● TCP e UDP utilizam portas lógicas e sockets (encaixes) para o gerenciamento das conexões entre as diversas aplicações;

● 2^16 (65536) portas de conexões disponíveis por host;● Destino e origem;● Socket é a identificação de sessão gerada pela camada de

transporte no host, definido pelo par: Porta de destino + IP de destino;

● 0 – 1023 portas bem conhecidas, associadas a aplicações que operam em modo servidor;

● FTP 21, Telnet 23, SMTP 25, HTTP 80, POP3 110, DNS 53, TFTP 69, SNMP 161, Syslog 514 .


Portas Lógicas e Sockets

FIREFOX

30521

172.16.10.3

A

T

A

R

CLIENTE

CHROME

40501

192.168.0.6

A

T

A

R

CLIENTE

WEB - HTTP

80

10.0.0.20

T

A

R

SERVIDORSocket10.0.0.20:80

Socket10.0.0.20:80

Socket1172.16.10.3:30521

Socket2192.168.0.6:40501


A camada Internet (REDE)

● Identificação lógica de redes e elementos a elas conectados;

● Roteamento dos pacotes de dados de um domínio lógico para outro;

● Nenhuma das camadas superiores ou inferiores interferem no processo de roteamento de pacotes;

● Método unificado de identificação, garantindo compatibilidade entre os diferentes tipos de protocolo/tecnologia da camada de enlace (Ethernet, frame-relay...).


A camada Internet (REDE)

● 04 protocolos importantes para o CCNA:– Internet Protocol (IPv4 ou IPv6);

– Internet Control Message Protocol (ICMP);

– Address Resolution Protocol (ARP);

– Reverse Address Resolution Protocol (RARP);

INTERNET(REDE)

ICMP ARP RARP

IP


IP

● Os outros protocolos da camada de rede existem apenas para suportá-lo;

● Identificador lógico;● Endereço identifica de onde um pacote de dados vem, e

para onde ele deve ir;● Dividido em duas partes, host e rede;● Qual rede ele pertence, e dentro desta rede, qual a sua

identificação de host;● IPv4 possui 20 bytes de extensão;


IP

● O protocolo IP recebe os segmentos da camada de Transporte e os encapsula em pacotes;

● Os pacotes recebem um cabeçalho IP com uma série de campos de controle, dentre eles, endereço IP de origem e destino;

● Os roteadores fazem a análise do endereço IP de destino, identificam a porção de rede deste endereço e com base em sua tabela de roteamento, escolhem a melhor rota para alcançar a rede remota.


IPv4

VersionHeader Lenght

Priority And Type of Service Total Lenght

Identification Flags Fragment Offset

Time to Live Protocol Header Checksum

Endereço IP de Origem

Endereço IP de Destino

0 -------------------------------------------------------15------------------------------------------------ 31

Options

Dados (Payload)

0 -------------------------------------------------------15-------------------------------------------------31 (32bits)

1

2

3

4

5

1Byte = 8bits32bits/8 = 4Bytes 4 Bytes x 5 = 20Bytes


IPv4

● Version: versão do protocolo;● HLEN: comprimento do cabeçalho;● ToS: prioridade, utilizado para QoS;● Total Lenght: comprimento total, incluindo porção de dados;● Identification: valor único para identificação do pacote;● Flags:especifica se a fragmentação do pacote – para transmissão via determinados

protocolos de Enlace – pode ou não ocorrer;● Fragment offset: Controle de fragmentação caso o pacote seja maior que o MTU

(Maximum Transmission Unit) definida para um determinado tipo de frame (Ethernet o MTU é 1500 bytes);

● Time to Live (TTL): tempo de vida do pacote a ser transmitido, a cada salto na rede o valor é decrementado, se chegar a zero ele é descartado, prevenção de loops;

● Protocol: valor em hexadecimal utilizado para identificar o protocolo da camada superior, TCP 0x6, UDP é 0x11;

● Header CheckSum: checagem do cabeçalho apenas;● Options: não utilizado;


ICMP

● ICMP: Internet Control Message Protocol;● Utilizado pelo IP como mensageiro;● Mensagens ICMP são encapsuladas e transportadas

em pacotes IP;– Tipo 0: Echo Reply (resposta a um PING);

– Tipo 3: Destination unreachable (destino inalcançável)

– Tipo 8: Echo Request (solicitação PING);

– Tipo 11: Time Exceed (TTL excedido);

– Tipo 30: Traceroute.


ARP (Address Resolution Protocol)

● Protocolo de apoio usado pelo IP para localizar o endereço de hardware de um dispositivo a partir de seu endereço IP;

● Encaminhadas em frames broadcast, jamais cruzarão um domínio de broadcast;

● Opera como um “detetive” contratado pelo IP;● Interroga todas as máquinas da rede a qual pertence

(broadcast), perguntando se aquele IP é dela, se for, ela pede o seu MAC;

● Mapeamento de um endereço lógico (IP) para um endereço físico (MAC);


ARP

ARP REQUESTBroadcast : Preciso do

MAC do IP 20.0.0.2

ARP REPLYUNICAST: Eu sou o 20.0.0.2 e

meu MAC é:1234:5678:9ABC

20.0.0.4 20.0.0.3 20.0.0.2

Preciso enviar para a máquina 20.0.0.2,Tenho seu IP, mas não tenho seu MAC,Como fazer?

Não sou eu...


RARP (Reverse ARP)

● Inverso do ARP;● Determina um IP através do MAC;● Não muito utilizado atualmente;● Precisa de um servidor RARP;● Hoje em dia o DHCP na camada de aplicação

consegue desempenhar o mesmo papel com muito mais opções.


IPv6

● Mais cobrado no novo exame 200-120;● Redes cresceram em tamanho e complexidade em mais

de 40 anos;● Equipamentos e aplicações de redes tiveram de evoluir;● Vídeo, Voz, Jogos, Cloud …● IPv4 foi definido em 1981, nada disso era imaginado;● 32 bits de endereços era mais que suficiente;● Tablets, smartphones, smartTv, smart …


IPv6

● Muito mais do que uma mera atualização;● Protocolo totalmente novo, apresenta uma arquitetura de

cabeçalho completamente diferente;● Introduz novos serviços e aprimora os existentes;● Passa de 32bits do IPv4 para 128bits;● 66.557.079.334.886.694.389 endereços;● Definida em 1988;● Totalmente esquecida por comodidade dos provedores,

fabricantes e profissionais;● IPv4 válidos praticamente esgotados.


IPv6

● Melhorias incorporadas:– Mais endereços;

– Suporte nativo à autenticação e privacidade;

– Suporte à autoconfiguração;

– Suporte a seleção de rota;

– Suporte nativo a QoS;

– Suporte a extensões configuráveis (Ad hoc).


IPv6

Version Traffic Class Flow Label

Payload Lenght Next Header Hop Limit

Endereço IPv6 de origem

Endereço IPv6 de destino

Dados (payload)

0 ------------------------------------------------------------------------31 (32bits)

0||

6364||

191192

||

319

1Byte = 8bits320bits/8 = 40Bytes

(320 bits)


IPv6

● Campos:– Campo Checksum foi removido do cabeçalho, o v6

considera que os controles de erros implementados pelas camadas inferiores são suficientes;

– Traffic Class permite atribuição de tratamento diferenciado QoS;

– Flow Label utilizado por aplicações que precisam de um desempenho diferenciado, possibilitando engenharia de tráfego sobre eles;

– Next Header aponta para o primeiro cabeçalho de extensão – se houver.


IPv6 - Fragmentação e Determinação do Percurso

● Diferente das redes IPv4, o responsável pela fragmentação dos pacotes é o próprio host que envia o datagrama e não os roteadores;

● Se o MTU for maior que o suportado o router descarta o pacote;● O host origem encaminha pacotes usando o MTU de sua

interface. Se em algum ponto da rede o MTU for menor, uma mensagem ICMPv6 será enviada para o host de origem, informando o MTU suportado até aquele ponto;

● MTU Path Discovery, ocorre dinamicamente a cada nova transmissão, já que o valor do MTU pode ser diferente caso um novo caminho seja escolhido.


Protocolos de Apoio ao IPv6

● Algumas aplicações e protocolos tiveram de ser revistos para trabalhar com IPv6:– ICMPv6;

– DHCPv6;

– EIGRPv6;

– OSPFv3.


Transição IPv6

● Coexistência com IPv4;● Não existe migração;● Poucos casos de implementação,

documentação de melhores práticas escassas;● Sem documentação e relatos ninguém faz, se

ninguém faz não tem documentação e relatos...● Tendência de mudança rápida nos próximos

dois anos.


Transição IPv6

● Técnicas de transição:– Pilha dupla (dual-stack): Dispositivos suportem

nativamente IPv4 e IPv6. Vantagem: simplifica o processo de “migração”. Desvantagem: Não economiza o IPv4.

– Tunelamento: Tráfego de pacotes IPv6 sobre redes IPv4 ou vice-versa. Desvantagem: grande overhead gerado, maior uso de CPU. Vantagem: Pode-se utilizar IPv6 nas pontas e não IPv4.

– Tradução (NAT): IPv6 NÃO precisa de nat, mas inventaram essa gambiarra de tradução de endereços IPv6 para IPv4 e vice-versa.


Endereçamento IPv4 e IPv6


Endereçamento IPv4

● Endereçamento IP é e sempre foi um dos temas mais cobrados no exame CCNA;

● Estude, estude, estude;● Pratique, pratique, pratique;● Tem que fazer as contas de cabeça, se

precisar de um papel na hora do exame o tempo acaba.


Conceitos Fundamentais

● Bit: a menor porção de informação – 0 ou 1;● Byte ou Octeto: uma sequência de 8bits;● Duocteto: um conjunto de 2 bytes;● Endereço de broadcast: envio de mensagens a todos os

dispositivos de uma rede (1-to-all), TV Aberta;● Endereço de Multicast: utilizado por apenas uma máquina

para alcançar um grupo específico de máquinas (1-to-many), TV Fechada;

● Endereço Unicast: usado na comunicação de uma máquina com apenas outra máquina (1-to-1).


Notação Binária

● Base de toda a comunicação digital;● No dia a dia utilizamos o sistema decimal de numeração –

base 10, o número 115, possui três ordens decimais de grandeza (uma centena, uma dezena e cinco unidades = 1*10^2 + 1*10^1 + 5*10^0;

● Binários derivam de outro sistema de numeração, no qual os valores evoluem na ordem de 2 elevado a alguma coisa;

● É possível converter números binários para números decimais bastando observar a posição do dígito binário e a respectiva ordem de grandeza do mesmo;


Notação Binária● Exemplo: o número binário 101101 pode ser

representado por:

1 0 1 1 0 1

25 24 23 22 21 20

32 16 8 4 2 1

32+ 0+ 8+ 4+ 0+ 1

32 + 0 + 8 + 4 + 0 + 1 = 45

Números binários, por usarem base 2 em sua definição, sempre evoluem de posição dobrando o valor da posição anterior e sempre da direita para esquerda:

27 26 25 24 23 22 21 20

128 64 32 16 8 4 2 1


Endereçamento IPv4

● Formado por 32 bits;● Divididos em quatro grupos, chamados octetos

ou bytes, cada um contendo 8 bits;● Cada octeto em um endereço IPv4 pode conter

um número decimal compreendido entre o intervalo de 0 a 255, que resulta em 256 valores possíveis (o zero conta);

● Estruturado de forma hierárquica e não plana;


Endereçamento IPv4

● No esquema plano temos 2^32 = 4,3 bilhões endereços;● Se ele fosse adotado, cada roteador na Internet teria que

armazenar o endereço individual de cada dispositivo conectado. Seria impossível um processo de roteamento eficaz;

● A solução para esse problema foi a adoção de um esquema de endereçamento hierárquico, compreendido dois níveis principais;

● REDE e HOST e podemos ter ainda um nível adicional, chamado SUB-REDE;

● Sistema telefônico tradicional é um exemplo de sistema hierárquico.


Endereçamento IPv4

● O endereço de rede identifica cada rede distintamente;

● Toda e qualquer máquina em uma mesma rede possui o mesmo identificador de rede como parte do seu endereço;– No endereço 172.16.20.30 por exemplo, a parte 172.16

identifica a rede, e a porção 20.30 identifica o host dentro dessa rede.

– Isso significa que outro host dentro dessa rede deve ter um endereço IP com o padrão 172.16.X.X.


Endereçamento IPv4

REDE CLASSFUL172.16.x.x

Sub-rede172.16.1.x

HostHost

Host

HostHost

HostHost

Host

Sub-rede172.16.2.x

Sub-rede172.16.2.x

112

3

12

12

3


Endereçamento IPv4

● Foram criadas 03 classes de endereços;● Cada uma com suporte a um número de redes e

hosts diferentes;● Classes A, B e C;● A separação de um endereço IP nas porções de

rede e host é determinada pela classe na qual se encontra;

● Cada endereço é associado a uma das 3 classes;


Endereçamento IPv4

● Classes de endereçamento IP existentes:

8 bits 8 bits 8 bits 8 bits Intervalo Exemplo

Classe A REDE HOST HOST HOST 0-127 5.2.10.5

Classe B REDE REDE HOST HOST 128-191 131.10.2.7

Classe C REDE REDE REDE HOST 192-223 203.20.70.3

Classe D Classe reservada para endereços multicast

Classe E Classe reservada para pesquisa


Endereçamento IPv4

● Determinação dos intervalos;● Padrão único de bits no primeiro octeto;● Dessa forma, um router seria capaz de

identificar a qual classe um endereço pertence apenas lendo os primeiros bits de um endereço IP;

128 64 32 16 8 4 2 1 128 64 32 16 8 4 2 1

A 0 0 0 0 0 0 0 0 0 0 1 1 1 1 1 1 1 127

B 1 0 0 0 0 0 0 0 128 1 0 1 1 1 1 1 1 191

C 1 1 0 0 0 0 0 0 192 1 1 0 1 1 1 1 1 223

D 1 1 1 0 0 0 0 0 224 1 1 1 0 1 1 1 1 239

E 1 1 1 1 0 0 0 0 240 1 1 1 1 0 1 1 1 247


Endereços Reservados e Privados

● A RFC 1918 determina que um intervalo de endereços para cada uma das classes (A,B e C) seja reservado para uso interno, não sendo roteáveis na Internet:

● Ainda temos uma classe A inteira reservada para testes (loopback) e que não pode ser utilizada para hosts:

● Temos uma classe B para promover autoconfiguração, chamada de APIPA (Automatic Private IP Addressing).

10.0.0.0 a 10.255.255.255 - 1 Rede Classe A

172.16.0.0. a 172.31.255.255 - 16 Redes Classe B

192.168.0.0 a 192.168.255.255 - 256 redes Classe C

127.0.0.0 a 127.255.255.255 - 1 Rede Classe A

169.254.0.0 a 169.254.255.255 - 1 Rede Classe B


Subnetting

● Vimos o conceito de redes divididas em classes (redes classful);

● As divisões em classes geram um enorme desperdício de endereços;

● Visando a otimização do uso das redes classful, o conceito de sub-redes foi criado;

● Isolamos um ou mais bits da porção de host do endereço e os utilizamos para definir redes adicionais;

● Pegar uma rede classful e criar oito novas sub-redes a partir dele, pegar uma grande rede e dividir em redes menores;


Subnetting

● Benefícios:– Redução do tráfego na rede: A criação de sub-

redes quebra domínios de broadcast (novas redes são criadas), menor tráfego por rede;

– Gerenciamento simplificado: é mais fácil a identificação e isolamento de problemas em redes menores do que em uma rede grande;


Subnetting – Máscara de Rede

● Os dispositivos de rede precisam distinguir, no endereço IP, a porção de rede da porção de host;

● Até o momento isso seria possível apenas identificando a classe do endereço;

● Este método só funciona com endereços Classful;● Para endereço “subnetado” isso é conseguido através da

associação de uma máscara de rede para o endereço IP;● Máscaras de rede funcionam como um “filtro”, os elementos

de rede realizam uma operação AND lógica entre máscara e o IP para determinar o que é rede eu que é host.


Subnetting – Máscara de Rede● A máscara de rede Ipv4 possui 32 bits, composta de

sequências de “0s” e “1s”;

● A ocorrência de “1s” em uma máscara representa as posições que se referem ao endereço de rede (ou sub-rede);

● Os “0s” determinam os bits que endereçam o host;

● Para os casos onde não existam sub-redes criadas, adotamos as máscaras padrão de rede, definidas para cada uma das classes (A, B e C):

Classe Formato Máscara (decimal) Máscara (binário) Prefixo

A R.H.H.H 255.0.0.0 11111111.0.0.0 /8

B R.R.H.H 255.255.0.0 11111111.11111111.0.0 /16

C R.R.R.H 255.255.255.0 11111111.11111111.11111111.0 /24


Criação de Sub-redes

● Para criarmos sub-redes, empurramos os bits da porção de rede da máscara (os “1s”) da esquerda para a direita, invadindo a porção de host da máscara e transformando alguns dos “0s” em “1s”;

● Ao transformar estes “0s” em “1s”, estamos aumentando o número de redes, mas reduzindo o número de hosts possíveis;

● Ganhamos de um lado mas perdemos do outro.


Criação de Sub-redes● Exemplo, suponha que temos uma rede Classful classe

C e desejemos quebrá-la em duas sub-redes:– Rede: 192.168.50.0– Máscara padrão: 255.255.255.0

(11111111.11111111.11111111.00000000)

● Temos oito “0s”, quantos “0s” eu preciso transformar em 1?

2x >= S

– X é o número de “0s” que deverão ser transformados em 1– S é o número de sub-redes que se deseja obter– Precisamos de duas sub-redes, então:

2x >= 2 ,

X=1 pois 21 >= 2



● Devemos então pegar emprestado (transformar de 0 para 1) um bit da porção de host da máscara:– 11111111.11111111.11111111.00000000 (Antes)

– 11111111.11111111.11111111.10000000 (Depois)– Que em decimal equivale a 255.255.255.128 e em notação prefixal seria /25 (25

“1s” na máscara).

● Temos a nossa máscara de sub-rede definida, resta identificar quais são as novas sub-redes geradas a partir dela.

– Basta realizar todas as combinações “ligado” (1) e “desligado” (0) nos bits de sub-rede:

– 00000000 = 0– 10000000 = 128



● Mas e com relação aos hosts, quantos hosts eu tenho para cada uma destas duas sub-redes?

● Hosts, na máscara, são definidos pelos “0s”, basta identificarmos quantos “0s” a máscara nos traz e podemos determinar a quantidade de hosts possíveis elevando 2 ao número de “0s” existentes:

2y – 2 = h

– “Y” é o número de “0s” na máscara;

– “h” é o número de hosts possíveis por sub-rede;

– “-2” exclusão dos endereços de rede e broadcast;


Criação de Sub-redes● No exemplo anterior temos sete “0s” na máscara,

portanto: 27 =128, 128-2 = 126

● Para determinar o intervalo de hosts para cada sub-rede do ponto de vista binário:

SUB-REDE 0

Bit Sub-rede Bits Host Significado

0 0000000 = 0 Endereço de rede

0 0000001 = 1 Primeiro Host válido

0 1111110 = 126 Último Host válido

0 1111111 = 127 Endereço de broadcast

SUB-REDE 128

Bit Sub-rede Bits Host Significado

1 0000000 = 128 Endereço de rede

1 0000001 = 129 Primeiro Host válido

1 1111110 = 254 Último Host válido

1 1111111 = 255 Endereço de broadcast



● Com base no exemplo anterior, teríamos duas sub-redes, dentro da rede “mãe” classful, para que as sub-redes se comuniquem precisaríamos de um roteador.

REDE CLASSFUL192.168.50.0/24

Subrede192.168.50.0/25

HostHost

Host

112

… 126

Subrede192.168.50.128/25

HostHost

Host

129130

… 254


Criação de Sub-redes - Passos1) Determine qual a classe do endereço (nunca defina a classe

pela máscara);

2) Requisitos (o que a questão está pedindo);

3) Defina as sub-redes e intervalos;

4) Assimile a tabela:

27 26 25 24 23 22 21 20

128 64 32 16 8 4 2 1

0 0 0 0 0 0 0 0 0

128 1 0 0 0 0 0 0 0

192 1 1 0 0 0 0 0 0

224 1 1 1 0 0 0 0 0

240 1 1 1 1 0 0 0 0

248 1 1 1 1 1 0 0 0

252 1 1 1 1 1 1 0 0

254 1 1 1 1 1 1 1 0

255 1 1 1 1 1 1 1 1


Definição de Sub-redes: Classe C

● Em um endereço classe C, apenas 1 byte encontra-se disponível para a definição da porção de hosts;

● Os bits que identificam sub-redes sempre começam da esquerda pra direita, sendo assim os octetos de rede sempre terão valores 0, 128, 192, 224, 240, 248, 252, 254 e 255 (tabela anterior);

● Exame CCNA pode cobrar:

1. Quantas sub-redes a máscara x produz?

2. Quantos hosts válidos?

3. Quais são as sub-redes?

4. Hosts válidos em cada sub-rede?

5. Endereço de broadcast de cada sub-rede?

● A forma mais trabalhosa é a binária, que veremos a seguir:


Método Binário

● Máscara: 255.255.255.224:– 11111111.11111111.11111111.11100000;

– A máscara padrão da classe C é 255.255.255.0, temos 255.255.255.224;

– Temos então 3 bits definindo sub-rede (bits ligados “1s”);

– E 5 bits restando para hosts (bits desligados “0s”);


Método Binário

● Quantas Sub-redes temos?– 2^X >= S

– 2^3 = 8

– A máscara 255.255.255.224 aplicada a um endereço classe C nos entrega 8 sub-redes diferentes.

● Quantos endereços de Host por sub-rede?– 2^Y -2 = h

– 2^5 -2 = h // 32 – 2 = 30

– A máscara 255.255.255.224 aplicada a um endereço classe C nos entrega 30 hosts válidos por sub-rede.


