CCNA 4.0 - AW - 07 Serviços de Endereçamento IP

Tema acessvel CISCO
Pgina 1 de 41
Alternar idioma para English | Pesquisar | Glossrio ndice do curso: 7 Servios de endereamento IP
Selecionar
CCNA Exploration - Acessando a WAN

7 Servios de endereamento I P
7.0 Introduo do captulo
7.0.1 Introduo Pgina 1: A Internet e as tecnologias relacionadas ao IP passaram por um rpido crescimento. Uma razo para o crescimento deve-se, em parte, flexibilidade do design original. Entretanto, este design no previu a popularidade da Internet e a demanda resultante por endereos IP. Por exemplo, cada host e cada dispositivo na Internet exige um endereo do exclusivo IP verso 4 (IPv4). Devido ao drstico crescimento, o nmero de endereos IP disponveis est se esgotando. Para lidar com o esgotamento dos endereos IP, foram desenvolvidas diversas solues de curto prazo. As duas solues de curto prazo so os endereos privados e a Traduo de Endereo de Rede (NAT, Network Address Translation). Um host interno normalmente recebe seu endereo IP, mscara de sub-rede, endereo IP de gateway padro, endereo IP de servidor DNS e outras informaes de um servidor de Protocolo de Configurao de Host Dinmico (DHCP, Dynamic Host Configuration Protocol). Em vez de fornecer hosts internos com endereos IP de Internet vlidos, o servidor DHCP geralmente fornece endereos IP de um conjunto privado de endereos. O problema que estes hosts ainda podem exigir endereos IP vlidos para acessar os recursos da Internet. a que entra a NAT. A NAT permite que os hosts de rede internos obtenham temporariamente um endereo IP de Internet legtimo enquanto acessam os recursos da Internet. Quando o trfego solicitado retorna, o endereo IP legtimo adaptado e disponibilizado para a solicitao seguinte da Internet feita por um host interno. Usando a NAT, os administradores de rede precisam somente de um ou poucos endereos IP para serem fornecidos aos hosts pelo roteador, em vez de um endereo IP exclusivo para cada cliente que entra na rede. Embora parea ineficiente, o processo , na verdade, muito eficiente, porque o trfego do host acontece de forma muito rpida. Embora os endereos privados com o DHCP e a NAT tenham ajudado a reduzir a necessidade de endereos IP, estima-se que ns esgotaremos os endereos IPv4 exclusivos por volta de 2010. Por essa razo, em meados dos anos 90, o IETF solicitou propostas para um novo esquema de endereamento IP. O grupo de trabalho IP Next Generation (IPng, ltima Gerao de IP) reagiu. Por volta do ano de 1996, o IETF comeou a liberar diversas RFCs definindo o IPv6. O principal recurso do IPv6 sendo adotado hoje em dia o maior espao de endereo: os endereos no IPv6 possuem um tamanho de 128 bits contra os 32 bits do IPv4. Este captulo descreve como implementar o DHCP, a NAT e o IPv6 em redes corporativas. Exibir meio visual
7.1 DHCP
7.1.1 Apresentando o DHCP Pgina 1: O que DHCP?
http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCSer... 08/07/2011
Tema acessvel CISCO
Pgina 2 de 41
Cada dispositivo que se conecta a uma rede precisa de um endereo IP. Os administradores de rede atribuem endereos IP estticos a roteadores, servidores e a outros dispositivos de rede cujas localizaes (fsicas e lgicas) no tendem a mudar. Os administradores digitam os endereos IP estticos manualmente quando configuram os dispositivos para entrar na rede. Os endereos estticos tambm permitem que os administradores gerenciem tais dispositivos remotamente. Porm, os computadores em uma organizao mudam frequentemente de localizao, tanto fsica quanto logicamente. Os administradores no conseguem atribuir novos endereos IP cada vez que um funcionrio se muda para um escritrio ou cubculo diferente. Os clientes com desktop no exigem um endereo esttico. Em vez disso, uma estao de trabalho pode utilizar qualquer endereo dentro de um intervalo de endereos. Esse intervalo est normalmente dentro de uma sub-rede IP. Uma estao de trabalho dentro de uma sub-rede especfica pode receber qualquer endereo dentro de um intervalo especfico. Atribui-se um valor a outros itens, tais como a mscara de sub-rede, o gateway padro e o servidor do Sistema de Resoluo de Nome de Domnio (DNS, Domain Name System), valor esse que igual para a sub-rede ou para toda a rede administrada. Por exemplo, todos os hosts dentro da mesma sub-rede recebero endereos IP de host diferentes, mas recebero a mesma mscara de sub-rede e o mesmo endereo IP de gateway padro. Voc viu no CCNA Exploration, Fundamentos de rede, que o DHCP realiza o processo de atribuir novos endereos IP de modo quase transparente. O DHCP atribui endereos IP e outras informaes de configurao de rede importantes dinamicamente. Como os clientes com desktop geralmente compem o lote de ns de rede, o DHCP uma ferramenta que economiza tempo e extremamente til para os administradores de rede. A RFC 2131 descreve o DHCP. Os administradores normalmente preferem que um servidor de rede oferea servios de DHCP, porque tais solues so escalveis e relativamente fceis de gerenciar. Entretanto, em uma filial pequena ou local de SOHO, um roteador Cisco pode ser configurado para prestar servios de DHCP sem a necessidade de um servidor dedicado caro. Um conjunto de recursos do IOS Cisco chamado Easy IP oferece um servidor DHCP completo e opcional. Exibir meio visual
7.1.2 Operao de DHCP Pgina 1: Operao de DHCP A tarefa mais importante realizada por um servidor DHCP fornecer endereos IP aos clientes. O DHCP inclui trs mecanismos de alocao de endereo diferentes para fornecer flexibilidade ao atribuir endereos IP:
z z
Alocao manual: O administrador atribui um endereo IP pr-alocado ao cliente e o DHCP somente comunica o endereo IP ao dispositivo. Alocao automtica: O DHCP atribui automaticamente um endereo IP esttico permanente a um dispositivo, selecionando-o de um conjunto de endereos disponveis. No existe emprstimo e o endereo atribudo permanentemente a um dispositivo. Alocao dinmica: O DHCP atribui ou empresta automtica e dinamicamente um endereo IP a partir de um conjunto de endereos por um perodo limitado escolhido pelo servidor, ou at que o cliente diga ao servidor DHCP que no precisa mais do endereo.
Esta seo aborda a alocao dinmica. O DHCP trabalha em um modo cliente/servidor e funciona como qualquer outra relao de cliente/servidor. Quando um PC se conecta a um servidor DHCP, o servidor atribui ou empresta um endereo IP a esse PC. O PC se conecta rede com esse endereo IP emprestado at que
Tema acessvel CISCO
Pgina 3 de 41
tal emprstimo expire. O host deve entrar em contato com o servidor DHCP periodicamente para estender o emprstimo. Este mecanismo de emprstimo assegura que os hosts que se mudam ou se desligam no se prendam a endereos dos quais no precisam. O servidor DHCP devolve esses endereos ao conjunto de endereos e os realoca conforme o necessrio. Clique no boto Deteco na figura. Quando o cliente inicializa ou deseja entrar de outro modo na rede, ele conclui quatro etapas para obteno de um emprstimo. Na primeira etapa, o cliente transmite uma mensagem DHCPDISCOVER em broadcast. A mensagem DHCPDISCOVER localiza os servidores DHCP na rede. Como o host no tem nenhuma informao de IP vlida na inicializao, ele utilizar os endereos de broadcast de L2 e L3 para comunicar-se com o servidor. Clique no boto Oferta na figura. Quando o servidor DHCP recebe uma mensagem DHCDISCOVER, ele localiza um endereo IP disponvel para emprstimo, cria uma entrada de ARP consistindo no endereo MAC do host solicitante e o endereo IP emprestado, e transmite uma oferta de associao com uma mensagem DHCPOFFER. A mensagem DHCPOFFER enviada como um unicast, utilizando o endereo MAC de L2 do servidor como o endereo de origem e o endereo de L2 do cliente como o destino. Nota: Sob certas circunstncias, a troca de mensagens do DHCP do servidor pode ser transmitida por broadcast e no por unicast. Clique no boto Solicitao na figura. Quando o cliente recebe o DHCPOFFER do servidor, ele retorna uma mensagem DHCPREQUEST. Essa mensagem tem dois objetivos: emprestar a origem, a renovao e a verificao. Quando usado para emprestar uma origem, o DHCPREQUEST do cliente est solicitando que as informaes de IP sejam verificadas logo aps sua atribuio. A mensagem fornece a verificao de erros para assegurar que a atribuio ainda seja vlida. O DHCPREQUEST tambm serve como um aviso de aceitao de associao para o servidor selecionado e uma recusa implcita a quaisquer outros servidores que possam ter enviado uma oferta de associao para o host. Muitas redes corporativas utilizam diversos servidores DHCP. A mensagem DHCPREQUEST enviada na forma de broadcast para informar este servidor DHCP e qualquer outro servidor DHCP sobre a oferta aceita. Clique no boto Confirmao na figura. Ao receber a mensagem DHCPREQUEST, o servidor verifica as informaes de emprstimo, cria uma nova entrada de ARP para o emprstimo do cliente e responde com uma mensagem DHCPACK de unicast. A mensagem DHCPACK uma duplicata da mensagem DHCPOFFER, exceto por uma mudana no campo de tipo de mensagem. Quando o cliente recebe a mensagem DHCPACK, ele registra as informaes de configurao e executa uma busca de ARP para o endereo atribudo. Caso no receba uma resposta, ele saber que o endereo IP vlido e comea a us-lo como seu. Os clientes emprestam as informaes do servidor por um perodo definido administrativamente. Os administradores configuram os servidores DHCP para definir os tempos limite dos emprstimos em intervalos diferentes. A maioria dos ISPs e grandes redes utiliza duraes de emprstimo padro de at trs dias. Quando o emprstimo expira, o cliente deve solicitar outro endereo, embora j receba normalmente a atribuio do mesmo endereo. A mensagem DHCPREQUEST tambm abrange o processo de DHCP dinmico. As informaes de IP enviadas no DHCPOFFER podem ter sido oferecidas a outro cliente durante a alocao dinmica. Cada servidor DHCP cria conjuntos de endereos IP e parmetros associados. Os
Tema acessvel CISCO
Pgina 4 de 41
conjuntos so dedicados a sub-redes IP lgicas e individuais. Os conjuntos permitem a resposta de diversos servidores DHCP e a mobilidade dos clientes de IP. Caso haja resposta de diversos servidores, um cliente poder escolher apenas uma das ofertas. Exibir meio visual
7.1.3 BOOTP e DHCP Pgina 1: BOOTP e DHCP O Protocolo Boostrap (BOOTP, Bootstrap Protocol), definido na RFC 951, o antecessor do DHCP e compartilha algumas caractersticas operacionais. O BOOTP um modo de fazer o download do endereo e inicializar as configuraes para estaes de trabalho sem disco. Uma estao de trabalho sem disco no possui um disco rgido ou um sistema operacional. Por exemplo, muitos sistemas de caixa registradora automatizados em seu supermercado local so exemplos de estaes de trabalho sem disco. O DHCP e o BOOTP so baseados em cliente/servidor e usam as portas UDP 67 e 68. Essas portas so conhecidas ainda como portas de BOOTP. O DHCP e BOOTP possuem dois componentes, conforme mostrado na figura. O servidor um host com um endereo IP esttico que aloca, distribui e gerencia o IP e as atribuies dos dados de configurao. Cada alocao (o IP e os dados de configurao) armazenada no servidor em um conjunto de dados chamado de associao. O cliente qualquer dispositivo que utiliza o DHCP como um mtodo para obter o endereamento IP ou informaes de configurao de suporte. Para entender as diferenas funcionais entre o BOOTP e o DHCP, considere os quatro parmetros de IP bsicos necessrios para unir uma rede:
z z z z
Endereo IP Endereo de gateway Mscara de sub-rede Endereo do servidor DNS
Existem trs diferenas principais entre o DHCP e o BOOTP:

