treinamento network

113
Ementa detalhada do curso Network Modelo de referência OSI - Definindo o modelo OSI - A pilha OSI - As camadas do modelo OSI - Como os dados se movem no modelo OSI Conjunto de protocolos TCP-IP - A pilha TCP-IP - Relação entre OSI e TCP-IP - Encapsulamento de dados na pilha TCP - Redes convergentes utilizando o IP Redes Ethernet - Camadas 1 e 2 - Relação entre OSI e IEEE - Frame Ethernet e suas variações - Encapsulamento do Datagrama IP - Um analisador de redes típico - Capturando tráfego ARP - Address Resolution Protocol - O que é o ARP? - Processo de resolução ARP - O cachê de ARP - Inverse ARP - Proxy ARP Protocolos da camada IP - A camada IP - Serviços IP - MTU - Datagrama IP - Fragmentação Endereçamento IP - Definindo as classes de endereços Roteamento IP - Protocolos de roteamento - Algoritmos de roteamento DHCP – Dinamic Host Configuration Protocol - O que é o DHCP? - Como o DHCP trabalha - Considerações de implementações

Upload: pedro-matias

Post on 29-Dec-2015

88 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: Treinamento Network

Ementa detalhada do curso Network

Modelo de referência OSI - Definindo o modelo OSI - A pilha OSI - As camadas do modelo OSI - Como os dados se movem no modelo OSI

Conjunto de protocolos TCP-IP- A pilha TCP-IP - Relação entre OSI e TCP-IP - Encapsulamento de dados na pilha TCP - Redes convergentes utilizando o IP

Redes Ethernet- Camadas 1 e 2 - Relação entre OSI e IEEE - Frame Ethernet e suas variações - Encapsulamento do Datagrama IP - Um analisador de redes típico- Capturando tráfego

ARP - Address Resolution Protocol - O que é o ARP? - Processo de resolução ARP - O cachê de ARP - Inverse ARP - Proxy ARP

Protocolos da camada IP - A camada IP - Serviços IP - MTU - Datagrama IP - Fragmentação

Endereçamento IP - Definindo as classes de endereços

Roteamento IP- Protocolos de roteamento- Algoritmos de roteamento

DHCP – Dinamic Host Configuration Protocol- O que é o DHCP?- Como o DHCP trabalha - Considerações de implementações - Tráfego DHCP

SNMP – Simple Network Management Protocol- O que é o SNMP - Estrutura de gerenciamento- Objetos de gerenciamento - A MIB - Comandos SNMP

Page 2: Treinamento Network

Gerenciando tráfego com listas de acesso- O que são as Access list- IP Access List- NAT e PAT

Virtual LANs- O que é uma Virtual LAN- Membros de uma VLAN- Trunking- ISL e 802.1Q- Roteamento entre VLAN- Entendendo e configurando o protocolo VTP

Protocolo STP (Spanning tree protocol)

- O protocolo IEE802.1D - Necessidade do protocolo Spanning Tree- Como o STP trabalha- Root bridge e BPDU- Características opcionais STP- Etherchannel- Port Fast- STP security- O protocolo RSTP (Rapid STP)- IEE 802.1w- Convergência STP

Lan Switches

- Modelo hierárquico para projetos CISCO- Restauração e Backup- Troubleshooting Cisco.

Page 3: Treinamento Network

Modelo de referência OSI

Definindo o modelo OSIISO foi uma das primeiras organizações a definir formalmente uma forma comum de conectar computadores. Sua arquitetura é chamada OSI (Open Systems Interconnection), Camadas OSI ou Interconexão de Sistemas Abertos.

Esta arquitetura é um modelo que divide as redes de computadores em sete camadas, de forma a se obter camadas de abstração. Cada protocolo implementa uma funcionalidade assinalada a uma determinada camada.

A ISO costuma trabalhar em conjunto com outra organização, a ITU (International Telecommunications Union), publicando uma série de especificações de protocolos baseados na arquitetura OSI. Estas séries são conhecidas como 'X ponto', por causa do nome dos protocolos - X.25, X.500, etc.

A pilha OSI

As camadas do modelo OSI e como os dados se movem no modelo OSI

1 - Camada Física

A camada física define as características técnicas dos dispositivos elétricos (físicos) do sistema. Ela contém os equipamentos de cabeamento ou outros canais de comunicação (ver modulação) que se comunicam diretamente com o controlador da interface de rede. Preocupa-se, portanto, em permitir uma comunicação bastante simples e confiável, na maioria dos casos com controle de erros básico:

Move bits (ou bytes, conforme a unidade de transmissão) através de um meio de transmissão.

Define as características elétricas e mecânicas do meio, taxa de transferência dos bits, tensões etc.

Page 4: Treinamento Network

Controle de acesso ao meio.

Controle da quantidade e velocidade de transmissão de informações na rede.

Não é função do nível físico tratar problemas como erros de transmissão, esses são tratados pelas outras camadas do modelo OSI.

2 - Camada de Enlace ou Ligação de Dados

A camada de ligação de dados também é conhecida como camada de enlace ou link de dados. Esta camada detecta e, opcionalmente, corrige erros que possam acontecer no nível físico. É responsável pela transmissão e recepção (delimitação) de quadros e pelo controle de fluxo. Ela também estabelece um protocolo de comunicação entre sistemas diretamente conectados.

Exemplo de protocolos nesta camada: PPP, LAPB (do X.25),NetBios.

Na Rede Ethernet cada placa de rede possui um endereço físico, que deve ser único na rede.

Em redes do padrão IEEE 802, e outras não IEEE 802 como a FDDI, esta camada é dividida em outras duas camadas: Controle de ligação lógica (LLC), que fornece uma interface para camada superior (rede), e controle de acesso ao meio físico (MAC), que acessa diretamente o meio físico e controla a transmissão de dados.

Topologia de Redes

Ponto-a-ponto

Anel - Token Ring

Estrela

Page 5: Treinamento Network

Barramento

Árvore

3 - Camada de Rede

A camada de Rede é responsável pelo endereçamento dos pacotes, convertendo endereços lógicos (ou IP) em endereços físicos , de forma que os pacotes consigam chegar corretamente ao destino. Essa camada também determina a rota que os pacotes irão seguir para atingir o destino, baseada em fatores como condições de tráfego da rede e prioridades.

Essa camada é usada quando a rede possui mais de um segmento e, com isso, há mais de um caminho para um pacote de dados percorrer da origem ao destino.

Page 6: Treinamento Network

Funções da Camada:

Encaminhamento, endereçamento, interconexão de redes, tratamento de erros, fragmentação de pacotes, controle de congestionamento e sequenciamento de pacotes.

Movimenta pacotes a partir de sua fonte original até seu destino através de um ou mais enlaces.

Define como dispositivos de rede descobrem uns aos outros e como os pacotes são roteados até seu destino final.

4 - Camada de Transporte

A camada de transporte é responsável por usar os dados enviados pela camada de Sessão e dividi-los em pacotes que serão transmitidos para a camada de Rede. No receptor, a camada de Transporte é responsável por pegar os pacotes recebidos da camada de Rede, remontar o dado original e assim enviá-lo à camada de Sessão.

Isso inclui controle de fluxo, ordenação dos pacotes e a correção de erros, tipicamente enviando para o transmissor uma informação de recebimento, informando que o pacote foi recebido com sucesso.

A camada de Transporte separa as camadas de nível de aplicação (camadas 5 a 7) das camadas de nível físico (camadas de 1 a 3). A camada 4, Transporte, faz a ligação entre esses dois grupos e determina a classe de serviço necessária como orientada a conexão e com controle de erro e serviço de confirmação, sem conexões e nem confiabilidade.

O objetivo final da camada de transporte é proporcionar serviço eficiente, confiável e de baixo custo. O hardware e/ou software dentro da camada de transporte e que faz o serviço é denominado entidade de transporte.

A entidade de transporte comunica-se com seus usuários através de primitivas de serviço trocadas em um ou mais TSAP, que são definidas de acordo com o tipo de serviço prestado: orientado ou não à conexão. Estas primitivas são transportadas pelas TPDU.

Na realidade, uma entidade de transporte poderia estar simultaneamente associada a vários TSA e NSAP. No caso de multiplexação, associada a vários TSAP e a um NSAP e no caso de splitting, associada a um TSAP e a vários NSAP.

A ISO define o protocolo de transporte para operar em dois modos:

Orientado a conexão.

Não-Orientado a conexão.

Como exemplo de protocolo orientado à conexão, temos o TCP, e de protocolo não orientado à conexão, temos o UDP. É obvio que o protocolo de transporte não orientado à conexão é menos confiável. Ele não garante - entre outras coisas mais -, a entrega das TPDU, nem tão pouco a ordenação das mesmas. Entretanto, onde o serviço da camada de rede e das outras camadas inferiores é bastante confiável - como em redes locais -, o protocolo de transporte não orientado à conexão pode ser utilizado, sem o overhead inerente a uma operação orientada à conexão.

O serviço de transporte baseado em conexões é semelhante ao serviço de rede baseado em conexões. O endereçamento e controle de fluxo também são semelhantes em ambas as camadas. Para completar,

Page 7: Treinamento Network

o serviço de transporte sem conexões também é muito semelhante ao serviço de rede sem conexões. Constatado os fatos acima, surge a seguinte questão: "Por que termos duas camadas e não uma apenas?". A resposta é sutil, mas procede: A camada de rede é parte da sub-rede de comunicações e é executada pela concessionária que fornece o serviço (pelo menos para as WAN). Quando a camada de rede não fornece um serviço confiável, a camada de transporte assume as responsabilidades, melhorando a qualidade do serviço.

5 - Camada de Sessão

A camada de Sessão permite que duas aplicações em computadores diferentes estabeleçam uma sessão de comunicação. Nesta sessão, essas aplicações definem como será feita a transmissão de dados e coloca marcações nos dados que estão sendo transmitidos. Se porventura a rede falhar, os computadores reiniciam a transmissão dos dados a partir da última marcação recebida pelo computador receptor.

Disponibiliza serviços como pontos de controle periódicos a partir dos quais a comunicação pode ser restabelecida em caso de pane na rede.

Abre portas (sockets) para que várias aplicações possam escalonar o uso da rede e aproveitar melhor o tempo de uso. Por exemplo, um browser quando for fazer o download de várias imagens pode requisitá-las juntas para que a conexão não fique ociosa em uma só imagem.

6 - Camada de Apresentação

A camada de Apresentação, também chamada camada de Tradução, converte o formato do dado recebido pela camada de Aplicação em um formato comum a ser usado na transmissão desse dado, ou seja, um formato entendido pelo protocolo usado. Um exemplo comum é a conversão do padrão de caracteres (código de página) quando o dispositivo transmissor usa um padrão diferente do ASCII. Pode ter outros usos, como compressão de dados e criptografia.

A compressão de dados pega os dados recebidos da camada sete e os comprime-os, e a camada 6 do dispositivo receptor fica responsável por descompactar esses dados. A transmissão dos dados torna-se mais rápida, já que haverá menos dados a serem transmitidos: os dados recebidos da camada 7 foram "encolhidos" e enviados à camada 5.

Para aumentar a segurança, pode-se usar algum esquema de criptografia neste nível, sendo que os dados só serão decodificados na camada 6 do dispositivo receptor.

Ela trabalha transformando os dados em um formato no qual a camada de aplicação possa aceitar.

7 - Camada de Aplicação

A camada de aplicação faz a interface entre o protocolo de comunicação e o aplicativo que pediu ou receberá a informação através da rede. Por exemplo, ao solicitar a recepção de e-mails através do aplicativo de e-mail, este entrará em contato com a camada de Aplicação do protocolo de rede efetuando tal solicitação. Tudo nesta camada é direcionado aos aplicativos. Telnet e FTP são exemplos de aplicativos de rede que existem inteiramente na camada de aplicação.

Como podemos observar, o modelo de protocolo trabalha com 7 camadas para padronizar a transmissão de dados em uma rede.Essas camadas nem sempre são as mesmas que iremos encontrar nos outros protocolos, mas o processo de troca de informações é o mesmo

Page 8: Treinamento Network

Conjunto de protocolos TCP-IPA pilha TCP-IP

O termo "pilha" é utilizado porque os protocolos de uma dada camada normalmente interagem somente com os protocolos das camadas imediatamente superior e inferior.

O modelo de pilha traz a vantagem de modularizar naturalmente o software de redes, permitindo a sua expansão com novos recursos, novas tecnologias ou aperfeiçoamentos sobre a estrutura existente, de forma gradual.

Entretanto, o Modelo OSI é uma modelo conceitual, e não a arquitetura de uma implementação real de protocolos de rede. Mesmo os protocolos definidos como padrão oficial pelo ISO - International Standards Organization - a entidade criadora do modelo OSI, não foram projetados e construídos segundo este modelo.

Por isso, vamos utilizar nesta aula uma simplificação do modelo OSI. O importante é entender o conceito de pilhas de protocolos, pelo qual cada camada realiza uma das funções necessárias para a comunicação em rede, tornando possível a comunicação em redes de computadores utilizando várias tecnologias diferentes.

O TCP/IP foi desenhado segundo uma arquitetura de pilha, onde diversas camadas de software interagem somente com as camadas acima e abaixo. Há diversas semelhanças com o modelo conceitual OSI da ISO, mas o TCP/IP é anterior à formalização deste modelo e portanto possui algumas diferenças.

O nome TCP/IP vem dos nomes dos protocolos mais utilizados desta pilha, o IP (Internet Protocol) e o TCP (Transmission Control Protocol). Mas a pilha TCP/IP possui ainda muitos outros protocolos, dos quais veremos apenas os mais importantes, vários deles necessários para que o TCP e o IP desempenhem corretamente as suas funções.

Visto superficialmente, o TCP/IP possui 4 camadas, desde as aplicações de rede até o meio físico que carrega os sinais elétricos até o seu destino:

4. Aplicação (Serviço) FTP, TELNET, LPD, HTTP, SMTP/POP3, NFS, etc.

3. Transporte TCP, UDP

2. Rede IP

1. Enlace Ethernet, PPP, SLIP

Além das camadas propriamente ditas, temos uma série de componentes, que realizam a interface entre as camadas:

Aplicação / Transporte DNS, Sockets

Rede / Enlace ARP, DHCP

Vamos apresentar agora uma descrição da função de cada camada do TCP/IP:

Page 9: Treinamento Network

1. Os protocolos de enlace tem a função de fazer com que informações sejam transmitidas de um computador para outro em uma mesma mídia de acesso compartilhado (também chamada de rede local) ou em uma ligação ponto-a-ponto (ex: modem). Nada mais do que isso. A preocupação destes protocolos é permitir o uso do meio físico que conecta os computadores na rede e fazer com que os bytes enviados por um computador cheguem a um outro computador diretamente desde que haja uma conexão direta entre eles.

2. Já o protocolo de rede, o Internet Protocol (IP), é responsável por fazer com que as informações enviadas por um computador cheguem a outros computadores mesmo que eles estejam em redes fisicamente distintas, ou seja, não existe conexão direta entre eles. Como o próprio nome (Inter-net) diz, o IP realiza a conexão entre redes. E é ele quem traz a capacidade da rede TCP/IP se "reconfigurar" quando uma parte da rede está fora do ar, procurando um caminho (rota) alternativo para a comunicação.

3. Os protocolos de transporte mudam o objetivo, que era conectar dois equipamentos, para' conectar dois programas. Você pode ter em um mesmo computador vários programas trabalhando com a rede simultaneamente, por exemplo um browser Web e um leitor de e-mail. Da mesma forma, um mesmo computador pode estar rodando ao mesmo tempo um servidor Web e um servidor POP3. Os protocolos de transporte (UDP e TCP) atribuem a cada programa um número de porta, que é anexado a cada pacote de modo que o TCP/IP saiba para qual programa entregar cada mensagem recebida pela rede.

4. Finalmente os protocolos de aplicação são específicos para cada programa que faz uso da rede. Desta forma existe um protocolo para a conversação entre um servidor web e um browser web (HTTP), um protocolo para a conversação entre um cliente Telnet e um servidor (daemon) Telnet, e assim em diante. Cada aplicação de rede tem o seu próprio protocolo de comunicação, que utiliza os protocolos das camadas mais baixas para poder atingir o seu destino.

Pela figura acima vemos que existem dois protocolos de transporte no TCP/IP. O primeiro é o UDP, um protocolo que trabalha com datagramas, que são mensagens com um comprimento máximo pré-fixado e cuja entrega não é garantida. Caso a rede esteja congestionada, um datagrama pode ser perdido e o UDP não informa as aplicações desta ocorrência. Outra possibilidade é que o congestionamento em uma rota da rede possa fazer com que os pacotes cheguem ao seu destino em uma ordem diferente daquela em que foram enviados. O UDP é um protocolo que trabalha sem estabelecer conexões entre os softwares que estão se comunicando.

Já o TCP é um protocolo orientado a conexão. Ele permite que sejam enviadas mensagens de qualquer tamanho e cuida de quebrar as mensagens em pacotes que possam ser enviados pela rede. Ele também cuida de rearrumar os pacotes no destino e de retransmitir qualquer pacote que seja perdido pela rede, de modo que o destino receba a mensagem original, da maneira como foi enviada.

Agora, vamos aos componentes que ficam na interface entre os níveis 3 e 4 e entre os níveis 1 e 2.

O Sockets é uma API para a escrita de programas que trocam mensagens utilizando o TCP/IP. Ele fornece funções para testar um endereço de rede, abrir uma conexão TCP, enviar datagramas UDP e esperar por mensagens da rede. O Winsockets, utilizado para aplicações Internet em Windows é nada mais do que uma pequena variação desta API para acomodar limitações do Windows 3.1. No Windows NT e Win95 pode ser usada a API original sem problemas.

O Domain Name Service (DNS), que será visto com maiores detalhes mais adiante, fornece os nomes lógicos da Internet como um todo ou de qualquer rede TCP/IP isolada.

Page 10: Treinamento Network

Temos ainda o ARP realiza o mapeamento entre os endereços TCP/IP e os endereços Ethernet, de modo que os pacotes possam atingir o seu destino em uma rede local (lembrem-se, no final das contas quem entrega o pacote na rede local é o Ethernet, não o TCP ou o IP).

Por fim, o DHCP permite a configuração automática de um computador ou outro dispositivo conectado a uma rede TCP/IP, em vez de configurarmos cada computador manualmente. Mas, para entender o porque da necessidade do DHCP, temos que entender um pouco mais do funcionamento e da configuração de uma rede TCP/IP.

Comparação entre OSI e TCP/IP

A figura a seguir mostra uma comparação entre o modelo de camadas OSI e o TCP/IP

No modelo TCP/IP, não se representou os níveis 5 e 6, e na realidade eles não são muito usados atualmente. A família de protocolos TCP/IP foi pioneira na utilização do conceito de níveis,formando uma arquitetura estruturada, racional e simples, fácil de modificar.Posteriormente, a ISO adotou esses conceitos para criar o modelo OSI.

Crítica aos modelos

A falta de adesão ao modelo OSI pode ser resumida nos quatro itens abaixo.

• Momento Ruim: apocalipse dos dois elefantes: pesquisa + padronização + investimento pela indústria. Quando os padrões OSI foram lançados, a indústria já tinha investido no TCP/IP, e não queria investir novamente em outra pilha de protocolos;

• Tecnologia Ruim: camada de sessão com pouco uso, e camada de apresentação quase vazia. Em oposição, as camadas de enlace e rede extremamente cheias, a ponto de ter que dividi-las em subcamadas (SNA da IBM possuía sete camadas...). Além disso, empilhando os padrões chega-se bem a meio metro de altura, sendo grandemente complexos para implementar. Em termos de controle de erros, eles reaparecem a cada camada, tornando ineficiente o sistema (o controle de erros deve aparecer sempre na camada mais alta, evitando-se repetições nas camadas inferiores).

Page 11: Treinamento Network

• Implementação Ruim: Devido à complexidade do modelo, as implementações OSI vieram repletas de bugs, e o mercado começou a associar “OSI” com “baixa qualidade”.

• Política Ruim: TCP/IP ficou associado a Unix, sendo adorado no meio acadêmico de 1980. O OSI, entretanto, parecia um padrão a ser “enfiado goela abaixo” pelos burocratas europeus. Quanto ao modelo TCP/IP, também existem problemas. Ele não consegue descrever outras pilhas de protocolos (só TCP/IP), e além disso coloca os níveis de enlace e físico na mesma camada (Inter-redes). Isso faz com que o modelo TCP/IP não seja o melhor para estruturar novas redes. Está sugerido um modelo híbrido, com 5 camadas, que retira o excesso do modelo OSI e melhora o modelo TCP/IP, como mostra a figura a seguir.

Encapsulamento de dados na pilha TCP

Transmission Control Protocol (TCP)O Transmission Control Protocol (TCP) é um protocolo orientado a TCP/IP conexão e confiável. A transmissão de dados através de uma conexão, ou stream, se dá através de segmentos. De forma similar ao pacote UDP, cada segmento carrega informações sobre as aplicações origem e destino (ports).

Para garantir a confiabilidade, o TCP faz uso de uma técnica chamada Positive Acknowledgement with Re-transmission (PAR), que simplesmente retransmite um segmento caso seu recebimento não seja confirmado pelo destinatário. Além disso, cada segmento contém um checksum que é utilizado para determinar a integridade dos dados. Quando o destinatário recebe um segmento com checksum válido, ele envia um pacote de confirmação (positive acknowledgement) ao remetente. Se um segmentorecebido apresenta erros, ele é simplesmente descartado. O remetente aguarda a confirmação do segmento por um determinado tempo, após o qual ele o retransmite. A característica de orientação a conexão advém de uma negociação (handshake) entre as extremidades envolvidas para estabelecer um

Page 12: Treinamento Network

canal lógico de comunicação. Esta negociação é feita em três etapas, como ilustra a figura 5.3. Primeiramente, o host interessado em estabelecer a conexão (A) envia um segmento com o bit Synchronize Sequence Numbers (SYN) do campo Flags setado e com o número de ordem do primeiro segmento a ser transmitido no campo Sequence Number.O segundo host envolvido na conexão (B) responde então com um segmento que tem os bits SYN e Acknowledgement (ACK) do campo Flags setados e com o número de ordem do primeiro segmento a ser transmitido no campo Sequence Number. Neste ponto, o host A envia um segmento com o bit ACK setado para confirmar o número de seqüência indicado pelo host B e começa a transmitir dados. O encerramento de uma conexão se dá de forma similar ao estabelecimento, sendo que em vez do bit SYN, o bit Finish (FIN) é setado.

Embora o protocolo TCP seja orientado a conexão, ele é implementado sobre o serviço de datagrama da camada internet. Portanto, alguma estratégia deve ser adotada para garantir que os segmentos cheguem em ordem à aplicação destinatária, mesmo que seus datagramas cheguem ao host destino fora de ordem. Para garantir esta ordenação existem dois campos no cabeçalho TCP: Sequence Number e Acknowledgement Number. Cada extremidade conhece o número de seqüência inicial do parceiro durante a negociação da conexão, o que permite a reordenação dos fragmentos à medida em que vão chegando. Números de seqüência identificam a ordem do primeiro byte do segmento dentro do stream.O campo Acknowledgement Number tem duas funções: confirmação do recebimento de segmentos e controle de fluxo. Este campo diz ao remetente quantos bytes do stream já foram e quantos ainda podem ser recebidos. O Acknowledgement Number é o número de seqüência do próximo byte esperado pelo destinatário, ou seja, ele pode confirmar de uma só vez o recebimento de vários segmentos.Enquanto os segmentos vão sendo recebidos e ordenados, eles devem residir em buffers na camada de transporte. Estes buffers são limitados, logo mecanismos de controle de fluxo se fazem necessários. O campo Window do cabeçalho TCP informa ao parceiro quantos bytes ainda podem ser recebidos. Ou seja, o emissário pode enviar segmentos até a quantidade máxima especificada pelo destinatário. Quando este limite é atingido, o emissário deve aguardar pela confirmação do recebimento (ACK). Otamanho da janela de transmissão pode ser alterado dinamicamente para controlar o fluxo de dados na conexão.A figura 5.4 exemplifica este mecanismo através de um stream que tem número de seqüência inicial (campo ISN - Initial Sequence Number) igual a 0. O destinatário já recebeu e confirmou 2000 bytes, logo o número de seqüência de confirmação (campo Acknowledgement Number) é 2000. Além disso, o destinatário anunciou, através do campo Window, um buffer de recepção capaz de conter 6000 bytes.O emissário está enviando um segmento de 1000 bytes com número de seqüência (campo Sequence Number) igual a 4001. O emissário não recebeu confirmação dos dados a partir da ordem 2001, mas continua enviando segmentos até o limite da janela de transmissão, ou seja, 6000 bytes. Se o emissário completar a janela sem ter recebido uma confirmação, ele, após um tempo predeterminado, começará a retransmitir os segmentos a partir do byte 2001.

