Baixe o app para aproveitar ainda mais
Prévia do material em texto
Con�gurações avançadas de switches Prof. João Francisco de Oliveira Antunes Descrição Aumento da banda disponível para os links de tronco, a segurança e a análise de falhas aplicadas a switches e roteadores. Propósito Aplicar técnicas para aumentar a performance dos links de tronco, a aplicação de mecanismos de segurança e a análise de falhas são competências fundamentais no dia a dia de um analista de redes. Preparação Antes de iniciar seu estudo, é importante ter o software Packet Tracer versão 8.1.0 ou superior. Objetivos Módulo 1 Agregação de links Configurar agregação de portas (EtherChannel) nas portas de um switch. Módulo 2 Switch Port Analyzer (SPAN) Configurar o espelhamento de portas SPAN (Switched Port Analyzer) em um switch. Módulo 3 Port-security Aplicar segurança de portas (Port security) nas portas de um switch. Módulo 4 Solução de problemas Aplicar técnicas de análise de falhas em switches. Introdução Quando um engenheiro de redes trabalha em uma arquitetura multicamadas baseada em VLANs, seu intuito precípuo é o de prover redundância e largura de banda suficiente para os links de tronco. Como esses requisitos constituem um aspecto crítico da operação, ocorre por vezes a necessidade de troca do switch por um de maior capacidade. A possibilidade de agregar várias portas físicas em um canal lógico (EtherChannel) traz uma nova perspectiva para os administradores de rede possibilitando a escalada da rede e sobrevida das instalações. Por outro lado, a preocupação com a segurança física e lógica da rede é cada vez maior. Nesse contexto, as portas do switch podem ser robustecidas com mecanismos como o port security que protege a rede contra a conexão indevida de equipamentos e o SPAN (Switched Port Analyzer), que possibilita inspecionar o tráfego da rede. Essas são funcionalidades que todos os administradores de redes precisam dominar. A disponibilidade de uma rede passa também pela capacidade de identificar, analisar e corrigir falhas. Dominar essas competências é de fundamental importância para a gerência de um ambiente de rede. Conhecer técnicas de “troubleshooting” constitui um diferencial importante e permite a solução rápida de incidentes e problemas aumentando a disponibilidade da rede. 1 - Agregação de links Ao �nal deste módulo, você será capaz de con�gurar agregação de portas (EtherChannel) nas portas de um switch. Agregação de portas Neste vídeo, apresentaremos a configuração da topologia que permite o uso de agregação de links. Redundância e largura de banda são preocupações constantes em uma rede hierárquica. Há cenários onde necessitamos adicionar mais de uma porta a um link de tronco sem que esta seja bloqueada pelo STP (Spanning Tree Protocol). Essa tecnologia se chama EtherChannel, que permite que vários links físicos sejam agregados em um único link lógico, funcionando como se fosse uma única interface, porém, com a largura de banda equivalente ao somatório dos links. A seguir, a imagem apresenta o conceito do EtherChannel EtherChannel. Nela, podemos ver um EtherChannel ETCH_1 composto pelos links físicos LF1 e LF2. Nessa configuração, as duas interfaces físicas do switch operam como se fossem uma só, não sendo bloqueadas pelo protocolo STP. Uma vez que o EtherChannel tenha sido estabelecido, ações de configuração podem ser feitas diretamente no canal, sendo difundidas para as interfaces físicas. Além de redundância, esse tipo de configuração oferece balanceamento de carga. Caso um link físico do canal seja perdido, não há reconfiguração da topologia, pois o link lógico continua ativo, mesmo com redução da banda. Protocolos de negociação automática Existem dois protocolos que possibilitam que portas com características semelhantes em switches conectados diretamente formem um canal lógico por meio de negociação dinâmica entre eles. São eles: Port Aggregation Protocol (PAgP). Link Aggregation Control Protocol (LACP). O canal lógico também pode ser estabelecido de forma estática por configuração do administrador. Port Aggregation Protocol (PAgP) Port Aggregation Protocol (PAgP) é um protocolo proprietário da Cisco. Quando configurado nas portas dos switches, esse protocolo auxilia na criação automática de links EtherChannel por meio de pacotes PAgP que são enviados entre as portas para negociar a formação de um canal. Quando o PAgP identifica links correspondentes, ele os agrupa formando um EtherChannel que é, então, adicionado ao spanning tree como uma única porta. Comentário Além de atuar no estabelecimento do canal, o PAgP também atua no seu gerenciamento. Pacotes PAgP são enviados a cada 30 segundos para verificar seu funcionamento e gerenciar as adições e falhas do link entre dois switches. É ele que assegura que quando um EtherChannel é criado, todas as portas tenham suas configurações feitas de forma consistente, como mesma velocidade, modo duplex (Half ou Full Duplex) e VLANs. O PAgP negocia o EtherChannel, detectando a configuração efetuada de cada lado do link. Os modos para PAgP são apresentados a seguir. Força a interface a estabelecer o canal de forma estática (incondicional). As interfaces configuradas no modo ligado não trocam pacotes PAgP. Coloca uma interface em um estado de negociação ativo. A interface inicia negociações com outras interfaces enviando pacotes PAgP. Coloca uma interface em um estado de negociação passiva. A interface apenas responde aos pacotes PAgP que recebe, mas nunca inicia a negociação. Os modos devem ser compatíveis em ambos os lados, uma vez que quando a interface é configurada no modo On, o protocolo de negociação será desligado e o EtherChannel só será estabelecido se as interfaces do outro lado também estiverem configuradas no modo On. Da mesma forma, se as interfaces de ambos os lados estiverem no modo PAgP auto, o canal também não será estabelecido, pois os dois lados estarão no modo de negociação passivo aguardando um pacote que nunca será enviado. Link Aggregation Control Protocol (LACP) Link Aggregation Control Protocol (LACP) é um protocolo especificado pelo IEEE 802.3ad (atualmente IEEE 802.1AX), que possibilita a negociação de canais lógicos, compatível com o PAgP da Cisco, fornecendo os mesmos benefícios de negociação. Os modos para LACP são apresentados a seguir. On PAgP desirable (desejável) PAgP auto On Força a interface a estabelecer o canal de forma estática (incondicional). As interfaces configuradas no modo ligado não trocam pacotes LACP. Coloca uma interface em um estado de negociação ativo. A interface inicia negociações com outras interfaces enviando pacotes LACP. Coloca uma interface em um estado de negociação passiva. A interface apenas responde aos pacotes LACP que recebe, mas nunca inicia a negociação. Como o protocolo LACP é um padrão IEEE, favorece a criação de EtherChannels em ambientes de vários fornecedores. Nos dispositivos Cisco, ambos os protocolos são suportados. Assim como ocorre com o PAgP, os modos devem ser compatíveis nos dois lados para que se forme o link de EtherChannel. Con�gurando agregação de links Con�guração do Port Aggregation Protocol (PAgP) Acompanhe no vídeo o assunto que vamos estudar. Para que o PAgP possa ser configurado, alguns requisitos devem ser estabelecidos primeiramente. Todas as interfaces devem suportar EtherChannel sem a necessidade de que sejam fisicamente contíguas nem do mesmo módulo. PAgP ativo PAgP passivo Todas as interfaces devem estar configuradas para operar na mesma velocidade e no mesmo modo duplex (Half ou Full Duplex). Todas as interfaces do EtherChannel devem ser atribuídas à mesma VLAN ou configuradas como um tronco. O intervalo de VLANs permitidas deve ser o mesmo em todas as interfaces que formam um EtherChannel. Como exemplo, imagine o cenário apresentado na imagem a seguir. Cenário de VLAN com agregação de portas. Nele vemos três VLANs 20, 30 e 40 implementadas emdois switches SWA e SWB, com um EtherChannel entre eles utilizando as interfaces GigabitEthernet 0/1 e 0/2 de cada switch. Uma vez que todos os requisitos preliminares tenham sido atendidos, a configuração do EtherChannel pode ser realizada com as seguintes etapas: Etapa 1 Selecione as interfaces que irão compor o grupo EtherChannel executando o comando interface range < Range de Interfaces > no modo de configuração global. Isso permite configurar várias interfaces simultaneamente. Assim, para nosso exemplo, o comando seria: TERMINAL Etapa 2 (config)# interface range g0/1-21 Crie a interface de canal com o channel-group < num_canal > mode < modo > no modo de configuração de interface. Observe que o tipo de protocolo a ser utilizado será definido pelo modo selecionado, sendo: active / passive para LACP auto / desirable para PAgP on para criar o canal manualmente Que para nosso exemplo seria: TERMINAL Etapa 3 Em seguida, as configurações devem ser feitas na interface do canal usando o comando interface port-channel < num_canal >. Cuja implementação para nosso caso ficaria: TERMINAL (config-if)# channel-group 1 mode active (config-if)# exit (config)#interface port-channel 1 (config-if)# switchport mode trunk (config-if)# switchport trunk allowed vlan 20,30,40 (config-if)# switchport trunk native vlan 99 (config-if)# no shutdown (config-if)# exit 1 2 1 2 3 4 5 6 Observação: a interface port-channel pode ser configurada no modo access, trunk (mais comum) ou em uma porta roteada. Para verificar se o port-channel foi configurado com sucesso, podemos utilizar os seguintes comandos apresentados a seguir com suas respectivas saídas: Show interfaces port-channel Exibe o status geral da interface do canal. No exemplo a seguir, o port- channel 1 está ativo. TERMINAL Show etherchannel summary Apresenta as informações do canal port-channel 1, indicando o protocolo utilizado (LACP), as portas que compõem o canal Gig0/1 e Gig0/2 e seus status (P) - in port-channel. TERMINAL Show etherchannel port-channel SWA# show interfaces port-channel 1 Port-channel1 is up, line protocol is up (connected) O hardware é EtherChannel, o endereço é c07b.bcc4.a9 MTU 1500 bytes, BW 200000 Kbit/sec, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 SWA# show etherchannel summary Flags: D - down P - in port-channel I - stand-alone s - suspended H - Hot-standby (LACP only) R - Layer3 S - Layer2 U - in use f - failed to allocate aggregator u - unsuitable for bundling w - waiting to be aggregated d - default port Number of channel-groups in use: 1 Number of aggregators: 1 Group Port-channel Protocol Ports ------+-------------+-----------+--------------- 1 2 3 4 5 1 2 3 4 5 6 7 8 9 10 11 12 13 14 Exibe as informações sobre cada um dos port-channel existentes. No exemplo, a interface Port Channel 1 consiste em duas interfaces físicas, Gig0/1 e Gig0/2, utilizando LACP no modo Active. TERMINAL Show interfaces etherchannel Fornece informações sobre a função da interface no EtherChannel. A interface G0/1, no exemplo, pertence ao port-channel 1, está ativa (UP) e utilizando o protocolo LACP no modo Active (G0/1 SA). TERMINAL Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos? SWA# show etherchannel port-channel Channel-group listing: ---------------------- Group: 1 ---------- Port-channels in the group: --------------------------- Port-channel: Po1 (Primary Aggregator) ------------ Age of the Port-channel = 00d:00h:12m:55s Logical slot/port = 2/1 Number of ports = 2 GC = 0x00000000 HotStandBy port = null Port state = Port-channel Protocol = LACP SWA# show interfaces G0/1 etherchannel Port state = Up Mstr Assoc In-Bndl Channel group = 1 Mode = Active Gcchange = - Port-channel = Po1 GC = - Pseudo port-channel = Po Port index = 0 Load = 0x00 Protocol = LACP Flags: S - Device is sending Slow LACPDUs F - Devi A - Device is in active mode. P - Device is i Local information: LACP port Admin Oper Port Port Flags State Priority Key Number State G0/1 SA bndl 32768 0x1 0x1 0x102 0x3D Informações do parceiro: LACP port Admin Oper Port Port Port Flags Priority Dev ID Age key Key Number Stat 1 2 3 4 5 6 7 8 9 10 11 12 13 14 1 2 3 4 5 6 7 8 9 10 11 12 13 14 Questão 1 Você está configurando um link EtherChannel, utilizando PAgP, entre duas portas físicas em um switch. Qual instrução descreve o resultado quando uma das portas físicas falha? Parabéns! A alternativa A está correta. Um EtherChannel é uma conexão lógica, assim, a perda de um link físico no canal não altera a topologia e, logo, não é necessário um novo cálculo de Spanning Tree. Quando uma das portas físicas do EtherChannel falha, o link EtherChannel permanece funcional, embora sua taxa de transferência diminua devido a um link perdido. Questão 2 Você está configurando um link EtherChannel, utilizando LACP. O port-channel do switch para esse canal está configurado no modo Passivo (passive). Qual modo você deve configurar o port-channel desse switch para que o EtherChannel seja estabelecido? A O canal continua transmitindo dados com largura de banda reduzida. B A ligação entre os switches falha. C O protocolo STP irá determinar uma nova rota. D O canal para de transmitir dados até que seja reiniciado. E Uma nova porta será adicionada automaticamente ao canal. A Auto. B Passive. C Active. Parabéns! A alternativa C está correta. No LACP, o comando channel-group mode passive habilita o port- channel a estabelecer o Etherchannel somente se a porta receber um pacote LACP de outro dispositivo. Logo, o switch que você está configurando deve ser configurado com o comando channel-group mode active. 2 - Switch Port Analyzer (SPAN) Ao �nal deste módulo, você será capaz de con�gurar o espelhamento de portas SPAN (Switched Port Analyzer) em um switch. Espelhamento de portas Muitas vezes,em uma rede, necessitamos utilizar um analisador de protocolos ou agregar tecnologias de segurança como IDS/IPS. Para isso, necessitamos capturar os pacotes que trafegam na rede. Porém, a análise dos dados nem sempre é possível, pois os switches isolam o tráfego, encaminhando os pacotes para uma porta específica associada ao MAC de destino. Existem dois métodos comumente utilizados para capturar o tráfego e enviá-lo para esses dispositivos: TAPs de rede e espelhamento de portas. Acompanhe no vídeo o assunto que vamos estudar. D Desirable. E Manual. Test Access Point (TAPs) de rede Um TAP (Test Access Point) de rede é um dispositivo de divisão passiva (camada física) que faz uma cópia exata de todo o tráfego que flui entre dois pontos da rede, encaminhando todo o tráfego, incluindo erros de camada física, para o analisador ou IDS. A imagem, a seguir, apresenta uma topologia de análise de tráfego utilizando TAP. Topologia de análise de tráfego utilizando TAP. Nela, podemos observar que o tráfego que flui entre o roteador de borda e o firewall é duplicado pelo TAP e encaminhado ao dispositivo de análise. Outra característica marcante do TAP é que, em caso de perda de energia ou falha, o tráfego normal não é afetado. Espelhamento de porta – SPAN Switches por sua vez são projetados para segmentar o tráfego, encaminhando os frames diretamente para as portas associadas ao MAC de destino, limitando assim a quantidade de tráfego visível para dispositivos de monitoramento de rede. Nesse contexto, o espelhamento de portas deve ser utilizado. Ele permite que o switch copie (espelhe) os quadros de uma ou mais portas para uma porta SPAN (Switch Port Analyzer) conectada a um dispositivo de análise. A imagem, a seguir, apresenta uma topologia de análise de tráfego utilizando SPAN. Topologia de análise de tráfego utilizando SPAN. Nela, as portas de entrada e saída do fluxo (Fa0/1 e Fa0/2)de dados são origem para o espelhamento (SPAN) e a porta conectada ao analisador (G0/1) é o destino. A associação entre uma ou mais portas de origem e uma ou mais portas de destino, dependendo do switch, é chamada de sessão SPAN. Analogamente, uma VLAN pode ser especificada, na qual todas as portas na VLAN se tornam origens de tráfego SPAN, sendo que uma sessão SPAN pode ter portas ou VLANs como origens, mas nunca as duas. Con�guração de SPAN Acompanhe no vídeo o assunto que vamos estudar. Para nossa topologia proposta, a configuração do SPAN consiste do seguinte: O comando monitor session number source [interface interface | vlan vlan], executado no modo de configuração global, cria uma sessão SPAN e estabelece a origem, assim, o comando para definir como origem SPAN a interface Fa0/2 conectada ao servidor seria: (config)# monitor session 1 source interface FastEthernet 0/2 O comando monitor session number destination [interface interface | vlan vlan], também executado no modo de configuração global, estabelece o destino para aquela sessão criada, logo, o comando para definir como destino SPAN a interface G0/1 conectada ao dispositivo de análise seria: (config)# monitor session 1 destination interface g0/1 Para verificar a configuração da sessão SPAN, utilize o comando monitor section [number | all | local | range | remote], no modo EXEC privilegiado, que no nosso exemplo ficaria: TERMINAL #show monitor session 1 Session 1 --------- Type : Local Session Description : - Source Ports : Both : Fa0/2 Destination Ports : Gig0/1 1 2 3 4 5 6 7 8 Uma variação de SPAN chamada Remote SPAN (RSPAN) pode ser usada quando o analisador estiver em um switch diferente daquele onde o tráfego está sendo monitorado, permitindo, por meio da flexibilidade de VLANs, o monitoramento remoto de vários switches em toda a rede. O tráfego para cada sessão RSPAN é transportado sobre uma VLAN RSPAN especificada pelo administrador e dedicada à sessão SPAN em todos os switches monitorados. Con�gurando espelhamento de porta Neste vídeo, apresentaremos a configuração da topologia que permite o uso de espelhamento de porta. Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos? Questão 1 Muitas vezes, em uma rede, necessitamos utilizar um analisador de protocolos ou IDS/IPS. Para isso, necessitamos capturar os pacotes que trafegam na rede. Qual tecnologia de rede usa um dispositivo de divisão passiva que encaminha todo o tráfego, incluindo erros de Camada 1, para um dispositivo de análise? A IDS Encapsulation : Native Ingress : Disabled 9 10 Parabéns! A alternativa D está correta. TAPs (pontos de acesso de teste), conhecidos como TAPs de rede, são dispositivos de hardware autônomos que fazem uma cópia exata de todo o tráfego que flui entre dois pontos de extremidade em uma rede, incluindo erros de camada física, para o analisador ou IDS. Questão 2 Switches são projetados para segmentar o tráfego, encaminhando os frames diretamente para as portas associadas ao MAC de destino. Isso inviabiliza o uso de TAPs. Qual mecanismo pode ser usado para copiar pacotes que entram ou saem de uma porta do switch e enviá-los para outra porta até um dispositivo de análise? Parabéns! A alternativa B está correta. B SPAN C Port mirroring D TAP E IPS A IDS B SPAN C TAP D IPS E SNMP O espelhamento de portas permite que o switch copie (espelhe) os quadros de em uma ou mais portas para uma porta SPAN (Switch Port Analyzer) conectada a um dispositivo de análise. 3 - Port-security Ao �nal deste módulo, você será capaz de aplicar segurança de portas (Port-security) nas portas de um switch. Segurança de portas Neste vídeo, a partir de uma topologia que permita o emprego do recurso port-security, apresentaremos a configuração dos equipamentos. A camada de enlace e seus dispositivos são muitas vezes esquecidos quando falamos de segurança, porém relacionados a eles estão alguns dos ataques mais fáceis de serem aplicados, como aqueles relacionados à tabela MAC. Assim, é boa prática que as portas do switch (interfaces) sejam protegidas antes que ele seja implantado em produção. Protegendo as portas não utilizadas Um primeiro aspecto a ser considerado na segurança da camada 2 consiste em desativar todas as portas não utilizadas no switch. Desative todas as portas não utilizadas, executando o comando shutdown em cada porta ou em um range de portas. Por exemplo, considerando o cenário apresentado na imagem “cenário de VLAN com agregação de portas”, suponha que os switches SWA e SWB possuem 24 portas Ethernet 10/100 dividido em três VLANs, conforme apresentado na tabela a seguir. VLAN Portas por VLAN Portas utilizada por VLAN VLAN 20 Fa0/1 a Fa0/8 Fa0/1 a Fa0/4 VLAN 30 Fa0/9 a Fa0/16 Fa0/9 a Fa0/12 VLAN 40 Fa0/17 a Fa0/24 Fa0/17 a Fa0/21 Tabela: Distribuição das VLANs nos switches. João Francisco Antunes. Para desabilitar as portas não utilizadas, podemos usar as facilidades do comando (config)# interface range type module/first-number – last- number no modo de configuração global e em seguida executar o comando shutdown no modo de configuração da interface. A seguir, apresentamos os comandos para as portas não utilizadas associadas a VLAN 20 do switch SWA. TERMINAL Observe a saída do comando indicando a desativação das interfaces TERMINAL sw2(config)#interface range fa0/5-8 sw2(config-if-range)#shutdown %LINK-5-CHANGED: Interface FastEthernet0/5, changed %LINK-5-CHANGED: Interface FastEthernet0/6, changed %LINK-5-CHANGED: Interface FastEthernet0/7, changed %LINK-5-CHANGED: Interface FastEthernet0/8, changed 1 2 3 1 2 3 4 Implementando Port-security Acompanhe no vídeo o assunto que vamos estudar. Uma das ameaças mais comuns associadas à camada 2 é o ataque de inundação de endereços MAC, que visa sobrecarregar a tabela de endereços MAC do switch com MACs falsos, obrigando-o a inundar os frames unicast para todas as interfaces da rede, dando acesso aos atacantes a todo o tráfego válido da rede. A forma mais efetiva de mitigar essa ameaça é implementar o port- security, que limita o número de endereços MAC válidos permitidos para uma porta. Com ele, é possível configurar manualmente restrições ou permitir que o switch aprenda por si só um determinado número de endereços MAC de origem dos pacotes que entram na porta. Após implementado em uma porta, o switch compara o MAC de origem do pacote entrante com a tabela de MACs de origem do port-security. Caso o MAC entrante seja diferente da tabela, a ação tomada dependerá dos modos do port-security configurados. Para implementação do port-security, o comando switchport port- security deve ser executado no modo de configuração da interface ou de um range de interfaces, porém o port-security só pode ser executado 5 em portas de acesso ou portas trunk configuradas manualmente. Essa é uma característica importante dessa feature e que deve ser lembrada durante um eventual processo de Troubleshooting. Assim, antes de executar o comando switchport port-security, é necessário colocar as interfaces no modo acesso ou trunk manualmente. Por exemplo, para implementar o port-security nas interfaces ativas associadas a VLAN 20 do switch SWA, devem ser executados os seguintes comandos: TERMINAL Para verificar as configurações de segurança de uma determinada interface, execute o comando show port-security interface. Por exemplo, para exibir as configurações de segurança da porta do Fa0/1, execute o comando conforme apresentado a seguir. TERMINAL Observe, nesse momento apenas, que a segurança da porta está ativada. Atenção! SWA(config)# interface range fa0/1-4 SWA(config-if-range)# switchport mode access SWA(config-if-range)# switchport port-security SWA(config-if-range)# exit sw2# show port-security interface fa0/1 Port Security : Enabled Port Status : Secure-up Violation Mode: Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 0 Configured MAC Addresses : 0 Sticky MAC Addresses : 0 Last Source Address:Vlan : 0000.0000.0000:0 Security Violation Count : 0 1 2 3 4 5 1 2 3 4 5 6 7 8 9 10 11 12 13 14 Se uma porta está configurada como segura por meio do comando switchport port-security e mais de um dispositivo estiver conectado àquela porta, por exemplo, se esta porta estiver conectada a um HUB, a porta passará para o estado desabilitada por erro (error-disabled). Observe que o máximo de MAC Addresses permitido para essa configuração em particular é de apenas um único host. Con�gurações adicionais do port-security Acompanhe no vídeo o assunto que vamos estudar. Uma vez que o port-security esteja habilitado, outras especificações de segurança podem ser configuradas. São elas: Número máximo de Endereços MAC Para definir o número máximo de endereços MAC permitidos em uma porta, use o seguinte comando: switchport port-security maximum < value > no modo de configuração da interface. O valor padrão para esse parâmetro é 1 e o número máximo de endereços MAC é 8192. Endereços MAC O switch pode ser configurado manualmente com os endereços MAC de origem por meio do comando: switchport port-security mac-address < mac-address > executado no modo de configuração da interface, ou pode ser configurado para aprender dinamicamente os endereços MAC de origem até o valor máximo de endereços configurado para a porta e armazená-los na configuração em execução utilizando o comando: switchport port-security mac-address sticky também no modo de configuração da interface. Atenção! O comando switchport port-security por padrão configura o switch para aprender os endereços MAC de origem até o limite de endereços estabelecido, mas não os registra na configuração corrente do switch. Logo, se este for reiniciado, aprenderá novos endereços. Vencimento (Aging) É possível definir um prazo de validade para os endereços MAC registrados na tabela de endereços de origem (endereços seguros) definido tanto estática como dinamicamente pelo comando: switchport port-security aging { static | time < time > | tipo {absolute | inactivity}}. Os parâmetros para esse comando são descritos a seguir: Habilita o vencimento para endereços MAC configurados estaticamente nessa porta. Especifica o tempo em minutos (0 a 1440) para o vencimento dos endereços MAC configurados nessa porta. Tempo 0 indica que o vencimento está desativado para essa porta. Define que todos os endereços MAC configurados nessa porta expiram após o tempo especificado e são removidos da lista de endereços seguros. Define que os endereços MAC configurados nessa porta expiram somente se não houver tráfego de dados desses MACs pelo período especificado. Por exemplo, tomando como base o cenário da imagem “cenário de VLAN com agregação de portas”, para especificar para a interface Fa0/1 um número máximo de 2 MAC, sendo o MAC 000A.4101.2298 (Estação de trabalho RH2) estabelecido estaticamente e o outro endereço MAC possível aprendido dinamicamente e armazenado na configuração corrente, com vencimento de 12 horas, caso não haja tráfego proveniente do mesmo, devemos utilizar os seguintes comandos. TERMINAL static time < time > type absolute type inactivity SWA(config-if)# switchport port-security maximum 2 SWA(config-if)# switchport port-security mac-address SWA(config-if)# switchport port-security aging time SWA(config-if)# switchport port-security aging type 1 2 3 4 5 Para verificar as configurações de segurança da porta do Fa0/1, executamos o comando show port-security interface, cuja saída apresentamos a seguir. TERMINAL Observe