Material

Interconexo de redes. Error!
Use the Home tab to apply Ttulo 1 to the text that you want to appear here.
Interconexo de redes
Professor: Ccero Woshington. Contato: cicerow.ordb@gmail.com
Pgina 1.
Especializao em Redes de Computadores. Interconexo de redes.
Sumrio.
Captulo 1 O padro Ethernet. ............................................................................................................... 4 1.1 Caractersticas............................................................................................................................. 6 1.1.1 Autonegociao. ................................................................................................................... 6 1.1.2 Controle de Fluxo. ................................................................................................................. 7 1.2 Modulao. ................................................................................................................................. 8 1.3 Frame Ethernet. .......................................................................................................................... 8 Captulo 2 O funcionamento de um switch. .......................................................................................... 11 2.1 Processamento interno. ............................................................................................................. 12 2.1.1 Aprendizagem automtica. .................................................................................................. 13 2.1.2 Repasse/Descarte. .............................................................................................................. 14 2.2 Switches gerenciveis. ............................................................................................................... 16 2.2.1 Layer 2 (Camada 2). ........................................................................................................... 17 2.2.2 Layer 3 (Camada 3). ........................................................................................................... 17 2.2.3 Multilayer (Multicamada). .................................................................................................... 18 Captulo 3 Configuraes bsicas de switches gerenciveis. .................................................................. 21 3.1 Mudana do nome do dispositivo................................................................................................ 22 3.2 Mudana de senhas de acesso. .................................................................................................. 22 3.3 Configurao de login com usurio e senha no console................................................................ 23 3.4 Configuraes de interfaces Ethernet em um roteador. ................................................................ 24 3.5 Configuraes de interfaces seriais em um roteador. ................................................................... 25 3.6 Configurao de interfaces Ethernet em switches. ....................................................................... 27 3.7 Ajuste da data e hora. ............................................................................................................... 28 3.8 Registro da configurao e backups. .......................................................................................... 29 3.9 Identificao de informaes do sistema. .................................................................................... 30 Captulo 4 Redes locais virtuais (VLAN). ............................................................................................... 32 4.1 Frame Tagging. ......................................................................................................................... 33 4.1.1 VLANs estticas e dinmicas. ............................................................................................... 35 4.2 VLANs com switches L3. ............................................................................................................ 35 4.3 VLANs com switches L3 e L2. ..................................................................................................... 38 4.4 VLANs com switches L3 e no gerenciveis. ................................................................................ 40 Captulo 5 Links Redundantes (STP). ................................................................................................... 42 5.1 Spanning Tree Protocol. ............................................................................................................ 44 5.2 Rapid Spaning Tree Protocol. ..................................................................................................... 46 5.3 STP com dois switches L2. ......................................................................................................... 47
Pgina 2.
Especializao em Redes de Computadores. Interconexo de redes.
5.3.1 Mudanas de prioridades. .................................................................................................... 49 5.4 STP com switches L2 e L3 usando VLANs e MSTP. ...................................................................... 51 5.5 STP para redes de switches full mesh. ........................................................................................ 55 5.6 Desabilitar suporte ao STP. ........................................................................................................ 57 Captulo 6 Agregao. ........................................................................................................................ 58 6.1 Agregao com LACP................................................................................................................. 58 6.1.1 Modificando um canal.......................................................................................................... 59 Captulo 7 Lista de controle de acessos (ACL). ..................................................................................... 61 7.1 ACLs para um cenrio simples com switch L3. ............................................................................. 62 7.1.1 ACL estendida usando endereos de rede. ............................................................................ 65 7.1.2 ACL estendida usando portas. .............................................................................................. 67 7.1.3 ACL estendida usando informaes ICMP. ............................................................................ 68 Captulo 8 Roteamento esttico. .......................................................................................................... 70 8.1 Rede full mesh com trs roteadores. .......................................................................................... 71 8.1.1 Rotas redundantes. ............................................................................................................. 73 8.2 Redes de roteadores com NAT e rota padro. ............................................................................. 74 8.2.1 NAT esttico para acessos externos. .................................................................................... 77 Captulo 9 Frame relay........................................................................................................................ 78 9.1 Circuitos virtuais permanentes. .................................................................................................. 79 9.2 Rede frame relay full mesh com trs roteadores. ......................................................................... 81 Captulo 10 Roteamento dinmico (OSPF). ........................................................................................... 84 10.1 Funcionamento do OSPF. ......................................................................................................... 85 10.2 OSPF com trs roteadores em uma nica rea. ......................................................................... 87 10.2.1 Diagnstico e pequenas mudanas no OSPF. ...................................................................... 90 10.3 OSPF com duas reas internas, uma compartilhada. .................................................................. 91 Bibliografia ........................................................................................................................................... 98
Pgina 3.
Especializao em Redes de Computadores. Interconexo de redes / Error! Use the Home tab to apply Ttulo 1 to the text that you want to appear here.
Captulo 1 O padro Ethernet.

Apenas duas tecnologias disputam o mercado de redes locais de igual para igual na atualidade: Ethernet e Wi-Fi. O Instituto dos Engenheiros Eltricos e Eletrnicos (IEEE) o responsvel por estabelecer os padres de compatibilidade para estas duas tecnologias. O padro Wi-Fi (IEEE 802.11) estabelece redes sem fio de curto alcance e herda muitas das tcnicas de seu irmo mais velho, o Ethernet (IEEE 802.3) de 1983. Na prtica, os padres compartilham a mesma camada de controle lgico do link (LLC IEEE 802.2) e diferem apenas nas camadas de controle de acesso ao meio (MAC) e na camada fsica (PHY). Por isso, compreender o funcionamento do padro Ethernet quase sinnimo de compreender redes locais. importante ter em mente que a tecnologia que os administradores conhecem como Ethernet no apenas um padro. Na realidade, todos os padres com a identificao IEEE 802 so para redes locais e metropolitanas. A tecnologia Ethernet se dispersa pelos padres IEEE 802.3, IEEE 802.2 e em alguns trabalhos com a identificao IEEE 802.1. Da mesma forma, afirmar que o Ethernet um padro para a camada de enlace incorreto. Na realidade existem especificaes para a camada de enlace e para a camada fsica. Vrios autores, entre eles SPURGEON (SPURGEON 2000, 13) e FILIPPETI (FILIPPETTI 2008, 49), sugerem que existem duas subcamadas Ethernet para a camada de enlace e pelo menos uma camada Ethernet para a camada fsica. TANENBAUM d outra sugesto mais prxima da realidade associando esta ideia ao hardware (TANENBAUM 2011, 134). Este texto, muitas vezes usa o termo padro Ethernet para identificar todos os padres que especificam a tecnologia Ethernet como os administradores mais prticos a conhecem. A tecnologia Ethernet teve seu incio na dcada de 70. Passou a ser um padro IEEE no incio da dcada de 80. Contudo, a atualidade imps grandes mudanas ao plano original. Por isso, a evoluo deste padro est fora do escopo. Nada de cabos coaxiais transmitindo a 2Mbps em modo half-duplex e tratando colises. Hoje so cabos de par tranado e fibras transmitindo a pelo menos 1Gbps (podendo chegar a 100Gbps) em modo full-duplex livre de colises. E isso apenas para limitar-se ao bsico. Este ser o foco do estudo. Para quem deseja compreender a evoluo histrica das redes Ethernet outras literaturas podem ser interessantes. Este texto apenas expe as diferenas quando oportuno, sem se preocupar com detalhes do passado.
Breve histrico. Antes de ser um padro do IEEE, a tecnologia Ethernet j rodava como uma tecnologia proprietria desde 1973 nos laboratrios da Xerox. Bob Metcalfe e seu colega David Boggs, tendo como base os trabalhos de Norman Abramson da Universidade do Hawaii, desenvolveram a famosa rede de mltiplo acesso com deteco de portadora e colises usando um cabo coaxial como ncleo da rede (SPURGEON, 2000 p. 4) (KUROSE, 2010 p. 347) (PETERSON e DAVIE 2007, 116).
No por acaso, esta tecnologia domina o mercado atual de redes locais com cabos. O prprio IEEE uma instituio que prima pela necessidade do mercado, portanto, os fabricantes normalmente adequam os produtos aos padres do Instituto. Isso, por si s, j garante compatibilidade entre os fabricantes de equipamentos. Contudo, trs outras razes foram decisivas para Ethernet assumir sua posio de liderana de mercado (KUROSE e ROSS 2010, 343): Desempenho: Redes Ethernet sofreram vrias atualizaes chegando velocidades sempre prximas de seus principais concorrentes, muitas vezes superando. Depois de se tornar responsabilidade do IEEE o fator multiplicativo foi sempre de 10 vezes (10Mbps, 100Mbps, 1Gbps, 10Gbps e 100Gbps at o ano de 2010).
Pgina 4.
Especializao em Redes de Computadores. Interconexo de redes / Error! Use the Home tab to apply Ttulo 1 to the text that you want to appear here. Custo: Dispositivos compatveis com Ethernet sempre foram acessveis incluindo o cabeamento. O fato de ser um padro aberto tambm facilitou para diminuir os custos dos equipamentos. Na maioria das vezes, h o emprego de cabos e conectores comuns no mercado. Muitos deles eram exclusivos de sistemas telefnicos antes da utilizao em redes de computadores. Simplicidade: As redes Ethernet nunca foram complexas como as concorrentes. Faziam apenas o que era indispensvel nas camadas de enlace e fsica. Isso ajuda a diminuir o custo do equipamento e a simplificar os testes e procedimentos necessrios para a manuteno da rede. Tudo isso alavancou sua adoo como rede local. Redes Ethernet eram mais simples e mais baratas com desempenho similar ao das redes mais complexas e caras. Todas as novas verses da tecnologia Ethernet multiplicavam a velocidade em 10x e mantinham compatibilidade com as verses anteriores. Elevar a velocidade de uma rede em produo nunca era algo to trabalhoso como acontecia com os principais concorrentes. Nunca exigia a substituio de todos os componentes de uma vez s. Isso ameniza a curva de investimento, o que alivia ainda mais os custos para manter a rede. Ainda sobre a simplicidade, a tecnologia Ethernet nunca ofereceu e ainda no oferece alguns servios importantes. Muitos leitores podem imaginar que estas deficincias so graves. Porm, exatamente isso que torna o padro Ethernet to atrativo. Estes so alguns dos servios que esta tecnologia no presta: Garantia de entrega: Redes Ethernet no sinalizam erros de transmisso, exceto quando acontecem colises (Ver nota: Colises). Quando um quadro no alcana o destino, nenhuma informao retorna ao remetente informando do problema. Portanto, no h nenhuma garantia para o dispositivo remetente que o quadro chegar ao destino corretamente. O remetente no tem nenhum retorno da mensagem que enviou, simplesmente. Correo de erros: No existe nenhum mecanismo de correo de erros para redes Ethernet. Contudo, h uma tcnica para verificar se h algum erro nas informaes. Quando um dispositivo percebe que uma informao est incorreta, ele descarta o quadro sem aviso prvio ao remetente ou ao destinatrio. Na prtica, Ethernet apenas reconhece que existe um erro e descarta a informao, nada alm disso. Controle de conexo: No h nenhum aviso prvio de transmisso. Cada dispositivo que deseja transmitir inicia sua transmisso. O destinatrio apenas recebe. Simples assim. No como no TCP onde os dispositivos armazenam recursos antes do incio do trfego. Portanto, as interfaces de rede tm de estar sempre de prontido para iniciar uma transmisso ou recebimento. Neste caso, Ethernet se parece muito com o UDP. Alguns autores preferem dizer que Ethernet no tem orientao conexo (KUROSE e ROSS 2010, 346). Isto no significa que uma rede que usa a tecnologia Ethernet no possa ter estas caractersticas. Tais caractersticas devem ser compromisso de outras tcnicas que vo alm da tecnologia Ethernet ou das funes de camada de enlace. exatamente isso que acontece quando um administrador decide usar Ethernet em sua rede TCP/IP. Ethernet d as garantias que precisa para desempenhar a funo das camadas de enlace e fsica. Os protocolos do TCP/IP especificam as garantias de que precisam para desempenhar as funes das camadas superiores. Esta estratgica diviso de responsabilidades do modelo de camadas permite que a tecnologia seja simples e que possa manter o foco no desempenho. Quanto mais prximo da camada fsica, mais o desempenho se torna importante. Especialmente para redes locais que agrupam grandes quantidades de dispositivos interconectados. E esta a especialidade das redes com a tecnologia Ethernet.
Pgina 5.
Colises. As primeiras redes Ethernet usavam cabos coaxiais. Os dispositivos Ethernet, literalmente, compartilhavam o cabo coaxial. Com os cabos de par tranado, o hub passou a ter o compromisso de repetir o sinal oriundo de uma das portas para todas as outras. Portanto, o hub garante o compartilhamento nos cabos de par tranado. Como os dispositivos compartilham o meio fsico nestes casos, se dois computadores transmitem ao mesmo tempo ocorre uma coliso. Com isso, a informao fica incompreensvel. Sempre que um dispositivo detecta uma coliso envia um sinal de reforo de coliso. Com isso, todos os demais dispositivos passam a ter certeza da coliso. Contudo, cabos coaxiais e hubs so coisas do passado. Todos usam switches agora. Com os switches as colises no acontecem, j que este no retransmite para todas as portas, como um hub, mas apenas para as portas de destino corretas (TANENBAUM 2011, 176). Estudar colises e o tratamento deste erro est fora do escopo do presente estudo.
1.1 Caractersticas.
Todas as caractersticas indispensveis ou muito necessrias esto presentes nos dispositivos Ethernet. Esta seo foca apenas em dois dos mais interessantes: autonegociao e controle de fluxo. Nenhum deles requisito obrigatrio da camada de enlace. Por isso mesmo, vale pena verificar o que a tecnologia Ethernet oferece alm do estritamente necessrio.
1.1.1 Autonegociao.
Esta caracterstica diminui o trabalho do administrador. Um administrador pode passar anos sem nunca ajustar um nico parmetro de configurao Ethernet graas ao poder de autonegociao. A especificao parte do padro IEEE 802.3u (entre outros). contempornea do Fast Ethernet (redes de 100Mbps). O esforo dos engenheiros foi para links de par tranado e para ajuste de valores durante o estabelecimento do link. Contudo, a autonegociao pode ir muito alm da configurao inicial. Por exemplo, dispositivos em um link de 1Gbps onde acontece o rompimento de um dos fios do cabo de par traado pode usar a auto negociao para mudar a velocidade para 100Mbps sem interromper a comunicao. Portanto, a autonegociao pode ajudar a solucionar os problemas mesmo sem a interveno do administrador 1. A autonegociao foco deste texto a que acontece apenas em links dedicados2. Antes de ativar uma interface o dispositivo inicia um procedimento de autonegociao. Cada um dos dispositivos avisa ao outro suas caractersticas. Este aviso, um Fast Pulse Link (pulso de link rpido ou FLP), no um frame Ethernet. Consiste em 33 pulsos de 100 nano-segundos de largura. Destes 33 pulsos, os 17 pulsos mpares so de clock e os 16 pulsos pares representam cada uma das caractersticas ajustveis. Entre as opes esto: velocidade (10, 100 e 1000Mbps), modo de transmisso ( half-duplex ou full-duplex) (Ver nota: Modos de transmisso), suporte a controle de fluxo (prxima seo), aviso de falhas (Remote Fault Indicator ou RFI), aviso de recebimento do FPL (o famoso bit ACK) e suporte a outras caractersticas especficas de cada fabricante ( o bit Next Page ou NP). Obviamente, se NP est ativo, os significados dos bits mudam. (SPURGEON 2000, 89).
Isso possvel j que redes de 100Mbps usam apenas dois pares enquanto redes 1Gbps usam os quatro. Assim, se um fio rompe em um link de 1Gbps o link cai. Se o rompimento acontece em um dos pares que no faz parte da configurao Fast Ethernet, o link volta ao status ativo e a autonegociao mudar a velocidade automaticamente. Redes com cabeamento muito antigo, normalmente apresentam erros deste tipo. 2 Links compartilhados no suportam autonegociao. Contudo, alguns dispositivos so capazes de perceber as velocidades das interfaces em um link compartilhado obrigar a todos a operar na menor delas. Em alguns casos chamada de deteco paralela (SPURGEON 2000, 94). Isto antigo e est fora do escopo deste estudo.
Pgina 6.
Especializao em Redes de Computadores. Interconexo de redes / Error! Use the Home tab to apply Ttulo 1 to the text that you want to appear here. Redes de 1000Mbps que utilizam cabos de par tranado (1000BASE-T) usam o mesmo esquema de autonegociao dos predecessores. Contudo, redes de 1000Mbps que usam cabos de fibra tm seu prprio esquema de auto negociao. Isso acontece, especialmente, pelo fato de usar sinais luminosos muito diferentes dos sinais eltricos (SPURGEON 2000, 85). Apesar disso, tirando as diferenas eltricas, as tecnologias 1000BASE-SX (fibra monomodo), 1000BASE-LX (fibra multimodo) e 1000BASE-CX (backplane) apenas no suportam negociao para velocidades inferiores a 1000Mbps, j que no existem conexes de fibra compatveis com autonegociao para velocidades inferiores. Os padres mais atuais (10Gbps e 100Gbps) usam esta mesma codificao para conexes de fibra, j que no existe especificao para cabos de par tranado nestas velocidades. Alm de tudo isso, a autonegociao permite uma suave atualizao da rede. Isso minimiza os investimentos na adoo de uma nova velocidade. O administrador pode trocar um switch, depois as interfaces de rede dos servidores, depois das estaes mais exigentes, sempre mantendo a compatibilidade com os equipamentos antigos. A autonegociao vai garantir que todos trabalharo na mxima velocidade disponvel.
Modos de transmisso. A primeira verso do padro Ethernet para cabos de rede de par tranado usava um par para transmitir e outro para receber. Um dispositivo, ao transmitir, escutava a transmisso para identificar uma possvel coliso. Se a escuta apresentasse a mesma informao da transmisso corrente, o remetente certificava que a transmisso foi correta. Isso impede que um mesmo dispositivo transmita e receba ao mesmo tempo, j que tem de escutar a prpria transmisso. Este o modo half-duplex. Praticamente no est mais em uso, j que hubs so muito raros na atualidade.
Switches usam links dedicados para ligar cada dispositivo. Isso impede que dois transmissores atuem ao mesmo
tempo no mesmo cabo. Com isso, as colises nos dispositivos atuais so praticamente impossveis. Por isso, quase todos os dispositivos ficam com o canal de recebimento livre ao transmitir. E isso permite a operao no modo fullduplex, ou seja, enviando e recebendo simultaneamente. Finalmente, correto afirmar que dispositivos Ethernet operam no modo half-duplex quando operam em links compartilhados. Assim eles so obrigados a investigar colises, ou seja, identificar quando dois transmissores diferentes usam o mesmo canal. Estes mesmos dispositivos tambm executam alguns procedimentos para evitar novas colises. Quando operam em links dedicados a preocupao com a coliso termina e a operao se torna mais simples. Isso permite transmitir e receber simultaneamente alm de permitir cabos mais compridos que a especificao para links compartilhados. A especificao do modo de operao full-duplex de 1997 IEEE 802.3x (SPURGEON 2000, 77).
1.1.2 Controle de Fluxo.

Dispositivos Ethernet so normalmente baratos diante dos concorrentes. Um dos componentes que mais encarecem os switches e as interfaces de rede a quantidade de memria presente. Portanto, switches Ethernet tendem a ter pouco espao em seus buffers. Obviamente, switches com excesso de trfego precisam de grandes quantidades de memria para armazenar os dados a transmitir. Se um dispositivo inicia uma transmisso e no h espao no buffer de destino, ele apenas descarta o frame. Para solucionar a equao custo/benefcio, a tecnologia suporta o controle de fluxo. Basicamente, o controle de fluxo Ethernet um pedido para pegar leve. Um switch sobrecarregado manda uma informao de controle para que os demais possam parar de transmitir por um dado intervalo de tempo. Este pedido um frame Ethernet3, como qualquer outra informao. Este frame recebe o nome de PAUSE, que bem sugestivo, e carrega as seguintes informaes:
O frame Ethernet alvo de estudos em breve, ainda neste captulo.
Pgina 7.
Especializao em Redes de Computadores. Interconexo de redes / Error! Use the Home tab to apply Ttulo 1 to the text that you want to appear here. Cdigo de controle: o cdigo que informa ao destinatrio que este um frame de controle e no uma informao comum. O cdigo de controle recebe a informao hexadecimal 0x8808. Destino: O endereo fsico de destino 01-08-c2-00-00-014 que um endereo de multicast. Significa que todas as estaes da rede capazes de receber cdigos de controle iro processar a informao simultaneamente. Isso evita que um switch, por exemplo, tenha de enderear vrias cpias da informao de controle para cada destino. Dados: O campo de dados recebe duas informaes. A primeira delas um cdigo de 2bytes que identifica a pausa (usa o cdigo 0x0001 para isso). A segunda o tempo de pausa, tambm com 2bytes. Este tempo dado em slot times5. Com isso, este valor pode variar entre 0 e 65.535. Normalmente, os switches sempre do suporte a controle de fluxo. Estes so os dispositivos que mais sofrem com congestionamento de trfego Ethernet. Algumas interfaces de rede tambm suportam esta caracterstica, especialmente, as que se destinam a servidores.
1.2 Modulao.
Modulao o procedimento que transforma a informao em sinal compatvel com a mdia. No o foco dos estudos e por isso a explanao breve. Historicamente, a tecnologia Ethernet fez uso de diferentes tipos de modulao. A primeira e mais famosa foi a modulao Manchester que usava dois nveis de tenso no cabo. Com as redes de 100Mbps esta modulao caiu em desuso e deu lugar a vrios outros tipos de modulao. Multi-Level Transmit (MLT-3) ganhou destaque com a especificao 100BaseTX. Usava trs nveis de tenso e era razoavelmente parecida com a antecessora. Ainda contempornea das redes de 100Mbps existiram especificaes que usavam Pulse Amplitude Modulation (PAM3 e PAM5), mas ganhou destaque na especificao 1000BaseT (PAM5). Assim o cabo transportava cinco nveis de tenso diferentes. Cada nvel de tenso representa um smbolo diferente. E quanto maior o conjunto de smbolos, maior a capacidade de transmisso em um nico pulso de clock. Obviamente, ao usar maior nmero de nveis de tenso, menor a diferena entre eles e mais suscetvel a erros de recepo. O padro de 10Gbps usa modulao PAM16-DSQ128. Os atuais padres de 40 e 100Gbps ainda no possuem especificaes para cabos de cobre. Quando isso acontecer (se for o caso) os comits devem estabelecer uma nova tcnica de modulao.
1.3 Frame Ethernet.

O frame carrega todas as informaes necessrias para o funcionamento na camada de enlace. O frame Ethernet a maior prova de sua simplicidade. So apenas 4 campos em seu cabealho: prembulo, endereo fsico do destinatrio, endereo fsico do remetente e um campo de tipo. Apenas a ttulo de comparao, os protocolos superiores mais famosos usam 13 (IPv4) e 8 (IPv6) campos de cabealho para funcionar. Obviamente, quanto menos campos de cabealho a tratar menor o processamento do dispositivo e menor o tamanho geral do frame. Isso ajuda tambm no desempenho.
4
Esta uma faixa que o IEEE reserva para protocolos de controle dos projetos 802.1. Todos os endereos que iniciam por 01-08-C2 fazem parte deste conjunto. No caso, basta saber que este endereo especfico 01-08-C2-00-00-01 inclui todos os dispositivos que suportam controle de fluxo. Existem outros endereos para Link Aggregation Control Protocol LACP (01-80-C2-00-00-02) e para o Generic Attribute Registration Protocol GARP (01-80-C2-00-00-20 e 01-80-C2-0000-21), apenas para citar outros exemplos. Informaes so escassas e esto dispersas nos vrios documentos IEEE. 5 O clculo do slot time envolve o tempo de propagao pelo cabo e o algoritmo de reforo de colises, fora do escopo deste estudo. Vale dizer apenas que um slot time o tempo necessrio para transportar 512bits. Para maiores informaes consultar (SPURGEON 2000, 50 e seguintes).
Pgina 8.
Especializao em Redes de Computadores. Interconexo de redes / Error! Use the Home tab to apply Ttulo 1 to the text that you want to appear here. Outra diferena usar um campo de rodap6, o que no acontece com a maioria dos outros protocolos. Este campo de rodap abriga a sequncia de checagem do frame ( Frame Check Sequence ou FCS) que permite identificar erros em um frame. A figura a seguir mostra a estrutura dos campos:
Figura 1: Estrutura de um frame Ethernet.
O prembulo uma informao de sincronismo com uma sequncia de 0 e 1. Os dois ltimos bits so bits um para indicar o fim do prembulo 7. Em outras palavras so 31 sequncias 01 finalizando com 11 e totalizando 8 bytes. O objetivo deste campo avisar a todas as interfaces de rede de prontido que uma comunicao em breve vai iniciar. Alm disso, o prembulo permite que os provveis receptores identifiquem pequenas variaes de frequncia j que cada interface independente do ponto de vista da alimentao e gerncia eltrica. Os endereos fsicos so endereos de 6 bytes que identificam os dispositivos de destino e de origem da informao. Estes endereos recebem este nome, j que os fabricantes gravam estes endereos diretamente no hardware da interface. Os 3 primeiros bytes identificam o fabricante da interface (Organizationally Unique Identifier OUI) enquanto os 3 ltimos identificam a interface exclusivamente (Vendor Assigned VA) (FILIPPETTI 2008, 53). Endereos podem ser globais ou locais. Em teoria, no existem duas interfaces com o mesmo endereo fsico global. Endereos globais sempre apresentam o bit 0 no segundo bit mais significativo. Na prtica, o administrador pode modificar este endereo conforme sua vontade usando endereos locais. O segundo bit mais significativo deve assumir valor 1 nestes casos. O campo tipo o mais simples de todos. Ele informa a qual protocolo de camada superior os dados pertencem. Isso importantssimo e acontece entre todas as camadas 8. A ttulo de exemplo, este campo tem o valor igual a 0x0800 se a informao for IPv4, 0x86DD se a informao for IPv6 ou 0x0806 se a informao for do ARP. Obviamente, esta tabela razoavelmente grande. Como sugesto, (SEIFERT e EDWARDS 2008, 112 e 700) tm tabelas com os principais valores. Os dados devem ter tamanho mximo de 1500 bytes e mnimo de 46 bytes. O tamanho mximo foi uma imposio na poca da criao das primeiras redes Ethernet. Como a interface de rede deve receber todo o quadro antes de entregar os dados aos protocolos superiores, o tamanho mximo do quadro determina o tamanho mnimo da memria de uma interface. E, naqueles tempos, memria era um fator impactante especialmente no custo. J o tamanho mnimo diz respeito aos procedimentos de tratamento de colises. Um frame com 46 bytes de dados tem 64 bytes de tamanho total (desconsiderando o prembulo que no possui informao til, apenas de sincronismo). Qualquer frame menor que isso invlido. Quanto menor o frame, menor a chance de detectar uma coliso. Os 64 bytes do uma garantia mnima nestes casos e influencia diretamente nos tamanhos mximos dos cabos de cobre. Alguns autores (TANENBAUM 2011, 284) chamam esse acrscimo (quando necessrio) de 46 bytes de pad ou recheio.
6
O termo em ingls trailer cuja traduo mais apropriada seria reboque (OXFORD 2000, 637), contudo este texto adota o termo rodap apenas pelo efeito didtico quando comparado ao termo cabealho. 7 Este texto aborda o formato original que recebe o nome de DIX Ethernet. Anos depois o IEEE dividiu o campo do prembulo de 8 bytes em dois campos: o prembulo com 7 bytes de informao (10101010) e o Start of Frame Delimiter (SFD) com 1 byte de informao (10101011). Como o leitor pode verificar, esta foi uma mudana de nomenclatura apenas. Nenhuma mudana efetiva nas informaes aconteceu de fato. 8 Entre a camada de aplicao e a camada de transporte do TCP/IP este campo recebe o nome de porta ou socket. Entre a camada de rede e a camada de transporte do TCP/IP recebe o nome protocolo de camada superior. Apenas no acontece entre a camada fsica e a camada de enlace no TCP/IP.
Pgina 9.
Especializao em Redes de Computadores. Interconexo de redes / Error! Use the Home tab to apply Ttulo 1 to the text that you want to appear here. A sequncia de checagem (FCS) que segue no rodap uma verificao de redundncia cclica ou apenas CRC (Cyclic Redundancy Check). Este clculo permite gerar uma informao de checagem no remetente. O destinatrio refaz o clculo e compara o resultado com a informao de checagem no rodap do frame. Se as informaes no batem significa que h um erro e o dispositivo descarta o frame. Vale lembrar que nenhum esforo para solucionar o erro ou para avisar o remetente acontece. Este tratamento deve usar outros mecanismos como o controle de entrega do TCP. Contudo, esta informao poderia estar no incio do frame. Por qual motivo ela aparece apenas no fim? A resposta simples, muitos dispositivos calculam o CRC enquanto enviam os bytes pela rede. Portanto, com uma nica operao, o dispositivo envia o frame e calcula o CRC simultaneamente, elevando o desempenho da operao. Se o CRC viajasse no cabealho do quadro, o clculo aconteceria antes do envio do primeiro byte, j que considera todas as informaes do frame. Esse tempo de espera poderia impactar no desempenho geral do dispositivo. Por fim, entre a transmisso de dois quadros, h um pequeno intervalo de 9,6s. Este intervalo de ociosidade importante por vrios motivos. O principal identificar o fim de uma transmisso. Como o tamanho do campo de dados varivel, os dispositivos nunca sabem qual o ltimo byte de um frame. Alm disso, ao receber o quadro, uma interface deve esvaziar seu buffer para iniciar o recebimento do prximo quadro9 (buffers, ocasionalmente, enchem mesmo). Normalmente, os fabricantes consideram este tempo para que a interface consiga realizar uma interrupo de hardware e entregar dados suficientes ao sistema operacional a fim de iniciar outra operao de transmisso ou recebimento.
Nem todas as interfaces precisam necessariamente ter um buffer do tamanho de um quadro. Interfaces modernas, normalmente usam canais DMA aliadas a outras tcnicas para acumular os bits que recebem da rede. Contudo, este intervalo continua sendo vlido como um perodo onde o espao em buffer se eleva.
Pgina 10.
Captulo 2 O funcionamento de um switch.

Na atualidade, um desafio que algum administrador defina sua rede interna sem usar switches. No h nenhum equipamento de interconexo para redes locais que apresente semelhante custo/benefcio. Portanto, quando o assunto LAN, switches tm um papel de destaque. E todo administrador deve conhecer bem o funcionamento de seu principal ativo na rede interna. Durante a evoluo da tecnologia Ethernet surgiram 3 diferentes elementos de interconexo: o hub, um simples repetidor; o bridge, um repetidor inteligente; e o switch, o atual dispositivo de interconexo. A grande diferena entre um hub e um bridge residia em como exercia seu processamento. Um hub apenas repetia o sinal que chegava a uma das portas para as demais. A anlise de um hub era exclusivamente eltrica, portanto, da camada fsica. Um bridge analisava a informao para saber se deveria ou no repetir o sinal, e especialmente, onde deveria repetir o sinal. Como ele analisava os endereos da camada de enlace, um bridge era um equipamento que se enquadrava nesta camada. Contudo ambos so equipamentos do passado. O switch, que reina sozinho atualmente, na realidade um grande bridge. A diferena se limita ao nmero de portas (SPURGEON 2000, 298). Portanto um switch um equipamento da camada de enlace igual a um bridge.
Bridges.
Os bridges surgiram no incio da dcada de 80. Sua funo era subdividir a rede. Com cem computadores em um mesmo domnio de coliso, apenas um computador transmite por vez. Os outros 99 esperavam para disputar o canal. A chance de coliso era elevada neste tipo de situao. Com os bridges o administrador podia distribuir estes computadores em vrios domnios de coliso. Admitindo um bridge de 4 portas, 4 computadores poderiam transmitir simultaneamente e o bridge era o responsvel por decidir o que deve passar de um segmento para o outro. Por este motivo, deveriam ter o poder de processamento para catalogar quem est em cada segmento da rede. Tambm deveriam decidir se repetiam (ou no) o sinal para algum outro segmento da rede. Por isso, eram dispositivos caros e no tinham grandes quantidades de portas. Seu principal concorrente, o roteador, era ainda mais caro e no era essencialmente Ethernet, j que era (e ainda ) um elemento da camada de rede. Contudo, o hardware evoluiu. E os bridges passaram a ter 12, 24, 48 portas. Assim, o administrador poderia ter seus cem computadores ligados apenas a bridges sem uso de hubs. A preocupao sempre em foco de produzir equipamentos baratos deixou os switches em posio de vantagem em relao aos robustos roteadores. Com isso, cada computador tinha um domnio de coliso exclusivo. E um nico computador simplesmente no gera coliso com os demais. Assim nasceram os switches. O nome diferente era apenas uma estratgia de mercado para diferenci-lo dos bridges com poucas portas (SEIFERT e EDWARDS 2008, 147). Papo de vendedor, afinal.
Outra caracterstica importante que os switches compartilham com seus irmos mais velhos bridges o suporte a diferentes tecnologias. Por exemplo, possvel adquirir um switch com 12 portas Fast Ethernet (10 e 100Mbps) e 4 portas Gigabit Ethernet (1000Mbps). Igualmente, possvel adquirir um switch com 12 portas de par tranado (conector RJ45) e 4 portas de fibra (normalmente compatveis com trancievers para fibras multimodo). Este suporte a diferentes tecnologias era comum quando os bridges eram de ampla utilizao e foi importante nos perodos de transio de tecnologias. Continua sendo ainda hoje. O administrador deve considerar mais algumas caractersticas, alm das tecnologias que suporta, para escolher o switch correto. A lista a seguir enumera apenas as caractersticas comuns de switches no gerenciveis10:
10
Switches gerenciveis sero o foco das prximas sees.
Pgina 11.
Especializao em Redes de Computadores. Interconexo de redes / Error! Use the Home tab to apply Ttulo 1 to the text that you want to appear here. Nonblocking (SPURGEON 2000, 312): Um switch com 12 portas de 1000Mbps operando em modo
full-duplex tem uma velocidade mxima agregada de 24Gbps. Contudo, cada uma das portas
suportar 1000Mbps no garante que o processador ou a quantidade de memria alcance essa velocidade agregada. O repasse requer uma anlise das informaes. Normalmente, os switches processam um nico frame por vez. Tudo isso pode impedir o switch de alcanar a mxima velocidade agregada possvel. Contudo, os switches que garantem alcanar a sua mxima velocidade agregada recebem o nome de nonblocking. Obviamente, em cenrios com transmisses e recepes simultneas e em tempo integral esta caracterstica muito interessante. Wire-speed (SEIFERT e EDWARDS 2008, 97): A traduo literal do termo significa velocidade do fio. A ideia realmente esta. Switches que admitem esta capacidade garantem que o atraso imposto pelo processamento insignificante. Isso dificilmente impacta no resultado final, mas todos os fabricantes ostentam esta caracterstica quando possvel. Cut-through (TANENBAUM 2011, 221): Esta uma caracterstica de desempenho mais importante que a anterior. Apenas switches mais caros garantem esta tcnica. Um switch normalmente storeand-forwarder. Isto significa que ele deve receber todo o frame para, s ento, iniciar a anlise que identifica a qual porta deve proceder a informao. Switches cut-through no aguardam tanto tempo. Assim que o incio do frame chega possvel identificar o destino. O switch ento inicia o encaminhamento mesmo antes de receber o frame completo. Isso agiliza muito o repasse e torna o atraso para anlise muito prximo de 0 (impossvel para a tcnica de wire-speed). Contudo, no possvel ao switch analisar se h algum erro no frame antes de iniciar a transmisso. Como so normalmente muito caros. O administrador deve avaliar se esta caracterstica ou no necessria. Capacidade da tabela MAC: Dificilmente, um administrador conseguir comprar um switch com mais de 52 portas. Pelo menos no existem modelos de pequeno e mdio porte acessveis com mais portas que isso. Para ligar todos os dispositivos da rede o administrador ter interligar vrios switches. E a que um pequeno detalhe faz diferena. Cada switch deve conhecer todos os endereos fsicos da rede e no apenas dos dispositivos em suas portas. Por isso, switches possuem tabelas com at milhares de entradas. Um administrador, considerando que a sua rede possui muitos dispositivos, deve ter em mente que a capacidade de cada um de seus switches deve ser superior ao total de dispositivos. Isso vai evitar replicao de mensagens na rede, o que pode ser trgico em redes muito grandes. O preenchimento desta tabela o foco da prxima seo. Diante disso, o administrador pode verificar quais caractersticas so indispensveis para o seu cenrio e adquirir o switch correto. Obviamente, esta anlise considera apenas switches no gerenciveis at o momento. Ao considerar switches gerenciveis o administrador ele tambm a complexidade da seleo.
2.1 Processamento interno.

