apostilas tcp-ip

5/16/2018 Apostilas TCP-IP - slidepdf.com

http://slidepdf.com/reader/full/apostilas-tcp-ip 1/234

Introdução

Esta é a primeira parte de um total de 12 partes, deste tutorial de TCP/IP. O objetivo da Parte 1

é apresentar o protocolo TCP/IP e os sues aspectos básicos de utilização em redes baseadas noWindows 2000 (Server e Professional) e no Windows XP. Nesta primeira parte faremos umaapresentação do protocolo TCP/IP, de tal maneira que o leitor possa entender exatamente o queé o TCP/IP e como é configurada uma rede baseada neste protocolo. Nas demais partes destetutorial abordaremos uma série de assuntos, tais como:

• O Sistema Binário de Numeração.

• Conversão de Binário para Decimal.

• Endereços IP e Máscara de sub-rede.

• Configurações do TCP/IP no Windows 2000 e no Windows XP.

• Endereçamento no protocolo IP.

• Roteamento.

• O conceito de sub-redes e exemplos práticos.

• Comandos disponíveis no Windows 2000 e no Windows XP, relacionados com oprotocolo TCP/IP.

Um visão geral do protocolo TCP/IP

Para que os computadores de uma rede possam trocar informações é necessário que todosadotem as mesmas regras para o envio e o recebimento de informações. Este conjunto deregras é conhecido como Protocolo de comunicação. Falando de outra maneira podemos afirmar:"Para que os computadores de uma rede possam trocar informações entre si é necessário quetodos estejam utilizando o mesmo protocolo". No protocolo de comunicação estão definidastodas as regras necessárias para que o computador de destino, "entenda" as informações noformato que foram enviadas pelo computador de origem. Dois computadores com protocolosdiferentes instalados, não serão capazes de estabelecer uma comunicação e trocar informações.

Antes da popularização da Internet existiam diferentes protocolos sendo utilizados nas redes dasempresas. Os mais utilizados eram os seguintes:

• TCP/IP

• NETBEUI

• IPX/SPX

• Apple Talk

Se colocarmos dois computadores ligados em rede, um com um protocolo, por exemplo o TCP/IPe o outro com um protocolo diferente, por exemplo NETBEUI, estes dois computadores nãoserão capazes de estabelecer comunicação e trocar informações. Por exemplo, o computadorcom o protocolo NETBEUI instalado, não será capaz de acessar uma pasta ou uma Impressoracompartilhada no computador com o protocolo TCP/IP instalado.



À medida que a Internet começou, a cada dia, tornar-se mais popular, com o aumentoexponencial do número de usuários, o protocolo TCP/IP passou a tornar-se um padrão de fato,utilizando não só na Internet, como também nas redes internas das empresas, redes estas quecomeçavam a ser conectadas à Internet. Como as redes internas precisavam conectar-se àInternet, tinham que usar o mesmo protocolo da Internet, ou seja: TCP/IP.

Dos principais Sistemas Operacionais do mercado, o UNIX sempre utilizou o protocolo TCP/IPcomo padrão. O Windows dá suporte ao protocolo TCP/IP desde as primeiras versões, porém oTCP/IP somente tornou-se o protocolo padrão a partir do Windows 2000. Ser o protocolo padrãosignifica que o TCP/IP será instalado durante a instalação do Sistema Operacional, a não ser queum protocolo diferente seja selecionado. Até mesmo o Sistema Operacional Novell, que semprefoi baseado no IPX/SPX como protocolo padrão, passou a adotar o TCP/IP como padrão a partirda versão 5.0.

O que temos hoje, na prática, é a utilização do protocolo TCP/IP na esmagadora maioria dasredes. Sendo a sua adoção cada vez maior. Como não poderia deixar de ser, o TCP/IP é oprotocolo padrão do Windows 2000 e também do Windows XP. Se durante a instalação, oWindows detectar a presença de uma placa de rede, automaticamente será sugerida a instalaçãodo protocolo TCP/IP.

Not a : Para pequenas redes, não conectadas à Internet, é recomendada a adoção do protocoloNETBEUI, devido a sua simplicidade de configuração. Porém esta é uma situação muito rara,pois dificilmente teremos uma rede isolada, sem conexão com a Internet ou com parceiros denegócios, como clientes e fornecedores.

Agora passaremos a estudar algumas características do protocolo TCP/IP. Veremos que cadaequipamento que faz parte de uma rede baseada no TCP/IP tem alguns parâmetros deconfiguração que devem ser definidos, para que o equipamento possa comunicar-se comsucesso na rede e trocar informações com os demais equipamentos da rede.

Configurações do protocolo TCP/IP para um computador em rede

Quando utilizamos o protocolo TCP/IP como protocolo de comunicação em uma rede decomputadores, temos alguns parâmetros que devem ser configurados em todos osequipamentos (computadores, servidores, hubs, switchs, impressoras de rede, etc) que fazemparte da rede. Na Figura 1 temos uma visão geral de uma pequena rede baseada no protocoloTCP/IP:



Figura 1 Uma rede baseada no protocolo TCP/IP.

No exemplo da Figura 1 temos uma rede local para uma pequena empresa. Esta rede local nãoestá conectada a outras redes ou à Internet. Neste caso cada computador da rede precisa de,pelo menos, dois parâmetros configurados:

• Número IP

• Máscara de sub-rede

O Número IP é um número no seguinte formato:

x.y .z .w

ou seja, são quatro números separados por ponto. Não podem existir duas máquinas, com omesmo número IP, dentro da mesma rede. Caso eu configure um novo equipamento com omesmo número IP de uma máquina já existente, será gerado um conflito de Número IP e umdos equipamentos, muito provavelmente o novo equipamento que está sendo configurado, nãoconseguirá se comunicar com a rede. O valor máximo para cada um dos números (x, y, z ou w)é 255.

Uma parte do Número IP (1, 2 ou 3 dos 4 números) é a identificação da rede, a outra parte é a

identificação da máquina dentro da rede. O que define quantos dos quatro números fazem parteda identificação da rede e quantos fazem parte da identificação da máquina é a máscara de sub-rede (subnet mask). Vamos considerar o exemplo de um dos computadores da rede da Figura 1:

N ú m e r o I P: 1 0 . 2 0 0 .1 5 0 . 1Sub rede : 2 55 . 255 . 255 . 0

As três primeiras partes da máscara de sub-rede (subnet) iguais a 255 indicam que os trêsprimeiros números representam a identificação da rede e o último número é a identificação doequipamento dentro da rede. Para o nosso exemplo teríamos a rede: 10 . 200 . 150 , ou seja,todos os equipamentos do nosso exemplo fazem parte da rede 10 . 200 . 150 ou, em outraspalavras, o número IP de todos os equipamentos da rede começam com 10 . 200 . 150 .



Neste exemplo, onde estamos utilizando os três primeiros números para identificar a rede esomente o quarto número para identificar o equipamento, temos um limite de 254 equipamentosque podem ser ligados neste rede. Observe que são 254 e não 256, pois o primeiro número –10 . 200 . 150 . 0 e o último – 10 . 200 . 250 . 255 não podem ser utilizados como números IP deequipamentos de rede. O primeiro é o próprio número da rede: 10.200.150.0 e o último é oendereço de Broadcast: 10.200.150.255. Ao enviar uma mensagem para o endereço deBroadcast, todas as máquinas da rede receberão a mensagem. Nas próximas partes destetutorial, falaremos um pouco mais sobre Broadcast.

Com base no exposto podemos apresentar a seguinte definição: "Para se comunicar em umarede baseada no protocolo TCP/IP, todo equipamento deve ter, pelo menos, um número IP euma máscara de sub-rede, sendo que todos os equipamentos da rede devem ter a mesmamáscara de sub-rede.

Not a : Existem configurações mais avançadas onde podemos subdividir uma rede TCP/IP emsub-redes menores. O conceito de sub-redes será tratado, em detalhes, nas próximas partesdeste tutorial.

No exemplo da figura 1 observe que o computador com o IP 10.200.150.7 está com umamáscara de sub-rede diferente dos demais: 255.255.0.0. Neste caso é como se o computadorcom o IP 10.200.150.7 pertencesse a outra rede. Na prática o que irá acontecer é que estecomputador não conseguirá se comunicar com os demais computadores da rede, por ter umamáscara de sub-rede diferente dos demais. Este é um dos erros de configuração mais comuns.Se a máscara de sub-rede estiver incorreta, ou seja, diferente da máscara dos demaiscomputadores da rede, o computador com a máscara de sub-rede incorreta não conseguirácomunicar-se na rede.

Na Tabela a seguir temos alguns exemplos de máscaras de sub-rede e do número máximo deequipamentos em cada uma das respectivas redes.

Tabela: Exemplos de máscara de sub-rede.

Máscara Núm ero de equ i pam en t os na rede

255.255.255.0 254

255.255.0.0 65.534

255.0.0.0 16.777.214

Quando a rede está isolada, ou seja, não está conectada à Internet ou a outras redes externas,através de links de comunicação de dados, apenas o número IP e a máscara de sub-rede sãosuficientes para que os computadores possam se comunicar e trocar informações.

A conexão da rede local com outras redes é feita através de linhas de comunicação de dados.Para que essa comunicação seja possível é necessário um equipamento capaz de enviarinformações para outras redes e receber informações destas redes. O equipamento utilizadopara este fim é o Roteador. Todo pacote de informações que deve ser enviado para outras redesdeve, obrigatoriamente, passar pelo Roteador. Todo pacote de informação que vem de outrasredes também deve, obrigatoriamente, passar pelo Roteador. Como o Roteador é umequipamento de rede, este também terá um número IP. O número IP do roteador deve serinformado em todos os demais equipamentos que fazem parte da rede, para que estesequipamentos possam se comunicar com os redes externas. O número IP do Roteador éinformado no parâmetro conhecido como Default Gateway. Na prática quando configuramos oparâmetro Default Gateway, estamos informando o número IP do Roteador.

Quando um computador da rede tenta se comunicar com outros computadores/servidores, oprotocolo TCP/IP faz alguns cálculos utilizando o número IP do computador de origem, amáscara de sub-rede e o número IP do computador de destino (veremos estes cálculos em



detalhes em uma das próximas lições deste tutorial). Se, após feitas as contas, for concluído queos dois computadores fazem parte da mesma rede, os pacotes de informação são enviados parao barramento da rede local e o computador de destino captura e processa as informações quelhe foram enviadas. Se, após feitas as contas, for concluído que o computador de origem e ocomputador de destino, fazem parte de redes diferentes, os pacotes de informação são enviadospara o Roteador (número IP configurado como Default Gateway) e o Roteador é o responsávelpor achar o caminho (a rota) para a rede de destino.

Com isso, para equipamentos que fazem parte de uma rede, baseada no protocolo TCP/IP econectada a outras redes ou a Internet, devemos configurar, no mínimo, os seguintesparâmetros:

• Número IP


• Default Gateway

Em redes empresarias existem outros parâmetros que precisam ser configurados. Um dosparâmetros que deve ser informado é o número IP de um ou mais servidores DNS – DomainName System. O DNS é o serviço responsável pela resolução de nomes. Toda a comunicação,em redes baseadas no protocolo TCP/IP é feita através do número IP. Por exemplo, quandovamos acessar um site: http://www.juliobattisti.com.br/, tem que haver uma maneira deencontrar o número IP do servidor onde fica hospedado o site. O serviço que localiza o númeroIP associado a um nome é o DNS. Por isso a necessidade de informarmos o número IP de pelomenos um servidor DNS, pois sem este serviço de resolução de nomes, muitos recursos da redeestarão indisponíveis.

Existem aplicativos antigos que são baseados em um outro serviço de resolução de nomesconhecido como WINS – Windows Internet Name System. O Windows NT Server 4.0 utilizava

intensamente o serviço WINS para a resolução de nomes. Com o Windows 2000 o serviçoutilizado é o DNS, porém podem existir aplicações que ainda dependam do WINS. Nestes casosvocê terá que instalar e configurar um servidor WINS na sua rede e configurar o IP desteservidor em todos os equipamentos da rede.

As configurações do protocolo TCP/IP podem ser definidas manualmente, isto é, configurandocada um dos equipamentos necessários. Esta é uma solução razoável para pequenas redes,porém pode ser um problema para redes maiores, com um grande número de equipamentosconectados. Para redes maiores é recomendado o uso do serviço DHCP – Dynamic HostConfiguration Protocol. O serviço DHCP pode ser instalado em um servidor com o Windows NTServer 4.0 ou o Windows 2000 Server. Uma vez disponível e configurado, o serviço DHCPfornece todos os parâmetros de configuração do protocolo TCP/IP para os equipamentosconectados à rede. Os parâmetros são fornecidos quando o equipamento é inicializado e podemser renovados em períodos definidos pelo Administrador. Com o uso do DHCP uma série de

procedimentos de configuração podem ser automatizados, o que facilita a vida do Administradore elimina uma série de erros.

O uso do DHCP também é muito vantajoso quando são necessárias alterações no número IP dosservidores DNS ou WINS. Vamos imaginar uma rede com 1000 computadores e que não utiliza oDHCP, ou seja, os diversos parâmetros do protocolo TCP/IP são configurados manualmente emcada computador. Agora vamos imaginar que o número IP do servidor DNS foi alterado. Nestecaso o Administrador e a sua equipe técnica terão que fazer a alteração do número IP doservidor DNS em todas as estações de trabalho da rede. Um serviço e tanto. Se esta mesmarede estiver utilizando o serviço DHCP, bastará alterar o número do servidor DNS, nasconfigurações do servidor DHCP. O novo número será fornecido para todas as estações da rede,na próxima vez que a estação for reinicializada. Muito mais simples e prático e, principalmente,com menor probabilidade de erros.



Você pode verificar, facilmente, as configurações do protocolo TCP/IP que estão definidas para oseu computador (Windows 2000 ou Windows XP). Para isso siga os seguintes passos:

1. Faça o logon.2. Abra o Prompt de comando: Iniciar -> Programas -> Acessórios -> Prompt de comando.3. Na janela do Prompt de comando digite o seguinte comando:

ipconfig/all

e pressione Enter.

4. Serão exibidas as diversas configurações do protocolo TCP/IP, conforme indicado a seguir, noexemplo obtido a partir de um dos meus computadores de casa:

O comando ipconfig exibe informações para as diversas interfaces de rede instaladas – placa derede, modem, etc. No exemplo anterior temos uma única interface de rede instalada, a qual érelacionada com uma placa de rede Realtek RTL8139 Family PCI Fast Ethernet NIC. Observe quetemos o número IP para dois servidores DNS e para um servidor WINS. Outra informaçãoimportante é o Endereço físico, mais conhecido como MAC-Address ou endereço da placa. OMAC-Address é um número que identifica a placa de rede. Os seis primeiros números/letras sãouma identificação do fabricante e os seis últimos uma identificação da placa. Não existem duasplacas com o mesmo MAC-Address, ou seja, este endereço é único para cada placa de rede.

No exemplo da listagem a seguir, temos um computador com duas interfaces de rede. Uma dasinterfaces é ligada a placa de rede (Realtek RTL8029(AS) PCI Ethernet Adapter), a qual conectao computador a rede local. A outra interface é ligada ao fax-modem (WAN (PPP/SLIP) Interface),o qual conecta o computador à Internet. Para o protocolo TCP/IP a conexão via Fax modem



aparece como se fosse mais uma interface de rede, conforme pode ser conferido na listagem aseguir:

Bem, estes são os aspectos básicos do TCP/IP. Nos endereços a seguir, você encontra tutoriais,em português, onde você poderá aprofundar os seus estudos sobre o protocolo TCP/IP:

• http://www.juliobattisti.com.br/tcpip.asp

• http://www.guiadohardware.info/tutoriais/enderecamento_ip/index.asp



• http://www.guiadohardware.info/curso/redes_guia_completo/22.asp



• http://www.vanquish.com.br/site/020608

• http://unsekurity.virtualave.net/texto1/texto_tcpip_basico.txt

• http://unsekurity.virtualave.net/texto1/tcpipI.txt

• http://www.rota67.hpg.ig.com.br/tutorial/protocolos/amfhp_tcpip_basico001.htm

• http://www.rota67.hpg.ig.com.br/tutorial/protocolos/amfhp_tcpip_av001.htm

• http://www.geocities.com/ResearchTriangle/Thinktank/4203/doc/tcpip.zip

Questão de exemplo para os exames de Certificação:

A seguir coloco um exemplo de questão, relacionada ao TCP/IP, que pode aparecer nos examesde Certificação da Microsoft. Esta questão faz parte dos simulados gratuitos, disponíveis aqui nosite.

Q uest ão 01 A seguir estão as configurações básicos do TCP/IP de três estações detrabalho: micro01, micro02 e micro03.

Con f i gu rações do m i c ro01 :

Número IP: 100.100.100.3Máscara de sub-rede: 255.255.255.0Gateway: 100.100.100.1





O micro 02 não está conseguindo comunicar com os demaiscomputadores da rede. Já o micro03 consegue comunicar-se na redelocal, porém não consegue se comunicar com nenhum recurso de outrasredes, como por exemplo a Internet. Quais alterações você deve fazerpara que t o d o s os computadores possam se comunicar normalmente,tanto na rede local quanto com as redes externas?

a)Altere a máscara de sub-rede do micro02 para 255.255.255.0Altere o Gateway do micro03 para 100.100.100.1



b) Altere a máscara de sub-rede do micro01 para 255.255.240.0Altere a máscara de sub-rede do micro03 para 255.255.240.0

c)Altere o Gateway do micro01 para 100.100.100.2Altere o Gateway do micro02 para 100.100.100.2

d) Altere o Gateway do micro03 para 100.100.100.1

e) Altere a máscara de sub-rede do micro02 para 255.255.255.0

Resposta certa: a

Comen t á r i os : Pelo enunciado o computador micro02 não consegue comunicar comnenhum outro computador da rede. Este é um sintoma típico deproblema na máscara de sub-rede. É exatamente o caso, o micro02 estácom uma máscara de sub-rede 255.255.240.0, diferente da máscara dosdemais computadores. Por isso ele está isolado na rede. Já o micro03não consegue comunicar-se com outras redes, mas consegue comunicar-se na rede local. Este é um sintoma de que a configuração do Gatewayestá incorreta. Por isso a necessidade de alterar a configuração doGateway do micro03, para que este utilize a mesma configuração dosdemais computadores da rede. Observe como esta questão testa apenasconhecimentos básicos do TCP/IP, tais como Máscara de sub-rede eDefault Gateway.

Introdução



Na Primeira Parte deste tutorial apresentei o protocolo TCP/IP e qual oseu papel em uma rede de computadores. Nesta segunda parteapresentarei os princípios básicos do sistema de numeração binário.Também mostrarei como realizar cálculos simples e conversões deBinário para Decimal e vice-versa. Feita a apresentação das operaçõesbásicas com números binários, veremos como o TCP/IP através decálculos binários e, com base na máscara de sub-rede (subnet mask),determina se dois computadores estão na mesma rede ou fazem partede redes diferentes.

Sistema de numeração binário:

Vou iniciar falando do sistema de numeração decimal, para depois fazer

uma analogia ao apresentar o sistema de numeração binário.Todos nosconhecemos o sistema de numeração decimal, no qual são baseados osnúmeros que usamos no nosso dia-a-dia, como por exemplo: 100, 259,1450 e assim por diante. Você já parou para pensar porque este sistemade numeração é chamado de sistema de numeração decimal? Não?Bem, a resposta é bastante simples: este sistema é baseado em dezdígitos diferentes, por isso é chamado de sistema de numeraçãodecimal. Todos os números do sistema de numeração decimal sãoescritos usando-se uma combinação dos seguintes dez dígitos:

0 1 2 3 4 5 6 7 8 9

Dez d íg i to s -> Sistema de numeração decimal.

Vamos analisar como é determinado o valor de um número do sistemade numeração decimal. Por exemplo, considere o seguinte número:

4 5 3 8

O valor deste número é formado, multiplicando-se os dígitos do número,de trás para frente, por potências de 10, começando com 10º. O último

dígito (bem à direita) é multiplicado por 10º, o penúltimo por 101, opróximo por 102 e assim por diante. o valor real do número é a somadestas multiplicações. Observe o esquema a seguir que será bem maisfácil de entender:

4 5 3 8

Multiplica por: 1 0 3 1 0 2 1 0 1 1 0 0

ou seja: 1000 100 10 1



Resultado: 4 x 1000 5 x 100 3 x 10 8 x 1

Igual a: 4000 500 30 8

Somando tudo: 4000+500+30+8

É igual a: 4 5 3 8

Observe que 4538 significa exatamente:

4 milhares (103)+ 5 centenas (102)+ 3 dezenas (101)

+ 8 unidades (100)

E assim para números maiores teríamos potências 104, 105 e assim pordiante. Observe que multiplicando cada dígito por potências de 10,obtemos o número original. Este princípio aplicado ao sistema denumeração decimal é válido para qualquer sistema de numeração. Sefor o sistema de numeração Octal (baseado em 8 dígitos), multiplica-sepor potências de 8: 8º, 81, 82 e assim por diante. Se for o sistemaHexadecimal (baseado em 10 dígitos e 6 letras) multiplica-se porpotências de 16, só que a letra A equivale a 10, já que não tem sentido

multiplicar por uma letra, a letra B equivale a 11 e assim por diante.

Bem, por analogia, se o sistema decimal é baseado em dez dígitos,então o sistema binário deve ser baseado em dois dígitos? Exatamente.Números no sistema binários são escritos usando-se apenas os doisseguintes dígitos:

0 1

Isso mesmo, números no sistema binário são escritos usando-se apenaszeros e uns, como nos exemplos a seguir:

0 1 0 1 1 1 0 01 1 0 1 1 1 1 00 0 0 1 1 1 1 1

Também por analogia, se, no sistema binário, para obter o valor donúmero, multiplicamos os seus dígitos, de trás para frente, porpotências de 10, no sistema binário fizemos esta mesma operação, sóque baseada em potências de 2, ou seja: 20, 21, 22, 23, 24 e assim pordiante.



Vamos considerar alguns exemplos práticos. Como faço para saber ovalor decimal do seguinte número binário: 1 1 0 0 1 1 1 0

Vamos utilizar a tabelinha a seguir para facilitar os nossos cálculos:

1 1 0 0 1 1 1 0

Multiplica por: 27 26 25 24 23 22 21 20

equivale a: 128 64 32 16 8 4 2 1

Multiplicação: 1x 128 1x64 0x 32 0x 16 1x 8 1x 4 1x 2 0x 1

Resulta em: 128 64 0 0 8 4 2 0

Somando tudo: 1 2 8 + 6 4 + 0 + 0 + 8 + 4 + 2 + 0

Resulta em: 2 0 6

Ou seja, o número binário 11001110 equivale ao decimal 206. Observeque onde temos um a respectiva potência de 2 é somada e onde temoso zero a respectiva potência de 2 é anulada por ser multiplicada porzero. Apenas para fixar um pouco mais este conceito, vamos fazer mais

um exemplo de conversão de binário para decimal. Converter o número1 1 1 0 0 0 1 0 para decimal:

1 1 1 0 0 0 1 0

Multiplica por: 27 26 25 24 23 22 21 20

equivale a: 128 64 32 16 8 4 2 1


Resulta em: 128 64 32 0 0 0 2 0

Somando tudo: 1 2 8 + 6 4 + 3 2 + 0 + 0 + 0 + 2 + 0

Resulta em: 2 2 6

Converter decimal para binário:

Bem, e se tivéssemos que fazer o contrário, converter o número 234 dedecimal para binário, qual seria o binário equivalente??



Nota: Nos exemplos deste tutorial vou trabalhar com valores de, nomáximo, 255, que são valores que podem ser representados por 8dígitos binários, ou na linguagem do computador 8 bits, o que equivaleexatamente a um byte. Por isso que cada um dos quatro números quefazem parte do número IP, somente podem ter um valor máximo de255, que é um valor que cabe em um byte, ou seja, 8 bits.

Existem muitas regras para fazer esta conversão, eu prefiro utilizar umabem simples, que descreverei a seguir e que serve perfeitamente para opropósito deste tutorial.

Vamos voltar ao nosso exemplo, como converter 234 para um binário de

8 dígitos?

Eu começo o raciocínio assim. Primeiro vamos lembrar o valor de cadadígito:

1 2 8 6 4 3 2 1 6 8 4 2 1

Lembrando que estes números representam potências de 2, começando,de trás para frente, com 20, 21, 22 e assim por diante, conformeindicado logo a seguir:

128 64 32 16 8 4 2 1

27 26 25 24 23 22 21 20

Per gun to : 128 cabe em 234? Sim, então o primeiro dígito é 1.Somando 64 a 128 passa de 234? Não, dá 192, então o segundo dígitotambém é 1. Somando 32 a 192 passa de 234? Não, dá 224, então oterceiro dígito também é 1. Somando 16 a 224 passa de 234? Passa,então o quarto dígito é zero. Somando 8 a 224 passa de 234? Não, da232, então o quinto dígito é 1. Somando 4 a 232 passa de 234? Passa,

então o sexto dígito é zero. Somando 2 a 232 passa de 234? Não, dáexatamente 234, então o sétimo dígito é 1. Já cheguei ao valordesejado, então todos os demais dígitos são zero. Com isso, o valor 234em binário é igual a:

1 1 1 0 1 0 1 0

Para exercitar vamos converter mais um número de decimal parabinário. Vamos converter o número 144 para decimal.



Pergunto: 128 cabe em 144? Sim, então o primeiro dígito é 1. Somando64 a 128 passa de 144? Sim, dá 192, então o segundo dígito é 0.Somando 32 a 128 passa de 144? Sim, dá 160, então o terceiro dígitotambém é 0. Somando 16 a 128 passa de 144? Não, dá exatamente144, então o quarto dígito é 1. Já cheguei ao valor desejado, entãotodos os demais dígitos são zero. Com isso, o valor 144 em binário éigual a:

1 0 0 1 0 0 0 0

Bem, agora que você já sabe como converter de decimal para binário,está em condições de aprender sobre o operador "E" e como o TCP/IPusa a máscara de sub-rede (subnetmask) e uma operação "E", para

verificar se duas máquinas estão na mesma rede ou não.

O Operador E:

Existem diversas operações lógicas que podem ser feitas entre doisdígitos binários, sendo as mais conhecidas as seguintes: "E", "OU","XOR" e "NOT".

Para o nosso estudo interessa o operador E. Quando realizamos um "E"entre dois bits, o resultado somente será 1, se os dois bits forem iguaisa 1. Se pelo menos um dos bits for igual a zero, o resultado será zero.Na tabela a seguir temos todos os valores possíveis da operação E entredois bits:

b i t - 1 b i t - 2 ( b i t - 1 ) E ( b i t -

2 )

1 1 1

1 0 0

0 1 0

0 0 0

Como o TCP/IP usa a máscara de sub-rede:

Considere a figura a seguir, onde temos a representação de uma redelocal, ligada a uma outras redes através de um roteador.



Temos uma rede que usa como máscara de sub-rede 255.255.255.0(uma rede classe C, mas ainda não abordamos as classes de redes, oque será feito na Parte 3 deste tutorial). A rede é a 10.200.150, ou seja,todos os equipamentos da rede tem os três primeiras partes do númeroIP como sendo: 10.200.150. Veja que existe uma relação direta entre amáscara de sub-rede a quantas das partes do número IP são fixas, ouseja, que definem a rede, conforme foi descrito na Parte 1 destetutorial.

A rede da figura anterior é uma rede das mais características, ondeexiste um roteador ligado à rede e o roteador está conectado a umModem, através do qual é feita a conexão da rede local com a rede WANda empresa. Nas próximas partes deste tutorial vou detalhar a funçãodo roteador e mostrarei como funciona o roteamento entre redes.

Como o TCP/IP usa a máscara de sub-rede e o roteador:



Quando dois computadores tentam trocar informações em uma rede, oTCP/IP precisa, primeiro, calcular se os dois computadores pertencem amesma rede ou a redes diferentes. Neste caso podemos ter duassituações distintas:

Si t uação 1 : Os do i s com pu t ador es pe r t encem a m esm a r ede : Neste caso o TCP/IP envia o pacote para o barramento local da rede.Todos os computadores recebem o pacote, mas somente o destinatáriodo pacote é que o captura e passa para processamento pelo Windows epelo programa de destino. Como é que o computador sabe se ele é ounão o destinatário do pacote? Muito simples, no pacote de informaçõesestá contido o endereço IP do destinatário. Em cada computador, oTCP/IP compara o IP de destinatário do pacote com o IP do computador,

para saber se o pacote é ou não para o respectivo computador.

Si t uação 2 : Os do i s com pu t ador es não pe r t encem a m esm a r ede : Neste caso o TCP/IP envia o pacote para o Roteador (endereço doDefault Gateway configurado nas propriedades do TCP/IP) e o Roteadorse encarrega de fazer o pacote chegar através do destino. Em uma daspartes deste tutorial veremos detalhes sobre como o Roteador é capazde rotear pacotes de informações até redes distantes.

Agora a pergunta que tem a ver com este tópico:

" Com o é que o TCP/ I P f az pa r a saber se o com pu t ador de o r i geme o com pu t ador de dest i no pe r t encem a mesm a r ede?"

Vamos usar alguns exemplos práticos para explicar como o TCP/IP fazisso:

Exem p l o 1 : Com base na figura anterior, suponha que o computadorcujo IP é 10.200.150.5 (origem) queira enviar um pacote deinformações para o computador cujo IP é 10.200.150.8 (destino),ambos com máscara de sub-rede igual a 255.255.255.0.

O primeiro passo é converter o número IP das duas máquinas e damáscara de sub-rede para binário. Com base nas regras que vimosanteriormente, teríamos a seguinte conversão:

Com put ador de o r i gem : 1 0 2 0 0 1 5 0 5

00001010 11001000 10010110 00000101Com put ador de des t i no :



1 0 2 0 0 1 5 0 8

00001010 11001000 10010110 00001000

Máscara de sub- rede: 2 5 5 2 5 5 2 5 5 0

11111111 11111111 11111111 00000000Feitas as conversões para binário, vamos ver que tipo de cálculos oTCP/IP faz, para determinar se o computador de origem e o computadorde destino estão na mesma rede.

Em primeiro lugar é feita uma operação "E", bit a bit, entre o Número IPe a máscara de Sub-rede do computador de origem, conforme indicadona tabela a seguir:

10 .200 .150 .5 00001010 11001000 10010110 00000101255 .255 .255 .0 11111111 11111111 11111111 00000000

E

10 .200 .150 .0 00001010 11001000 10010110 00000000 Resu l tado Agora é feita uma operação "E", bit a bit, entre o Número IP e amáscara de sub-rede do computador de destino, conforme indicado natabela a seguir:

10 .200 .150 .8 00001010 11001000 10010110 00001000

255 .255 .255 .0 11111111 11111111 11111111 00000000E

10 .200 .150 .0 00001010 11001000 10010110 00000000 Resu l tado Agora o TCP/IP compara os resultados das duas operações. Se os doisresultados forem iguais, aos dois computadores, origem e destino,pertencem a mesma rede local. Neste caso o TCP/IP envia o pacote parao barramento da rede local. Todos os computadores recebem o pacote,mas somente o destinatário do pacote é que o captura e passa paraprocessamento pelo Windows e pelo programa de destino. Como é que ocomputador sabe se ele é ou não o destinatário do pacote? Muitosimples, no pacote de informações está contido o endereço IP dodestinatário. Em cada computador, o TCP/IP compara o IP dedestinatário do pacote com o IP do computador, para saber se o pacote

é ou não para o respectivo computador.

É o que acontece neste exemplo, pois o resultado das duas operações"E" é igual: 10.200.150.0, ou seja, os dois computadores pertencem arede: 10.200.150.0

Como você já deve ter adivinhado, agora vamos a um exemplo, onde osdois computadores não pertencem a mesma rede, pelo menos devido àsconfigurações do TCP/IP.



Exem p l o 2 : Suponha que o computador cujo IP é 10.200.150.5(origem) queira enviar um pacote de informações para o computadorcujo IP é 10.204.150.8 (destino), ambos com máscara de sub-rede iguala 255.255.255.0.

O primeiro passo é converter o número IP das duas máquinas e damáscara de sub-rede para binário. Com base nas regras que vimosanteriormente, teríamos a seguinte conversão:

Com put ador de o r i gem : 1 0 2 0 0 1 5 0 5

00001010 11001000 10010110 00000101

Com put ador de des t i no : 1 0 2 0 4 1 5 0 8

00001010 11001100 10010110 00001000Máscara de sub- rede:

2 5 5 2 5 5 2 5 5 0

11111111 11111111 11111111 00000000Feitas as conversões para binário, vamos ver que tipo de cálculos oTCP/IP faz, para determinar se o computador de origem e o computadorde destino estão na mesma rede.

Em primeiro lugar é feita uma operação "E", bit a bit, entre o Número IPe a máscara de Sub-rede do computador de origem, conforme indicadona tabela a seguir:

10 .200 .150 .5 00001010 11001000 10010110 00000101

255 .255 .255 .0 11111111 11111111 11111111 00000000E

10 .200 .150 .0 00001010 11001000 10010110 00000000 Resu l tado Agora é feita uma operação "E", bit a bit, entre o Número IP e amáscara de sub-rede do computador de destino, conforme indicado natabela a seguir:

10 .204 .150 .8 00001010 11001100 10010110 00001000255 .255 .255 .0 11111111 11111111 11111111 00000000

E

10 .204 .150 .0 00001010 11001100 10010110 00000000 Resu l tado Agora o TCP/IP compara os resultados das duas operações. Nesteexemplo, os dois resultados são diferentes: 10.200.150.0 e10.204.150.0. Nesta situação o TCP/IP envia o pacote para o Roteador(endereço do Default Gateway configurado nas propriedades do TCP/IP)e o Roteador se encarrega de fazer o pacote chegar através do destino.Em outras palavras o Roteador sabe entregar o pacote para a rede



10.204.150.0 ou sabe para quem enviar (um outro roteador), para queeste próximo roteador possa encaminhar o pacote. Este processocontinua até que o pacote seja entregue na rede de destino.

Observe que, na figura anterior, temos dois computadores que, apesarde estarem fisicamente na mesma rede, não conseguirão se comunicardevido a um erro de configuração na máscara de sub-rede de um doscomputadores. É o caso dos computador 10.200.150.4 (com máscara desub-rede 255.255.250.0). Como este computador está com umamáscara de sub-rede diferente dos demais computadores da rede(255.255.255.0), ao fazer os cálculos, o TCP/IP chega a conclusão queeste computador pertence a uma rede diferente, o que faz com que elenão consiga se comunicar com os demais computadores da rede local.

Conclusão.

Neste segunda parte do tutorial de TCP/IP, apresentei aspectosrelacionados com números binários e aritmética binária básica. Tambémmostrei como o protocolo TCP/IP usa os correspondentes binários doNúmero IP e da máscara de sub-rede, juntamente com uma operação"E", para determinar se dois computadores estão na mesma rede ounão. Com base nestes cálculos, o TCP/IP encaminha os pacotes deinformação de maneiras diferentes.Não esqueça de consultar os endereços a seguir para aprofundar osestudos de TCP/IP:

• http://www.juliobattisti.com.br/tcpip.asp

• http://www.guiadohardware.info/tutoriais/enderecamento_ip/index.asp

•

http://www.guiadohardware.info/curso/redes_guia_completo/22.asp





• http://www.aprendaemcasa.com.br/tcpip1.htm

• http://www.aprendaemcasa.com.br/tcpip2.htm (até otcpip33.htm).

• http://www.vanquish.com.br/site/020608

• http://unsekurity.virtualave.net/texto1/texto_tcpip_basico.txt

• http://unsekurity.virtualave.net/texto1/tcpipI.txt

• http://www.rota67.hpg.ig.com.br/tutorial/protocolos/amfhp _tcpip_av001.htm

• http://www.geocities.com/ResearchTriangle/Thinktank/4203 /doc/tcpip.zip

Introdução

Na Parte 1 deste tutorial apresentei o protocolo TCP/IP e qual o seupapel em uma rede de computadores. Na Parte 2 apresentei os



princípios básicos do sistema de numeração binário. Também mostreicomo realizar cálculos simples e conversões de binário para decimal evice-versa. Feita a apresentação das operações básicas com númerosbinários, vimos como o TCP/IP através de cálculos binários e, com basena máscara de sub-rede (subnet mask), determina se doiscomputadores estão na mesma rede ou fazem parte de redes diferentes.Nesta Parte do tutorial vou falar sobre o endereçamento IP. Mostrareique, inicialmente, foram definidas classes de endereços IP. Porém,devido a uma possível falta de endereços IP, por causa do grandecrescimento da Internet, novas alternativas tiveram que ser buscadas.

Endereçamento IP – Classes de Endereços:

Nós vimos, na Parte 2, que a máscara de sub-rede é utilizada paradeterminar qual "parte" do endereço IP representa o número da Rede equal parte representa o número da máquina dentro da rede. A máscarade sub-rede também foi utilizada na definição original das classes deendereço IP. Em cada classe existe um determinado número de redespossíveis e, em cada rede, um número máximo de máquinas.

Foram definidas cinco classes de endereços, identificadas pelas letras:A, B, C, D e E. Vou iniciar com uma descrição detalhada de cada Classede Endereços e, em seguida apresento um quadro resumo.

Classe A:

Esta classe foi definida com tendo o primeiro bit (dos 32 bits queformam um número IP) do número IP como sendo igual a zero. Comisso o primeiro número IP somente poderá variar de 1 até 126 (naprática até 127, mas o 127 é um número IP reservado, conformedetalharemos mais adiante). Observe, no esquema a seguir (explicadona Parte 2) que o primeiro bit sendo 0, o valor máximo (quando todosos demais bits são iguais a 1) a que se chega é de 127:

0 1 1 1 1 1 1 1

Multiplica por: 27 26 25 24 23 22 21 20

equivale a: 128 64 32 16 8 4 2 1


Resulta em: 0 64 32 16 8 4 2 1

Somando tudo: 0 + 6 4 + 3 2 + 1 6 + 8 + 4 + 2 + 1



Resulta em: 1 2 7

O número 127 não é utilizado como rede Classe A, pois é um númeroespecial, reservado para fazer referência ao próprio computador. Onúmero 127.0.0.1 é um número especial, conhecido como localhost. Ouseja, sempre que um programa fizer referência a localhost ou aonúmero 127.0.0.1, estará fazendo referência ao computador onde oprograma está sendo executado.

Por padrão, para a Classe A, foi definida a seguinte máscara de sub-rede: 255.0.0.0. Com esta máscara de subrede observe que temos 8bits para o endereço da rede e 24 bits para o endereço da máquina

dentro da rede. Com base no número de bits para a rede e para asmáquinas, podemos determinar quantas redes Classe A podem existir equal o número máximo de máquinas por rede. Para isso utilizamos afórmula a seguir:

2 n - 2

, onde "n" representa o número de bits utilizado para a rede ou para aidentificação da máquina dentro da rede. Vamos aos cálculos:

Núm ero d e redes Classe A:

Número de bits para a rede: 7. Como o primeiro bit sempre é zero, estenão varia. Por isso sobram 7 bits (8-1) para formar diferentes redes:

27-2 -> 128-2 -> 126 redes Classe A

Núm er o de m áqu i nas ( hos t s ) em u m a r ede Cl asse A:

Número de bits para identificar a máquina: 24

22 4

-2 -> 128-2 -> 16.777.214 máquinas em cada redeclasse A

Na Classe A temos apenas um pequeno número de redes disponíveis,porém um grande número de máquinas em cada rede. Já podemosconcluir que este número de máquinas, na prática, jamais seránecessários para uma única rede. Com isso observe que, com esteesquema de endereçamento, teríamos poucas redes Classe A (apenas126) e com um número muito grande de máquinas em cada rede. Issocausaria desperdício de endereços, pois se o endereço de uma rede



Classe A fosse disponibilizado para um empresa, esta utilizaria apenasuma pequena parcela dos endereços disponíveis e todos os demaisendereços ficariam sem uso. Para resolver esta questão é que passou-sea utilizar a divisão em sub-redes, assunto este que será visto na Parte 5destes tutorial.

Classe B:

Esta classe foi definida com tendo os dois primeiros bits do número IPcomo sendo sempre iguais a 1 e 0. Com isso o primeiro número doendereço IP somente poderá variar de 128 até 191. Como o segundo bité sempre 0, o valor do segundo bit que é 64 nunca é somado para oprimeiro número IP, com isso o valor máximo fica em: 2 5 5 - 6 4 , que é o

191. Observe, no esquema a seguir, que o primeiro bit sendo 1 e osegundo sendo 0, o valor máximo (quando todos os demais bits sãoiguais a 1) a que se chega é de 191:

1 0 1 1 1 1 1 1

Multiplica por: 27 26 25 24 23 22 21 20

equivale a: 128 64 32 16 8 4 2 1

Multiplicação: 1x 128 0x64 1x 32 1x 16 1x8 1x 4 1x 2 1x1

Resulta em: 128 0 32 16 8 4 2 1

Somando tudo: 1 2 8 + 0 + 3 2 + 1 6 + 8 + 4 + 2 + 1

Resulta em: 1 9 1

Por padrão, para a Classe B, foi definida a seguinte máscara de sub-rede: 255.255.0.0. Com esta máscara de sub-rede observe que temos16 bits para o endereço da rede e 16 bits para o endereço da máquinadentro da rede. Com base no número de bits para a rede e para asmáquinas, podemos determinar quantas redes Classe B podem existir equal o número máximo de máquinas por rede. Para isso utilizamos afórmula a seguir:

2 n - 2


Núm ero d e redes Classe B:



Número de bits para a rede: 14. Como o primeiro e o segundo bit sãosempre 10, fixos, não variam, sobram 14 bits (16-2) para formardiferentes redes:

21 4-2 -> 16384-2 -> 16.382 redes Classe B

Núm er o de m áqu i nas ( hos t s ) em u m a r ede Cl asse B :

Número de bits para identificar a máquina: 16.

21 6-2 -> 65536-2 -> 65.534 máquinas em cada rede classeB

Na Classe B temos um número razoável de redes Classe B, com um bomnúmero de máquinas em cada rede. O número máximo de máquinas,por rede Classe B já está mais próximo da realidade para as redes dealgumas grandes empresas tais como Microsoft, IBM, HP, GM, etc.Mesmo assim, para muitas empresas menores, a utilização de umendereço Classe B, representa um grande desperdício de números IP.Conforme veremos na Parte 5 deste tutorial é possível usar um númerodiferentes de bits para a máscara de sub-rede, ao invés dos 16 bitsdefinidos por padrão para a Classe B (o que também é possível comClasse A e Classe C). Com isso posso dividir uma rede classe B emvárias sub-redes menores, com um número menor de máquinas emcada sub-rede. Mas isso é assunto para a Parte 5 deste tutorial.

Classe C:

Esta classe foi definida com tendo os três primeiros bits do número IPcomo sendo sempre iguais a 1, 1 e 0. Com isso o primeiro número doendereço IP somente poderá variar de 192 até 223. Como o terceiro bité sempre 0, o valor do terceiro bit, que é 32, nunca é somado para oprimeiro número IP. Com isso o valor máximo fica em: 255-32, que é223. Observe, no esquema a seguir, que o primeiro bit sendo 1, o

segundo bit sendo 1 e o terceiro bit sendo 0, o valor máximo (quandotodos os demais bits são iguais a 1) a que se chega é de 223:

1 1 0 1 1 1 1 1

Multiplica por: 27 26 25 24 23 22 21 20

equivale a: 128 64 32 16 8 4 2 1

Multiplicação: 1x 128 1x64 0x 32 1x 16 1x8 1x 4 1x 2 1x1



Resulta em: 128 64 0 16 8 4 2 1

Somando tudo: 1 2 8 + 6 4 + 0 + 1 6 + 8 + 4 + 2 + 1

Resulta em: 2 2 3

Por padrão, para a Classe C, foi definida a seguinte máscara de sub-rede: 255 .255 .255 .0 . Com esta máscara de sub-rede observe quetemos 24 bits para o endereço da rede e apenas 8 bits para o endereçoda máquina dentro da rede. Com base no número de bits para a rede epara as máquinas, podemos determinar quantas redes Classe C podemexistir e qual o número máximo de máquinas por rede. Para issoutilizamos a fórmula a seguir:

2 n - 2


Núm ero d e redes Classe C:

Número de bits para a rede: 21. Como o primeiro, o segundo e oterceiro bit são sempre 110, ou seja:fixos, não variam, sobram 21 bits

(24-3) para formar diferentes redes:22 1-2 -> 2097152-2 -> 2.097.150 redes Classe C

Núm er o de m áqu i nas ( hos t s ) em um a r ede Cl asse C:

Número de bits para identificar a máquina: 8

28-2 -> 256-2 -> 254 máquinas em cada rede classe C

Observe que na Classe C temos um grande número de redes

disponíveis, com, no máximo, 254 máquinas em cada rede. É o idealpara empresas de pequeno porte. Mesmo com a Classe C, existe umgrande desperdício de endereços. Imagine uma pequena empresa comapenas 20 máquinas em rede. Usando um endereço Classe C, estariamsendo desperdiçados 234 endereços. Conforme já descritoanteriormente, esta questão do desperdício de endereços IP pode serresolvida através da utilização de sub-redes.

Classe D:



Esta classe foi definida com tendo os quatro primeiros bits do número IPcomo sendo sempre iguais a 1, 1, 1 e 0. A classe D é uma classeespecial, reservada para os chamados endereços de Multicast.Falaremos sobre Muliticast, Unicast e Broadcast em uma das próximaspartes deste tutorial.

Classe E:

Esta classe foi definida com tendo os quatro primeiros bits do número IPcomo sendo sempre iguais a 1, 1, 1 e 1. A classe E é uma classeespecial e está reservada para uso futuro.

Quadro r esum o das Classes de Ender eço I P : A seguir apresento

uma tabela com as principais características de cada Classe deEndereços IP:

Classe Pr i me i r osb i t s

N ú m . d er edes

N ú m e r o d eh o s t s

Máscarapadr ão

A 0 126 16.777.214 255.0.0.0

B 10 16.382 65.534 255.255.0.0

C 110 2.097.150 254 255.255.255.0

D 1110 Utilizado para tráfego Multicast

E 1111 Reservado para uso futuro

Endereços Especiais:

Existem alguns endereços IP especiais, reservados para funçõesespecíficas e que não podem ser utilizados como endereços de umamáquina da rede. A seguir descrevo estes endereços.

Ender eços da rede 1 27 .0 .0 .0 : São utilizados como um aliás (apelido),para fazer referência a própria máquina. Normalmente é utilizado oendereço 127.0.0.1, o qual é associado ao nome localhost. Estaassociação é feita através do arquivo hosts. No Windows 95/98/Me oarquivo hosts está na pasta onde o Windows foi instalado e no Windows2000/XP, o arquivo hosts está no seguinte caminho:system32/drivers/etc, sendo que este caminho fica dentro da pastaonde o Windows foi instalado.

Ender eço com tod os os b i t s des t inados à ident i f i cação da



m áqu i na , igua i s a 0 : Um endereço com zeros em todos os bits deidentificação da máquina, representa o endereço da rede. Por exemplo,vamos supor que você tenha uma rede Classe C. A máquina a seguir éuma máquina desta rede: 200.220.150.3. Neste caso o endereço darede é: 200.220.150.0, ou seja, zero na parte destinada a identificaçãoda máquina. Sendo uma rede classe C, a máscara de sub-rede é255.255.255.0.

Ender eço com tod os os b i t s des t inados à ident i f i cação dam áqu i na , igua i s a 1 : Um endereço com valor 1 em todos os bits deidentificação da máquina, representa o endereço de broadcast. Porexemplo, vamos supor que você tenha uma rede Classe C. A máquina aseguir é uma máquina desta rede: 200.220.150.3. Neste caso o

endereço de broadcast desta rede é o seguinte: 200.220.150.255, ouseja, todos os bits da parte destinada à identificação da máquina, iguaisa 1. Sendo uma rede classe C, a máscara de sub-rede é 255.255.255.0.Ao enviar uma mensagem para o endereço do broadcast, a mensagem éendereçada para todos as máquinas da rede. Falaremos mais sobreBroadcast, Unicast e Multiast, nas próximas partes deste tutorial.

Conclusão

Nesta terceira parte do tutorial de TCP/IP, apresentei uma introdução ao

conceito de Endereçamento IP e às classes de endereçamento padrão.Na Parte 4 falarei sobre a maneira como é feito o roteamento IP entreredes diferentes, através do uso de roteadores.

Introdução

Na Parte 1 deste tutorial apresentei o protocolo TCP/IP e qual o seu



papel em uma rede de computadores. Na Parte 2 apresentei osprincípios básicos do sistema de numeração binário. Também mostreicomo realizar cálculos simples e conversões de Binário para Decimal evice-versa. Feita a apresentação das operações básicas com númerosbinários, vimos como o TCP/IP através de cálculos binários e, com basena máscara de sub-rede (subnet mask), determina se doiscomputadores estão na mesma rede ou fazem parte de redes diferentes.Na Parte 3 falei sobre o endereçamento IP. Mostrei que, inicialmente,foram definidas classes de endereços IP. Porém, devido a uma possívelfalta de endereços, por causa do grande crescimento da Internet, novasalternativas tiveram que ser buscadas. Nesta parte vou iniciar aabordagem sobre Roteamento. Falarei sobre o papel dos roteadores naligação entre redes locais (LANs) para formar uma WAN. Mostrarei

alguns exemplos básicos de roteamento. Na parte 5 vou aprofundar umpouco mais a discussão sobre Roteamento.

O papel do Roteador em uma rede de computadores:

Nos vimos, na Parte 2, que a máscara de sub-rede é utilizada paradeterminar qual "parte" do endereço IP representa o número da Rede equal parte representa o número da máquina dentro da rede. A máscarade sub-rede também foi utilizada na definição original das classes deendereço IP. Em cada classe existe um determinado número de redes

possíveis e, em cada rede, um número máximo de máquinas (veja Parte3). Com base na máscara de sub-rede o protocolo TCP/IP determina seo computador de origem e o de destino estão na mesma rede local. Combase em cálculos binários, o TCP/IP pode chegar a dois resultadosdistintos:

• O com pu t ador de o r i gem e de dest i no es tão nam esma r ede l ocal : Neste caso os dados são enviados parao barramento da rede local. Todos os computadores da rederecebem os dados. Ao receber os dados cada computadoranalisa o campo Número IP do destinatário. Se o IP do

destinatário for igual ao IP do computador, os dados sãocapturados e processados pelo sistema, caso contrário sãosimplesmente descartados. Observe que com esteprocedimento, apenas o computador de destino é queefetivamente processa os dados para ele enviados, osdemais computadores simplesmente descartam os dados.

• O com pu t ador de o r i gem e de dest i no não es tão nam esma r ede l ocal : Neste caso os dados são enviados oequipamento com o número IP configurado no parâmtero



Default Gateway (Gateway Padrão). Ou seja, se após oscálculos baseados na máscara de sub-rede, o TCP/IP chegara conclusão que o computador de destino e o computador deorigem não fazem parte da mesma rede local, os dados sãoenviados para o Default Gateway, o qual será encarregadode encontrar um caminho para enviar os dados até ocomputador de destino. Esse "encontrar o caminho" étecnicamente conhecido como Rotear os dados até odestino. O responsável por "Rotear" os dados é oequipamento que atua como Default Gateway o qual éconhecido como Roteador. Com isso fica fácil entender opapel do Roteador: "É o responsável por encontrar umcaminho entre a rede onde está o computador que enviou os

dados e a rede onde está o computador que irá receber osdados."

Quando ocorre um problema com o Roteador, tornando-o indisponível,você consegue se comunicar normalmente com os demais computadoresda rede local, porém não conseguirá comunicação com outras redes decomputadores, como por exemplo a Internet.

Como eu sei qual o Default Gateway que está configurado no Windows

2000?