os parâmetros aplicados e atente para o fato de que a saída Maximum MAC Addresses nos informa que o número máximo de MACs permitidos é dois, sendo que um já está configurado (MAC do PC RH2), restando apenas 1 MAC para completar. Modos de violação do port- security Acompanhe no vídeo o assunto que vamos estudar. SWA# show port-security interface fa0/1 Port Security : Enabled Port Status : Secure-up Violation Mode : Shutdown Aging Time : 720 mins Aging Type : inactivity SecureStatic Address Aging : Disabled Maximum MAC Addresses : 2 Total MAC Addresses : 1 Configured MAC Addresses : 1 Sticky MAC Addresses : 0 Last Source Address:Vlan : 0000.0000.0000:0 Security Violation Count : 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 Caso um endereço MAC de origem diferente daqueles especificados na tabela de endereços seguros chegue à porta segura e o número máximo permitido já tiver sido alcançado, haverá uma violação na porta. O switch tomará uma ação conforme o modo de violação definido para a porta. Os modos de violação são apresentados a seguir: A interface é imediatamente desabilitada por erro, o LED da porta é desativado e uma mensagem é enviada ao syslog e o contador de violação é incrementado. Para reabilitar a porta, o administrador deve inserir os comandos shutdown e no shutdown. A porta descarta pacotes com endereços de origem MAC desconhecidos até que sejam removidos endereços da tabela ou o valor máximo seja aumentado. Uma mensagem é enviada ao syslog e o contador de violação é incrementado. A porta descarta pacotes com endereços de origem MAC desconhecidos até que sejam removidos endereços da tabela ou o valor máximo seja aumentado, porém nenhuma mensagem é enviada ao syslog e o contador de violação não é incrementado. Para configurar o modo de violação em uma porta, execute o comando switchport port-security violation { protect | restrict | shutdown} no modo de configuração da interface. Por exemplo, para configurar a interface Fa0/1 do SWA do cenário proposto na imagem “cenário de VLAN com agregação de portas”, execute o seguinte comando: TERMINAL shutdown (default) restrict protect SWA(config-if)# switchport port-security violation r1 Em seguida, execute o comando show port-security interface para verificar as configurações de segurança da interface, cuja saída apresentamos a seguir. TERMINAL Observe que o modo de violação mudou de Shutdown para Restrict. Nessa condição, caso haja uma violação, a porta descarta pacotes com endereços de origem MAC desconhecidos até que sejam removidos endereços da tabela ou o valor máximo seja aumentado. Uma mensagem é enviada ao syslog e o contador de violação é incrementado. Além do status de segurança de uma porta específica, podemos verificar o status global de segurança das portas com o comando show port-security, cuja saída para o switch SWA do nosso cenário apresentamos a seguir. TERMINAL SWA# show port-security interface fa0/1 Port Security : Enabled Port Status : Secure-up Violation Mode : Restrict Aging Time : 720 mins Aging Type : inactivity SecureStatic Address Aging : Disabled Maximum MAC Addresses : 2 Total MAC Addresses : 1 Configured MAC Addresses : 1 Sticky MAC Addresses : 0 Last Source Address:Vlan : 0000.0000.0000:0 Security Violation Count : 0 SWA#show port-security Secure Port MaxSecureAdd CurrentAddr Secur (Count) (Count) (Coun ---------------------------------------------------- Fa0/1 2 1 0 Fa0/2 1 0 0 Fa0/3 1 0 0 Fa0/4 1 0 0 ---------------------------------------------------- 1 2 3 4 5 6 7 8 9 10 11 12 13 14 1 2 3 4 5 6 7 8 9 Podemos verificar as portas configuradas com port-security, seus contadores e as ações do modo de violação para cada uma delas. Também podemosver todos os endereços MAC seguros configurados manualmente ou aprendidos dinamicamente em todas as interfaces de switch por meio da execução do comando show port-security address no modo EXEC privilegiado, cuja saída apresentamos a seguir. TERMINAL Aqui podemos verificar os endereços MAC configurados ou aprendidos, além de qual interface e VLAN está associado. Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos? Questão 1 Qual seria o melhor plano de mitigação para evitar um ataque DoS pelo estouro da tabela de endereços MAC de um switch? A Desabilitar o DTP. B Desabilitar o STP. C Habilitar o port-security. sw2#show port-security address Secure Mac Address Tabl --------------------------------------------------- Vlan Mac Address Type ---- ----------- ---- 20 000A.4101.2298 SecureConfigured --------------------------------------------------- Total Addresses in System (excluding one mac per po Max Addresses limit in System (excluding one mac pe 1 2 3 4 5 6 7 8 9 10 11 12 Parabéns! A alternativa C está correta. Como o port-security limita os endereços MAC de origem que podem acessar uma determinada porta, essa é a forma mais efetiva de mitigar essa ameaça pelo estouro da tabela de endereços MAC. Questão 2 Você está configurando a segurança da porta em um switch Cisco. A política de segurança da empresa determina que, quando ocorrer uma violação, os pacotes com endereços de origem desconhecidos devem ser descartados, porém, nenhuma notificação deve ser enviada. Qual modo de violação deve ser configurado nas interfaces? Parabéns! A alternativa C está correta. Em um switch Cisco, uma interface pode ser configurada para um dos três modos de violação, protect, restrict e shutdown. No modo protect, os pacotes com endereços de origem desconhecidos são descartados até que sejam removidos endereços da tabela ou o valor máximo seja aumentado, porém nenhuma mensagem é enviada ao syslog e o contador de violação não é incrementado. No modo restrict, os pacotes com endereços de origem desconhecidos são descartados até que sejam removidos endereços da tabela ou o valor máximo seja aumentado, porém uma mensagem é enviada ao syslog e o contador de violação é incrementado. Já no modo D Desabilitar as portas físicas não utilizadas do switch. E Desabilitar as SVIs não utilizadas das VLANs. A Off B Restrict C Protect D Shutdown E Disable shutdown, a interface é imediatamente desabilitada por erro e o LED da porta é desligado. 4 - Solução de problemas Ao �nal deste módulo, você será capaz de aplicar técnicas de análise de falhas em switches. Troubleshooting Neste vídeo, apresentaremos a realização do diagnóstico de problemas fim a fim e sua solução. Resolver problemas na rede, também conhecido como Troubleshooting, não é mágica, nem sorte. Além de experiência, é necessária uma boa documentação, um bom conjunto de ferramentas e uma metodologia de análise e solução de problemas para garantir uma boa disponibilidade e confiabilidade da rede. Documentação da rede (gerenciamento da con�guração) A documentação da rede faz parte do gerenciamento da configuração e é um dos processos fundamentais da gerência de rede segundo a ISO e também na abordagem do Information Technology Infrastructure Library - ITIL®. Um bom conjunto básico da documentação da rede inclui: Diagramas de topologia física e lógica de rede. Um inventário dos dispositivos de rede que registra todas as informações pertinentes a eles. O registro da linha de base do desempenho da rede. Diagrama de topologia física A topologia da rede física mostra o layout físico dos dispositivos conectados, conforme apresentado na imagem a seguir. Diagrama de topologia física. Nela, podemos ver identificados como os dispositivos estão fisicamente conectados e sua localização na infraestrutura do lugar, sendo que as informações normalmente apresentadas na topologia física incluem pelo menos: Nome do dispositivo. Localização do dispositivo (endereço, andar, número da sala, localização do rack). Interface e portas usadas. Tipo de cabo. Diagrama de topologia lógica A topologia de rede lógica ilustra como os dispositivos são conectados logicamente à rede e normalmente dizem respeito a como os dados são transferidos pela rede, seus fluxos e conexões, conforme apresentado na imagem a seguir. Diagrama de topologia lógica. Nela, podemos ver que são utilizadas figuras para representar componentes de rede, como roteadores, switches, servidores e hosts e as conexões lógicas entre eles. As principais informações apresentadas em uma topologia lógica podem incluir o seguinte: Nome do dispositivo. Endereços IP. Identificadores de interface. Velocidades dos links, modos duplex. VLANs, troncos, EtherChannels etc. Gateway padrão e rotas. Inventário Para que possamos solucionar problemas de forma efetiva, é fundamental ter informações sobre os dispositivos da rede, incluindo hardware e software, e a base para isso é um bom inventário. É por meio dele que vamos conhecer todos os itens, suas configurações e características, sendo que cada dispositivo terá o seu próprio conjunto de dados. Sistemas modernos de gestão da infraestrutura de TI possuem uma Base de Dados de Configuração (CMDB, em inglês). Porém, até uma simples tabela pode resolver essa questão. Na tabela a seguir, há um exemplo de informações que