Todo o funcionamento de um switch gira em torno de sua tabela de comutao ou tabela MAC. E, mais uma vez, o administrador no precisa de nenhuma interveno para que o switch a preencha corretamente. Mais uma vez, a simplicidade ganha o jogo. Muitos autores costumam dizer que um switch plug and play justamente por este fato (KUROSE e ROSS 2010, 353). Basicamente, um switch realiza dois processamentos: um algoritmo atualiza a tabela e outro executa a ao de filtragem/repasse . O funcionamento dos bridges (e dos switches por consequncia) de responsabilidade do padro IEEE 802.1D (SPURGEON 2000, 301) (SEIFERT e EDWARDS 2008, 98). Este documento descreve como os algoritmos devem se comportar para realizar as duas operaes. Contudo, o texto detalhista apenas o suficiente para que um administrador compreenda um possvel problema. Um administrador diante de um
Pgina 12.
Especializao em Redes de Computadores. Interconexo de redes / Error! Use the Home tab to apply Ttulo 1 to the text that you want to appear here. problema que tem origem em um switch precisa entender os efeitos de informaes incorretas na tabela MAC para manipul-la da forma correta.
2.1.1 Aprendizagem automtica.

Para manter a explicao to simples quanto possvel, esta seo apresenta apenas o mecanismo de aprendizagem. este procedimento que vai inserir e atualizar os registros da tabela MAC. A prxima seo se encarrega de mostrar como o switch usa estes valores para o descarte e para o repasse. Todo frame apresenta dois endereos fsicos: destino e origem. Isso no novidade. So estes campos que o switch utiliza para operar e para atualizar a tabela. Quando o computador A envia uma informao para o computador B, ele insere o endereo fsico de B no campo de destino e seu prprio endereo fsico no campo de origem. Nenhum endereo fsico do switch aparece na mensagem. E com isso aparece a primeira observao importante: portas de switch no possuem endereos fsicos. isso mesmo, apenas interfaces de rede de dispositivos finais apresentam endereos fsicos 11. Portanto, os endereos que aparecem nos frames so sempre do destino e da origem, nunca de switches intermedirios. Da em diante, fica fcil. Quando o frame com o endereo de origem do computador A chega pela porta de nmero 8 do switch ele faz o registro. Ele grava na tabela as seguintes informaes: endereo fsico (origem), porta do switch, momento do registro (KUROSE e ROSS 2010, 352). O momento em que o registro acontece importante. Esta informao estabelece quando uma entrada vlida ou no. Isso til para a limpeza peridica da tabela. Ajuda a manter a tabela menor e um pouco mais confivel em determinadas situaes. Abaixo uma pequena lista com algumas poucas possibilidades: Manipulao do endereo fsico: Um administrador pode modificar o endereo fsico de uma estao. Assim, o endereo fsico antigo deixa de ser vlido. Como a estao vai deixar de usar o endereo antigo, quando o intervalo ultrapassar o limite o endereo deixa de ser vlido. Volta a ser um registro livre logo em seguida. Manipulao do cabo ou da interface: Um administrador pode trocar os cabos de lugar ou substituir interfaces. Pode desligar um computador de um switch e ligar em outro de uma mesma planta. Isso vai influenciar as tabelas de todos os switches da planta e no apenas dos envolvidos. Por isso, muitos registros podem ficar invlidos com uma nica manobra. Conexes entre switches: Uma rede interna pode ter um vasto nmero de ligaes entre os
switches. Se o administrador modifica estas ligaes, os registros da tabela se tornam invlidos. Assim, depois do tempo limite, os switches expurgam os endereos invlidos.
Por isso, o switch atribui como invlido todo endereo que ultrapasse um limite de tempo. Este limite faz parte da configurao do switch. O administrador no tem acesso a esta configurao no caso de switches no gerenciveis. Se uma nova informao chega pela mesma porta apresentando o mesmo endereo fsico de um registro da tabela MAC, o switch atualiza a informao e prolonga sua presena na tabela. Em longo prazo, os endereos vlidos prevalecem sobre os invlidos. Se dois endereos diferentes chegam como endereos de origem pela mesma porta o switch mantm os dois registros. Isso possvel em uma conexo entre switches, por exemplo. Ter uma tabela confivel importantssimo para o bom funcionamento da rede. Ataques de negao de servio atravs da manipulao incorreta dos endereos fsicos so razoavelmente comuns. Um atacante
11
Switches gerenciveis podem apresentar endereos fsicos. Switches gerenciveis podem trabalhar como sistemas finais (servidores web ou DHCP, por exemplo). Uma regra simples ajuda bastante nestes momentos: se tem um endereo de rede (endereo IP, por exemplo) obrigatoriamente tem endereo fsico.
Pgina 13.
Especializao em Redes de Computadores. Interconexo de redes / Error! Use the Home tab to apply Ttulo 1 to the text that you want to appear here. tambm pode tentar encher a tabela com endereos falsos apenas para exceder o limite da tabela. Isso, mesmo no causando indisponibilidade, faria a pesquisa ser muito mais lenta durante a operao de repasse do switch (SEIFERT e EDWARDS 2008, 69). Obviamente, administradores que conhecem o funcionamento dos switches sabem que o simples desligamento zera a tabela. Em switches gerenciveis, o administrador pode apagar as entradas invlidas pessoalmente ou zerar a tabela sem deixar a rede indisponvel ou sem desligar o equipamento. Apenas isso j seria justificativa suficiente para que todo administrador dedicasse um pouco do tempo a este assunto. Alm disso, muitos outros problemas (como as temveis tempestades de broadcast) podem deixar a tabela inconsistente e parar toda a rede. Para resumir esta seo, o switch interage com sua tabela de 3 diferentes maneiras: a aprendizagem automtica para inserir ou atualizar registros; o envelhecimento de registros que limpam a tabela; o processo de pesquisa que o switch realiza quando tem de escolher um destino (prxima seo). Estes trs procedimentos determinam a interao do switch com sua tabela (SEIFERT e EDWARDS 2008, 71).
2.1.2 Repasse/Descarte.
Com a construo da tabela em mente hora de compreender o repasse e o descarte. isso que um switch faz na maior parte do tempo e isso que consome a maior parcela de tempo de seu processador. Todo administrador sabe que a diferena entre um switch e um hub o poder que o switch tem de enviar a informao apenas para a porta de destino correta. Isso o repasse. Mas no to simples assim. Basicamente o switch toma uma das trs decises ao fim de toda a anlise: Repassa para a porta especfica. Esta a atividade que todo administrador espera de um
switch. O switch recebe o quadro, confere o endereo de destino no cabealho, procura uma
entrada que tenha o mesmo valor na tabela MAC e verifica a porta de destino. Neste momento ele carrega o frame no buffer da porta de sada e inicia a transmisso. Repassa para todas as outras portas. Acontece sempre que o endereo fsico de destino no est na tabela MAC. Com isso o switch se v obrigado a mandar a informao para todas as portas. A nica porta que no recebe uma cpia do frame a porta que originou o trfego. Obviamente, no necessrio enviar a informao para o local de onde veio em um switch livre de colises. Descarta o frame. Isso acontece quando, na tabela MAC, consta para o endereo fsico de destino igual a mesma porta que originou o trfego. Isso significa que algum switch repassou para todas as portas por no ter o endereo em sua tabela. Contudo, o switch atual j sabe que o destino est na mesma porta que originou o trfego. No necessrio mandar o frame para outras portas que no vo encontrar o destino to pouco mandar de volta. O switch, ento, descarta o frame. Como fcil perceber, existem dois tipos de repasse e o descarte. Muitos autores identificam o repasse para um destino como repasse unicast e o repasse para as outras portas como repasse multicast (SEIFERT e EDWARDS 2008, 65). importante ter em mente que para a maioria dos cenrios a topologia envolve vrios switches. Cada um deles mantm suas tabelas sem trocar informaes gerenciais, sem conhecer as tabelas dos outros. Muitas situaes adversas e pouco previsveis acontecem em decorrncia disso. Esta outra diferena entre os switches e os roteadores. Os roteadores traam suas rotas levando em considerao todo o caminho e aprendem com seus vizinhos (quase sempre). Os switches se preocupam em aprender sozinhos analisando os endereos fsicos e as portas nas quais o trfego chega.
Pgina 14.
Especializao em Redes de Computadores. Interconexo de redes / Error! Use the Home tab to apply Ttulo 1 to the text that you want to appear here. A figura abaixo a tentativa de explicitar o funcionamento interno de um switch. Logo aps receber o frame, o switch inicia dois processos paralelos12. As etapas com a identificao B indicam o procedimento para o repasse/filtragem. As etapas com a identificao C indicam o procedimento de insero/atualizao dos registros da tabela.
Figura 2: Fluxograma de funcionamento de um switch.
A figura no expressa o procedimento para limpar a tabela. No a recepo de um frame que dispara este procedimento, mas intervalos de tempos regulares. Por isso seria outro fluxograma. Obviamente, para
12
No necessariamente paralelos. Depende muito do fabricante. O exemplo expressa muito mais uma tentativa didtica que a representao do hardware real, que no necessariamente o mesmo para todos os switches.
Pgina 15.
switches cut-through o gatilho do processo no a recepo do frame, mas dos endereos fsicos. Ainda
assim, o fluxograma acima seria um exemplo vlido.
2.2 Switches gerenciveis.

No existe uma classificao oficial para os switches. Contudo, ao comprar um novo switch, o administrador sempre estar diante da questo: comprar um switch gerencivel ou no gerencivel? algo muito comum no mercado e exatamente esta pergunta que esta seo tenta responder. At este ponto do captulo, tudo diz respeito a qualquer classe de switch. Em outras palavras, tanto switches gerenciveis quanto no gerenciveis realizam todas as operaes das sees anteriores. Todas estas operaes funcionam sem nenhuma ateno do administrador. 1 ponto para switches no gerenciveis: dispensa configurao. Um administrador atarefado vai achar esta caracterstica maravilhosa. Aliada a esta caracterstica h outra que administradores geralmente apreciam: custo. 2 ponto para switches no gerenciveis: baixo custo. Estes so os pontos fortes dos switches no gerenciveis. Mas os switches gerenciveis realizam tarefas que os no gerenciveis sequer imaginam. Quando um administrador compra um switch gerencivel recebe tudo que um switch no gerencivel possui alm de muitas outras coisas. Obviamente isso tem um custo e deve ser fruto de uma escolha consciente. A maior parte destas outras operaes ser foco dos prximos captulos. Por isso a explanao no entra em detalhes sobre cada uma destas tcnicas. Muitas destas tcnicas focam no desempenho. Com a tcnica de agregao (IEEE 802.3.ad) um switch pode usar vrias portas simultaneamente para elevar a velocidade. Por exemplo, um switch pode usar quatro portas de 1000Mbps para se conectar a outro switch a uma velocidade de 4000Mbps. Tambm possvel usar priorizao de trfego (QoS ou IEEE 802.1p) para aplicaes que demandam urgncia, como VoIP. 1 ponto para switches gerenciveis: melhor desempenho. Com o ajuste destas tcnicas robustas, um
switch gerencivel vai apresentar um desempenho muito superior aos seus concorrentes no gerenciveis,
mesmo trabalhando a taxas equivalentes. Outras tcnicas aprimoram a segurana. Por exemplo, ao usar VLANs (IEEE 802.1q) o administrador consegue subdividir a rede. Essa subdiviso auxilia no gerenciamento e na implementao de solues de segurana. Em outras palavras, um administrador pode ligar dois computadores nas portas 1 e 2 de um switch e isol-las como se estivessem em redes completamente diferentes. Consequentemente pode usar outras tcnicas para limitar ou conceder acesso entre as portas. Com switches no gerenciveis, sempre que um administrador liga dois computadores a um mesmo switch o acesso ser sempre irrestrito. A tcnica capaz de limitar ou conceder acesso entre portas isoladas poderia ser as listas de controle de acesso (ACL). Assim, o administrador pode usar informaes como endereos de destino e origem, fsicos ou de rede; portas de destino e origem; mensagens ICMP; entre outros parmetros para conceder ou limitar o acesso. Em outras palavras, com ACL o administrador tem um firewall onde um firewall de borda no alcana. Tambm possvel usar autenticao (IEEE 802.1X). Com isso, o switch bloqueia a porta at que o usurio que utiliza a estao apresente informaes vlidas de autenticao. Alm disso, o switch capaz de verificar o status de uma estao e bloque-la se no estiver com suas atualizaes em dia, por exemplo. Ainda possvel liberar o acesso da estao apenas aos servidores de atualizao para que possa regularizar
Pgina 16.
Especializao em Redes de Computadores. Interconexo de redes / Error! Use the Home tab to apply Ttulo 1 to the text that you want to appear here. sua situao. Sob medida, enfim. E com tudo isso, os switches gerenciveis ganham seu 2 ponto: segurana. Para finalizar, switches gerenciveis apresentam uma caracterstica bvia: gerenciamento. Usando switches gerenciveis o administrador pode ligar ou desligar uma porta remotamente. Pode agendar este desligamento. Pode configurar diferentes velocidades e opes para cada porta. Pode consultar ou modificar a tabela MAC pessoalmente. Pode consultar estatsticas de trfego ou configurar o switch para salvar seus logs em um servidor. Isso apenas para ficar no que h mais bsico. Com SNMP e RMON as coisas melhoram muito. Isso sem falar das vrias possibilidades de diagnstico da rede. Ou seja, 3 ponto para switches gerenciveis: melhor gerenciamento. Com isso, o administrador pode responder melhor pergunta inicial. Mas se escolher switches gerenciveis, outra pergunta aparece: switches layer 2, layer 3 ou multilayer? Cada uma destas classificaes adiciona ou remove funes. Contudo, esta classificao direciona muito mais a compra do que a escolha efetivamente. Por isso, as trs sees a seguir so sucintas e tm por objetivo apresentar como o mercado classifica estes switches gerenciveis.
2.2.1 Layer 2 (Camada 2).

Switches layer 2 ou camada 2 ou L2 so switches que desempenham funes da camada de enlace. Ou seja, desempenham funes da camada 2. Portanto, este tipo de switch no se preocupa com nenhuma
funo da camada de rede ou superiores. Muitas das principais tcnicas so da camada de enlace. Isso faz destes switches timas opes de uma maneira geral. Agregao e VLAN, por exemplo, figuram entre estas tcnicas. Muitos administradores usam switches gerenciveis apenas para administrar VLANs. Portanto um switch L2 suficiente na maioria das vezes. Praticamente todas as tcnicas de gerenciamento tambm esto presentes nestes switches. E quanto mais elevada a classificao mais caro o switch se torna. Portanto, no h motivos para um administrador investir em um switch mais caro como L3 ou ML se um L2 suficiente. Contudo, h muita confuso nesta classificao. Por exemplo, existem switches L2 que configuram ACLs usando endereos de rede e at portas da camada de transporte. Alguns administradores podem pensar que, s pelo fato de usar informaes das camadas superiores, trata-se de um switch L3 ou ML. Isto incorreto. Switches L2 possuem a capacidade de compreender algumas informaes das camadas superiores. Contudo, estes switches dificilmente conseguem manipular estas informaes como dispositivos das camadas superiores fariam. isso que norteia essa classificao de camadas.
2.2.2 Layer 3 (Camada 3).

Usando o princpio que aparece no pargrafo anterior, um administrador pode definir facilmente a diferena entre um dispositivo L2 e L3. Os roteadores realizam as funes da camada de rede. Ento, um switch L3 um switch com capacidade de roteamento. Por isso um switch L2 compreende informaes da camada de rede, como os endereos IP, mas no pode us-los para rotear datagramas como um roteador faria. Mas um switch L3 pode. Portanto, a grande vantagem de usar um switch L3 ter um roteador funcionando dentro de um switch da rede interna! Alguns autores chegam a afirmar que switch L3 apenas outro nome para roteador (SEIFERT e EDWARDS 2008, 160). E ter capacidade de roteamento uma grande vantagem. Com o isolamento que a tcnica de VLAN oferece em um switch L2, seria necessrio usar um roteador ou um servidor com capacidade de roteamento para
Pgina 17.
Especializao em Redes de Computadores. Interconexo de redes / Error! Use the Home tab to apply Ttulo 1 to the text that you want to appear here. reconectar as LANs virtuais13. Com o switch L3 o administrador pode configurar as rotas dentro do prprio switch. Isso significa dizer que toda a configurao de VLAN e tudo mais que d suporte a esta configurao de responsabilidade apenas do switch. Assim, o administrador pode resolver o problema comprando apenas um switch, sem investir em um roteador novo. No ter de aprender a configurar dois dispositivos diferentes, mas apenas o que resolve o seu problema. Recebe os benefcios de manter o foco no que realmente precisa resolver.
Switches L3 so mais caros que switches L2. Isso parece muito bvio. S em casos extremos essa regra pode se inverter. Contudo, os preos variam tambm entre os switches L3. Normalmente, esta variao diz respeito a sua capacidade de roteamento. Existem switches L3 que suportam poucas dezenas de rotas
estticas e esto entre os mais baratos. O administrador tem um nmero limitado de rotas que deve configurar pessoalmente, uma a uma. Estas caractersticas vo melhorando at chegar aos switches que suportam protocolos de roteamento como RIP e OSPF. Isso permite ao switch trocar informaes com os roteadores tradicionais para preencher suas tabelas de rotas dinamicamente. So bem mais caros. Mas em um cenrio onde um administrador possui vrios roteadores esta seria a melhor escolha, certamente. O novo switch L3 iria colaborar na montagem das tabelas dos roteadores e iria receber informaes para montar a sua automaticamente. E ainda existem switches que do suporte a protocolos proprietrios, como o EIGRP da CISCO. Assim roteadores e switches devem ser do mesmo fabricante para trocar informaes corretamente. Todas estas decises impactam diretamente no preo do equipamento. E surge uma nova subdiviso entre os switches L3: com suporte a rotas estticas ou com suporte a rotas dinmicas. Para pequenas redes, o suporte a rotas estticas costuma ser suficiente. Um roteador com 32 rotas estticas vai permitir configurar duas sadas redundantes para a internet alm de umas seis redes locais. Isso usando pouco mais que a metade das rotas disponveis. isto que d para fazer com um switch L3 entre os mais baratos do mercado. J um switch L3 com suporte a rotas dinmicas, s se justifica em cenrios com vrios outros roteadores e/ou switches L3. O protocolo de roteamento RIP d suporte a 15 saltos consecutivos entre os roteadores mais distantes da rede (KUROSE e ROSS 2010, 286). Isso permite ligar muitos roteadores e/ou switches L3 em uma nica rede (LAN+WAN). Switches L3 com suporte a RIP so mais caros que switches L3 com suporte a rotas estticas. Porm, ainda existem os switches L3 com suporte a OSPF que so bem mais caros. Estes apresentam solues para redes ainda maiores ou com links que tenham grandes diferenas de velocidade. Casos realmente especficos. O administrador deve levar tudo isso em considerao14.
2.2.3 Multilayer (Multicamada).

Identificar switches L2 e L3 simples. Basicamente, o administrador apenas confere sua capacidade de roteamento (usando endereos de rede como os endereos IP). Pena que a simplicidade acaba a. O termo multicamada extremamente controverso. As muitas definies do mercado so muito diferentes. O administrador deve ter em mente estas definies controversas para no comprar gato por lebre. Esta seo uma tentativa de explanar cada uma destas definies (as mais comuns, pelo menos). O conceito mais simples (e talvez o mais comum) afirma que qualquer switch que implemente funes de mais de uma camada multicamada. Assim, um switch L3 passa a ser multicamada, j que as funes da camada de enlace (obrigatrias) e as funes da camada de rede. A afirmao abaixo e uma das que colaboram com esta ideia:
13
O foco no compreender a tcnica de VLAN, mas a necessidade ou no de um roteador para conectar as diferentes LANs. VLAN ser alvo de estudos do prximo captulo. 14 Roteamento esttico e protocolos de roteamento so assuntos dos prximos captulos.
Pgina 18.
Switches, no sentido tradicional, operam na camada dois do modelo OSI. Os primeiros switches multilayer foram os switches layer 3, j que tinham a habilidade de roteamento entre as VLANs. Atualmente, switches podem realizar qualquer operao que um roteador faria incluindo testes de protocolos e manipulao at a camada sete. Assim, nos referimos a switches que operam acima da camada dois como multilayer switches (DONAHUE 2007, 197).
A CISCO Systems uma empresas das lderes do mercado. Muitos dos equipamentos de rede mais robustos do mercado so da CISCO. Muitas das tcnicas que hoje so padres IEEE nasceram em seus laboratrios. E para a CISCO, no existem switches multicamada. Ela identifica seus switches como L2, L3 e L4 (WEBB 2003, 16). O termo multicamada para a CISCO algo completamente diferente:
A comutao multicamadas combina a funcionalidade da comutao de Camada 2 com o roteamento de Camada 3. (...) A comutao multicamadas baseia-se no modelo roteie uma vez, comute muitas (WEBB 2003, 17).
Portanto, o conceito de comutao multicamadas (multilayer switching) da CISCO tem pouca relao com switch multicamada (multilayer switch). Para CISCO, comutao multicamada a combinao das funes de repasse da camada 2 e de roteamento da camada 3. Apesar disso, a sigla MLS representa as duas ideias igualmente. H ainda os que no defendem nenhuma das aplicaes do termo multicamada. Tambm uma ideia interessante, j que o termo controverso. O trecho abaixo uma traduo de um autor que defende esta ideia:
Um switch layer 4 uma denominao de mercado para um roteador que suporta polticas que consideram as aplicaes envolvidas sem afetar seu desempenho significantemente. Vale frisar que, exceto pelo nome, no h nenhuma implementao do TCP como parte da funo de comutao. Um switch L2 implementa funes da camada de enlace; um switch L3 implementa funes da camada de rede. Um switch L4 no implementa funcionalidade da camada de transporte; ele continua sendo um dispositivo L3 (SEIFERT e EDWARDS 2008, 175).
Apesar de polmica, esta ideia faz muito sentido, j que no existem dispositivos camada 4 nativos como acontece com os roteadores na camada 3 ou com os hubs da camada 2. Um switch seria camada 4 se suportasse abertura conexes e controle de fluxo de transmisses TCP, por exemplo. Ou controle das variveis que definem as janelas de recepo para diferentes conexes TCP. Contudo no o caso da maioria dos switches que recebe a etiqueta L4. Isso apenas acontece nos sistemas finais, ou seja, nos computadores e servidores da rede. E o mesmo autor continua:
Muitos vendedores anunciam equipamentos que implementam funes das camadas 4-7 como switches L4-7. Neste caso, no se trata de um switch e os vendedores definem o termo sua prpria vontade no assegurando a mesma definio para diferentes fabricantes. (...) Alguns switches podem operar na camada 7 do modelo OSI. Estes switches so usados para balanceamento de carga entre grupos de servidores (SEIFERT e EDWARDS 2008, 176-177).
Mais uma vez o termo aparece, mas faz referncia a outro equipamento. Duvido que um administrador sensato compre um balanceador de carga como um switch. Enfim, qualquer conceito acima de L3 confuso
Pgina 19.
Especializao em Redes de Computadores. Interconexo de redes / Error! Use the Home tab to apply Ttulo 1 to the text that you want to appear here. e inconsistente. Trata-se de um esforo do mercado de emplacar seus produtos e no de uma definio tcnica sria. Por isso, o administrador deve filtrar as propagandas e estar atento s funcionalidades que busca.
Pgina 20.
Captulo 3 Configuraes bsicas de switches gerenciveis.

Com todo o repositrio terico dos captulos anteriores, chega o momento de um pouco de ao. Como switches gerenciveis so o alvo de todo esta sequncia de captulos, est na hora de configur-los. O objetivo deste captulo usar dispositivos gerenciveis, de maneira prtica. Alguns exemplos usam roteadores e outros usam switches. Na realidade os comandos funcionam indiscriminadamente em ambos, exceto em raras excees. Muitas destas configuraes so bsicas e maantes, mas sempre importantes. Por exemplo, administradores costumam lembrar do backup quando tarde demais. Por isto, este captulo se preocupa com as pequenas configuraes que so indispensveis a qualquer switch gerencivel. Tambm a oportunidade de ter um primeiro contato com o console de gerenciamento de alguns dos switches do mercado e com a ferramenta de simulao til para os testes. Como referncia, todas as configuraes deste material sugerem a utilizao de interface de linha de comando de produtos CISCO. Portanto, os comandos podem variar dependendo do dispositivo ou simulador em uso. Especialmente, o acesso pode ser via console ou Telnet, o que modifica alguns detalhes. Contudo, de maneira geral, os comandos so sempre os mesmos. Usar o simulador pode ser mais prtico para testes. Montar um ambiente de testes com equipamentos reais vai sair caro. Porm, cedo ou tarde, todo administrar deixa a bancada e parte para o sistema de produo. A princpio, a abordagem foca no sistema operacional destes dispositivos: o Internetwork Operating System ou CISCO-IOS. Por enquanto, a abordagem a mesma para switches e roteadores. Mas estas diferenas ficaro mais evidentes a cada pgina. Ao ligar um equipamento pela primeira vez, pode aparecer uma mensagem para iniciar um dilogo de configurao. como um assistente e muito comum em roteadores. Normalmente sugere definio no nome de host, de senhas para gerncia e configurao de interfaces. Como a ideia conhecer a interface de linha de comando, esta abordagem sugere ignorar este assistente. O prompt sempre mostra o nome do dispositivo e um sinal que pode ser > (modo usurio) ou # (modo privilegiado). Normalmente, o modo usurio permite verificar algumas configuraes, mas no permite modific-las. Muitos comandos ficam disponveis apenas no modo privilegiado. O comando para mudar para o modo privilegiado enable. Para voltar para o modo usurio o comando disable. H tambm o modo de configurao. nele que as mudanas de configurao acontecem de fato e o comando configure terminal. Para sair do modo de configurao o comando exit. Outra dica usar o comando ? para ajuda. Por exemplo, o comando configure ? mostra todas as opes do comando configure. Tambm no necessrio digitar todo o comando. Por exemplo, possvel usar ena no lugar de enable ou disa no lugar de disable. Tambm possvel usar a tecla TAB para completar comandos. Este material sempre apresenta o comando completo para ser mais didtico. Contudo, administradores experientes raramente usam o comando completo. Outro fator importante que o prompt dos dispositivos sensvel ao modo. Comandos do modo usurio pode no funcionar no modo privilegiado ou no modo de configurao e assim por diante. Sempre que h mudana no modo h mudana no indicador do prompt. Portanto, quando um comando muda o prompt para Router(config-if)# (modo de configurao de interface) o conjunto de comandos aceitos pelo dispositivo muda tambm. Neste caso, apenas comandos para configurar interfaces executam. Durante a configurao estes modos mudam o tempo todo.
Pgina 21.
Especializao em Redes de Computadores. Interconexo de redes / Error! Use the Home tab to apply Ttulo 1 to the text that you want to appear here. Em todos os exemplos abaixo, o texto exibe tudo que aparece no console de um dispositivo, normalmente um roteador. Para estes exemplos iniciais, todos os comandos funcionam em todos os dispositivos que rodam o IOS. Em casos especficos o texto evidencia qual o tipo de dispositivo. Os trechos em negrito so os que representam a entrada do administrador, os comandos. Trechos em azul merecem algum destaque. E mos a obra.
3.1 Mudana do nome do dispositivo.

O nome do dispositivo uma das configuraes mais bsicas. Pode parecer uma besteira, mas quando o administrador tem 20 roteadores e todos eles tem o nome router fica realmente complicado. A sequncia de comandos a seguinte:
01 02 03 04 05 06 07 08 09 Router>enable Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname rt1 rt1(config)#exit rt1# %SYS-5-CONFIG_I: Configured from console by console disable rt1>
O comando de n 4 o que realmente executa a modificao. Ele muda o nome do dispositivo atual para rt1. Logo aps esta linha o prompt apresenta o novo nome de dispositivo.
3.2 Mudana de senhas de acesso.

As senhas so um importante requisito de segurana. normal negligenci-las em um ambiente de testes, mas nunca em um ambiente de produo. So duas senhas: secret para o modo privilegiado e password para o modo privilegiado em dispositivos antigos (anterior ao IOS 10.3). A boa prtica usar ambas as senhas iguais, j que nos dispositivos novos password no funciona na prtica.
01 02 03 04 05 06 07 08 09 10 rt1>enable rt1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. rt1(config)#enable secret p@ssw*rd rt1(config)#enable password p@ssw*rd rt1(config)#exit rt1# %SYS-5-CONFIG_I: Configured from console by console disable rt1>
Neste exemplo, ambas as senhas so p@ssw*rd (linhas 4 e 5). Tambm possvel acessar o roteador via Telnet. No necessrio dizer o quanto pode ser til acessar um roteador remotamente via Telnet. Mas tambm pode ser um risco de segurana. A princpio todos os terminais de acesso Telnet esto indisponveis. Configur-los e mudar a senha os comandos so:
01 02 03 04 05 06 07 08 09 10 rt1>enable Password: rt1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. rt1(config)#line vty ? <0-15> First Line number rt1(config)#line vty 0 15 rt1(config-line)#login % Login disabled on line 66, until 'password' is set % Login disabled on line 67, until 'password' is set
Pgina 22.
11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 % Login disabled on line 68, until 'password' is set % Login disabled on line 69, until 'password' is set % Login disabled on line 70, until 'password' is set % Login disabled on line 71, until 'password' is set % Login disabled on line 72, until 'password' is set % Login disabled on line 73, until 'password' is set % Login disabled on line 74, until 'password' is set % Login disabled on line 75, until 'password' is set % Login disabled on line 76, until 'password' is set % Login disabled on line 77, until 'password' is set % Login disabled on line 78, until 'password' is set % Login disabled on line 79, until 'password' is set % Login disabled on line 80, until 'password' is set % Login disabled on line 81, until 'password' is set rt1(config-line)#password p@ssw*ord rt1(config-line)#exec-timeout 15 rt1(config-line)#exit rt1(config)#exit rt1# %SYS-5-CONFIG_I: Configured from console by console disable rt1>
A linha 5 termina com ? que significa um pedido de ajuda. A resposta est na linha de n 6. Esta resposta indica que existem 16 terminas Telnet (que o IOS chama de VTY), de 0 a 15. Existem diferentes modelos com maior ou menor nmero de terminais Telnet. Por isso, importante verificar a quantidade para este procedimento. A linha 7 seleciona os terminais Telnet para configurao. Neste momento, o prompt do dispositivo muda para indicar que se trata de configurao de uma line (que significa terminal line ou linha de terminal). A linha 8 especifica que estes terminais devem exigir login e a resposta aparece nas linhas de 9 a 24. Elas indicam uma mudana individual em cada um dos 16 terminais Telnet especificando que o login no possvel at determinar a senha. Isso acontece na linha 25 com a habilitao da senha p@ssw*rd. O ideal que esta senha seja diferente das anteriores. Assim o invasor que descobrir a senha do acesso via Telnet ter de investir mais tempo para descobrir a senha do modo privilegiado. A linha 26 configura o tempo de time out. Este intervalo, em minutos, o tempo mximo que uma seo Telnet ociosa passa aberta. Obviamente, o administrador pode decidir no usar Telnet. Contudo, ele fica limitado a poucas opes. Tem o console que exige que o administrador esteja presente. Tem o terminal auxiliar. D para ligar um modem nele e o administrador disca via linha telefnica e se conecta a esta porta. No prtico, mas funcional. Por fim, h a possibilidade de usar SSH que a melhor das opes. Mas o administrador precisa cadastrar usurios e criar chaves entre outras coisas. No to simples quanto Telnet, mas mais seguro. Alm disso, este recurso s est disponvel nos dispositivos com verses mais recentes do IOS. Assim como na configurao de terminais Telnet, o administrador pode modificar a senha e o time out do console. Como o acesso ao console exige a presena fsica, normalmente no h uma senha para o console. Contudo, essa uma questo de segurana e no de administrao.
3.3 Configurao de login com usurio e senha no console.

Quando h apenas um administrador, fcil vincular a senha aos dispositivos. Muitos administradores fazem exatamente assim, mesmo com mais de um profissional mudando as configuraes dos dispositivos. Mas quando muitos mudam as configuraes, o ideal ter usurios diferentes para cara um dos administradores. exatamente isso que a sequncia de comandos realiza:
01 02 rt1>enable Password:
Pgina 23.
03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 rt1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. rt1(config)#username admin1 secret p@ss1 rt1(config)#username admin2 secret p@ss2 rt1(config)#line console 0 rt1(config-line)#login local rt1(config-line)#exit rt1(config)#line vty 0 15 rt1(config-line)#login local rt1(config-line)#exit rt1(config)#exit rt1# %SYS-5-CONFIG_I: Configured from console by console disable rt1>exit
As linhas 5 e 6 configuram os nomes de usurio e respectivas senhas. Obviamente, deve haver uma linha para cada um dos administradores num ambiente de produo. As linhas de 7 a 9 configuram o console. A linha 8 a que interessa de fato. Ela informa que a verificao de login local. Em outras palavras, o prprio dispositivo que vai verificar se o usurio e a senha esto corretos. Isso significa que estes usurios servem apenas para este dispositivo. Nas linhas de 10 a 12 acontece a mesma coisa para os terminais Telnet. Logo aps o procedimento o prompt no aparece mais por padro. Ao ligar o console aparece a mensagem solicitando o nome de usurio. Os exemplos a seguir no utilizam esta configurao.
3.4 Configuraes de interfaces Ethernet em um roteador.