Você pode verificar as configurações do TCP/IP de um computador como Windows 2000 Server de duas maneiras: com as proprieades dainterface de rede ou com o comando ipconfig. A seguir descrevo estasduas maneiras:

Ver i f i cando as conf igur ações do TCP/ I P usando a in te r facegrá f i ca :

1. Clique com o botão direito do mouse no ícone Meus locais de rede, naÁrea de trabalho.

2. No menu que é exibido clique na opção Propriedades.

3. Será exibida a janela Conexões dial-up e de rede. Nessa janela éexibido um ícone para cada conexão disponível. Por exemplo, se o seucomputador estiver conectado a uma rede local e também tiver umaconexão via Modem, será exibido um ícone para cada conexão. Nesta janela também está disponível o ícone "Fazer nova conexão". Com esseícone você pode criar novas conexões. Na figura a seguir temos umexemplo onde está disponível apenas uma conexão de rede local:



4. Clique com o botão direito do mouse no ícone "Conexão de redelocal". No menu de opções que é exibido clique em Propriedades.

5. Será exibida a janela de Propriedades da conexão de rede local,conforme indicado na figura a seguir:



6. Clique na opção Protocolo Internet (TCP/IP) e depois clique no botãoPropriedades.

7. A janela de propriedades do TCP/IP será exibida, conforme indicado aseguir.

Nesta janela são exibidas informações sobre o número IP docomputador, a máscara de sub-rede, o Gateway padrão e o número IPdos servidores DNS primário e secundário. Se a opção obter um

endereço IP automaticamente estiver marcada, o computador tentaráobter todas estas configurações a partir de um servidor DHCP, durante ainicialização. Neste caso as informações sobre as configurações TCP/IP,inclusive o número IP do Roteador (Gateway Padrão), somente poderãoser obtidas através do comando ipconfig, conforme descrevo logo aseguir.

8. Clique em OK para fechar a janela de Propriedades do protocoloTCP/IP.



9. Você estará de volta a janela de Propriedades da conexão de redelocal. Clique em OK para fechá-la.

10.Você estará de volta à janela Conexões dial-up e de rede. Feche-a.

Verificando as configurações do TCP/IP usando o comando ipconfig:

Para verificar as configurações do TCP/IP, utilizando o comando ipconfig,siga os seguintes passos:

1. Abra o Prompt de comando: Iniciar -> Programas -> Acessórios ->Prompt de comando.

2. Digite o comando ipconfig/all

3. Serão listadas as configurações do TCP/IP, conforme exemplo dalistagem a seguir:

Explicando Roteamento – um exemplo prático:



Vou iniciar a explicação sobre como o roteamento funciona, através daanálise de um exemplos simples. Vamos imaginar a situação de umaempresa que tem a matriz em SP e uma filial no RJ. O objetivo éconectar a rede local da matriz em SP com a rede local da filial no RJ,para permitir a troca de mensagens e documentos entre os doisescritórios. Nesta situação o primeiro passo é contratar um link decomunicação entre os dois escritórios. Em cada escritório deve serinstalado um Roteador. E finalmente os roteadores devem serconfigurados para que seja possível a troca de informações entre asduas redes. Na figura a seguir temos a ilustração desta pequena rede delonga distância (WAN). Em seguida vamos explicar como funciona oroteamento entre as duas redes:

Nesta pequena rede temos um exemplo simples de roteamento, masmuito a explicar. Então vamos lá.

Como está configurado o endereçamento das redes locais e dos roteadores?

• Rede d e SP: Esta rede utiliza um esquema deendereçamento 10.10.10.0, com máscara de sub-rede255.255.255.0. Observe que embora, teoricamente, seria



uma rede Classe A, estamos utilizando uma máscara de sub-rede classe C. Veja a parte 3 para detalhes sobre Classes deEndereços IP.

• Rede d e RJ: Esta rede utiliza um esquema deendereçamento 10.10.20.0, com máscara de sub-rede255.255.255.0. Observe que embora, teoricamente, seriauma rede Classe A, estamos utilizando uma máscara de sub-rede classe C. Veja a parte 3 para detalhes sobre Classes deEndereços IP.

• Roteadores : Cada roteador possui duas interfaces. Umaé a chamada interface de LAN (rede local), a qual conecta o

roteador com a rede local. A outra é a interface de WAN(rede de longa distância), a qual conecta o roteador com olink de dados. Na interface de rede local, o roteador deve terum endereço IP da rede interna. No roteador de SP, oendereço é 10.10.10.1. Não é obrigatório, mas é um padrãonormalmente adotado, utilizar o primeiro endereço da redepara o Roteador. No roteador do RJ, o endereço é10.10.20.1

• Rede dos ro t eadores : Para que as interfaces externasdos roteadores possam se comunicar, eles devem fazerparte de uma mesma rede, isto é, devem compartilhar umesquema de endereçamento comum. As interfaces externasdos roteadores (interfaces WAN), fazem parte da rede10.10.30.0, com máscara de sub-rede 255.255.255.0.

• Na ve r dade – 3 r edes : Com isso temos, na prática trêsredes, conforme resumido a seguir:

• SP: 10.10.1 0 .0/255.255.255.0

• RJ: 10.10.2 0 .0/255.255.255.0

• I n t e r f aces WAN dos Ro teador es : 10.10.3 0 .0/255.255.255.0

• Na prática é como se a rede 10.10.30.0 fosse uma"ponte" entre as duas outras redes.

Como é feita a interligação entre as duas redes?



Vou utilizar um exemplo prático, para mostrar como é feito oroteamento entre as duas redes.

Exemp l o : Vamos analisar como é feito o roteamento, quando umcomputador da rede em SP, precisa acessar informações de umcomputador da rede no RJ. O computador SP-01 (10.10.10.5), precisaacessar um arquivo que está em uma pasta compartilhada docomputador RJ-02 (10.10.20.12). Como é feito o roteamento, de talmaneira que estes dois computadores possam trocar informações?Acompanhe os passos descritos a seguir:

1. O computador SP-01 é o computador de origem e o computador RJ-02 é o computador de destino. A primeira ação do TCP/IP é fazer os

cálculos para verificar se os dois computadores estão na mesma rede(veja como são feitos estes cálculos na Parte 2). Os seguintes dados sãoutilizados para realização destes cálculos:

• SP-01: 10.10.10.5/255.255.255.0

• RJ-02: 10.10.20.12/255.255.255.0

2. Feitos os cálculos, o TCP/IP chega a conclusão de que os doiscomputadores pertencem a redes diferentes: SP-01 pertence a rede10.10.10.0 e RJ-02 pertence a rede 10.10.20.0.

3. Como os computadores pertencem a redes diferentes, os dadosdevem ser enviados para o Roteador.

4. No roteador de SP chega o pacote de informações com o IP dedestino: 10.10.20.12. O roteador precisa consultar a sua tabela deroteamento (assunto da Parte 5) e verificar se ele conhece um caminhopara a rede 10.10.20.0.

5. O roteador de SP tem, em sua tabela de roteamento, a informação de

que pacotes para a rede 10.10.20.0 devem ser encaminhados pelainterface 10.10.30.1. É isso que ele faz, ou seja, encaminha os pacotesatravés da interface de WAN: 10.10.30.1.

6. Os pacotes de dados chegam na interface 10.10.30.1 e são enviados,através do link de comunicação, para a interface 10.10.30.2, doroteador do RJ.

7. No roteador do RJ chegam os pacotes de informações com o IP dedestino: 10.10.20.12. O roteador precisa consultar a sua tabela de



roteamento (assunto da Parte 5) e verificar se ele conhece um caminhopara a rede 10.10.20.0.

8. O roteador do RJ tem, em sua tabela de roteamento, a informação deque pacotes para a rede 10.10.20.0 devem ser encaminhados pelainterface 10.10.20.1, que é a interface que conecta o roteador a redelocal 10.10.20.1. O pacote é enviado, através da interface 10.10.20.1,para o barramento da rede local. Todos os computadores recebem ospacotes de dados e os descartam, com exceção do computador10.10.20.12 que é o computador de destino.

9. Para que a resposta possa ir do computador RJ-02 para o computadorSP-01, um caminho precisa ser encontrado, para que os pacotes de

dados possam ser roteados do RJ para SP. Para tal todo o processo éexecutado novamente, até que a resposta chegue ao computador SP-01.

10. A chave toda para o processo de roteamento é o software presentenos roteadores, o qual atua com base em tabelas de roteamento, asquais serão descritas na parte 5.

Conclusão

Nesta quarta parte do tutorial de TCP/IP, apresentei uma introduçãosobre como funciona o Roteamento IP entre redes locais conectadasremotamente, através de links de WAN. Na parte 5 vou aprofundar umpouco mais essa discussão, onde falarei sobre as tabelas de roteamento.



Introdução

Esta é a quinta parte do Tutorial de TCP/IP. Na Parte 1 tratei dosaspectos básicos do protocolo TCP/IP. Na Parte 2 falei sobre cálculosbinários, um importante tópico para entender sobre redes, máscara desub-rede e roteamento. Na Parte 3 falei sobre Classes de endereços e

na Parte 4 fiz uma introdução ao roteamento. Agora falarei mais umpouco sobre roteamento.

Mais um exemplo de roteamento

Neste item vou analisar mais alguns exemplos de roteamento e falarsobre tabela de roteamento.

Exem p l o 01 : Considere a rede indicada no diagrama da Figura aseguir:

Primeiro alguns comentários sobre a WAN apresentada na Figura:



1 . A WAN é formada pela conexão de quatro redes locais, com asseguintes características:

Rede N ú m e r o d ar ede

Máscara de sub-r ede

01 10.10.10.0 255.255.255.002 10.10.20.0 255.255.255.003 10.10.30.0 255.255.255.004 10.10.40.0 255.255.255.0

2 . Existe uma quinta rede que é a rede formada pelas interfaces deWAN dos roteadores. Este rede apresenta as seguintes características:

Rede

N ú m e r o d a

r ede

Máscara d e

sub- r ede Roteadores 10.10.5.0 255.255.255.0

3 . Existem três roteadores fazendo a conexão das quatro redesexistentes. Com as configurações apresentadas, qualquer rede é capazde se comunicar com qualquer outra rede da WAN.

4 . Existem pontos únicos de falha. Por exemplo, se o Roteador 03apresentar problemas, a Rede 03 ficará completamente isolada dasdemais redes. Se o Roteador 02 apresentar problemas, as Redes 02 e04 ficarão isoladas das demais redes e também isoladas entre si.

5 . As redes 02 e 04 estão diretamente conectadas ao Roteador 02. Cadarede em uma interface do roteador. Este pode ser um exemplo de umprédio com duas redes locais, as quais são conectadas através doroteador. Neste caso, o papel do Roteador 02 é conectar as redes 02 e04 entre si e estas redes com o restante da WAN.

6 . A interface de conexão do roteador com a rede local utiliza sempre oprimeiro número IP da faixa disponível (10.10.10.1, 10.10.20.1 e assimpor diante). Não é obrigatório reservar o primeiro IP para a interface de

LAN do roteador (número este que será configurado como DefaultGateway nas estações de trabalho da respectiva rede, conforme descritoanteriormente). Embora não seja obrigatório é uma convençãocomumente utilizada.

Agora que apresentei alguns comentários sobre a rede da figuraanterior, vamos analisar como será feito o roteamento entre asdiferentes redes.

Pr im ei ra aná l i se : Analisar como é feito o roteamento, quando umcomputador da Rede 01, precisa acessar informações de um



computador da Rede 03. Por exemplo, o computador 10.10.10.25 daRede 01, precisa acessar um arquivo que está em uma pastacompartilhada do computador 10.10.30.144 da Rede 03. Neste caso arede de origem é a rede 10.10.10.0 e a rede de destino é 10.10.30.0.Como é feito o roteamento, de tal maneira que estes dois computadorespossam trocar informações?

Acomp anhe os passos descr i t os a segu i r :

1 . O computador 10.10.10.25 é o computador de origem e ocomputador 10.10.30.144 é o computador de destino. A primeira açãodo TCP/IP é fazer os cálculos para verificar se os dois computadoresestão na mesma rede, conforme explicado no Capítulo 2. Os seguintes

dados são utilizados para realização destes cálculos:

• Computador na Rede 01: 10.10.10.25/255.255.255.0


2 . Feitos os cálculos, o protocolo TCP/IP "chega a conclusão" de que osdois computadores pertencem a redes diferentes: O computador10.10.10.25 pertence a rede 10.10.10.0 e o computador 10.10.30.144pertence a rede 10.10.30.0.

Nota : Para detalhes sobre estes cálculos consulte a Parte 2 destetutorial.

3 . Como os computadores pertencem a redes diferentes, os dadosdevem ser enviados para o Roteador da rede 10.10.10.0, que é a rededo computador de origem.

4 . O pacote é enviado para o roteador da rede 10.10.10.0, que estáconectado através da interface 10.10.10.1. Neste roteador, pelainterface 10.10.10.1, chega o pacote de informações com o IP de

destino: 10.10.30.144. O roteador precisa consultar a sua tabela deroteamento e verificar se ele conhece um caminho para a rede10.10.30.0, ou seja, se ele sabe para quem enviar um pacote deinformações, destinado a rede 10.10.30.0.

5 . O Roteador 01 tem, em sua tabela de roteamento, a informação deque pacotes para a rede 10.10.30.0 devem ser encaminhados pelainterface de WAN 10.10.5.1. É isso que ele faz, ou seja, encaminha ospacotes através da interface de WAN: 10.10.5.1.



6 . Os pacotes de dados chegam na interface de WAN 10.10.5.1 e sãoenviados, através do link de comunicação, para a interface de WAN10.10.5.2, do roteador da Rede 03.

7 . No Roteador 03 chega o pacote de informações com o IP de destino:10.10.30.144. O roteador precisa consultar a sua tabela de roteamentoe verificar se ele conhece um caminho para a rede 10.10.30.0.

8 . O Roteador 03 tem, em sua tabela de roteamento, a informação deque pacotes para a rede 10.10.30.0 devem ser encaminhados pelainterface de LAN 10.10.30.1, que é a interface que conecta o Roteador03 à rede local 10.10.30.0. O pacote é enviado, através da interface10.10.30.1, para o barramento da rede local. Todos os computadores

recebem os pacotes de dados e os descartam, com exceção docomputador 10.10.30.144 que é o computador de destino.

9 . Para que a resposta possa retornar do computador 10.10.30.144para o computador 10.10.10.25, um caminho precisa ser encontrado,para que os pacotes de dados possam ser roteados da Rede 03 para aRede 01 (o caminho de volta no nosso exemplo). Para tal todo oprocesso é executado novamente, até que a resposta chegue aocomputador 10.10.10.25.

1 0 . A chave toda para o processo de roteamento é o software presentenos roteadores, o qual atua com base em tabelas de roteamento.

Segun da an á l i se: Analisar como é feito o roteamento, quando umcomputador da Rede 03, precisa acessar informações de umcomputador da Rede 02. Por exemplo, o computador 10.10.30.25 daRede 03, precisa acessar uma impressora que está compartilhada docomputador 10.10.20.144 da Rede 02. Neste caso a rede de origem é arede 10.10.30.0 e a rede de destino é 10.10.20.0. Como é feito oroteamento, de tal maneira que estes dois computadores possam trocarinformações?

Acomp anhe os passos descr i t os a segu i r :

1 . O computador 10.10.30.25 é o computador de origem e ocomputador 10.10.20.144 é o computador de destino. A primeira açãodo TCP/IP é fazer os cálculos para verificar se os dois computadoresestão na mesma rede, conforme explicado no Capítulo 2. Os seguintesdados são utilizados para realização destes cálculos:





2 . Feitos os cálculos, o protocolo TCP/IP "chega a conclusão" de que osdois computadores pertencem a redes diferentes: O computador10.10.30.25 pertence a rede 10.10.30.0 e o computador 10.10.20.144pertence a rede 10.10.20.0.

Nota : Para detalhes sobre estes cálculos consulte a Parte 2 destetutorial.

3 . Como os computadores pertencem a redes diferentes, os dadosdevem ser enviados para o Roteador da rede 10.10.30.0, que é a rededo computador de origem.

4 . O pacote é enviado para o roteador da rede 10.10.30.0, que estáconectado através da interface de LAN 10.10.30.1. Neste roteador, pelainterface 10.10.30.1, chega o pacote de informações com o IP dedestino: 10.10.20.144. O roteador precisa consultar a sua tabela deroteamento e verificar se ele conhece um caminho direto para a rede10.10.20.0, ou seja, se ele sabe para quem enviar um pacote deinformações, destinado a rede 10.10.20.0.

5 . Não existe um caminho direto para a rede 10.10.20.0. Tudo o que o

roteador pode fazer é saber para quem enviar o pacote, quando odestino for a rede 10.10.20.0. Neste caso ele enviará o pacote paraoutro roteador e não diretamente para a rede 10.10.20.0. O Roteador03 tem, em sua tabela de roteamento, a informação de que pacotesdestinados à rede 10.10.20.0 devem ser encaminhados pela interface deWAN 10.10.5.2. É isso que ele faz, ou seja, encaminha os pacotesatravés da interface de WAN: 10.10.5.2.

6 . Os pacotes de dados chegam na interface de WAN 10.10.5.2 e sãoenviados, através do link de comunicação, para a interface de WAN10.10.5.1, do Roteador 01.

7 . No Roteador 01 chega o pacote de informações com o IP de destino:10.10.20.144. O roteador precisa consultar a sua tabela de roteamentoe verificar se ele conhece um caminho para a rede 10.10.20.0.

8 . Na tabela de roteamento do Roteador 01, consta a informação quepacotes para a rede 10.10.20.0, devem ser enviados para a interface deWAN 10.10.5.3, do Roteador 02. É isso que ele faz, ou seja, roteia(encaminha) o pacote para a interface de WAN 10.10.5.3.



9 . O pacote chega à interface de WAN do Roteador 02. O Roteador 02tem, em sua tabela de roteamento, a informação de que pacotes para arede 10.10.20.0 devem ser encaminhados pela interface de LAN10.10.20.1, que é a interface que conecta o Roteador 02 à rede local10.10.20.0. O pacote é enviado, através da interface 10.10.20.1, para obarramento da rede local. Todos os computadores recebem os pacotesde dados e os descartam, com exceção do computador 10.10.20.144que é o computador de destino.

1 0 . Para que a resposta possa retornar do computador 10.10.20.144para o computador 10.10.30.25, um caminho precisa ser encontrado,para que os pacotes de dados possam ser roteados da Rede 02 para aRede 03 (o caminho de volta no nosso exemplo). Para tal todo o

processo é executado novamente, até que a resposta chegue aocomputador 10.10.30.25.

Algumas considerações sobre roteamento:

A chave toda para o processo de roteamento é o software presente nosroteadores, o qual atua com base em tabelas de roteamento (assuntoda Parte 6). Ou o roteador sabe entregar o pacote diretamente para arede de destino ou sabe para qual roteador enviar. Esse processocontinua, até que seja possível alcançar a rede de destino. Claro que emredes mais complexas pode haver mais de um caminho entre origem edestino. Por exemplo, na Internet, pode haver dois ou mais caminhospossíveis entre o computador de origem e o computador de destino.Quando um arquivo é transmitido entre os computadores de origem edestino, pode acontecer de alguns pacotes de informação seremenviados por um caminho e outros pacotes por caminhos diferentes. Ospacotes podem, inclusive, chegar fora de ordem no destino. O protocoloTCP/IP é o responsável por identificar cada pacote e colocá-los naseqüência correta.

Existem também um número máximo de roteadores pelos quais um

pacote pode passar, antes de ser descartado. Normalmente este númeroé de 16 roteadores. No exemplo da segunda análise, cada pacote passapor dois roteadores, até sair de um computador na Rede 03 e chegar aocomputador de destino, na Rede 02. Este passar por dois roteadores étecnicamente conhecido como "ter um caminho de 2 hopes". Um hopesignifica que passou por um roteador. Diz-se, com isso, que o caminhomáximo de um pacote é de 16 hopes. Isso é feito para evitar quepacotes fiquem circulando indefinidamente na rede e congestionem oslinks de WAN, podendo até chegar a paralisar a rede.



Uma situação que poderia acontecer, por erro nas tabelas deroteamento, é um roteador x mandar um pacote para o y, o roteador ymandar de volta para o x, o roteador x de volta para y e assimindefinidamente. Esta situação ocorreria por erros nas tabelas deroteamento. Para evitar que estes pacotes ficassem circulandoindefinidamente na rede, é que foi definido o limite de 16 hopes.

Outro conceito que pode ser encontrado, em relação a roteamento, é ode entrega direta ou entrega indireta. Vamos ainda utilizar o exemplo darede da Figura 16.2. Quando dois computadores da mesma rede (porexemplo a rede 10.10.10.0) trocam informações entre si, asinformações são enviadas para o barramento da rede local e ocomputador de destino captura e processa os dados. Dizemos que este

é um caso de entrega direta. Quando computadores de redes diferentestentam se comunicar (por exemplo, um computador da rede 10.10.10.0e um da rede 10.10.20.0), os pacotes de informação são enviadosatravés dos roteadores da rede, até chegar ao destino. Depois aresposta percorre o caminho inverso. Este processo é conhecido comoentrega indireta.

Conclusão:

Na próxima parte você irá aprender mais alguns detalhes sobre tabelas

de roteamento e analisar uma pequena tabela de roteamento que existeem cada computadores com o NT 4.0, Windows 2000, Windows XP ouWindows Server 2003 e com o protocolo TCP/IP instalado.



Introdução

Esta é a sexta parte do Tutorial de TCP/IP. Na Parte 1 tratei dosaspectos básicos do protocolo TCP/IP. Na Parte 2 falei sobre cálculosbinários, um importante tópico para entender sobre redes, máscara desub-rede e roteamento. Na Parte 3 falei sobre Classes de endereços, naParte 4 fiz uma introdução ao roteamento e na Parte 5 apresentei mais

alguns exemplos/análises de como funciona o roteamento. Agora falareimais um pouco sobre roteamento.

Tabelas de roteamento.

Falei na Parte 5 que toda a funcionalidade do Roteador é baseada emtabelas de roteamento. Quando um pacote chega em uma das interfacesdo roteador, ele analisa a sua tabela de roteamento, para verificar secontém uma rota para a rede de destino. Pode ser uma rota direta ouentão para qual roteador o pacote deve ser enviado. Este processocontinua até que o pacote seja entregue na rede de destino, ou até queo limite de 16 hopes tenha sido atingido.

Na Figura a seguir apresento um exemplo de uma "mini-tabela" deroteamento:



Cada linha é uma entrada da tabela. Por exemplo, a linha a seguir é quedefine o Default Gateway da ser utilizado:

0 .0 .0 .0 0 .0 .0 .0 200 .175 .106 .54 200 .175 .106 .541

Neste tópico você aprenderá sobre os campos que compõem umaentrada da tabela de roteamento e o significado de cada campo.Também aprenderá a interpretar a tabela de roteamento que existe emum computador com o Windows 2000, Windows XP ou Windows Server2003.

Entenda os campos que compõem uma entrada de uma tabela deroteamento:

Uma entrada da tabela de roteamento possui os campos indicados noesquema a seguir e explicados logo em seguida:

N et w o r k I D : Este é o endereço de destino. Pode ser o endereço deuma rede (por exemplo: 10.10.10.0), o endereço de um equipamentoda rede, o endereço de uma sub-rede (veja detalhes sobre sub-rede



mais adiante) ou o endereço da rota padrão (0.0.0.0). A rota padrãosignifica: "a rota que será utilizada, caso não tenha sido encontradauma rota específica para o destino". Por exemplo, se for definida que arota padrão deve ser envida pela interface com IP 10.10.5.2 de umdeterminado roteador, sempre que chegar um pacote, para o qual nãoexiste uma rota específica para o destino do pacote, este será enviadopela roda padrão, que no exemplo seria a interface 10.10.5.2. Falandode um jeito mais simples: Se não souber para onde mandar, mandapara a rota padrão.

N e t w o r k M a sk : A máscara de sub-rede utilizada para a rede dedestino.

Nex t Hop : Endereço IP da interface para a qual o pacote deve serenviado. Considere o exemplo a seguir, como sendo uma entrada de umroteador, com uma interface de WAN configurada com o IP número10.200.200.4:

Esta entrada indica que pacotes enviados para a rede definida pelosparâmetros 10.100.100.0/255.255.255.0, deve ser enviada para o

gateway 10.200.200.1 e para chegar a este gateway, os pacotes deinformação devem ser enviados pela interface 10.200.200.120. Nesteexemplo, esta entrada está contida na tabela interna de roteamento deum computador com o Windows Server 2003, cujo número IP é10.200.200.120 e o default gateway configurado é 10.200.200.1. Nestecaso, quando este computador quiser se comunicar com um computadorda rede 10.100.100.0, será usada a entrada de roteamento descritaneste item. Nesta entrada está especificado que pacotes para a rede10.100.100.0, com máscara 255.255.255.0, devem ser enviados para odefault gateway 10.200.200.1 e que este envio deve ser feito através da

interface de rede 10.200.200.120, que no nosso exemplo é a placa derede do computador. Uma vez que o pacote chegou no default gateway(na interface de LAN do roteador), o processo de roteamento, até a redede destino (rede 10.100.100.0) é o processo descrito nas análisesanteriores.

I n t e r f a c e : É a interface através da qual o pacote deve ser enviado. Porexemplo, se você estiver analisando a tabela de roteamento interna, deum computador com o Windows Server 2003, o número IP do campointerface, será sempre o número IP da placa de rede, a não ser quevocê tenha mais de uma placa de rede instalada.



Met r i c : A métrica é um indicativo da distância da rota, entre destino eorigem, em termos de hopes. Conforme descrito anteriormente, podehaver mais de um roteador entre origem e destino. Também pode havermais de um caminho entre origem e destino. Se for encontrada duasrotas para um mesmo destino, o roteamento será feito pela rota demenor valor no campo Metric. Um valor menor indica, normalmente, umnúmero menor de hopes (roteadores) entre origem e destino.

Analisando a tabela de roteamento de um computador com o Windows(2000, 2003 ou XP):

Agora que você já conhece os conceitos de tabelas de roteamento e

também conhece os campos que formam uma entrada em uma tabelade roteamento, é hora de analisar as entradas de uma tabela deroteamento em um computador com o Windows Server 2003 instalado.No Windows Server 2003, o protocolo TCP/IP é instaladoautomaticamente e não pode ser desinstalado (esta é uma dasnovidades do Windows Server 2003). Ao instalar e configurar oprotocolo TCP/IP, o Windows Server 2003 cria, na memória do servidor,uma tabela de roteamento. Esta tabela é criada, dinamicamente, todavez que o servidor é inicializado. Ao desligar o servidor o conteúdo destatabela será descartado, para ser novamente recriado durante a próximainicialização. A tabela de roteamento é criada com base nasconfigurações do protocolo TCP/IP. Existem também a possibilidade deadicionar entradas estáticas. Uma entrada estática fica gravada emdisco e será adicionada a tabela de roteamento durante a inicializaçãodo sistema. Ou seja, além das entradas criadas automaticamente, combase nas configurações do TCP/IP, também podem ser acrescentadasrotas estáticas, criadas com o comando route, o qual descreverei maisadiante.

Para exibir a tabela de roteamento de um computador com o WindowsServer 2003 (ou com o Windows 2000, ou Windows XP), abra um

Prompt de comando, digite o comando indicado a seguir e pressioneEnter:

route print

Será exibida uma tabela de roteamento, semelhante a indicada naFigura 16, onde é exibida a tabela de roteamento para um servidor como número IP: 10.204.200.50:



Vamos analisar cada uma destas entradas e explicar a função de cadaentrada, para que você possa entender melhor os conceitos deroteamento.

Rota padrão:

Esta rota é indicada por uma identificação de rede 0.0.0.0 com umamáscara de sub-rede 0.0.0.0. Quando o TCP/IP tenta encontrar umarota para um determinado destino, ele percorre todas as entradas databela de roteamento em busca de uma rota específica para a rede dedestino. Caso não seja encontrada uma rota para a rede de destino,

será utilizada a rota padrão. Em outras palavras, se não houver umarota específica, mande para a rota padrão. Observe que a rota padrão é justamente o default gateway da rede (10.204.200.1), ou seja, ainterface de LAN do roteador da rede. O parâmetro Interface(10.204.200.50) é o número IP da placa de rede do próprio servidor.Em outras palavras: Se não houver uma rota específica manda para arota padrão, onde o próximo hope da rede é o 10.204.200.1 e o enviopara este hope é feito através da interface 10.204.200.50 (ou seja, apróprio placa de rede do servidor).



Ender eço da rede loca l :

Esta rota é conhecida como Rota da Rede Local. Ele basicamente diz oseguinte: "Quando o endereço IP de destino for um endereço da minharede local, envia as informações através da minha placa de rede atravésda minha placa de rede (observe que tanto o parâmetro Gateway comoo parâmetro Interface estão configurados com o número IP do próprioservidor). Ou seja, se for para uma das máquinas da minha rede local,manda através da placa de rede, não precisa enviar para o roteador.

Local hos t ( endereço loca l) :

Este endereço faz referência ao próprio computador. Observe que10.204.200.50 é o número IP do servidor que está sendo analisado (noqual executei o comando route print). Esta rota diz que os programas dopróprio computador, que enviarem pacotes para o destino10.204.200.50 (ou seja, enviarem pacotes para si mesmo, como noexemplo de dois serviços trocando informações entre si), devem usarcomo Gateway o endereço de loopback 127.0.0.1, através da interfacede loopback 127.0.0.1. Esta rota é utilizada para agilizar ascomunicações que ocorrem entre os componentes do próprio WindowsServer 2003, dentro do mesmo servidor. Ao usar a interface deloopback, toda a comunicação ocorre a nível de software, ou seja, não énecessário enviar o pacote através das diversas camadas do protocoloTCP/IP, até que o pacote chege na camada de enlace (ou seja, a placade rede), para depois voltar. Ao invés disso é utilizada a interface deloopback para direcionar os pacotes corretamente. Observe que estaentrada tem como máscara de sub-rede o número 255.255.255.255.Esta máscara indica que a entrada é uma rota para um endereço IP

específico (no caso o próprio IP do servidor) e não uma rota para umendereço de rede.

Netw or k b r oadcast ( B r oadcast de r ede ) :

Esta rota define o endereço de broadcast da rede. Broadcast significaenviar para todos os computadores da rede. Quando é utilizado o



endereço de broadcast, todos os computadores da rede recebem opacote e processam o pacote. O broadcast é utilizado por uma série deserviços, como por exemplo o WINS, para fazer verificações periódicasde nomes, para enviar uma mensagem para todos os computadores darede, para obter informações de todos os computadores e assim pordiante. Observe que o gateway é o número IP da placa de rede doservidor e a Interface é este mesmo número, ou seja, para enviar umbroadcast para a rede, envie através da placa de rede do servidor, nãohá necessidade de utilizar o roteador. Um detalhe interessante é que,por padrão, a maioria dos roteadores bloqueia o tráfego de broadcast,para evitar congestionamentos nos links de WAN.

Rede / ender eço de l oopback :

Comentei anteriormente que os endereços da rede 127.0.0.0 sãoendereços especiais, reservados para fazer referência a si mesmo. Ouseja, quando faço uma referência a 127.0.0.1 estou me referindo aoservidor no qual estou trabalhando. Esta roda indica, em palavrassimples, que para se comunicar com a rede de loopback(127.0.0.0/255.0.0.0), utilize "eu mesmo" (127.0.0.1).

Mul t i cast add r ess ( ender eço de Mu l t i cast ) :

O tráfego IP, de uma maneira simples, pode ser de três tipos: Unicast éo tráfego direcionado para um número IP definido, ou seja, com umdestinatário. Broadcast é o tráfego dirigido para todos os computadoresde uma ou mais redes. E tráfego Multicast é um tráfego direcionadopara um grupo de computadores, os quais estão configurados e"inscritos" para receber o tráfego multicast. Um exemplo prático de

utilização do multicast é para uma transmissão de vídeo através darede. Vamos supor que de uma rede de 1000 computadores, apenas 30devem receber um determinado arquivo de vídeo com um treinamentoespecífico. Se for usado tráfego unicast, serão transmitidas 30 cópias doarquivo de vídeo (o qual já é um arquivo grande), uma cópia para cadadestinatário. Com o uso do Multicast, uma única cópia é transmitidaatravés do link de WAN e o tráfego multicast (com base no protocoloIGMP), entrega uma cópia do arquivo apenas para os 30 computadoresdevidamente configurados para receber o tráfego multicast. Esta rotadefine que o tráfego multicast deve ser enviado através da interface de



rede, que é o número IP da placa de rede do servidor.Lembrando doCapítulo 2, quando falei sobre classes de endereços, a classe D éreservada para tráfego multicast, com IPs iniciando (o primeiro número)a partir de 224.

L im i t ed B r oadcas t ( B r oadcast L i m i t ado ) :

Esta é a rota utilizada para o envio de broadcast limitado. O endereçode broadcast limitado é formato por todos os 32 bits do endereço IPsendo iguais a 1 (255.255.255.255). Este endereço é utilizado quando ocomputador tem que fazer o envio de um broadcast na rede local (enviodo tipo um para todos na rede), porém o computador não conhece anúmero da rede local (network ID). Você pode perguntar: Mas em quesituação o computador não conhecerá a identificação da rede local? Porexemplo, quando você inicializa um computador, configurado para obteras configurações do TCP/IP a partir de um servidor DHCP, a primeiracoisa que este computador precisa fazer é localizar um servidor DHCPna rede e requisitar as configurações do TCP/IP. Ou seja, antes dereceber as configurações do DHCP, o computador ainda não temendereço IP e nem máscara de sub-rede, mas tem que se comunicarcom um servidor DHCP. Esta comunicação é feita via broadcast limitado,

onde o computador envia um pacote de formato específico (chamado deDHCP Discover), para tentar descobrir um servidor DHCP na rede. Estepacote é enviado para todos os computadores. Aquele que for umservidor DHCP irá responder a requisição do cliente. Aí o processo deconfiguração do DHCP continua (conforme descreverei na seção sobreDHCP), até que o computador esteja com as configurações do TCP/IPdefinidas, configurações estas obtidas a partir do servidor DHCP.

Em termos de roteamento, estes são os conceitos necessários ao queserá visto neste tutorial. Agora é hora de tratar sobre a divisão de uma

rede em sub-redes, assunto mais conhecido como: subnetting. Mas esteé assunto para as próximas partes deste tutorial.

Conclusão:

Na próxima parte deste tutorial, você irá aprender sobre a divisão deuma rede em sub-redes, assunto conhecido como subnetting.



Esta é a sétima parte do Tutorial de TCP/IP. Na Parte 1 tratei dos

aspectos básicos do protocolo TCP/IP. Na Parte 2 falei sobre cálculosbinários, um importante tópico para entender sobre redes, máscara desub-rede e roteamento. Na Parte 3 falei sobre Classes de endereços, naParte 4 fiz uma introdução ao roteamento e na Parte 5 apresentei maisalguns exemplos/análises de como funciona o roteamento e na Parte 6falei sobre a Tabela de Roteamento. Nesta parte abordarei um dostópicos que mais geram dúvidas em relação ao TCP/IP: Sub netting, ouseja, como fazer a divisão de uma rede em sub-redes.

Introdução:

Até agora, nas demais partes deste tutorial, sempre utilizei as máscarasde rede padrão para cada classe de endereços, onde são utilizados oito,dezesseis ou vinte e quatro bits para a máscara de rede, conformedescrito a seguir:

N ú m e r o d e b it s Máscara de sub- rede

8 255.0.0.0

16 255.255.0.0

24 255.255.255.0



Por isso que existe uma outra notação, onde a máscara de sub-rede éindicada simplesmente pelo número de bits utilizados na máscara desub/rede, conforme exemplos a seguir:

Def in i ção da rede Máscara de sub- r ede

10.10.10.0/16 255.255.0.0

10.10.10.0/24 255.255.255.0

10.200.100.0/8 255.0.0.0

Porém com este esquema de endereçamento, baseado apenas nas

máscaras de sub-rede padrão (oito, dezesseis ou vinte e quatro bits),haveria um grande desperdício de números IP. Por exemplo, queempresa no mundo precisaria da faixa completa de uma rede classe A,na qual estão disponíveis mais de 16 milhões de endereços IP?

Vamos, agora, analisar o outro extremo desta questão. Imagine, porexemplo, uma empresa de porte médio, que tem a matriz em São Pauloe mais cinco filiais em outras cidades do Brasil. Agora imagine que emnenhuma das localidades, a rede tem mais do que 30 computadores. Sefor usado as máscaras de sub-rede padrão, terá que ser definida umarede Classe C (até 254 computadores, conforme descrito na Parte 4 dest

tutorial), para cada localidade. Observe que estamos reservando 254números IP para cada localidade (uma rede classe C com máscara255.255.255.0), quando na verdade, no máximo, 30 números serãoutilizados em cada localidade. Na prática, um belo desperdício deendereços, mesmo em um empresa de porte médio ou pequeno.

Observe que neste exemplo, uma única rede Classe C seria suficiente.Já que são seis localidades (a matriz mais seis filiais), com um máximode 30 endereços por localidade, um total de 254 endereços de uma redeClasse C seria mais do que suficiente. Ainda haveria desperdício, mas

agora bem menor.A boa notícia é que é possível "dividir" uma rede (qualquer rede) emsub-redes, onde cada sub-rede fica apenas com uma faixa de númerosIP de toda a faixa original. Por exemplo, a rede Classe C10.100.100.0/255.255.255.0, com 256 números IPs disponívies (naprática são 254 úteis, descontando o primeiro que é o número daprópria rede e o último que o endereço de broadcast, conforme descritona Parte 4 deste tutorial), poderia ser dividida em 8 sub-redes, com 32números IP em cada sub-rede. O esquema a seguir ilustra esteconceito:



Rede original: 256 endereços IP disponíveis: 10.100.100.0 ->10.100.100.255

Divisão da rede em 8 sub-redes, onde cada sub-rede fica com 32endereços IP:

Sub- r ede 0 1 : 10.100.100.0 -> 10.100.100.31Sub- r ede 0 2 : 10.100.100.32 -> 10.100.100.63Sub- r ede 0 3 : 10.100.100.64 -> 10.100.100.95Sub- r ede 0 4 : 10.100.100.96 -> 10.100.100.127Sub- r ede 0 5 : 10.100.100.128 -> 10.100.100.159Sub- r ede 0 6 : 10.100.100.160 -> 10.100.100.191Sub- r ede 0 7 : 10.100.100.192 -> 10.100.100.223Sub- r ede 0 8 : 10.100.100.224 -> 10.100.100.255

Para o exemplo da empresa com seis localidades (matriz mais cincofiliais), onde, no máximo, são necessários trinta endereços IP porlocalidade, a utilização de uma única rede classe C, dividida em 8 sub-redes seria a solução ideal. Na prática a primeira e a última sub-redesão descartadas, pois o primeiro IP da primeira sub-rede representa oendereço de rede e o último IP da última sub-rede representa oendereço de broadcast. Com isso restariam, ainda, seis sub-redes.Exatamente a quantia necessária para o exemplo proposto. Observe queao invés de seis redes classe C, bastou uma única rede, subdividida em

seis sub-redes. Uma bela economia de endereços. Claro que se um dosescritórios, ou a matriz, precisasse de mais de 32 endereços IP, umesquema diferente de divisão teria que ser criado.

Entendido o conceito teórico de divisão em sub-redes, resta o trabalhoprático, ou seja:

• O que tem que ser alterado para fazer a divisão em sub-redes (subnetting).

• Como calcular o número de sub-redes e o número denúmeros IP dentro de cada sub-rede.

• Como listar as faixas de endereços dentro de cada sub-rede.

• Exemplos práticos

Você aprenderá estas etapas através de exemplos práticos. Vouinicialmente mostrar o que tem que ser alterado para fazer a divisão deuma rede padrão (com máscara de 8, 16 ou 24 bits) em uma ou mais



sub-redes. Em seguida, apresento alguns exemplos de divisão de umarede em sub-redes. Mãos a obra.S= O que tem que ser alterado para fazer a divisão em sub-redes(subnetting).

Alterando o número de bits da máscara de sub-rede:

Por padrão são utilizadas máscaras de sub-rede de 8, 16 ou 24 bits,conforme indicado no esquema a seguir:

N ú m e r o d e b it s Máscara de sub- rede

08 255.0.0.0

16 255.255.0.024 255.255.255.0

Uma máscara de 8 bits significa que todos os bits do primeiro octeto sãoiguas a 1; uma máscara de 16 bits significa que todos os bits doprimeiro e do segundo octeto são iguais a 1 e uma máscara de 24 bitssignifica que todos os bits dos três primeiros octetos são iguais a 1. Esteconceito está ilustrado na tabela a seguir:

N ú m . b i t s

Octe to

0 1

Octe to

0 2

Octe to

0 3

Octe to

0 4

Máscara de

sub- r ede 08 11111111 00000000 00000000 00000000 255.0.0.0

16 11111111 11111111 00000000 00000000 255.255.0.0

24 11111111 11111111 11111111 00000000 255.255.255.0 Máscaras de rede com 8, 16 e 24 bits.

No exemplo da rede com matriz em São Paulo e mais cinco escritórios,vamos utilizar uma rede classe C, que será subdividida em seis sub-redes (na prática 8, mas a primeira e a última não são utilizadas). Para

fazer esta subdivisão, você deve alterar o número de bits iguais a 1 namáscara de sub-rede. Por exemplo, ao invés de 24 bits, você terá queutilizar 25, 26, 27 ou um número a ser definido. Bem, já avançamosmais um pouco:

" Pa ra f azer a d i v i são de um a rede em sub - redes , é p rec i so

aum en t a r o n úm ero de b i t s i gua i s a 1 , al t e rando com i sso a

m áscara de sub- rede. "

Quantos bits devem ser utilizados para a máscara de sub-rede?



Agor a , na tu r a l men t e , su r ge um a nova questão : "Quantos bits?".Ou de uma outra maneira (já procurando induzir o seu raciocínio): "Oque define o número de bits a ser utilizados a mais?"

Bem, esta é uma questão bem mais simples do que pode parecer.Vamos a ela. No exemplo proposto, precisamos dividir a rede em seissub-redes. Ou seja, o número de sub-redes deve ser, pelo menos, seis.Sempre lembrando que a primeira e a última sub-rede não sãoutilizadas. O número de sub-redes é proporcional ao número de bits quevamos adicionar à máscara de sub-rede já existente. O número de redeé dado pela fórmula a seguir, onde ‘n’ é o númeo de bits a mais a seremutilizados para a máscara de sub-rede:

N ú m . d e su b - r e d es = 2 n - 2

No nosso exemplo estão disponíveis até 8 bits do último octeto paraserem também utilizados na máscara de sub-rede. Claro que na práticanão podemos usar os 8 bits, senão ficaríamos com o endereço debroadcast: 255.255.255.255, com máscara de rede. Além disso, quantomais bits eu pegar para a máscara de sub-rede, menos sobrarão para osnúmeros IP da rede. Por exemplo, se eu adicionar mais um bit amáscara já existente, ficarei com 25 bits para a máscara e 7 paranúmeros IP, se eu adicionar mais dois bits à máscara original de 24 bits,ficarei com 26 bits para a máscara e somente 6 para números IP eassim por diante. O número de bits que restam para os números IP,definem quantos números IP podem haver em cada sub-rede. A fórmulapara determinar o número de endereços IP dentro de cada sub-rede, éindicado a seguir, onde ‘n’ é o númeo de bits destinados a parte de hostdo endereço (32 – bits usados para a máscara):

Núm . de ender eços I P den t r o de cada sub - r ede = 2 n- 2

Na tabela a seguir, apresento cálculos para a divisão de sub-redes que

será feita no nosso exemplo. Observe que quanto mais bits eu adicionoà máscara de sub-rede, mais sub-redes é possível obter, porém com ummenor número de máquinas em cada sub-rede. Lembrando que o nossoexemplo estamos subdividindo uma rede classe C -1 0 . 1 0 0 .1 0 0 . 0 / 2 5 5 . 2 5 5 .2 5 5 . 0 , ou seja, uma rede com 24 bits para amáscara de sub-rede original.

Núm er o de b it s a ma i sa se r em u t i l i zados

Núm er o de sub - r edes N ú m e r o d e h o s t sem cada sub - r ede



0 máscara original.rede classe C sem divisão

254

1 0 1262 2 62

3 6 30

4 14 14

5 30 6

6 62 2

7 126 0

8 endereço de broadcast - Número de redes e número de hosts em cada rede.

Claro que algumas situações não se aplicam na prática. Por exemplo,usando apenas um bit a mais para a máscara de sub-rede, isto é, 25bits ao invés de 24. Neste caso teremos 0 sub-redes disponíveis. Poiscom 1 bit é possível criar apenas duas sub-redes, como a primeira e aúltima são descartadas, conforme descrito anteriormente, na prática asduas sub-redes geradas não poderão ser utilizadas. A mesma situaçãoocorre com o uso de 7 bits a mais para a máscara de sub-rede, ou seja,31 ao invés de 24. Nesta situação sobra apenas um bit para os

endereços IP. Com 1 bit posso ter apenas dois endereços IP,descontanto o primeiro e o último que não são utilizados, não sobranenhum endereço IP. As situações intermediárias é que são maisrealistas. No nosso exemplo, precisamos dividir a rede Classe C -10.100.100.0/255.255.255.0, em seis sub-redes. De acordo com atabela da Figura 16.6, precisamos utilizar 3 bits a mais para obter asseis sub-redes desejadas. Observe que utilizando três bits a mais, aoinvés de 24 bits (máscara original), vamos utilizar 27 bits para amáscara de sub-rede. Com isso sobra cinco bits para os números IPsdentro de cada sub-rede, o que dá um total de 30 números IP por sub-

rede. Exatamente o que precisamos.A próxima questão que pode surgir é como é que fica a máscara de sub-rede, agora que ao invés de 24 bits, estou utilizando 27 bits, conformeilustrado na tabela a seguir:

N ú m . b i t s Octe t o 01 Octe t o 02 Octe t o 03 Octe t o 04

27 11111111 11111111 11111111 1 1 100000 Máscara de sub-rede com 27 bits.



Para determinar a nova máscara temos que revisar o valor de cada bit,o que foi visto no Capítulo 2. Da esquerda para a direita, cada bitrepresenta o seguinte valor, respectivamente:

128 64 32 16 8 4 2 1

Como os três primeiros bits do último octeto foram também utilizadospara a máscara, estes três bits soman para o valor do último octeto. Nonosso exemplo, o último octeto da máscara terá o seguinte valor:128+64+32 = 224. Com isso a nova máscara de sub-rede, máscaraesta que será utilizada pelas seis sub-redes, é a seguinte:255.255.255.224. Observe que ao adicionarmos bits à máscara de sub-rede, fazemos isso a partir do bit de maior valor, ou seja, o bit mais da

esquerda, com o valor de 128, depois usamos o próximo bit com valor64 e assim por diante. Na tabela a seguir, apresento a ilustração decomo fica a nova máscara de sub-rede:

N ú m . b i t s Octe to0 1

Octe to0 2

Octe to0 3

Octe to0 4

Nova Máscara

27 11111111 11111111 11111111 1 1 100000 255 .255 .255 .224 A nova máscara de sub-rede.

Com o uso de três bits adicionais para a máscara de rede, teremos seis

sub-redes disponíveis (uma para cada escritório) com um númeromáximo de 30 números IP por sub-rede. Exatamente o que precisamospara o exemplo proposto.

A idéia básica de subnetting é bastante simples. Utiliza-se bits adicionaispara a máscara de sub-rede. Com isso tenho uma divisão da redeoriginal (classe A, classe B ou classe C) em várias sub-redes, sendo queo número de endereços IP em cada sub-rede é reduzido (por termosutilizados bits adicionais para a máscara de sub-rede, bits estes queoriginalmente eram destinados aos endereços IP). Esta divisão pode ser

feita em redes de qualquer uma das classes padrão A, B ou C. Porexemplo, por padrão, na Classe A são utilizados 8 bits para a máscarade sub-rede e 24 bits para hosts. Você pode utilizar, por exemplo, 12bits para a máscara de sub-rede, restando com isso 20 bits paraendereços de host.

Na tabela a seguir, apresento os cálculos para o número de sub-redes eo número de hosts dentro de cada sub-rede, apenas para os casos quepodem ser utilizados na prática, ou seja, duas ou mais sub-redes e doisou mais endereços válidos em cada sub-rede.



Núm er o de b it s a ma i sa se r em u t i l i zados

Núm er o de sub - r edes N ú m e r o d e h o s t sem cada sub - r ede

2 2 623 6 30

4 14 14

5 30 6

6 62 2 Número de redes e número de hosts em cada rede – divsão de uma rede Classe C.

Lembrando que a fórmula para calcular o número de sub-redes é:

Núm. de sub-redes = 2 n - 2

onde n é o número de bits a mais utilizados para a máscara de sub-rede

E a fórmula para calcular o número de endereços IP dentro de cada sub-rede é:

2 n- 2

onde n é o número de bits restantes, isto é, não utilizados pela máscara

de sub-rede.

Até aqui trabalhei com um exemplo de uma rede Classe C, que estásendo subdividida em várias sub-redes. Porém é também possívelsubdividir redes Classe A e redes Classe B. Lembrando que redes classeA utilizam, por padrão, apenas 8 bits para o endereço de rede, já redesclasse B, utilizam, por padrão, 16 bits. Na tabela a seguir, apresento umresumo do número de bits utilizados para a máscara de sub-rede, porpadrão, nas classes A, B e C:

Classe Bi ts Octe to0 1

Octe to0 2

Octe to0 3

Octe to0 4

MáscaraPadrão

A 8 11111111 00000000 00000000 00000000 255.0.0.0

B 16 11111111 11111111 00000000 00000000 255.255.0.0

C 24 11111111 11111111 11111111 00000000 255.255.255.0 Máscara padrão para as classes A, B e C.

Para subdividir uma rede classe A em sub-redes, basta usar bitsadicionais para a máscara de sub-rede. Por padrão são utilizados 8 bits.



Se você utilizar 10, 12 ou mais bits, estará criando sub-redes. O mesmoraciocínio é válido para as redes classe B, as quais utilizam, por padrão,16 bits para a máscara de sub-rede. Se você utilizar 18, 20 ou mais bitspara a máscara de sub-rede, estará subdividindo a rede classe B emvárias sub-redes.

As fórmulas para cálculo do número de sub-redes e do número de hostsem cada sub-rede são as mesmas apresentadas anteriormente,independentemente da classe da rede que está sendo dividida em sub-redes.

A seguir apresento uma tabela com o número de sub-redes e o númerode hosts em cada sub-rede, dependendo do número de bits adicionais

(além do padrão definido para a classe) utilizados para a máscara desub-rede, para a divisão de uma rede Classe B:

Div i são de um a rede c lasse B em sub- r edes

N ú m e r o d e b it s Sub- redes Hos ts Nova m áscar a de sub - r ede

2 2 16382 255.255.192.0

3 6 8190 255.255.224.0

4 14 4094 255.255.240.0

5 30 2046 255.255.248.06 62 1022 255.255.252.0

7 126 510 255.255.254.0

8 254 254 255.255.255.0

9 510 126 255.255.255.128

10 1022 62 255.255.255.192

11 2046 30 255.255.255.224

12 4094 14 255.255.255.240

13 8190 6 255.255.255.248 Número de redes e número de hosts em cada rede – Classe B.