Page 13: Treinamento Network

Redes convergentes utilizando o IP

A indústria de telecomunicações procura, há alguns anos, orientar sua tecnologia de maneira a tornar os operadores competitivos em um ambiente caracterizado pela concorrência e aumento da desregulamentação. As redes de comunicação convergentes, com interfaces abertas e capacidade para transmitir voz, dados, imagens, som e vídeo, exploram plenamente as tecnologias de ponta paraoferecer serviços sofisticados e aumentar as receitas dos operadores, reduzindo despesas de investimentos e custos de operação.A principal diferença entre as redes convergentes e as redes tradicionais de comutação por circuitos está na estrutura de transmissão por pacotes utilizada no protocolo Internet (IP) e adotada nessas novas redes. Os terminais encaminham pacotes de dados, em formato IP, para um ponto concentrador, de onde passam a circular pela rede até encontrar o endereço IP de destino. Basicamente, é o mesmo procedimento hoje em uso na Internet. A principal mudança a ser feita na estrutura das operadoras para oferecer serviços convergentes, refere-se à transmissão de voz. Para que possam trafegar nas novasredes, os sinais de voz precisam ser transformados em pacotes, que se misturam aos pacotes de dados e imagens durante o transporte. Essa função é realizada por gateways de voz, que são instalados na camada de transporte da rede, onde também estão os roteadores e toda a infra-estrutura física da operadora. O uso de interfaces e protocolos abertos e padronizados é uma das grandes vantagens das redes convergentes. Além disso, a sua arquitetura dispensa algumas estruturas convencionais, como as centrais de trânsito. De modo geral, os provedores dividem a arquitetura das redes convergentes em pelo menos três camadas básicas:infra-estrutura de transporte e acesso, controle de chamadas e serviços. Na primeira, estão as unidades deacesso de assinantes, como telefones IP e access gateways (uma espécie de armário multiprotocolo quefaz a interface entre a rede IP e os diferentes tipos de conexão do usuário, como circuito de voz, linha ADSL etc.), além de comutadores, roteadores e media gateways, que transformam sinais de voz da rede convencional em pacotes. A camada de controle de chamadas é a responsável pelo encaminhamento, supervisão e liberação das ligações que trafegam pela rede IP (ou ATM). É uma parte estratégica, onde fica o elemento responsável pela inteligência das redes: o softswitch, ou media gateway controller. Considerada o grande diferencial e o atrativo das redes convergentes, a camada de serviços é formadapelos softwares que vão permitir às operadoras oferecer novos e múltiplos serviços aos usuários.As redes convergentes têm introduzido uma nova organização no tocante, principalmente, aos planos detransporte e de controle. Para explorar esse conceito, é preciso desenvolver diferentes aplicações ou enriquecer as existentes. Elas vão trazer a coerência necessária entre as aplicações tradicionais, do mundo da telefonia, e as do mundo de dados, graças à utilização de um plano de transporte fundamentado sobre o IP e à separação das camadas de transporte, controle e aplicação. De outraforma, a cooperação entre estes dois mundos vai sem dúvida harmonizar as funcionalidades de ligação de um ao outro mundo, como as mensagens textuais, as mensagens vocais, a localização geográfica ou a presença. Enfim, essa harmonização permite às aplicações existentes ou às novas aplicações tirar partido das funcionalidades desses dois mundos. A evolução de uma rede existente em direção a essa nova estrutura necessitará de uma estratégia de migração progressiva, visando uma redução ao mínimo

Page 14: Treinamento Network

das despesas de investimentos durante a fase de transição e se beneficiando das vantagens que ela apresenta. Toda iniciativa empreendida, quando dessa etapa de transição, deverá simplificar a evolução da rede em direção à arquitetura convergente e à comutação de pacotes. Durante vários anos ainda, os serviços de comutação tradicional vão coexistir com os elementos de rede da nova tecnologia.

Redes EthernetFrame Ethernet e suas variações

Podemos dizer que a função de qualquer rede é simplesmente transportar informações de um ponto a outro. Pode ser entre dois micros ligados através de um simples cabo cross-over, ou pode ser entre dois servidores situados em dois continentes diferentes. Do ponto de vista do sistema operacional e dos aplicativos, não faz muita diferença.No nível mais baixo temos os cabos de rede, que são enquadrados no primeiro nível do modelo OSI (camada física) e se destinam unicamente a transportar os impulsos elétricos de um micro a outro. Ao utilizar uma rede wireless ou cabos de fibra óptica, os sinais são transmitidos (respectivamente) na forma de sinais de rádio ou luz, mas a função básica (transportar dados de um ponto a outro) continua a mesma, independentemente da mídia utilizada. Em seguida temos os switches ou hub-switches que utilizamos para interligar os micros da rede local. Na verdade, o termo "hub-switch" foi inventado pelos fabricantes para diferenciar os switches mais baratos, que carecem de funções mais avançadas dos switches "de verdade", que possuem mais portas e incluem interfaces de administração elaboradas. O termo "switch" está mais relacionado ao modo de funcionamento do aparelho e não ao seu custo ou funções. Um switch é capaz de encaminhar os frames Ethernet para o destinatário correto, fechando "circuitos" entre as duas portas envolvidas, enquanto um hub antigo simplesmente repete os sinaisrecebidos em todas as portas. Assim como as placas de rede, os switches trabalham no nível 2 do modelo OSI (link de dados), enviando frames Ethernet e endereçando os outros dispositivos da rede usando endereços MAC ao invés de endereços IP. Só para efeito de comparação, os hubs "burros" trabalham no nível 1, assim como os cabos de rede. Eles são meros dispositivos de transmissão, que não realizam processamento. Os frames Ethernet são "envelopes" para os pacotes TCP/IP. O aplicativo (um navegador, um servidor web, ou qualquer outro aplicativo transmitindo dados pela rede) envia os dados ao sistema operacional, que divide o stream em pacotes TCP/IP e os envia à placa de rede. As placas de rede (que não entendem o protocolo TCP/IP) tratam os pacotes como um fluxo de dados qualquer e adicionam mais uma camada de endereçamento, desta vez baseada nos endereços MAC dos dispositivos da rede, gerando o frame Ethernet que é finalmente transmitido. Ao chegar do outro lado, o "envelope" é removido e o pacote TCP/IP é entregue. O uso dos frames adiciona alguns bytes adicionais a cada pacote transmitido, reduzindo sutilmente o desempenho da rede. Veja o diagrama de um frame Ethernet:

A transmissão de cada frame começa com o envio de 8 bytes, contendo um preâmbulo e uma sequência de inicialização. Ele serve para avisar outros micros da rede de que uma transmissão está prestes a começar. Estes 8 bytes iniciais não fazem parte do frame e são descartados pelas placas de rede depois de recebidos, por isso não aparecem no relatório mostrado por sniffers de rede, como o wireshark.

Page 15: Treinamento Network

O pacote TCP/IP é incluído dentro do campo de dados, que pode incluir até 1500 bytes por frame. Pacotes maiores do que este valor precisam ser divididos em fragmentos com até 1500 bytes e enviados usando vários frames.Junto com os dados é transmitido o cabeçalho do frame (14 bytes no total), que inclui o endereço MAC de destino, endereço MAC de origem e um campo para o tipo de dados e mais 4 bytes finais, que contém códigos de CRC, usados (pelas placas de rede) para verificar a integridade do frame recebido. Este cabeçalho é também chamado de "MAC Header". Ao receber cada frame, a placa de rede usa os 4 bytes (32 bits) de CRC para verificar a integridade do frame recebido e, caso ele esteja corrompido ou incompleto, ela o descarta e solicita sua retransmissão. Dentro do pacote TCP/IP temos novos headers, que contém o endereço IP de origem, endereço IP de destino, porta de origem, porta de destino, códigos de verificações, número do pacote, campo para inclusão de opções e assim por diante. No total, temos 20 bytes para os headers do protocolo TCP e mais 20 bytes para os headers do protocolo IP, totalizando 40 bytes de headers por pacote. Desta forma, temos 1460 bytes de dados em um pacote de 1500 bytes e 536 bytes de dados em um pacote de 576 bytes:

À primeira vista, pode parecer estranho que sejam incluídos headers separados para o TCP e o IP, mas a verdade é que os dois são complementares e por isso não podem ser dissociados. É por isso que usamos o termo "TCP/IP", como se os dois protocolos fossem uma coisa só. Os headers do protocolo IP incluem o endereço IP de origem e de destino, enquanto os headers do TCP incluem a porta de origem e de destino, por exemplo. Em resumo, podemos dizer que o IP se encarrega da entrega dos pacotes, enquanto o TCP se encarrega da verificação de erros, numeração de portas e tudo mais. Como vimos anteriormente, o TCP/IP permite o uso de pacotes com até 64 kbytes, mas o tamanho de pacote mais usado é de 1500 bytes, que equivalem ao volume de dados que podem ser transmitidos em um único frame Ethernet. Em um pacote de 1500 bytes, temos até 1460 bytes de dados e 40 bytes referentes aos headers IP e TCP. Arquivos e outros tipos de informações são transmitidas na forma de sequências de vários pacotes. Um arquivo de 15 KB, por exemplo, seria dividido em um total de 11 pacotes; os 10 primeiros contendo 1460 bytes cada um e o último contendo os últimos 760 bytes. É graças aos códigos de verificação e numeração dos pacotes que arquivos grandes podem ser transmitidos de forma íntegra mesmo através de conexões via modem ou links wireless, onde diversos pacotes são corrompidos ou perdidos. Basta retransmitir os pacotes extraviados ou danificados quantas vezes for necessário. :)O tamanho dos pacotes pode variar também de acordo com o meio de transmissão usado. No ADSL PPPoE, por exemplo, são utilizados pacotes de 1492 bytes, pois o protocolo usado demanda o uso de 8 bytes adicionais para o header. Nas conexões discadas, onde a conexão é mais lenta e a perda de pacotes é mais comum, são geralmente utilizados pacotes de apenas 576 bytes. Existem ainda casos de pacotes maiores, utilizados em situações específicas.Dentro da rede local, temos um total de 1518 bytes transmitidos para cada pacote TCP/IP de 1500 bytes, incluindo os 14 bytes do header e os 4 bytes de CRC. Se formos incluir também os 8 bytes iniciais, que contém o preâmbulo e a sequência de inicialização, o número sobe para 1526 bytes. Considerando que cada pacote contêm apenas 1460 bytes de dados, temos 66 bytes de overhead no total, o que corresponde a quase 5% do volume de dados transmitidos.Em uma rede local, que trabalha a 100 ou 1000 megabits, isso não faz muita diferença, mas na Internet isso seria um grande desperdício. Por isso, os roteadores se encarregam de eliminar estas informações desnecessárias, retransmitindo apenas os pacotes TCP/IP propriamente ditos. É por isso que não é possível criar regras de firewall baseadas em endereços MAC para pacotes vindos da Internet: os

Page 16: Treinamento Network

endereços MAC fazem parte das informações incluídas no frame Ethernet, que são descartadas pelos roteadores.Por trabalharem diretamente com endereços IP, os roteadores são enquadrados na camada 3 do modelo OSI (camada de rede). Basicamente, são roteadores que cuidam de todo o trafego de dados na Internet. Você pode utilizar um hub ou switch dentro da sua rede local, mas ao acessar a Internet você sempre utiliza um roteador, seja um roteador Cisco de grande porte, seja um modem ADSL ou um micro com duas placas de rede compartilhando a conexão.

Relação entre OSI e IEEE Análise dos padrões IEEE 802O padrão IEEE (leia-se I3E) 802 trata-se de um conjunto de padrões desenvolvidos pelo IEEE (Instituto de Engenheiros Eletricistas e Eletrônicos) para definir métodos de acesso e controle para redes locais (LANs) e metropolitanas (MANs).  A série 802 não foi a única série de padrões de protocolos criadas pelo IEEE, porém a mais importante.   O nome dado a série refere-se ao ano e mês de seu inicio (fevereiro de 80).Os protocolos IEEE 802 correspondem à camada física e à camada Enlace de dados do modelo ISO/OSI, largamente adotado na interconexão de sistemas abertos, porém dividem a camada de enlace em duas subcamadas, conforme ilustrado na figura 1.

Figura 1 – Relação das camadas OSI e camadas IEEE 802

 Camada LLC do padrão 802A camada LLC especifica os mecanismos para endereçamento e conexões das estações conectadas ao meio, a geração de quadros e mensagens, controla a troca de dados entre os usuários da rede e também controla os erros.  Esta subcamada define os service access points (SAPs).O protocolo HDLC (high-level data link control) é a base para operação e formato deste padrão.A camada LLC estabelece três tipos de serviços:1 – sem conexão e sem reconhecimento;2 – com conexão;3 – com reconhecimento e sem conexão.  O padrão IEEE 802.2 especifica o funcionamento desta camada, os demais padrões operam na camada de Controle de Acesso ao Meio (MAC) e na camada Física como veremos adiante.

Camada MAC do padrão 802A camada MAC difere conforme o padrão IEEE 802 utilizado e permite que os dispositivos compartilhem a capacidade de transmissão de uma rede.  Também tem controle do acesso ao meio de transmissão e detecção de colisões.  Esta subcamada mantém uma tabela dos endereços físicos dos dispositivos. 

Page 17: Treinamento Network

Cada dispositivo será atribuído e deverá ter um endereço MAC exclusivo se o dispositivo for participar da rede.

Camada Física do padrão 802Composta pelos meios físicos para a transmissão dos dados, que podem ser Fios, Fibra ou Sem Fio.A IEEE 802 apresenta várias opções de MAC, associadas a vários meios físicos, como:

Relação das normas IEEE 802A relação das normas IEEE 802, com uma breve explanação de cada uma, é apresentada a seguir.

- 802.1b : Gerência de Rede. LAN/MAN Managment;- 802.1k : Gerência de Rede. LAN/MAN Managment;- 802.1d : Media Access Control (MAC) Bridges;- 802.1e : System Load Protocol;- 802.1f : Definições e procdimentos comuns para a informação de gerência do IEEE 802;- 802.1g : Remote Media Access Control (MAC) Bridging;- 802.1h : Prática recomendada para Controle de Acesso ao Meio, com ponte, do Ethernet V2.0 no IEEE 802 LAN;- 802.1q : Padrão para provimento de capacidade de LAN virtual em uma rede, usada em cojunto com protocolos de LAN do IEEE, como Ethernet e Token Ring;- 802.1p : Padrão para fluxo com priorização por tempo crítico e filtragem de tráfego multicast, para conter o tráfego na camada 2 das redes.  O cabeçalho 802.1p inclui três bits para priorização, permitindo oito níveis de prioridade a ser estabelecido;- 802.2 : Atua no LLC.  Padrão de enlace de dados demarcando como a conectividade básica de dados sobre cabo deverá ser feita.  Usado com os padrões IEEE 802.3, 802.4 e 802.5; - 802.3 : CSMA/CD, especifica a sintaxe e semântica MAC e também a camada Física;- 802.4 : Especificações do método de acesso Token Bus da camada física;- 802.5 : Especificações do método de acesso Token Ring da camada física;- 802.6 : Especificações do método de acesso Dual Bus e de fila distribuída da camada física;- 802.7 : MANs de Banda larga;- 802.8 : Fibra óptica;- 802.9 : Integração de Redes Locais;- 802.10 : Protocolo para provimento de segurança em uma MAN.  Uma variante do 802.10 tem sido usado algumas vezes para prover serviço de LAN virtual em uma rede, embora isto esteja sendo substituido pelo 802.1q;- 802.11 : Também chamado de Wi-Fi define os padrões para funcionamento de redes sem fios por meio de radiofrequencia.  Sua arquitetura foi criada para funcionar como link final entre o usuário, sem fio, e a rede, com fios, cabos, switches, roteadores etc.  O acesso Wi-Fi (Wireless 802.11) está se tornando cada vez mais comum e atualmente já existem pontos de acesso Wi-Fi públicos, que são chamados de Hot-Spots. Trabalha com frequencia de 2,4 GHz, taxas de transmissão de 1 ou 2 Mbps e usa FHSS ou DSSS.  Wireless LAN Medium Access Control (MAC) Sublayer and Physical Layer Specifications.  LANs sem fios;- 802.11a : Frequencia de 5 GHz e taxa de 54 Mbps.  Este padrão não foi muito bem aceito no mercado pois não é compatível com os padrões 802.11b e b+;- 802.11b : Taxas de transmissão de 11 e 5,5 Mbps;- 802.11b+ : Taxas de transmissão de 22 Mbps;- 802.11g : Frequencia de 2,4 GHz e taxas de transmissão de 54 Mbps;- 802.11g+ : Frequencia de 2,4 GHz e taxas de transmissão de 108 Mbps;- 802.12 : Especifica a prioridade de demanda MAC e Física;- 802.15 : Especificações Wireless para camadas MAC e Física.  Bluetooth entre outros;

Page 18: Treinamento Network

- 802.16 : Interface padrão para faixas Broadband fixas de sistemas de acesso Wireless.  WiMax;- 802.17 : Especificações do método de acesso do pacote do anel resilient e da camada física;- 802.20 : Mobile Wireless Access.  Mobile-Fi.

Encapsulamento do Datagrama IP

Formato do Cabeçalho do IPv4

+ 0 - 3 4 - 7 8 - 15 16 - 18 19 - 31

0 VersãoTamanho docabeçalho

Tipo de Serviço (ToS)(agora DiffServ e ECN)

Comprimento(pacote)

32 Identificador Flags Offset

64Tempo de Vida (TTL)

Protocolo Checksum

96 Endereço origem

128 Endereço destino

160 Opções

192 Dados 

O primeiro campo do header (ou cabeçalho) de um datagrama IPv4 é o campo de version (ou versão) de 4 bits.O segundo campo, de 4 bits, é o IHL (acrónimo para Internet Header Length, ou seja, Comprimento do Cabeçalho da Internet) com o número de words de 32 bits no cabeçalho IPv4. Como o cabeçalho IPv4 pode conter um número variável de opções, este campo essencialmente especifica o offset para a porção de dados de um datagrama IPv4. Um cabeçalho mínimo tem 20 bytes de comprimento, logo o valor mínimo em decimal no campo IHL seria 5.No RFC791, os 8 bits seguintes são alocados para um campo tipo de Serviço (ToS) agora DiffServ e ECN. A intenção original era para um host especificar uma preferência para como os datagramas poderiam ser manuseados assim que circulariam pela rede. Por exemplo, um host pode definir o campo de valores do seu ToS dos datagramas IPv4 para preferir pequeno desfasamento de tempo (ou "delay"), enquanto que outros podem preferir alta fiabilidade. Na prática, o campo ToS não foi largamente implementado. Contudo, trabalho experimental, de pesquisa e desenvolvimento se focou em como fazer uso destes oito bits. Estes bits têm sido redefinidos e mais recentemente através do grupo de trabalho do DiffServ na IETF e pelos pontos de código do Explicit Congestion Notification (ECN) codepoints (ver RFC 3168).O campo de 16 bits seguinte do IPv4 define todo o tamanho do datagrama, incluindo cabeçalho e dados, em bytes de 8 bits. O datagrama de tamanho mínimo é de 20 bytes e o máximo é 65535. O tamanho máximo do datagrama que qualquer host requer para estar apto para manusear são 576 bytes, mas os hosts mais modernos manuseiam pacotes bem maiores. Por vezes, assubredes impõem restrições no tamanho, em cada caso os datagramas têm que ser fragmentados. A fragmentação é manuseada quer no host quer no switch de pacotes no IPv4, e apenas no host no caso do IPv6.O campo seguinte de 16 bits é um campo de identificação. Este campo é usado principalmente para identificar fragmentos identificativos do datagrama IP original. Alguns trabalhos experimentais sugerem usar o campo IP para outros propósitos, tais como adicionar pacotes para levar a informação para datagrama, de forma a que ajude a pesquisar datagramas para trás com endereços fonte falsificados.O campo de 3 bits que segue é usado para controlar ou identificar fragmentos.O campo offset do fragmento tem 13 bits, e permite que um receptor determine o sítio de um fragmento em particular no datagrama IP original.Um campo de 8 bits, o TTL (time to live, ou seja, tempo para viver) ajuda a prevenir que os datagramas persistam (ex. andando aos círculos) numa rede. Historicamente, o campo TTL limita a vida de um

Page 19: Treinamento Network

datagrama em segundos, mas tornou-se num campo de contagem de hops. Cada switch de pacotes (ou router) que um datagrama atravessa decrementa o campo TTL em um valor. Quando o campo TTL chega a zero, o pacote não é seguido por um switch de pacotes e é descartado.Um campo de Protocolo de 8 bits segue-se. Este campo define o protocolo seguinte usado numa porção de dados de um datagrrama IP. A Internat Assigned Number Authority mantém uma lista de números de protocolos. Os protocolos comuns e os seus valores decimais incluem o Protocolo ICMP (Internet control message protocol, ou seja, Protocolo de controlo de mensagens da Internet) (1), o Protocolo TCP (Transmission Control Protocol, ou seja, Protocolo de controlo de transmissão) (17).O campo seguinte é um campo de verificação (checksum) para o cabeçalho do datagrama IPv4. Um pacote em trânsito é alterado por cada router (hop) que atravesse. Um desses routers pode comprometer o pacote, e o checksum é uma simples forma de detectar a consistência do cabeçalho. Este valor é ajustado ao longo do caminho e verificado a cada novo hop. Envolve apenas verificação do cabeçalho (não dos dados).Encapsulamento IP: O endereço de origem no cabeçalho IP irá indicar a quem deverá ser enviada a resposta do protocolo encapsulado, neste caso o TCP.A seguir ao campo de verificação, seguem-se os endereço de origem e de destino, de 32 bits cada um. Note que os endereços IPV6 de origem e destino são de 128 bits cada.Campos do cabeçalho adicionais (chamados de options, opções) podem seguir o campo do endereço de destino, mas estes não são normalmente usados. Os campos de opção podem ser seguidos de um campo de caminho que assegura que os dados do utilizador são são alinhados numa fronteira de words de 32 bits. (No IPv6, as opções movem-se fora do cabeçalho standard e são especificados pelo campo Next Protocol, semelhante à função do campo "Protocolo" no IPv4.)

Um analisador de redes típico

Estas ferramentas configuram as interfaces em modo PROMISCUO e especialmente em interfaces de rádio pode causar interrupção do trafego normal. O modo PROMISCUO pode ficar ativado, inclusive depois ter fechado o aplicativo, causando interrupção de trafego normal por este motivo. Por segurança sempre reinicie o servidor após uso destas ferramentas  As ferramentas descritas aqui facilitam o serviço do suporte. Para poder entender os resultados destes aplicativos devemos acostumar com:  IP e MACProtocolo e portas TCP/IPIP destino e origem  

Capturando tráfego

Cisco IOS (versão 12.4)

Poderá haver alguma divergência nas versões anteriores, use a ? para checar.

O comando no CiscoIOS chama-se “monitor session”

Para gerar o comando entre no modo de configuração global

1. # conf t2. (config)# monitor session 1 source interface fastEthernet 2/42 both 3. (config)# monitor session 1 destination inter fastEthernet 2/30

O que isso acima significa ?

Monitor Session 1 - Ativa a sessão de monitoramento número 1.

Source interfas fastEthernet 2/42 both - A origem do tráfego (source) a ser espelhado é o modulo 2 da porta 42 fastethernet, sendo o tráfego tanto de RX como TX (both)

Page 20: Treinamento Network

destination interfas fastEthernet 2/30 – Trafégo da porta 2/42 será enviado (destination) para fastethernet 2/30. Note que não existe foi especificado o comando both pois ele só receberá o trafego marcado no source.

Ao conectar uma maquina na porta 2/30 (que receberá o tráfego da porta 2/41), ative um Sniffer e capture todo o tráfego da porta especificada.

Você poderá especificar várias portas para espelhar ao mesmo tempo, mas lembre-se de que sua porta de destino deverá ter um Throughput suficiente para agüentar receber todo o tráfego capturado. Utilize interfaces gigabit como destino, caso você capture mais de uma interface FastEthernet que esteja sendo muito utilizada.

ARP - Address Resolution Protocol

O que é o ARP?O Address Resolution Protocol (ARP) é um protocolo para mapear um endereço IP de um endereço de uma máquina física (MAC) que é reconhecida na rede local. Por exemplo, um IP versão 4 (IPv4), o tipo de IP mais comumente usado hoje em dia, um endereço IP tem 32 bits de tamanho.

Em uma rede local Ethernet, entretanto, os endereços de dispositivos conectados possuem 48 bits de tamanho. Para aumentar a eficiência da rede e não engargalar a conexão realizando o broadcast do ARP, cada computador mantém uma tabela de endereços IP e endereços Ethernet na memória. Isto é chamado de cache ARP. Antes de enviar um broadcast para toda a rede, o computador transmissor verificará se a informação existe em seu cache ARP. Se existir, ele completará os dados Ethernet sem enviar um broadcast ARP e evitando de engargalar a conexão.

Cada entrada dura normalmente 20 minutos (mas depende do sistema operacional). A RFC 1122 especifica que é possível configurar o valor do tempo de expiração do cache ARP no host. Para examinar o cache em um computador com Windows, UNIX ou Linux, digite "arp -a" no console ou prompt de comando. O ARP provê as regras do protocolo realizando esta correlação e possibilitando a conversão de endereços em ambas as direções.