Este exemplo e o prximo tratam de configuraes em roteadores. Eles apresentam diferentes tipos de interface e isso enriquece a abordagem do ponto de vista didtico. Primeiro as interfaces locais ou Ethernet. O comando a seguir lista as interfaces disponveis:
01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 rt1>show interfaces FastEthernet0/0 is administratively down, line protocol is down (disabled) () FastEthernet1/0 is administratively down, line protocol is down (disabled) () Serial2/0 is administratively down, line protocol is down (disabled) () Serial3/0 is administratively down, line protocol is down (disabled) () FastEthernet4/0 is administratively down, line protocol is down (disabled) () FastEthernet5/0 is administratively down, line protocol is down (disabled) () GigabitEthernet6/0 is administratively down, line protocol is down (disabled) () GigabitEthernet7/0 is administratively down, line protocol is down (disabled) ()
O comando show interfaces tanto roda no modo usurio como no modo privilegiado. A sada deste comando enorme e as reticncias representam as partes faltantes. Por enquanto, este excesso de detalhes pode ser prejudicial. Basta atentar para as linhas em destaque que ficam sempre mais esquerda quando o comando roda em um roteador. A primeira observao que todas terminam com o termo disabled. Isso indica que esto obviamente fora de operao. assim que um roteador inicia quando no houve nenhuma configurao prvia. O incio da linha indica o tipo de interface e a sua identificao. So 4 interfaces Fast Ethernet (linhas 2, 4, 10 e 12) e 2 interfaces Gigabit Ethernet (linhas 14 e 16). Portanto, este roteador capaz de interligar seis diferentes segmentos de uma rede local. Ainda existem 2 outras interfaces seriais (linhas 6 e 8). Todas elas
Pgina 24.
Especializao em Redes de Computadores. Interconexo de redes / Error! Use the Home tab to apply Ttulo 1 to the text that you want to appear here. esto administrativamente desligadas e o protocolo tambm indica que est fora de operao. A lista de comandos abaixo configura a interface GigabitEthernet6/0 com o endereo de rede 192.168.0.1/24 e a interface GigabitEthernet7/0 com o endereo de rede 10.0.0.1/8.
01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 rt1>enable Password: rt1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. rt1(config)#interface GigabitEthernet 6/0 rt1(config-if)#ip address 192.168.0.1 255.255.255.0 rt1(config-if)#no shutdown rt1(config-if)# %LINK-5-CHANGED: Interface GigabitEthernet6/0, changed state to up exit rt1(config)#interface gi7/0 rt1(config-if)#ip address 10.0.0.1 255.255.0.0 rt1(config-if)#no shutdown rt1(config-if)# %LINK-5-CHANGED: Interface GigabitEthernet7/0, changed state to up exit rt1(config)#exit rt1# %SYS-5-CONFIG_I: Configured from console by console disable rt1>
A linha 5 inicia o modo de configurao de interface. O nico parmetro para o comando a interface que recebe as configuraes. Para configurar um endereo de rede basta especificar o endereo e a mscara como parmetros para o comando da linha 6. O comando da linha 7 ativa a interface. Na realidade o comando shutdown que desativa uma interface. Porm, precedido do comando no inverte a ao e assume o compromisso de ativar. Infelizmente no existe um comando especfico para ativar interfaces. Para finalizar, basta sair do modo de configurao da interface (linha 11). A mesma coisa acontece entre as linhas 12 e18. A nica diferena que o nome da interface est abreviado na linha 12. Os trechos em destaque mostram a mensagem do roteador indicando a mudana de status da interface. Na sada do comando show interfaces agora aparecem outras informaes para estas interfaces:
01 02 03 04 05 06 rt1#show interfaces () GigabitEthernet6/0 is up, line protocol is down (disabled) () GigabitEthernet7/0 is up, line protocol is down (disabled) ()
A informao mudou de administratively down para is up. Contudo line protocol is down continua aparecendo. Isso acontece quando a configurao da interface est correta, mas o cabo de rede est desconectado ou alguma outra coisa impede a ativao desta interface. Neste caso no h possibilidade de trfego e a interface continua desativada. Se tudo estiver correto a sada do comando muda para:
01 GigabitEthernet6/0 is up, line protocol is up (connected)
Sempre que h esta indicao significa que a interface esta operacional, ou seja, h configurao e todos os pr-requisitos para transmisso/recepo conferem.
3.5 Configuraes de interfaces seriais em um roteador.

Contudo, roteadores normalmente apresentam interfaces seriais para comunicaes de longa distncia. E configurar uma interface serial exige outras informaes. Basicamente, interfaces seriais necessitam que o
Pgina 25.
Especializao em Redes de Computadores. Interconexo de redes / Error! Use the Home tab to apply Ttulo 1 to the text that you want to appear here. administrador defina no mnimo o clock de trabalho. Podem haver informaes como keep alive, criptografia ou uso de protocolos de estabelecimento da conexo como o PPP15. Contudo, este exemplo limita-se apenas ao bsico. Alm disso, o administrador deve garantir que as configuraes sejam compatveis nos dois lados da conexo serial. Estas facilidades esto presentes no padro Ethernet graas tcnica de autonegociao. Para configurar uma interface serial os comandos so:
01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 rt1>enable rt1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. rt1(config)#interface serial 2/0 rt1(config-if)#clock rate 4000000 rt1(config-if)#ip address 172.16.1.1 255.255.255.252 rt1(config-if)#no shutdown %LINK-5-CHANGED: Interface Serial2/0, changed state to down rt1(config-if)#exit rt1(config)#exit rt1# %SYS-5-CONFIG_I: Configured from console by console disable rt1>
Neste caso, a interface usa um clock de 4 milhes de bits por segundo. Este o valor que define a velocidade da interface e deve ser compatvel com as opes disponveis no roteador. No possvel atribuir este valor arbitrariamente. Ao tentar definir um valor fora da lista padro do roteador acontece como no exemplo a seguir:
01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 rt1(config-if)#clock rate ? Speed (bits per second 1200 2400 4800 9600 19200 38400 56000 64000 72000 125000 128000 148000 250000 500000 800000 1000000 1300000 2000000 4000000 <300-4000000> Choose clockrate from list above rt1(config-if)#clock rate 3000000 Unknown clock rate
O primeiro comando lista as taxas de clock aceitveis para o dispositivo em questo. Na realidade, os valores esto em bits por segundo o que configuraria a velocidade e no a frequncia, como o termo clock pode sugerir. A lista deste dispositivo tem 19 opes de 1200bps a 4000000bps. O segundo comando tentar configurar um valor que, apesar de estar entre o maior e o menor, no aparece na lista. A resposta (em destaque) afirma que a taxa desconhecida.
15
Muitas destas configuraes estaro nos captulos dedicados exclusivamente ao estudo de roteadores.
Pgina 26.
3.6 Configurao de interfaces Ethernet em switches.

Se um administrador listar as interfaces de um switch gerencivel com o comando show interfaces ele vai ter uma lista bem parecida com a que apare em um roteador. Contudo, ao tentar atribuir um endereo a uma interface as coisas do errado de acordo com a lista abaixo:
01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 sw1(config)#interface FastEthernet 0/1 sw1(config-if)#ip address 192.168.0.2 255.255.255.0 ^ % Invalid input detected at '^' marker. sw1(config-if)#? cdp channel-group channel-protocol description duplex exit mac-address mls no shutdown spanning-tree speed storm-control switchport tx-ring-limit sw1(config-if)#
Global CDP configuration subcommands Etherchannel/port bundling configuration Select the channel protocol (LACP, PAgP) Interface specific description Configure duplex operation. Exit from interface configuration mode Manually set interface MAC address mls interface commands Negate a command or set its defaults Shutdown the selected interface Spanning Tree Subsystem Configure speed operation. storm configuration Set switching mode characteristics Configure PA level transmit ring limit
O primeiro comando seleciona a interface Fast Ethernet 0/1 para configurao, mas o segundo comando retorna um erro. Usando o comando de ajuda, a lista no apresenta o comando ip. Isso confirma a afirmao de que uma porta de switch no pode assumir um endereo de rede, apesar de ser possvel atribuir um endereo fsico. Para atribuir um endereo de rede a um switch gerencivel necessrio usar uma interface virtual. Estas interfaces existem para as configuraes de redes locais virtuais (VLANs), mas uma delas j est ativa por padro. Sem entrar nos detalhes de funcionamento das VLANs 16, o exemplo a seguir atribui o endereo de rede 192.168.0.2/24 conforme as configuraes anteriores no roteador:
01 02 03 04 05 06 07 08 09 10 11 12 13 14 sw1>enable Password: sw1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. sw1(config)#interface vlan1 sw1(config-if)#ip address 192.168.0.2 255.255.255.0 sw1(config-if)#no shutdown %LINK-5-CHANGED: Interface Vlan1, changed state to up sw1(config-if)#exit sw1(config)#exit sw1# %SYS-5-CONFIG_I: Configured from console by console disable sw1>
Exceto pelo nome da interface, configurar a interface de um switch exatamente igual a configurar uma interface Ethernet de um roteador. Isso mostra como o uso do IOS similar mesmo em dispositivos
16
Este o tema do prximo captulo.
Pgina 27.
Especializao em Redes de Computadores. Interconexo de redes / Error! Use the Home tab to apply Ttulo 1 to the text that you want to appear here. completamente diferentes. Mostra tambm como importante lembrar que uma porta de switch diferente de uma interface de rede completa17.
3.7 Ajuste da data e hora.

Agora que a rede funciona normalmente, possvel ajustar a data e a hora de duas formas diferentes: manualmente ou via servidor de tempo. A primeira possibilidade no precisa da rede, mas usar um servidor de tempo tem muitas vantagens. Ao configurar um servidor de tempo, mesmo que o equipamento fique desligado, ao iniciar vai ajustar a data e a hora automaticamente. Isso vai tornar coerente vrias informaes como os registros de log, por exemplo. Os comandos abaixo exemplificam isso.
01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 rt1>show clock *5:0:15.418 UTC Thu Jan 1 1998 rt1>enable Password: rt1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. rt1(config)#ntp server 192.168.0.3 rt1(config)#ntp update-calendar rt1(config)#exit rt1# %SYS-5-CONFIG_I: Configured from console by console rt1#show clock *20:5:58.119 UTC Thu Apr 25 2013 rt1#disable rt1>
O primeiro comando apenas mostra a data e hora atual. O comando da linha 7 define o uso do servidor NTP que roda no endereo de destino 192.168.0.3 e o comando seguinte (linha 8) fora uma atualizao na data/hora. O comando da linha 14 confirma a nova informao. Obviamente, o administrador deve escolher ou configurar um servidor de tempo de sua confiana. Em alguns casos, o dispositivo atualiza as informaes de um servidor que envia a data/hora GMT. Nestes casos, o administrador tem de configurar o fuso horrio para o dispositivo fazer a correo. O comando abaixo, imediatamente antes da linha 7 do exemplo anterior, faria esta correo:
rt1(config)#clock timezone BRT -3
Mas nem todos os equipamentos permitem esta configurao. Muitos switches simplesmente no atualizam a data/hora a partir de servidores NTP. Portanto, o administrador deve, muitas vezes, atualizar estas informaes manualmente. Como na lista de comandos a seguir:
01 02 03 04 05 06 07 08 09 sw1>show clock *5:5:11.284 UTC Thu Jan 1 1998 sw1>enable Password: sw1#clock set 20:18:00 Apr 25 2013 sw1#show clock *20:18:4.844 UTC Thu Apr 25 2013 sw1#disable sw>
O comando da linha 5 configura a data/hora. A ordem dos parmetros a nica coisa que merece destaque o formato da informao de data/hora.
17
Seo 2.1.1 Aprendizagem automtica, 2 pargrafo.
Pgina 28.
3.8 Registro da configurao e backups.

o mais fcil de tudo. Resume-se a um comando (write) sem parmetros adicionais. Contudo este procedimento extremamente problemtico. Administradores, depois de passar horas trabalhando e com a rede 100% operacional, acabam por esquecer de gravar as configuraes. E muito difcil de lembrar deste detalhe, j que a rede vai continuar funcionando normalmente at a prxima queda de energia ou desligamento dos dispositivos. Por isso, to importante se lembrar deste detalhe. Os comandos so:
01 02 03 04 05 rt1>enable Password: rt1#write Building configuration... [OK]
Depois disso, mesmo que o equipamento desligue, a configurao se mantm. Tambm possvel usar o comando copy para gravar a configurao. A sequncia de comandos :
01 02 03 04 05 06 sw1>enable Password: sw1#copy running-config startup-config Destination filename [startup-config]? <<Enter>> Building configuration... [OK]
Neste caso o comando est na linha 3. Ele admite dois parmetros: origem e destino. E existem dois arquivos que podem ser utilizados como parmetros: running-config e startup-config. O primeiro deles nada mais que a configurao vigente e o segundo a configurao que o dispositivo carrega na inicializao. Neste caso, ele faz exatamente o que o comando write faz: grava a configurao atual para que seja carregada durante a inicializao. Contudo, o contrrio tambm possvel, para o caso de algo dar errado e querer voltar ao estado anterior. Mas o comando copy muito mais interessante que o comando write. Ele admite outras origens e destinos. A ajuda permite verificar os parmetros possveis para o comando copy. E novas e valiosssimas oportunidades ficam evidentes:
01 02 03 04 05 06 sw1#copy ? flash: ftp: running-config startup-config tftp: Copy Copy Copy Copy Copy from from from from from flash: file system ftp: file system current system configuration startup configuration tftp: file system
possvel copiar de/para a memria flash ou de/para um servidor FTP (ou TFTP). Isso permite realizar backups das configuraes de maneira bem simples no prprio dispositivo ou em outro dispositivo da rede. Abaixo um exemplo de backup para a memria flash (o mais simples possvel):
01 02 03 04 rt1#copy running-config flash: Destination filename [running-config]? abr-2013 Building configuration... [OK]
Neste caso, o administrador deve confirmar o nome do arquivo logo aps o comando (linha 2). Para cpias para um servidor FTP as coisas se tornam um pouco mais complexas. O exemplo abaixo mostra como o procedimento:
01 02 03 04 05 rt1>enable Password: rt1#configure terminal Enter configuration commands, one per line. rt1(config)#ip ftp username cicerow
End with CNTL/Z.
Pgina 29.
06 07 08 09 10 11 12 13 14 15 16 17 rt1(config)#ip ftp password p@assw*rd rt1(config)#exit rt1# %SYS-5-CONFIG_I: Configured from console by console copy running-config ftp: Address or name of remote host []? 192.168.0.3 Destination filename [rt1-confg]? rt1-conf-abr-2013 Writing running-config... [OK - 993 bytes] 993 bytes copied in 0.141 secs (7000 bytes/sec) rt1#disable rt1>
Antes de iniciar a cpia, o administrador deve informar o nome de usurio (linha 5) e a senha (linha 6) para acesso ao servidor. Essa configurao s possvel no modo de configurao. Depois disso basta realizar a cpia no modo privilegiado (linha 10). O dispositivo ainda questiona o endereo (ou nome) do servidor FTP (linha 11) e o nome do arquivo (linha 12). A cpia de um servidor FTP para o dispositivo acontece da mesma maneira.
3.9 Identificao de informaes do sistema.

At agora, este captulo apresenta pequenos procedimentos para configurar um dispositivo sem configuraes. Contudo, administradores encontram redes que j esto funcionando h anos e ningum sabe exatamente como funciona. Pior, encontram estas redes quando elas j no esto mais funcionando. Por isso, deve realizar uma grande coleta de informaes antes de iniciar os procedimentos de configurao. Este captulo vai focar apenas nas configuraes mais simples e corriqueiras. Obviamente, um administrador precisa conhecer as tabelas de roteamento de todos os roteadores em busca de uma possvel falha de roteamento, mas isso alvo de estudos de um captulo dedicado a apenas este tema. Por enquanto, apenas o que h de mais simples. Para estas verificaes, poucos comandos so to teis quanto o comando show. Este nico comando mostra praticamente tudo, mas vrios parmetros. O primeiro exemplo pode ser o show flash j que o ltimo procedimento gravou um arquivo de backup nesta memria:
01 02 03 04 05 06 07 08 09 rt1#show flash: System flash directory: File Length Name/status 4 948 abr-2013 3 5571584 pt1000-i-mz.122-28.bin 2 28282 sigdef-category.xml 1 227537 sigdef-default.xml [5828145 bytes used, 58188239 available, 64016384 total] 63488K bytes of processor board System flash (Read/Write)
Este comando mostra informaes sobre a utilizao do espao de armazenamento (destaque). Tambm mostra a lista com todos os arquivos e os respectivos tamanhos. O arquivo de n 4 o backup do procedimento anterior. Detalhar como esta memria funciona exatamente no est no escopo deste material. Contudo, problemas podem decorrer do esgotamento deste espao de armazenamento. Muitas vezes o administrador precisa de informaes mais detalhadas do dispositivo. Por exemplo, a verso do IOS para ter certeza de que d suporte a algum procedimento especfico ou a quantidade/tipo de interfaces. O comando abaixo faz isso:
01 02 03 rt1>show version Cisco Internetwork Operating System Software IOS (tm) PT1000 Software (PT1000-I-M), Version 12.2(28), RELEASE SOFTWARE (fc5)
Pgina 30.
04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2005 by cisco Systems, Inc. Compiled Wed 27-Apr-04 19:01 by miwang Image text-base: 0x8000808C, data-base: 0x80A1FECC ROM: System Bootstrap, Version 12.1(3r)T2, RELEASE SOFTWARE (fc1) Copyright (c) 2000 by cisco Systems, Inc. ROM: PT1000 Software (PT1000-I-M), Version 12.2(28), RELEASE SOFTWARE (fc5) System returned to ROM by reload System image file is "flash:pt1000-i-mz.122-28.bin" PT 1001 (PTSC2005) processor (revision 0x200) with 60416K/5120K bytes of memory . Processor board ID PT0123 (0123) PT2005 processor: part number 0, mask 01 Bridging software. X.25 software, Version 3.0.0. 4 FastEthernet/IEEE 802.3 interface(s) 2 Gigabit Ethernet/IEEE 802.3 interface(s) 2 Low-speed serial(sync/async) network interface(s) 32K bytes of non-volatile configuration memory. 63488K bytes of ATA CompactFlash (Read/Write) Configuration register is 0x2102 rt1>
No destaque esto as informaes da verso do IOS, do nome da imagem de sistema, das interfaces de rede e da quantidade memria flash. Isso para ficar apenas no mais interessante. Muitas outras informaes podem ser importantes para cenrios especficos. Outras questes que merecem destaque so as que permitem analisar o que outros usurios podem estar fazendo. O comando a seguir permite identificar as conexes de gerenciamento atuais.
01 02 03 04 05 06 07 rt1>show Line * 0 con 67 vty 68 vty users User 0 0 1 User Host(s) idle idle idle Mode Idle Location 00:00:00 00:02:25 192.168.0.5 00:02:08 192.168.0.4 Idle Peer Address
Interface
Como no h gerenciamento de usurios neste dispositivo, a resposta exibe apenas os terminais em utilizao. No caso, algum usa o console (linha 3) e dois outros administradores usam conexes via Telnet (linhas 4 e 5). Para quem usa Telnet, aparecem os endereos de rede (destaque). Isso no acontece com o console, j que exige a presena do usurio. E para maiores informaes sobre a configurao do dispositivo, nada melhor que ver a configurao atual. O comando show running-config:
rt1#show running-config
At algumas senhas no criptografadas aparecem na lista. Poucos comandos so to teis quanto este para ter uma ideia geral de tudo que acontece em um dispositivo de uma vez s. Esta a informao que o dispositivo grava para carregar durante a inicializao.
Pgina 31.
Captulo 4 Redes locais virtuais (VLAN).

Existem muitos conceitos para o termo LAN ou rede local. O mais difundido est relacionado distncia dos dispositivos que compem a rede. Apesar de ser o conceito mais comum, ele pouco produtivo para a compreenso de uma rede local virtual ou VLAN. Para compreender uma VLAN este conceito muito mais sugestivo: uma LAN inclui todos os dispositivos em um mesmo domnio de broadcast (ODOM 2008, 10). Seguindo esta ideia, dois computadores que usam um salto de camada de rede para se comunicar no esto na mesma LAN, mesmo que estejam em uma mesma sala. Este o conceito de LAN que se deve ter em mente quando se trata de VLANs. Refinando este mesmo conceito, dois dispositivos esto na mesma LAN quando sua comunicao no passa por nenhum dispositivo de roteamento. Por muitos anos, as redes locais cresceram e seus administradores cascatearam mais e mais switches. Com isso, o nmero excessivo de dispositivos em uma rede local pode se tornar um problema. Mensagens de broadcast comeam a impactar negativamente no trfego. Alm disso, o pouco controle existente na camada de enlace agrava ainda mais a situao. A soluo inicial seria segmentar a rede em vrias redes locais diferentes. Com isso, uma mensagem de broadcast fica enclausurada em sua prpria rede local e impacta uma quantidade menor de dispositivos. Como entre as redes locais necessrio realizar roteamento, o controle sobre este trfego muito maior que as possibilidades da camada de enlace. A configurao de rotas entre dispositivos de uma rede interna pode ser uma complexidade extra, mas permite um gerenciamento mais preciso da rede. Neste cenrio nasceu o conceito de VLANs. A ideia gira em torno de dividir a rede em vrios segmentos virtuais independente das ligaes fsicas entre os switches. Em outras palavras, o administrador quem vai decidir a qual domnio de broadcast cada dispositivo se conecta. A localizao fsica ou as ligaes entre os switches no influenciam mais nestas decises. Apenas a vontade do administrador. VLAN uma tcnica to til para segmentar redes que possvel separar duas portas de um mesmo switch como se estivessem em switches diferentes sem nenhuma interligao entre eles. possvel transformar cada porta de um switch em uma nica rede local ou separar os dispositivos por departamento, por localidade ou por qualquer motivo que o administrador desejar. Enfim, o administrador pode designar uma porta qualquer de um switch qualquer para a rede que desejar. como se cada VLAN fosse um novo switch virtual. Para compor este switch virtual o administrador escolhe dentre as portas dos switches de sua planta real, independente de qualquer ligao fsica. Esta a analogia mais simples para o conceito de VLAN. Segmentar uma rede importante por vrios motivos. Diminuir o domnio de broadcast e o consequente impacto da replicao do trfego apenas o mais perceptvel. Redes menores so mais seguras e gerenciveis. Quando h um problema em uma rede, problemas tpicos de camada de enlace (como tempestades ou problemas de endereamento fsico) ficam enclausurados neste domnio de broadcast. Um atacante que encontra uma rede maior pode localizar mais alvos para ataques de reconhecimento, por exemplo. Falsificar tabelas de roteadores pode exigir mais conhecimento que falsificar tabelas de switches. Quando se tem vrias redes pequenas, isolar um problema sob investigao naturalmente mais fcil. A segurana ganha especialmente com tudo isso. Existem duas implementaes para VLANs: 802.1Q padro de responsabilidade do IEEE e ISL Inter Switch Link de propriedade da CISCO. A diferena entre eles gira em torno de como as informaes de VLAN viajam junto do frame. Para 802.1Q, essas informaes seguem no cabealho Ethernet usando a tcnica de frame tagging. Para ISL h um encapsulamento de todo o frame e novo clculo de checagem. Este material aborda
Pgina 32.
Especializao em Redes de Computadores. Interconexo de redes / Error! Use the Home tab to apply Ttulo 1 to the text that you want to appear here. apenas as tcnicas do padro aberto do IEEE. Obviamente, para uma planta que usa ISL, todos os switches devem ser CISCO. Para uma planta que usa 802.1Q os switches podem ser de qualquer fabricante (CISCO inclusive). Outra ideia importante que o administrador deve ter sempre em mente que VLAN uma tcnica de camada 2. Significa que um switch L2 com suporte a VLAN completamente capaz de implementar tal tcnica. Contudo, ao separar uma rede local em vrias VLANs (separar os domnios de broadcast dos dispositivos), a comunicao s possvel usando equipamentos com capacidade de roteamento. Portanto, apesar de ser uma tcnica de camada 2, o uso de VLANs exige dispositivos camada 3 para interligar os segmentos. Switches L3, normalmente, fazem o servio completo. Tendo uma ideia conceitual da tcnica, chega a hora de compreender os detalhes mais tcnicos. Especialmente, a tcnica de frame tagging.
4.1 Frame Tagging.

Esta a tcnica consiste em rotular os frames em transmisso para identificar a qual VLAN pertence. Incluir, identificar e remover estes rtulos o trabalho dos switches que implementam as VLANs. A maioria dos dispositivos finais, como computadores e celulares, nunca sabem em qual VLAN operam. Com raras excees, apenas os dispositivos intermedirios compreendem as informaes relativas configurao das VLANs. E o administrador o responsvel por tais configuraes. Por isso, compreender frame tagging praticamente sinnimo de compreender VLANs. Estes rtulos consistem em informaes de cabealho adicionais. Basicamente, VLAN adiciona outros quatro campos ao quadro Ethernet original: Tipo (TPID): campo de 2bytes com o valor hexadecimal 8100 para identificar o uso de frame
tagging.
Prioridade (P): campo de 3bits para definir prioridade no processamento, pouco usado na prtica, especialmente quando se trata de VLAN. Tipo de endereo (CFI): campo de 1bit para definir se o endereo ou no cannico, valor igual a 0 para redes Ethernet e 1 para redes Token Ring. Identificao da VLAN (VLANID): campo de 12bits (de 0 a 4095) que indica a qual VLAN o quadro deve proceder. As mudanas no cabealho Ethernet no se limitam incluso dos campos. Tambm acontece um deslocamento de informaes. A figura abaixo descreve isso com maior riqueza de detalhes.
Pgina 33.
Figura 3: Frame Ethernet e o processo de frame tagging. (FROOM 2010, 69)
De acordo com a figura, h uma incluso de 4bytes logo aps o endereo da origem, bem como um deslocamento dos campos de tipo e de dados. O dispositivo deve refazer as informaes de checagem depois da modificao de um frame 802.1Q. Se um dispositivo que no d suporte a frame tagging recebe um frame 802.1Q aparecem novos problemas. Alm da possibilidade de ultrapassar o MTU mximo, j que h uma adio de 32bits, um dispositivo que no suporta VLANs no vai conseguir identificar os campos adicionais e vai trat-los como dados. Isso impacta diretamente nos clculos de checagem o que levar, certamente, a um descarte do frame. Por isso, todos os switches da planta devem reconhecer os dispositivos que suportam ou no VLANs 18. Para estes dispositivos as informaes inseridas pela tcnica de frame tagging devem permanecer. Para todos os outros dispositivos os switches devem remover estas informaes e enviar um frame normal. Muitos roteadores e at servidores podem dar suporte a esta tcnica. Ligaes entre dispositivos com suporte a VLAN recebem o nome de troncos ou trunks e as demais recebem o nome de ligaes de acesso. A informao mais importante a identificao da VLAN ou VLANID. um valor que possui 4096 combinaes, portanto, possvel ter muitas VLANs em uma nica planta. o campo VLANID que determina para quais portas os dados devem seguir. Em outras palavras o administrador marca as portas com a identificao VLANID=200. Uma mensagem de broadcast marcada com VLANID=200 vai para as portas que o administrador marcou. No importa em que switch estejam tais portas, todas as portas com a marcao VLANID=200 recebem uma cpia do frame. Em termos gerais, a tcnica esta e razoavelmente simples. Como cada VLAN se comporta como um switch diferente, as tabelas de endereos dos switches incluem novos campos para identificar as VLANs. Quando um frame chega com VLANID=200 o switch pesquisa o endereo fsico de destino apenas nas entradas da tabela cujas portas pertenam a VLAN 200. Se o endereo fsico existir na tabela, mas referente a uma porta de outra VLAN, o switch simplesmente o ignora. Ainda como determinao do IEEE, todo switch gerencivel com suporte a VLAN inicia pela primeira vez com todas as suas portas na VLAN1 (VLANID=1). Esta VLAN padro deve ignorar uso de frame tagging para ser compatvel com todos os dispositivos. Isso garante a caracterstica plug and play de um switch.
18
possvel colocar switches gerenciveis e no gerenciveis na mesma planta, ao contrrio da afirmao. Contudo, switches no gerenciveis se comportam como dispositivos finais e no reconhecem tais informaes. Tudo isso alvo de estudos em breve neste captulo.
Pgina 34.
4.1.1 VLANs estticas e dinmicas.

O termo VLAN normalmente faz referncia a VLANs estticas. So VLANs nas quais o administrador, pessoalmente, determina quais portas pertencem a cada VLAN. Todos os switches com suporte a VLANs do suporte a estas VLANs estticas. Contudo, switches podem dar suporte a VLANs dinmicas tambm. Nas VLANs dinmicas, a deciso incluir uma porta a uma VLAN especfica automtica. Por exemplo, um conjunto de dispositivos com faixas de endereos fsicos especficas (interfaces de rede um fabricante de dispositivos NAS, por exemplo) pode cair sempre em uma mesma VLAN. Portanto, enquanto a porta no recebe nenhuma conexo impossvel dizer a qual VLAN pertence. Ao conectar um dispositivo de determinada faixa de endereos fsicos, a porta muda automaticamente para uma VLAN configurada para este fim. Tambm possvel utilizar outros protocolos para tomar a deciso. O IEEE 802.1x um poderoso protocolo de autenticao capaz de conferir a autenticao do usurio, atualizaes do sistema operacional, estado da proteo contra vrus, et cetera. Portanto, com o auxlio da autenticao 802.1x, um switch com suporte a VLANs dinmicas pode tomar a deciso de acordo com o usurio que loga na estao ou qualquer outra destas vrias opes.
Switches com suporte a VLANs dinmicas no so to comuns. Existem switches mais comuns com este tipo
suporte para cenrios bem limitados. Por exemplo, uma VLAN automtica para dispositivos VoIP. Neste caso, o switch confere se o dispositivo um telefone VoIP e o coloca em uma VLAN que tenha configuraes de desempenho especficas para as necessidades de suporte a VoIP. Na maioria dos casos, este trfego j possui um conjunto de regras de priorizao de trfego especficas. Nestes casos, os fabricantes chamam esta tcnica por outro termo como Auto Voice VLAN e no possvel fazer ajustes to refinados. O administrador deve ter essa ideia em mente por dois motivos. O primeiro deles que, mesmo procurando um switch que d suporte apenas a VLANs estticas, bem provvel que exista opes que suportem cenrios dinmicos especficos na mesma faixa de preo. O segundo motivo gira em torno da necessidade de VLANs dinmicas. Ao procurar um dispositivo que suporte VLANs dinmicas, pode acabar encontrando um que suporte um cenrio especfico coerente com suas necessidades, o que resulta em queda no custo.
4.2 VLANs com switches L3.

Com toda essa informao sobre VLANs possvel desenvolver o experimento do cenrio abaixo. uma pequena rede com 4 computadores. A princpio, todos esto no mesmo domnio de broadcast e a comunicao acontece indiscriminadamente entre todos eles. Seria o equivalente de ligar todos os cabos a um switch. Posteriormente, com as configuraes de VLAN, passam a sofrer limitaes na comunicao devido segmentao da rede. Para este cenrio, o dispositivo de interconexo um switch L3 ou multicamadas. Por ter capacidade de roteamento, no necessria a utilizao de um roteador. Por isso, todas as configuraes se concentram em um nico dispositivo. Neste cenrio, quatro computadores, dois em cada VLAN, devem se comunicar. A figura abaixo mostra detalhes de todos os componentes.
Pgina 35.
Figura 4: Rede com duas VLANs e switch gerencivel L3.
Este cenrio exige a configurao de duas VLANs: VLAN10 e VLAN11 com dois computadores em cada uma delas. Com todas as conexes, a sequncia de comandos abaixo realiza esta configurao:
01 02 03 04 05 06 07 08 09 10 11 12 13 15 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 sw0>enable sw0#configure terminal Enter configuration commands, one per line. End with CNTL/Z. sw0(config)#interface range fastEthernet 0/1-2 sw0(config-if-range)#switchport access vlan 10 % Access VLAN does not exist. Creating vlan 10 sw0(config-if-range)#exit sw0(config)#interface vlan 10 sw0(config-if)# %LINK-5-CHANGED: Interface Vlan10, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan10, changed state to up ip address 10.1.10.1 255.255.255.0 sw0(config-if)#exit sw0(config)#interface range fastEthernet 0/3-4 sw0(config-if-range)#switchport access vlan 11 % Access VLAN does not exist. Creating vlan 11 sw0(config-if-range)#exit sw0(config)#interface vlan 11 sw0(config-if)# %LINK-5-CHANGED: Interface Vlan11, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan11, changed state to up ip address 10.1.11.1 255.255.255.0 sw0(config-if)#exit sw0(config)#ip routing sw0(config)#exit sw0# %SYS-5-CONFIG_I: Configured from console by console disable sw0>
A linha 4 seleciona duas portas simultaneamente do switch sw0. Neste caso as portas Fast Ethernet 0/1 e 0/2. A linha 5 muda estas duas portas para a VLAN10. Os comandos das linhas 8 a 13 configuram a VLAN interface desta VLAN. Seguindo o exemplo, tudo se repete para a VLAN11. Destaque apenas para o comando da linha que ativa a funo de roteamento do switch. Nem sempre este comando necessrio.
Pgina 36.
Especializao em Redes de Computadores. Interconexo de redes / Error! Use the Home tab to apply Ttulo 1 to the text that you want to appear here. Depois basta configurar os PCs. No caso, os PCs da VLAN10 usam o IP da VLAN Interface 10 (10.1.10.1) como gateway da rede. O mesmo vale para os PCs da VLAN11 que usam o IP da VLAN Interface 11 (10.1.11.1). Com isso, todos os testes de comunicao acontecem corretamente. Para verificar as associaes de portas e VLANs basta usar o comando a seguir:
01 02 03 04 05 06 08 09 10 11 12 13 14 15 16 17 sw0>show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Fa0/24 Gig0/1, Gig0/2 10 VLAN0010 active Fa0/1, Fa0/2 11 VLAN0011 active Fa0/3, Fa0/4 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup
A tabela com as associaes entre as VLANs (VLANID na coluna 1 e nome na coluna 2) e as portas do switch (coluna 4). No caso, as linhas 12 e 13 demonstram o resultado da configurao do exemplo anterior. Todas as outras portas (da linha 5 linha 11) esto na VLAN 1, a VLAN padro. As linhas 14, 15, 16 e 17 mostram informaes de VLANs que este dispositivo no suporta. possvel mudar o nome com os seguintes comandos:
01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 27 25 26 27 sw0(config)#vlan 10 sw0(config-vlan)#name Admin sw0(config-vlan)#exit sw0(config)#vlan 11 sw0(config-vlan)#name Finan sw0(config-vlan)#exit sw0(config)#exit sw0# %SYS-5-CONFIG_I: Configured from console by console sw0#show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Fa0/24 Gig0/1, Gig0/2 10 Admin active Fa0/1, Fa0/2 11 Finan active Fa0/3, Fa0/4 1002 fddi-default active 1003 token-ring-default active 1004 fddinet-default active 1005 trnet-default active sw0#
Os nomes podem ser teis ao analisar a configuraes de dezenas de VLANs diferentes em dezenas de switches espalhados em uma rede.
Pgina 37.
4.3 VLANs com switches L3 e L2.

