seguranca revisao packet tracer e acl

Prévia do material em texto

Tutorial Packet Tracer 
 
 
 
 
 1. Se você clicar duas vezes no dispositivo, a tela de configuração abrirá. 
2. No caso dos roteadores, é possível fazer as configurações físicas das 
interfaces. 
3. É preciso desligar o roteador para configurá-lo fisicamente. 
4. Em seguida, selecione o tipo de interface no painel, arraste-o e coloque-o 
no encaixe do roteador. 
5. Depois, ligue novamente o dispositivo. 
 
É possível realizar as configurações básicas a partir da aba Config. 
Configurações avançadas devem ser feitas na Command Line Interface (CLI). 
 
Configuração da interface FastEthernet 
Observe que o painel inferior apresenta os comandos executados no S.O. do 
roteador. 
 
A console de comandos pode ser acessada para a configuração dos parâmetros 
do roteador. 
 
Configuração da interface Serial0/0 do Roteador 0
 
Configuração da interface FastEthernet do Roteador 1
 
Configuração da interface Serial0/0 do Roteador 1
 
 
 
Configurações nos hosts (computadores) a partir das abas Physycal, Config e 
Desktop
 
Configurações de endereçamento
 
Opções de configuração da aba Desktop
 
Acesso à opção IP Configuration
 
Acesso à opção Command Prompt
 
Configuração do protocolo de roteamento dinâmico RIP no Roteador 0 a partir 
da Command Line Interface 
 
Configuração do protocolo de roteamento dinâmico RIP no Roteador 1 a partir 
da Command Line Interface 
 
Testando a configuração das rotas
 
Salvando as configurações do roteador no arquivo de inicialização (gravar na 
flash) 
 
Utilizando o modo de simulação
 
Utilizando o modo de simulação 
Clique na lupa e, depois, no pacote. Assim, será possível verificar o conteúdo 
da PDU. 
 
 
 
Ao continuar a simulação, o pacote será entregue ao destino. 
 
 
 
Examinando o pacote em Router 0
 
PDU’s em Router 0 
 
 
 
Topologia de redes
 
Você pode optar por construir esta topologia ou utilizar o arquivo Packet 
Tracer (PKT) já pronto. Se escolher a primeira opção, utilize os seguintes 
dados... 
PC0: Endereço IP: 192.10.10.1 Máscara: 255.255.255.0 Default Gateway: 
192.10.10.254 
PC1: Endereço IP: 192.10.10.2 Máscara: 255.255.255.0 Default Gateway: 
192.10.10.254 
PC2: Endereço IP: 192.11.11.1 Máscara: 255.255.255.0 Default Gateway: 
192.11.11.254 
PC3: Endereço IP: 192.11.11.2 Máscara: 255.255.255.0 Default Gateway: 
192.11.11.254 
Router 0: Interface esquerda: Endereço IP: 192.10.10.254 Máscara: 
255.255.255.0 
 Interface direita: Endereço IP: 192.11.11.254 Máscara: 
255.255.255.0 
 
Etapa 1: Dar um ping 
I. Clique no envelope fechado que existe na aba direita da 
interface: 
 
 
 
II. Agora, com o envelope selecionado, dê um clique no PC0 e outro no PC1: 
 
Dessa forma, você fará um ping entre o PC0 e o PC1. Se a configuração estiver 
correta, deverá aparecer Sucessfull no canto inferior direito: 
 
III. Repita a operação entre o PC2 e o PC3. Se, no passo II ou III, não aparecer 
Successfull, verifique a configuração dos endereços IP. 
IV. Repita a operação entre o PC0 e o PC2. Na primeira tentativa, deverá falhar 
e, na segunda, funcionar. Em caso negativo, reveja a configuração do Router 0. 
V. Após funcionar, clique em Delete para limpar a lista de eventos: 
 
Etapa 2: Alternar entre modos tempo real e simulação 
I. Localize a palavra Realtime no canto inferior direito da interface do PKT. 
Nesse modo, a rede está sempre em execução como uma rede real – 
independente de trabalhar nela ou não. Suas configurações são feitas em tempo 
real, e a rede responde quase da mesma forma: 
 
II. Clique na guia diretamente atrás da Realtime, a fim de alternar para o modo 
Simulation. Neste, você pode ver sua rede ser executada em um ritmo mais 
lento, observando os caminhos que os dados percorrem e inspecionando os 
pacotes de dados em detalhes: 
III. Observe a lista de protocolos e clique em Show All/None (ela deve ficar 
vazia): 
IV. Clique, agora, em Edit Filters: 
 
V. Na caixa aberta, escolha IPv4/ICMP: 
 
VI. Na lista de protocolos, aparecerá apenas ICMP. 
VII. Realize um novo ping entre PC0 e PC2. Logo, aparecerá um pacote em 
PC0 e na lista de eventos (a cor do pacote pode variar a cada execução): 
 
VIII. No painel de simulação, clique em Auto Capture/Play. Você deve vê-lo, 
agora, viajando entre os dispositivos: 
 
IX. Clique em Auto Capture/Play novamente para pausar a simulação. 
X. Após a conclusão da simulação, clique em Delete e limpe a lista de eventos: 
 
XI. Realize um novo ping entre PC0 e PC2. Logo, aparecerá novamente um 
pacote em PC0 e na lista de eventos: 
 
XII. Clique em Capture/Forward para avançar a simulação. Em seguida, clique 
no botão mais algumas vezes para observar o efeito: 
 
Etapa 3: Verificar o conteúdo do pacote. I. Na topologia de rede à esquerda, 
clique no envelope que está sendo movido em um dispositivo intermediário e 
investigue o que está dentro dele: 
 
II. Clique na tab OSI Model e observe que, no Switch, somente há informações 
de duas camadas. Já quando você seleciona o pacote no Router, há três 
camadas. 
III. Clique nas guias Inbound PDU Details e Outbound PDU Details, e note 
que, nelas, aparecem os cabeçalhos dos protocolos 
Por fim, conheça os passos para construir a Topologia de redes. 
 
 Agora que teve a oportunidade de explorar a rede representada no PKT, você 
pode ter adquirido algumas habilidades que gostaria de testar ou talvez queira 
entendê-la mais detalhadamente. 
 
 Se a maior parte do que viu e praticou nessa interface está além de seu nível 
de conhecimento, lançamos, aqui, alguns desafios a você. Não se preocupe se 
não puder vencer todos. Você será um usuário master e um projetista de rede 
do PKT em breve! 
Redes Convergentes / Aula 6 - Roteamento em uma rede IP 
Introdução 
Quando desejamos sair de um host para outro que se localiza em outra rede, 
necessitamos encontrar o caminho para isso. Essa atividade é chamada 
de roteamento. 
Mas como saber a qual rede o host pertence? O suporte a essa verificação é 
provido pelo endereço IP, que também será objeto de estudo desta aula. 
Aqui, definiremos, ainda, as VLAN’s e entenderemos como ocorre o roteamento 
entre elas. 
 
Camada de redes 
 
A camada de redes é responsável pelo roteamento, ou seja, por encontrar 
o caminho (rota) entre o nó ou host de origem e o nó ou host de destino. 
 
É nessa camada que encontramos o protocolo IP e seu esquema de endereçamento, que nos 
permite determinar não somente o endereço do host mas também a rede a que ele pertence. 
O nível de rede provê os meios funcionais e procedurais para a transmissão de dados 
orientada ou não orientada à conexão. 
A imagem a seguir mostra os dois tipos de sistemas que existem em uma rede de dispositivos 
finais (computadores) e em uma rede de dispositivos intermediários (roteadores). 
Fonte: Camada de rede. Adaptado de: Kurose e Ross, 2010. 
Endereço IP 
Um endereço IP é formado por 32 bits (4 bytes). Cada byte é chamado de octeto. Logo, esse 
endereço é composto de 4 octetos (os campos W, X, Y, Z da imagem). 
Ele funciona como o identificador lógico para uma interface de rede. Trata-se de um 
endereço hierárquico que apresenta a rede em que a máquina está (ID de 
rede ou network ID) e o identificador da máquina naquela rede (ID host ou host ID). 
Para isso, parte dos octetos define o ID da rede, e a outra parte, o id do host, como mostra a 
imagem a seguir: 
 
Endereço IP: 11010000 11110101 00011100 10000011 
Representação: 208.245.28.131Vejamos como isso é feito: 
1. Inicialmente, separamos os 32 bits nos 4 octetos que compõem o endereço. 
2. Em seguida, transformamos o número binário formado pelo octeto em decimal. 
3. Por último, juntamos os números decimais e os separamos por um ponto (“.”). 
Observe a representação a seguir: 
 
Endereço IP 
 
Dessa forma, ao contrário do endereço físico da interface, o endereço IP muda à medida que 
deslocamos o host de uma rede para outra. 
Esse endereço utiliza a Notação Decimal Pontuada, na qual cada octeto é representado por 
um número decimal (de 0 a 255) separados por um ponto (“.”). 
Endereçamento por classes (class full) 
A forma encontrada para determinar as porções rede e host do endereço foi adotar classes de 
endereçamento. Aquelas originalmente utilizadas na internet são: 
 
A tabela a seguir apresenta essas classes:
 
Fonte: Professor Antonio Sergio Alves Cavalcante. 
Os octetos para network ID são sempre os primeiros a partir da esquerda. 
Por exemplo: 
IP de classe A: 10.15.30.50 
Network ID: 10 
Host ID: 15.30.50 
 
A distinção entre as classes é realizada pelo valor do primeiro octeto do endereço (mais à 
esquerda) – observe, na tabela anterior, o range de endereços de cada classe. 
Os hosts com mais de uma interface de rede possuem um endereço IP para cada uma. Esse 
endereço identifica não uma máquina, e sim uma conexão à rede. 
Alguns endereços são reservados para funções especiais, tais como: 
ENDEREÇO DE REDE: Aquele que identifica a própria rede – e não uma 
interface de rede específica –, representado por todos os bits de host ID com o 
valor 0 (ZERO). 
Exemplos 
19.0.0.0 Identifica a rede 19 (endereço classe A); 
139.40.0.0 Identifica a rede 139.40 (endereço classe B); 
199.27.90.0 Identifica a rede 199.27.90 (endereço classe C). 
ENDEREÇO DE BROADCAST: Aquele que identifica todas as máquinas na 
rede específica, representado por todos os bits de host ID com o valor 1 (UM). 
Exemplos 
19.255.255.255 Endereço de broadcast na rede 19.0.0.0; 
139.40.255.255 Endereço de broadcast na rede 139.40.0.0; 
199.27.90.255 Endereço de broadcast na rede 199.27.90.0. 
 