podem ser registradas switches, para solução de problemas de redes. Dispositivo Fabricante Modelo Descrição SWL3 Cisco Catalyst 3550 Switch L3 Porta Descrição Acesso/Tronco VLAN Dispositivo Fabricante Modelo Descrição G0/1 Link SW2 Tronco 20, 30.40,50 G1/1 Link SW3 Tronco 20, 30.40,50 G2/1 Link RS Tronco 20, 30.40,50 Tabela: Tabela de informações Dispositivo - Switch. João Francisco Antunes. Linha de base (Baseline) Acompanhe no vídeo o assunto que vamos estudar. As redes são como as estradas, é através delas que a informação trafega. Assim como as estradas, ela pode apresentar problemas que podem ocasionar redução no fluxo de dados ou mesmo perda total ou parcial da informação. Algumas aplicações são sensíveis ao erro e outras ao tempo (jitter ou variação de atraso). O objetivo do monitoramento de rede é observar o desempenho da rede. É por meio da análise dos dados que podemos avaliar a qualidade de nossa rede, resolver problemas e prever melhorias. Mas, para que possamos fazer essa análise, é preciso um padrão de comparação, uma linha de base predefinida, que deve ser usada para estabelecer o desempenho normal em condições normais. Alguns aspectos do funcionamento da rede que podem ser observados pela linha de base são: Qual o desempenho geral da rede em operação normal? Se ocorrem e onde ocorrem erros? Onde e em que horários o tráfego da rede é mais intenso e onde a rede é menos utilizada? Quais dispositivos devem ser monitorados e quais limites de alerta devem ser definidos? Estabelecer a baseline inicial permite que se determine a diferença entre este e o comportamento corrente, conforme a rede cresce ou os padrões de tráfego mudam, caso contrário, não existiria nenhuma base para medir os níveis de tráfego de rede e de congestionamento. Além disso, também pode revelar áreas na rede que são subutilizadas, as mais congestionadas, direcionando os esforços de redesenho da rede, com base em observações de qualidade e capacidade. Para determinar a linha de base de desempenho da rede, devemos proceder à coleta de dados de desempenho das portas e dispositivos que são essenciais para a operação da rede. Porém, antes de efetivamente coletar os dados, alguns aspectos devem ser observados: Identi�car quais dados serão coletados A definição de quais dados coletar é muito importante, pois a seleção de muitas variáveis pode acarretarum volume de dados que tornará a análise inicial dos dados inviável. Por isso, recomenda-se começar com poucas variáveis e acrescentar mais ao longo do tempo. Um bom conjunto de variáveis iniciais pode incluir a utilização das interfaces, memória e CPU. Identi�car que dispositivos e portas serão selecionados Use a topologia da rede para identificar os dispositivos e portas onde os dados devem ser coletados. A imagem a seguir apresenta algumas portas de interesse assinaladas, com base na topologia lógica proposta na imagem “Topologia de análise de tráfego utilizando TAP”. Dispositivos e portas de interesse para coleta de dados. Dispositivos e portas de interesse incluem: Links de Tronco; EtherChannels; Servidores; e Interfaces externas (WAN/Internet). Determinar a duração da linha de base O período de tempo que as informações serão coletadas deve ser longo o suficiente para traçar uma imagem do funcionamento "normal" da rede, e também para determinar tendências do tráfego de rede. Dessa forma, além da monitoração diária do tráfego, são aconselháveis visões mais longas como semanal ou mensal, conforme mostrado na imagem a seguir. Duração da baseline para tráfego de rede. Duração da baseline para tráfego de rede. Duração da baseline para tráfego de rede. Duração da baseline para tráfego de rede. Existem ferramentas de monitoramento de rede como o NetFlow da Cisco ou baseadas nos protocolos SNMP, proprietárias ou de código aberto que ajudam muito e, em alguns casos, são essenciais nesse processo. Porém, comandos de documentação de rede simples podem ser muito úteis que incluem comandos como ping, traceroute e telnet, assim como show. Veja, a seguir alguns, comandos mais comuns do Cisco IOS usados para coleta de dados. Show version Exibe informações de tempo de atividade e versão do software e hardware do dispositivo. Show [ip | ipv6] interface [brief] Exibe todas as opções de configuração definidas em uma interface. Use [brief] para exibir somente se a interface está ativa ou não Up/Down e o endereço IP de cada interface. Show interfaces [tipo num] Exibe saída detalhada para cada interface. Para exibir a saída detalhada para apenas uma única interface, inclua o tipo de interface e número no comando (por exemplo, Gigabit Ethernet 0/0/0). Show [ip | ipv6] route [static | eigrp | ospf] Exibe a listagem de conteúdo da tabela de roteamento do dispositivo. Acrescentar static, eigrp f ibi ti d t ou ospf para exibir apenas esse tipo de rota. Show cdp neighbors detail Exibe informações detalhadas sobre os dispositivos vizinhos diretamente conectados. Show arp e show ipv6 neighbors Exibe o conteúdo da tabela ARP (IPv4) e da tabela de vizinhança (IPv6). Show running-con�g Exibe a configuração atual do dispositivo. Show vlan Exibe o status das VLANs em um switch. Show port Exibe o status das portas em um switch. Show tech-support Coletar informações sobre o dispositivo para fins de solução de problemas. Ele executa vários comandos show e os dados podem ser fornecidos para o suporte técnico ao relatar um problema. Metodologia de solução de problemas Neste vídeo, vamos explorar uma metodologia específica para solução de problemas em ambientes de rede de computadores. Aprenderemos técnicas para identificar e diagnosticar problemas de conectividade, desempenho e segurança. Um problema não se resolverá sozinho nem por mágica, é preciso que se tenha uma abordagem para atacá-lo, que deve ser guiada por métodos estruturados. Isso requer procedimentos de solução de problemas bem definidos e documentados para minimizar o tempo perdido associado à solução de problemas erráticos de acertos e falhas, isto é, uma metodologia para efetuar o diagnóstico e determinar a sua solução. Esse processo é normalmente conhecido pelo termo "troubleshooting". Existem várias metodologias para solução de problemas que podem ser aplicadas em quase todas as áreas do conhecimento humano. Quando estamos solucionando um ambiente de rede, uma abordagem sistêmica pode apresentar um melhor resultado. Definir os sintomas específicos, identificar todos os aspectos potenciais que possam estar causando os sintomas e eliminar sistematicamente cada uma das hipóteses em potencial (do mais provável ao menos provável) até os sintomas desaparecerem. A imagem, a seguir, apresenta detalhadamente o fluxograma do processo de solução de problemas, que pode ser adaptada para solução de qualquer problema específico em TI. Fluxograma para solução de problemas. A seguir, descrevemos brevemente cada uma dessas etapas. De�nir o problema Faça uma descrição clara do problema, para uma análise adequada, procure identificar os sintomas gerais. Eles podem aparecer de várias formas diferentes, incluindo alertas do sistema de gerenciamento de rede, mensagens do console e reclamações de usuários etc. Coletar informações Reúna as informações que você precisa para ajudar a isolar possíveis causas, entreviste os usuários afetados, administradores de rede, gerentes e outras pessoas que considere importantes nessa questão, os alvos (ou seja, hosts, dispositivos) a serem investigados devem ser determinados e o acesso aos mesmos deve ser obtido, procure identificar se houve alguma mudança efetuada na rede ou em serviços. Mudanças mal planejadas são estatisticamente grandes responsáveis por problemas. Analisar informações Ao analisar informações, determine possíveis causas que possam resultar nos sintomas observados. Por exemplo, um determinado serviço pode não estar respondendo a solicitações dos clientes (sintoma). Possíveis causas podem incluir um host configurado incorretamente, placas de interface ruins, um cabo desconectado ou partido ou falta de configuração de um roteador. Faça essa análise usando a documentação de rede e as linhas de base, procure utilizar também busca de bases de conhecimento organizacionais, pesquisa na Internet e conversa com outros técnicos. Eliminar possíveis causas Quando para os sintomas observados existirem várias causas possíveis, procure então reduzir a lista eliminando progressivamente possíveis causas procurando por aquelas mais prováveis. A experiência de solução de problemas é extremamente valiosa para eliminar rapidamente as causas e identificar a causa mais provável. Dependendo dos dados, você pode, por exemplo, no caso de um serviço que não responde, mas cujo host responde ao comando PING, eliminar o rompimento de um cabo como uma causa. Propor hipóteses Formule possíveis hipóteses com base na análise das informações e possíveis causas do problema da sua lista, para que você possa se concentrar nas hipóteses a respeito das causas mais prováveis. Em todas as