Método Binário

● Quais são as sub-redes?– Sabemos que são 8, mas não sabemos quais são:

● 00000000 = 0;● 00100000 = 32;● 01000000 = 64;● 01100000 = 96;● 10000000 = 128;● 10100000 = 160;● 11000000 = 192;● 11100000 = 224;


Método Binário● Hosts possíveis para cada uma das sub-redes:

– Identifique a sub-rede, e desligue todos os bits de host. Depois ligue todos os bits de host para identificar o endereço de broadcast da respectiva sub-rede, os hosts serão os endereços compreendidos entre esses dois:

SUB-REDE 0

Bit Sub-rede Bits Host

000 00000 = 0

000 00001 = 1

000 11110 = 30

000 11111 = 31

SUB-REDE 32


001 00000 = 32

001 00001 = 129

001 11110 = 254

001 11111 = 255

SUB-REDE 64


010 00000 = 64

010 00001 = 65

010 11110 = 94

010 11111 = 95

SUB-REDE 96


011 00000 = 96

011 00001 = 97

011 11110 = 126

011 11111 = 127

SUB-REDE 128


100 00000 = 128

100 00001 = 129

100 11110 = 158

100 11111 = 159

SUB-REDE 160


101 00000 = 160

101 00001 = 161

101 11110 = 190

101 11111 = 191

SUB-REDE 192


110 00000 = 192

110 00001 = 193

110 11110 = 222

110 11111 = 223

SUB-REDE 224


111 00000 = 224

111 00001 = 225

111 11110 = 254

111 11111 = 255


Método Alternativo● No hora do exame não há muito tempo, e tem muita coisa

pra fazer, vamos então economizar tempo:1. Número de subredes: 255.255.255.248

248 = 11111000, 5bits, 2^X, 2^5=32 sub-redes;2. Hosts Válidos por sub-rede: 2^Y-2, 3bits, 2^3-2, 8-2=6 hosts

em cada uma das 32 sub-redes;3. Intervalo de sub-redes: 256-m=i

“m” valor do último octeto com bits de sub-rede ativos. 256 – 248 = 8

Portanto, as sub-redes ocorrem em intervalos de 8: 0, 8, 16, 24, 32, 40, 48, 56, 64, 72, 80, 88, 96, 104, 112, 120, 128, 136,

144, 152, 160, 168, 176, 184, 192, 200, 208, 216, 224, 232, 240, 248.– Obs: A última sub-rede SEMPRE terá o mesmo valor do último

octeto com bits de sub-rede ativos. 248 no caso.


Método Alternativo

4. Endereço de broadcast de cada sub-rede: Sempre será o valor imediatamente inferior ao da próxima sub-rede.

O broadcast da última sub-rede SEMPRE será 255.● 0, 8, 16, 24.... o broadcast da sub-rede “0” será 7 (valor imediatamente

inferior ao da próxima sub-rede (8 no caso), da sub-rede 8 será 15, 16 será 23...

5. Intervalos válidos para hosts: Sabendo as sub-redes e o endereço de broadcast fica fácio o

intervalo entre os dois endereços será o endereço que poderá ser utilizados para host.

● Sub-rede 8 por exemplo, 8 é o endereço da sub-rede, 15 é o de broadcast, o intervalo de hosts será então: 9 até 14 (6 endereços válidos de um total de 8 endereços se considerarmos o endereço de rede e broadcast).


Resolvendo Questões

● Dado o endereço IP e máscara de rede a seguir, determine a que sub-rede ele pertence, qual o intervalo válido de hosts e qual o endereço de broadcast:

– 192.168.9.67 255.255.255.224

● Para resolver a questão rapidamente, precisamos primeiro determinar os intervalos das sub-redes, utilizamos então a fórmula já aprendida: 256 – 224 = 32, nossas sub-redes ocorrem de 32 em 32, sempre no último octeto: 67


Resolvendo Questões

● Basta agora encontrar a sub-rede que contém o 67, não pode ser a sub-rede 0, pois 67 não está contido no intervalo de 0 a 31, nem a sub-rede 32, pois 67 não está contido no intervalo de 32 a 63.

● Mas pode ser a sub-rede 64, 67 está entre 64 e 95. Sabemos então que nossa sub-rede é a 64.

● Já conseguimos responder a todas as questões colocadas:– O endereço IP 192.168.9.67 255.255.255.224, pertence à sub-rede

192.168.9.64;

– O endereço de broadcast dessa sub-rede é o 192.168.9.95;

– O intervalo disponível para endereçamento de hosts 192.168.9.65 a 192.168.9.94;


Resolvendo em Classes A e B

● O método é o mesmo, a diferença é que nessas classes temos mais bits que podem ser manipulados;

● Na classe B temos 16 bits de host e na classe A temos 24 bits de host;

● Na classe B podemos utilizar 14 bits para definição de sub-redes, na classe A 22 bits, pois devemos deixar ao menos 2 bits para endereçar hosts;

● Ou a fórmula 2^y-2 resultará em ZERO


Exemplos Classe B

● Endereço 172.16.0.0 255.255.255.0– Repare que é um endereço classe B (172...), e a

mascara aplicada é a padrão de um classe C;

– Isso significa que estamos criando sub-redes em um endereço classe B;

– Endereços classe B Classful (sem sub-redes definidas) possuem a máscara padrão 255.255.0.0;

– Se a máscara utilizada é 255.255.255.0 quer dizer que a rede foi dividida em outras sub-redes, lembre-se de considerar a classe do endereço, e não a máscara.


Exemplos Classe B

● Endereço 172.16.0.0 255.255.255.0

1. Número de sub-redes: Números de “1s” após a máscara padrão, 255 = 8 “1s”, 2^8 = 256 sub-redes possíveis;

2. Número de hosts: Números de “0s”na máscara, o último octeto na mascara é 0, então temos 8 bits “desligados” “0s”, 2^8 -2 = 254 hosts possíveis em CADA uma das 256 sub-redes.

3. Intervalo de sub-redes: 256 – 255 = 1. As sub-redes, ocorrem de 1 em no terceiro octeto: 172.16.0.0, 172.16.1.0, 172.16.2.0, …, 172.16.255.0;

4. Endereço de broadcast por sub-rede: È o último endereço IP antes da próxima sub-rede: 172.16.0.255, 172.16.1.255, 172.16.2.255, …, 172.16.255.255;

5. Intervalo de hosts por sub-rede: tudo entre o endereço de sub-rede e o endereço de broadcast. 172.16.0.1 até 172.16.0.254 , 172.16.1.1 até 172.16.1.254 , …, 172.16.255.1 até 172.16.255.254.


Método Rápido

● Dados o endereço e máscara de rede a seguir, determine a que sub-rede ele pertence, qual o intervalo válido de hosts e qual o endereço de broadcast:

– 191.10.156.137 255.255.248.0● Esse método deriva do processo “AND” lógico

realizado pelos elementos de rede ao se depararem com um endereço IP e uma máscara de rede, e tem as seguintes regras:


Método Rápido

a)Sempre que um “255” for identificado na máscara, o valor correspondente do endereço ip será mantido;

b)Sempre que um “0” for identificado na máscara, esse “0” será repetido;

c)Se for diferente de “0” ou “255” na máscara, o valor será utilizado para calcular a sub-rede (“SuR”):

191 10 156 137

255 255 248 0

----------------------------------------------------------------

191 10 SuR 0


Método Rápido

● Para identificar a sub-rede:– 256 – 248 = 8 (intervalo de sub-redes, de 8 em 8)

– Depois, basta identificar qual a sub-rede que contém o valor definido no endereço IP (156);

– 8, 16, 24 … Se você for de 8 em 8 levará muito tempo para chegar ao resultado;

– O modo mais rápido trabalhar com múltiplos (de 8, neste caso), temos que chegar próximo de 156;

– 8 x 10 = 80, estamos mais perto de 156, se somarmos mais 80 temos 160 e passamos de 156, se subtrairmos 8 de 160 temos 152, agora sim, o endereço 156 está entre 152 e 160, a sub-rede então é a 152.

– SuR = 152

– TREINO, TREINO, TREINO


Exemplo Classe A

● Dados o endereço e máscara 17.5.53.27/19, determine a qual sub-rede ele pertence, qual o intervalo válido de hosts e qual o endereço de broadcast:– Método AND:

– Intervalo Sub-redes: 256 – 224 = 32

– Sub-rede que o endereço faz parte, SuR:● 32 * 2 = 64 (passou de 53) então é a sub-rede anterir a sub-rede anterior a

64 é a 32 (já que o intervalo de sub-redes é de 32 em 32);

17 5 53 27

255 255 224 0

17 5 SuR 0

17 5 32 0

SuR: 17.5.32.0 – Hosts: 17.5.32.1 até 17.5.63.254 – Broadcast 17.5.63.255


Hosts com final 0 e 255

● 10.0.0.0 máscara padrão 255.0.0.0– 10.0.0.0 = endereço da rede;

– 10.255.255.255 = endereço de broadcast;

– 10.0.0.1 = primeiro host válido

– 10.255.255.254 = último host válido

– Poderíamos então ter o endereço de host 10.0.2.255 por exemplo, e o 10.27.32.0 pois estão dentro do intervalo 10.0.0.1 até 10.255.255.254.


VLSM – Sub-redes de tamanho Variável

● VLSM (Variable Lenght Subnet Mask);● Criando sub-redes dentro de sub-redes;● Já vimos a criação de sub-redes dentro de uma

rede, VLSM leva esse processo um passo além;

● Permite a divisão das sub-redes geradas (uma, algumas ou todas) em sub-redes ainda menores.


VLSM – Sub-redes de tamanho Variável

● Vantagens:– Flexibilidade total;

– Condensação de “n” redes em apenas um endereço de rede (sumarização);

● Desvantagens:– Protocolos de roteamento mais antigos que só trabalham

com redes classful não conseguem “entender” esse tipo de rede;

– Mais complexo para o administrador de rede realizar o plano de endereçamento;


Exemplo VLSM

● Você tem apenas uma rede classe C: 192.168.13.0 e tem que dividir essa rede na topologia abaixo:

O exemplo passo-a-passo encontra-se no arquivo VLSM-EXEMPLO-01.pdf


Exemplo VLSM

Resumindo tudo o que fizemos, todas as divisões:

192.168.13.0/24 – Rede Original Classe C 192.168.13.0/25 – Alocado para a sub-rede Laranja 192.168.13.128/25 – Dividido em duas novas sub-redes

192.168.13.128/26 – Alocado para a sub-rede verde192.168.13.192/26 – Dividido em duas novas sub-redes

192.168.13.192/27 – Alocado para a sub-rede azul192.168.13.224/27 – Dividido em oito novas sub-redes

192.168.13.224/30 – Alocado rede vermelha192.168.13.228/30 – LIVRE 192.168.13.232/30 – LIVRE 192.168.13.236/30 – LIVRE 192.168.13.240/30 – LIVRE

192.168.13.244/30 – LIVRE 192.168.13.248/30 – LIVRE

192.168.13.252/30 – LIVRE


Classless InterDomain Routing (CIDR)

● CIDR define todo e qualquer IP sob a notação prefixal /xx;

● Permite ignorar completamente a regra das classes.

● Vantagens:– Os routers na Internet não precisam ter uma rota para

cada rede Classful associada a uma organização, mas apenas o prefixo que agrega todas elas;

– Maior flexibilidade e menor desperdício de endereços.


Exemplo CIDR

● Uma empresa precisa de uma rede com IP válido, com capacidade para 1500 hosts. A empresa recebeu o seguinte “bloco”: 201.20.48.0/21

● O endereço pertence à Classe C, porém com uma máscara de rede menor que a padrão de Classe C (/24 = 255.255.255.0, e a recebida é /21 = 255.255.248.0);

/21 = 255.255.248.0

11111111.11111111.11111000.00000000● Perceba que 3 bits na máscara padrão foram “desligados”

(transformados de “1s” para “0s”), ampliando o alcance da máscara.

O exemplo passo-a-passo encontra-se no arquivo CIDR-EXEMPLO-01.pdf


Sumarização

● Sumarização ou agregação de rotas permite que roteadores propaguem a informação de várias redes e sub-redes usando apenas uma rota sumarizada:

Router A Router B

172.16.10.0/24172.16.20.0/24172.16.30.0/24172.16.40.0/24172.16.50.0/24

172.16.0.0/24

O exemplo passo-a-passo encontra-se no arquivo SUMARIZACAO-EXEMPLO-01.pdf


Sumarização

Exemplo

● 10.1.12.0/24 - 00001100● 10.1.13.0/24 - 00001101● 10.1.14.0/24 - 00001110● 10.1.15.0/24 - 00001111

Padrão(bits que se repetem)

10.1.12.0/22


Hexadecimal

● Endereços IPv6 são notados nessa forma;● São números de base 16, um número

hexadecimal representa valores que no sistema decimal vão de 0 a 15;

● Números de 10 a 15 são representados pelas letras de A a F;

Decimal 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

Hexadecimal 0 1 2 3 4 5 6 7 8 9 A B C D E F


Hexadecimal

● Conversão binário para hexa:● 101110100

1) Agrupar os bits de 4 em 4, sempre partindo da direita para esquerda: 0001 0111 1100 (para completar, acrescente os zeros faltantes á esquerda do primeiro grupo, como foi feito aqui, para evitar confusão na hora dos cálculos);

2) Para determinar o número em hexadecimal, vamos fazer a conversão decimal de cada um dos grupos, de acordo com o valor posicional de cada bit (8,4,2,1): “0+0+0+1” “0+4+2+1” “8+4+0+0” = “1” “7” “12”;

3) Não temos o número 12 em hexadecimal. Ele é representado pela letra C;

4) O binário 101110100 em hexadecimal seria 0x17C.

Obs: O 0x serve para informar que o número a seguir é hexadecimal. O número 11 por exemplo pode ser tanto decimal quanto hexadecimal. 11 em hexadecimal equivale a 17 em decimal (00010001 = 0x11 e 16+1 = 17 em decimal).


Endereçamento IPv6

● Não existe classe, fronteira entre rede e host pode ocorrer em qualquer posição, e é determinado pela notação prefixal /xx;

● 8 grupos de 4 dígitos hexadecimais (chamados de duoctetos), separados por “:”;

● Cada duocteto tem uma extensão de dois bytes (ou 16bits):

0ffe: 5a67: 76b3: 0098: 0000: 0000: 0000: 8689Prefixo Global

(32 bits)Sub-rede ID

(32 bits)Interface ID (64 bits)


Endereçamento IPv6

● Os “0s” à esquerda em um duocteto podem ser omitidos, e uma sequência de duoctetos contendo “0s” pode ser substituída por “::” - mas apenas uma vez:

0ffe: 5a67: 76b3: 0098: 0000: 0000: 0000: 8689ffe: 5a67: 76b3: 98:: 8689

0ffe: 5a67: 0000: 0000: 1234: 0000: 0000: 8689ffe: 5a67: 0: 0: 1234:: 8689

Ouffe: 5a67:: 1234: 0: 0: 8689


Tipos de Endereços IPv6

● Não existe mais broadcast;● Unicast: Graças a grande quantidade de

endereços IPv6 existe a possibilidade de cada host ter um IP “válido” garantindo assim o modelo fim-a-fim, coisa que praticamente não temos com o IPv4, existem 3 tipos de endereço IPv6 unicast:– Global Unicast: Endereço Unicast público, roteável

na Internet. Apenas 13% dos endereços IPv6 possíveis pertencem a este grupo. Prefixo 2000::/3;



– Link Local: São designados no processo de autoconfiguração, são atribuídos automaticamente pela rede. Faz uso do MAC address na porção “Interface ID” (pega os 48 bits do MAC e adiciona mais 16 bits no formado FFFE, completando os 64 bits da porção “Interface ID”. EUI-64 é o nome dessa técnica. É por meio deste endereço que o host conseguirá utilizar serviços exclusivos IPv6 como, por exemplo, a descoberta dos roteadores da rede. Prefixo FE80::/64. O endereço tem significância apenas em sua rede, não sendo roteado.

– Unique Local: Como os endereços IPv4 privados, não são roteáveis na internet. Utilizado quando se deseja criar uma rede que não tenha conectividade com a internet. Prefixo FC00::/7



● Multicast: Um pacote IPv6 que tenha como destino um endereço multicast é recebido por todos os hosts associados a esse grupo;

● Anycast: São endereços compartilhados por alguns hosts, ex: servidores DNS com o mesmo IP anycast. Todos os hosts são configurados para buscar um único DNS, aquele servidor que estiver mais próximo atenderá a requisição.


Autoconfiguração IPv6 ● Autoconfiguração Link Local: Sempre vai adotar o prefixo FE80::/64.

● Para determinar os 64 bits restantes (Interface-ID), irá utilizar o MAC inserindo após a metade do endereço (bit 24) o valor 0xFFFE, de 16bits. Depois é preciso ativar, no primeiro byte, o bit número 7, isso irá disparar o processo de detecção de duplicidade de endereço.

00 CD 12 34 56 FF

00 CD 12 FF FE 34 56 FF

00 CD 12 FF FE 34 56 FF

02 CD 12 FF FE 34 56 FF

MAC original

MAC com 16 bits inseridos (EUI-64)

Endereço EUI-64 final, com a flag LOCAL (bit 7) ativada

0000 0000

0000 0010


Autoconfiguração IPv6 ● Autoconfiguração Global Unicast: Segue o mesmo processo

do Link Local para a determinação da porção de host (Interface ID). A diferença é que o prefixo de rede, será atribuído por um roteador;

● Assim que um host na rede se autoconfigura com um endereço IPv6 Link Local, é enviada uma mensagem Multicast “Router Solicitation” (RS) para todos os routers em seu segmento;

● Transportada via ICMPv6 com o endereço Link Local como origem e como destino o endereço multicast FF02::2 (“All IPv6 Routers”);

● Um router que receber essa mensagem irá responder com prefixo de rede associado a sua interface (“Router Advertisement” (RA)) e portanto o host deverá utilizar o mesmo prefixo.


Questões de Privacidade

● Como o MAC é utilizado no endereço IPv6 isso pode representar uma quebra de privacidade;

● Existe a possibilidade de rastrear por onde um host passou ou se conectou, isso pode ser indesejado;

● RFC3041 define a adoção de um “Interface ID” aleatório que expira de tempos em tempos;

● Windows já trabalha dessa forma;


Endereços de Transição

● Existe um formato de endereço IPv6 chamado “IPv4 mapped IPv6”;

● Possibilita a criação de endereços IPv6 em notação compatível com IPv4;

● Pode facilitar o processo de implementação de IPv6;– 80 bits iniciais = “ZERO”;

– 16 bits seguintes = “UM”;

– 32 bits finais = IPv4;

● EX: ::ffff:172.16.10.54


Endereços IPv6 Especiais

➔ ::0 – Endereço não especificado;➔ ::1 – localhost;➔ 2000::/3 – Global Unicast;➔ FC00::/7 – Unique Local;➔ FE80::/10 – Link Local;➔ FF00::/8 – Multicast;➔ FF02::2 – All IPv6 Routers;

➔ 2002::/16 – Prefixo usado no mecanismo de transição “6to4”, permite que endereços IPv6 trafegarem sobre uma rede IPv4 se a necessidade de se configurar túneis;


Sub-redes IPv6

● Segue os mesmos princípios do IPv4;● Não existe classes de endereços:● Processo de sub-redes IPv6:

1. Melhor prática deixar os 64 bits finais (“Interface ID”) para definição de hosts;

2. Cada bloco do IPv6 (duocteto) é composto de 4 dígitos hexadecimais, que totalizam 16 bits ou 2bytes de extensão. È composto por 8 desses blocos;

3. Não usam máscara de rede, somente a notação prefixal /xx.


Exemplo Sub-rede IPv6

● Recebemos o prefixo 2014:ABCD::/32 do NIC.br (o endereço pertence ao prefixo global unicast);

● Os últimos 64 bits serão reservados para os hosts (Interface ID);

● Sobram então 32 bits para criarmos nossas sub-redes;

● 2^32 = 4.3 bilhões de redes O_o.



● Criar 8 sub-redes partindo do prefixo global /32 que nos foi alocado:– 2 ^ x >= 8 | x = 3;

– Somamos o prefixo original ao valor encontrado: 32 + 3 = 35, o nosso prefixo agora é um /35;

– Geramos então 8 prefixos /35;

● O fato do IPv6 ser escrito em hexadecimal torna o trabalho de manipulação um pouco mais trabalhoso. Cada dígito é representado por 4 bits. De 0000 até 1111, e cada posição tem o valor de 2^3, 2^2, 2^1 e 2^0 ou simplesmente 8, 4, 2 e 1.


Exemplo Sub-rede IPv6● 2014:ABCD::/35

– 2014:ABCD:0000: ...

8 4 2 1 Terceiro bit = 2, os prefixos então ocorrem de 2 em 2 neste conjunto de 4 bits (neste dígito hexadecimal)

● 2014:ABCD:0000:0000:0000:0000:0000:0000● 2014:ABCD:2000:0000:0000:0000:0000:0000● 2014:ABCD:4000:0000:0000:0000:0000:0000● 2014:ABCD:6000:0000:0000:0000:0000:0000● 2014:ABCD:8000:0000:0000:0000:0000:0000● 2014:ABCD:A000:0000:0000:0000:0000:0000● 2014:ABCD:C000:0000:0000:0000:0000:0000● 2014:ABCD:E000:0000:0000:0000:0000:0000



● Criando um prefixo /42 agora, pegando então 10 bits para criar sub-redes, 2^10=32 (sub-redes);

● 2014:ABCD::/42

– 2014:ABCD:0000: ...