z
A principal diferena que o BOOTP foi criado para a pr-configurao manual das informaes de host em um banco de dados de servidor, enquanto o DHCP permite uma alocao dinmica de endereos de rede e configuraes para hosts recentemente anexados. Quando um cliente de BOOTP solicita um endereo IP, o servidor de BOOTP procura uma tabela predefinida para uma entrada que corresponda ao endereo MAC para o cliente. Se houver uma entrada, o endereo IP correspondente a essa entrada ser devolvido ao cliente. Isso significa que a associao entre o endereo MAC e o endereo IP j deve ter sido configurada no servidor de BOOTP. O DHCP permite a recuperao e a realocao de endereos de rede atravs de um mecanismo de emprstimo. Especificamente, o DHCP define os mecanismos pelos quais podem ser atribudos aos clientes um endereo IP por um perodo de emprstimo finito. Este perodo de emprstimo permite uma nova atribuio posterior do endereo IP a outro cliente, ou que o cliente obtenha outra atribuio caso se mude para outra sub-rede. Os clientes tambm podem renovar os emprstimos e manter o mesmo endereo IP. O BOOTP no utiliza emprstimos. Seus clientes reservaram o endereo IP que no pode ser atribudo a qualquer outro host. O BOOTP fornece uma quantidade limitada de informaes a um host. O DHCP fornece parmetros de configurao de IP adicionais, tais como o WINS e o nome de domnio.
Exibir meio visual
Tema acessvel CISCO
Pgina 5 de 41
Pgina 2: Formato de mensagem DHCP Os desenvolvedores de DHCP precisaram manter a compatibilidade com o BOOTP e, consequentemente, utilizaram o mesmo formato de mensagem BOOTP. Entretanto, como o DHCP possui mais funcionalidades que o BOOTP, o campo de opes do DHCP foi adicionado. Ao comunicar-se com clientes de BOOTP mais antigos, o campo de opes do DHCP ignorado. A figura mostra o formato de uma mensagem de DHCP. Os campos so:
z
z z z z
z z
z z
Cdigo de operao (OP, Operation Code) - Especifica o tipo genrico da mensagem. Um valor de 1 indica uma mensagem de solicitao; um valor de 2 indica uma mensagem de resposta. Tipo de hardware - Identifica o tipo de hardware utilizado na rede. Por exemplo, 1 a Ethernet, 15 o Frame Relay e 20 uma linha serial. Esses so os mesmos cdigos utilizados nas mensagens de ARP. Tamanho do endereo de hardware - 8 bits para especificar o tamanho do endereo. Saltos - Definido como 0 por um cliente antes de transmitir uma solicitao e utilizado por agentes de retransmisso para controlar o encaminhamento de mensagens do DHCP. Identificador de transaes - Identificao de 32 bits gerada pelo cliente para permitir a correspondncia da solicitao com as respostas recebidas dos servidores DHCP. Segundos - Nmero de segundos decorridos desde que um cliente comeou a obter ou renovar um emprstimo. Servidores DHCP ocupados utilizam este nmero para priorizar as respostas quando diversas solicitaes do cliente estiverem pendentes. Flags (sinalizadores) - Apenas um dos 16 bits utilizado, o qual a flag (sinalizador) de broadcast. Um cliente que no conhece seu endereo IP ao enviar uma solicitao, define a flag em 1. Esse valor diz ao servidor DHCP ou agente de retransmisso que recebe a solicitao que ele deve enviar a resposta em forma de broadcast. Endereo IP do cliente - O cliente coloca seu prprio endereo IP neste campo somente se tiver um endereo IP vlido enquanto estiver no estado associado; caso contrrio, ele define o campo em 0. O cliente somente pode utilizar esse campo quando seu endereo for realmente vlido e utilizvel, no durante o processo de obteno de um endereo. Seu endereo IP - O endereo IP que o servidor atribui ao cliente. Endereo IP do servidor - Endereo do servidor que o cliente deve utilizar para a prxima etapa no processo de bootstrap, que pode ou no ser o servidor que envia essa resposta. O servidor de origem sempre inclui seu prprio endereo IP em um campo especial chamado de opo de DHCP do Identificador de Servidor. Endereo IP de gateway - Faz o roteamento das mensagens de DHCP quando os agentes de retransmisso de DHCP esto envolvidos. O endereo de gateway facilita as comunicaes de solicitaes e respostas de DHCP entre o cliente e um servidor que estejam em sub-redes ou redes diferentes. Endereo de hardware de cliente - Especifica a camada fsica do cliente. Nome de servidor - O servidor que envia uma mensagem DHCPOFFER ou DHCPACK pode opcionalmente colocar seu nome neste campo. Esse nome pode ser um apelido de texto simples ou um nome de domnio de DNS, tal como dhcpserver.netacad.net. Nome de arquivo de inicializao - Utilizado opcionalmente por um cliente para solicitar um tipo especfico de arquivo de inicializao em uma mensagem DHCPDISCOVER. Utilizado por um servidor em uma mensagem DHCPOFFER para especificar por completo um diretrio de arquivos de inicializao e um nome de arquivo. Opes - Contm as opes de DHCP, incluindo os diversos parmetros necessrios para a operao bsica de DHCP. Esse campo varia em tamanho. Tanto o cliente quanto o servidor podem utilizar esse campo.
Exibir meio visual
Tema acessvel CISCO
Pgina 6 de 41
Pgina 3: Mtodos de deteco e oferta de DHCP Estas figuras fornecem detalhes do contedo do pacote das mensagens de deteco e oferta do DHCP. Quando um cliente deseja entrar na rede, ele solicita os valores de endereamento do servidor DHCP da rede. Se um cliente estiver configurado para receber suas configuraes de IP dinamicamente, ele transmitir uma mensagem DHCPDISCOVER em sua sub-rede fsica local quando for inicializado ou quando perceber uma conexo de rede ativa. Como o cliente no tem como saber a sub-rede para a qual ele pertence, o DHCPDISCOVER ser um broadcast de IP (endereo IP de destino de 255.255.255.255). O cliente no possui um endereo IP configurado, desse modo o endereo IP de origem de 0.0.0.0 utilizado. Como pode ver na figura, o endereo IP do cliente (CIADDR), o endereo de gateway padro (GIADDR) e a mscara de sub-rede esto marcadas com pontos de interrogao. Clique no boto Oferta de DHCP na figura. O servidor DHCP gerencia a alocao dos endereos IP e responde s solicitaes de configurao dos clientes. Quando o servidor DHCP recebe a mensagem DHCPDISCOVER, ele responde com uma mensagem DHCPOFFER. Esta mensagem contm as informaes de configurao iniciais para o cliente, incluindo o endereo MAC do cliente, seguido pelo endereo IP que o servidor oferece, a mscara de sub-rede, a durao do emprstimo e o endereo IP do servidor DHCP que faz a oferta. A mscara de sub-rede e o gateway padro so especificados no campo de opes: opes de mscara de sub-rede e de roteador, respectivamente. A mensagem DHCPOFFER pode ser configurada para incluir outras informaes, como o tempo de renovao do emprstimo, o servidor de nomes de domnio e o Nome Servio NetBIOS (Microsoft Windows Internet Name Service [Microsoft WINS]). O servidor determina a configurao com base no endereo de hardware do cliente, conforme especificado no campo CHADDR. Conforme mostrado no diagrama, o servidor DHCP respondeu mensagem DHCPDISCOVER atribuindo os valores ao CIADDR e mscara de sub-rede. Os administradores configuraram os servidores DHCP para que atribuam os endereos de conjuntos predefinidos. A maioria dos servidores DHCP tambm permitem que o administrador defina especificamente quais endereos MAC do cliente podem ser atendidos e os atribui sempre ao mesmo endereo IP automaticamente. O DHCP utiliza o Protocolo de Datagrama do Usurio (UDP, User Datagram Protocol) como seu protocolo de transporte. O cliente envia mensagens ao servidor na porta 67. O servidor envia mensagens ao cliente na porta 68. O cliente e o servidor confirmam as mensagens e o processo concludo. O cliente somente define o CIADDR quando um host estiver em um estado associado, o que significa que o cliente confirmou e est utilizando o endereo IP. Para obter mais informaes sobre o DHCP, veja a seo "Cisco IOS DHCP Server" no site: http://www.cisco.com/en/US/docs/ios/12_0t/12_ot1/feature/guide/Easyip2.html (em ingls). Exibir meio visual
7.1.4 Configurando um servidor DHCP
Tema acessvel CISCO
Pgina 7 de 41
Pgina 1: Configurando um servidor DHCP Roteadores Cisco que executam o software IOS Cisco fornecem suporte completo para que um roteador atue como um servidor DHCP. O servidor DHCP do IOS Cisco atribui e gerencia endereos IP de conjuntos de endereos especificados dentro do roteador para clientes DHCP. As etapas para configurar um roteador como um servidor DHCP so as seguintes: Etapa 1. Definir um intervalo de endereos que o DHCP no deve alocar. Esses endereos so endereos estticos geralmente reservados para a interface do roteador, endereo IP de gerenciamento de switch, servidores e impressoras de rede locais. Etapa 2. Criar o conjunto de endereos DHCP utilizando o comando ip dhcp pool. Etapa 3. Configurar as especificidades do conjunto. Voc deve especificar os endereos IP que o servidor DHCP no deve atribuir aos clientes. Normalmente, alguns endereos IP pertencem a dispositivos de rede estticos, tais como servidores ou impressoras. O DHCP no deve atribuir esses endereos IP a outros dispositivos. Uma prtica recomendada configurar endereos excludos no modo de configurao global antes de criar o conjunto de endereos DHCP. Isto garante que o DHCP no atribuir acidentalmente os endereos reservados. Para excluir os endereos especficos, utilize o comando ip dhcp excluded-address. Clique no boto Conjunto de endereos DHCP na figura. A configurao de um servidor DHCP envolve a definio de um conjunto de endereos a serem atribudos. O comando ip dhcp pool cria um conjunto com o nome especificado e coloca o roteador no modo de configurao de DHCP, o qual identificado pelo prompt Router(dhcpconfig)#. Clique no boto Tarefas DHCP na figura. Esta figura relaciona as tarefas para concluir a configurao do conjunto de endereos DHCP. Algumas delas so opcionais, enquanto as outras devem ser configuradas. Voc deve configurar os endereos disponveis e especificar o nmero e mscara de rede da sub-rede do conjunto de endereos de DHCP. Utilize o comando network para definir o intervalo de endereos disponveis. Voc tambm deve definir o gateway padro ou o roteador a serem utilizados pelos clientes com o comando default-router. Normalmente, o gateway a interface de rede local do roteador. necessrio um endereo, mas voc pode listar at oito endereos. Os comandos seguintes do conjunto de endereos DHCP so considerados opcionais. Por exemplo, voc pode configurar o endereo IP do servidor DNS que est disponvel para um cliente DHCP usando o comando dns-server. Quando configurado, necessrio um endereo, mas voc pode listar at oito endereos. Outros parmetros incluem a configurao da durao do emprstimo de DHCP. A configurao padro definitiva, mas voc pode alter-la usando o comando lease. Voc tambm pode configurar um servidor NetBIOS WINS disponvel para um cliente DHCP da Microsoft. Normalmente, isto seria configurado em um ambiente que suporta os clientes anteriores ao Windows 2000. Como a maioria das instalaes agora possuem clientes com o sistema operacional do Windows mais recente, esse parmetro no exigido. Clique no boto Exemplo de DHCP na figura.
Tema acessvel CISCO
Pgina 8 de 41
Esta figura exibe um exemplo de configurao com os parmetros de DHCP bsicos configurados no roteador R1. Desabilitando o DHCP O servio de DHCP habilitado por padro nas verses do software IOS Cisco que podem suport-lo. Para desabilitar o servio, utilize o comando no service dhcp. Utilize o comando de configurao global service dhcp para reabilitar o processo do servidor DHCP. Habilitar o servio no ter efeito algum se os parmetros no estiverem configurados. Exibir meio visual
Pgina 2: Verificando o DHCP Para ilustrar como um roteador Cisco pode ser configurado para fornecer servios de DHCP, consulte a figura. O PC1 no foi ativado e, desse modo, no possui um endereo IP. O roteador R1 foi configurado com os seguintes comandos: ip dhcp excluded-address 192.168.10.1 192.168.10.9 ip dhcp excluded-address 192.168.10.254 ip dhcp pool LAN-POOL-1 network 192.168.10.0 255.255.255.0 default-router 192.168.10.1 domain-name span.com Para verificar a operao do DHCP, utilize o comando show ip dhcp binding. Esse comando exibe uma lista de todas as associaes de endereos IP a endereos MAC que foram fornecidas pelo servio de DHCP. Para verificar quais mensagens esto sendo recebidas ou enviadas pelo roteador, utilize o comando show ip dhcp server statistics. Esse comando exibe informaes de contagem relacionadas ao nmero de mensagens de DHCP que foram enviadas e recebidas. Clique no boto DHCP-1 na figura. Como voc pode ver na figura, atualmente no existem associaes ou estatsticas sendo exibidas. Agora, suponha que o PC1 foi ativado e concluiu seu processo de inicializao. Clique no boto DHCP-2 na figura. Observe que as informaes de associao mostram agora que o endereo IP da 192.168.10.10 foi associado a um endereo MAC. As estatsticas tambm exibem a atividade do DHCPDISCOVER, DHCPREQUEST, DHCPOFFER e DHCPACK. Clique no boto Cliente DHCP na figura. O comando ipconfig /all exibe os parmetros configurados do TCP/IP no PC1. Como o PC1 foi conectado ao segmento de rede 192.168.10.0 /24, ele recebeu automaticamente um endereo IP, um sufixo DNS e o gateway padro daquele conjunto. No exigida nenhuma configurao de interface DHCP. Se um PC for conectado a um segmento de rede que tenha um conjunto de endereos DHCP disponvel, ele poder obter um endereo IP automaticamente. Assim, como o PC2 recebe um endereo IP? O roteador R1 teria que ser configurado para fornecer um conjunto de endereos DHCP de 192.168.11.0 /24 conforme segue:
Tema acessvel CISCO
Pgina 9 de 41
ip dhcp excluded-address 192.168.11.1 192.168.11.9 ip dhcp excluded-address 192.168.11.254 ip dhcp pool LAN-POOL-2 network 192.168.11.0 255.255.255.0 default-router 192.168.11.1 domain-name span.com Quando o PC2 concluir seu processo de inicializao, ele recebe um endereo IP para o segmento de rede para o qual est conectado. Clique no boto DHCP-3 na figura. Observe que as associaes de DHCP agora indicam que dois hosts receberam endereos IP. As estatsticas de DHCP tambm refletem a troca de mensagens de DHCP. Outro comando til para exibir os diversos conjuntos o comando show ip dhcp pool. Clique no boto Conjuntos de endereos DHCP na figura. Esse comando resume as informaes do conjunto de endereos DHCP. Exibir meio visual
7.1.5 Configurando um cliente DHCP Pgina 1: Configurando um cliente DHCP Geralmente, pequenos roteadores de banda larga para uso local, tais como roteadores Linksys, podem ser configurados para conectar-se a um ISP utilizando um DSL ou um modem a cabo. Na maioria dos casos, pequenos roteadores locais so configurados para adquirir um endereo IP automaticamente de seus ISPs. Por exemplo, a figura mostra a pgina de configurao de WAN padro para um roteador WRVS4400N Linksys. Observe que o tipo de conexo da Internet definido como Configurao Automtica - DHCP. Isso significa que, quando o roteador est conectado a um modem a cabo, por exemplo, ele ser um cliente DHCP e solicitar um endereo IP do ISP. s vezes, os roteadores Cisco em SOHO e filiais devem ser configurados de uma maneira semelhante. O mtodo utilizado depende do ISP. Entretanto, em sua configurao mais simples, a interface Ethernet utilizada para se conectar a um modem a cabo. Para configurar uma interface Ethernet como um cliente DHCP, o comando ip address dhcp dever ser configurado. Clique no boto Cliente DHCP na figura. Na figura, suponha que um ISP foi configurado para fornecer a alguns clientes endereos IP do intervalo da 209.165.201.0 / 27. A sada do comando confirma o endereo atribudo. Exibir meio visual
7.1.6 Retransmisso DHCP Pgina 1: O que a retransmisso DHCP? Em uma rede hierrquica complexa, os servidores da empresa ficam geralmente em uma farm de servidores. Esses servidores podem fornecer os servios de DHCP, DNS, TFTP e FTP aos
Tema acessvel CISCO
Pgina 10 de 41
clientes. O problema que os clientes de rede geralmente no esto na mesma sub-rede que tais servidores. Portanto, os clientes devem localizar os servidores para receber os servios, e esses servios geralmente so localizados com o uso de mensagens de broadcast. Na figura, PC1 est tentando adquirir um endereo IP do servidor DHCP localizado em 192.168.11.5. Neste cenrio, o roteador R1 no est configurado como um servidor DHCP. Clique no boto Problema de host na figura. Na figura, o PC1 est tentando renovar seu endereo IP. Para faz-lo, o comando ipconfig /release emitido. Observe que o endereo IP lanado e o endereo atual 0.0.0.0. Em seguida o comando ipconfig /renew emitido. Esse comando faz o host iniciar a transmisso de uma mensagem DHCPDISCOVER por broadcast. No entanto, PC1 no pode localizar o servidor DHCP. O que acontece quando o servidor e o cliente esto separados por um roteador e, desse modo, no esto no mesmo segmento de rede? Lembre-se de que os roteadores no encaminham broadcasts. Nota: Alguns clientes do Windows possuem um recurso chamado Endereamento IP privado automtico (APIPA, Automatic Private IP Addressing). Com esse recurso, um computador com Windows pode atribuir automaticamente a si mesmo um endereo IP no intervalo de 169.254.x.x no caso de um servidor DHCP no estar disponvel ou no existir na rede. Para piorar as coisas, o DHCP no o nico servio essencial que utiliza os broadcasts. Por exemplo, os roteadores Cisco e outros dispositivos podem utilizar broadcasts para localizar os servidores TFTP ou para localizar um servidor de autenticao, como o servidor TACACS. Para solucionar esse problema, um administrador poderia adicionar servidores DHCP a todas as sub-redes. Entretanto, a execuo desses servios em vrios computadores cria uma sobrecarga de custo e administrativa. Uma soluo mais simples configurar o recurso de endereo auxiliar do IOS Cisco nos roteadores e switches intermedirios. Essa soluo habilita os roteadores para que encaminhem broadcasts de DHCP aos servidores DHCP. Quando um roteador encaminha atribuies de endereos/solicitaes de parmetros, ele est agindo como um agente de retransmisso de DHCP. Por exemplo, PC1 transmitiria uma solicitao por broadcast para localizar um servidor DHCP. Se o roteador R1 estivesse configurado como um agente de retransmisso de DHCP, ele interceptaria essa solicitao e a encaminharia ao servidor DHCP localizado na sub-rede 192.168.11.0. Para configurar o roteador R1 como um agente de retransmisso de DHCP, voc precisa configurar a interface mais prxima do cliente com o comando de configurao de interface ip helper-address. Esse comando retransmite as solicitaes de broadcast para os principais servios a um endereo configurado. Configure o endereo IP auxiliar na interface que recebe o broadcast. Clique no boto Configurao de retransmisso na figura. O roteador R1 agora est configurado como um agente de retransmisso de DHCP. Ele aceita as solicitaes de broadcast para o servio de DHCP e ento as encaminha como unicast ao endereo IP 192.168.11.5. Clique no boto Renovao de host na figura. Como voc pode ver, o PC1 agora pode adquirir um endereo IP do servidor DHCP. O DHCP no o nico servio que pode ser configurado no roteador para que ele faa a retransmisso. Por padro, o comando ip helper-address encaminha os seguintes oito servios
Tema acessvel CISCO
Pgina 11 de 41
de UDP:
z z z z z z z z
Porta 37: Tempo Porta 49: TACACS Porta 53: DNS Porta 67: Servidor DHCP/BOOTP Porta 68: Cliente DHCP/BOOTP Porta 69: TFTP Porta 137: servio de nomes NetBIOS Porta 138: servio de datagrama NetBIOS
Para espec ar as portas adic ific ionais, utilize o c omando ip forward-protocol para espec ar ific exatamente quais tipos de pac otes de broadc sero enc ast aminhados. Exibir meio visual
7.1.7 Configurando um servidor DHCP usando o SDM Pgina 1: Configurando um servidor DHCP usando o SDM Os roteadores Cisc tambm podem ser c o onfigurados c omo um servidor DHCP utilizando o SDM. Neste exemplo, o roteador R1 ser c onfigurado c omo o servidor DHCP nas interfac Fa0/0 e es Fa0/1. Clique no boto Tarefas de DHCP na figura. A funo do servidor DHCP habilitada em Additional Tasks [Tarefas adic ionais] na guia Configure [Configurar]. Na lista de tarefas, c lique na pasta DHCP e selec ione Conjuntos de endereos DHCP para adic ionar um novo c onjunto. Clique em Adicionar para c o novo riar c onjunto de endereos DHCP. Clique no boto Adicionar conjunto na figura. A janela Adic ionar c onjunto de endereos DHCP c ontm as opes nec essrias para c onfigurar o c onjunto de endereos IP do DHCP. Os endereos IP designados pelo servidor DHCP so tirados de um c onjunto c omum. Para c onfigurar o c onjunto, espec ifique o endereo IP inic e o ial endereo IP final do intervalo. O SDM Cisc c o onfigura o roteador para que ele exc automatic lua amente o endereo IP da interfac de rede loc do c e al onjunto. Voc no deve usar o endereo IP de rede ou sub-rede ou o endereo de broadc na rede no intervalo de endereos que voc espec ar. ast ific Se voc prec isar exc os outros endereos IP no intervalo, poder faz-lo ajustando os luir endereos IP inic e final. Por exemplo, se voc prec ial isar exc os endereos IP de luir 192.168.10.1 at 192.168.10.9, definir o endereo IP inic c ial omo 192.168.10.10. Isso permite que o roteador c omec a atribuio de endereos c 192.168.10.10. e om As outras opes disponveis so:
z
z z
Servidor DNS 1 e Servidor DNS 2 - O servidor DNS , geralmente, um servidor que mapeia um nome de dispositivo c onhec c seu endereo IP. Se voc tiver um servidor ido om DNS c onfigurado para sua rede, digite aqui o endereo IP para o servidor. Se houver outro servidor DNS na rede, voc poder digitar neste c ampo o endereo IP para esse servidor. Servidor WINS 1 e Servidor WINS 2 - Relembra que a c onfigurao WINS geralmente est em ambientes que suportam c lientes anteriores ao Windows 2000. Importar todas as opes de DHCP para o banco de dados do servidor DHCP -
Tema acessvel CISCO
Pgina 12 de 41
Permite importar as opes de DHCP de um servidor de nvel mais alto e usado geralmente em c onjunto c um servidor DHCP da Internet. Essa opo permite que voc om rec eba informaes de nveis mais altos sem ter que fazer essa c onfigurao para esse c onjunto.
Clique no boto Conjuntos de endereos DHCP na figura. Esta tela fornec um resumo dos c e onjuntos c onfigurados em seu roteador. Neste exemplo, dois c onjuntos foram c onfigurados, um para c ada interfac Fast Ethernet no roteador R1. e Exibir meio visual
7.1.8 Identificao e soluo de problemas de DHCP Pgina 1: Identificao e soluo de problemas de configurao de DHCP Podem surgir problemas no DHCP por diversos motivos, tais c omo defeitos de software nos sistemas operac ionais, nos drivers da plac de rede ou nos agentes de retransmisso a DHCP/BOOTP, mas os mais c omuns so os problemas de c onfigurao. Devido ao nmero de reas potenc ialmente problemtic nec as, essrio uma abordagem sistemtic para identific e a ar soluc ionar os problemas. Identificao e soluo de problemas Tarefa 1: Solucionar conflitos de endereos IP O emprstimo de um endereo IP pode expirar para um c liente que ainda esteja c onec tado a uma rede. Se o c liente no renovar o emprstimo, o servidor DHCP poder atribuir novamente aquele endereo IP para outro c liente. Quando o c liente fizer a reinic ializao, um endereo IP ser solic itado. Se o servidor DHCP no responder rapidamente, o c liente usar o ltimo endereo IP. Oc orre, assim, uma situao em que dois c lientes utilizam o mesmo endereo IP, c riando um c onflito. Oc omando show ip dhcp conflict exibe todos os c onflitos de endereo registrados pelo servidor DHCP. O servidor usa o c omando ping para detec os c tar onflitos. O c liente usa o Protoc de olo resoluo de endereos (ARP, Address Resolution Protoc para detec os c ol) tar lientes. Se um c onflito de endereos for detec tado, o endereo ser removido do c onjunto e no ser atribudo at que um administrador soluc ione o c onflito. Este exemplo exibe o mtodo de detec o e hora da detec o para todos os endereos IP oferec idos pelo servidor DHCP que entraram em c onflito c outros dispositivos. om R2# show ip dhcp conflict IP address Detec tion Method Detec tion time 192.168.1.32 Ping Feb 16 2007 12:28 PM 192.168.1.64 Gratuitous ARP Feb 23 2007 08:12 AM Identificao e soluo de problemas - Tarefa 2: Verificar a conectividade fsica Primeiro, use o c omando show interfaceinterface para c onfirmar se a interfac do roteador que e est agindo c omo o gateway padro para o c liente est operac ional. Se o estado da interfac no e estiver ativo, a porta no transmitir o trfego, inc lusive as solic itaes do c liente DHCP. Identificao e soluo de problemas Tarefa 3: Teste de conectividade de rede configurando uma estao de trabalho do cliente com um endereo IP esttico
Tema acessvel CISCO
Pgina 13 de 41
Ao identificar e solucionar qualquer problema do DHCP, verifique a conectividade da rede configurando um endereo IP esttico em uma estao de trabalho do cliente. Se a estao de trabalho no puder alcanar os recursos de rede com um endereo IP estaticamente configurado, isso significar que a fonte do problema no o DHCP. Neste ponto, a identificao e soluo de problemas de conectividade de rede necessria. Identificao e soluo de problemas Tarefa 4: Verificar configuraes de porta do switch (Portfast STP e outros comandos) Se o cliente DHCP no puder obter um endereo IP do servidor DHCP na inicializao, tente obter um endereo IP do servidor DHCP forando manualmente o cliente a enviar uma solicitao DHCP. Se houver um switch entre o cliente e o servidor DHCP, verifique que se a porta possui uma PortFast STP habilitada e se o entroncamento/distribuio de canais est desabilitado. A configurao padro a PortFast desabilitada e o entroncamento/distribuio em canais automtico, se aplicvel. Essas mudanas de configurao solucionam os problemas mais comuns do cliente DHCP que ocorrem na instalao inicial de um switch Catalyst. Rever a seo CCNA Exploration: Comutao de rede local e de rede sem fio pode auxiliar na resoluo desse problema. Identificao e soluo de problemas Tarefa 5: Distinguir se os clientes DHCP obtm o endereo IP na mesma sub-rede ou VLAN que o servidor DHCP importante distinguir se o DHCP est funcionando corretamente quando o cliente estiver na mesma sub-rede ou VLAN que o servidor DHCP. Se o DHCP estiver funcionando corretamente, o problema poder ser o agente de retransmisso do DHCP/BOOTP. Se o problema persistir mesmo com o teste do DHCP na mesma sub-rede ou VLAN que o servidor DHCP, o problema poder estar, de fato, no servidor DHCP. Exibir meio visual
Pgina 2: Verificar a configurao de retransmisso DHCP/BOOTP do roteador Quando o servidor DHCP estiver localizado em uma rede local separada do cliente, a interface do roteador que estiver de frente para o cliente dever ser configurada para retransmitir as solicitaes DHCP. Isso realizado configurando o endereo IP auxiliar. Se o endereo IP auxiliar no for configurado corretamente, as solicitaes do cliente DHCP no sero encaminhadas ao servidor DHCP. Siga as seguintes etapas para verificar a configurao do roteador: Etapa 1. Verifique se o comando ip helper-address est configurado na interface correta. Ele deve estar presente na interface de entrada da rede local que contm as estaes de trabalho do cliente DHCP e deve ser direcionado ao servidor DHCP correto. Na figura, a sada do comando show running-config verifica se o endereo IP de retransmisso DHCP est denominando o endereo do servidor DHCP em 192.168.11.5. Etapa 2. Verifique se o comando de configurao global no service dhcp no foi configurado. Esse comando desabilita o servidor DHCP e a funcionalidade de retransmisso no roteador. O comando service dhcp no aparece na configurao porque ele a configurao padro. Exibir meio visual
Pgina 3:
Tema acessvel CISCO
Pgina 14 de 41
Verificar se o roteador est recebendo solicitaes DHCP usando os comandos debug. Em roteadores configurados como servidores DHCP, o processo de DHCP falhar se o roteador no receber as solicitaes do cliente. Como uma tarefa de identificao e soluo de problemas, verifique se o roteador est recebendo a solicitao DHCP do cliente. Essa etapa de identificao e soluo de problemas envolve a configurao de uma lista de controle de acesso para a sada do comando de depurao. A lista de controle de acesso da depurao no atrapalha o roteador. No modo de configurao global, crie a seguinte lista de controle de acesso: access-list 100 permit ip host 0.0.0.0 host 255.255.255.255 Inicie a depurao usando o ACL 100 como o parmetro de definio. No modo exec, digite o seguinte comando debug: debug ip packet detail 100 A sada do comando na figura mostra que o roteador est recebendo as solicitaes DHCP do cliente. O endereo IP de origem 0.0.0.0 porque o cliente ainda no tem um endereo IP. O destino 255.255.255.255 porque a mensagem de deteco do DHCP do cliente um broadcast. As portas de origem e destino de UDP, 68 e 67, so as portas tpicas usadas para o DHCP. Essa sada do comando mostra somente um resumo do pacote e no o pacote em si. Portanto, no ser possvel determinar se o pacote est correto. No entanto, o roteador recebeu um pacote de broadcast com as portas IP e UDP de origem e destino corretas para o DHCP. Verificar se o roteador est recebendo e encaminhando as solicitaes DHCP usando o comando debug ip dhcp server packet Um comando til para identificar e solucionar os problemas da operao de DHCP o comando debug ip dhcp server events. Esse comando reporta os eventos do servidor, como as atribuies de endereo e as atualizaes do banco de dados. Ele tambm usado para decodificar as recepes e as transmisses do DHCP. Exibir meio visual
Pgina 4: O DHCP atribui endereos IP e outras informaes de configurao de rede importantes dinamicamente. Os roteadores Cisco podem usar o conjunto de recursos do IOS Cisco, Easy IP, como um servidor DHCP opcional com todos os recursos. Por padro, o Easy IP empresta configuraes por 24 horas. Nesta atividade, voc ir configurar os servios DHCP em dois roteadores e testar a sua configurao. So fornecidas instrues detalhadas na atividade, bem como no link do arquivo PDF abaixo. Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual
7.2 Dimensionando redes com NAT