Para resolver o problema do mapeamento de endereços lógicos em endereços físicos quando do uso de IP sobre redes ethernet, mas não restrito a apenas estes dois protocolos, o ARP foi proposto (e aceito) na internet através da RFC826. Sua operação segue o seguinte princípio:

Quando a máquina A quer falar com a máquina B e não sabe seu endereço físico, envia um pacote ARP em modo broadcast pedindo informações.

Todas as máquinas em operação na rede recebem o pedido. A máquina B reconhece que o endereço pedido é o seu e responde, informando qual o seu endereço físico.

Na operação de resposta, o pacote é copiado, preenchido com a informação desejada e devolvido. Como o endereço físico do requisitante está presente na informação, não há problemas no envio.

ARP CacheSe para cada vez que fosse necessário enviar um datagrama IP fosse necessário usar uma sequência de ARP, a rede ficaria absurdamente carregada. Em vez disso, mantém-se em memória uma lista dos últimos endereços descobertos. Depois de algum tempo o endereço no ARP Cache é removido, independentemente de estar sendo usado ou não. É o que se chama de Aging. Otimizando o processamento do ARPAlgumas operações simples podem melhorar significativamente o aproveitamento da rede com relação a pacotes ARP:

Page 21: Treinamento Network

Como o pedido de ARP inclui os endereços lógico e físico do requisitante, a máquina que responde pode imediatamente guardar esta informação em seu ARP Cache, pois provavelmente precisará dela em breve.

Como o pedido é enviado em broadcast, todas as que recebem o pacote podem aproveitar o tempo que dispenderam para analisar a informação guardando-a no seu Cache. Assim, se em algum momento for necessário falar com aquele host, a informação já estará presente. Isso é bastante viável pois as tabelas de ARP não são muito grandes, em geral.

Assim que uma máquina é inicializada na rede, esta pode gerar um ARP broadcast anunciando seu endereço para as outras, adiantando o processo de detecção, e consequentemente, a comunicação. Isso só é vantajoso se a comunicação for iniciada pelo host remoto, pois em caso contrário, de qualquer forma, será necessário um ARP para pedir o endereço remoto.

Inverse ARPReverse Address Resolution Protocol (RARP) ou Protocolo de Resolução Reversa de Endereços associa um endereço MAC conhecido a um endereço IP. Permite que os dispositivos de rede encapsulem os dados antes de enviá-los à rede. Um dispositivo de rede, como uma estação de trabalho sem disco, por exemplo, pode conhecer seu endereço MAC, mas não seu endereço IP. O RARP permite que o dispositivo faça uma solicitação para saber seu endereço IP. Os dispositivos que usam o RARP exigem que haja um servidor RARP presente na rede para responder às solicitações RARP.

Proxy ARPO Proxy-arp é um método onde um determinado host, que pode ser um router ou firewall por exemplo, responde um arp request em nome de outro host. Este protocolo (RFC-1027) foi desenvolvido no final dos anos 80 pelo Departamento de Ciências da Computação da Universidade do Texas em Austin por necessidade deste em segmentar sua rede de computadores. Porém, naquela época, nem todos os devices de rede podiam ter seus endereços de redes subnetados, ou seja, um endereço classe A não poderia ser dividido em duas, três, doze, etc ... redes diferentes pois o dispositivo somente reconhecia a classe de seu IP. Com o método de Proxy-ARP, foi possível que com um endereço de classe A configurado em diversos hosts com máscara padrão para esta classe fossem segmentados por routers ou firewalls que tivessem o método de Proxy-ARP implementado. Como exemplo de seu funcionamento, temos a topologia abaixo, onde o device Router possui o proxy-arp habilitado com o comando “ip proxy arp” na interface Ethernet0. Este comando é habilitado por default em devices Cisco, e é recomendado que esteja sempre desabilitado caso seu uso não seja necessário.

Protocolos da camada IP A camada IP

MTU

Em redes de computadores, MTU é o acrônimo para a expressão inglesa Maximum Transmission Unit, que em português significa Unidade Máxima de Transmissão, e refere-se ao tamanho do maior datagrama que uma camada de um protocolo de comunicação pode transmitir.O protocolo IP permite a fragmentação de pacotes, possibilitando que um datagrama seja dividido em pedaços, cada um pequeno o suficiente para poder ser transmitido por uma conexão com o MTU menor que o datagrama original. Esta fragmentação acontece na camada IP (camada 3 do modelo OSI) e usa o parâmetro MTU da interface de rede que irá enviar o pacote pela conexão. O processo de fragmentação marca os fragmentos do pacote original para que a camada IP do destinatário possa montar os pacotes recebidos, reconstituindo o datagrama original.O protocolo da Internet define o "caminho MTU" de uma transmissão Internet como o menor valor MTU de qualquer um dos hops do IP do path" desde o endereço de origem até ao endereço de destino. Visto de outro modo, o "caminho MTU" define o maior valor de MTU que pode passar pelo caminho sem que os seus pacotes sofram posterior fragmentação.O RFC 1191 descreve o "Path MTU discovery", uma técnica para determinar o caminho MTU entre dois hospedeiros IP de forma a evitar fragmentação de IP. Esta técnica utiliza o feedback para o endereço

Page 22: Treinamento Network

fonte dos resultados de enviar datagramas de tamanhos progressivamente maiores, com o bit DF (Don't Fragment) on - qualquer dispositivo que ao longo do caminho necessite de fragmentar o pacote irá largá-lo e enviar uma resposta ICMP "datagrama demasiado grande" para o endereço de origem. Através deste teste, o hospedeiro de origem "aprende" qual o valor máximo de MTU que atravessa a rede sem que seja fragmentado.Problemas potenciais e resoluçãoInfelizmente, um número crescente de redes bloqueia todo o tráfego ICMP (por exemplo, para evitar ataques denial of service - isto impede o funcionamento da técnica acima explicada. Freqüentemente descobrimos esta fragmentação nos casos em que a ligação funciona com volumes baixos de tráfego mas bloqueia sempre que o host envia uma grande quantidade de dados ao mesmo tempo (por exemplo, com irc um cliente pode chegar até ao nospoof ping mas depois não obtém qualquer resposta dado que a ligação é bloqueada pela enorme quantidade de mensagens de boas vindas. Paralelamente, numa rede IP, o "caminho" desde o endereço de origem até ao endereço de destino pode ser alterado dinamicamente, em resposta a variados eventos (balanceamento de carga, congestionamento, downtimes, etc.) - isto pode resultar em que o caminho MTU se modifique (por vezes repetidamente) durante uma transmissão, o que pode introduzir ainda mais perda de pacotes antes que o host descubra o novo valor seguro de MTU.A maioria das modernas ethernet LANs usam um MTU de 1500 bytes. Contudo, sistemas como PPPoE irão reduzir isto, causando a entrada em acção da descoberta do caminho MTU, o que pode ter como consequência fazer com que alguns sites protegidos por firewall mal configuradas se tornem inacessiveis. Podemos contudo reparar isto, dependendo do ponto da rede que controlamos: por exemplo, podemos alterar o MSS (maximum segment size) no pacote inicial que configura o TCP na firewall.

FragmentaçãoTeoricamente o tamanho do pacote IP pode variar até o limite máximo de 64 KB dependendo da carga útil e das opções incluídas. Todavia, no caminho até seu destino um pacote pode atravessar diferentes tipos de redes. As redes são heterogêneas admitindo diferentes tamanhos de quadros (frames). Então, na prática, o tamanho máximo do pacote IP também é definido em função do hardware de rede por onde o pacote irá transitar. O tamanho máximo que um quadro pode ter é chamado de MTU - Maximum Transmission Unit - Unidade Máxima de Transmissão. Cada padrão de rede irá possuir um valor de MTU diferente.

Quando um pacote, de certo tamanho, necessita atravessar uma rede que lida somente com pacotes de menor tamanho é necessário dividir a carga do pacote em vários quadros, adequados ao tamanho da MTU dessa rede. O processo de adequar a carga do pacote IP ao tamanho da MTU é chamado de fragmentação de pacotes. Em alguns textos a fragmentação de pacotes é definida como segmentação. O conceito é o mesmo, mas se tratando do protocolo IP, prefira o termo fragmentação.

A princípio, um pacote é encaminhado e entregue com o mesmo tamanho que foi gerado na origem (fragmentação local). Mas, como a rota até o destino é uma escolha do roteador, um pacote pode seguir por uma rede que necessite de mais fragmentação (fragmentação na Inter-rede). A fragmentação que ocorre na inter-rede é invisível para o módulo IP do host que enviou o pacote. Caso um pacote seja fragmentado, transmitido e remontado entre dois roteadores o módulo IP não será informado disto.

Assim, havendo necessidade de fragmentação na inter-rede os roteadores poderão fazê-la, já que atuam na camada de rede do modelo TCP/IP. Neste caso, os roteadores ficam obrigados a remontar os pacotes antes de entregá-los ao destino. A fragmentação da inter-rede é chamada de fragmentação transparente.

A fragmentação de pacotes que acontece no módulo IP é chamada de não-transparente. Isso significa que o IP pode enviar tanto fragmentos de pacotes quanto pacotes sem fragmentação. Na prática, isso significa também que cada roteador receberá e transmitirá tanto pacotes completos, adequados ao tamanho da MTU, quanto fragmentos de pacotes ajustados a MTU. Tecnicamente um fragmento é apenas um pacote idêntico aos demais. Na fragmentação não-transparente o protocolo IP é "consciente" de que ocorreu fragmentação no encaminhamento, sendo também responsável pela remontagem dos

Page 23: Treinamento Network

fragmentos no destino.

Para tanto, o protocolo IP fornece alguns campos que garantem que os pacotes fragmentados sejam montados corretamente. Os campos que estão diretamente envolvidos na operação de fragmentação e remontagem de pacotes são: Identification, Fragment Offset e os sinalizadores binários Don't Fragment e More Fragment.

Havendo necessidade de fragmentação um mecanismo de fragmentação será usado para criar os fragmentos. Por exemplo, suponha um pacote que será fragmentado em dois fragmentos. Esse processo ocorre do seguinte modo: basicamente são criados dois novos datagramas, o conteúdo do cabeçalho do datagrama original é copiado para os cabeçalhos dos novos datagramas. Os campos identificação, endereço de origem e destino e o número do protocolo de transporte (para o qual a carga útil será entregue) permanecem inalterados independente do número de fragmentos.

A carga útil do datagrama original é dividida em blocos de oito octetos (64 bits). Cada fragmento poderá carregar múltiplos blocos de 64 bits, limitados ao tamanho da MTU. Teoricamente um único pacote com 64 KB poderia ser dividido em até 8.192 fragmentos com 64 bits cada.

Entretanto, como os valores de MTU são superiores ao tamanho mínimo do fragmento dificilmente esse número de fragmentos é alcançado. O último fragmento não necessita ter uma carga útil múltipla de 8 bytes.

Por exemplo, suponha um pacote com 113 bytes que será encaminhado em dois fragmentos. O primeiro fragmento terá 56 bytes enquanto o último terá 57.

Este processo ocorrerá da seguinte maneira: a primeira porção dos dados (56 bytes) é inserida no primeiro fragmento, o campo Total Lenght é ajustado para o novo tamanho do datagrama, enquanto o sinalizador MF - More Fragment - é configurado em 1 então o fragmento é enviado.

A porção restante dos dados (57 bytes) é inserida no segundo fragmento, o campo Total Lenght é ajustado. O sinalizador MF permanece inalterado (zero), indicando que este é o último fragmento do pacote.

O campo Fragment Offset do primeiro pacote é configurado como zero. No segundo fragmento o valor de Fragment Offset será o valor do Fragment Offset do pacote anterior (0) somado ao valor do NFB - Number of Fragment Block - Número de Blocos dos Fragmentos (7). Neste exemplo, o valor do NFB é 7, pois a cada fragmento foram enviados sete bytes de carga útil (exceto no último que serão enviados oito bytes). O NFB é um índice utilizado para remontar o pacote.

A importância da fragmentação, é que ela torna as redes mais homogêneas. Entretanto, fragmentação gera um maior volume de tráfego (overhead) na rede, pois multiplica cabeçalhos e gera um número maior de pacotes para serem tratados por um roteador. O gerenciamento da fragmentação pode ser necessário nos casos em que seja observada uma sobrecarga de carga em relação à largura de banda da rede.

Além disto, fragmentação mal gerenciada pode ser um ponto de vulnerabilidade na segurança da rede. Diversos ataques a segurança das redes utilizam a fragmentação para serem realizados. São exemplos de ataques de fragmentação: o ataque de pequenos fragmentos e o ataque de sobreposição de fragmentos. A filtragem de fragmentos por um filtro de pacotes, como Iptables, pode ser importante para a segurança do sistema, veja a RFC 1858 para mais informações sobre ataques que usam fragmentação.

Page 24: Treinamento Network

Endereçamento IP Definindo as classes de endereçosUm endereço IP é um endereço 32 bits, geralmente notado sob a forma de 4 números inteiros separados por pontos. Distinguem-se, com efeito, duas partes no endereço IP :

uma parte dos números à esquerda designa a rede e chama-se ID de rede (em inglês netID), Os números à direita designam os computadores desta rede e chamam-se ID de hóspede (em

inglês host-ID).

Repare no exemplo abaixo:

Tomemos a rede de esquerda: 194.28.12.0. Contém os computadores seguintes : 194.28.12.1 a 194.28.12.4

Repare na rede à direita: 178.12.0.0. Compreende os computadores seguintes : 178.12.77.1 a 178.12.77.6

No caso acima, as redes são notadas 194.28.12 e 178.12.77, seguidamente numera-se cada um dos computadores que a constituem. Imagine uma rede notada 58.0.0.0. Os computadores desta rede poderão ter os endereços IP que vão de 58.0.0.1 a 58.255.255.254. Trata-se de atribuir os números de modo a que haja uma organização na hierarquia dos computadores e dos servidores. Assim, quanto mais pequeno for o número de bits reservado à rede, mais esta pode conter computadores. Com efeito, uma rede notada 102.0.0.0 pode conter computadores cujo endereço IP pode variar entre 102.0.0.1 e 102.255.255.254 (256*256*256-2=16777214 possibilidades), enquanto uma rede notada 194.26 poderá conter apenas computadores cujo endereço IP esteja compreendido entre 194.26.0.1 e 194.26.255.254 (256*256-2=65534 possibilidades), é a noção de classe de endereço IP. Endereços específicosQuando se anula a parte host-id, isto é, quando se substituem os bits reservados às máquinas da rede por zeros (por exemplo 194.28.12.0), obtém-se o que chamamos de endereço rede. Este endereço não pode ser atribuído a nenhum dos computadores da rede. Quando a parte netid é anulada, quer dizer, quando os bits reservados à rede são substituídos por zeros, obtém-se o endereço máquina. Este endereço representa a máquina especificada pelo host-ID que se encontra na rede corrente. Quando todas as bits da parte host-id são de 1, o endereço obtido chama-se endereço de divulgação (em inglês broadcast). Trata-se de um endereço específico, permitindo enviar uma mensagem a todas as máquinas situadas na rede especificada pelo netID. Pelo contrário, quando todos os bits da parte netid são 1, o endereço obtido constitui o endereço de divulgação limitada (multicast).

Page 25: Treinamento Network

Por último, o endereço 127.0.0.1 chama-se endereço de defeito (em inglês loopback), porque designa a máquina local (em inglês localhost). As classes de redesOs endereços IP estão repartidos por classes, de acordo com o número de bytes que representam a rede. Classe ANum endereço IP de classe A, o primeiro byte representa a rede. O bit de peso forte (o primeiro bit, o da esquerda) está a zero, o que significa que há 27 (00000000 à 01111111) possibilidades de redes, quer dizer 128 possibilidades. Contudo, a rede 0 (bits que valem 00000000) não existe e o número 127 é reservado para designar a sua máquina. As redes disponíveis em classe A são por conseguinte as redes que vão de 1.0.0.0 a 126.0.0.0 (os últimos bytes são zeros que indicam que se trata de redes e não de computadores!) Os três bytes à direita representam os computadores das redes, a rede pode por conseguinte conter um número de computador igual a: 224-2 = 16777214 computadores. Um endereço IP de classe A, binário, parece-se com isto : 0 xxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxRede Computadores

Classe BNum endereço IP de classe B, os dois primeiros bytes representam a rede. Os dois primeiros bits são 1 e 0, o que significa que há 214 (10 000000 00000000 do 111111 11111111) possibilidades de redes, quer dizer de 16384 redes possíveis. As redes disponíveis em classe B são por conseguinte as redes que vão de 128.0.0.0 a 191.255.0.0 Os dois bytes de direita representam os computadores da rede. A rede pode por conseguinte conter um número de computadores igual a: 216-21 = 65534 computadores. Um endereço IP de classe B, binário, assemelha-se a isto: 10 xxxxxx xxxxxxxx xxxxxxxx xxxxxxxxRede Computadores

Classe CNum endereço IP de classe C, os três primeiros bytes representam a rede. Os três primeiros bits são 1,1 e 0, que significa que há 221 possibilidades de redes, quer dizer 2097152. As redes disponíveis em classe C são por conseguinte as redes que vão de 192.0.0.0 a 223.255.255.0 O byte de direita representa os computadores da rede, a rede pode por conseguinte conter: 28-21 = 254 Computadores Um endereço IP de classe C, binário, assemelha-se a isto : 110 xxxxx xxxxxxxx xxxxxxxx xxxxxxxxRede Computadores

Atribuição dos endereços IPO objectivo da divisão dos endereços IP em três classes A, B e C, é facilitar a investigação de um computador na rede. Com efeito, com esta notação é possível procurar inicialmente a rede que se deseja atingir e seguidamente procurar um computador . Assim, a atribuição dos endereços IP faz-se de acordo com a dimensão da rede.

Classe Número de redes possíveis Números máximo de computadores em cada umaA 126 16777214B 16384 65534C 2097152 254

Page 26: Treinamento Network

Os endereços de classe A são reservados especialmente para as grandes redes, enquanto se atribuirão os endereços de classe C a pequenas redes de empresa, por exemplo. Endereços IP reservadosAcontece frequentemente numa empresa ou uma organização que um só computador esteja ligdo à Internet, é por seu intermédio que os outros computadores da rede acedem à Internet (fala-se geralmente de proxy ou ponte estreita). Neste caso, o único computador ligado à Internet tem necessidade de reservar um endereço IP junto do ICANN. Contudo, os outros computadores têm na mesma necessidade de um endereço IP para poderem comunicar entre eles internamente. Assim, o ICANN reservou um punhado de endereços em cada classe para permitir afectar um endereço IP aos computadores de uma rede local ligada à Internet sem correr o risco de criar uma confusão de endereços IP na rede das redes. Trata-se dos endereços seguintes :

Endereços IP privados de classe A: 10.0.0.1 a 10.255.255.254, permitindo a criação de vastas redes privadas que compreendem milhares de computadores.

Endereços IP privados de classe B: 172.16.0.1 à 172.31.255.254, permitindo criar redes privadas de média dimensão.

Endereços IP privados de classe C: 192.168.0.1 à 192.168.0.254, para instalação de pequenas redes privadas.

Máscaras de subredePara compreender o que é uma máscara, talvez seja interessante consultar a secção “mecânico” que fala das máscaras em binário Resumindo, fabrica-se uma máscara contendo 1 nos luagres dos bits que desejamos conservar, e 0 para os que queremos anular.Uma vez criada esta máscara, basta fazer um ET lógico entre o valor que se deseja mascarar e a máscara, para deixar intacta a parte que deseja e anular o resto. Assim, uma máscara rede (em inglês netmask) apresenta-se sob a forma de 4 bytes separados por pontos (como um endereço IP), compreende (na sua notação binária) dos zeros a nível das bits do endereço IP que quer-se anular (e do 1 a nível dos que deseja-se conservar). Interesse de uma máscara de subredeO primeiro interesse de uma máscara de subrede é permitir identificar simplesmente a rede associada a um endereço IP. Com efeito, a rede é determinada por diversos bytes do endereço IP (1 byte para os endereços de classe A, 2 para os endereços de classe B, e de 3 bytes para a classe C). Ora, uma rede é notada tomando o número de bytes que a carateriza, seguidamente completando com zeros. A rede associada ao endereço 34.56.123.12 é por exemplo 34.0.0.0, porque se trata de um endereço IP de classe A. Para conhecer o endereço da rede associada ao endereço IP 34.56.123.12, basta então aplicar uma máscara cujo primeiro byte comporta apenas 1 (quer dizer, 255 em notação decimal), seguidamente 0 sobre os bytes seguintes. A máscara é: 11111111.00000000.00000000.00000000 A máscara associada ao endereço IP 34.208.123.12 é por conseguinte 255.0.0.0. O valor binário de 34.208.123.12 é: 00100010.11010000.01111011.00001100 Um ET lógico entre o endereço IP e a máscara dá assim o resultado seguinte : 00100010.11010000.01111011.00001100 E 11111111.00000000.00000000.00000000 = 00100010.00000000.00000000.00000000

Isto é, 34.0.0.0. Trata-se da rede associada ao endereço 34.208.123.12 Generalizando, é possível obter as máscaras que correspondem a cada classe de endereço:

Para um endereço de Classe A, só o primeiro byte deve ser conservado. A máscara possui a forma seguinte 11111111.00000000.00000000.00000000, quer dizer 255.0.0.0 em notação decimal;

Page 27: Treinamento Network

Para um endereço de Classe B, os dois primeiros bytes devem ser conservados, o que dá a máscara seguinte 11111111.11111111.00000000.00000000, correspondente a 255.255.0.0 em notação decimal;

Para um endereço de Classe C, com o mesmo raciocínio, a máscara possuirá a forma seguinte 11111111.11111111.11111111.00000000, quer dizer 255.255.255.0 em notação decimal

Criação de subredesRetomemos o exemplo da rede 34.0.0.0, e suponhamos que desejamos que os dois primeiros bits do segundo byte permitam designar a rede. A máscara a aplicar será então: 11111111.11000000.00000000.00000000quer dizer 255.192.0.0 Se se aplicar esta máscara, ao endereço 34.208.123.12 obtém-se : 34.192.0.0

Realmente há 4 casos possíveis para o resultado máscara de um endereço IP de um computador da rede 34.0.0.0

Ou os dois primeiros bits do segundo byte são 00, neste caso o resultado é 34.0.0.0 Ou os dois primeiros bits do segundo byte são 01, neste caso o resultado é 34.64.0.0 Ou os dois primeiros bits do segundo byte são 10, neste caso o resultado é 34.128.0.0 Ou os dois primeiros bits do segundo byte são 11, neste caso o resultado é 34.192.0.0

Esta máscara divide por conseguinte uma rede de classe A (que pode admitir 16.777.214 computadores) em 4 subredes - daí o nome de máscara de subrede - que pode admitir 222 computadores, quer dizer 4.194.304 computadores. Pode ser interessante observar que nos dois casos, o número total de computadores é o mesmo, quer dizer 16.777.214 computadores (4 x 4194304 - 2 = 16777214). O número de subredes depende do número de bits atribuídos a mais à rede (aqui 2). O número de subredes é por conseguinte:

números de bits números subredes1 22 43 84 165 326 647 1288 (impossível para uma classe C) 256

Roteamento IPProtocolos de roteamento

Page 28: Treinamento Network

O Roteamento e Seus ComponentesO roteamento e' a principal forma utilizada na Internet para a entrega de pacotes de dados entre hosts (equipamentos de rede de uma forma geral, incluindo computadores, roteadores etc.). O modelo de roteamento utilizado e' o do salto-por-salto (hop-by-hop), onde cada roteador que recebe um pacote de dados, abre-o, verifica o endereco de destino no cabecalho IP, calcula o proximo salto que vai deixar o pacote um passo mais proximo de seu destino e entrega o pacote neste proximo salto. Este processo se repete e assim segue ate' a entrega do pacote ao seu destinatario. No entanto, para que este funcione, sao necessarios dois elementos: tabelas de roteamento e protocolos de roteamento.Tabelas de roteamento sao registros de enderecos de destino associados ao numero de saltos ate' ele, podendo conter varias outras informações.Protocolos de roteamento determinam o conteudo das tabelas de roteamento, ou seja, sao eles que ditam a forma como a tabela e' montada e de quais informacoes ela e' composta. Existem dois tipos de algoritmo atualmente em uso pelos protocolos de roteamento: o algoritmo baseado em Vetor de Distancia (Distance-Vector Routing Protocols) e o algoritmo baseado no Estado de Enlace (Link State Routing Protocols).

Roteamento InternoOs roteadores utilizados para trocar informacoes dentro de Sistemas Autonomos sao chamados roteadores internos (interior routers) e podem utilizar uma variedade de protocolos de roteamento interno (Interior Gateway Protocols - IGPs). Dentre eles estao: RIP, IGRP, EIGRP, OSPF e Integrated IS-IS.

Roteamento ExternoRoteadores que trocam dados entre Sistemas Autonomos sao chamados de roteadores externos (exterior routers), e estes utilizam o Exterior Gateway Protocol (EGP) ou o BGP (Border Gateway Protocol). Para este tipo de roteamento sao considerados basicamente colecoes de prefixos CIDR (Classless Inter Domain Routing) identificados pelo numero de um Sistema Autonomo.