8 4 2 10 1 0 0

● 2014:ABCD:0000:0000:0000:0000:0000:0000● 2014:ABCD:0040:0000:0000:0000:0000:0000● 2014:ABCD:0080:0000:0000:0000:0000:0000● 2014:ABCD:00C0:0000:0000:0000:0000:0000● 2014:ABCD:0100:0000:0000:0000:0000:0000● 2014:ABCD:0140:0000:0000:0000:0000:0000● 2014:ABCD:0180:0000:0000:0000:0000:0000● …● 2014:ABCD:FFC0:0000:0000:0000:0000:0000

8 4 2 10 0 0 0

8 4 2 10 0 0 0 Ativo esse bit, pois ele é o 10, que

representa 4


Introdução IOS


Cisco IOS

● Internetwork Operating System;● Sistema operacional de grande parte dos

dispositivos Cisco;● O IOS implementa e gerencia uma série de funções:

– Protocolos e serviços de comunicação;

– Processos de roteamento de dados;

– Mecanismos de segurança;

– Gerenciamento do hardware;


Cisco IOS

● Hoje em dia temos versões mais robustas do IOS, projetadas para atuar e, roteadores e switches de alto desempenho:– IOS-XE: Modularização do kernel e memória, cada

processo opera de forma independente, caso trave, não afeta outro processo. Não é cobrado no CCNA;

– IOS-XR: Muito mais que uma variante multiprocessada do IOS. Implementa mudanças significativas no processo de configuração dos elementos. As configurações precisam ser aplicadas e podem ser desfeitas. Permite também virtualização. Não é cobrado no CCNA;


Modelo de Licenciamento IOS

● Até a versão 15, havia cerca de oito “distribuições”, a versão Advanced Enterprise seria a versão completa;

● Quanto mais features mais memória o software precisa, saindo então de uma versão IP Base para Advanced Enterprise, provavelmente será necessário aumentar a memória do device;

● Árvore de versões do IOS até a versão 15;



Advanced Enterprise Services(incorpora TODAS as funcionalidades abaixo)

IP BaseConectividade, protocolos e serviços básicos

Advanced IP Services(+) IPv6

Enterprise Services(+) FULL IBM support

Advanced Security(+) IPSec, 3DES, FW,

IDS, VPN, SSH

Enterprise Base(+) Multiprotocolo,

IBM support

SP Services(+) MPLS, ATM, SSH

VoATM

IP Voice(+) VoIP, IPT, VoFR



● Até a versão 15 não existia um controle rigoroso de licenciamento;

● A partir da versão 15 isso mudou radicalmente , existe a versão universal, com todos os recursos, caso queira habilitar algum recuso avançado basta comprar aquela licença;

● Caso queira desbloquear todos os recursos basta adquirirmos as licenças: DATA, UC e SEC;

● Cada chave de ativação é associada a um ID único do roteador, de modo que uma licença gerada para um roteador não pode ser usada em outro;



IP Base (versão universal)Conectividade, protocolos e serviços básicos

DATAMPLS. IBM, ATM,

Multiprotocolos

UCVoIP, IP, Telephony

SECIPSec, 3DES, FW,

IDS, VPN, SSH

Lic

ença

Lic

ença

Lic

ença

Recursos IOS da versão 15 em diante


Terminologia

● PAK (Product Authorization Key): chave de ativação usada no processo de ativação de um produto Cisco sempre que novas licenças são adquiridas;

● SKU (Stock Keeping Unit): código de identificação que identifica de forma única um item licenciável. Um PAK pode conter vários SKUs;

● UDI (Unique Device Identifier): código de identificação gerado pela Cisco para identificar um elemento. Composto pelo número serial, ID e versão;

● License File: Arquivo que dá p direito de uso de determinado SKUs em um dispositivo. Para gerar esse arquivo, SKUs são associados a um determinado UDI.


Tipos de Licenças

● Perpetual/Permanent: uma vez ativada, é permanente e válida somente no dispositivo onde foi ativada. Não é preciso renová-la e eventuais atualizações são disponibilizadas sem custo adicional;

● Temporary: validade de 60 dias, classificada em duas:– Evaluation: pode ser utilizada para testar funcionalidades.

Tempo de 60 dias pode ser estendido;

– Emergency: Situações em que é preciso ativar um novo dispositivo na rede.

● As licenças podem ter o status: Active (in use) ou Inactive


Instalação e Ativação de Licenças

● Existe basicamente 4 caminhos para instalar e ativar licenças em roteadores Cisco:

1. Aquisição do equipamento com a licença pré-instalada: a licença desejada é incluída no pedido. O equipamento é fabricado de acordo com as especificações, a licença é instalada e pré-ativada. O equipamento chega pronto para uso.



2. Cisco License Manager (CLM): Plataforma gratuita distribuída pela Cisco par a gestão centralizada de licenças.

Modelo cliente e servidor, pode automatizar o processo de aquisição e ativação de licenças.

1.Adquire o PAK necessário;

2.PAK e UDI do device são inseridos no CLM;

3.O CLM envia as informações para o portal de licenciamento Cisco;

4.O portal gera e encaminha o arquivo de licença por e-mail;

5.O arquivo recebido é transferido para o CLM, que instala e ativa no dispositivo.



3. Processo manual via linha de comando (CLI): você adquiri a licença via Portal de Licenciamento e manualmente instala e ativa no device:

1.Adquire o PAK necessário;

2.PAK e UDI do device são inseridos no portal;

3.O portal identifica os componentes (SKUs) do PAK e aguarda que você associe o UDI ao SKU desejado;

4.O portal gera e encaminha o arquivo de licença por e-mail;

5.O arquivo recebido deve ser manualmente instalado e ativado no dispositivo que possui o mesmo UDI registrado no processo.



4 – Processo “Call Home”: opera no modelo cliente-servidor, o router é o cliente e o servidor estaria na infraestrutura de licenciamento Cisco. Pode ser iniciado via linha de comando e é totalmente interativo. Pode ser usado para:– Instalar e atualizar uma licença;

– Transferir uma licença;

– Solicitar que uma licença seja reenviada.


Comandos Relacionados1.Para identificar o UDI:#show license udi

2.Para verificar os tipos e status das licenças instaladas:#show license all

3.Para verificar os recursos disponibilizados pela licença:#show license feature

4.Para instalar um arquivo de licença que se encontra na meória flash do dispositivo:# license install flash0: nomedoarquivo.xml# reload

5.Para desinstalar uma licença:# license boot module c2900 technologypackage uck9 disable# reload# license clear uck9# conf t# no license boot module c2900 technologypackage uck9 disable


Visão Geral - Roteador

● Roteadores diferem entre si basicamente em relação à capacidade, escalabilidade, flexibilidade, tipos de serviços suportados e desempenho;

● CCNA, família ISR G2 (Integrated Services Router, Generation 2), equipamentos 1900, 2900 e 3900.


Acesso ao Dispositivo● O acesso ao IOS via linha de comando (CLI) é conhecido

como “sessão EXEC”;● Quando um dispositivo não possui nenhuma configuração a

sessão EXEC deve ser estabelecida através da porta console;● Console: Acesso serial direto ao equipamento, que não requer

um endereço IP;● È uma porta RJ-45 e deve ser acessada com um cabo

especial chamado “rollover” ou cabo console, na outra ponta há um conector DB-15 fêmea, nas máquinas novas que não possuem a saida DB-15 é necessário um conversor USB;

● Nas linhas mais novas a console pode ser acessada diretamente por um cabo USB;


Acesso ao Dispositivo

● Inicialmente não existe senha pré-configurada para essa porta;

● Um emulador de terminal é utilizado para a conexão com a porta console:



● Um outro mode de conexão ao dispositivo é através da porta auxiliar;

● Funciona praticamente da mesma forma que a porta console, a diferença é que podemos configurar comandos de modem para que um acesso remoto “out-of-band” seja realizado;

● Discamos para aquele modem (via PSTN(rede de telefonia)) e fazemos a configuração, muito útil quando perdemos a conectividade via rede IP;



● O terceiro modo de se conectar a um dispositivo pe via acesso “in-band”;

● Simplesmente estabelecendo um sessão Telnet ou SSH ao endereço IP configurado no equipamento;

● O acesso Telnet ou SSH tem como destino um endereço IP e não uma interface física específica;


Rotina de Inicialização

● Ao ligar um roteador Cisco, ele executa um script de checagem geral do hardware chamado POST (Power On Self Test);

● Se passar ele irá procurar e carregar uma imagem válida do IOS na memória flash (memória flash do router = HD do seu PC);

● Os módulos de sistema do IOS serão carregados na RAM, que então, verifica se existe algum arquivo de configuração (startup-config) na memória NVRAM (memória não volátil);

● Se não existir arquivo de configuração, o modo setup é inicializado (modo setup é um modo de configuração interativo do router);


Relação das Memórias

Tipo de memória Conteúdo armazenado

RAM- Módulos ativos do sistema operacional- Tabelas diversas (ex: roteamento)- Configurações ativas no equipamento

NVRAM - Startup-config (configuração previamente salva)

ROM

- POST- bootstrap- Modo ROMMON – Versão emergencial (e limitada) do IOS para uso em recuperação de falhas

Flash - Imagem do sistema Cisco IOS


A Interface de Comando CLI

● Modo mais completo de configuração;● Mais opções e maior poder de customização;● Todo e qualquer comando inserido via CLI tem

efeito imediato no dispositivo;● Antes de “apertar o enter” pense bem,

principalmente em uma rede em produção;


A Interface de Comando CLI● Ao acessar um roteador sem qualquer configuração prévia, você

irá se deparar com um série de mensagens informativas durante o boot;

● Depois o “System Configuration Dialog” aparecerá, perguntando se você gostaria de entrar no modo “setup”;

● Você pode responder “no” ou pressionar “Ctrl-C”;



O prompt “>” indica que você se encontra no “modo EXEC usuário”, que é um modo limitato (“view only”); Não é possível alterar nada nesse modo;

Para acessar o “modo EXEC privilegiado” basta inserir o comando “enable” e pressionar ENTER.Repare que agora o prompt mudou de “>” para “#”



● È importante saber diferenciar os prompts nos quais os comandos são digitados;

● “>” Modo usuário; “#” Modo privilegiado;● A maior parte dos comandos de modo privilegiado não funciona no

modo usuário;● Nos prompts EXEC (“>” ou “#”), apenas comandos que não

alterem as configurações são permitidos (normalmente, comandos de gerência, verificação ou “debugs”).

Uma vez no modo usuário, digitando-se o comando “logout” ou “exit”, você encerra a sessão ativa;


Recursos de AjudaUtilizando um ponto de interrogação (?) em qualquer prompt (e em qualquer modo) obtemos uma lista dos comandos aceitos;

Permite identificar quais os parâmetros ou subcomandos aceitos após um determinado comando;

Quando erramos a digitação de um comando, ou faltando algum parâmetro, a CLI nos passa dicas para identificarmos e corrigirmos o erro;


Reunindo Informações

● O CCNA aborda apenas uma pequena parcela de comandos, ainda assim, é bastante coisa;

● O comando “show” (abreviado como “sh”) é um comando utilizado com muita frequência;

● Executado no prompt EXEC (“>” ou “#”) e, portanto, apresenta informações;

● Não interfere na configuração do equipamento;


Reunindo Informações

● #sh version● #show runningconfig (ou “sh run”)● #sh run int f0/1● #sh startupconfig (“sh start”)● #sh flash● #sh interfaces (“sh int”)● #sh history● #sh run | ? (Utilizando Filtros)● #sh run | inc interface | duplex


Modo de ConfiguraçãoPara conseguirmos fazer uma alteração na configuração de um dispositivo, devemos entrar no prompt (ou modo) de configuração;

O primeiro nível de configuração é o global, acessado pelo comando “configure”, ou “conf”;

Quaisquer configurações feitas neste prompt afetarão o sistema como um todo;

“terminal” (padrão): Para alterar as configurações ativas na RAM (running-config);

“memory”: Para alterar as configurações armazenadas na NVRAM (startup-config);

“network”: Substitui nossa configuração ativa (running-config) por uma armazenada na NVRAM (“em”) ou em um servidor de rede (“net”).


Modo de Configuração

● Conforme acessamos elementos específicos – como interfaces ou protocolos – para configurá-los, os prompts de configuração vão se alterando;


Modo de Configuração● Grupos de elementos específicos terão comandos e

configurações próprios;● Em uma interface de um router poderia configurar

um IP, mas em uma configuração de cadastro de login essa informação não faria sentido;

● Comandos EXEC não funcionarão se inserido em outros prompts, comandos de modo GLOBAL também não.

● Comando “do”, para executar comandos “EXEC” em modo global;


Atalhos de Edição

Atalho / Tecla Função

Ctrl+A Move o cursor para o início da linha.

Ctrl+E Move o cursor para o final da linha.

ESC+B Move o cursor uma palavra para trás.

Ctrl+F Move o cursor um caractere para frente.

ESC+F Move o cursor uma palavra para frente.

Ctrl+D Deleta um caractere à frente.

Backspace Deleta um caractere para trás.

Ctrl+R Reapresenta a linha em edição.

Ctrl+U Apaga a linha em edição.

Ctrl+W Deleta uma palavra para trás.

Ctrl+Z Finaliza o modo de configuração e volta para EXEC

Tab Completa a digitação de um comando


Configuração do Relógio● O acerto e sincronização do relógio do roteador é importante,

uma vez que todas as mensagens (logs) são registradas com dia, mês, ano e hora do evento; manualmente ou via NTP;


Usuários, Senhas e Privilégios

● Roteadores e Switches Cisco vêm de fábrica sem qualquer tipo de senha de acesso configurada;

● Temos basicamente dois tipos de senhas:– Senhas de modo usuário;

– Senhas de modo privilegiado;


Usuários, Senhas e Privilégios

● Senhas de modo usuário são aquelas solicitadas antes mesmo do prompt EXEC de modo usuário (>) ser apresentado;

● Devem ser configuradas em todos os locais que permitam acesso ao dispositivo (portas console, auxiliar, linhas virtuais (“VTY”) que permitem o acesso remoto (Telnet, SSH);

● Configurando (Console, Auxiliar e VTY) para pedir senha:


Usuários, Senhas e PrivilégiosSenhas modo Usuário

Router#config tRouter(config)#line aux 0Router(config-line)#password ciscoRouter(config-line)#loginRouter(config-line)#exitRouter(config)#line console 0Router(config-line)#password ciscoRouter(config-line)#loginRouter(config-line)#exitRouter(config)#line vty 0 15Router(config-line)#password ciscoRouter(config-line)#loginRouter(config-line)#exitRouter(config)#service password-encryption

16 linhas “virtuais” telnet

Sem esse comando as senhas aparecem em texto puro na configuração


Usuários, Senhas e PrivilégiosSenhas modo Privilegiado

● A senha será solicitada ao digitarmos o comando “enable”;

Router#config tRouter(config)#enable secret ciscoRouter(config-line)#exit


Usuários, Senhas e PrivilégiosVários Usuários

Router#config tRouter(config)#username gustavo secret1Router(config)#username bruno secret2Router(config)#username rodolfo secret3Router(config)#line aux 0Router(config-line)#login localRouter(config-line)#line console 0Router(config-line)#login localRouter(config-line)#line vty 0 15Router(config-line)#login localRouter(config-line)#exit


Usuários e Privilégios● O IOS permite trabalhar com até 16 níveis de privilégio

distintos (0 a 15);– Conhecemos o level 1 (Modo usuário) e level 15 (Modo

privilegiado);● Quando um usuário acessa um dispositivo ele automaticamente

é colocado em level 1, ao digitar enable ele acessa o nível 15;

– O nível 0 raramente é usado, pois permite somente a execução de 5 comandos no modo EXEC: “disable”, “enable”, “exit”, “help” e “logout”;

– Os modos intermediários (2 e 14) podem ser usadas para definir manualmente quais comandos serão ou não permitidos e em quais modos;

– O comando “show privilege” apresenta qual nível de privilégio no qual nos encontramos.


Usuários e Privilégios Exemplos

R1#conf tR1(config)# enable secret level 7 ciscoR1(config)#exitR1> en 7R1(config)# line con 0R1(config-line)# login localR1(config-line)#exitR1(config)# username dunha privilege 5 secret abcdR1(config)# line con 0R1(config-line)# privilege level 5R1(config-line)#exitR1(config)# privilege exec level 5 pingR1(config)# privilege exec level 5 tracerouteR1(config)# privilege exec level 5 configure-terminalR1(config)# privilege configure level 5 interfaceR1(config)# privilege interface level 5 ip address

Apenas definindo a senha cisco para o privilégio 7 e depois entrando em nivel 7 (en 7)

Habilitando a verificação local de usuário e senha ao entrar via console

1

2

3

4

5

Exemplo

s

Criando o usuário dunha com privilégio 5 e senha abcd

A linha console terá o privilégio padrão 5 agora (de fábrica é 1)

Definindo comandos do privilégio 5. Vale ressaltar que todos os comandos liberados em níveis mais baixos também são permitidos pelos mais altos, o contrário também se aplica, se bloquearmos algum comando em um nível superior ele também é bloqueado nos níveis inferiores.


Configurações AdministrativasRouter#config tRouter(config)#hostname RTRBRRJO01RTRBRRJO01(config)#int f0/0RTRBRRJO01(config-if)#descr CONEXAO RJ-SP CIR0RTRBRRJO01(config-if)#exitRTRBRRJO01(config)#banner exec %Enter TEXT message. End with the character '%'.ESTE ROTEADOR PERTENCE A EMPRESA XYZACESSOS NAO AUTORIZADOS SERAO LOGADOSACESSO PERMITIDO SOMENTE A PESSOAS AUTORIZADASCONTATO: 311234-5678EMAIL: [email protected]%RTRBRRJO01(config)#exit

mailto:[email protected]


Configuração de Interfaces● Diferentes modelos de roteadores utilizam diversos

métodos para identificação de suas interfaces e módulos, uma vez que especificações físicas variam de modelo para modelo e de acordo com as placas de expensão instaladas;

● Em caso de dúvida basta utilizar o help (?);

Serial 0/2/1

SLOT NO CHASSI

MÓDULO DO SLOT

PORTA NO MÓDULO

2 1 0 2 1 0

2 1 0 2 1 0

2 1 0

SLOT 0SLOT 1

1 0

2 1 0

Visão traseira de um router


Configuração de Interfaces


Configuração de Endereçamento IP em Interfaces

● Todas as interfaces em um router encontram-se desativadas (shutdown);

● Para configurar um IP em uma interface:Router(config)#int gigabitethernet 0/0Router(configif)#ip address 192.168.100.1 255.255.255.0Router(configif)#no shRouter(configif)#exitRouter#sh run int g0/0Router#sh int g0/0Router#sh int summaryRouter#sh ip int brief

Ativando a interface – no shutdown

Comandos de verificação

Configurando o IP


Backup e Restauração de Configuração e Arquivos

● O arquivo de configuração é um arquivo texto comum, toda linha que começa com “!” será ignorada;

● A configuração ativa fica na memória RAM, se você realizar alguma alteração na configuração e der um boot no router as alterações serão perdidas;

● Para isso não acontecer basta copiar a configuração ativa na RAM (running-config) para a NVRAM (startup-config):

Router#copy run startRouter#copy run tftp

Copiando da running-config para startup-config

Copiando da running-config para servidor TFTP


Backup e Restauração de Configuração e Arquivos

Router#copy tftp runRouter#erase startRouter#copy start runRouter#write memoryRouter#wrRouter#show flashRouter#copy flash tftpRouter#copy tftp flashRouter#boot system flash [nome do arquivo]

Copia o arquivo de configuração de um servidor TFTP para a Running-config do roteador

Apaga a configuração na NVRAM (startup-config)

Copia a configuração da NVRAM para RAM

Mesma coisa do copy run start – Copia a configuração da running-config para startup-config

Exibe o conteúdo da memória flash

Copia algum arquivo da flash para o TFTP

Copia algum arquivo da TFTP para o flah

Seleciona qual imagem do IOS será utilizada no boot do router


Cisco Configuration Professional (CCP)

● Alternativa ao uso do CLI (Command Line Interface);● Configuração via interface WEB;● CCP Express e Full;● É necessário preparar o router para usar o CCP com os comandos:

#ip http server#ip http secureserver#ip http authentication local#ip http timeoutpolicy idle 60 life 86400 requests 10000#username gustavo privilege 15 password 0 abcd#line vty 0 15#login local#exit


Roteamento IP


Roteamento IP

● Um conjunto de regras que definem como dados originados em uma determinada rede devem alcançar uma rede distinta;

● Para conseguirmos transmitir dados de uma rede IP para outra, um roteador precisa fazer o direcionamento dos pacotes, analisando seus cabeçalhos e consultando a rota para a rede IP de destino em sua tabela de roteamento;

● Não é papel do roteador encaminhar pacotes originados em uma rede IP para a mesma rede (isso é papel do switch).


Roteamento IP

● Traceroute, lista as rotas tomadas por um pacote IP até uma rede remota;– Funciona enviando ao destino indicado um grupo

de 3 pacotes (por isso temos 3 estatísticas para cada linha de saída);

– Para cada grupo de pacotes enviado o traceroute manipula o valor do campo TTL (Time to Live);


Roteamento IP● Exemplo Traceroute:1.

1.1.

1

2.2.

2.2

3.3.

3.3

4.4.