Portanto, em cada rede (A, B ou C), são reservados o primeiro e o último endereços, e eles 
não podem ser usados por interfaces de rede. 
A tabela a seguir ilustra a situação:
 
Endereços de rede e broadcast 
Fonte: Professor Antonio Sergio Alves Cavalcante. 
O endereçamento baseado em classes NÃO é mais empregado na internet. Hoje, 
utilizamos o chamado endereçamento sem classes (class less). 
 
Endereçamento sem classes (class less) 
O endereçamento por classes que estudamos anteriormente não era eficiente para a 
distribuição de endereços. 
Com o crescimento da internet, o número de redes interconectadas aumentou muito, o que 
agravou o problema de disponibilidade de endereços IP – especialmente o desperdício de 
endereços em classes C e B. 
Visando diminuir essa perda e ampliar a quantidade de endereços disponíveis sem afetar o 
funcionamento dos sistemas existentes, decidiu-se flexibilizar o conceito de classes, cuja 
divisão entre rede e host ocorre somente a cada 8 bits. 
Para conseguir essa flexibilização, foi criada a máscara de subrede, que, além de dividir a 
rede em subredes, permitiu realizar o endereçamento sem classes, já que determina a porção 
rede (network ID) e a porção host (host ID) do endereço. 
Da mesma forma que o endereço IP, a máscara de subrede é formada por 4 octetos com uma 
sequência contínua de 1 mais uma de 0. A porção de bits em 1 identifica aqueles utilizados 
para identificar a rede no endereço, e a porção em 0, aqueles que determinam a estação. 
A máscara também pode ser compreendida como um número inteiro que diz a 
quantidade de bits 1 (um) utilizados. 
Por exemplo, uma máscara com valor 255.255.255.192 poderia ser representada 
como /26, o que significa que os 26 primeiros bits (contados da esquerda para a 
direita) estão ligados (valor 1), e os 6 últimos, desligados (valor 0). 
Observe a seguir uma representação desse mecanismo:
 
Máscara de subrede 
Adaptado de: Kurose e Ross, 2010. 
 
No endereço exposto (200.18.160.X), o network ID possui 26 bits, e o host ID, os 6 bits 
restantes. Dessa forma, o endereço 200.18.160.0 da antiga classe C pode ser dividido em 
quatro redes com estas identificações: 
 
 
 
 
 
 
 
 
 
 
 
 
Observe que os quatro endereços de rede são independentes entre si. Eles podem ser 
empregados em redes completamente separadas e, até mesmo, utilizados em instituições 
distintas. 
Em termos de identificação da rede, utilizamos os mesmos critérios anteriores, ou seja, todos 
os bits de identificação do host são 0. Quando todos esses bits são 1, isso identifica 
um broadcast naquela rede específica. 
Sendo assim, existem as seguintes identificações: 
 
Após a análise do uso de subredes, concluímos que a identificação de uma rede é, na 
verdade, um espaço de endereçamento, que pode ser usado da forma mais indicada. 
Roteamento IP 
O destino de um pacote que é 
enviado por uma máquina pode ser 
o: 
Para encaminhar o pacote ao 
roteador, o host de origem endereça, 
em nível de camada de rede, o 
pacote com o IP da máquina de 
destino, que se encontra na outra 
rede. Já em nível de enlace, esse 
mesmo host coloca no quadro, como 
MAC de destino, o endereço físico 
da interface do roteador que está em sua rede. 
Quando recebe o quadro com seu MAC no destino, o roteador realiza as seguintes operações: 
 
 
Fonte: Khvost / Flat_Enot / Shutterstock 
Tal processo se repete em cada roteador ao longo do caminho até que o pacote chegue ao 
destino final. Esse tipo de roteamento é chamado de Next-Hop Routing, já que um pacote é 
sempre enviado ao próximo roteador no caminho. 
Nele, não há necessidade de que um roteador conheça a rota completa até o destino. Cada 
roteador deve conhecer apenas o próximo roteador ao qual tem de enviar a mensagem. 
Observe o exemplo a seguir: 
 
 
 
Adaptado de: Tanenbaum, 2003. 
 
Os passos que devem ser seguidos para que uma estação envie uma mensagem IP para outra 
estação: 
Quando uma estação (como a A) deseja enviar uma mensagem IP à outra rede 
(como a estação B), deve seguir estes passos: 
1. Identificar que o host de destino está em outra rede e que, por isso, a mensagem 
deve ser enviada a um roteador; 
2. Determinar, por meio da tabela de rotas da máquina de origem, o roteador 
correto para enviar a mensagem; 
3. Descobrir, com base no protocolo ARP, o endereço MAC do roteador; 
4. Enviar o quadro, tendo como MAC de destino o endereço físico do roteador com 
o endereço de destino no pacote IP da estação; 
5. Rotear o pacote, observando o endereço IP de destino e verificando para que 
rede ele é endereçado – ao receber o quadro com seu endereço MAC, mas com 
um endereço de rede (IP) que não é o seu, o roteador procura fazer isso; 
6. Descobrir o endereço MAC da estação de destino (via ARP) – no caso da figura, 
em que o roteador atende a duas redes (de origem e de destino); 
7. Encapsular, finalmente, o pacote em quadro com o endereço MAC da estação B 
(0D.0A.12.07.71.FF) e transmiti-lo à rede. 
 
Vejamos, agora, mais um exemplo de utilização de vários roteadores. A imagem a seguir 
mostra a topologia: 
Fonte: Professor Antonio Sergio Alves Cavalcante. 
 
O que ocorre quando o host 200.1.1.1 deseja enviar uma informação dentro de um datagrama 
IP ao host de destino 200.2.2.1. 
O host 200.1.1.1 (pertencente à rede 200.1.1.0) necessita se comunicar com 
um host 200.2.2.1 (pertencente à outra rede – 200.2.2.0). 
1. Como o destino não se encontra na mesma rede, é precisoencaminhar o 
datagrama IP (pacote IP) ao equipamento que o interliga a outras redes – nesse 
caso, o roteador A (conhecido como default gateway ou roteador default). 
Resumindo, o default gateway da 200.1.1.0/24 é o roteador A. Os endereços IP do 
datagrama são mantidos – tanto a origem host 200.1.1.1 quanto o 
destino host200.2.2.1. 
2. Ao receber o datagrama IP por meio da interface de entrada, o roteador A analisa 
sua tabela de rotas, toma uma decisão de roteamento e o encaminha para o 
roteador B, realizando sua tarefa – o roteamento de datagramas IP ou pacotes IP. 
Logo, encaminha-se o datagrama IP para o próximo salto ou roteador até que este 
chegue a seu destino (200.2.2.1). 
3. Da mesma forma, o roteador B analisa sua tabela de rotas e encaminha o 
datagrama IP para o roteador D. 
4. Os roteadores D, E e F fazem o mesmo processo, encaminhando o datagrama IP 
para os rotadores subsequentes. 
5. Por fim, o roteador F verifica que uma de suas interfaces se encontra na rede 
200.2.2.0/24 e entrega o datagrama ao 200.2.2.1. 
 
Vale destacar que a decisão de roteamento é tomada quando o datagrama IP entra por uma 
interface do roteador. 
Com base no endereço IP de destino, define-se por que interface de saída o datagrama IP 
deve seguir viagem para alcançar seu destino. 
Esse ato de entrar por uma interface, tomar a decisão de roteamento e sair por outra interface 
também pode ser chamado de repasse entre as interfaces de entrada e saída. 
A imagem a seguir ilustra uma estrutura de redes e a tabela de rotas dos roteadores: 
 
Nos sistemas operacionais, geralmente, a rota default é representada como a rede 0.0.0.0. 
** Não mostrado na imagem. 
Adaptado de: Tanenbaum, 2003. 
 
Observe que as tabelas de rotas de cada roteador são diferentes. Nelas, existem rotas 
diretas(Informações redundantes para identificar a capacidade de acessar a própria 
rede à qual os roteadores estão conectados), que, apesar de parecerem redundantes, são 
úteis para mostrar, de forma semelhante, as rotas diretas às redes conectadas diretamente ao 
roteador. 
Além disso, também há uma rota default (Resumo de diversas rotas encaminhadas 
pelo mesmo próximo roteador) – aquela utilizada durante a decisão de roteamento no caso 
de não existir uma rota específica para a rede destino da mensagem IP. 
Sem a utilização dessa rota, a tabela de rotas deveria possuir uma linha para cada rede que 
pudesse ser endereçada. Em uma rede como a internet, isso seria completamente impossível. 
A alimentação das informações na tabela de rotas pode ocorrer de modo estático (Neste tipo 
de alimentação, as rotas são preenchidas de forma manual – geralmente pela 
configuração inicial da máquina.) ou dinâmico (Neste tipo de alimentação, protocolos 
como RIP, RIP2, OSPF ou BGP são responsáveis pela aquisição de informações 
sobre a topologia da rede e a publicação de rotas na tabela de rotas dos roteadores 
envolvidos.) ou ambos simultaneamente. 
 
Virtual LAN 
Inicialmente, vamos relembrar os conceitos de Local Area Network (LAN), conforme mostra 
a imagem a seguir: 
Prédio de 2 andares 
Empresa ABC1234 
 
Rede convencional 
Prédio de 2 andares 
Empresa ABC1234 
 
Rede convencional 
 
Aqui, existem duas redes locais: LAN1 – RH (Recursos Humanos) e LAN2 – FIN 
(FINanceiro). 
As LAN’s se comunicam e são separadas por meio do roteador que se encontra no primeiro 
andar, segmentando a rede em duas redes lógicas diferentes (10.1.1.0/24 e 10.2.2.0/24). 
Vamos considerar uma expansão nessa rede: acrescentando uma nova uma LAN – VENDAS 
(rede convencional B), o custo aumenta muito com mais um switch por andar e mais uma 
interface FastEthernet no roteador. 
Suponhamos, agora, que haja uma nova expansão nessa rede: a empresa ABC1234 vai 
replicar seu site em São Paulo e em Florianópolis, respectivamente. A replicação desse 
projeto em outros dois sites acarreta a aquisição de 12 switches e 2 roteadores com, no 
mínimo, 3 interfaces FastEthernet cada. 
Mas há um problema nessa expansão: o diretor financeiro chegou à conclusão de que o custo 
desses equipamentos torna o projeto inviável. 
 