Observe como o entendimento dos cálculos binários realizados peloTCP/IP facilita o entendimento de vários assuntos relacionados aoTCP/IP, inclusive o conceito de subnetting (Veja Parte 2 para detalhessobre Cálculos Binários). Por padrão a classe B utiliza 16 bits para amáscara de sub-rede, ou seja, uma máscara padrão: 255.255..0.0.Agora se utilizarmos oito bits adicionais (todo o terceiro octeto) para amáscara, teremos todos os bits do terceiro octeto como sendo iguais a



1, com isso a máscara passa a ser: 255.255.255.0. Este resultado estácoerente com a tabela da Figura 16.11. Agora vamos avançar um poucomais. Ao invés de 8 bits adicionais, vamos utilizar 9. Ou seja, todo oterceiro octeto (8 bits) mais o primeiro bit do quarto octeto. O primeirobit, o bit bem à esquerda é o bit de valor mais alto, ou seja, o que vale128. Ao usar este bit também para a máscara de sub-rede, obtemos aseguinte máscara: 255.255.255.128. Também fecha com a tabelaanterior. Com isso você pode concluir que o entendimento daaritemética e da representação binária, facilita muito o estudo doprotocolo TCP/IP e de assuntos relacionados, tais como subnetting eroteamento.

A seguir apresento uma tabela com o número de sub-redes e o número

de hosts em cada sub-rede, dependendo do número de bits adicionais(além do padrão definido para a classe) utilizados para a máscara desub-rede, para a divisão de uma rede Classe A:

Div i são de um a rede c lasse A em sub- r edes

N ú m e r o d e b it s Sub- redes Hos ts Nova m áscar a de sub - r ede

2 2 4194302 255.192.0.0

3 6 2097150 255.224.0.0

4 14 1048574 255.240.0.0

5 30 524286 255.248.0.0

6 62 262142 255.252.0.0

7 126 131070 255.254.0.0

8 254 65534 255.255.0.0

9 510 32766 255.255.128.0

10 1022 16382 255.255.192.0

11 2046 8190 255.255.224.0

12 4094 4094 255.255.240.013 8190 2046 255.255.248.0

14 16382 1022 255.255.252.0

15 32766 510 255.255.254.0

16 65534 254 255.255.255.0

17 131070 126 255.255.255.128

18 262142 62 255.255.255.192



19 524286 30 255.255.255.224

20 1048574 14 255.255.255.240

21 2097150 6 255.255.255.248

22 4194302 2 255.255.255.252 Número de redes e número de hosts em cada rede – Classe A.

Um fato importante, que eu gostaria de destacar novamente é quetodas as sub-redes (resultantes da divisão de uma rede), utilizam omésmo número para a máscara de sub-rede. Por exemplo, na quartalinha da tabela indicada na Figura 16.12, estou utilizando 5 bitsadicionais para a máscara de sub-rede, o que resulta em 30 sub-redesdiferentes, porém todas utilizando como máscara de sub-rede oseguinte número: 255.248.0.0.

Muito bem, entendido o conceito de divisão em sub-redes e dedeterminação do número de sub-redes, do número de hosts em cadasub-rede e de como é formada a nova máscara de sub-rede, a próximaquestão que pode surgir é a seguinte:

Como listar as faixas de endereços para cada sub-rede? Este éexatamente o assunto que vem a seguir.

Como listar as faixas de endereços dentro de cada sub-rede.

Vamos entender esta questão através de exemplos práticos.

Exem p l o 01 : Dividir a seguinte rede classe C:129.45.32.0/255.255.255.0. São necessárias, pelo menos, 10 sub-redes. Determinar o seguinte:

a) Quantos bits serão necessários para fazer a divisão e obter pelomenos 10 sub-redes?b) Quantos números IP (hosts) estarão disponíveis em cada sub-rede?c) Qual a nova máscara de sub-rede?d) Listar a faixa de endereços de cada sub-rede.

Vamos ao trabalho. Para responder a questão da letra a, você develembrar da fórmula:

Núm. de sub-redes = 2n-2

Você pode ir substituindo n por valores sucessivos, até atingir ousuperar o valor de 10. Por exemplo, para n=2, a fórmula resulta em 2,



para n=3, a fórmula resulta em 6, para n=4 a fórmula resulta em 14.Bem, está respondida a questão da letra a, temos que utilizar quatrobits do quarto octeto para fazer parte da máscara de sub-rede.

a) Quantos bits serão necessários para fazer a divisão e obter pelomenos 10 sub-redes?R: 4 bits.

Como utilizei quatro bits do último octeto (além dos 24 bits dos trêsprimeiros octetos, os quais já faziam parte da máscara original),sobraram apenas 4 bits para os endereços IP, ou seja, para osendereços de hosts em cada sub-rede. Tenho que lembrar da seguintefórmula:

Núm. de endereços IP dentro de cada sub-rede = 2n-2

substituindo n por 4, vou obter um valor de 14. Com isso já estou emcondições de responder a alternativa b.

b) Quantos números IP (hosts) estarão disponíveis em cada sub-rede?R: 14.

Como utilizei quatro bits do quarto octeto para fazer a divisão em sub-

redes, os quatro primeiros bits foram definidos igual a 1. Basta somar osrespectivos valores, ou seja: 128+64+32+16 = 240. Ou seja, com osquatro primeiros bits do quarto octeto sendo iguais a 1, o valor doquarto octeto passa para 240, com isso já temos condições deresponder a alternativa c.

c) Qual a nova máscara de sub-rede?R: 255.255.255.240

É importante lembrar, mais uma vez, que esta será a máscara de sub-rede utilizada por todas as 14 sub-redes.

d) Listar a faixa de endereços de cada sub-rede.

Esta é a novidade deste item. Como saber de que número até quenúmero vai cada endereço IP. Esta também é fácil, embora sejanovidade. Observe o último bit definido para a máscara. No nossoexemplo é o quarto bit do quarto octeto. Qual o valor decimal do quartobit? 16 (o primeiro é 128, o segundo 64, o terceiro 32 e assim pordiante, conforme explicado no Capítulo 2). O valor do último bit é umindicativo das faixas de variação para este exemplo. Ou seja, na prática



temos 16 hosts em cada sub-rede, embora o primeiro e o último nãodevam ser utilizados, pois o primeiro é o endereço da própria sub-rede eo último é o endereço de broadcast da sub-rede. Por isso que ficam 14hosts por sub-rede, devido ao ‘-2’ na fórmula, o ‘-2’ significa: - oprimeiro – o último. Ao listar as faixas, consideramos os 16 hosts,apenas é importante salienar que o primeiro e o último não sãoutilizados. Com isso a primeira sub-rede vai do host 0 até o 15, asegunda sub-rede do 16 até o 31, a terceira do 32 até o 47 e assim pordiante, conforme indicado no esquema a seguir:

Divisão da rede em 14 sub-redes, onde cada sub-rede fica com 16endereços IP, sendo que a primeira e a última sub-rede não sãoutilizadas e o primeiro e o último número IP, dentro de cada sub-rede,

também não são utilizados:Sub-rede 01129.45.32.0

->129.45.32.15

Sub-rede 02129.45.32.16

->129.45.32.31

Sub-rede 03129.45.32.32

->129.45.32.47

Sub-rede 04129.45.32.48

->129.45.32.63

Sub-rede 05

129.45.32.64

->

129.45.32.79Sub-rede 06129.45.32.80

->129.45.32.95

Sub-rede 07129.45.32.96

->129.45.32.111

Sub-rede 08129.45.32.112

->129.45.32.127

Sub-rede 09129.45.32.128

->129.45.32.143

Sub-rede 10

129.45.32.144

->

129.45.32.159Sub-rede 11129.45.32.160

->129.45.32.175

Sub-rede 12129.45.32.176

->129.45.32.191

Sub-rede 13129.45.32.192

->129.45.32.207

Sub-rede 14129.45.32.208

->129.45.32.223

Sub-rede 15 ->



129.45.32.224 129.45.32.239Sub-rede 16

129.45.32.240

->

129.45.32.255Vamos a mais um exemplo prático, agora usando uma rede classe B,que tem inicialmente, uma máscara de sub-rede: 255.255.0.0

Exem p l o 02 : Dividir a seguinte rede classe B:150.100.0.0/255.255.0.0. São necessárias, pelo menos, 20 sub-redes.Determinar o seguinte:

a) Quantos bits serão necessários para fazer a divisão e obter pelomenos 10 sub-redes?b) Quantos números IP (hosts) estarão disponíveis em cada sub-rede?

c) Qual a nova máscara de sub-rede?d) Listar a faixa de endereços de cada sub-rede.

Vamos ao trabalho. Para responder a questão da letra a, você develembrar da fórmula:

Núm. de sub-redes = 2n-2

Você pode ir substituindo n por valores sucessivos, até atingir ousuperar o valor de 10. Por exemplo, para n=2, a fórmula resulta em 2,

para n=3, a fórmula resulta em 6, para n=4 a fórmula resulta em 14 epara n=5 a fórmula resulta em 30. Bem, está respondida a questão daletra a, temos que utilizar cinco bits do quarto octeto para fazer parte damáscara de sub-rede. Pois se utilizarmos apenas 4 bits, obteremossomente 14 sub-redes e usando mais de 5 bits, obteremos um númerode sub-redes bem maior do que o necessário.

a) Quantos bits serão necessários para fazer a divisão e obter pelomenos 10 sub-redes?R: 5 bits.

Como utilizei cinco bits do terceiro octeto (além dos 16 bits dos doisprimeiros octetos, os quais já faziam parte da máscara original).,sobraram apenas 11 bits (os três restantes do terceiro octeto mais os 8bits do quarto octeto) para os endereços IP, ou seja, para os endereçosde hosts em cada sub-rede. Tenho que lembrar da seguinte fórmula:

Núm. de endereços IP dentro de cada sub-rede = 2n-2

substituindo n por 11 (número de bits que restarama para a parte dehost), vou obter um valor de 2046, já descontando o primeiro e o último



número, os quais não podem ser utilizados, conforme já descritoanteriormente. Com isso já estou em condições de responder aalternativa b.

b) Quantos números IP (hosts) estarão disponíveis em cada sub-rede?R: 2046.

Como utilizei cinco bits do terceiro octeto para fazer a divisão em sub-redes, os cinco primeiros bits foram definidos igual a 1. Basta somar osrespectivos valores, ou seja: 128+64+32+16+8 = 248. Ou seja, com osquatro primeiros bits do quarto octeto sendo iguais a 1, o valor doquarto octeto passa para 248, com isso já temos condições deresponder a alternativa c.

c) Qual a nova máscara de sub-rede?R: 255.255.248.0

É importante lembrar, mais uma vez, que esta será a máscara de sub-rede utilizada por todas as 30 sub-redes.

d) Listar a faixa de endereços de cada sub-rede.

Como saber de que número até que número vai cada endereço IP. Esta

também é fácil e o raciocínio é o mesmo utilizado para o exemploanterior, onde foi feita uma divisão de uma rede classe C. Observe oúltimo bit definido para a máscara. No nosso exemplo é o quinto bit doterceiro octeto. Qual o valor decimal do quinto bit (de qualque octeto)?8 (o primeiro é 128, o segundo 64, o terceiro 32, o quarto é 16 e oquinto é 8, conforme explicado na Parte 2). O valor do último bit é umindicativo das faixas de variação para este exemplo. Ou seja, na práticatemos 2048 hosts em cada sub-rede, embora o primeiro e o último nãodevam ser utilizados, pois o primeiro é o endereço da própria sub-rede eo último é o endereço de broadcast da sub-rede. Por isso que ficam2046 hosts por sub-rede, devido ao ‘-2’ na fórmula, o ‘-2’ significa: - o

primeiro – o último. Ao listar as faixas, consideramos o valor do últimobit da máscara. No nosso exemplo é o 8. A primeira faixa vai do zeroaté um número anterior ao valor do último bit, no caso do 0 ao 7. Aseguir indico a faixa de endereços da primeira sub-rede (sub-rede quenão será utilizada na prática, pois descarta-se a primeira e a última):

Sub-rede 01 150.100.0.1 -> 150.100.7.254



Com isso todo endereço IP que tiver o terceiro número na faixa entre 0e 7, será um número IP da primeira sub-rede, conforme os exemplos aseguir:

150.100.0.25150.100.3.20150.100.5.0150.100.6.244

Importante: Observe que os valores de 0 a 7 são definidos no terceiroocteto, que é onde estamos utilizando cinco bits a mais para fazer adivisão em sub-redes.

Qual seria a faixa de endereços IP da próxima sub-rede. Aqui vale omesmo reciocínio. O último bit da máscara equivale ao valor 8. Esta é avariação da terceira parte do número IP, que é onde esta sendo feita adivisão em sub-redes. Então, se a primeira foi de 0 até 7, a segundasub-rede terá valores de 8 a 15 no terceiro octeto, a terceira sub-redeterá valores de 16 a 23 e assim por diante.

Divisão da rede em 32 sub-redes, onde cada sub-rede fica com 2048endereços IP, sendo que a primeira e a última sub-rede não sãoutilizadas e o primeiro e o último número IP, dentro de cada sub-rede,também não são utilizados:

Sub- rede Pr i m e i r o I P Úl t i m o I P Ender eço debroadcas t

N ú m e r o

150.100.0.0 150.100.0.1 150.100.7.254 150.100.7.255 1

150.100.8.0 150.100.8.1 150.100.15.254 150.100.15.255 2

150.100.16.0 150.100.16.1 150.100.23.254 150.100.23.255 3

150.100.24.0 150.100.24.1 150.100.31.254 150.100.31.255 4

150.100.32.0 150.100.32.1 150.100.39.254 150.100.39.255 5

150.100.40.0 150.100.40.1 150.100.47.254 150.100.47.255 6

150.100.48.0 150.100.48.1 150.100.55.254 150.100.55.255 7

150.100.56.0 150.100.56.1 150.100.63.254 150.100.63.255 8

150.100.64.0 150.100.64.1 150.100.71.254 150.100.71.255 9

150.100.72.0 150.100.72.1 150.100.79.254 150.100.79.255 10

150.100.80.0 150.100.80.1 150.100.87.254 150.100.87.255 11

150.100.88.0 150.100.88.1 150.100.95.254 150.100.95.255 12



150.100.96.0 150.100.96.1 150.100.103.254 150.100.103.255 13

150.100.104.0 150.100.104.1 150.100.111.254 150.100.111.255 14

150.100.112.0 150.100.112.1 150.100.119.254 150.100.119.255 15

150.100.120.0 150.100.120.1 150.100.127.254 150.100.127.255 16

150.100.128.0 150.100.128.1 150.100.135.254 150.100.135.255 17

150.100.136.0 150.100.136.1 150.100.143.254 150.100.143.255 18

150.100.144.0 150.100.144.1 150.100.151.254 150.100.151.255 19

150.100.152.0 150.100.152.1 150.100.159.254 150.100.159.255 20

150.100.160.0 150.100.160.1 150.100.167.254 150.100.167.255 21

150.100.168.0 150.100.168.1 150.100.175.254 150.100.175.255 22150.100.176.0 150.100.176.1 150.100.183.254 150.100.183.255 23

150.100.184.0 150.100.184.1 150.100.191.254 150.100.191.255 24

150.100.192.0 150.100.192.1 150.100.199.254 150.100.199.255 25

150.100.200.0 150.100.200.1 150.100.207.254 150.100.207.255 26

150.100.208.0 150.100.208.1 150.100.215.254 150.100.215.255 27

150.100.216.0 150.100.216.1 150.100.223.254 150.100.223.255 28

150.100.224.0 150.100.224.1 150.100.231.254 150.100.231.255 29

150.100.232.0 150.100.232.1 150.100.239.254 150.100.239.255 30

150.100.240.0 150.100.240.1 150.100.247.254 150.100.247.255 31

150.100.248.0 150.100.248.1 150.100.255.254 150.100.255.255 32

Com base na tabela apresentada, fica fácil responder em que sub-redeestá contido um determinado número IP. Por exemplo, considere onúmero IP 150.100.130.222. Primeiro você observa o terceiro octeto donúmero IP (o terceiro, porque é neste octeto que estão os últimos bitsque foram utilizados para a máscara de sub-rede). Consultando a tabelaanterior, você observa o valor de 130 para o terceiro octeto correspondea sub-rede 17, na qual o terceiro octeto varia entre 128 e 135,conforme indicado a seguir:

150.100.128.0 150.100.128.1 150.100.135.254150.100.135.255 17

Bem, com isso concluo o nosso estudo sobre dois princípiosfundamentais do protocolo TCP/IP:



B= RoteamentoB= Subnetting (divisão de uma rede em sub-redes).

Conclusão.

Nesta parte do tutorial, abordei um dos assuntos que mais geramdúvidas: a divisão de uma rede em sub-redes. Nas próximas partesdeste tutorial, falareis sobre serviços do Windows 2000 Server e doWindows Server 2003, diretamente ligados ao TCP/IP, tais como o DNS,DHCP, WINS e RRAS.

Introdução:

Esta é a oitava parte do Tutorial de TCP/IP. Na Parte 1 tratei dosaspectos básicos do protocolo TCP/IP. Na Parte 2 falei sobre cálculosbinários, um importante tópico para entender sobre redes, máscara desub-rede e roteamento. Na Parte 3 falei sobre Classes de endereços, naParte 4 fiz uma introdução ao roteamento e na Parte 5 apresentei maisalguns exemplos/análises de como funciona o roteamento e na Parte 6falei sobre a Tabela de Roteamento. Na Parte 7 tratei sobre a divisão deuma rede em sub-redes, conceito conhecido como subnetting. Nestaparte farei uma apresentação de um dos serviços mais utilizados peloTCP/IP, que é o Domain Name System (DNS). O DNS é o serviço deresolução de nomes usado em todas as redes TCP/IP, inclusive pela

Internet que, sem dúvidas, é a maior rede TCP/IP existente.

Definindo DNS:

DNS é a abreviatura de Domain Name System. O DNS é um serviço deresolução de nomes. Toda comunicação entre os computadores edemais equipamentos de uma rede baseada no protocolo TCP/IP (e qualrede não é baseada em TCP/IP?) é feita através do número IP. NúmeroIP do computador de origem e número IP do computador de destino.Porém não seria nada produtivo se os usuários tivessem que decorar, ou



mais realisticamente, consultar uma tabela de números IP toda vez quetivessem que acessar um recurso da rede. Por exemplo, você digitawww.microsoft.com/brasil, para acessar o site da Microsoft no Brasil,sem ter que se preocupar e nem saber qual o número IP do servidoronde está hospedado o site da Microsoft Brasil. Mas alguém tem quefazer este serviço, pois quando você digita www.microsoft.com/brasil, oprotocolo TCP/IP precisa "descobrir" (o termo técnico é resolver o nome)qual o número IP está associado com o nome digitado. Se não forpossível "descobrir" o número IP associado ao nome, não será possívelacessar o recurso desejado.

O papel do DNS é exatamente este, "descobrir", ou usando o termotécnico, "resolver" um determinado nome, como por exemplo

www.microsoft.com. Resolver um nome significa, descobrir e retornar onúmero IP associado com o nome. Em palavras mais simples, o DNS éum serviço de resolução de nomes, ou seja, quando o usuário tentaacessar um determinado recurso da rede usando o nome de umdeterminado servidor, é o DNS o responsável por localizar e retornar onúmero IP associado com o nome utilizado. O DNS é, na verdade, umgrande banco de dados distribuído em milhares de servidores DNS nomundo inteiro. Ele possui várias características, as quais descrevereinesta parte do tutorial de TCP/IP.

O DNS passou a ser o serviço de resolução de nomes padrão a partir doWindows 2000 Server. Anteriormente, com o NT Server 4.0 e versõesanteriores, o serviço padrão para resolução de nomes era o WINS –Windows Internet Name Service (assunto da Parte 9 deste tutorial).Versões mais antigas dos clientes Windows, tais como Windows 95,Windows 98 e Windows Me ainda são dependentes do WINS, para arealização de determinadas tarefas. O fato de existir dois serviços deresolução de nomes, pode deixar o administrador confuso.

Cada computador com o Windows instalado (qualquer versão), tem doisnomes: um host name (que é ligado ao DNS) e um NetBios name (que é

ligado ao WINS). Por padrão estes nomes devem ser iguais, ou seja, éaconselhável que você utilize o mesmo nome para o host name e para oNetBios name.

O DNS é um sistema para nomeação de computadores, equipamentosde rede (tais como roteadores, hubs, switchs). Os nomes DNS sãoorganizados de uma maneira hierárquica através da divisão da rede emdomínios DNS.

O DNS é, na verdade, um grande banco de dados distribuído em váios



servidoress DNS e um conjunto de serviços e funcionalidades, quepermitem a pesquisa neste banco de dados. Por exemplo, quando ousuário digita www.abc.com.br na barra de endereços do seunavegador, o DNS tem que fazer o trabalho de localizar e retornar parao navegador do usuário, o número IP associado com o endereçowww.abc.com.br. Quando você tenta acessar uma pasta compartilhadachamada docs, em um servidor chamado srv-files01.abc.com.br, usandoo caminho \\srv-files01.abc.com.br\docs, o DNS precisa encontrar onúmero IP associado com o nome srv-files01.abc.com.br. Se esta etapafalhar, a comunicação não será estabelecida e você não poderá acessara pasta compartilhada docs.

Ao tentar acessar um determinado recurso, usando o nome de um

servidor, é como se o programa que você está utilizando perguntasse aoDNS:

" DNS, você sabe qua l o endereço I P assoc iado com o n om e ta l?" .

O DNS pesquisa na sua base de dados ou envia a pesquisa para outrosservidores DNS (dependendo de como foram feitas as configurações doservidor DNS, conforme descreverei mais adiante). Uma vez encontradoo número IP, o DNS retorna o número IP para o cliente:

" Es te é o núm er o I P assoc iado com o n om e t a l ." Nota : O DNS implementado no Windows 2000 Server e também noWindows Server 2003 é baseado em padrões definidos por entidades depadronização da Internet, tais como o IETF. Estes documentos sãoconhecidos como RFCs – Request for Comments. Você encontra, naInternet, facilmente a lista de RFCs disponíveis e o assunto relacionadacom cada uma. São milhares de RFCs (literalmente milhares).

Entendendo os elementos que compõem o DNS:

O DNS é baseado em conceitos tais como espaço de nomes e árvore dedomínios. Por exemplo, o espaço de nomes da Internet é um espaço denomes hierárquico, baseado no DNS. Para entender melhor estesconceitos, observe o diagrama da Figura a seguir:



Estrutura hierárquica do DNS.

Nesta Figura é apresentada uma visão abrevida da estrutura do DNSdefinida para a Internet. O principal domínio, o domínio root, o domíniode mais alto nível foi nomeado como sendo um ponto (.). No segundonível foram definidos os chamados "Top-level-domains". Estes domíniossão bastante conhecidos, sendo os principais descritos na Tabela aseguir:

Top- l eve l - doma i n Descr ição

com Organizações comerciais

gov Organizações governamentais

edu Instituições educacionais

org Organizações não comerciais

net Diversos

mil Instituições militares



Top-level-domains

Em seguida, a estrutura hierárquica continua aumentando. Por exemplo,

dentro do domínio .com, são criadas sub domínios para cada país. Porexemplo: br para o Brasil (.com.br), .fr para a frança (.com.fr), uk paraa Inglaterra (.com.uk) e assim por diante. Observe que o nomecompleto de um domínio é o nome do próprio domínio e mais os nomesdos domínios acima dele, no caminho até chegar ao domínio root que éo ponto. Nos normalmente não escrevemos o ponto, mas não estáerrado utilizá-lo. Por exemplo, você pode utilizar www.microsoft.com ouwww.microsoft.com. (com ponto no final mesmo).

No diagrama da Figura anterior, representei até o domínio de uma

empresa chamada abc (abc...), que foi registrada no subdomínio(.com.br), ou seja: abc.com.br. Este é o domínio DNS da empresa.

Nota : Para registrar um domínio .br, utilize o seguinte endereço:www.registro.br.

Todos os equipamentos da rede da empresa abc.com.br, farão partedeste domínio. Por exemplo, considere o servidor configurado com onome de host www. O nome completo deste servidor seráwww.abc.com.br, ou seja, é com este nome que ele poderá serlocalizado na Internet. O nome completo do servidor com nome de host

ftp será: ftp.abc.com.br, ou seja, é com este nome que ele poderá seracessado através da Internet. No banco de dados do DNS é que ficarágravada a informação de qual o endereço IP está associado comwww.abc.com.br, qual o endereço IP está associado com ftp.abc.com.bre assim por diante. Mais adiante você verá, passo-a-passo, como é feitaa resolução de nomes através do DNS.

O nome completo de um computador da rede é conhecido como FQDN –Full Qualifided Domain Name. Por exemplo ftp.abc.com.br é um FQDN.ftp (a primeira parte do nome) é o nome de host e o restante

representa o domínio DNS no qual está o computador. A união do nomede host com o nome de domínio é que forma o FQDN.

Internamente, a empresa abc.com.br poderia criar subdomínios, comopor exemplo: vendas.abc.com.br, suporte.abc.com.br,pesquisa.abc.com.br e assim por diante. Dentro de cada um destessubdominios poderia haver servidores e computadores, como porexemplo: srv01.vendas.abc.com.br, srv-pr01.suporte.abc.com.br.Observe que sempre, um nome de domínio mais baixo, contém o nomecompleto dos objetos de nível mais alto. Por exemplo, todos os



subdomínios de abc.com.br, obrigatoriamente, contém abc.com.br:vendas.abc.com.br, suporte.abc.com.br, pesquisa.abc.com.br. Isso é oque define um espaço de nomes contínio.

Dentro de um mesmo nível, os nomes DNS devem ser únicos. Porexemplo, não é possível registrar dois domínios abc.com.br. Porém épossível registrar um domínio abc.com.br e outro abc.net.br. Dentro dodomínio abc.com.br pode haver um servidor chamado srv01. Tambémpode haver um servidor srv01 dentro do domínio abc.net.br. O quedistingue um do outro é o nome completo (FQDN), neste caso:srv01.abc.com.br e o outro é srv01.abc.net.br.

Nota : Um método antigo, utilizado inicalmente para resolução de nomes

era o arquivo hosts. Este arquivo é um arquivo de texto e contémentradas como as dos exemplos a seguir, uma em cada linha:

10.200.200.3 www.abc.com.br10.200.200.4 ftp.abc.com.br10.200.200.18 srv01.abc.com.br srv-files

O arquivo hosts é individual para cada computador da rede e ficagravado (no Windows NT, Windows 2000, Windows Server 2003 ouWindows XP), na pasta system32\drivers\etc, dentro da pasta onde o

Windows está instalado. Este arquivo é um arquivo de texto e pode seralterado com o bloco de Notas.

O DNS é formado por uma série de componentes e serviços, os quaisatuando em conjunto, tornam possível a tarefa de fazer a resolução denomes em toda a Internet ou na rede interna da empresa. Oscomponentes do DNS são os seguintes:

• O espaço de no m es DNS: Um espaço de nomeshierárquico e contínuo. Pode ser o espaço de nomes daInternet ou o espaço de nomes DNS interno, da sua

empresa. Pode ser utilizado um espaço de nomes DNSinterno, diferente do nome DNS de Internet da empresa oupode ser utilizado o mesmo espaço de nomes. Cada umadas abordagens tem vantagens e desvantagens.

• Serv idor es DNS: Os servidores DNS contém o banco dedados do DNS com o mapeamento entre os nomes DNS e orespectivo número IP. Os servidores DNS também sãoresponsáveis por responder às consultas de nomes envidas



por um ou mais clientes da rede. Você aprenderá maisadiante que existem diferentes tipos de servidores DNS ediferentes métodos de resolução de nomes.

• Regis t ro s do DNS ( Resource Records) : Os registrossão as entradas do banco de dados do DNS. Em cadaentrada existe um mapeamento entre um determinadonome e uma informação associada ao nome. Pode ser desdeum simples mapeamento entre um nome e o respectivoendereço IP, até registros mais sofisticados para alocalização de DCs (controladores de domínio do Windows2000 ou Windows Server 2003) e servidores de email do

domínio.

• Cl ien t es DNS: São também conhecidos como resolvers.Por exemplo, uma estação de trabalho da rede, com oWindows 2000 Professional ou com o Windows XPprofessional tem um "resolver" instalado. Este componentede software é responsável por detectar sempre que umprograma precisa de resolução de um nome e repassar estaconsulta para um servidor DNS. O servidor DNS retorna oresultado da consulta, o resultado é retornado para oresolver, o qual repassa o resultado da consulta para oprograma que originou a consulta.

Entendendo como funcionam as pesquisas do DNS:

Imagine um usuário, na sua estação de trabalho, navegando naInternet. Ele tenta acessar o site www.juliobattisti.com.br. O usuáriodigita este endereço e tecla Enter. O resolver (cliente do DNS instaladona estação de trabalho do usuário) detecta que existe a necessidade daresolução do nome www.juliobattisti.com.br, para descobrir o número IP

associado com este nome. O resolver envia a pesquisa para o servidorDNS configurado como DNS primário, nas propriedades do TCP/IP daestação de trabalho (ou para o DNS informado pelo DHCP, caso aestação de trabalho esteja obtendo as configurações do TCP/IP,automaticamente, a partir de um servidor DHCP – assunto da Parte 10deste tutorial). A mensagem envida pelo resolver, para o servidor DNS,contém três partes de informação, conforme descrito a seguir:



• O nom e a ser reso lv ido . No nosso exemplo:www.juliobattisti.com.br.

• O t ipo de p esqu isa a ser rea l i zado . Normalmente éuma pesquisa do tipo "resource record", ou seja, umregistro associado a um nome, para retornar o respectivoendereço IP. No nosso exemplo, a pesquisa seria por umregistro do tipo A, na qual o resultado da consulta é onúmero IP associado com o nome que está sendopesquisado. É como se o cliente perguntasse para o sevidorDNS: "Você conhece o número IP associado com o nomewww.juliobattisti.com.br?" E o servidor responde: "Sim,

conheço. O número IP associado com o nomewww.juliobattisti.com.br é o seguinte... Também podem serconsultas especializadas, como por exemplo, para localizarum DC (controlador de domínio) no domínio ou um servidorde autenticação baseado no protocolo Kerberos.

• Um a c lasse assoc iada com o nom e DNS. Para osservidores DNS baseados no Windows 2000 Server eWindows Server 2003, a classe será sempre uma classe deInternet (IN), mesmo que o nome seja referente a umservidor da Intranet da empresa.

Existem diferentes maneiras como uma consulta pode ser resolvida. Porexemplo, a primeira vez que um nome é resolvido, o nome e o respetivonúmero IP são armazenados em memória, no que é conhecido comoCache do cliente DNS, na estação de trabalho que fez a consulta. Napróxima vez que o nome for utilizado, primeiro o Windows 2000 procurano Cache DNS no cliente, para ver se não existe uma resolução anteriorpara o nome em questão. Somente se não houver uma resolução noCache local do DNS, é que será envida uma consulta para o servidor.

Chegando a consulta ao servidor, primeiro o servidor DNS consulta ocache do servidor DNS. No cache do servidor DNS ficam, por umdeterminado período de tempo, as consultas que foram resolvidas peloservidor DNS, anteriormente. Esse processo agiliza a resolução denomes, evitando repetidas resoluções do mesmo nome. Se não forencontrada uma resposta no cache do servidor DNS, o servidor podetentar resolver a consulta usando as informações da sua base de dadosou pode enviar a consulta para outros servidores DNS, até que umaresposta seja obtida. A seguir descreverei detalhes deste procsso de



enviar uma consulta para outros servidores, processo este chamado derecursão.

Em resumo, o processo de resolução de um nome DNS é composto deduas etapas:

1. A consulta inicia no cliente e é passada para o resolver naestação de trabalho do cliente. Primeiro o resolver tentaresponder a consulta localmente, usando recursos tais comoo cache local do DNS e o arquivo hosts.

2. Se a consulta não puder ser resolvida localmente, oresolver envia a consulta para o servidor DNS, o qual pode

utilizar diferentes métodos (descritos mais adiante), para aresolução da consulta.

A seguir vou descrever as etapas envolvidas nas diferentes maneirasque o DNS utiliza para "responder" a uma consulta enviada por umcliente.

Nota : Vou utilizar algumas figuras da ajuda do Windows 2000 Serverpara explicar a maneira como o DNS resolve consultas localmente(resolver) e os diferentes métodos de resolução utilizados pelo servidorDNS.

Inicialmente considere o diagrama da Figura a seguir, contido na Ajudado DNS, diagrama este que apresenta uma visão geral do processo deresolução de nomes do DNS.

O processo de resolução de nomes do DNS.

No exemplo desta figura, o cliente está em sua estação de trabalho etenta acessar o site da Microsoft: www.microsoft.com. Ao digitar este



endereço no seu navegador e pressionar Enter, o processo de resoluçãodo nome www.microsoft.com é iniciado. Uma série de etapas sãoexecutadas, até que a resoluçõa aconteça com sucesso ou falhe emdefinitivo, ou seja, o DNS não consegue resolver o nome, isto é, nãoconsegue encontrar o número IP associado ao endereçowww.microsoft.com..

Pr i m e i r a e tapa : O DNS tenta resolver o nome, usando o resolver local:

Ao digitar o endereço www.microsoft.com e pressionar Enter, o processode resolução é iniciado. Inicialmente o endereço é passado para ocliente DNS, na estação de trabalho do usuário. O cliente DNS éconhecido como resolver, nome este que utilizarei a partir de agora. O

cliente tenta resolver o nome utilizando um dos seguintes recursos:

• O cache DNS local : Sempre que um nome é resolvidocom sucesso, o nome e a informação associada ao nome(normalmente o endereço IP), são mantidos na memória, oque é conhecido como cache local do DNS. Quando umnome precisa ser resolvido, a primeira coisa que o resolverfaz é procurar no cache local. Encontrando no cache local, asinformações do cache são utilizadas e a resolução estácompleta. O cache local torna a resolução mais rápida, uma

vez que nomes já resolvidos podem ser consultadosdiretamente no cache, ao invés de terem que passar portodo o processo de resolução via servidor DNS novamente,processo este que você aprenderá logo a seguir.

• O arqu ivo hos ts : Se não for encontrada a resposta nocache, o resolver consulta as entradas do arquivos hosts, oqual é um arquivo de texto e fica na pasta onde o Windows2000 Server foi instalado, dentro do seguinte caminho:\system32\drivers\etc. O hosts é um arquivo de texto e

pode ser editado com o bloco de notas. Este arquivo possuientradas no formato indicado a seguir, com um númeo IPpor linha, podendo haver um ou mais nomes associados como mesmo número IP:

10.200.200.3 www.abc.com.br intranet.abc.com.br10.200.200.4 ftp.abc.com.br arquivos.abc.com.br10.200.200.18 srv01.abc.com.br pastas.abc.com.br pastas



Se mesmo assim a consulta não for respondida, o resolver envia aconsulta para o servidor DNS configurado nas propriedades do TCP/IPcomo servidor DNS primário ou configurado via DHCP.

Segun da e tapa: Pesquisa no servidor DNS.

Uma vez que a consulta não pode ser resolvida localmente peloresolver, esta é enviada para o servidor DNS. Quando a consulta chegano servidor DNS, a primeira coisa que ele faz é consultar as zonas paraas quais ele é uma autoridade (para uma descrição completa sobrezonas e domínios e a criação de zonas e domínios no DNS consulte oCapítulo 3 do meu livro Manual de Estudos para o Exame 70-216, comprevisão de lançamento para Setembro de 2003, pela editora Axcel

Books).

Por exemplo, vamos supor que o servidor DNS seja o servidor DNSprimário para a zona vendas.abc.com.br (diz-se que ele é a autoridadepara esta zona) e o nome s ser pesquisado é srv01.vendas.abc.com.br.Neste caso o servidor DNS irá pesquisar nas informações da zonavendas.abc.com.br (para a qual ele é a autoridade) e responder aconsulta para o cliente. Diz-se que o servidor DNS respondeu comautoridade (authoritatively).

No nosso exemplo (Figura anterior) não é este o caso, uma vez que onome pesquisado é www.microsoft.com e o servidor DNS não é aautoridade, ou seja, não é o servidor DNS primário para o domínomicrosoft.com. Neste caso, o servidor DNS irá pesquisar o cache doservidor DNS (não confundir com o cache local do resolver no cliente).

À medida que o servidor DNS vai resolvendo nomes, ele vai mantendoestas informações em um cache no servidor DNS. As entradas sãomantidas em cache por um tempo que pode ser configurado peloadministrador do DNS. O cache do servidor DNS tem a mesma funçãodo cache local do resolver, ou seja, agilizar a consulta a nomes que já

foram resolvidos previamente. Se for encontrada uma entrada no cachedo servidor DNS, esta entrada será utilizada pelo servidor DNS pararesponder a consulta enviada pelo cliente. e o processo de consulta estácompleto.

Caso o servidor DNS não possa responder usando informações de umazona local do DNS e nem informações contidas no cache do servidorDNS, o processo de pesquisa continua, usando um processo conhecidocomo recursão (recursion), para resolver o nome. Agora o servidor DNSfará consultas a outros servidores para tentar responder a consulta



enviada pelo cliente. O processo de recursão é ilustrado na Figura aseguir, da ajuda do DNS. Em seguida comentarei os passos envolvidosno processo de recursão.

Resolução de nomes usando recursão.

O servidor DNS irá iniciar o processo de recursão com o auxílio deservidores DNS da Internet. Para localizar estes servidores, o servidorDNS utiliza as configurações conhecidas como "root hints". Root hintsnada mais é do que uma lista de servidores DNS e os respectivosendereços IP, dos servidores para o domínio root (representado peloponto .) e para os domínios top-level (.com, .net, gov e assim pordiante). Esta lista é criada automaticamente quando o DNS é instalado e

pode ser acessada através das propriedades do servidor DNS. Na Figuraa seguir é exibida uma lista de root hints configuradas por padrão, emum servidor DNS:



Lista de root hints do servidor DNS.

Com o uso da lista de servidores root hints, o servidor DNS consegelocalizar (teoricamente), os servidores DNS responsáveis por quaisquerdomínio registrado.

Vamos novamente considerar um exemplo, para entender como oprocesso de recursão funciona. Imagine que a consulta enviada pelocliente é para descobrir o endereço IP associado ao nomesrv01.vendas.abc.com. O cliente que fez esta consulta está usando umcomputador da rede xyz.com, o qual está configurado para usar, como

DNS primário, o DNS da empresa xyz.com.

Primeiro vamos assumir que o nome não pode ser resolvido localmenteno cliente (usando o cache DNS local e o arquivo hosts) e foi enviadopara o servidor DNS primário da empresa xyz.com. Este DNS é dono, éautoridade apenas para o domínio xyz.com e não para vendas.abc.com(lembrando sempre que a primeira parte do nome é o nome damáquina, conhecido como nome de host). Com isso o servidor DNSprimário da empresa xyz.com.br irá pesquisar no cache do servidor



DNS. Não encontrando a resposta no cache, é iniciado o processo derecursão, com os passos descritos a seguir:

1. O servidor DNS retira apenas a parte correspondente aodomínio (o nome todo, menos a primeira parte. No nossoexemplo seria vendas.abc.com, srv01 é o nome de host).Usando a lista de servidores DNS configurados como roothints, o servidor DNS localiza um servidor que seja o dono,a autoridade para o domínio root da Internet, representadopelo ponto (o processo é assim mesmo, de trás para frente).

2. Localizado o servidor responsável pelo domínio root, oservidor DNS da empresa xyz.com envia uma consulta

interativa para o servidor DNS responsável pelo domínioroot, perguntando: " Você sabe quem é o se r v i do r DNSresponsáve l pe lo dom ín io .com ?" . O servidor DNS rootresponde com o endereço IP de um dos servidores DNSresponsáveis pelo domínio .com. Ou seja, o servidor DNSroot não sabe responder diretamente o nome que estásendo resolvido, mas sabe para quem enviar, sabe a quemrecorrer. Talvez daí venha o nome do processo recursão.

3. O servidor DNS do domínio xyz.com recebe a resposta

informando qual o servidor DNS responsável pelo domínio.com.

4. O servidor DNS do domínio xyz.com envia uma consultapara o servidor DNS responsável pelo .com (informado nopasso 3), perguntando: " Você é a au to r i dade pa r aabc .com ou saber i a i n f o r m ar quem é a au to r i dadepara ab c .com ?"

5. O servidor DNS responsável pelo com não é a autoridadepor abc.com, mas sabe informar quem é a autoridade deste

domínio. O servidor DNS resonsável pelo .com retorna parao servidor DNS do domínio xyz.com, o número IP doservidor DNS responsável pelo domínio abc.com.

6. O servidor DNS do domínio xyz.com recebe a respostainformando o número IP do servidor responsável pelodomínio abc.com.

7. O servidor DNS do domínio xyz.com envia uma consultapara o servidor DNS



responsável pelo abc.com (informado no passo 6),perguntando: " Você é a au to r i dade pa r avendas .abc. com ou saber i a in f o r m ar quem é aaut or idad e para vendas.abc .com ?"

8. O servidor DNS responsável pelo abc.com não é aautoridade para vendas.abc.com, mas sabe informar quem éa autoridade deste domínio. O servidor DNS resonsável peloabc.com retorna para o servidor DNS do domínio xyz.com, onúmero IP do servidor DNS responsável pelo domíniovendas.abc.com.

9. O servidor DNS do domínio xyz.com recebe a resposta

informando o número IP do servidor responsável pelodomínio vendas.abc.com.

10. O servidor DNS do domínio xyz.com envia uma consultapara o servidor DNS responsável pelo vendas.abc.com(informado no passo 9), perguntando: " Você é aau to r i dade pa r a vendas .abc. com ou saber i a i n f o r m arquem é a au t or idade para vend as.abc .com ?"

11. O servidor DNS para vendas.abc.com recebe a consulta

para resolver o nome srv01.vendas.abc.com. Como esteservidor é a autoridade para o domínio, ele pesquisa a zonavendas.abc.com, encontra o registro para o endereçoserv01.vendas.abc.com e retornar esta inforamação para oservidor DNS do domínio xyz.com.

12. O servidor DNS do domínio xyz.com recebe a respostada consulta, faz uma cópia desta resposta no cache doservidor DNS e retornar o resultado para o cliente queoriginou a consulta.

13, No cliente o resolver recebe o resultado da consulta,repassa este resultado para o programa que gerou aconsulta e grava uma cópia dos dados no cache local doDNS.

Evidentemente que a descrição do processo demora muito mais tempodo que o DNS realmente leva para resolver um nome usando estemétodo. Claro que a resolução é rápida, senão ficaria praticamenteimpossível usar a Internet. Além disso, este método traz algumasvantagens. Durante esta espécie de "pingue-pongue" entre o servidor



DNS e os servidores DNS da Internet, o servidor DNS da empresa vaiobtendo informações sobre os servidores DNS da Internet e grava estasinformações no cache local do servidor DNS. Isso agiliza futurasconsultas e reduz, significativamente, o tempo para a resolução denomes usando recursão. Estas informações são mantidas na memóriado servidor e com o passar do tempo podem ocupar um espaçoconsiderável da memória. Toda vez que o serviço DNS for parado einiciado novamente, estas informações serão excluídas da memória e oprocesso de cache inicia novamente.

Considerações e tipos especiais de resoluções.

O processo descrito anteriormente, termina com o servidor DNS (após

ter consultado vários outros servidores) retornando uma respostapositiva para o cliente, isto é, conseguindo resolver o nome eretornando a informação associada (normalmente o número IPassociado ao nome) para o cliente. Mas nem sempre a resposta épositiva, muitos outros tipos de resultados podem ocorrer em resposta auma consulta, tais como:

• A n a u t h o r i t a t i v e a n sw e r ( r e sp o st a c o m a u t o r i d ad e ) : Este tipo de resposta é obtido quando o nome é resolvidodiretamente pelo servidor DNS que é a autoridade para odomínio pesquisado. Por exemplo, um usuário da Intranetda sua empresa (abc.com.br), tenta acessar uma página daintranet da empresa, por exemplo: rh.abc.com.br. Nestecaso a consulta será enviada para o servidor DNS daempresa, o qual é a autoridade para a zona abc.com.br eresponde diretamente à consulta, informando o número IPdo servidor rh.abc.com.br. É também uma resposta positivasó que com autoridade, ou seja, respondida diretamentepelo servidor DNS que é a autoridade para o domíniopesquisado.

• A posi t i ve answ er ( r espos ta posi t i va ) : É uma respostacom o resultado para o nome pesquisado, isto é, o nomepode ser resolvido e uma ou mais informações associadas aonome são retornadas para o cliente.

• A r e fer r a l answ er ( um a r e fer ênc i a) : Este tipo deresposta não contém a resolução do nome pesquisado, massim informações e referência a recursos ou outros servidores



DNS que podem ser utilizados para a resolução do nome.Este tipo de resposta será retornado para o cliente, se oservidor DNS não suportar o método de recursão, descritoanteriormente. As informações retornadas por uma respostadeste tipo são utilizadas pelo cliente para continuar apesquisa, usando um processo conhecido como interação (oqual será descrito mais adiante). O cliente faz a pesquisa emum servidor DNS e recebe, como resposta, uma referência aoutro recurso ou servidor DNS. Agora o cliente irá interagircom o novo recurso ou servidor, tentando resolver o nome.Este processo pode continuar até que o nome seja resolvidoou até que uma resposta negativa seja retornada, indicandoque o nome não pode ser resolvido. O processo de interação

será descrito mais adiante.

• A nega t i ve answ er ( um a r espos ta nega t i va ) : Estaresposta pode indicar que um dos seguintes resultados foiobtido em resposta à consulta: Um servidor DNS que éautoridade para o domínio pesquisado, informou que o nomepesquisado não existe neste domínio ou um servidor DNSque é autoridade para o domínio pesquisado, informou que onome pesquisado exsite, mas o tipo de registro não confere.

Uma vez retornada a resposta, o resolver interpreta o resultado daresposta (seja ela positiva ou negativa) e repassa a resposta para oprograma que fez a solicitação para resolução de nome. O resolverarmazena o resultado da consulta no cache local do DNS.

Observações: O administrador do DNS pode desabilitar o recurso derecursão em um servidor DNS em situações onde os usuários devemestar limitados a utilizar apenas o servidor DNS da Intranet da empresa.

O servidor DNS também define tempos máximos para determinadas

operações. Uma vez atingido o tempo máximo, sem obter uma respostaà consulta, o servidor DNS irá retornar uma resposta negativa:

• I n t e r va l o de r eenv i o de uma consu l t a r ecu r s i va – 3segundos : Este é o tempo que o DNS espera antes deenviar novamente uma consulta (caso não tenha recebidouma resposta) feita a um servidor DNS externo, duranto umprocesso recursivo.



• I n t e r va l o de t i me- ou t pa r a um consu l t a r ecu r s iva –15 segundos : Este é o tempo que o DNS espera antes dedeterminar que uma consulta recursiva, que foi reenviadafalhou.

Estes parâmetros podem ser alterados pelo Administrador do DNS.

Como funciona o processo de interação:

O processo de interação é utilizado entre o cliente DNS (resolver) e umou mais servidores DNS, quando ocorrerem as condições indicadas aseguir:

• O cliente tenta utilizar o processo de recursão, discutidoanteriormente, mas a recursão está desabilitada no servidorDNS.

• O cliente não solicita o uso de recursão, ao pesquisar oservidor DNS.

• O cliente faz uma consulta ao servidor DNS, informandoque é esperada a melhor resposta que o servidor DNS puderfornecer imediatamente, sem consultar outros servidoresDNS.

Quando o processo de interação é utilizado, o servidor DNS responde àconsulta do cliente com base nas informações que o servidor DNS temsobre o domínio pesquisado. Por exemplo, o servidor DNS da sua redeinterna pode receber uma consulta de um cliente tentando resolver onome www.abc.com. Se este nome estiver no cache do servidor DNS eleresponde positivamente para o cliente. Se o nome não estiver no cachedo servidor DNS, o servidor DNS responde com uma lista de servidores

de referência, que é uma lista de registros do tipo NS e A (vocêaprenderá sobre os tipos de registro na parte prática), registros estesque apontam para outros servidores DNS, capazes de resolver o nomepesquisado. Ou seja, o cliente recebe uma lista de servidores DNS paraos quais ele deve enviar a consulta. Observem a diferença básica entreo processo de recursão e o processo de interação. Na recursão, oservidor DNS é que entra em contato com outros servidores (root hints),até conseguir resolver o nome pesquisado. Uma vez resolvido o nome,ele retorna a resposta para o cliente. Já no processo de interação, se oservidor DNS não consegue resolver o nome, ele retorna uma lista de



outros servidores DNS que talvez possam resolver o nome pesquisado.O cliente recebe esta lista e envia a consulta para os servidores DNSinformados. Este processo (esta interação) continua até que o nomeseja resolvido ou que uma resposta negativa seja recebida pelo cliente,informando que o nome não pode ser resolvido. Ou seja, no processo deinteração, a cada etapa do processo, o servidor DNS retorna para ocliente, uma lista de servidores DNS a serem pesquisados, até que umdos servidores responde positivamente (ou negativamente) à consultafeita pelo cliente.

Como funciona o cache nos servidores DNS:

O trabalho básico do servidor DNS é responder às consultas enviadas

pelos clientes, quer seja utilizando recursão ou interação. A medida queos nomes vão sendo resolvidos, esta informação fica armazenada nocache do servidor DNS. Com o uso do cache, futuras consultas a nomes já resolvidos, podem ser respondidas diretamente a partir do cache,sem ter que utilizar recursão ou interação. O uso do cache agiliza oprocesso de resolução de nomes e também reduz o tráfego de redegerado pelo DNS.

Quando as informações são gravadas no cache do servidor DNS, umparâmetro chamado Time-To-Live (TTL) é associado com cadainformação. Este parâmetro determina quanto tempo a informação serámantida no cache até ser descartada. O parâmetro TTL é utilizado paraque as informações do cache não se tornem desatualizadas e paraminimizar a possibilidade de envio de informações desatualizadas emresposta às consultas dos clientes. O valor padrão do parâmetro TTL é3600 segundos (uma hora). Este parâmetro pode ser configurado peloadministrador do DNS, conforme mostrarei na parte prática, maisadiante.

Nota : Por padrão o DNS utiliza um arquivo chamado Cache.dns, o qualfica gravado na pasta systemroot\System32\Dns, onde systemroot

representa a pasta onde o Windows 2000 Server está instalado. Estearquivo não tem a ver com o Cache de nomes do servidor DNS. Nestearquivo está contida a lista de servidores root hints (descritosanteriormente). O conteúdo deste arquivo é carregado na memória doservidor, durante a inicialização do serviço do DNS e é utilizado paralocalizar os servidores root hints da Internet, servidores estes utilizadosdurante o processo de recursão, descrito anteriormente.

Conclusão



Nesta parte do tutorial fiz a apresentação do serviço mais utilizado peloTCP/IP: DNS. Nas próximas partes deste tutorial, falareis sobre osdemais serviços do Windows 2000 Server e do Windows Server 2003,diretamente ligados ao TCP/IP, tais como o DHCP, WINS e RRAS.



Introdução:

Esta é a nona parte do Tutorial de TCP/IP. Na Parte 1 tratei dosaspectos básicos do protocolo TCP/IP. Na Parte 2 falei sobre cálculosbinários, um importante tópico para entender sobre redes, máscara desub-rede e roteamento. Na Parte 3 falei sobre Classes de endereços, naParte 4 fiz uma introdução ao roteamento e na Parte 5 apresentei maisalguns exemplos/análises de como funciona o roteamento e na Parte 6falei sobre a Tabela de Roteamento. Na Parte 7 tratei sobre a divisão deuma rede em sub-redes, conceito conhecido como subnetting. Na Parte8 fiz uma apresentação de um dos serviços mais utilizados pelo TCP/IP,que é o Domain Name System: DNS. O DNS é o serviço de resolução denomes usado em todas as redes TCP/IP, inclusive pela Internet que,

sem dúvidas, é a maior rede TCP/IP existente. Nesta nona parte fareiuma introdução ao serviço Dynamic Host Configuration Protocol – DHCP.

Definindo DHCP:

O DHCP é a abreviatura de Dynamic Host Configuration Protocol é umserviço utilizado para automatizar as configurações do protocolo TCP/IPnos dispositivos de rede (computadores, impressoras, hubs, switchs, ouseja, qualquer dispositivo conectado à rede e que esteja utilizando oprotocolo TCP/IP).