4.4

R1 R2 R3

TTL=1

MSG erro ICMP

TTL=2

MSG erro ICMP

TTL=3

MSG erro ICMP

TTL=4

ICMP echo response

Saltos

1 1.1.1.1

2 2.2.2.2

3 3.3.3.3

4 4.4.4.4


O Processo de Roteamento

● Determina como um pacote de dados gerado por um dispositivo em uma rede deve ser encaminhado para um dispositivo em outra;

● O papel dos routers é conhecer os caminhos para as diversas redes e saber como implementar o processo de roteamento;

● Para isso o router deve ter conhecimento de, no mínimo, o seguinte:– Endereço IP da rede destino;

– Endereço IP dos routers vizinhos (neighbors);



● Por padrão, um router já sabe como alcançar todas as redes que se encontram diretamente conectadas a ele;

● O router “aprende” sobre rotas para redes remotas (que não estão diretamente conectadas a ele) – através da comunicação com routers vizinhos

(roteamento dinâmico);

– Ou por intermédio do administrador de rede (roteamento estático);



R1

PC A172.16.50.2

PC B172.16.60.2

Rede 172.16.50.0 Rede 172.16.60.0

F0/1 - 172.16.60.1F0/0 - 172.16.50.1

> ping 172.16.60.2


Configuração de IP em Roteadores

192.

168.

12.0

/24

192.

168.

23.0

/24

.1.1

.2 .2 .3 .3192.168.0.0/24

192.168.30.0/24


Confiabilidade das Rotas

● As rotas podem ser “aprendidas” de diversas maneiras;

● Dependendo da forma como a rota foi instalada na tabela de roteamento, ela terá um grau de confiabilidade maior ou menor;

● O termo “Distância Administrativas” (ADs) determina um conjunto padrão de valores usados para classificar a confiabilidade das informações de roteamento recebidas ou nele configuradas;


Confiabilidade das Rotas

Origem da Rota Confiabilidade (AD) padrão

Rede diretamente conectada (interface) 0

Rota estática 1

EIGRP summary 5

EIGRP Interna 90

OSPF 110

RIPv1 ou v2 120

EIGRP Externa 170

Desconhecido / inalcançável 255

Quanto maior pior ou quanto menor melhor


Roteamento Estático

● Consiste na configuração manual dos routers pelo administrador da rede;

● Vantagens:– Menor consumo de memória e CPU no router;

– Não há utilização de largura de banda para troca de informações de roteamento entre os routers;

– Maior controle da rede.

● Desvantagens:– O Administrador precisa, efetivamente, possuir um profundo conhecimento

da rede como um todo;

– Para cada nova rede adicionada, o administrador deve, manualmente, adicionar uma rota para a mesma em cada um dos routers pertinentes;

– Inviável em redes de grande porte.


Roteamento Estático

#R1(config)#ip route 192.168.0.0 255.255.255.0 10.17.20.1 2

Rede que você quer chegar (destino) e máscara

Próximo SaltoEndereço IP ou Interface de Saída Opcional, utilizado

para alterar o valor padrão da Distância Administrativa

192.

168.

0.0/

24

R1 R210.17.20.110.17.20.2


Configuração de Rotas

192.

168.

12.0

/24

192.

168.

23.0

/24

.1.1

.2 .2 .3 .3192.168.0.0/24

192.168.30.0/24


Roteamento Default

● Existirão situações nas quais você terá de informar um router, para, ao invés de descartar os pacotes destinados a redes que não se encontram em sua tabela de roteamento;

● Será utilizado apenas quando nenhuma rota mais específica estiver presente;

● Qualquer pacote com destino a uma rede que não se encontre explicitamente inserida na tabela de roteamento será encaminhada para o próximo salto indicado pela rota default (se estiver configurada);


Roteamento Default#R1(config)#ip route 0.0.0.0 0.0.0.0 10.20.25.254

Significa TODAS as redes possíveisPróximo Salto: Endereço IP ou Interface de Saída

R1 R210.17.20.210.17.20.1

SW SW

INTERNET

Firewall10.20.25.254

192.168.10.0/24 192.168.20.0/24

Tudo que tiver destino diferente das redes 192.168.10, 192.168.20, 10.20.25 e 10.17.20 será encaminhado para o firewall


Roteamento Dinâmico● Utiliza protocolos de roteamento para mapear a rede e atualizar

automaticamente as tabelas de roteamento dos routers;● Vantagens:

– Simplifica bastante o processo de configuração da rede;

– Viável em redes de médio e grande porte;

● Desvantagens:– Utiliza largura de banda nos links entre routers para troca de

informações de roteamento (routing updates);

– Requer maior utilização da CPU e memória do router;

– Por ser um processo automatizado, se não for realizado com muito planejamento e total compreensão, pode causar problemas na rede.


Roteamento Dinâmico

● Protocolos de roteamento definem as regras a serem utilizadas por um router no processo de comunicação com routers vizinhos para troca de informações sobre rotas;

● Escopo CCNA:– RIP (Routing Information Protocol);

– OSPF (Open Shortest Path First);

– EIGRP (Enhanced Interior Gateway Routing Protocol);

● Os protocolos são agrupados em duas categorias:– IGP (Interior Gateway Protocol);

– EGP (Exterior Gateway Protocol);



● IGP:– Utilizado na troca de informações de roteamento

entre routers pertencentes a um mesmo domínio administrativo de roteamento (mesmo AS);

● EGP:– Utilizado na comunicação entre routers

pertencentes a domínios (AS) distintos;

– Atualmente somente o BGP entra nessa categoria, todo o resto é considerado IGP.


Tipos de Protocolos de Roteamento

● Protocolos de roteamento distintos adotam métodos diferentes para a definição da melhor rota;

● Esses métodos são chamados de métricas;● Métrica de Roteamento:

– Resultado de cálculos matemáticos executados pelos protocolos sobre as informações coletadas sobre as rotas que chegam até eles, encaminhadas pelos routers vizinhos;


Tipos de Protocolos de Roteamento

● Um roteador pode receber várias rotas apontando para uma mesma rede remota;

● Cabe ao protocolo de roteamento determinar qual das rotas aprendidas possui a melhor métrica;

● Essa rota será a escolhida para popular a tabela de roteamento, as outras ficam em standby caso a rota primária falhe;



● Falhas: Quando uma rota deixa de existir na tabela de roteamento. Isso pode ocorrer por uma série de fatores:– Queda de uma interface;

– Distância administrativa menor;

– Remoção nas atualizações de roteamento; (roteador vizinho que propagou a rota não tem mais a mesma)

– Remoção manual;



● Os protocolos de roteamento são classificados de acordo com a métrica utilizada, e podem ser agrupados em três classes:– Distance Vector;

– Link State;

– Hybrid.



● Distance Vector:– Utilizam a contagem de saltos entre origem e destino como

métrica para definição do melhor caminho;

– Quanto menor o número de saltos, melhor a rota (isso pode causar problemas);

– Operação simples e limitada;

– Enviam suas informações de roteamento para todas as interfaces ativas, não importando se há um router ou qualquer outro dispositivo na outra ponta, ou seja, não há o conceito de vizinhança (neighbor).

– Ex: RIP



● Link State:– Métricas mais eficientes e complexas para determinação do

melhor caminho para uma rede remota e operam de uma forma mais estruturada;

– Estabelecem uma relação de vizinhança com os routers vizinhos antes de inciar o processo de envio das informações de roteamento;

– Produzem e gerenciam três diferentes tabelas:

1)Tabela de Routers vizinhos;

2)Tabela de Topologia lógica da rede (uma visão de toda a rede);

3)Tabela de roteamento. Ex: OSPF



● Hybrid– Inclui protocolos de roteamento que possuem

características de ambas as classes anteriormente tratadas.

– Ex: EIGRP, proprietário Cisco, mas vai se tornar aberto por interesse da própria fabricante.



● Protocolos de roteamento distintos podem coexistir em um mesmo router mas não conversam entre si;

● Rotas aprendidas via EIGRP não serão automaticamente compreendidas pelo OSPF por exemplo;

● Como escolher o melhor para a sua rede?


Problemas Típicos em Protocolos Distance Vector

● Elevado tempo de convergência:– Como as tabelas são enviadas apenas em

períodos de tempo predefinidos, a rede deve aguardar este tempo para identificar uma eventual alteração nas rotas;

– Podemos ter também o problema abaixo:

R2 R410M R6

R1

R3 R5

R7

10M 10M

10M

1M1M

1M


Routing Loops● A lenta convergência dos protocolos de roteamento distance

vector pode causar atualizações inconsistentes nas tabelas de roteamento, o que pode levar pacotes a serem encaminhados continuamente pela rede, em um ciclo perpétuo (loop);

R1 R2 R3Rede 20Rede 10Rede 0

Rede 30

Route Table R3

R C M

0 R2 2

10 R2 1

20 S0/1/0 0

30 G0/0 0

Route Table R2

R C M

0 R1 1

10 S0/1/0 0

20 S0/1/1 0

30 R3 1

Route Table R1

R C M

0 G0/0 0

10 S0/1/0 0

20 R2 1

30 R2 2

Route Table R2

R C M

0 R1 1

10 S0/1/0 0

20 S0/1/1 0

30 R1 3

S0/1/0S0/1/1 G0/0S0/1/0S0/1/0G0/0

Momento 1

Momento 2

Momento 3Loop para a rede 30


Inibição de Loops

● Maximum Hop Count: Contagem máxima de saltos. Protocolos distance vector como o RIP, adotam uma contagem máxima de saltos de 15, qualquer destino que estiver a mais de 15 saltos de distância será considerado inalcançável portanto;

● Horizonte Dividido (Split Horizon): Uma atualização de roteamento jamais poderá ser encaminhada de volta na mesma interface e direção que foi recebida, recurso já vem habilitado por padrão, desativa com o “no ip split-horizon”;


Inibição de Loops

● Triggered Updates (Flash Updates) e Route Poisoning: Assim que uma rota torna-se inacessível, o roteador afetado dispara um update imediato para seus vizinhos anunciando essa rota com uma métrica “infinita” (route poisoning);

Essa atualização é enviada para todas as interfaces ativas do router e ignora a regra do split horizon (no ex anterior o “flash update” sobre a rota “envenenada” para a rede 30 enviado por R2 de volta ao R3, neste caso recebe o nome de poison reverse)


RIP

● Distance Vector;– Três versões:

● Versão 1;● Versão 2;● RIPng (Criada para uso com IPv6);

– Em todas as versões:● Encaminha a sua tabela de roteamento completa para

todas as suas interfaces a cada 30 segundos;● Sua métrica é a contagem de saltos;● Limite de 15 saltos até uma rede destino;


RIP TimersRoute Update Timer 30sRoute Invalid Timer 180s ( 6 * Route Update)

Route Holddown Timer 180s ( 6 * Route Update)

Route Flush Timer 240s ( 8 * Route Update)

R2 R3Rede 20 Rede 30

Route Table R3

R C M

0 R2 2

10 R2 1

20 S0/1/0 0

30 G0/0 0

Route Table R2

R C M

0 R1 1

10 S0/1/0 0

20 S0/1/1 0

30 R3 1

S0/1/0S0/1/1 G0/0


Timers (Temporizadores)

● Coordenam os intervalos dentro dos quais algumas ações devem ser tomadas, e ajudam a manter a integridade das informações de roteamento em uma rede, em distance vector temos 4 principais:– Update Timer: Determina o intervalo no qual os updates

de roteamento devem ser enviados aos vizinhos (RIP = 30s);

– Invalid Timer: Intervalo após o qual uma rota é colocada em modo “holddown” (RIP = 6 update = 180s). Se um router não receber um update sobre uma rota existente após esse intervalo ele assumirá que algo deu errado;



– Holddown Timer: Agem na prevenção de mudanças repentinas nas informações de rotas, garantindo um tempo mínimo para que a rede se estabilize antes de aceitar mais informações.

● Uma rede é colocada em holddown quando o “invalid timer” associado a ela expira;

● Assim que uma rota é colocada em modo holddown o router envia um flash update contendo o route poisoning para esta rota por todas as interfaces ativas;

● O próprio router irá manter essa rota em sua tabela até que o flush timer associado a ela expire, mas a marcara como “probably down”. Durante o holddown qualquer nova atualização sobre essa rota será ignorada;

● RIP – Holddown timer = 180s



– Flush Timer: Determina quanto tempo após o último update válido recebido uma rota deverá ser eliminada da tabela de roteamento.

● RIP = 240s


RIP version 1

● RFC original de 1988;● Limitações:

– CLASSFUL, não é compatível com máscaras variáveis (VLSM ou CIDR). Não transporta informações sobre máscaras de rede em suas atualizações;

– Envia suas tabelas via broadcasts periódicos, tendo uma utilização desnecessária de largura de banda em links que não tenham roteadores RIP na outra ponta;


RIP version 1

● Protocolos CLASSFUL, antes de incluir uma rede em seu update, verificam se a máscara adotada é consistente com a máscara configurada na interface que irá originar o update;

● Posso então utilizar sub-redes, desde que todas tenham a mesma máscara;

● Executam uma sumarização automática das sub-redes identificadas no router, encaminhando em suas atualizações apenas informações da rede CLASSFUL correspondente;


Configuração RIPv1

192.

168.

12.0

/24

192.

168.

23.0

/24

.1.1

.2 .2 .3 .3192.168.0.0/24

192.168.30.0/24

R1#config tR1(config)#no ip route 192.168.23.0 255.255.255.0 192.168.12.2R1(config)#no ip route 192.168.30.0 255.255.255.0 192.168.12.2R1(config)#router ripR1(config-router)#network 192.168.0.0R1(config-router)#network 192.168.12.0


Limitando a Propagação RIP v1

● Configurando para que ele não envie updates por todas as interfaces do router:

R1#config tR1(config)#router ripR1(config-router)#passive-interface g0/0

R3#config tR3(config)#router ripR3(config-router)#passive-interface g0/0


Redes Descontíguas

● Basicamente o termo é adotado para duas ou mais sub-redes de uma rede classful conectadas entre si através de uma rede classful diferente, em RIPv1 esse tipo de rede simplesmente não iria funcionar, já que é um protocolo Classful, mesmo no protocolo EIGRP no modo padrão também não iria funcionar já que ele sumariza as redes por padrão, para funcionar precisa do comando “no auto-summary”;

R4 R510.10.10.0/24172.16.10.0/24 172.16.20.0/24


RIP version 2

● Não é muito diferente do v1;● Melhorias:

– Suporte às máscaras variáveis;

– Autenticação

– Troca de broadcast por multicast para encaminhar os updates (224.0.0.9), mas continua sendo enviado por todas as interfaces; A única vantagem é que o descarte das mensagens por hosts ou dispositivos que não rodam RIP será feita na L3, no broadcast o dispositivo tinha que abrir o pacote e “ver” o que ele estava carregando e depois descartá-lo;


RIP v1 x v2

RIPv1 RIPv2

Tipo Distance Vector =

Métrica Contagem de saltos (Max. 15) =

Classful / Classless Classful Classless

VLSM e CIDR NÃO SIM

Autenticação NÃO SIM

Updates Periódicos (broadcast) Periódicos (multicast 224.0.0.9)


Configuração RIPv2 e autenticação

R1 R2

192.168.12.1

S0/0S0/0

192.168.12.2

Key String (senha)?

Route Table R2

R C M

20 G0/0 0

12 S0/0 0

0 R1 1

Route Table R1

R C M

0 G0/0 0

12 S0/0 0

20 R2 1

Key String (senha)?

G0/0 G0/0

R1#config tR1(config)#router ripR1(config-router)#version 2R1(config-router)#network 192.168.0.0R1(config-router)#network 192.168.12.0R1(config)#key chain CCNAR1(config-keychain)#key 1R1(config-keychain-key)#key-string SENHAR1(config-keychain-key)#exitR1(config)#interface s0/0R1(config-if)#ip rip authentication key-chain CCNA

R2#config tR2(config)#router ripR2(config-router)#version 2R2(config-router)#network 192.168.20.0R2(config-router)#network 192.168.12.0R2(config)#key chain CCNAR2(config-keychain)#key 1R2(config-keychain-key)#key-string SENHAR2(config-keychain-key)#exitR2(config)#interface s0/0R2(config-if)#ip rip authentication key-chain CCNA

192.168.0.0 192.168.20.0


Verificação das Configurações RIP

➔ #sh running➔ #sh ip route➔ #sh ip route rip➔ #sh ip rip database➔ #sh ip protocols➔ #debug ip rip


OSPF

● Open Short Path First;– Protocolo aberto (padronizado pelo IETF e de

domínio público);

– Também conhecido como algoritmo de Dijkstra (“deikstra”), 1959 – holandês Edsger Dijkstra;

– Considera a largura de banda na determinação da métrica para as rotas;


OSPF

● Envia seus updates via multicast, apenas routers que estejam com este protocolo ativado processarão os pacotes de atualização (224.0.0.5 e 224.0.0.6);

● Atualizações incrementais (não a tabela completa como o RIP);

● Menor tempo de convergência e economia de largura de banda;


Áreas OSPF

● Permite a hierarquização da rede por meio de sua divisão em domínios de roteamento, chamados de áreas;– Usadas para controlar como as informações de

roteamento devem ser compartilhadas na rede;

– O tráfego entre as áreas é coordenado pelo roteador de borda da área (ABR),

– A segmentação também reduz o impacto na CPU e memória dos routers;


Área 0

● Também chamada de “backbone area” ou “área de trânsito”, é a principal área, e sempre deve existir, TODAS as demais áreas devem se conectar a ela ou a rede OSPF não funcionará;

● Virtual links: Túneis criados para “enganar” o OSPF, fazendo-o pensar que a área em questão encontra-se diretamente conectada a área 0;


ABR

OSPF conceitos

R2 AREA 0

R1

R3 R4 R5

R6

R1R7R8

AREA 3

AREA 1

AREA 2

ABR

ASBR

Virtual Link

Backbone Router Internal Router

Inter-area Routes(Summary)

Intra-area Routes

Intra-area Routes

RIP

External Routes

Internal Router: router que possui todas as suas interfaces em uma mesma áreaBackbone Router: um Internal Router contido na área 0 (Backbone Area);Area Border Router (ABR): router que possui pelo menos uma interface na Area 0;Autonomous System Border Router (ASBR): router que realiza redistribuição de rotas de outros protocolos.


Tabelas OSPF

● O OSPF mantém 3 diferentes tabelas:– Neighbor Table: contém as informações dos routers OSPF

vizinhos diretamente conectados;

– Link State Database (LSDB) ou Topology Table: “mapa” da rede com todos os routers OSPF, conexões, redes e custos. Existe uma por área;

– RIB (Routing Information Base): é a tabela de roteamento. As melhores rotas existentes na LSDB são enviadas para a RIB após rodar o algoritmo SPF. O OSPF suporta o balanceamento de carga entre até seis rotas de igual custo para uma mesma rede.


Custo (métrica) OSPF

● Quanto menor o custo melhor o caminho;– É inversamente proporcional à largura de banda de

um link;

– O custo total de uma rota é dado pela soma dos custos das interfaces em seu caminho;

– 10^8/largura de banda (configurada pelo comando bandwith na interface)

– O valor de referência pode ser alterado “auto-cost reference-bandwidth”


Tipos de Pacotes OSPF

● Hello: responsáveis pela descoberta de routers vizinhos e pela manutenção da relação de vizinhança entre eles.– Em redes Broadcast e ponto-a-ponto são enviados

a cada 10s.

– Em redes non-broadcast a cada 30s.

– 4 x sem receber “Hello Interval” = “Dead Interval”, o vizinho será considerado inativo e as rotas aprendidas por esse vizinho serão eliminadas



● O pacote “Hello” transporta um série de informações. Caso tenha alguma incompatibilidade em qualquer um dos campos abaixo a relação de vizinhança não será formada:– Area-ID: Suas interfaces devem pertencer a mesma área, sub-

rede e máscara;

– Autenticação: se houver devem adotar a mesma senha;

– “Hello” e “Dead Intervals”: os valores devem ser os mesmos nos dois equipamentos “na interface: ip ospf hello ou dead-interval x”;

– Stub Area Flag: devem possuir o mesmo valor;



● DBD (Database Descriptor): verifica se as tabelas LSDB existem e se estão sincronizadas, os routers em uma mesma área devem ter a mesma tabela;

● LSR (Link State Request): ao receber um DBD e exibir rotas que ele não possui, ele enviará um pacote LSR para o router vizinho solicitando informações detalhadas sobre tais rotas;

● LSU (Link State Update): ao receber um pacote LSR, o router encaminha ao solicitante as informações pedidas;

● LSAck: É usado para confirmar o recebimento de alguns pacotes. Os pacotes “HELLO” não são confirmados;


Operação do OSPF

R1 R2172.16.2.1/24

S0/1/0S0/1/1

172.16.2.2/24

Down State

Init State

Init State

Two-way State (Vizinhança formada)Eu sou o Master,

Pois tenho maior RID

(DBD) Segue o resumo do meu LSDB

(ACK) Ok, Obrigado

(LSR) Me conte maisSobre a rede X

(LSU) Ok, segue maisDados sobre a rede X

ExStart

Exchange

Loading

FULL (Adjacência Formada)

R2 Lista de Vizinhos172.16.2.1 via S0/10

R1 Lista de Vizinhos172.16.2.2 via S0/1/1

Eu sou o Slave, Pois tenho menor RID

(DBD) Segue o resumo do meu LSDB

(ACK) Ok, Obrigado

(ACK) Ok, Obrigado

HELLO! Eu sou o router ID 172.16.2.1, tem algum router OSPF ai?

HELLO! 172.16.2.1, tem eu e meu router ID é 172.16.2.2


Redes Multiacesso

● Quando operando em redes multiacesso (como Ethernet), elege um “DR” router designado – que seria o “síndico” do segmento, e outro como “BDR”;

● Artificio utilizado para reduzir o número de adjacências necessárias para operação da rede;

● O router que tiver a maior prioridade é eleito DR, o valor padrão é 1, caso todos estejam com o valor padrão é utilizado o BID para desempate;


Redes Multiacesso

R1 R2

R4 R5

R3

Sem o processo de eleição de um DR e um BDR, o OSPF teria que realizar a criação de 10 relações de vizinhança, fórmula N*(N-1)/2 onde N=quantidade de roteadores.

No cenário acima quem seria eleito DR e BDR?