O cenrio anterior o mais simples por vrios motivos. nico dispositivo. Com todas as configuraes de VLAN em um nico dispositivo tudo fica mais fcil. E como o dispositivo tem capacidade de roteamento, muito melhor. A configurao resume-se a marcar as portas e criar as VLAN interfaces. Sem configurao de troncos. Como s h um dispositivo, no h necessidade de troncos. Se no existem troncos, no existe frame tagging e a consequente preocupao com os dispositivos que suportam ou no a tcnica. Sem informaes de roteamento. Sem a necessidade de um roteador e com tudo em um nico dispositivo, as coisas ficam simples e o trfego transcorre sempre de maneira bvia. No h a complexa configurao de roteadores. Por este motivo, o cenrio anterior no suficiente. praticamente impossvel para o administrador usar apenas um switch na grande maioria dos casos. Muito mais improvvel que em uma rede com um nico switch apresente necessidade de VLANs. Como as VLANs separam o trfego, os dispositivos com capacidade de roteamento acabam por tornar a rede mais complexa. Coisas aparentemente absurdas comeam a acontecer na prtica. Ao analisar a figura abaixo d para perceber isso:
Figura 5: Rede com duas VLANs e dois switches gerenciveis.
A figura exibe dois switches. SW0 um switch camada 2 e SW1 um switch camada 3. Como SW1 o nico componente com capacidade de roteamento, todo o trfego entre as VLANs deve passar por ele. Os dois computadores na parte superior do diagrama (PC0 e PC1) pertencem VLAN 10. Os dois computadores da parte inferior do diagrama (PC2 e PC3) pertencem VLAN 11. Todos os switches possuem portas tanto na VLAN 10 quanto na VLAN 11. Agora o absurdo. Se PC0 precisa se comunicar com PC2, o trfego passa obrigatoriamente por SW1. Apesar de SW0 conectar PC0 e PC2 simultaneamente, por estarem em VLANs diferentes, o dispositivo L3 precisa rotear o trfego. Assim, a informao de PC0 segue para SW0, depois vai para SW1, retorna para SW0 e segue para o destino PC2. rigorosamente isso que acontece. Se no existisse configurao de VLAN, com todos no mesmo domnio de broadcast, a comunicao passaria apenas por SW0. Portanto, o administrador
Pgina 38.
Especializao em Redes de Computadores. Interconexo de redes / Error! Use the Home tab to apply Ttulo 1 to the text that you want to appear here. deve levar em considerao a posio de seu dispositivo de roteamento. Tambm de ve levar em considerao a velocidade dos links que levam at o dispositivo de roteamento. Tudo isso pode fazer com que as VLANs impactem de maneira significante no desempenho. Para detalhar melhor a configurao dessa rede, a tabela abaixo exibe todos os detalhes. Como os dois switches suportam as mesmas VLANs, ambos devem conter estas configuraes e deve haver um tronco entre eles. Suporte Roteamento SW0 SW1 No Sim Portas Portas VLAN VLAN11 Trunk Interfaces 4 FE 1 GE N. A. (0/5-8) (1/1) 4 FE 1 GE VLAN10 = 10.1.10.1/24 (0/5-8) (1/1) VLAN11 = 10.1.11.1/24 Tabela 1: Associao de switches, portas e VLANs. Portas VLAN10 4 FE (0/1-4) 4 FE (0/1-4)
Com isso, cada VLAN tem 8 portas Fast Ethernet, 4 em cada switch. H tambm um tronco usando portas Gigabit Ethernet. Como apenas SW1 suporta roteamento, o administrador precisa das VLAN interfaces nele, uma para cada VLAN. Nada impede ter VLAN interfaces em SW0 se houver suporte, mas usar apenas o dispositivo com capacidade de roteamento facilita as configuraes. Com isso, a mesma configurao a seguir serve para ambos:
01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 sw0(config)#interface range fastEthernet 0/1-4 sw0(config-if-range)#switchport access vlan 10 % Access VLAN does not exist. Creating vlan 10 sw0(config-if-range)#exit sw0(config)#interface range fastEthernet 0/5-8 sw0(config-if-range)#switchport access vlan 11 % Access VLAN does not exist. Creating vlan 11 sw0(config-if-range)#exit sw0(config)#interface gigabitEthernet 1/1 sw0(config-if)#switchport trunk encapsulation dot1q sw0(config-if)#switchport mode trunk sw0(config-if)# %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/1, changed state to down %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/1, changed state to up exit sw0(config)#
As nicas mudanas so nas linhas 10 e 11. Neste caso, o comando da linha 1019 obriga a usar frame tagging. O comando da linha 11 coloca a porta em modo tronco (ou trunk). Diferente do cenrio anterior, no necessrio associar esta porta a nenhuma VLAN. Um tronco sempre trafega informaes de todas as VLANs. Isso outro detalhe que o administrador no pode perder de vista. Troncos desnecessrios levam a trfego desnecessrio nas ligaes entre os switches. No switch com capacidade de roteamento (SW1) ainda necessrio configurar as VLAN interfaces e ativar o suporte a roteamento:
01 02
19
sw1(config)#interface vlan 10 sw1(config-if)#
Como dispositivos Cisco so compatveis com tcnicas proprietrias, o administrador deve usar o modo de compatibilidade para colocar dispositivos de diferentes fabricantes operando junto. Nem todos os switches Cisco aceitam este modo de compatibilidade.
Pgina 39.
03 04 05 06 07 08 09 10 11 12 13 14 15 %LINK-5-CHANGED: Interface Vlan10, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan10, changed state to up ip address 10.1.10.1 255.255.255.0 sw1(config-if)#exit sw1(config)#interface vlan 11 sw1(config-if)# %LINK-5-CHANGED: Interface Vlan11, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan11, changed state to up ip address 10.1.11.1 255.255.255.0 sw1(config-if)#exit sw1(config)#ip routing
Com isso todo o ambiente funciona perfeitamente. Dificilmente, um administrador responsvel por uma planta com dezenas de switches compraria todos com suporte a roteamento. Por isso, este cenrio mais prximo da realidade. O administrador pode optar por ter alguns dispositivos L3 em pontos estratgicos da rede e switches L2 para o restante. Assim, cai o valor da maioria dos switches.
4.4 VLANs com switches L3 e no gerenciveis.

Mas ainda existe outra opo mais econmica: combinar switches L3 e switches no gerenciveis. Nem sempre possvel implementar as VLANs em um nico switch, mas se for possvel isso vai amenizar o custo dos dispositivos significantemente. Switches no gerenciveis so muito mais baratos que switches L2. Por isso, este cenrio tenta evidenciar quando esta combinao possvel. A nica coisa que o administrador deve ter em mente quando combina switches com e sem suporte a VLANs que switches que no do suporte sempre tero todas as suas portas na mesma VLAN. Simples assim. Com isso o cenrio da figura abaixo fica demasiadamente simples.
Figura 6: Rede com duas VLANs e switches gerenciveis e no gerenciveis.
Tanto PC0 quanto SW1 esto em portas da VLAN10 na configurao do switch L3 (SW0). Por consequncia, PC1 tambm est na VLAN10. O mesmo vale para a VLAN11. PC2 e SW2 esto em portas da VLAN11, por consequncia, PC3 est na VLAN11. A configurao rigorosamente a mesma do cenrio da seo 3.2.
Pgina 40.
Especializao em Redes de Computadores. Interconexo de redes / Error! Use the Home tab to apply Ttulo 1 to the text that you want to appear here. Assim, todos os computadores que se conectam a SW1 pertencem VLAN10 e todos os computadores que se conectam a SW2 pertencem VLAN11. No existem troncos j que apenas um switch d suporte a VLANs. Para vrios cenrios reais, um nico switch L3 acompanhado de vrios switches no gerenciveis poderia ser o suficiente. Contudo, isso limita muito a caracterstica principal da tcnica: ligar os dispositivos conforme a vontade do administrador em detrimento de sua localizao. Nesta situao, a disposio dos cabos e das salas de telecomunicao pode influenciar na segmentao da rede. Tambm fcil perceber que combinar switches L2, L3 e no gerenciveis pode ser muito til. Dependendo da complexidade da rede, pode ser necessrio ter vrios switches com suporte a VLAN. Contudo, setores maiores com grande nmero de mquinas em uma mesma VLAN podem ocupar vrios switches. Neste caso, nem todos precisam ser gerenciveis. O administrador tambm tem de estar atento ao futuro. Se um ambiente prev crescimento da rede, esta abordagem com switches L3 e no gerenciveis pode no ser suficiente por muito tempo. O administrador deve imaginar possveis ampliaes para evitar a compra de equipamentos caros em substituio dos j existentes.
Pgina 41.
Captulo 5 Links Redundantes (STP).

Antes de explicar o funcionamento das ligaes redundantes necessrio compreender o que motiva esta tcnica: as ligaes de backup (ou redundantes) e as tempestades de broadcast. Tempestades de broadcast so fluxo de trfego entre switches ou bridges que se multiplicam indefinidamente. Apesar do nome, tanto pacotes broadcast quanto pacotes multicast ou at mesmo unicast podem iniciar uma tempestade20 (ODOM 2008, 61). Com o incio de uma tempestade, em alguns instantes, ela consome toda a capacidade de um ou vrios switches da rede. Muitos administradores apenas percebem seu efeito quando tarde demais: a rede fica completamente indisponvel. Para compreender as temveis tempestades de broadcast um exemplo pode ser muito til. A princpio, toda a rede de switches deve ser uma rvore21. Em outras palavras, deve haver um nico caminho entre dois pontos quaisquer de uma rede. A figura abaixo sugere um ambiente onde o administrador colocou um link redundante.
Figura 7: Rede de switches com redundncias.
Se SW01 fosse a raiz desta rvore a ligao entre SW02 e SW03 no deveria existir. Entre os trs switches deveria haver apenas duas ligaes. Mas o administrador colocou a terceira ligao como um backup, para o caso de uma delas falhar. E a rede funciona desta maneira. A ideia parece boa. E se uma ligao falhar, o trfego vai mesmo pelo caminho alternativo. Mas se uma tempestade tiver incio, nada ser capaz de par-la antes que ela pare a rede por completo.
20
Neste material, tempestades de broadcast indicam qualquer tipo de tempestade. Alguns autores usam uma diviso rigorosa destes termos. Contudo, os efeitos so sempre os mesmos. 21 rvore uma estrutura de dados na qual h uma raiz e um nico caminho entre todas as folhas e a raiz. Normalmente, organogramas so a melhor representao de estruturas de rvores.
Pgina 42.
Especializao em Redes de Computadores. Interconexo de redes / Error! Use the Home tab to apply Ttulo 1 to the text that you want to appear here. A tempestade de broadcast tem seu incio quando um dos computadores inicia uma comunicao de broadcast. A lista abaixo sugere uma sequncia de eventos que decorrem deste trfego aparentemente inofensivo: 1: SW1 recebe o frame pela porta 1 e replica esta mesma informao pelas portas 2 e 3. 2: SW2 recebe o frame pela porta 1 e replica para a porta 2. Ao mesmo tempo, SW3 recebe o mesmo frame pela porta 2 e replica para as portas 1 e 3. 3: SW2 recebe o frame de SW3 e replica para SW1. SW3 recebe o frame de SW2 e replica para SW1. 4: SW1 recebe a mesma informao que enviou no primeiro momento duas vezes, uma de SW2 e outra de SW3. Neste caso, replica novamente os dois frames. O efeito est duplicado. 5: SW2 e SW3 recebem novas cpias da mesma informao e as replicam entre si como acontece no segundo momento. Efeito duplicado 6: Igual ao terceiro momento. Efeito duplicado. 7: Igual ao primeiro momento. Efeito multiplicado. Indefinidamente. Em poucos segundos dependendo da velocidade dos links, a rede usar todo seu potencial para criar, transmitir e receber cpias de uma nica mensagem que se multiplica indefinidamente. O administrador percebe sua rede ficando mais e mais lenta at o momento em que as filas enchem e os descartes prevalecem sobre o trfego bem sucedido. A nica forma de parar a tempestade e desligar tudo e esvaziar as filas da maneira mais drstica. Isso at a prxima mensagem de broadcast. fcil perceber que a responsabilidade pela tempestade gira em torno de dois fatores: a rplica de frames e a possibilidade de um loop na rede. Se no existisse rplica da mensagem, no haveria possibilidade de SW1 receber o mesmo frame que enviou. Da mesma forma, se no existisse caminho de volta para SW1 ele nunca receberia uma cpia do frame, mesmo que existisse replicao. Mas como aconteceria uma tempestade de um pacote unicast? Pacotes unicast seguem apenas para uma porta de destino. Portanto, no existe rplica. Na realidade, existe uma situao na qual um pacote unicast pode sofrer replicao: quando o switch no conhece o endereo fsico de destino. Neste caso, o switch envia o frame para todas as suas portas j que no sabe para qual porta enviar. E o switch pode esquecer um endereo fsico por vrios motivos, especialmente, de tempos em tempos. Se a tabela de um computador tem um tempo de reteno maior que a tabela de um switch ou se h uma entrada esttica, apenas isso j poderia garantir o surgimento de tempestades com pacotes unicast. Outra ideia sempre em mente que tempestades acontecem na camada de enlace apenas. Roteadores possuem vrios mecanismos para controle de tempestades. E as tempestades em roteadores so muito diferentes das tempestades da camada de enlace. Portanto, se apenas um dos dispositivos fosse um roteador neste cenrio, a tempestade no prevaleceria, j que haveria um controle mais rigoroso das rplicas entre suas interfaces. Em ltima anlise, tempestades de broadcast ficam enclausuradas em um nico domnio de coliso. Portanto, a ideia de links redundantes na camada de enlace pode parecer boa e funcionaria por alguns instantes, mas abriga esta grande ameaa. E o administrador pode querer usar ligaes redundantes por vrios motivos: para evitar gargalos em determinadas ligaes entre switches, para encurtar caminhos entre dois segmentos mais distantes da rede ou para contingncias como no exemplo anterior. O administrador
Pgina 43.
Especializao em Redes de Computadores. Interconexo de redes / Error! Use the Home tab to apply Ttulo 1 to the text that you want to appear here. que precisa necessariamente de ligaes redundantes para o seu domnio de broadcast tem apenas uma sada: Spanning Tree Protocol ou STP.
5.1 Spanning Tree Protocol.

Este outro padro IEEE (802.1D). Isso significa que todos os fabricantes podem dar suporte a esta tcnica. Para switches CISCO, alm do padro IEEE h o Per-VLAN Spanning Tree. O Spanning Tree original um protocolo muito antigo, da dcada de 80, que nasceu na extinta Digital Equipment Corporation ou DEC (SEIFERT e EDWARDS 2008, 205). Mesmo a verso do IEEE bem antiga, de 1990, e sofreu vrias atualizaes. A soluo que esta tcnica apresenta bem simples: identificar links redundantes e bloquelos. Muitos administradores podem imaginar: ora, isso eu mesmo posso fazer! e com razo a tcnica parece pouco til num primeiro instante. Mas existem inmeras razes para o administrador mudar de ideia: Automao: Com STP os prprios switches localizam e bloqueiam os links que produzem loops no domnio de broadcast. Contingncia: Com STP, se um link cai, um link alternativo passa do estado de bloqueio para transmisso automaticamente, o que seria um grande trabalho para o administrador mesmo trabalhando 24x7. Melhor desempenho: O STP possui um conjunto de verificaes para garantir a utilizao dos
links mais rpidos bloqueando os mais lentos por padro.

Compatibilidade com VLANs: Como cada VLAN um domnio de broadcast exclusivo, o STP22 pode tratar cada VLAN separadamente usando todos os links simultaneamente para diferentes VLANs. Gerncia: Apesar de o administrador encontrar tudo pronto, pode usar algumas configuraes para usar uma ligao mais lenta, porm mais confivel ou garantir que todas as portas de um switch mais importante sejam utilizadas. E quanto mais complexo o ambiente e quanto maior a distribuio dos dispositivos pela rede, maiores as vantagens. Com a crescente complexidade, o administrador percebe mais e mais como unir todas essas caractersticas a seu favor. A tcnica muito simples. Quando um administrador liga todas as portas de um switch e aperta o boto liga o switch inicia uma srie de transmisses para identificar se a rede suporta ou no STP. Depois disso, eles selecionam um switch para ser a raiz da rvore. Em seguida cada switch identifica todas as portas que levam ao switch raiz. Por fim, cada um dos switches identificam qual o caminho de melhor desempenho para o switch raiz e bloqueiam as portas de todos os outros caminhos. Portas bloqueadas no transmitem trfego da rede, apenas mensagens do protocolo STP para indicar sua atividade e desempenho. Estas mensagens do protocolo STP recebem o nome de Bridge Protocol Unit Data ou BPUD. Esta mensagem carrega todas as informaes do switch para que os outros possam consultar. Todas as mensagens BPUD usam o endereo de destino igual a 01-80-C2-00-00-00. Esta um endereo de multicast que inclui todos os switches23. Como esta uma tcnica de camada 2, nenhuma destas informaes usa endereos de rede ou protocolos de transporte. Todo este trfico pertence apenas ao domnio de coliso atual e usa endereos fsicos apenas.
22
Na realidade este um recurso do MSTP ou Multiple Spanning Tree Protocol, alvo das prximas sees. Para MSTP, um link bloqueado para uma VLAN pode transferir o trfego de outra. Por exemplo, a primeira ligao entre SW1 e SW2 pode ficar bloqueada na VLAN10 e liberada na VLAN11. Assim ela um backup para VLAN10, mas no fica ociosa, pois todo o trfego da VLAN11 passa por esta ligao. 23 Ver seo 1.1.2 incluindo notas de rodap para maiores informaes.
Pgina 44.
Especializao em Redes de Computadores. Interconexo de redes / Error! Use the Home tab to apply Ttulo 1 to the text that you want to appear here. No objetivo deste material especificar todas estas informaes ou dissecar o frame com as informaes teis para o STP. Contudo, vale uma lista sucinta com as algumas informaes importantes: Root ID: Identificao do switch raiz da planta. Root Path Cost: Custo do caminho para o switch raiz. Bridge ID: Identificao prpria do switch que gera a informao. Port ID: Identificao da porta por onde aconteceu a transmisso no switch de origem. Flags de mudana de topologia: Indicaes que exigem ou no novo procedimento de convergncia. Hello time: Valor do intervalo entre mensagens de atividade que garantem que o link continua ativo. Para quem deseja verificar exatamente como um frame com as informaes BPUD as literaturas so o prprio padro 802.1D (IEEE 2004, 59) e alguns outros livros (SEIFERT e EDWARDS 2008, 217). No incio do processo de convergncia, cada switch determina a si mesmo como switch raiz e preenche um BPUD. Todas as portas iniciam no modo bloqueado, que permite apenas o trfego BPUD. Sempre que um switch recebe uma mensagem com um Root ID menor que o seu ele seleciona este novo switch como o novo switch raiz da rede. Como todos os switches enviam e recebem estas informaes dos vizinhos, depois de algum tempo, todos recebem informaes de todos os outros. Ao fim de algum tempo, todos os switches sabero quem o switch raiz para toda a rede. O Root ID a juno de duas informaes: uma prioridade configurvel e o endereo fsico do prprio switch24 (FILIPPETTI 2008, 97). A prioridade mais significativa. Por padro, vale 32768. Obviamente, o administrador pode modific-la para forar um switch especfico a ser o switch raiz. Se o administrador negligenciar esta configurao o endereo fsico desempata a concorrncia. Com toda certeza, no pode haver dois dispositivos com o mesmo endereo fsico (vide seo 1.3). Com a determinao do switch raiz o processo de convergncia continua com a determinao das portas raiz e designadas. Em um switch raiz, todas as portas so designadas por padro. Nos demais, a porta raiz a porta que leva ao switch raiz com menor custo. Este custo tem relao direta com a velocidade do link e usa o nmero de porta como critrio de desempate. Todas as outras portas continuam bloqueadas. A tabela a seguir exibe os custos de portas para redes de at 10Tbps: Custos do padro original na 100 10 1 1 na na Custos revisados (802.1D -1998) na 100 19 4 2 na na Novos custos (802.1D-2004) 20.000.000 2.000.000 200.000 20.000 2.000 200 20
1Mbps 10Mbps 100Mbps 1Gbps 10Gbps 100Gbps 1Tbps

24
Na seo 2.1.1 (incluindo notas de rodap) h uma afirmao que as portas do switch so diferentes de interfaces de rede e no possuem endereos fsicos. Na realidade, essa diferena se mantm, mas o conhecimento desta seo permite aprofundar mais nessa diferena. Uma porta de switch diferente de uma interface, j que toda interface tem um endereo fsico. Portanto, um computador com duas interfaces de rede possui dois endereos fsicos. Contudo, para um switch h apenas um endereo fsico para todas as portas. A afirmao anterior pode at ser coerente com o que o tema do captulo dois e com a discusso em voga, mas incorreta sob a presente anlise. Ainda assim, portas de switch so sempre intermedirias. Por isso, seus endereos fsicos no aparecem nos frames que abrigam o trfego normal da rede.
Pgina 45.
Especializao em Redes de Computadores. Interconexo de redes / Error! Use the Home tab to apply Ttulo 1 to the text that you want to appear here. 10Tbps Na na 2
Tabela 2: Custos e velocidades para STP (adapitado de IEEE e ODOM).
Obviamente, redes de 1Tbps e 10Tbps no existem ainda. Cada equipamento vai usar valores compatveis com sua poca. At o presente momento, existem estas trs possibilidades. A primeira coluna mostra valores compatveis com o padro original que estabelecia pesos iguais para links de 1Gbps e 10Gbps. A segunda coluna apresenta a primeira tentativa de solucionar este problema. Estabelece valores diferentes para redes de 1Gbps e 10Gbps usando a mesma faixa. Contudo, no estabelece valores para as novas redes de 100Gbps. A terceira coluna estabelece valores para futuras velocidades at 10Tbps. O administrador deve lembrar que diferentes equipamentos vo calcular as informaes de diferentes maneiras. Como o clculo do custo da porta envolve apenas o prprio equipamento, no existem problemas de compatibilidade afinal. Os switches continuam enviando informaes ao switch raiz apenas atravs de sua porta raiz a partir deste momento. Com esta estratgia os switches sabem quais portas devem permanecer bloqueadas. A partir deste momento, a porta raiz de cada switch comea a operar normalmente. Diante disso, os switches vizinhos conseguem reconhecer as portas raiz de cada um dos seus vizinhos. Assim possvel determinar as portas designadas. Portas designadas so portas que ligam portas raiz de outros switches, portanto, devem entrar em modo de operao normalmente. Todas as demais portas continuam bloqueadas. Por fim, portas de onde no surgiu nenhum trfego BPUD durante todo o processo de convergncia so portas de acesso e entram no modo de operao. Obviamente, se so portas onde no houve trfego BPUD significa que se trata de um dispositivo final (computador, servidor, et cetera) ou de um switch que no suporta STP. Nestes casos, ou so portas que nunca causariam loops ou so casos que o administrador deve tratar pessoalmente, j que no h suporte a STP. Este o processo de convergncia de uma maneira bem simples. um processo criterioso que estabelece uma rede operacional completamente livre de loops. fcil perceber que este processo leva algum tempo. Para redes maiores pode levar quase um minuto. Sempre que o administrador inclui um switch na rede, a rede passa por um novo perodo de convergncia. Se um link de uma porta raiz de qualquer switch cai, novo perodo de convergncia. Em outras palavras, quase um minuto de espera. Este , na realidade, o ponto fraco do STP. To fraco que motivou uma nova verso do protocolo: O IEEE 802.1W RSTP ou Rapid Spanning Tree Protocol.
5.2 Rapid Spaning Tree Protocol.

Na realidade, qualquer usurio que procurar hoje pelo documento que especifica o padro IEEE802.1W vai perceber que este agora faz parte do IEEE 802.1D de 2004 (IEEE 2004, III). Na prtica, estes dois so to parecidos que existe apenas um hoje. E, exceto por alguns detalhes, ambos funcionam exatamente da mesma forma. Mesmo um switch antigo vai conseguir funcionar corretamente com outro que suporte apenas o RSTP. E mesmo para comprar um dispositivo, isso no um problema srio. A maioria dos fabricantes inclui as siglas STP, RSTP e MSTP para no deixar dvidas quanto s tcnicas que suporta. Alm disso, quase impraticvel que um produto novo d suporte verso antiga do STP e no d suporte ao RSTP. Como o nome bem sugere, a diferena entre estas duas verses da tcnica de Spanning Tree a velocidade de convergncia. Para a maioria dos casos, o tempo de convergncia cai de quase um minuto para poucos segundos. Na prtica, dificilmente chega a 2 segundos. Praticamente imperceptvel para o usurio final. Ambos trabalham da mesma forma para eleger o switch raiz, para selecionar as portas raiz nos demais switches da planta e para selecionar as portas designadas (ODOM 2008, 78). Contudo h uma pequena mudana no tratamento das portas bloqueadas. Normalmente, este estado se chama descarte ( discarding
Pgina 46.
Especializao em Redes de Computadores. Interconexo de redes / Error! Use the Home tab to apply Ttulo 1 to the text that you want to appear here. ou backup). Mas uma das portas bloqueadas assume o estado de alternativa ( alternate). Se a porta raiz de um switch cai, a porta alternativa assume quase instantaneamente. No h um novo perodo de convergncia, j que a escolha j foi feita. Se um novo switch includo na rede, apenas ele fica com as portas bloqueadas durante a nova convergncia. A rede continua operando at definir novas portas raiz e alternativas e de descarte para o novo dispositivo. Em resumo, no caso da queda de um link, os dispositivos j escolheram previamente a porta que assume a comunicao. a tcnica de Spanning Tree Uplink Fast. Como o que acontece na maioria dos casos a queda de um nico link, isso melhora o desempenho para a maioria dos casos. Quando a rede est em produo, o administrador j sabe de antemo qual a porta que vai assumir no caso de queda do link em funcionamento. O administrador pode tambm selecionar portas que no correm risco de criar loops na rede. Normalmente, o que acontece com portas que levam a computadores e outros dispositivos finais. Assim, estas portas no passam pelo processo de convergncia. o Spanning Tree Port Fast. Obviamente, o administrador deve utilizar este recurso com cuidado. E para finalizar, o procedimento de convergncia conta com a tcnica de Spanning Tree Backbone Fast. Esta tcnica procura por inconsistncias que podem atrasar o processo de convergncia garantindo maior velocidade. Tudo isso faz do RSTP muito mais rpido que seu irmo mais velho, j praticamente em desuso. Atualmente, quando se fala em STP trata-se na realidade do RSTP.
5.3 STP com dois switches L2.

Agora hora de ver o STP funcionando na prtica. O cenrio mais simples possvel seria usar apenas dois switches com trs ligaes entre eles. Isso permite uma redundncia e mantm a rede em funcionamento mesmo que dois links caiam. Este cenrio simples o ponto de partida ideal. A princpio, quase todos switches com suporte a STP j ativam por padro esta tecnologia. Assim, o administrador vai apenas conferir como as coisas acontecem.
Figura 8: Rede simples com dois switches e um tronco redundante.
Neste cenrio, com dois switches idnticos e duas ligaes deve haver: apenas um switch raiz com todas as suas portas designadas; o outro switch deve ter uma porta raiz, portas alternativas e portas no status de bloqueio. Tambm deve haver uma porta designada para a conexo com PC0. Apenas um comando resolve tudo isso:
01 02 03 04 05 06 07 08 SW0#show spanning-tree active VLAN0001 Spanning tree enabled protocol ieee Root ID Priority 32769 Address 0001.6439.897C Cost 19 Port 1(FastEthernet0/1) Hello Time 2 sec Max Age 20 sec
Forward Delay 15 sec
Pgina 47.
09 10 11 12 13 14 15 16 17 18 19 20 Bridge ID Priority Address Hello Time Aging Time Role ---Altn Root Altn Desg 32769 (priority 32768 sys-id-ext 1) 0060.3E84.7AA0 2 sec Max Age 20 sec Forward Delay 15 sec 20 Cost --------19 19 19 19 Prio.Nbr -------128.2 128.1 128.3 128.24 Type -------------------------------P2p P2p P2p P2p
Interface ---------------Fa0/2 Fa0/1 Fa0/3 Fa0/24
Sts --BLK FWD BLK FWD
A linha 1 indica o comando que deve executar em modo privilegiado. A linha 2 indica a VLAN. Como est claro no captulo 4, todas as portas iniciam por padro na VLAN1. As linhas de 4 a 13 mostram configuraes do STP: prioridade do switch raiz; endereo fsico do switch raiz; custo para alcanar o switch raiz; porta raiz; configuraes de atualizao do switch raiz; prioridade do switch local; endereo fsico do switch local configuraes de atualizao do switch atual e o tempo de envelhecimento. Neste ponto, merece destaque o significado de cada um desses valores. Hello time o tempo entre as mensagens de atividade. Em outras palavras, a cada dois segundos, cada um destes dois switches (raiz e local) envia um BPUD indicando atividade. Max Age indica o tempo mximo que um switch considera antes de determinar que um caminho est indisponvel. Se um switch espera um tempo maior que este para receber uma informao do switch raiz, por exemplo, conclui que o switch raiz est indisponvel e escolhe uma porta alternativa para raiz ou inicia outro procedimento de convergncia. Forward Delay o tempo mximo nos estados intermedirios de escuta e aprendizagem caso entre em um novo perodo de convergncia. As linhas de 15 a 29 mostram algumas das informaes mais importantes. A coluna role e a coluna status mostram o que cada porta est fazendo. As portas Fa0/2 e Fa0/3 esto no estado bloqueado (BLK). Significa que nenhum trfego, alm de mensagens BPDU, circula nestas portas. Contudo, estas portas so alternativas (Altn), o que significa que podem levar ao switch raiz caso a porta raiz falhe. A porta raiz (Fa0/1) est no estado de repasse (FWD) que indica a possibilidade de qualquer trfego. A regra (Root) indica que a porta raiz. A porta Fa0/24, apesar de repassar trfego apresenta outra regra: designada (Desg). Isso significa que no uma porta raiz nem uma porta alternativa. Esta porta designada, j que nela que est a conexo para PC025. O custo da porta raiz 19. Isso deixa claro que este switch compatvel com o padro de 1998. A prioridade de todas as portas 128. O administrador pode modificar este valor para forar que uma porta seja a porta raiz. Se o administrador no considera este comando muito esclarecedor, basta substituir active por detail. Caso contrrio, pode substituir active por sumary para saber apenas a quantidade de portas em cada estado. A informao p2p ao fim de cada linha indica que este um link ponto-a-ponto. Em outras palavras, a ligao interliga apenas dois dispositivos, diferente do que aconteceria se existisse um hub nesta ligao. Nestes caos apareceria shr de shared ou compartilhado. O prximo passo derrubar os links e verificar as portas mudando de estado e a rede em pleno funcionamento. interessante manter uma conexo entre dois dispositivos diferentes para verificar a
25
Infelizmente, existem divergncias sobre estas nomenclaturas. Tanto estas nomenclaturas mudaram com a evoluo da tecnologia quanto os diversos fabricantes as utilizam da maneira que lhes convm. (ODOM 2008, 80) e (FILIPPETTI 2008, 97) exibem a tpica nomenclatura Cisco, (DONAHUE 2007, 74) utiliza alguns estados adicionais e (SEIFERT e EDWARDS 2008) mostram outra comparao. Tudo isso sem mencionar outros fabricantes.
Pgina 48.
Especializao em Redes de Computadores. Interconexo de redes / Error! Use the Home tab to apply Ttulo 1 to the text that you want to appear here. indisponibilidade enquanto os switches procuram pela nova rvore ideal. Qualquer administrador vai quer realizar seus prprios testes para se convencer do poder desta tcnica. Contudo, este material parte logo para outras possibilidades.
5.3.1 Mudanas de prioridades.