Sem o uso do DHCP, o administrador e sua equipe teriam queconfigurar, manualmente, as propriedades do protocolo TCP/IP em cadadispositivo de rede (genericamente denominados hosts). Com o uso doDHCP esta tarefa pode ser completamente automatizada. O uso doDHCP traz diversos benefícios, dentro os quais podemos destacar osseguintes:

• Automação do processo de configuração do protocoloTCP/IP nos dispositivos da rede.

• Facilidade de alteração de parâmetros tais como DefaultGateway, Servidor DNS e assim por diante, em todos osdispositivos da rede, através de uma simples alteração noservidor DHCP.

• Eliminação de erros de configuração, tais como digitaçãoincorreta de uma máscara de sub-rede ou utilização domesmo número IP em dois dispositivos diferentes, gerandoum conflito de endereço IP.



Fundamentação teórica do DHCP

Neste tópico apresentarei uma série de conceitos teóricos sobre ofuncionamento do DHCP. Você aprenderá como funciona o processo deconcessão de endereços IP (também conhecido como lease), aprenderásobre os conceitos de escopo, superescopo, reserva de endereço,ativação do servidor DHCP no Active Directory e demais conceitosrelacionados ao DHCP.

O que é o DHCP - Dynamic Host Configuration Protocol?

Você aprendeu, nas primeiras partes deste tutorial, sobre osfundamentos do protocolo TCP/IP, que um equipamente de rede, que

utiliza o protocolo TCP/IP precisa que sejam configurados uma série deparâmetros. Os principais parâmetros que devem ser configurados paraque o protocolo TCP/IP funcione corretamente são os seguintes:

• Número IP


• Default Gateway (Gateway Padrão)

• Número IP de um ou mais servidores DNS

• Número IP de um ou mais servidores WINS

• Sufixos de pesquisa do DNS

Em uma rede com centenas ou até mesmo milhares de estações detrabalho, configurar o TCP/IP manualmente, em cada estação detrabalho é uma tarefa bastante trabalhosa, que envolve tempo e exigeuma equipe técnica para executar este trabalho. Além disso, sempreque houver mudanças em algum dos parâmetros de configuração (como

por exemplo uma mudança no número IP do servidor DNS), areconfiguração terá que ser feita manualmente em todas as estações detrabalho da rede. Por exemplo, imagine que o número IP do DefaultGateway teve que ser alterado devido a uma reestruturação da rede.Neste caso a equipe de suporte teria que ir de computador emcomputador, alterando as propriedades do protocolo TCP/IP, parainformar o novo número IP do Default Gateway, isto é, alterando onúmero IP antigo do Default Gateway para o novo número. Um trabalhoe tanto.



Além disso, com a configuração manual, sempre podem haver erros deconfiguração. Por exemplo, basta que o técnico que está configurandouma estação de trabalho, digite um valor incorreto para a máscara desub-rede, para que a estação de trabalho não consiga mais secomunicar com a rede. E problemas como este podem ser difíceis dedetectar. Muitas vezes o técnico pode achar que o problema é com aplaca de rede, com o driver da placa ou com outras configurações. Atédescobrir que o problema é um simples erro na máscara de sub-redepode ter sido consumido um bom tempo: do técnico e do funcionárioque utiliza o computador, o qual ficou sem poder acessar a rede. E hojeem dia sem acesso á rede significa, na prática, sem poder trabalhar.

Bem, descrevo estas situações apenas para ilustrar o quanto é difícil e

oneroso manter a configuração do protocolo TCP/IP manualmente,quando temos um grande número de estações de trabalho em rede.Pode até nem ser "tão grande" este número, com redes a partir da 30ou 50 estações de trabalho já começa a ficar difícil a configuraçãomanual do protocolo TCP/IP.

Para resolver esta questão e facilitar a configuração e administração doprotocolo TCP/IP é que foi criado o DHCP. DHPC é a abreviatura de:Dynamic Host Configuration Protocol (Protocolo de configuraçãodinâmica de hosts). Você pode instalar um ou mais servidores DHCP em

sua rede e fazer com que os computadores e demais dispositivos queprecisem de configurações do TCP/IP, obtenham estas configurações,automaticamente, a partir do servidor DHCP. Por exemplo, considereuma estação de trabalho configurada para utilizar o DHCP. Durante ainicialização, esta estação de trabalho entra em um processo de"descobrir" um servidor DHCP na rede (mais adiante detalharei como éeste processo de "descoberta" do servidor DHCP). Uma vez que aestação de trabalho consegue se comunicar com o servidor DHCP, elarecebe todas as configurações do protocolo TCP/IP, diretamente doservidor DHCP. Ou seja, com o uso do DHCP, o administrador podeautomatizar as configurações do protocolo TCP/IP em todas os

computadores da rede.

Com o uso do DHCP, a distribuição de endereços IP e demaisconfigurações do protocolo TCP/IP (máscara de sub-rede, defaultgateway, número IP do servidor DNS e assim por diante) éautomatizada e centralizadamente gerenciada. O administrador criafaixas de endereços IP que serão distribuídas pelo servidor DHCP (faixasestas chamadas de escopos) e associa outras configurações com cadafaixa de endereços, tais como um número IP do Default Gateway, amáscara de sub-rede, o número IP de um ou mais servidores DNS, o



número IP de um ou mais servidores WINS e assim por diante.

Todo o trabalho de configuração do protocolo TCP/IP que teria que serfeito manualmente, agora pode ser automatizado com o uso do DHCP.Imagine somente uma simples situação, mas que serve para ilustrar oquanto o DHCP é útil. Vamos supor que você é o administrador de umarede com 3000 estações de trabalho. Todas as estações de trabalhoestão configuradas com o protocolo TCP/IP. As configurações são feitasmanualmente, não é utilizado servidor DHCP na rede. Você utiliza umúnico servidor externo, do seu provedor de Internet, com servidor DNS.O número IP deste servidor DNS está configurado em todas as estaçõesde trabalho da rede. O seu Provedor de Internet sofreu umareestruturação e teve que alterar o número IP do servidor DNS (veja

que é uma situação que está fora do controle do administrador da rede, já que a alteração foi no servidor DNS do provedor). Como vocêconfigura o TCP/IP manulamente nos computadores da rede, só restauma solução: pôr a sua equipe em ação para visitar as 3000 estações detrabalho da rede, alterando o número IP do servidor DNS em cada uma.Em cada estação de trabalho o técnico terá que acessar as propriedadesdo protocolo TCP/IP e alterar o endereço IP do servidor DNS para o novoendereço. Um trabalho e tanto, sem contar que podem haver errosdurante este processo.

Agora imagine esta mesma situação, só que ao invés de configurar oTCP/IP manualmente você está utilizando o DHCP para fazer asconfigurações do TCP/IP automaticamente. Nesta situação, quandohouve a alteração do número IP do servidor DNS, bastaria alterar estaopção nas propriedades do escopo de endereços IP no servidor DHCP epronto. Na próxima reinicialização, os computadores da rede járeceberiam o novo número IP do servidor DNS, sem que você ou umúnico membro da sua equipe tivesse que reconfigurar uma únicaestação de trabalho. Bem mais simples, mais produtivo e menospropenso a erros.

Isso é o DHCP, um serviço para configuração automática do protocoloTCP/IP nos computadores e demais dispositivos da rede que utilizam oprotocolo TCP/IP. Configuração feita de maneira automática ecentralizada. Em redes baseadas em TCP/IP, o DHCP reduz acomplexidade e a quantidade de trabalho administrativo envolvido naconfiguração e reconfiguração do protocolo TCP/IP.

Nota: A implementação do DHCP no Windows 2000 Server e noWindows Server 2003 é baseada em padrões definidos pelo IETF. Estespadrões são definidos em documentos conhecidos como RFCs (Request



for Comments). As RFCs que definem os padrões do DHCP são asseguintes:

• RFC 2131: Dynamic Host Configuration Protocol (substituia RFC 1541)

• RFC 2132: DHCP Options and BOOTP Vendor Extensions

As RFCs a seguir também podem ser úteis para compreender como oDHCP é usado com outros serviços na rede:

• RFC 0951: The Bootstrap Protocol (BOOTP)

• RFC 1534: Interoperation Between DHCP and BOOTP

• RFC 1542: Clarifications and Extensions for the BootstrapProtocol

• RFC 2136: Dynamic Updates in the Domain Name System(DNS UPDATE)

• RFC 2241: DHCP Options for Novell Directory Services

• RFC 2242: Netware/IP Domain Name and Information

O site oficial, a partir da qual você pode copiar o conteúdo integral dasRFCs disponíveis é o seguinte:

http://www.rfc-editor.org/

Termos utilizados no DHCP.

O DHCP é composto de diversos elementos. O servidor DHCP e osclientes DHCP. No servidor DHCP são criados escopos e definidas as

configurações que os clientes DHCP receberão. A seguir apresento umasérie de termos relacionados ao DHCP. Estes termos serão explicadosem detalhes até o final deste capítulo.

Termo s u t i l i zados no DHCP:

• Serv idor DHCP: É um servidor com o Windows 2000Server ou com o Windows Server 2003 onde foi instalado econfigurado o serviço DHCP. Após a instalação de umservidor DHCP ele tem que ser autorizado no ActiveDirectory, antes que ele possa, efetivamente, atender a



requisições de clientes. O procedimento de autorização noActive Directory é uma medida de segurança, para evitarque servidores DHCP sejam introduzidos na rede sem oconhecimento do administrador. O servidor DHCP não podeser instalado em um computador com o Windows 2000Professional.

• Cl ien t e DH CP: É qualquer dispositivo de rede capaz deobter as configurações do TCP/IP a partir de um servidorDHCP. Por exemplo, uma estação de trabalho com oWindows 95/98/Me, Windows NT Workstation 4.0, Windows2000 Professional, Windows XP, uma impressora com placade rede habilitada ao DHCP e assim por diante.

• Escopo: Um escopo é o intervalo consecutivo completodes endereços IP possíveis para uma rede (por exemplo, afaixa de 10.10.10.100 a 10.10.10.150, na rede10.10.10.0/255.255.255.0). Em geral, os escopos definemuma única sub-rede física, na rede na qual serão oferecidosserviços DHCP. Os escopos também fornecem o métodoprincipal para que o servidor gerencie a distribuição eatribuição de endereços IP e outros parâmetros deconfiguração para clientes na rede, tais como o DefaultGateway, Servidor DNS e assim por diante..

• Superescopo: Um superescopo é um agrupamentoadministrativo de escopos que pode ser usado para oferecersuporte a várias sub-redes IP lógicas na mesma sub-redefísica. Os superescopos contêm somente uma lista deescopos associados ou escopos filho que podem ser ativadosem cojunto. Os superescopos não são usados paraconfigurar outros detalhes sobre o uso de escopo. Paraconfigurar a maioria das propriedades usadas em umsuperescopo, você precisa configurar propriedades de cada

escopo associado, individualmente. Por exemplo, se todos oscomputadores devem receber o mesmo número IP deDefault Gateway, este número tem que ser configurado emcada escopo, individualmente. Não tem como fazer estaconfiguração no Superescopo e todos os escopos (quecompõem o Superescopo), herdarem estas configurações.

• I n t e r va l o de exc l usão : Um intervalo de exclusão é umaseqüência limitada de endereços IP dentro de um escopo,excluído dos endereços que são fornecidos pelo DHCP. Os



intervalos de exclusão asseguram que quaisquer endereçosnesses intervalos não são oferecidos pelo servidor paraclientes DHCP na sua rede. Por exemplo, dentro da faixa10.10.10.100 a 10.10.10.150, na rede10.10.10.0/255.255.255.0 de um determinado escopo, vocêpode criar uma faixa de exclusão de 10.10.10.120 a10.10.10.130. Os endereços da faixa de exclusão não serãoutilizados pelo servidor DHCP para configurar os clientesDHCP.

• Pool de ender eços: Após definir um escopo DHCP eaplicar intervalos de exclusão, os endereços remanescentesformam o pool de endereços disponíveis dentro do escopo.

Endereços em pool são qualificados para atribuição dinâmicapelo servidor para clientes DHCP na sua rede. No nossoexemplo, onde temos o escopo com a faixa 10.10.10.100 a10.10.10.150, com uma faixa de exclusão de 10.10.10.120a 10.10.10.130, o nosso pool de endereços é formado pelosendereços de 10.10.10.100 a 10.10.10.119, mais osendereços de 10.10.10.131 a 10.10.10.150.

• Concessão: Uma concessão é um período de tempoespecificado por um servidor DHCP durante o qual umcomputador cliente pode usar um endereço IP que elerecebeu do servidor DHCP (diz-se atribuído pelo servidorDHCP). Uma concessão está ativa quando ela está sendoutilizada pelo cliente. Geralmente, o cliente precisa renovarsua atribuição de concessão de endereço com o servidorantes que ela expire. Uma concessão torna-se inativaquando ela expira ou é excluída no servidor. A duração deuma concessão determina quando ela irá expirar e com quefreqüência o cliente precisa renová-la no servidor.

• Reserva: Você usa uma reserva para criar uma

concessão de endereço permanente pelo servidor DHCP. Asreservas asseguram que um dispositivo de hardwareespecificado na sub-rede sempre pode usar o mesmoendereço IP. A reserva é criada associada ao endereço deHardware da placa de rede, conhecido como MAC-Address.No servidor DHCP você cria uma reserva, associando umendereço IP com um endereço MAC. Quando o computador(com o endereço MAC para o qual existe uma reserva) éinicializado, ele entre em contato com o servidor DHCP. Oservidor DHCP verifica que existe uma reserva para aquele



MAC-Address e configura o computador com o endereço IPassociado ao Mac-address. Caso haja algum problema naplaca de rede do computador e a placa tenha que sersubstituída, mudará o MAC-Address e a reserva anterior teráque ser excluída e uma nova reserva terá que ser criada,utilzando, agora, o novo Mac-Address.

• Tipos de opção: Tipos de opção são outros parâmetrosde configuração do cliente que um servidor DHCP podeatribuir aos clientes. Por exemplo, algumas opções usadascom freqúência incluem endereços IP para gateways padrão(roteadores), servidores WINS (Windows Internet NameSystem) e servidores DNS (Domain Name System).

Geralmente, esses tipos de opção são ativados econfigurados para cada escopo. O console DHCP tambémpermite a você configurar tipos de opção padrão que sãousados por todos os escopos adicionados e configurados noservidor. A maioria das opção é predefinida através da RFC2132, mas você pode usar o console DHCP para definir eadicionar tipos de opção personalizados se necessário.

• Classe de op ções: Uma classe de opções é uma formado servidor gerenciar tipos de opção fornecidos aos clientes.Quando uma classe de opções é adicionada ao servidor, épossível fornecer tipos de opção específicos de classe aosclientes dessa classe para suas configurações. No Windows2000, os computadores cliente também podem especificaruma ID de classe durante a comunicação com o servidor.Para clientes DHCP anteriores que não oferecem suporte aoprocesso de ID de classe, o servidor pode ser configuradocom classes padrão ao colocar clientes em uma classe. Asclasses de opções podem ser de dois tipos: classes defornecedor e classes de usuário.

Como o DHCP funciona

O DHCP utiliza um modelo cliente/servidor. O administrador da redeinstala e configura um ou mais servidores DHCP. As informações deconfiguração – escopos de endereços IP, reservas e outras opções deconfiguração – são mantidas no banco de dados dos servidores DHCP. Obanco de dados do servidor inclui os seguintes itens:

• Parâmetros de configuração válidos para todos os clientena rede (número IP do Default Gateway, número IP de um



ou mais servidores DNS e assim por diante). Estasconfigurações podem ser diferentes para cada escopo.

• Endereços IP válidos mantidos em um pool para serematribuídos aos clientes além de reservas de endereços IP.

• Duração das concessões oferecidas pelo servidor. Aconcessão define o período de tempo durante o qual oendereço IP atribuído pode ser utilizado pelo cliente.Conforme mostrarei mais adiante, o cliente tenta renovaresta concessão em períodos definidos, antes que aconcessão expire.

Com um servidor DHCP instalado e configurado na rede, os clientes comDHCP podem obter os endereços IP e parâmetros de configuraçãorelacionados dinamicamente sempre que forem inicializados. Osservidores DHCP fornecem essa configuração na forma de uma oferta deconcessão de endereço para clientes solicitantes. Em um dos próximositens descreverei como é o processo completo de concessão, desde omomento que a estação de trabalho é inicializada, até o momento queela recebe todas as configurações do servidor DHCP.

Clientes suportados pelo DHCP

O termo Cliente é utilizado para descrever um computador ligado à redee que obtém as configurações do protocolo TCP/IP a partir de umservidor DHCP. Qualquer computador com o Windows (qualquer versão)instalado ou outros dispositivos, capazes de se comunicar com oservidor DHCP e obter as configurações do TCP/IP a partir do servidorDHCP, é considerado um cliente DHCP.

Os clientes DHCP podem ser quaisquer clientes baseados no MicrosoftWindows ou outros clientes que oferecem suporte e são compatíveiscom o comportamento do cliente descrito no documento padrão de

DHCP, que é a RFC 2132, publicado pela Internet Engineering TaskForce - IETF.

Configurando um cliente baseado no Windows para que seja um cliente doDHCP:

Para configurar um computador com o Windows 2000 Server para serum cliente DHCP, siga os passos indicados a seguir:



1. Faça o logon com a conta de Administrador ou com umaconta com permissão de administrador.

2. Abra o Painel de controle: Iniciar -> Configurações ->Painel de controle.

3. Abra a opção Conexões dial-up e de rede.

4. Clique com o botão direito do mouse na conexão de redelocal a ser configurada. No menu de opções que é exibidoclique em Propriedades.

5. Será exibida a janela de propriedades da conexão de rede

local.

6. Clique na opção Protocolo Internet (TCP/IP) paraselecioná-la. Clique no botão Propriedades, para abrir a janela de propriedades do protocolo TCP/IP.

7. Nesta janela você pode configurar o endereço IP, amáscara de sub-rede e o Gateway padrão, manualmente.Para isso basta marcar a opção Utilizar o seguinte endereçoIP e informar os endereços desejados.

8. Para configurar o computador para utilizar um servidorDHCP, para obter as configurações do TCP/IPautomaticamente, marque a opção Obter um endereço IPautomaticamente, conforme indicado na Figura a seguir.Marque também a opção Obter o endereço dos servidoresDNS automaticamente, para obter o endereço IP do servidorDNS a partir das configurações fornecidas pelo DHCP.



Configurando o cliente para usar o DHCP.

9. Clique em OK para fechar a janela de propriedades doTCP/IP.

10. Você estará de volta à janela de propriedades daconexão de rede local.

11. Clique em OK para fechá-la e aplicar as alteraçõesefetudas. Ao clicar em OK, o cliente DHCP já tentará seconectar com um servidor DHCP e obter as configurações doprotocolo TCP/IP, a partir do servidor DHCP.

O servidor DHCP dá suporte as seguintes versões do Windows (e do MS-DOS) com clientes DHCP:

• Windows Server 2003 (todas as edições)

• Windows 2000 Server (todas as edições)

• Windows XP Home e Professional



• Windows NT (todas as versões lançadas)

• Windows Me

• Windows 98

• Windows 95

• Windows for Workgroups versão 3.11 (com o Microsoft 32bit TCP/IP VxD instalado)

• Microsoft-Network Client versão 3.0 para MS-DOS (com odriver TCP/IP de modo real instalado)

• LAN Manager versão 2.2c

Um recurso de nome esquisito: APIPA

APIPA é a abreviatura de Automatic Private IP Addressing. Esta é umanova funcionalidade que foi introduzida no Windows 98, está presenteno Windows 2000, Windows XP e Windows Server 2003. Imagine umcliente com o protocolo TCP/IP instalado e configurado para obter asconfigurações do protocolo TCP/IP a partir de um servidor DHCP. Ocliente é inicializado, porém não consegue se comunicar com umservidor DHCP. Neste situação, o Windows 2000 Server, usando orecurso APIPA, e automaticamente atribui um endereço IP da rede169.254.0.0/255.255.0.0. Este é um dos endereços especiais,reservados para uso em redes internas, ou seja, este não seria umendereço de rede, válido na Internet. A seguir descrevo mais detalhessobre a funcionalidade APIPA.

Não esqueça: O número de rede usado pelo recurso APIPA é oseguinte: 1 6 9 . 2 5 4 .0 . 0 / 2 5 5 . 2 5 5 .0 . 0

Nota : O recurso APIPA é especialmente útil para o caso de umapequena rede, com 4 ou 5 computadores, onde não existe um servidordisponível. Neste caso você pode configurar todos os computadores parausarem o DHCP. Ao inicializar, os clientes não conseguirão localizar umservidor DHCP (já que não existe nenhum servidor na rede). Neste casoo recurso APIPA atribuirá endereços da rede 169.254.0.0/255.255.0.0para todos os computadores da rede. O resultado final é que todos ficamconfigurados com endereços IP da mesma rede e poderão se comunicar,compartilhando recursos entre si. É uma boa solução para um rededoméstica ou de um pequeno escritório.



Configuração automática do cliente:

Se os clientes estiverem configurados para usar um servidor DHCP (emvez de serem configurados manualmente com um endereço IP e outrosparâmetros), o serviço do cliente DHCP entrará em funcionamento acada vez que o computador for inicializado. O serviço do cliente DHCPusa um processo de três etapas para configurar o cliente com umendereço IP e outras informações de configuração.

• O cliente DHCP tenta localizar um servidor DHCP e obteras configurações do protocolo TCP/IP, a partir desseservidor.

• Se um servidor DHCP não puder ser encontrado, o clienteDHCP configura automaticamente seu endereço IP emáscara de sub-rede usando um endereço selecionado darede classe B reservada, 169.254.0.0, com a máscara desub-rede, 255.255.0.0 (recurso APIPA). O cliente DHCP iráfazer uma verificação na rede, para ver se o endereço queele está se auto-atribuindo (usando o recurso APIPA) já nãoestá em uso na rede. Se o endereço já estiver em uso serácaracterizado um conflito de endereços. Se um conflito forencontrado, o cliente selecionará outro endereço IP. A cadaconflito de endereço, o cliente irá tentar novamente aconfiguração automática após 10 tentativas ou até que sejautilizado um endereço que não gere conflito.

• Depois de selecionar um endereço no intervalo de rede169.254.0.0 que não está em uso, o cliente DHCP iráconfigurar a interface com esse endereço. O cliente continuaa verificar se um servidor DHCP não está disponível. Estaverificação é feita a cada cinco minutos. Se um servidorDHCP for encontrado, o cliente abandonará as informações

configuradas automaticamente (endereço da rede169.254.0.0/255.255.0.0). Em seguida, o cliente DHCPusará um endereço oferecido pelo servidor DHCP (equaisquer outras informações de opções de DHCPfornecidas) para atualizar as definições de configuração IP.

Caso o cliente DHCP já tenha obtido previamente uma concessão de umservidor DHCP (durante uma inicialização anterior) e esta concessãoainda não tenha expirado, ocorrerá a seguinte seqüência modificada deeventos, em relação a situação anterior:



• Se a concessão de cliente ainda estiver válida (nãoexpirada) no momento da inicialização, o cliente irá tentarrenovar a concessão com o servidor DHCP.

• Se durante a tentativa de renovação o cliente nãoconseguir localizar qualquer servidor DHCP, ele irá tentarefetuar o ping no gateway padrão que ele recebeu doservidor DHCP anteriormente. Dependendo do sucesso oufalha do ping, o cliente DHCP procederá conforme oseguinte:

1. Se um ping para o gateway padrão for bem-sucedido, o cliente DHCP presumirá que ainda

está localizado na mesma rede em que obteve aconcessão atual e continuará a usar aconcessão. Por padrão, o cliente irá tentarrenovar a concessão quando 50 por cento dotempo de concessão atribuído tiver expirado.

2. Se uma solicitação de ping do gateway padrãofalhar, o cliente presumirá que foi movido parauma rede em que não estão disponíveisservidores DHCP, como uma rede doméstica ouuma rede de uma pequena empresa, onde nãoestá disponível servidor DHCP (pode ser oexemplo de um vendedor conectando umnotebook em um ponto da rede de um pequenocliente).

O cliente irá configurar automaticamente o endereço IP conformedescrito anteriormente. Uma vez que configurado automaticamente, ocliente continua a tentar localizar um servidor DHCP a cada cincominutos e obter uma nova concessão de endereço IP e de demaisconfigurações.

Não esqueça: APIPA é isso. A sigla é mais complicada do que afuncionalidade. Se você está se preparando para os exames deCertificação do Windows 2000 Server, fique atento a estafuncionalidade. Normalmente aparecem questões envolvendoconhecimentos desta funcionalidade.

Conclusão

Nesta parte do tutorial fiz a apresentação do serviço de configuração



automática de hosts TCP/IP: DHCP. Nas próximas partes deste tutorial,falarei sobre os demais serviços do Windows 2000 Server e do WindowsServer 2003, diretamente ligados ao TCP/IP, tais como o WINS e RRAS.



Introdução:

Esta é a décima parte do Tutorial de TCP/IP. Na Parte 1 tratei dosaspectos básicos do protocolo TCP/IP. Na Parte 2 falei sobre cálculosbinários, um importante tópico para entender sobre redes, máscara desub-rede e roteamento. Na Parte 3 falei sobre Classes de endereços, naParte 4 fiz uma introdução ao roteamento e na Parte 5 apresentei maisalguns exemplos/análises de como funciona o roteamento e na Parte 6falei sobre a Tabela de Roteamento. Na Parte 7 tratei sobre a divisão deuma rede em sub-redes, conceito conhecido como subnetting. Na Parte8 fiz uma apresentação de um dos serviços mais utilizados pelo TCP/IP,que é o Domain Name System: DNS. O DNS é o serviço de resolução denomes usado em todas as redes TCP/IP, inclusive pela Internet que,

sem dúvidas, é a maior rede TCP/IP existente. Na Parte 9 fiz umaintrodução ao serviço Dynamic Host Configuration Protocol – DHCP.Nesta décima parte falarei sobre mais um serviço de rede do Windows2000 Server: WINS.

O WINS é a abreviatura de W i n d o w s I n t e r n e t N a m e S er v i ce s. É umserviço de resolução de nomes. Mais um? O DNS já não é um serviço deresolução de nomes? Sim para as duas questões. O WINS é mais umserviço de resolução de nomes, que é mantido por questões decompatibilidade com versões anteriores do Windows (95, 98, Me, 3.11)e de compatibilidade com aplicações mais antigas, que ainda dependamda resolução de nomes NetBios.

Todo computador tem dois nomes: um chamado nome de hosts e umnome NetBios. Claro que estes nomes devem ser iguais. Por exemplo, ocomputador micro01.abc.com.br tem um nome de host micro01 e, porcoerência, o nome NetBios também deve ser micro01. Eu digo deve ser,porque em clientes mais antigos, tais como o Windows 95, Windows 98ou Windows Me, o nome de host e o nome NetBios são configurados emdiferentes opções do Windows e podem ser diferentes, embora não sejanada coerente configurar nomes diferentes.

O WINS é um serviço que permite que os clientes façam o seu registrodinamicamente durante a inicialização. O cliente registra o seu nomeNetBios e o respectivo endereço IP. Com isso o WINS vai criando umabase de nomes NetBios e os respectivos endereços podendo fornecer oserviço de resolução de nomes NetBios na rede.

Conforme você verá nesta introdução, o WINS apresenta um espaço denomes chamado plano (flat), sem domínio e sem nenhuma hierarquia(como acontecia no DNS, onde temos um espaço denomes hierárquico).



Entendendo o que é e como funciona o WINS

O Windows Internet Name Service – WINS é um serviço para resoluçãode nomes. Mais um, pode perguntar o amigo leitor. Sim, além do DNS oWindows 2000 Server (a exemplo do Windows Server 2003 e do NTServer 4.0) também fornece mais um serviço para resolução de nomes– WINS.

O WINS tem muitas diferenças em relação ao DNS. A primeira efundamental delas é que o WINS não forma um espaço de nomeshierárquico como o DNS. O espaço de nomes do WINS é plano (flat).

Em uma base de dados WINS fica registrado apenas o nome NetBios docomputador e o respectivo número IP. Poderíamos até dizer que o WINSestá para a resolução de nomes NetBios, assim como o DNS está para aresolução de nomes FQDN.

A grande questão que continua é: “Porque dois serviços diferentes paraa resolução de nomes”. O que acontece é que até o NT Server 4.0, oWINS era o serviço de resolução de nomes mais utilizado e o suporte aoDNS só erá obrigatório se algum serviço dependesse do DNS. Na épocado NT Server 4.0, com a maioria dos clientes baseados em Windows95/98 (ou até mesmo Windows 3.11), o WINS era o serviço de nomesmais utilizado. Porém a partir do Windows 2000 Server, com o ActiveDirectory, o DNS passou a ser o serviço preferencial (e obrigatório parao caso do Active Directory), para resolução de nomes.

Porém da mudança do WINS para o DNS, obviamente que existe umperíodo de transição. É exatamente este período que estamos vivendo,ou seja, com clientes (Windows 95/98/Me) e aplicativos que aindadependem do WINS. Por isso que, muito provavelmente, você aindaprecisará do WINS para dar suporte a estes clientes e aplicativos maisantigos, ainda dependentes do WINS.

Com o WINS, sempre que um cliente configurado para utilizar umservidor WINS, é inicializado, o cliente, automaticamente, registra o seunome NetBios e o respectivo endereço IP, na base de dados do servidorconfigurado como Wins Primário, nas propriedades do TCP/IP. Os nomesNetBios podem ter até 15 caracteres. Na verdade são 16 caracteres,mas o décimo sexto é reservado para uso do sistema operacional. OWindows 2000 Server registra, para um mesmo computador, o nomeNetBios mais de uma vez, apenas mudando o décimo sexto caractere.Este caractere indica um serviço específico no computador. Falarei mais



sobre estes nomes logo adiante.

Algumas características do WINS

O WINS apresenta as seguintes características:

• Um banco de dados dinâmico de nome para endereço quemantém o suporte para resolução e registro do nomeNetBios de computador. O serviço WINS é instalado em umou mais servidores da rede. O número IP do servidor WINSdeve ser informado nos clientes, quer seja configurandomanualmente as propriedades do protocolo TCP/IP docliente, quer seja através do uso do DHCP para efetuar estas

configurações.

• Gerenciamento centralizado do banco de dados de nomepara endereço, minorando a necessidade de gerenciamentode arquivos Lmhosts. O arquivo Lmhosts é um arquivo detexto, na qual podem ser criadas entradas para resolução denomes NetBios. O arquivo Lmhosts fica na pastasystemroot\system32\drivers\etc, onde systemrootrepresenta a pasta onde está instalado o Windows 2000Server. Podemos dizer que o Lmhosts representa para oWINS, o mesmo que o arquivo hosts representa para o DNS.Na verdade, na pasta indicada anteriormente, é gravado,por padrão, um arquivo chamado Lmhosts.sam. Oadministrador, caso necessite utilizar um arquivo Lmhosts,pode renomear este arquivo (de Lmhosts.sam paraLmhosts) e criar as entradas necessárias.

• O uso do WINS fornece Redução de tráfego de broadcast,gerado para a reoslução de nome NetBios. Se os clientesdependentes do WINS, não estiverem configurados com onúmero IP de pelo menos um servidor WINS, eles irão gerar

tráfego de Broadcast na rede local, para tentar resolvernomes. Por padrão os roteadores bloqueiam tráfego debroadcast. Com isso, sem o uso do WINS, para clientes quedependem do WINS, não haveria como fazer a resolução denomes de servidores que estão em outras redes (redesremotas, ligadas através de links de WAN e roteadores).Através do mecanismo de replicação, é possível mantervários servidores WINS, em diferentes redes, com o mesmobanco de dados, com informações de todos os computadoresda rede, mediante o uso de replicação.



• É possível integrar o WINS com o DNS, para que o WINSpossa respodner consultas às quais o DNS não conseguiuresponder.

Como saber se ainda devo utilizar o WINS?

Pode parecer que o WINS tem muitas vantagens, então deve realmenteser utilizado. Não é bem assim. Só é justificado o uso do WINS sehouver versões anteriores do Windows ou aplicações que dependam doWINS. Neste ítem vou detalhar um pouco mais sobre em que situaçõesvocê terá que utilizar o WINS.

Antes de mostrar quando você deve utilizar, vou descrever algumas

situações em que, com certeza, você não precisará utilizar o WINS:

• A sua rede é baseada apenas em servidores comoWindows 2000 Server ou Windows Server 2003 e os clientessão baseados no Windows 2000 Professional ou Windows XPProfessional. Com uma rede nesta situação (o que aindadeve ser muito raro), com certeza o DNS está instalado efuncionando. Nesta situação não existe nenhumadependência do WINS para a resolução de nomes, uma vezque o DNS atende perfeitamente a necessidade de resoluçãode nomes no cenário proposto.

• Se você tem uma pequena rede, com até 20computadores, localizados em um único escritório, e a redeé utilizada para compartilhamento de arquivos, impressorase para aplicações, não é necessário o uso do WINS. Mesmoque alguns clientes ou aplicações necessitem de resoluçãode nome NetBios, poderão fazê-lo, sem problemas, usandobroadcast. Devido ao pequeno número de computadores, otráfego de broadcast, devido à resolução de nomes NetBiosnão representará um problema.

Ao decidir se precisa usar o WINS, você deve primeiro considerar asseguintes questões:

• Tenho computadores na rede que exigem o uso de nomesde NetBIOS? Lembre que todos os computadores em redeque estiverem sendo executados com um sistemaoperacional da Microsoft antigo, como as versões do MS-DOS, Windows 95/98 ou Windows NT 3.51/4.0, exigemsuporte a nomes de NetBIOS. O Windows 2000 é o primeiro



sistema operacional da Microsoft que não requer mais anomeação de NetBIOS. Portanto, os nomes de NetBIOSainda podem ser exigidos na rede para fornecer serviços decompartilhamento de arquivo e impressão básicos e paraoferecer suporte a diversas aplicações existentes, as quaisainda dependam da resolução de nomes NetBios. Porexemplo, um cliente baseado no Windows 95, depende donome NetBios do servidor, para poder acessar uma pastacompartilhada no servidor. Você não conseguirá usar onome DNS do sevidor, como por exemplo:\\srv01.abc.com\documentos, em clientes com versõesantigas do Windows, conforme as descritas no início desteparágrafo. Nestes clientes você tem que usar o nome

NetBios do servidor, como por exemplo:\\srv01\documentos.

• Todos os computadores na rede estão configurados e sãocapazes de oferecer suporte ao uso de outro tipo denomeação de rede, como DNS (Domain Name System,sistema de nomes de domínios)? A nomeação de rede é umserviço vital para a localização de computadores e recursospor toda a rede, mesmo quando os nomes NetBIOS nãosejam exigidos. Antes de decidir eliminar o suporte a nomes

de NetBIOS ou WINS, certifique-se de que todos oscomputadores e programas na rede são capazes defuncionar usando outro serviço de nomes, como o DNS.Nesta etapa é muito importante que você tenha uminventário de software atualizado. Com o inventário desoftware você tem condição de saber quais programas aindadependem da resolução de nomes NetBios.

Os clientes WINS que estejam executando sob o Windows 2000,Windows Server 2003 ou Windows XP Professional, são configurados porpadrão para usar primeiro o DNS para resolver nomes com mais de 15

caracteres ou que utilizem pontos (".") dentro do nome. Para nomescom menos de 15 caracteres e que não utilizem pontos, o Windowsprimeira tenta resolver o nome usando WINS (se este estiverconfigurado), caso o WINS venha a falhar, o DNS será utilizado natentativa de resolver o nome.

Clientes suportados pelo WINS:

O WINS é suportado por uma grande variedade de clientes, conformedescrito na lista a seguir:



• Windows Server 2003

• Windows 2000

• Windows NT 3.5 ou superior

• Windows 95/98/Me

• Windows for Workgroups 3.11

• MS-DOS com Cliente de Rede Microsoft versão 3

• MS-DOS com LAN Manager versão 2.2c

• Clientes Linux e UNIX, rodando o serviço Samba

Nota : É possível criar entradas estáticas no WINS (criadasmanualmente), para clientes não suportados pelo WINS. Porém esta nãoé uma prática recomendada e somente deve ser utilizada quando forabsolutamente necessária.

Não esqueça: Fique atento a este ponto, ou seja, criação de entradasestáticas. Por exemplo, se você tem clientes antigos, como o Windows95 ou Windows 98, que precisam acessar recursos em um servidorUNIX, o qual não pode ser cliente do WINS, ou seja, não é capaz deregistrar seu nome no WINS, o que fazer? Neste caso você deve criaruma entrada estática no WINS, para o nome do servidor UNIX e orespectivo endereço IP. Com isso, os clientes mais antigos poderãoacessar os recursos do servidor UNIX.

Como funciona o WINS

Os servidores WINS mantém uma base de dados com nomes dosclientes configurados para utilizar o WINS e os respectivos endereços IP.

Quando uma estação de trabalho configurada para utilizar o WINS éinicializada, ela registra o seu nome NetBios e o seu endereço IP nobanco de dados do servidor WINS. A estação de trabalho utiliza oservidor WINS, cujo endereço IP está configurado como WINS Primário,nas propriedades do protocolo TCP/IP (quer estas configurações tenhamsido feitas manualmente ou via DHCP). Quando o cliente é desligado, oregistro do nome e do endereço IP é liberado no servidor WINS. Comisso a base de dados do WINS é criada e mantida, dinamicamente.

Os nomes NetBios podem ter, no máximo 15 caracteres. Um 16º



caractere é registrado pelo serviço WINS. Este caractere adicional éutilizado para indicar um determinado tipo de serviço. Por exemplo, umservidor pode ter o seu nome registrado no WINS várias vezes. O quediferencia um registro do outro é o 16º caractere, o qual indicadiferentes serviços. O 16º caractere está no formato de númeroHexadecimal. A seguir, a título de exemplo, alguns dos valores possíveispara o 16º caractere e o respectivo significado:

• nome_de_domínio[1Bh]: Registrado por cada controladorde domínio do Windows NT Server 4.0 que estejaexecutando como PDC (Primary Domain Controller) dorespectivo domínio. Esse registro de nome é usado parapermitir a procura remota de domínios. Quando um servidor

WINS é consultado para obtenção desse nome, ele retorna oendereço IP do computador que registrou o nome.

• nome_de_computador[1Fh]: Registrado pelo serviçoNetwork Dynamic Data Exchange (NetDDE, intercâmbiodinâmico de dados de rede). Ele aparecerá somente se osserviços NetDDE forem iniciados no computador.

Você pode exibir a lista de nomes (na verdade o mesmo nome, apenasdiferenciando o 16º caractere) registrados para um determinadocomputador, utilizando o seguinte comando:

nbtstat –a nome_do_computador

Por exemplo, o comando a seguir retorna a lista de nomes registradosno WINS, pelo computador chamado servidor:

nbtstat –a servidor

Es te comando r e to r n a o r esu l t ado i nd i cado a segu i r : C:\>nbtstat -a servidor

Local Area Connection:

Node IpAddress: [10.10.20.50] Scope Id: []

NetBIOS Remote Machine Name Table

Name Type Status

-------------------------------------------

SERVIDOR <00> UNIQUE Registered


GROZA <00> GROUP Registered

GROZA <1C> GROUP Registered

GROZA <1B> UNIQUE Registered

GROZA <1E> GROUP Registered




GROZA <1D> UNIQUE Registered

..__MSBROWSE__. <01> GROUP Registered

INet~Services <1C> GROUP Registered

IS~SERVIDOR.... <00> UNIQUE Registered

ADMINISTRADOR <03> UNIQUE Registered

MAC Address = 00-00-21-CE-01-11

Para que as estações de trabalho da rede possam utilizar o servidorWINS, basta informar o número IP do servidor WINS nas propriedadesavançadas do protocolo TCP/IP. Uma vez configurado com o número IPdo servidor WINS, o cliente, durante a inicialização, registra o seu nomeNetBios, automaticamente com o servidor WINS.

O cliente WINS utiliza diferentes métodos para a resolução de nomes

NetBios. Estes diferentes métodos são identificados como: b-node, p-node, m-node e h-node. A seguir descrevo a diferença entre estesmétodos:

• b-node: Um cliente configurado com este método deresolução utiliza somente broadcast para a resolução denomes NetBios. Se não houver um servidor WINS na redeou o servidor WINS não estiver configurado naspropriedades avançadas do TCP/IP, este é o método padrãoutilizado.

• p-node: Utiliza somente o servidor WINS. Se o WINSfalhar em resolver o nome, o cliente não tentará outrométodo.

• m-node: Utiliza primeiro broadcast, se não conseguirresolver o nome usando broadcast, então utiliza o servidorWINS.

• h-node: Primeiro utiliza o servidor WINS, somente se oWINS falhar é que será tentado o broadcast. Este método

reduz o tráfego de broadcast na rede. É o método padrãopara clientes configurados para utilizar um servidor WINS.

Conclusão

Nesta parte do tutorial fiz a apresentação do serviço WINS. Naspróximas partes deste tutorial, falarei sobre os demais serviços doWindows 2000 Server e do Windows Server 2003, diretamente ligadosao TCP/IP, tais como o RRAS e IPSec.



Introdução:

Esta é a décima primeira parte do Tutorial de TCP/IP. Na Parte 1 trateidos aspectos básicos do protocolo TCP/IP. Na Parte 2 falei sobre cálculosbinários, um importante tópico para entender sobre redes, máscara desub-rede e roteamento. Na Parte 3 falei sobre Classes de endereços, naParte 4 fiz uma introdução ao roteamento e na Parte 5 apresentei maisalguns exemplos/análises de como funciona o roteamento e na Parte 6falei sobre a Tabela de Roteamento. Na Parte 7 tratei sobre a divisão deuma rede em sub-redes, conceito conhecido como subnetting. Na Parte8 fiz uma apresentação de um dos serviços mais utilizados pelo TCP/IP,que é o Domain Name System: DNS. O DNS é o serviço de resolução denomes usado em todas as redes TCP/IP, inclusive pela Internet que,

sem dúvidas, é a maior rede TCP/IP existente. Na Parte 9 fiz umaintrodução ao serviço Dynamic Host Configuration Protocol – DHCP. NaParte 10 fiz uma introcução ao serviço Windows Internet Name Services– WINS. Nesta décima primeira parte falarei sobre o conceito de portasde comunicação.

Um pouco sobre Pacotes e sobre os protocolos de Transporte:

O TCP/IP, na verdade, é formado por um grande conjunto de diferentesprotocolos e serviços de rede. O nome TCP/IP deriva dos dois protocolosmais comumente utilizados:

• I P: É um protocolo de endereçamento, um protocolo derede. Eu me arriscaria a afirmar que as principais funções doprotocolo IP são endereçamento e roteamento, ou de umamaneira mais simples, fornecer uma maneira para identificarunicamente cada máquina da rede (endereço IP) e umamaneira de encontrar um caminho entre a origem e odestino (Roteamento).

• TCP: O TCP é um protocolo de transporte e executa

importantes funções para garantir que os dados sejamentregues de uma maneira confiável, ou seja, sem que osdados sejam corrompidos.

Vamos imaginar uma situação prática, onde você deseja enviar umarquivo com cerca de 10 MB de um computador de origem para umcomputador de destino. Uma das primeiras coisas que tem que serfeitas é encontrar uma rota, um caminho entre a origem e o destino.Este é o papel do protocolo IP, mais especificamente da função deroteamento. Uma vez encontrado o caminho, o próximo passo é dividir o



arquivo de 10 MB em pacotes de tamanhos menores, os quais possamser enviados pelos equipamentos de rede. Além da divisão em pacotesmenores, o TCP/IP tem que garantir que os pacotes sejam entreguessem erros e sem alterações. Pode também acontecer de os pacoteschegarem fora de ordem. O TCP/IP tem que ser capaz de identificar aordem correta e entregar os pacotes para o programa de destino, naordem correta. Por exemplo, pode acontecer de o pacote número 10chegar antes do pacote número 9. Neste caso o TCP/IP tem queaguardar a chegada do pacote número 9 e entregá-los na ordemcorreta. Pode também acontecer de serem perdidos pacotes durante otransporte. Neste caso, o TCP/IP tem que informar à origem de quedeterminado pacote não foi recebido no tempo esperado e solicitar queeste seja retransmitido. Todas estas funções – garantir a integridade, a

seqüêcia correta e solicitar retransmissão – são exercidas pelo protocoloTCP – Transmission Control Protocol. Além do TCP existe também oUDP, o qual não faz todas estas verificaçõe e é utilizado pordeterminados serviços. A seguir apresento uma descrição dos protocolosTCP e UDP e um estudo comparativo.

TCP – Uma Visão Geral

O Transmission Control Protocol (TCP) é, sem dúvidas, um dos maisimportantes protocolos da família TCP/IP. É um padrão definido na RFC793, "Transmission Control Protocol (TCP)", que fornece um serviço deentrega de pacotes confiável e orientado por conexão. Ser orientado porconexão, significa que todos os aplicativos baseados em TCP comoprotocolo de transporte, antes de iniciar a troca de dados, precisamestabelecer uma conexão. Na conexão são fornecidas, normalmente,informações de logon, as quais identificam o usuário que está tentandoestabelecer uma conexão. Um exemplo típico são os aplicativos de FTP(Cute – FTP, ES-FTP e assim por diante). Para que você acesse umservidor de FTP, você deve fornecer um nome de usuário e senha. Estesdados são utilizados para identificar e autenticar o usuário. Após aidentificação e autenticação, será estabelecida uma sessão entre o

cliente de FTP e o servidor de FTP.

Algumas características do TCP:

• Gar an te a en t r ega de da tag r am as IP : Esta talvez sejaa principal função do TCP, ou seja, garantir que os pacotessejam entregues sem alterações, sem terem sidocorrompidos e na ordem certa. O TCP tem uma série demecanismos para garantir esta entrega.



• Execu ta a segmen t ação e r eag r upam en to degran des b locos de dados env iados pe los program as eGar an te o seqüenc i am en to adequado e en t r egaor denada de dados segm en tados : Esta característicarefere-se a função de dividir grandes arquivos em pacotesmenores e transmitir cada pacote separadamente. Ospacotes podem ser enviados por caminhos diferentes echegar fora de ordem. O TCP tem mecanismos para garantirque, no destino, os pacotes sejam ordenados corretamente,antes de serem entregues ao programa de destino.

• Ver i f i ca a i n t eg r i dade dos dados t r ansm i t i dosusando cá lcu los de som a de ver i f i cação: O TCP faz

verificações para garantir que os dados não foram alteradosou corrompidos durante o transporte entre a origem e odestino.

• Env ia m ensagens pos it i v as depend endo doreceb im ent o bem -suced ido dos dados. Ao usarcon f i r m ações sel e t i vas, t am bém são env i adascon f i r mações negat i vas pa r a os dados que não f o r amreceb idos : No destino, o TCP recebe os pacotes, verifica seestão OK e, em caso afirmativo, envia uma mensagem paraa origem, confirmando cada pacote que foi recebidocorretamente. Caso um pacote não tenha sido recebido outenha sido recebido com problemas, o TCP envia umamensagem ao computador de origem, solicitando umaretransmissão do pacote. Com esse mecanismo, apenaspacotes com problemas terão que ser enviados, o que reduzo tráfego na rede e agiliza o envio dos pacotes.

• Ofer ece um m étodo p r e fe r enc i al de t r anspor t e dep r og r am as que devem usa r t r ansm i ssão con f i áve l dedados baseada em sessões, com o bancos de dados

c li en te / ser v i do r e p r og r amas de co r r e i o e le t r ôn i co : Ouseja, o TCP é muito mais confiável do que o UDP (conformemostrarei mais adiante) e é indicado para programas eserviços que dependam de uma entrega confiável de dados.

Como o TCP funciona

O TCP baseia-se na comunicação ponto a ponto entre dois hosts derede. O TCP recebe os dados de programas e processa esses dadoscomo um fluxo de bytes. Os bytes são agrupados em segmentos que o



TCP numera e seqüência para entrega. Estes segmentos são maisconhecidos como “ Paco t es ” .

Antes que dois hosts TCP possam trocar dados, devem primeiroestabelecer uma sessão entre si. Uma sessão TCP é inicializada atravésde um processo conhecido como um tree-way handshake (algo comoUm Aperto de Mão Triplo). Esse processo sincroniza os números deseqüência e oferece informações de controle necessárias paraestabelecer uma conexão virtual entre os dois hosts.

De uma maneira simplificada, o processo de tree-way handshake, podeser descrito através dos seguintes passos:

• O computador de origem solicita o estabelecimento deuma sessão com o computador de origem: Por exemplo,você utiliza um programa de FTP (origem) para estabeleceruma sessão com um servidor de FTP (destino).

• O computador de destino recebe a requisição, verifica ascredenciais enviadas (tais como as informações de logon) eenvia de volta para o cliente, informações que serãoutilizadas pelo cliente, para estabelecer efetivamente asessão. As informações enviadas nesta etapa sãoimportantes, pois é através destas informações que oservidor irá identificar o cliente e liberar ou não o acesso.

• O computador de origem recebe as informações deconfirmação enviadas pelo servidor e envia estasconfirmações de volta ao servidor. O servidor recebe asinformações, verifica que elas estão corretas e estabelece asessão. A partir deste momento, origem e destino estãoautenticados e aptos a trocar informações usando oprotocolo TCP. Se por algum motivo, as informaçõesenviadas pela origem não estiverem corretas, a sessão não

será estabelecida e uma mensagem de erro será enviada devolta ao computador de origem.

Depois de concluído o tree-way handshake inicial, os segmentos sãoenviados e confirmados de forma seqüencial entre os hosts remetente edestinatário. Um processo de handshake semelhante é usado pelo TCPantes de fechar a conexão para verificar se os dois hosts acabaram deenviar e receber todos os dados.

Os segmentos TCP são encapsulados e enviados em datagramas IP,



conforme apresentado na figura a seguir, obtida na ajuda do Windows2000 Server:

O conceito de Portas TCP

Os programas TCP usam números de porta reservados ou conhecidos,conforme apresentado na seguinte ilustração, da ajuda do Windows2000 Server:

Mas o que você pode esta r se pe r gun tando é : O que é um a Por t aTCP?

Bem, sem entrar em detalhes técnicos do TCP/IP, vou explicar, atravésde um exemplo prático, o conceito de porta. Vamos imaginar umusuário, utilizando um computador com conexão à Internet. Este

usuário, pode, ao mesmo tempo, acessar um ou mais sites da Internet,usar o Outlook Express para ler suas mensagens de email, estarconectado a um servidor de FTP, usando um programa como o WS-FTP,para fazer download de um ou mais arquivos, estar jogando DOOMatravés da Internet.

Todas as informações que este usuário recebe estão chegando atravésde pacotes que chegam até a placa de Modem ou até o Modem ADSL,no caso de uma conexão rápida. A pergunta que naturalmente surge é:



Com o o s is tem a sabe para qua l dos progr am as se dest in a cadaum dos paco tes que estão chegando no compu tador ?

Por exemplo, chega um determinado pacote. É para uma das janelas doNavegador, é para o cliente de FTP, é um comando do DOOM, éreferente a uma mensagem de email ou quem é o destinatário destepacote? A resposta para esta questão é o mecanismo de portas utilizadopelo TCP/IP. Cada programa trabalha com um protocolo/serviçoespecífico, ao qual está associado um número de porta. Por exemplo, oserviço de FTP, normalmente opera na porta 21 (na verdade usa duasportas, uma para controle e outra para o envio de dados). Todo pacoteque for enviado do servidor FTP para o cliente, terá, além dos dados queestão sendo enviados, uma série de dados de controle, tais como o

número do pacote, código de validação dos dados e também o númeroda porta. Quando o pacote chega no seu computador, o sistema lê nopacote o número da porta e sabe para quem encaminhar o pacote. Porexemplo, se você está utilizando um cliente de FTP para fazer umdownload, os pacotes que chegarem, com informação de Porta = 21,serão encaminhados para o cliente de FTP, o qual irá ler o pacote e daro destino apropriado. Outro exemplo, o protocolo HTTP, utilizado para otransporte de informações de um servidor Web até o seu navegador,opera, por padrão, na porta 80. Os pacotes que chegarem, destinados àporta 80, serão encaminhados para o navegador. Se houver mais de

uma janela do navegador aberta, cada uma acessando diferentespáginas, o sistema inclui informações, além da porta, capazes deidentificar cada janela individualmente. Com isso, quando chega umpacote para a porta 80, o sistema identifica para qual das janelas donavegador se destina o referido pacote.