Protocolos de Roteamento Interno (Interior Routing Protocols)RIP (Routing Information Protocol)O RIP foi desenvolvido pela Xerox Corporation no inicio dos anos 80 para ser utilizado nas redes Xerox Network Systems (XNS), e, hoje em dia, e' o protocolo intradominio mais comum, sendo suportado por praticamente todos os fabricantes de roteadores e disponivel na grande maioria das versoes mais atuais do sistema operacional UNIX.Um de seus beneficios e' a facilidade de configuracao. Alem disso, seu algoritmo nao necessita grande poder de computacao e capacidade de memoria em roteadores ou computadores.O protocolo RIP funciona bem em pequenos ambientes, porem apresenta serias limitacoes quando utilizado em redes grandes. Ele limita o numero de saltos (hops) entre hosts a 15 (16 e' considerado infinito). Outra deficiencia do RIP e' a lenta convergencia, ou seja, leva relativamente muito tempo para que alteracoes na rede fiquem sendo conhecidas por todos os roteadores. Esta lentidao pode causar loops de roteamento, por causa da falta de sincronia nas informacoes dos roteadores.O protocolo RIP e' tambem um grande consumidor de largura de banda, pois, a cada 30 segundos, ele faz um broadcast de sua tabela de roteamento, com informacoes sobre as redes e sub-redes que alcanca.Por fim, o RIP determina o melhor caminho entre dois pontos, levando em conta somente o numero de saltos (hops) entre eles. Esta tecnica ignora outros fatores que fazem diferenca nas linhas entre os dois pontos, como: velocidade, utilizacao das mesmas (trafego) e toda as outras metricas que podem fazer diferenca na hora de se determinar o melhor caminho entre dois pontos.[RFC 1058]

IGRP (Interior Gateway Protocol)

Page 29: Treinamento Network

O IGRP tambem foi criado no inicio dos anos 80 pela Cisco Systems Inc., detentora de sua patente. O IGRP resolveu grande parte dos problemas associados ao uso do RIP para roteamento interno.O algoritmo utilizado pelo IGRP determina o melhor caminho entre dois pontos dentro de uma rede examinando a largura de banda e o atraso das redes entre roteadores. O IGRP converge mais rapidamente que o RIP, evitando loops de roteamento, e nao tem a limitacao de saltos entre roteadores.Com estas caracteristicas, o IGRP viabilizou a implementacao de redes grandes, complexas e com diversas topologias.

EIGRP (Enhanced IGRP)A Cisco aprimorou ainda mais o protocolo IGRP para suportar redes grandes, complexas e criticas, e criou o Enhanced IGRP.O EIGRP combina protocolos de roteamento baseados em Vetor de Distancia (Distance-Vector Routing Protocols) com os mais recentes protocolos baseados no algoritmo de Estado de Enlace (Link-State). Ele tambem proporciona economia de trafego por limitar a troca de informacoes de roteamento `aquelas que foram alteradas.Uma desvantagem do EIGRP, assim como do IGRP, e' que ambos sao de propriedade da Cisco Systems, nao sendo amplamente disponiveis fora dos equipamentos deste fabricante.

OSPF (Open Shortest Path First)OSPF é um protocolo de roteamento feito para redes com protocolo IP; foi desenvolvido pelo grupo de trabalho de IGPs (Interior Gateway Protocol) da IETF (Internet Engineering Task Force). Este grupo de trabalho foi criado em 1988, para projetar um IGP baseado no algoritmo Shortest Path First (SPF, menor rota primeiro), voltado para uso na Internet. Similar ao Interior Gateway Routing Protocol (IGRP), protocolo proprietário da Cisco, o OSPF foi criado, pois, na metade dos anos 80, o Routing Information Protocol (RIP) mostrou-se cada vez menos capaz de  atender redes largas e heterogêneas. Este trabalho aborda o ambiente de roteamento OSPF, tratando do algoritmo de roteamento, e dos componentes gerais do protocolo.O OSPF resultou de diversas pesquisas: a de Bolt, Berenek e Newman (BBN), que desenvolveram o algoritmo SPF em 1978, para a ARPANET (o marco inicial das redes de comutação de pacotes, criada no início dos aos 70 por BBN); a de Radia Perlman,  a respeito da tolerância a erros de transmissão no roteamento de informação (de 1988); e a de BBN sobre roteamento local (1986), uma versão inicial do protocolo de roteamento OSI entre camadas intermediárias.Há duas características principais no OSPF. A primeira, é um protocolo aberto, o que significa que suas especificações são de domínio público; suas especificações podem ser encontradas na RFC (Request For Comments) número 1247. A segunda, é um protocolo baseado no algoritmo SPF, também chamado de algoritmo de Dijkstra, nome de seu criador.OSPF é um protocolo de roteamento do tipo link-state, que envia avisos sobre o estado da conexão (link-state advertisements, LSA) a todos os outros roteadores em uma mesma área hierárquica. Informações sobre interfaces ligadas, métrica usada e outras variáveis são incluídas nas LSAs.  Ao mesmo tempo em que o roteador OSPF acumula informações sobre o estado do link, ele usa o algoritmo SPF para calcular a menor rota para cada nó.Por ser um protocolo do tipo link-state, o OSPF difere-se do RIP e do IGRP, que são protocolos de roteamento baseados em vetores de distância. Os roteadores que trabalham com algoritmos de vetor de distância, a cada atualização, enviam toda ou parte de suas tabelas de roteamento para seus vizinhos.b) Hierarquia de roteamentoAo contrário do RIP, o OSPF pode operar com hierarquias. A maior entidade dentro da hierarquia é o sistema autônomo (Autonomous System, AS), que é uma coleção de redes sob mesma administração e que têm uma estratégia de roteamento comum. OSPF é um protocolo de roteamento intra-AS (interior gateway), embora seja capaz de receber e enviar rotas para outros ASs.Um AS pode ser divido em diversas áreas, que são grupos de redes adjacentes e host ligados. Roteadores com múltiplas interfaces podem participar em múltiplas áreas. Estes roteadores, chamados Roteadores de Borda de Área (Area Border Routers), mantêm uma base de dados topológica (referente à geometria) separada para cada área.A base de dados topológica é basicamente uma forma geral de relação entre redes e roteadores. Esta base de dados contém uma coleção de LSAs recebidos de todos os roteadores de uma mesma área.

Page 30: Treinamento Network

Como os roteadores dentro de uma mesma área dividem as mesmas informações, eles têm bases de dados topológicas idênticas.O termo domínio é algumas vezes usado para descrever uma parte da rede na qual todos os roteadores têm bases de dados topológicas idênticas. Este termo é freqüentemente usado no lugar de AS, preservando o mesmo significado.A topologia de uma área é invisível para entidades fora dela. Por manter separadas as topologias de área, o OSPF passa menos tráfego de roteamento do que se passaria se as ASs não fossem divididas.O particionamento de área cria dois tipos de roteamento OSPF, dependo se a origem e o destino estão na mesma área ou em áreas diferentes. Roteamento intra-área é usado quando a origem e o destino estão na mesma área, e o roteamento inter-área é usado quando estão em áreas diferentes.Um backbone (redes principais que conectam redes menores) OSPF é responsável por distribuir informações de roteamento entre áreas. Consiste de todos os roteadores de borda de área (Area Border Routers, ABR), redes que não estão totalmente contidas em uma área, e seus respectivos roteadores. A Figura 1 mostra um exemplo de uma inter-rede com várias áreas.

Figura 1: Um AS OSPF consiste de múltiplas áreas ligadas por roteadoresFigura original da Cisco Na Figura 1, os roteadores 4, 5, 6, 10, 11 e 12 formam o backbone. Se o host (computador principal de uma redes, que comanda ou controla a ação de outros computadores) H1 na área 3 deseja enviar um pacote ao host H2 na área 2, o pacote é enviado ao roteador H13, que o encaminha para o roteador 12, que envia ao roteador 11. O roteador 11 então encaminha o pacote pelo backbone para o roteador de borda de área 10, que envia o pacote através de dois roteadores intra-área (roteadores 7 e 9) para ser encaminhado ao host H2.O backbone em si é uma área OSPF, já que todos os roteadores do backbone usam os mesmos procedimentos e algoritmos para manter a informação de roteamento de dentro do backbone, que qualquer roteador de área manteria. A topologia do backbone é transparente para todos os roteadores inter-área, assim como a topologia de cada área são para o backbone.Áreas podem ser definidas de uma forma que o backbone não é contínuo. Neste caso, a conectividade (medida da capacidade dos computadores na rede trabalharem simultaneamente) do backbone deve ser restaurada por links virtuais. Links virtuais são configurados entre quaisquer roteadores do backbone que dividam um link para uma área que não seja do backbone, e funcione como se fossem links diretos.

Page 31: Treinamento Network

Roteadores da borda do AS que rodem OSPF sabem sobre rotas exteriores através de protocolos externos (Exterior Gateway Protocols, EGPs), como o Exterior Gateway Protocol (EGP) ou o Border Gateway Protocol (BGP), ou através de informações de configuração.d) Formato do pacoteTodos os pacotes OSPF começam com um cabeçalho de 24 octetos, como mostrado na Tabela 1.

Tabela 1: Os pacotes OSPF, constituído por nove campos

Tamanho do campo (em octetos)

1 1 2 4 4 2 2 8 Variável

Nome do campo

Versão TipoTamanho do pacote

ID do roteador

ID da área

ChecksumTipo de autenticação

Autenticação Dados

A descrição para cada campo da Tabela 1 é: Versão: identifica a versão de OSPF utilizada Tipo: Identifica o pacote OSPF como um dos seguintes:

Hello: estabelece e mantém a relação entre vizinhosDescrição de base de dados: descreve o conteúdo da base da dados. Estas mensagens são trocadas quando uma adjacência é incializadaPedido de link-state: pede partes da base de dados topológicos de roteadores vizinhos. Estas mensagens são trocadas após um roteador descobrir (examinado pacotes de descrição de base de dados) que partes de sua base de dados topológicos está com prazo de validade encerradoAtualização de link-state: responde a um pacote de pedido de link-state. Estas mensagens também são utilizadas para a difusão regular de LSAs. Diversos LSAs podem ser incluídos em um único pacote de atualização de link-stateReconhecimento de link-state: reconhece os pacotes de atualização de link-state

Tamanho do pacote: especifica o tamanho do pacote, incluindo o cabeçalho OSPF, em octetos ID do roteador: identifica a origem do pacote ID da área: identifica a que área o pacote pertence. Todos os pacotes OSPF estão associados a

apenas uma área Checksum: Confere o conteúdo do pacote para ver se ocorreu algum dano durante o trânsito Tipo de autenticação: Contém o tipo de autenticação. Todas trocas no protocolo OSPF são

autenticadas. O tipo de autenticação é configurável por área Autenticação: contém informações de autenticação Dados: Contém informações encapsuladas de camadas superiores

e) Características adicionais do OSPFAs características adicionais incluem roteamento em multi-rotas e roteamento baseado no tipo de serviço (type-of-service, TOS) pedido pela camada superior. Roteamento baseado em TOS suportam protocolos da camada superior que especificam tipos de serviços particulares. Um aplicativo, por exemplo, pode especificar que certos dados são urgentes. Se o OSPF possuir links de alta prioridade a sua disposição, estes podem ser usados para transportar o datagrama que requer urgência.O OSPF suporta mais de um tipo de métrica. Se apenas uma métrica é usada, ela é considerada absoluta e TOS não é suportado. Se mais de uma métrica é usada, TOS pode ser suportado pelo uso de uma métrica separada (e, então, uma tabela de roteamento separada) para cada uma das oito combinações criadas pelos três bits de IP TOS (o atraso, taxa e confiança). Por exemplo, se os bits de IP TOS especificarem baixo atraso, baixa taxa e alta confiança, o OSPF calcula rotas a todos os destinos baseado nessas designações de TOS.Máscaras de sub-rede IP são incluídas com cada destino anunciado, permitindo máscaras de tamanhos diferentes. Com máscaras de sub-rede de tamanho variável, uma rede IP pode ser dividida em diversas sub-redes de tamanhos variados. Isso permite ao administrador da rede maior flexibilidade para a configuração.

Page 32: Treinamento Network

Integrated IS-IS (Intermediate System to Intermediate System Routing Exchange Protocol)O IS-IS [OSI 10589], assim como o OSPF, e' um protocolo intra- dominio, hierarquico e que utiliza o algoritmo de Estado de Enlace. Pode trabalhar sobre varias sub-redes, inclusive fazendo broadcasting para LANs, WANs e links ponto-a-ponto.O Integrated IS-IS e' uma implementacao do IS-IS que, alem dos protocolos OSI, atualmente tambem suporta o IP. Como outros protocolos integrados de roteamento, o IS-IS convoca todos os roteadores a utilizar um unico algoritmo de roteamento.Para rodar o Integrated IS-IS, os roteadores tambem precisam suportar protocolos como ARP, ICMP e End System-to-Intermediate System (ES-IS).

Protocolo de Roteamento Externo (Exterior Routing Protocol)BGP (Border Gateway Protocol)O BGP [RFCs 1771,1772,1773,1774,1657] assim como o EGP, e' um protocolo de roteamento interdominios, criado para uso nos roteadores principais da Internet.O BGP foi projetado para evitar loops de roteamento em topologias arbitrarias, o mais serio problema de seu antecessor, o EGP (Exterior Gateway Protocol). Outro problema que o EGP nao resolve - e e' abordado pelo BGP - e' o do Roteamento Baseado em Politica (policy-based routing), um roteamento com base em um conjunto de regras nao-tecnicas, definidas pelos Sistemas Autonomos.A ultima versao do BGP, o BGP4, foi projetado para suportar os problemas causados pelo grande crescimento da Internet.Maiores detalhes sobre este importante protocolo de roteamento serao vistos nas proximas edicoes deste boletim.

Algoritmos de roteamentoO algoritmo SPF

O algoritmo de roteamento shortest path first (SPF, menor rota primeiro) é a base para as operações do OSPF. Quando um roteador SPF é ligado, ele carrega as estruturas de dados do protocolo de roteamento e espera por indicações de protocolos de camadas mais baixas de que suas interfaces estão funcionando.Após o roteador garantir que suas interfaces estão funcionando, ele usa o protocolo OSPF “Hello” para reconhecer seus vizinhos, que são roteadores com interfaces para uma mesma rede. O roteador envia pacotes Hello para seus vizinhos e recebe o pacote Hello destes. Além de ajudar a reconhecer os vizinhos, o pacote Hello também permite ao roteador saber se todos os outros roteadores ainda estão em funcionamento (keepalive).Em redes multi-acesso (redes que suportam mais de dois roteadores), o protocolo Hello elege um roteador designado (designated router), e um roteador designado substituto (backup). Além de outras tarefas, o roteador designado é responsável por gerar LSAs para toda a rede multi-acesso. Estes roteadores permitem uma redução no tráfego de rede e no tamanho da base de dados topológicos.Quando uma base de dados link-state de dois roteadores vizinhos são sincronizadas, os roteadores são ditos adjacentes. Em redes multi-acesso, o roteador designado determina que roteador devem se tornar adjacentes. Bases de dados topológicos devem ser sincronizadas entre pares de roteadores adjacentes. Os adjacentes controlam a distribuição dos pacotes do protocolo de roteamento, que são enviados e recebidos somente nos adjacentes.Cada roteador envia periodicamente um LSA para fornecer informação as adjacências de um roteador ou para informar aos outros quando o estado de um roteador se altera. Comparando as adjacências estabelecidas com os link states, roteadores com falhas podem ser detectados rapidamente, e a topologia da rede pode ser alterada apropriadamente. Com a base topológica gerada por meio dos LSAs, cada roteador calcula uma árvore de menores rotas (shortest-path tree), com ele próprio como raiz (root). A árvore de menores rotas, por sua vez, torna-se a tabela de roteamento.

Page 33: Treinamento Network

DHCP – Dinamic Host Configuration ProtocolO que é o DHCP?Em uma rede com dezenas ou mesmo centenas de computadores, manter o controle dos endereços IP já utilizados pelas máquinas pode ser um pesadelo. É muito fácil errar o endereço IP de uma máquina, ou errar a máscara de rede ou endereço do default gateway, e geralmente é muito difícil identificar qual a máquina onde existe um erro de configuração do TCP/IP. Para resolver esses problemas você poderá instalar um servidor DHCP na sua rede local (ou melhor, um servidor DHCP para cada subnet, logo veremos porque) e deixar que ele forneça estes parâmetros para as estações da rede. Se você tem uma pilha TCP/IP instalada que suporta o protocolo DHCP, você pode configurar cada estação para usar o DHCP e ignorar todos esses parâmetros. Na inicialização da pilha TCP/IP, a estação irá enviar um pacote de broadcast para a rede (um broadcast é um pacote que é recebido por toda a rede) e o servidor DHCP, ao receber este pacote, enviará os parâmetros de configuração para a estação. Aqui temos comunicação apenas no nível de enlace (pois o TCP/IP ainda não foi completamente inicializado), e portanto não temos a função de roteamento habilitada. Por isso o servidor DHCP deve estar na mesma LAN física onde está a estação que será inicializada. Normalmente os servidores tem sua configuração realizada manualmente, pois o endereço IP deve concordar com o endereço IP cadastrado no servidor DNS. O servidor DHCP é configurado com uma faixa de endereços IP que ele pode fornecer aos clientes. Inicialmente, todos os endereços estão disponíveis. Quando uma estação é inicializada, ela envia o broadcast pedindo pela sua configuração, e o servidor DHCP reserva um endereço para ela (que deixa de estar disponível) e registra o endereço Ethernet para o qual o endereço foi reservado. Então ele envia uma resposta contendo este endereço e os demais parâmetros listados acima. O endereço é apenas "emprestado" pelo servidor DHCP, que registra também o momento do empréstimo e a validade deste empréstimo. No próximo boot, a estação verifica se o empréstimo ainda é válido e se não pede um novo endereço (que pode até ser o mesmo, por coincidência). Se o empréstimo estiver em metade da sua validade, o cliente pede uma renovação do empréstimo, o que aumenta a sua validade. E a cada inicialização, o cliente verifica se o endereço emprestado ainda é dela, pois ela pode ter sido deslocada para uma outra LAN, onde a configuração do TCP/IP é diferente, ou por qualquer motivo o Administrador da Rede pode ter forçado a liberação do endereço que havia sido emprestado. O servidor verifica periodicamente se o empréstimo não expirou, e caso afirmativo coloca o endereço novamente em disponibilidade. Desta forma, a não ser que você tenha um número de estações muito próximo ao número de endereços IP reservados para o servidor DHCP, você pode acrescentar, retirar ou mover estações pela sua rede sem se preocupar em configurar manualmente as pilhas TCP/IP a cada mudança. Geralmente o DHCP é utilizado somente para configurar estações cliente da rede, enquanto que os servidores são configurados manualmente. Isso porque o endereço IP do servidor deve ser conhecido previamente (para configuração do default gateway, para configuração do arquivo de hosts, para configuração de DNS, configuração de firewall, etc). Se fosse utilizado o DHCP, o endereço do servidor poderia ser diferente em cada boot, obrigando a uma série de mudanças de configuração em diversos nós da rede. Você também pode configurar o servidor DHCP para entregar aos clientes outras informações de configuração, como o endereço do servidor DNS da rede. O Linux pode operar tanto como cliente quanto como servidor DHCP, entretanto não veremos estas configurações no nosso curso.

Como o DHCP trabalha

O DHCP utiliza um modelo cliente/servidor. O administrador da rede instala e configura um ou mais servidores DHCP. As informações de configuração – escopos de endereços IP, reservas e outras opções de configuração – são mantidas no banco de dados dos servidores DHCP. O banco de dados do servidor inclui os seguintes itens:

Parâmetros de configuração válidos para todos os cliente na rede (número IP do Default Gateway, número IP de um ou mais servidores DNS e assim por diante). Estas configurações podem ser diferentes para cada escopo.

Endereços IP válidos mantidos em um pool para serem atribuídos aos clientes além de reservas de endereços IP.

Page 34: Treinamento Network

Duração das concessões oferecidas pelo servidor. A concessão define o período de tempo durante o qual o endereço IP atribuído pode ser utilizado pelo cliente. Conforme mostrarei mais adiante, o cliente tenta renovar esta concessão em períodos definidos, antes que a concessão expire.

Com um servidor DHCP instalado e configurado na rede, os clientes com DHCP podem obter os endereços IP e os parâmetros de configuração relacionados, dinamicamente, sempre que forem inicializados. Os servidores DHCP fornecem essa configuração na forma de uma oferta de concessão de endereço para os clientes solicitantes.

Considerações de implementações

É recomendável que haja mais que um servidor DHCP disponível em uma dada rede; para abastecer os clientes DHCP com endereços e informações de configuração. Se houver somente um servidor, e este vir a falhar; quando um endereço IP de um cliente tiver no término do seu tempo de empréstimo, o endereço não se tornará disponível. Concomitantemente, os clientes não estarão aptos para inicializar o TCP/IP e utiliza-lo para ser comunicar na rede.Não há nenhum mecanismo que admite quedois ou mais servidores coordenem o empréstimo de endereços IP para faixas de endereços sobrepostas( endereços iguais ). Portanto cada servidor DHCP deve possuir uma faixa única de endereços, que não deve se sobrepor a faixa de qualquer outro servidor. Ou seja, se um servidor A possui a seguinte faixa para empréstimo: 223.223.223.1 a223.223.223.100. E o servidor B possuir a faixa: 223.223.223.75 a 223.223.223.175. Ambos servidores poderão vir a emprestar os endereços na faixa 223.223.223.75 a 223.223.223.100. Como não há comunicação entre os dois servidores, caso um venha a emprestar um certo endereço; não há como o outro vir a saber que o endereço está sendo emprestado. Assim pode ser que dois clientes venham a receber o mesmo endereço. Logo, é imprescindível que os servidores tenham faixas de endereços diferentes.

Permite que o broadcast que chega a uma interface seja enviada para outra interface em forma de unicast.Exemplo:

Configuração:BrainworkRT#conf t BrainworkRT(config)#int f0/1 BrainworkRT(config-if)ip helper-address 192.168.0.10 BrainworkRT(config-if)end BrainworkRT#wr No cenário acima o client e o server encontram-se em redes diferentes. Para que o DHCP possa funcionar é necessário adicionar na interface F0/1 do roteador o comando ip helper-address e o IP do servidor. Assim o roteador recebe o broadcast do client e transforma-o em um pacote unicast, destinado ao servidor.O Helper Address funciona para DHCP, DNS e em alguns caso até para TFTP, e pode ser configurado em interfaces físicas ou interfaces virtuais.

Page 35: Treinamento Network

Tráfego DHCP

O mecanismo básico da comunicação é BOOTP (com trama UDP). Quando uma máquina arranca, não tem nenhuma informação sobre a sua configuração de rede e, sobretudo, o utilizador não deve fazer nada de especial para encontrar um endereço IP. Para fazer isto, a técnica utilizada é o broadcast: para encontrar e dialogar com um servidor DHCP, a máquina vai simplesmente emitir um pacote especial de broadcast (broadcast sobre 255.255.255.255 com outras informações como o tipo de pedido, as portas de conexão…) na rede local. Quando o servidor DHCP receber o pacote de broadcast, devolverá outro pacote de broadcast (não se esqueça que o cliente não tem necessariamente o seu endereço IP e que, por isso, não está directamente contactável) que contém todas as informações requeridas para o cliente. Poder-se-ia pensar que um só um pacote pode ser suficiente para o bom funcionamento do protocolo. Com efeito, existem vários tipos de pacotes DHCP susceptíveis de serem emitido quer pelo cliente para os servidores, quer pelo servidor para um cliente:

DHCPDISCOVER (para localizar os servidores DHCP disponíveis) DHCPOFFER (resposta do servidor um pacote DHCPDISCOVER, que contém os primeiros

parâmetros) DHCPREQUEST (pedido diverso do cliente para por exemplo prolongar o seu arrendamento) DHCPACK (resposta do servidor que contém parâmetros e o endereço IP do cliente) DHCPNAK (resposta do servidor para informar o cliente que o seu arrendamento acabou ou se o

cliente apresenta uma má configuração de rede) DHCPDECLINE (o cliente anuncia ao servidor que o endereço já é utilizado) DHCPRELEASE (o cliente libera o seu endereço IP) DHCPINFORM (o cliente pede os parâmetros locais, tem já o seu endereço IP)

O primeiro pacote emitido pelo cliente é um pacote de tipo DHCPDISCOVER. O servidor responde por um pacote DHCPOFFER, em especial para apresentar um endereço IP ao cliente. O cliente estabelece a sua configuração, seguidamente faz um DHCPREQUEST para validar o seu endereço IP (pedido em broadcast porque DHCPOFFER não contém o seu endereço IP). O servidor responde simplesmente por um DHCPACK com o endereço IP para confirmação da atribuição. Normalmente, isto é suficiente para que um cliente obtenha uma configuração de rede eficaz, mas pode ser mais ou menos longo conforme o cliente aceite ou não o endereço IP…

SNMP – Simple Network Management Protocol

O que é o SNMPO SNMP (Simple Network Management Protocol) é o protocolo mais importante de gerenciamento de TCP/IP. Seu funcionamento é baseado em polling, ou seja, em períodos de tempos para realização de coleta de informação. Ele utiliza o protocolo UDP para suas comunicações de atribuições, por padrão as portas utilizadas são 161/162. Ele possui três versões 1, 2 e 3. A versão 3 difere das demais, por possuir recursos de segurança capazes de criptografar a string da comunidade SNMP. Apesar disso, a versão mais utilizada do SNMP ainda é a versão 2c. Os modos de atuação desse protocolo podem ser RO (Read-only) ou RW (Read-Write). 