 
É simples: reduzir custos com a tecnologia Virtual Local Area Network (VLAN) ou o 
protocolo IEEE 802.1q. Denominação motivada pelo fato de que os domínios 
de broadcast não são mais segmentados por separação física, e sim por software, 
por meio de configuração, o que define a porta que pertence à determinada LAN – 
a qual passa a se chamar de VLAN por estar separada virtualmente. 
 
Prédio de 2 andares 
Empresa ABC1234 
 
Rede convencional 
Prédio de 2 andares 
Empresa ABC1234 
 
Rede local virtual 
 
A vantagem dessa migração é que sobram 2 switches para os outros sites. Além disso, há 
grande economia de equipamentos. Se as redes passarem a ter necessidades diferentes de 
estações por andar, é mais fácil acomodar essas novas alterações, o que propicia grande 
flexibilidade ao projeto. 
 
Agora, vamos adicionar a VLAN de VENDAS: 
Prédio de 2 andares 
Empresa ABC1234 
 
Rede convencional 
Prédio de 2 andares 
Empresa ABC1234 
 
Rede local virtual 
 
Assim como nas LAN’s, cada VLAN tem de possuir seu endereçamento de rede lógica (IP) 
separado e configurar cada porta para pertencer à determinada VLAN. A porta configurada 
para uma estação normal é do tipo acesso, e cada porta de acesso DEVE ser configurada para 
pertencer a uma VLAN. 
 
Resumindo: Todas as reações das LAN’s são praticamente as mesmas das VLAN’s. 
Tipos de VLAN 
O TCP/IP (pilha de protocolos da internet) praticamente extinguiu as VLAN’s por 
protocolos, deixando, sobretudo, as VLAN’s por porta – quando as portas são associadas à 
determinada VLAN. 
Na atualidade, o tipo de tráfego transportado pela VLAN define sua função. Vamos conhecer 
alguns: 
VLAN DE DADOS: VLAN DE DADOS 
A maioria das VLANs são configuradas para transportar os dados das aplicações do usuário. 
Algumas aplicações possuem destaque, passando a compor seu próprio tipo de VLAN. 
Exemplos: VLAN que transporta o tráfego de voz, de gerência etc. 
Como são sensíveis e necessitam de tratamento diferenciado, esses tráfegos são separados da 
VLAN de dados – também conhecida como VLAN de usuário. 
VLAN PADRÃO: Quando o switch é ligado, configurando VLAN’s ou não, este entra em 
funcionamento, e todas as portas se comunicam – já que, na inicialização, elas pertencem à 
VLAN padrão (VLAN 1 na Cisco). 
Todas essas portas pertencem ao mesmo domínio de broadcast – tecnicamente mesma rede 
lógica. A VLAN 1 implementa os recursos das VLAN’s, com a exceção de não poder ser 
excluída ou renomeada. 
VLAN NATIVA: Para atravessar uma interligação entre switches (tunk), as VLAN’s devem 
utilizar a tag de VLAN (802.1q) para a devida identificação de domínio de broadcast (rede 
ou VLAN) a que esta pertence. 
Nesse trunk, passam frames marcados e não marcados. A dúvida é a seguinte: 
Por que passar tráfego não marcado? 
É simples: para manter a interoperabilidade com tráfegos de redes legadas, já que seu tráfego 
não possuía marcação. 
No trunk entre os switches, os frames têm de passar marcados. Caso não estejam, significa 
que pertencem à VLAN nativa. Logo, fica fácil identificá-los. 
VLAN DE GERENCIAMENTO: Em geral, a VLAN 1 é padrão para o gerenciamento 
do switch, mas, como é totalmente previsível e pode sofrer ataques, essa VLAN deve ser 
alterada. 
Os switches podem ser gerenciados por meio dos protocolos HTTP, Telnet, SSH ou SNMP. 
Para acesso remoto a estes, precisamos atribuir endereço e máscara de subrede à interface 
VLAN [x] (de gerência). 
VLANS DE VOZ: O tráfego em tempo real – como o de voz, por exemplo – precisa atender 
a alguns requisitos. Já o atraso de outros tráfegos – como o FTP – não será crucialtampouco 
afetará a informação. 
Com a finalidade de atender a esses requisitos e não sofrer atrasos, o tráfego de voz deve ter 
tratamento específico. 
São requisitos para o tráfego de VoIP: 
• Garantia de largura de banda; 
• Prioridade de tráfego na rede; 
• Capacidade de roteamento em áreas congestionadas na rede; 
• Atraso inferior a 150 milissegundos. 
 
Modos de portas de switch VLAN 
A porta pode ser configurada para suportar os seguintes tipos de VLAN: 
 
Fonte: Flat_Enot / Shutterstock 
Identificando VLAN’s 
Ao criar ou configurar uma VLAN, a ela serão atribuídos um número de identificação e um 
nome fornecido pelo administrador ou o nome default, como mostra a tabela a seguir: 
 
Cada porta associada à determinada VLAN funciona como a de um switch virtual, o qual 
passa a pertencer ao mesmo domínio de broadcast – tecnicamente a rede lógica. 
As VLAN’s não estão limitadas a um único switch: elas podem estar espalhadas por todos 
os switches interligados por cabos ou equipamentos até a camada 2, já que a camada 3 
segmenta os domínios de broadcast. 
 
Um broadcast da VLAN 10 somente será enviado às portas pertencentes a essa 
VLAN. Por isso, os switches têm de possuir registros das VLAN’s e de portas 
das determinadas VLAN’s. 
 
Tipos de links 
Vamos conhecer, agora, alguns tipos de portas, também conhecidas como links: 
 
 
Access links 
Porta destinada a acesso de um nó da rede, à 
qual devemos atribuir uma VLAN. Quando 
entra pela porta de acesso, o frame deve ser 
marcado – a menos que pertença à VLAN 
nativa. 
A situação inversa é verdadeira: quando sai 
pela porta de acesso, o frame deve retirar a 
marcação de VLAN, já que o nó de rede não 
está pronto para – e não precisa – conhecer a 
VLAN configurada. Para a comunicação de 
nós de diferentes VLAN’s, o roteamento é 
necessário. 
Fonte: WhiteBarbie / Shutterstock 
 
 
Trunk links 
Portas destinadas à interligação 
de switches ou roteadores configurados 
com subinterfaces para realizar roteamento 
entre VLAN’s. 
Alguns servidores podem trabalhar com 
interfaces e subinterfaces, desde que 
utilizem placas que suportem 802.1q. 
Esses links não pertencem a uma VLAN, e 
sim autorizam ou não a passagem de 
determinadas VLAN’s por eles. 
Quando o frame atravessa o trunk, este permanece com sua tag de VLAN, que pode ser 
802.1q ou ISL (proprietário da Cisco). 
O trunk é suportado por interfaces de 100 Mbps ou por outras mais rápidas, além de possuir 
uma VLAN nativa ou default para casos de falha do trunk. 
 
Roteamento entre VLAN’s 
As interligações de LAN’s e de VLAN’s são muito semelhantes – quase iguais. 
Para se comunicar com a LAN B, a rede LAN A necessita de um roteador com, no mínimo, 
duas interfaces de LAN para interligar as duas redes locais. 
E para que a comunicação entre a VLAN A e a VLAN B ocorra, ambas precisam de um 
roteador (equipamento da camada 3) com, no mínimo, duas interfaces para interligá-las. 
Você deve estar se perguntando: 
 
A resposta é bem simples: se, na VLAN, podemos virtualizar um switch, compondo-o com 
algumas portas do equipamento físico, é possível fazer o mesmo nas interfaces do roteador – 
ou seja, virtualizar interfaces lógicas dentro de uma única interface física do roteador. 
Da mesma forma que a LAN, cada VLAN é um domínio de broadcast diferente e, portanto, 
uma rede IP distinta. 
A grande vantagem é que, com uma única interface, podemos atender ao roteamento de 
diversas VLAN’s, utilizando uma interface física e virtualizando tantas quantas subinterfaces 
forem necessárias – uma por VLAN. 
 
A imagem a seguir ilustra esse processo: 
Roteamento entre LAN’s 
 
Roteamento entre VLAN’s (tradicional) 
 
 
O roteamento entre LAN’s ou VLAN’s nada mais é do que 
o encaminhamento do datagrama IP de uma rede para outra. 
Observe uma grande vantagem do roteamento entre VLAN’s em relação ao roteamento 
convencional entre LAN’s, no qual eram utilizadas interfaces de rede local para cada LAN a 
ser interconectada pelo roteador. 
Com o advento das VLAN’s anteriormente abordado, o roteador pode virtualizar várias 
subinterfaces em uma única interface física, conforme mostra a figura a seguir: 
Roteamento entre VLAN’s (tradicional) 
 
Router on a stick (subinterfaces) 
 
Alguns switches podem executar funções de camada 3 sem a necessidade de roteadores 
dedicados. Os switches multicamada podem executar roteamento entre as diversas VLAN’s. 
 
A imagem a seguir ilustra a questão: 
 
Atividade 
Para finalizar esta aula, vamos fazer uma nova atividade utilizando o Packet Tracer (PKT). 
Conheça, então, o passo a passo para configurar uma Rede estrela VLAN com três domínios 
de broadcast. 
(Atividade desenvolvida pelo professor José Silvério). 
Rede estrela VLAN com três domínios de broadcast Vamos montar uma rede em estrela com 
um switch Cisco 2950-24 com 10 PCs para uma escola, seccionando-a em três domínios de 
broadcast: Administrativo, Educacional e Biblioteca. 
 