Depois de muito testar o simplrio cenrio anterior, o administrador vai querer influenciar nas definies de portas razes e do switch raiz. E a nica maneira de fazer isso mudando as prioridades. Antes de iniciar as configuraes do STP, o administrador no pode perder de vista a ideia de que o padro atuante no dispositivo a ltima atualizao a que d suporte. Como a maioria dos dispositivos d suporte a MSTP, muitas das configuraes vo levar isso em considerao, mesmo no sendo este o foco do estudo por enquanto. A prioridade padro de um switch 32769. Este um valor prximo da mdia entre os limites que vo de 0 a 65535. Como o nmero da VLAN entra no clculo do MSTP deve haver um desconto neste nmero mximo. Por isso este valor mximo pode aparecer subtrado do nmero mximo de VLANs possveis (4095), ou seja, 61440. Tambm por isso, as prioridades admissveis so sempre mltiplas 4096. Portanto, o administrador pode usar esta faixa para elevar ou diminuir a prioridade do dispositivo. Lembrando que quanto menor o valor, maior a prioridade. Ao olhar a sada do comando show spanning-tree active anterior, possvel perceber que as prioridades eram iguais e que a deciso usou o critrio de desempate (endereo fsico). O objetivo agora mudar isso. O administrador pode querer que o switch que est no CPD ou que usa uma fonte de energia redundante seja o switch raiz de modo a evitar convergncias desnecessrias. Isso para ficar em um nico exemplo que poderia considerar: garantia e tempo de uso do equipamento, tipo de cabeamento, aterramento, fontes de interferncia, et cetera. A lista de comandos abaixo realiza esta tarefa:
01 02 03 04 05 06 07 08 SW0#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW0(config)#spanning-tree vlan 1 priority 1024 % Bridge Priority must be in increments of 4096. % Allowed values are: 0 4096 8192 12288 16384 20480 24576 28672 32768 36864 40960 45056 49152 53248 57344 61440 SW0(config)#spanning-tree vlan 1 priority 12288
O comando est na linha 8. Obviamente, a modificao considera apenas a VLAN1. Contudo, na linha 03 o comando falhou. O parmetro que indica a prioridade em questo 1024 que no mltiplo de 4096. Por isso, as linhas de 4 a 7 criticam este parmetro e apresentam a lista com os 16 valores vlidos. Isso limita muito a quantidade de valores possveis quando o administrador considera as 61440 possibilidades iniciais. Contudo, este valor absurdo irreal. O estudo do MSTP deixa claro que usar o nmero da VLAN e a possibilidade de ter prioridades diferentes por VLAN algo muito mais prefervel. No caso do comando da linha 8, o exemplo utiliza o parmetro 12288 quer permite ao administrador ter 3 faixas mais prioritrias e 12 faixas menos prioritrias para o futuro. Contudo, neste momento, o switch no inicia um novo processo de convergncia. necessrio que algo acontea, como a queda da porta raiz deste switch para iniciar uma nova convergncia na qual este switch passaria a raiz. Isso pode ser um inconveniente j que o administrador teria de desativar uma porta ou mesmo remover um cabo de rede. Por isso, o comando ideal seria:
SW0(config)#spanning-tree vlan 1 root primary SW0(config)#do show spanning-tree active VLAN0001 Spanning tree enabled protocol ieee
Pgina 49.
Root ID Priority Address This bridge Hello Time Priority Address Hello Time Aging Time Role ---Desg Desg Desg Desg 12289 0060.3E84.7AA0 is the root 2 sec Max Age 20 sec
Bridge ID
12289 (priority 12288 sys-id-ext 1) 0060.3E84.7AA0 2 sec Max Age 20 sec Forward Delay 15 sec 20 Cost --------19 19 19 19 Prio.Nbr -------128.2 128.1 128.3 128.24 Type -------------------------------P2p P2p P2p P2p
Interface ---------------Fa0/2 Fa0/1 Fa0/3 Fa0/24
Sts --LSN FWD LSN FWD
Este comando coloca o switch como raiz da planta e inicia uma convergncia como possvel perceber na sada do comando seguinte. Um novo estado transitrio aparece na lista: listening (LSN) ou escuta. Neste estado a porta admite apenas trfego BPDU e verifica se esta porta pode passar para o estado de repasse. Tambm existe o estado transitrio learning (LRN) ou aprendizagem. Neste estado a porta registra endereos fsicos em sua tabela MAC como uma segunda fase de preparao para o estado de repasse. Depois de um pequeno intervalo (forward delay) todas passam ao estado de repasse (FWD). O administrador ainda pode usar este mesmo comando em outro switch da rede mudando o parmetro primary por secondary. Assim, os switches identificam antecipadamente qual ser o novo switch raiz antes mesmo de acontecer uma falha. Os dois comandos so suficientes para determinar o switch raiz. Agora a vez de definir as prioridades das portas. O administrador pode querer isso quando desconfia que uma porta est causando problemas ou est na iminncia de um problema. Ou por ter um cabo blindado mais confivel ou com um conversor de mdia que no influenciaria no custo da porta dinamicamente ligado ao outra porta. Esses, entre vrios outros motivos seriam facilmente detectveis em uma planta de maior complexidade. Os comandos abaixo, em SW1, que agora no mais o switch raiz, mudam a prioridade da porta Fa0/3 do switch para 32.
SW1#show spanning-tree active VLAN0001 Spanning tree enabled protocol ieee Root ID Priority 16385 Address 0060.3E84.7AA0 Cost 19 Port 1(FastEthernet0/1) Hello Time 2 sec Max Age 20 sec Bridge ID Priority Address Hello Time Aging Time Role ---Root Altn Altn
20481 (priority 20480 sys-id-ext 1) 0001.6439.897C 2 sec Max Age 20 sec Forward Delay 15 sec 20 Cost --------19 19 19 Prio.Nbr -------128.1 128.2 128.3 Type -------------------------------P2p P2p P2p
Interface ---------------Fa0/1 Fa0/2 Fa0/3
Sts --FWD BLK BLK
SW1#configure terminal Enter configuration commands, one per line. SW1(config)#interface fa0/3
End with CNTL/Z.
Pgina 50.
SW1(config-if)#spanning-tree vlan 1 port-priority 1 % Port Priority in increments of 16 is required SW1(config-if)#spanning-tree vlan 1 port-priority 32 SW1(config-if)#do show spanning-tree active VLAN0001 Spanning tree enabled protocol ieee Root ID Priority 16385 Address 0060.3E84.7AA0 Cost 19 Port 1(FastEthernet0/1) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority Address Hello Time Aging Time Role ---Root Altn Altn 20481 (priority 20480 sys-id-ext 1) 0001.6439.897C 2 sec Max Age 20 sec Forward Delay 15 sec 20 Cost --------19 19 19 Prio.Nbr -------128.1 128.2 32.3 Type -------------------------------P2p P2p P2p
Interface ---------------Fa0/1 Fa0/2 Fa0/3
Sts --FWD BLK BLK
Obviamente, a mesma configurao deve acontecer tambm no outro switch. Neste caso, a ligao em questo usa as portas Fa0/3 de SW0 e de SW1. Portanto, o mesmo comando deve rodar nos dois switches. Depois disso os switches automaticamente percebem a mudana e as portas passam pelos estados transitrios de escuta e aprendizagem e para o estado definitivo de repasse. Mais uma vez, essa mudana de prioridades vale para a VLAN1. Isso importante quando existem vrias VLANs para equilbrio de carga.
5.4 STP com switches L2 e L3 usando VLANs e MSTP.

O STP uma tcnica muito antiga26. Depois disso, surgiram as VLANs e a complexidade mudou as cartas na mesa. Ao usar o STP em conjunto com VLANs alguns problemas ficaram evidentes. As VLANs estabelecem uma estrutura lgica para cada VLAN diferente da estrutura fsica da rede. Contudo, o STP estabelece as portas que devem repassar trfego usando a estrutura fsica como parmetro. Ao usar as duas tcnicas, o STP pode bloquear uma porta redundante indispensvel para alguma VLAN especfica. Usar STP limita o uso de VLANs. A primeira sada para este dilema foi o Per-VLAN Spanning Tree ou PVST, tcnica proprietria Cisco. Neste caso, cada VLAN usava uma instncia diferente de STP. Assim cada VLAN us a sua prpria topologia virtual para estabelecer portas no estado de repasse ou de bloqueio (ODOM 2008, 87). Uma porta no estado BLK para a VLAN10 pode estar no estado FWD para a VLAN11. Anos depois, o IEEE padronizou sua prpria verso do STP para mltiplas VLANs sob o nome de Multiple Spanning Tree Protocol ou MSTP. Para o administrador que deseja usar VLANs e STP independente de fabricante deve procurar o suporte ao MSTP nos manuais do equipamento antes de adquiri-lo. Na prtica, o MSTP no estabelece uma nica topologia para cada VLAN individualmente. H um perodo de anlise com o objetivo de formar grupos de VLANs. Para cada grupo h uma topologia diferente. Isso ameniza o processamento nos dispositivos com suporte a MSTP em comparao com os dispositivos que suportam PVST. O administrador deve ter em mente que ao usar um dispositivo Cisco (ou de algum fabricante com licena das tcnicas de spanning tree Cisco) pode estar usando o PVST ou uma de suas
26
A sequncia correta : DEC STP (1985), IEEE 802.1D STP (1990), CST ( Common Spanning Tree), PVST+, IEEE 802.1w RSTP (2001), IEEE 802.1s MSTP (integrado ao IEEE 802.1Q) (2005), PVRST+ (FROOM 2010, 119).
Pgina 51.
Especializao em Redes de Computadores. Interconexo de redes / Error! Use the Home tab to apply Ttulo 1 to the text that you want to appear here. atualizaes. Este exatamente o caso dos exemplos deste material. Para outros fabricantes as configuraes podem ser diferentes. A proposta deste cenrio usar o MSTP para balancear o trfego de 3 VLANs em 3 ligaes entre 2 switches: um switch L2 e um switch L3. Assim usar o melhor de cada uma das tcnicas: links redundantes com STP para tolerncia a falhas, VLANs para segmentar a rede e MSTP para balancear a carga entre os switches fazendo com que cada VLAN use uma ligao diferente. No diagrama abaixo, PC0 e PC1 pertencem VLAN11 (portas 10-14 em SW0 e SW1), PC2 e PC3 pertencem VLAN12 (portas 15-19 em SW0 e SW1) e PC4 e PC5 pertencem VLAN13 (portas 20-24 em SW0 e SW1). Os switches utilizam as portas 1, 2 e 3 para os troncos. A ideia que o trfego da VLAN11 circule pela ligao que utiliza as portas 1 (de ambos switches), o trfego da VLAN12 pelas portas 2 e o trfego da VLAN13 pelas portas 3.
Figura 9: Rede com VLANs e STP para o tronco.
O primeiro passo configurar as VLANs nos dois switches. Os comandos para criar as VLANs e atribuir as portas so similares aos comandos da lista a seguir:
01 02 03 04 SW0(config)#interface range fa0/10-14 SW0(config-if-range)#switchport access vlan 11 % Access VLAN does not exist. Creating vlan 11 SW0(config-if-range)#exit
Obviamente, o administrador deve lembrar de criar as trs VLANs nos dois switches. O prximo passo criar os troncos:
05 06 07 08 SW0(config)#interface range fa0/1-3 SW0(config-if-range)#switchport trunk encapsulation dot1q SW0(config-if-range)#switchport mode trunk SW0(config-if-range)#exit
Pgina 52.
Especializao em Redes de Computadores. Interconexo de redes / Error! Use the Home tab to apply Ttulo 1 to the text that you want to appear here. O administrador deve lembrar que nem todos os modelos do suporte ao comando da linha 06. Muitos dispositivos detectam automaticamente o tipo de frame que devem interpretar. E, por fim, o administrador deve criar as trs VLAN interfaces para servir de gateway entre as redes:
09 10 11 SW1(config)#interface vlan 11 SW1(config-if)#ip address 10.1.11.1 255.255.255.0 SW1(config-if)#exit
E para finalizar, o administrador deve usar o comando a seguir em SW1 para ativar o roteamento:
12 SW1(config)#ip routing
Nada disso novidade e, por isso, os breves comentrios. Todos estes comandos servem apenas para colocar as VLANs em funcionamento. Os comandos para possveis diagnsticos so: Exibe detalhes da VLAN interface: Exibe detalhes das portas que do suporte aos troncos:
show interfaces vlan 11 show interfaces trunk
Exibe a diviso das portas por VLAN exceto portas de troncos: show vlan brief Exibe detalhes de roteamento:
show ip route
Mas o que realmente interessa configurar o MSTP de modo a equilibrar a carga. Antes de executar esta tarefa especfica, o administrador deve verificar qual modo STP os dispositivos do suporte. O ideal usar o MSTP que no depende de fabricante. Contudo, especialmente entre equipamentos Cisco mais antigos, esta opo pode no estar disponvel. O comando :
SW0#spanning-tree mode ?
Este comando lista todos os modos que o dispositivo suporta. Obviamente, todos dispositivos devem estar operando no mesmo modo. Depois de confirmar isso hora de conferir o funcionamento do STP. Ao usar o comando abaixo, possvel perceber que todas as VLANs esto usando a mesma porta para enviar seu trfego:
SW0#show spanning-tree active VLAN0001 (...) VLAN0011 (...) Interface Role Sts Cost ---------------- ---- --- --------Fa0/3 Altn BLK 19 Fa0/2 Altn BLK 19 Fa0/10 Desg FWD 19 Fa0/1 Root FWD 19 VLAN0012 (...) Interface Role Sts Cost ---------------- ---- --- --------Fa0/3 Altn BLK 19 Fa0/2 Altn BLK 19 Fa0/15 Desg FWD 19 Fa0/1 Root FWD 19 VLAN0013 (...) Interface Role Sts Cost ---------------- ---- --- --------Fa0/3 Altn BLK 19 Fa0/2 Altn BLK 19
Prio.Nbr -------128.3 128.2 128.10 128.1
Type -------------------------------P2p P2p P2p P2p
Prio.Nbr -------128.3 128.2 128.15 128.1
Type -------------------------------P2p P2p P2p P2p
Prio.Nbr -------128.3 128.2
Type -------------------------------P2p P2p
Pgina 53.
Fa0/20 Fa0/1 Desg FWD 19 Root FWD 19 128.20 128.1 P2p P2p
Neste cenrio, apenas as porta Fa0/1 trafega todos os dados de todas as VLANs, enquanto as portas Fa0/2 e Fa0/3 no trafegam nada. Estas portas ficam completamente ociosas e a ideia colocar cada uma responsvel pelo trfego de uma VLAN diferente. Nenhuma das portas ficaria ociosa. E no caso de algum link falhar, uma das portas assumiria o trfego da VLAN que falhou. Para conseguir tal efeito necessrio mudar as prioridades com os comandos abaixo:
SW0(config)#interface fa0/1 SW0(config-if)#spanning-tree vlan 11 port-priority 32 SW0(config-if)#exit SW0(config)#interface fa0/2 SW0(config-if)#spanning-tree vlan 12 port-priority 32 SW0(config-if)#exit SW0(config)#interface fa0/3 SW0(config-if)#spanning-tree vlan 13 port-priority 32 SW0(config-if)#exit
Depois de rodar os comandos nos dois switches a configurao das portas raiz de cada VLAN muda. A porta Fa0/1 passa a ser a titular da VLAN11. A porta Fa0/2 assume o trfego da VLAN12. O mesmo acontece com a porta Fa0/3 e a VLAN13. O administrador pode usar o comando show spanning-tree active novamente para conferir o resultado. Se o link que liga as portas Fa0/1 cair, este mesmo comando apresenta a seguinte sada:
SW0#show spanning-tree active VLAN0001 (...) VLAN0011 (...) Interface Role Sts Cost ---------------- ---- --- --------Fa0/3 Altn BLK 19 Fa0/2 Root FWD 19 Fa0/10 Desg FWD 19 VLAN0012 (...) Interface Role Sts Cost ---------------- ---- --- --------Fa0/3 Altn BLK 19 Fa0/2 Root FWD 19 Fa0/15 Desg FWD 19 VLAN0013 (...) Interface Role Sts Cost ---------------- ---- --- --------Fa0/3 Root FWD 19 Fa0/2 Altn BLK 19 Fa0/20 Desg FWD 19
Prio.Nbr -------128.3 128.2 128.10
Type -------------------------------P2p P2p P2p
Prio.Nbr -------128.3 32.2 128.15
Type -------------------------------P2p P2p P2p
Prio.Nbr -------32.3 128.2 128.20
Type -------------------------------P2p P2p P2p
A porta Fa0/2 assume o trfego das VLANs 11 e 12 enquanto o trfego da VLAN13 fica com a porta Fa0/3. Obviamente, neste cenrio simples com apenas 3 VLANs, usar uma nica faixa de prioridades suficiente. Contudo, com dezenas de VLANs, o administrador pode optar por vrias faixas j prevendo quem vai assumir cada uma das VLANs no caso de uma falha de modo a manter o equilbrio da carga. O tipo de utilizao de cada VLAN tambm pode ser determinante para a nova distribuio. Enfim, as possibilidades so inmeras.
Pgina 54.
5.5 STP para redes de switches full mesh.

O termo full mesh ou malha completa muito comum quando se fala da interligao de roteadores. Contudo, com a tcnica de STP, esta ideia de uma rede de switches malha completa passa a ser vivel e muito atraente para cenrios que exigem redundncia mxima. Uma rede full mesh a rede com a maior redundncia possvel. Nenhuma outra topologia permite um cenrio to redundante com apenas uma ligao entre os dispositivos. Uma rede de malha completa uma rede em que todos os dispositivos intermedirios se ligam a todos os outros. Portanto, em uma rede com n dispositivos, cada dispositivo tem n-1 ligaes, o nmero mnimo de ligaes para uma rede funcional n-1 ligaes e o total de ligaes (n*(n-1))/2. Por exemplo, em uma rede com 6 dispositivos, cada dispositivo possui 5 ligaes com um total de 30 ligaes. Contudo, o mais surpreendente que esta rede pode funcionar normalmente com apenas 5 ligaes. Portanto, no melhor cenrio possvel, se 25 ligaes carem, com sorte, a rede pode continuar funcional com apenas 5 ligaes ativas. Para um dispositivo ficar definitivamente indisponvel, necessrio que suas 5 ligaes caiam. Se carem 4 ligaes quaisquer, todos os dispositivos continuam disponveis. Se o administrador imaginar algo prximo da realidade, em uma rede com 30 ligaes intermedirias o administrador nunca deixaria cair tantas ligaes antes de tomar uma atitude. O administrador que aplica esta ideia aos switches de sua rede, com certeza, deseja um cenrio to prova de falha quanto possvel. E ao aplicar esta ideia rede de switches o administrador conta com uma grande vantagem: normalmente, esta a ligao mais barata possvel. Quando se pensa nas conexes seriais dos roteadores ou ligaes ponto-a-ponto sem fio o custo se eleva. Usar linhas telefnicas normalmente mais caro. Cada link ponto-a-ponto sem fio requer a compra de novas antenas ou at novas interfaces de rede sem fio e s vivel quando a distncia ultrapassa as possibilidades dos cabos de cobre. Usar links sem fio tambm implica em outros assuntos como os vrios tipos de interferncias, garantia de velocidade e segurana. Por isso, na maioria dos casos, o famoso cabo UTP de cobre deve ser o mais barato. Especialmente se a planta usa cabeamento estruturado. bem provvel que os cabos j existam e passa a ser uma questo apenas de manobrar os cabos nos armrios e configurar os switches. A proposta deste cenrio justamente esta: montar uma rede full mesh ou de malha completa com 5 dispositivos. Neste cenrio, apenas a queda de 4 ligaes pode indisponibilizar algum dispositivo na rede. Contudo, mesmo caindo 6 ligaes a rede pode continuar funcionando. A figura abaixo retrata este cenrio:
Pgina 55.
Figura 10: Rede full mesh com cinco switches usando STP.
Neste cenrio h um total de 10 ligaes. Com sorte, mesmo caindo 6 ligaes, a rede pode continuar funcionando. Contudo, a garantia de queda de 3 ligaes. Em outras palavras, considerando qualquer combinao possvel, a queda de 3 ligaes nunca vai indisponibilizar nenhum dispositivo. Ao ligar os dispositivos com suporte a STP neste cenrio e desconsiderando o uso de VLANs, j est tudo pronto. O prprio STP vai tomar todas as providncias para estabelecer uma rede plenamente funcional em alguns poucos segundos. A primeira providncia a tomar seria escolher um switch para assumir o papel de raiz. Este switch, como rvore da planta teria uma quantidade de trfego um pouco maior. Depois disso, o administrador poderia priorizar algumas portas para garantir que algumas conexes sejam preferidas. Contudo, os cenrios anteriores j fazem isso e seria uma mera repetio a esta altura. Interessante mesmo diminuir os tempos para agilizar o processo de convergncia. Com isso, as mudanas de topologia ou mesmo a queda do dispositivo raiz vo impactar ainda menos. Para isso basta usar os comandos:
01 02 03 SW0(config)#spanning-tree vlan 1 hello-time 1 SW0(config)#spanning-tree vlan 1 forward-time 10 SW0(config)#spanning-tree vlan 1 max-age 20
O primeiro comando muda o perodo em que cada dispositivo deve se identificar. O administrador pode escolher valores entre 1 e 10 segundos. O segundo comando muda o perodo mximo em que as portas ficam nos estados de escuta e aprendizagem. Quanto menor este tempo, mais rapidamente a porta passa para o estado de repasse. O administrador pode escolher valores entre 4 e 30 segundos. O terceiro comando muda o perodo em que os dispositivos devem considerar um vizinho inativo. Em outras palavras, se um dispositivo no recebe frames BPDU de um vizinho por todo o tempo em max-age, o dispositivo inicia a convergncia necessria para remover o dispositivo inativo da topologia. O administrador pode usar tempos de 6 a 40 segundos.
Pgina 56.
5.6 Desabilitar suporte ao STP.

Apesar dos vrios benefcios, muitas vezes a sada pode ser no usar o STP. O administrador pode ter problemas ao compatibilizar dispositivos de vrios fabricantes diferentes em cenrios especficos ou pode perceber que no h necessidade para tal. Pode ainda decidir que para uma pequena VLAN cujas portas esto todas em um nico dispositivo, intil manter o STP. Enfim, para todos os casos em que o administrador no desejar o uso de STP basta usar o comando:
SW0(config)#no spanning-tree vlan 1-11
Neste caso, todas as VLANs no intervalo de 1 a 11 deixam de usar o STP. Obviamente, se alguma delas apresentar loops as temveis tempestades de broadcast podem degradar o trfego destas VLANs. E como todas as VLANs normalmente compartilham as ligaes de tronco, pode acabar impactando no trfego de outras VLANs que do suporte ao STP e que estariam sob a proteo desta tcnica.
Pgina 57.
Captulo 6 Agregao.
De certa maneira, esta tcnica uma concorrente direta dos links redundantes do captulo anterior. A agregao recebe o nome de Link Aggregation Control Protocol do IEEE (802.3d27). Contudo, enquanto o foco do STP mitigar os loops em uma rede local, o foco da agregao elevar o desempenho sendo muito mais simples que o STP. Por isso mesmo, normalmente, cai no gosto dos administradores como uma opo muito vivel. A agregao consiste em agrupar ou agregar vrias portas para transform-las em uma s. Assim, agrupando duas portas reais Gigabit Ethernet, o switch passa a ter uma porta lgica de 2 Gigabit Ethernet. No existe loop, j que no existem duas portas. O administrador pode at desabilitar o STP sem medo. A possibilidade de ter uma velocidade maior que a velocidade mxima do equipamento em um nico link um atrativo interessante. A grande vantagem de usar agregao o desempenho. Todo administrador, ao ver um tronco sobrecarregado enquanto as filas das portas de acesso enchem, j sonhou em ter uma porta mais veloz. Um nico trfego vai usar a velocidade mxima de todas as portas de uma vez s diferente do que aconteceria com STP. A desvantagem a simplicidade da topologia. Com STP possvel ter topologias mais ricas, j que possvel ter redundncias. A agregao no permite redundncias. Contudo, possvel combinar agregao e STP para topologias ricas e portas velozes. Para o STP, cada canal de agregao equivale a uma nica ligao. A agregao tambm permite uma sobrevida para equipamentos que esto se tornando obsoletos. Os switches antigos podem ser utilizados para dispositivos finais que no tenham requisitos de desempenho elevados e usar agregao para se ligar ao backbone da rede. Contudo, o administrador deve imaginar que um equipamento lento ligado a um equipamento veloz vai subutilizar muitas portas do equipamento mais rpido de uma s vez. Todo equipamento tem limites para agregao. Normalmente, so possveis alguns poucos canais, 6 ou 8 em switches de 16 a 48 portas. Tambm h um limite para o nmero de portas em um canal. No possvel usar 16 portas de um switch de 16 portas em um nico canal. Na realidade, nem h lgica nisso. Normalmente, um canal aceita de 2 a 8 portas. Dificilmente este valor passa de 8. Obviamente, estes valores variam de equipamento para equipamento. O administrador deve conferir estes limites e verificar se so coerentes com as suas prprias necessidades. Dispositivos Cisco podem usar a tecnologia proprietria a Port Aggregation Protocol ou PAgP ou Etherchannel. Contudo sempre do suporte ao LACP. Outros fabricantes quase sempre suportam outros protocolos proprietrios, contudo normalmente suportam tambm o LACP.
6.1 Agregao com LACP.

Existem vrias condies tericas que este material simplesmente ignora como os modos ativo e passivo LACP e as agregaes estticas e dinmicas. A ideia manter a abordagem to simples quanto possvel. Por isso a proposta o cenrio mais simples de agregao. So dois switches que usam suas duas portas Gigabit para criar um canal de 2 Gbps.
27
Aconteceram algumas mudanas evolutivas nesta tcnica e atualmente se chama 802.1AX de 2008.
Pgina 58.
Figura 11: Rede simples usando agregao com trs links.
A sequncia de comandos a seguir, em ambos os switches configura a agregao. O primeiro comando apenas exibe as configuraes atuais de agregao para permitir uma comparao ao fim do procedimento:
01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 SW0#show etherchannel summary (...) Number of channel-groups in use: 0 Number of aggregators: 0 Group Port-channel Protocol Ports ------+-------------+-----------+---------------------------------------------SW0#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW0(config)#no spanning-tree vlan 1 SW0(config)#interface range Gi 1/1-2 SW0(config-if-range)#channel-protocol lacp SW0(config-if-range)#channel-group 1 mode active SW0(config-if-range)#exit SW0(config)#exit SW0#show etherchannel summary (...) Number of channel-groups in use: 1 Number of aggregators: 1 Group Port-channel Protocol Ports ------+-------------+-----------+--------------------------------------------1 Po1(SU) LACP Gig1/1(P) Gig1/2(P)
O comando da linha 11 desativa o STP. Apenas para verificar se existe a ocorrncia de loops com uso de agregao. Os comandos que configuram a agregao esto nas linhas de 12 a 15. Efetivamente, apenas uma configurao das interfaces que participam da agregao. O comando da linha 13 orienta a usar o LACP no lugar do PAgP. O parmetro 1 na linha 14 indica que o canal 1. Obviamente, um dispositivo pode ter mais de um canal, cada um com suas prprias portas. A linha 24 mostra o resultado da configurao. Sem o STP o administrador no deve ligar os cabos antes de terminar de configurar a agregao. Depois disso, basta realizar testes de sobrecarga para verificar se a velocidade no tronco supera 1Gbps.
6.1.1 Modificando um canal.

Com um canal configurado, o administrador pode incluir ou excluir portas. Tudo acontece automaticamente sem que os usurios percebam problemas na rede. A sequncia de comandos abaixo inclui uma porta FastEthernet no canal da seo anterior:
01 02 03 04 SW0(config)#int fa 0/24 SW0(config-if)#channel-protocol lacp SW0(config-if)#channel-group 1 mode active SW0(config-if)#exit
Na realidade, exatamente igual configurao do canal. Contudo, o administrador no pode cometer excessos. Um dos exemplos mais comuns colocar uma interface half-duplex em um canal full-duplex. Estas
Pgina 59.
Especializao em Redes de Computadores. Interconexo de redes / Error! Use the Home tab to apply Ttulo 1 to the text that you want to appear here. configuraes conflitantes vo impedir as interfaces de trabalhar junto e vo resultar em erros. Contudo, o prprio dispositivo consegue tratar problemas deste tipo. Os comandos abaixo realizam este procedimento:
01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 17 18 19 20 21 22 SW0(config)#int fa 0/24 SW0(config-if)#duplex half SW0(config-if)# (...) SW0(config-if)#do show etherchannel summary Flags: D - down P - in port-channel I - stand-alone s - suspended H - Hot-standby (LACP only) R - Layer3 S - Layer2 U - in use f - failed to allocate aggregator u - unsuitable for bundling w - waiting to be aggregated d - default port Number of channel-groups in use: 1 Number of aggregators: 1 Group Port-channel Protocol Ports ------+-------------+-----------+---------------------------------------------1 Po1(SU) LACP Gig1/1(P) Gig1/2(P) Fa0/24(I) SW0(config-if)#exit
A flag (I) indica que a porta Fa0/24 no est no canal. O fato de colocar uma porta half-duplex para trabalhar junto com outras que suportam full-duplex inviabilizaria o canal. Por isso o dispositivo no a colocou trabalhando junto com as demais. Neste caso o administrador poderia remov-la com os comandos:
01 02 03 SW0(config)#interface fa 0/24 SW0(config-if)#no channel-group SW0(config-if)#exit
Para finalizar, vale lembrar que todas as configuraes deste captulo so para canais de camada de enlace. justamente este tipo de agregao que o padro do IEEE trata. Contudo, dispositivos Cisco utilizam canais de camada de rede tambm. As opes para estes canais de camada de rede podem aparecer junto de configuraes do Etherchannel, do PAgP e do LACP. E isso pode deixar as coisas podem ficar confusas.
Pgina 60.
Captulo 7 Lista de controle de acessos (ACL).

As listas de controle de acessos, access control lists ou simplesmente ACLs so o principal dispositivo de proteo de equipamentos gerenciveis. Praticamente, todos os dispositivos gerenciveis implementam ACLs de alguma maneira. Na prtica, ACLs so configuraes para um pequeno firewall de camada de rede. Os firewalls sempre fazem parte de um esquema de proteo, mas vale pena discutir quando necessrio usar ACL para o caso de j existir um firewall de borda na rede. Um firewall de borda um dispositivo de proteo entre duas redes: uma rede interna e razoavelmente segura e uma rede externa, pblica e sem controles efetivos de segurana. Portanto, se o administrador pode investir em um nico firewall em sua rede, ele deve optar pelo firewall de borda. Este firewall de borda, normalmente, implementa esquemas robustos de proteo. Por exemplo, ele pode incluir um cache para agilizar os acessos rede externa, pode incluir verificaes de vrus para determinados tipos de arquivos ou pode realizar bloqueios levando em conta palavras chave no contedo de uma pgina. Por isso, um firewall de borda muito robusto e roda em um dispositivo com elevado poder de processamento para no impactar na velocidade da rede. As ACLs so bem mais simples. No podem fazer todas as verificaes que um firewall de borda faz. E, com exceo dos roteadores, os dispositivos ficam dentro da rede interna, normalmente segura. Portanto, quando ACLs so teis? Quando necessrio proteger os computadores da rede interna uns dos outros. Por exemplo, os vrus que se propagam por discos USB portteis, usurios que conseguem passar pelos bloqueios de segurana da rede sem fio e tentam explorar vulnerabilidades no restante da rede, estaes ou dispositivos que possuem elevados requisitos de segurana cuja poltica no permite que outros usurios da rede tenham acesso aos seus recursos. Nestes e em vrios outros casos, o firewall de borda no pode fazer nada, mas as ACLs rodando dentro dos switches esto na posio ideal28 para tomar as providncias necessrias. Quase todos os princpios de configuraes de firewall valem para configuraes de ACLs. As configuraes so um conjunto de regras que o dispositivo aplica a um trfego especfico. Este conjunto de regras sempre combinam regras de permisso e bloqueio de modo que apenas o trfego desejado circule pelas portas ou interfaces nas quais atuam. A anlise do trfego acontece quando a informao entra ou sai por uma ou vrias interfaces especficas. A configurao sempre acontece em dois momentos: definio de regras e aplicao de regras. Em outras palavras, o administrador pode definir vrias regras e deix-las arquivadas para aplicar apenas quando necessrio. Todo administrador responsvel por firewalls reconhece as ideias que aparecem no pargrafo anterior. De fato, as diferenas esto na sintaxe e nas limitaes. De maneira abstrata, todas as ideias e polticas de diferentes tipos de firewall so aplicveis s ACLs. Se o administrador sabe separar o que deve e o que no deve bloquear, j sabe o mais difcil. Vale lembrar que, mesmo sendo simples, ACLs elevam o processamento do dispositivo. Portanto, o administrador deve pensar sempre em: no criar ACLs em demasia; dividir as responsabilidades com vrios
28
Toda a abordagem deste captulo vale igualmente para switches e para roteadores. Contudo, em cenrios em que h um nico roteador para acesso com a internet, dificilmente ACL sero mais eficazes que o roteador de borda. A abordagem deste captulo quer evidenciar as vantagens de usar ACL em uma rede com um ou vrios switches ou mesmo em um conjunto complexo de roteadores. Tambm necessrio esclarecer que um firewall no dispositivo final (estao ou servidor) pode suprir essa necessidade em muitos casos. Contudo, configurar estaes e servidores individualmente pode ser muito mais trabalhoso que configurar um nmero menor de dispositivos intermedirios. O administrador deve analisar seu prprio cenrio.
Pgina 61.
Especializao em Redes de Computadores. Interconexo de redes / Error! Use the Home tab to apply Ttulo 1 to the text that you want to appear here. dispositivos implementando pequenas partes da poltica de ACL em cada um; evitar usar ACLs nos dispositivos que j tenham sobrecarga com outras funes; et cetera. Existem dois tipos de ACL para dispositivos Cisco: padro e estendida. Uma ACL padro leva em considerao apenas o endereo IP da origem. Uma ACL estendida pode usar o endereo IP do destino, o tipo de protocolo da camada de transporte, a porta de origem e destino, entre outros. Obviamente, uma ACL estendida pode fazer bloqueios muito mais eficientes, contudo precisa analisar muitas informaes para tal. Para alguns switches Cisco no possvel usar ACLs. O administrador vai achar estranho que um switch permita configurar uma ACL e no permita utiliz-la. Para vrios dos produtos Cisco, a anlise das regras de uma ACL s acontece antes ou aps o roteamento de um datagrama IP. Com isso, muitos switches L2 no permitem aplicar ACLs apesar de permitir cri-las. Isso varia muito de fabricante para fabricante. Diferente dos produtos Cisco, alguns switches L2 mais comuns permitem configurar ALCs diretamente nas portas em que vo atuar. Em outros casos, os fabricantes associam a tcnica de ACL com as tcnicas de controle de trfego. Por isso, muitas vezes, o administrador estranha o manual do dispositivo que exige uma srie de configuraes que no tem relao com ACL. Tudo isso para manter o desempenho. Se o datagrama ou frame deve ser alvo de uma anlise, que seja tudo de uma vez s. Tambm existem fabricantes que possuem ACLs diferentes das comuns nos dispositivos Cisco. Por exemplo, existem ACLs especficas para tratar trfego Ethernet e que, portanto, analisam apenas informaes da camada de enlace. Outros fabricantes incluem um firewall de camada de aplicao completo em seus dispositivos. Contudo, esta abordagem foge ao escopo deste material. Aqui o foco verificar o que existe de comum a todos os dispositivos.
7.1 ACLs para um cenrio simples com switch L3.