Objetos de gerenciamentoUm objeto gerenciado é a visão abstrata de um recurso real do sistema. Assim, todos os recursos da rede que devem ser gerenciados são modelados, e as estruturas de dados resultantes são os objetos

Page 36: Treinamento Network

gerenciados. Os objetos gerenciados podem ter permissões para serem lidos ou alterados, sendo que cada leitura representará o estado real do recurso e, cada alteração também será refletida no próprio recurso.

Comunidade SNMP é como se fosse uma senha, o valor padrão para RO é public e o valor padrão para RW é private. Assim, é altamente recomendável a alteração desses valores. 

Gerente SNMP é quem realizada as consultas e manipulações SNMP. Existem três tipos de ações que os gerentes executam, são elas: GET, GET Bulk (GETs múltiplos) e SET (alteração de valor).  Os gerentes mandam mensagens de solicitações (requests) e recebem mensagens de repostas (responses). 

OID trata-se dos objetos gerenciáveis, exemplo: o estado de uma porta RJ45 de um switch. Eles são representados por números, exemplo a OID ‘1.3.6.1.4.x.y.z.k’ representa o estado de uma porta de um switch cisco. 

Agente SNMP é o guardião da MIB ele espera a solicitação de seus gerentes e ordena respostas (responses) de SNMP para eles. Além disso, os agentes podem enviar TRAPS, que são mensagens de alertas unidirecionais para os gerentes. Os TRAPS são disparados automaticamente quando um evento de mudança de estado for acionado.

ASN.1 (Abstract Syntax Notation One) é a linguagem usada para representar tipos e estruturas de gerenciamentos, permitindo a visualização e alteração dos OIDs.

MIBDessa forma, a MIB (Management Information Base) é o conjunto dos objetos gerenciados, que procura abranger todas as informações necessárias para a gerência da rede, possibilitando assim, a automatização de grande parte das tarefas de gerência. Os padrões de gerenciamento OSI e Internet definiram MIBs que representam os objetos necessários para a gerência de seus recursos. Neste hiperdocumento serão apresentadas considerações sobre a MIB da OSI e a MIB Internet, bem como as diferenças entre as MIBs desses dois padrões.MIB (Management Information Base) é a base onde há um conjunto de OIDs. É comum fazermos alusão das MIBs como se fossem árvores. Existem atualmente a MIB-I e a MIB-II.

Estrutura de gerenciamento

Estrutura

Page 37: Treinamento Network

A árvore hierárquica abaixo foi definida pela ISO representa a estrutura lógica da MIB,mostra o identificador e o nome de cada objeto.

O nó raiz da árvore não possui rótulo mas possui pelo menos três subníveis, sendo eles:o nó 0 que é administrado pela Consultative Committe for International Telegraph and Telephone -CCITT; o nó 1 que é administrado pela International Organization for Standartization - ISO; o nó 2que é administrado em conjunto pela CCITT e pela ISO. Sob o nó ISO fica o nó que pode serutilizado por outras instituições: o org (3), abaixo dele fica o dod (6) que pertence ao departamentode defesa dos EUA. O departamento de defesa dos EUA alocou um sub-nó para a comunidadeinternet, que é administrado pela International Activities Board - IAB e abaixo deste nó temos, entreoutros, os nós: management, experimental, private.Sob o nó management ficam as informações de gerenciamento, é sob este nó que está onó da MIB II.Sob o nó experimental estão as MIBs experimentais.Sob o nó private fica o nó enterprises e sob este nó ficam os nós das indústrias deequipamentos.Como exemplo de um objeto citaremos o ipInReceives do grupo IP:ipInReceives Object TypeObject Identifier: 1.3.6.1.2.1.4.3Access: read-onlySyntax: Counter32Description: O número total de datagramas que chegam nas interfaces, incluindo aquelescom erro.

Comandos SNMPHabilitar séries de comunidade SNMP Este procedimento é o mesmo para routeres e Cisco IOS Software-Based XL Catalyst switch.

Page 38: Treinamento Network

1. Faça um Telnet para o roteador. 2. prompt#telnet 172.16.99.203. Incorporar a senha da possibilidade no alerta a fim incorporar o modo enable: 4. Router>enable 5. Password:

Router#6. Mostra a configuração em execução e busca informações de SNMP: 7. Router#show running-config 8. Building configuration... 9. ....

.... Nota: Se nenhuma informação de SNMP está atual, continuar com estas etapas. Caso haja algum comando de SNMP listado, você pode modificá-lo ou desabilitá-lo.

10. Vá para o modo de configuração: 11. Router#configure terminal 12. Enter configuration commands, one per line. End 13. with CNTL/Z.

Router(config)#14. Usar este comando a fim permitir o string de comunidade (RO) de leitura apenas:

Router(config)#snmp-server community public RO no qual "public" é a string de comunidade de somente leitura.

15. Usar este comando a fim permitir o string de comunidade da leitura/gravação (RW):Router(config)#snmp-server community private RW onde "private" é a série de comunidade de leitura/gravação.

16. Saia do modo de configuração e volte ao prompt principal: 17. Router(config)#exit

Router#18. Grave a configuração modificada na RAM não-volátil (NVRAM) para salvar as definições: 19. Router#write memory 20. Building configuration... 21. [OK]

Router#Verificar séries de comunidade SNMP É aqui como verificar séries de comunidade snmp.

1. Verifique se existe uma conectividade TCP/IP entre o servidor NMS (Network Management Server) e o roteador:

2. C:\>ping 172.16.99.20 3.4. Pinging 172.16.99.20 with 32 bytes of data: 5. Reply from 172.16.99.20: bytes=32 time<10ms TTL=247 6. Reply from 172.16.99.20: bytes=32 time=10ms TTL=247 7. Reply from 172.16.99.20: bytes=32 time<10ms TTL=247 8. Reply from 172.16.99.20: bytes=32 time<10ms TTL=247 9. Ping statistics for 172.16.99.20: 10. Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), 11. Approximate round trip times in milli-seconds: 12. Minimum = 0ms, Maximum = 10ms, Average = 2ms 13. Faça um Telnet para o roteador.14. prompt# telnet 172.16.99.2015. Incorporar a senha da possibilidade no alerta a fim incorporar o modo enable: 16. Router>enable 17. Password:

Router#18. Mostra a configuração em execução e busca informações de SNMP: 19. Router#show running-config 20. ....

Page 39: Treinamento Network

21. .... 22. snmp-server community public RO 23. snmp-server community private RW 24. ....

....Nestas saídas de exemplo, o "público" é a série de comunidade de somente leitura e "privada" é a série de comunidade de leitura/gravação. Nota: Se você não vê nenhuma indicações do "servidor snmp", o SNMP não está permitido no roteador. Alternativamente, executar o comando SNMP da mostra no modo enable. Se você vê esta mensagem, igualmente indica que o SNMP não está permitido no roteador: Router#show snmp %SNMP agent not enabled Router#

25. Saia do modo de habilitação e volte ao prompt principal: 26. Router#disable 27. Router>

Modificar séries de comunidade SNMP Terminar estas etapas a fim alterar séries de comunidade snmp.

1. Faça um Telnet para o roteador.2. prompt# telnet 172.16.99.203. Incorporar a senha da possibilidade no alerta a fim incorporar o modo enable: 4. Router>enable 5. Password:

Router#6. Mostra a configuração em execução e busca informações de SNMP: 7. Router#show running-config 8.9. Building configuration... 10. ... 11. ... 12. snmp-server community public RO 13. snmp-server community private RW 14. .... 15. .... 16. Vá para o modo de configuração: 17. Router#configure terminal 18. Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#o A fim alterar o string de comunidade (RO) de leitura apenas atual:

a. Suprimir do string de comunidade (RO) de leitura apenas atual com este comando:

Público de comunidade RO do servidor snmp de Router(config)#no (onde o "público" é a série de comunidade de somente leitura)

b. Incorporar o string de comunidade (RO) de leitura apenas novo com este comando:

a comunidade RO do Router(config)#snmp-server (onde o "" é a série de comunidade de somente leitura)

o A fim alterar o string de comunidade atual da leitura/gravação (RW): a. Suprimir do string de comunidade atual da leitura/gravação (RW) com este

comando: A comunidade RW privado do servidor snmp de Router(config)#no

(onde "privada" é a série de comunidade de leitura/gravação) b. Incorporar o string de comunidade novo da leitura/gravação (RW) com este

comando: a comunidade YYYY RW do Router(config)#snmp-server (onde o

"YYYY" é a série de comunidade de leitura/gravação)

Page 40: Treinamento Network

19. Saia do modo de configuração e volte ao prompt principal: 20. Router(config)#exit

Router#21. Grave a configuração modificada na RAM não-volátil (NVRAM) para salvar as definições: 22. Router#write memory 23. Building configuration... 24. [OK]

Router#Desabilitar/remover séries de comunidade SNMP Terminar estas etapas a fim desabilitar ou remover string de comunidade SMMP.

1. Faça um Telnet para o roteador. 2. prompt# telnet 172.16.99.203. Incorporar a senha da possibilidade no alerta a fim incorporar o modo enable: 4. Router>enable 5. Password:

Router#6. Mostra a configuração em execução e busca informações de SNMP: 7. Router#show running-config 8.9. Building configuration... 10. ... 11. ... 12. snmp-server community public RO 13. snmp-server community private RW 14. .... 15. .... 16. Vá para o modo de configuração: 17. Router#configure terminal 18. Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#19. A fim desabilitar/remover o string de comunidade (RO) de leitura apenas atual, usam este

comando: 20. Router(config)#no snmp-server community public RO

no qual "público" é a série de comunidade de somente leitura21. A fim desabilitar/remover o string de comunidade atual da leitura/gravação (RW), usam este

comando: 22. Router(config)#no snmp-server community private RW

em que "privada" é a série de comunidade de somente leitura23. Saia do modo de configuração e volte ao prompt principal: 24. Router(config)#exit

Router#25. Grave a configuração modificada na RAM não-volátil (NVRAM) para salvar as definições: 26. Router#write memory 27. Building configuration... 28. [OK]

Router#

Gerenciando tráfego com listas de acessoO que são as Access listAs ACLS não são utilizadas somente com o propósito de filtrar tráfego IP, elas podem ser utilizadas também para definir tráfego que esta sujeito ao Network Address Translation (NAT) e o tráfego que será criptografado em uma configuração de VPN, entre outras utilidades.

Page 41: Treinamento Network

O processamento das ACLs ocorre da seguinte forma: o tráfego que entra no roteador é comparado com as entradas nas ACLs na ordem em que elas foram escritas. Por isso é muito importante tomar cuidado na hora de redigir as ACLs para que um tráfego que você precisa permitir não fique bloqueado atrás de uma entrada na ACL que negue um tráfego específico. Novas linhas da ACL pode ser adicionada ao final da lista e o roteador ou switch de camada 3 irá analisar as linhas da lista até encontrar uma que combine com o tráfego específico. Se nenhuma combinação é encontrada na lista, o tráfego é negado. Existe um entrada negando tudo (deny implícito) ao final da lista de controle de acesso. Por essa razão a lista de controle de acesso precisa ter pelo menos uma linha permitindo o tráfego desejado, caso contrário todo o tráfego será negado.   Para exemplificar, analisamos os dois exemplos a seguir, eles têm o mesmo resultado:Exemplo 1: access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255Exemplo 2: access-list 102 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255                   access-list 102 deny ip any any Além de definir a origem e o destino do tráfego, podemos definir portas de origem e destino, tipos de mensagens ICMP e outros parâmentros que ajudam ainda mais a restringir as entradas das listas de acesso que serão aplicadas nas interfaces dos roteadores.Exemplo 3: access-list 102 permit icmp host 10.1.1.1 host 172.16.1.1 14 - permite todos os tipos de mensagens icmp

access-list 102 permit icmp host 10.1.1.1 host 172.16.1.1 eco-request - permite apenas um tipo de mensagem icmpAs listas de controle de acesso só terão efeito depois de aplicadas a uma interface. Uma boa prática é aplicar a ACL na interface mais próxima da origem do tráfego.  Como mostra o exemplo, quando você quer bloquear um tráfego de uma origem para um destino, você pode aplicar a ACL na E0 no Router A como inbound, ao invés de aplicar como outbound na interface E1 do Router C.Os termos in, out, source e destination são utilizados como referência pelos roteadores e possuem os seguintes significados:

in: tráfego entrante na interface. out: tráfego sainte na interface. source: origem do tráfego. destination: destino do tráfego.

IP Access-listACL padrão: esse tipo de ACL existe desde a versão 8.3 do Cisco IOS Software e controla o tráfego comparando o endereço  de origem dos pacotes IP com o endereço configurado na ACL. A sintaxe da ACL padrão é a seguinte:access-list access-list-number {permit|deny} {host|source source-wildcard|any}Os números desse tipo de ACL podem ser de 1 a 99, a partir da versão 12.0.1 do IOS foram adicionados os números 1300 a 1999 e a partir da versão 11.2 do IOS podemos identificar uma ACL padrão pelo nome. A palavra any substitui qualquer endereço IP e a palavra host indica que a regra se aplica apenas aquele determinado endereço IP.Exemplo 4: access-list 10 permit host 10.10.10.1 - apenas o host 10.10.10.1 será liberadoaccess-list 10 deny any - todo o tráfego restante será negado.Depois de elaborada a lista de acesso, ela precisa ser aplicada a uma interface. interface <interface>ip access-group number {in|out}Caso a palavra in ou out não for especificado, out fica aplicado como padrão.ACL estendida: A lista de acesso estendida possui maior recursos de verificação. Com esse tipo de ACL podemos analisar o IP de origem, o IP de destino, a porta de origem, a porta de destino, os protocolos e alguns outros parâmetros. Os números desse tipo de ACL podem ser de 101 a 199, a partir da versão 12.0.1 do IOS foram adicionados os números 2000 a 2699 e a partir da versão 11.2 do IOS podemos identificar uma ACL estendida pelo nome.

Page 42: Treinamento Network

Exemplo 5:

Router(config)# access-list 101 deny icmp any 10.1.1.0 0.0.0.255 echo - nega o tráfego de pingRouter(config)# access-list 101 permit ip any 10.1.1.0 0.0.0.255 - permite todo o tráfego ipRouter(config)# interface Ethernet0/1 Router(config-if)# ip address 172.16.1.2 255.255.255.0 Router(config-if)# ip access-group 101 in  ACLs Nomeadas: esse tipo de ACL foi criada a partir da versão 11.2 do IOS e permite que ACLs padrão e estendida sejam nomeadas. ip access-list {extended|standard} nameExemplo 6:   Router(config)# ip access-list extended Saida Router(config-ext-nacl)# permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet Router(config)# interface Ethernet0/0 Router(config-if)# ip address 10.1.1.1 255.255.255.0 Router(config-if)# ip access-group Saida inACLs Reflexivas: esse tipo de ACL foi criada a partir da versão 11.3 do IOS e são utilizadas por exemplo, para quando você libere um tráfego de saida da tua rede local, a resposta desse tráfego retorne. Essa tipo de ACL permite somente temporariamente o tráfego, as entradas são criadas automaticamente quando uma nova sessão IP é incializada e é removida quando a sessão termina.Exemplo 7: Router(config)# ip access-list extended name Router(config-ext-nacl)# permit protocol any any reflect name [timeout seconds] Router(config-if)# ip access-group name out ou Router(config-if)# ip access-group name in Comentários em listas de acesso: os comentários foram adicionados a partir do IOS  12.0.2.T para tornar mais fácil o entendimento da ACL. Pode ser utilizado em lista de acesso padrão e estendida.Exemplo 8: Router(config)# access-list 101 remark permit_telnet Router(config)# access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet Ao editar uma ACL tenha sempre muita atenção. Se você pretende apagar uma linha de ACL numerada, como mostrado, a ACL inteira será apagada.Exemplo 9: router#configure terminal  Enter configuration commands, one per line.  End with CNTL/Z.  router(config)#access-list 101 deny icmp any any  router(config)#access-list 101 permit ip any any  router(config)#^Z  router#show access-list  Extended IP access list 101      deny icmp any any      permit ip any any  router#  *Apr  9 00:43:12.784: %SYS-5-CONFIG_I: Configured from console by console  router#configure terminal  Enter configuration commands, one per line.  End with CNTL/Z.  router(config)#no access-list 101 deny icmp any any  router(config)#^Z  router#show access-list  router#  *Apr  9 00:43:29.832: %SYS-5-CONFIG_I: Configured from console by consoleDica importante: Sempre copie a ACL para um editor de texto, antes de fazer qualquer alteração e de preferência faça uma cópia de todas as configurações do equipamento que você está editando as regras, para que você tenha em mãos a última configuração válida, caso algum problema ocorra.

Page 43: Treinamento Network

Troubleshooting:Para remover uma ACL de uma interface: vá para o modo de configuração da interface e digite um no na frente do comando ip access-group.interface <interface> no ip access-group # in|outO comando show ip access-list (nome ou número) mostra a contagem de pacotes que estão combinando com a ACL.router#sh ip access-lists SaidaExtended IP access list Saida    10 permit tcp any any established (1848 matches)    20 permit tcp any any eq www (440501 matches)    30 permit tcp any any eq 443 (40147 matches)    40 permit tcp any any eq ftp (222 matches)A palavra log pode adicionada ao final de uma entrada na ACL para mostrar os pacotes que estão combinando com determinada entrada. Router(config)# ip access-list extended Saida Router(config-ext-nacl)# deny ip any any logPara verificar todos os pacotes que estão sendo negados utilize o comando:router# terminal monitor

NAT e PAT

NATNAT é um protocolo que, como o próprio nome diz (network address translation), faz a tradução dos endereços Ip e portas TCP da rede local para a Internet. Ou seja, o pacote enviado ou a ser recebido de sua estação de trabalho na sua rede local, vai até o servidor onde é trocado pelo ip do mesmo substitui o ip da rede local validando assim o envio do pacote na internet, no retorno do pacote a mesma coisa, o pacote chega e o ip do servidor é trocado pelo Ip da estação que fez a requisição do pacote.

 PATPort Address Translation (PAT) é uma característica de um dispositivo de rede que traduz TCP ou UDP comunicações efectuadas entre os anfitriões em uma rede privada e anfitriões em uma rede pública. Ela permite que um único endereço IP público a ser usado por muitos anfitriões em uma rede privada, que normalmente é uma rede de área local ou LAN.Um dispositivo transparente PAT modifica pacotes IP como elas passam por ela. As modificações fazem todos os pacotes que ele envia para a rede pública a partir de múltiplos hosts na rede privada parece que originam de um único anfitrião, (o dispositivo PAT) na rede pública. Port Address Translation (PAT) é uma característica de um dispositivo de rede que traduz TCP ou UDP comunicações efectuadas entre os anfitriões em uma rede privada e anfitriões em uma rede pública. Ela permite que um único endereço IP público a ser usado por muitos anfitriões em uma rede privada, que normalmente é uma rede de área local ou LAN. Um dispositivo PAT modifica pacotes IP como elas passam por ela. As modificações fazem todos os pacotes que ele envia para a rede pública a partir de múltiplos hosts na rede privada parece que originam de um único anfitrião, (o dispositivo PAT) na rede pública.Alguns dispositivos que oferecem “NAT”, como os roteadores de banda larga, na verdade oferecem PAT. Por este motivo, existe uma grande confusão entre os termos. O uso comum do NAT para incluir dispositivos PAT sugere que deve ser considerado um tipo de NAT em vez de  uma tecnologia distinta.Relação entre NAT e PATPAT é um subconjunto do NAT, e está estreitamente ligado ao conceito de Network Address Translation. há geralmente apenas um endereço IP expostos publicamente e privadas múltiplas anfitriões conectando através do endereço expostos.No PAT, tanto do remetente e o número de porta IP privados são modificados; o PAT dispositivo escolhe os números das portas que serão vistas pelos anfitriões na rede pública de. Desta forma, PAT funciona a camada 3 (rede) e 4 (transportes) do modelo OSI, que opera com base NAT só camada 3.Cada pacote TCP contém simultaneamente uma fonte de endereço IP e número de porta fonte, bem como um endereço IP destino e destino número de porta.

Page 44: Treinamento Network

Para os serviços acessíveis ao público, tais como servidores Web e servidores de correio do número da porta é importante. Por exemplo, conecta-se à porta 80 do servidor da web software e a porta 25 para um servidor de correio SMTP do domínio. O endereço IP de um servidor público também é importante, semelhante em exclusividade mundial para um endereço postal ou número de telefone. Tanto o endereço IP ea porta deve ser corretamente conhecido por todos os hosts que desejam comunicar com êxito, dependente do tipo particular de comunicação (por exemplo, web, email, FTP).PAT resolve conflitos que poderiam surgir através de dois diferentes host, utilizando o mesmo número de porta fonte única de estabelecer conexões ao mesmo tempo. Com o PAT, todas as comunicações enviadas para hosts externos realmente conter o endereço IP eo porto informações do PAT dispositivo host interno em vez de IPs ou números de porta.Visibilidade de Operação

O PAT operação é normalmente transparente para ambos os hosts internos e externos. Normalmente o anfitrião interno é do conhecimento do verdadeiro endereço IP e porta TCP ou UDP externa do hospedeiro. Normalmente o PAT dispositivo pode funcionar como o gateway padrão para o host interno. No entanto, o anfitrião é só externa cientes do endereço IP público para o PAT e ao dispositivo especial porta que está sendo usado para se comunicar em nome de um determinado host interno.Usos do PATSoftware de firewalls e dispositivos de acesso à rede de banda larga (ADSL roteadores por exemplo) são exemplos de tecnologias de rede que pode conter PAT implementações. Ao configurar estes dispositivos, a rede externa é a Internet ea rede interna é uma LAN.Exemplos de PATUm host em endereço IP 192.168.0.2 na rede privada pode pedir para uma ligação a um anfitrião remoto na rede pública. O pacote inicial é dado o endereço 192.168.0.2:15345. O PAT dispositivo (o que tem que assumir um IP público do 1.2.3.4) podem traduzir essa fonte arbitrariamente endereço: porta par para 1.2.3.4:16529, fazendo uma entrada na sua tabela interna que a porta 16529 sendo usado para uma conexão por 192.168. 0,2 na rede privada. Quando um pacote é recebido a partir da rede pública pelo PAT dispositivo para o endereço 1.2.3.4:16529 pacote é enviado para 192.168.0.2:15345.

Virtual LANO que é uma Virtual LAN

Uma rede local virtual, normalmente denominada de VLAN, é uma rede logicamente independente. Várias VLAN's podem co-existir em um mesmo comutador (switch). O protocolo predominante é o IEEE 802.1Q. Antes da introdução do 802.1q, o protocolo ISL da Cisco, uma variante do IEEE 802.10, foi um dos vários protocolos proprietários. O ISL é desaprovado em favor do 802.1q.As primeiras VLAN's geralmente eram configuradas para reduzir o tamanho do domínio de colisão em um segmento Ethernet muito extenso para melhorar o desempenho. Quando os switch's descartaram este problema (porque eles não têm um domínio de colisão), as atenções se voltaram para a redução do domínio de broadcast na camada MAC. Dependendo do tipo de configuração, os usuários ganham mobilidade física dentro da rede. Um outro propósito de uma rede virtual é restringir acesso a recursos de rede sem considerar a topologia da rede, porém este método é questionável.Redes virtuais operam na camada 2 do modelo OSI. No entanto, uma VLAN geralmente é configurada para mapear diretamente uma rede ou sub-rede IP, o que dá a impressão que a camada 3 está envolvida.Enlaces switch-a-switch e switch-a-roteador são chamados de troncos. Um roteador ou switch de camada 3 serve como o backbone entre o tráfego que passa através de VLAN's diferentes.Redes virtuais podem ser configuradas de várias formas;

Nível do protocolo, IP, IPX, LAT, etc. Baseada no endereço MAC. Baseada na sub-rede IP. Baseada na porta, e portanto, baseada no mundo real, como em departamento de marketing

versus finanças.VLAN's podem ser estáticas, dinâmicas ou dependente da porta. Existem dois métodos de estabelecer uma VLAN: por marcação de quadro (frame-tagging) e por filtragem de quadro (frame-filtering). A

Page 45: Treinamento Network

marcação de quadro modifica a informação que está contida dentro do quadro da camada 2, de tal modo que os switch's podem encaminhar o tráfego da VLAN para as suas VLAN's de destino e voltar o quadro ao seu formato normal. A filtragem de quadro faz o switch procurar por um certo critério no quadro da camada 2 e usar este sistema de comparação para encaminhar o tráfego para sua VLAN e destino corretos.Um dispositivo de camada 2 pode implementar VLAN's de três maneiras diferentes;

VLAN's abertas (Open VLANs) têm um banco de dados de endereço MAC único para todas as VLAN's.

VLAN's fechadas (Closed VLANs) têm um banco de dados de endereço MAC separado para cada VLAN.