224.0.0.6 – DR e BDR224.0.0.5 – Todos os routers

RID 1.1.1.1 RID 2.2.2.2 RID 3.3.3.3

RID 4.4.4.4 RID 5.5.5.5

P=2

P=1 P=1

P=1 P=0

Rede 66


Tipos de Rede OSPF

● Point-to-point: Na outra ponta só pode ter um outro router OSPF. Nesse caso não se faz necessária a eleição de DR/BDR;

● Broadcast: Padrão das redes Ethernet. Precisa de DR/BDR;

● Non-Broadcast: Padrão para redes Frame Relay. Divide-se em dois subtipos:– Non-Broadcast Multiaccess (NBMA): demanda a configuração

de DR/BDR. Exige a configuração manual do vizinho via comando “neighbor”;

– Point-to-Multipoint: não exige a configuração de DR/BDR.

Comando: router(config-if)#ip ospf network ?


Tipos de LSAs

➔ Tipo 1: Originado por qualquer router OSPF e enviado apenas para routers vizinhos pertencentes a uma mesma área;

➔ Tipo 2: Originado por routers DR em um link multiacesso. Restrito a uma mesma área;

➔ Tipo 3: Network link summary originado por routers ABR;➔ Tipo 4: Network link summary originado por routers ASBR;➔ Tipo 5: External LSA – rotas externas ao OSPF;➔ Tipo 7: usado em áreas NSSA, em lugar dos LSAs tipo 5;


Tipos de Área OSPF

● Standard área: áreas “normais” (inclui a Area 0).

R1 R2 R3Tipo 1/2 Tipo 1/2

Tipo 3/5

Tipo 4

Area 0 Area 1

4 - Network link summary originado por routers ASBR

3 - Network link summary originado por routers ABR;

● 5 - External LSA – rotas externas ao OSPF

1 - Qualquer router pertencente a uma mesma área2 -Routers DR em um link multiacesso. Restrito a uma mesma área


Tipos de Área OSPF● Stub área: Recebe dos ABRs rotas default e LSAs tipo 3 contendo rotas

internas sumarizadas. Não pode conter routers ASBR (que recebam informações de outras redes com protocolos de roteamento diferentes do OSPF).


Tipo 3

Area 0 Stub Area 1

Default1 - Qualquer router pertencente a uma mesma área2 -Routers DR em um link multiacesso. Restrito a uma mesma área 3 - Network link summary originado

por routers ABR;

4 - Network link summary originado ASBR5 - External LSA – rotas externas ao OSPF


Tipos de Área OSPF

● Totally stubby área: semelhante à STUB, mas recebe APENAS a rota default do ABR. Também não pode conter routers ASBR.


Area 0 Totally Stub Area 1

Default

Tipo 3


Tipos de Área OSPF

● Not-so-stubby area (NSSA): “jeitinho” da Cisco de permitir a existência de um ASBR em uma área stub. Permite a passagem de LSAs tipo 7 (gerados pelos ASBR). Não recebe rota default se não for configurada para tal.


Area 0 Not-so-Stub Area 1

Default

Tipo 5

Tipo 4

4 - Network link summary originado ASBR5 - External LSA – rotas externas ao OSPF


Configuração Básica

● Passo 1: Ativar o processo OSPF no router:– #router ospf [número]

● Passo 2: Indicar para o OSPF qual interface vai participar do processo, a rede que estiver configurada na interface será propagada no OSPF, existem duas maneiras:– Entrar na interface que desejar:

– #ip ospf [número do processo] area [id da área]

– Ou ativar dentro do próprio processo OSPF através do comando network:

– #router ospf 123

– #network 192.168.50.0 0.0.0.255


Configuração Básica

router ospf 10!interface Serial1/0 description CONEXAO R1 -> R2 ip address 10.0.12.1 255.255.255.0 ip ospf 10 area 10

router ospf 20!interface Serial1/0 description CONEXAO R2 -> R1 ip address 10.0.12.2 255.255.255.0 ip ospf 20 area 10!interface FastEthernet0/0 description CONEXAO R2-R3-R4 ip address 192.168.234.2 255.255.255.0 ip ospf 20 area 0

router ospf 30!interface FastEthernet0/0 description CONEXAO R2-R3-R4 ip address 192.168.234.3 255.255.255.0 ip ospf 30 area 0


Comandos show

● show ip [route | protocols] ● show ip ospf border-routers ● show ip ospf interface ● show ip ospf virtual-links● show ip ospf neighbor● debug ip ospf


Troubleshooting Básico - OSPF

● Problemas de adjacência podem ser causados por inconsistências de dados em campos do pacote Hello:– Se autenticação estiver em uso, as senhas devem ser

iguais em ambos vizinhos;

– Os timers do OSPF (HELLO e DEAD) devem ser consistentes na rede;

– Os valores de MTU devem ser consistentes entre vizinhos;

– Adjacências apenas são formadas entre interfaces em uma mesma área.


EIGRP

● Possui características de protocolos link state e distance vector;– Não mantém uma tabela topológica completa como o OSPF;

– Constroem suas tabelas topológicas com base nas rotas informadas por seus vizinhos diretos;

– Routing by rumour, acreditam nas informações recebidas e as inserem em sua tabela topológica;

– Encaminha apenas as melhores rotas e não todas as possíveis;

– Assim, cada router em uma rede EIGRP terá uma tabela topológica distinta;

– Multicast 224.0.0.10;


EIGRP● Proprietário Cisco;

– Contagem máxima de saltos = 255, com default 224;

– Utiliza largura de banda (bandwidth) e atraso da linha (delay of the line) como base de cálculo padrão para composição da métrica (composit metric), outros parâmetros como reliability, load e MTU pode ser adicionados;

– Classless;

– Suporte à autenticação;

– Suporta nativamente múltiplos protocolos de camada 3 (Ipv4, Ipv6);

– Utiliza o algoritmo DUAL (Diffusing Update Algorithm), que inibe a formação de loops e é bastante eficiente;


Tabelas EIGRP

● Neighbor Table: informações dos routers EIGRP “vizinhos” diretamente conectados;

● Topology Table: Formada com base nas informações passadas pelos seus vizinhos. Basicamente contém as tabelas de roteamento dos routers vizinhos. O comando “show ip eigrp topology” apresenta apenas as melhores rotas (Successor e Feasible Successor). Para acessar TODAS as rotas, devemos usar o comando “sh ip eigrp topology all”;

● RIB (Routing Information Base): Tabela de roteamento. As rotas com as melhores métricas para cada uma das redes remotas existentes na tabela topológica serão enviadas para a RIB após a execução do algoritmo DUAL. Até 4 rotas de mesmo custo para a mesma rede remota podem ser instaladas na RIB;


Pacotes EIGRP

● Hello: usados para descobrir routers EIGRP vizinhos antes do estabelecimento da adjacência. Enviados via multicast 224.0.0.10 por todas as interfaces ativas. Não precisam ser confirmados;

● Updates: São usados na transmissão das informações de roteamento. Enviados sempre que há uma alteração na rede. Precisam ser confirmados;

● Query: o EIGRP mantém rotas alternativas. As melhores rotas alternativas são chamadas de “Feasible Successor”. Caso não seja possível encontrar uma rota alternativa ele enviará pacotes Query perguntando aos seus vizinhos se eles possuem. Deve ser confirmados;

● Reply: resposta a um pacote Query. Precisa ser confirmado;● Acknowledge (ACK): Confirmação de recebimento dos pacotes Update. O

EIGRP tentará por 16 vezes o envio de um pacote de atualização, se nenhum ACK for recebido o vizinho será considerado DOWN e a adjacência será terminada;


Diffusing Update Algorithm (DUAL)

● Feasible distance (FD): resultado da métrica. No caso de várias rotas para um mesmo destino existirem na tabela topológica, a rota com menor FD(chamada de Successor) será escolhida para popular a tabela de roteamento;

● Reported distance (RD) ou Advertised distance (AD): é a métrica do router vizinho para uma rede remota;

● Successor: é a rota com menor FD. Essa é a rota para a rede remota escolhida compor a tabela de roteamento;

● Feasible successor(FS): rota alternativa, se existir, para uma rede remota. Fica na tabela topológica, só é inserida na tabela de roteamento se a rota principal falhar;

● Feasibility condition (FC): condição de viabilidade, é satisfeita quando uma rota é reportada pelo vizinho com um RD menor que o FD da rota Successor (rota principal). A função primordial dessa checagem é ter certeza absoluta que loops não irão ocorrer na rede quando um FS for ativada na tabela de roteamento.


Diffusing Update Algorithm

R1 R2200 30

Router R1, eu acesso A RedeX com uma

Métrica de 30

Ok. Isso quer dizer que Minha métrica para

A RedeX será200+30=230

30 = Reported Distance

230 = Feasible Distance

REDE X


Feasibility Condition (FC)

R1

R3

R4

R2 R5

192.168.30.0

25

100100

100

50

Quero alcançar a Rede 192.168.30.0O R5 me informa:

RD =

O meu FD pelo R5 será:FD =

25

100 + 25 = 125


R1

R3

R4

R2 R5

192.168.30.0

25

100100

100

50


RD =


25

100 + 25 = 125

R4

Quero alcançar a Rede 192.168.30.0

O R3 me informa:

RD =


125

100 + 125 = 225


R1

R3

R4

R2

R5

192.168.30.0

25

100100

100

50


RD =


25

100 + 25 = 125

R4

Quero alcançar a Rede 192.168.30.0O R3 me informa:RD = O meu FD pelo R3 será:FD =

125

100 + 125 = 225

R4


225

225 + 50 = 275


R1

R3

R4

R2

R5

192.168.30.0

25

100100

100

50

Quero alcançar a Rede 192.168.30.0

R5RD = 25FD = 125

R4


125

100 + 125 = 225

R4


225

225 + 50 = 275

R2RD = 275FD = 375

R1RD = 275FD = 375 R4

275 > 125, logo o link entre R3 e R2 não poderá ser utilizado como FS (backup) para chegar a rede 192.168.30.0, pois teríamos um loop na rede, isso vale também para o link entre R3 e R1 se fizermos as contas.


Feasibility Condition (FC)

R1

R3

R2 R5

192.168.30.0

25

100100

100

50

80

90

R4

RD = Reported Distance (A distância que o meu vizinho me informa)FD = RD + A minha distancia para alcançar esse vizinho


Métricas EIGRP

● O EIGRP adota uma métrica composta que pode usar até cinco componentes para defini-la (letra K);– São eles: Bandwidth (K1), Load (K2), Delay (K3),

Reliability (K4) e MTU (K5). Por padrão apenas K1 e K3 são usados;

– O algoritmo para cálculo da métrica é dado pele fórmula: M=256*((K1*Bw) + (K2*Bw)/(256-Load) + K3*Delay)*(K5/(Reliability + K4)));

● O padrão é: M=256*Bw+Delay


Timers EIGRP

● Intervalo Hello: 5s em links broadcast (Ethernet) e ponto a Ponto, 60s em links non-broadcast Mutiacesso (NBMA) como frame-relay ou ATM, com velocidade menor que 1.5M (T1);

● Dead Interval: 3x o valor do Hello utilizado;


Operação EIGRP

R1 R2

HELLO! Eu sou o router R1, tem algum router EIGRP ai?

HELLO Router R1 eu sou o Router R2!

HELLO

HELLO

NeighborTable

Segue minha tabela de roteamento completa!

UPDATE

Obrigado pelas informações!

ACK

Para retribuir, segue a minha tabela de roteamento!

UPDATE

ACK

NeighborTable

TopologyTable

TopologyTable

RoutingTable

RoutingTable

Obrigado pelas informações!

DUAL

DUAL


Pontos-Chave EIGRP

● Se a rota principal tornar-se indisponível por qualquer motivo, se existir uma rota alternativa na tabela topológica (FS), esta será imediatamente instalada e ativada na tabela de roteamento;

● Se não existir um FS o EIGRP colocará a rota em estado ativo (active-state) e enviará uma mensagem “Query” aos seus vizinhos perguntando se algum deles conhece uma rota alternativa para a rede desejada.

● Quando tudo está normal e não existe recálculo do DUAL em andamento, as rotas encontram-se no estado passivo (passive-state);


Balanceando Carga EIGRP● Pode balancear a carga entre quatro links de igual custo (mesmo

FD), pode variar dependendo do IOS e plataforma utilizada;● Pode balancear carga também por rotas com custo desiguais;● O parâmetro “variance” determina qual o critério a ser adotado para

instalar rotas alternativas da tabela topológica na RIB– Todas as rotas FS que tenham um FD menor ou igual ao resultado de

[variance * FD da rota sucessor] serão instaladas na RIB;

– Ex: Se tivermos 3 rotas para uma determinada rede com: ● S = 10● 25(FS) ● 35(FS)● Utilizarmos o valor de variance = 3, somente a rota FS = 25 será instalada na RIB,

pois 3 * 10 =30, e 35 > 30;


Problemas em Redes EIGRP

● Queries e “SIA”: Se o vizinho falhar em responder as queries por 3min a rota é considerada “stuck in active”, o router então irá reiniciar a adjacência com o vizinho perdendo todas as rotas. Um dos motivos para um vizinho não responder as queries pode ser alto processamento;

● Problema de formação de adjacência: número do sistema autônomo inconsistente, métricas diferentes sendo usadas ou autenticação.


Roteamento IPv6● Todos os conceitos do IPv4 são aplicados no v6;● È preciso ativá-lo no router “ipv6 unicast-routing”

– #ping ipv6 x– #sh ipv6 route– #ipv6 route – #ipv6 router rip R1– #int f0/0– #ipv6 rip R1 enable– #ipv6 router eigrp 65001– #int x– #ipv6 eigrp 65001– #sh ipv6 route eigrp– #ipv6 router ospf 1– #int x – #ipv6 ospf 1 area 1


NAT

● Network Address Translation (Tradução de endereços);● Vantagens:

– NAT gera economia de endereços IP roteáveis;

– “Segurança”, já que uma rede nateada é “mascarada” do mundo externo;

● Desvantagens:– Quebra o modelo fim-a-fim de transparência das conexões;

– Maior uso de CPU e memória nos roteadores;

– Praticamente inviável em larga escala;

● Ordem de operação:

Sentido Inside-para-Outside Sentido Outside-para-Inside

1. Roteamento 1. NAT (tradução global para local)

2. Nat (Tradução local para global) 2. Roteamento


Tipos de NAT

● NAT estático: mapeamento de um para um, ou seja, cada endereço IP é traduzido para um único endereço;

● NAT dinâmico: provê um mapeamento dinâmico de endereços. Nesse caso um intervalo de endereços (chamado de pool) define os endereços disponíveis para tradução;

● NAT overloading: Permite que poucos ou até mesmo apenas um endereço seja usado para traduzir os endereços de várias máquinas em uma rede. Para isso utiliza valor da porta lógica de origem e IP que está sendo trocado, e usa como identificador único para recolocar o endereço original no retorno do pacote;

● PAT (Port Address Translation): Além de substituir endereços IP de origem ou destino, permite também a troca de valores de portas lógicas.


Internet

Cenário NAT - 1 - Problema

R1

PROVEDOR

Inside

Outside

PC User

172.16.10.2 (Inside local)

172.16.10.1 G0/0

S0/1/0186.30.60.1(Inside Global)

Inside Local: Endereço IP de um host localizado no domínio “inside”, da forma como outros hosts pertencentes ao domínio “inside” o enxergam.

Inside Global: Endereço IP de um host localizado no domínio “inside”, da forma como hosts pertencentes ao domínio “outside” o enxergam.

www.google.com173.194.119.16(Outside Local eOutside Global)

Outside Local: endereço IP de um host localizado no domínio “outside”, da forma como hosts pertencentes ao domínio “inside” o exergam;Outside Global: endereço IP de um host localizado no domínio “outside”, da forma como outros hosts pertencentes ao domínio “outside” o enxergam.

IP Origem IP Destino

172.16.10.2 173.194.119.16

1


172.16.10.2 173.194.119.16

2


173.194.119.16 172.16.10.2

3


Internet

Cenário NAT - 2 - Solução

R1

PROVEDOR

Inside

Outside

PC User

172.16.10.2 (Inside local)

172.16.10.1 G0/0

S0/1/0186.30.60.1(Inside Global)

Inside Global: Endereço IP de um host localizado no domínio “inside”, da forma como hosts pertencentes ao domínio “outside” o enxergam.

www.google.com173.194.119.16(Outside Local eOutside Global)

Outside Local: endereço IP de um host localizado no domínio “outside”, da forma como hosts pertencentes ao domínio “inside” o exergam;Outside Global: endereço IP de um host localizado no domínio “outside”, da forma como outros hosts pertencentes ao domínio “outside” o enxergam.


172.16.10.2 173.194.119.16

1


186.30.60.1 173.194.119.16

2


173.194.119.16 186.30.60.1

3NAT alterou o cabeçalho do pacoteIP de origem agora é 186.30.60.1

Inside Local: Endereço IP de um host localizado no domínio “inside”, da forma como outros hosts pertencentes ao domínio “inside” o enxergam.


Cenário NAT - 3 - Problema

R1 R2

SW SW

G0/1 G0/1

192.168.66.1/24 192.168.66.2/24

Inside Local 10.0.0.10

Inside Global 30.0.0.10Inside Local 10.0.0.10

Inside Global 20.0.0.10

G0/0 G0/010.0.0.1/8 10.0.0.1/8

10.0.0.1010.0.0.10 10.0.0.10


10.0.0.10 10.0.0.10

1


Cenário NAT - 3 - Solução

R1 R2

SW SW

G0/1 G0/1

192.168.66.1/24 192.168.66.2/24

G0/0 G0/010.0.0.1/8 10.0.0.1/8

10.0.0.1010.0.0.10 10.0.0.10


10.0.0.10 30.0.0.10

1


20.0.0.10 30.0.0.10

2IP Origem IP Destino

20.0.0.10 10.0.0.10

3


Internet

Cenário NAT - Overload

R1 R2G0/1

200.10.11.12

G0/0192.168.10.1

R1(config)#access-list 1 permit 192.168.10.0 0.0.0.255R1(config)# ip nat inside source list 1 interface g0/1 overloadOuR1(config)# ip nat pool CCNA 200.10.11.12 200.10.11.12 netmask 255.255.255.0R1(config)# ip nat inside source list 1 pool CCNA overload


Cenário CCNA

Study the exhibit carefully. You are required to perform configurations to enable Internet access. The Router ISP has given you six public IP addresses in the 198.18.32.65 198.18.32.70/29 range.

Company has 62 clients that needs to have simultaneous internet access. These local hosts use private IP addresses in the 192.168.6.65 – 192.168.6.126/26 range.

You need to configure Router1 using the PC1 console.

You have already made basic router configuration. You have also configured the appropriate NAT interfaces; NAT inside and NAT outside respectively.Now you are required to finish the configuration of Router1.


Arquitetura de Alta Disponibilidade


Etherchannel

● Forma de agrupar links Ethernet de forma a criar um único canal virtual cuja largura de banda equivale à soma das larguras de banda dos links que o compõem;

● Apenas portas com características idênticas em ambas as pontas ( 1 e 1, 10 e 10...);


Etherchannel

● Se a configuração Etherchannel não estiver consistente pode causar loops L2 na rede;

● Dois protocolos de negociação para a formação de links Etherchannels foram criados:– PAgP (Port Aggregation Protocol), proprietário Cisco (em vias de

ser descontinuado);

– LACP (Link Aggregation Control Protocol), do IEEE (padrão 802.3ad).

● Existe ainda a opção de não usar nenhum desses protocolos e “forçar” o canal virtual manualmente (modo on)


Etherchannel

● É preciso determinar como as interfaces participantes se comportarão no que se refere ao processo de negociação;

Active Passive

Active OK OK

Passive OK NOT

Desireble Auto

Desireble OK OK

Auto OK NOT

Passive e Auto: Apenas respondem às solicitações, não incia a comunicação, por isso é impossível estabelecer um etherchannel com as duas pontas em modo Passivo (LACP) ou Auto (PagP).

LACP PAgP


FHRP – Alta Disponibilidade L3

● First Hop Redundancy Protocols, ou seja, protocolos criados para prover redundância do primeiro salto da rede, o conhecido “default-gateway”;

● 80/20 ou 20/80;● Indisponibilidade de default-gateway resulta na quase completa

ociosidade de seus funcionários, já que a maior parte das aplicações, arquivos e serviços encontra-se fora de rede local;

● Protocolos FHRP possibilitam a configuração de mais de um default-gateway em uma mesma rede. Para os hosts é como se apenas um gateway existisse. Temos 3 protocolos desse tipo.


HSRP

● Hot Standby Routing Protocol (proprietário Cisco);● Podemos ter 2 ou mais routers agrupados

logicamente respondendo a um mesmo endereço IP (vIP) e MAC address (vMAC);

● Trabalha no modelo “Active” e “Standby”;● Pode ser configurado para monitorar o status de

diversos elementos visando determinar quando um router deve deixar de ser o active do grupo;


IP Virtual (VIP)192.168.10.254

HSRP

R1 R2

SW

Grupo HSRP200.1.0.1

F0/0192.168.10.252

1.1.1.1

192.168.10.253F0/0

F0/1 F0/1200.2.0.2

Active Standby

hello hello

Default Gw192.168.10.254

Hello via multicast 224.0.0.2 – UDP 1985, se o router standby deixar de receber Hello do router active, ele considerará que o mesmo encontra-se inacessível e alterará seu status para active.O que determina o router “active” do grupo é o maior valor de prioridade (padrão é 100) se houver empate o maior endereço IP será eleito, o segundo será “Standby” e os demais estarão em modo “listen”.