Apesar da proposta desta seo usar um switch L3, no seria difcil aplicar este mesmo procedimento para um cenrio com uma nica VLAN e com switch L2. Contudo, para evitar alguns dos problemas mais comuns para quem pretende usar simuladores, o cenrio coloca um dispositivo com capacidade de roteamento. Dificilmente um administrador vai deparar com um cenrio to simples no qual necessite obrigatoriamente de ACL. Contudo, o presente esforo didtico. O cenrio da figura a seguir usa um nico switch como dispositivo de interligao. Nenhuma configurao de VLAN est presente. A preocupao apenas com a segurana.
Pgina 62.
Figura 12: ACLs em uma rede com trs VLANs.
Obviamente, este cenrio considera que o administrador j encontra as VLANs e a funo L3 em pleno funcionamento. No mais necessrio voltar a este assunto. Como os nmeros de porta so fundamentais, a tabela a seguir especifica cada um deles. As portas de 1 a 5 devem conter as polticas para servidores e proibido ligar estaes a estas portas. As portas de 6 a 24 so exclusivas de estaes e proibido ligar servidores a estas portas. Este o primeiro inconveniente das ACLs. Antes todas as portas eram iguais e ligar dispositivos a uma ou outra porta era indiferente. Com as regras de bloqueio de trfego, uma porta pode bloquear um trfego especfico para proteger um servidor no til para proteger estaes ou mesmo para outros servidores. SRV0 SRV1 PC0 PC1 PC2 PC3 Porta 1 2 10 11 12 13 Observaes Servidor principal com elevados requisitos de segurana. Servidor comum para acesso geral. Estao de trabalho com elevados requisitos de segurana. Estao de trabalho de uso geral como acontece com a maioria das estaes. Estao de trabalho de uso geral como acontece com a maioria das estaes. Estao desconhecida de um provvel invasor j que usa um endereo estranho.
Tabela 3: Associao de portas e dispositivos.
PC0 uma estao de rede especial. Apenas ela pode acessar o SRV0. Tambm ela no deve estar acessvel a qualquer outra estao da rede. Apenas estaes com endereos que correspondam ao padro 10.1.10.x podem acessar PC0 alm dos servidores. Quanto a SRV1 todos os endereos que se encaixem no padro 10.1.10.x, 10.1.11.x ou 10.1.12.x podem acess-lo normalmente. Endereos maiores que estes so suspeitos e proibidos. Normalmente, a poltica de segurana de uma grande instituio cheia de regras como estas. Talvez no acontea para pequenos ambientes de rede, mas vale ressaltar novamente, um esforo didtico. Portanto, neste cenrio necessrio implementar o seguinte conjunto de regras que razoavelmente simples, por enquanto:
Pgina 63.
1: SRV0 aceita trfego apenas de PC0 (10.1.10.10). 2: SRV1, como outros servidores na mesma VLAN, aceitam trfego apenas de 10.1.10.x, 10.1.12.x e 10.1.13.x. 3: PC0 e outras estaes desta VLAN aceitam trfego apenas de 10.1.10.x e da VLAN dos servidores. 4: Redes diferentes de 10.1.10.x, 10.1.11.x, 10.1.12.x e 10.1.100.x tm acesso proibido. Agora conferir a sintaxe da definio de regras. No modo de configurao h o comando access-list para definir as listas. Este comando sempre aceita duas possibilidades. A primeira delas mais simples e serve apenas para incluir uma observao lista:
01 SW0(config)#access-list 1 remark Apenas PC0 pode acessar SRV0.
O primeiro parmetro o nmero da lista. pelo nmero que o administrador localiza cada uma das listas. A faixa de nmeros compatvel com as ACL do tipo padro varia conforme o dispositivo. Por isso o administrador deve verificar a faixa que pode usar (access-list ?). A opo remark indica que o restante da linha um comentrio apenas. Em um dispositivo com dezenas de ACL complicadas, isso fundamental. A outra possibilidade que permite configurar a lista de fato, como no exemplo abaixo:
02 03 SW0(config)#access-list 1 permit 10.1.10.10 0.0.0.0 SW0(config)#access-list 1 deny any
A linha 2 inclui, na ACL1 (1 parmetro), a regra que permite (2 parmetro) o acesso de 10.1.10.10 (3 e 4 parmetros). Os dois ltimos parmetros que merecem um comentrio mais profundo. O 3 parmetro a origem do trfego. ACLs do tipo padro analisam apenas a origem do trfego. O 4 parmetro o wildcard 29. Este valor possui bit 0 na parte onde o endereo tem de ser exatamente igual ao que est no 3 parmetro. Neste caso, especifica o endereo exatamente. Se o administrador desejasse liberar toda a faixa 10.1.10.x o wildcard seria 0.0.0.255. Em outras palavras, os primeiros 3 octetos do endereo devem ser exatamente iguais ao do 3 parmetro. A linha 3 bloqueia todo o trfego restante. Portanto, todo o trfego que no se encaixar na regra da linha 2 (origem=10.1.10.10) vai se encaixar na regra da linha 3. Apenas para praticar o manejo com os wildcards, o exemplo abaixo teria o mesmo efeito. Usar o parmetro any apenas simplifica as coisas:
03 SW0(config)#access-list 1 deny 0.0.0.0 255.255.255.255
Nesta ltima linha, o terceiro parmetro um endereo qualquer, mas o wildcard permite que a anlise varie qualquer de seus bits. Portanto, qualquer endereo IPv4 caberia nesta regra. Isso tambm abre margem a outra discusso: se esta regra bloqueia qualquer origem, por qual motivo ela no bloqueia o endereo 10.1.10.10? Simples, pela ordem de procura nas regras. Toda anlise consulta as regras na ordem de configurao. O dispositivo verifica se o trfego se encaixa na primeira regra, caso positivo ele toma a atitude (permitir ou bloquear). Caso negativo consulta a prxima consulta. E assim ele vai percorrer as regras. A primeira regra na qual o trfego se encaixa, o dispositivo toma a atitude e conclui a anlise. Para ver o resultado basta usar o comando30:
04 05 06 07 SW0#show ip access-lists 1 Standard IP access list 1 permit host 10.1.10.10 deny any
29 30
Sem traduo literal. A observao no aparece neste comando, mas aparece na sada de show running-config.
Pgina 64.
Especializao em Redes de Computadores. Interconexo de redes / Error! Use the Home tab to apply Ttulo 1 to the text that you want to appear here. Omitindo o ltimo parmetro deste comando o dispositivo mostraria todas ACLs que, neste caso, teria o mesmo efeito. Falta apenas aplicar estas regras a um trfego. Esta regra se encaixa com o trfego que sai pela porta de SRV0. Recapitulando, esta ACL possui regras que analisam apenas o endereo de origem com destino a SRV0. Todo este trfego passa pela porta de SRV0, mais precisamente este o trfego de sada do switch com destino a SRV0. Esta anlise importante. O administrador tem de entender bem isso para no aplicar uma ACL correta em uma porta na qual ela no surte nenhum efeito. Neste caso, a sequncia de comandos :
08 09 10 SW0(config)#interface vlan 100 SW0(config-if)#ip access-group 1 out SW0(config-if)#exit
Em switches que suportam ACLs diretamente na porta, bastaria escolher a interface correta. Contudo, no o caso deste aqui, que um pouco mais complexo. Neste dispositivo o tratamento de ALCs feito junto ao roteamento (exatamente antes ou ou exatamente depois do procedimento). Portanto, necessrio pensar que este switch um roteador e a interface de roteador como a VLAN interface que tem endereo IP. Por isso, a aplicao da ACL acontece na VLAN interface e no na porta. O comando da linha 9 que faz todo o trabalho. Est aplicando a regra a sada da interface da VLAN100. Portanto, este trfego bloqueia tudo que sai pela VLAN interface 100 cuja origem no seja 10.1.10.10. Mas isso um equvoco do ponto de vista lgico. A ideia era bloquear o trfego com destino a SRV0 e no a toda VLAN. Da maneira como est, bloqueia todo o trfego que tambm se destina a SRV1. Esta constatao permite concluir que uma ACL padro no pode solucionar o problema em questo. uma boa oportunidade para verificar como remover uma ACL:
11 SW0(config)#no access-list 1
Bem simples. Contudo, como fcil perceber, uma ACL padro bem limitante. Se fosse possvel aplicar a ACL apenas porta de SRV0 o problema estaria resolvido. Contudo, o fato do dispositivo impedir o uso de ACLs diretamente em uma porta inviabiliza a tentativa. A sada usar uma ACL estendida.
7.1.1 ACL estendida usando endereos de rede.

Para configurar uma ACL estendida, necessrio verificar qual faixa de identificao o dispositivo admite. Isso varia muito, mesmo entre modelos de um mesmo fabricante. O administrador deve conferir no dispositivo ou no manual, no tem outro jeito. No caso de dispositivos Cisco, o comando :
01 02 03 SW0(config)#access-list ? <1-99> IP standard access list <100-199> IP extended access list
Para este dispositivo, a lista das ACLs estendidas vai de 100 a 199. Acho pouco provvel que um cenrio seja to complexo para necessitar de mais de 100 ACLs. Agora comear a configurar a ACL. Como uma ACL estendida, as polticas, 1 e 2 estaro nesta mesma ACL:
04 05 06 07 08 09 10 11 SW0(config)#access-list 100 remark Acesso a VLAN SW0(config)#access-list 100 permit ip 10.1.10.10 SW0(config)#access-list 100 deny ip any SW0(config)#access-list 100 permit ip 10.1.10.0 SW0(config)#access-list 100 permit ip 10.1.11.0 SW0(config)#access-list 100 permit ip 10.1.12.0 SW0(config)#access-list 100 deny ip any any SW0(config)#do show ip access-list 100 100 0.0.0.0 0.0.0.255 0.0.0.255 0.0.0.255 10.1.100.10 10.1.100.10 10.1.100.0 10.1.100.0 10.1.100.0 0.0.0.0 0.0.0.0 0.0.0.255 0.0.0.255 0.0.0.255
O IOS ignora o excesso de espaos que ajuda a visualizar melhor os comandos linha a linha. A sintaxe muda com a ACL estendida. J que possvel usar vrios tipos de informao diferentes o 3 parmetro ( ip) das linhas de 5 a 9 indica que esta regra trata de endereos de rede. Os dois parmetros seguintes indicam a
Pgina 65.
Especializao em Redes de Computadores. Interconexo de redes / Error! Use the Home tab to apply Ttulo 1 to the text that you want to appear here. origem (endereo/wildcard). Os dois ltimos o destino (endereo/wildcard). As linhas 6 e 10 usam o parmetro any no lugar da identificao endereo/ wildcard. Apenas para simplificar o comando como proposta da seo anterior. Com a configurao da ACL, hora de aplicar interface de VLAN:
17 18 19 SW0(config)#int vlan 100 SW0(config-if)#ip access-group 100 out SW0(config-if)#exit
As linhas de 7 a 9 configuram 3 faixas para acessa a VLAN 100. No seria absurdo se o leitor questionasse: no d para escrever essas trs linhas modificando apenas o wildcard? O wildcard permite escolher, bit a bit, as informaes fixas e as informaes variveis, portanto, faz muito sentido. Porm, a resposta no. Pelo menos, no sem falhas de segurana. E vale muito pena justificar os motivos que levam a esta resposta. A tabela a seguir mostra uma converso binria de 8 termos que poderiam substituir o 3 octeto na suposta resposta a este problema. Decimal Binrio 8 1000 9 1001 10 1010 11 1011 12 1100 13 1101 14 1110 15 1111
Tabela 4: Valores binrios e decimais.
Os valores em destaque so os que o wildcard deve selecionar, ou seja, 10, 11 e 12. A primeira proposta para substituir as linhas 7, 8 e 9 seria a seguinte:
access-list 100 permit ip 10.1.8.0 0.0.3.255 10.1.100.0 0.0.0.255
Ao usar este wildcard, o dispositivo ignora os dois ltimos bits do 3 octeto j que 3dec=11bin. Portanto o wildcard selecionaria corretamente as redes 10 e 11 que so nmeros iguais em binrio, exceto pelos dois ltimos dgitos. Contudo no selecionaria a rede 12 que difere de 8 no antepenltimo bit. Portanto, esta primeira proposta, no serve. Pelo menos, no sozinha. A prxima proposta a seguinte.
access-list 100 permit ip 10.1.8.0 0.0.7.255 10.1.100.0 0.0.0.255
Este wildcard, o dispositivo ignora os trs ltimos bits do 3 octeto j que 7dec=111bin. Portanto o wildcard selecionaria corretamente as redes 10, 11 e 12, mas daria margem a falhas de segurana. Ao ignorar os trs ltimos bits, todos os nmeros de 8 a 15 passam a ser coerentes com o wildcard. Portanto, alm de selecionar as trs faixas corretas, este wildcard seleciona duas faixas menores e trs faixas maiores igualmente. E isso no coerente com a poltica que diz explicitamente que faixas maiores so supostamente perigosas. Outra preocupao que o administrador deve ter sempre manter as regras to simples quanto possvel. Uma regra com um wildcard pouco comum pode levar a interpretaes incorretas, especialmente quando so muitos administradores. A sugesto usar wildcards mais complexos apenas quando todos os administradores possuem fluncia neste tipo de interpretao. Com todas estas anlises, fcil implementar as polticas que faltam. Primeiro a poltica de nmero 3, a mais simples:
20 21 22 23 24 25 SW0(config)#access-list 1 remark SW0(config)#access-list 1 permit SW0(config)#access-list 1 deny SW0(config)#int vlan 10 SW0(config-if)#ip access-group 1 SW0(config-if)#exit Acesso a VLAN 10 10.1.100.0 0.0.0.255 any out
No necessrio uma ACL estendida, uma ACL padro suficiente. Se apenas a rede dos servidores pode acessar as estaes restritas ento apenas a regra da linha 21 e a regra da linha 22 para negar o trfego que no se enquadra na poltica. Como o trfego da prpria VLAN no passa pelo roteador no corre risco de proibio. Obviamente, necessrio aplicar a poltica interface de VLAN correspondentes (VLAN10). Agora a poltica de nmero 4:
Pgina 66.
26 27 28 29 30 31 32 33 34 35 36 37 SW0(config)#access-list 2 remark SW0(config)#access-list 2 permit SW0(config)#access-list 2 permit SW0(config)#access-list 2 permit SW0(config)#access-list 2 permit SW0(config)#access-list 2 deny SW0(config)#int vlan 11 SW0(config-if)#ip access-group 2 SW0(config-if)#exit SW0(config)#int vlan 12 SW0(config-if)#ip access-group 2 SW0(config-if)#exit Acesso as VLANs 11 e 12 10.1.10.0 0.0.0.255 10.1.11.0 0.0.0.255 10.1.12.0 0.0.0.255 10.1.100.0 0.0.0.255 any out
out
No caso, todas as redes (VLANs) da instituio podem acessar as VLANs 11 e 12. Contudo, todos os outros endereos so proibidos. Exatamente estas regras figuram nas linhas de 27 a 31. Tambm, neste caso, uma ACL padro (2). Como esta ACL rege o trfego de duas VLANs, os comandos das linhas 32-34 aplicam a ALC VLAN 11 e os comandos das linhas 35-37 VLAN 12.
7.1.2 ACL estendida usando portas.

Os famosos nmeros de porta so informaes de interface entre a camada de transporte e a camada de aplicao. Usando nmeros de porta possvel determinar regras de segurana levando em considerao a aplicao de destino. Torna as opes de segurana muito mais robustas j que um endereo de rede se aplica a um dispositivo qualquer e um nmero de porta apenas a uma aplicao especfica dentro de um dispositivo. As ACLs estendidas permite usar nmeros de porta para permitir ou descartar um trfego qualquer. Para usar os nmeros de porta como parte da poltica de segurana, a partir de agora o administrador deve impedir o acesso ao servio HTTP de SRV0. O trecho abaixo mostra a configurao da ACL100 do exemplo anterior. A nica diferena o comando adicional na linha 2, que usa nmeros de porta para implementar a poltica.
01 SW0(config)#access-list 100 remark Acesso a VLAN 02 SW0(config)#access-list 100 deny tcp any range eq 80 03 SW0(config)#access-list 100 permit ip 10.1.10.10 04 SW0(config)#access-list 100 deny ip any 05 SW0(config)#access-list 100 permit ip 10.1.10.0 06 SW0(config)#access-list 100 permit ip 10.1.11.0 07 SW0(config)#access-list 100 permit ip 10.1.12.0 08 SW0(config)#access-list 100 deny ip any any 100 0 65535 0.0.0.0 0.0.0.255 0.0.0.255 0.0.0.255 10.1.100.10 0.0.0.0 10.1.100.10 0.0.0.0 10.1.100.10 0.0.0.0 10.1.100.0 0.0.0.255 10.1.100.0 0.0.0.255 10.1.100.0 0.0.0.255
A exemplo dos comandos demais comandos, o parmetro ip d lugar ao parmetro tcp, j que esta ACL investiga informaes at esta camada. Todos os outros parmetros apenas determinam a origem e o destino. A princpio a determinao do trfego de origem any range 0 65535. A indicao any sugere o endereo de rede, no caso, qualquer um. Como a sugesto da seo 7.1, no lugar de any o administrador poderia usar um endereo nulo e um wildcard completo. Aps o endereo o comando determina a porta da origem. No caso uma faixa de 0 a 65535, ou seja, qualquer porta possvel. Na maioria dos casos a faixa poderia ser de 1025 a 65535, mas os administradores mais paranoicos usariam a faixa completa. De fato, remover o trecho range 0 65535, o dispositivo entenderia que todas as portas na origem caberiam neste trfego. Contudo, o esforo didtico. Contudo, se o administrador ignora o nmero de porta, todas as portas se encaixam na especificao do comando. J o destino bem diferente: 10.1.100.10 0.0.0.0 eq 80. O endereo de rede e o wildcard determinam um destino exato: SRV0. Os dois ltimos parmetros determinam a porta de destino, no caso, igual a 80. Como esta a porta padro para o servio HTTP, esta a porta de destino que a poltica especifica. Depois
Pgina 67.
Especializao em Redes de Computadores. Interconexo de redes / Error! Use the Home tab to apply Ttulo 1 to the text that you want to appear here. disso e com a associao da poltica e da interface, impossvel acessar o servio HTTP de SRV0. Adicionalmente, a tabela abaixo mostra a lista de parmetros admissveis para determinao das portas: eq gt lt neq range Traduo Igual Maior que Menor que Diferente Faixa Significado Nmero de porta igual ao do parmetro seguinte. Todas as portas maiores que o nmero do parmetro seguinte. Todas as portas menores que o nmero do parmetro seguinte. Qualquer porta diferente do nmero do parmetro seguinte. Nmeros de porta entre os valores dos parmetros seguintes (inclusive).
Tabela 5: Opes de comparao para ACLs.
So vrias opes, mas o administrador pode ter de usar vrias regras para uma ACL para cobrir faixas especficas no contguas ou para fazer uma lista de portas, por exemplo. Normalmente, o administrador precisa de muitas regras para retratar uma nica poltica em casos reais e complexos. Obviamente, tudo desta seo vale para UDP, mas o administrador deve indicar pors UDP e TCP separadamente de acordo com a necessidade.
7.1.3 ACL estendida usando informaes ICMP.

O ICMP um protocolo de camada de rede. Ele responsvel pelo trfego de informaes de controle da camada de rede e muito til, especialmente entre roteadores. Infelizmente, estudar ICMP est fora do escopo. A ordem compreender como usar informaes ICMP em configuraes de ACLs. E todo administrador conhece o utilitrio mais famoso no uso de mensagens ICMP: o ping. Este comando gera mensagens ICMP echo request e envia ao destino que responde com mensagens ICMP echo reply. Portanto, ao bloquear um echo request o administrador bloqueia o envio de solicitaes e ao bloquear o echo reply bloqueia as respostas. importante ter isso em mente j que aplicar a poltica certa na porta errada no causa o efeito correto. Mais uma vez, a ideia modificar a poltica inicial para usar agora este tipo de regra. No caso, no deve ser possvel identificar se SRV0 est funcionando atravs do ping. Portanto, os comando para implementar a ACL da VLAN 100 passariam a ser:
01 02 echo 03 eq 80 03 04 05 06 07 08 SW0(config)#access-list 100 remark Acesso a VLAN 100 SW0(config)#access-list 100 deny icmp any SW0(config)#access-list 100 deny SW0(config)#access-list SW0(config)#access-list SW0(config)#access-list SW0(config)#access-list SW0(config)#access-list SW0(config)#access-list 100 100 100 100 100 100 tcp any range 0 65535 0.0.0.0 0.0.0.255 0.0.0.255 0.0.0.255 10.1.100.10 0.0.0.0 10.1.100.10 0.0.0.0 10.1.100.10 0.0.0.0 10.1.100.10 0.0.0.0 10.1.100.0 0.0.0.255 10.1.100.0 0.0.0.255 10.1.100.0 0.0.0.255
permit ip 10.1.10.10 deny ip any permit ip 10.1.10.0 permit ip 10.1.11.0 permit ip 10.1.12.0 deny ip any any
No caso, o comando novo est na linha 02. Ele especifica uma regra de negao cuja a origem any e o destino SRV0. O ltimo parmetro determina que todo echo request se enquadra na regra. Em outras palavras a regra determina o descarte de mensagens ICMP de qualquer origem com destino a SRV0 que seja um echo request. Obviamente no se aplica a outras mensagens ICMP e, como o trfego de uma mesma VLAN no passa pelo roteador no se aplica a mensagens que tem origem na prpria VLAN 100. As mensagens ICMP passveis de controle pode variar dependendo do equipamento, mesmo entre equipamentos de um mesmo fabricante. A tabela a seguir mostra as opes mais comuns:
Pgina 68.
Especializao em Redes de Computadores. Interconexo de redes / Error! Use the Home tab to apply Ttulo 1 to the text that you want to appear here. Traduo Echo (ping) Echo replay Host unreachable Net unreachable Port unreachable Protocol unreachable TTL exceeded All unreachables Significado Solicitao do ICMP para testes. Resposta da solicitao anterior. Sinaliza origem que um pacote tentou alcanar um endereo inalcanvel para o dispositivo atual. Sinaliza origem que um pacote tentou alcanar uma rede inalcanvel para o dispositivo atual. Sinaliza origem que um pacote tentou alcanar uma porta no aberta para o dispositivo atual. Sinaliza origem que um pacote tentou alcanar um protocolo no disponvel para o dispositivo atual. Sinaliza origem um descarte por TTL. Agrupa todas as mensagens que indicam algo inalcanvel.
echo echo-reply host-unreachable net-unreachable port-unreachable protocolunreachable ttl-exceeded unreachable
Tabela 6: Algumas opes para ACLs com informaes ICMP.
Existem outras possibilidades com ICMP que fogem ao escopo do estudo atual.
Pgina 69.
Captulo 8 Roteamento esttico.

Quando o TCP/IP nasceu, a ideia era de redes distribudas em localidades geograficamente distantes. Obviamente, as redes locais tambm cresceram e passaram a existir tecnologias especficas para redes locais e para redes de longa distncia. Tambm ficou evidente que o processamento do trfego local, de responsabilidade dos switches, diferente do processamento de trfego entre redes distribudas, de reponsabilidade dos roteadores. As redes locais, mais velozes e baratas, apresentaram necessidades e solues bem diferentes das redes de longa distncia, mais lentas e caras. Em decorrncia disso, a utilizao de cada uma tambm se tornou diferente. Por fim, o administrador v hoje o reflexo de tudo isso na grande complexidade das configuraes de rotas quando comparada na simplicidade da comunicao das redes locais. Por isso, possvel ter uma rede local funcionando em instantes sem configurar nenhum switch para isso. Mas uma rede distribuda requer um grande esforo para definio de endereamento e rotas. Para este tipo de rede, mais lenta e cara que uma rede local, necessrio otimizar o trfego, ao mximo. A escolha do melhor caminho ainda uma preocupao prioritria. por isso que um roteador mais complexo de maneira geral que um switch. Enquanto o switch compara apenas endereos fsicos e associa s suas prprias portas, roteadores utilizam uma srie de informaes adicionais. Um mesmo destino pode apresentar vrios caminhos em uma rede de roteadores e cada roteador tem o compromisso de encontrar o melhor; destinos podem ser inalcanveis para roteadores; o desempenho ou o congestionamento de cada link pode influenciar na escolha do melhor caminho. Para um switch, nada disso existe. Por este motivo, configuraes de roteadores intimidam mais. Administradores, mesmo diante de um switch gerencivel muito complexo, esto certos de que continua sendo um switch. Sem nenhuma configurao adicional, basta plugar os cabos e pronto, ele funciona. Contudo, um roteador no pode ser assim. Ele requer a configurao indispensvel para funcionar mesmo nos cenrios mais simples. Porm, o administrador pode entender que vrios segmentos de rede com roteadores mantendo o controle sobre o trfego agregam mais benefcios que a simplicidade de agrupar tudo em uma rede local. Mesmo usando STP e agregao, o administrador pode ter uma topologia mais eficiente que em um nico segmento de rede. Alm disso, problemas da camada de enlace ficam enclausurados em sua prpria sub-rede. Em muitos casos, o administrador vai preferir uma rede de roteadores, mesmo num cenrio em que uma rede local poderia ser suficiente. Por isso, este captulo, o primeiro a abordar a configurao de roteadores, especialmente de rotas, tem o objetivo de mostrar as situaes nas quais um roteador pode ser mais eficiente, mesmo que um switch possa ser suficiente. Obviamente, por todo o captulo, o termo roteador refere-se a um dispositivo L3 que poderia ser um switch L3, at mesmo um servidor com vrias interfaces de rede. Contudo, switches, mesmo com capacidade de roteamento, tendem a ser bem mais simples quanto possibilidade de configurao. Especialmente os de menor valor monetrio. Por estes motivos, os cenrios deste captulo no so to triviais. Redes full mesh e rotas redundantes aparecem constantemente. O foco est sempre em torno de aproveitar ao mximo a complexidade de uma rede de roteadores.
Pgina 70.
8.1 Rede full mesh com trs roteadores.

exatamente o caso deste cenrio. So trs roteadores em uma configurao full mesh. Cada roteador leva a uma rede local diferente. Com isso, existem sempre dois caminhos entre duas redes locais quaisquer: um caminho com dois saltos e outro com trs. Por isso mesmo, cada roteador deve priorizar o caminho com apenas dois saltos. A figura abaixo mostra os detalhes adicionais deste cenrio.
Figura 13: Rede de roteadores full mesh.
Todo o exemplo usa mscara de 24 bits em todos os segmentos. Isto um exagero para as conexes seriais que sempre apresentam dois endereos de rede por segmento. Simplificar as configuraes o objetivo deste aparente desperdcio. O primeiro passo configurar as interfaces locais de cada roteador, o que bem simples (vide captulo 3). Os comandos para RT0 so os da lista abaixo. No h motivo para explicar detalhadamente a configurao de cada roteador, basta mudar o endereo IP:
01 02 03 04 RT0(config)#interface fa 0/0 RT0(config-if)#ip address 10.1.1.1 255.255.255.0 RT0(config-if)#no shutdown RT0(config-if)#exit
Como a primeira vez que acontece a configurao de uma rota interessante verificar alguns detalhes. Existe um tipo de rota especial que se chama rota de conexo direta. Em outras palavras, no preciso especificar uma rota para uma rede na qual o roteador j se conecta diretamente. Simples, se h alguma interface com endereo de um segmento de rede qualquer, este roteador no precisa conhecer a rota para esta rede passando por esta interface. O comando abaixo mostra a configurao desta rota.
Pgina 71.
05 06 07 08 09 10 11 12 13 14 15 RT0#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set 10.0.0.0/24 is subnetted, 1 subnets C 10.1.1.0 is directly connected, FastEthernet0/0
Portanto, a primeira rota j funciona sem nenhuma interveno conforme a informao da linha 15. Agora o momento de configurar as interfaces seriais. So duas para cada roteador conforme o exemplo abaixo que ilustra a configurao de RT0.
16 17 18 19 20 21 22 23 24 25 RT0(config)#interface Se 2/0 RT0(config-if)#clock rate 4000000 RT0(config-if)#ip address 10.1.10.1 255.255.255.0 RT0(config-if)#no shutdown RT0(config-if)#exit RT0(config)#interface Se 3/0 RT0(config-if)#clock rate 4000000 RT0(config-if)#ip address 10.1.20.1 255.255.255.0 RT0(config-if)#no shutdown RT0(config-if)#exit
Ao replicar as devidas configuraes, cada roteador conhece a rota para as redes nas quais se conecta diretamente. Portanto, considerando apenas as redes locais onde esto as estaes, cada roteador conhece apenas a sua prpria rede local. Apesar de conhecer os outros roteadores, no possvel determinar as redes que os demais conhecem. Por isso, o administrador deve determinar as rotas como no exemplo abaixo.
26 27 RT0(config)#ip route 10.1.2.0 255.255.255.0 10.1.10.2 RT0(config)#ip route 10.1.3.0 255.255.255.0 10.1.20.2
Apesar de ser o foco deste captulo, os comandos parecem bem simples. Como RT0 conhece sua prpria rede local, as rotas deste exemplo configuram os caminhos para as outras redes locais. Em outras palavras, o comando da linha 26 indica o caminho para a rede 10.1.2.0/24 que passa por RT1, mais especificamente, pela Se2/0 (10.1.10.2). O mesmo no comando da linha 27 que indica o caminho para a rede 10.1.3.0/24 que passa por RT2, mais especificamente, pela Se2/0 (10.2.20.2). O roteamento isso. Determinar como alcanar uma rede distante. Contudo, esta configurao no suficiente para funcionar. Toda comunicao requer um caminho de ida e de volta. Esta configurao s mostra o caminho de ida a partir de RT0. As linhas abaixo mostram a configurao necessria nos demais roteadores.
28 29 30 31 RT1(config)#ip RT1(config)#ip RT2(config)#ip RT2(config)#ip route route route route 10.1.1.0 10.1.3.0 10.1.1.0 10.1.2.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 10.1.10.1 10.1.30.3 10.1.20.1 10.1.30.1
Com isso, toda a rede funciona. Cada um dos roteadores passa a conhecer as redes locais mais distantes, redes em que no existe conexo direta. O comando abaixo lista como ficou a configurao de rotas. Esta tabela de roteamento agrupa toda a informao que o roteador precisa para determinar todos os caminhos que conhece. Por isso, o administrador deve compreender bem o que significa.
32 33 34 RT0#show ip route (...) Gateway of last resort is not set
Pgina 72.
35 36 37 38 39 40 C S S C C 10.0.0.0/24 is subnetted, 5 subnets 10.1.1.0 is directly connected, FastEthernet0/0 10.1.2.0 [1/0] via 10.1.10.2 10.1.3.0 [1/0] via 10.1.20.2 10.1.10.0 is directly connected, Serial2/0 10.1.20.0 is directly connected, Serial3/0
So trs rotas de conexo direta, j que este roteador usa trs das suas interfaces com um endereo em cada. H uma marcao (C) que indica estas rotas de conexo direta (linas 35, 39 e 40). As outras duas, reflexo da ltima configurao, possuem marcao diferente (S), ou seja, so rotas estticas (linhas 37 e 38). No existe rota padro. Para um cenrio inicial j suficiente. Conceitos como rota padro e rotas redundantes so muito importantes. A prxima seo explora como as rotas redundantes pode m elevar a confiabilidade da rede.
8.1.1 Rotas redundantes.

At agora h apenas um caminho para cada rede local. Isto significa que no existe nenhuma rota redundante. Contudo, o administrador que implementa uma rede full mesh normalmente deseja redundncia. A rede deste cenrio funcionaria perfeitamente com apenas duas ligaes seriais, portanto, a ideia de usar trs ligaes ter uma rede plenamente funcional com a falha de qualquer uma delas. At agora isso no acontece. Para RT0 alcanar a rede 10.1.2.0/24 ele usa o caminho RT0-RT1. Deve haver tambm um caminho RT0-RT2-RT1 para a mesma rede a fim de implementar a redundncia. Contudo, este segundo caminho no deve ser preferencial. Como ele d mais um salto e estes saltos usam conexes seriais mais lentas, o primeiro caminho mais eficiente. Como realizar tudo isso? O roteador ele sempre usa um nmero de saltos para cada rota esttica. Quando o administrado omite este nmero, o roteador assume um salto. Na seo anterior isso acontece e o ltimo comando exibe a informao [1/0] para retratar isso (linhas 37 e 38). Esta a informao que o administrador pode usar para determinar a preferncia das rotas. Quanto menos saltos, melhor a rota. Por isso, a configurao das rotas alternativas de RT0 deve ser a seguinte:
41 42 RT0(config)#ip route 10.1.2.0 255.255.255.0 10.1.20.2 2 RT0(config)#ip route 10.1.3.0 255.255.255.0 10.1.10.2 2
Os dois comandos garantem as rotas alternativas. Como elas tem dois saltos, as rotas com 1 salto continuam valendo. Estas rotas de dois saltos s vo valer se alguma rota de um nico salto ficar indisponvel. Contudo, mesmo com as configuraes adicionais, a sada do comando show ip route continua a mesma. As rotas que no esto em uso simplesmente no aparecem na lista deste comando. Para verific-las necessrio usar o comando:
43 44 45 46 47 48 49 RT0#show (...) ip route ip route ip route ip route (...) running-config 10.1.2.0 10.1.3.0 10.1.3.0 10.1.2.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 10.1.10.2 10.1.20.2 10.1.10.2 2 10.1.20.2 2
Comparando as duas sadas possvel perceber que as rotas das linhas 45 e 46 continuam vlidas enquanto as rotas das linhas 47 e 48 so rotas alternativas. importante ter isso sempre em mente. Muitas vezes, por uma falha transitria, a rede se comporta de maneira incorreta e quando o administrador vai investigar v um conjunto de rotas ativas diferente do momento do erro.
Pgina 73.
Especializao em Redes de Computadores. Interconexo de redes / Error! Use the Home tab to apply Ttulo 1 to the text that you want to appear here. Ainda faltam as rotas alternativas para os outros roteadores. Obviamente, continua valendo a mxima de que deve haver sempre uma rota de ida e outra de volta. No caso, os comandos abaixo configuram as rotas alternativas em RT1 e RT2:
50 51 52 53 RT1(config)#ip RT1(config)#ip RT2(config)#ip RT2(config)#ip route route route route 10.1.1.0 10.1.3.0 10.1.2.0 10.1.1.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 10.1.30.3 10.1.10.1 10.1.20.1 10.1.30.1 2 2 2 2
Neste momento, o administrador pode desativar qualquer uma das seriais de qualquer dos roteadores com garantias de que a rede vai funcionar. A sada do comando show ip route muda para refletir o novo cenrio. Ao reativar a interface serial a rede volta ao estado inicial, sempre respeitando o nmero de saltos para cada destino.
8.2 Redes de roteadores com NAT e rota padro.