VLAN's de modo mixado (Mixed Mode VLANs) podem ser configuradas como aberta ou fechada por VLAN.

VLAN's fechadas geralmente são consideradas mais seguras que VLAN's abertas.

TrunkingO VLAN trunking protocol (VTP) é um protocolo que os switches usam para se comunicar uns com os outros e trocar informações sobre as configurações da VLAN.

Na imagem acima, cada switch tem 2 VLANs. No primeiro switch, a VLAN A e a VLAN B são enviadas através de uma única porta (trunked) para o roteador e através de outra porta para o segundo switch. A VLAN C e a VLAN D utilizam trunking do segundo para o primeiro switch e do primeiro switch para o roteador. Este processo de trunking pode carregar tráfego de todas as quatro VLANs. O link de trunking do primeiro switch para o roteador também pode carregar dados das quatro VLANs. Na verdade, esta conexão do roteador permite que este mesmo roteador apareça em todas as quatro VLANs, como se existissem quatro portas físicas diferentes conectadas ao switch. As VLANs podem se comunicar entre si por meio da conexão trunking entre os dois switches utilizando o roteador. Por exemplo, dados do computador na VLAN A que precisam chegar a um computador na VLAN B (ou VLAN C ou VLAN D) devem trafegar do switch para o roteador e novamente para o switch. Devidoao aprendizado automático e ao trunking, os PCs e o roteador acham que eles estão no mesmo segmento físico.

ISL e 802.1q

Trunk ISL: Todo tráfego que passa por uma porta trunk ISL (Inter-Switch Link) deve ser encapsulado em um frame ISL. Se um frame não encapsulado chega a uma porta trunk ISL ele é descartado. O ISL é um padrão criado pela Cisco, mas não são todos os switches Cisco que suportam ISL.Trunk 802.1Q: As portas trunk 802.1Q (padrão do IEEE) aceitam tráfego com e sem tag. Caso um frame seja tagueado ele será encaminhado para a VLAN referida. Se um pacote chegar sem tag à porta trunk ele será encaminhado para a VLAN default (por padrão é a VLAN 1, mas pode ser definida pelo usuário).

Roteamento Inter-VlanComo vocês provavelmente já devam saber,  uma VLAN’s é um domínio de Broadcast, portanto podem se comunicar entre si sem problemas. As VLAN’s tem como objetivo principal, realizar a segmentação de uma rede através da criação de multiplos domínios de Broadcast.

Page 46: Treinamento Network

Porém existem situações em que precisamos fazer com que as VLAN’s se comuniquem entre si, e é exatamente isso que vamos esclarecer neste post.Dois swicthes conectados entre si, através de um “Trunk Link”, não são capazes de realizar o roteamento de pacotes de uma VLAN para outraPara que haja a comunicação entre dispositivos localizados em diferentes VLAN’s precisamos obrigatoriamente do auxilio de um dispositivo de camada 3, como por exemplo um Roteador ou mesmo um switch “Layer 3″ como Catalyst 3550 ou superior, que incorpora as funcionalidades de um Switch L2 + Router L3.Neste post apreasentarei 3 soluções possíveis de implementação, quando se trata do roteamento entre VLAN’s, e neste post mostrarei os 4 métodos de implementação possíveis.Solução 1.

Na solução 1, do cenário acima, nosso roteador tem  uma interface em cada VLAN, portanto se tivessemos mais VLAN’s teriamos que ter mais interfaces neste mesmo roteador para que pudesse ser feito o roteamento de pacotes entre todas as VLAN’s.Cada estação de trabalho, deve utilizar a interface do roteador conectada diretamente a sua rede como “Default Gateway”. Este default gateway por ter uma interface de rede conectada diretamente a cada uma das VLAN’s deverá fazer o roteamento de pacotes entre elas.Por fim, este cenário se tornaria inviável, pois conforme nossa rede fosse se tornando maior,  mais VLAN’s seriam criadas, a rede ficaria um tanto complexa, além de esta solução se mostrar ineficiente para o crescimento futuro da rede e com um custo muito também.

Page 47: Treinamento Network

Solução 2.

Nesta segunda solução veja que precisamos utilizar um roteador que suporta em suas interfaces os protocolos de encapsulamento 802.1q ou ISL.Note que no desenho acima, o roteador possui uma interface de rede fisica e que esta mesma interface, está sendo dividida em sub-interfaces, sendo que cada uma dessas sub-interfaces atenderá a uma VLAN específica.Interface Fastethernet 0/0Sub-interface Fastethernet 0/0.1 –> Suportará a VLAN 1Sub-interface Fastethernet 0/0.2 –> Suportará a VLAN 2Sub-interface Fastethernet 0/0.3 –> Suportará a VLAN 3Nota: Este método é também conhecido como “Router-on-a-stick”Solução 3.Um outro método que pode ser utilizado para realizarmos o roteamento entre VLAN’s é através da utilização de um Switch Layer 3, da serie 3500. Esta é sem dúvida a melhor solução de roteamento entre VLANs, se comparado aos dois métodos mostrados anteriormente. A implementação deste tipo de solução, é muito mais confiável e de custo aceitável.No próximo post mostrarei alguns slides, que explicam alguns detalhes de como realizar a configuração do roteamento entre VLAN’s

Entendendo e configurando protocolo VTP

O VTP, é um protocolo proprietário Cisco e foi criado pensando nos engenheiros e administradores de rede, a fim de reduzir a sobrecarga da administração e da possibilidade de erros durante a atualização de informações em multiplos switches.Quando uma nova VLAN é criada e configurada em um Switch sem o protocolo VTP  ativado, o administrador deverá fazer a replicação manualmente para todos os outros switches da rede para que eles saibam da existência das novas VLANs criadas. A configuração de uma VLAN inclui o número, nome e mais alguns parâmetros. Estas informações são então armazenadas na NVRAM do switch e quaisquer alterações feitas tem que ser replicadas manualmente em todos os switches.Tudo bem se o fato de você ter que atualizar manualmente estes parâmetros dentro da sua rede não o assustam, pelo fato de sua rede ser pequena, mas agora vamos imaginar o fato de você ter que fazer essas atualizações em 20 ou 30 switches algumas poucas vezes por semana, para que sua rede pudesse responder às necessidades da sua empresa. Quer pensar um minuto ou já entendeu o motivo da criação do VTP?

Page 48: Treinamento Network

Em resumo isto significa que o administrador deve configurar cada switch separadamente, uma tarefa que exige um tempo considerável, dependendo do tamanho da rede,  sem contar o fato de erros serem possíveis.Com o protocolo VTP configurado e operando, “Seus problemas acabaram”. É isso mesmo, não há mais necessidade de se preocupar, pois você passará a ter certeza que ao fazer a atualização de um único switch denominado “VTP Server” todos os outros switches, estes denominados “VTP Clients” serão atualizados com as informações mais recentes sobre as VLAN’s.Em resumo, para ter certeza que todos os switches foram realmente atualizados, basta fazer as mudanças de qualquer parâmetro no “VTP Server” e “automagicamente” todos os outros switches “VTP Clients” serão atualizados.Modos de OperaçãoOs switches podem operar em 3 modos VTP diferentes e isto é o que vamos ver adiante.

VTP Server mode VTP Client mode VTP Transparent mode

Cada modalidade foi criada para atender a necessidades específicas de uma rede, mas o que vamos ver por hora e o que temos de compreender é a finalidade de cada modalidade e o diagrama de rede abaixo vai nos ajudar com isso.

No desenho acima temos 9 switches, sendo 1 o Backbone de nossa rede. Este switch core é um Catalyst 3550, que está operando em mode VTP Server, portanto qualquer mudança feita neste switch será automaticamente replicada para os outros 8 switches.

VTP Server: Por default todo o swtich Cisco vem configurado como VTP Server. Todas as informações, tais como número de VLAN’s e nomes são armazenadas localmente, em uma NVRAM separada onde o “startup-config” ‘está armazenado. Isto acontece somente quando o switch está no modo VTP Server. Qualquer informação realizada no servidor VTP será replicada automaticamente para todos os outros switches pertecentes ao mesmo domínio VTP. Para redes pequenas, com um número limitado de switches e VLANs, o armazenamento destas informações geralmente não é um problema, mas quando a rede se expande e o número de VLANs aumenta, isto se torna um problema e a decisão a ser tomada nesses casos é escolher entre os switches da rede o que tenha uma configuração de hardware mais apropriada para ser configurado como VTP Server, enquanto todos os outros switches atuarão como VTP Client.Nota: A conexão entre os Swtiches VTP Client e o VTP Server são feitas através de “Trunk Links”.

Page 49: Treinamento Network

VTP Client: No modo VTP Client, todas as informações serão armazenadas em sua memória RAM, estas informações são recebidas do VTP Server, no entanto, essa informação também é salva na NVRAM, por isso, se o switch estiver desligado, não vai perder as informações sobre as VLAN’s.Em um switch configurado como VTP Client, não é possível criar, modificar ou apagar qualquer informação sobre as VLAN’sNa maioria das vezes os switches configurados como VTP Clients estão diretamente conectados ao switch core como mostrado na figura anterior, mas se por alguma razão houverem switches cascateados entre si deverão haver Trunks entre os outros switches.

VTP Transparent: O modo VTP Transparente é um “meio termo” entre o VTP Server e um cliente, mas não participa no Domínio VTP.Em modo transparente, você é capaz de criar, modificar e apagar VLANs locais, sem afetar qualquer outro switch independentemente do modo em que eles estejam. O switch em modo transparente também encaminha atualizações VTP através de de seus links.

Funcionamento do VTPEntender o funcionamento do protocolo VTP, não só para o exame CCNA, mas para seu dia a dia é crucial então, tenha bem claro esses conceitos.

O protocolo VTP envia anúncios através do domínio VTP a cada 5 minutos ou sempre que houver uma alteração nas configurações da VLAN.

Um número de revisão da configuração é incluido no anúncio VTP, como nomes e números das VLAN’s e informações sobre cada porta dos switches atribuidas as VLAN’s.

Assim que uma nova configuração é feita em um VTP Server, todos os outros switches configurados como VTP Clients que estiverem no mesmo domínio do VTP server ficam sabendo desta nova configuração no mesmo momento.

O número de revisão da configuração é o componente mais importante durante os anúncios VTP. A cada vez que um parâmetro é modificado, um número de revisão é gerado. O servidor VTP então anúncia via protocolo VTP esse novo número para todos os switches do domínio.

Page 50: Treinamento Network

Protocolo STP (Spanning tree protocol)O protocolo IEE802.1D e necessidade de utilização

O Spanning Tree é um protocolo para sistemas baseados em bridges/switches, que permite a implementação de caminhos paralelos para o tráfego de rede, e utiliza um processo de detecção de “loops” para:· Encontrar e desabilitar os caminhos menos eficientes (os com menores largura de banda);· Habilitar um dos caminhos menos eficientes, se o mais eficiente falhar.

O algoritmo de Spanning Tree determina qual é o caminho mais eficiente entre cada segmento separado por bridges ou switches. Caso ocorra um problema nesse caminho, o algoritmo irá recalcular, entre os existentes, o novo caminho mais eficiente, habilitando-o automaticamente.

As especificações do protocolo Spanning Tree são padronizadas pelo IEEE, dentro do conjunto das normas IEEE 802.1D.

Como o STP trabalha:

Root Bridge e BPDU

Eleição da Bridge Raiz:

Para um melhor entendimento da eleição de uma bridge raiz em uma rede com topologia redundante é necessário que se tenha conhecimento de alguns parâmetros importantes, são eles:

- BPDUs (Bridge Protocol Data Units – unidades de dados de protocolos de bridge) são mensagens que os dispositivos enviam uns aos outros. As mensagens da BPDU são enviadas entre a bridge raiz e as melhores portas nos outros dispositivos, que são chamados de root ports (portas raiz). As BPDUs transferem mensagens de status sobre a rede.

- Bridge Identifiers (BID) – Cada Bride tem um indentificador de 64 bits único que é usado quando é feito um multicast para identifica-la durante a propagação.

- Bridge Priority – Cada bridge tem uma prioridade padrão definida para efeito de eleição da root bridge, o menor valor de prioridade terá preferência na eleição. O valor padrão é 32768, portanto é necessário um critério de desempate para a eleição da bridge raiz, esse critério é o endereço MAC da bridge, sendo o de menor valor eleito como root bridge. A prioridade da bridge pode ser alterada administrativamente para forçar a eleição de uma bridge como raiz.

- Path Cost (custo de caminhos) – Cada porta de uma bridge tem um custo definido de acordo com a largura de banda atribuida para a mesma. O IEEE define custos padrões para cada tipo de velocidade de porta, esses custos foram recentemente alterados devido a inconsistências de caminhos de velocidades gigabit, os dois padrões são descritos abaixo:

Padrão Antigo:                                                    Padrão Novo:

- 10 Gbps = custo 1                                           – 10 Gbps = custo 2

Page 51: Treinamento Network

- 1 Gbps = custo 1                                             – 1 Gbps = custo 4

- 100 Mbps = custo 10                                      – 100 Mbps = custo 19

- 10 Mbps = custo 100                                       - 10 Mbps = custo 100

Outro fator a ser observado é a eleição de um melhor caminho em redes com caminhos redundantes de mesmo custo, caso isso ocorra o primeiro critério de desempate será o valor de prioridade da porta. Esse valor é de 128 por padrão, podendo ser definido um novo valor administrativamente. Caso se tenha a necessidade de definir um valor de prioridade para forçar a eleição de um dado caminho como melhor é preciso definir um valor de prioridade menor para a porta. O segundo critério de desempate para eleição do melhor caminho e o Nº físico da porta, sendo o de menor valor prioritário na eleição.

- Port Priority (prioridade da porta) – Valor de prioridade para eleição de melhor caminho, sendo o padrão 128, podendo ser administrativamente para menor ou para maior, em incrementos de 4.

Com base nestas informações, a eleição da root bridge se dará dentro da execução do STP, que por sua vez encaminhará BPDU´s para efetuar a troca de informações (acima citadas). Se não houver nenhuma modificação administrativa a eleição da root bridge se dará pelo menor endereço MAC da bridge da rede. Depois de feita a eleição, caso a root bridge pare de enviar BPDU´s uma nova eleição será efetuada pelas outras bridges constantes na rede.

Bridges e switches Ethernet podem implementar o Spanning-Tree Protocol IEEE 802.1d e usar o algoritmo spanning-tree para construir uma rede de caminho mais curto sem loops.

O caminho mais curto se baseia em custos de link cumulativos. Os custos dos links se baseiam na velocidade desses links.

O Spanning-Tree Protocol estabelece um nó raiz chamado de bridge raiz, que é a origem da árvore STP.

Esse protocolo constrói uma topologia que tem pelo menos um caminho para cada nó da rede. Os links redundantes que não fazem parte da árvore STP são bloqueados, evitando os Loops de Comutação.

Os switches enviam mensagens chamadas BPDUs (unidades de dados de protocolo de bridge) para permitir a formação de uma topologia lógica sem loops.

As BPDUs continuam a ser recebidas nas portas bloqueadas, para garantir que, se um caminho ou dispositivo ativo falhar, uma nova spanning-tree poderá ser calculada.

As BPDU´s tem as seguintes funções:

Selecionar um único switch que atuará como raiz da spanning-tree. Calcular o caminho mais curto de si mesmo até o switch raiz. Designar um dos switches como sendo o mais próximo da raiz, para cada segmento da LAN.

Este switch é chamado de switch designado. O switch designado trata de toda comunicação da LAN para a bridge raiz.

Escolher uma de suas portas como porta raiz, para cada switch não raiz. Essa é a interface que fornece o melhor caminho até o switch raiz.

Selecionar as portas que fazem parte da spanning-tree. Essas portas são chamadas de portas designadas. As portas não designadas são bloqueadas.

Page 52: Treinamento Network

É altamente necessário se conhecer os campos do pacote da BPDU para se ter a exata idéia da troca de informções, abaixo estão detalhados os campos de uma BPDU na ordem exata de transmissão:

- Protocolo ID (identificador do protocolo) – Contem valor 0

- Version (versão) – Contém valor 0

- Message Type (Tipo de Mensagem) – Contém o valor 0

- Flags – Este campo pode conter um entre dois eventos; alteração na topologia ou aceitação na modificação da topologia

- Root ID (Identificador raiz) – BID da bridge raiz dentro do STP do Segmento.

- Root Path Cost (Custo do caminho até a Raiz) – Custo acumulado da porta root  até a bridge raiz.

- Bridge ID (Identificador da Bridge) – ID da Bridge que está enviando o BPDU, este é usado para criar a árvore STP.

- Port ID (Identificador da Porta) – ID da porta que está enviando o BPDU. Este é usado para identificar e eliminar loops na rede STP por outras bridges.

- Message Age (Idade da Mensagem) – Define por quanto tempo uma bridge irá publicar as BPDU´s dentro do estado em que a rede se encontra. Isso evita que pacotes BPDU´s sejam constantemente enviados para uma bridge que não está ativa ou esteja desligada.

- Maximum Age (Idade Máxima) – Define o tempo em que a rede manterá a informação de um destino na tabela STP. Expirado este tempo a rede inteira irá invocar o STP para efetuar a alteração na topologia através das BPDU´s. Esse parâmetro é importante pois define uma execução do STP na rede de forma uniforme e em paralelo entre as bridges.

- Hello Time (tempo de alõ) – Intervalo de envio de uma BPDU para outra.

-Forwarding Delay (Latência de encaminhamento) – Tempo restante em que a porta irá permanecer em um determinado estado.

O Protocolo Spanning-Tree utiliza dois conceitos importantes ao criar uma topologia lógica livre de laços. Esses conceitos são a identificação da bridge (BID) e o custo do caminho. Para cada rede comutada, existem os seguintes elementos:

Uma bridge raiz por rede Uma porta raiz por bridge não raiz Uma designated port (porta designada) por segmento Non-designated ports (Portas não designadas) são inutilizadas

Quando a rede está estabilizada, ela convergiu e há uma spanning-tree por rede. As portas raiz e as portas designadas são usadas para encaminhar tráfego de dados. As portas não designadas descartam o tráfego de dados, essas portas são chamadas de portas de bloqueio ou de descarte.

Page 53: Treinamento Network

Estados das Portas:

O estado de uma porta define em que fase o STP está na construção de uma rede sem loops. Este recurso possibilita que cada switch monte sua própria tabela STP em paralelo a outras switches de rede. No padrão IEEE 802.1d os estados de portas e seus respectivos tempos são:

Porta Desativada – Este estado refere-se quando a porta está desabilitada ou com defeito físico. Este estado é o padrão quando a switch está desligada (Sem alimentação de energia)

Porta ativa:

- Blocking (20 segundos) – Neste estado a somente vai ouvir os BPDU´s de outras switches, não processando os dados destas e nem encaminhando dados do trafego normal da rede. Como padrão este estado é definido para um switch quando este é ligado ou definido para uma porta quando um novo dispositivo é plugado. Se a porta for desativada ou tiver problemas físicos esta volta para o estado de Desativada.

- Listening (15 segundos) – Neste estado a porta irá processar os BPDU´s para a construção da topologia ativa da rede isenta de loops (permanecendo sem encaminhar dados de usuários) e para estabelecer um melhor caminho para chegar na root bridge (root path) ou no próximo switch (designate path), neste momento o link fica ativo. Se a porta não tiver o melhor custo ou a prioridade for inferior a outras portas para o mesmo destino (Root path ou Designate path) está voltará para o estado de bloqueio permanecendo neste até que haja a necessidade de ativá-la (Perda do caminho principal). Se a porta for desativada ou tiver problemas físicos esta volta para o estado de Desativada.

- Learning (15 Segundos) – Neste estado a porta continuará a processar os BPDU´s e irá construir a tabela de endereços MAC (CAM), permanecendo sem encaminhar dados de usuários. Se a porta não designada como uma Root path ou Designate path está voltará para o estado de bloqueio permanecendo neste até que haja a necessidade de ativá-la (Perda do caminho principal). Se a porta for desativada ou tiver problemas físicos esta volta para o estado de Desativada.

- Forwarding – Neste estado a porta começa a encaminhar o trafego normal da rede, dizemos então que a rede convergiu.

Fazer lab de 7.2.4 e 7.2.5

Para melhorar a performance da rede a CISCO desenvolveu algumas tecnologias em switches para aumentar a velocidade na convergência do STP, são elas:

- Fast Port (porta rápida): As portas fast foram desenvolvidas para a conexão de sistemas finais, como hosts em rede, convergindo em menos de 5 segundos, pois a passagem pelo estado de bloqueio na é necessária, e a passagem pelos estados de escuta e aprendizado não dura mais que 5 segundos.

- Uplink Fast (ligação rápida): Tecnologia aplicada em switches de distribuição onde a convergência por alteração da rede é feita em menos de 3 segundos, esta mágica é possível pois a switche de distribuição necessita mesmo é de verificar os root path e designate path redundantes livres de loops.

- Backbone Fast (backbone rápido): Usado para diminuir o tempo de parada dos switches concentradores, tempo estimado para a convergência é de 15 a 30 segundos.

Page 54: Treinamento Network

Opcional Características de Convergência STP

EtherChannel: fornece uma maneira de evitar STP convergência de ser necessária quando apenas uma única porta / cabo falha ocorre. Combina 2-8 Ethernet troncos paralelos entre mesmo par de switch, que trata STP como um único link. Também proporciona maior largura de banda. Ambos os links para as mesmas não devem mudar para mudar para uma necessidade STP convergência. PortFast: Permite mudar para um local um porto no estado encaminhando imediatamente quando a porta se torna fisicamente ativos (feito com segurança apenas quando dispositivo não é uma ponte / switch).Cisco BPDU Guarda Feature: Se ativado, diz o interruptor para desativar PortFast portos se BPDU é recebido sobre os portos.

STP Security

Page 55: Treinamento Network

Rapid STP (802.1w)

O IEEE homologou um novo padrão para melhor otimização da convergência do STP. Este método preserva o cálculo de prioridades existentes no 802.1d, onde as portas raiz (root path) e as portas designadas (designate path) continuam, porém um novo papel para a porta que está no estado de blocking é definido. Este estado agora será dividido em dois outros estados, são estes:

- Alternativa: Recebe BPDU´s de portas de outra bridges

-Backup: Recebe BPDU´s das outras portas da sua própria bridge.

O RSTP utiliza as seguintes definições para as funções das portas:

Raiz: uma porta de encaminhamento eleita para a topologia de spanning-tree (usa os cincos estados).

Designada: uma porta de encaminhamento eleita para cada segmento de LAN comutada (usa os cinco estados).

Alternativa: um caminho alternativo à bridge raiz, fornecido pela porta raiz atual (usa três estados)

Backup: um backup do caminho fornecido por uma porta designada para as folhas do spanning tree. As portas de backup só podem existir onde duas portas estão conectadas em um loopback por um enlace ponto-a-ponto ou uma bridge com pelo menos duas conexões a um segmento de rede local compartilhada (usa três estados)

Desativada: uma porta que não possui nenhuma função na operação do spanning tree (usa os cinco estados)

Uma porta raiz ou a função de porta designada inclui a porta na topologia ativa. Uma porta alternativa ou a função de porta de backup exclui a porta da topologia ativa. O RSTP define as funções de portas adicionais alternate (alternativa) e backup e define os seguintes estados das portas:

- discarding (descarte) – não recebe nem envia BPDU´s

- learning (aprendizado) – Processa os BPDU´s

- forwarding (encaminhamento) – Encaminha dados de usuários.

Conceito de permitir que os switches de uma rede convergente gerem BPDUs em vez de retransmitir as BPDUs da bridge raiz.

Com isso as bridges da rede se tornam autosuficiente, podendo por exemplo entrar no modo de forwarding em um link que está conectado a um dispositivo final (host).

Este conceito é possível pelo adendo de um rótulo nas portas da switch, o de Edge Port (Porta de acesso) ou de Link (porta trunk).

Em uma topologia estável, o RSTP garante que cada porta raiz e porta designada passe para encaminhamento, enquanto todas as portas alternativas e portas de backup estão sempre no estado de descarte.

Com essas alterações, a convergência da rede não deve levar mais do que 15 segundos.

Comandos para a configuração de uma rede redundante e para configurar o STP dentro da definição de uma root bridge administrativamente configurada

Page 56: Treinamento Network

Nas portas de link dos switches:

Switch(config-if)# switchport trunk encapsulation dot1q

Switch(config-if)# switchport mode trunk

Switch(config-if)# no shutdown

Ou

Switch(config-if)# switchport mode access

Switch(config-if)# no shutdown

Ativando a vlan 1

Switch(config)# interface vlan 1

Switch(config-if)# no shutdown

Visualizando e alterando o modo do STP.