7.2.1 Endereamento IP privado e pblico Pgina 1: Todos os endereos de Internet pblicos devem ser registrados com um Registro de internet
Tema acessvel CISCO
Pgina 15 de 41
regional (RIR, Regional Internet Registry). As organizaes podem emprestar os endereos pblic de um ISP. Somente o proprietrio registrado de um endereo pblic de internet pode os o atribuir esse endereo a um dispositivo de rede. Voc deve ter observado que todos os exemplos neste c urso utilizam um nmero um pouc o restrito de endereos IP. Voc tambm deve ter observado a semelhana entre esses nmeros e os nmeros que voc usou em uma rede pequena para exibir as pginas de instalao da web de muitas marc de impressoras, do DSL e de roteadores a c as abo, bem c omo de outros perifric os. Eles so endereos de internet privados reservados retirados dos trs bloc mostrados na os figura. Esses endereos podem ser usados somente em redes internas e privadas. A RFC 1918 espec a que os endereos privados no devem ser roteados pela Internet. Os endereos ific privados so desc ritos, s vezes, c omo " no roteveis." Entretanto, os pac otes c endereos om privados podem ser roteados dentro de redes interc onec tadas privadas. Diferentemente dos endereos IP pblic os endereos IP privados so um bloc reservado de os, o nmeros que podem ser usados por qualquer um. Isso signific que duas redes ou dois milhes a de redes podem usar os mesmos endereos privados. Para proteger a estrutura de endereos da Internet pblic os ISPs geralmente c a, onfiguram os roteadores de borda para impedir que o trfego endereado exc lusivamente a eles seja enc aminhado pela Internet. Ao fornec um maior espao de endereos do que a maioria das organizaes pode obter er atravs de um RIR, o endereamento privado c onfere s empresas uma flexibilidade c onsidervel no design da rede. Isso permite a obteno de esquemas de endereamento operac ional e administrativamente c onvenientes, alm de um c resc imento mais fc il. Entretanto, c omo no possvel rotear endereos privados pela Internet e c omo no existem endereos pblic sufic os ientes para permitir que as organizaes forneam um host para todos, as redes prec isam que um mec anismo traduza os endereos privados para endereos pblic os na extremidade de sua rede que func ionar em ambas as direes. Na ausnc de um sistema de ia traduo, os hosts privados de um roteador na rede de uma organizao no podem c onec tar-se a hosts privados de um roteador em outras organizaes pela Internet. A Traduo de endereos de rede (NAT, Network Address Translation) fornec esse mec e anismo. Antes da NAT, um host c um endereo privado no podia ac om essar a Internet. Usando a NAT, as empresas individuais podem designar a alguns ou todos os seus hosts c endereos om privados e usar a NAT para fornec ac er esso Internet. Para obter uma viso mais detalhada sobre o desenvolvimento do sistema RIR, ac esse o artigo do Cisc Internet Protoc Journal no site o ol http://www.c o.c isc om/web/about/ac 123/ac 147/arc hived_issues/ipj_44/regional_internet_registries.html. Exibir meio visual
7.2.2 O que NAT? Pgina 1: O que NAT? A NAT c omo a rec ionista de um grande esc epc ritrio. Suponha que voc deixou instrues c om a rec ionista para que ela no enc epc aminhe nenhuma ligao a menos que voc pea. Mais tarde, voc liga para um c liente potenc e deixa uma mensagem para que ele retorne a ligao. ial Voc diz rec ionista que voc est esperando uma ligao desse c epc liente e pede para que ela faa a transfernc da c ia hamada. Oc liente liga para o nmero princ ipal para seu esc ritrio, que o nic nmero que ele c o onhec e. Quando o c liente disser rec ionista quem ele proc epc ura, a rec ionista verific uma tabela epc ar de pesquisa que c orresponde seu nome ao seu ramal. A rec ionista sabe que voc pediu essa epc
Tema acessvel CISCO
Pgina 16 de 41
chamada; portanto, ela encaminha a pessoa que efetuou a chamada para seu ramal. Assim, enquanto o servidor DHCP designa os endereos IP dinmicos para os dispositivos dentro da rede, os roteadores habilitados pela NAT retm um ou muitos endereos IP de Internet vlidos fora da rede. Quando o cliente enviar pacotes pela rede, a NAT traduzir o endereo IP interno do cliente para um endereo externo. Para usurios externos, todo o trfego destinado para a rede e proveniente dela possui o mesmo endereo IP ou vem do mesmo conjunto de endereos. A NAT tem muitos usos, mas o principal salvar os endereos IP, permitindo que as redes usem os endereos IP privados. A NAT traduz endereos privados, no roteveis e internos em endereos pblicos e externos. A NAT tem um benefcio adicional de proporcionar um nvel maior de privacidade e segurana para uma rede porque ela oculta endereos IP internos de redes externas. Um dispositivo habilitado para NAT funciona normalmente na borda de uma rede stub. Em nosso exemplo, o R2 o roteador de borda. Uma rede stub uma rede que tem uma nica conexo com sua rede vizinha. Como visto no ISP, o R2 forma uma rede stub. Quando um host dentro da rede stub, por exemplo PC1, PC2 ou PC 3, deseja transmitir um pacote para um host externo, esse pacote encaminhado para R2, o roteador de gateway de borda. O R2 executa o processo de NAT, traduzindo o endereo privado interno do host para um endereo pblico, rotevel e externo. Na terminologia de NAT, a rede interna o conjunto de redes que esto sujeitas traduo. A rede externa se refere a todos os outros endereos. Os endereos IP possuem designaes diferentes dependendo de estarem na rede privada ou na rede pblica (Internet) e de o trfego estar chegando ou saindo. Clique no boto Terminologia na figura. A figura mostra como referir-se s interfaces ao configurar a NAT. Suponha que o roteador R2 foi configurado para fornecer os recursos da NAT. Ele possui um conjunto de endereos publicamente disponveis para emprestar aos hosts internos. Esta seo utiliza os seguintes termos ao discutir a NAT:
z
z z
Endereo local interno - Geralmente no um endereo IP atribudo por um RIR ou operadora, sendo mais provavelmente um endereo privado da RFC 1918. Na figura, o endereo IP 192.168.10.10 est atribudo ao PC1 host na rede interna. Endereo global interno - Um endereo pblico vlido que o host interno recebe quando sai do roteador da NAT. Quando o trfego de PC1 destinado para o servidor web em 209.165.201.1, o roteador R2 dever traduzir o endereo. Nesse caso, o endereo IP 209.165.200.226 usado como o endereo global interno para o PC1. Endereo global externo - Endereo IP pblico vlido atribudo a um host na Internet. Por exemplo, o servidor web pode ser alcanado no endereo IP 209.165.201.1. Endereo local externo - O endereo IP local atribudo a um host na rede externa. Na maioria das situaes, esse endereo ser idntico ao endereo global externo do dispositivo externo.
Nota: Neste curso, faremos referncia ao endereo local interno, ao endereo global interno e ao endereo global externo. O uso do endereo local externo est fora do escopo deste curso. O "interno" de uma configurao de NAT no sinnimo de endereos particulares como eles so definidos pela RFC 1918. Embora os endereos "internos" sejam, geralmente, endereos privados, a NAT pode fazer a traduo entre endereos pblicos "externos" e "internos". Exibir meio visual
Tema acessvel CISCO
Pgina 17 de 41
Pgina 2: Como a NAT funciona? Neste exemplo, um host interno (192.168.10.10) deseja se comunicar com um servidor web externo (209.165.201.1). Ele envia um pacote a R2, o gateway de borda configurado para NAT da rede. Use os controles na figura para iniciar a animao. R2 l o endereo IP de origem do pacote e verifica se o pacote corresponde aos critrios especificados para traduo. R2 possui uma ACL que identifica a rede interna como hosts vlidos para traduo. Portanto, ele traduz um endereo IP local interno para um endereo IP global interno que, neste caso, 209.165.200.226. Ele armazena esse mapeamento de endereo local para endereo global na tabela de NAT. Em seguida, o roteador envia o pacote a seu destino. Quando o servidor web responde, o pacote volta ao endereo global de R2 (209.165.200.226). R2 consulta a sua tabela de NAT e verifica que esse era um endereo IP que foi traduzido anteriormente. Portanto, ele traduz o endereo global interno para o endereo local interno, e o pacote encaminhado ao PC1 no endereo IP 192.168.10.10. Se ele no localizar um mapeamento, o pacote ser descartado. Mapeamento dinmico e mapeamento esttico Existem dois tipos de traduo NAT: dinmica e esttica. A NAT dinmica utiliza um conjunto de endereos pblicos e os atribui por ordem de chegada. Quando um host com um endereo IP privado solicitar acesso Internet, a NAT dinmica escolher um endereo IP do conjunto que no estiver mais sendo usado por outro host. Esse o mapeamento descrito at ento. A NAT esttica usa um mapeamento exclusivo de endereos globais e locais, e tais mapeamentos permanecem constantes. A NAT esttica particularmente til para servidores web ou hosts que devam ter um endereo consistente que possa ser acessado da Internet. Esses hosts internos podem ser servidores corporativos ou dispositivos de redes interconectadas. Tanto a NAT esttica como a dinmica exigem que endereos pblicos suficientes estejam disponveis para atender ao nmero total de sesses de usurio simultneas. Para observar de outra maneira como a NAT dinmica funciona, acesse http://www.cisco.com/warp/public/556/nat.swf. Exibir meio visual
Pgina 3: Sobrecarga de NAT A sobrecarga de NAT (chamada vezes de Traduo de endereo de porta ou PAT) mapeia diversos endereos IP privados para um nico endereo IP pblico ou para alguns endereos. Isso o que a maioria dos roteadores locais fazem. Seu ISP atribui um endereo a seu roteador, mas vrios membros de sua famlia podem navegar na Internet simultaneamente. Com a sobrecarga de NAT, vrios endereos podem ser mapeados para um ou alguns endereos porque cada endereo privado tambm acompanhado por um nmero de porta. Quando um cliente abrir uma sesso de TCP/IP, o roteador de NAT atribuir um nmero de porta ao seu endereo de origem. A sobrecarga de NAT garante que os clientes utilizem um nmero de porta TCP diferente para cada sesso do cliente com um servidor na Internet. Quando uma
Tema acessvel CISCO
Pgina 18 de 41
resposta voltar do servidor, o nmero de porta de origem, que se torna o nmero de porta de destino na viagem de retorno, determinar para qual cliente o roteador ir rotear os pacotes. Ele tambm validar se os pacotes de entrada foram solicitados, acrescentando um grau de segurana sesso. Clique nos controles para iniciar e pausar a animao. Essa animao ilustra o processo. A sobrecarga de NAT utiliza nmeros de porta de origem exclusivos no endereo IP global interno para fazer a distino entre as tradues. Como o NAT processa cada pacote, ele usa um nmero de porta (neste exemplo, 1331 e 1555) para identificar o cliente do qual o pacote foi originado. O endereo de origem (SA, source address) o endereo IP local interno com o nmero de porta atribudo de TCP/IP anexado. O endereo de destino (DA, destination address) o endereo IP local externo com o nmero de porta de servio anexado, neste caso a porta 80: HTTP. No roteador de gateway de borda (R2), a sobrecarga de NAT altera o SA para o endereo IP global interno do cliente, novamente com o nmero de porta anexado. O DA o mesmo endereo, mas agora est sendo chamado de endereo IP global externo. Quando o servidor web responder, o mesmo caminho ser seguido, mas ao contrrio. Os nmeros de porta so codificados em 16 bits. O nmero total de endereos internos que pode ser traduzido para um endereo externo pode ser, teoricamente, de 65.536 por cada endereo IP. Porm, na realidade, o nmero de endereos internos que pode ser atribudo a um nico endereo IP cerca de 4.000. Clique no boto Prxima porta disponvel na figura. No exemplo anterior, os nmeros de porta de cliente nos dois SAs, 1331 e 1555, no se alteram no gateway de borda. Esse cenrio no muito provvel, pois existe uma grande chance de que esses nmeros possam j ter sido anexados s outras sesses em andamento. A sobrecarga de NAT tenta preservar a porta de origem inicial. Porm, se essa porta de origem j estiver sendo usada, a sobrecarga de NAT atribuir o primeiro nmero de porta disponvel do incio do grupo de portas apropriado: 0-511, 512-1023 ou 1024-65535. Quando no houver mais nenhuma porta disponvel e houver mais de um endereo IP externo configurado, a sobrecarga de NAT ir para o prximo endereo IP para tentar alocar a porta de origem inicial novamente. Esse processo continuar at que as portas disponveis e os endereos IP externos acabem. Na figura, ambos os hosts escolheram o mesmo nmero de porta 1444. Isso aceitvel para o endereo interno, porque ambos tm endereos IP privados exclusivos. Entretanto, no gateway de borda, os nmeros de porta precisam ser alterados, caso contrrio os dois pacotes dos dois hosts deixariam o R2 com o mesmo endereo de origem. A sobrecarga de NAT deu ao segundo endereo o primeiro nmero de porta disponvel que, neste caso, o 1445. Diferenas entre a NAT e a sobrecarga de NAT Um resumo das diferenas entre a NAT e a sobrecarga de NAT facilitar sua compreenso. A NAT geralmente s traduz os endereos IP em uma correspondncia de 1:1 entre os endereos IP publicamente expostos e os endereos privativamente retidos. A sobrecarga de NAT modifica o endereo IP privado e o nmero de porta do remetente. A sobrecarga de NAT escolhe os nmeros de porta vistos pelos hosts na rede pblica. A NAT roteia os pacotes de entrada para seus destinos internos recorrendo ao endereo IP de origem de entrada dado pelo host na rede pblica. Com a sobrecarga de NAT, geralmente existe somente um ou muito poucos endereos IP publicamente expostos. Os pacotes de entrada da rede pblica so roteados aos seus destinos na rede privada por meio da consulta na tabela no dispositivo de sobrecarga de NAT que monitora os pares de portas pblicas e privadas. Isso chamado de monitoramento de conexo. Exibir meio visual
Tema acessvel CISCO
Pgina 19 de 41
7.2.3 Benefcios e desvantagens de usar a NAT Pgina 1: Benefcios e desvantagens de usar a NAT A NAT oferece muitos benefcios e vantagens. Porm, existem algumas desvantagens de us-la, inclusive a falta de suporte para alguns tipos de trfego. Os benefcios de usar a NAT incluem:
z
A NAT conserva o esquema de endereamento legalmente registrado, permitindo a privatizao das intranets. A NAT conserva os endereos atravs da multiplexao de nvel de porta de aplicativo. Com sobrecarga de NAT, os hosts internos podem compartilhar um nico endereo IP pblico para todas as comunicaes externas. Neste tipo de configurao, so necessrios muito poucos endereos externos para suportar os muitos hosts internos. A NAT aumenta a flexibilidade das conexes com a rede pblica. Diversos conjuntos, conjuntos de backup e conjuntos de balanceamento de carga podem ser implementados para assegurar conexes de redes pblicas confiveis. A NAT fornece uma consistncia para esquemas de endereamento de rede internos. Em uma rede sem endereos IP privados e NAT, a mudana de endereos IP pblicos exige a renumerao de todos os hosts na rede existente. Os custos para renumerar hosts podem ser significativos. O NAT permite que o esquema existente permanea enquanto suporta um novo esquema de endereamento pblico. Isso significa que uma organizao poderia mudar os ISPs e no precisaria mudar nenhum de seus clientes internos. O NAT oferece segurana de rede. Como as redes privadas no anunciam seus endereos ou topologia interna, elas permanecem razoavelmente seguras quando usadas juntamente com a NAT para obter o acesso externo controlado. Porm, a NAT no substitui os firewalls.
Entretanto, a NAT apresenta algumas desvantagens. Vrios problemas so criados pelo fato de os hosts na Internet parecerem comunicar-se diretamente com o dispositivo de NAT, em vez de comunicar-se com o host real dentro da rede privada. Teoricamente, um endereo IP globalmente exclusivo pode representar hosts endereados privativamente. Isso pode ser vantajoso do ponto de vista da privacidade e segurana mas, na prtica, existem desvantagens. A primeira desvantagem afeta o desempenho. A NAT aumenta os atrasos da comutao porque a traduo de cada endereo IP dentro dos cabealhos do pacote demorada. O primeiro pacote comutado por processo, o que significa que ele sempre passa pelo caminho mais lento. O roteador deve observar todos os pacotes para decidir se eles precisam de traduo. O roteador precisa alterar o cabealho de IP e, possivelmente, alterar o cabealho de TCP ou UDP. Se existir uma entrada de cache, os pacotes restantes passam atravs do caminho que foi comutado rapidamente; caso contrrio, eles tambm so atrasados. Muitos protocolos e aplicativos de Internet dependem da funcionalidade fim-a-fim, com pacotes inalterados encaminhados da origem ao destino. Com a alterao dos endereos fim-a-fim, a NAT evita alguns aplicativos que utilizam o endereamento IP. Por exemplo, alguns aplicativos de segurana, como as assinaturas digitais, falham porque o endereo IP de origem muda. Os aplicativos que usam endereos fsicos em vez de um nome de domnio qualificado no alcanam os destinos que so traduzidos atravs do roteador de NAT. s vezes, esse problema pode ser evitado implementando mapeamentos de NAT estticos. A capacidade de rastreamento IP fim-a-fim tambm perdida. Torna-se muito mais difcil rastrear pacotes que passam por muitas mudanas de endereo ao longo dos diversos saltos da NAT, dificultando a identificao e soluo de problemas. Por outro lado, os hackers que querem
Tema acessvel CISCO
Pgina 20 de 41
determinar a origem de um pacote acham difcil rastrear ou obter a origem ou o endereo de destino. O uso da NAT tambm complica os protocolos de tunelamento, como o IPsec, porque ela modifica os valores nos cabealhos que interferem nas verificaes de integridade feitas pelo IPsec e por outros protocolos de tunelamento. Os servios que exigem a iniciao de conexes de TCP da rede externa ou protocolos sem estado, como os que usam o UDP, podem ser interrompidos. A menos que o roteador de NAT se esforce especificamente para suportar esses protocolos, os pacotes de entrada no podero chegar ao seu destino. Alguns protocolos podem acomodar uma instncia de NAT entre os hosts participantes (FTP no modo passivo, por exemplo), mas falham quando ambos os sistemas so separados da Internet pela NAT. Exibir meio visual
7.2.4 Configurando a NAT esttica Pgina 1: NAT esttica Lembre-se de que a NAT esttica um mapeamento exclusivo entre um endereo interno e um endereo externo. A NAT esttica permite conexes iniciadas por dispositivos externos para dispositivos internos. Por exemplo, voc pode desejar mapear um endereo global interno para um endereo local interno especfico que est atribudo ao seu servidor web. A configurao das tradues de NAT estticas uma tarefa simples. necessrio definir os endereos a serem traduzidos e, em seguida, configurar a NAT nas interfaces apropriadas. Os pacotes que chegam em uma interface do endereo IP definido esto sujeitos traduo. Os pacotes que chegam em uma interface externa, destinados para o endereo IP identificado, esto sujeitos traduo. A figura explica os comandos para cada etapa. Voc digita as tradues estticas diretamente na configurao. Diferentemente das tradues dinmicas, essas tradues sempre esto na tabela de NAT. Clique no boto Exemplo na figura. A figura uma configurao de NAT esttica simples aplicada em ambas as interfaces. O roteador sempre traduz os pacotes do host dentro da rede com o endereo privado de 192.168.10.254 em um endereo externo de 209.165.200.254. O host na Internet direciona as solicitaes da web ao endereo IP pblico 209.165.200.254, e o roteador R2 sempre encaminha esse trfego ao servidor em 192.168.10.254. Exibir meio visual
7.2.5 Configurando a NAT dinmica Pgina 1: Configurando a NAT dinmica Enquanto a NAT esttica fornece um mapeamento permanente entre um endereo interno e um endereo pblico especfico, a NAT dinmica mapeia os endereos IP privados para endereos pblicos. Esses endereos IP pblicos vm de um conjunto de NAT. A configurao de NAT dinmica diferente da NAT esttica, mas tambm apresenta algumas semelhanas. Assim como a NAT esttica, ela exige que a configurao identifique cada interface como uma interface interna ou externa. Entretanto, em vez de criar um mapa esttico para um nico endereo IP,
Tema acessvel CISCO
Pgina 21 de 41
utiliza-se um conjunto de endereos globais internos. Clique no boto Comandos na figura para ver as etapas e configurar a NAT dinmica. Para configurar a NAT dinmica, voc precisa de uma ACL para permitir somente os endereos que devem ser traduzidos. Ao desenvolver sua ACL, lembre-se de que h um negar todos implcito no final de cada ACL. Uma ACL muito permissiva pode levar a resultados imprevisveis. A Cisco no aconselha configurar as listas de controle de acesso indicadas pelos comandos NAT com o comando permit any. O uso do comando permit any pode fazer com que a NAT consuma muitos recursos do roteador, o que pode levar a problemas de rede. Clique no boto Exemplo na figura. Essa configurao permite a traduo para todos os hosts nas redes 192.168.10.0 e 192.168.11.0 quando elas gerarem o trfego que entrar em S0/0/0 e sair de S0/1/0. Esses hosts so traduzidos para um endereo disponvel no intervalo de 209.165.200.226 - 209.165.200.240. Exibir meio visual
7.2.6 Configurando a sobrecarga de NAT Pgina 1: Configurando a sobrecarga de NAT para um nico endereo IP pblico Existem duas maneiras possveis de configurar a sobrecarga, dependendo de como o ISP aloca os endereos IP pblicos. Em primeiro lugar, o ISP aloca um endereo IP pblico para a organizao e, em seguida, aloca mais de um endereo IP pblico. A figura mostra as etapas a serem seguidas para configurar a sobrecarga de NAT com um nico endereo IP. Com somente um endereo IP pblico, a configurao da sobrecarga geralmente atribui esse endereo pblico interface externa que se conecta ao ISP. Todos os endereos internos so traduzidos para o nico endereo IP ao deixar a interface externa. Clique no boto Comandos na figura para ver as etapas para configurar a sobrecarga de NAT. A configurao semelhante NAT dinmica. A diferena que, em vez de um conjunto de endereos, a palavra-chave interface usada para identificar o endereo IP externo. Portanto, nenhum conjunto de NAT foi definido. A palavra-chave sobrecarga permite adicionar o nmero da porta traduo. Clique no boto Exemplo na figura. Este exemplo mostra como a sobrecarga de NAT configurada. No exemplo, todos os hosts da rede 192.168.0.0 /16 (correspondentes ACL 1) que enviam o trfego atravs do roteador R2 para a Internet so traduzidos para o endereo IP 209.165.200.225 (endereo IP S0/1/0 da interface). Como a palavra-chave sobrecarga foi usada, os fluxos de trfego foram identificados pelos nmeros de porta. Exibir meio visual
Pgina 2: Configurando a sobrecarga de NAT para um conjunto de endereos IP pblicos No cenrio onde o ISP fornecer mais de um endereo IP pblico, a sobrecarga de NAT ser configurada para usar um conjunto. A principal diferena entre essa configurao e a configurao para a NAT dinmica e exclusiva que ela usa a palavra-chave sobrecarga. Lembre-se de que a palavra-chave sobrecarga permite a traduo de endereo de porta.
Tema acessvel CISCO
Pgina 22 de 41
Clique no boto Comandos na figura para ver as etapas da configurao da sobrecarga de NAT usando um conjunto de endereos. Clique no boto Exemplo na figura. Neste exemplo, a configurao estabelece a traduo de sobrecarga para o conjunto de NAT, NAT-POOL2. O conjunto de NAT contm os endereos 209.165.200.226 - 209.165.200.240 e traduzido usando PAT. Os hosts na rede 192.168.0.0 /16 esto sujeitos traduo. Por fim, as interfaces interna e externa so identificadas. Exibir meio visual
7.2.7 Configurando o encaminhamento de porta Pgina 1: Encaminhamento de porta O encaminhamento de porta (s vezes chamado de tunelamento) o ato de encaminhar uma porta de rede de um n de rede para outro. Essa tcnica permite que um usurio externo alcance uma porta em um endereo IP privado (dentro de uma rede local) do endereo externo atravs de um roteador habilitado pela NAT. Geralmente, os programas e as principais operaes de compartilhamento de arquivos ponto a ponto, como o FTP de servio e de sada da web, exigem que as portas do roteador sejam encaminhadas ou abertas para permitir o funcionamento desses aplicativos. Como a NAT oculta os endereos internos, o ponto a ponto s funciona no sentido contrrio onde a NAT pode mapear as solicitaes de sada de registro em relao s respostas de entrada. O problema que a NAT no permite que as solicitaes sejam iniciadas do exterior. Essa situao pode ser resolvida com uma interveno manual. O encaminhamento de porta permite identificar as portas especficas que podem ser encaminhadas para os hosts internos. Lembre-se de que os aplicativos de software da Internet interagem com portas de usurio que precisam estar abertas ou disponveis para esses aplicativos. Diferentes aplicativos usam diferentes portas. Por exemplo, a Telnet usa a porta 23, o FTP usa as portas 20 e 21, o HTTP usa a porta 80 e o SMTP usa a porta 25. Isso torna previsvel a identificao dos servios de rede pelos aplicativos e roteadores. Por exemplo, o HTTP opera pela porta 80, que conhecida. Quando voc digita o endereo http://cisco.com, o navegador exibe o site da Cisco Systems, Inc. Observe que ns no precisamos especificar o nmero de porta HTTP para as solicitaes de pgina porque o aplicativo supe a porta 80. Configurando o encaminhamento de porta O encaminhamento de porta permite que os usurios na Internet acessem os servidores internos usando o endereo de porta de WAN e o nmero de porta externo correspondente. Quando os usurios enviam esses tipos de solicitaes para seu endereo IP de porta de WAN pela Internet, o roteador encaminha essas solicitaes aos servidores apropriados em sua rede local. Por questes de segurana, os roteadores de banda larga no permitem, por padro, que seja encaminhada nenhuma solicitao de rede externa para um host interno. Por exemplo, a figura est exibindo a janela Encaminhamento de porta simples de um roteador de SOHO de classe de negcios, Linksys WRVS4400N. Atualmente, o encaminhamento de porta no est configurado. Clique no boto Exemplo de encaminhamento de porta na figura. Voc pode habilitar o encaminhamento de porta para os aplicativos e especificar o endereo local
Tema acessvel CISCO
Pgina 23 de 41
interno para o qual encaminhar as solicitaes. Por exemplo, na figura, as solicitaes de servio do HTTP que chegam ao Linksys so encaminhadas, neste momento, para o servidor web com o endereo local interno de 192.168.1.254. Se o endereo IP WAN externo do roteador de SOHO for 209.165.200.158, o usurio externo poder digitar http://209.165.200.158 e o roteador de Linksys redirecionar a solicitao de HTTP para o servidor web interno no endereo IP 192.168.1.254, usando o nmero de porta 80 padro. Ns podemos especificar uma porta diferente da porta padro 80. Entretanto, o usurio externo teria que saber o nmero de porta especfico a ser usado. A abordagem que voc adota para configurar o encaminhamento de porta depende da marca e modelo do roteador de banda larga na rede. Porm, existem algumas etapas genricas a serem seguidas. Se as instrues fornecidas pelo seu ISP ou que vieram com o roteador no fornecerem uma orientao adequada, o site www.portforward.com oferece guias para diversos roteadores de banda larga. Voc pode seguir as instrues para adicionar ou excluir portas conforme o necessrio para que as necessidades de qualquer aplicativo que voc deseja aceitar ou rejeitar sejam atendidas. Exibir meio visual
7.2.8 Verificando, identificando e solucionando problemas das configuraes de NAT Pgina 1: Verificando a NAT e a sobrecarga de NAT importante verificar a operao de NAT. Existem vrios comandos de roteador teis para exibir e apagar as tradues de NAT. Este tpico explica como verificar a operao de NAT usando as ferramentas disponveis nos roteadores Cisco. Um dos comandos mais teis ao verificar a operao de NAT o comando show ip nat translations. Antes de usar os comandos show para verificar a NAT, voc deve apagar as entradas de traduo dinmica que ainda estejam presentes porque, por padro, as tradues dinmicas de endereo expiram da tabela de traduo NAT aps um perodo de falta de uso. Na figura, o roteador R2 foi configurado para fornecer a sobrecarga de NAT aos clientes de 192.168.0.0 /16. Quando os hosts internos saem do roteador R2 para a Internet, eles so traduzidos para o endereo IP da interface serial com um nmero de porta de origem exclusivo. Suponha que os dois hosts na rede interna acessaram os servios da web pela Internet. Clique no boto Tradues de NAT na figura. Observe que a sada do comando show ip nat translations exibe os detalhes das duas atribuies de NAT. Adicionar verbose ao comando exibir as informaes adicionais sobre cada traduo, inclusive h quanto tempo a entrada foi criada e usada. O comando exibe todas as tradues estticas que foram configuradas, alm das tradues dinmicas que foram criadas pelo trfego. Cada traduo identificada atravs do protocolo e atravs dos endereos locais e globais, internos e externos. Clique no boto Estatsticas de NAT na figura. O comando show ip nat statistics exibe informaes sobre o nmero total de tradues ativas, os parmetros de configurao de NAT, quantos endereos esto no conjunto e quantos foram alocados. Na figura, os hosts iniciaram o trfego da web, alm do trfego ICMP.
Tema acessvel CISCO
Pgina 24 de 41
Como alternativa, use o comando show run e procure a NAT, a lista de comandos de acesso, a interface ou comandos de conjunto com os valores exigidos. Examine-os cuidadosamente e corrija os erros que encontrar. Por padro, a traduo expira depois de 24 horas, a menos que os temporizadores sejam reconfigurados com o comando ip nat translation timeouttimeout_ seconds no modo de configurao global. Clique no boto NAT apagado na figura. s vezes til apagar as entradas dinmicas antes do tempo padro. Isso especialmente verdadeiro ao testar a configurao de NAT. Para apagar as entradas dinmicas antes de o tempo limite expirar, use comando global clear ip nat translation. A tabela na figura est exibindo os vrios modos de apagar as tradues de NAT. Voc pode especificar qual traduo apagar ou pode apagar todas as tradues da tabela usando o comando global clear ip nat translation *, como mostrado no exemplo. Somente as tradues dinmicas so apagadas da tabela. As tradues estticas no podem ser apagadas da tabela de traduo. Exibir meio visual