Em r esum o: O uso do conceito de portas, permite que váriosprogramas estejam em funcionamento, ao mesmo tempo, no mesmocomputador, trocando informações com um ou mais serviços/servidores.

O lado do servidor de cada programa que usa portas TCP escuta as

mensagens que chegam no seu número de porta conhecido. Todos osnúmeros de porta de servidor TCP menores que 1.024 (e algunsnúmeros mais altos) são reservados e registrados pela InternetAssigned Numbers Authority (IANA, autoridade de números atribuídosda Internet). Por exemplo, o serviço HTTP (servidor Web), instalado emum servidor, fica sempre “escutando” os pacotes que chegam aoservidor. Os pacotes destinados a porta 80, serão encaminhados pelosistema operacional para processamento do servidor Web.



A tabela a seguir é uma lista parcial de algumas portas de servidor TCPconhecidas usadas por programas baseados em TCP padrão.

N ú m e r o d e p o r t aTCP

Descr ição

20Servidor FTP (File Transfer Protocol, protocolodetransferência de arquivo) (canal de dados)

21 Servidor FTP (canal de controle)

23 Servidor Telnet

53Transferências de zona DNS (Domain NameSystem,sistema de nomes de domínios)

80Servidor da Web (HTTP, Hypertext TransferProtocol,protocolo de transferência de hipertexto)

139 Serviço de sessão de NetBIOS

Para obter uma lista atualizada e completa de todas as portas TCPconhecidas e registradas atualmente, consulte o seguinte endereço:

http://www.iana.org/assignments/port-numbersUDP – Uma Visão Geral

O User Datagram Protocol (UDP) é um padrão TCP/IP e está definidopela RFC 768, "User Datagram Protocol (UDP)." O UDP é usado poralguns programas em vez de TCP para o transporte rápido de dadosentre hosts TCP/IP. Porém o UDP não fornece garantia de entrega e nemverificação de dados. De uma maneira simples, dizemos que o protocoloUDP manda os dados para o destino; se vai chegar ou se vai chegarcorretamente, sem erros, só Deus sabe. Pode parecer estranho esta

característica do UPD, porém você verá que em determinadas situações,o fato de o UDP ser muito mais rápido (por não fazer verificações e pornão estabelecer sessões), o uso do UDP é recomendado.

O protocolo UDP fornece um serviço de pacotes sem conexão queoferece entrega com base no melhor esforço, ou seja, UDP não garantea entrega ou verifica o seqüenciamento para qualquer pacote. Um hostde origem que precise de comunicação confiável deve usar TCP ou umprograma que ofereça seus próprios serviços de seqüenciamento econfirmação.



As mensagens UDP são encapsuladas e enviadas em datagramas IP,conforme apresentado na seguinte ilustração, da ajuda do Windows2000 Server:

Portas UDP

O conceito de porta UDP é idêntico ao conceito de portas TCP, emboratecnicamente, existam diferenças na maneira como as portas sãoutilizadas em cada protocolo. A idéia é a mesma, por exemplo, se umusuário estiver utilizando vários programas baseados em UDP, aomesmo tempo, no seu computador, é através do uso de portas, que osistema operacional sabe a qual programa se destina cada pacote UDP

que chega.O lado do servidor de cada programa que usa UDP escuta as mensagensque chegam no seu número de porta conhecido. Todos os números deporta de servidor UDP menores que 1.024 (e alguns números maisaltos) são reservados e registrados pela Internet Assigned NumbersAuthority (IANA, autoridade de números atribuídos da Internet).

Cada porta de servidor UDP é identificada por um número de portareservado ou conhecido. A tabela a seguir mostra uma lista parcial dealgumas portas de servidor UDP conhecidas usadas por programas

baseados em UDP padrão.

N ú m e r o d e p o r t aUDP

Descr ição

53Consultas de nomes DNS (Domain Name System,sistema denomes de domínios)

69 Trivial File Transfer Protocol (TFTP)

137 Serviço de nomes de NetBIOS



138 Serviço de datagrama de NetBIOS

161 Simple Network Management Protocol (SNMP)

520Routing Information Protocol (RIP, protocolo deinformações deroteamento)

Para obter uma lista atualizada e completa de todas as portas TCPconhecidas e registradas atualmente, consulte o seguinte endereço:

http://www.iana.org/assignments/port-numbers

Comparando UDP e TCP:

Geralmente, as diferenças na maneira como UDP e TCP entregam osdados assemelham-se às diferenças entre um telefonema e um cartãopostal. O TCP funciona como um telefonema, verificando se o destinoestá disponível e pronto para a comunicação. O UDP funciona como umcartão postal — as mensagens são pequenas e a entrega é provável,mas nem sempre garantida.

UDP é geralmente usado por programas que transmitem pequenasquantidades de dados ao mesmo tempo ou têm necessidades em temporeal. Nessas situações, a baixa sobrecarga do UDP (pois este não faz asverificações que são feitas pela TCP) e as capacidades de broadcast doUDP (por exemplo, um datagrama, vários destinatários) são maisadequadas do que o TCP.

O UDP contrasta diretamente com os serviços e recursos oferecidos porTCP. A tabela a seguir compara as diferenças em como a comunicaçãoTCP/IP é tratada dependendo do uso de UDP ou TCP para o transportede dados.

UDP TCP

Serviço sem conexão; nenhumasessão é estabelecida entre os hosts.

Serviço orientado por conexão;uma sessão é estabelecida entreos hosts.

UDP não garante ou confirma aentrega ou seqüência os dados.

TCP garante a entrega através douso de confirmações e entregaseqüenciada dos dados.

Os programas que usam UDP sãoresponsáveis por oferecer aconfiabilidade necessária ao

Os programas que usam TCP têmgarantia de transporte confiávelde dados.



transporte de dados.

UDP é rápido, necessita de baixa

sobrecarga e pode oferecer suporte àcomunicação ponto a ponto e pontoa vários pontos.

TCP é mais lento, necessita de

maior sobrecarga e pode oferecersuporte apenas à comunicaçãoponto a ponto.

Tanto UDP quanto TCP usam portas para identificar as comunicaçõespara cada programa TCP/IP, conforme descrito anteriormente.

Conclusão

Nesta parte do tutorial fiz uma apresentação dos protocolos TCP e UDP,

os quais são responsáveis pelo transporte de pacotes em redesbaseadas no TCP/IP. Você também aprendeu sobre as diferenças entreos protocolos TCP e UDP e sobre o conceito de porta de comunicação.

Introdução:



Esta é a décima segunda parte do Tutorial de TCP /IP. Na Parte 1 trateidos aspectos básicos do protocolo TCP /IP. Na Parte 2 falei sobrecálculos binários, um importante tópico para entender sobre redes,máscara de sub-rede e roteamento. Na Parte 3 falei sobre Classes deendereços, na Parte 4 fiz uma introdução ao roteamento e na Parte 5apresentei mais alguns exemplos/análises de como funciona oroteamento e na Parte 6 falei sobre a Tabela de Roteamento. Na Parte 7tratei sobre a divisão de uma rede em sub-redes, conceito conhecidocomo subnetting. Na Parte 8 fiz uma apresentação de um dos serviçosmais utilizados pelo TCP /IP, que é o Domain Name System: DNS. ODNS é o serviço de resolução de nomes usado em todas as redes TCP /IP, inclusive pela Internet que, sem dúvidas, é a maior rede TCP /IPexistente. Na Parte 9 fiz uma introdução ao serviço Dynamic Host

Configuration Protocol – DHCP. Na Parte 10 fiz uma introcução aoserviço Windows Internet Name Services – WINS. Na Parte 11 faleisobre os protocolos TCP , UDP e sobre portas de comunicação. Nestadécima segunda parte, mostrarei como são efetuadas as confiurações deportas em diversos aplicativos que você utiliza e os comandos doWindows 2000/XP/2003 utilizados para exibir informações sobre portasde comunicação.

Exemplos de utilização de portas:

Embora provavelmente você nunca tenha notado, você utiliza portas decomunicação diversas vezes, como por exemplo ao acessar o seu email,ao fazer um download de um arquivo ou ao acessar uma página naInternet.

Quando você acessa um site na Internet, como por exemplowww.juliobattisti.com.br ou www.certificacoes.com.br ouwww.uol.com.br, o navegador que você está utilizando se comunica coma porta 80 no servidor HTTP, do site que está sendo acessado. Vocênem fica sabendo que está sendo utilizada a porta 80, pois esta é aporta padrão de comunicação, para o protocolo HTTP (Hypertext

Transfer Protocol). Um detalhe interessante é que não é obrigatório queseja utilizada a porta padrão número 80, para a comunicação do HTTP.Por exemplo, o Administrador do IIS – Internet Information Services,que é o servidor Web da Microsoft, pode configurar um site para “responder” em uma porta diferente da Porta 80, conforme exemplo daFigura a seguir, onde o site foi configurado para responder na porta470:



Quando for utilizada uma porta diferente da porta padrão 80, o númeroda porta deve ser informada após o endereço, colocandos o sinal de doispontos (:) após o endereço e o número da porta após o sinal de dois

pontos, como no exemplo a seguir:http://www.abc.com.br:470

Um outro exemplo do dia-a-dia, onde utilizamos o conceito de portas decomunicação, é quando você utiliza um cliente de FTP para se conectara um servidor de FTP e fazer o download de um ou mais arquivos. Aocriar uma nova conexão de FTP, você deve informar o nome do servidor(ftp.abc.com.br, ftp.123.com.br, ftp.juliobattisti.com.br e assim pordiante) e definir a porta de comunicação. Os principais clientes de FTP, já sugerem como padrão a porta 21, a qual é utilizada pelo protocoloFTP. No exemplo da figura a seguir, mostro uma tela do cliente de FTPCute FTP, o qual é um dos mais utilizados. Nesta figura, mostro asconfigurações para conexão com o meu servidor de ftp, onde é utilizadaa porta 21:



Outro uso muito comum nas redes da sua empresa é a criação desessões de programas emuladores de terminal com sistemas que rodamno Mainframe da empresa Apesar de terem anunciado a morte doMainframe há algum tempo atrás, o fato é que o Mainframe continuamais vivo do que nunca e com grande parte dos sistemas empresariaisainda rodando no Mainframe (veja uma das próximas colunas para umdiscussão completa sobre diretórios, modelos baseado no Mainframe eos novos modelos Web).

A próxima figura descreve, resumidamente, como funciona a criação deseções, usando um software emulador de terminal, para acessarsistemas no Mainframe. Nas estações de trabalho da rede da empresa, é

instalado um programa emulador de terminal. Estes progrmas, namaioria das vezes, emulam terminais no padrão TN23270. Este é umpadrão da IBM muito utilizado para acesso à aplicações que estão noMainframe. O programa emulador de terminal faz a conexão com oMainframe, o usuário informa o seu logon e senha e, de acordo com aspermissões atribuídas ao logon do usuário, são disponibilizados um oumais sistemas. Quando o usuário vai criar uma sessão com oMainframe, ele precisa informar o nome ou o número IP do Mainframe.Normalmente estas seções são feitas com base no serviço de Telnet(Terminal Emulator Link Over Network), o qual é baseado na porta de

comunicação 23.



Na Figura a seguir, mostro o uso de um software emulador de terminal,no momento emque está sendo configurada uma nova seção, a qualserá estabelecida via Telnet, utilizando a porta 21:

Estas são apenas três situações bastante comuns – acessar a Internet,fazer download de um servidor FTP e criar uma sessão com o Mainframe-, utilizados diariamente por usuários das redes de empresas de todo omundo, onde são utilizados, na prática, o conceito de Portas deComunicação, do TCP /IP, conceito este que foi discutido na Parte 11



deste tutorial. A seguir apresentarei alguns comandos do Windows2000/XP/2003, os quais exibem informações sobre as portas decomunicação que estão sendo utilizadas no seu computador. Se vocênão está conectado à rede de uma empresa, poderá utilizar estescomandos quando você estiver conectado á Internet, situação onde,certamente, estarão sendo utilizadas portas de comunicação.

O comando netstat – exibindo informações sobre portas:

O comando netstat está disponível no Windows 2000, Windows XP eWindows Server 2003. Este comando exibe estatísticas do protocolo TCP /IP e as conexões atuais da rede TCP /IP. O comando netstat somenteestá disponível se o protocolo TCP /IP estiver instalado. A seguir

apresento alguns exemplos de utilização do comando netstat e dasopções de linha de comando disponíveis.

• ne t s ta t –a : O comando netstat com a opção –a Exibetodas as portas de conexões e de escuta. Conexões deservidor normalmente não são mostradas. Ou seja, ocomando mostra as portas de comunicação que estão naescuta, isto é, que estão aptas a se comunicar. Na listagema seguir mostro um exemplo do resultado da execução docomando netstat –a, em um computador com o nomemicro01. O estado LISTENING significa, esperando, naescuta, ou seja, aceitando conexões na referida porta. Oestado ESTABLISHED significa que existe uma conexão ativana respectiva porta:



• ne t s ta t –e : Esta opção exibe estatísticas sobre ainterface Ethernet do computador. A interface Ethernet é,



normalmente, a placa de rede local, que conecta ocomputador a rede da empresa. Esta opção pode sercombinada com a opção –s, que será descrita mais adiante.A seguir um exemplo da execução do comando netstat –e:

• n e t s t at – n : Exibe endereços e números de porta emforma numérica (em vez de tentar pesquisar o nome). Aseguir um exemplo da execução do comando netstat –n:

ne t s ta t –s : Exibe estatística por protocolo. Por padrão, sãomostradas estatísticas para TCP, UDP, ICMP (InternetControl Message Protocol, protocolo de acesso àsmensagens de Internet) e IP. A opção -p pode ser utilizadapara especificar um ou mais protocolos para os quais devemser exibidas estatísticas. A seguir um exemplo da execução

do comando netstat –n:



• n e t s t at – p : Mostra conexões para o protocoloespecificado por protocolo, que pode ser tcp ou udp. Seutilizado com a opção -s para exibir estatísticas porprotocolo, protocolo pode ser tcp, udp, icmp ou ip. . A seguirum exemplo da execução do comando netstat –p, onde sãoexibidas informações somente sobre o protocolo ip: netstat–s –p ip:

• n e t s t at – r : Exibe o conteúdo da tabela de roteamento docomputador. Exibe os mesmos resultados do comando routeprint, discutido em uma das primeiras partes deste tutorial.

• A opção in te rv a lo : Você pode definir um intervalo,dentro do qual as estatísticas geradas pelo comando netstat



serão atualizadas. Por exemplo, você pode definir que sejamexibidas as estatísticas do protocolo ICMP e que estas sejamatualizadas de cinco em cinco segundos. Ao especificar umintervalo, o comando ficará executando, indefinidamente eatualizando as estatísticas, dentro do intervalo definido. Parasuspender a execução do comando, basta pressionar Ctrl+C.O comando a seguir irá exibir as estatísticas do protocolo IPe irá atualizá-las a cada 10 segundos:

n e t s t a t – s – p i p 1 0

Conclusão

Na Parte 11 do tutorial fiz uma apresentação dos protocolos TCP e UDP,os quais são responsáveis pelo transporte de pacotes em redesbaseadas no TCP/IP. Você também aprendeu sobre as diferenças entreos protocolos TCP e UDP e sobre o conceito de porta de comunicação.

Nesta parte do tutorial mostrei como o conceito de portas é utilizado, naprática, em diversas atividades do dia-a-dia, tais como o acesso a sitesda Internet, conexão com um servidor de FTP e conexão com umservidor de Telnet. Na segunda parte do tutorial, você aprendeu sobre ocomando netstat.



Introdução:

Esta é a décima terceira parte do Tutorial de TCP/IP. Na Parte 1 trateidos aspectos básicos do protocolo TCP/IP. Na Parte 2 falei sobre cálculosbinários, um importante tópico para entender sobre redes, máscara desub-rede e roteamento. Na Parte 3 falei sobre Classes de endereços, naParte 4 fiz uma introdução ao roteamento e na Parte 5 apresentei maisalguns exemplos/análises de como funciona o roteamento e na Parte 6falei sobre a Tabela de Roteamento. Na Parte 7 tratei sobre a divisão deuma rede em sub-redes, conceito conhecido como subnetting. Na Parte8 fiz uma apresentação de um dos serviços mais utilizados pelo TCP/IP,que é o Domain Name System: DNS. O DNS é o serviço de resolução denomes usado em todas as redes TCP/IP, inclusive pela Internet que,

sem dúvidas, é a maior rede TCP/IP existente. Na Parte 9 fiz umaintrodução ao serviço Dynamic Host Configuration Protocol – DHCP. NaParte 10 fiz uma introcução ao serviço Windows Internet Name Services– WINS. Na Parte 11 falei sobre os protocolos TCP, UDP e sobre portasde comunicação. Parte 12, mostrei como são efetuadas as confiuraçõesde portas em diversos aplicativos que você utiliza e os comandos doWindows 2000/XP/2003 utilizados para exibir informações sobre portasde comunicação.

Nesta décima terceira parte você aprenderá sobre a instalação econfiguração do protocolo TCP/IP no Windows 2000 Professional ouServer. Apresentarei, em detalhes, a configuração do protocolo TCP/IPno Windows 2000. Mostrarei como fazer as configurações do protocoloTCP/IP, desde as configurações básicas de número IP e máscara de sub-rede (em computadores que usarão IP fixo, ao invés de obter asconfigurações a partir de um servidor DHCP), até configurações maisavançadas, tais como definir filtros para o protocolo TCP/IP.

Instalação e configuração do protocolo TCP/IP

É muito pouco provável que você não tenha instalado o TCP/IP em seu

computador, principalmente se ele faz parte da rede da empresa ou deuma rede doméstica. Mas pode acontecer de o TCP/IP, por algunmotivo, não ter sido instalado. O TCP/IP é o protocolo padrão noWindows 2000 e é instalado durante a própria instalação do SistemaOperacional. Já no Windows Server 2003 o TCP/IP é instalado,obrigatoriamente, e não pode ser desinstalado. Mas se por algummotivo, o TCP/IP tiver sido desinstalado no Windows 2000 ou não tiversido instalado durante a instalação do Windows 2000, você poderáinstalá-lo quando for necessário.



Neste tópico apresentarei diversos exemplos de configuração doprotocolo TCP/IP. Em todos eles, você terá que acessar as propriedadesda interface de rede, na qual o TCP/IP será configurado. É importantesalientar que você pode ter mais de uma placa de rede instalada noWindows 2000. Neste caso, as configurações do protocolo TCP/IP sãoseparadas/individualizadas para cada placa/interface de rede. Você deveutilizar um número IP diferente em cada interface. A seguir descrevo ospassos para acessar as propriedades da interface de rede a serconfigurada. Estes passos serão necessários nos diversos exemplosdeste tópico. Nos próximos exemplos, não repetirei todos os passospara acessar as propriedades da interface de rede a ser configurada. Aoinvés disso, utilizarei somente a expressão: “Acesse as propriedades derede da interface a ser configurada”. Muito bem, vamos aos exemplos

práticos.

Exemp l o : Para acessar as propriedades da interface de rede a serconfigurada, siga os passos indicados a seguir:

1. Faça o logon como Administrador ou com uma conta com permissãode administrador.2. Abra o Painel de controle: Iniciar -> Configurações -> Painel decontrole.3. Dê um clique duplo na opção Conexões dial-up e de rede.

4. Será exibida uma janela com todas as conexões disponíveis. Cliquecom o botão direito do mouse na conexão a ser configurada e, no menude opções que é exibido, clique em Propriedades.5. Pronto, será exibida a janela de propriedades da conexão, na qualvocê poderá fazer diversas configurações.

No próximo exemplo mostrarei como instalar o protocolo TCP/IP, casoeste tenha sido desinstalado ou não tenha sido instalado durante ainstalação do Windows 2000.

Exemp l o : Para instalar o protocolo TCP/IP, siga os passos indicados a

seguir:

1. Acesse as propriedades de rede da interface a ser configurada.2. Na janela de propriedades da conexão dê um clique em Instalar...3. Será aberta a janela para que você selecione o tipo de componentede rede a ser instalado. Selecione a opção Protocolo, conforme indicadona Figura a seguir:



Selecionando o tipo de componente a ser instalado.

4. Após ter selecionado a opção Protocolo clique em Adicionar...5. Em poucos instantes será exibida a lista de protocolos disponíveis.6. Marque a opção TCP/IP e clique em OK.7. O TCP/IP será instalado e você estará de volta à guia Geral deconfigurações da interface de rede. Observe que o TCP/IP já é exibidona lista de componentes instalados. Clique em OK para fechar a janelade propriedades da interface de rede.

O próximo passo é configurar o protocolo TCP/IP. No exemplo a seguir,mostrarei como configurar as diversas opções do protocolo TCP/IP. Éimportante lembrar que, se você tiver mais de uma placa de redeinstalada, as configurações do TCP/IP serão separadas para cada placa(diz-se cada interface).

Nota : Para uma descrição detalhada das opções de configuração, taiscomo número IP, máscara de sub-rede, servidor DNS, servidor WINS,Default Gateway e assim por diante, consulte o Capítulo 2.

Exemp l o : Para configurar o protocolo TCP/IP, siga os passos indicadosa seguir:

1. Acesse as propriedades de rede da interface a ser configurada.2. Na janela de propriedades da conexão dê um clique em ProtocoloInternet (TCP/IP) para selecioná-lo.3. Clique em Propriedades. Nesta janela você deve informar se asconfigurações do TCP/IP serão obtidas a partir de um servidor DHCP(Obter um endereço IP automaticamente) ou se estas configuraçõesserão informadas manualmente (Usar o seguinte endereço IP). Aomarcar a opção Usar o seguinte endereço IP, você deverá informar um



número IP a ser utilizado, a máscara de sub-rede, o número IP doGateway padrão e o número IP de um ou dois servidores DNS, conformeexemplo da Figura a seguir:

Configurando o TCP/IP manualmente.

4. Além das configurações básicas, da tela da Figura anterior, você podeconfigurar uma série de opções avançadas do protocolo TCP/IP. Paraacessar a janela de configurações avançadas, clique em Avançado...Será aberta a janela de configurações avançadas, com a guiaConfigurações IP selecionada por padrão, conforme indicado na Figura aseguir:



Janela para cofigurações IP.

5. É possível ter mais de um endereço IP associado com a mesma placade rede. O que não é permitido é ter o mesmo número IP, associado aduas ou mais placas de rede. Para adicionar um novo número IP, cliqueem Adicionar..., abaixo da lista de endereços IP configurados. Seráaberta a janela Endereço TCP/IP (muito mal traduzida por sinal). Paraadicionar um novo endereço basta digitá-lo no campo IP, digite arespectiva máscara de sub-rede e clique em Adicionar. Você estará devolta à janela de configurações avançadas do TCP/IP e o novo endereço

IP já será exibido na lista. A partir de agora, a nova interface está comdois endereços IP. Você pode adicionar mais endereços IP, utilizando obotão Adicionar... e preenchendo as informações necessárias.

6. Você também pode ter mais de um default gateway configurado.Neste caso, quando o primeiro default gateway da lista estiverindisponível, o TCP/IP tenta utilizar o segundo e assim por diante. Paraadicionar mais um default gateway, clique em Adcionar..., abaixo dalista de default gateways configurados. Será aberta a janela para quevocê informo o número IP do novo default gateway e o respectivo custo,em número de hopes. Se você quer que um default gateway seja



utilizado somente como contingência, no caso de nenhum outro gatewayestar disponível, configure-o com um valor elevado para o custo. Digiteas informações do novo gateway e clique em OK. Pronto, o novo número já será exibido na guia de Configurações IP.

7. Clique na guia DNS. Serão exibidas as opções indicadas na Figura aseguir:

A guia para configuração do DNS.

8. Nesta guia você informa o endereço IP de um ou mais servidoresDNS. Para acrescentar novos servidores, basta utilizar o botãoAdicionar... Você pode alterar a ordem dos servidores DNS na lista,clicando nos botões com o desenho de uma flecha para cima ou parabaixo. É importante descrever como o Windows utiliza a lista deservidores DNS. As consultas são enviadas para o primeiro servidor dalista. Se este servidor não conseguir responder a consulta, esta não seráenviada para os demais servidores da lista. O segundo servidor da listasomente será pesquisado se o primeiro servidor estiver off-line e nãoestiver respondendo; o terceiro servidor da lista somente serápesquisado se o primeiro e o segundo servidor DNS estiverem off-line e



não estiverem respondendo e assim por diante. Nesta guia vocêtambém pode configurar as seguintes opções:

• Acrescentar su f i xo DNS pr im ár io e espec íf i cos decada conexão: O sufixo DNS é configurado na guiaIdentificação de rede, das propriedades do meuComputador. Por exemplo, um computador com o nomemicro01.abc.com, tem como sufixo DNS abc.com. Estaopção especifica que a resolução de nomes não qualificados(por exemplo micro01.abc.com é um FQDN, ou seja, umnome completamente qualificado, já micro01 é um nomenão qualificado, ou seja, sem o domínio como sufixo) usadosneste computador seja limitada aos sufixos do domínio do

sufixo primário e todos os sufixos específicos da conexão. Ossufixos específicos da conexão são configurados em SufixoDNS para esta conexão. O sufixo DNS primário éconfigurado clicando em Propriedades, na guia Identificaçãode rede (disponível em Sistema, no Painel de controle). Porexemplo, se o sufixo do seu domínio primário for abc.com evocê digitar ping xyz em um prompt de comando, oWindows 2000 consultará xyz.abc.com. Se você tambémconfigurar um nome de domínio específico de conexão emuma das suas conexões para vendas.abc.com, o Windows

2000 consultará xyz.abc.com e xyz.vendas.abc.com. A listade domínios que será pesquisada, quando você digita umnome não qualificado, também é definida nesta guia,conforme será explicado logo a seguir.

• Acrescent ar su f i xos pa i do su f i x o DNS pr im ár io : Especifica se a resolução de nomes não qualificados usadosneste computador inclui os sufixos pai do sufixo DNSprimário e o domínio de segundo nível. O sufixo DNSprimário é configurado clicando em Propriedades na guiaIdentificação de rede (disponível em Sistema, no Painel de

controle). Por exemplo, se o sufixo DNS primário for vendas.abc.com e você digitar ping xyz no prompt de comando, oWindows 2000 também consultará vendas.abc.com eabc.com.

• Acr escen ta r estes su f i xos DNS ( em o r dem ) :Especifica que a resolução de nomes não qualificados usadosneste computador seja limitada aos sufixos do domíniolistados em Acrescentar estes sufixos DNS. Os sufixos DNSespecíficos da conexão e primários não serão usados para



resolução de nomes não qualificados. Ao marcar esta opção,você deve especificar uma lista de sufixos que deverá serutilizada, para a tentativa de resolução de nomes nãoqualificados. Por exemplo, se nesta lista você acrescentar osseguintes sufixos: sul.vendas.abc.com, vendas.abc.com eabc.com, nesta ordem, ao digitar ping xyz, o Windowstentará localizar este host, utilizando os seguintes nomes:xyz.sul.vendas.abc.com, xyz.vendas.abc.com exyz.abc.com. Para acrescentar um novo sufixo basta marcaresta opção e utilizar o botão Adicionar. Você também podealterar a ordem dos sufixos clicando nos botões com a setapara cima e seta para baixo. Para remover um sufixo bastaselecioná-lo na lista e clicar em Remover.

• Regis t ra r endereços des ta conexão n o DNS: Especifica que o computador tente o registro dinâmico noDNS, dos endereços IP desta conexão com o nome completodeste computador, como especificado na guia Identificaçãode rede (disponível em Sistema no Painel de Controle).

• Usar o su f i x o DNS des ta conexão n o reg is t r o doDNS: Especifica se a atualização dinâmica do DNS seráusada para registrar os endereços IP e o nome de domínioespecífico desta conexão. O nome DNS específico destaconexão é a concatenação do nome do computador (que é oprimeiro rótulo do nome completo do computador) e o sufixoDNS desta conexão. O nome completo do computador éespecificado na guia Identificação de rede (disponível emSistema, no Painel de controle). Se a caixa de seleçãoRegistrar os endereços desta conexão no DNS estiverselecionada, o registro é uma adição ao registro do DNS donome completo do computador.

8. Defina as configurações desejadas e clique na guia WINS. Serão

exibidas as opções indicadas na Figura a seguir:



A guia para configuração do WINS.

9. Nesta guia você informa o endereço IP de um ou mais servidoresWINS. Para acrescentar novos servidores, basta utilizar o botãoAdicionar... Você pode alterar a ordem dos servidores WINS na lista,clicando nos botões com o desenho de uma flecha para cima ou parabaixo. É importante descrever como o Windows utiliza a lista deservidores WINS. As consultas são enviadas para o primeiro servidor dalista. Se este servidor não conseguir responder a consulta, esta não seráenviada para os demais servidores da lista. O segundo servidor da lista

somente será pesquisado se o primeiro servidor estiver off-line e nãoestiver respondendo; o terceiro servidor da lista somente serápesquisado se o primeiro e o segundo servidor WINS estiverem off-linee não estiverem respondendo e assim por diante. Nesta guia vocêtambém pode configurar as seguintes opções:

• At iv ar ex am e de LMHOSTS: Especifica se será usadoum arquivo Lmhosts para a resolução de nomes NetBIOS. Oarquivo Lmhosts será usado para resolver os nomes deNetBIOS de computadores remotos para um endereço IP.



Clique em Importar LMHOSTS para importar um arquivopara o arquivo Lmhosts.

• At i va r Ne tB i os sob r e TCP/ I P: Especifica que estaconexão de rede usa o NetBIOS sobre TCP/IP (NetBT) e oWINS. Quando um endereço IP é configurado manualmente,esta opção é selecionada por padrão para ativar o NetBIOS eo uso do WINS para este computador. Essa configuraçãoserá necessária se este computador se comunicar pelo nomecom computadores que usam versões anteriores doWindows (Windows 95/98, NT 4.0, etc.). Antes de alteraresta opção, verifique se não é necessário usar nomes deNetBIOS para esta conexão de rede. Por exemplo, se você

se comunicar somente com outros computadores queestejam executando o Windows 2000 ou computadores naInternet que usam o DNS.

• Desat i v ar NetB ios sobre TCP/ I P: Desativa o uso deNetBios sobre TCP/IP. Pode ser utilizada em uma redebaseada apenas em versões do Windows tais como Windows2000, Windows XP e Windows Server 2003.

• Usar a conf igu ração NetB ios do serv idor DHCP: Especifica que esta conexão de rede obtenha suasconfigurações de NetBIOS sobre TCP/IP (NetBT) e de WINS,a partir de um servidor DHCP.

Quando um endereço IP é obtido automaticamente, esta opção ficaselecionada por padrão de forma que o computador usa as definições deconfiguração do NetBT conforme elas forem sendo fornecidasopcionalmente pelo servidor DHCP quando ele obtiver um endereço IPusando o DHCP. Você deve selecionar esta opção somente se o servidorDHCP estiver configurado para fornecer todas as opções de configuraçãode WINS para os clientes.

10. Defina as configurações desejadas e clique na guia Opções. Serãoexibidas as opções indicadas na Figura a seguir:



A guia para configuração Opções.

11. Nesta janela você pode configurar se a interface que está sendoconfigurada deve ou não utilizar uma das diretivas de IPSec habilitadas(caso haja alguma diretiva habilitada) e também pode definir filtros combase no protocolo e na porta de comunicação. Para habilitar o uso deuma das diretivas do IPSec, clique em Segurança de IP para marcaresta opção e em seguida clique em Propriedades.

12. Será aberta a janela Segurança de IP. Para habilitar o IPSec cliqueem Usar esta diretiva de segurança IP e, na lista de diretivas, selecionea diretiva a ser aplicada, conforme exemplo da Figura a seguir e cliqueem OK. Você estará e volta à janela de propriedades Avançadas doTCP/IP.



Selecionando uma diretiva de IPSec.

13. Para definir um filtro clique em Filtragem de TCP/IP e em seguida no

botão Propriedades. Será exibida a janela para definição de filtros. Nesta janela você tem as seguintes opções:

• At i va r f i l t r agem de TCP/ I P ( t odos os adap tado r es ) : Ao marcar esta opção você especifica se a filtragem deTCP/IP será ativada para todos os adaptadores. A filtragemde TCP/IP especifica os tipos de tráfego de entradadestinados para este computador que serão permitidos. Paraconfigurar a filtragem de TCP/IP, selecione esta caixa deseleção e especifique os tipos de tráfego TCP/IP permitidos

para todos os adaptadores neste computador em termos deprotocolos IP, portas TCP e portas UDP. Você deve tercuidado ao usar os filtros, para não desabilitar portas quesejam necessárias para os serviços básicos de rede, taiscomo DNS, DHCP, compartilhamento de pastas eimpressoras e assim por diante.

14. Vamos aplicar um exemplo de filtro. O FTP usa o protocolo TCP naporta 21. Para o nosso exemplo, para as portas TCP, vamos permitirapenas o uso do FTP na porta 21. Marque a opção Ativar filtragem deTCP/IP (todos os adaptadores). Em seguida marque a opção Permitir

somente nas portas TCP. Clique em Adicionar... Será exibida a janelaadicionar filtro, para que você adicione o número da porta. Digite 21,conforme indicado na Figura a seguir e clique em OK.

Informando o número da porta.

15. Você estará de volta à janela Filtragem de TCP/IP, com a portaTCP/21 já adicionada, conforme indicado na Figura a seguir:



A janela Filtragem de TCP/IP.

16. Clique em OK. Você estará de volta a janela de configuraçõesavançadas do TCP/IP. Clique em OK para fechá-la.

17. Você estará de volta à janela de configurações da interface de rede.Clique em Fechar para fechá-la.

Muito bem, você acabou de ver um exemplo de como configurar oprotocolo TCP/IP.

Conclusão

Na Parte 11 do tutorial fiz uma apresentação dos protocolos TCP e UDP,os quais são responsáveis pelo transporte de pacotes em redesbaseadas no TCP/IP. Você também aprendeu sobre as diferenças entreos protocolos TCP e UDP e sobre o conceito de porta de comunicação.Na Parte 12 mostrei alguns exemplos práticos de utilização de portas e o

comando netstat e suas várias opções.Nesta parte do tutorial mostrei como instalar e configurar o protocoloTCP/IP. Você aprendeu desde as configurações básicas, atéconfigurações avançadas, tais como WINS, DNHS, IPSec e Filtros IP.Nesta parte do tutorial mostrei como o conceito de portas é utilizado, naprática, em diversas atividades do dia-a-dia, tais como o acesso a sitesda Internet, conexão com um servidor de FTP e conexão com umservidor de Telnet. Na segunda parte do tutorial, você aprendeu sobre ocomando netstat.



Tutorial de TCP/IP – Parte 14 –

Protocolos de Roteamento Dinâmico -RIP

Introdução:

Esta é a décima quarta parte do Tutorial de TCP/IP. Na Parte 1 trateidos aspectos básicos do protocolo TCP/IP. Na Parte 2 falei sobre cálculosbinários, um importante tópico para entender sobre redes, máscara desub-rede e roteamento. Na Parte 3 falei sobre Classes de endereços, na

Parte 4 fiz uma introdução ao roteamento e na Parte 5 apresentei maisalguns exemplos/análises de como funciona o roteamento e na Parte 6falei sobre a Tabela de Roteamento. Na Parte 7 tratei sobre a divisão deuma rede em sub-redes, conceito conhecido como subnetting. Na Parte8 fiz uma apresentação de um dos serviços mais utilizados pelo TCP/IP,que é o Domain Name System: DNS. O DNS é o serviço de resolução denomes usado em todas as redes TCP/IP, inclusive pela Internet que,sem dúvidas, é a maior rede TCP/IP existente. Na Parte 9 fiz umaintrodução ao serviço Dynamic Host Configuration Protocol – DHCP. NaParte 10 fiz uma introdução ao serviço Windows Internet Name Services– WINS. Na Parte 11 falei sobre os protocolos TCP, UDP e sobre portas

de comunicação. Parte 12, mostrei como são efetuadas as configuraçõesde portas em diversos aplicativos que você utiliza e os comandos doWindows 2000/XP/2003 utilizados para exibir informações sobre portasde comunicação. Na Parte 13 você aprendeu sobre a instalação econfiguração do protocolo TCP/IP no Windows 2000 Professional ouServer. Apresentei, em detalhes, a configuração do protocolo TCP/IP noWindows 2000. Mostrei como fazer as configurações do protocoloTCP/IP, desde as configurações básicas de número IP e máscara de sub-rede (em computadores que usarão IP fixo, ao invés de obter asconfigurações a partir de um servidor DHCP), até configurações mais

avançadas, tais como definir filtros para o protocolo TCP/IP.Nas Partes 4, 5 e 6 falei sobre Roteamento e sobre como todo oprocesso de roteamento é baseado em Tabelas de Roteamento,existentes em cada roteador da rede. As tabelas de roteamento podemser criadas manualmente, onde o administrador de cada roteadorexecuta comandos para criar cada uma das rotas necessárias. Essaabordagem só é possível para redes extremamente pequenas, com umnúmero de rotas pequeno e quando as rotas não mudam muitofreqüentemente. Para redes maiores, a única abordagem possível é o



uso dos chamados protocolos de Roteamento dinâmico. Estesprotocolos, uma vez instalados e configurados nos roteadores, permitemque os roteadores troquem informações entre si, periodicamente e quemontem as tabelas de roteamento, dinamicamente, com base nestasinformações. Esta abordagem é bem mais indicada para grandes redes,pois os próprios protocolos de roteamento dinâmicos, se encarregam demanter as tabelas de roteamento sempre atualizadas, alterando rotasquando necessário e excluindo rotas que apresentam problemas, taiscomo rotas onde o link de comunicação está fora do ar. Nesta parte dotutorial de TCP/IP, iniciarei a apresentação dos protocolos deroteamento dinâmico, sendo que iremos concentrar nossos estudos, nosdois principais protocolos:

• RIP – Routing Internet Protocol

• OSPF – Open Shorted Path First

Vou apresentar os conceitos básicos de cada protocolo, para que oamigo leitor possa ter uma boa idéia de como é o funcionamento decada um destes protocolos.

RIP – Routing Internet Protocol:

Existem diferentes maneiras para criar as tabelas de roteamento. Aprimeira maneira é criar as tabelas manualmente. O administradorutiliza comandos (como o comando route add no Windows 2000 Server)para adicionar cada rota manualmente, em cada roteador da rede. Estemétodo somente é indicado para pequenas redes, onde existe umpequeno número de roteadores, com poucas rotas e rotas que não sãoalteradas freqüentemente.

Para redes maiores, com muitas rotas e muitos roteadores, este métodoé simplesmente impraticável. A s im p l es ad i ção de um a nova r o t a ,ex i g i r i a a a lt e r ação das t abe l as de r o team en to em todos os

r o t eador es da r ede.

Outro problema com a criação manual das tabelas de roteamento, é quenão existe a detecção automática de perda de rotas quando um roteadorfica indisponível ou quando um link para uma determinada rota, estácom problemas. Nestas situações, os demais roteadores da redecontinuarão a encaminhar pacotes para o roteador com problemas ouatravés do link que está fora do ar, porque a tabela de roteamento estáconfigurada para enviar pacotes para a referida rota, quer ela estejadisponível ou não. Nesta caso uma simples indisponibilidade de um



roteador exigiria uma reconfiguração manual em todas as tabelas deroteamento. Quando o roteador voltar a estar disponível, uma novareconfiguração das tabelas de roteamento teria que ser feita. Comestes exem plos é poss íve l ver que a conf igu ração man ua l dastabe l as de r o team en to é um m étodo que somen t e se ap li ca apequenas r edes , com u m núm er o r eduz i do de r o teador es e der o tas .

Outra maneira de criar as tabelas de roteamento é dinamicamente. Comeste método, os roteadores trocam informações entre si, periodicamentee atualizam suas tabelas de roteamento, com base nestas informaçõestrocadas entre os roteadores. O método dinâmico exige bem menosmanutenção (intervenção manual dos administradores da rede) e pode

ser utilizado em grandes redes, como por exemplo a Internet. Aatualização dinâmica das tabelas de roteamento é possível graças autilização de protocolos de roteamento dinâmicos. Os protocolos maisconhecidos, para a criação automática de tabelas de roteamento são osseguintes:

• Routing Information Protocol (RIP)

• Open Shortest Path First (OSPF)

Nota : Se você encontrar estes protocolos traduzidos, em algum livro ourevista, no mínimo, faça um “biquinho” para quem traduziu. Eu já viuma maravilha de tradução para OSPF: Abrindo primeiro o caminhomais curto. Deus nos ajude. Tudo a ver com roteamento.

Com o uso dos p r o toco l os de r o teamen t o d i nâm i co , osr o teador es t r ocam i n fo r m ações en t r e s i , pe r i od i cam en te e“ ap r endem ” sob r e a r ede e sob r e as r o tas d i spon íve i s. Ou seja,vão “descobrindo” as rotas existentes e gravando estas rotas em suastabelas de roteamento. Se um roteador ficar off-line, em pouco tempoos demais roteadores “saberão” que este roteador está off-line e

atualizarão, automaticamente, suas tabelas de roteamento. Com issocada roteador aprende novos caminhos, já considerando aindisponibilidade do roteador com problemas, e repassam estasinformações para os demais roteadores. Esta possibilidade não existequando as tabelas são criadas manualmente, conforme descritoanteriormente.

Evidentemente que para redes maiores, a única alternativa viável é ouso de um dos protocolos de roteamento dinâmico, ou até mesmo umacombinação de ambos, conforme descreverei mais adiante.



Como funcionam os protocolos de roteamento dinâmico

O protocolo RIP é baseado em uma algoritmo conhecido como distance-vector (distância vetorial). Este algoritmo é baseado na distância entredois roteadores, sendo que e st a “ d i st â n c ia ” é m e d i d a e m t e r m o s d onúm er o de r o teador es ex i s t en tes no cam i n ho en t r e os do i sr o t eador es – t am bém conhec i do com o hopes. Já o protocolo OSPFutiliza um algoritmo baseado em propagação de rotas entre roteadoresdenominados como adjacentes (veja o conceito de formação deadjacências em uma das próximas partes deste tutorial), conformedescreverei mais adiante. As principais diferenças entre os protocolosRIP e OSPF são referentes as seguintes características:

• Quais informações sobre rotas são compartilhadas entreos roteadores. Quando um roteador apresenta problemas, arede deve ser capaz de reconfigurar-se, para definir novasrotas, já baseadas na nova topologia da rede, sem oroteador com problemas. O tempo que a rede leva parareconfigurar-se é conhecido como convergência. Um dosprincipais problemas do protocolo RIP é o alto tempo deconvergência em relação ao OSPF, que tem um tempo deconvergência bem menor.

• Como as informações sobre rotas e sobre a topologia darede são compartilhadas entre os roteadores: Este aspectotambém influencia o tempo de convergência da rede eapresenta diferenças significativas no RIP e no OSPF.

A seguir apresento mais detalhes sobre o protocolo RIP. O protocoloOSPF será abordado em uma das próximas partes deste tutorial.

RIP - Routing Information Protocol

Neste tópico você entenderá como funciona o RIP, como as informaçõessão trocadas entre os roteadores que usam RIP, quais as diferençasentre RIP versão 1 (RIP v1) e RIP versão 2 (RIP v2) e como configurar oRIP no RRAS.

Uma i n t r od ução ao RI P

O protocolo RIP é baseado em uma troca de mensagens entre osroteadores que utilizam o protocolo RIP. Cada mensagem do RIP contémuma série de informações sobre as rotas que o roteador conhece (com



base na sua tabela de roteamento atual) e a distância do roteador paracada uma das rotas. O roteador que recebe as mensagens, com base nasua distância para o roteador que enviou a mensagem, calcula adistância para as demais redes e grava estas informações em sua tabelade roteamento. É importante salientar que distância significa hope, oumelhor, o número de roteadores existentes em um determinadocaminho, em uma determinada rota.

As informações entre roteadores são trocadas quando o roteador éinicializado, quando o roteador recebe atualizações em sua tabela deroteamento e também em intervalos regulares. Aqui a primeiradesvantagem do RIP. Mesmo que não exista nenhuma alteração nasrotas da rede, os roteadores baseados em RIP, continuarão a trocar

mensagens de atualização em intervalos regulares, por padrão a cada30 segundos.

Dentre outros, este é um dos motivos pelos quais o RIP não é indicadopara redes maiores, pois nestas situações o volume de tráfego geradopelo RIP, poderia consumir boa parte da banda disponível. O RIP éprojetado para intercambiar informações de roteamento em uma redede tamanho pequeno para médio. Além disso, cada mensagem doprotocolo RIP comporta, no máximo, informações sobre 25 rotasdiferentes, o que para grandes redes, faria com que fosse necessária a

troca de várias mensagens, entre dois roteadores, para atualizar suasrespectivas tabelas, com um grande número de rotas. Ao receberatualizações, o roteador atualiza a sua tabela de roteamento e enviaestas atualizações para todos os roteadores diretamente conectados, ouseja, a um hope de distância.

A ma i o r van tagem do RI P é que e l e é ex t r em am ente si m p l espar a con f i gu r a r e i m p l emen t a r em u m a r ede . Sua m a i o rdesvan tagem é a i ncapaci dade de se r am p l i ado pa r ai n te r conexões de r edes de t am anho g r ande a m u i t o g r and e .

A contagem máxima de hopes usada pelos roteadores RIP é 15. Asredes que estejam a 16 hopes ou mais de distância, serão consideradasinacessíveis. À medida que as redes crescem em tamanho, os anúnciosperiódicos de cada roteador RIP podem causar tráfego excessivo.

Outra desvantagem do RIP é o seu longo tempo de convergência.Quando a topologia de interconexão da rede é alterada (por queda emum link ou por falha em um roteador, dentre outros motivos), podemser necessários vários minutos para que os roteadores RIP sereconfigurem, para refletir a nova topologia de interconexão da rede.



Embora a rede seja capaz de fazer a sua própria reconfiguração, podemser formados loops de roteamento que resultem em dados perdidos ousem condições de entrega.

Inicialmente, a tabela de roteamento de cada roteador inclui apenas asredes que estão fisicamente conectadas. Um roteador RIP enviaperiodicamente anúncios contendo suas entradas de tabela deroteamento para informar aos outros roteadores RIP locais, quais asredes que ele pode acessar.

Os roteadores RIP também podem comunicar informações deroteamento através de disparo de atualizações. Os disparos deatualizações ocorrem quando a topologia da rede é alterada e

informações de roteamento atualizadas são enviadas de forma a refletiressas alterações. Com os disparos de atualizações, a atualização éenviada imediatamente em vez de aguardar o próximo anúncioperiódico. Por exemplo, quando um roteador detecta uma falha em umlink ou roteador, ele atualiza sua própria tabela de roteamento e enviarotas atualizadas imediatamente. Cada roteador que recebe asatualizações por disparo, modifica sua própria tabela de roteamento epropaga a alteração.

Conforme já salientado anteriormente, uma das principais desvantagens

do algoritmo distance-vector do RIP é o alto tempo de convergência. Ouseja, quando um link ou um roteador fica indisponível, demora algunsminutos até que as atualizações de rotas sejam passadas para todos osroteadores. Durante este período pode acontecer de roteadoresenviarem pacotes para rotas que não estejam disponíveis. Este é umdos principais motivos pelos quais o RIP não pode ser utilizado em redesde grande porte.

O pr ob l em a do Coun t - t o - i n f i n i t y :

Outro problema do protocolo RIP é a situação descrita como count-to-

infinity (contar até o infinito). Para entender este problema vamosimaginar dois roteadores conectados através de um link de WAN. Vamoschamá-los de roteador A e B, conectando as redes 1, 2 e 3, conformediagrama da Figura a seguir:



Figura 8.1 O problema count-to-infinity.

Agora imagine que o link entre o roteador A e a Rede 1 apresenteproblemas. Com isso o roteador A sabe que não é possível alcançar aRede 1 (devido a falha no link). Porém o Roteador B continuaanunciando para o restante da rede, que ele encontra-se a dois hopesda rede A (isso porque o Roteador B ainda não teve sua tabela deroteamento atualizada). O Roteador B manda este anúncio, inclusivepara o roteador A.

O roteador A recebe esta atualização e considera que ele (o Roteador A)está agora a 3 hopes da Rede 1 (um hope de distância até o Roteador B+ dois hopes de distância do roteador B até a rede 1. Ele não sabe queo caminho do Roteador B para a rede 1, passa por ele mesmo, ou seja,pelo Roteador A). Com isso volta a informação para o Roteador B

dizendo que o Roteador A está a 3 hopes de distância. O Roteador Batualiza a sua tabela, considerando agora que ele está a 4 hopes daRede 1 (um hope até o roteador A + 3 hopes que o roteador A está darede 1, segundo o último anúncio). E este processo continua até que olimite de 16 hopes seja atingido. Observe que mesmo com um link comproblema, o protocolo RIP não convergiu e continuou anunciando rotasincorretamente, até atingir uma contagem de 16 hopes (que em termosdo RIP significa o infinito, inalcançável).

O problema do count-to-infinity é um dos mais graves com o uso do RIPVersão 1, conhecido apenas como RIP v1. O Windows 200 Server e oWindows Server 2003 dão suporte também ao RIP v2, o qual apresentaalgumas modificações no protocolo, as quais evitam, ou pelo menosminimizam problemas como o loops de roteamento e count-to-infinity:

• Sp l i t ho r i zon ( h o r i zon te d i v i d i do ) : Com esta técnica oroteador registra a interface através da qual recebeuinformações sobre uma rota e não difunde informaçõessobre esta rota, através desta mesma interface. No nossoexemplo, o Roteador B receberia informações sobre a rotapara a rede 1, a partir do Roteador B, logo o Roteador A não



iria enviar informações sobre Rotas para a rede 1, de voltapara o Roteador B. Com isso já seria evitado o problema docount-to-infinity. Em outras palavras, esta característicapode ser resumida assim: Eu aprendi sobre uma rota para arede X através de você, logo você não pode aprender sobreuma rota para a rede X, através de minhas informações.

• Sp l i t ho r i zon w i t h po i son r eve r se ( I nve r sãodan i f i cada ) : Nesta técnica, quando um roteador aprende ocaminho para uma determinada rede, ele anuncia o seucaminho, de volta para esta rede, com um hope de 16. Noexemplo da Figura anterior, o Roteador B, recebe ainformação do Roteador A, que a rede 1 está a 1 hope de

distância. O Roteador B anuncia para o roteador A, que arede 1 está a 16 hope de distância. Com isso, jamais oRoteador A vai tentar achar um caminha para a rede 1,através do Roteador B, o que faz sentido, já que o RoteadorA está diretamente conectado à rede 1.

• Tr i gge r ed upda tes ( A tua l i zações i ns tan tâneas ) : Comesta técnica os roteadores podem anunciar mudanças namétrica de uma rota imediatamente, sem esperar o próximoperíodo de anuncio. Neste caso, redes que se tornemindisponíveis, podem ser anunciadas imediatamente com umhope de 16, ou seja, indisponível. Esta técnica é utilizadaem combinação com a técnica de inversão danificada, paratentar diminuir o tempo de convergência da rede, emsituações onde houve indisponibilidade de um roteador oude um link. Esta técnica diminui o tempo necessário paraconvergência da rede, porém gera mais tráfego na rede.