1. Configure para cada PC um endereço IP fixo com 10.0.0.0 e máscara 
255.0.0.0 (classe A). Faça as conexões com o cabo UTP e verifique se as 
ligações físicas (camada 1) são operacionais – indicadas pelo led verde no 
switch central e nos PC’s. 
Sugestão de endereçamento IP estático para cada PC: 
PC0: 10.0.0.1 PC1: 10.0.0.2 PC2: 10.0.0.3 ... PC10: 10.0.0.11 
2. Clique em cada PC na aba Config e, na interface Ethernet, informe o 
endereço IP de cada PC e sua máscara classe A: 
 
 
3. Teste a conectividade de cada máquina da rede por meio do comando Ping, 
clicando sobre o PC na aba Desktop: 
 
4. Utilize o Command Prompt e verifique, por meio do comando 
IPCONFIG/ALL, o endereço MAC e o IP de cada máquina: 
 
5. Depois, utilize o comando Ping . Assim, se pingarmos do PC0 para o PC10 
no prompt do PC0: PING 10.0.0.11 (IP definido para o PC10), teremos: 
 
6. Para segmentar a rede em três domínios diferentes de broadcast, clique no 
switch na aba CLI - Command Line Interface. 
7. Crie 3 VLAN’s: 
 VLAN 10 – setor Administrativo (portas 1 a 8); 
 VLAN 20 – setor Educacional (portas 9 a 16); 
 VLAN 30 – setor Biblioteca (portas 17 a 24). 
8. Habilite o modo privilegiado do switch por meio do comando enable. 
Verifique que o prompt muda de > para #: 
Switch> 
Switch>enable 
Switch# 
9. Entre no modo de configuração global. Mude o hostname do switch por 
meio do comando hostname: 
Switch#configure terminal 
Enter configuration commands, one per line. End with CNTL/Z. 
Switch(config)#hostname switch_central 
switch_central(config)# 
switch_central# 
10. Crie as VLAN’s 10, 20 e 30, nomeando-as no switch: 
switch_central(config)#vlan 10 
switch_central(config-vlan)#name Administrativo 
switch_central(config-vlan)#exit 
switch_central(config)#vlan 20 
switch_central(config-vlan)#name Educacional 
switch_central(config-vlan)#exit 
switch_central(config)#vlan 30 
switch_central(config-vlan)#name Biblioteca 
switch_central(config-vlan)#exit 
11. Verifique se as VLAN’s estão criadas com o comando: 
switch_central#show vlan brief 
Você observará que as VLAN’s foram criadas, mas não estão associadas a 
nenhuma porta. 
ATENÇÃO! Note que a VLAN 1 é a VLAN, por default, associada a todas as 
portas do switch. 
12. Associe as portas 1 a 8 para a VLAN 10: 
switch_central(config)#interface range fastEthernet 0/1-8 
switch_central(config-if-range)#switchport access vlan 10 
switch_central(config-if-range)# 
Associe as portas 9 a 16 para a VLAN 20: 
switch_central(config)#interface range fastEthernet 0/9-16 
switch_central(config-if-range)#switchportaccess vlan 20 
switch_central(config-if-range)# 
Associe as portas 17 a 24 para a VLAN 30: 
switch_central(config)#interface range fastEthernet 0/17-24 
switch_central(config-if-range)#switchport access vlan 30 
switch_central(config-if-range)# 
13. Verifique se as VLAN’s criadas estão associadas às portas com o comando: 
switch_central#show vlan brief 
Gravando a configuração na NV-RAM do switch, teremos: 
switch_central#wr 
Building configuration... 
[OK] 
switch_central# 
15. Agora, faça o teste de conectividade (ping) entre os PC’s do mesmo setor: 
Exemplo 
Do PC0 para PC2: Ping 10.0.0.3 
Do PC3 para PC5: Ping 10.0.0.6 
Do PC6 para PC10: Ping 10.0.0.11 
16. Por fim, faça o teste de conectividade (ping) entre os PC’s de diferentes 
setores: 
Do PC0 para PC5: Ping 10.0.0.6 
Do PC0 para PC10: Ping 10.0.0.11 
Redes Convergentes / Aula 7 - Qualidade de Serviço de rede IP 
Introdução 
Para que a rede possa tratar, de forma diferenciada, cada tipo de serviço, 
inicialmente, é necessário identificar os diversos tipos de serviço transportados 
pelos segmentos TCP/UDP e datagramas IP. 
Para a identificação, podem ser construídas Access Control Lists (ACL’s) ou Listas 
de Controle de Acesso: um conjunto de regras e ações sobre o tráfego. 
As regras baseiam-se em identificar determinado tráfego a partir do endereço IP de 
origem e de destino, bem como a partir da porta TCP/UDP de origem e de destino. 
Uma vez satisfeita uma regra, isto é, uma vez identificado certo tipo de tráfego, uma 
ação é definida na regra da ACL. 
A ação é permit ou deny, ou seja, aquela que, respectivamente, inclui ou exclui o 
tráfego identificado. 
A lógica do conjunto de regras da ACL resulta na identificação do tráfego e nos 
permite fazer a marcação para fins de Qualidade de Serviço (QoS). 
Bons estudos! 
Rede IP como base para convergência de serviços 
Para que a rede IP possa ser capaz de transportar uma grande variedade de serviços, esta 
deverá oferecer os requisitos mínimos de cada serviço, como: 
VOZ: O tráfego de voz é altamente sensível a retardo e à variação de retardo (jitter), 
admitindo uma taxa de erros baixa (tráfego em tempo real). Os codificadores de áudio 
operam a taxas de bit até 64 kbps. 
FAX: O serviço de fax, em princípio, é tratado como o serviço de voz, mas há uma restrição 
para que a codificação seja feita pelo padrão G.711. 
VÍDEO EM TEMPO REAL: Como o serviço de voz, este é altamente sensível a retardo e 
jitter, mas apresenta requisitos de taxa de erro mais exigentes. Os codificadores de vídeo 
operam a taxas p x 64 kbps (p = 0 a 30). 
VÍDEO STREAMING: Serviço de vídeo e áudio que não é sensível a jitter por não operar 
em tempo real. 
DADOS CRÍTICOS: O serviço de dados críticos (prioritários) não tem grande sensibilidade 
a retardo ou jitter. Por outro lado, deve ter alta prioridade de envio – imediatamente após a 
prioridade de envio do tráfego em tempo real. Os requisitos de taxa de bits podem variar de 
taxas baixas a elevadas em função do serviço. Tais dados têm requisitos de taxa de erros 
altos. 
DADOS CRÍTICOS DE OPERAÇÕES FINANCEIRAS: Serviço de dados críticos, mas 
com requisitos de segurança elevados – como a criptografia em túneis seguros. 
DADOS NÃO PRIORITÁRIOS: O serviço de dados não prioritários – como e-mail e tráfego 
HTTP – é tolerante a retardo e jitter, e requer baixa ou elevada taxa de bits. Em geral, não 
tem requisitos de segurança e pode ser transportado com baixíssima prioridade. 
Para cada tipo de serviço, a rede IP deverá assumir características particulares. 
Em outras palavras, dependendo do serviço sobre a rede, há que oferecer: 
 
Chamamos esse esforço de atender às diferentes necessidades das aplicações 
de Quality of Service (QoS) ou Qualidade de Serviço. 
É muito importante identificarmos o tipo de dado que está sendo transportado em 
um pacote que passa por um roteador ou switch, pois, somente assim, poderemos 
fornecer as características necessárias àquele tipo de tráfego. Essa é a tarefa 
de marcação de tráfego. 
Suporte à marcação de tráfego 
Conforme vimos nas aulas 3 e 4, o tráfego dos serviços é digitalizado e transportado 
diretamente pelos segmentos TCP/UDP (protocolo de camada 4 – L4) ou indiretamente por 
meio do RTP encapsulado no UDP. 
O protocolo de L4 é transportado nos datagramas IP (protocolo de camada 3 – L3). 
Quatro informações disponíveis nos headers do TCP/UDP e nos headers do IP podem ser 
úteis na identificação do tráfego: 
 
Qualquer envio de pacotes com serviço entre origem 
e destino envolve as quatro informações. 
O encaminhamento dos pacotes entre a origem e o destino é feito pela camada 3 (rede – L3). 
Para tal, os roteadores ou switches com funções de roteamento (switches L3) leem o 
endereço IP de destino do datagrama, consultam sua tabela de roteamento e encaminham o 
pacote para a direção (interface) de melhor rota. 
A escolha da melhor rota baseia-se em algoritmos de melhor custo, que podem considerar o 
menor caminho e a melhor utilização de banda, por exemplo. O processo de roteamento em 
si pode ser considerado uma forma de oferecer QoS, já que se busca o melhor caminho para 
o tráfego. 
O que não se consegue apenas com o roteamento é o tratamento diferenciado do tráfego, 
fazendo encaminhamentos diferentes em função do tipo de tráfego, de endereços IP de 
origem e de destino, ou de portas TCP/UDP de origem e de destino. 
A identificação do tráfego de interesse fundamenta-se na busca de uma ou mais informações 
contidas nos endereços IP de origem e de destino, e nas portas TCP/UDP de origem e de 
destino. 
Nos roteadores e switches, o mecanismo que nos permite essa identificação são as Access 
Control Lists (ACL’s) ou Listas de Controle de Acesso. 
 
Poderíamos identificar o tráfego de origem da rede 200.20.20.0/24 com destino à 
aplicação servidor web, hospedada na máquina 230.17.17.9. 
Nesse caso, devemos procurar por pacotes com: 
Endereço de origem = 200.20.20.0 → Máscara = 255.255.255.0; 
Endereço de destino = 230.17.17.9 → Máscara = 255.255.255.255; 
Porta TCP de destino = 80 (especificamente e a partir de qualquer porta TCP de 
origem). 
A ideia é dar um tratamento diferenciado a esses pacotes quanto à largura de 
banda, quanto ao atraso etc. 
ACL (Access Control Lists) ou lista de controle de acesso 
As ACL’s são um conjunto de regras e ações sobre o tráfego. Elas são compostas por uma 
lista sequencial de instruções de permissão ou negação que se aplicam a endereços ou 
protocolos de camada superior. 
Originalmente, essas listas são consideradas ferramentas de segurança, já que permitem 
controlar, de forma eficiente, o tráfego dentro e fora de sua rede. Mas, hoje, são utilizadas, 
também, para identificar o tipo de dado transportado e, a partir dessa identificação, fazer a 
marcação do tráfego. 
Você pode configurar as ACL’s para todos os protocolos de rede roteados, estabelecendo 
controles tão simples como permitir ou negar hosts de rede ou endereços, ou, ainda, o tráfego 
da rede com base na porta TCP utilizada. 
Para compreender como uma ACL funciona com o TCP, observe, a seguir, o diálogo que 
ocorre durante uma conversa TCP quando você faz o download de uma página da web em 
seu computador: 
 
 
 
O processo TCP é muito semelhante a uma conversa na qual dois nós em uma rede 
concordam em transmitir dados entre um e outro. 
Os segmentos de dados TCP levam em sua área de dados o protocolo de nível 
mais alto, necessário ao direcionamento dos dados de aplicativo para o aplicativo 
correto. 
Conforme vimos na aula 4, inicialmente, realizamos a abertura da conexão (3way 
handshake). Depois, fazemos a troca de dados, e, por fim, a conexão é encerrada. 
 