Pgina 2: Identificao e soluo de problemas de configurao da NAT e da sobrecarga de NAT Quando voc tiver problemas de conectividade IP em um ambiente de NAT, geralmente difcil determinar suas causas. A primeira etapa da resoluo do problema excluir a NAT como a causa. Siga estas etapas para verificar se a NAT est funcionando como esperado: Etapa 1. Com base na configurao, defina claramente o que a NAT deve alcanar. Isso pode revelar um problema com a configurao. Etapa 2. Verifique se as tradues corretas se encontram na tabela usando o comando show ip nat translations. Etapa 3. Use os comandos clear e debug para verificar se a NAT est funcionando conforme o esperado. Verifique se as entradas dinmicas so recriadas depois de serem apagadas. Etapa 4. Observe detalhadamente o que acontece com o pacote e verifique se os roteadores possuem as informaes de roteamento corretas para mover o pacote. Use o comando debug ip nat para verificar a operao do recurso de NAT exibindo as informaes sobre os pacotes que so traduzidos pelo roteador. O comando debug ip nat detailed gera uma descrio de cada pacote considerado para traduo. Esse comando tambm exibe informaes sobre certos erros ou condies de exceo, como a falha para alocar um endereo global. A figura apresenta uma amostra da sada do comando debug ip nat. Na sada do comando, possvel observar que o host interno 192.168.10.10 iniciou o trfego para o host externo 209.165.200.254 e foi traduzido para o endereo 209.165.200.225. Ao decodificar a sada do comando da depurao, observe o que os smbolos e valores seguintes indicam:
z
* - O asterisco prximo NAT indica que a traduo est ocorrendo no caminho de comutao rpida. O primeiro pacote em uma conversao sempre comutado por processo, o que mais lento. Se existir uma entrada de cache, os pacotes restantes
Tema acessvel CISCO
Pgina 25 de 41
z z z z
passam atravs do caminho que foi comutado rapidamente. s= - Refere-se ao endereo IP de origem. a.b.c.d---> w.x.y.z - Indica que o endereo de origem a.b.c.d traduzido para w.x.y.z. d= - Refere-se ao endereo IP de destino. [xxxx] - O valor em colchetes o nmero de identificao IP. Essas informaes podem ser teis para a depurao porque elas habilitam a correlao com outros rastros de pacote de analisadores de protocolo.
Voc pode ver as seguintes demonstraes sobre como verificar, identificar e solucionar problemas da NAT nestes locais: Flash Animation Case Study: Can Ping Host, but Cannot Telnet: Animao em flash com durao de sete minutos sobre por que um dispositivo pode executar ping no host, mas no pode usar a telnet: http://www.cisco.com/warp/public/556/index.swf. Flash Animation Case Study: Cannot Ping Beyond NAT: Animao em flash com durao de dez minutos sobre como um dispositivo no pode executar ping alm da NAT: http://www.cisco.com/warp/public/556/TS_NATcase2/index.swf. Exibir meio visual
Pgina 3: A NAT traduz endereos privados, no roteveis e internos em endereos pblicos, roteveis. A NAT tem um benefcio adicional de proporcionar um nvel de privacidade e segurana para uma rede porque ela oculta endereos IP internos de redes externas. Nesta atividade, voc configurar a NAT dinmica e esttica. So fornecidas instrues detalhadas na atividade, bem como no link do arquivo PDF abaixo. Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual
7.3 IPv6
7.3.1 Motivos para usar o IPv6 Pgina 1: Por que precisamos de mais espao de endereo Para compreender os problemas de endereamento IP que atingem os administradores de rede, considere que o espao de endereo do IPv4 fornece, aproximadamente, 4.294.967.296 endereos exclusivos. Desses, apenas 3,7 bilhes de endereos podem ser atribudos porque o sistema de endereamento do IPv4 separa os endereos em classes e reserva os endereos para multicast, teste e outros usos especficos. Com base nos nmeros de janeiro de 2007, aproximadamente 2,4 bilhes dos endereos de IPv4 disponveis j foram atribudos a usurios finais ou ISPs. Isso deixa aproximadamente 1,3 bilho de endereos ainda disponveis do espao de endereos do IPv4. Apesar desse nmero aparentemente grande, o espao de endereos do IPv4 est acabando. Clique no boto Reproduzir na figura para ver a rapidez desses acontecimentos durante os ltimos 14 anos. Na ltima dcada, a comunidade da Internet analisou o esgotamento dos endereo do IPv4 e
Tema acessvel CISCO
Pgina 26 de 41
publicou pilhas de relatrios. Alguns relatrios preveem o esgotamento dos endereos de IPv4 por volta de 2010 e outros dizem que isso no acontecer at 2013. Clique no boto Reduo na figura para ver como o espao de endereos disponveis est sendo reduzido. O crescimento da Internet, aliado ao aumento do poder da computao, aumentou o alcance dos aplicativos baseados em IP. Clique no boto Por que o IPv6 na figura e pense sobre o que est levando a uma mudana para o IPv6. O conjunto de nmeros est sendo reduzido pelos seguintes motivos:
z
Crescimento da populao - A populao da Internet est crescendo. Em novembro de 2005, a Cisco estimou que havia 973 milhes de usurios aproximadamente. Esse nmero dobrou desde ento. Alm disso, os usurios ficam online por mais tempo, reservando os endereos IP por perodos mais longos e entrando em contato com cada vez mais pontos diariamente. Usurios mveis - A indstria produziu mais de um bilho de telefones celulares. Foram produzidos mais de 20 milhes de dispositivos mveis habilitados para IP, inclusive assistentes digitais pessoais (PDAs, personal digital assistants), canetas digitais, blocos de notas e leitores de cdigos de barra. Cada vez mais dispositivos mveis habilitados para IP ficam online todos os dias. Os telefones celulares antigos no precisavam de endereos IP, mas os novos precisam. Transporte - Haver mais de um bilho de automveis por volta de 2008. Os modelos mais novos so habilitados para IP para permitir que a monitorao remota fornea uma manuteno e suporte em tempo hbil. A Lufthansa j fornece a conectividade da Internet em seus voos. Mais operadoras, incluindo os navios, fornecero servios semelhantes. Equipamentos eletrnicos - Os dispositivos mais novos permitem a monitorao remota usando a tecnologia IP. So exemplos os gravadores de vdeo digital (DVRs, Digital Video Recorder), que fazem o download de guias de programas e os atualizam pela Internet. As redes locais podem conectar esses dispositivos.
Exibir meio visual
Pgina 2: Motivos para usar o IPv6 O movimento para mudar do IPv4 para o IPv6 j comeou, especialmente na Europa, Japo e na regio da sia-Pacfico. Essas reas esto esgotando seus endereos IPv4 distribudos, o que torna o IPv6 ainda mais atraente e necessrio. O movimento foi oficialmente iniciado no Japo no ano 2000, quando o governo japons determinou a incorporao do IPv6 e definiu o prazo final para 2005 para que se atualizassem os sistemas existentes em todos os negcios e no setor pblico. A Coreia, China e Malsia tiveram iniciativas semelhantes. Em 2002, a IPv6 Task Force da Comunidade Europeia formou uma aliana estratgica para encorajar a adoo do IPv6 em todo o mundo. A IPv6 Task Force norte-americana comeou a exigir que os mercados norte-americanos adotassem o IPv6. Os primeiros avanos significativos nos Estados Unidos so provenientes do Departamento de Defesa Norte-Americano (DoD, U.S Department of Defense). Prevendo o futuro e conhecendo as vantagens de dispositivos habilitados para IP, o DoD designou, j em 2003, que todos os novos equipamentos comprados, alm de serem habilitados para IP, fossem habilitados tambm para o IPv6. Na realidade, todos os rgos pblicos norte-americanos devem comear a usar o IPv6 em suas redes principais por volta de 2008, e eles esto trabalhando para cumprir com esse prazo. A capacidade de dimensionar as redes para as demandas futuras requer um fornecimento
Tema acessvel CISCO
Pgina 27 de 41
ilimitado de endereos IP e uma mobilidade aprimorada que o DHCP e a NAT sozinhos no c onseguem atingir. O IPv6 satisfaz os requisitos c ada vez mais c omplexos do endereamento hierrquic que o IPv4 no fornec o e. Devido enorme base instalada do IPv4 no mundo, no difc avaliar que a transio das il implantaes do IPv4 para o IPv6 seja um desafio. Entretanto existe uma variedade de tc as, nic inc lusive uma opo de c onfigurao automtic para fazer a transio de modo mais fc O a, il. mec anismo de transio usado por voc depender das nec essidades de sua rede. A figura c ompara as representaes binrias e alfanumric dos endereos do IPv4 e do IPv6. as Um endereo IPv6 um valor binrio de 128 bits que pode ser exibido c omo 32 dgitos hexadec imais. O IPv6 deve fornec endereos sufic er ientes para as nec essidades do c resc imento futuro da Internet por muitos anos. Existem endereos IPv6 sufic ientes para aloc mais do que o ar espao de endereos de Internet do IPv4 inteiro a todas as pessoas do mundo. Clique no boto Perspectiva na figura. Ento, o que ac ontec c o IPv5? O IPv5 foi usado para definir um protoc experimental de eu om olo streaming em tempo real. Para evitar qualquer c onfuso, foi dec idido no usar o IPv5 e nomear o novo protoc IP c olo omo IPv6. Exibir meio visual
Pgina 3: O IPv6 no existiria no fosse o esgotamento rec onhec de endereos IPv4 disponveis. ido Porm, alm do maior espao de endereos IP, o desenvolvimento do IPv6 apresentou oportunidades para aplic as lies aprendidas a partir das limitaes do IPv4 para c um ar riar protoc c rec olo om ursos novos e aprimorados. Uma arquitetura de c abealho e uma operao de protoc simplific olo ados se traduzem em gastos operac ionais reduzidos. Os rec ursos de segurana integrados signific prtic de segurana am as mais fc eis, extremamente ausentes em muitas redes atuais. Entretanto, talvez a melhoria mais signific ativa oferec pelo IPv6 sejam os rec ida ursos de autoc onfigurao que ele possui. A Internet est evoluindo rapidamente de uma c oleo de dispositivos fixos para uma rede fluida de dispositivos mveis. O IPv6 permite que os dispositivos mveis adquiram e faam a transio rapidamente entre endereos c onforme eles se movem entre redes externas, sem que haja nec essidade de um agente externo. (Um agente externo um roteador que pode func ionar c omo o ponto de anexo para um dispositivo mvel quando for de sua rede loc para uma rede al externa.) A autoc onfigurao de endereo tambm signific uma c a onec tividade de rede plug and play mais slida. A autoc onfigurao suporta c lientes que tenham qualquer c ombinao de c omputadores, impressoras, c meras digitais, rdios digitais, telefones IP, dispositivos domstic habilitados os para a Internet e brinquedos eletrnic c os onec tados s suas redes loc ais. Muitos fabric antes j integram o IPv6 em seus produtos. Muitos dos aprimoramentos oferec idos pelo IPv6 so explic ados nesta seo, inc luindo:
z z z z
Endereamento IP aprimorado Cabealho simplific ado Mobilidade e segurana Riqueza de transio
Endereamento IP aprimorado Um espao maior de endereo oferec vrios aprimoramentos, inc e luindo:
Tema acessvel CISCO
Pgina 28 de 41
z z z
z z z z
Melhor ac essibilidade e flexibilidade globais. Melhor agregao de prefixos de IP anunc iados nas tabelas de roteamento. Hosts multihome. Multihoming uma tc a para aumentar a c nic onfiabilidade da c onexo da Internet de uma rede IP. Com o IPv6, um host pode ter vrios endereos IP sobre um link upstream fsic Por exemplo, um host pode c o. onec tar-se a vrios ISPs. A autoc onfigurao, que pode inc endereos de c luir amada de enlac de dados no espao e de endereo. Mais opes de plug and play para mais dispositivos. Reendereamento pblic o-para-privado e fim-a-fim sem traduo de endereos. Ele torna a rede ponto a ponto (P2P) mais func ional e mais fc de ser implantada. il Mec anismos simplific ados para renumerao e modific ao do endereo.
Clique no boto Cabealho simples na figura. A figura c ompara a estrutura de c abealho de IPv6 simplific ada ao c abealho de IPv4. O c abealho de IPv4 possui 20 oc tetos e 12 c ampos de c abealho bsic seguidos por um c os, ampo de opes e uma poro de dados (normalmente o segmento de Camada de transporte). O c abealho de IPv6 possui 40 oc tetos, trs c ampos de c abealho bsic de IPv4 e c o c os inc ampos de c abealho adic ionais. Oc abealho simplific ado de IPv6 oferec vrias vantagens c relao ao IPv4: e om
z z z z z
Melhor efic inc de roteamento para desempenho e esc ia alabilidade de taxa de enc aminhamento Ausnc de broadc ia asts e, desse modo, ausnc de ameaas de broadc storms ia ast Sem nec essidade de proc essar c ksums hec Mec anismos de c abealho de extenso simplific ados e mais efic ientes Rtulos de fluxo para proc essamento por fluxo sem a nec essidade de abrir o pac ote interno de transporte para identific os diversos fluxos de trfego ar
Mobilidade e segurana aprimoradas A mobilidade e a segurana ajudam a garantir a c onformidade c a func om ionalidade dos padres de IP mveis e Segurana IP (IPsec A mobilidade permite que as pessoas c dispositivos de ). om rede mveis, muitas c c om onec tividade sem fio, movam-se entre as redes.
z
O padro de IP mvel da IETF est disponvel para o IPv4 e o IPv6. Ele permite que os dispositivos mveis se movam em c onexes de rede estabelec idas sem interrupes. O dispositivos mveis usam um endereo sec undrio para obter essa mobilidade. Com o IPv4, esses endereos so c onfigurados manualmente. Com o IPv6, as c onfiguraes so dinmic dando uma mobilidade integrada aos dispositivos habilitados para Ipv6. as, O IPsec est disponvel para IPv4 e IPv6. Embora as func ionalidades sejam essenc ialmente idntic em ambos os ambientes, o IPsec obrigatrio no IPv6, tornando as a Internet do IPv6 mais segura.
Riqueza de transio O IPv4 no desaparec do dia para a noite. Ao c er ontrrio, ele c oexistir c o IPv6 e ser om gradualmente substitudo por ele. Por essa razo, o IPv6 foi c riado c tc as de migrao om nic para abranger todos os c asos c ebveis de atualizao do IPv4. Porm, no final das c onc ontas, muitas foram rejeitadas pela c omunidade tec nolgic a. Existem atualmente trs abordagens princ ipais.
Tema acessvel CISCO
Pgina 29 de 41
z z z
Pilha dupla Tunelamento 6to4 NAT-PT, tunelamento ISATAP e tunelamento Teredo (mtodos de ltimo caso)
Algumas dessas abordagens sero discutidas com mais detalhes posteriormente nesse captulo. O conselho atual para fazer a transio para o IPv6 "Pilha dupla onde puder, tnel onde precisar!" Exibir meio visual
7.3.2 Endereamento IPv6 Pgina 1: Representao de endereo IPv6 Voc conhece o endereo IPv4 de 32 bits como uma srie de quatro campos de 8 bits, separada por pontos. Porm, endereos IPv6 maiores, de 128 bits, precisam de uma representao diferente por causa de seu tamanho. Os endereos IPv6 usam dois-pontos para separar as entradas em uma srie de hexadecimal de 16 bits. Clique no boto Representao na figura. A figura mostra o endereo 2031:0000:130F:0000:0000:09C0:876A:130B. O IPv6 no requer uma notao de cadeia de endereos explcita. A figura mostra como encurtar o endereo aplicando as seguintes diretrizes:
z
Os zeros esquerda em um campo so opcionais. Por exemplo, o campo 09C0 igual ao 9C0 e o campo 0000 igual a 0. Assim 2031:0000: 130F:0000:0000:09C0:876A:130B podem ser escritos como 2031:0: 130F:0000:0000:9C0: 876A:130B. Os campos sucessivos de zeros podem ser representados como dois sinais de dois-pontos "::. Entretanto, este mtodo de taquigrafia s pode ser usado uma vez em cada endereo. Por exemplo, 2031:0:130F:0000:0000:9C0:876A:130B pode ser escrito como 2031:0:130F::9C0:876A:130B. Um endereo especificado escrito como "::" porque contm somente zeros.
Usando o "::", a notao reduz bastante o tamanho da maioria dos endereos, como mostrado. Um analista de endereos identifica o nmero de zeros faltantes separando duas partes quaisquer de um endereo e digitando 0s at que os 128 bits estejam completos. Clique no boto Exemplos na figura para obter alguns exemplos adicionais. Exibir meio visual
Pgina 2: Endereo de unicast global do IPv6 O IPv6 possui um formato de endereo que permite eventualmente uma maior agregao para o ISP. Endereos de unicast globais consistem geralmente de um prefixo de roteamento global de 48 bits e uma ID de sub-rede de 16 bits. As organizaes individuais podem usar um campo de sub-rede de 16 bits para criar sua prpria hierarquia de endereamento local. Esse campo permite que uma organizao use at 65.535 sub-redes individuais. Na parte superior da figura, podemos ver como a hierarquia adicional acrescentada ao prefixo de roteamento global de 48 bits com o prefixo de registro, prefixo de ISP e prefixo do site.
Tema acessvel CISCO
Pgina 30 de 41
O endereo de unicast global atual que atribudo pelo IANA usa o intervalo de endereos iniciado com o valor binrio 001 (2000::/3), que 1/8 do espao total do endereo IPv6 e que o maior bloco de endereos atribudos. O IANA est alocando o espao de endereos IPv6 nos intervalos de 2001::/16 para os cinco registros RIR (ARIN, RIPE NCC, APNIC, LACNIC e AfriNIC). Para obter mais informaes, consulte a RFC 3587, Formato de endereos de unicast de IPv6, que substitui a RFC 2374. Endereos reservados O IETF reserva uma poro do espao de endereos IPv6 para vrios usos, presentes e futuros. Os endereos reservados representam 1/256 do espao de endereo IPv6 total. Alguns dos outros tipos de endereos IPv6 so originados deste bloco. Endereos privados Um bloco de endereos IPv6 reservado para endereos privados, assim como feito no IPv4. Esses endereos privados so locais somente para um link ou local especfico e, portanto, nunca so roteados para fora de uma rede corporativa especfica. Os endereos privados possuem um valor de primeiro octeto de "FE" em notao hexadecimal, com o prximo dgito hexadecimal sendo um valor de 8 para F. Esses endereos so divididos ainda em dois tipos, com base no escopo.
z
Endereos locais de site so endereos semelhantes Alocao de endereos para internet privada no IPv4 da RFC 1918 de hoje. O escopo desses endereos um site ou organizao inteiros. Entretanto, o uso dos endereos locais problemtico e est sendo substitudo desde 2003 pela RFC 3879. Em hexadecimais, os endereos locais comeam com "FE" e ento de "C" at "F" para o terceiro dgito hexadecimal. Endereos de enlace locais so novos para o conceito de endereamento com IP na Camada de rede. Esses endereos tm um escopo menor do que os endereos locais de site. Eles se referem somente a um link fsico especfico (rede fsica). Os roteadores no encaminham datagramas utilizando endereos de enlace locais, nem mesmo dentro da organizao. Eles servem somente para comunicao local em um segmento de rede fsico especfico. Eles so usados para comunicaes de link como a configurao de endereo automtica, deteco de vizinho e deteco de roteador. Muitos protocolos de roteamento do IPv6 tambm usam endereos de enlace locais. Os endereos de enlace locais comeam com "FE" e, assim, possuem um valor de "8" para "B" para o terceiro dgito hexadecimal.
Endereo de loopback Assim como ocorre no IPv4, foi fornecido um endereo IPv6 de loopback especial para testes. Os datagramas enviados para esse endereo retornam para o dispositivo de origem. Entretanto, existe apenas um endereo no IPv6 para essa funo, e no um bloco inteiro. O endereo de loopback 0:0:0:0:0:0:0:1, normalmente expresso com o uso da compresso do zero com o ":: 1." Endereo no especificado No IPv4, um endereo IP somente com zeros tem um significado especial. Ele se refere ao prprio host e usado quando um dispositivo no souber seu prprio endereo. No IPv6, esse conceito foi formalizado, e o endereo somente com zeros (0:0:0:0:0:0:0:0) recebe o nome de endereo "no especificado." Ele usado normalmente no campo de origem de um datagrama, o qual enviado por um dispositivo que busca ter seu endereo IP configurado. possvel aplicar a compresso de endereos a esse endereo. Como somente contm zeros, ele se tornar
Tema acessvel CISCO
Pgina 31 de 41
simplesmente "::". Exibir meio visual
Pgina 3: Gerenciamento de endereos IPv6 Os endereos do IPv6 usam identificadores de interface para identificar as interfaces em um link. Considere-os como a "poro de host" de um endereo IPv6. Os identificadores de interface devem ser exclusivos em um link especfico. Os identificadores de interface so sempre de 64 bits e so derivados dinamicamente de um endereo de Camada 2 (endereo MAC). Voc pode atribuir uma ID de endereo IPv6 esttica ou dinamicamente:
z z z z
Atribuio esttica usando uma ID de interface manual Atribuio esttica usando uma ID de interface EUI-64 Configurao automtica sem estado DHCP para IPv6 (DHCPv6)
Atribuio de ID de interface manual Uma maneira de atribuir um endereo IPv6 estaticamente a um dispositivo atribuir o prefixo (rede) e a poro da ID de interface (host) do endereo IPv6. Para configurar um endereo IPv6 em uma interface do roteador Cisco, use o comando ipv6 address ipv6-address/prefix-length no modo de configurao de interface. O exemplo seguinte mostra a atribuio de um endereo IPv6 interface de um roteador Cisco: RouterX(config-if)#ipv6 address 2001:DB8:2222:7272::72/64 Atribuio de ID de interface EUI-64 Outra maneira de atribuir um endereo IPv6 configurar a poro do prefixo (rede) do endereo IPv6 e derivar a poro da ID de interface (host) do endereo MAC de camada 2 do dispositivo, conhecido como a ID de interface EUI-64. Clique no boto EUI-64 na figura. O padro EUI-64 explica como expandir os endereos MAC do IEEE 802 de 48 para 64 bits inserindo o 0xFFFE de 16 bits no meio do 24 bit do endereo MAC, a fim de criar um identificador de interface de 64 bits exclusivo. Para configurar um endereo IPv6 em uma interface do roteador Cisco e habilitar o processamento de IPv6 usando o EUI-64 nessa interface, use o comando ipv6 address ipv6prefix/prefix-length eui-64 no modo de configurao de interface. O exemplo seguinte mostra a atribuio de um endereo EUI-64 interface de um roteador Cisco: RouterX(config-if)#ipv6 address 2001:DB8:2222:7272::/64 eui-64 Configurao automtica sem estado A configurao automtica configura automaticamente o endereo IPv6. No IPv6, presume-se que os dispositivos que no sejam do PC, bem como os terminais de computador, sero conectados rede. O mecanismo de configurao automtica foi introduzido para permitir que a rede plug-and-play desses dispositivos ajudem a reduzir a sobrecarga de administrao. DHCPv6 (sem estado)
Tema acessvel CISCO
Pgina 32 de 41
O DHCPv6 permite que os servidores DHCP transmitam os parmetros de configurao, como os endereos de rede IPv6, para os ns do IPv6. Ele oferece o recurso de alocao automtica de endereos de rede reutilizveis e uma flexibilidade de configurao adicional. Esse protocolo um correspondente sem estado da configurao automtica de endereos sem estado do IPv6 (RFC 2462) e pode ser usado separado da configurao automtica de endereos sem estado do IPv6, ou simultaneamente a ela, para obter os parmetros de configurao. Para obter mais informaes sobre a atribuio de endereos IPv6, acesse o site: http://www.netbsd.org/docs/network/ipv6/. Exibir meio visual
7.3.3 Estratgias de transio do IPv6 Pgina 1: Estratgias de transio do IPv6 A transio do IPv4 no exige melhorias concomitantes em todos os ns. Muitos mecanismos de transio permitem uma integrao tranquila do IPv4 e IPv6. Outros mecanismos que permitem que os ns de IPv4 se comuniquem com os ns de IPv6 esto disponveis. Situaes diferentes exigem estratgias diferentes. A figura ilustra a riqueza de estratgias de transio disponveis. Lembre-se do conselho: "Pilha dupla onde puder, tnel onde precisar." Esses dois mtodos so as tcnicas mais comuns para fazer a transio de IPv4 para IPv6. Empilhamento duplo O empilhamento duplo um mtodo de integrao no qual um n possui implementao e conectividade a uma rede IPv4 e a uma rede IPv6. Essa a opo recomendada e envolve a execuo de IPv4 e IPv6 ao mesmo tempo. Os roteadores e os switches so configurados para suportar ambos os protocolos, sendo que o IPv6 o protocolo preferido. Tunelamento A segunda tcnica de transio mais importante o tunelamento. Existem vrias tcnicas de tunelamento disponveis, incluindo:
z z
Tunelamento manual de IPv6 sobre IPv4 - Um pacote de IPv6 encapsulado dentro do protocolo IPv4. Esse mtodo exige roteadores de pilha dupla. Tunelamento dinmico 6to4 Estabelece a conexo das ilhas de IPv6 automaticamente atravs de uma rede IPv4, normalmente a Internet. Ele aplica automaticamente um prefixo de IPv6 vlido e exclusivo a cada ilha de IPv6, permitindo a rpida implantao do IPv6 em uma rede corporativa sem que ocorra a recuperao de endereo dos ISPs ou dos registros.
Outras tcnicas de tunelamento menos populares, que esto alm do escopo deste curso, incluem:
z
Protocolo de endereamento automtico de tnel intra-site (ISATAP, Intra-Site Automatic Tunnel Addressing Protocol) Mecanismo de tunelamento de sobreposio automtica que usa a rede de IPv4 subjacente como uma camada de enlace para o IPv6. Os tneis do ISATAP permitem que os hosts de pilha dupla individuais de IPv4 ou IPv6 dentro de um local se comuniquem com outros hosts em um link virtual, criando uma rede de IPv6 que utiliza a infraestrutura de IPv4. Tunelamento Teredo - Uma tecnologia de transio de IPv6 que fornece o tunelamento automtico de host para host em vez de um tunelamento de gateway. Essa abordagem transmite o trfego unicast de IPv6 quando os hosts de pilha dupla (hosts que executam
Tema acessvel CISCO
Pgina 33 de 41
tanto o IPv6 quanto o IPv4) esto localizados atrs de um ou de vrios NATs de IPv4.
Traduo do protocolo NAT (NAT-PT) O software IOS Cisco Release 12.3(2)T e mais recente (com o conjunto de recursos apropriado) tambm inclui o NAT-PT entre IPv6 e IPv4. Essa traduo permite a comunicao direta entre hosts que usam verses diferentes do protocolo IP. Essas tradues so mais complexas do que a NAT de IPv4. Neste momento, essa tcnica de traduo a opo menos favorvel e deve ser usada como o ltimo recurso. Exibir meio visual
7.3.4 Pilha dupla do IOS Cisco Pgina 1: Pilha dupla do IOS Cisco O empilhamento duplo um mtodo de integrao que permite que um n tenha conectividade a uma rede IPv4 e a uma rede IPv6 simultaneamente. Cada n possui duas pilhas de protocolo com a configurao na mesma interface ou em vrias interfaces. A abordagem da pilha dupla para a integrao de IPv6, na qual os ns possuem tanto as pilhas de IPv4 quanto as de IPv6, ser um dos mtodos de integrao mais comumente usados. Um n de pilha dupla escolhe qual pilha usar com base no endereo de destino do pacote. Um n de pilha dupla deve preferir o IPv6 quando ele estiver disponvel. Os aplicativos antigos exclusivos de IPv4 continuam funcionando como antes. Os aplicativos novos e modificados tiram proveito de ambas as camadas de IP. Uma nova interface de programao de aplicativos (API, Application Programming Interface) foi definida para suportar os endereos de IPv4 e de IPv6 e solicitaes de DNS. Uma API facilita a troca de mensagens ou de dados entre dois ou mais aplicativos de software diferentes. Um exemplo de uma API a interface virtual entre duas funes de software, como um processador de textos e uma planilha. A API integrada aos aplicativos de software para traduzir o IPv4 em IPv6 e vice-versa, usando o mecanismo de converso de IP. Os novos aplicativos podem usar o IPv4 e o IPv6. A experincia de portar os aplicativos de IPv4 para IPv6 sugere que, para a maioria dos aplicativos, h uma alterao mnima em alguns pontos localizados dentro do cdigo-fonte. Essa tcnica bastante conhecida e tem sido aplicada nas ltimas outras transies de protocolo. Ela permite melhorias de aplicativos graduais, uma por uma, para o IPv6. Clique no boto Configurando a interface de IPv6 na figura. O software IOS Cisco Release 12.2(2)T e mais recente (com o conjunto de recursos apropriado) so habilitados para o IPv6. Logo aps a configurao do IPv4 e IPv6 bsicos na interface, a interface sofre o empilhamento duplo e encaminha o trfego de IPv4 e de IPv6 naquela interface. Observe que um endereo de IPv4 e um endereo de IPv6 foram configurados. O uso do IPv6 em um roteador do IOS Cisco exige que voc use o comando de configurao global ipv6 unicast-routing. Esse comando habilita o encaminhamento de datagramas de IPv6. Voc deve configurar todas as interfaces que encaminham o trfego de IPv6 com um endereo de IPv6 usando o comando de interface ipv6 addressIPv6-address [/prefix length]. Exibir meio visual
Tema acessvel CISCO
Pgina 34 de 41
7.3.5 Tunelamento de IPv6 Pgina 1: Tunelamento de IPv6 O tunelamento um mtodo de integrao onde um pacote de IPv6 encapsulado dentro de outro protocolo, como o IPv4. Esse mtodo permite a conexo das ilhas de IPv6 sem que haja a necessidade de converter as redes intermedirias para o IPv6. Quando o IPv4 for usado para encapsular o pacote de IPv6, um tipo de protocolo de 41 ser especificado no cabealho de IPv4, e o pacote incluir um cabealho de IPv4 de 20 bytes sem opes, um cabealho de IPv6 e a payload. Ele tambm exige roteadores de pilha dupla. O tunelamento apresenta estes dois problemas. A unidade mxima de transmisso (MTU, Maximum Transmission Unit) ser diminuda efetivamente em 20 octetos se o cabealho de IPv4 no contiver nenhum campo opcional. Alm disso, geralmente difcil identificar e solucionar problemas de uma rede tunelada. O tunelamento uma tcnica de integrao e transio intermediria e no deve ser considerada como uma soluo final. Uma arquitetura de IPv6 nativa ser o objetivo final. Exibir meio visual
Pgina 2: Tnel IPv6 manualmente configurado Um tnel manualmente configurado equivale a um link permanente entre dois domnios de IPv6 sobre um backbone de IPv4. A utilizao principal para conexes estveis que exigem uma comunicao regular segura entre dois roteadores de extremidade ou entre um sistema final e um roteador de extremidade, ou para a conexo com redes IPv6 remotas. Os roteadores finais devem ter passado por empilhamento duplo, e a configurao no pode mudar dinamicamente conforme as necessidades da rede e do roteamento precisem de mudanas. Os administradores configuram um endereo IPv6 esttico manualmente em uma interface de tnel e atribuem endereos IPv4 estticos configurados manualmente origem do tnel e ao destino do tnel. O host ou roteador em cada extremidade de um tnel configurado deve suportar as pilhas do protocolo IPv4 e IPv6. Os tneis manualmente configurados podem ser configurados entre roteadores de borda ou entre um roteador de borda e um host. Exibir meio visual
7.3.6 Consideraes de roteamento com o IPv6 Pgina 1: Configuraes de roteamento com o IPv6 Assim como o roteamento entre domnios com endereos classless (CIDR, Classless Interdomain Routing) do IPv4, o IPv6 usa o roteamento de correspondncia com o prefixo mais longo. O IPv6 utiliza verses modificadas da maioria dos protocolos de roteamento comuns para lidar com os endereos IPv6 mais longos e com estruturas de cabealho diferentes. Espaos de endereos maiores abrem espao para alocaes de endereo grandes para os ISPs e as organizaes. Um ISP agrega todos os prefixos de seus clientes em um nico prefixo e anuncia esse nico prefixo para a Internet de IPv6. O espao de endereos aumentado suficiente para permitir que as organizaes definam um nico prefixo para toda a sua rede. Mas como isso afeta o desempenho do roteador? Uma breve reviso de como um roteador funciona em uma rede ajudar a ilustrar como o IPv6 afeta o roteamento. Conceitualmente, um
Tema acessvel CISCO
Pgina 35 de 41
roteador possui trs reas funcionais:

z
O plano de controle trata da interao do roteador com os outros elementos de rede, fornecendo as informaes necessrias para tomar as decises e para controlar a operao global do roteador. Este plano executa processos tais como os protocolos de roteamento e o gerenciamento de rede. Essas funes so geralmente complexas. O plano de dados lida com o encaminhamento de pacotes de uma interface fsica ou lgica para outra. Ele envolve diferentes mecanismos de comutao como a comutao de processo e o Cisco Express Forwarding (CEF) em roteadores do software IOS Cisco. Os servios aprimorados incluem recursos avanados aplicados ao encaminhar dados, como a filtragem de pacotes, qualidade de servio (QoS, Quality of Service), criptografia, traduo e auditoria.
O IPv6 apresenta essas funes com novos desafios especficos. Plano de controle do IPv6 A habilitao do IPv6 em um roteador inicia os processos operacionais de seu plano de controle especificamente para o IPv6. As caractersticas do protocolo moldam o desempenho desses processos e a quantidade de recursos necessrios para oper-los:
z
Tamanho de endereo do IPv6 - O tamanho do endereo afeta as funes de processamento de informaes de um roteador. Sistemas que usam uma CPU de 64 bits, um barramento ou uma estrutura de memria, podem transmitir os endereos de origem e destino de IPv4 em um nico ciclo de processamento. Para o IPv6, os endereos de origem e destino exigem quatro ciclos de dois ciclos cada para processar as informaes de endereo de origem e de destino. Como resultado, provvel que os roteadores que confiam exclusivamente no processamento de software funcionem mais lentamente do que quando esto em um ambiente de IPv4. Endereos de n de IPv6 mltiplos - Como os ns de IPv6 podem utilizar vrios endereos de unicast de IPv6, o consumo de memria do cache de Deteco de vizinho pode ser afetado. Protocolos de roteamento de IPv6 - Os protocolos de roteamento de IPv6 so semelhantes aos seus correspondentes do IPv4 mas, como um prefixo do IPv6 quatro vezes maior do que um prefixo de IPv4, as atualizaes de roteamento precisam levar mais informaes. Tamanho da tabela de roteamento - O maior espao de endereos do IPv6 leva a redes maiores e a uma Internet muito maior. Isso implica em tabelas de roteamento maiores e em requisitos de memria maiores para suport-los.
Plano de dados do IPv6 O plano de dados encaminha pacotes IP com base nas decises feitas pelo plano de controle. O mecanismo de encaminhamento analisa as informaes de pacote IP relevantes e faz uma busca para fazer a correspondncia das informaes analisadas com as polticas de encaminhamento definidas pelo plano de controle. O IPv6 afeta o desempenho das funes de anlise e busca:
z
Cabealhos de extenso de IPv6 de anlise - Os aplicativos, incluindo o IPv6 mvel, geralmente usam informaes de endereo IPv6 nos cabealhos de extenso, aumentando assim seu tamanho. Esses campos adicionais exigem um processamento adicional. Por exemplo, um roteador que usa as ACLs para filtrar as informaes de Camada 4 precisa aplicar as ACLs aos pacotes com cabealhos de extenso, bem como aos que no tm esses cabealhos. Se o tamanho do cabealho de extenso exceder o tamanho fixo do registro do hardware do roteador, haver falha na comutao do hardware, e os pacotes podero ser colocados na comutao de software ou podero ser ignorados. Isto afeta gravemente o desempenho de encaminhamento do roteador. Pesquisa de endereo IPv6 - O IPv6 executa uma pesquisa de pacotes que entram no
Tema acessvel CISCO
Pgina 36 de 41
roteador para localizar a interface de sada correta. No IPv4, o processo de deciso de encaminhamento analisa um endereo de destino de 32 bits. No IPv6, a deciso de encaminhamento poderia exigir possivelmente uma anlise de um endereo de 128 bits. A maioria dos roteadores de hoje executa pesquisas utilizando um circuito integrado especfico de aplicativo (ASIC, application-specific integrated circuit) com uma configurao fixa que executa as funes para as quais eles foram criados originalmente o IPv4. Isso pode resultar novamente na colocao dos pacotes em um processamento de software mais lento ou fazer com que eles sejam todos ignorados. Exibir meio visual
Pgina 2: Protocolo de roteamento RIPNg As rotas do IPv6 usam os mesmos protocolos e tcnicas que o IPv4. Embora os endereos sejam mais longos, os protocolos usados no roteamento de IPv6 so simplesmente extenses lgicas dos protocolos usados no IPv4. A RFC 2080 define a ltima gerao do Protocolo de informaes de roteamento (RIPng, Routing Information Protocol next generation) como um protocolo de roteamento simples baseado em RIP. O RIPng no nem mais potente e nem menos potente do que o RIP, porm ele fornece uma maneira simples de ativar uma rede de IPv6 sem a necessidade de criar um novo protocolo de roteamento. O RIPng um protocolo de roteamento do vetor de distncia com um limite de 15 saltos que usa o split horizon e as atualizaes de poison reverse para evitar os loops de roteamento. Sua simplicidade vem do fato de ele no exigir nenhum conhecimento global da rede. Somente os roteadores vizinhos trocam mensagens locais. O RIPng inclui as seguintes caractersticas:
z z z z z z
Baseia-se no RIP verso 2 (RIPv2) do IPv4 e semelhante ao RIPv2 Utiliza o IPv6 para o transporte Inclui o prefixo de IPv6 e o endereo IPv6 do prximo salto Utiliza o grupo multicast FF02::9 como o endereo de destino para atualizaes de RIP (semelhante funo de broadcast executada pelo RIP no IPv4) Envia atualizaes na porta UDP 521 suportado pelo IOS Cisco Release 12.2 (2) T e mais recentes
Em implantaes que sofreram empilhamento dual, so necessrios o RIP e o RIPng. Exibir meio visual
7.3.7 Configurando os endereos IPv6 Pgina 1: Habilitando o IPv6 em roteadores Cisco Existem duas etapas bsicas para ativar o IPv6 em um roteador. Primeiro, voc deve ativar o encaminhamento de trfego IPv6 no roteador e, em seguida, voc deve configurar cada interface que exija o IPv6. Por padro, o encaminhamento de trfego do IPv6 est desabilitado em um roteador Cisco. Para ativ-lo entre as interfaces, necessrio configurar o comando global ipv6 unicast-routing.
Tema acessvel CISCO
Pgina 37 de 41
O comando ipv6 address pode configurar um endereo IPv6 global. O endereo de enlace local ser configurado automaticamente quando um endereo for atribudo interface. Voc deve especificar o endereo IPv6 de 128 bits inteiro ou deve especificar o uso do prefixo de 64 bits usando a opo eui-64. Exibir meio visual
Pgina 2: Exemplo de configurao do endereo IPv6 Voc pode especificar completamente o endereo IPv6 ou pode computar o identificador de host (64 bits mais direta) do identificador de EUI-64 da interface. No exemplo, o endereo IPv6 da interface configurado usando o formato EUI-64. Como alternativa, voc pode especificar completamente o endereo IPv6 inteiro para atribuir um endereo a uma interface do roteador usando o comando ipv6 addressipv6-address/prefix-length no modo de configurao de interface. A configurao de um endereo IPv6 em uma interface configura automaticamente o endereo de enlace local para essa interface. Exibir meio visual
Pgina 3: Resoluo de nome IPv6 do IOS Cisco Existem duas maneiras de realizar a resoluo de nome no processo de software do IOS Cisco:
z
Definir um nome esttico para um endereo IPv6 usando o comando ipv6 host name [port] ipv6-address1 [ipv6-address2...ipv6-address4]. Voc pode definir at quatro endereos IPv6 para um nome de host. A opo de porta se refere porta Telnet a ser usada para o host associado. Especificar o servidor DNS usado pelo roteador com o comando ip name-serveraddress. O endereo pode ser um endereo IPv4 ou IPv6. possvel especificar at seis servidores DNS com esse comando.
Exibir meio visual
7.3.8 Configurando o RIPng com IPv6 Pgina 1: Configurar o RIPng com IPv6 Ao configurar os protocolos de roteamento suportados no IPv6, necessrio criar o processo de roteamento, habilitar o processo de roteamento nas interfaces e personalizar o protocolo de roteamento para sua rede privada. Antes de configurar o roteador para que ele execute o RIP de IPv6, faa a habilitao global usando o comando de configurao global ipv6 unicast-routing e habilite o IPv6 nas interfaces em que o RIP de IPv6 dever ser habilitado. Para habilitar o roteamento RIPng no roteador, use o comando de configurao global ipv6 router rip name. O parmetro name (nome) identifica o processo RIP. Este nome de processo usado posteriormente ao configurar o RIPng nas interfaces participantes.
Tema acessvel CISCO
Pgina 38 de 41
Para o RIPng, em vez de usar o comando network para identificar quais interfaces devem executar o RIPng, voc usa o comando ipv6 rip name enable no modo de configurao de interface para habilitar o RIPng em uma interface. O parmetro name (nome) deve corresponder ao parmetro de nome no comando ipv6 router rip. A habilitao do RIP em uma interface cria dinamicamente um processo de "router rip" se necessrio. Exibir meio visual
Pgina 2: Exemplo: RIPng para configurao de IPv6 O exemplo mostra uma rede de dois roteadores. O roteador R1 est conectado rede padro. Nos roteadores R2 e R1, o nome RT0 identifica o processo de RIPng. O RIPng habilitado na primeira interface Ethernet do roteador R1 usando o comando ipv6 rip RT0 enable. O roteador R2 mostra que o RIPng est habilitado nas interfaces Ethernet usando o comando ipv6 rip RT0 enable. Essa configurao permite que as interfaces Ethernet 1 no roteador R2 e Ethernet 0 de ambos os roteadores troquem informaes de roteamento de RIPng. Exibir meio visual
7.3.9 Verificando, identificando e solucionando problemas de RIPng Pgina 1: Verificando, identificando e solucionando problemas de RIPng para o IPv6 Depois de configurar o RIPng, necessrio fazer uma verificao. A figura relaciona os vrios comandos show que podem ser usados. Clique no boto Identificao e soluo de problemas na figura. Se voc descobrir que o RIPng no est funcionando corretamente durante a verificao, ser preciso identificar e solucionar o problema. A figura relaciona os comandos usados para identificar e solucionar os problemas de RIPng. Exibir meio visual
Pgina 2: Exibir meio visual
7.4 Laboratrios do c aptulo