oportunidades, tente restringir o número de possíveis causas para que você possa criar um plano de ação eficiente. Testar as hipóteses Antes de testar as hipóteses, avalie o que sua ação pode causar em outros sistemas com base na gravidade, urgência e o impacto. Às vezes, é possível criar uma solução alternativa até que o problema seja definitivamente resolvido. Em seguida, execute cada etapa com cuidado, testando cada hipótese planejada, anotando o resultado, e verificando se o sintoma desaparece. Faça testes complementares para ter certeza de que isolou uma única causa para o problema. Crie um plano de retorno para reverter rapidamente a solução em caso de falha. Se o problema não tiver sido resolvido, você deve elaborar novas hipóteses e definir um novo plano de ação. Obtenha novas informações mais detalhadas e reinicie o processo até que o problema seja resolvido. Documentar o problema Caso o problema tenha sido resolvido, documente a solução no catálogo de problemas, efetue atualização de possíveis mudanças de configuração no banco de dados de configuração CMDB e encerre o problema. Ferramentas de solução de problemas Neste vídeo, vamos explorar diversas ferramentas essenciais para solução deproblemas em ambientes de rede de computadores. Aprenderemos sobre softwares de monitoramento, diagnóstico de conectividade, análise de tráfego e segurança da rede. Ferramentas são fundamentais para qualquer profissão. O que seria um mecânico sem suas chaves, ou um eletricista sem seus instrumentos? Na solução de problemas de redes não é diferente. Para coletar, diagnosticar e resolver problemas, necessitamos delas, desde as mais simples às mais complexas. Nossas ferramentas são a extensão de nós mesmos e escolher boas ferramentas é dar um grande passo para eficácia e eficiência profissional. Aqui, vamos conhecer algumas dessas ferramentas. Sistemas de gerenciamento de rede Sistemas de gerenciamento de redes (NMS – Network Management System) são uma coleção de ferramentas integradas, baseadas principalmente no protocolo SNMP, desenvolvidas com o objetivo de monitorar, analisar e prover mecanismos para a detecção e correção de problemas na rede de forma reativa ou proativa. Há uma variedade de ferramentas tanto proprietárias como de código aberto disponíveis, entre elas, podemos citar o Cacti, o Zabbix e o Nagios. Apresentam geralmente uma interface gráfica que possibilita a execução de forma amigável das operações de gerenciamento. Por estarem associadas a sistemas de gerenciamento de banco de dados SGBD, permitem o armazenamento de dados, o que possibilita a apresentação na forma de gráficos da evolução dos parâmetros da rede. Bases de conhecimento As bases de conhecimento on-line tornaram-se fontes indispensáveis de informação, elas podem ser mantidas pelos fabricantes ou pela comunidade de usuários ou profissionais. Quando combinadas com os mecanismos de busca da Internet, temos acesso a um vasto conjunto de informações baseadas na experiência de uma infinidade de profissionais. Analisadores de protocolo Analisadores de protocolo permitem investigar o conteúdo dos pacotes (PDUs) que trafegam pela rede, possibilitando analisar as várias camadas de uma pilha de protocolos e apresentando essas informações em um formato relativamente fácil de usar. A imagem, a seguir, apresenta uma captura de tela do analisador de protocolo Wireshark. Nela, além da tela de captura, vemos a tela com os detalhes de um dos pacotes capturados. Tela de captura analisada de protocolo Wireshark. Ferramentas simples de diagnóstico São utilitários dos sistemas operacionais que podem ser utilizados no diagnóstico de problemas de conectividade, roteamento e de atraso (retardo) ou de configuração da rede, mas também fornecem informações como o estado de um link (Ativado ou Desativado – Up/Down); dentre elas, podemos destacar o PING e TRACEROUTE, entre outras. Ferramentas de Log Registros de log são uma ferramenta fundamental de coleta de informação, análise e resolução de problemas. Em geral, todos os dispositivos de rede podem registrar informações referentes a alterações de configuração, violações, status e muitos outros tipos de eventos. Os dispositivos da Cisco podem enviar mensagens de log com base em vários eventos e podem ser enviadas tanto para o console, onde são ativadas por padrão, como configuradas para serem enviadas ao terminal. Essas mensagens só podem ser visualizadas por alguém conectado ao console ou via terminal respectivamente. Além disso, podem ser armazenadas em buffer na memória (Buffered logging) do dispositivo ou através de Traps SNMP e Syslog. O Syslog é um padrão criado pela IETF através da RFC 5424 para a transmissão de mensagens de log para o conjunto de protocolos DoD-TCP/IP. O padrão determina a existência de clientes e servidores Syslog que se comunicam através do protocolo UDP 514 ou TCP 6514 para implementações utilizando TLS. Cada mensagem tem um indicador de nível de gravidade, sendo estes descritos na tabela a seguir. Os valores de gravidade devem estar no intervalo de 0 a 7, inclusive, onde os menores valores indicam maior gravidade. Nível Descrição 0 Emergência: o sistema está inutilizável 1 Alerta: ação deve ser tomada imediatamente 2 Crítico: condições críticas 3 Erro: condições de erro 4 Aviso: condições de aviso 5 Aviso: condição normal, mas significativa 6 Informativo: mensagens informativas 7 Depuração: mensagens no nível de depuração Tabela: Níveis de gravidade para mensagens Syslog RFC 5424, DATATRACKER, 2009. Os roteadores e switches da Cisco podem encaminhar mensagens syslog para um serviço externo residindo em servidores ou estações de trabalho, inclusive em sistemas baseados em Microsoft Windows e Linux. A capacidade de centralizar logs em um Servidor syslog é muito útil na identificação e solução de problemas. Entretanto, isso pode acarretar em um volume de dados muito além da capacidade de armazenamento e de difícil análise. O comando logging trap < nível_de _gravidade > limita as mensagens registradas no servidor syslog, registrando apenas as mensagens iguais ou numericamente inferiores ao nível especificado. Os comandos a seguir configuram um dispositivo para enviar mensagens para um servidor syslog com endereço 192.168.100.100 e nível de gravidade 5. "" TERMINAL Ferramentas de solução de problemas de hardware Muitas vezes, necessitamos investigar problemas no hardware dos dispositivos ou até mesmo nos cabos. Para isso, precisamos de ferramentas apropriadas. Dentre elas, podemos listar os multímetros digitais usados para medir diretamente valores de tensão, corrente e resistência, os testadores de cabo que são usados para detectar fios partidos, conexão cruzada, fora dos padrões de extensão e conexões combinadas de forma inadequada. Outros mais complexos, como os TDRs – reflectômetros de domínio do tempo – podem determinar a distância para uma quebra no cabo. Esses dispositivos enviam sinais ao longo do cabo e esperam até que eles sejam refletidos, determinando pelo tempo desde a saída até o retorno do sinal a distância. A variação desses equipamentos para fibra ótica são chamados de OTDRs – reflectômetros ópticos no domínio do tempo. SWL3(config)#logging host SWL3(config)#logging host 192.168.100.100 SWL3(config)#logging trap 5 SWL3(config)#logging on SWL3(config)#exit 1 2 3 4 5 6 Problemas e causas comuns de problemas de rede Neste vídeo, vamos explorar os problemas mais comuns que podem afetar ambientes de rede de computadores. Aprenderemos a identificar e diagnosticar questões relacionadas à conectividade, desempenho, segurança e configurações inadequadas. Discutiremos as causas raiz por trás desses problemas e apresentaremos soluções práticas para resolvê-los. Prepare-se para aprimorar suas habilidades na administração de redes e garantir o pleno funcionamento e segurança do ambiente de TI. Os sintomas de um problema são como percebemos a existência do problema. Sintomas típicos de problemas podem estar relacionados ao desempenho da rede, isto é, existe uma diferença entre o comportamento esperado – linha de base e o comportamento observado– ou um segmento da rede não está funcionando mesmo, ou, ainda, um determinado serviço aparece indisponível. Assim como o funcionamento da rede, os problemas também podem ser organizados com base nos modelos OSI ou DoD-TCP/IP. A seguir, apresentamos uma relação de problemas distribuídos por cada camada do modelo DoD-TCP/IP. Camada física Cabo rompido ou danificado, conector defeituoso ou mal instalado, descasamento de modo e/ou velocidade de operação, equipamento de interconexão (switches ou roteadores) defeituosos, placa de rede ou porta de equipamento de interconexão defeituoso, interferência no cabo, saturação de banda em segmentos Ethernet compartilhados, tipo errado de cabo e violação de regras de cabeamento Ethernet. Camada de enlace Interface desabilitada, problema com árvore de cobertura, saturação de recursos devido a excesso d d d dif ã t d lh i t Há várias abordagens estruturadas