Track Track


VRRP

● Virtual Router Redundancy Protocol, seria uma versão IETF (RFC 2338) do HSRP;

● Pode ser configurado em routers de quaisquer fabricantes, e não apenas Cisco;

● Operação praticamente idêntica ao HSRP;● Ao invés de termos os papéis “active” e

“standby”, temos “master” e “backup”


GLBP

● Proprietário Cisco assim como o HSRP;● Permite o balanceamento de carga entre os gateways;● O que o GLBP faz é, a cada solicitação ARP, é respondida

com o endereço MAC virtual associado a um router distinto;● Balanceamento dos MACs associados aos routers;● Deve eleger um router que vai coordenar todo o processo,

chamado de AVG (Active Virtual gateway), os demais são chamados de AVF (Active Virtual Forwarders);

● Não existe então a figura do router standby;


IP Virtual (VIP)192.168.10.254

GLBP

R1 R2

SW

Grupo GLBP200.1.0.1

F0/0192.168.10.252

1.1.1.1

192.168.10.253F0/0

F0/1 F0/1200.2.0.2

AVGAVF1

AVF2

Default Gw192.168.10.254

Default Gw192.168.10.254

VMAC 0007.a400.101 VMAC 0007.a400.102

0007.a400.1020007.a400.101


Gerenciamento e Troubleshooting

Básico


Cisco Configuration Register

● È examinado durante o boot;● Todos os routers Cisco possuem um registrador de 16-bits

em software, que fica armazenado na NVRAM;● Trata-se de um número hexadecimal;● 15 14 13 12 11 10 9 8 7 6 5 4 3 2 1 0● Lembre-se do IPv6, a regrinha 8 4 2 1;● Valor padrão 0x2102:● 0010 0001 0000 0010 ● Bit 13, bit 8 e bit 1 ativados


Cisco Configuration RegisterBit Descrição

00 - 03 Parâmetros de Inicialização do Router0x0000 – Coloca o router em Modo ROMMON0x0001 – Usa a 1a imagem do IOS na Flash para boot0x0002 – Permite o boot pela rede (netboot)

6 Ignora o conteúdo da NVRAM (startup-config)

7 Desabilita mensagens de boot

8 Desabilita o break no modo linha de comando (CLI)

10 Adota o broadcast IP no formado “0”

5, 11, 12 Determida a velocidade da linha de console

13 Inicializar em ROMMON se o boot falhar

14 Gera broadcast IP sem a informação da rede

15 Habilita mensagens de diagnóstico

15

14

13

12

11

10

9 8 7 6 5 4 3 2 1 0

8 4 2 1 8 4 2 1 8 4 2 1 8 4 2 1

0 0 1 0 0 0 0 1 0 0 0 0 0 0 1 0

Posição

Binário

0x2102

Útil em emergências

#config register 0x2102#sh vers | inc register


Recuperação de Senhas

● Basta ativar o bit 6 do registrador que o conteúdo da NVRAM será ignorado;

● Mas como alterar o registro se não temos a senha para alterar a configuração?

1.Desligue o router, ligue-o novamente e execute um Break (Ctrl+C ou Ctrl+Break) nos 60s iniciais. Isso fará com que o router interrompa o processo de boot e entre no modo ROMMON;

2.No prompt apresentado, digite o comando “confreg 0x2142) ;

3.Digite agora “reset”;

4.O router agora vai iniciar sem nenhuma configuração, copie a configuração que encontra-se salva (NVRAM) para a RAM “copy start run”;

5.Defina uma nova senha;

6.Altere o valor do registrador para 0x2101 e save a configuração;

7.Reinicie o router (reload) e use a senha que você configurou;


CDP

● Cisco Discovery Protocol (Proprietário);● Ajuda na coleta de informações sobre dispositivos diretamente

conectados ao elemento de onde o comando for executado;● LLDP (Link Layer Discovery Protocol) – Versão do IEEE para o

CDP, 802.1ab;● CDP opera na camada 2, seus frames são enviados a cada 60s

(padrão);● Endereço MAC multicast 0100.0ccc.cccc● Já vem habilitado por padrão, pode ser desabilitado via “no cdp

run” ou via interface “no cdp enable”;


CDP

● Alcança apenas o dispositivo vizinho diretamente conectado, não sendo propagado para quaisquer outros dispositivos além dele;

● Com exceção de um elemento de camada 2 de outro fabricante ou dispositivo de camada 3 conforme figura abaixo:

HP CISCO

CISCO

AVAYA CISCO

Frames CDP


CDP InformaçõesCampo do Frame Conteúdo

Device ID O nome (hostname) do dispositivo diretamente conectado

IP Addr Endereço IP da porta do dispositivo vizinho

Local Port Porta local em que os pacotes CDP vizinho estão sendo recebidos

Holdtime Tempo que as informações serão mantidas

Capability Tipo do dispositivo vizinho (router, sw, fw)

Platform Série ou modelo do vizinho

Remote Port Porta do vizinho que encaminhou o frame CDP

Version Versão do IOS vizinho

Advertisement Version Versão do CDP em uso

Duplex Modo da interface (half ou full)

VTP Domain Nome do domínio VTP do vizinho (se configurado)

#sh cdp#sh cdp neigh#sh cdp neigh detail#sh cdp entry#sh cdp traffic#sh cdp int

Alguns comandos show


Comandos Úteis

● Configurando Routers para Lidar com Broadcast

R1 R2S1/0

SW

F0/0

Preciso de um endereço IP!Broadcast à

procura de um endereço IP

Servidor DHCP192.168.20.2/24

D: Broadcast

D: 192.168.20.2

172.16.5.1

R1#conf tR1(config)# int f0/0R1(config-if)#ip add 172.16.5.1 255.255.255.0R1(config-if)#ip helper-address 192.168.20.2

Basicamente, transformou a solicitação de um endereço IP via broadcast, para uma solicitação unicast direcionada para o ip 192.168.20.2, que é o IP do servidor DHCP


SNMP

● Simple Network Management Protocol;● Criado para prover uma forma descomplicada de

gerenciamento de rede. É independente de fabricantes e é definido na camada de aplicação;

● SNMPv1 publicada em 1991 pela RFC1157. Duas versões SNMPv1 e v3 se seguiram, incorporando uma série de recursos adicionais – especialmente no que se refere à segurança.


Componentes SNMP

Aplicação

Manager(UDP 162)

Agent(UDP 161)

MIB

OIDOID OID

OID

Objetos Gerenciáveis

Get Request

Get Response

Set

Trap / Inform

Solicitação de status (pooling)

Resposta de Solicitação

Alteração de configuração

Informação não solicitada de eventos os falhas

Sistema de Gerência (NMS) Dispositivo Gerenciado

SNMP


Componentes SNMP

● Agent: Software que roda no dispositivo. Tem a função de interagir com o servidor (NMS), respondendo às requisições de informações recebidas, enviando informações emergenciais ou ainda executando comandos solicitados. O agente converte as informações coletadas dos objetos gerenciáveis para o formato padronizado e faz a ponte entre estes objetos e o sistema de gerência;

● Objeto Gerenciável: Um recurso do dispositivo (ex: interface, CPU...). Cada objeto possui as seguintes características:

– Rótulo: em formato texto, e uma identificação única (OID) que identifica a posição do objeto na árvore MIB;

– Atributos: informações relacionadas ao status, configuração e estatísticas do objeto;

– Ações que podem ser executadas no objeto (read, write e set);


Componentes SNMP

● MIB (Management Information Base) seria a base de dados mantida pelo Agente, contendo as informações e status de todos os objetos gerenciáveis residentes no dispositivo;

● Manager (Gerente) é um software que reside no sistema de gerência (NMS), e é responsável por solicitar informações e enviar comandos aos agentes instalados em dispositivos de rede (msg “Set”). Recebem as informações solicitadas e os traps.

● Aplicação: software responsável pela apresentação das informações coletadas e pela interface do sistema de gerência com o usuário. (Nagios por ex.)


Tipos de Mensagens SNMP

● GET: do manager para o Agente, solicitando valores de um objeto na MIB;

● GETNEXT: do manager para o Agente, solicitando valores do próximo objeto da MIB;

● SET: mensagem usada pelo manager para configurar algum parâmetro de um objeto na MIB;

● GET-RESPONSE: mensagem usada pelo Agente para responder a uma mensagem GET, GETNEXT ou SET enviada pelo manager;

● TRAP: mensagem inciada pelo Agente, com destino ao manager, usada para informar mudanças de parâmetros que extrapolam um limite configurado (threshold), ou erros.


MIB

● Banco de dados contendo informações organizadas de forma hierárquica sobre cada objeto gerenciável.

● Existem dois tipos de objetos em uma MIB:– Escalares (scalar objects): possuem apenas uma instância

de informação. Ex: ipDefaultTTL (OID .1.3.6.1.2.1.4.2) contém o valor de TTL;

– Tabulares (table objects): possuem múltiplas instâncias de informação, organizada em uma tabela MIB. Exemplo: ipv4InterfaceTable (OID .1.3.6.1.2.1.4.28) contém informações específicas de cada interface Ipv4 existente no elemento gerenciado.


Configuração SNMP

#sh snmp#snmp-server community CCNA$% RW#access-list 99 permit 172.16.10.20#snmp-server community CCNA$% RW 99#snmp-server source-interface traps f0/0#proces cpu threshold type total rising 70 interval 30#snmp-server enable traps cpu threshold#snmp-server host 172.16.10.20 traps CCNA$% cpu


Configuração SNMP

#snmp-server group ciscoadmin v3 priv read cisco write cisco

#snmp-server user dunha ciscoadmin v3 auth md5 Cisco.123

#snmp-server view internetview internet include

#snmp-server community 1nternetRO$.2013 view internetview RO

#snmp-server community 1nternetRW$.2013 view internetview RW


NetFlow

● Protocolo criado pela Cisco para prover análise granular de fluxos de dados dentro de um dispositivo;

● Devido ao sucesso do protocolo, hoje, ele é reconhecido como um padrão de mercado, sendo licenciado pela Cisco para outros fabricantes;

● Considerado uma solução completa de análise e monitoramento, embutida no IOS, que identifica e analisa os pacotes como parte de um fluxo.


Definição de Fluxo

● Tem um princípio e um fim;● Quando pacotes de dados são agrupados em fluxos, é

possível compreendermos como as aplicações estão utilizando recursos da rede de uma forma mais detalhista;

● Um fluxo de dados é sempre unidirecional (portanto, uma sessão, normalmente, é composta por dois fluxos), e possui em comum os seguintes elementos:– Endereço IP de origem e destino;

– Porta lógica de origem e destino;

– Mesma interface (física ou lógica);


Aplicações do NetFlow

● Monitoramento da banda e análise de tráfego;● Análise da rede e gerência de segurança;● Detecção pró-ativa de anomalias;● Monitoramento de aplicações;● Determinação e validação de políticas de QoS● Planejamento de Capacidade;


NetFlow – Formas de Acesso ● Via CLI, no próprio equipamento;

● Via acesso a um servidor Netflow Collector. Num primeiro momento, os dados são armazenados na memória interna do próprio dispositivo (cache). Somente após o fim do fluxo é que os dados são enviados ao coletor. Existem diversos coletores NetFlow no mercado: Cisco Prime NAM e o Solarwinds Netflow Collector.

R1 SW

NetFlowCollector

Acesso CLI ao Exporter(comandos “show”)

Storage

NetFlowExporter

Terminal

LAN

LAN

FLOWS

Acesso aoCollector

DADOS COLETADOS


Versões do Netflow

Versão Comentário

v1 Primeira versão (obsoleta)

v2 Versão Interna Cisco (nunca publicada)



v5 Versão mais popular, disponível desde 2009. Suporta apenas fluxos IPv4

v6 Deixou de ser suportada

v7 Similar a versão 5, mas com adição do campo “source router”.

v8 Permite várias formas de agragação de campos da v5

v9 Versão baseada em templates. Mais usadas com fluxos MPLS e IPv6

v10Conhecida como “IPFIX”. Versão padronizada do IETF da v9, inclui várias extensões


Netflow Configuração

R1(config)#ip cefR1(config)#ip flow-export version 9R1(config)#ip flow-export destination 10.10.10.10 9997R1(config)#int f0/0R1(config-if)#ip route-cache flowR1(config-if)#ip flow egressR1#sh ip flow interfaceR1#sh ip cache flowR1(config)#ip flow-top- talkersR1(config-flow-top-talkers)#top 5R1(config-flow-top-talkers)#sort-by-packetsR1(config-flow-top-talkers)#cache timeout 100R1#sh ip flow top-talkers

Habilitando o CEF, o netflow v9 e o IP e Porta do collector.

Ativando na Interface f0/0 no sentido “out”.

Comandos show.

Configurando o Netflow para coletar e manter estatísiticas dos “top-talkers” da rede.


DHCP

● Existem diversas soluções mais robustas para servidores DHCP do que o embutido no IOS dos dispositivos Cisco;

● Pode ser útil em redes de pequeno porte, onde não temos servidores dedicados;

● Configuração simples e direta


Configuração DHCP

R1(config)#int f0/0R1(config-if)#ip add 192.168.20.1 255.255.255.0R1(config-if)#no shutR1(config-if)# exitR1(config)#service dhcpR1(config)#ip dhcp pool CCNAR1(dhcp-config)#network 192.168.20.0/24R1(dhcp-config)#domain-name ccna.com.brR1(dhcp-config)#dns-server 8.8.8.8 8.8.4.4R1(dhcp-config)#default-router 192.168.20.1R1(dhcp-config)#lease 7R1(dhcp-config)#exitR1(config)#ip dhcp excluded-address 192.168.20.1 192.168.20.66

1

2

3

Configurando a interface LAN do roteador

Ativando o serviço DHCP

Criando um escopo DHCP chamado CCNARede e prefixo que será distribuído

Domínio e servidores DNS

Default-gateway

Tempo que o host poderá ficar com endereço IP sem ter que perguntar ao DHCP novamente

Ips que não serão oferecidos aos hosts (reservados)


Monitorando o DHCP

● “show ip dhcp binding”: lista os IPs já fornecidos e quais os MACs que os estão usando naquele momento;

● “show ip dhcp conflict”: apresenta eventuais conflitos de endereços IP;

● “show ip dhcp database”: apresenta a base de dados DHCP;

● “show ip dhcp pool”: relaciona todos os “pools” DHCP configurados e o conteúdo de cada um deles;

● “show ip dhcp server statistics”: apresenta estatísticas do tráfego DHCP.


Troubleshooting Básico● Segundo a lei de Murphy: “Se algo pode dar errado,

dará. E no pior momento possível”;

● O processo de TSHOOT objetiva identificar a falaha e corrigi-la da forma mais rápida e eficiente possível.


Fluxo de Troubleshooting

INÍCIO Definir o Problema

Coletar Dados

Analisar Possibilidades

Definir um Plano de Ação

Implementar o Plano

Observar os Resultados

Reexaminar o Processo

Problema Resolvido

FIM

Documentar o Ocorrido

Sintomas doProblema

Acabaram?

SIMSIM

NÃO


System Logs● Examinando mensagens geradas pelo sistema, no caso

de elementos Cisco, as mensagens geradas pelo sistema são classificadas em oito níveis distintos (“0” sendo o mais crítico):

Nível Descrição

0 - emergency System unusable

1 - alert Immediate action needed

2 - critical Critical Condition

3 - error Error condition

4 - warning Warning condition

5 - notification Normal but significant condition

6 - informational Informational message only

7 - debugging Appears during debugging only

Obs: Quando ativamos o logging de um nível mais alto de mensagens, automaticamente estamos incluindo as mensagens de nível mais baixo. Se ativarmos o nível 6, ativamos de 6 até 0.


System Logs

● O padrão encontrado nos equipamentos Cisco:– Logging habilitado (comando “logging on” ativado);

– Direciona as mensagens até nível 7 (debbuging) – ou seja, todas – para as sessões terminais, aparecendo diretamente na tela quando você está conectado;

– Para ver as mensagens durante sessões Telnet, é preciso ativar sua visualização por meio do comando “logging monitor”;

– Não adiciona informações de data e hora às mensagens geradas;


System Logs

● A primeira coisa é acertar o relógio do seu dispositivo;

● Depois configure o dispositivo para que ele inclua as informações de data e hora nas mensagens de log geradas: “service timestamp”;

● Mensagens de log sem o horário não servem para praticamente nada;


System Logs

● Outras possibilidades de configuração do direcionamento de logs:– “terminal logging”: envia as mensagens de log para as linhas

VTY(Telnet);

– “logging buffered”: armazena as mensagens determinadas na memória RAM. É possível especificar a quantidade máxima de memória que será usada. Conteúdo é perdido quando o dispositivo é bootado;

– “logging [endereço ip]”: envia as mensagens para um servidor externo. O nível das mensagens a serem enviadas ao servidor deve ser especificado. Ex: logging 10.0.20.30, logging trap 0.

– “logging persistent url flash:/[diretório]”: permite que os logs armazenados na memória RAM (logging buffered) sejam transferidas para um arquivo na memória flash


System Logs Exemplo

R1#mkdir logsR1#conf tR1(config)#logging persistent url flash0:/logsR1(config)#logging console 6R1(config)#exitR1#debug allR1#undebug allR1#dir logsR1#more logs/log_20140710-162030

Criando um diretório

Logs serão direcionados para o diretório criado

Logs de 6 até 0 serão exibidos na tela, somente o 7 (debug) que será enviado para o diretório

Iniciando e depois parando o debug total (não fazer isso em produção)

Verificando o arquivo criado


Outros Comandos

#show processes cpu

#sh proc cpu | exclude 0.00

#sh proc cpu sorted ?

#sh proc cpu hist

#reload in 10

#reload at 23:25

#reload cancel


ACL


Segurança

R2

SW

SW

SW

SW

FW R1 Internet

INSIDE

DMZ

Outside

Interna ExternaEMPRESA


Listas de Controle de Acesso

● São listas de condições que controlam o acesso de pacotes a determinados recursos ou redes;

● Uma vez criadas, podem ser aplicadas para análise do tráfego entrante e/ou sainte (in ou out);

● Dentro de um mesmo elemento, podemos ter várias listas de acesso criadas, porém, elas apenas serão utilizadas se associadas a algum objeto;


Listas de Controle de Acesso

● Podem ser usadas para:– Permitir ou negar um fluxo de pacotes baseado em sua

origem, destino e/ou protocolo ou aplicação;

– Proteger o acesso a elementos críticos ou a redes/sub-redes inteiras;

– Determinar quais fluxos de dados serão submetidos a algum tipo de tratamento adicional (ex: NAT ou roteamento);

– Identificar e bloquear tráfegos nocivos originados externa ou internamente;

– Apenas monitorar o tráfego com determinadas características e armazenar as informações coletadas em arquivos de registro (logs)


Fluxo ACLsPACOTE

deDADOS

Há correspondênciacom regra da ACL?

Processa próximaregra da ACL

Fim dasRegras?

Executa açãoimposta pela

regra

Pacote éBloqueado

Pacote éPermitido

DENY

PERMITS

N

S

N Obs: ACLs Cisco seguem a regra: “negue tudo que não for explicitamente permitido” (DENY ALL)


ACLs

● Existem basicamente dois tipos de ACL:– ACLs Padrão (Standard): examinam APENAS o

campo “Origem” do cabeçalho IP;

– ACLs Estendidas (Extended): examinam os campos “Origem” e “Destino” do cabeçalho IP, permite também a filtragem por protocolos.


ACLs

● Uma vez criada, uma ACL deve ser aplicada a uma interface para analisar o tráfego que entra (inbound) ou que sai por ela (outbound).– Inbound: os pacotes são processados assim que

entram na interface, ANTES de ser roteado;

– Outbound: os pacotes são processados APÓS o roteamento, e antes de serem transmitidos pela interface de saída.


ACLs

● Para evitar confusão sobre o que é tráfego “IN” e “OUT”, deve-se considerar que o dispositivo onde a ACL se encontra configurada deve ser SEMPRE o ponto de referência:

R1G0/0 G0/1IN

OUT

OUT

IN


ACLs

G0/0

ACL 10 IN

Router R1

Sentido do tráfego

D: 192.168.20.1O: 10.0.5.3

ACL 101. Origem na rede 11.0.0.0 pode passar (PERMIT)2. Origem na rede 12.0.0.0 não pode passar (DENY)3. Origem na rede 10.0.0.0 não pode passar (DENY)4. Todos os outros pacotes podem passar (PERMIT ANY)5. Todos os outros pacotes não podem passar (DENY ALL)

Pacote

TOP

DOWN

MATCH


ACL Numerada IPv4 padrão

● ACL padrão (standard) filtram a rede utilizando exclusivamente o endereço IP origem de um pacote.

Tipo Intervalo Numérico

IP Standard 1-99

IP Standard (intervalo ampliado) 1300-1999

access-list [número] [permit|deny] [rede|host origem] [wildcard] [log]

R1(config)#access-list 1400 deny 10.0.5.3R1(config)#access-list 1400 deny host 10.0.5.3R1(config)#access-list 1400 deny 10.0.5.3 0.0.0.0

R1(config)#access-list 99 remark Bloqueia o acesso de toda a rede 10.0.0.0R1(config)#access-list 99 deny 10.0.0.0 0.255.255.255R1(config)#access-list 99 remark Permite o acesso de todo o restoR1(config)#access-list 99 permit any

3 formas de fazer a mesma coisa

Podemos usar o parâmetro “remark” para incluirmos descrições sobre a finalidade da ACL


Wildcard

● Wildcard (ou “máscaras coringa”) são utilizados em ACLs para especificar que parte do endereço IP de origem ou de destino deve ser considerada no processo de filtragem.