7.4.1 Configurao bsica DHCP e NAT Pgina 1: Neste laboratrio, voc ir configurar os servios DHCP e NAT IP. Um roteador o servidor DHCP. O outro roteador encaminha solicitaes DHCP ao servidor. Voc tambm definir as configuraes de NAT estticas e dinmicas, inclusive a sobrecarga de NAT. Quando voc concluir as configuraes, verifique a conectividade entre os endereos internos e externos. Exibir meio visual
Tema acessvel CISCO
Pgina 39 de 41
Pgina 2: Esta atividade uma variao do laboratrio 7.4.1. O Packet Tracer pode no suportar todas as tarefas especificadas no laboratrio prtico. Esta atividade no deve ser considerada equivalente concluso do laboratrio prtico. O Packet Tracer no substitui um experimento em laboratrio prtico com equipamentos reais. So fornecidas instrues detalhadas na atividade, bem como no link do arquivo PDF abaixo. Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual
7.4.2 Configurao avanada DHCP e NAT Pgina 1: Neste laboratrio, configure os servios de endereo IP usando a rede mostrada no diagrama de topologia. Se voc precisar de assistncia, consulte o laboratrio de configurao bsico de DHCP e NAT. No entanto, tente fazer o mximo possvel. Exibir meio visual
Pgina 2: Esta atividade uma variao do laboratrio 7.4.2. O Packet Tracer pode no suportar todas as tarefas especificadas no laboratrio prtico. Esta atividade no deve ser considerada equivalente concluso do laboratrio prtico. O Packet Tracer no substitui um experimento em laboratrio prtico com equipamentos reais. So fornecidas instrues detalhadas na atividade, bem como no link do arquivo PDF abaixo. Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual
7.4.3 Identificao e soluo de problemas de DHCP e NAT Pgina 1: Os roteadores da sua empresa foram configurados por um engenheiro de rede sem experincia. Vrios erros na configurao resultaram em problemas de conectividade. Seu chefe lhe pediu para identificar e solucionar os problemas, corrigir os erros de configurao e documentar seu trabalho. Com seus conhecimentos de DHCP, NAT e mtodos de teste padro, identifique e corrija os erros. Certifique-se de que todos os clientes tenham total conectividade. Exibir meio visual
Pgina 2: Esta atividade uma variao do laboratrio 7.4.3. O Packet Tracer pode no suportar todas as tarefas especificadas no laboratrio prtico. Esta atividade no deve ser considerada equivalente concluso do laboratrio prtico. O Packet Tracer no substitui um experimento em laboratrio prtico com equipamentos reais.
Tema acessvel CISCO
Pgina 40 de 41
So fornecidas instrues detalhadas na atividade, bem como no link do arquivo PDF abaixo. Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual
7.5 Resumo do captulo