de solução de problemas, cada uma delas tem suas vantagens e desvantagens,qual usar vai depender da situação. A seguir, apresentamos algumas dessas abordagens. de quadros de difusão, tempo de envelhecimento de tabelas de endereços inadequado e validade da cache ARP inadequada. Camada de rede Tabela de rotas de hospedeiros incorretas, endereço IP de hospedeiro incorreto, hospedeiro com máscara de rede incorreta, cliente DNS mal configurado, servidor DHCP mal configurado, rotas estáticas mal configuradas, equipamento inserido em VLAN incorreta, VLANs não estão configuradas e computadores não conseguem trocar informações sobre VLANs entre si. Transporte Serviço não habilitado ou não iniciado automaticamente, serviços alocados em portas não padronizadas, portas configuradas erradamente no cliente e firewall bloqueando as portas do serviço. Aplicação O serviço de nomes não está habilitado; DNS: descasamento de registros A e PTR em arquivos de zonas; inconsistência entre registros dos servidores DNS primário e secundários; o TTL default de uma zona DNS não está configurado; DNS: TTL e outros campos do registro SOA com valores inadequados; falta “.” após nomes totalmente qualificados em registros DNS; filtro IP barrando tráfego DNS e servidor de correio eletrônico com repasse totalmente aberto. Bottom-up (de baixo para cima) Nessa abordagem, você começa testando as hipóteses relacionadas com a camada física da rede e sobe pelas camadas do modelo OSI até que a causa do problema seja identificada. Deve ser utilizada quando as hipóteses mais prováveis indicam problemas nas camadas inferiores do modelo OSI. Ao contrário da primeira, nessa abordagem, iniciamos testando as hipóteses relacionadas com as camadas superiores, isto é, os aplicativos cliente e servidores e descemos as camadas até que a causa do problema seja identificada. Nessa abordagem, um problema grande pode ser dividido em problemas menores cujas hipóteses podem ser testadas em conjunto. Por exemplo, um problema de desempenho de uma aplicação pode ser dividido em problemas de desempenho do servidor, da rede e do cliente, e cada um deles ser atacado de forma independente. Normalmente utilizado em problemas de conectividade, aqui mapeia-se o caminho do tráfego entre origem e destino e identificando links e dispositivos, e aplica-se às hipóteses para cada elemento, desde a origem até o destino ou do destino até a origem. Identi�cação e solução de problemas de conectividade �m a �m O diagnóstico e a solução de problemas são habilidades essenciais para os analistas de rede, que requerem, além de prática, boas ferramentas. Experiência e uma abordagem estruturada ajudam a reduzir o tempo necessário. Mas, lembre-se de que não existe uma receita única a ser aplicada. Aqui, vamos utilizar algumas abordagens e ferramentas para Top-down (de cima para baixo) Dividir para conquistar Seguir o caminho (ou a trilha) diagnosticar e também resolver problemas comuns de conectividade entre dois pontos da rede. Tome como base a topologia apresentada na imagem a seguir. Topologia para solução de problemas de conectividade fim a fim. Nela, podemos imaginar que o PC RH3 não consegue acessar o servidor SRV1. Para esse problema, vamos utilizar as abordagens Bottom-up associada à abordagem Seguir o caminho, pois vamos investigar o caminho do fluxo testando das camadas inferiores do modelo OSI. Inicialmente, necessitamos confirmar o sintoma de falta de conectividade e mapear o caminho entre a origem e o destino, identificando o setor da rede a partir do qual a conectividade se interrompe. Para isso, podemos utilizar os comandos ping e traceroute (tracert para Windows). Procure identificar se o problema ocorre apenas nessa máquina ou em outras máquinas da rede. Verifique também se outras máquinas de outras redes conseguem acessar o mesmo recurso e se o setor de interrupção é o mesmo para todas as redes. Uma vez que o sintoma tenha sido confirmado pelo utilitário ping e em função do setor da rede determinado pelo traceroute, podemos seguir os seguintes passos: Passo 1 Determine a conectividade física no setor onde a conectividade está interrompida, além de verificar cabos e conectores com testadores e demais ferramentas de hardware. Em seguida, verifique os parâmetros de configuração das interfaces dos dispositivos conectados ao meio físico. O comando show interfaces [tipo num] apresenta saída detalhada para cada interface, cuja saída para a interface Fa0/1 do switch SWL3 apresentamos a seguir: TERMINAL SWL3#show interfaces fa0/1 FastEthernet0/1 is up, line protocol is up (connec Hardware is Lance, address is 0060.2fd1.4301 (bia Description: Link para R1 MTU 1500 bytes, BW 100000 Kbit, DLY 1000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) 1 2 3 4 5 6 7 8 Verifique se a interface está ativa (Up), assim como o protocolo de linha (Up), isso indicará que a conectividade física foi estabelecida. Verifique também a configuração do modo duplex da interface (Half/Full duplex), interfaces pares como modos duplex diferentes apresentarão problemas de conectividade. Atente para erros de entrada e saída assim como as filas correspondentes, excesso de erros pode indicar problemas no cabeamento ou interferência, filas muito grandes podem indicar problemas de performance. Por fim, podemos utilizar os comandos show processes e show memory para verificar a alta utilização de CPU e memória do dispositivo. Passo 2 Uma vez verificada a integridade da camada física, podemos analisar aspectos relacionados à camada de enlace do modelo OSI, verificando as configurações de VLAN e tabelas ARP dos dispositivos. Nas estações de trabalho Windows, podemos verificar a tabela ARP com o comando arp -a, e para a tabela vizinhança IPv6 do Windows, o comando netsh interface ipv6 show neighbor atentando, principalmente, para a configuração correta para o MAC do roteador padrão, que no caso do IPv6 deve estar associado ao endereço IPv6 de link local da interface do roteador. A seguir, apresentamos a saída desses comandos para o PC RH3. TERMINAL Atente para os endereços do default gateway para IPv4 e IPv6 estarem definidos em ambas as saídas respectivamente. Full-duplex, 100Mb/s input flow-control is off, output flow-control is ARP type: ARPA, ARP Timeout 04:00:00 Last input 00:00:08, output 00:00:05, output hang Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); T C:\>arp -a Internet Address Physical Address Type 192.168.20.1 000d.bd9e.de01 dynamic … C:\> netsh interface ipv6 show neighbor Internet Address Physical Address -------------------------------------------- ------ fe80::9657:a5ff:fe0c:5b02 94-57-a5-0c-5b-02 2001:DB8:0:20::1 000d.bd9e.de01 … 9 10 11 12 13 14 1 2 3 4 5 6 7 8 9 10 11 No caso de switches, a tabela ARP e a tabela vizinhança IPv6 podem ser obtidas pelos comandos show mac address-table e show ipv6 neighbors, respectivamente apresentados a seguir. TERMINAL Outra possibilidade a ser investigada é a configuração das VLANs e as atribuições de porta. O comando show vlan e o comando show interfaces trunk podem ser usados para validar atribuições de VLAN em um switch. TERMINAL Passo 3 Se todos os parâmetros de configuração e estados relacionados às VLANs, portas e endereçamento MAC estiverem corretamente configurados, devemos investigar as questões relacionadas à camada 3, isto é, relacionados ao endereçamento IP e tabelas de rota dos dispositivos. Se um host não está configurado corretamente com seu endereço IP, máscara de rede e default gateway, ou se os roteadores no caminho não possuem as rotas estabelecidas corretamente, os pacotes SWL3# show mac address-table Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ------------------- ----- 20 0010.11e8.d919 DYNAMIC Gig0/2 30 0010.11e8.d919 DYNAMIC Gig0/2 40 0010.11e8.d919 DYNAMIC Gig0/2 50 0010.11e8.d919 DYNAMIC Gig0/2 SWL3#show ipv6 neighbors IPv6 Address Age Link-layer 2001:DB8:0:20::11 0 0040.0B7E. sw3#show vlan VLAN Name Status Ports ---- -------------------------------- --------- -- 1 default active 20 RH active Fa Fa 30 Dev active Fa Fa 40 Ops active Fa Fa 50 Voz active Fa Fa Fa Fa 1 2 3 4 5 6 7 8 9 10 11 12 13 14 1 2 3 4 5 6 7 8 9 10 11 12 13 14 IP não poderão trafegar da origem até o destino, indicando um problema de conectividade. Em uma estação de trabalho Windows, execute os comandos ipconfig /all e route print para verificar as configurações de endereçamento dessa estação e sua tabela de rotas respectivamente. A seguir, apresentamos a saída do comando ipconfig /all executado no PC RH3. TERMINAL Para verificar as atribuições de endereço IPv4 e IPv6 para as interfaces de switch L3 ou de um roteador, podemos utilizar os comandos show ip interface brief e show ipv6 interface brief, respectivamente. A saída desses comandos para o switch L3 SWL3 é apresentada a seguir. TERMINAL Já para verificar as rotas, podemos utilizar os comandos show ip route e show ipv6 route para rotas IPv4 e IPv6 respectivamente, cujas saídas para o switch L3 SWL3 apresentamos a seguir. TERMINAL C:\>ipconfig /all FastEthernet0 Connection:(default port) Connection-specific DNS Suffix..: Physical Address............ : 0040.0B7E.86E1 Link-local IPv6 Address : FE80::240:BFF:FE IP Address...................... : 192.168.20.1 Subnet Mask.................... : 255.255.255. Default Gateway................ : 192.168.20.1 DNS Servers..................... : 192.168.100. DHCP Servers.................... : 192.168.10.1 DHCPv6 Client DUID............. : 00-01-00-01- SWL3#show ip interface brief Interface IP-Address OK? FastEthernet0/1 192.168.10.2 YES FastEthernet0/2 unassigned YES … Vlan20 192.168.20.1 YES Vlan30 192.168.30.1 YES Vlan40 192.168.40.1 YES Vlan99 192.168.99.254 YES Vlan100 192.168.100.1 YES SWL3#show ipv6 interface brief FastEthernet0/1 [up/up] FE80::12 1 2 3 4 5 6 7 8 9 10 11 12 13 14 1 2 3 4 5 6 7 8 9 10 11 12 13 14 Passo 4 Se a camada de rede funciona conforme esperado, mas os sintomas ainda persistem, devemos começar a investigação das camadas superiores, começando pela camada de transporte. Nessa camada, devemos verificar se os serviços estão disponíveis nas portas esperadas. Uma ferramenta simples utilizada para testar a camada de transporte é o utilitário telnet. Apesar do telnet utilizar a porta 23, ele também pode ser utilizado para testar outros serviços cujas mensagens são baseadas em texto, como, por exemplo, a porta 80 (HTTP), como mostrado a seguir. TERMINAL Além do teste de conexão com o serviço utilizando as portas TCP ou UDP, podemos verificar se não há nenhuma regra de bloqueio em uma ACL (lista de acesso) de um roteador ou até mesmo um firewall. Para verificar a existência de ACL, podemos utilizar os comandos show ip access-list e show ipv6 access-list respectivamente para IPv4 e IPv6. Passo 5 SWL3#show ip route Codes: C - connected, S - static, I - IGRP, R - RI D - EIGRP, EX - EIGRP external, O - OSPF, IA - O N1 - OSPF NSSA external type 1, N2 - OSPF NSSA e E1 - OSPF external type 1, E2 - OSPF external ty i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level- * - candidate default, U - per-user static route P - periodic downloaded static route Gateway of last resort is 0.0.0.0 to network 0.0.0 C 192.168.10.0/24 is directly connected, FastEther C 192.168.20.0/24 is directly connected, Vlan20 C 192.168.30.0/24 is directly connected, Vlan30 C 192.168.40.0/24 is directly connected, Vlan40 C 192.168.100.0/24 is directly connected, Vlan100 SWL3# telnet 192.168.100.100 80 Trying 192.168.100.100, 80 ... Open ^C HTTP/1.1 400 Bad Request Date: Mon, 04 Nov 2019 12:34:23 GMT Server: cisco-IOS Accept-Ranges: none 400 Bad Request [Connection to 192.168.100.100 closed by foreign ho 1 2 3 4 5 6 7 8 9 10 11 12 13 14 1 2 3 4 5 6 7 8 9 10 Uma vez que a conexão com o serviço pode ser testada, o próximo passo diz respeito à camada de aplicação. Nessa camada, são muito comuns problemas relacionados ao DNS. O DNS é um serviço baseado em um banco de dados distribuído cuja função é mapear nomes de domínio em endereços IPv4 ou IPv6. Para verificar a configuração de DNS em um host Windows, execute o comando ipconfig /all, cuja saída para o PC RH3 apresentamos a seguir. TERMINAL Caso todos os itens de conectividade estejam configurados e testados corretamente, outros aspectos relacionados à aplicação em si, que estão fora do escopo deste módulo, devem ser verificados. Passo 6 Após a resolução do problema, documente a solução alcançada no seu catálogo de problemas, registre os sintomas, os sinais, os testes realizados e os procedimentos de correção. Assim, no futuro, você mesmo ou outros analistas contarão com esse conhecimento para ajudá-los na solução de problemas similares ou até mesmo novos problemas. Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos? Questão 1 Os diagramas de topologia fazem parte de um bom conjunto básico da documentação da rede. Sobre eles, são apresentadas as afirmativas a seguir: C:\>ipv6config FastEthernet0 Connection:(default port) Connection-specific DNS Suffix..: Physical Address................ : 0040.0B7E.86 Link-local IPv6 Address......... : FE80::240:BF IPv6 Address.................... : 2001:DB8:0:2 Default Gateway................. : 2001:DB8:0:2 IP Address..................... : 192.168.20.1 Subnet Mask..................... : 255.255.255. Default Gateway................. : 192.168.20.1 DNS Servers..................... : 2001:DB8:0:1 : 192.168.100. DHCP Servers.................... : 192.168.10.1 1 2 3 4 5 6 7 8 9 10 11 12 13 14 1. Os diagramas de topologia física mostram a ordem em que os hosts acessam a rede. 2. Os diagramas de topologia física definem como hosts e dispositivos de rede se conectam à LAN. 3. Ele descreve se a LAN é uma rede de transmissão ou passagem de token. 4. Os diagramas de topologia lógica descrevem o esquema de endereçamento que é empregado na LAN. Assinale a opção que apresenta apenas afirmativas verdadeiras. Parabéns! A alternativa E está correta. O diagrama de topologia física mostra o layout físico dos dispositivos conectados, nele podemos ver identificados como os dispositivos estão fisicamente conectados e sua localização na infraestrutura do lugar. Já o diagrama de topologia lógica ilustra como os dispositivos são conectados logicamente à rede e normalmente dizem respeito a como os dados são transferidos pela rede e seus fluxos, conexões e endereços. Questão 2 Você está atendendo a um chamado para solucionar um problema de rede. No seu primeiro teste, pode executar ping com êxito entre os dois dispositivos relacionados. Porém, o Telnet na porta de destino entre os mesmos dois dispositivos não funciona. Em qual camada domodelo DoD-TCP/IP você deve direcionar sua análise? A Apenas 1 e 2. B Apenas 2 e 3. C Apenas 3 e 4. D Apenas 1 e 4. E Apenas 2 e 4. A Aplicação Parabéns! A alternativa C está correta. O acesso às portas dos serviços via Telnet é feito através do socket (IP:Porta). O endereçamento de portas é uma funcionalidade da camada de transporte. Como o comando telnet não foi bem sucedido, é nessa camada que você deve concentrar seus esforços para solucionar o problema. Considerações �nais Em uma arquitetura baseada em switches multicamadas com VLANs, alguns aspectos de configuração mais avançados devem ser observados. Prover redundância e largura de banda para os links de tronco é um aspecto importante a se observar. Agregar várias portas físicas em um canal lógico – Etherchannel – permite escalar o tráfego e proporcionar sobrevida às instalações. Outro aspecto muito importante diz respeito à segurança. Proteger a camada de enlace de ataques de spoofing (falsificação) é vital. Vimos, nesse contexto, mecanismos como o port security, que protege a rede contra a conexão indevida de equipamentos, e o SPAN – Switched Port Analyzer, que possibilita inspecionar o tráfego da rede. Por fim, vimos os principais aspectos relacionados à capacidade de identificar, analisar e corrigir falhas. A solução de problemas de redes é uma competência fundamental para os analistas de rede. Um bom conjunto de documentação e ferramentas associadas a uma metodologia de análise e solução de problemas com técnicas de “troubleshooting” permite a solução rápida de incidentes e problemas, aumentando a disponibilidade da rede. B Rede C Transporte D Acesso à rede E Física Podcast Para encerrar, ouça sobre os assuntos mais importantes para um analista e administrador de redes. Explore + Pesquise pelo livro Melhores Práticas para Gerência de Redes de Computadores (2003), de Raquel Lopes, Jacques Sauvé e Pedro Nicolletti, da editora Campus, disponível gratuitamente na Internet, que aborda a metodologia para identificação e solução de problemas nas várias camadas do modelo OSI. Pesquise a base de conhecimento da Cisco em português, em site próprio. Ela fornece ferramentas que podem ser usadas para diagnosticar e resolver problemas de hardware e software da Cisco. Referências CISCO SYSTEMS. Internetworking Troubleshooting Handbook. 2. ed. Chapter 1 - Troubleshooting Overview. Consultado na Internet em: 03 jun. 2022. CISCO SYSTEMS. Internetworking Troubleshooting Handbook. 2. ed. Chapter 2 - Troubleshooting Tools. Consultado na Internet em: 03 jun. 2022. CISCO SYSTEMS. Internetworking Troubleshooting Handbook. 2. ed. Chapter 3 - Troubleshooting Hardware and Booting Problems. Consultado na Internet em: 03 jun. 2022. CISCO SYSTEMS. Internetworking Troubleshooting Handbook. 2. ed. Chapter 4 - Troubleshooting Ethernet. Consultado na Internet em: 03 jun. 2022. CISCO SYSTEMS. Internetworking Troubleshooting Handbook. 2. ed. Chapter 7 - Troubleshooting TCP/IP. Consultado na Internet em: 03 jun. 2022. IETF, RFC 5424. The Syslog Protocol. Publicado em: mar. 2009. Consultado na Internet em: 03 jun. 2022. LOPES, R. V. et al. Melhores Práticas para Gerência de Redes de Computadores. Rio de Janeiro: Campus, 2003. Material para download Clique no botão abaixo para fazer o download do conteúdo completo em formato PDF. Download material O que você achou do conteúdo? Relatar problema javascript:CriaPDF()
Compartilhar