Este cenrio apresenta apenas dois roteadores. A princpio pode parecer mais simples, contudo ele exige compreender duas tcnicas diferentes: a rota padro e a tabela de traduo de endereos ou NAT 31. Estes dois novos conceitos so o foco da abordagem desta seo. A figura pode parecer complexa inicialmente, mas antes das configuraes h uma srie de explicaes.
Figura 14: Rede com NAT e rota padro.
Toda a rede interna usa endereos privados da classe A. A tabela a seguir exibe as faixas de endereos privados. Tais endereos no circulam pela internet. Todos os roteadores pblicos descartam informaes que tenham campos com estes endereos. Isso garante que redes localmente distribudas possam repeti-los sem problemas. Para uma rede local usando endereos privados acessar internet obrigatrio o uso de NAT.
31
Network Address Table ou NAT uma tcnica cujo objetivo inicial era dar uma sobrevida ao IPv4. Assim era possvel ter endereos privados repetidos pela internet. De maneira bem simples, esta tcnica consiste em utilizar o endereo de rede do roteador para todas as comunicaes da rede externa. Portanto, com um nico endereo pblico centenas ou milhares de estaes acessam a internet. O roteador, no caso, fica responsvel por separar e redirecionar as informaes de cada cliente da rede interna. O presente estudo no pretende explorar muito esta tcnica, apenas o mnimo necessrio para saber quando til e as configuraes necessrias.
Pgina 74.
Classe A Classe B Classe C
Faixa 10.0.0.0 a 10.255.255.255 172.16.0.0 a 172.31.255.255 192.168.0.0 a 192.168.255.255
Figura 15: Faixas de endereos de rede privados do TCP/IP.
Portanto, mesmo que a rede interna tenha milhes de endereos possveis, todos vo usar um nico endereo pblico capaz de circular pela internet. Como isso possvel. Basicamente o roteador de borda usa uma tabela de portas para associar o trfego interno ao externo. Ao receber uma solicitao o roteador cria uma entrada de uma tabela com o endereo de rede e a porta da origem e uma de suas portas livres. A partir deste momento o pacote circula na rede pblica com o endereo pblico do roteador como origem e a porta livre que selecionou. Ao receber uma resposta o roteador realiza uma nova permuta, desta vez muda o destino. Ao receber uma informao ele consulta a porta de destino e procura na tabela o endereo privado que originou a requisio anteriormente. Com isso ele encaminha a informao para o endereo privado correto dentro da rede interna mantendo tambm o nmero de porta original. Sucintamente, assim que funciona. Obviamente, milhes de computadores ativos podem representar um problema j que existe um limite para os nmeros de porta, mas isso no problema para cenrios prticos. Neste cenrio, o roteador de borda que realiza esta tarefa RT0. o tpico roteador de borda que existe na grande maioria dos casos. Na rede interna existe o que h de mais tpico, um servidor DNS com entradas para SRV1 e SRV2, um servidor web e um servidor de arquivos, alm de estaes. RT1, SRV1 e SRV2 simulam uma rede externa em pequena escala. Como no caso da internet, RT0 no pode ter rotas especficas para cada um dos destinos possveis, RT0 deve usar uma rota padro. Em outras palavras, conhecendo apenas uma rota, RT0 deve ser capaz de chegar a qualquer destino possvel. A princpio, a rede externa deveria existir previamente. Por isso, o ideal e configur-la primeiro. No h muito que configurar, apenas as interfaces:
01 02 03 04 05 06 07 08 09 10 11 12 13 RT1(config)#interface fa 0/0 RT1(config-if)#ip address 189.1.1.1 255.255.255.0 RT1(config-if)#no shutdown RT1(config-if)#exit RT1(config)#interface fa 1/0 RT1(config-if)#ip address 90.0.0.1 255.255.255.0 RT1(config-if)#no shutdown RT1(config-if)#exit RT1(config)#interface se 2/0 RT1(config-if)#clock rate 4000000 RT1(config-if)#ip address 200.200.0.2 255.255.255.0 RT1(config-if)#no shutdown RT1(config-if)#exit
Com isso, toda a rede que a figura apresenta como externa, passa a funcionar. O nico link em que isso no acontece no link serial entre os roteadores. Isso vai se resolver com a configurao de RT0. Para manter o foco, a configurao inicial vai considerar o lado WAN, ou seja, a suposta conexo de longa distncia da interface serial. A configurao da interface serial no apresenta nenhuma novidade:
Pgina 75.
14 15 16 17 18
RT0(config)#interface se 2/0 RT0(config-if)#clock rate 4000000 RT0(config-if)#ip address 200.200.0.1 255.255.255.0 RT0(config-if)#no shutdown RT0(config-if)#exit
Neste momento, o administrador deveria comear a configurar as rotas. Contudo, se a rede externa uma rede para qual o administrador no tenha controle isso pode ser impossvel. E se for to grande quanto a internet, pior. Ento o administrador precisa de uma rota que leve a qualquer destino que desconhea. Uma rota que permita enderear algum com um conjunto de rotas bem mais complexo que encontre qualquer destino vlido. Enfim, o administrador precisa de uma rota padro. Para este cenrio minimalista, RT1 faz o papel deste dispositivo que conhece todas as rotas. RT1 usa conexo direta a todas as redes com exceo da rede local sob o NAT (10.1.1.0/24). Como o NAT vai esperar um pouco mais, o ideal desconsider-lo por enquanto. O que vale analisar que RT0, para alcanar qualquer rede que desconhea, usar RT1 como prximo salto. Esta a nica anlise para definir uma rota padro. O comando seria:
19 20 21 22 23 24 25 26 30 31 32 33 34 35 36 37 38 39 RT0(config)#ip route 0.0.0.0 255.255.255.255 200.200.0.2 RT0(config)#exit RT0#show ip route (...) Gateway of last resort is 200.200.0.2 to network 0.0.0.0 * 0.0.0.0/32 is subnetted, 1 subnets S* 0.0.0.0 [1/0] via 200.200.0.2 C 200.200.0.0/24 is directly connected, Serial2/0 RT0#ping 189.1.1.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 189.1.1.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 8/8/10 ms RT0#ping 90.0.0.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 90.0.0.2, timeout is 2 seconds: .!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 6/9/15 ms
De acordo com o primeiro destaque, h um gateway para ltimo caso que passa por RT1. Um asterisco indica a rota padro na linha 25 e a rota de conexo direta na linha 26. Os pings das linhas 30 e 35 foram bem sucedidos para os destinos mais remotos deste pequeno cenrio. Isso prova que no necessrio conhecer rotas para cada destino especfico quando h uma rota padro. Ainda no possvel realizar testes a partir da rede interna j que nada est configurado. Mais que isso, os testes para a rota padro de RT0 s funcionariam com o efetivo funcionamento do NAT. Por isso este o foco a partir de agora. Antes, porm, necessrio configurar a interface local de RT0.
Nada de extraordinrio. Os comandos a seguir que concentram a configurao de NAT. A princpio, a configurao de NAT. Basicamente necessrio criar uma ACL que inclui todos os endereos privados para a traduo, indicar qual(is) interface(s) representa(m) a rede interna e a externa e determinar o comportamento da traduo. A sequncia de comandos a seguir representa cada uma destas atividades:
Pgina 76.
45 46 47 48 49 50 51 52 RT0(config)#access-list 80 permit 10.1.1.0 0.0.0.255 RT0(config)#interface fa 0/0 RT0(config-if)#ip nat inside RT0(config-if)#exit RT0(config)#interface se 2/0 RT0(config-if)#ip nat outside RT0(config-if)#exit RT0(config)#ip nat inside source list 80 interface se 2/0 overload
Na linha 45 uma ACL padro com uma nica regra: permitir toda a faixa de endereos da rede interna. A princpio, ACL nada tem em relao a NAT. apenas um instrumento para um configurao mais adiante. As linhas de 46 a 48 representam uma configurao na interface Fa 0/0 para determinar que esta a interface interna para NAT. O mesmo acontece nas linhas de 49 a 51, mas referente interface Se 2/0 que a interface externa para NAT. A ltima linha a mais complexa. Ela configura o NAT usando a ACL 80 para representar a faixa de endereos da origem do trfego NAT e a interface Se 2/0 como destino para a rede externa. Alm disso, h o mtodo de NAT: overload. Este o mtodo mais que usa a traduo usando portas e o mais til para a maioria dos casos. Obviamente, o administrador poderia usar todas as possibilidades com ACLs para determinar vrios endereos que podem ou no podem usar NAT na rede interna. Tambm possvel ter vrias faixas diferentes com NAT ou vrias interfaces locais usando este mesmo esquema. A simplicidade deste exemplo, pelo simples efeito didtico, no deve limitar as inmeras possibilidades usando pequenas variaes. A partir deste momento, possvel acessar todos os recursos externos a partir da rede interna sem problemas. Contudo, o acesso da rede externa a recursos da rede interna impossvel. Com esta configurao o NAT no acontece a traduo reversa. Isso denota, alm de tudo, uma boa soluo de segurana. Por exemplo, um usurio descuidado inicia um servio HTTP repleto de falhas em sua estao. Como os usurios externos no podem alcanar diretamente esta estao, a falha fica definitivamente enclausurada na rede interna. Apenas um exemplo para no perder o foco.
8.2.1 NAT esttico para acessos externos.

Apesar da tcnica da seo anterior ser o mais til mtodo de NAT, NAT esttico pode ser muito til. Um cenrio bem tpico ter de permitir o acesso ao servidor web em SRV0 a partir de clientes externos. Nestes casos em que apenas um host deve ser acessvel pela rede externa, NAT esttico particularmente til. Por isso uma pequena e simples abordagem sobre este mtodo. A ideia nesta seo continuar o cenrio anterior e permitir que sistemas finais da rede externa acessem SRV0. Apenas dois comandos para configurar este novo efeito:
53 54 RT0(config)#ip nat inside source static 10.1.1.1 200.200.0.1 RT0(config)#ip nat outside source static 200.200.0.1 10.1.1.1
O primeiro comando realiza um mapeamento da rede interna para externa. O segundo realiza o efeito oposto. Para todo acesso externo com destino ao endereo de rede externo de RT0, um mapeamento para o endereo de SRV0 atua sobre o trfego. Portanto, se um dispositivo externo realiza um acesso HTTP para 200.200.0.1 recebe como resposta a pgina de SRV0. Da mesma forma que se configura rotas, deve haver a ida e a volta para o NAT esttico funcionar. O fato de haver um mapeamento esttico no muda a configurao prvia de overloading. Na realidade, o objetivo deste cenrio agrupar o melhor de cada um dos mtodos. Isso finaliza esta diminuta seo.
Pgina 77.
Captulo 9 Frame relay.

Frame relay uma tecnologia para redes de longa distncia que realiza as funes de camada fsica, enlace e rede32. Portanto, existem switches e roteadores compatveis com frame relay. Contudo, sem as demais camadas, quase nunca til sem o uso de outros protocolos. Por isso, normalmente, redes TCP/IP utilizam redes frame relay como se fossem a camada de enlace. Isso leva a uma situao intrigante: a rede usa duas camadas de rede. Normalmente, o trfego se inicia em um dispositivo TCP/IP. Este trfego salta entre roteadores TCP/IP at encontrar um dispositivo de fronteira que suporta tanto TCP/IP quanto frame relay. Neste momento, o roteador encapsula a informao TCP/IP em um pacote frame relay. O trfego continua saltando entre dispositivos frame relay que so normalmente velozes. Neste trecho da rede apenas endereos e algoritmos frame relay funcionam para determinar as rotas frame relay. O trfego continua at novo dispositivo de fronteira quando a informao volta a circular usando as mtricas e algoritmos TCP/IP. Isso agrega velocidade e segurana s redes TCP/IP. Nem a origem nem o destino de um trfego TCP/IP pode perceber o que acontece em uma rede frame relay. No possvel saber quantos saltos, nem mesmo qual o trecho onde acontece a substituio de redes. Por estes motivos, frame relay muito comum, mesmo com outras tecnologias mais modernas que oferecem as mesmas caractersticas como VPN e MPLS. A grande especialidade do frame relay so conexes ponto-a-ponto. Assim, para um cliente que deseja interligar duas filiais e contrata um servio frame relay de uma operadora de telecomunicao, pouco importa a estrutura interna da rede. O servio vai ligar um ponto ao outro sem eu o cliente tenha nenhuma ideia de como a rede frame relay funciona. Simplicidade e sigilo para o cliente, segurana para a operadora. No ncleo da rede pode haver uma centena de clientes usando segmentos compartilhados que nunca sabero o que realmente acontece. Para cada cliente, o que aparece um ponto por onde a informao entra e outro por onde a informao sai, apenas isso. Outra grande vantagem das redes frame relay o grande potencial para rede full mesh de baixo custo. A exemplo da rede full mesh de switches da seo 5.5, se fosse uma rede de roteadores distribudos geograficamente, seriam necessrias 9 ligaes de longa distncia, normalmente caras. Usando frame relay, este valor cai para apenas 5, uma para cada roteador. Com cada roteador na rede frame relay, o administrador pode usar interfaces virtuais para implementar vrias ligaes atravs desta ligao real. Alm de tudo isso, frame relay tambm prov alguns servios adicionais como garantia de banda, controle de fluxo e congestionamento.
32
Existem algumas controvrsias sobre frame relay ser uma tecnologia da camada de rede ou de enlace. O mais comum descrev-la como tecnologia da camada de enlace. Porm inegvel a existncia de algoritmos de roteamento frame relay. uma tecnologia muito comum ainda hoje. MPLS mais veloz e mais caro. VPN no descarta o uso de tecnologias como frame relay, mas prov o efeito tnel da mesma forma (ODOM 2008, 457) (DONAHUE 2007, 299).
Pgina 78.
Figura 16: Redes full mesh sem e com frame relay.
O objetivo deste captulo explorar todas estas caractersticas que tornam frame relay to diferente dos principais concorrentes. Contudo, o foco desta abordagem ser sempre o que se espera de um cliente frame relay. No faz parte do escopo deste estudo montar e configurar o ncleo de uma rede frame relay. Tais configuraes sero to poucas quanto o necessrio para colocar uma rede cliente em produo. Antes da prtica uma pequena abordagem terica. A prxima seo tem o objetivo de explorar alguns conceitos fundamentais e termos importantes para compreender esta tecnologia. Compreender a estrutura do pacote frame relay e seus campos foge ao presente escopo.
9.1 Circuitos virtuais permanentes.

Para frame relay, a ligao entre dois pontos quaisquer na borda da rede um PVC ou permanent virtual cicuits. Em outras palavras, quando um cliente contrata um servio frame relay ele contrata na realidade um PVC. Apesar de ser comum usar circuitos virtuais, redes frame relay tambm podem usar comutao de pacotes ou switched virtual circuits (SVC). Nestes casos, switches frame relay nunca utilizam a tcnica storeand-forward o que os torna to velozes quanto circuitos virtuais. Para cada pacote a transmitir, um novo circuito virtual temporrio entra em ao e deixa de existir ao fim da transmisso. Contudo, no comum. A garantia de velocidade mnima para redes frame relay recebe o nome de committed information rate ou CIR. Em outras palavras, significa que o equipamento, mesmo com a mxima utilizao da rede por todos os circuitos virtuais que mantm, pode manter a taxa especificada em CIR, pelo menos. Se a rede no apresenta utilizao mxima esta taxa pode eventualmente ser superior a CIR. Obviamente, CIR o resultado de uma equao que envolve valores monetrios, nmero de clientes simultneos, velocidades mximas dos equipamentos e contratos. Existem dois tipos de equipamentos frame relay que merecem destaque. O primeiro deles um equipamento terminal de dados ou data teminal equipment (DTE). Estes equipamentos so simplesmente equipamentos terminais de longa distncia. Normalmente, quando o cliente contrata um novo PVC, a operadora instala um DTE no cliente e liga a outro dentro de sua prpria rede local frame relay. Assim, entre um cliente e a operadora existe sempre uma ligao entre um par de DTE. No lado do cliente normalmente existe um roteador. No lado da operadora existe um equipamento de comunicao de dados ou data communication equipment (DCE). Todos os DCE so equipamentos responsveis por comutao ou roteamento de informaes. Normalmente, um equipamento central determina por quais DCE cada PCV passa. Isso mantm a consistncia da rede.
Pgina 79.
Especializao em Redes de Computadores. Interconexo de redes / Error! Use the Home tab to apply Ttulo 1 to the text that you want to appear here. Para saber onde comea e onde termina um PVC, o frame relay usa um par de identificadores de links de conexo de dados ou data-link connection identifiers (DLCI). Tratando de modo bem prtico, seria algo como PVC1=DLCIA/DLCIB, onde DLCIA identifica o incio da comunicao de PVC1 e DLCIB identifica o fim. Para o cliente que quer interligar duas filias, no importa por onde PVC 1 passa dentro da rede frame relay. O que importa que DLCIA identifica o DCE que leva at a sua filialA e DLCIB identifica o DCE que leva at a sua filialB. Este o circuito que interessa ao cliente. Ainda existe um protocolo local para gerenciamento de interface ou local management interface (LMI). Tanto DCE quanto DTE devem rodar a mesma verso deste protocolo para o correto funcionamento do frame relay. Enfim, para fechar esta seo repleta de siglas, h o mtodo de encapsulamento que deve tambm ser o mesmo para o DCE e para o roteador do cliente em ambos os lados do circuito. A figura a seguir condensa todas essas siglas e as associa como realmente funcionam na prtica.
Figura 17: Rede frame relay e principais opes de configurao.
Para o cliente, o que interessa o seu circuito virtual expresso na figura como PVC1. Este PCV uma associao dos DLCI 101 que reflete a configurao da interface serial 2/0 do roteador da direita e DLCI 102 que aparece na configurao da serial 2/0 do roteador da direita. Em outras palavras, o que a rede frame relay faz apenas juntar estas duas interfaces seriais como se estivessem em um nico link. O endereamento neste caso reflete bem isso. A interface serial do roteador se liga a um DTE para transmisso de longa distncia. Este primeiro DTE fica na rede do cliente junto ao roteador. O DTE do outro lado deste link fica na rede da operadora junto de um DCE. O DCE compreende as informaes frame relay e sabe exatamente a que PVC cada informao pertence. Tambm trabalha em conjunto com os outros DCE para manter o circuito, controlar fluxo, congestionamento, et cetera. Toda essa configurao acontece de maneira que o cliente no tem a mnima
Pgina 80.
Especializao em Redes de Computadores. Interconexo de redes / Error! Use the Home tab to apply Ttulo 1 to the text that you want to appear here. chance de verificar nada. Tudo isso acontece at que o trfego alcana o DTE na borda da nuvem do outro lado do circuito. Mais uma vez, a informao viaja pela rede de longa distncia at chegar ao DTE na segunda localidade cliente. Tanto o roteador do cliente quanto o DCE ao qual se liga compreendem que este o fim de PVC1. Todo o circuito virtual funciona, portanto, desta maneira. O encapsulamento que os dispositivos normalmente suportam pode ser do padro IETF ou do padro Cisco. As opes de controle de interface podem ser ANSI, Cisco ou Q933A. Em ambos os lados esta configurao deve ser a mesma.
9.2 Rede frame relay full mesh com trs roteadores.

E agora, um cenrio prtico. Neste caso uma rede full mesh usando trs roteadores. O ideal seria um nmero maior de roteadores, mas adicionaria muita complexidade para este primeiro contato. A figura a seguir mostra a rede real do lado esquerdo e a topologia lgica desta rede.
Figura 18: Rede frame relay full mesh com trs roteadores.
No caso, mesmo tendo apenas uma interface serial em uso, cada roteador usa dois circuitos virtuais para implementar esta rede. Existem caminhos diferentes para cada um dos circuitos virtuais, mesmo que o administrador no saiba exatamente como funcionam ou por que equipamentos passam. A parte mais fcil configurar a interface LAN de cada roteador. No h nenhum desafio nisso:
Depois disso vem a configurao das interfaces seriais. Como todos os roteadores usam a serial 2/0, os comandos abaixo funcionam igualmente para todos eles:
05 06 07 RT0(config)#interface Se2/0 RT0(config-if)#encapsulation frame-relay ietf RT0(config-if)#frame-relay lmi-type ansi
Pgina 81.
08 09 RT0(config-if)#no shutdown RT0(config-if)#exit
O comando da linha 6 ativa o encapsulamento frame relay. Em outras palavras, ele que determina que os datagramas cujo destino passa pela serial 2/0 devem ser encapsulados. Como existe mais de um tipo de ecapsulamento possvel, necessrio informar o tipo de encapsulamento, no caso, segue o padro do IETF. O comando da linha 7 configura outra opo importante: o LMI. Da mesma forma, o controle da interface deve ser o mesmo nos dois lados da conexo. Nenhuma configurao de endereos. Isso pode parecer estranho, mas assim mesmo. Esta primeira configurao apenas ativa e configura o frame relay. A configurao dos endereos acontece com o uso de subinterfaces. Para cada interface serial real pode haver vrias interfaces virtuais. Por isso possvel ter dois circuitos virtuais mesmo tendo apenas uma interface real ativa para cada roteador. No caso, cada roteador deve possuir duas subinterfaces, cada uma com seu DLCI e seu endereo prprio. exatamente o que acontece com os comandos a seguir:
10 11 12 13 14 15 16 17 18 RT0(config)#interface Se2/0.1 point-to-point RT0(config-subif)#ip addr 192.168.1.1 255.255.255.0 RT0(config-subif)#frame-relay interface-dlci 111 RT0(config-subif)#exit RT0(config)#interface Se2/0.2 point-to-point RT0(config-subif)#ip addr 192.168.2.1 255.255.255.0 RT0(config-subif)#frame-relay interface-dlci 112 RT0(config-subif)#exit RT0(config)#exit
A lista de comandos funciona apenas para RT0. As duas subinterfaces so ponto-a-ponto (linhas 10 e 14). Isso significa que cada subinterface s se comunica apenas com uma nica subinterface do outro lado. Redes frame relay tambm suportam conexes multiponto. A identifica da subinterface inclui um sufixo no padro ponto+nmero, no caso, .1 e .2 para as suas subinterfaces. A indicao .0 aponta para a a prpria interface real, portanto, equivale identificao sem o sufixo. A configurao dos endereos de rede exatamente igual a todos os exemplos anteriores e dispensa comentrios. Obviamente, os endereos vo mudar de roteador para roteador. A nica outra opo diferente a configurao do DLCI de cada subinterface (linhas 12 e 16). Essa identificao importante j que ela quem determina o incio e o fim de cada PVC. As linhas abaixo mostram a configurao para RT1:
19 20 21 22 23 24 25 26 RT1(config)#interface Se2/0.1 point-to-point RT1(config-subif)#ip addr 192.168.1.2 255.255.255.0 RT1(config-subif)#frame-relay interface-dlci 121 RT1(config-subif)#exit RT1(config)#interface Se2/0.2 point-to-point RT1(config-subif)#ip addr 192.168.3.1 255.255.255.0 RT1(config-subif)#frame-relay interface-dlci 122 RT1(config-subif)#exit
E tambm para RT2:

27 28 29 30 31 32 33 34 35 RT2(config)#interface Se2/0.1 point-to-point RT2(config-subif)#ip addr 192.168.2.3 255.255.255.0 RT2(config-subif)#frame-relay interface-dlci 131 RT2(config-subif)#exit RT2(config)#interface Se2/0.2 point-to-point RT2(config-subif)#ip addr 192.168.3.3 255.255.255.0 RT2(config-subif)#frame-relay interface-dlci 132 RT2(config-subif)#exit RT2(config)#exit
Pgina 82.
Especializao em Redes de Computadores. Interconexo de redes / Error! Use the Home tab to apply Ttulo 1 to the text that you want to appear here. Normalmente, quando um cliente recebe um servio frame relay, a operadora informa todos os parmetros necessrios para configurao dos dispositivos no cliente. O cliente tem de configurar de acordo com a orientao da operadora para garantir o funcionamento dos PVC. Contudo, neste cenrio de teste, o prprio adiministrador deve realizar os mapeamentos dos PVC. A tabela abaixo ilustra como deve ser este mapeamento: PVC1 PVC2 PVC3 Ponta A Serial 0 DCLI 111 Serial 0 DLCI 112 Serial 1 DLCI 122 Ponta B Serial 1 DLCI 121 Serial 2 DLCI 131 Serial 2 DLCI 132 LMI ANSI ANSI ANSI
Tabela 7: Associao de circuitos virtuais frame relay.
Isso conclui toda a configurao frame relay. Mas como no h uma rota padro em cada roteador, necessrio configurar todas as rotas para as redes locais. Primeiro, as rotas de RT0:
Agora as rotas de RT1:

Enfim, as rotas de RT2:

Isso conclui o cenrio. O administrador, ao realizar os testes, vai perceber que o trfego entre as redes locais d sempre trs saltos: para o roteador local; para o roteador remoto; para o destino final. O que acontece dentro da rede frame relay, o TCP/IP no capaz de verificar. Isso finaliza a rede full mesh. Cada roteador possui uma ligao para cada um dos outros roteadores. Contudo, h apenas uma ligao real. Se a ligao real sofre qualquer problema, as duas ligaes virtuais tambm sentem o efeito. Mas se o problema de uma das camadas superiores, especificamente com uma subinterface, a ideia de rede full mesh prevalece. Basta configurar as novas rotas com saltos adicionais, a exemplo da configurao na seo 8.1. Neste caso, as rotas para RT0 seriam:
Para RT1:
E para RT2:
Isso conclui a rede full mesh com todas as conexes possveis. O administrador pode desativar as subinterfaces referentes a qualquer dos PVC e verificar os saltos entre as redes locais. Isso comprova o funcionamento da rede mesmo com um dos PVC inativos. O ideal seria utilizar um protocolo dinmico para que as interfaces fiquem verificando a topologia da rede o tempo todo.
Pgina 83.
Captulo 10 Roteamento dinmico (OSPF).

Existem dois tipos de protocolos de roteamento: internos e externos. Protocolos internos permitem que os roteadores troquem informaes entre si de maneira mais abrangente para a definio das melhores rotas. Nestes casos, os roteadores conhecem muitos detalhes de todos os vizinhos sob uma mesma gerncia ou sistema autnomo. Contudo, divulgar estas informaes para toda a internet pode levar a vrios problemas. O mais notrio a segurana. Muitas dessas informaes podem ser esclarecedoras para quem deseja tentar um acesso no autorizado. Outro problema que algum mal-intencionado pode propagar rotas falsas apenas para tentar uma negao de servio. Implementar uma tabela de rotas usando todas as configuraes de todos os roteadores da internet, por exemplo, seria impraticvel. Por isso, quando um roteador repassa informaes para vizinhos de outros sistemas autnomos usa um protocolo externo. O OSPF ou open shortest path first um protocolo de roteamento interno. Portanto, ele troca o mximo de informaes possveis ou necessrias para que todos os vizinhos do mesmo sistema autnomo possam determinar a melhor rota possvel. um padro livre do IETF, portanto, quase todos os roteadores do mercado do suporte a OSPF, assim como muitos switches L3 mais robustos. O OSPF tambm o melhor protocolo de roteamento livre da atualidade. Apenas protocolos proprietrios permitem opes to avanadas quanto o OSPF. Por isso, o administrador deve compreender como este protocolo funciona. A primeira ideia que o administrador deve ter em mente ao pensar em protocolos de roteamento o significado de melhor caminho. Cada protocolo usa significados diferentes. Isso faz com que cada opo seja melhor que a outra conforme as necessidades de cada cenrio. Apenas a ttulo de comparao, para RIP o melhor caminho o mais curto (menor nmero de saltos). Para o IGRP e para o EIGRP, protocolos proprietrios Cisco, o melhor caminho o que apresenta o melhor desempenho de acordo com a velocidade do link, congestionamento, atraso, entre outras coisas. Para o OSPF, o melhor caminho o de menor custo. O custo uma informao meramente administrativa para o OSPF. Em outras palavras, o administrador quem deve determinar o custo de cada link. O custo total de cada caminho a soma dos custos de cada link ao longo deste caminho. Porm, determinar custos manualmente para cada link algo trabalhoso, especialmente em redes complexas. Por isso, h um consenso em usar a largura de banda para determinar o custo. Por padro, todos os dispositivos atribuem custos menores a links mais velozes fazendo com que caminhos mais rpidos sejam preferveis. Contudo, os saltos acabam influenciando tambm nestes valores j que um caminho muito veloz com vrios saltos pode acabar por ter um custo mais elevado que um caminho mais lento com um nico salto. Ao fim das contas, possvel afirmar que o valor do custo sofre a influncia da velocidade dos links e do nmero de saltos para OSPF. Alm disso, o OSPF permite criar reas hierrquicas dentro de um nico sistema autnomo. Assim, um administrador pode dividir seu sistema autnomo em diferentes reas de modo a minimizar a complexidade. O OSPF tambm permite que o mesmo roteador rode vrias instncias do OSPF separadamente. Assim um nico roteador pode propagar informaes de diferentes clientes, por exemplo, usando uma instncia diferente para cada cliente sem quebra de sigilo. Tudo isso alm do fato de usar um processo de convergncia mais veloz e com menor trfego que os concorrentes diretos. E, apesar de todas as vantagens, OSPF compatvel apenas com TCP/IP.
Pgina 84.
10.1 Funcionamento do OSPF.

O OSPF usa datagramas IP diretamente 33. Em outras palavras, o OSPF no usa o TCP ou o UDP na camada de transporte, os campos OSPF ocupam diretamente a rea de dados do datagrama IP. Isso o torna mais veloz que outros protocolos que usam camada de transporte. Ao ativar a funo OSPF de um roteador, o primeiro passo consultar nas interfaces para as quais o OSPF est ativado se o vizinho tambm suporta OSPF. a mensagem OSPF hello. Ela inclui algumas informaes como a identificao e prioridade do roteador, intervalos de trabalho do OSPF, redes que o administrador autoriza propagar na rea em questo, entre outras. Se outro roteador responder ao hello eles comeam a negociar os valores para hello interval e dead interval. Roteadores devem trabalhar com o mesmo intervalo para que as coisas funcionem corretamente. Como um roteador no conhece seus vizinhos (no sabe os endereos de rede especficos) as mensagens de hello usam o endereo 224.0.0.5 que endeream todos os roteadores com suporte a OSPF (AllSPFRouters). Em redes ponto-a-ponto, o fim desta negociao forma uma relao de vizinhana ou adjacncia. Passam a ser obrigados a sinalizar a atividade em intervalos muito pequenos, normalmente 10 segundos ( hello interval). Tambm so responsveis por perceber quando os vizinhos saem da rede (dead interval). As adjacncias influenciam diretamente na determinao das rotas. Em redes de broadcast as coisas so diferentes. Imediatamente aps a negociao inicial os roteadores iniciam uma eleio para o roteador designado (designated router DS) e o roteador designado de backup (backup designated router BDS). Todos os roteadores passam a ser adjacentes ao DS aps o fim da eleio. O motivo desta diferena entre redes ponto-a-ponto e redes de difuso a quantidade de trfego. Em uma rede ponto-a-ponto, vrios roteadores em um link compartilhando formariam tantas adjacncias quanto ligaes em uma rede full mesh (n*(n-1)/2). Usando um DS o nmero de adjacncias cai (n-1). Consequentemente, o nmero de mensagens de hello entre outras informaes diminui. Alm disso, uma rede de broadcast possui mecanismos para enviar trfego simultneo a todos os roteadores com mais eficincia. A eleio usa a prioridade e a identificao do roteador. O administrador pode escolher quem o DS mudando sua prioridade. A identificao do roteador o critrio de desempate. Normalmente, o roteador usa o maior de seus endereos ou um endereo de loopback. Em redes complexas esta identificao pode ser problemtica. Quando um link cai, a identificao pode mudar, isso pode levar a uma nova eleio. Endereos de loopback no sofrem com isso j que este tipo de link no cai. No incio da operao cada roteador envia para seu adjacente sua base de dados de estados de links (database description DD). Aps esse envio inicial, o roteador sinaliza alteraes em sua base de dados usando avisos de estados de link (link state advertisements LAS). Esta justamente uma das vantagens do OSPF frente aos principais concorrentes. Enquanto outros protocolos enviam toda a tabela periodicamente, o OSPF envia apenas atualizaes. Quando entra em operao o roteador envia mensagens de hello peridicas para seus adjacentes. A cada intervalo de hello o roteador envia datagramas OSPF hello. Se um roteador deixa de receber OSPF hello de um vizinho por tempo maior que o valor de dead interval o roteador declara que este link est indisponvel. Isso, obviamente, invalida todas as rotas que passam por este link. O roteador inicia uma operao de inundao (flooding) sinalizando a alterao para todos os vizinhos (link state update LSU). Os vizinhos tm de enviar uma resposta ao roteador que identificou a mudana ( link state acknowledge LSAck).
33
Usa o valor 89 no campo protocolo de camada superior do datagrama IP.
Pgina 85.
Especializao em Redes de Computadores. Interconexo de redes / Error! Use the Home tab to apply Ttulo 1 to the text that you want to appear here. Sempre que um roteador precisa de maiores informaes sobre a topologia da rede ele envia uma requisio de estados (link state request LSR) e o roteador de destino responde com o LSU. Alm das mensagens de hello peridicas, cada roteador deve mandar LSA peridicos, normalmente 30 minutos. Todo administrador sabe que algum mal intencionado pode usar estas atualizaes para criar problemas. Por exemplo, rotas falsas ou inexistentes a custos muito pequenos para uma negao de servio, ou para redirecionar o trfego para um dispositivo capaz de colet-lo, por exemplo. Por isso, o OSPF usa autenticao. Na realidade so trs mtodos: sem nenhuma autenticao, com autenticao simples e com autenticao MD5. A autenticao simples inclui uma chave compartilhada. Portanto, o roteador, ao receber uma mensagem OSPF verifica se o valor da chave o mesmo de sua configurao. Se for, o roteador processa a informao normalmente, caso contrrio, descarta a informao. Se a rede for suscetvel coleta de trfego por pessoas no autorizadas, este procedimento no protege as atualizaes do OSPF. A autenticao MD5 mais robusta. No lugar de enviar a chave o roteador envia o resultado de um hash MD5 da informao + chave. As informaes OSPF continuam em texto claro e no lugar da chave segue um hash da informao. O receptor refaz o processo para comparar os resultados. Se um invasor tentar alterar uma informao o hash simplesmente no bate. Se o invasor tentar criar um hash tambm no vai funcionar j que sem a chave o hash muda. Alm disso, os roteadores usam um procedimento para evitar informaes antigas j que um atacante poderia usar pacotes vlidos fora de ordem. Apesar de todas estas diferenas, a principal diferena a diviso em reas. Com o crescimento da internet e as atualizaes de tabelas completas dos algoritmos de roteamento anteriores, ficou evidente que algo deveria ser feito para minimizar o trfego dos protocolos de roteamento. E no apenas isso, redes enormes seriam mais e mais complexas com os antigos mtodos. Alm das atualizaes mais suaves do OSPF, tambm possvel dividir um sistema autnomo em reas. Obrigatoriamente deve haver a rea 0, ou rea de backbone. Os roteadores de uma rea forma adjacncias apenas com roteadores de sua prpria rea (internal router IR). Apenas roteadores de borda de rea (area border routers ABR) repassam informaes desta rea para outras reas e para a rea 0. Alguns roteadores, mesmo que fora da rea 0, podem conversar com outros sistemas autnomos diferentes usando protocolos de roteamento externos como o BGP. Estes so roteadores de borda de sistema autnomo (autonomous system boundary router ASBR). Tambm h o roteador de backbone (backbone router BR) que um roteador que possui algumas atividades sobre o controle das reas. Roteadores internos nunca trocam informaes com roteadores de outras reas. Roteadores de borda, tanto ABR quanto ASBR, atuam normalmente dentro de suas reas. Contudo, propagam apenas rotas sumarizadas para outras reas ou sistemas autnomos. Obviamente, dispositivos de borda devem estar estrategicamente localizados para evitar gargalos e aproveitar melhor a topologia da rede. Como h uma hierarquia, na qual todas as reas esto subordinadas rea 0, o administrador deve tomar especial cuidado. A figura a seguir ilustra esta situao:
Pgina 86.
Figura 19: Rede de roteadores com quatro reas.
Quanto menor a rea menor a quantidade de informaes entre os roteadores e menor o trabalho na montagem de suas tabelas. As tabelas resultantes so proporcionalmente menores. Mudanas de topologias ficam localizadas em pequenos trechos da rede. Enfim, sistemas autnomos enormes deixam de ser um problema to grande j que o administrador pode manter reas menores e menos complexas.
10.2 OSPF com trs roteadores em uma nica rea.