● Se considerarmos somente sub-redes, os wildcards seriam representações invertidas das máscaras de rede;

● Para converter uma máscara comum em wildcard consiste em subtrair 255 do valor do octeto da máscara;

● Ex: 255 255 255 255

255 255 128 0

0 0 127 255

Subtrair Máscara

Wildcard


Wildcard

● Para as ACLs, wildcards são muito mais que meras “máscaras invertidas”;

● Bits “0” no wildcard dizem ao IOS que os bits correspondentes no endereço IP informado devem se idênticos para que uma correspondência ocorra;

● Bits “1” significa “tanto faz”, que qualquer coisa no endereço ip será considerado uma correspondência;


Wildcard

● Ex01: Criar um associação endereço IP e wildcard que filtre apenas endereços IP terminados em números ímpares:

● Ex02: Identificar apenas endereços IP que tenham o seguinte padrão “10.[qualquer coisa PAR].11.[qualquer coisa ímpar]”;


Wildcard – Ex01 Resolvido● Ex01: Criar um associação endereço IP e wildcard que filtre

apenas endereços IP terminados em números ímpares:Exemplos de endereços ímpares

x.x.x.99 01100011x.x.x.57 00111001

Repare que o último bit é sempre 1, qualquer octeto que tiver um número impar terá seu último bit ativado.

A wildcard ficaria

255.255.255.254 11111111.11111111.11111111.11111110

E a ACL ficaria:

#access-list 33 deny 0.0.0.1 255.255.255.254

O 0 quer dizer que o o bit do endereço que esta sendo analisado deve ser idêntico ao bit do ip que está na ACL.

IP 00000000 00000000 00000000 00000001

W 11111111 11111111 11111111 11111110

R 1 = Qualquer Coisa 1 = Qualquer Coisa 1 = Qualquer Coisa 1 = Qualquer Coisa

O 0 quer dizer que o bit correspondente do endereço que está sendo comparado com essa ACL deve ser

idêntico ao do IP informado na ACLO IP 192.168.0.254 seria permitido ou negado? E o 253?

1

2


Wildcard – Ex01 Resolvido

● Identificar apenas endereços IP que tenham o seguinte padrão “10.[qualquer coisa PAR].11.[qualquer coisa ímpar]”;

IP: 10.PAR.11.IMPAR

WILDCARD:

00000000.11111110.00000000.11111110

ACL

#access-list 33 permit 10.0.11.1 0.254.0.254

IP 00001010 00000000 00001011 00000001

W 00000000 11111110 00000000 11111110

R 0 = BIT deve ser = 1 = Qualquer Coisa 0 = BIT deve ser = 1 = Qualquer Coisa


Wildcard

● Podem ser requeridos em situações onde se deseja filtrar apenas um intervalo específico de endereços IP;

● A técnica mas rápida para descobrir o wildcard correto é a de blocos:

Octeto na Máscara 0 128 192 224 240 248 252 254 255

“Blocos” Wildcard 255 127 63 31 15 7 3 1 0


Wildcard● Ex: Wildcard que filtre o intervalo de endereços compreendido

entre 192.168.10.132 à 192.168.10.149: 149 – 132 = 17

● Basta agora encontrar o bloco que seja maior ou igual ao valor encontrado:

Octeto na Máscara 0 128 192 224 240 248 252 254 255

“Blocos” Wildcard 255 127 63 31 15 7 3 1 0

O wildcard ficaria: 0.0.0.31 e a ACL: #access-list 11 permit 192.168.10.132 0.0.0.31

IP inicial 1 0 0 0 0 1 0 0 132

IP final 1 0 0 1 0 1 0 1 149

Wildcard 0 0 0 1 1 1 1 1 31

Intervalo 1280 0 0 0 0 128

1 1 1 1 1 159

“0” significa que os bits devem ser idênticos quando comparados

“1” significa qualquer coisa

Padrão que se repete no menor e no maior endereço do intervalo


Wildcard

● O método de “blocos” é rápido mas pode falhar: Ex: intervalo de 192.168.10.120 a 192.168.10.131, pela técnica de blocos seria:

● 131 – 120 = 11, o bloco equivalente seria 15

IP inicial 0 1 1 1 1 0 0 0 120

IP final 1 0 0 0 0 0 1 1 131

Wildcard 0 0 0 0 1 1 1 1 15

Intervalo ???0 0 0 0 ???

1 1 1 1 ???

Não existe padrão que se repete no menor e no maior endereço do intervalo

Se eu criasse a ACL: #access-list 11 permit 192.168.10.120 0.0.0.15 por exemplo, ela iria bloquear o IP 192.168.10.131 pois 131 em binário é 10000011 e a wildcard que estou utilizando exige que os 4 primeiros bits tenham que ser idênticos a 0111 (do IP 120). Nesse caso que não existe um padrão de petição entre os dois endereços só a wildcard 255 resolveria. Então qual técnica devo utilizar?


Wildcard

● Uma ACL com os parâmetros:– 0.0.0.0 255.255.255.255 significa qualquer coisa;

– Pode ser substituído pela palavra “any”

– #access-list permit any


Aplicação ACL

● Restringir acesso remoto (via Telnet) a um router ou switch;

● O problema é que qualquer interface ativa e com um endereço IP é passível de acesso remoto;

● Basta aplicar uma ACL diretamente nas linhas VTY:

R1(config)# access-list 50 permit 172.16.10.9R1(config)# line vty 0 15R1(config-line)# access-class 50 in


ACL Estendidas

● Permite que se filtre a rede não apenas observando o IP de origem, mas também o endereço IP de destino;

● O protocolo e parâmetros adicionais, com número de porta lógica TCP ou UDP de origem e destino;

Tipo Intervalo Numérico

IP Extended 100-199

IP Extended (intervalo ampliado) 2000-2699

access-list [número] [permit|deny] [protocol] [rede/host origem] [wildcard] [rede/host destino] [wildcard] [parâmetros do protocolo]


ACL Estendidas

● Temos que ter em mente que o mais abrangente dos protocolos sempre será o IP;

● Assim, uma regra “permit” ou “deny” usando o protocolo IP sempre será mais abrangente do que uma usando qualquer outro protocolo;

Aplicações FTP TELNET SNMP WWW TFTP SMTP POP3

Camadas3/4

ICMP EIGRP OSPF GRE TCP UDP Outros

IP

Portas TCP/UDP


Aplicação ACL EstendidaA network associate is adding security to the configuration of the Corp1 router. The user on host C should be able to use a web browser to access financial information from the Finance Web Server. No other hosts from the LAN nor the Core should be able to use a web browser to access this server. Since there are multiple resources for the corporation at this location including other resources on the Finance Web Server, all other traffic should be allowed.

The task is to create and apply a numbered access-list with no more than three statements that will allow ONLY host C web access to the Finance Web Server. No other hosts will have web access to the Finance Web Server. All other traffic is permitted.Access to the router CLI can be gained by clicking on the appropriate host.

All passwords have been temporarily set to “cisco”.The Core connection uses an IP address of 198.18.196.65The computers in the Hosts LAN have been assigned addresses of 192.168.33.1 – 192.168.33.254Host A 192.168.33.1Host B 192.168.33.2Host C 192.168.33.3Host D 192.168.33.4The servers in the Server LAN have been assigned addresses of 172.22.242.17 – 172.22.242.30The Finance Web Server is assigned an IP address of 172.22.242.23.The Public Web Server is assigned an IP address of 172.22.242.17


Aplicação ACL Estendida

Corp1>enable (senha “cisco”)01 - Primeira coisa é descobrir a interface que tem o ip .30, não foi dada a interface na topologia.Corp1#show running-configCorp1#configure terminal02 - Permitindo o host C – 192.168.33.3 para acessaro Finance Web Server 172.22.242.23 via web (porta 80)Corp1(config)#access-list 100 permit tcp host 192.168.33.3 host 172.22.242.23 eq 8003 - Bloqueando os outros hosts de acessar o Finance Web Server via webCorp1(config)#access-list 100 deny tcp any host 172.22.242.23 eq 8004 - Todo o tráfego restante é permitidoCorp1(config)#access-list 100 permit ip any any05 - Aplicando a access-list na Fa0/1 interface (direção out)Corp1(config)#interface fa0/1Corp1(config-if)#ip access-group 100 out06 - Salve a configuraçãoCorp1(config-if)#endCorp1#copy running-config startup-config


ACL Nomeada● Para ajudar da identificação da ACL, a Cisco criou as listas de

acesso identificáveis por nome, ou seja, em vez de usar números, podemos nomeá-las tornando mais fácil a caracterização de sua função, exemplos:

R1(config)#ip access-list standard bloqueia_RHR1(config-std-nacl) deny 172.16.20.0 0.0.0.255R1(config-std-nacl) any

R1(config)#ip access-list extended acesso_DCR1(config-ext-nacl)# permit ip host 172.16.10.100 anyR1(config-ext-nacl)# deny tcp any host 172.16.30.10 eq 21R1(config-ext-nacl)# deny tcp any host 172.16.30.10 eq 23R1(config-ext-nacl)# permit ip 172.16.10.0 0.0.0.255 anyR1(config-ext-nacl)# permit ip 172.16.20.0 0.0.0.255 anyR1(config-ext-nacl)# deny ip any 172.16.30.0 0.0.0.255R1(config-ext-nacl)# permit ip any any

R1(config)# int g0/2R1(config-if)# ip access-group acesso_DC out

Aplicando a ACL na interface


Editando a ACLR1(config)# do sh access-list 199Extended IP access-lis 199

10 permit ip host 172.16.10.100 any20 deny tcp any host 172.16.30.10 eq 2130 deny tcp any host 172.16.30.10 eq 2340 permit ip 172.16.10.0 0.0.0.255 any50 permit ip 172.16.20.0 0.0.0.255 any60 deny ip any 172.16.30.0 0.0.0.25570 permit ip any any

Comando SHOW para exibir a ACL desejada

Repare que existe um número que identifica cada linha da ACL. Para inserir uma nova linha na ACL, entre a 40 e a 50, basta utilizar o comando abaixo:

Comando SHOW para exibir a ACL desejada

R1(config)# ip access-list extended 199R1(config-ext-nacl)# 45 permit ip 172.16.15.0.0 0.0.0.255 anyR1(config)# do sh access-list 199Extended IP access-lis 199

10 permit ip host 172.16.10.100 any20 deny tcp any host 172.16.30.10 eq 2130 deny tcp any host 172.16.30.10 eq 2345 permit ip 172.16.15.0.0 0.0.0.255 any40 permit ip 172.16.10.0 0.0.0.255 any50 permit ip 172.16.20.0 0.0.0.255 any60 deny ip any 172.16.30.0 0.0.0.25570 permit ip any any

Para deletar alguma linha basta utilizar o comando “no” seguido do número da linha:R1(config)# ip access-list extended 199R1(config-ext-nacl)# no 45

Para redefinir o intervalo da sequência, ex de 5 em 5 utlize o comando:R1(config)# ip access-list resquence 199 1 5

1

2 3


ACL IPv6

● Mesmos princípios e parâmetros das ACLs IPv4, existem porém algumas diferenças:– Apenas podem ser criadas no formato nomeada;

– Só existem na forma estendida;

– Não há wildcards;

– O comando para aplicação é “ipv6 traffic-filter [nome da lista] [IN | OUT]”;


Ex ACL IPv6

R2SW

SW

SW

R1 Internet

DC

G0/2

G0/3

G0/0

G0/1

RH2001:ABCD:4::/64

TI2001:ABCD:0::/64

2001:ABCD:8::/642001:ABCD:8::1WWWTelnetFTP

2001:ABCD:0::1

R1(config)#ip access-list VERSAO_IPv6_ACL_199R1(config-ipv6-acl)# permit ip host 2001:ABCD:0::1 anyR1(config-ipv6-acl)# deny tcp any host 2001:ABCD:8::1 eq FTPR1(config-ipv6-acl)# deny tcp any host 2001:ABCD:8::1 eq telnetR1(config-ipv6-acl)# permit ip 2001:ABCD:0::/64 anyR1(config-ipv6-acl)# permit ip 2001:ABCD:4::/64 anyR1(config-ipv6-acl)# deny ip any 2001:ABCD:8::/64R1(config-ipv6-acl)# permit ip any any

R1(config)# int g0/2R1(config-if)# ipv6 traffic-filter VERSAO_IPv6_ACL_199 out


Protocolos WAN


Redes WAN

● Wide Area Network;● Se espalha por uma grande área geográfica;● Distingue-se de uma LAN pelo seu porte, tipo de

equipamentos utilizados, protocolos de comunicação adotados, serviços disponibilizados e complexidade desses serviços e custo da infraestrutura envolvida;

● As operadoras investem bilhões na construção dessas redes, e depois “aluga” parte delas para quem tiver interesse;

● Quanto mais “capilarizada” for a rede da operadora, menor o grau de dependência que ela terá de outras empresas/redes;


Redes WAN

● Devem ser totalmente transparente para quem as utiliza;● Não interessa ao usuário quais elementos ou protocolos

estão sendo usados na rede, ele apenas quer chegar do outro lado;

● Por isso ela é representada por uma nuvem;● Para o exame CCNA: HDLC, PPP e Frame-Relay;● Como caracterizar outros protocolos e tecnologias WAN,

como MPLS, VSAT, PPPoE, DSL, DOCSIS, Celular e Metro Ethernet;


Terminologia WAN● CPE (Customer Premises Equipment): define os equipamentos

pertencentes ao assinante do serviço e localizado em suas instalações;● Demarcation Point (“demarc”): identifica o último ponto sob a

responsabilidade (e gerência) do provedor;● Local Loop ou “última milha”: representa o enlace que conecta o demarc à

estação da operadora (central office) mais próxima;● Central Office (C.O): seria o ponto de acesso à rede do provedor (toll

network). O C.O também é conhecido por POP (Point of Presence);● Toll Network: a famosa “nuvem”, a rede da operadora;● CSU/DSU (Channel Service Unit/ Data Service Unit): dispositivo da camada

física que converte os sinais gerados pelo CPE para os sinais utilizados no ambiente da operadora;

● DTE (Data Terminal Equipament): identifica a interface do router que se conecta ao CSU/DSU

● DCE (Data Circuit Equipament): identifica a interface do CSU/DSU que se conecta ao router. É responsável pela geração do clock para a interface DTE;


Terminologia WAN

LAN

RouterCPE

Modem ouCSU/DSU

DTE DCE

DEMARC

Clock

“Ultima Milha”

C.O ou “POP”

Customer Premises (Client)

Operadora

WAN

Toll Network

Outra LAN


Terminologia WAN


Tipos de Redes WAN

● Linhas dedicadas (Leased Lines): Normalmente conexões seriais dedicadas ponto a ponto. Não existe compartilhamento de banda e a velocidade de transmissão contratada encontra-se disponível 100% do tempo;

● Comutação de circuitos: Utiliza um procedimento de estabelecimento de link análogo a uma chamada telefônica;

● Comutação de pacotes: Cada pacote pode tomar um caminho eventualmente distinto na rede do provedor possibilitando o compartilhamento da largura de banda fim-a-fim com outros usuários.


Protocolos e Serviços WAN

● cHDLC (Cisco High-Level Data Link Control)– O HDLC é um protocolo definido na camada de Enlace criado

pela ISO, e especifica um método de encapsulamento de dados em links seriais síncronos;

– Possui um overhead bastante reduzido, se comparado com outros protocolos WAN, o que se traduz em agilidade no processo de transmissão;

– A versão original do protocolo não possui informação sobre o tipo de protocolo encapsulado da camada superior (L3);

– Dessa forma, cada fabricante que suporte o HDLC defini sua própria maneira de identificar o protocolo da camada superior;

– A versão do HDLC definida pela Cisco recebe o nome de cHDLC;


Protocolos e Serviços WAN

● cHDLC (Cisco High-Level Data Link Control)– É o método de encapsulamento padrão utilizado

pelos routers Cisco em conexões seriais síncronas ou assíncronas;

– Proprietário, pode se compreendido apenas por equipamentos Cisco;

Flag Address Control Data FCS Flag

Flag Address Control Protocol Code Data FCS Flag

ISO HDLC

cHDLC

Caso os fabricantes não implementassem uma solução para o HDLC se comunicar com os diferentes protocolos definidos na camada de rede, ele seria capaz de transportar apenas um protocolo.


Configuração HDLCPor ser o modo padrão de encapsulamento serial, não há nada a se configurado para que o HDLC seja habilitado:

R1#sh int s1/0 MTU 1500 bytes, BW 1544 Kbit/sec, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation HDLC, crc 16, loopback not set

R1(config)#int s1/0R1(config-if)#encapsulation ? atm-dxi ATM-DXI encapsulation bstun Block Serial tunneling (BSTUN) frame-relay Frame Relay networks hdlc Serial HDLC synchronous lapb LAPB (X.25 Level 2) ppp Point-to-Point protocol sdlc SDLC sdlc-primary SDLC (primary) sdlc-secondary SDLC (secondary) smds Switched Megabit Data Service (SMDS) stun Serial tunneling (STUN) x25 X.25


PPP (Point-to-Point Protocol)

● Padrão de mercado definido RFC1661;● Independente de fabricante;● Como muitas versões do HDLC são proprietárias, o PPP passa a ser

uma alternativa;● Na verdade, é formado por um conjunto de protocolos, dentre eles o

HDLC ISO;● O PPP resolve a limitação do HDLC adicionando a subcamada NCP

(Network Control Protocol);● Adiciona uma série de serviços adicionais, como autenticação,

agrupamento de links e compressão de dados. Para isso, uma subcamada de controle chamada Link Control Protocol (LCP) foi incorporada;


PPP● Assim como o HDLC, o PPP é um protocolo definido na

camada de Enlace que pode ser usado em conexões seriais síncronas ou assíncronas.

Rede IPv4, IPv6

Enlace

Network Contro Protocol (NCP)

PPPLink Control Protocol (LCP)

ISO HDLC

Física

RS-232 EIA/TIA-449V.24 V.35

HSSI ISDN

NCP: subcamada responsável pela identificação dos diferentes protocolos da camada de Rede (Ipv4, Ipv6, IPX, Aplletalk...)

LCP: subcamada usada no estabelecimento, configuração, manutenção e terminação de conexões ponto a ponto. Também cuida dos serviços adicionais, como autenticação, compressão e multilink.

ISO HDLC: método de encapsulamento de datagramas através de links seriais;


PPP

ConexãoDesfeita

Fase deestabelecimento

de conexão

Fase deautenticação

LinkEstabelecido?

AutenticaçãoRequerida?

Fase NCP AutenticaçãoOK?

Fase determinaçãoda conexão

Não

Sim

Não

Não

Sim

Sim

Fases do estabelecimento de uma sessão PPP


Autenticação PPP

● Dois métodos de autenticação podem ser utilizados em links PPP:– Password Authentication Protocol (PAP): o PAP é o menos

seguro dos dois métodos. No PAP, senhas são enviadas como texto puro, sem criptografia;

– Challange Authentication Protocol (CHAP): após o PPP ter concluído a fase de estabelecimento de conexão, o router local envia uma requisição chamada challenge request ao dispositivo remoto. Esse dispositivo envia ao router um valor calculado utilizando uma função especial chamada MD5. O router efetua, então a comparação desse valor com o gerado por ele. Caso uma divergência seja identificada, a conexão é imediatamente desfeita.


Configuração PPP

R1 R2

R1(config)#username R2 password cisco2R1(config)#int s2/0R1(config-if)#encap pppR1(config-if)#ip add 192.168.60.1 255.255.255.252R1(config-if)#ppp authentication papR1(config-if)#ppp pap sent-username R1 password cisco1R1(config-if)#no shut

S2/0 S2/0

192.168.60.0/30

R2(config)#username R1 password cisco1R2(config)#int s2/0R2(config-if)#encap pppR2(config-if)#ip add 192.168.60.2 255.255.255.252R2(config-if)#ppp authentication papR2(config-if)#ppp pap sent-username R2 password cisco2R2(config-if)##no shut

Repares que os usuários e senhas são criados de forma invertida.

1 - PAP

2 - CHAP

R1(config)#username R2 password ciscoR1(config)#int s2/0R1(config-if)#encap pppR1(config-if)#ip add 192.168.60.1 255.255.255.252R1(config-if)#ppp authentication chapR1(config-if)#no shut

R2(config)#username R1 password ciscoR2(config)#int s2/0R2(config-if)#encap pppR2(config-if)#ip add 192.168.60.2 255.255.255.252R2(config-if)#ppp authentication chapR2(config-if)##no shut


PPP over Ethernet (PPPoE)

● PPP pode ser usado em redes Ethernet para prover as vantagens de uma rede ponto-a-ponto sobre uma rede multiacesso;

● Nos permite acesso aos serviços disponíveis ao PPP, como autenticação e gerenciamento de sessão;

● Ethernet e PPP são da camada de enlace, para conseguirmos usar PPP em redes Ethernet, é preciso encapsular o frame PPP com o cabeçalho do frame Ethernet:

End. Origem End. Destino Ethertype

Dados

CRCFrame PPP + Dados

Frame Ethernet

Obs: O overhead gerado pelo processo de encapsulamento do frame PPP em um frame ethernet é de 8 bytes


Configuração PPPoE e outros

Configuração PPPoE

R1(config)# interface dialer1R1(config-if)# dialer pool 1R1(config-if)# encap pppR1(config-if)# mtu 1492R1(config-if)# ip address negotiatedR1(config-if)# ppp chap hostname [email protected](config-if)# ppp chap password cisco

R1(config)# interface f0/0R1(config-if)# no ip addR1(config-if)# ppoe-client dial-pool-numberR1(config-if)# no shut

Verificação e monitoramento

R1# sh int s0/0R1# debug ppp authentication


Frame Relay

● Protocolo WAN que surgiu nos anos 90;● Disponibiliza recursos que permitem a alocação

dinâmica de banda e controle eficiente de congestionamento de dados na rede;

● Routers Cisco suportam dois tipos de encapsulamento Frame-Relay: Cisco e IETF;

● O encapsulamento Cisco só funciona entre dispositivos Cisco, caso na outra ponta seja utilizado outro fabricante, o IETF deve ser utilizado;


Frame Relay

● Provê uma comunicação orientada à conexão na camada de enlace, por meio do estabelecimento de circuitos virtuais permanentes (PVCs);

● Esses circuitos são conexões lógicas criadas entre dois dispositivos DTE através de uma rede Frame-Relay, identificadas por um número chamado de DLCI (Data Link Connection Identifier);

● Operam estritamente na camada 2, toda e qualquer informação da camada 3 é completamente irrelevante;


Frame Relay

● Essencialmente, a rede Frame-Relay é composta de switches que têm o papel de comutar os frames Frame-Relay de um ponto da rede para outro:

LAN AZUL R1 DLCI 16

“Nuvem” Frame-Relay

LANVERDER2DLCI 17

PVC

LMI LMI

R1 enxerga R2 como se estivesse diretamente conectado e vice versa.