Filtragem de pacotes 
Um roteadorfunciona como um filtro de pacote ao encaminhar ou negar pacotes de acordo 
com as regras de filtragem. 
Quando um pacote chega ao roteador de filtragem, este extrai determinadas informações do 
cabeçalho do pacote e toma decisões conforme as regras do filtro quanto à possibilidade de o 
pacote ser transmitido ou descartado. 
 
A filtragem de pacote funciona na camada de rede do modelo de referência OSI ou na 
camada de internet do TCP/IP. 
A ACL pode extrair informações do cabeçalho do pacote, testá-lo em relação a suas regras e 
tomar decisões (“permitir” ou “negar”) com base no(a): 
 
Exemplo 
Para compreender como um roteador utiliza a filtragem de pacote, imagine que um 
segurança foi colocado diante de uma porta fechada. 
As instruções do segurança se resumem a permitir apenas a entrada de pessoas cujos nomes 
estão em uma lista. Em outros termos, ele está filtrando os indivíduos com base nos critérios 
da presença de seus nomes na lista autorizada. 
Por exemplo, você poderia dizer: 
“Só permita acesso à web a usuários da rede A. Negue acesso à web a usuários da rede B, 
mas permita a eles todos os demais acessos”. 
Analise a figura a seguir e identifique o caminho de decisão utilizado pelo filtro de pacote 
para realizar essa tarefa: 
 
Para esse cenário, o filtro de pacote observa todos os pacotes da seguinte forma: 
 Se o pacote for um TCP SYN da rede A que utiliza a porta 80, ele terá permissão para 
passar. Todos os demais acessos serão negados para esses usuários. 
 Se o pacote for um TCP SYN da rede B que utiliza a porta 80, ele será bloqueado. No 
entanto, todos os demais acessos serão permitidos. 
As ACL’s são associadas às interfaces dos roteadores. À medida que cada pacote passa por 
ela, a ACL é verificada de cima para baixo, uma linha por vez, procurando um padrão 
correspondente ao pacote de entrada. 
A ACL aplica uma ou mais políticas de segurança corporativas, empregando uma regra de 
permissão ou negação para determinar o destino do pacote. 
Por padrão, um roteador não tem qualquer ACL configurada e, por isso, não filtra o tráfego. 
O tráfego que entra no roteador é roteado de acordo com a tabela de roteamento. 
Se você não utilizar as ACL’s no roteador, todos os pacotes que puderem ser roteados 
passarão pelo roteador até o próximo segmento de rede. 
Observe, na figura a seguir, a regra geral para configurar uma ACL: 
 
De acordo com essa regra, configura-se: 
 Uma ACL por protocolo – Para controlar o fluxo de tráfego em uma interface, uma ACL 
deve ser definida para cada protocolo habilitado na interface. 
 Uma ACL por direção – As ACL’s controlam o tráfego em uma direção por vez em uma 
interface. Duas ACL’s separadas devem ser criadas para controlar os tráfegos de entrada e de 
saída. 
 Uma ACL por interface – As ACL’s controlam o tráfego de uma interface (como, por 
exemplo, Fast Ethernet 0/0). 
No exemplo da figura anterior, para podermos filtrar todos os protocolos, precisaríamos de 
12 ACL’s, 3 protocolos (IP, IPX e AppleTalk), 2 interfaces e 2 direções (in e out). 
 
Como as ACL’s funcionam? 
As ACL’s definem o conjunto de regras que dão controle adicional a pacotes que: 
 
 
 As ACLs não funcionam em pacotes com origem no próprio roteador. 
 
As instruções ACL funcionam em ordem sequencial. Elas avaliam pacotes em relação à 
ACL, de cima para baixo, uma instrução por vez. 
O esquema a seguir mostra a lógica de uma ACL de entrada: 
 
Se o cabeçalho de um pacote corresponder a uma instrução ACL, as demais instruções na 
lista serão ignoradas, e o pacote será permitido ou negado conforme determinação da 
instrução correspondente. 
Se o cabeçalho de um pacote não corresponder a uma instrução ACL, o pacote será testado 
em relação à próxima instrução da lista. Esse processo de comparação continua até o término 
da lista. 
Uma instrução incluída no final abrange todos os pacotes para os quais as condições não se 
mostraram verdadeiras. Essa condição de teste final corresponde a todos os demais pacotes e 
resultados em uma instrução “negar”. 
Em vez de continuar dentro ou fora de uma interface, o roteador ignora todos esses pacotes 
restantes. Essa instrução final costuma ser conhecida como negar qualquer instrução 
implicitamente ou negar todo o tráfego. 
Devido a essa instrução, uma ACL deve ter, pelo menos, uma instrução de permissão. Do 
contrário, a ACL bloqueia todo o tráfego. 
O esquema a seguir mostra a lógica de uma ACL de saída: 
 
Para que um pacote seja encaminhado a uma interface de saída, o roteador verifica a tabela 
de roteamento para saber se o pacote pode ser roteado. Se não puder, o pacote será ignorado. 
Em seguida, o roteador identifica se a interface de saída é agrupada em uma ACL. 
Vejamos alguns exemplos de operação de ACL de saída: 
 Se a interface de saída não for agrupada em uma ACL de saída, o pacote será enviado 
diretamente para aquela interface. 
 Se a interface de saída for agrupada em uma ACL de saída, o pacote não será enviado 
por aquela interface até ser testado pela combinação de instruções ACL associadas a 
ela. Com base nos testes ACL, o pacote é permitido ou negado. 
 
Você pode aplicar uma ACL a várias interfaces. No entanto, talvez só haja uma ACL por 
protocolo, direção e interface. 
 
Para listas de saída: 
 Permitir = enviar o pacote para o buffer de saída; 
 Negar = descartar esse pacote. 
 
Tipos de ACL 
Há dois tipos de ACL: 
 
 
Padrão 
 
 
 
ACL que permite a você filtrar o tráfego a partir de endereços IP de origem. O destino do 
pacote e as portas envolvidas não importam. 
 
Exemplo: 
 
 
 
 
 
 
Estendida 
 
 
 
ACL que filtra pacotes IP com base em vários atributos, como, por exemplo: 
 Tipo de protocolo; 
 Endereço IP de origem; 
 Endereço IP de destino; 
 Portas TCP e UDP de origem; 
 Portas TCP e UDP de destino; 
 Informações do tipo de protocolo opcionais para maior granularidade de controle. 
 
Exemplo: 
 
 
 
 Observe que a ACL 10 (padrão) permite todo o tráfego da rede 192.168.30.0/24. Como 
“negar tudo” está implícito ao final, todo os demais tráfegos são bloqueados com essa ACL. 
Já a ACL 103 (estendida) permite tráfego com origem em qualquer endereço na rede 
192.168.30.0/24 para qualquer host de destino na porta 80 (HTTP). 
 
 
Configurando uma ACL 
As ACL’s são configuradas no modo de configuração global do roteador. Lembre-se: 
 
Uma ACL sempre tem um deny implícito ao final. 
 
 Por exemplo, as duas ACL’s (101 e 102) na figura a seguir têm o mesmo efeito: 
ACL 101 
 
access-list 1 permit 192.168.10.0 
 ACL 102 
 
access-list 1 permit 192.168.10.0 
access-list 2 deny any 
 
A rede 192.168.10.0 teria permissão para acessar a rede 192.168.30.0, mas 192.168.11.0, 
não. 
Lógica da ACL padrão 
No esquema a seguir, os pacotes que chegam por Fa0/0 são verificados em relação aos seus 
endereços de origem: 
access-list 2 deny host 192.168.10.1 
access-list 2 permit 192.168.10.0 0.0.0.255 
access-list 2 deny 192.168.0.0 0.0.255.255 
access-list 2 permit 192.0.0.0 0.255.255.255 
Veja: 
 
 
Se forem permitidos, os pacotes serão roteados pelo roteador para uma interface de saída. Se 
não forem permitidos, os pacotes serão ignorados na interface de entrada. 
 
Configurando ACL’s padrão 
Para configurar ACL’s padrão numeradas em um roteador, você deve, primeiro, criar a ACL 
padrão e ativá-la em uma interface. 
O comando no modo de configuração global access-list define uma ACL padrão com um 
número no intervalo de 1 a 99. 
A sintaxe completa do comandoACL padrão é a seguinte: 
 
Router(config)# access-list access-list-number [deny | permit | remark] source 
[source-wildcard] [log] 
 Veja na tabela a seguir: 
Sintaxe do comando access-list da ACL padrão
 
A sintaxe completa do comando da ACL padrão para filtrar determinado host é a seguinte: 
 
Router(config)#access-list access-list-number [deny | permit] source [log] 
 Por exemplo, para criar uma ACL numerada e designada 10, que permitisse a rede 
192.168.10.0 /24, você digitaria: 
 
R1(config)#access-list 10 permit 192.168.10.0 0.0.0.255 
 A forma NO desse comando remove uma ACL padrão, como mostra a figura a seguir: 
 
R1# show access-list 
Standard IP access list 10 
10 permit 192.168.10.0 
R1# 
R1# conf t 
Enter configuration commands, one per line. End with CNTL/Z. 
R1 (config) # no access-list 10 
R1 (config) # exit 
R1# 
*Oct 25 19:59:41.142: %SYS-5-CONFIG_I: Configured from console by console 
R1# show access-list 
R1# 
 
 Mascaramento curinga 
Entre as instruções ACL’s, estão as máscaras curinga (Strings de dígitos binários que 
informam ao roteador as partes do número da sub-rede que devem ser 
observadas). 
Embora sejam parecidas, as máscaras de sub-rede e as máscaras curinga têm uma lógica de 
funcionamento diferente. 
Ambas têm 32 bits e utilizam 1s e 0s binários. 
As máscaras de sub-rede o fazem para identificar a rede, a sub-rede e a porção de host de um 
endereço IP. Já as máscaras curinga, para filtrar endereços IP individuais ou grupos, e 
permitir ou negar acesso a recursos com base em um endereço IP. 
 