hora de colocar o OSPF para funcionar. Nesta seo o objetivo fazer com que o OSPF escolha o melhor caminho entre duas redes locais distantes passando por trs roteadores intermedirios. Basicamente, existem dois caminhos, um caminho mais lento com um nico salto e um caminho mais veloz com dois saltos. A figura mostra detalhes deste cenrio:
Figura 20: Rede OSPF trs roteadores em uma nica rea.
Para a comunicao entre as redes LAN1 e LAN2 existem os caminhos RT0-RT1 e RT0-RT2-RT1. Se o nmero de saltos fosse a nica mtrica, o primeiro caminho seria o caminho preferencial. Contudo, este
Pgina 87.
Especializao em Redes de Computadores. Interconexo de redes / Error! Use the Home tab to apply Ttulo 1 to the text that you want to appear here. um caminho bem mais lento de 4Mbps. O segundo caminho usa link de 100Mbps o que os torna muito mais velozes. Por isso, mesmo com um salto a mais, o algoritmo do OSPF deve escolher o segundo caminho. Para efetivo funcionamento, o primeiro passo configurar as interfaces LAN (Fa 1/0) dos roteadores RT0 e RT1. Isso aconteceu em praticamente todos os cenrios prticos at aqui e dispensa qualquer tipo de comentrio. A configurao abaixo para o RT0 e algo parecido deve acontecer em RT1:
A primeira diferena surge ao configurar as interfaces das redes WAN 34. Nelas, aparece a primeira configurao OSPF. So os parmetros da autenticao conforme os comandos abaixo:
05 06 07 08 09 10 11 12 13 14 15 RT0(config)#interface se 2/0 RT0(config-if)#clock rate 4000000 RT0(config-if)#ip address 10.1.1.1 255.255.255.0 RT0(config-if)#ip ospf message-digest-key 1 md5 Segredo01 RT0(config-if)#no shutdown RT0(config-if)#exit RT0(config)#interface fa 0/0 RT0(config-if)#ip address 10.1.2.1 255.255.255.0 RT0(config-if)#ip ospf message-digest-key 1 md5 Segredo01 RT0(config-if)#no shutdown RT0(config-if)#exit
Estes comandos aparecem exatamente nas linhas 8 e 13. O OSPF usa dois tipos de autenticao: simples e MD5. A autenticao simples usa uma chave que segue junto das informaes OSPF. Este tipo de autenticao to seguro quanto a segurana fsica do link. Quase todos os autores afirmam que, na prtica, a autenticao deve usar MD5. justamente este o caso. O parmentro message-digest-key garante o uso de MD5 nesta interface. O prximo parmetro ( 1) indica o ndice da chave. Em outras palavras, uma nica interface pode ter vrias chaves. Nenhuma discusso sobre isso se aplica a este cenrio com links ponto-a-ponto. O quarto parmetro (md5) indica o tipo de algoritmo que no pode ser outro e o ltimo parmetro a chave. O administrador deve pensar que o tipo de criptografia a usar depende dos requisitos de segurana e da capacidade dos roteadores. Existem casos em que o administrador deveria considerar no usar autenticao. Ligaes ponto-a-ponto so mais difceis de colocar um intermedirio para analisar o trfego. A prpria segurana fsica do cabeamento pode ser determinante. Contudo, para maior segurana possvel, o ideal usar MD5 onde um atacante s pode interferir nas informaes de roteamento se descobrir a chave por algum outro mtodo alm da anlise de trfego. Por isso mesmo til associar a chave interface. Se estas informaes fossem as mesmas para todas as interfaces de um roteador o administrador iria ter de escolher nivelar a segurana em um nico patamar em vez de tratar cada caso separadamente. A configurao para os demais roteadores anloga. Toda a rede usa uma nica chave MD5 para simplificar o cenrio.
16 17 18 19
34
RT1(config)#interface se 2/0 RT1(config-if)#clock rate 4000000 RT1(config-if)#ip address 10.1.1.2 255.255.255.0 RT1(config-if)#ip ospf message-digest-key 1 md5 Segredo01
Mesmo sabendo que uma conexo Fast Ethernet uma conexo tipicamente local, este cenrio trata como uma ligao WAN. necessrio lembrar que os padres Ethernet so para redes locais e metropolitanas. Portanto, razoavelmente simples alcanar dezenas de quilmetros com links ethernet. Os mais distantes podem alcanar algumas centenas de quilmetros.
Pgina 88.
20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 RT1(config-if)#no shutdown RT1(config-if)#exit RT1(config)#interface fa 0/0 RT1(config-if)#ip address 10.1.3.1 255.255.255.0 RT1(config-if)#ip ospf message-digest-key 1 md5 Segredo01 RT1(config-if)#no shutdown RT1(config-if)#exit RT2(config)#interface fa 0/0 RT2(config-if)#ip address 10.1.2.2 255.255.255.0 RT2(config-if)#ip ospf message-digest-key 2 md5 Segredo01 RT2(config-if)#no shutdown RT2(config-if)#exit RT2(config)#interface fa 1/0 RT2(config-if)#ip address 10.1.3.2 255.255.255.0 RT2(config-if)#ip ospf message-digest-key 2 md5 Segredo01 RT2(config-if)#no shutdown RT2(config-if)#exit
Isso configura a autenticao. Mas no configura o OSPF. Por questes administrativas e de segurana, o administrador deve informar quais rotas ele pretende propagar entre os roteadores OSPF. So vrios os motivos para no propagar rotas, mas nenhum se aplica a este cenrio. Por isso, o administrador deve configurar o OSPF para todas as redes por enquanto. Os comandos abaixo configuram o OSPF para RT0.
37 38 39 40 41 42 RT0(config)#router ospf 10 RT0(config-router)#network 10.100.1.0 0.0.0.255 area 0 RT0(config-router)#network 10.1.1.0 0.0.0.255 area 0 RT0(config-router)#network 10.1.2.0 0.0.0.255 area 0 RT0(config-router)#area 0 authentication message-digest RT0(config-router)#exit
O comando da linha 37 ativa o OSPF. O ltimo parmetro apenas indica a instncia OSPF. Em cenrios mais complexos, especialmente envolvendo sigilo, possvel usar vrias instncias do OSPF separadamente. Em outras palavras, pode haver uma instncia propagando informaes de um conjunto de redes de um cliente e outra para redes de outro cliente. As linhas de 38 a 40 informam as redes que o OSPF pode propagar como sendo suas redes de conexo direta a seus vizinhos. Como o OSPF permite uso de reas necessrio informar, pelo menos, a rea 0. Exatamente o caso deste cenrio. Por fim, a linha 42 ativa a autenticao para a rea 0. As configuraes de para RT1 so:
43 44 45 46 47 48 RT1(config)#router ospf 10 RT1(config-router)#network 10.100.2.0 0.0.0.255 area 0 RT1(config-router)#network 10.1.1.0 0.0.0.255 area 0 RT1(config-router)#network 10.1.3.0 0.0.0.255 area 0 RT1(config-router)#area 0 authentication message-digest RT1(config-router)#exit
Neste ponto, o ideal que o administrador aguarde a convergncia do OSPF. Assim o link serial RT0-RT1 vai ser o caminho entre LAN1 e LAN2, j que o nico disponvel. possvel verificar isso com o comando show ip route. Contudo, quando RT2 iniciar o trfego OSPF e sinalizar que h uma rota mais veloz isso vai mudar. Para RT2 os comandos so:
49 50 51 52 53 RT2(config)#router ospf 10 RT2(config-router)#network 10.1.2.0 0.0.0.255 area 0 RT2(config-router)#network 10.1.3.0 0.0.0.255 area 0 RT2(config-router)#area 0 authentication message-digest RT2(config-router)#exit
Aps a configurao dos trs roteadores e depois do perodo necessrio para a convergncia possvel iniciar o diagnstico.
Pgina 89.
10.2.1 Diagnstico e pequenas mudanas no OSPF.

O que interessa, no final de tudo, a tabela de roteamento. O OSPF roda algoritmos para montar esta tabela dinamicamente. Contudo, independente de ser dinmica ou esttica, segue a mesma estrutura. Este o comando que mostra a tabela de rotas de RT0:
54 55 56 57 58 59 60 61 RT0#show ip route (..) 10.0.0.0/24 is subnetted, 5 subnets C 10.1.1.0 is directly connected, Serial2/0 C 10.1.2.0 is directly connected, FastEthernet0/0 O 10.1.3.0 [110/2] via 10.1.2.2, 00:29:14, FastEthernet0/0 C 10.100.1.0 is directly connected, FastEthernet1/0 O 10.100.2.0 [110/3] via 10.1.2.2, 00:29:14, FastEthernet0/0
As rotas OSPF recebem a indicao O. Neste caso, h apenas rotas de conexo direta e OSPF. Na realidade, uma tabela pode ser o fruto de uma grande interao dos vrios protocolos de roteamento e de entradas estticas. Uma informao especfica, a preferncia, merece ateno. No caso da linha 59, esta rota apresenta uma preferncia [110/2]. Toda rota OSPF usa o valor 110 e o custo at o destino. Este valor de 110 conhecido como custo administrativo e varia de protocolo para protocolo. Conforme consta na seo 8.1.1, ao criar rotas redundantes, o administrador usa este nmero para priorizar as rotas que deseja. O valor 110 do OSPF , portanto, muito maior que o valor padro para rotas estticas (1). Outro comando til o que detalha as informaes das interfaces. Apesar de tratar de vrias questes que extrapolam este cenrio, til para identificar o custo dos links, as configuraes de autenticao, intervalos do OSPF e a rea de atuao de cada interface:
62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 RT0#show ip ospf interface FastEthernet1/0 is up, line protocol is up Internet address is 10.100.1.1/24, Area 0 Process ID 10, Router ID 10.100.1.1, Network Type BROADCAST, Cost: 1 () Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 () Message digest authentication enabled No key configured, using default key id 0 Serial2/0 is up, line protocol is up Internet address is 10.1.1.1/24, Area 0 Process ID 10, Router ID 10.100.1.1, Network Type POINT-TO-POINT, Cost: 64 () Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 () Message digest authentication enabled Youngest key id is 1 FastEthernet0/0 is up, line protocol is up Internet address is 10.1.2.1/24, Area 0 Process ID 10, Router ID 10.100.1.1, Network Type BROADCAST, Cost: 1 () Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 () Message digest authentication enabled Youngest key id is 1
Como RT0 possui 3 interfaces ativas, so trs blocos iguais: Fa 0/0 (de 62 a 70), Fa 1/0 (de 71 a 78) e Se 2/0 (de 79 a 86). possvel verificar o endereo e a rea OSPF em que a interface atua (64, 72, 80). Tambm possvel verificar a instncia OSPF e o custo da porta (65, 73 e 81) e os intervalos de hello e dead (67, 87 e 97). Tambm possvel verificar se a autenticao est ativa (70, 78 e 86).
Pgina 90.
Especializao em Redes de Computadores. Interconexo de redes / Error! Use the Home tab to apply Ttulo 1 to the text that you want to appear here. O administrador pode, por exemplo, mudar o intervalo das mensagens de hello e de dead. Valores menores nestes intervalos vo fazer com que a resposta na mudana da rede seja mais rpida. A nica observao importante modificar todas as interfaces de um link para os mesmos valores. A sugesto para este cenrio usar 2 para hello interval e 10 para dead interval apenas para o trecho que usa conexes de 100Mbps. Obviamente, se as interfaces divergem neste valor o trecho no forma uma adjacncia. Durante as mudanas, o administrador pode perceber uma mudana nas tabelas de roteamento. Os comandos seriam:
87 88 89 90 91 92 93 94 95 96 97 98 RT0(config)#interface fa 0/0 RT0(config-if)#ip ospf hello-interval 2 RT0(config-if)#ip ospf dead-interval 10 RT0(config-if)#exit RT1(config)#interface fa 0/0 RT1(config-if)#ip ospf hello-interval 2 RT1(config-if)#ip ospf dead-interval 10 RT1(config-if)#exit RT2(config)#interface fa 1/0 RT2(config-if)#ip ospf hello-interval 2 RT2(config-if)#ip ospf dead-interval 10 RT2(config-if)#exit
O administrador tambm pode alterar o custo. Por exemplo, o administrador pode verificar que um enlace, mesmo com uma rede muito veloz tende a ficar congestionado. Elevar o custo deste enlace pode fazer com que algumas rotas com custos mais prximos passem por outros dispositivos no clculo do OSPF. Tambm pode privilegiar uma rota mais lenta, porm mais confivel. Uma rota por onde todos os equipamentos usem no breaks em um cenrio onde as quedas de energia so constantes, por exemplo. A sugesto para este cenrio diminuir o custo do link serial para 32:
99 100 101 RT0(config)#interface se 0/0 RT0(config-if)#ip ospf cost 32 RT0(config-if)#exit
A mesma configurao para RT0 e RT1. O administrador at pode usar valores diferentes nestes dois roteadores. A nica observao que o caminho de ida ter um custo diferente do caminho de volta. Existem pouqussimas razes para considerar uma configurao destas, mas possvel. Outro cenrio relativamente comum um dispositivo atribui valor de custo 1 tanto para links de 100Mbps quanto para links de 1Gbps. Por utilizar um mtodo de clculo antigo, o dispositivo pode atribuir o mesmo custo para interfaces com velocidades to diferentes.
10.3 OSPF com duas reas internas, uma compartilhada.

Usar muitas reas em uma rede com poucos roteadores pode parecer um equvoco. Dividir a rede de roteadores em reas til quando so realmente muito numerosos. Contudo, uma rede enorme no muito didtico. Configuraes complexas, quando muito numerosas, tornam o entendimento ainda mais complicado. A abordagem deste captulo procura pelo meio termo que pode no existir de fato. O leitor deve ter em mente que, apesar do cenrio diminuto, o objetivo a compreenso da tecnologia para aplicao em qualquer cenrio. Este cenrio apresenta uma diviso em duas reas. A rea 0 usa uma rede compartilhada ou de broadcast para quatro roteadores (RT0, RT1, RT2 e RT3). Por ser uma rede compartilhada, a identificao dos roteadores tem uma ateno maior nesta seo. Tambm inclui uma rota padro para servios fora do sistema autnomo (em RT0). Isso vai colocar NAT e rotas estticas trabalhando junto com rotas dinmicas do OSPF (para evitar o uso de protocolos externos como BGP, por enquanto). A outra rea possui trs roteadores. A rea 1 inclui mais duas redes locais atravs de links seriais.
Pgina 91.
Figura 21: Rede OSPF com duas reas.
Mais uma vez, a ideia usar um roteador para simular uma rede externa. No por acaso, toda a configurao rigorosamente a mesma da seo 8.2. Por isso, RT6 recebe a mesma configurao das linhas de 1 a 13 da seo 8.2. Mas as coincidncias acabam a. O primeiro passo cuidar da identificao dos roteadores. O ideal usar um valor elevado que no possa interferir em rotas externas. O roteador vai sempre dar preferncia a usar um endereo de uma interface de loopback e sempre o maior dos endereos. Para este cenrio, a estratgia ser usar a faixa privada da classe C em interfaces de loopback. Como a rede usa endereos da classe A, os endereos da classe C so maiores e no vo interferir em nenhuma rota da rede. A tabela abaixo mostra a distribuio dos endereos. RT0 RT1 RT2 RT3 RT4 RT5 Endereo loopback 192.168.255.254 192.168.255.253 192.168.255.202 192.168.255.203 192.168.255.204 192.168.255.205
Tabela 8: Identificao de roteadores para rede OSPF.
Esta distribuio fora RT0 a ser o DS da rede compartilhada de modo que todos os roteadores da rea 0 vo compor adjacncias com RT0. Tambm vai forar RT0 a assumir o papel de roteador de backbone da rede. O administrador deve escolher um roteador com maior capacidade de processamento para tal. Para
Pgina 92.
Especializao em Redes de Computadores. Interconexo de redes / Error! Use the Home tab to apply Ttulo 1 to the text that you want to appear here. configurar este valor para RT0, basta usar comando de acordo com o modelo a seguir. Para os demais roteadores, configurao anloga:
01 02 03 RT0(config)#interface loopback 0 RT0(config-if)#ip address 192.168.255.254 255.255.255.255 RT0(config-if)#exit
O administrador tambm pode usar o comando router-id, na configurao OSPF para mudar a configurao de identificao. Muitos administradores vo preferir esta opo a usar interfaces de loopbak. uma simples questo de preferncia, exceto para casos muito especficos. Tambm existe a possibilidade de RT0 no ser o DS dependendo de outras possibilidades. Como por exemplo, a ordem em que os dispositivos iniciam o processamento de informaes OSPF. Roteadores com nomes maiores podem perder a vaga de DR ou BDR se no participarem logo da eleio. Por fim, existe a possibilidade de mudar a prioridade na configurao OSPF de uma interface. Com as configuraes de loopback corretas hora de configurar interfaces e o prprio OSPF. A princpio, apenas a rea 0. As coisas mudam um pouco para RT0 que possui uma rota padro. O OSPF deve ser capaz de propag-la. Apenas RT3 e RT2, que possuem redes locais de conexo direta vo incluir suas redes nas configuraes da rea 0. Primeiramente os comandos para RT0:
04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 RT0(config)#interface se 2/0 RT0(config-if)# clock rate 4000000 RT0(config-if)# ip address 200.200.0.1 255.255.255.0 RT0(config-if)# no shutdown RT0(config-if)#exit RT0(config)#interface fa 0/0 RT0(config-if)# ip address 10.0.0.10 255.255.255.0 RT0(config-if)# ip ospf message-digest-key 2 md5 Segredo01 RT0(config-if)# no shutdown RT0(config-if)#exit RT0(config)#ip route 0.0.0.0 0.0.0.0 200.200.0.2 RT0(config)#router ospf 10 RT0(config-router)#network 10.0.0.10 0.0.0.0 area 0 RT0(config-router)#default-information originate RT0(config-router)#area 0 authentication message-digest RT0(config-router)#exit
As configuraes de interface no apresentam novidades. Apenas Fa 0/0 vai propagar rotas OSPF e, por isso, recebe a configurao necessria para autenticao (linha 11). A rota padro, a mesma do exemplo da seo 8.2, est na linha 14. A configurao do OSPF est no intervalo de 15 a 19. Neste caso, a linha 16 usa um estilo diferente para indicar redes. A indicao usa o endereo de rede da interface e um wildcard igual a 0. Tambm uma questo de preferncia. O administrador deve ter em mente que o wildcard no uma mscara para determinar o intervalo de rede e de hosts. Isso acontece na definio da interface com o parmetro da mscara. O wildcard apenas permite identificar os intervalos de endereos que o OSPF deve propagar. Por fim, como RT0 possui uma rota padro para outras redes fora do sistema autnomo, o OSPF deve propagar tambm esta rota. O comando da linha 17 configura isso. Este comando informa que este dispositivo deve propagar sua rota padro para os demais. Neste cenrio, toda a rede usa esta mesma rota padro. Em cenrios mais complexos, com vrias rotas de sada, cada dispositivo vai escolher a melhor rota usando os custos. Portanto, o comando da linha 17 no impe a utilizao desta rota para os demais. como outra rota qualquer. Para fechar a configurao de RT0, basta configurar o NAT. So os mesmos comandos da seo 8.2. Apenas uma pequena modificao acontece para os comandos neste cenrio. Isso vai ajudar a compreender melhor os wildcards.
Pgina 93.
20 21 22 23 24 25 26 27 RT0(config)#access-list 50 permit 10.0.0.0 0.255.255.255 RT0(config)#interface fa 0/0 RT0(config-if)#ip nat inside RT0(config-if)#exit RT0(config)#interface se 2/0 RT0(config-if)#ip nat outside RT0(config-if)#exit RT0(config)#ip nat inside source list 50 interface se 2/0 overload
A linha 20 mostra um endereo 10.0.0.0 e um wildcard 0.255.255.255. Isso inclui todos os endereos de rede que comeam com 10. Como outros trechos da rede possuem endereos da classe A privada, esta configurao inclui todos de uma vez s. Porm, o administrador mais criterioso com a segurana, vai preferir incluir cada uma das redes pessoalmente. Neste caso, o comando da linha 20 teria de dar lugar a 8 outros comandos como no exemplo abaixo:
20.1 20.2 20.3 20.4 20.5 20.6 20.7 20.8 RT0(config)#access-list RT0(config)#access-list RT0(config)#access-list RT0(config)#access-list RT0(config)#access-list RT0(config)#access-list RT0(config)#access-list RT0(config)#access-list 50 50 50 50 50 50 50 50 permit permit permit permit permit permit permit permit 10.0.0.0 10.1.0.0 10.4.0.0 10.5.0.0 10.2.1.0 10.3.1.0 10.4.1.0 10.5.1.0 0.0.0.255 0.0.0.255 0.0.0.255 0.0.0.255 0.0.0.255 0.0.0.255 0.0.0.255 0.0.0.255
Como todas as redes possuem mscara de 24 bits, todos os wildcards iriam manter apenas os 24 primeiros bits. Contudo, o foco deste cenrio OSPF e no wildcards. As configuraes de RT2 e RT3 so anlogas. Ambos so roteadores internos na rea 0 e possuem uma nica rede final cada. No diferente do que aconteceu no cenrio da seo 10.2.
28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 RT2(config)#interface fa 0/0 RT2(config-if)# ip address 10.0.0.12 255.255.255.0 RT2(config-if)# ip ospf message-digest-key 2 md5 Segredo01 RT2(config-if)# no shutdown RT2(config-if)#exit RT2(config)#interface fa 1/0 RT2(config-if)# ip address 10.2.1.12 255.255.255.0 RT2(config-if)# no shutdown RT2(config-if)#exit RT2(config)#router ospf 10 RT2(config-router)#network 10.0.0.12 0.0.0.0 area 0 RT2(config-router)#network 10.2.1.12 0.0.0.0 area 0 RT2(config-router)#area 0 authentication message-digest RT2(config-router)#exit RT3(config)#interface fa 0/0 RT3(config-if)# ip address 10.0.0.13 255.255.255.0 RT3(config-if)# ip ospf message-digest-key 2 md5 Segredo01 RT3(config-if)# no shutdown RT3(config-if)#exit RT3(config)#interface fa 1/0 RT3(config-if)# ip address 10.3.1.13 255.255.255.0 RT3(config-if)# ip ospf message-digest-key 2 md5 Segredo01 RT3(config-if)# no shutdown RT3(config-if)#exit RT3(config)#router ospf 10 RT3(config-router)#network 10.0.0.0 0.0.0.255 area 0 RT3(config-router)#network 10.3.1.0 0.0.0.255 area 0 RT3(config-router)#area 0 authentication message-digest RT3(config-router)#exit
Pgina 94.
Especializao em Redes de Computadores. Interconexo de redes / Error! Use the Home tab to apply Ttulo 1 to the text that you want to appear here. Agora a vez de RT1. Este roteador participa de duas reas. A princpio a configurao da rea 0 como se no existissem outras reas. Tambm no apresenta novidades.
57 58 59 60 61 62 63 64 65 RT1(config)#interface fa 0/0 RT1(config-if)# ip address 10.0.0.11 255.255.255.0 RT1(config-if)# ip ospf message-digest-key 2 md5 Segredo01 RT1(config-if)# no shutdown RT1(config-if)#exit RT1(config)#router ospf 10 RT1(config-router)#network 10.0.0.11 0.0.0.0 area 0 RT1(config-router)#area 0 authentication message-digest RT1(config-router)#exit
A principal diferena entre redes de broadcast e redes ponto a ponto no OSPF como cada uma mantm seus vizinhos. O comando abaixo mostra os vizinhos de RT3:
66 67 68 69 70 RT3#show ip ospf neighbor Neighbor ID Pri State 192.168.255.254 1 FULL/DR 192.168.255.202 1 FULL/BDR 192.168.255.201 1 2WAY/DROTHER Dead Time 00:00:30 00:00:33 00:00:39 Address 10.0.0.10 10.0.0.12 10.0.0.11 Interface FastEthernet0/0 FastEthernet0/0 FastEthernet0/0
RT3 mantm adjacncias com RT0 e RT2. A informao FULL indica a formao de adjacncia com estes roteadores que so o DR e o BDR respectivamente. Portanto, estes roteadores designados passam a ser os responsveis pelas mensagens OSPF hello dentro da rede de broadcast. Pela identificao dos roteadores, RT0 o DR e RT2 o BDR. No h nenhuma surpresa no fato de RT0 ser o DR. Mas RT1 deveria ser o BDR. O simples fato da configurao de RT2 acontecer antes da configurao de RT1 influencia nesta deciso. Para este cenrio, RT1 ser o BDR pode mostrar vantagens. Como todos os outros roteadores da rea 0 so obrigados a manter uma adjacncia com o BDR ele seria mais gil para refletir as mudanas de topologia de/para a rea 1. O administrador pode fazer isso desligando e religando as interfaces de RT2 e RT3. Isso leva a uma mudana na topologia que, por sua vez, leva a uma nova eleio. Ainda em RT3, a tabela de rotas aps a convergncia do OSPF a seguinte:
71 72 73 74 75 76 77 78 79 80 RT3#show ip route (...) Gateway of last resort is 10.0.0.10 to network 0.0.0.0 10.0.0.0/24 is subnetted, 3 subnets C 10.0.0.0 is directly connected, FastEthernet0/0 O 10.2.1.0 [110/2] via 10.0.0.12, 00:04:14, FastEthernet0/0 C 10.3.1.0 is directly connected, FastEthernet1/0 192.168.255.0/32 is subnetted, 1 subnets C 192.168.255.203 is directly connected, Loopback0 O*E2 0.0.0.0/0 [110/1] via 10.0.0.10, 00:04:14, FastEthernet0/0
Existe uma rota OSPF comum para a rede local 10.2.1.0/24 que passa por RT2 (linha 76). Tambm existe uma rota padro por RT0 (linha 73). Os detalhes desta rota esto na linha 80. Nela aparecem as indicaes que uma rota OSPF (O), que uma rota padro (*) e que uma rota externa (E2). Em outras palavras, uma rota OSPF para redes externas, fora do sistema autnomo. A partir de agora, segue a configurao da rea 1. Nesta rea, cada roteador possui duas interfaces seriais para os outros roteadores da rea. Como so ligaes ponto a ponto no h preocupao com roteadores designados. A configurao de RT1 a mais simples para a rea 1 j que ele no possui nenhuma rede final nesta rea.
81 82 83 84 85 RT1(config)#interface se 2/0 RT1(config-if)# clock rate 4000000 RT1(config-if)# ip address 10.1.0.11 255.255.255.0 RT1(config-if)# ip ospf message-digest-key 2 md5 Segredo01 RT1(config-if)# no shutdown
Pgina 95.
86 87 88 89 90 91 92 93 94 95 96 97 98 RT1(config-if)#exit RT1(config)#interface se 3/0 RT1(config-if)# clock rate 4000000 RT1(config-if)# ip address 10.4.0.11 255.255.255.0 RT1(config-if)# ip ospf message-digest-key 2 md5 Segredo01 RT1(config-if)# no shutdown RT1(config-if)#exit RT1(config)#router ospf 10 RT1(config-router)#network 10.1.0.11 0.0.0.0 area 1 RT1(config-router)#network 10.4.0.11 0.0.0.0 area 1 RT1(config-router)#default-information originate RT1(config-router)#area 1 authentication message-digest RT1(config-router)#exit
Como a rota padro est na rea 0, RT1 deve propagar esta rota na rea 1 (linha 96). Todo o restante parecido com as configuraes da seo anterior. As duas interfaces seriais usam a configurao de autenticao e as duas redes destas interfaces aparecem na configurao do OSPF. A configurao de RT4 a seguinte:
99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 RT4(config)#interface se 2/0 RT4(config-if)# clock rate 4000000 RT4(config-if)# ip address 10.1.0.14 255.255.255.0 RT4(config-if)# ip ospf message-digest-key 2 md5 Segredo01 RT4(config-if)# no shutdown RT4(config-if)#exit RT4(config)#interface se 3/0 RT4(config-if)# clock rate 4000000 RT4(config-if)# ip address 10.5.0.14 255.255.255.0 RT4(config-if)# ip ospf message-digest-key 2 md5 Segredo01 RT4(config-if)# no shutdown RT4(config-if)#exit RT4(config)#interface fa 0/0 RT4(config-if)# ip address 10.4.1.14 255.255.255.0 RT4(config-if)# no shutdown RT4(config-if)#exit RT4(config)#router ospf 10 RT4(config-router)#network 10.1.0.14 0.0.0.0 area 1 RT4(config-router)#network 10.5.0.14 0.0.0.0 area 1 RT4(config-router)#network 10.4.1.14 0.0.0.0 area 1 RT4(config-router)#area 1 authentication message-digest RT4(config-router)#exit
A configurao j contempla a rede entre RT4 e RT5. A configurao de RT5 finaliza a configurao da rea 1 do OSPF. A configurao anloga ao que acontece em RT4.
121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 RT5(config)#interface se 2/0 RT5(config-if)# clock rate 4000000 RT5(config-if)# ip address 10.4.0.15 255.255.255.0 RT5(config-if)# ip ospf message-digest-key 2 md5 Segredo01 RT5(config-if)# no shutdown RT5(config-if)#exit RT5(config)#interface se 3/0 RT5(config-if)# clock rate 4000000 RT5(config-if)# ip address 10.5.0.15 255.255.255.0 RT5(config-if)# ip ospf message-digest-key 2 md5 Segredo01 RT5(config-if)# no shutdown RT5(config-if)#exit RT5(config)#interface fa 0/0 RT5(config-if)# ip address 10.5.1.15 255.255.255.0 RT5(config-if)# no shutdown RT5(config-if)#exit RT5(config)#router ospf 10
Pgina 96.
138 139 140 141 142 RT5(config-router)#network 10.4.0.15 0.0.0.0 area 1 RT5(config-router)#network 10.5.0.15 0.0.0.0 area 1 RT5(config-router)#network 10.5.1.15 0.0.0.0 area 1 RT5(config-router)#area 1 authentication message-digest RT5(config-router)#exit
Ao verificar os vizinhos de RT5, possvel comprovar as adjacncias com os outros roteadores da rea 1. No caso, as adjacncias com RT1 e com RT4 so FULL. No existem marcaes para DR ou BDR conforme sada do comando abaixo:
143 144 145 146 RT5#show ip ospf neighbor Neighbor ID Pri State 192.168.255.201 0 FULL/ 192.168.255.204 0 FULL/ Dead Time 00:00:36 00:00:36 Address 10.4.0.11 10.5.0.14 Interface Serial2/0 Serial3/0
A tabela de rotas de RT5 aparece a seguir. Ela mostra agora quatro tipos de rotas:
147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 RT5#show ip route Gateway of last resort is 10.4.0.11 to network 0.0.0.0 10.0.0.0/24 is subnetted, 8 subnets O IA 10.0.0.0 [110/65] via 10.4.0.11, 00:06:26, Serial2/0 O 10.1.0.0 [110/128] via 10.4.0.11, 00:35:44, Serial2/0 [110/128] via 10.5.0.14, 00:35:44, Serial3/0 O IA 10.2.1.0 [110/66] via 10.4.0.11, 00:05:06, Serial2/0 O IA 10.3.1.0 [110/66] via 10.4.0.11, 00:05:06, Serial2/0 C 10.4.0.0 is directly connected, Serial2/0 O 10.4.1.0 [110/65] via 10.5.0.14, 00:35:44, Serial3/0 C 10.5.0.0 is directly connected, Serial3/0 C 10.5.1.0 is directly connected, FastEthernet0/0 192.168.255.0/32 is subnetted, 1 subnets C 192.168.255.205 is directly connected, Loopback0 O*E2 0.0.0.0/0 [110/1] via 10.4.0.11, 00:06:26, Serial2/0
Alm das rotas de conexo direta e das rotas de OSPF da rea 1 existem rotas para outras reas do OSPF (IA) e a rota padro para fora do sistema autnomo (E2). possvel perceber em RT5 rotas para todas as subredes do sistema autnomo alm da rota padro. A partir deste momento, todos os dispositivos finais deste cenrio so capazes de acessar o servio externo.
Pgina 97.
Bibliografia
DONAHUE, Gary. Network Warrior. 1 ed. Sebastopol: O'Reilly, 2007. FILIPPETTI, Marco Aurlio. CISCO CCNA 4.1 - Guia de estudo completo.1 ed. Florianpolis: Visual Books, 2008. FROOM, Richard. Implementing Cisco IP Switched Networks. 5 ed. Indianapolis: Cisco Press, 2010. IEEE, INSTITUTE OF ELETRICAL AND ELETRONICS ENGINEERS. 802.1D IEEE Standard for local and metropolitan area networks. New York: Institute of Eletrical and Eletronics Engineers Inc, 2004. KUROSE, James, e Keith ROSS. Redes de computadores e a Internet. 5 ed. So Paulo: Addison Wesley, 2010. ODOM, Wendell. CCNA ICND2 - Official Exam Certification Guide. 2 ed. Indianpolis: CISCO Press, 2008. OXFORD. Dicionrio Oxford Escolar, 4 ed. Nova York: Oxford University Press, 2000. PETERSON, Larry, e Bruce DAVIE. Computer networks: a system approach. 4 ed. San Francisco: Elsevier, 2007. SEIFERT, Rich, e Jim EDWARDS. The All-New Switch Book. 2 ed. Indianapolis: Wiley Publishing, Inc, 2008. SPURGEON, Charles. Ethernet: The definitive guide. Sebastopol: O'Reilly, 2000. TANENBAUM, Andrew S. Redes de Computadores. 5 ed. So Paulo.: Pearson Prentice Hall, 2011. WEBB, Karen. Construindo redes Cisco usando comutao multicamadas. 1 ed. So Paulo: Pearson Education do Brasil, 2003.
Pgina 98.

Material

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Material

Caricato da

Copyright:

Formati disponibili

Interconexo de redes. Error!

Professor: Ccero Woshington. Contato: cicerow.ordb@gmail.com

Especializao em Redes de Computadores. Interconexo de redes.

Especializao em Redes de Computadores. Interconexo de redes.

Captulo 1 O padro Ethernet.

1.1.2 Controle de Fluxo.

O frame Ethernet alvo de estudos em breve, ainda neste captulo.

1.3 Frame Ethernet.

Figura 1: Estrutura de um frame Ethernet.

Captulo 2 O funcionamento de um switch.

Switches gerenciveis sero o foco das prximas sees.

2.1 Processamento interno.

2.1.1 Aprendizagem automtica.

Figura 2: Fluxograma de funcionamento de um switch.

2.2 Switches gerenciveis.

2.2.1 Layer 2 (Camada 2).

2.2.2 Layer 3 (Camada 3).

2.2.3 Multilayer (Multicamada).

Captulo 3 Configuraes bsicas de switches gerenciveis.

3.1 Mudana do nome do dispositivo.

3.2 Mudana de senhas de acesso.

3.3 Configurao de login com usurio e senha no console.

3.4 Configuraes de interfaces Ethernet em um roteador.

3.5 Configuraes de interfaces seriais em um roteador.

3.6 Configurao de interfaces Ethernet em switches.

Este o tema do prximo captulo.

3.7 Ajuste da data e hora.

Seo 2.1.1 Aprendizagem automtica, 2 pargrafo.

3.8 Registro da configurao e backups.

End with CNTL/Z.

3.9 Identificao de informaes do sistema.

Captulo 4 Redes locais virtuais (VLAN).

4.1 Frame Tagging.

Figura 3: Frame Ethernet e o processo de frame tagging. (FROOM 2010, 69)

4.1.1 VLANs estticas e dinmicas.

4.2 VLANs com switches L3.

Figura 4: Rede com duas VLANs e switch gerencivel L3.

4.3 VLANs com switches L3 e L2.

Figura 5: Rede com duas VLANs e dois switches gerenciveis.

sw1(config)#interface vlan 10 sw1(config-if)#

4.4 VLANs com switches L3 e no gerenciveis.

Figura 6: Rede com duas VLANs e switches gerenciveis e no gerenciveis.

Captulo 5 Links Redundantes (STP).

Figura 7: Rede de switches com redundncias.

5.1 Spanning Tree Protocol.

links mais rpidos bloqueando os mais lentos por padro.

1Mbps 10Mbps 100Mbps 1Gbps 10Gbps 100Gbps 1Tbps

Tabela 2: Custos e velocidades para STP (adapitado de IEEE e ODOM).

5.2 Rapid Spaning Tree Protocol.

5.3 STP com dois switches L2.

Figura 8: Rede simples com dois switches e um tronco redundante.

Forward Delay 15 sec

Interface ---------------Fa0/2 Fa0/1 Fa0/3 Fa0/24

Sts --BLK FWD BLK FWD

5.3.1 Mudanas de prioridades.

Forward Delay 15 sec

Interface ---------------Fa0/2 Fa0/1 Fa0/3 Fa0/24

Sts --LSN FWD LSN FWD

Forward Delay 15 sec

Interface ---------------Fa0/1 Fa0/2 Fa0/3

Sts --FWD BLK BLK

End with CNTL/Z.

Interface ---------------Fa0/1 Fa0/2 Fa0/3

Sts --FWD BLK BLK