7.5.1 Resumo Pgina 1: Este captulo tratou das principais solues do problema da diminuio do espao de endereos de Internet. Voc aprendeu a usar o DHCP para atribuir endereos IP privados dentro de sua rede. Isso conserva o espao de endereos pblicos e impede uma sobrecarga administrativa considervel gerenciando acrscimos, mudanas e alteraes. Voc aprendeu a implementar o NAT e a sobrecarga de NAT para conservar o espao de endereos pblicos e criar intranets seguras privadas sem afetar sua conexo de ISP. Entretanto, a NAT possui desvantagens no que se refere a seus efeitos negativos no desempenho do dispositivo, segurana, mobilidade e conectividade fim-a-fim. No geral, a capacidade de dimensionar as redes para as demandas futuras requer um fornecimento ilimitado de endereos IP e uma mobilidade aprimorada que o DHCP e a NAT sozinhos no conseguem atingir. O IPv6 satisfaz os requisitos cada vez mais complexos do endereamento hierrquico que o IPv4 no fornece. O aparecimento do IPv6 no lida somente com o esgotamento dos endereos IPv4 e deficincias de NAT, ele fornece novos e melhores recursos. Na breve introduo ao IPv6 nesta lio, voc aprendeu como os endereos IPv6 so estruturados, como eles iro aprimorar a segurana e a mobilidade da rede e como o mundo do IPv4 far a transio para o IPv6. Exibir meio visual
Pgina 2: Exibir meio visual
Pgina 3: Nesta atividade final, voc ir configurar PPP, OSPF, DHCP, NAT e roteamento padro para ISP. Em seguida, voc verificar sua configurao. So fornecidas instrues detalhadas na atividade, bem como no link do arquivo PDF abaixo. Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual
7.6 Teste do captulo