Definindo máscaras curinga com cuidado, você 
pode permitir ou negar um ou vários endereços 
IP. 
 
Mas esses tipos de máscaras são diferentes quanto à forma com que comparam 1s e 0s 
binários. As máscaras curinga utilizam as seguintes regras para fazê-lo: 
 
O esquema a seguir explica como máscaras curinga diferentes filtram endereços IP: 
Mascaramento curinga
 
 
0 significa comparar o valor do bit de endereço correspondente. 
1 significa ignorar o valor do bit de endereço correspondente. 
As máscaras curinga costumam ser conhecidas como inversas, porque, 
comparadas às máscaras de sub-rede, apresentam as seguintes características: 
 
 
Utilizando uma máscara curinga 
A tabela a seguir mostra os resultados da aplicação de uma máscara curinga 0.0.255.255 a 
um endereço IP de 32 bits: 
 
 
Lembre-se de que um 0 binário indica um valor correspondente. 
 
Palavras-chave de máscara curinga 
Trabalhar com representações decimais de bits de máscara curinga binários pode ser 
entediante. Para simplificar essa tarefa, as palavras-chave host (Opção que substitui a 
máscara 0.0.0.0. Essa máscara informa que todos os bits de endereço IP devem 
corresponder, ou apenas um host é correspondente) e any (Opção que substitui o 
endereço IP e a máscara 255.255.255.255. Essa máscara indica ignorar todo o 
endereço IP ou aceitar qualquer endereço) ajudam a identificar as utilizações mais 
comuns dessa máscara. 
Essas palavras-chave eliminam a entrada de máscaras curinga durante a identificação de 
um host específico ou de uma rede. Elas também facilitam a leitura de uma ACL, fornecendo 
dicas visuais sobre a origem ou o destino dos critérios. 
Veja dois exemplos: 
Exemplo 1: 
192.168.10.10 0.0.0.0 corresponde a todos os bits de endereço; 
Abrevie esta máscara curinga utilizando o endereço IP precedido pela palavra-
chave host (host 192.168.10.10). 
Este é um processo de máscara curinga com um único endereço IP. Em vez de inserir 
192.168.10.10 0.0.0.0, você pode utilizar host 192.168.10.10, conforme a seguir: 
R1 (config) #access-list 1 permit 192.168.10.10 0.0.0.0 
R1 (config) #access-list 1 permit host 
0.0.0.0 255.255.255.255 ignora todos os bits de endereço; 
 
 
Este é um processo de máscara curinga com a correspondência de qualquer endereço IP. Em 
vez de inserir 0.0.0.0 255.255.255.255, você pode utilizar a palavra-chave any sozinha, 
conforme a seguir: 
 
 
R1 (config) #access-list 1 permit 0.0.0.0 255.255.255.255 
R1 (config) #access-list 1 permit any 
 
 
 
Depois de ser configurada, a ACL padrão é vinculada a uma interface a partir do comando 
IP access-group: 
 
Router(config-if)#ip access-group {access-list-number | access-list-name} {in | out} 
 
 Para remover uma ACL de uma interface, primeiro, digite o comando no IP access-group e, 
em seguida, o comando global no access-list para sua total remoção. 
 
Testando pacotes com ACL’s estendidas 
Para obter um controle de filtragem de tráfego mais preciso, você pode utilizar ACL’s 
estendidas, numeradas de 100 a 199. 
Assim como as ACL’s padrão, as estendidas verificam os endereços do pacote de origem, 
mas também analisam o endereço de destino, os protocolos e os números de porta (ou de 
serviços). Isso proporciona um número maior de critérios nos quais a ACL se baseia. 
Por exemplo, uma ACL estendida pode permitir tráfego de e-mail simultaneamente de uma 
rede para um destino específico, enquanto nega transferências de arquivos e navegação 
na web. 
 
Testando portas e serviços 
A possibilidade de filtrar com base no protocolo e no número da porta permite criar ACL’s 
estendidas muito específicas. 
Utilizando o número de porta apropriado, você pode especificar um aplicativo, configurando 
esse número ou o nome de uma porta bem conhecida. 
A figura a seguir mostra alguns exemplos de como um administrador especifica um número 
de porta TCP ou UDP, colocando-o no final da instrução da ACL estendida: 
 
access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq 23 
access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq 21 
access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq 20 
Operações lógicas podem ser utilizadas, tais como: 
 
As etapas procedurais para configurar as ACL’s estendidas são iguais àquelas referentes às 
ACL’s padrão: primeiro, você cria a ACL estendida e, só então, ativa-a em uma interface. 
No entanto, a sintaxe do comando e os parâmetros são mais complexos para dar suporte aos 
recursos adicionais fornecidos por ACL’s estendidas. 
Observe a seguir a sintaxe dos comandos de ACL estendida: 
Configurando ACL’s estendidas 
 
 
access-list access-list-number {deny | permit | remark} protocol source [source-wildcard] 
[operator operand] [port port-number or name] destination [destination-
wildcard][operator operand] [port port-number or name][established] 
 
 
 
No exemplo da imagem a seguir, o administrador de rede precisa restringir o acesso à 
internet para permitir apenas a navegação no site. Vejamos: 
Configurando ACL’s estendidas 
 
 
 
 
R1 (config) #access-list 103 permit tcp 192.168.10.0 0.0.0.255 any eq 80 
R1 (config) #access-list 103 permit tcp 192.168.10.0 0.0.0.255 any eq 443 
R1 (config) #access-list 104 permit tcp any 192.168.10.0 0.0.0.255 established 
 A ACL 103 permite solicitações para as portas 80 e 443. 
A ACL 104 permite HTTP estabelecido e respostas HTTPS. 
A ACL 103 se aplica ao tráfego que deixa a rede 192.168.10.0, e a ACL 104, ao tráfego que 
chega à rede. A ACL 103 atende à primeira parte do requisito. Ela permite ao tráfego 
proveniente de qualquer endereço na rede 192.168.10.0 ir a qualquer destino, estando sujeito 
à limitação de chegar apenas às portas 80 (HTTP) e 443 (HTTPS). 
A natureza de HTTP exige que esse tráfego volte na rede, mas o administrador de rede quer 
restringir esse tráfego a trocas HTTP nos sites solicitados. A solução em segurança deve 
negar qualquer outro tráfego que chega à rede. 
A ACL 104 faz isso por meio do bloqueio de todo o tráfego de entrada, EXCETO pelasconexões estabelecidas. 
 
HTTP estabelece conexões que começam pela solicitação original e passam pela troca de 
mensagens ACK, FIN e SYN. 
 Observe que o exemplo anterior utiliza o parâmetro established, que permite a respostas 
trafegar com origem na rede 192.168.10.0 /24 e retornar à entrada em s0/0/0. Uma 
correspondência ocorrerá se o datagrama TCP tiver os bits ACK ou de redefinição (RST) 
definidos, o que indica que o pacote pertence a uma conexão existente. 
Com o parâmetro established, o roteador permitirá apenas ao tráfego estabelecido voltar e 
bloquear todos os demais tráfegos. 
 
Aplicar ACL às interfaces 
Quando vamos aplicar uma ACL a uma interface devemos atentar se o tráfego que você 
deseja filtrar está entrando ou saindo. A tentativa de acessar sites na Internet é tráfego 
saindo. 
Receber e-mails na Internet é tráfego entrando na empresa. No entanto, durante a 
consideração de como aplicar uma ACL a uma interface, entrar e sair ganham significados 
diferentes, dependendo do ponto de vista. 
 
 
No exemplo da imagem a seguir, R1 tem duas interfaces. Observe: 
 
 
R1 (config) #interface S0/0/0 
R1 (config) #ip access-group 103 out 
R1 (config) #ip access-group 104 in 
 Ela tem uma porta serial, S0/0/0, e uma porta Fast Ethernet, Fa0/0. O tráfego de Internet que 
chega entra pela interface S0/0/0, mas sai pela interface Fa0/0 para alcançar PC1. O exemplo 
aplica a ACL à interface serial em ambas as direções. 
Já na próxima imagem, temos um exemplo da negação de tráfego FTP na sub-rede 
192.168.11.0 para a sub-rede 192.168.10.0, mas que permite todo o tráfego restante. Observe 
a utilização de máscaras curinga: 
 
 
R1 (config) #access-list 101 deny tcp 192.168.11.0 0.0.0.255 192.168.10.0 0.0.0.255 eq 21 
R1 (config) #access-list 101 deny tcp 192.168.11.0 0.0.0.255 192.168.10.0 0.0.0.255 eq 20 
R1 (config) #access-list 101 permit ip any any 
R1 (config) #interface Fa0/1 
R1 (config) #ip access-group 101 in 
 
Lembre-se de que, como o FTP exige as portas 20 e 21, você precisa especificar ambas 
eq 20 e eq 21 para negar FTP. 
Com ACL’s estendidas, você pode escolher utilizar números de porta como os do exemplo 
ou chamar uma porta bem conhecida pelo nome. 
As ACL’s mostradas abaixo são equivalentes: 
 
Utilizando números da porta 
 
access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq 23 
access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq 21 
access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq 20 
 
 
Utilizando palavras-chave 
 
access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq telnet 
access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq ftp 
access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq ftp-data 
 
 Atividade 
Para finalizar esta aula, vamos fazer uma nova atividade utilizando o Packet Tracer (PKT). 
Conheça, então, o passo a passo para configurar uma Rede com VLAN trunk. 
(Atividade elaborada pelo professor Jose Silvério) 
Vamos montar uma rede em estrela com 2 switches Cisco 2950-24 – o primeiro (SW01) 
conectado a 6 hosts, e o segundo (SW02), a 5 – de uma editora de livros composta de dois 
departamentos: 
 Departamento Educacional – responsável pela edição e pela produção dos livros; 
 Departamento de Vendas. 
Ambos serão configurados em VLAN’s distintas. 
 