Um estudo comparativo entre RIP v1 e RIP v2

O protocolo RIP v1 apresenta diversos problemas, sendo que os

principais são os destacados a seguir:

• O pro t oco lo RI P v1 u sa broadcas t para fazeranún c ios na rede: Com isto, todos os hosts da redereceberão os pacotes RIP e não somente os hostshabilitados ao RIP. Uma contrapartida do uso do Broadcastpelo protocolo RIP v1, é que isso torna possível o uso doschamados hosts de RIP Silencioso (Silent RIP). Umcomputador configurado para ser um Silent RIP, processa osanúncios do protocolo RIP (ou seja, reconhece os pacotes



enviados pelo RIP e é capaz de processá-los), mas nãoanuncia suas próprias rotas. Esta funcionalidade pode serhabilitada em um computador que não esteja configuradocomo roteador, para produzir uma tabela de roteamentodetalhada da rede, a partir das informações obtidas peloprocessamento dos pacotes do RIP. Com estas informaçõesdetalhadas, o computador configurado como Salient RIPpode tomar melhores decisões de roteamento, para osprogramas e serviços nele instalados. No exemplo a seguir,mostro como habilitar uma estação de trabalho com oWindows 2000 Professional instalado, a tornar-se um SalientRIP.

Exemp l o : Para configurar uma estação de trabalho com o Windows2000 Professional instalado, como Salient RIP, siga os passos indicadosa seguir:

1. Faça o logon como Administrador.2. Abra o Painel de controle: Iniciar -> Configurações -> Painel decontrole.3. Abra a opção Adicionar ou remover programas.4. No painel da esquerda, clique em Adicionar ou remover componentesdo Windows.

5. Clique na opção Serviços de rede para marcá-la (sem selecionar acaixa de seleção ao lado desta opção, senão todos os serviços de redeserão instalados).6. Clique no botão Detalhes...7. Nas opções que são exibidas marque a opção RIP Listener.8. Clique em OK. Você estará de volta a janela de componentes doWindows.9. Clique em Avançar para concluir a instalação.

• A máscar a de sub - r ede não é anunc i ada j un t am en tecom as r o tas : Isso porque o protocolo RIP v1 foi projetado

em 1988, para trabalhar com redes baseadas nas classespadrão A, B e C, ou seja, pelo número IP da rota, deduzia-asa respectiva classe. Com o uso da Internet e o uso de umnúmero variável de bits para a máscara de sub-rede(número diferente do número de bits padrão para cadaclasse, conforme descrito no Capítulo 2), esta fato tornou-seum problema sério do protocolo RIP v1. Com isso, oprotocolo RIP v1, utiliza a seguinte lógica, para inferir qual amáscara de sub-rede associada com determinada rota:



1. Se a identificação de rede coincide com uma das classes padrão A, Bou C, é assumida a máscara de sub-rede padrão da respectiva classe.2. Se a identificação de rede não coincide com uma das classes padrão,duas situações podem acontecer:

2.1 Se a identificação de rede coincide com a identificaçãode rede da interface na qual o anúncio foi recebido, amáscara de sub-rede da interface na qual o anúncio foirecebido, será assumida.

2.2 Se a identificação de rede não coincide com aidentificação de rede da interface na qual o anúncio foirecebido, o destino será considerado um host (e não uma

rede) e a máscara de sub-rede 255.255.255.255, seráassumida.

Esta abordagem gera problemas graves. Por exemplo, quando forutilizado o recurso de supernetting, para juntar várias redes classe C emuma única rede lógica, o RIP v1 irá interpretar como se fossemrealmente várias redes lógicas e tentará montar uma tabela deroteamento, como se as redes estivessem separadas fisicamente eligadas por links de WAN.

• Sem p r o t eção con t r a r o teador es não au t o r i zados: Oprotocolo RIP v1 não apresenta nenhum mecanismo deautenticação/proteção, para evitar que roteadores nãoautorizados possam ser inseridos na rede e passar aanunciar várias rotas falsas. Ou seja, qualquer usuáriopoderá instalar um roteador com RIP v1 e adicionar váriasrotas falsas, que o RIP v1 se encarregará de repassar estasrotas para os demais roteadores da rede.

O pro toco lo RI P v2 , o fe rece d i versas melhor ias emre lação ao RI P v1 , dent re as qua is vam os des tacar as

segu in tes :

• Os anú nc ios do pro t oco lo RI P v2 são baseados emt r á fego m u l t i cast e não m a i s b r oadcast com o no casodo p r o t oco lo RI P v1 : O protocolo RIP v2 utiliza o endereçode multicast 224.0.0.9. Com isso os roteadores habilitadosao RIP atuam como se fossem (na verdade é) um grupomulticast, registrado para “escutar” os anúncios do protocoloRIP v2. Outros hosts da rede, não habilitados ao RIP v2, nãoserão “importunados” pelos pacotes do RIP v2. Por questões



de compatibilidade (em casos onde parte da rede ainda usao RIP v1), é possível utilizar broadcast com roteadoresbaseados em RIP v2. Mas esta solução somente deve seradotada durante um período de migração, assim quepossível, todos os roteadores devem ser migrados para oRIP v2 e o anúncio via broadcast deve ser desabilitado.

• I n f o r m ações sob r e a m ásca r a de sub - r ede sãoenv i adas nos anúnc i os do p r o toco l o RI P v2 : Com isso oRIP v2 pode ser utilizado, sem problemas, em redes queutilizam sub netting, supernetting e assim por diante, umavez que cada rede fica perfeitamente definida pelo númeroda rede e pela respectiva máscara de sub-rede.

• Segur ança, au t en t i cação e pro t eção cont ra au t i l i zação de ro t eadores não aut or i zados : Com o RIP v2é possível implementar um mecanismo de autenticação, detal maneira que os roteadores somente aceitem os anúnciosde roteadores autenticados, isto é, identificados. Aautenticação pode ser configurada através da definição deuma senha ou de mecanismos mais sofisticados como o MD5(Message Digest 5). Por exemplo, com a autenticação porsenha, quando um roteador envia um anúncio, ele envia juntamente a senha de autenticação. Outros roteadores darede, que recebem o anúncio, verificam se a senha está OKe somente depois da verificação, alimentam suas tabelas deroteamento com as informações recebidas.

É importante salientar que tanto redes baseadas no RIP v1 quanto noRIP v2 são redes chamadas planas (flat). Ou seja, não é possível formaruma hierarquia de roteamento, baseada no protocolo RIP. Por isso que oRIP não é utilizado em grandes redes. A tendência natural do RIP, é quetodos os roteadores sejam alimentados com todas as rotas possíveis(isto é um espaço plano, sem hierarquia de roteadores). Imagine como

seria utilizar o RIP em uma rede como a Internet, com milhões emilhões de rotas possíveis, com links caindo e voltando a todomomento? Impossível. Por isso que o uso do RIP (v1 ou v2) somente éindicado para pequenas redes.

Conclusão

Nas Partes 4, 5 e 6 falei sobre Roteamento e sobre como todo oprocesso de roteamento é baseado em Tabelas de Roteamento,existentes em cada roteador da rede. As tabelas de roteamento podem



ser criadas manualmente, onde o administrador de cada roteadorexecuta comandos para criar cada uma das rotas necessárias. Essaabordagem só é possível para redes extremamente pequenas, com umnúmero de rotas pequeno e quando as rotas não mudam muitofreqüentemente. Para redes maiores, a única abordagem possível é ouso dos chamados pr o t oco los de Ro team en to d i nâm i co .

Estes protocolos, uma vez instalados e configurados nos roteadores,permitem que os roteadores troquem informações entre si,periodicamente e que montem as tabelas de roteamento,dinamicamente, com base nestas informações. Esta abordagem é bemmais indicada para grandes redes, pois os próprios protocolos deroteamento dinâmicos, se encarregam de manter as tabelas de

roteamento sempre atualizadas, alterando rotas quando necessário eexcluindo rotas que apresentam problemas, tais como rotas onde o linkde comunicação está fora do ar. Nesta parte do tutorial de TCP/IP, inicieia apresentação dos protocolos de roteamento dinâmico, sendo quenesta e nas próximas partes do tutorial, iremos concentrar nossosestudos, nos dois principais protocolos:






Protocolos de Roteamento Dinâmico

Introdução:

Esta é a décima quinta parte do tutorial de TCP/IP. Na Parte 1 tratei dosaspectos básicos do protocolo TCP/IP. Na Parte 2 falei sobre cálculosbinários, um importante tópico para entender sobre redes, máscara desub-rede e roteamento. Na Parte 3 falei sobre Classes de endereços, naParte 4 fiz uma introdução ao roteamento e na Parte 5 apresentei maisalguns exemplos/análises de como funciona o roteamento e na Parte 6

falei sobre a Tabela de Roteamento. Na Parte 7 tratei sobre a divisão deuma rede em sub-redes, conceito conhecido como subnetting. Na Parte8 fiz uma apresentação de um dos serviços mais utilizados pelo TCP/IP,que é o Domain Name System: DNS. O DNS é o serviço de resolução denomes usado em todas as redes TCP/IP, inclusive pela Internet que,sem dúvidas, é a maior rede TCP/IP existente. Na Parte 9 fiz umaintrodução ao serviço Dynamic Host Configuration Protocol – DHCP. NaParte 10 fiz uma introdução ao serviço Windows Internet Name Services– WINS. Na Parte 11 falei sobre os protocolos TCP, UDP e sobre portasde comunicação. Parte 12, mostrei como são efetuadas as configuraçõesde portas em diversos aplicativos que você utiliza e os comandos doWindows 2000/XP/2003 utilizados para exibir informações sobre portasde comunicação. Na Parte 13 você aprendeu sobre a instalação econfiguração do protocolo TCP/IP no Windows 2000 Professional ouServer. Apresentei, em detalhes, a configuração do protocolo TCP/IP noWindows 2000. Mostrei como fazer as configurações do protocoloTCP/IP, desde as configurações básicas de número IP e máscara de sub-rede (em computadores que usarão IP fixo, ao invés de obter asconfigurações a partir de um servidor DHCP), até configurações maisavançadas, tais como definir filtros para o protocolo TCP/IP.

Nas Partes 4, 5 e 6 falei sobre Roteamento e sobre como todo oprocesso de roteamento é baseado em Tabelas de Roteamento,existentes em cada roteador da rede. As tabelas de roteamento podemser criadas manualmente, onde o administrador de cada roteadorexecuta comandos para criar cada uma das rotas necessárias. Essaabordagem só é possível para redes extremamente pequenas, com umnúmero de rotas pequeno e quando as rotas não mudam muitofreqüentemente. Para redes maiores, a única abordagem possível é ouso dos chamados protocolos de Roteamento dinâmico. Estesprotocolos, uma vez instalados e configurados nos roteadores, permitem



que os roteadores troquem informações entre si, periodicamente e quemontem as tabelas de roteamento, dinamicamente, com base nestasinformações. Esta abordagem é bem mais indicada para grandes redes,pois os próprios protocolos de roteamento dinâmicos, se encarregam demanter as tabelas de roteamento sempre atualizadas, alterando rotasquando necessário e excluindo rotas que apresentam problemas, taiscomo rotas onde o link de comunicação está fora do ar. Nesta parte dotutorial de TCP/IP, iniciarei a apresentação dos protocolos deroteamento dinâmico, sendo que iremos concentrar nossos estudos, nosdois principais protocolos:



Na Parte 14, fiz uma apresentação do protocolo RIP, das suascaracterísticas, usos e principais problemas. Nesta décima quinta parteserá a vez de apresentar o protocolo OSPF e o conceito de roteamentobaseada em áreas, roteadores de borda e outros ligados ao OSPF.

OSPF – Open Shorted Path First:

Nesta parte do tutorial você aprenderá sobre o OSPF, suas vantagensem relação ao RIP, o seu uso para roteamento em grandes redes, sobreos conceitos de sistemas autônomos, adjacências e assim por diante.

Um a in t rod ução ao OSPF

O protocolo OSPF - Open Shortest Path First (OSPF, uma tradução,digamos, muito forçada, seria: abrir primeiro o caminho mais curto) é aalternativa para redes de grande porte, onde o protocolo RIP não podeser utilizado, devido a suas características e limitações, conformedescrito na Par te 1 4 deste tutorial.

O OSPF permite a divisão de uma rede em áreas e torna possível oroteamento dentro de cada área e através das áreas, usando oschamados roteadores de borda. Com isso, usando o OSPF, é possívelcriar redes hierárquicas de grande porte, sem que seja necessário quecada roteador tenha uma tabela de roteamento gigantesca, com rotaspara todas as redes, como seria necessário no caso do RIP. O OSPF éprojetado para intercambiar informações de roteamento em umainterconexão de rede de tamanho grande ou muito grande, como porexemplo a Internet.



A maior vantagem do OSPF é que ele é eficiente em vários pontos:requer pouquíssima sobrecarga de rede mesmo em interconexões deredes muito grandes, pois os roteadores que usam OSPF tr ocam inform ações somente sobre as rotas que sofreram alterações e não toda a tabela de roteamento, como é feito com o uso do RIP . Sua maiordesvantagem é a complexidade: requer planejamento adequado e émais difícil de configurar e administrar do que o protocolo RIP.

O OSPF usa um algoritmo conhecido como Shor tes t Path Fi r s t (SPF,primeiro caminho mais curto) para calcular as rotas na tabela deroteamento. O algoritmo SPF calcula o caminho mais curto (menorcusto) entre o roteador e todas as redes da interconexão de redes. Asrotas calculadas pelo SPF são sempre livres de loops (laços). O OSPF

usa um algoritmo de roteamento conhecido como link-state (estado deligação). Lembre que o RIP usava um algoritmo baseado em distânciavetorial. O OSPF aprende as rotas dinamicamente, através de interaçãocom os roteadores denominados como seus vizinhos.

Em vez de intercambiar as entradas de tabela de roteamento como osroteadores RIP (Router Information Protocol, protocolo de informaçõesdo roteador), os roteadores OSPF mantêm um mapa da interconexão deredes que é atualizado após qualquer alteração feita na topologia darede (é importante salientar novamente que somente informações sobre

as mudanças são trocadas entre os roteadores usando OSPF e não toda a tabela de roteam ento, como acontece com o uso do RIP ). Esse mapa,denominado banco de dados do estado de vínculo ou estado de ligação,é sincronizado entre todos os roteadores OSPF e é usado para calcularas rotas na tabela de roteamento. Os roteadores OSPF vizinhos(neghboring) formam uma adjacência, que é um relacionamento lógicoentre roteadores para sincronizar o banco de dados com os estados devínculo.

As alterações feitas na topologia de interconexão de redes sãoeficientemente distribuídas por toda a rede para garantir que o banco de

dados do estado de vínculo em cada roteador esteja sincronizado epreciso o tempo todo. Ao receber as alterações feitas no banco de dadosdo estado de vínculo, a tabela de roteamento é recalculada.

À medida que o tamanho do banco de dados do estado de vínculoaumenta, os requisitos de memória e o tempo de cálculo do roteamentotambém aumentam. Para resolver esse problema, principalmente paragrandes redes, o OSPF divide a rede em áreas (conjuntos de redescontíguas) que são conectadas umas às outras através de uma área debackbone. Cada r o teador m an tém um banco de dados do es tado



de v íncu lo apen as para aque las áreas que a e le es tãoconectadas . Os ABRs (Ar ea Border Router s , ro t eadores de bord ade á r ea ) conec tam a á r ea de backbon e a ou t r as á r eas .

Esta divisão em áreas e a conexão das áreas através de uma rede debackbone é ilustrada na Figura a seguir, obtida na Ajuda do Windows:

Divisão em áreas e conexão através de um backbone.

Cada anúncio de um roteador OSPF contém informações apenas sobreos estados de ligação dos roteadores vizinhos, isto é, dentro da área doroteador. Com isso a quantidade de informação transmitida na rede,

pelo protocolo OSPF, é bem menor do que a quantidade de informaçãotransmitida quando é usado o protocolo RIP. Outra vantagem é que osroteadores OSPF param de enviar anúncios, quando a rede atinge umestado de convergência, ou seja, quando não existem mais alterações aserem anunciadas. O RIP, ao contrário, continua enviando anúnciosperiodicamente, mesmo que nenhuma alteração tenha sido feita natopologia da rede (tal como um link ou roteador que tenha falhado).

Nota : Na Internet existe a divisão nos chamados Sistemas Autônomos.Um sistema autônomo, por exemplo, pode representar a rede de umgrande provedor. Neste caso, o próprio sistema autônomo pode ser

dividido em uma ou mais áreas usando OSPF e estas áreas sãoconectadas por um backbone central. O roteamento dentro de cadasistema autônomo é feito usando os chamados protocolos deroteamento interno (I GP – I n t e r i o r Ga tew ay Pr o toco l). O OSPF é umprotocolo IGP, ou seja, para roteamento dentro dos sistemasautônomos. O roteamento entre os diversos sistemas autônomos é feitopor protocolos de roteamento externos (EGP – Ext er io r Gatew ayPro toco l ) e pelos chamados protocolos de roteamento de borda (BGP –Bor de r Ga tew ay P r o toco l).



I m p o r t a n t e : Pode ocorrer situações em que uma nova área que éconectada a rede, não pode ter acesso físico direto ao backbone OSPF.Nestas situações, a conexão da nova área com o backbone OSPF é feitaatravés da criação de um link virtual (virtual link). O link virtual forneceuma caminho “lógico” entre a área fisicamente separada do backbone eo backbone OSPF. Criar o link virtual significa criar uma rota entre aárea que não está fisicamente conectada ao backbone e o backbone,mesmo que este link passe por dois ou mais roteadores OSPF, atéchegar ao backbone. Para um exemplo passo-a-passo de criação delinks virtuais, consulte o Capítulo 8 do livro de minha autoria: Manual deEstudos Para o Exame 70-216, 712 páginas, publicado pela editoraAxcel Books (www.axcel.com.br).

O OSPF tem as segu in tes van tagen s sobre o RI P:

• As rotas calculadas pelo algoritmo SPF são sempre livresde loops.

• O OSPF pode ser dimensionado para interconexões deredes grandes ou muito grandes.

• A reconfiguração para as alterações da topologia de redeé muito rápida, ou seja, o tempo de convergência da rede,após alterações na topologia é muito menor do que o tempode convergência do protocolo RIP.

• O tráfego de informações do protocolo OSPF é muitomenor do que o do protocolo RIP.

• O OSPF permite a utilização de diferentes mecanismos deautenticação entre os roteadores que utilizam OSPF.

• O OSPF envia informações somente quando houveralterações na rede e não periodicamente.

A implementação OSPF como parte dos serviços de roteamento do RRAS– Routing em Remote Access Services, do Windows 2000 Server e noWindows Server 2003, tem os seguintes recursos:

• Filtros de roteamento para controlar a interação comoutros protocolos de roteamento.

• Reconfiguração dinâmica de todas as configurações OSPF.



• Coexistência com o RIP.

• Adição e exclusão dinâmica de interfaces.

I m p o r t a n t e : O Windows 2000 Server não oferece suporte ao uso doOSPF em uma interface de discagem por demanda (demand-dial) queusa vínculos dial-up temporários.

Dica: Se você está usando vários protocolos de roteamento IP,configure apenas um único protocolo de roteamento por interface.

Operação do protocolo OSPF

O protocolo OSPF é baseado em um algoritmo conhecido com SPF –Shor t Path Fi r s t . Depois que um roteador (ou um servidor com oWindows 2000 Server ou Windows Server 2003, configurado comoroteador e usando o OSPF) é inicializado e é feita a verificação paradetectar se as interfaces de rede estão OK, é utilizado o protocolo OSPFHello para identificar quem são os “vizinhos” do roteador.

O roteador envia pacotes no formato do protocolo Hello, para os seusvizinhos e recebe os pacotes Hello enviados pelos seus vizinhos.

Conforme descrito anteriormente, uma rede baseada em OSPF é dividiaem áreas e as diversas áreas são conectadas através de um backbonecomum a todas as áreas. O algoritmo SPF é baseado na sincronizaçãodo banco de dados de estados de ligação entre os roteadores OSPFdentro de uma mesma área. Porém, ao invés de cada roteador fazer asincronização com todos os demais roteadores OSPF da sua área, cadaroteador faz a sincronização apenas com seus vizinhos (ne i ghbor i ngr o u t e r s). A relação entre roteadores OSPF vizinhos, com o objetivo desincronizar suas bases de dados é conhecida como “Adjacência”. Otermo mais comum é “formar uma adjacência”.

Porém, mesmo com o uso de adjacências, em uma rede com váriosroteadores dentro da mesma área, um grande número de adjacênciaspoderá ser formado, o que implicaria em um grande volume de troca deinformações de roteamento. Por exemplo, imagine uma rede com seisroteadores OSPF dentro da mesma área. Neste caso, cada roteadorpoderia formar uma adjacência com os outros cinco roteadores da área,o que resultaria em um total de 15 adjacências. O número deadjacências é calculado usando a seguinte fórmula, onde n representa onúmero de roteadores:



Número de adjacências = n * ( n - 1 ) / 2

Com um grande número de adjacências, o tráfego gerado pelasincronização do OSPF seria muito elevado. Para resolver esta questão éutilizado o conceito de Designated Router (Roteador d es ignado). Umroteador designado é um roteador que será considerado vizinho detodos os demais roteadores da rede. Com isso é formada umaadjacência entre cada roteador da rede e o roteador designado. Nonosso exemplo, da rede com 6 roteadores OSPF, dentro da mesma área,seriam formadas apenas cinco adjacências. Uma entre cada um doscinco roteadores, diretamente com o sexto roteador, o qual foi feito oroteador designado. Neste caso, cada roteador da rede trocainformações com o roteador designado. Como o roteador designado

recebe informações de todos os roteadores da área, ele fica com umabase completa e repassa esta base para cada um dos roteadores damesma área. Observe que com o uso de um roteador designado, obtém-se uma sincronização da base completa dos roteadores e com o uso deum número bem menor de adjacências, o que reduz consideravelmenteo tráfego de pacotes do OSPF.

Por questões de contingência, também é criado um Des ignatedBacku p Rout er (Roteador designado de backup), o qual assumirá opapel de roteador designado, no caso de falha do roteador designado

principal. A eleição de qual será o roteador designado é feitaautomaticamente pelo OSPF, mediante uma troca de pacotes Hello, deacordo com as regras contidas no protocolo, um dos roteadores seráeleito como roteador designado e um segundo como roteador designadobackup.

Conclusão

Nas Partes 4, 5 e 6 falei sobre Roteamento e sobre como todo oprocesso de roteamento é baseado em Tabelas de Roteamento,existentes em cada roteador da rede. As tabelas de roteamento podem

ser criadas manualmente, onde o administrador de cada roteadorexecuta comandos para criar cada uma das rotas necessárias. Essaabordagem só é possível para redes extremamente pequenas, com umnúmero de rotas pequeno e quando as rotas não mudam muitofreqüentemente. Para redes maiores, a única abordagem possível é ouso dos chamados pr o t oco los de Ro team en to d i nâm i co .

Estes protocolos, uma vez instalados e configurados nos roteadores,permitem que os roteadores troquem informações entre si,periodicamente e que montem as tabelas de roteamento,



dinamicamente, com base nestas informações. Esta abordagem é bemmais indicada para grandes redes, pois os próprios protocolos deroteamento dinâmicos, se encarregam de manter as tabelas deroteamento sempre atualizadas, alterando rotas quando necessário eexcluindo rotas que apresentam problemas, tais como rotas onde o linkde comunicação está fora do ar. Na Parte 14 fiz uma apresentação doprotocolo RIP. Nesta parte foi a vez do protocolo OSPF, o qual é baseadona divisão de uma rede em áreas conectadas através de backbones deroteamento. Você pode conferir que o protocolo OSPF tem inúmerasvantagens em relação ao protocolo RIP.




Compartilhando a Conexão Internet

Introdução:

Esta é a décima sexta parte do Tutorial de TCP/IP. Na Parte 1 tratei dosaspectos básicos do protocolo TCP/IP. Na Parte 2 falei sobre cálculosbinários, um importante tópico para entender sobre redes, máscara desub-rede e roteamento. Na Parte 3 falei sobre Classes de endereços, naParte 4 fiz uma introdução ao roteamento e na Parte 5 apresentei maisalguns exemplos/análises de como funciona o roteamento e na Parte 6

falei sobre a Tabela de Roteamento. Na Parte 7 tratei sobre a divisão deuma rede em sub-redes, conceito conhecido como subnetting. Na Parte8 fiz uma apresentação de um dos serviços mais utilizados pelo TCP/IP,que é o Domain Name System: DNS. O DNS é o serviço de resolução denomes usado em todas as redes TCP/IP, inclusive pela Internet que,sem dúvidas, é a maior rede TCP/IP existente. Na Parte 9 fiz umaintrodução ao serviço Dynamic Host Configuration Protocol – DHCP. NaParte 10 fiz uma introcução ao serviço Windows Internet Name Services– WINS. Na Parte 11 falei sobre os protocolos TCP, UDP e sobre portasde comunicação. Parte 12, mostrei como são efetuadas as confiuraçõesde portas em diversos aplicativos que você utiliza e os comandos doWindows 2000/XP/2003 utilizados para exibir informações sobre portasde comunicação. Na Parte 13 falei sobre a instalação e a configuraçãodo protocolo TCP/IP. Na Parte 14 fiz uma introdução sobre o protocolode roteamento dinâmico RIP e na Parte 15 foi a vez de fazer aintrodução a um outro protocolo de roteamento dinâmico, o OSPF.

Nesta décima sexta parte você aprenderá sobre um recurso bem útil doWindows 2000: O compartilhamento da conexão Internet, oficialmenteconhecida como ICS – Internet Conection Sharing. Este recurso é utilquando você tem uma pequena rede, não mais do que cinco máquinas,

conectadas em rede, todas com o protocolo TCP/IP instalado e uma dasmáquinas tem conexão com a Internet. Você pode habilitar o ICS nocomputador que tem a conexão com a Internet. Com isso os demaiscomputadores da rede também passarão a ter acesso à Internet,conforme ilustrado na Figura a seguir:



Internet Connection Sharing (ICS)

Vamos inicialmente entender exatamente qual a função do ICS e emque situações ele é indicado. O recurso de compartilhamento daconexão com a Internet é indicado para conectar uma rede domésticaou uma pequena rede (eu diria não mais do que 10 computadores) àInternet. Imagine a rede de uma pequena empresa, onde estãoinstalados 10 computadores e um servidor com o Windows 2000 Server.Está disponível uma única conexão com a Internet. A conexão é um linkde 256 Kbps, do tipo ADSL. A questão é: “Com o uso do recurso decompartilhamento da conexão com a Internet, é possível que todos oscomputadores desta pequena rede, tenham acesso à Internet?”

A resposta é sim. Com o uso do ICS é possível fazer com que todos oscomputadores da rede tenham acesso à Internet, através de uma

conexão compartilhada no servidor Windows 2000 Server. Após ter sidohabilitado o compartilhamento da conexão Internet, os demaiscomputadores da rede utilizam a internet como se estivessemdiretamente conectados. Ou seja, para os usuários o uso da conexãocompartilhada é transparente.

Para que o ICS possa funcionar são necessárias duas conexões de rede,no computador onde o ICS será habilitado. Uma conexão normalmente éa placa de rede que liga o computador à rede local e é conhecida comoconexão interna. A outra conexão, conhecida como conexão Externa, faz



a conexão do computador com a Internet. Normalmente é uma conexãodo tipo ADSL, ISDN, A Cabo ou até mesmo uma conexão discada, viatelefone comum. O diagrama da Figura a seguir, ilustra a funcionalidadedo ICS. No computador onde o ICS foi habilitado, a conexão via placa derede, é a conexão interna. A conexão via Modem, que faz a conexãocom a Internet, é dita conexão externa ou pública.

Mudanças que são efetuadas quando o ICS é habilitado

Quando você habilita o ICS no computador conectado à Internet,algumas alterações são efetuadas neste computador. É muitoimportante entender estas alterações, porque pode acontecer de algunsserviços deixarem de funcionar após a habilitação do ICS. Sabendoquais as mudanças efetuadas pelo ICS, você poderá reconfigurar a suarede, para que todos os serviços voltem a funcionar normalmente.

I m p o r t a n t e : Devido as diversas mudanças que são introduzidas ao



habilitar o ICS, é que não é recomendado o uso do ICS em um ambienteonde está configurado um domínio do Windows 2000 Server, baseadono Active Directory. O uso do ICS é realmente recomendado parapequenas redes baseadas em um modelo de Workgroup. Além disso, sevocê tiver uma rede maior, baseada em um domínio e no ActiveDirectory, é muito provável que você já tenha uma conexão da redelocal com a Internet, através do uso de roteadores e outrosequipamentos de rede.

A primeira mudança a ser ressaltada é que o computador no qual o ICSfoi habilitado, automaticamente, é configurado um servidor DHCP(digamos um mini DHCP), o qual passa a fornecer endereços IP para osdemais computadores da rede.

Outra mudança que é efetuada é no número IP da interface interna.Este número é alterado para: 192 .168 .0 .1 com uma máscara de sub-rede: 255 .255 .255 .0 . Esta é uma das mudanças para as quais vocêdeve estar atento. Pois se antes de habilitar o ICS você utiliza umesquema de endereçamento, por exemplo: 10.10.10.0/255.255.255.0,este esquema será alterado, para um esquema192.168.0.0/255.255.255.0. Com isso pode ser necessário reconfiguraralguns mapeamentos de drives de rede e de impressoras.

M u i t o im p o r t a n t e : Quando o ICS é habilitado, é atribuído o endereçoIP 192.168.0.1 para a interface interna do computador onde o ICS foihabilitado. Com isso, se houver compartilhamentos no servidor onde foihabilitado o ICS, estes deixarão de estar acessíveis para os demaiscomputadores da rede, pois os demais computadores continuarãoutilizando o esquema de endereçamento IP padrão da rede, o qualprovavelmente seja diferente do esquema utilizado pelo ICS. Isso atéque os demais clientes da rede sejam configurados como clientes DHCPe obter um endereço da rede 192.168.0.0/255.255.255.0, a partir docomputador onde o ICS foi habilitado.

A funcionalidade de discagem sob demanda é habilitada na conexãoInternet, do computador onde o ICS foi habilitado. Com isso quandoqualquer um dos computadores da rede tentar acessar a Internet, se aconexão não estiver disponível, será inicializada automaticamente umadiscagem (se for uma conexão discada) para estabelecer a conexão.

Nota : Após a habilitação do ICS, o serviço do ICS será configurado parainicializar automaticamente, de tal maneira que as funcionalidades doICS possam ser utilizadas.



Além de transformar o computador com o ICS habilitado, em umservidor DHCP, será criado o seguinte escopo: 192.168.0.2 ->192.168.0.254, com máscara de sub-rede 255.255.255.0.

I m p o r t a n t e : A funcionalidade de DNS Proxy é habilitada nocomputador com o ICS habilitado. Isso significa que este computadorrecebe as requisições de resolução DNS dos clientes da rede, repassaestes pedidos para o servidor DNS do provedor de Internet, recebe aresposta e passa a resposta de volta para o cliente que fez a requisiçãopara a resolução do nome. O resultado prático é que os clientes temacesso ao serviço DNS, sendo que todas as requisições passam peloICS, que está atuando como um DNS Proxy.

I m p o r t a n t e : Você não tem como alterar as configurações padrão doICS. Por exemplo, você não pode desabilitar a funcionalidade deservidor DHCP do computador onde foi habilitado o ICS e nem podedefinir um esquema de endereçamento diferente do que é definido porpadrão ou desabilitar a função de DNS Proxy. Para que você possapersonalizar estas funcionalidades você precisa utilizar o recurso deNAT, ao invés do ICS. O recurso de NAT será descrito descrito em umadas próximas partes do tutorial.

Configurando os clientes da rede interna, para usar o ICS

Muito bem, você habilitou o ICS no computador com a conexão com aInternet (você aprenderá a parte prática mais adiante) e agora vocêquer que os computadores da rede local possam acessar a Internet,usando a configuração compartilhada, no computador onde o ICS foihabilitado.

Conforme descrito no Parte 1 deste tutorial, para que os computadoresde uma rede baseada no TCP/IP possam se comunicar, é preciso quetodos façam parte da mesma rede (ou estejam ligados através deroteadores, para redes ligadas através de links de WAN). Quando você

habilita o ICS, todos os computadores da rede devem utilizar o esquemade endereçamento padrão definido pelo ICS, ou seja:1 9 2 . 1 6 8 .0 . 0 / 2 5 5 . 2 5 5 .2 5 5 . 0. Com o ICS não é possível utilizar outroesquema de endereçamento que não o definido pelo ICS. O endereço192.168.0.1 é atribuído a interface interna do computador com o ICShabilitado. Os demais computadores da rede devem ser configuradospara usar o DHCP e como Default Gateway deve ser configurado o IP192.168.0.1, que é número IP da interface interna do computador como ICS habilitado (estou repetindo de propósito, para que fique gravado oesquema de endereçamento que é habilitado pelo ICS e devido a



importância deste detalhe).

Dependendo da versão do Windows, diferentes configurações terão queser efetuadas. Quando o ICS é habilitado em um computador rodando oWindows XP, Windows Server 2003 Standard Edition ou Windows Server2003 Enterprise Edition, você poderá adicionar como clientes,computadores rodando uma das seguintes versões do Windows:

• Windows 98

• Windows 98 Segunda Edição

• Windows Me

• Windows XP

• Windows 2000

• Windows Server 2003 Standard Edition

• Windows Server 2003 Enterprise Edition

Na parte prática, mais adiante, mostrarei os passos para habilitar osclientes da rede a utilizar o ICS.

Mais algumas observações importantes sobre o ICS:

Neste item apresentarei mais algumas observações importantes sobre oICS. A primeira delas é que o esquema de endereçamento utilizado peloICS é um dos chamados endereços Internos ou endereços Privados. Asfaixas de endereços definidas como endereços privados são endereçosque não são válidos na Internet, ou seja, pacotes endereçados para umendereço de uma destas faixas, serão descartados pelos roteadores. Osendereços Privados foram reservados para uso interno na Intranet das

empresas. Ou seja, na rede interna, qualquer empresa, pode utilizarqualquer uma das faixas de endereços Privados. Existem três faixas deendereços definidos como Privados. Estas faixas estão definidas na RFC1597. Os endereços definidos como privados são os seguintes:

10.0 .0 .0 - > 10 .255 .255 .255

172 .16 .0 .0 - > 172 .31 .255 .255

192 .168 .0 .0 - > 192 .168 .255 .255

Observe que a faixa de endereços usada pelo ICS (192.168.0.1 ->



192.168.0.254) é uma faixa de endereços Privados. Por isso, o ICStambém tem que executar o papel de “traduzir” os endereços privados,os quais não são válidos na Internet, para o endereço válido, dainterface pública do servidor com o ICS (normalmente um modem paraconexão discada ou um modem ADSL) Vamos a uma explicaçãomaisdetalhada deste ponto.

Imagine que você tem cinco computadores na rede, todos usando o ICS.Os computadores estão utilizando os seguintes endereços:

• 192.168.0.10

• 192.168.0.11

• 192.168.0.12

• 192.168.0.13

• 192.168.0.14

O computador com o ICS habilitado tem as seguintes configurações:

• IP da interface interna: 192.168.0.1

• IP da interface externa: Um endereço válido na Internet,obtido a partir da conexão com o provedor de Internet.

Quando um cliente acessa a Internet, no pacote de informação estáregistrado o endereço IP da rede interna, por exemplo: 192.168.0.10.Porém este pacote não pode ser enviado pelo ICS para a Internet, comeste endereço IP como endereço de origem, senão no primeiro roteadoreste pacote será descartado, já que o endereço 192.168.0.10 não é umendereço válido na Internet (pois é um endereço que pertence a umadas faixas de endereços privados, conforme descrito anteriormente).

Para que este pacote possa ser enviado para a Internet, o ICS substituio endereço IP de origem pelo endereço IP da interface externa do ICS(endereço fornecido pelo provedor de Internet e, portanto, válido naInternet). Quando a resposta retorna, o ICS repassa a resposta para ocliente que originou o pedido. Mas você pode estar fazendo as seguintesperguntas:

1 . Se houver mais de um cliente acessando a Internet e o ICS possuiapenas um endereço IP válido, como é possível a comunicação de maisde um cliente, ao mesmo tempo, com a Internet?



2 . Quando a resposta retorna, como o ICS sabe para qual cliente ela sedestina, se houver mais de um cliente acessando a Internet?

A resposta para estas duas questões é a mesma. O ICS executa umafunção de NAT – Network Address Translation (que será o assunto deuma das próximas partes do tutorial). A tradução de endereços funcionaassim:

1 . Quando um cliente interno tenta se comunicar com a Internet, o ICSsubstitui o endereço interno do cliente como endereço de origem, porum endereço válido na Internet. Mas além do endereço é tambémassociada uma porta de comunicação (é o conceito de portas do

protocolo TCP/IP, visto na Parte 12 deste tutorial). O ICS mantém umatabelinha interna onde fica registrado que, a comunicação através daporta “tal” está relacionada com o cliente “tal” (ou seja, com o IPinterno “tal”).

2 . Quando a resposta retorna, pela identificação da porta, o ICSconsulta a sua tabela interna e sabe para qual computador da rede deveser enviada a referida resposta (para qual IP da rede interna), uma vezque a porta de identificação está associada com um endereço IP da redeinterna.

Com isso, vários computadores da rede interna, podem acessar aInternet ao mesmo tempo, usando um único endereço IP. Adiferenciação é feita através de uma atribuição de porta de comunicaçãodiferente, associada com cada IP da rede interna. Este é o princípiobásico do NAT – Network Address Translation (Tradução de EndereçosIP). Mas é importante não confundir este “mini-NAT” embutido no ICS,com a funcionalidade de NAT que será descrita em uma das próximaspartes deste tutorial. Existem grandes diferenças entre o ICS e o NAT eo uso de cada um é indicado em situações específicas. O ICS tem suaslimitações, as quais são diferentes das limitações do NAT.

Uma das principais limitações do ICS é não ser possível alterar asconfigurações definidas ao habilitar o ICS, tais como a faixa deendereços a ser utilizada e o número IP da interface interna (interfaceque liga o computador com o ICS à rede local).

Comparando ICS e NAT

Neste tópico apresento mais alguns detalhes sobre as diferenças entre oICS e o NAT. Existem algumas funcionalidades que são fornecidas por



ambos, tais como a tradução de endereços Privados para endereçosválidos na Internet, enquanto outras são exclusivas de cada um dosserviços.

Para conectar uma rede residencial ou de um pequeno escritório, àInternet, você pode usar duas abordagens diferentes:

• Conex ão ro t eada: Neste caso, você instala o RRAS nocomputador conectado à Internet e configura o RRAS parafazer o papel de um roteador. Esta abordagem exigeconhecimentos avançados do protocolo TCP/IP, paraconfigurar o RRAS como um roteador. Esta abordagem tema vantagem de permitir qualquer tipo de tráfego entre a

rede local e a Internet (com a desvantagem de que essepode ser um problema sério de segurança se o roteamentonão for configurado adequadamente) e tem a desvantagemda complexidade na configuração.

• Conex ões com t r adução de endereços : Neste caso,você instala o RRAS no computador conectado à Internet econfigura a funcionalidade de NAT neste computador. Avantagem deste método é que você pode utilizar, na redeInterna, endereços privados. Várias máquinas da redeinterna podem se conectar à Internet usando um únicoendereço IP válido, o endereço IP da interface externa doservidor com o RRAS. Outra vantagem do NAT, em relaçãoao roteamento, é que o NAT é bem mais simples paraconfigurar. A desvantagem é que determinados tipos detráfegos serão bloqueados pelo NAT, impedindo quedeterminadas aplicações possam ser executadas.

Uma conexão com tradução de endereços pode ser configurada usandodois métodos diferentes:

• Você pode utilizar o ICS (objeto de estudo deste tópico)no Windows 2000, Windows XP, Windows Server 2003Standard Edition ou Windows Server 2003 EnterpriseEdition.

• Você pode utilizar a funcionalidade de NAT do servidorRRAS, em servidores executando o Windows 2000 Servercom o RRAS habilitado (lembre que o RRAS é instaladoautomaticamente, porém, por padrão, está desabilitado.Para detalhes sobre a habilitação e configuração do RRAS,



consulte o Capítulo 6 do meu livro: Manual de Estudos Parao Exame 70-216, 712 páginas, publicado pela Editora AxcelBooks).

I m p o r t a n t e : As duas soluções – ICS ou NAT – fornecem asfuncionalidades de tradução de endereços e resolução de nomes, porémexistem mais diferenças do que semelhanças, conforme descreverei logoa seguir.

O Internet Connection Sharing (ICS) foi projetado para fornecer asconfigurações mais simplificadas possíveis. Conforme você verá na parteprática, habilitar o ICS é uma simples questão de marcar uma caixa deopção, todo o restante é feito automaticamente pelo Windows 2000

Server. Porém uma vez habilitado, o ICS não permite que sejam feitasalterações nas configurações que são definidas por padrão. O ICS foiprojetado para obter um único endereço IP a partir do provedor deInternet. Isso não pode ser alterado. Ele é configurado como umservidor DHCP e fornece endereços na faixa192.168.0.0/255.255.255.0. Isso também não pode ser mudado. Empoucas palavras: O ICS é fácil de habilitar mas não permite alteraçõesnas suas configurações padrão. É o ideal para pequenos escritórios queprecisam de acesso à Internet, a todos os computadores da rede, porémnão dispõem de um técnico qualificado para fazer as configurações mais

sofisticadas exigidas pelo NAT e pelo RRAS.Por sua vez, o NAT foi projetado para oferecer o máximo de flexibilidadeem relação as suas configurações no servidor RRAS. As funçõesprincipais do NAT são a tradução de endereço (conforme descritoanteriormente) e a proteção da rede interna contra tráfego nãoautorizado, vindo da Internet. O uso do NAT requer mais etapas deconfiguração do que o ICS, contudo em cada etapa da configuração vocêpode personalizar diversas opções do NAT. Por exemplo, o NAT permitaque seja obtida uma faixa de endereços IP a partir do provedor deInternet (ao contrário do ICS, que recebe um único endereço IP do

provedor de Internet) e também permite que seja definida a faixa deendereços IP a ser utilizada para os clientes da rede interna.

Na tabela da Figura a seguir, você encontra uma comparação entre NATe ICS.



I m p o r t a n t e : Nunca é demais salientar que O ICS é projetado para

conectar uma rede doméstica ou uma rede pequena (com não mais doque 10 computadores) com a Internet. O protocolo NAT foi projetadopara conectar redes de porte pequeno para médio, com a Internet (eudiria entre 11 e 100 computadores). Porém, nenhum deles foi projetadopara ser utilizado nas seguintes situações:

• Fazer a conexão entre redes locais.

• Conectar redes para formar uma Intranet.

•

Conectar as redes dos escritórios regionais com a rede dasede da empresa.

• Conectar as redes dos escritórios regionais com a rede dasede da empresa, usando como meio a Internet, ou seja,criação de uma VPN.

Muito bem, a seguir apresentarei os passos práticos para habilitar o ICSno computador conectado à Internet e para configurar os clientes darede, para que passem a utilizar o ICS.

Habilitando o ICS no computador conectado à Internet:

O ICS, conforme descrito anteriormente, deve ser habilitado nocomputador com conexão com a Internet. O ICS é habilitado nainterface externa, ou seja, na interface que faz a conexão com aInternet.

Para habilitar o ICS, siga os passos indicados a seguir:

1. Faça o logon no computador conectado à Internet, com a conta de



Administrador ou com uma conta com permissão de administrador.

2. Abra o Painel de controle: Iniciar -> Configurações -> Painel decontrole.

3. Abra a opção Conexões dial-up e de rede.

4. Clique com o botão direito do mouse na conexão com a Internet e, nomenu de opções que é exibido, clique em Propriedades.

5. Será exibida a janela de propriedades da conexão com a Internet.Clique na guia Compartilhamento. Serão exibidas as opções indicadas naFigura a seguir:

6. Marque a opção At i va r o compar t i l hamen t o da conexão c / I n t er n et p / co n ex ã o. Ao marcar esta opção também será habilitada aopção para fazer a discagem sob demanda – Ativar discagem pordemanda. Se você marcar esta opção, quando um usuário da redetentar acessar a Internet, será iniciada uma discagem, caso a conexãonão esteja ativa.



Nota : Se você estiver configurando o ICS em um computador quepossui mais de uma placa de rede instalada, estará disponível uma listapara que você selecione qual a placa de rede que faz a conexão com arede local, ou seja, com a rede para a qual estará habilitada a conexãocompartilhada com a Internet.

7. Você pode fazer algumas configurações adicionais no ICS, usando obotão Configurações... Clique neste botão.

8. Será exibida a janela de configurações do compartilhamento com aguia Aplicativos selecionada por padrão. Na guia Aplicativos você podedefinir configurações específicas para habilitar um ou mais aplicativos derede. Clique na guia Serviços. Nesta janela você pode habilitar os

serviços da sua rede, que estarão disponíveis para usuários da Internet,, conforme indicado na Figura a seguir. Em outras palavras, serviços noscomputadores da sua rede, os quais estarão disponíveis para acessoatravés da Internet. Por exemplo, se você quiser montar um servidor deFTP (File Transfer Protocol – Protocolo de Transferência de Arquivos),para fornecer o serviço de cópias de arquivo, você terá que habilitar oserviço FTP Server. Ao habilitar este serviço, você terá que informar onome ou o número IP do computador da rede interna, no qual estádisponível o serviço de FTP. Vamos fazer um exemplo prático dehabilitação de serviço.

9. Clique na opção Servidor FTP para marca-la. Será aberta a janelapara configuração deste serviço. Nesta janela, o nome do serviço e aporta na qual ele trabalha, já vem preenchidos e não podem seralterados. O protocolo de transporte utilizado pelo serviço (TCP ou UDP)também já vem assinalado e não pode ser alterado. A única informaçãoque você preenche é o nome ou o número IP do computador da redeinterna, onde o serviço está disponível, conforme exemplo da Figura aseguir, onde é informado o número IP do computador da rede interna,



onde o serviço de FTP está disponível:

10. Informe o nome ou o número IP e clique em OK. Você estará devolta à janela de configurações do compartilhamento. Clique em OKpara fecha-la.

11. Você estará de volta à guia Compartilhamento, da janela depropriedades da conexão que está sendo compartilhada. Clique em OK

para fechar esta janela e para habilitar o compartilhamento da conexãoInternet. Observe que ao ser habilitado o compartilhamento, o íconeindicado na Figura a seguir, passa a ser exibido junto à conexão que foicompartilhada:

A seguir listo as portas utilizadas pelos principais serviços da Internet:

Serv iço Por ta u t i l i zada Se r v i do r W e b – h t t p ( W W W ) 8 0

Serv idor de FTP 2 1

POP3 1 1 0

Telnet 2 3

SSL (h t t ps) 4 4 3

I m p o r t a n t e : Conheça bem as portas indicadas na listagem anterior.Para uma lista completa de todas as portas utilizadas pelos protocolos



TCP e UDP, consulte o seguinte endereço:http://www.iana.org/numbers.htm

Pronto, habilitar e configurar o ICS é apenas isso. A seguir mostrareicomo configurar os clientes.

Configurando os clientes da rede para utilizar o ICS:

Para que os clientes possam utilizar o ICS, os seguintes tópicos devemser verificados:

1. Os clientes devem estar conectados em rede, no mesmo barramentode rede local onde está conectada a interface interna do servidor com o

ICS habilitado. Esta etapa provavelmente já esteja OK, uma vez quevocê certamente habilitou o ICS para fornecer acesso à Internet, paraos computadores da sua rede interna, a qual suponho já estivesseconfigurada e funcionando.

2. Os computadores da rede interna devem estar com o protocoloTCP/IP instalado e configurados para usar um servidor DHCP. No casodo ICS, o computador onde o ICS foi habilitado passa a atuar como umservidor DHCP, oferecendo endereços na faixa: 192.168.0.2 ->192.168.0.254. Ou seja, basta acessar as propriedades do protocoloTCP/IP, conforme descrito na Parte 13 do tutorial e habilitar a opção“ Ob t e r u m e n d er e ço I P a u t o m a t i ca m e n t e ” .

Nota : Para usuários que não tenham muita experiência com asconfigurações de rede e do protocolo TCP/IP, pode ser utilizado outilitário netsetup.exe, o qual está disponível no CD de instalação doWindows 2000 Server, na pasta: D:\SUPPORT\TOOLS.

Conclusão

Nesta parte do tutorial mostrei como funciona o serviço de

compartilhamento da conexão Internet, conhecido como ICS – InternetConecton Sharing. Você aprendeu sobre o funcionamento e as limitaçõesdo ICS. Também aprendeu a habilitar o ICS e a configurar os demaiscomputadores da rede, para que possam utilizar o ICS.



Tutorial de TCP/IP – Parte 17 – ICF –

Internet Connection Firewall(Windows XP)

Introdução:

Esta é a décima sétima parte do Tutorial de TCP/IP. Na Parte 1 trateidos aspectos básicos do protocolo TCP/IP. Na Parte 2 falei sobre cálculosbinários, um importante tópico para entender sobre redes, máscara desub-rede e roteamento. Na Parte 3 falei sobre Classes de endereços, na

Parte 4 fiz uma introdução ao roteamento e na Parte 5 apresentei maisalguns exemplos/análises de como funciona o roteamento e na Parte 6falei sobre a Tabela de Roteamento. Na Parte 7 tratei sobre a divisão deuma rede em sub-redes, conceito conhecido como subnetting. Na Parte8 fiz uma apresentação de um dos serviços mais utilizados pelo TCP/IP,que é o Domain Name System: DNS. O DNS é o serviço de resolução denomes usado em todas as redes TCP/IP, inclusive pela Internet que,sem dúvidas, é a maior rede TCP/IP existente. Na Parte 9 fiz umaintrodução ao serviço Dynamic Host Configuration Protocol – DHCP. NaParte 10 fiz uma introdução ao serviço Windows Internet Name Services– WINS. Na Parte 11 falei sobre os protocolos TCP, UDP e sobre portas

de comunicação. Parte 12, mostrei como são efetuadas as configuraçõesde portas em diversos aplicativos que você utiliza e os comandos doWindows 2000/XP/2003 utilizados para exibir informações sobre portasde comunicação. Na Parte 13 falei sobre a instalação e a configuraçãodo protocolo TCP/IP. Na Parte 14 fiz uma introdução sobre o protocolode roteamento dinâmico RIP e na Parte 15 foi a vez de fazer aintrodução a um outro protocolo de roteamento dinâmico, o OSPF. NaParte 16 você aprendeu sobre um recurso bem útil do Windows 2000: Ocompartilhamento da conexão Internet, oficialmente conhecida comoICS – Internet Conection Sharing. Este recurso é útil quando você tem

uma pequena rede, não mais do que cinco máquinas, conectadas emrede, todas com o protocolo TCP/IP instalado e uma das máquinas temconexão com a Internet. Você pode habilitar o ICS no computador quetem a conexão com a Internet. Com isso os demais computadores darede também passarão a ter acesso à Internet.

Nesta décima sétima parte, aprenderemos a utilizar o ICF– InternetConnection Firewall (Firewall de Conexão com a Internet). O ICF fazparte do Windows XP e do Windows Server 2003, não estandodisponível no Windows 2000. O I CF t em como ob j e t i vo p r o tege r o



acesso do usuár i o con t r a “ a taques ” e “ pe r i gos ” v i nd os daI n t e r n e t .

Ao nos conectarmos com a Internet estamos em contato com o mundo;e o mundo em contato conosco. A Internet é uma “via de mão dupla”,ou seja, podemos acessar recursos em servidores do mundo inteiro,porém o nosso computador também pode ser acessado por pessoas domundo inteiro, se não tomarmos alguns cuidados básicos comsegurança.