7.6.1 Teste do captulo Pgina 1: Exibir meio visual
Tema acessvel CISCO
Pgina 41 de 41
Ir para a prxima Ir para a anterior Ir para a parte superior
All contents copyright 2007-2009 Cisco Systems, Inc. | Traduzido por Cisco Networking Academy. Sobre

CCNA 4.0 - AW - 07 Serviços de Endereçamento IP

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

CCNA 4.0 - AW - 07 Serviços de Endereçamento IP

Caricato da

Copyright:

Formati disponibili

Tema acessvel CISCO

CCNA Exploration - Acessando a WAN

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Endereo IP Endereo de gateway Mscara de sub-rede Endereo do servidor DNS

Existem trs diferenas principais entre o DHCP e o BOOTP:

Exibir meio visual

Tema acessvel CISCO

Exibir meio visual

Tema acessvel CISCO

7.1.4 Configurando um servidor DHCP

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

7.2 Dimensionando redes com NAT

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Exibir meio visual

Tema acessvel CISCO

Endereamento IP aprimorado Cabealho simplific ado Mobilidade e segurana Riqueza de transio

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

simplesmente "::". Exibir meio visual

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

roteador possui trs reas funcionais:

Tema acessvel CISCO

Tema acessvel CISCO

Exibir meio visual

Tema acessvel CISCO

Pgina 2: Exibir meio visual

7.4 Laboratrios do c aptulo

Tema acessvel CISCO

Tema acessvel CISCO

7.5 Resumo do captulo

Pgina 2: Exibir meio visual

7.6 Teste do captulo

Tema acessvel CISCO

Ir para a prxima Ir para a anterior Ir para a parte superior

Potrebbero piacerti anche