Frame-Relay DLCIs

● São endereços de camada 2 usados em redes Frame-Relay, análogo ao endereço MAC em redes ethernet;

● Designado pela operadora;● Para que os elementos IP em cada ponta do circuito possam se

comunicar, seus endereços IP devem ser mapeados para endereços DLCI (algo semelhante ao que o ARP faz em redes ethernet);

● Esse mapeamento pode ser realizado de forma manual ou através do IARP (Inverse ARP);

● Se a conexão for ponto-a-ponto, o mapeamento é desnecessário, já que existe apenas uma possibilidade de caminho para o frame;


Frame Relay DLCIs

SW FRRede

Frame-Relay

DLCI 41 SW FR

SW FR

PVC1

PVC2

DLCI 42

DLCI 40

DLCI 40

Switch Frame Relay (SW FR)

Se em uma mesma interface tivermos vários PVCs, teremos um endereço DLCI associado a cada PVC definido.

Repare que cada interface (ou subinterface) em uso deve ter um DLCI associando-a ao PVC Frame-Relay.

Os números DLCI são normalmente designados pelo provedor do serviço, vão do 16 ao 991


Frame Relay LMI

● A Interface de Gerenciamento Local (LMI) é um padrão de sinalização usado entre a CPE e um switch Frame-Relay;

● É responsável pelo gerenciamento e manutenção do status entre dispositivos DTE e DCE Frame-Relay. Mensagens LMI provêm informações sobre:– Keepalives: verifica a conectividade e sincronismo entre as pontas DCE e

DTE;

– Multicasting: extensão que permite o uso de multicast em redes Frame-Relay, que por padrão, são redes do tipo NBMA (Non-Broadcast Multiaccess);

– Global DLCI: Permite que os DLCIs passem a ter significância global dentro da rede Frame-Relay;

– Informações sobre os Circuitos Virtuais (PVCs): Os status possíveis de um PVC são: ACTIVE, INACTIVE ou DELETED.

PVC se encontra ativo, e os CPEs podem transmitir dados um para o outro sem problema

Existe um problema com a outra ponta do PVC que precisa ser verificado

A interface Frame-Relay do CPE não está mais recebendo informações sobre um determinado PVC.


Políticas de Tráfego Frame-Relay

Bits

Tempo

Descarte

EIR

CIR

Be

Bc + Be

Bc

0Bits tra

nsmitidos

Velocidade da

Porta (P

IR)

DE=0

DE=1

Tráfego garantido (committed): pacotes transmitidos dentro de um intervalo de bits “BC” (committed burst) definido para um determinado período de tempo (“TC”).

Tc

Tráfego em excesso: Pacotes transmitidos acima do valor máximo de bits definido para “BC”, mas dentro de um intervalo de bits “BE” (excess burst), em um determinado período de tempo (“Tc”), recebem um marcação “DE” (Discard Eligibility).

Em caso de congestionamento os pacotes marcados com DE serão descartados primeiro.

Commited Information Rate: Taxa de transmissão média garantida pela operadora.

Excess Information Rate: Taxa de transmissão possível de ser alcançada.

Capacidade física da porta

EIR o que é vendido, CIR é o que é garantido, se a velocidade for menor que o CIR contratado penalizações podem ocorrer.


Controles de Congestionamento

● DE (Discard Eligibility): quando a taxa de transmissão ultrapassa o CIR contratado, o switch Frame-Relay ativa o bit DE no cabeçalho do frame, que passa de 0 para 1. Se a rede estiver congestionada o frame com DE ativado será descartada;

● FECN (Forward-Explicit Congestion Notification): quando um congestionamento é identificado na rede, o bit FECN no cabeçalho dos frames é ativado. Isso informará ao CPE destino que a rota recém-atravessada encontra-se congestionada, e informa aos protocolos e serviços da camada superior que algum atraso é esperado;

● BECN (Backward-Explicit Congestion Notification): igual ao FECN, mas na direção oposta , informam a CPE origem que existe um congestionado.


Exemplo Questão

● Users have been complaining that their Frame Relay connection to the corporate site is very slow. The network administrator suspects that the link is overloaded. Based on the partial output of the Router #show frame relay pvc command shown in the graphic, which output value indicates to the local router that traffic sent to the corporate site is experiencing congestion?


Topologias Frame Relay

RedeFrame-Relay

Multiponto

DLCI 102

R2

R1

R3

S1/0

DLCI 201

DLCI 301

192.168.60.0/24

DLCI 103

S1/0

S1/0

192.168.60.1

192.168.60.2

192.168.60.3

1.1.1.1

3.3.3.3

2.2.2.2

DLCI IP

102 192.168.60.2

103 192.168.60.3

DLCI IP

301 192.168.60.1

DLCI IP

201 192.168.60.1

Na topologia acima não existe PVC definido para todos os pontos, somente de R1 para R2 e de R1 para R3. Assim o IARP não mapeará os endereços DLCI para endereços IP de R2 para R3 e vice-versa, já que não existe um PVC ativo conectando estes dois pontos.

R3 e R2 não conseguem se comunicar.


Topologias Frame RelayConfiguração da topologia anterior:

R1(config)#int lo1R1(config-if)#ip add 1.1.1.1 255.255.255.255R1(config-if)#int s1/0R1(config-if)#encap frameR1(config-if)#ip add 192.168.60.1 255.255.255.0

R2(config)#int lo2R2(config-if)#ip add 2.2.2.2 255.255.255.255R2(config-if)#int s1/0R2(config-if)#encap frameR2(config-if)#ip add 192.168.60.2 255.255.255.0

R3(config)#int lo3R3(config-if)#ip add 3.3.3.3 255.255.255.255R3(config-if)#int s1/0R3(config-if)#encap frameR3(config-if)#ip add 192.168.60.3 255.255.255.0R3# ping 192.168.60.2….

#sh frame-relay map

Do R3 não conseguimos pingar o R2, isso se deve ao fato de não termos um mapeamento DLCIxIP para o IP do R3, como não existe um PVC dedicato a esses dois roteadores o IARP não consegue fazer esse mapeamento de forma automática.


Topologias Frame Relay

RedeFrame-Relay

Multiponto

DLCI 102

R2

R1

R3

S1/0

DLCI 201

DLCI 301

192.168.60.0/24

DLCI 103

S1/0

S1/0

192.168.60.1

192.168.60.2

192.168.60.3

1.1.1.1

3.3.3.3

2.2.2.2

DLCI IP

102 192.168.60.2

103 192.168.60.3

DLCI IP

301 192.168.60.1

301 192.168.60.2

DLCI IP

201 192.168.60.1

201 192.168.60.3

R3 e R2 agora conseguem se comunicar.

R2(config-if)#int s1/0R2(config-if)#frame-relay map ip 192.168.60.3 201 broadcast

R3(config-if)#int s1/0R3(config-if)#frame-relay map ip 192.168.60.2 301 broadcastR3# ping 192.168.60.2!!!!! AGORA O PING FUNCIONA

Solução Mapeamento manual:


Split-Horizon no Frame-Relay

● Uma atualização de roteamento não pode ser enviada de volta para a mesma interface na qual ela foi recebida. Se usarmos RIP ou EIGRP teremos problemas:

RedeFrame-Relay

Multiponto

DLCI 102

R2

R1

R3

S1/0

DLCI 201

DLCI 301

192.168.60.0/24

DLCI 103

S1/0

S1/0

192.168.60.1

192.168.60.2

192.168.60.3

1.1.1.1

3.3.3.3

2.2.2.2

Repare que no R1 só existe a interface s1/0, se R3 divulgar sua rede via EIGRP ela nunca vai chegar no R2, pois a rota aprendida via s1/0 nunca será propagada pela mesma s1/0 para o R2

3.3.3.3

3.3.3.3

Split-Horizon



● Existem três formas de resolver este problema– Primeira: Desabilitar a regra Split-Horizon nas

interfaces Frame-Relay, na verdade quando você escolhe o encapsulation frame-relay ele já desabilita essa regra.

– Não é a melhor opção, já que desabilitando essa regra pode ocorrer loops na rede;

R3#sh int s1/0 | inc Split

Split Horizon is disabled



● Segunda: Criar um topologia full-mesh, solicitando a operadora que crie PVCs entre todas as CPEs ($$$$$), a operadora vai cobrar por cada novo PVC criado.

RedeFrame-Relay

Multiponto

DLCI 102R1

S1/0

DLCI 201

DLCI 301

192.168.60.0/24

DLCI 103

S1/0

S1/0

192.168.60.1

192.168.60.2

192.168.60.3

1.1.1.1

3.3.3.3

2.2.2.2

Número de PVCs em topologias full-mesh é dado pela fórmula [n*(n-1)]/2 onde n é o número de CPEs

R2

R3

DLCI 203

DLCI 301

Novo PVCCriado



● Terceira: Usar a combinação de conexões ponto-a-ponto e subinterfaces. Cada subinterface é tratada como se fosse uma interface física distinta, assim o split-horizon não bloquearia os anúncios de roteamento entre R2 e R3:

RedeFrame-Relay

MultipontoR1S1/0.102

DLCI 201

DLCI 301

192.168.60.0/24

DLCI 103

S1/0

S1/0

192.168.60.1

192.168.60.2

192.168.70.3

1.1.1.1

3.3.3.3

2.2.2.2R2

R3

DLCI 203

DLCI 301

S1/0.103

192.168.70.1

DLCI 102

Repare que foram criadas 2 subinterfaces dentro da interface s1/0, e foi criada uma nova rede para a conexão entre R1 e R3

3.3.3.3

3.3.3.3


Comandos de Verificação do Frame-Relay

#show frame-relay lmi: apresenta estatísticas sobre o tráfego LMI trocado entre o router e o switch frame-relay;

#show frame-relay pvc: relaciona todos os circuitos virtuais (PVCs) configurados e os respectivos endereços DLCI.

#show frame map;

#debug frame lmi;


Outras Tecnologias WAN

● Ethernet WAN e Metro Ethernet:– O padrão Ethernet já é bem maduro (mais de 20anos), simples,

flexível, confiável, de baixo custo e de fácil manutenção;

– O único motivo para não se usar Ethernet sobre longas distâncias, no passado, era a limitação imposta pelos meios de acesso disponíveis na época;

– Com a evolução da fibra óptica, Ethernet passou a ser uma alternativa interessante e de baixo custo para cenários WAN;

– Metro Ethernet é um modo de utilizar todos os benefícios trazidos por redes Ethernet em áreas geograficamente distribuídas (WAN);

– Vantagens: Alto desempenho, alta disponibilidade, excelente tempo de resposta, baixo custo, alta velocidade;



● MPLS (Multi Protocol Label Switching):– O rápido crescimento da Internet colocou uma enorme carga nas redes

dos provedores. Os serviços utilizados pelos usuários passaram a demandar mais recursos e QoS, não bastava apenas aumentar a banda em suas redes, o provedor precisava de uma nova arquitetura que pudesse prover QoS, fazer engenharia de tráfego e tivesse o custo baixo;

– Tecnologia de comutação de pacotes definida nas camadas 2 e 3 do modelo OSI (também chamada de “camada 2,5”), e permite aos provedores o oferecimento de um leque de serviços aos seus clientes;

– Em termos de QoS, a marcação DiffServ permite que fluxo de dados específicos recebam prioridades diferenciados;

– O serviço opera comutando pacotes IP, e não puramente L2, isso permite interoperação com qualquer tipo de tecnologia de acesso que suporte IP;

– Pacotes são comutados através de labels. Replicou-se a agilidade da comutação da camada 2 em uma rede camada 3.



● VSAT (Very Small Aperture Terminal)– Tecnologia WAN que usa satélites e não cabos para

prover o acesso;

– Útil em localidades que não conseguimos chegar com cabos;

– Algumas limitações que devem ser consideradas:● Alto custo por megabyte;● Alto delay● Largura de banda limitada;● Afetada pelo clima (chuva ou tempo encoberto);


Tecnologias Populares de Acesso à Internet

● DSL (Digital Subscriber Line) e suas variações (ADSL, HDSL, VDSL, SDSL):– São bastante populares, e usam os mesmos pares metálicos do

sistema de telefonia para a transmissão e recepção de dados;

– Utiliza as frequências entre 4 e 22KHz para a transferência dos dados (a voz utliza de 300 a 3400Hz);

– No lado do assinante, um MODEM é necessário para converter o sinal do CPE para a rede da operadora;

– No lado da operadora, é necessário fazer a divisão de frequências, encaminhando os dados para internet, e a voz para a rede de telefonia. Quem faz isso é o DSLAM (DSL Access Multiplexer);

– Tem limitação de velocidade (50Mbps) e de distância entre o provedor e o assinante, cerca de 4Km)


Tecnologias Populares de Acesso à Internet

● HFC/DOCSIS (Data Over Cable Service Interface Specification):– Usado para transmissão de dados sobre redes de

operadoras de TV a cabo, chamadas de rede HFC (Hybrid Coax Fiber);

– Principio é o mesmo do DSL, canais de TV utilizam faixas específicas de frequência, e dados outra;

– A terminação dos MODEMs é o CMTS (Cable Modem Termination System). Os acessos via rede HFC podem alcançar até 100Mbps;


Configuração de Switches


O Modelo de 3 Camadas Cisco

SW L3 SW L3

SWCORE

SWCORE

SW L2 SW L2 SW L2 SW L2

100Mb / 1Gb

1Gb / 10Gb

Acesso

Distribuição

Core(Data Center)

PoE

Repare que a medida que subimos as camadas o tráfego vai aumentando

Internet


Cascateamento e Empilhamento

● Existem duas formas de interconectar os switches entre si com o objetivo de aumentar sua densidade de portas:– Cascateamento: Interligação se dá através de uma porta Ethernete,

a largura de banda é limitada pela velocidade das portas;

– Empilhamento: Interligação através de uma porta específica para empilhamento, chamada de porta “stack”. Nem todos os modelos suportam e cada fabricante implementa um tipo diferente de porta e cabo utilizado. São muitas as vantagens do empilhamento sobre o cascateamento:

● Todos os switches são vistos com uma só unidade lógica;● Tráfego de um switch para outro não utiliza o backplane;● Sem problemas com protocolo STP;


Apresentação do Switch

1 SYST LED 5 Speed Led

2 RPS LED 6 PoE LED

3 Status LED 7 Mode Button

4 Duplex LED 8 Port Leds

STAT: Verde indica que há um dispositivo conectado; Verde “piscante” indica atividade na porta; Laranja significa que a porta encontra-se bloqueada pelo STP, Laranja Piscante significa que além de estar bloqueada, ela não está enviando ou recebendo frames. Alternância entre verde e âmbar indica problema com o link.

DUPLX(duplex): Verde = Full-Duplex, Apagado = Hal-Duplex;

SPEED:Apagado 10Mbps, Verde 100Mbps, Verde Piscante 1Gbps;

Conforme pressionamos este botão podemos observar uma das três diferentes combinações para os LEDs das portas.

Portas Console e SFP


Configurações

● Configuração padrão em um switch Cisco:– CDP: habilitado em todas as portas;

– Switching Mode: Store and Forward;

– Interfaces: autonegociação de velocidade e duplex (half ou full);

– Modo das Interfaces: todas ativas (“no shut”) e configuradas no modo DTP dynamic auto;

– VLAN Nativa: VLAN 1;

– Spanning Tree: enable;

– Senhas: nenhuma;

– Modo VTP: Server;

– Domínio VTP: nenhum;


Config – IP e Interfaces

SW1(config)#interface vlan 1SW1(config-if)#ip address 192.168.60.10 255.255.255.0SW1(config-if)#no shutSW1(config-if)#exit

SW1(config)#ip default-gateway 192.168.60.1

SW1(config)#interface f0/0SW1(config-if)#description AP-SALA-DIRETORIASW1(config)#interface range f0/0 - 3

SW1#sh int e0/0Ethernet0/0 is administratively down, line protocol is down (disabled) Hardware is AmdP2, address is aabb.cc00.0100 (bia aabb.cc00.0100) Description: AP-SALA-DIRETORIA MTU 1500 bytes, BW 10000 Kbit/sec, DLY 1000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Auto-duplex, Auto-speed, media type is unknown input flow-control is off, output flow-control is unsupported

SW1(config-if-range)#speed ? 10 Force 10 Mbps operation 100 Force 100 Mbps operation auto Enable AUTO speed configurationSW1(config-if-range)#duplex ? auto Enable AUTO duplex configuration full Force full duplex operation half Force half-duplex operation


Config – Tabela Mac

SW1#sh mac address-table Mac Address Table-------------------------------------------

Vlan Mac Address Type Ports---- ----------- -------- ----- 1 0050.7966.6801 DYNAMIC Et0/0 1 0050.7966.6802 DYNAMIC Et0/1Total Mac Addresses for this criterion: 2

SW1(config)#mac address-table static 0006.0006.0006 vlan 1 interface ethernet 0/3

SW1#sh mac address-table Mac Address Table-------------------------------------------

Vlan Mac Address Type Ports---- ----------- -------- ----- 1 0006.0006.0006 STATIC Et0/3 1 0050.7966.6801 DYNAMIC Et0/0 1 0050.7966.6802 DYNAMIC Et0/1Total Mac Addresses for this criterion: 3


Config – Port-securityPor padrão, até 132 endereços MAC podem se associados a uma interface de um switch, ou seja, um usuário qualque pode trazer um AP e conectá-lo ao seu ponto de rede e pronto.

SW1(config)#int f0/0SW1(config-if)#switchport mode access SW1(config-if)#switchport port-security ? aging Port-security aging commands mac-address Secure mac address maximum Max secure addresses violation Security violation modeSW1(config-if)#switchport port-security mac-address ? H.H.H 48 bit mac address sticky Configure dynamic secure addresses as stickySW1(config-if)#switchport port-security mac-address sticky SW1(config-if)#switchport port-security maximum ? <1-4097> Maximum addressesSW1(config-if)#switchport port-security maximum 2SW1(config-if)#switchport port-security violation ? protect Security violation protect mode restrict Security violation restrict mode shutdown Security violation shutdown modeSW1(config-if)#switchport port-security violation shutdown


Config - VLANs

SW1#sh vlan

VLAN Name Status Ports---- -------------------------------- --------- -------------------------------1 default active Et0/1, Et0/2, Et0/3, Et1/0 Et1/1, Et1/2, Et1/310 TI active 20 RH active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup

VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------1 enet 100001 1500 - - - - - 0 0 10 enet 100010 1500 - - - - - 0 0 20 enet 100020 1500 - - - - - 0 0 1002 fddi 101002 1500 - - - - - 0 0 1003 tr 101003 1500 - - - - - 0 0 1004 fdnet 101004 1500 - - - ieee - 0 0 1005 trnet 101005 1500 - - - ibm - 0 0

Primary Secondary Type Ports------- --------- ----------------- ------------------------------------------

SW1(config)#vlan 10SW1(config-vlan)#naSW1(config-vlan)#name TISW1(config-vlan)#vlan 20SW1(config-vlan)#name RHSW1(config-vlan)#end


Config – Trunk Links

● Cisco Dynamic Trunking Protocol (DTP): Protocolo proprietário da Cisco cujo objetivo é negociar o estabelecimento de um trunk entre dois switches. Os modos de operação suportados pelo DTP são os seguintes:

– Dynamic Auto: estabelece o trunk passivamente, com base na solicitação DTP enviada pela porta de um switch vizinho configurado como “dynamic desirable”;

– Dynamic Desirable: tenta ativamente estabelecer um trunk com o switch vizinho. O trunk apenas será formado se a outra ponta também estiver configurada no modo “desirable”, ou se estiver configurada como auto;

– Nonegotiate: desabilita o protocolo DTP na interface.

● Por padrão, todas as interfaces de um switch encontram-se no modo “dynamic auto”;

– SW1(config)#int range f0/1-24

– SW1(config)#switchport mode access

– SW1(config)#switchport nonegotiate


Config – Trunk Links e STP

SW1(config-if)#switchport mode trunk

Em switches mais antigos temos que utilizar também o comando:

SW1(config-if)#switchport trunk encap dot1qSW1(config-if)#switchport mode trunk

Para permitir que somente as vlans desejadas passem pelo tronco:

SW1(config-if)#switchport trunk allowed vlan 10,20-30,10

SW1(config-if)#switchport trunk native vlan 10

SW1#sh int g1/1 trunk

SW1(config)#spanning-tree ? backbonefast Enable BackboneFast Feature etherchannel Spanning tree etherchannel specific configuration extend Spanning Tree 802.1t extensions logging Enable Spanning tree logging loopguard Spanning tree loopguard options mode Spanning tree operating mode mst Multiple spanning tree configuration pathcost Spanning tree pathcost options portfast Spanning tree portfast options transmit STP transmit parameters uplinkfast Enable UplinkFast Feature vlan VLAN Switch Spanning Tree

SW1(config)#spanning-tree mode ? mst Multiple spanning tree mode pvst Per-Vlan spanning tree mode rapid-pvst Per-Vlan rapid spanning tree mode


Roteamento Inter-Vlans

SW1 SW2

R1

TRUNK

Curso CCNA

Documents

Transcript of Curso CCNA