Regr a núm er o 1: Sempre utilize um bom programa de anti-vírus.Escolha o programa de sua preferência, existem muitos, instale e utilize.É inadmissível não utilizar um programa anti-vírus. Os custos são muito

baixos, existindo inclusive programas gratuitos, em comparação com osriscos que se corre em não usar um anti-vírus. Mensagens contendoanexos com vírus, sites com conteúdo dinâmico que pode causar danos,etc, são muitas as ameaças e o anti-vírus é capaz de nos proteger degrande parte delas. No site www.invasao.com.br, você encontra umaanálise comparativa, sobre os principais anti-vírus do mercado.

Regr a núm er o 2: Informação. Procure estar sempre atualizados sobrenovos tipos de vírus, novos tipos de ataques e perigos que possamcomprometer a segurança do seu computador. Para informações sobre

segurança da informação consulte regularmente o seguinte site:www.invasao.com.br

Regr a núm er o 3: Se você usa o Windows XP ou o Windows Server2003, aprenda a utilizar e configurar o IFC (justamente o assunto destaparte do tutorial). É o que você aprenderá nesta parte do tutorial.Mostrarei o que é o IFC, quais as suas funções e como configurá-lo paraproteger o computador que você utiliza, para acessar a Internet.

Firewall de Conexão com a Internet – ICF

Se fóssemos traduzir f i r e w a l l literalmente, seria uma parede corta-fogo. Esta denominação pode parecer sem sentido prático, mas veremosque a função é exatamente esta. O firewall é como se fosse umaparede, um proteção, colocada entre o seu computador e a Internet. Ofogo neste caso seriam os ataques e demais perigos vindos da Internet.A função do Firewall é bloquear (cortar) estes perigos (fogo). UmFirewall pode fazer mais do que isso, ele também pode ser utilizado parabloquear determinados tipos de tráfegos a partir do seu computadorpara a Internet. Esta utilização é mais comum em redes de grandesempresas, onde existe um Firewall entre a rede da empresa e a



Internet. Todo acesso à Internet passa, obrigatoriamente, pelo Firewall.Através de configurações adeqüadas é possível bloquear determinadostipos de informações que não tem a ver com o trabalho dosfuncionários. Por exemplo, podemos, através do Firewal, impedir oacesso a arquivos de vídeo e áudio. Mas este não é o caso do uso doICF, o qual é mais indicado para um computador conectado diretamenteà Internet ou para uma pequena rede na qual um dos computadorestem acesso à Internet e compartilha esta conexão com os demaiscomputadores (para detalhes sobre o compartilhamento de conexão,consulte a Parte 16). Na Figura a seguir temos um diagrama que ilustraa função de um Firewall:

Função do Firewall

A utilização do ICF depende da configuração que estamos utilizando, ouseja, se temos um único computador, uma pequena rede ou uma redeempresarial. Vamos considerar estas três situações distintas:

• Um ún i co com pu tador conec tado à I n t e r n e t , que rsej a v i a um a conexão d i a l - up ou v i a um a conexão de

acesso ráp ido : Para esta situação configuramos o ICF nocomputador que está conectado à Internet. O ICF protejeráo computador de uma série de ataques originados naInternet.

• U m a p e q u e n a r ed e o n d e s om e n t e u m c om p u t a d o rt e m c o n e x ã o c om à I n t e r n e t : Nestas situações é comumo computador que tem acesso à Internet, compartilhar estaconexão com os demais computadores da rede (veja a Parte16 deste tutorial). Neste caso, quando o computador que



tem acesso à Internet estiver conectado, todos os demaispassarão a ter acesso à Internet. Ou seja, existe um únicoponto de acesso à Internet que é o computador no qualexiste uma conexão, quer seja dial-up ou de acesso rápido.Nesta situação temos que proteger o computador que estáconectado à Internet, desta maneira estaremos protegendotodos os demais. Nesta configuração, configuramos ocomputador com acesso à Internet para usar o ICF.

• U m a r e d e em p r e sa r i al co m u m g r a n d e n ú m e r o d ecompu tador es l i gados em r ede : Nestes casos também écomum existir um único ponto de acesso à Internet, o qual écompartilhado para todos os computadores da rede. Porém

para grandes redes empresariais é exigido um alto nível desofisticação, capacidade de bloqueio e filtragem e proteçãoque somente produtos específicos são capazes de fornecer.Nestas situações é comum existir um conjunto deequipamentos e programas que atua como um Firewall paratoda a rede da empresa. Obviamente que nestas situaçõesnão é indicado o uso do ICF do Windows XP.

O ICF é considerada uma firewall "de estado". Ela monitora todos osaspectos das comunicações que cruzam seu caminho e inspeciona oendereço de origem e de destino de cada mensagem com a qual elalida. Para evitar que o tráfego não solicitado da parte pública daconexão (a Internet) entre na parte privada da rede (o seu computadorconectado à Internet), o ICF mantém uma tabela de todas ascomunicações que se originaram do computador no qual estáconfigurado o ICF.

No caso de um único computador, o ICF acompanha o tráfego originadodo computador. Quando usado com o compartilhamento de conexão, nocaso de uma pequena rede com o Windows XP, o ICF acompanha todo otráfego originado no computador com o ICF habilitado e nos demais

computadores da rede. Todo o tráfego de entrada da Internet écomparado às entradas na tabela e só tem permissão para alcançar oscomputadores na sua rede quando houver uma entrada correspondentena tabela mostrando que a troca de comunicação foi iniciada na rededoméstica.

Na prá t i ca o que acont ece o segu in t e : quando você acessa umrecurso da Internet, por exemplo acessa o endereço de um site, ocomputador que você está usando, envia para a Internet umarequisição, solicitando que a página seja carregada no seu Navegador,



por exemplo. Assim pode acontecer com todos os computadores darede, cada um enviando as suas requisições. O ICF faz uma tabela comtodas as requisições enviadas para a Internet. Cada informação quechega no ICF, vinda da Internet é verificada. Se esta informação é umaresposta a uma das requisições que encontra-se na tabela derequisições, significa que esta informação pode ser enviada para ocomputador que fez a requisição. Se a informação que está chegando,não corresponde a uma resposta de uma das requisições pendentes,significa que pode ser um ataque vindo da Internet, ou seja, alguémtentando acessar o seu computador. Este tipo de informação ébloqueada pelo ICF. Vejam que desta forma o ICF está protejando o seucomputador, evitando que informações não solicitadas (nãocorrespondentes a respostas para requisições enviadas) possam chegar

até o seu computador ou a sua rede, neste caso o ICF está “cortando ofogo” vindo da Internet.

Podemos configurar o ICF para simplesmente bloquear este tipo deinformação não solicitada ou, para além de bloquear, gerar um log deregistro, com informações sobre estas tentativas. Aprenderemos a fazerestas configurações nos próximos tópicos.

Também podemos configurar o ICF para permitir a entrada deinformações que correspondem a determinados serviços. Por exemplo,

se você tem uma conexão 24 horas e utilzia o seu computador como umservidor Web, no qual está disponível um site pessoal, você deveconfigurar o ICF para aceitar requisições HTTP, caso contrário, o seucomputador não poderá atuar como um servidor Web e todas asrequisições dos usuários serão bloqueadas pelo ICF. Tambémaprenderemos a fazer estas configurações nos próximos tópicos.

Ao ativar o ICF, toda a comunicação de entrada, vinda da Internet, seráexamindada. Alguns programas, principalmente os de email, podemapresentar um comportamento diferente quando o ICF estiver ativado.Alguns programas de email pesquisam periodicamente o servidor de

email para verificar se há novas mensagens, enquanto alguns delesaguardam notificação do servidor de email. As notificações vindas doservidor não terão requisições correspondentes na tabela de requisiçõese com isso serão bloqueadas. Neste caso o cliente de email deixaria dereceber as notificações do servidor.

O Outlook Express, por exemplo, procura automaticamente novasmensagens em intervalos regulares, conforme configuração do Outlook.Quando há novas mensagens, o Outlook Express envia ao usuário umanotificação. A ICF não afetará o comportamento desse programa,



porque a solicitação de notificação de novas mensagens é originadadentro do firewall, pelo próprio Outlook. O firewall cria uma entrada emuma tabela indicando a comunicação de saída. Quando a resposta ànova mensagem for confirmada pelo servidor de email, o firewallprocurará e encontrará uma entrada associada na tabela e permitirá quea comunicação se estabeleça. O usuário, em seguida, será notificadosobre a chegada de uma nova mensagem.

Nota : No entanto, o Office 2000 Outlook é conectado a um servidorMicrosoft Exchange que utiliza uma chamada de procedimento remoto(RPC) para enviar notificações de novos emails aos clientes. Ele nãoprocura novas mensagens automaticamente quando está conectado aum servidor Exchange. Esse servidor o notifica quando chegam novos

emails. Como a notificação RPC é iniciada no servidor Exchange fora dafirewall, não no Office 2000 Outlook, que está dentro da firewall, o ICFnão encontra a entrada correspondente na tabela e não permite que asmensagens RPC passem da Internet para a rede doméstica. Amensagem de notificação de RPC é ignorada. Os usuários podem enviare receber mensagens, mas precisam verificar a presença de novasmensagens manualmente, ou seja, a verificação de novas mensagenstem que partir do cliente.

Como ativar/desativar o Firewall de Conexão com a Internet

Para ativar/desativar o Firewall de Conexão com a Internet, siga ospassos indicados a seguir (Windows XP Professional):

1. Abra o Painel de controle: Iniciar -> Painel de controle.2. Se você estiver no modo de exibição por Categoria dê um clique nolink Alternar para o modo de exibição clássico. Se você já estiver nomodo de exibição clássico vá para o próximo passo.3. Dê um clique duplo na opção Conexões de rede.4. Serão exibidas as conexões de rede e a conexão com a Internet (ouconexões, caso você tenha mais do que uma conexão configurada).

Clique com o botão direito do mouse na sua conexão Internet. No menuque surge dê um clique na opção Propriedades. Será exibida a janela dePropriedades da conexão com a Internet.5. Dê um clique na guia Avançado. Serão exibidas as opções indicadasna Figura a seguir:



A guia Avançado das propriedades da conexão Internet

6. Na guia Avançado, em Firewall de conexão com a Internet, selecioneuma das opções a seguir:

• Par a a t i va r o f i r ew a l l de conexão com a Internet (ICF),marque a caixa de seleção Proteger o computador e a redelimitando ou impedindo o acesso a este computador pelaInternet.

• Par a desat i va r o f i r ew a l l de conexão com a Internet

(ICF), desmarque a caixa de seleção Proteger o computadore a rede limitando ou impedindo o acesso a este computadorpela Internet.

7. Dê um clique no botão OK para aplicar as configurações selecionadas.

Nota : Para ativar/desativar o ICF você deve ter feito o logon comoAdministrador ou como um usuário com permissões de Administrador.Para todos os detalhes sobre a criação e administração de usuários noWindows XP, consulte o Capítulo 6 do meu livro: “Windows XP Home &



Professional Para Usuários e Administradores”

Como ativar/desativar o log de Segurança do ICF

O log de segurança da Firewall de conexão com a Internet (ICF) permiteque usuários avançados escolham as informações a serem registradas.Com ele, é possível:

• Registrar em log os pacotes eliminados, isto é, pacotesque foram bloqueados no Firewall. Essa opção registrará nolog todos os pacotes ignorados que se originarem da rededoméstica ou de pequena empresa ou da Internet.

• Registrar em log as conexões bem-sucedidas, isto é,pacotes que não foram bloqueados. Essa opção registrará nolog todas as conexões bem-sucedidas que se originarem darede doméstica ou de pequena empresa ou da Internet.

Quando você marca a caixa de seleção Registrar em log os pacoteseliminados (veremos como fazer isso no próximo tópico), asinformações são coletadas a cada tentativa de tráfego pela firewalldetectada e negada/bloqueada pelo ICF. Por exemplo, se asconfigurações do protocolo de controle de mensagens da Internet(ICMP) não estiverem definidas para permitir solicitações de eco deentrada, como as enviadas pelos comandos Ping e Tracert, e umasolicitação de eco de fora da rede for recebida, ela será ignorada e seráfeito um registro no log. Os comandos ping e tracert são utilizados paraverificar se computadores de uma rede estão conectados a rede. Estescomandos são baseados em um protocolo chamado ICMP – InternetControl Message Protocol. O ICF pode ser configurado para não aceitareste protocolo (aprenderemos a fazer estas configurações mais adiante).Neste caso, toda vez que utilizarmos os comandos ping ou tracert, seráfeita uma tentativa de trafegar informações usando o protocolo ICMP, oque será bloqueado pelo Firewall e ficará registrado no log de

segurança.

Quando você marca a caixa de seleção Listar conexões de saída bem-sucedidas, são coletadas informações sobre cada conexão bem-sucedidaque passe pela firewall. Por exemplo, quando alguém da rede se conectacom êxito a um site da Web usando o Internet Explorer, é gerada umaentrada no log. Devemos ter cuidado com esta opção, pois dependendodo quanto usamos a Internet, ao marcar esta opção será gerado umgrande número de entradas no log de segurança do ICF, embora sejapossível limitar o tamanho máximo do arquivo no qual são gravadas as



entradas do log, conforme aprenderemos mais adiante.

O log de segurança é produzido com o formato de arquivo de logestendido W3C, que é um formato padrão definido pela entidade quedefine padrões para a internet, o w3c. Maiores informações no site:www.w3.org. O arquivo no qual está o log de segurança é um arquivode texto comum, o qual pode ser lido utilizando um editor de textoscomo o Bloco de notas.

Como ativar opções do log de segurança:

Por padrão, ao ativarmos o ICF, o log de segurança não é ativado. Paraativá-lo, de tal maneira que passem a ser registrados eventos no log de

segurança, siga os passos indicados a seguir (Windows XP):

1. Faça o logon como Administrador ou com uma conta com permissãode Administrador.2. Abra o Painel de controle: Iniciar -> Painel de controle.3. Se você estiver no modo de exibição por Categoria dê um clique nolink Alternar para o modo de exibição clássico. Se você já estiver nomodo de exibição clássico vá para o próximo passo.4. Dê um clique duplo na opção Conexões de rede.5. Serão exibidas as conexões de rede e a conexão com a Internet (ouconexões, caso você tenha mais do que uma conexão configurada).6. Dê um clique na conexão para a qual você ativou o ICF.7. No painel da esquerda, no grupo de opções Tarefas da rede, dê umclique na opção Alterar as configurações desta conexão.8. Dê um clique na guia Avançado.9. Na guia Avançado, dê um clique no botão Configurações...10. Será exibida a janela Configurações avançadas. Dê um clique naguia Log de segurança. Serão exibidas as opções indicadas na Figura aseguir:



Configurando opções do log de segurança do ICF

Nesta guia temos as seguintes opções:

• Regis t ra r em logo os pacotes e l im in ados: Marqueesta opção para que todos os pacotes ignorados/bloqueadosque se originaram da rede privada ou da Internet, sejamregistrados no log de segurança do ICF.

• Regis t ra r em log as conex ões bem- suced idas : Marque esta opção para que todas as conexões bem-

sucedidas que se originaram da sua rede local ou daInternet serão registradas no log de segurança.

• Camp o Nom e: Neste campo definimos o nome doarquivo onde serão gravadas as entradas do log desegurança. Por padrão é sugerido o seguinte caminho:C:\Windows\pfirewall.log. Substitua C:\Windows pela pastaonde está instalado o Windows XP, caso este tenha sidoinstalado em outra pasta.



• Li m i t e d e t a m a n h o : Define o tamanho máximo para oarquivo do log de segurança. O tamanho máximo admitidopara o arquivo de log é 32.767 quilobytes (KB). Quando otamanho máximo for atingido, as entradas de log maisantigas serão descartadas.

11. Marque a opção Registrar em log os pacotes eliminados.12. Marque a opção Registrar em log as conexões bem sucedidas.13. Dê um clique no botão OK para aplicar as novas configurações.14. Você estará de volta à guia Avançado da janela de Propriedades daconexão. Dê um clique no botão OK para fechar esta janela.15. Faça uma conexão com a Internet e acesse alguns sites, abra oOutlook e envie algumas mensagens. Isto é para gerar tráfego através

do Firewall, para que sejam geradas entradas no log de segurança.

Agora vamos abrir o arquivo e ver os eventos que foram gravados nolog de segurançao.

16. Abra o bloco de Notas.17. Abra o arquivo definido como aqruivo de log, que por padrão é oarquivo C:\Windows\pfirewall.log. Caso você tenha alterado esta opção,abra o respectivo arquivo.

Na Figura a seguir temos uma visão de algumas entradas que foramgravadas no arquivo de log.

O arquivo do log de segurança.



Observe que cada entrada segue um padrão definido, como porexemplo:

2002-03-18

23:07:57 DROP UDP 200.176.2.10 200.176.165.149 53 3013 379

-------

Data Hora Ação Prot.End. IPorigem

End. IP Destino po pd tamanho.

Onde:

Prot. = Protocolo utilizado para comunicação.po = Porta de origem.pd = Porta de destino.

Nota : Estas informações são especialmente úteis para técnicos emsegurança e redes, que conhecem bem o protocolo TCP/IP, possamanalisar a origem de possíveis ataques. Para mais detalhes sobre Portasno Protocolo TCP/IP, consulte a Parte 12 deste tutorial.

18. Feche o arquivo de log.

Nota : Para desabilitar o log de segurança, repita os passos de 1 a 10 edesmarque as opções desejadas. Por exemplo, se você não desejaregistrar um log das conexões bem sucedidas, as quais não representamperigo de ataque, desmarque a opção Registrar em log as conexões bemsucedidas.

Habilitando serviços que serão aceitos pelo ICF

Se você tem uma conexão permanente com a Internet e quer utilizar oseu computador com Windows XP como um servidor Web(disponibilizando páginas), um servidor ftp (disponibilizando arquivospara Download) ou outro tipo de serviço da Internet, você terá queconfigurar o ICF para aceitar requisições para tais serviços. Lembre que,por padrão, o ICF bloqueia todo tráfego vindo da Internet, que não sejaresposta a uma requisição da rede interna, enviada pelo usuário. Sevocê vai utilizar o seu computador como um Servidor, o tráfego vindode fora corresponderá as requisição dos usuários, requisições estas queterão que passar pelo ICF para chegarem até o servidor e ser



respondidas.

Por padrão nenhum dos serviços está habilitado, o que garante umamaior segurança. Para habilitar os serviços necessários, siga osseguintes passos:

1. Faça o logon como Administrador ou com uma conta com permissãode Administrador.2. Abra o Painel de controle: Iniciar -> Painel de controle.3. Se você estiver no modo de exibição por Categoria dê um clique nolink Alternar para o modo de exibição clássico. Se você já estiver nomodo de exibição clássico vá para o próximo passo.4. Dê um clique duplo na opção Conexões de rede.

5. Serão exibidas as conexões de rede e a conexão com a Internet (ouconexões, caso você tenha mais do que uma conexão configurada).6. Dê um clique na conexão para a qual você ativou o ICF.7. No painel da esquerda, no grupo de opções Tarefas da rede, dê umclique na opção “Alterar as configurações desta conexão”.8. Dê um clique na guia Avançado.9. Na guia Avançado, dê um clique no botão Configurações...10. Será exibida a janela Configurações avançadas. Dê um clique naguia Serviços, será exibida a janela indicada na Figura a seguir:



Habilitando/desabilitando serviços para o ICF.

Para habilitar um determinado serviço, basta marcar a caixa de seleçãoao lado do respectivo serviço. Ao clicar em um determinado serviço,será aberta, automaticamente, uma janela Conigurações de serviço.Esta janela vem com o valor padrão para os parâmetros de configuraçãodo respectivo serviço. Somente altere estes valores se você souberexatamente o que cada parâmetro significa, pois ao informarparâmetros incorretamente, o serviço deixa de funcionar.

Você também pode utilizar o botão Adicionar..., para adicionar novos

serviços, não constantes na lista.

11. Após ter habilitados os serviços necessários, dê um clique no botãoOK para aplicar as alterações.12. Você estará de volta à janela Propriedades da conexão. Dê umclique no botão OK para fechá-la.

Configurações do protocolo ICMP para o Firewall

Conforme descrito anteriormente, o protocolo ICMP é utilizado por uma



série de utilitários de rede, utilitários estes que são usados peloAdministrador da rede para fazer testes de conexões e monitorarequipamentos e linhas de comunicação. Por padrão o ICF bloqueia otráfego ICMP. Nós podemos personalizar a maneira como o tráfego ICMPserá tratado pelo ICF. Podemos liberar todo o tráfego ICMP ou apenasdeterminados tipos de uso, para funções específicas.

Para configurar o padrão de tráfego ICMP através do Firewall, faça oseguinte:

1. Faça o logon como Administrador ou com uma conta com permissãode Administrador.2. Abra o Painel de controle: Iniciar -> Painel de controle.

3. Se você estiver no modo de exibição por Categoria dê um clique nolink Alternar para o modo de exibição clássico. Se você já estiver nomodo de exibição clássico vá para o próximo passo.4. Dê um clique duplo na opção Conexões de rede.5. Serão exibidas as conexões de rede e a conexão com a Internet (ouconexões, caso você tenha mais do que uma conexão configurada).6. Dê um clique na conexão para a qual você ativou o ICF.7. No painel da esquerda, no grupo de opções Tarefas da rede, dê umclique na opção “Alterar as configurações desta conexão”.8. Dê um clique na guia Avançado.

9. Na guia Avançado, dê um clique no botão Configurações...10. Será exibida a janela Configurações avançadas. Dê um clique naguia ICMP, será exibida a janela indicada na Figura a seguir:



Configurando o tráfego ICMP através do Firewall.

Na guia ICMP podemos marcar/desmarcar as seguintes opções:

• Perm i t i r so l i c i tação de eco na en t rada: As mensagensenviadas para este computador serão repetidas para oremetente. Por exemplo, se alguém de fora der um pingpara este computador, uma resposta será enviada. Se estaopção estiver desmarcada o computador não responderá acomandos como ping e tracert.

• Per m i t i r so l ic it ação de ca r i m bo de data / ho r a deen t r ada : Os dados enviados para o computador podem serconfirmados por uma mensagem indicando quando foramrecebidos.

• Perm i t i r so l i c i tação de m áscara de en t rada: Amáscara de entrada é um parâmetro de configuração doprotocolo TCP/IP, parâmetro este que é utilizado peloprotocolo para definir se duas máquinas que estão tentandose comunicar, pertencem a mesma rede ou a redes



diferentes. Se este parâmetro estiver marcado, ocomputador será capaz de fornecer diversas informaçõessobre a rede a qual ele está conectado. Esta opção éimportante quando estamos utilizando programas degerenciamento de rede que, utilizam o protocolo ICMP paraobter informações sobre os equipamentos da rede.

• Per m i t i r so l i ci t ação de r o teador de en t r ada : Se estaopção estiver marcada o computador será capaz deresponder às solicitações sobre quais rotas ele conhece.

• Perm i t i r des t ino de sa ída inacessíve l : Os dadosenviados pela Internet, tendo como destino este computador

e, que não conseguiram “chegar” até ele devido a algumerro serão descartados e será exibida uma mensagemexplicando o erro e informando que o destino estáinacessível. A mensagem será exibida no computador deorigem, o qual tentou enviar dados para este computador,dados estes que não conseguiram chegar.

• Per m i t i r r e t a r dam en to de o r i gem d e sa ída : Quando acapacidade de processamento de dados de entrada docomputador não for compatível com a taxa de transmissãodos dados que estão chegando, os dados serão descartadose será solicitado ao remetente que diminua a velocidade detransmissão.

• Per m i t i r p r ob l em a no pa r âmet r o de saída : Se estecomputador descartar dados devido a um problema nocabeçalho dos pacotes de dados, ele enviará ao remetenteuma mensagem de erro informando que há um cabeçalhoinválido.

• Perm i t i r h ora de saída u l t rapassada: Se o computador

descartar uma transmissão de dados por precisar de maistempo para concluí-la, ele enviará ao remetente umamensagem informando que o tempo expirou.

• Per m i t i r r ed i r eci onam en to : Os dados enviados pelocomputador seguirão uma rota alternativa, se uma estiverdisponível, caso o caminho (rota) padrão tenha sidoalterado.



11. Marque as opções que forem necessárias, de acordo com as funçõesque estiver desempenhando o comuptador.12. Após ter marcado as opções necessárias, dê um clique no botão OKpara aplicar as alterações.12. Você estará de volta à janela Propriedades da conexão. Dê umclique no botão OK para fechá-la.

Conclusão

Nesta parte do tutorial mostrei como funciona o serviço firewall doWindows XP, conhecido como ICF – Internet Connection Firewall. O ICFapresenta funcionalidades básicas e um nível de proteção satisfatóriopara usuários domésticos e de pequenas redes. Para redes empresarias,

sem nenhuma dúvida, faz-se necessária a utilização de produtosprojetados especificamente para proteção e desempenho. Um destesprodutos é o Internet Security and Acceleration Server – ISA Server.Maiores detalhes no seguinte endereço:http://www.microsoft.com/isaserver.

Ao fazer uma conexão com a Internet estamos em contato com omundo; e o mundo em contato conosco. A Internet é uma “via de mãodupla”, ou seja, podemos acessar recursos em servidores do mundointeiro, porém o nosso computador também pode ser acessado porpessoas do mundo inteiro, se não tomarmos alguns cuidados básicoscom segurança.

Para nos proteger contra estes “perigos digitais”, aprendemos a habilitare configurar o ICF – Internet Connector Firewall. Aprendemos sobre oconceitod e Firewall e como configurar o ICF.




Introdução ao IPSec

Introdução:

Esta é a décima oitava parte do Tutorial de TCP/IP. Na Parte 1 tratei dosaspectos básicos do protocolo TCP/IP. Na Parte 2 falei sobre cálculosbinários, um importante tópico para entender sobre redes, máscara desub-rede e roteamento. Na Parte 3 falei sobre Classes de endereços, naParte 4 fiz uma introdução ao roteamento e na Parte 5 apresentei maisalguns exemplos/análises de como funciona o roteamento e na Parte 6

falei sobre a Tabela de Roteamento. Na Parte 7 tratei sobre a divisão deuma rede em sub-redes, conceito conhecido como subnetting. Na Parte8 fiz uma apresentação de um dos serviços mais utilizados pelo TCP/IP,que é o Domain Name System: DNS. O DNS é o serviço de resolução denomes usado em todas as redes TCP/IP, inclusive pela Internet que,sem dúvidas, é a maior rede TCP/IP existente. Na Parte 9 fiz umaintrodução ao serviço Dynamic Host Configuration Protocol – DHCP. NaParte 10 fiz uma introdução ao serviço Windows Internet Name Services– WINS. Na Parte 11 falei sobre os protocolos TCP, UDP e sobre portasde comunicação. Parte 12, mostrei como são efetuadas as configuraçõesde portas em diversos aplicativos que você utiliza e os comandos doWindows 2000/XP/2003 utilizados para exibir informações sobre portasde comunicação. Na Parte 13 falei sobre a instalação e a configuraçãodo protocolo TCP/IP. Na Parte 14 fiz uma introdução sobre o protocolode roteamento dinâmico RIP e na Parte 15 foi a vez de fazer aintrodução a um outro protocolo de roteamento dinâmico, o OSPF. NaParte 16 você aprendeu sobre um recurso bem útil do Windows 2000: Ocompartilhamento da conexão Internet, oficialmente conhecida comoICS – Internet Conection Sharing. Este recurso é útil quando você temuma pequena rede, não mais do que cinco máquinas, conectadas emrede, todas com o protocolo TCP/IP instalado e uma das máquinas tem

conexão com a Internet. Você pode habilitar o ICS no computador quetem a conexão com a Internet. Na Parte 17, você aprendeu a utilizar oIFC – Internet Firewall Connection (Firewall de Conexão com aInternet). O IFC faz parte do Windows XP e do Windows Server 2003,não estando disponível no Windows 2000. O I FC t em como ob j e t i vop r o t ege r o acesso do usuár i o con t r a “ a taques ” e “ pe r i gos ”v i n d o s d a I n t e r n e t .

Nesta décima oitava parte, farei uma apresentação sobre o protocoloIPSec. O IPSec faz parte do Windows 2000, Windows XP e Windows



Server 2003. O IPSec pode ser utilizado para criar um canal decomunicação seguro, onde todos os dados que são trocados entre oscomputaodres habilitados ao IPSec, são criptografados.

O protocolo IPSec

O IPSec é um conjunto de padrões utilizados para garantir umacomunicação segura entre dois computadores, mesmo que asinformações estejam sendo enviadas através de um meio não seguro,como por exemplo a Internet. Observe que esta definição é parecidacom a definição de VPN – Virtual Private Network. Por isso que acombinação L2TP/IPSec é uma das opções mais indicadas para a criaçãode conexões do tipo VPN.

Por exemplo, vamos imaginar uma rede local de uma empresa, ondevocê quer garantir a segurança das informações que são trocadas entrea estação de trabalho do Presidente da empresa e as estações detrabalho da diretoria. Ou seja, se um dos diretores acessar um arquivoem uma pasta compartilhada, no computador do Presidente daempresa, você quer garantir que todos os dados enviados através darede sejam criptografados, para garantir um nível adicional desegurança. Este é um exemplo típico onde a utilização do protocoloIPSec é recomendada. Ou seja, você pode configurar o computador doPresidente e os computadores dos diretores, para que somente aceitemcomunicação via IPSec. Com isso estes computadores poderão trocarinformações entre si, mas outros usuários, que não estejam habilitadosao IPSec, não poderão se comunicar com os computadores com IPSechabilitado.

Uma introdução ao protocolo IPSec

O IPSec é baseado em um modelo ponto-a-ponto, no qual doiscomputadores, para trocar informações de maneira segura, usandoIPSec, devem “concordar” com um conjunto comum de regras e

definições do IPSec. Com o uso do IPSEc e das tecnologias associadas,os dois computadores são capazes de se autenticar mutuamente emanter uma comunicação segura, com dados criptografados, mesmousando um meio não seguro, como a Internet.

O uso do protocolo IPSec apresenta funcionalidades importantes,quando existe uma necessidade de grande segurança na comunicaçãoentre dois computadores. A seguir apresento as principais destascaracterísticas:



• Uma p r o teção ag r ess iva con t r a a taques à r edepr i vada e à I n t e r ne t m an tendo a f aci l i dade de uso . Aomesmo tempo que fornece uma proteção efetiva contraataques e tentativas de captura dos dados, o IPSec é fácil deconfigurar, com o uso de políticas de segurança, conformevocê aprenderá na parte prática, logo a seguir.

• Um con j un to de serv i ços de pro t eção baseados emcr ip to gra f ia e p ro toco los de seguran ça. A criptografia éum dos elementos principais do IPSec, para garantir que osdados não possam ser acessados por pessoas nãoautorizadas. Neste ponto é importante salientar que existemdiferentes formas de uso do IPSec com o Windows 2000.

Uma delas é usando o IPSec padrão, conforme definidopelos padrões do IETF. Este uso é conhecido como uso doIPSec no modo de túnel. Já uma implementação específicada Microsoft, usa o IPSec em conjunto com o protocoloL2TP, sendo o L2TP o responsável pela criptografia dosdados. Este modo é conhecido como modo de transporte. Nomodo de túnel somente é possível usar o IPSec em redesbaseadas em IP. Já no modo de transporte, o L2TP é umprotocolo de nível de transporte, por isso é possível usarIPSec/L2TP para transportar não apenas pacotes IP, mas

também IPX, NetBEUI e assim por diante.• Segur ança do com eço ao f im . Os únicos computadoresna comunicação que devem saber sobre a proteção de IPSecsão o remetente e o receptor, ou seja, o meio através doqual os pacotes são enviados não precisa estar habilitado aoIPSec. Observem que este é o conceito de enviarinformações de uma maneira segura, usando um meio nãoseguro. O exemplo típico é a criação de VPNs, usando aInternet. A Internet em si, baseada apenas no protocoloTCP/IP não é um meio seguro, uma vez que, por padrão, os

dados não são criptografados. Porém adicionando técnicasde criptografia e tunelamento, disponíveis com o uso doIPSec com o L2TP, podemos criar túneis seguros, através deum meio não seguro. É o conceito de VPN em sua essência.

• A capac idade de pro teger a com unicação ent reg r upos de t r aba l ho , computadores de rede local, clientes eservidores de domínio, escritórios de filiais que podem serfisicamente remotos, extranets, clientes móveis eadministração remota de computadores.



Configuração baseada em diretivas de segurança

Os métodos de segurança mais fortes que são baseados em criptografiatêm a capacidade de aumentar muito a sobrecarga administrativa. Aimplementação do IPSec no Windows 2000 Server e no Windows Server2003 evita esse problema implementando a administração do IPSec combase em diretivas de segurança, configuradas via GPOs.

Nota : Para detalhes completos sobre Group Policy Objects (GPOs),consulte o livro: Windows Server 2003 – Curso Completo, 1568 páginas,de minha autoria, publicado pela Axcel Books.

Em vez de aplicativos ou sistemas operacionais, você usa as diretivas

para configurar o IPSec. Como as configurações são aplicadas via GPOs,o Administrador pode aplicar as configurações de IPSec a todos oscomputadores de um domínio, site ou unidade organizacional. OWindows 2000 e o Windows Server 2003 fornecem um console degerenciamento central, o Gerenciamento de diretivas de segurança IP,para definir e gerenciar as diretivas de IPSec. As diretivas podem serconfiguradas para fornecer níveis variáveis de proteção para a maioriados tipos de tráfego na maioria das redes existentes, com a aplicação defiltros e regras personalizadas, conforme você verá na parte prática,mais adiante.

Existe um conjunto de diretivas básicas, para habilitar o IPSec, quedeterminam como será efetuada a comunicação entre os computadorescom o IPSec habilitado. A seguir descrevo, resumidamente, estasdiretivas padrão, disponíveis no Windows 2000 Server e no WindowsServer 2003:

• Server ( Request Secur i t y ) : Ao habilitar esta diretiva,também serão aceitas comunicações não seguras, porémpara estabelecer uma conexão segura, os clientes devemutilizar um método de autenticação aceito pelo servidor.

Com esta política serão aceitas comunicações não seguras(não utilizando IPSec), se o outro lado não suportar o uso doIPSec. Ou seja, quando o cliente tenta se comunicar com oservidor, o Servidor tenta estabelecer uma comunicaçãousando IPSec. Se o cliente não estiver configurado parautilizar o IPSec, a comunicação será estabelecida mesmoassim, sem a utilização de IPSec.

• Cl i en t ( Respond on l y ) : Esta política é indicada paracomputadores da rede interna, da Intranet da empresa. Ao



iniciar a comunicação com outros computadores, não seráutilizado o IPSec. Contudo se o outro computador exigir ouso do IPSec, a comunicação via IPSec será estabelecida.

• Secur i t y Server ( Request Secur i t y ) : Aceita um iníciode comunicação não seguro, mas requer que os clientesestabeleçam uma comunicação segura, usando IPSec e umdos métodos aceitos pelo servidor. Se o cliente não puderatender estas condições, a comunicação não seráestabelecida.

Uma maneira mais simples de fornecer proteção dos dados

A implementação da IPSec no nível de transporte IP (Camada de rede,nível 3) permite um alto nível de proteção com pouca sobrecarga. Ai m p l emen t ação do I PSec não r equer nenh um a a lt e r ação nosap l i ca t i vos ou s i s tem as operac iona is ex i s ten tes , basta acon f i gu r ação das d i r e t i vas de segur ança , pa r a que o com pu t adorpasse a usa r o I PSec. Au tom at i cam en te , t odos os p r og r am asins ta lados no com put ador , passarão a u t i l i za r o I PSec para t r ocade i n f o r m ações com ou t r os com pu t ador es t am bém h ab i l it ados aoI PSec. I sso é bem m a i s f ác il de i mp l em en ta r e de adm i n i s t r a r doque t e r que con f i gu r a r a c r i p t og r a f i a e segur ança em cadaap l i ca t i vo ou serv i ço .

Out r os m ecan i smos de segur an ça que oper am sob r e a cam adade rede 3 , com o Secure Socket s Layer ( SSL) , só fo rn ecemseguran ça a ap l i ca t i vo s hab i l i t ados ao SSL, com o os navegad oresda Web. Você deve mod i f i car todos os ou t ros ap l i ca t i vos parapro teger as com unicações com SSL, ou se ja , os progr am as temque ser a l te r ados para poder em u t i l i za r o SSL. Os m ecan ism osde segur ança que oper am aba i xo da cam ada de r ede 3 , com ocr i p t og r a f i a de camada de v íncu l o , só p r o tegem o l i nk , m as nãonecessa r i amen t e t odos os l i nks ao l ongo do cam i nho de dados .

I sso t o r na a c r i p t og r a f i a da cam ada de l inks i nadequada pa r ap r o t eção de dados do p r i nc íp i o ao f i m n a I n t e r n e t ou na I n t r ane tda emp r esa.

A implementação do IPSec na Camada de rede 3 fornece proteção paratodos os protocolos IP e de camada superior no conjunto de protocolosTCP/IP, como TCP, UDP, ICMP, etc. A principal vantagem de informações



seguras nessa camada é que todos os aplicativos e serviços que usam IPpara transporte de dados podem ser protegidos com IPSec, semnenhuma modificação nos aplicativos ou serviços (para protegerprotocolos diferentes de IP, os pacotes devem ser encapsulados por IP).

Características e componentes do protocolo IPSec

Quando o IPSec é habilitado e dois computadores passam a secomunicar usando IPSec, algumas modificações são efetuadas namaneira como é feita a troca de informações entre estes computadores.

A primeira mudança é que o protocolo IPSec adiciona um cabeçalho(Header) em todos os pacotes. Este cabeçalho é tecnicamente conhecido

como AH (Authentication header). Este cabeçalho desempenha trêsimportantes funções:

• É utilizado para a autenticação entre os computadores quese comunicarão usando IPSec.

• É utilizado para verificar a integridade dos dados, ou seja,para verificar se os dados não foram alterados oucorrompidos durante o transporte.

• Impede ataques do tipo repetição, onde pacotes IPSec sãocapturados e em seguida reenviados ao destino, em umatentativa de ter acesso ao computador de destino. Ocabeçalho de autenticação impede este tipo de ataque, poiscontém informações que permite ao destinatário identificarse um pacote já foi entregue ou não. No cabeçalho AHestão, dentre outras, as seguintes informações: Aidentificação do próximo cabeçalho, o tamanho docabeçalho, parâmetros de segurança, número de seqüênciae autenticação de dados (contém informações para averificação da integridade de dados).

Um detalhe importante a salientar é que o cabeçalho de identificaçãonão é criptografado e não é utilizado para criptografar dados. Conformeo nome sugere ele contém informações para a autenticação e paraverificação da integridade dos dados.

Mas além da autenticação mútua e da verificação da integridade dosdados é preciso garantir a confidencialidade dos dados, ou seja, se ospacotes forem capturados é importante que não possam ser lidos a nãoser pelo destinatário. A confidencialidade garante que os dados somente



sejam revelados para os verdadeiros destinatários.

Para garantir a confidencialidade, o IPSec usa pacotes no formatoEncapsulating Security Payload (ESP). Os dados do pacote sãocriptografados antes da transmissão, garantindo que os dados nãopossam ser lidos durante a transmissão mesmo que o pacote sejamonitorado ou interceptado por um invasor. Apenas o computador coma chave de criptografia compartilhada será capaz de interpretar oumodificar os dados. Os algoritmos United States Data EncryptionStandard (DES padrão dos Estados Unidos), DES (Data EncryptionStandard) e 3DES (Triple Data Encryption Standard) são usados paraoferecer a confidencialidade da negociação de segurança e dointercâmbio de dados de aplicativo. O Cipher Block Chaining (CBC) é

usado para ocultar padrões de blocos de dados idênticos dentro de umpacote sem aumentar o tamanho dos dados após a criptografia. Ospadrões repetidos podem comprometer a segurança fornecendo umapista que um invasor pode usar para tentar descobrir a chave decriptografia. Um vetor de inicialização (um número inicial aleatório) éusado como o primeiro bloco aleatório para criptografar edescriptografar um bloco de dados. Diferentes blocos aleatórios sãousados junto com a chave secreta para criptografar cada bloco. Issogarante que conjuntos idênticos de dados não protegidos sejamtransformados em conjuntos exclusivos de dados criptografados.

Usando as tecnologias descritas, o protocolo IPSec apresenta asseguintes características/funcionalidades:

• A configuração e habilitação do IPSec é baseada no uso dePolices. Não existe outra maneira de criar, configurar ehabilitar o IPSec a não ser com o uso de uma GPO. Issofacilita a configuração e aplicação do IPSec a grupos decomputadores, como por exemplo, todos os computadoresdo domínio ou de um site ou de uma unidade organizacional.

• Quando dois computadores vão trocar dados usandoIPSec, a primeira etapa é fazer a autenticação mútua entreos dois computadores. Nenhuma troca de dados é efetuada,até que a autenticação mútua tenha sido efetuada comsucesso.

• O IPSec utiliza o protocolo Kerberos para autenticação dosusuários.



• Quando dois computadores vão se comunicar via IPSec, écriada uma SA (Securtiy Association – associação desegurança) entre os computadores. Na SA estão definidas asregras de comunicação, os filtros a serem aplicados e oconjunto de chaves que será utilizado para criptografia eautenticação.

• O protocolo IPSec pode utilizar certificados de chavepública para confiar em computadores que utilizam outrossistemas operacionais, como por exemplo o Linux.

• O IPSec fornece suporte ao pré-compartilhamento de umachave de segurança (preshared key support). Em situações

onde não está disponível o uso do protocolo Kerberos, umachave, como por exemplo a definição de uma senha, podeser configurada ao criar a sessão IPSec. Esta chave tem queser informada em todos os computadores que irão trocardados de forma segura, usando IPSec.

• Conforme descrito anteriormente, o uso do IPSec éabsolutamente transparente para os usuários e aplicações.O computador é que é configurado para usar o IPSec. Osprogramas instalados neste computador passam a usar oIPSec, sem que nenhuma modificação tenha que serefetuada. Os dados são interceptados pelo sistemaoperacional e a comunicação é feita usando IPSec, sem queos usuários tenha que fazer quaisquer configuraçõesadicionais.

Conclusão

Nesta parte do tutorial fiz uma breve apresentação do protocolo IPSec, oqual já é parte integrante do Windows 2000, Windows XP e WindowsServer 2003. Inicialmente apresentei a fundamentação teórica sobre

IPSec, para que o leitor possa entender exatamente o que é o IPSec equando utiliza-lo. Mostrei que este protocolo é configurado/habilitadoatravés do uso de políticas de segurança e que existem diferentesmodelos de políticas de segurança disponíveis no Windows 2000 Servere/ou Windows Server 2003.

O IPSec é um conjunto de padrões utilizados para garantir umacomunicação segura entre dois computadores, mesmo que asinformações estejam sendo enviadas através de um meio não seguro,como por exemplo a Internet. Observe que esta definição é parecida



com a definição de VPN. Por isso que a combinação L2TP/IPSec é umadas opções para a criação de conexões do tipo VPN.

O IPSec é baseado em um modelo ponto-a-ponto, no qual doiscomputadores, para trocar informações de maneira segura, usandoIPSec, devem “concordar” com um conjunto comum de regras edefinições do IPSec. Com o uso do IPSEc e das tecnologias associadas,os dois computadores são capazes de se autenticar mutuamente emanter uma comunicação segura, com dados criptografados, mesmousando um meio não seguro, como a Internet.



Tutorial de TCP/IP – Parte 19 –Certificados Digitais e Segurança

Introdução:

Esta é a décima nona parte do Tutorial de TCP/IP. Na Parte 1 tratei dosaspectos básicos do protocolo TCP/IP. Na Parte 2 falei sobre cálculosbinários, um importante tópico para entender sobre redes, máscara desub-rede e roteamento. Na Parte 3 falei sobre Classes de endereços, naParte 4 fiz uma introdução ao roteamento e na Parte 5 apresentei mais

alguns exemplos/análises de como funciona o roteamento e na Parte 6falei sobre a Tabela de Roteamento. Na Parte 7 tratei sobre a divisão deuma rede em sub-redes, conceito conhecido como subnetting. Na Parte8 fiz uma apresentação de um dos serviços mais utilizados pelo TCP/IP,que é o Domain Name System: DNS. O DNS é o serviço de resolução denomes usado em todas as redes TCP/IP, inclusive pela Internet que,sem dúvidas, é a maior rede TCP/IP existente. Na Parte 9 fiz umaintrodução ao serviço Dynamic Host Configuration Protocol – DHCP. NaParte 10 fiz uma introdução ao serviço Windows Internet Name Services– WINS. Na Parte 11 falei sobre os protocolos TCP, UDP e sobre portasde comunicação. Parte 12, mostrei como são efetuadas as configuraçõesde portas em diversos aplicativos que você utiliza e os comandos doWindows 2000/XP/2003 utilizados para exibir informações sobre portasde comunicação. Na Parte 13 falei sobre a instalação e a configuraçãodo protocolo TCP/IP. Na Parte 14 fiz uma introdução sobre o protocolode roteamento dinâmico RIP e na Parte 15 foi a vez de fazer aintrodução a um outro protocolo de roteamento dinâmico, o OSPF. NaParte 16 você aprendeu sobre um recurso bem útil do Windows 2000: Ocompartilhamento da conexão Internet, oficialmente conhecida comoICS – Internet Conection Sharing. Este recurso é útil quando você temuma pequena rede, não mais do que cinco máquinas, conectadas em

rede, todas com o protocolo TCP/IP instalado e uma das máquinas temconexão com a Internet. Você pode habilitar o ICS no computador quetem a conexão com a Internet. Na Parte 17, você aprendeu a utilizar oIFC – Internet Firewall Connection (Firewall de Conexão com aInternet). O IFC faz parte do Windows XP e do Windows Server 2003,não estando disponível no Windows 2000. O I FC t em como ob j e t i vop r o t ege r o acesso do usuár i o con t r a “ a taques ” e “ pe r i gos ”v i n d o s d a I n t e r n e t . Na Parte 18 fiz uma apresentação sobre oprotocolo IPSec. O IPSec faz parte do Windows 2000, Windows XP eWindows Server 2003. O IPSec pode ser utilizado para criar um canal de



comunicação seguro, onde todos os dados que são trocados entre oscomputaodres habilitados ao IPSec, são criptografados.

Nesta décima nona parte, farei uma apresentação sobre o conceito dePKI – Public Key Infrastructure e Certificados Digitais. O Windows 2000Server e também o Windows Server 2003 disponibilizam serviços para aemissão, gerenciamento e revogação de Certificados Digitais. Vocêtambém entenderá o papel dos Certificados Digitais em relação àsegurança das informações.

Apresentarei o conceito de PKI - Public Key Infrastructure(Infraestrutura de chave pública). Você verá que uma Public KeyInfrastructure (Infraestrutura de chave pública), abreviada

simplesmente como PKI, nada mais é do que uma infraestrutura desegurança baseada em certificados digitais, em autoridadescertificadores (CA – Certificate Authorities - que emitem e revogam oscertificados) e autoridades de registro, as quais fazem a verificação daautenticidade de todas as estruturas envolvidas em uma PKI.

Nesta parte do tutorial você entenderá o que vem a ser uma PKI,aprenderá sobre os conceitos básicos de uso de um par de chaves parafazer a criptografia e proteção dos dados. Também mostrarei qual opapel do Microsoft Certification Service, que é o servidor da Microsoft

para a emissão e controle de certificados digitais, serviço este disponívelno Windows 2000 Server e também no Windows Server 2003. Com ouso do Microsoft Certificate Services, a empresa pode montar a suaprópria infraestrutura de certificados digitais, sem depender de umaautoridade certificadora externa.

Nota: Para aprender a instalar, configurar e a administrar o MicrosoftCertificate Services, consulte o Capítulo 7 do meu livro: Manual deEstudos Para o Exame 70-216, 712 páginas.

O uso de Certificados e uma infra-estrutura de chave pública é uma

alternativa de baixo custo, para ambientes que precisam de níveis desegurança elevados, como por exemplo departamentos de pesquisa denovos produtos e tecnologias, ou órgãos governamentais estratégicos,como os órgãos de defesa e de segurança. Com o uso do MicrosoftCertificate Services é possível criar a administrar uma estrutura desegurança baseada em Certificados Digitais.

Microsoft Certificate Services e PKI

Neste tópico apresentarei o conceito de PKI e de criptografia baseada



em um par de chaves de criptografia: uma chave pública e uma chaveprivada. Você verá que os Certificados digitais tem papel fundamentalem uma estrutura de PKI. Neste tópico você também aprenderá ainstalar e a configurar o Microsoft Certificate Services.

Um a in t r odução sobre Cer t i f i cados e PKI – Pub l i c KeyI n f r a s t r u c t u r e

Segurança mais do que nunca é um assunto sempre em pauta. Detempos em tempos um novo vírus causa pânico na Internet, novos tiposde ataques são notificados, sites ficam indisponíveis devido a ataques dehackers, problemas com a segurança no acesso a dados que facilitam avida de fraudadores e por aí vai.

No Windows 2000, Windows XP e no Windows Server 2003 existemdiversas maneiras de proteger seus dados: permissões NTFS,criptografia, uso do NAT para acesso à Internet, uso de Group PolicyObjects, uso de diretivas de segurança, direitos de usuários e por aí vai.Neste tópico, abordarei mais um assunto relacionado com segurança:Certificados Digitais.

Uma pergunta que o amigo leitor poderia fazer é a seguinte: “Por queexistem tantos ataques de segurança e por que os hackers parecem

conhecer tão bem os sistemas das empresas?”.Um dos motivos é porque hoje o mundo inteiro (literalmente) utiliza omesmo protocolo para comunicação e troca de dados: TCP/IP. Como oTCP/IP é amplamente conhecido e documentado, esta informaçãotambém é utilizada por hackers, para tentar descobrir falhas no próprioprotocolo, falhas estas que permitam quebra de segurança dos sistemasinformatizados das empresas. Evidentemente que, na maioria dasvezes, os ataques são bem sucedidos, porque os programas foraminstalados com as opções padrão (out of the Box – como saíram dacaixa (a tradução é por minha conta e risco)), sem se preocupar em

ajustar devidamente as configurações de segurança.

Nota : Um dos pontos onde o Windows Server 2003 melhorou, e muito,em relação ao Windows 2000 Server foi nas configurações de segurançaout of the Box. Ou seja, as configurações padrão de segurança doWindows Server 2003, são bem mais severas, restringem bem mais oacesso do que as configurações padrão de segurança do Windows 2000Server. A idéia é simples mas muito eficiente. Por padrão, o nívelmínimo de acesso, necessário ao funcionamento do recurso. Se houvernecessidade de modificações nas configurações de segurança, estas



poderão ser feitas pelo administrador.

Com o uso do TCP/IP como protocolo de comunicação, os dados não sãoprotegidos por padrão, isto é, não são criptografados. Ou seja, se umhacker interceptar uma transmissão, terá acesso aos dados semmaiores problemas, uma vez que não é usada criptografia, por padrão.Claro que para muitas situações, a criptografia e outros recursos desegurança são perfeitamente dispensáveis. Por exemplo, quando vocêacessa o site de uma empresa para obter informações gerais sobre aempresa. Estas informações são de domínio público (afinal estão no siteda empresa) e não há necessidade de criptografá-las. Agora quandovocê faz uma compra pela Internet, usando o seu cartão de crédito, ouquando você faz transações bancárias usando o site do seu Banco, a

coisa muda completamente de figura. Ou seja, você quer o máximo desegurança possível. De maneira alguma você gostaria que alguémpudesse interceptar o seu número de conta, agência e senha.