Switch# show interface vlan 1 (Vizualiza o endereço MAC do Switch e as informações pertinentes a Vlan 1 global do switch)Switch# show spanning-tree brief (Exibe a tabela STP com as informações da root bridge, da bridge em questão) 12.0 do IOS.Switch# show spanning-tree (Exibe a tabela STP com as informações da root bridge, da bridge em questão) 12.1 do IOS. Switch(config)# spanning-tree priority 4096 (altera a prioridade do switch) Ver. 12.0Switch(config)# spanning-tree vlan 1 priority 4096 (altera a prioridade do switch)

LAN SwitchesModelo hierárquico projetos CISCO

Antigamente, usava-se muito uma rede com estrutura chamada Collapsed Backboneo Toda a fiação vai das pontas para um lugar central (conexão estrela)o O número de fios não era problemático quando as pontas usavam "shared bandwidth"

com cabo coaxial em vez de hubs ou switcheso Oferece facilidade de manutençãoo Ainda é bastante usado

Hoje, com rede maiores, usa-se cada vez mais uma estrutura hierárquica Um modelo hierárquico ajuda a desenvolver uma rede em pedaços, cada pedaço focado num

objetivo diferente Um exemplo de uma rede hierárquica aparece abaixo As 3 camadas mostradas:

o Camada core: roteadores e switches de alto desempenho e disponibilidadeo Camada de distribuição: roteadores e switches que implementam políticaso Camada de acesso: conecta usuários com hubs e switches

Page 57: Treinamento Network

Por que usar um modelo hierárquico?

Uma rede não estruturada (espaguete) cria muitas adjacências entre equipamentoso Ruim para propagação de rotas

Uma rede achatada (camada 2) não é escalável devido ao broadcast Minimiza custos, já que os equipamentos de cada camada serão especializados para uma

determinada funçãoo Exemplo: Usa switches rápidos no core block, sem features adicionais

Mais simples de entender, testar e consertar Facilita  mudanças, já que as interconexões são mais simples A replicação de elementos de torna mais simples

Page 58: Treinamento Network

Permite usar protocolos de roteamento com "sumarização de rotas" Comparação de estrutura hierárquica com a plana para a WAN

o Pode-se usar um loop de roteadores OK para redes pequenas Para redes grandes, o tráfego cruza muitos hops (atraso mais alto) Qualquer quebra é fatal

o Roteadores redundantes numa hierarquia dão: Mais escalabilidade Mais disponibilidade Atraso mais baixo

Comparação de estrutura hierárquica com plana para a LANo O problema básico é que um domínio de broadcast grande reduz significativamente o

desempenhoo Com uma rede hierárquica, os equipamentos apropriados são usados em cada lugar

Page 59: Treinamento Network

Roteadores (ou VLANs e switches de camada 3) são usados para delimitar domínios de broadcast

Switches de alto desempenho são usados para maximizar banda passante Hubs são usados onde o acesso barato é necessário

Topologias de full-mesh e mesh hierárquicao A full-mesh oferece excelente atraso e disponibilidade mas é muito carao Uma alternativa mais barata é uma mesh parcialo Um tipo de mesh parcial é a mesh hierárquica, que tem escalabilidade mas limita as

adjacências de roteadoreso Para pequenas e médias empresas, usa-se muito a topologia hub-and-poke

Topologia Full Mesh

Topologia Mesh Parcial

Page 60: Treinamento Network

Topologia Hub-and-Spoke

O modelo hierárquico clássico em 3 camadas

Permite a agregação (junção) de tráfego em três níveis diferentes É um modelo mais escalável para grandes redes corporativas Cada camada tem um papel específico

o Camada core: provê transporte rápido entre siteso Camada de distribuição: conecta as folhas ao core e implementa políticas

Segurança Roteamento Agregação de tráfego

o Camada de acesso Numa WAN, são os roteadores na borda do campus network Numa LAN, provê acesso aos usuários finais

A camada coreo Backbone de alta velocidadeo A camada deve ser projetada para minimizar o atrasoo Dispositivos de alta vazão devem ser escolhidos, sacrificando outros features (filtros de

pacotes, etc.)o Deve possuir componentes redundantes devida à sua criticalidade para a interconexãoo O diâmetro deve ser pequeno (para ter baixo atraso)

LANs se conectam ao core sem aumentar o diâmetroo A conexão à Internet é feita na camada core

A camada de distribuiçãoo Tem muito papeis

Controla o acesso aos recursos (segurança) Controla o tráfego que cruza o core (desempenho) Delimita domínios de broadcast

Isso pode ser feito na camada de acesso também Com VLANs, a camada de distribuição roteia entre VLANs Interfaceia entre protocolos de roteamento que consomem muita banda

passante na camada de acesso e protocolos de roteamento otimizados na camada core

Exemplo: sumariza rotas da camada de acesso e as distribui para o core Exemplo: Para o core, a camada de distribuição é a rota default para a

camada de acesso

Page 61: Treinamento Network

Pode fazer tradução de endereços, se a camada de acesso usar endereçamento privativo

Embora o core também possa usar endereçamento privativo A camada de acesso

o Provê acesso à rede para usuários nos segmentos locais Frequentemente usa apenas hubs e switches

Restauração e backup

Opções do Cisco IOS para os Arquivos de Configuração

O Cisco IOS oferece algumas informações para o gerenciamento dos Arquivos de Configuração. Há um Arquivo de Configuração em execução na memória RAM e outro armazenado na NVRAM.

Os arquivos que existem na RAM e NVRAM podem ser exibidos no console e salvos no host TFTP. Os arquivos que estão no host TFTP podem ser copiados de volta para ambas as memórias, RAM e NVRAM.

Os arquivos na RAM e NVRAM podem ser movidos para os locais de storage (host TFTP). Sua única opção de alteração de configuração do Arquivo de Configuração é no Modo de Configuração. Não há como editar o arquivo armazenado na NVRAM.

RAM / NVRAM

A NVRAM pode ser apagada. Contudo a RAM não. Somente no momento do boot, o Arquivo de Configuração não estará na RAM.

O Modo de Configuração

Para entrar no Modo de Configuração, digite o comando no Modo Privilegiado 'configure terminal' e assim você poderá editar o Arquivo de Configuração.

Enquanto você estiver neste modo, qualquer alteração será imediata. Como já dito, não há como editar o Arquivo de Configuração que está na NVRAM, porém você pode apagá-lo ou trocá-lo inteiramente.

O comando 'show'

O comando 'show' pode ser degustado de várias formas, puro ou com café. Veja as opções:

O comando 'show' retorna um relatório completo do roteador.

Page 62: Treinamento Network

O comando 'show running-config' mostra a configuração atual do Arquivo de Configuração na memória RAM. (Todas as alterações que você fizer, irão aparecer aqui e não na NVRAM).

O comando 'show startup-config' mostra a configuração do Arquivo de Configuração armazenado na NVRAM. Toda vez que roteador é inicializado, este arquivo é carregado na RAM.

Cópia dos Arquivos de Configuração

O comando 'copy' faz uma cópia dos Arquivos de Configuração para (e de) host TFTP Server e entre as duas memórias que lidam com isto (RAM e NVRAM).

Ele possui dois argumentos:

01. O nome do arquivo fonte de onde este se origina;02. Nome do arquivo destino para onde o arquivo vai.

Cópia dos Arquivos de Configuração para (e do (a)) o host TFTP e Memória RAM

A seguir os dois comandos para se trabalhar com isto.

"copy running-config tftp"Comando do modo privilegiado que copia o Arquivo de Configuração atual para o servidor TFTP.

"copy tftp running-config" Comando do modo privilegiado que pega o Arquivo de Configuração de volta do servidor TFTP e o leva até a RAM.

Cópia dos Arquivos de Configuração para (e do (a)) o host TFTP e Memória NVRAM

Os dois comandos para trabalhar com isto são:

"copy startup-config tftp" Comando do modo privilegiado que copia o arquivo de configuração backup (que está na NVRAM) para o servidor TFTP.

"copy tftp startup-config" Comando do modo privilegiado que pega de volta o Arquivo de Configuração do host TFTP de volta para a NVRAM.

Copiar entre as Memórias RAM e NVRAM

Já para copiar entre as memórias do roteador (RAM e NVRAM) os dois comandos a seguir são utilizados:

"copy running-config startup-config" Comando do modo privilegiado que copia o Arquivo de Configuração da RAM para a NVRAM.

Isto cria uma cópia de backup do Arquivo de Configuração na NVRAM. Utilize sempre este comando quando verificar que as alterações são permanentes e sempre serão reutilizadas em caso de reinicialização do roteador.

Page 63: Treinamento Network

"copy startup-config running-config" Comando do modo privilegiado que copia o Arquivo de Configuração da NVRAM para a RAM.

Trocar o Arquivo de Configuração na Memória RAM

Quando um arquivo é movido para a RAM de qualquer local de storage (host TFTP ou NVRAM), na realidade o roteador não apaga o Arquivo ativo na RAM e escreve outro. Ele acrescenta os novos comandos no arquivo ativo.

O roteador não faz isto por que ele utiliza o Arquivo de Configuração constantemente. Se o Arquivo de Configuração desaparecer (nem que seja por segundos ou menos que isto) durante o processo de cópia, o roteador para de funcionar. Isto significa que os roteadores e switches da Cisco oferecem suporte a alterações "on-the-fly" sem que um novo arquivo precise ser feito ou mesmo reiniciado.

Se o Arquivo de Configuração contiver configurações que o arquivo oriundo de qualquer fonte não tiver (ou vice-versa) estas configurações ainda estarão na ativa depois do processo de cópia. Mas estes não serão utilizados.

Modificar o Arquivo de Configuração Ativo

O Arquivo de Configuração ativo pode ser configurado para uma particular função e, ainda assim, o arquivo "novo" que está sendo enviado para a RAM, poderá conter configurações que entrarão em contraste com a configuração ativa. Nestes casos, o Arquivo de Configuração ativo é modificado para refletir a nova configuração requerida pelo administrador, que fez seu novo Arquivo de Configuração ou está copiando da RAM, NVRAM ou host TFTP.

Trocar o Arquivo de Configuração no host TFTP

Assim como os comandos de cópia de arquivos do Unix ou DOS, quando um arquivo for movido para o servidor TFTP o arquivo vindo do roteador será colocado no servidor TFTP com o mesmo nome que foi inserido.

Cópia do Arquivo de Configuração para a NVRAM

Quando um arquivo é movido para a NVRAM, o arquivo que estiver lá (se houver algum) será apagado, e o novo arquivo ocupará todo o volume da NVRAM.

Este processo de sobrescrita é necessário na NVRAM durante o processo de cópia para assegurar que o arquivo está como é. Se o processo fosse semelhante a RAM, erros poderiam acontecer se muitos arquivos de configurações fossem salvos.

Apagar o Arquivo de Configuração Backup

Para apagar o arquivo de configuração, utilize o comando 'erase startup-config'.

Não é necessário executar este comando partindo do princípio de que se copiando um Arquivo de Configuração para NVRAM do host TFTP ou RAM, o que está armazenado na NVRAM irá se apagar.

Nunca utilize este comando sem que um arquivo novo seja colocado na NVRAM, pois assim ao reiniciar o roteador, o mesmo não irá encontrar o Arquivo de Configuração e você irá entrar no modo Setup.

Page 64: Treinamento Network

Visualizando o Arquivo de Configuração Ativo

Os efeitos do comando 'show running-config' são mostrados aqui. O Arquivo de Configuração é uma coleção de várias configurações. Estas configurações são coletadas a partir das diversas áreas operacionais para a memória RAM antes de elas serem exibidas como um arquivo texto.

A frase exibida "building configuration" antes do Arquivo de Configuração ser exibido nada mais é do que o Cisco IOS coletando informações do sistema.

Visualizando o Arquivo de Configuração Backup

Para visualizar o Arquivo de Configuração na NVRAM, basta digitar o comando 'show startup-config' no Modo Privilegiado. São exibidos também informações como o tamanho do arquivo na NVRAM e toda a capacidade de armazenamento da NVRAM.

O Arquivo de Configuração backup é armazenado como um arquivo único e pode ser facilmente visualizado.

Page 65: Treinamento Network

Realizando e Restaurando o Backup do Arquivo de Configuração

Utilize os comandos a seguir para realizar e restaurar backup do Arquivo de Configuração.

'copy running-config startup-config'Comando do Modo Privilegiado que cria um Arquivo de Configuração Backup na NVRAM.A frase 'building' e em seguida a palavra 'OK' mostram o sucesso deste processo.

"copy startup-config running-config" Este comando do Modo Privilegiado copia o Arquivo da NVRAM para a memória RAM.

Nota: Se o nome do roteador for diferente, o prompt vai mudar o nome do arquivo para este, ou seja, diferente do que está aqui no exemplo.

O Comando 'copy running-config tftp'

Utilize o comando 'copy running-config tftp' para copiar o Arquivo de Configuração para o host TFTP. Você tem que responder às perguntas que ele fizer.

A primeira vai lhe questionar sobre o endereço IP do servidor TFTP. Você tem que fornecer o endereço ou o nome do host (neste último a resolução de nomes deve estar configurada).

Page 66: Treinamento Network

Digitando um Nome para o Arquivo

A próxima pergunta que será feita é a respeito do nome do arquivo que será criado no host TFTP.

O padrão é: '<nome do roteador> config.'

Para colocar o arquivo em outro diretório padrão definido pelo servidor TFTP, incluindo o caminho completo, deve-se configurar o host TFTP para aceitar somente transferências para o local padrão.

Apesar de existirem outras opções de configuração no host TFTP, o roteador não consegue trabalhar com elas.

Confirmando a Operação

Finalmente você será perguntado se deseja concluir a operação e caso esteja convicto disto, tecle ENTER ou digite 'yes' para continuar, caso contrário, digite 'no'.

Uma fez respondidas as perguntas e confirmada a operação, a cópia ocorrerá. Cada &&&&&&&& representa aproximadamente um pacote TFTP de 500 bytes. Por fim o roteador exibe uma frase confirmando que a cópia foi feita.

Page 67: Treinamento Network

O Comando 'copy startup-config tftp'

Para copiar o Arquivo de Configuração da NVRAM para o host TFTP utilize o comando 'copy startup-config tftp' que vai iniciar uma seqüência de prompt igual à rotina do comando 'copy running-config tftp'.

A única diferença é o resultado da operação.

Neste exemplo, o Arquivo de Configuração proveniente da NVRAM é copiado para o host TFTP indicado. Note também que o Arquivo de Configuração não é construído antes da cópia. O arquivo de configuração que na NVRAM está armazenado em formato texto, estando instantaneamente pronto para o processo de cópia.

Copiando o Arquivo de Configuração do host TFTP para a Memória RAM

Para realizar a cópia do host TFTP para a memória RAM utilize o comando 'copy tftp running-config' do Modo Privilegiado que pega o arquivo do host TFTP para a memória RAM. As perguntas que serão feitas são muitas vezes parecidas com as do comando 'copy running-config tftp', excetuando-se pela primeira pergunta a você se deseja copiar um 'host configuration file' ou um 'network configuration file'.

Um 'host configuration file' é um arquivo que único de um roteador.

Page 68: Treinamento Network

Um 'network configuration file' é um arquivo que pode ser reutilizado em vários outros roteadores.

Selecionando o Arquivo

Em nosso caso o que é importa é a primeira opção (host configuration file). Simplesmente pressione ENTER para aceitar a opção padrão 'host configuration file'.

O roteador lhe questionará sobre o endereço IP do host TFTP e em seguida pelo nome do arquivo.

O padrão de nome do arquivo é o nome do arquivo "traço" 'confg' se você especificou 'host configuration file'.

Caso precise de um arquivo 'network configuration file' o padrão de nome é 'network-confg'.

O Comando 'copy tftp startup-config'

Para copiar o Arquivo de Configuração do host TFTP para a NVRAM utilize o comando 'copy tftp startup-config' do Modo Privilegiado que vai iniciar o diálogo para copiar o Arquivo de Configuração do host TFTP para a NVRAM.

As perguntas que serão perguntas a você são muito parecidas com aquelas do comando 'copy tftp running-config'.

Page 69: Treinamento Network

Não há prompt para arquivo 'host' ou arquivo 'network'.

O comando 'erase startup-config'

Para apagar o Arquivo de Configuração da NVRAM utilize o comando 'erase startup-config' do Modo Privilegiado.

Mas provavelmente você nunca utilizará este comando, uma vez que a NVRAM é apagada toda vez que um novo Arquivo de Configuração é armazenado nela.

Troubleshooting redes cisco:Design de Rede - roteando com OSPF - troubleshooting

Um engenheiro de rede estava tendo dificuldades em rotear o tráfego pelos links de maior banda do site

que ele mesmo havia "desenhado" .

A parte da rede que importa neste problema era mais ou menos como a rede abaixo:

Page 70: Treinamento Network

O problema era que os usuários conectados ao roteador R1 estavam roteando pelos links de menor banda (512k) para chegar a redes conectadas ao roteador R5.

O que ele desejava era rotear da seguinte forma:

Seguindo os links de maior banda 1Mbps

Fica claro pelo desenho da rede que isso não ia ser possível!

Vamos analisar a tabela de roteamento do roteador R1:

Page 71: Treinamento Network

r1#sir | b GateGateway of last resort is not set

172.16.0.0/24 is subnetted, 5 subnetsO 172.16.45.0 [110/391] via 172.16.12.2, 00:01:57, Ethernet0/0O 172.16.34.0 [110/200] via 172.16.13.3, 00:01:57, Ethernet0/1O 172.16.24.0 [110/390] via 172.16.12.2, 00:01:57, Ethernet0/0C 172.16.12.0 is directly connected, Ethernet0/0C 172.16.13.0 is directly connected, Ethernet0/1

Agora se analisarmos os custos dos links nos roteadores R2 e R3 vamos ver q os custos são menores no caminho R1 -> R3 -> R4.

r2#sh ip ospf interface brInterface PID Area IP Address/Mask Cost State Nbrs F/CEt0/1 1 0 172.16.24.2/24 195 BDR 1/1Et0/0 1 0 172.16.12.2/24 195 DR 1/1

r3#sh ip ospf interface brInterface PID Area IP Address/Mask Cost State Nbrs F/CEt0/0 1 1 172.16.13.3/24 100 DR 1/1Et0/1 1 1 172.16.34.3/24 100 BDR 1/1

Então, porque R1 estava escolhendo o pior caminho para chegar até a rota 172.16.45.0/24?

E, mais uma vez, quem realmente conhece o protocolo OSPF sabe a resposta.

Vamos matar um dos links no R2 somente para verificar que a rota pelo caminho de maior banda existe:

r1(config)#int e0/0r1(config-if)#shutr1(config-if)#*Mar 1 00:17:28.387: %OSPF-5-ADJCHG: Process 1, Nbr 172.16.24.2 on Ethernet0/0 from FULL to DOWN, Neighbor Down: Interface down or detachedr1(config-if)#endr1#*Mar 1 00:17:30.371: %LINK-5-CHANGED: Interface Ethernet0/0, changed state to administratively down*Mar 1 00:17:30.587: %SYS-5-CONFIG_I: Configured from console by console*Mar 1 00:17:31.371: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/0, changed state to downr1#sh ip route | b GatewGateway of last resort is not set

172.16.0.0/24 is subnetted, 5 subnetsO IA 172.16.45.0 [110/201] via 172.16.13.3, 00:00:08, Ethernet0/1O 172.16.34.0 [110/200] via 172.16.13.3, 00:00:08, Ethernet0/1O IA 172.16.24.0 [110/395] via 172.16.13.3, 00:00:08, Ethernet0/1O IA 172.16.12.0 [110/590] via 172.16.13.3, 00:00:08, Ethernet0/1C 172.16.13.0 is directly connected, Ethernet0/1

Podemos ver que o custo para essa rede pelo caminho do roteador R3 é de apenas 201 , enquanto pelo R2 o custo (maior) é de 391.

Então, por que R1 não está roteando da maneira desejada?

Page 72: Treinamento Network

Vamos ver como a situação muda ao redistribuirmos a rota dentro do OSPF e não mais divulgarmos a mesma diretamente com o comando "network"

r4(config)#router ospf 1r4(config-router)#no network 172.16.45.4 0.0.0.0 area 0r4(config-router)#redistribute connected subnets metric-type 1r4(config-router)#end

r1#sh ip route(...)172.16.0.0/24 is subnetted, 5 subnetsO E1 172.16.45.0 [110/220] via 172.16.13.3, 00:00:00, Ethernet0/1O 172.16.34.0 [110/200] via 172.16.13.3, 00:00:00, Ethernet0/1O 172.16.24.0 [110/390] via 172.16.12.2, 00:00:00, Ethernet0/0C 172.16.12.0 is directly connected, Ethernet0/0C 172.16.13.0 is directly connected, Ethernet0/1r1#traceroute 172.16.45.4

Type escape sequence to abort.Tracing the route to 172.16.45.4

1 172.16.13.3 96 msec 140 msec 96 msec2 172.16.34.4 116 msec * 140 msec

Vemos que agora o tráfego segue pelo caminho de maior banda!

Acho que agora ficou mais fácil de entender o que está acontecendo!

----------

Parte 3 : Solução

De acordo com a RFC 2328 seção 11, a ordem de preferência para as rotas OSPF é:

rotas intra-area, O rotas interarea, O IA rotas externas tipo 1, O E1

Page 73: Treinamento Network

rotas externas tipo 2, O E2

Essa ordem não pode ser mudada dentro do mesmo processo OSPF e por isso uma rota do tipo O IA (area 1, no nosso exemplo) nunca vai ter preferência (mesmo com um menor custo) sobre uma rota do tipo intra-area (dentro da area 0 no nosso exemplo).

Uma forma alternativa seria criar mais um processo de OSPF no mesmo router e trabalhar com distância administrativa.

Mas idealmente, o melhor é evitar desenhar a rede de forma que este tipo de problema aconteça.

Troubleshooting avançado em Roteamento com OSPF em roteadores Cisco

Um dia, enquanto trabalhava para um empresa que eu havia acabado de assumir a rede, me pediram para acrescentar um novo endereçamento para o uso em uma rede wireless que estava sem IPs disponíveis para os clientes.

Essa rede havia sido suportada por um time local durante muitos anos, e digamos, existiam algumas (muitas) configurações "estranhas" na rede.

A rede onde a nova subnet para wireless seria acrescentada era mais ou menos como a rede abaixo:

Page 74: Treinamento Network

Os WAPs (wireless access points ou pontos de acesso sem-fio) estavam conectados a um switch L3. As redes existentes eram alcançáveis via rotas estáticas (mesmo existindo OSPF na rede).configuradas nos roteadores SD, CD e CE.

Minha idéia inicial foi, porque não redistribuir as rotas estáticas no roteador SD dentro do OSPF, e evitar aquele tanto de rotas estáticas.

E foi o que eu fiz.

sd#sh ip route | b GatGateway of last resort is not set

10.0.0.0/24 is subnetted, 2 subnetsC 10.0.10.0 is directly connected, Ethernet0/1S 10.22.22.0 [1/0] via 10.0.10.2150.15.0.0/24 is subnetted, 1 subnetsC 150.15.15.0 is directly connected, Ethernet0/0150.20.0.0/24 is subnetted, 1 subnetsO 150.20.20.0 [110/20] via 150.15.15.2, 00:02:05, Ethernet0/0sd#sh ip route 10.22.22.0Routing entry for 10.22.22.0/24Known via "static", distance 1, metric 0Redistributing via ospf 1Advertised by ospf 1 metric-type 1 subnetsRouting Descriptor Blocks:* 10.0.10.2Route metric is 0, traffic share count is 1

Page 75: Treinamento Network

No roteador CD:

cd#sh ip route | i 10.22.22.0O E1 10.22.22.0 [110/40] via 150.15.15.1, 00:09:49, Ethernet0/1cd#sh ip route 10.22.22.0Routing entry for 10.22.22.0/24Known via "ospf 1", distance 110, metric 40, type extern 1Last update from 150.15.15.1 on Ethernet0/1, 00:09:57 agoRouting Descriptor Blocks:* 150.15.15.1, from 3.3.3.3, 00:09:57 ago, via Ethernet0/1Route metric is 40, traffic share count is 1

No roteador CE:

ce#sh ip route | i 10.22.22.0ce#sh ip route 10.22.22.0% Subnet not in table

E por algum motivo a rota 10.22.22.0/24 não estava na tabela de roteamento do roteador CE.

Resolvi verificar a dababase do OSPF para confirmar se a rede estaria sendo divulgada normalmente dentro do OSPF. Como era uma rota externa (redistribute static), usei o comando:show ip ospf database external, e pude verificar que a rede estava presente.

ce#sh ip ospf database external

OSPF Router with ID (1.1.1.1) (Process ID 1)

Type-5 AS External Link States

LS age: 1256Options: (No TOS-capability, DC)LS Type: AS External LinkLink State ID: 10.22.22.0 (External Network Number )Advertising Router: 3.3.3.3LS Seq Number: 80000003Checksum: 0x9432Length: 36Network Mask: /24Metric Type: 1 (Comparable directly to link state metric)TOS: 0Metric: 20Forward Address: 10.0.10.2External Route Tag: 0

Então, porque a rota não estava sendo instalada na tabela de roteamento?

Verificando a tabela completa de roteamento do roteador CE temos:

ce#sh ip route | b GateGateway of last resort is not set

10.0.0.0/24 is subnetted, 1 subnetsS 10.0.10.0 [1/0] via 150.20.20.2

Page 76: Treinamento Network

150.15.0.0/24 is subnetted, 1 subnetsO 150.15.15.0 [110/20] via 150.20.20.2, 00:58:36, Ethernet0/0150.20.0.0/24 is subnetted, 1 subnetsC 150.20.20.0 is directly connected, Ethernet0/0

E aí podemos ver a causa do problema!