Como mostra o diagrama a seguir, os 2 switches se interligam, em salas diferentes, por meio 
de um cabo cross-over: 
 
1. Clique em cada host para configurar um endereço IP estático de classe C: 10.30.10.0/24. 
Sugestão 
IP do Host PC0: 10.30.10.2  Máscara: 255.255.255.0 (classe C) 
IP do Host PC1: 10.30.10.3  Máscara: 255.255.255.0 (classe C) ... 
IP do Host PC10: 10.30.10.12  Máscara: 255.255.255.0 (classe C) 
 
2. Certifique-se de que existe conectividade entre os hosts a partir do comando ping: 
 
3. Crie, agora, as VLAN’s de acesso (VLAN 5 e 10) no switch SW01 e SW02. Clique duas 
vezes sobre o switch na aba CLI (Command Line Interface): 
Atenção em { } são comentários a cada linha de comando 
Switch>enable { habilitando o modo privilegiado } 
Switch#configure terminal { habilitando o modo de configuração global } 
Switch(config)#hostname SW01 { designando o nome do switch 0 } 
SW01(config)#vlan 5 { configurando a VLAN 5 } 
SW01(config-vlan)#name EDUCACIONAL { atribuindo o nome à VLAN } 
SW01(config-vlan)#exit 
SW01(config)#vlan 10 
SW01(config-vlan)#name VENDAS 
SW01(config-vlan)#exit 
SW01#show vlan brief { verifique se as VLAN’s estão criadas } 
VLAN Name Status Ports 
---- -------------------------------- --------- ------------------------------- 
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 
 Fa0/5, Fa0/6, Fa0/7, Fa0/8 
 Fa0/9, Fa0/10, Fa0/11, Fa0/12 
 Fa0/13, Fa0/14, Fa0/15, Fa0/16 
 Fa0/17, Fa0/18, Fa0/19, Fa0/20 
 Fa0/21, Fa0/22, Fa0/23, Fa0/24 
5 EDUCACIONAL active 
10 VENDAS active 
1002 fddi-default active 
1003 token-ring-default active 
1004 fddinet-default active 
1005 trnet-default active 
Switch# 
 
4. Associe as portas físicas de acesso às VLAN’s 5 do Departamento Educacional e 10 do 
Departamento de Vendas no SW01: 
SW01(config)#interface range fastEthernet 0/1-3 { selecionando as portas de 1 a 3 } 
SW01(config-if-range)#switchport mode access { atribuindo o modo access às portas } 
SW01(config-if-range)#switchport access vlan 5 { associando à VLAN 5 } 
SW01(config-if-range)#exit 
SW01(config)#interface range fastEthernet 0/4-6 { selecionando as portas de 4 a 6 } 
SW01(config-if-range)#switchport mode access { atribuindo o modo access às portas } 
SW01(config-if-range)#switchport access vlan 10 { associando à VLAN 10 } 
SW01(config-if-range)#exit 
5. Verifique se as portas físicas estão associadas às respectivas VLAN’s: 
SW01#show vlan brief 
VLAN Name Status Ports 
---- -------------------------------- --------- ------------------------------- 
1 default active Fa0/7, Fa0/8, Fa0/9, Fa0/10 
 Fa0/11, Fa0/12, Fa0/13, Fa0/14 
 Fa0/15, Fa0/16, Fa0/17, Fa0/18 
 Fa0/19, Fa0/20, Fa0/21, Fa0/22 
 Fa0/23, Fa0/24 
5 EDUCACIONAL active Fa0/1, Fa0/2, Fa0/3 
10 VENDAS active Fa0/4, Fa0/5, Fa0/6 
1002 fddi-default active 
1003 token-ring-default active 
1004 fddinet-default active 
1005 trnet-default active 
SW01# 
Em seguida, faça um teste de conectividade entre os hosts de uma mesma VLAN e de 
VLAN’s diferentes do SW01. O que acontece? 
Vamos repetir o que foi feito no SW01 para o SW02. Dessa vez, ao invés de CLI, 
utilizaremos o configurador gráfico do Packet Tracer 5.3.3. 
1. Clique duas vezes no switch 1 e na aba config. 
Configurando o hostname 
 
Observe que os comandos equivalentes à CLI aparecem na caixa de texto inferior. 
Configurando as VLAN’s 
a) Na aba Config, escolha a opção VLAN Database, informando a VLAN e seu nome: 
 
b) Clique em add para adicionar a VLAN: 
 
Observe que, na lista, aparece, agora, a VLAN 5 e seu nome. Repita o mesmo para a VLAN 
10 (VLANname VENDAS). 
Vamos associar as portas de 1 a 3 para a VLAN 5 e as portas 4 e 5 para a VLAN 10. 
1. Clique na aba Config > Interface Fastethernet 0/1, escolha a opção Access e marque a 
VLAN 5 – EDUCACIONAL: 
 
Repita o procedimento para as portas 0/2 e 0/3. 
Na porta 0/4, marque a VLAN 10 – VENDAS: 
 
Em seguida, faça um teste de conectividade entre os hosts de uma mesma VLAN e de 
VLAN’s diferentes do SW02. O que acontece? 
Depois, faça um novo teste de conectividade, mas, agora, entre os hosts de uma mesma 
VLAN do SW01 e SW02. O que acontece? 
Ao realizar tais testes de conectividade entre hosts de uma mesma VLAN, mas de switches 
diferentes, verificamos que estes falham. Isso ocorre porque precisamos configurar o trunk 
entre os 2 switches, o que permite o trânsito de dados da VLAN 5 e da VLAN 10. 
1. No SW01 ou SW02, clique na aba CLI, selecione o modo de configuração e a interface 
0/24, usada para interligar os switches com cabo cross: 
SW01(config)#interface fastethernet 0/24 
SW01(config)# switchport trunk encapsulation dot1q 
SW01(config-if)#switchport mode trunk 
Faça, agora, um teste de conectividade entre os hosts de uma mesma VLAN do SW01 e 
SW02. O que acontece? 
Par finalizar, vamos emular o teste de conectividade com o simulador. 
1. Clique na opção Simulation no canto inferior esquerdo: 
 
2. No Simulation Panel, escolha a opção Edit Filters: 
 
3. Desmarque todos os protocolos, deixando apenas o ICMP habilitado: 
 
4. Clique na opção Add PDU (Protocol Data Unit) no canto inferior esquerdo da tela e 
adicione a PDU no PC0 até o PC6: 
 
Observe que a PDU aparece na lista de simulação no status In Progress. 
5. Clique em Toggle PDU List Window > Auto Capture / Play ou Capture / Forward: 
 
 
Redes Convergentes / Aula 8 - Políticas de Qualidade de Serviço (QoS) 
Introdução 
Com o avanço das redes de comunicação e das aplicações em tempo real 
interligando um número de usuários cada vez maior, as necessidades de suporte 
da rede ao aplicativo têm se multiplicado a cada dia. 
 
A necessidade de transmissões mais rápidas e confiáveis, que garantam a 
satisfação desse cliente/aplicativo, gera cada vez mais exigências na rede. 
 
Contudo, não basta apenas aumentar a banda e a velocidade das transmissões. 
Tem de haver a garantia de entrega e recebimento dos pacotes que trafegam na 
rede, e, ainda, em um tempo compatível com as exigências de cada aplicação. 
 
As aplicações em tempo real requerem garantias rigorosas de que chegarão a 
tempo a seu destino, anulando a retransmissão e o descarte de pacotes – garantias 
estas que devem ser dadas pela rede em que trafegam. 
 Já aplicações que não são de tempo real, que são 
menos rigorosas, podem dispor de um tempo ligeiramente maior para 
entrega fim-a-fim, podendo, assim, haver retransmissões e descartes 
de pacotes. 
 
Logo, há redes que têm de prestar um tratamento diferenciado para cada tipo de 
aplicação. Então, diz-se que essas redes, que podem fornecer esses níveis de 
serviços diferenciados, suportam Qualidade de Serviço – Quality of Service (QoS). 
 
Nesta aula, vamos estudar os parâmetros de QoS e entender como se realiza a 
marcação de tráfego. Veremos, ainda, as classes de serviço. 
 
Bons estudos! 
Fundamentos da QoS 
QoS é o acrônimo de Quality of Service, ou seja, Qualidade de Serviço. Trata-se de uma 
nomenclatura genérica para designar um conjunto de algoritmos capazes de fornecer vários 
níveis de tratamentos para diferentes tipos de tráfego na rede. O propósito dessa tecnologia é 
otimizar o uso da banda passante, provendo um tráfego fim-a-fim eficaz e econômico. 
 
A QoS resolve a necessidade da aquisição de mais banda para a rede, pois supre a demanda 
de tráfego das LAN’s/WAN’s de forma inteligente e organizacional, por meio dos mais 
diversos mecanismos de que dispõe. 
 
A QoS é muito importante para as redes convergentes, pois as torna capazes de transportar, 
de modo simultâneo e bem próximo ao ideal, os mais diversos tráfegos – tais como vídeo, 
voz e dados –, sem que um interfira no outro. 
 
Cada um desses tráfegos merece um tratamento especial conforme suas características. 
Assim, é necessário que os cuidados especiais sejam obedecidos para que não ocorram 
possíveis problemas. 
Parâmetros de QoS 
As necessidades das aplicações são medidas de acordo com os seguintes parâmetros: 
 
LARGURA DE BANDA (VAZÃO): Quantidade efetiva da informação transmitida pela 
fonte que chega ao destino. A vazão corresponde aos requisitos de largura de banda exigidos 
por uma aplicação. 
ATRASO (RETARDO OU LATÊNCIA): Tempo decorrido desde a geração de uma 
mensagem pelo emissor na extremidade de uma conexão até seu recebimento pelo receptor 
na outra extremidade. É o somatório dos atrasos impostos pela rede e pelos equipamentos 
utilizados na comunicação. 
 
Há dois tipos de atraso: 
• Latência – tempo usado para equipamentos; 
• Retardo – tempo mais usado para a transmissão de dados. 
JITTER (FLUTUAÇÃO DO ATRASO) : Variação no tempo e na sequência da entrega das 
informações, devido à variação no atraso da rede. O jitter é importante para as aplicações 
cuja operação adequada depende, de alguma forma, da garantia de que as informações 
devem ser processadas em períodos de tempo bem definidos. 
PERDA DE PACOTES (CONFIABILIDADE): Nas redes IP, esta perda ocorre, 
principalmente, em função do descarte de pacotes nos roteadores e switches em situações de 
congestionamento, mas também devido a erro durante o transporte dos pacotes. 
Aplicações diferentes possuem diferentes necessidades. 
 