Inicialmente criou-se um método de criptografia, onde os dados eramcriptografados usando uma determinada chave de criptografia. A chaveé um código com um determinado número de bits. Usa-se este código, juntamente com operações lógicas, para “embaralhar”, ou seja,criptografar os dados. A seqüência de operações lógicas que é realizadacom os dados, usando a chave de criptografia, é definida pelo algoritmo

de criptografia. Em seguida os dados e a chave de criptografia sãoenviados para o destinatário. O destinatário recebe os dados e a chavede criptografia e utiliza esta chave para “descriptografar” os dados. Ummétodo bem seguro, não?

Não. Este m étodo t em d o is p rob lem as pr inc ipa is , os qua is sãodescr i tos a segu i r :

1. A chave de cr i p t og r a f i a é env i ada j un t o com os dados: Comisso, se um hacker interceptar os dados, terá também acesso a chavede criptografia. Usando a chave (os algoritmos de criptografia são de

domínio público, a segurança é baseada normalmente no tamanho dachave. Usam-se chaves com um grande número de bits, para que sejadifícil descobrir a chave que está sendo utilizada) o hacker poderádescriptografar os dados e ter acesso ao conteúdo da mensagem. Pior, ohacker poderia alterar a mensagem e envia-la, alterada, para odestinatário, o qual não teria como saber que a mensagem foi alterada.

2. No final do parágrafo anterior eu descrevo o segundo problema comeste método: e l e não pe r m i t e a v e r i f i cação da i den t i dade de q uemenv i ou a m ensagem . Ou seja, um hacker interceptou a mensagem,



usou a chave para descriptografá-la, alterou a mensagem e a envioupara o destinatário. O destinatário recebe a mensagem e não tem comoverificar se a mensagem veio do emissor verdadeiro ou veio de umhacker. Com este método não é possível verificar e garantir que oemissor seja quem ele diz ser. Não há como verificar a identidade doemissor.

Vejam que somente o uso da criptografia, baseada em uma chaveprivada (chave enviada junto com a mensagem), não é tão seguro comopode parecer. Para solucionar esta questão é que surgiram osCertificados Digitais, com os quais é possível implementar uma infra-estrutura conhecida como PKI - Public Key Infrastructure (Infraestruturade chave pública). Esta infra-estrutura é baseada no uso de certificados

digitais e de um par de chaves: uma chave pública e uma chaveprivada. A seguir descrevo os princípios básicos de um infra-estruturabaseada em chaves pública e privada, para que você possa entendercomo esta infra-estrutura resolve os dois problemas apontados nométodo anterior.

Em uma rede que usa PKI, um Certificado Digital é criado para cadausuário. O Certificado Digital fica associado com a conta do usuário noActive Directory. Para cada usuário é criado um par de chaves: umachave pública e uma chave privada. A chave pública fica disponível no

Active Directory e a chave privada fica com o usuário. O mais comum éa chave privada ficar gravada no Certificado Digital do usuário, em umdisquete que fica com o usuário. Agora vamos entender como funciona acriptografia baseada em um par de chaves: uma pública e outraprivada.

Dados que são criptografados com uma das chaves, somente poderãoser descriptografados com a outra chave. Por exemplo, se vocêcriptografar dados com a chave pública do usuário jsilva, estes dadossomente poderão ser descriptografados com a chave privada do usuário jsilva.

Vamos imaginar que o usuário jsilva precisa enviar dados para o usuáriomaria. Os dados são criptografados com a chave pública do usuárioMaria – chave pública do destinatário. Com a infraestrutura de PKI, aschaves públicas ficam disponíveis para serem acessadas por quaisquerusuário. A chave pública fica gravada no Certificado Digital do usuário ea lista de Certificados Digitais fica publicada para acesso em um servidorde certificados digitais (este é o papel do Microsoft Certificate Services,ou seja, emitir, publicar e revogar certificados digitais para os usuários).



A chave pública do usuário maria é utilizada pelo usuário jsilva paracriptografar os dados, antes de envia-los para o usuário maria. Como osdados foram criptografados com a chave pública do usuário maria, apergunta é: qua l a ú n i ca chave qu e poder á descr i p t og r a fa r es tesdados? A chave p r i vada do usuár i o m ar i a , a qua l somen t e ousuár i o m ar i a t em acesso . Com este método, quando o usuário mariarecebe os dados, ele utilizará a sua chave privada para descriptografá-los. Se um hacker interceptar os dados, ele não conseguirádescriptografá-los, pois não tem acesso a chave privada do usuáriomaria. Observe que com este método, a chave de criptografia não éenviada junto com a mensagem. Além disso, a mensagem écriptografada de tal maneira que somente o destinatário é capaz dedescriptografá-la, ou melhor, a chave privada do destinatário. Como a

mensagem é criptografada com a chave pública do destinatário,somente o próprio destinatário (que é quem tem acesso a sua chaveprivada), será capaz de descriptografar a mensagem.

Observe que com este método é solucionado o problema de ter queenviar a chave de criptografia junto com a mensagem. O problema deverificação da identidade, de ter certeza que o remetente é quem dizrealmente ser, é solucionado com o uso de Certificados digitais. De umamaneira simples, podemos resumir uma PKI como sendo uma infra-estrutura de segurança, baseada no uso de um par de chaves (uma

pública e uma privada) e de Certificados Digitais.Um pouco sobre Certificados Digitais

De uma maneira simples, o Certificado Digital é a versão eletrônica dasua identificação de usuário na rede (usuário e senha). O Cer t i f i cadoD i g i t a l é com o se f osse a “ ca r t e i r a de i den t i dade” do usuár i o nar ede . No Windows 2000 Server e no Windows Server 2003, o certificadodigital do usuário também é conhecido (na documentação oficial), comoum Certificado de chave pública, uma vez que uma das informaçõesgravadas no certificado digital do usuário é justamente a sua chave

pública.

Um certificado de chave pública, geralmente chamado somente decertificado, é uma declaração assinada digitalmente que vincula o valorde uma chave pública à identidade da pessoa (conta do usuário noActive Directory), dispositivo ou serviço que contém a chave privadacorrespondente.

Certificados podem ser emitidos para uma série de funções, comoautenticação de usuário na Internet, autenticação de um servidor Web,



correio eletrônico seguro (S/MIME), IPSec, para utilização com oprotocolo Transaction Layer Security (TLS, segurança de camada detransação) e assinatura de códigos (por exemplo, todos os programasdesenvolvidos pela Microsoft são assinados, digitalmente, com oCertificado digital da Microsoft. O Windows 2000 Server pode serconfigurado para não instalar drives ou programas que não estejamassinados digitalmente ou cujos certificados com os quis foramassinados, não possam ser verificados).

Os certificados digitais tem que ser emitidos por uma AutoridadeCertificadora (CA – Certificate Authority). Uma opção é usar umaautoridade certificadora externa, como por exemplo a Veri Sign, que éuma empresa especializada em segurança e em certificação digital

(www.verisign.com). Com o Windows 2000 Server (e também com oWindows Server 2003), está disponível o Microsoft Certificate Services,que é um servidor que permite criar uma autoridade certificadora naprópria rede da empresa, sem ter que fazer uso de uma entidadecertificadora externa. Ao utilizar o Certificate Services para a emissão egerenciamento de certificados, os certificados digitais poderão serutilizados pelos usuários, para fazer o logon na rede. Os certificadostambém são emitidos de uma autoridade de certificação para outra afim de estabelecer uma hierarquia de certificação. Usando o CertificateServices você poderá criar uma hierarquia de certificação na rede da

empresa.A maioria dos certificados em uso hoje em dia são baseados no padrãoX.509. Esta é a tecnologia fundamental usada na public keyinfrastructure (PKI) do Windows 2000 e do Windows Server 2003.

Nor m a l men t e , os ce r t i f i cados con têm as segu i n tes i n f o r m ações:

• Chave pública do usuário

• Informações da identificação do usuário (como o nome e o

endereço de correio eletrônico)

• Período de validade (o período de tempo em que ocertificado é considerado válido)

• Informações sobre a identificação do emissor docertificado.



• A assinatura digital do emissor, que atesta a validade daligação entre a chave pública do usuário e as informações deidentificação do usuário.

Um certificado só é válido pelo período de tempo nele especificado, ouseja, o certificado tem prazo de validade e tem que ser renovadoperiodicamente. Esta é uma medida importante para garantir aumentaro nível de segurança, pois a cada renovação, um novo par de chaves égerado. Cada certificado contém datas “Válido de” e “Válido até”, quelimitam o período de validade. Depois que o período de validade de umcertificado terminar, um novo certificado deve ser solicitado pelo usuáriodo agora expirado certificado.

Em situações em que seja necessário desabilitar um certificado, estepode ser revogado pelo emissor. Cada emissor mantém uma lista decertificados revogados (CRL – Certification Revocation List), a qual éusada pelos programas quando a validade de um determinadocertificado está sendo verificada. Por exemplo, programas que usamcertificados para autenticação, ao receberem uma tentativa de acesso,primeiro entram em contato com a autoridade certificadora (no caso doWindows 2000 Server um servidor com o Microsoft Certificate Service)para verificar se o certificado que está sendo apresentado para logon,não está na lista dos certificados revogados – CRL. Se o certificado

estiver na CRL, o logon será negado.Certificados e Autoridades de Certificação

Todo certificado é emitido por uma Autoridade de Certificação (CA –Certifcate Authority). A autoridade de certificação, a partir de agoradenominada apenas CA, é responsável pela verificação sobre averacidade dos dados do usuário que está requisitando o certificado. Porexemplo, qualquer usuário pode solicitar um certificado para utilizar naInternet. Para obter o certificado ele precisa utilizar os serviços de umaCA, como por exemplo a VeriSign (www.verisign.com).

Uma autoridade de certificação é uma entidade encarregada de emitircertificados para indivíduos, computadores ou organizações, sendo queos certificados é que confirmam a identidade e outros atributos dousuário do certificado, para outras entidades. Uma autoridade decertificação aceita uma solicitação de certificado, verifica as informaçõesdo solicitador e, em seguida, usa sua chave privada para aplicar aassinatura digital no certificado. A autoridade de certificação emiteentão o certificado para que o usuário do certificado o use como umacredencial de segurança dentro de uma infra-estrutura de chave pública



(PKI). Uma autoridade de certificação também é responsável porrevogar certificados e publicar uma lista de certificados revogados(CRL).

Uma autoridade de certificação pode ser uma empresa que presta oserviço de autoridade certificadora, como o VeriSign, ou pode ser umaautoridade de certificação que você cria para ser usada por sua própriaorganização, instalando os Serviços de certificados do Windows 2000.Cada autoridade de certificação pode ter requisitos diferentes de provade identidade, como uma conta de domínio do Active Directory, cracháde empregado, carteira de motorista, solicitação autenticada ouendereço físico. Verificações de identificação como essa geralmenteasseguram uma autoridade de certificação no local, de tal modo que as

organizações possam validar seus próprios empregados ou membros.

As autoridades de certificação corporativas do Windows 2000 Serverusam as credenciais da conta de usuário do Active Directory de umapessoa, como prova de identidade. Em outras palavras, se você tiverefetuado logon em um domínio do Windows 2000 Server e solicitar umcertificado de uma autoridade de certificação corporativa, a autoridadede certificação saberá que você é quem o Active Directory “diz que vocêé”.

Todas as autoridades de certificação têm um certificado para confirmarsua própria identidade, emitido por outra autoridade de certificaçãoconfiável ou, no caso de autoridades de certificação raiz, emitido porelas mesmas. É importante lembrar que qualquer pessoa pode criar umaautoridade de certificação. A questão real é se você, como um usuárioou um administrador, confia naquela autoridade de certificação e, porextensão, nas diretivas e procedimentos que ela emprega paraconfirmar a identidade dos certificados emitidos para entidades por essaautoridade de certificação.

Em uma rede baseada no Windows 2000 Server (ou no Windows Server

2003), o administrador também pode utilizar uma CA externa. Porém,com o uso do Microsoft Certificate Services, o administrador pode criarsua própria autoridade certificadora. O Certificate Services da Microsoftpermite a criação de sofisticados ambientes de certificação, com acriação de uma hierarquia de CAs. Com o uso do Certificate Servicespodem ser criadas os seguintes tipos de autoridades certificadoras, osquais serão descritos mais adiante:

• Enterprise Root CA.



• Enterprise Subordinate CA.

• Standalone Root CA.

• Standalone Subordinate CA

Ao criar uma estrutura interna para criação e gerenciamento decertificados digitais, você deve definir os procedimentos que serãoutilizados para verificar a veracidade dos dados dos usuários que estãosolicitando certificados. Por exemplo, você pode utilizar as informaçõesdo Active Directory, como sendo as informações oficiais de cadafuncionário, porém o funcionário tem acesso a alterar as informações dasua conta no Active Directory. Com isso você terá que montar uma

metodologia formal de verificação (um pouco de burocracia as vezes sefaz necessária). Por exemplo, você pode solicitar que o chefe imediatodo funcionário confirme os dados em um formulário na Intranet daempresa (formulário de papel também já seria demais).

A existência de uma autoridade certificadora significa que você temconfiança de que a autoridade de certificação possui as diretivascorretas no local correto e ao avaliar as solicitações de certificado, iránegar certificados para qualquer entidade que não atender a essasdiretivas. Esta é uma questão fundamental para garantir a identidadedos usuários. Ao fazer uma verificação rigorosa dos dados informados,antes de emitir um certificado para um usuário, servidor ou computador,a CA garante que quem obtém o certificado realmente é quem diz ser –prova de identidade. Por isso a importância fundamental de definir umametodologia clara, simples e de fácil execução, para a verificação dosdados, antes de emitir os certificados.

Além disso, você confia que a autoridade de certificação irá revogarcertificados que não devem mais ser considerados válidos publicandouma lista de certificados revogados, sempre atualizada (CRL –Certificate Revocation List). As listas de certificados revogados são

consideradas válidas até expirarem. Logo, mesmo que a CA publiqueuma nova lista de certificados revogados com os certificados recémrevogados listados, todos os clientes que possuírem uma lista derevogação de certificados antiga não irão procurar nem recuperar a listanova até que a antiga expire ou seja excluída. Clientes podem usar aspáginas da Web da CA para recuperar manualmente a lista decertificados revogados mais atual, caso seja necessário.

Para serviços, computadores e usuários do Windows 2000 Server, aconfiança em uma autoridade de certificação é estabelecida quando você



possui uma cópia do certificado raiz no armazenamento das autoridadesde certificação raiz confiáveis e tem um caminho de certificação válido,significando que nenhum dos certificados no caminho de certificação foirevogado ou que seus períodos de validade expiraram. O caminho decertificação inclui todos os certificados emitidos para cada CA nahierarquia da certificação de uma CA subordinada para a CA raiz. Porexemplo, para uma CA raiz, o caminho de certificação é um certificado,seu próprio certificado auto-assinado. Para uma CA subordinada, abaixoda CA raiz na hierarquia, seu caminho de certificação inclui 2certificados, seu próprio certificado e o certificado da CA raiz.

Caso sua organização esteja usando o Active Directory, a confiança nasautoridades de certificação da organização será estabelecida

automaticamente, baseada nas decisões e configurações realizadas peloadministrador do sistema e nas relações de confiança criadasautomaticamente pelo Active Directory.

Os diferentes tipos de Autoridades Certificadores

Conforme descrito anteriormente, podem ser criados diferentes tipos deautoridades certificadoras. Pode ser uma autoridade certificadoracorporativa (Enterprise) ou Autônoma (Standalone). Cada um destestipos pode ser uma autoridade certificadora root ou subordinada. Comisso ficamos com os quatro tipos possíveis de autoridades certificadores:

• Corporativa root CA

• Corporativa subordinada CA

• Autônoma root CA

• Autônoma subordinada CA

Uma autoridade de certificação raiz, mais conhecida como autoridade

root, é encarada como o tipo mais confiável de autoridade decertificação na PKI de uma organização. Geralmente, tanto a segurançafísica como a diretiva de emissão de certificados de uma autoridade decertificação raiz são mais rigorosas do que as de autoridades decertificação subordinadas.

Se a au t or idad e de cer t i f i cação ra i z es t i ver com prom et ida ouem i t i r um cer t i f i cado pa r a uma en t i dade não au to r i zada , t oda aseguran ça baseada em cer t i f i cados , da sua or gan ização, es tarávu lneráve l e não será m ais conf iáve l . Enquanto as autoridades de



certificação raiz podem ser usadas para emitir certificados para usuáriosfinais em tarefas como enviar correio eletrônico seguro, na maioria dasorganizações elas são usadas apenas para emitir certificados para outrasautoridades de certificação, chamadas de subordinadas.

Uma au t o r i dade de ce r t i f i cação subor d i nada é um a au to r i dade decer t i f i cação que f o i cer t i f i cada po r ou t r a au to r i dade decer t i f i cação de sua or gan ização, ou se ja , es tá subo rd in ada a um aou t r a en t i dade ce r t i f i cado r a . Se a entidade principal deixar de serconfiável, todas as entidades subordinadas também o deixarão de ser.Geralmente, uma autoridade de certificação subordinada emitirácertificados para usos específicos, como correio eletrônico seguro,autenticação baseada na Web ou autenticação de cartões inteligentes.

Autoridades de certificação subordinadas também podem emitircertificados para outras autoridades de certificação subordinadas em umnível abaixo delas. Com isso é possível criar uma hierarquia deentidades certificadores. Juntas, a autoridade de certificação raiz, asautoridades de certificação subordinadas certificadas pela raiz e asautoridades de certificação subordinadas que foram certificadas poroutras autoridades de certificação subordinadas formam uma hierarquiade certificação.

Autoridades de certificação corporativas

Você pode instalar o Microsoft Certificate Services para criar umaautoridade de certificação corporativa. Autoridades de certificaçãocorporativas podem emitir certificados para várias finalidades, tais comoassinaturas digitais, correio eletrônico seguro usando S/MIME(extensões multipropósito do Internet Mail protegidas), autenticaçãopara um servidor Web seguro usando Secure Sockets Layer (SSL,camada de soquetes de segurança) ou segurança da camada detransporte (TLS) e logon em um domínio do Windows 2000 Server ouWindows Server 2003, usando um cartão inteligente (smart card).

Uma autoridade de certificação corporativa apresenta as seguintescaracterísticas/exigências:

• Uma autoridade de certificação corporativa exige o ActiveDirectory.

• Quando você instala uma autoridade de certificaçãocorporativa raiz, ela é automaticamente adicionada aoarmazenamento de certificados das Autoridades decertificação raiz confiáveis, para todos os usuários e



computadores do domínio. Você precisa ser administradorde domínio ou administrador com direito de gravação noActive Directory para instalar uma autoridade de certificaçãocorporativa raiz.

• Todas as solicitações de certificados enviadas para aautoridade de certificação corporativa serão atendidas ounegadas com base no conjunto de diretivas e permissões desegurança do tipo de certificado solicitado. Autoridades decertificação corporativas nunca definem uma solicitação decertificado como pendente. Elas imediatamente emitem ocertificado ou negam a solicitação.

• Os certificados podem ser emitidos para efetuar logon emum domínio do Windows 2000 Server ou Windows Server2003, usando cartões inteligentes (smart cards).

• O módulo de saída corporativo publica certificados deusuários e a lista de certificados revogados (CRL), no ActiveDirectory. Para publicar certificados no Active Directory, oservidor em que a autoridade de certificação está instaladadeve ser membro do grupo de Certificates Publishers(Publicadores de certificados). Isso é automático para odomínio em que o servidor está, mas a autoridade decertificação precisará receber as permissões de segurançacorretas para publicar certificados em outros domínios.

Uma autoridade de certificação corporativa usa tipos de certificados, quesão baseados em um modelo de certificado. A seguinte funcionalidade épossível devido ao uso de modelos de certificado:

• As autoridades de certificação corporativas aplicamverificações de credenciais aos usuários durante o registrode certificados. Cada modelo de certificado tem uma

permissão de segurança definida no Active Directory quedetermina se quem está solicitando o certificado estáautorizado a receber o tipo de certificado solicitado.

• O nome do usuário do certificado é automaticamentegerado.

• O módulo de diretiva adiciona uma lista predefinida deextensões de certificados ao certificado emitido a partir domodelo do certificado. Isso reduz a quantidade de



informações que a pessoa que solicita o certificado precisafornecer sobre o certificado e sobre o uso pretendido.

Os servidores que desempenham o papel de autoridades certificadorascorporativas, desempenham um papel fundamental na estrutura desegurança da empresa. Por isso é importante que você implementepolíticas de backup e de segurança bem rigorosas em relação a estesservidores.

Além da segurança lógica, no acesso aos dados, é muito importantecuidar também da segurança física, controlando quem tem acesso aoservidor configurado como servidor corporativo root.

Autoridades de certificação autônomas

Você pode instalar os serviços de certificados para criar uma autoridadede certificação autônoma. Autoridades de certificação autônomas podememitir certificados para finalidades diversas, tais como assinaturasdigitais, correio eletrônico seguro usando S/MIME (extensõesmultipropósito do Internet Mail protegidas) e autenticação para umservidor Web seguro usando camada de soquetes de segurança (SSL)ou segurança da camada de transporte (TLS).

Uma autoridade de certificação autônoma tem as seguintescaracterísticas:

• Diferentemente de uma autoridade de certificaçãocorporativa, uma autoridade de certificação autônoma nãoexige o uso do Active Directory. Autoridades de certificaçãoautônomas se destinam principalmente a serem usadasquando extranets e a Internet estão envolvidas. Porexemplo, se parceiros de negócios precisam se conectar arede da empresa para acessar determinados sistemas, vocêpode criar uma autoridade certificadora autônoma, para

emitir certificados para os parceiros de negócio. Estes, porsua vez, usarão estes certificados para se identificar e teracesso a rede da empresa. Além disso, se desejar usar ummódulo de diretiva personalizado para uma autoridade decertificação, você deve, primeiramente, instalar os serviçosde certificados usando diretiva autônoma e, em seguida,substituir a diretiva autônoma pela sua diretivapersonalizada.



• Ao submeter uma solicitação de certificado a umaautoridade de certificação autônoma, o solicitador docertificado deve fornecer, explicitamente, todas asinformações de identificação sobre si mesmo e sobre o tipode certificado desejado na solicitação do certificado. (Não énecessário fazer isso ao submeter uma solicitação a umaautoridade de certificação corporativa, uma vez que asinformações do usuário corporativo já estão no ActiveDirectory e o tipo do certificado é descrito por um modelo decertificado).

Por padrão, todas as solicitações de certificados enviadas para aautoridade de certificação autônoma são definidas como pendentes até

que o administrador da autoridade de certificação autônoma verifique aidentidade do solicitador e dê OK para a solicitação. Isso é feito porrazões de segurança, porque as credenciais do solicitador do certificadonão são verificadas pela autoridade de certificação autônoma.

• Não são usados modelos de certificados, a exemplo doque acontece com as autoridades certificadorescorporativas.

• Nenhum certificado pode ser emitido para efetuar logonem um domínio do Windows 2000 Server ou do WindowsServer 2003 usando cartões inteligentes, mas outros tiposde certificados podem ser emitidos e armazenados em umcartão inteligente.

• O administrador tem que distribuir, explicitamente, ocertificado da autoridade de certificação autônoma para oarmazenamento de raiz confiável dos usuários do domínio,ou os usuários devem executar essa tarefa sozinhos.

Quando uma autoridade de certificação autônoma usa o Active

Directory, ela tem esses recursos adicionais:

• Se um membro do grupo de administradores de domínioou um administrador com direito de gravação no ActiveDirectory instalar uma autoridade de certificação raizautônoma, ela será automaticamente adicionada aoarmazenamento de certificados das autoridades decertificação raiz confiáveis, para todos os usuários ecomputadores do domínio. Por essa razão, ao instalar umaautoridade de certificação raiz autônoma em um domínio do



Active Directory, você não deverá alterar a ação padrão daautoridade de certificação até receber solicitações decertificados (o que marca as solicitações como pendentes).Caso contrário, você terá uma autoridade de certificação raizconfiável que automaticamente emite certificados semverificar a identidade do solicitador.

• Se uma autoridade de certificação autônoma for instaladapor um membro do grupo de administradores de domínio dodomínio pai de uma árvore na empresa, ou por umadministrador com direito de gravação no Active Directory, aautoridade de certificação autônoma publicará oscertificados e a lista de certificados revogados (CRL) no

Active Directory.

Não esqueça: Conheça bem as diferenças entre os diferentes tipos deautoridades certificadores. Lembre-se que autoridades certificadorascorporativas são integradas com o Active Directory, utilizam modelos decertificados para a criação de novos certificados. Já as autoridadescertificadoras autônomas não dependem do Active Directory e nãoutilizam modelos de certificados. A seguir um pequeno resumo sobrecada um dos quatro tipos, para você fixar bem sobre a função e ascaracterísticas de cada um dos tipos de autoridades certificadores:

1. Ente r p r i se r oo t CA – Au to r i dade ce r t i f i cado r a co r po r a t i va r oo t :Um único servidor pode ser configurado como Enterprise root CA emuma floresta de domínios de uma empresa. Este servidor ocupa o topoda hierarquia de autoridades certificadoras. Normalmente não é utilizadopara emitir certificados para usuários ou computadores, mas sim paraautoridades certificadores corporativas subordinadas. Os certificadospara usuários e computadores são emitidos pelas autoridadessubordinadas. Com isso você pode criar uma hierarquia de autoridadescertificadoras, de tal maneira que a emissão de certificados sejaefetuada por um servidor do próprio domínio do usuário. Outro detalhe

importante é que a autoridade certificadora root é responsável porassinar o seu próprio certificado (afinal não há nenhuma autoridadeacima dela). Isso é que caracteriza esta autoridade como umaautoridade certificadora root.

2. Ent erpr i se subor d ina t e CA – Autor idade cer t i f i cadoraCor po r a t i va subor d i nada: Para instalar uma autoridade certificadoracorporativa subordinada, você deve ter acesso ao certificado daautoridade certificadora corporativa root. O uso deste certificado é queliga a autoridade certificadora que está sendo instalada, como um



autoridade subordinada a autoridade certificadora root, formando umahierarquia de entidades certificadoras. Este tipo de autoridade podeemitir certificados para usuários e computadores do Active Directory oupara outras autoridades certificadores subordinadas de níveis maisbaixo, aumentando desta maneira, o número de níveis da hierarquia deautoridades certificadoras.

3. Stand- a l one r oo t CA – Au t o r i dade cer t i f i cado r a au tônom a r oo t :Este tipo de autoridade certificadora não depende do Active Directory.Pode ser utilizado, por exemplo, para emitir certificados para parceirosde negócio e prestadores de serviço, que precisam de certificadosdigitais para acessar determinadas áreas da Intranet ou da Extranet daempresa. Uma vantagem adicional é que um servidor configurado como

autoridade certificadora autônoma root, pode ser desconectado da rede,como uma garantia adicional de segurança. Este tipo de autoridadecertificadora também é responsável por emitir os certificados de registrodas autoridades certificadoras autônomas subordinadas.

4. Stan d-a lone subor d ina t e CA - Autor idade Cer t i f i cadoraAu tônom a Subor d i nada : Este tipo de autoridade certificadora estásubordinada a uma autoridade certificadora autônoma root. O processonormalmente é o mesmo utilizado para o caso das autoridadescertificadoras corporativas, ou seja, a autoridade certificadora autônoma

root não é utilizada para emissão de certificados para usuários ecomputadores, mas sim para a emissão de certificados para asautoridades certificadoras autônomas subordinadas. As autoridadescertificadoras autônomas subordinadas é que são responsáveis pelaemissão dos certificados para usuários e computadores.

Conclusão

Nesta parte do tutorial fiz uma breve apresentação sobre PKI,Certificados Digitais e Autoridades Certificadores. Você tambémaprendeu sobre a criptografia baseada no uso de um par de chaves:

pública e privada e como utilizar o Microsoft Certificate Services paracriar uma autoridade certificadora na própria rede da empresa.



Tutorial de TCP/IP – Parte 20 – NAT –

Network Address Translation

Introdução:

Prezados leitores, esta é a vigésima e última parte, desta primeira etapados tutoriais de TCP/IP. As partes de 01 a 20, constituem o módulo queeu classifiquei como Introdução ao TCP/IP. O objetivo deste módulo foiapresentar o TCP/IP, mostrar como é o funcionamento dos serviçosbásicos, tais como endereçamente IP e Roteamento e fazer umaapresentação dos serviços relacionados ao TCP/IP, tais como DNS,

DHCP, WINS, RRAS, IPSec, Certificados Digitais, ICS, compartilhamentoda conexão Internet e NAT (assunto desta parte, ou seja Parte 20 dotutorial). No decorrer de 2004 serão disponibilizados mais 20 tutoriaisde TCP/IP (de 21 a 40), nas quais falarei mais sobre os aspéctos doprotocolo em si, tais como a estrutura em camadas do TCP/IP e detalhesum maior detalhamento sobre cada um dos protocolos que formam oTCP/IP: TCP, IP, UDP, ARP, ICMP e por aí vai.

Esta é a vigésima parte do Tutorial de TCP/IP. Na Parte 1 tratei dosaspectos básicos do protocolo TCP/IP. Na Parte 2 falei sobre cálculosbinários, um importante tópico para entender sobre redes, máscara desub-rede e roteamento. Na Parte 3 falei sobre Classes de endereços, naParte 4 fiz uma introdução ao roteamento e na Parte 5 apresentei maisalguns exemplos/análises de como funciona o roteamento e na Parte 6falei sobre a Tabela de Roteamento. Na Parte 7 tratei sobre a divisão deuma rede em sub-redes, conceito conhecido como subnetting. Na Parte8 fiz uma apresentação de um dos serviços mais utilizados pelo TCP/IP,que é o Domain Name System: DNS. O DNS é o serviço de resolução denomes usado em todas as redes TCP/IP, inclusive pela Internet que,sem dúvidas, é a maior rede TCP/IP existente. Na Parte 9 fiz umaintrodução ao serviço Dynamic Host Configuration Protocol – DHCP. Na

Parte 10 fiz uma introdução ao serviço Windows Internet Name Services– WINS. Na Parte 11 falei sobre os protocolos TCP, UDP e sobre portasde comunicação. Parte 12, mostrei como são efetuadas as configuraçõesde portas em diversos aplicativos que você utiliza e os comandos doWindows 2000/XP/2003 utilizados para exibir informações sobre portasde comunicação. Na Parte 13 falei sobre a instalação e a configuraçãodo protocolo TCP/IP. Na Parte 14 fiz uma introdução sobre o protocolode roteamento dinâmico RIP e na Parte 15 foi a vez de fazer aintrodução a um outro protocolo de roteamento dinâmico, o OSPF. NaParte 16 você aprendeu sobre um recurso bem útil do Windows 2000: O



compartilhamento da conexão Internet, oficialmente conhecida comoICS – Internet Conection Sharing. Este recurso é útil quando você temuma pequena rede, não mais do que cinco máquinas, conectadas emrede, todas com o protocolo TCP/IP instalado e uma das máquinas temconexão com a Internet. Você pode habilitar o ICS no computador quetem a conexão com a Internet. Na Parte 17, você aprendeu a utilizar oIFC – Internet Firewall Connection (Firewall de Conexão com aInternet). O IFC faz parte do Windows XP e do Windows Server 2003,não estando disponível no Windows 2000. O I FC t em como ob j e t i vop r o t ege r o acesso do usuár i o con t r a “ a taques ” e “ pe r i gos ”v i n d o s d a I n t e r n e t . Na Parte 18 fiz uma apresentação sobre oprotocolo IPSec. O IPSec faz parte do Windows 2000, Windows XP eWindows Server 2003. O IPSec pode ser utilizado para criar um canal de

comunicação seguro, onde todos os dados que são trocados entre oscomputaodres habilitados ao IPSec, são criptografados. Na Parte 19, fizuma apresentação sobre o conceito de PKI – Public Key Infrastructure eCertificados Digitais. O Windows 2000 Server e também o WindowsServer 2003 disponibilizam serviços para a emissão, gerenciamento erevogação de Certificados Digitais. Falei sobre o papel dos CertificadosDigitais em relação à segurança das informações.

Nesta vigésima parte será a vez de falar um pouco mais sobre o serviço(ou protocolo como preferem alguns) NAT – Network Address

Transaltion. Você entenderá o que é o NAT e qual a sua função naconexão de uma rede com a Internet.

Nota : Para aprender a instalar, configurar e a administrar os serviçosrelacionados ao TCP/IP, no Windows 2000 Server, tais como o DNS,DHCP, WINS, RRAS, Ipsec, NAT e assim por diante, o livro de minhaautoria: Manual de Estudos Para o Exame 70-216, 712 páginas.T= Network Address Translation. (NAT)

Entendendo como funciona o NAT

Vamos inicialmente entender exatamente qual a função do NAT e emque situações ele é indicado. O NAT surgiu como uma alternativa realpara o problema de falta de endereços IP v4 na Internet. Conformedescrito na Parte 1, cada computador que acessa a Internet deve ter oprotocolo TCP/IP configurado. Para isso, cada computador da redeinterna, precisaria de um endereço IP válido na Internet. Não haveriaendereços IP v4 suficientes. A criação do NAT veio para solucionar estaquestão.(ou pelo menos fornecer uma alternativa até que o IP v6 estejaem uso na maioria dos sistemas da Internet). Com o uso do NAT, oscomputadores da rede Interna, utilizam os chamados endereços



Privados. Os endereços privados não são válidos na Internet, isto é,pacotes que tenham como origem ou como destino, um endereço nafaixa dos endereços privados, não serão encaminhados, serãodescartados pelos roteadores. O software dos roteadores estáconfigurado para descartar pacotes com origem ou destino dentro dasfaixas de endereços IP privados. As faixas de endereços privados sãodefinidas na RFC 1597 e estão indicados a seguir:

• 10.0.0.0 -> 10.255.255.255

• 172.16.0.0 -> 172.31.255.255

• 192.168.0.0 -> 192.168.255.255

Existem algumas questões que devem estar surgindo na cabeça doamigo leitor. Como por exemplo: Qua l a van tagem do uso dosender eços pr i v ados? O que i sso tem a ver com o NAT? Muito bem,vamos esclarecer estas questões.

Pelo fato de os endereços privados não poderem ser utilizadosdiretamente na Internet, isso permite que várias empresas utilizem amesma faixa de endereços privados, como esquema de endereçamentoda sua rede interna. Ou seja, qualquer empresa pode utilizar endereçosna faixa 10.0.0.0 -> 10.255.255.255 ou na faixa 172.16.0.0 ->72.31.255.255 ou na faixa 192.168.0.0 -> 192.168.255.255.

“ Com o uso do NAT, a em pr esa f o r nece acesso à I n t e r n e t pa r aum g r ande núm er o de com pu t ador es da r ede i n t e r na , usando umnúm er o bem m enor de ender eços I P, vá l i dos na I n t e r n e t . ”

Por exemplo, uma rede com 100 computadores, usando um esquema deendereçamento 10.10.0.0/255.255.0.0, poderá ter acesso à Internet,usando o NAT, usando um único endereço IP válido: o endereço IP dainterface externa do NAT. Observe que com isso temos uma grande

economia de endereços IP: No nosso exemplo temos 100 computadoresacessando a Internet (configurados com endereços IP privados), osquais utilizam um único endereço IP válido, que é o endereço IP dainterface externa do servidor configurado como NAT.

Muito bem, respondi as questões anteriores mas agora devem tersurgido novas questões na cabeça do amigo leitor, como por exemplo:

1. Se houver mais de um cliente acessando a Internet ao mesmo tempoe o NAT possui apenas um endereço IP válido (ou em outras situações,



se houver um número maior de clientes internos acessando a Internet,do que o número de endereços IP disponíveis no NAT. E o número deendereços IP, disponíveis no NAT sempre será menor do que o númerode computadores da rede interna, uma vez que um dos principaisobjetivos do uso do NAT é reduzir a quantidade de números IP válidos),como é possível a comunicação de mais de um cliente, ao mesmotempo, com a Internet?

2. Quando a resposta retorna, como o NAT sabe para qual cliente darede interna ela se destina, se houver mais de um cliente acessando aInternet?

Inicialmente vamos observar que o esquema de endereçamento

utilizado pela empresa do nosso exemplo (10.10.0.0/255.255.0.0) estádentro de uma faixa de endereços Privados. Aqui está a principal funçãodo NAT, que é o pape l de “ t r aduz i r ” os ender eços p r i vados, osquais não são válidos na Internet, para o endereço válido, da interfacepública do servidor com o NAT.

Para entender exatamente o funcionamento do NAT, vamos considerarum exemplo prático. Imagine que você tem cinco computadores narede, todos usando o NAT. Os computadores estão utilizando osseguintes endereços:

• 10.10.0.10

• 10.10.0.11

• 10.10.0.12

• 10.10.0.13

• 10.10.0.14

O computador com o NAT habilitado tem as seguintes configurações:

• I P da i n t e r f ace i n t e r na : 10.10.0.1

• I P da i n t e r f ace ex te r n a : Um ou mais endereços válidosna Internet, obtidos a partir da conexão com o provedor deInternet, mas sempre em número bem menor do que aquantidade de computadores da rede interna.



Quando um cliente acessa a Internet, no pacote de informação enviadopor este cliente, está registrado o endereço IP da rede interna, porexemplo: 10.10.0.10. Porém este pacote não pode ser enviado pelo NATpara a Internet, com este endereço IP como endereço de origem, senãono primeiro roteador este pacote será descartado, já que o endereço10.10.0.10 não é um endereço válido na Internet (pois é um endereçoque pertence a uma das faixas de endereços privados, conformedescrito anteriormente). Para que este pacote possa ser enviado para aInternet, o NAT substitui o endereço IP de origem por um dos endereçosIP da interface externa do NAT (endereço fornecido pelo provedor deInternet e, portanto, válido na Internet). Este processo que é chamadode tradução de endereços, ou seja, traduzir de um endereço IP interno,não válido na Internet, para um endereço IP externo, válido na Internet.

Quando a resposta retorna, o NAT repassa a resposta para o cliente queoriginou o pedido.

Mas ainda fica a questão de como o NAT sabe para qual cliente interno éa resposta, se os pacotes de dois ou mais clientes podem ter sidotraduzidos para o mesmo endereço IP externo. A resposta para estasquestão é a mesma. O NAT ao executar a função de tradução deendereços, associa um número de porta, que é único, com cada um doscomputadores da rede interna. A tradução de endereços funciona assim:

1. Quando um cliente interno tenta se comunicar com a Internet, o NATsubstitui o endereço interno do cliente como endereço de origem, porum endereço válido na Internet. Mas além do endereço é tambémassociada uma porta de comunicação. Por exemplo, vamos supor que ocomputador 10.10.0.12 tenta acessar a Internet. O NAT substitui oendereço 10.10.0.12 por um endereço válido na Internet, vou chutarum: 144.72.3.21. Mas além do número IP é também associada umaporta, como por exemplo: 144.72.3.21:6 5 5 5 . O NAT mantém umatabela interna onde fica registrado que, comunicação através da porta “tal” está relacionada com o cliente “tal”. Por exemplo, a tabela do NAT,em um determinado momento, poderia ter o seguinte conteúdo:

• 144.72.3.21:6555 10.10.0.10

• 144.72.3.21:6556 10.10.0.11

• 144.72.3.21:6557 10.10.0.12

• 144.72.3.21:6558 10.10.0.13

• 144.72.3.21:6559 10.10.0.14



Observe que todos os endereços da rede interna são “traduzidos” para omesmo endereço externo, porém com um número diferente de portapara cada cliente da rede interna.

2. Quando a resposta retorna, o NAT consulta a sua tabela interna e,pela identificação da porta, ele sabe para qual computador da redeinterna deve ser enviada a referida resposta, uma vez que a porta deidentificação está associada com um endereço IP da rede interna. Porexemplo, se chegar um pacote endereçado a 144.72.3.21:6 5 5 7 , elesabe que este pacote deve ser enviado para o seguinte computador darede interna: 10.10.0.12, conforme exemplo da tabela anterior. O NATobtém esta informação a partir da tabela interna, descritaanteriormente.

Com isso, vários computadores da rede interna, podem acessar aInternet, ao mesmo tempo, usando um único endereço IP ou umnúmero de endereços IP bem menor do que o número de computadoresda rede interna. A diferenciação é feita através de uma atribuição deporta de comunicação diferente, associada com cada IP da rede interna.Este é o princípio básico do NAT – Network Address Translation(Tradução de Endereços IP).

Agora que você já sabe o princípio básico do funcionamento do NAT,

vamos entender quais os componentes deste serviço no Windows 2000Server e no Windows Server 2003.

Os componentes do NAT

O serviço NAT é composto, basicamente, pelos seguintes elementos:

• Com ponen t e de t r adução de ender eços : O NAT fazparte do servidor RRAS. Ou seja, para que você possautilizar o servidor NAT, para fornecer conexão à Internetpara a rede da sua empresa, você deve ter um servidor com

o RRAS instalado e habilitado (veja o Capítulo 6 do livroManual de Estudos Para o Exame 70-216, para detalhessobre a habilitação do RRAS). O servidor onde está o RRASdeve ser o servidor conectado à Internet. O componente detradução de endereços faz parte da funcionalidade do NAT eserá habilitado, assim que o NAT for configurado no RRAS.

• Com ponen te de ender eçam en to : Este componenteatua como um servidor DHCP simplificado, o qual é utilizadopara concessão de endereços IP para os computadores da



rede interna. Além do endereço IP, o servidor DHCPsimplificado é capaz de configurar os clientes cominformações tais como a máscara de sub-rede, o número IPdo gateway padrão (default gateway) e o número IP doservidor DNS. Os clientes da rede interna devem serconfigurados como clientes DHCP, ou seja, nas propriedadesdo TCP/IP, você deve habilitar a opção para que o clienteobtenha um endereço IP automaticamente. Computadoresexecutando o Windows Server 2003 (qualquer edição),Windows XP, Windows 2000, Windows NT, Windows Me,Windows 98 ou Windows 95, são automaticamenteconfigurados como clientes DHCP. Caso um destes clientestenha sido configurado para usar um IP fixo, deverá ser

reconfigurado para cliente DHCP, para que ele possa utilizaro NAT.

• Com ponen te de r eso l ução de nom es: O computadorno qual o NAT é habilitado, também desempenha o papel deum servidor DNS, o qual é utilizado pelos computadores darede interna. Quando uma consulta para resolução denomes é enviada por um cliente interno, para o computadorcom o NAT habilitado, o computador com o NAT repassaesta consulta para um servidor DNS da Internet

(normalmente o servidor DNS do provedor de Internet) eretorna a resposta obtida para o cliente. Esta funcionalidadeé idêntica ao papel de DNS Proxy, fornecida pelo ICS,conforme descrito anteriormente.

I m p o r t a n t e : Como o NAT inclui as funcionalidades de endereçamento eresolução de nomes, você terá as seguintes limitações para o uso deoutros serviços, no mesmo servidor onde o NAT foi habilitado:

• Você não poderá executar o servidor DHCP ou o DHCPRelay Agent no servidor NAT.

• Você não poderá executar o servidor DNS no servidorNAT.

Um pouco de planejamento antes de habilitar o NAT

Antes de habilitar o NAT no servidor RRAS, para fornecer conexão àInternet para os demais computadores da rede, existem alguns fatoresque você deve levar em consideração. Neste item descrevo asconsiderações que devem ser feitas, antes da habilitação do NAT. Estes



fatos ajudam a evitar futuros problemas e necessidade dereconfigurações no NAT.

1. Utilize endereços privados para os computadores da rede interna.

Esta é a primeira e óbvia recomendação. Para o esquema deendereçamento da rede interna, você deve utilizar uma faixa deendereços, dentro de uma das faixas de endereços privados:10.0.0.0/255.0.0.0, 172.16.0.0/255.240.0.0 ou192.168.0.0/255.255.0.0. Você pode utilizar diferentes máscaras desub-rede, de acordo com as necessidades da sua rede. Por exemplo, sevocê tiver uma rede com 100 máquinas, pode utilizar um esquema deendereçamento: 10.10.10.0/255.255.255.0, o qual disponibiliza até 254

endereços. Por padrão, o NAT utiliza o esquema de endereçamento192.168.0.0/255.255.255.0. Porém é possível alterar este esquema deendereçamento, nas configurações do NAT. Lembre-se que, uma vezhabilitado o NAT, este passa a atuar como um servidor DHCP para arede interna, fornecendo as configurações do TCP/IP para os clientes darede interna. Com isso, nas configurações do NAT (para todos osdetalhes sobre as configurações do NAT, consulte o Capítulo 7 do livroManual de Estudos Para o Exame 70-216), você define o escopo deendereços que será fornecido para os clientes da rede.

Nota : Você também poderia configurar a sua rede interna com umafaixa de endereços IP válidos, porém não alocados diretamente para asua empresa. Ou seja, você estaria utilizando na rede interna, umesquema de endereçamento que foi reservado para uso de outraempresa. Esta não é uma configuração recomendada e é conhecidacomo: “illegal or overlapping IP addressing”. O resultado prático é que,mesmo assim, você conseguirá usar o NAT para acessar a Internet,porém não conseguirá acessar os recursos da rede para o qual oesquema de endereçamento foi oficialmente alocado. Por exemplo, sevocê resolveu usar o esquema de endereçamento 1.0.0.0/255.0.0.0,sem se preocupar em saber para quem esta faixa de endereços foi

reservado. Mesmo assim você conseguirá acessar a Internet usando oNAT, você apenas não conseguirá acessar os recursos e servidores daempresa que usa, oficialmente, o esquema de endereçamento1.0.0.0/255.0.0.0, que você resolveu utilizar para a rede interna da suaempresa.

Ao configurar o NAT, o administrador poderá excluir faixas de endereçosque não devem ser fornecidas para os clientes. Por exemplo, se vocêtiver alguns equipamentos da rede interna (impressoras, hubs, switchs,etc) que devam ter um número IP fixo, você pode excluir uma faixa de



endereços IP no servidor NAT e utilizar estes endereços para configuraros equipamentos que, por algum motivo, precisam de um IP fixo.

2. Usar um ou mais endereços IP públicos.

Se você estiver utilizando um único endereço IP, fornecido peloprovedor de Internet, não serão necessárias configurações adicionais noNAT. Porém se você obtém dois ou mais endereços IP públicos, vocêterá que configurar a interface externa do NAT (interface ligada aInternet), com a faixa de endereços públicos, fornecidos pelo provedorde Internet. A faixa é informada no formato padrão: Número IP/Máscarade sub-rede. Pode existir situações em que nem todos os númerosfornecidos pelo provedor possam ser informados usando esta

representação. Nestas situações pode acontecer de você não poderutilizar todos os endereços disponibilizados pelo provedor de Internet, anão ser que você utilize a representação por faixas, conforme descritomais adiante.

Se o número de endereços fornecido for uma potência de 2 (2, 4, 8, 16,32, 64 e assim por diante), é mais provável que você consigarepresentar a faixa de endereços no formato Número IP/Máscara desub-rede. Por exemplo, se você recebeu quatro endereços IP públicos:206.73.118.212, 206.73.118.213, 206.73.118.214 e 206.73.118.215.

Esta faixa pode ser representada da seguinte maneira:206.73.118.212/255.255.255.252.

Nota : Para maiores detalhes sobre a representação de faixas deendereços IP e máscaras de sub-rede, consulte as seguintes partesdeste tutorial: Parte 1, Parte 2, Parte 3 e Parte 4.

Caso não seja possível fazer a representação no formato NúmeroIP/Máscara de sub-rede, você pode informar os endereços públicoscomo uma série de faixas de endereços, conforme exemplo a seguir:

• 206.73.118.213 -> 206.73.118.218

• 206.73.118.222 -> 206.73.118.240

3. Permitir conexões da Internet para a rede interna da empresa

O funcionamento normal do NAT, permite que sejam feitas conexões darede privada para recursos na Internet. Por exemplo, um cliente da redeacessando um servidor de ftp na Internet. Neste caso, o clienteexecutando um programa cliente de ftp, faz a conexão com um servidor



ftp da Internet. Quando os pacotes de resposta chegam no NAT, elespodem ser repassados ao cliente, pois representam a resposta a umaconexão iniciada internamente e não uma tentativa de acesso vinda daInternet.

Você pode querer fornecer acesso a um servidor da rede interna, parausuários da Internet. Por exemplo, você pode configurar um servidor darede interna com o IIS e instalar neste servidor o site da empresa. Emseguida você terá que configurar o NAT, para que os usuários daInternet possam acessar este servidor da rede interna. Observe quenesta situação, chegarão pacotes da Internet, os quais nãorepresentarão respostas a requisições dos clientes da rede interna, massim requisições de acesso dos usuários da Internet, a um servidor da

rede interna. Por padrão este tráfego será bloqueado no NAT. Porém oadministrador pode configurar o NAT para aceitar requisições vindas declientes da Internet, para um servidor da rede interna. Para fazer estasconfigurações você deve seguir os seguintes passos:

Para permitir que usuários da Internet, acessem recursos na sua redeinterna, siga os passos indicados a seguir:

• O servidor da rede interna, que deverá ser acessadoatravés da Internet, deve ser configurado com um número

IP fixo (número que faça parte da faixa de endereçosfornecidos pelo NAT, para uso da rede interna) e com onúmero IP do default gateway e do servidor DNS (o númeroIP da interface interna do computador com o NAThabilitado).

• Excluir o endereço IP utilizado pelo servidor da redeInterna (servidor que estará acessível para clientes daInternet) da faixa de endereços fornecidos pelo NAT, paraque este endereço não seja alocado dinamicamente para umoutro computador da rede, o que iria gerar um conflito de

endereços IP na rede interna.

• Configurar uma porta especial no NAT. Uma porta especialé um mapeamento estático de um endereço público e umnúmero de porta, para um endereço privado e um númerode porta. Esta porta especial faz o mapeamento dasconexões chegadas da internet para um endereço específicoda rede interna. Com o uso de portas especiais, porexemplo, você pode criar um servidor HTTP ou FTP na redeinterna e torná-lo acessível a partir da Internet.



Nota : Para aprender os passos práticos para a criação de portasespeciais no NAT, consulte o Capítulo 7 do livro: Manual de Estudos Parao Exame 70-216.

4. Configurando aplicações e serviços.

Algumas aplicações podem exigir configurações especiais no NAT,normalmente com a habilitação de determinadas portas. Por exemplo,vamos supor que você está usando o NAT para conectar 10computadores de uma loja de jogos, com a Internet. Pode sernecessária a habilitação das portas utilizadas por determinados jogos,para que estes possam ser executados através do NAT. Se estasconfigurações não forem feitas, o NAT irá bloquear pacotes que utilizem

estas portas e os respectivos jogos não poderão ser acessados.

5. Conexões VPN iniciadas a partir da rede interna.

No Windows 2000 Server não é possível criar conexões VPN L2TP/IPSec,a partir de uma rede que utilize o NAT. Esta limitação foi superada noWindows Server 2003.

Muito bem, de teoria sobre NAT é isso.

Conclusão

Nesta parte do tutorial fiz uma breve apresentação sobre o serviço detradução de endereços – NAT – Network Address Translation. Esta foi avigésima e última parte, desta primeira etapa dos tutoriais de TCP/IP.As partes de 01 a 20, constituem o módulo que eu classifiquei comoIntrodução ao TCP/IP. O objetivo deste módulo foi apresentar o TCP/IP,mostrar como é o funcionamento dos serviços básicos, tais comoendereçamente IP e Roteamento e fazer uma apresentação dos serviçosrelacionados ao TCP/IP, tais como DNS, DHCP, WINS, RRAS, IPSec,Certificados Digitais, ICS, compartilhamento da conexão Internet e NAT

(assunto desta parte, ou seja Parte 20 do tutorial). No decorrer de 2004serão disponibilizados mais 20 tutoriais de TCP/IP (de 21 a 40), nasquais falarei mais sobre os aspéctos do protocolo em si, tais como aestrutura em camadas do TCP/IP e detalhes um maior detalhamentosobre cada um dos protocolos que formam o TCP/IP: TCP, IP, UDP, ARP,ICMP e por aí vai.

apostilas tcp-ip

Documents