Em resumo , o problema aqui são rotas externas ao OSPF - redistribuídas - não sendo colocadas na tabela de roteamento.

Quem tem mais experiência com OSPF sabe que se trata de um problem com o FA - forwarding address - "endereço de encaminhamento!?" (bom , não sei traduzir isto).

Esse valor é acrescentado aos LSAs externos (LSA tipo 5) para indicar para onde o tráfego deve ser enviado. Isso torna em alguns casos o roteamento mais eficiente dentro do OSPF.

O FA pode ser ou 0.0.0.0 ou qualquer outro IP.

Caso, seja 0.0.0.0 o pacotes são enviados ao router que originou o LSA ou seja o ASBR (Autonomous System Boundary Router).

Existem condicões certas para que um FA seja o next-hop (ou proxima salto) da rota redistribuida, ao invés de 0.0.0.0:

OSPF habilitado no ASBR na interface onde o next hop está configurado. Essa interface não está como passiva no OSPF Essa interface não ser do tipo ponto-a-ponto ou ponto-multiponto (no OSPF)

Uma das regras que temos no OSPF (rfc2328) é que este endereço deve ser roteado via OSPF interno (inter (O IA) ou intra-area (tipo O) para que a rede divulgada no LSA tipo 5 possa ser usada, isto é , para que ela apareça na tabela de roteamento. E esse é uma das regras pouco conhecidas do OSPF, por incrível que pareça.

Da RFC 2328:"If the forwarding address is non-zero, look up the forwarding address in therouting table.[24] The matching routing table entry must specify an intra-areaor inter-area path; if no such path exists, do nothing with the LSA and considerthe next in the list."

No nosso exemplo vemos que o FA para a rede 10.22.22.0/24 é 10.0.10.2.

E se revermos a tabela do router CE, vemos que a rota para 10.0.10.0/24 é uma rota estática:

ce#sh ip route | b GateGateway of last resort is not set

10.0.0.0/24 is subnetted, 1 subnetsS 10.0.10.0 [1/0] via 150.20.20.2

Essa rota, fazia parte do monte de rotas estáticas configurados em meio a BGP, OSPF, RIP nessa rede. O que, por fim, causou o problema.

Uma vez retirada essa rota estática da tabela e substituindo a mesma por uma rota tipo O (intra-area OSPF), a rota 10.22.22.0/24 apareceu na tabela como uma rota O E1, como esperado.

Page 77: Treinamento Network

ce(config)#no ip route 10.0.10.0 255.255.255.0 150.20.20.2ce(config)#endce#sh ip route | b GatewayGateway of last resort is not set

10.0.0.0/24 is subnetted, 2 subnetsO 10.0.10.0 [110/30] via 150.20.20.2, 00:00:00, Ethernet0/0O E1 10.22.22.0 [110/50] via 150.20.20.2, 00:00:00, Ethernet0/0150.15.0.0/24 is subnetted, 1 subnetsO 150.15.15.0 [110/20] via 150.20.20.2, 00:00:00, Ethernet0/0150.20.0.0/24 is subnetted, 1 subnetsC 150.20.20.0 is directly connected, Ethernet0/0

Bom, como eu já conhecia o problema foi apenas uma questão de olhar a tabela do OSPF depois a de roteamento e resolver o problema.

Agora vai uma dica para quem não em tanta experiência com OSPF e troubleshooting de roteamento.

A CISCO disponibiliza nas suas páginas vários fluxogramas que ajudam neste tipo de solução de problemas.

Neste caso, uma pesquisa básica no google: troubleshooting ospf ciscoComo o problema é de roteamento vamos ao link interno:E como o problema é com uma rota externa, seguimos para o link:Então, é apenas uma questão de seguir o fluxo:

- O LSA externo existe na tabela do OSPF? SIM (show ip ospf database external)

- O FA é 0.0.0.0 -> NÃO

- O FA é conhecido via OSPF inter ou intra-area -> NÃO

E chegamos a resposta: FA deve ser alcançado via uma rota inter ou intra-area.

Usando ip helper-address em interfaces com HSRP de forma eficiente!

Posted 27-02-2009 at 13:20 by vladrac

Como prometido em um post anterior:

http://under-linux.org/b527-transmitindo-pacotes-broadcast-de-uma-rede-para-outra-ip-helper-address

Vou mostrar um outro recurso do IOS Cisco:

Page 78: Treinamento Network

UDP Forwarding Support for Virtual Router Grouphttp://www.cisco.com/en/US/docs/ios/.../ftudpvrg.html

Esse recurso permite que os roteadores configurados com ip helper-address (utilizado para transmissao de pacotes broadcast para outros destinos) que fazem parte de um grupo de HSRP (Hot Stantby Routing Protocol) possam trocar informações e evitar que ambos os roteadores façam o encaminhamento (forwarding) dos pacotes.

Voltando a topologia abaixo, vemos que os pacotes de DHCP enviados pelo H1 para o endereço 255.255.255.255 são recebidos por ambos roteadores RA e RB. Como ambos possuem o comando ip helper-address ambos enviam essas requisições para o servidor de DHCP (10.66.66.1).

Podemos ver isso melhor com um debug ip dhcp server packet:

dhcp#debug ip dhcp server packetdhcp#DHCPD: DHCPRELEASE message received from client 0063.6973.636f.2d30.3062.612e.3030. 6261.2e30.3063.612d.4574.302f.30 (10.0.10.254).dhcp#DHCPD: DHCPRELEASE message received from client 0063.6973.636f.2d30.3062.612e.3030. 6261.2e30.3063.612d.4574.302f.30 (10.0.10.254).DHCPD: Finding a relay for client 0063.6973.636f.2d30.3062.612e.3030. 6261.2e30.3063.612d.4574.302f.30 on interface Ethernet0/1.DHCPD: DHCPRELEASE message received from client 0063.6973.636f.2d30.3062.612e.3030. 6261.2e30.3063.612d.4574.302f.30 (10.0.10.254).*Mar 1 00:03:15.423: DHCPD: Finding a relay for client 0063.6973.636f.2d30.3062.612e.3030. 6261.2e30.3063.612d.4574.302f.30 on interface Ethernet0/1.DHCPD: DHCPDISCOVER received from client 0063.6973.636f.2d30.3062.612e.3030. 6261.2e30.3063.612d.4574.302f.30 through relay 10.0.10.4.DHCPD: Allocate an address without class information (10.0.10.0)DHCPD: Sending DHCPOFFER to client 0063.6973.636f.2d30.3062.612e.3030. 6261.2e30.3063.612d.4574.302f.30 (10.0.10.254).DHCPD: unicasting BOOTREPLY for client 00ba.00ba.00ca to relay 10.0.10.4.DHCPD: DHCPDISCOVER received from client 0063.6973.636f.2d30.3062.612e.3030. 6261.2e30.3063.612d.4574.302f.30 through relay 10.0.10.3.DHCPD: Sending DHCPOFFER to client 0063.6973.636f.2d30.3062.612e.3030. 6261.2e30.3063.612d.4574.302f.30 (10.0.10.254).DHCPD: unicasting BOOTREPLY for client 00ba.00ba.00ca to relay 10.0.10.3.DHCPD: DHCPDISCOVER received from client 0063.6973.636f.2d30.3062.612e.3030. 6261.2e30.3063.612d.4574.302f.30 through relay 10.0.10.3.

Se quisermos evitar este efeito (alguns servidores de DHCP podem não trabalhar bem nesta situação, ou para evitar envio duplicado de informação na rede) podemos utilizar esse recurso.

A configuração é bastante simples, uma vez configurado o HSRP, e o ip helper-address, apenas algumas mudanças resolvem o problema:

RA

Page 79: Treinamento Network

interface Ethernet0/1ip address 10.0.10.3 255.255.255.0ip helper-address 10.66.66.1 redundancy std1full-duplexstandby 1 ip 10.0.10.1standby 1 preemptstandby 1 name std1end

ra#sh standby briefP indicates configured to preempt.|Interface Grp Prio P State Active Standby Virtual IPEt0/1 1 100 P Standby 10.0.10.4 local 10.0.10.1

RB

interface Ethernet0/1ip address 10.0.10.4 255.255.255.0ip helper-address 10.66.66.1 redundancy std1full-duplexstandby 1 ip 10.0.10.1standby 1 preemptstandby 1 name std1end

rb#sh standby brP indicates configured to preempt.|Interface Grp Prio P State Active Standby Virtual IPEt0/1 1 100 P Active local 10.0.10.3 10.0.10.1

E se verificarmos o debug no servidor dhcp , vemos que os pacotes são enviados apenas pelo roteador ativo do group HSRP, que no caso é o roteador RB:

*Mar 1 00:35:42.979: DHCPD: DHCPDISCOVER received from client 0063.6973.636f.2d30.3062.612e.3030. 6261.2e30.3063.612d.4574.302f.30 through relay 10.0.10.4.*Mar 1 00:35:42.983: DHCPD: Allocate an address without class information (10.0.10.0)dhcp#*Mar 1 00:35:44.987: DHCPD: Sending DHCPOFFER to client 0063.6973.636f.2d30.3062.612e.3030. 6261.2e30.3063.612d.4574.302f.30 (10.0.10.254).*Mar 1 00:35:44.991: DHCPD: unicasting BOOTREPLY for client 00ba.00ba.00ca to relay 10.0.10.4.*Mar 1 00:35:45.271: DHCPD: DHCPREQUEST received from client 0063.6973.636f.2d30.3062.612e.3030. 6261.2e30.3063.612d.4574.302f.30.*Mar 1 00:35:45.275: DHCPD: Appending default domain from pool*Mar 1 00:35:45.275: DHCPD: Using hostname 'h1.vladrac.com.' for dynamic update (from hostname option)

——————————————————————————

1- Configurar Duplex and speed

Switch(config-if)# speed 100 Switch(config-if)# duplex full

Page 80: Treinamento Network

Troubleshooting Note: O host conectado a porta deve, obrigatoriamente, possuir velocidade e modo de transmissão fixada no driver da placa de rede. Caso contrário, o switch ficará com a porta configurada em 100 Mbits/Full duplex e o servidor ficará com a placa de rede configurada em 100 Mbits/Half duplex.

Sintomas : Incremento do contador de número de colisões na porta do switch, não admitido em ambientes full duplex.

2- Spanning tree Root

Per Vlan

Switch(config)# spanning-tree vlan <vlan_id> root primary

Processo de eleição do Root Bridge

1. Bridge Priority - Numerical value held by switches. All Catalyst switches are 327682. Se empatar, Bridge ID = MAC Address

Troubleshooting Note: É extremamente recomendado que seja designado como root bridge um equipamento com alto MTBF. Caso o root bridge fique indisponível, haverá um travamento na rede durante o novo processo de eleição e convergência da topologia.

3- Configurar porta para subir o link de forma mais rápida 

Switch(config-if)# spanning-tree portfast 

Etapas no modo padrão:

From initialization to blocking From blocking to listening or to disabled From listening to learning or to disabled From learning to forwarding or to disabled From forwarding to disabled

Troubleshooting Note: É extremamente recomendado que as placas de rede dos servidores possuam um menor tempo de transição entre o status down e up. Contudo, atentar para que sejam mitigados possíveis loops quando da não utilização do spanning tree nesta porta.

OBS: Outra forma de habilitar a mesma configuração:

Switch(config-if)#switchport mode host

4- Prevenção contra loop quando utilizar portfast Bridge Protocol Data Unit = BpduSolução = Bpdu guard

Switch(config-if)# spanning-tree portfast bpduguard 

Opcionais (Altera recover time da porta)

Page 81: Treinamento Network

Switch(config-if)# errdisable recovery cause bpduguardSwitch(config-if)# errdisable recovery interval 400

(Default recover time da porta = 300 segundos)

Troubleshooting Note: É extremamente recomendado utilizar o bpduguard quando configurada uma porta como portfast. O Bpduguard colocará a porta em errdisable state quando “escutar” frames bpdu na porta que fora configurada como portfast.

5- Configuração VTP

Switch(config)# vtp mode transparentSwitch(config)# vtp domain ciscoSwitch(config)# vtp password 123

Troubleshooting Note: É extremamente recomendado que novos switches que forem inseridos na rede de produção sejam inicialmente configurados no modo “transparent”. Caso o mesmo seja inserido na rede de produção no modo “server “ e possuir o mesmo domínio VTP e uma databaserevision number maior, ele alterará todas as vlans da rede atual ocasionando inconsistência do vlan database.

6- Configurar Port modes

Acess, Trunk , Dynamic Desirable

Switch(config-if)# switchport mode trunk (ou access)

Troubleshooting Note: É extremamente recomendado não deixar nenhuma porta configurada como dynamic, este procedimento evita o futuro aparecimento de Trunks indesejados. Sempre configure todas as portas como “access” e depois altere para “trunk” as portas que necessitarem serem configuradas como trunk. Para que o trunk funcione sem problemas, obrigatoriamente, os dois equipamentos devem estar configurados no mesmo domínio VTP.

7- Configurar Trunk utilizando protocolo 802.1q

mode, encapsulation

Switch(config-if)# switchport trunk encapsulation dot1qSwitch(config-if)# switchport mode trunk

OBS: Ao fixar o mode da porta, o protocolo DTP é desabilitado.

Troubleshooting Note: Existem switches que não possuem o comando “switchport trunk encapsulation”, estes switches utilizam o protocolo dot1q por default e não suportam o protocolo ISL.

8- Configurar Etherchanel nas portas f0/2 e f0/3 utilizando o protocolo PagP

Switch(config-if)# speed 100Switch(config-if)# duplex fullSwitch(config-if)# switchport mode accessSwitch(config-if)# channel-group 1 mode desirable

Page 82: Treinamento Network

Modes:

Desirable - Negocia etherchannel utilizando protocolo PagP Auto - Modo passivo, apenas escuta solicitações para negociação ON - Não utiliza PagP, configura etherchannel de forma incondicional

Troubleshooting Note: Antes de configurar Etherchannel entre os switches , obrigatoriamente, primeiro coloque as portas em modo “administrative down” através do comando shutdown. Caso contrário, o segundo equipamento (que ainda não foi configurado) detectará condição de loop uma vez que o etherchannel configurado no primeiro equipamento divulgará o MAC ADDRESS da primeira porta em todas as portas que compõe o channel group. Obrigatoriamente todas as portas que pertençam a um channel group devem possuir as mesmas configurações referentes à velocidade e modo de transmissão.

Recovery senha Cisco

Segue abaixo um passo a passo para recuperar (ou zerar) a senha de switches layer 2 das famílias 2900XL/3500XL, 2940, 2950/2955, 2960 e 2970. Este procedimento também funciona para switches layer 3 da séries 3550, 3560 e 3750.

Apesar do tamanho este procedimento é extremamente simples. Basta seguir os passos abaixo.

 1) Conecte um cabo console ao equipamento e abra um Emulador de Terminal (Hyperterminal, Tera Terminal, ou qualquer outro) utilizando a seguinte configuração:

Bits per second (baud): 9600 Data bits: 8 Parity: None Stop bits: 1 Flow Control: Xon/Xoff

Para os iniciantes: Conectando um terminal na porta console de um switch Catalyst

2) Tire o cabo de força do switch.

3) Aperte o botão mode (localizado na frente, do lado esquerdo do equipamento) e ligue novamente.

Ilustração: 3524XL e 2950-24.

 

a) 2900XL, 3500XL e 3550: Solte o botão mode quando o LED sobre a porta 1 apagar. b) 2940 e 2950: Solte o botão mode quando o LED STAT apagar (após soltar o botão mode, o LED

Page 83: Treinamento Network

SYST piscará âmbar). c) 2960 e 2970: Solte o botão mode quando o LED SYST piscar âmbar e voltar para verde (após soltar o botão mode, o LED SYST piscará verde). d) 3560 e 3750: Solte o botão mode quando o LED SYST ficar verde (sem piscar). Após soltar o botão mode o LED SYST piscará verde. e) 2955: Nos switches 2955 não é preciso apertar o botão mode. Basta durante o boot enviar um break. Para isso devemos apertar Ctrl+Break no teclado (se você estiver usando o Hyperterminal). Neste link temos outras combinações para outros terminais.

Devemos esperar até a mensagem abaixo para aperte Ctrl+Break C2955 Boot Loader (C2955-HBOOT-M) Version 12.1(0.0.514), CISCO DEVELOPMENT TEST VERSION Compiled Fri 13-Dec-02 17:38 by madison WS-C2955T-12 starting… Base ethernet MAC Address: 00:0b:be:b6:ee:00 Xmodem file system is available. Initializing Flash… flashfs[0]: 19 files, 2 directories flashfs[0]: 0 orphaned files, 0 orphaned directories flashfs[0]: Total bytes: 7741440 flashfs[0]: Bytes used: 4510720 flashfs[0]: Bytes available: 3230720 flashfs[0]: flashfs fsck took 7 seconds. …done initializing flash. Boot Sector Filesystem (bs:) installed, fsid: 3 Parameter Block Filesystem (pb:) installed, fsid: 4

*** The system will autoboot in 15 seconds *** Send break character to prevent autobooting.

4) A partir daqui, qualquer que seja o switch o procedimento é igual. Digite flash_init.

switch: flash_init Initializing Flash… flashfs[0]: 143 files, 4 directories flashfs[0]: 0 orphaned files, 0 orphaned directories flashfs[0]: Total bytes: 3612672 flashfs[0]: Bytes used: 2729472 flashfs[0]: Bytes available: 883200 flashfs[0]: flashfs fsck took 86 seconds ….done Initializing Flash. Boot Sector Filesystem (bs:) installed, fsid: 3 Parameter Block Filesystem (pb:) installed, fsid: 4 switch:

5) Digite load_helper.

switch: load_helper switch:

6) Digite dir, para verificar o nome do arquivo de configuração.

switch: dir flash: Directory of flash:/

Page 84: Treinamento Network

2    -rwx  1803357   <date>           c3500xl-c3h2s-mz.120-5.WC7.bin 4    -rwx  1131      <date>              config.text 5    -rwx  109       <date>               info 6    -rwx  389       <date>               env_vars 7    drwx  640       <date>               html 18   -rwx  109       <date>              info.ver 403968 bytes available (3208704 bytes used) switch:

7) Renomeie o arquivo de configuração.

switch: rename flash:config.text flash:config.old switch:

Digite boot, para que o switch reinicie.

switch: boot Loading "flash:c3500xl-c3h2s-mz.120-5.WC7.bin"…############################### ################################################################################ ###################################################################### File "flash:c3500xl-c3h2s-mz.120-5.WC7.bin" uncompressed and installed, entry po int: 0×3000 executing…

9) O switch bootará sem nenhuma configuração (zerado). Entre no modo de configuração privilegiado e renomei o arquivo de configuração, voltando ao normal. Depois salve a configuração na nvram:

switch>en Switch# Switch#rename flash:config.old flash:config.text Destination filename [config.text] Switch# Switch#copy flash:config.text system:running-config Destination filename [running-config]?

1131 bytes copied in 0.760 secs Sw1#

Neste momento a configuração inteira foi restaurada, inclusive a senha.

10) Reconfigure as senhas:

Sw1# conf t Sw1(config)#enable secret <new_secret_password>

Sw1(config)#enable password <new_enable_password>

Sw1(config)#line vty 0 15 Sw1(config-line)#password <new_vty_password> Sw1(config-line)#login

Page 85: Treinamento Network

Sw1(config-line)#line con 0 Sw1(config-line)#password <new_console_password>

11) Salve a configuração e PRONTO!

Sw1#write memory Building configuration… [OK] Sw1#

Show interface FastEthernet

O comando show interface traz muitas informações que podemos utilizar para identificar problemas na interface, e até na rede. As vezes perdemos muito tempo atrás de uma informação que poderia ser encontrada analisando este comando.

No início é um tanto confuso interpretar essas informações (giants, overrun, BW100000,…), mas para facilitar segue abaixo a explicação para a maioria dos dados apresentados pelo comando show interface em uma interface FastEthernet.

FastEthernet0 is up: Indica que a interface (hardware) está ativa.

Line protocol is up: Indica que a parte lógica (software/processos/protocolos) da interface está ok.

MTU 1500 bytes: Tamanho máximo dos pacotes transmitidos pela interface.

BW 100000 Kbit: Banda da interface em kilobits por segundos. Pode ser configurado com o comando bandwith.

DLY 100 usec: Delay da interface em microsegundos.

Page 86: Treinamento Network

reliability 255/255: Confiabilidade da interface, onde 255 é o máximo (100%). Se existir problemas na camada 1 ou 2 a confiabilidade diminui (241/255, por exemplo).

txload 1/255, rxload 1/255: Carga da interface, onde 255/255 indica 100% de utilização. O cálculo é feito baseado no valor indicado no comando bandwith (tx = transmitido e rx = recebido).

Encapsulation ARPA: Tipo de encapsulamento utilizado.

Keepalive set (10 sec): A cada 10 segundos um keepalive é enviado para verificar se a interface está “viva”.

Full-duplex, 100Mb/s, 100BaseTX/FX: Velocidade, estilo e sentido (unidirecional ou bidirecional) da comunicação e tipo da interface.

Last clearing of “show interface” counters never: Mostra quando foram zerados os contadores da interface (no exemplo acima, nunca).

Queueing strategy: fifo: Tipo de fila utilizada na interface (Neste caso First In, First Out).

Output queue 0/40, 0 drops; input queue 0/75, 0 drops: Número de pacotes na fila de entrada e saída. Se tiver mais pacotes do que a fila suporta, eles serão descartados, incrementando o contador “output drop”.

5 minute input rate 270000 bits/sec, 174 packets/sec: Média de bits e pacotes recebidos por segundos. Para mudar o tempo de coleta destas informações use o comando “load-interval” na interface.

5 minute output rate 1977000 bits/sec, 226 packets/sec: Média de bits e pacotes transmitidos por segundos. Para mudar o tempo de coleta destas informações use o comando “load-interval” na interface.

runts: Pacotes descartados por não terem o tamanho mínimo (64 bytes, no caso do ethernet).

giants(Jabber): Número de pacotes descartados por excederem o tamanho máximo. Por padrão são considerados giants pacotes ethernets maiores que 1518 .

throttles: Número de vezes que o receptor na porta foi desativada, possivelmente devido à sobrecarga de buffer ou processador.

input errors: Número total de erros, incluindo runts, giants, falta de buffer, CRC, frame, overrun e ignored counts.

CRC: O Cyclic Redundancy Checksum aponta erros físicos normalmente, como configuração de velocidade e duplex diferentes (de um lado está configurado full-duplex e no outro equipamento half-duplex), por exemplo. Problemas desse tipo são verificados olhando o checksum do pacote recebido.

frame: Número de pacotes recebidos que tem erro de CRC ou algum problema na estrutura do frame.

overrun: Número de vezes que a interface não foi capaz de entregar os dados recebidos para o buffer, porque a taxa de entrada excedeu a capacidade do receptor. Muitas vezes ocorre por que a utilização da CPU está alta (acima de 80%). Se o número aumentar rapidamente verifique a utilização da CPU usando o comando “show processos CPU “.

Page 87: Treinamento Network

ignored: Número de pacotes recebido, mas ignorados, por problema no buffer. Excesso de tráfego, Broadcast storms e bursts of noise podem causar o incremento deste contador.

watchdog: Número de vezes que aconteceu um “timer expired” no watchdog. Isso acontece quando é recebido um pacote maior que 2048.

input packets with dribble condition detected: Informa quanto frame “pequenos” foram recebidos. Contador apenas informativo, já que o roteador aceita estes pacote (pacote maior que que os runts).

packets output: Número total de pacotes transmitidos.

bytes: Total de bytes transmitidos.

underruns: Número de vezes que o transmissor enviou dados mais rápido do que o roteador poderia receber. Algumas interfaces podem não trazer esta informação.

output errors: Todos de erros que impediram a transmissão dos datagramas para fora da interface. Observe que se somarmos os erros apresentados anteriormente o valor pode ser diferente deste (alguns erros não se enquadram em nenhum das categorias acima, mas são considerados pelo “output errors”).

collisions: Número de mensagens retransmitidas por causa de colisão no meio (Ethernet). Colisões podem ser causadas pelo uso de hubs, excesso no cascateamento de switches, configuração divergente quanto a velocidade e duplex, entre outros.

interface resets: Número de vezes que a interface foi resetada. Isto pode acontecer quando os pacotes que estão na fila para transmissão não são transmitidos em alguns segundos. Quase sempre ocasionado por congestionamento da rede.

babbles: Indica quantas vezes o tempo para a transmissão de pacotes jabber expirou.

late collision: Número de “late collision”, que são colisões que ocorrem após o a transmissão do preambulo. Podem ocorrer quando a rede é muito grande ou é grande a distancia entre os equipamentos.

deferred: Este contador é incrementado quando a interface tem que esperar a confirmação do “carrier” para realizar a transmissão.

lost carrier: Número de vezes que o “carrier” foi perdido durante a transmissão.

no carrier: Número de vezes que o “carrier” não esteve presente para a transmissão.

output buffer failures: Número de erros causados por falta de recursos na saída (transmissão).

output buffers swapped out: Número de pacotes trocados com a memória DRAM.