As aplicações em tempo real requerem que os dados sejam transmitidos em determinado 
espaço máximo de tempo para que sejam considerados úteis e para que suportem pequenos 
erros e perdas. 
 
Já as aplicações que não são em tempo real suportam determinada variação no atraso de uma 
transmissão, mas são muito sensíveis a erros e a perdas. 
 
A tabela a seguir mostra a sensibilidade de vários tipos de aplicação aos parâmetros de QoS: 
 
Modelos de QoS 
Em uma rede sem QoS, o tráfego não é segregado e chega ao destino da melhor forma 
possível, baseado nas rotas do processo de roteamento e na largura de banda disponível. Em 
caso de congestionamento, os pacotes são descartados sem distinção. Esse modelo é 
denominado Melhor Esforço. 
 
Com QoS, o tráfego de algumas aplicações pode ter tratamento prioritário, e o tráfego de 
outras continua com o atendimento de Melhor Esforço. Nesse caso, quando há o 
congestionamento, os pacotes com atendimento de Melhor Esforço são descartados antes. 
 
Existem dois modelos para implementar QoS: 
 
Com o IntServ, antes de iniciar uma comunicação, o emissor solicita ao receptor a alocação 
de recursos necessários. O protocolo Reservation Protocol (RSVP - Protocolo de Reserva de 
Recursos) é utilizado para o controle de alocação dos recursos. 
O modelo DiffServ implementa a QoS com base na definição de classes de serviços, 
utilizando o campo ToS do cabeçalho IP, como mostrado a seguir: 
 
Melhor Esforço 
O IP protocolo básico da camada de redes da internet é um protocolo de Melhor Esforço e 
não oferece qualquer tipo de garantia. 
 
O modelo de Melhor Esforço trata todos os pacotes de rede da mesma forma. Assim, uma 
mensagem de voz de emergência é tratada da mesma maneira que uma fotografia digital 
anexada a um e-mail. 
 
Como nesse modelo não há QoS, a rede não pode saber a diferença entre pacotes e, como 
resultado, não pode tratar os pacotes de modo preferencial. 
 
O modelo de Melhor Esforçoé um conceito semelhante a enviar uma carta usando o correio 
normal. A carta é tratada de forma idêntica a todas as outras cartas. 
 
Com esse modelo, a carta pode nunca chegar e, a menos que você tenha um acordo de 
notificação separado com o destinatário da carta, pode ser que você nunca saiba que esta não 
chegou. 
 
Veja as vantagens e desvantagens do modelo de Melhor Esforço: 
 
Serviços integrados (IntServ) 
O IntServ usa uma abordagem orientada à conexão, herdada do projeto da rede de telefonia. 
Cada comunicação individual deve especificar, explicitamente, seu descritor de tráfego e os 
recursos de solicitação à rede. 
 
O roteador de borda realiza o controle de admissão para garantir que os recursos disponíveis 
sejam suficientes na rede. 
 
O padrão de IntServ supõe que os roteadores ao longo de um caminho estabelecem e mantêm 
o estado de cada comunicação individual. 
 
A imagem a seguir é uma ilustração simples desse modelo: 
 
No modelo de IntServ, o aplicativo solicita um tipo específico de serviço da rede antes de 
enviar dados. O aplicativo informa a rede do perfil de tráfego e solicita determinado tipo de 
serviço que pode abranger os requisitos de largura de banda e de atraso. 
 
O IntServ usa o protocolo RSVP para sinalizar as necessidades de QoS de tráfego de um 
aplicativo nos dispositivos no caminho ponta a ponta pela rede. 
 
Se os dispositivos de rede ao longo do caminho puderem reservar a largura de banda 
necessária, o aplicativo de origem poderá começar a transmissão. Mas, se a reserva solicitada 
falhar no caminho, o aplicativo de origem não enviará qualquer dado, como mostra a 
imagem a seguir: 
 
A imagem a seguir ilustra como ocorre o procedimento de reserva utilizando o RSVP: 
 
Primeiramente, o servidor define um caminho fixo para o cliente por meio da mensagem 
PATH. Essa mensagem inclui a descrição dos parâmetros do tráfego que será transmitido. 
 
O cliente, por sua vez, efetua o pedido de reserva de recursos para o roteador 1, indicando o 
quanto de banda necessita e uma folga de atraso. A folga de atraso permite que os roteadores 
ao longo do caminho utilizem uma banda menos prioritária para transportar os pacotes da 
reserva. Quanto mais folga for cedido ao roteador, mais ele poderá bufferizar os pacotes 
recebidos, aguardando a passagem de momentos de congestionamento para transportar os 
pacotes. Se a folga for muito pequena, o roteador precisará utilizar recursos privilegiados, 
que são mais escassos. 
 
No exemplo anterior, o roteador 1 não tem banda suficiente para tratar a requisição sem 
atraso. Por isso, ele aloca a reserva em sua faixa menos privilegiada, consumindo 10 ms da 
folga. 
 
Observe que o pedido de reserva é passado para o roteador 2 com a folga reduzida a 20 ms. 
 
O processo se repete até que a reserva chegue ao servidor. O servidor, por sua vez, envia a 
mensagem de confirmação da reserva para o cliente. 
 
Se algum dos roteadores ao longo do caminho não puderem atender a reserva, uma 
mensagem de erro será retornada ao cliente. Por exemplo, se o roteador 1 não puder atender 
a reserva, ele simplesmente retornará um erro ao cliente sem repassar o pedido ao roteador 2. 
 
Conheça as vantagens e desvantagens do modelo de IntServ: 
 
 
Serviços Diferenciados (DiffServ) 
O modelo QoS de DiffServ especifica um mecanismo simples e escalável para classificar e 
gerenciar o tráfego de redes e para proporcionar garantias de QoS em redes IP modernas. Por 
exemplo, o DiffServ pode oferecer serviço de baixa latência garantida para tráfego de redes 
crítico – como voz ou vídeo – e, ao mesmo tempo, garantias de tráfego de Melhor Esforço 
simples para serviços não críticos – como transferências de arquivos ou tráfego da web. 
 
O design do DiffServ supera as limitações de Melhor Esforço e de modelos IntServ. O 
modelo de DiffServ está descrito em RFCs 2474, 2597, 2598, 3246, 4594 e pode fornecer 
um QoS “praticamente garantido”, além de ser econômico e escalável. 
 
O modelo de DiffServ é um conceito semelhante a enviar um pacote usando um serviço de 
entrega. Você solicita (e paga por) um nível de serviço quando envia um pacote. 
 
Pela rede de pacotes, o nível de serviço pelo qual você pagou é reconhecido, e o pacote é 
atribuído ao serviço preferencial ou normal, dependendo do que solicitou. 
 
O DiffServ não é uma estratégia de ponta a ponta, pois não pode aplicar garantias desse tipo. 
Entretanto, trata-se de uma abordagem mais escalável para implementar a QoS. Diferente do 
IntServ e de seu QoS rígido, em que os hosts finais do QoS sinalizam suas necessidades para 
a rede, o DiffServ não usa sinalização. 
 
Em vez disso, o DiffServ usa uma abordagem “mais leve” (soft QoS), que funciona no 
modelo de QoS provisionado, no qual os elementos da rede estão configurados para atender 
às várias classes de tráfego – cada uma com requisitos diversificados de QoS. 
 
Devido ao menor consumo de recursos, esse é o modelo mais utilizado de QoS. 
 
A imagem a seguir é uma ilustração simples do modelo de DiffServ: 
 
 
A metodologia de DiffServ chama de domínio DiffServ um conjunto de roteadores que 
disponibilizam serviço de comunicação IP com QoS, como mostra a imagem a seguir: 
 
 
Os roteadores de um domínio DiffServ são divididos em dois grandes grupos: 
 
 
O DiffServ utiliza o conceito de QoS para o tráfego agregado, em vez de fluxos individuais – 
como o IntServ. O esquema a seguir o ilustra: 
 
 
A ideia básica do DiffServ foi que os roteadores de núcleo tratariam apenas grandes classes 
de tráfego, deixando a tarefa de discriminar os fluxos individuais só para os roteadores de 
borda. Um roteador de borda executa duas funções principais: marcação e policiamento. 
Marcação: Determinação da classe agregada a que o tráfego do usuário pertence. 
Por exemplo, o roteador de borda 1 definiria que o usuário A pertence à classe ouro, o 
usuário B, à classe prata, e os usuários C e D, à classe bronze. 
Já o roteador de borda 2 indicaria que os usuários E e F pertencem à classe ouro, e os 
usuários G e H, à classe bronze. Os roteadores de borda marcam os pacotes do usuário com 
códigos padronizados, utilizando um novo campo no cabeçalho IP, a fim de permitir que os 
roteadores de núcleo identifiquem a classe dos pacotes sem possuir regras para cada usuário. 
Policiamento: O roteador de borda diminui a prioridade ou descarta o tráfego do usuário que 
exceda a seu contrato. 
O roteador de núcleo, por sua vez, implementa o tratamento diferenciado para cada uma das 
classes agregadas predefinidas, utilizando os mecanismos clássicos de QoS, como: 
• Priorização; 
• Descarte preventivo; 
• Escalonamento com múltiplas filas; 
• Controle da taxa de transmissão. 
Identificação do tráfego 
Através de Listas de Acesso (ACL’s), é possível identificar o tráfego, segregando os 
serviços. Dessa forma, podemos reconhecer: 
 
A identificação do tráfego pode ser feita a partir de informações disponíveis nos headers dos 
datagramas IP e dos segmentos TCP/UDP, bem como com base em outros critérios, tais 
como a interface, por meio da qual o tráfego é transportado. 
 
O passo seguinte à identificação do tráfego é sua marcação, seguindo um critério de classes. 
Cada tipo de tráfego pode ser associado a uma classe de serviço. 
 
Para isso, usamos o campo Type of Service (ToS) no header do datagrama IP. Um código 
binário é escrito no byte ToS, determinando a classe de serviço à qual o tráfego está 
associado. A marcação acompanha o datagrama ao longo da rota na rede. 
 
Para cada classe de serviço, é possível