Baixe o app para aproveitar ainda mais
Prévia do material em texto
Tutorial Packet Tracer 1. Se você clicar duas vezes no dispositivo, a tela de configuração abrirá. 2. No caso dos roteadores, é possível fazer as configurações físicas das interfaces. 3. É preciso desligar o roteador para configurá-lo fisicamente. 4. Em seguida, selecione o tipo de interface no painel, arraste-o e coloque-o no encaixe do roteador. 5. Depois, ligue novamente o dispositivo. É possível realizar as configurações básicas a partir da aba Config. Configurações avançadas devem ser feitas na Command Line Interface (CLI). Configuração da interface FastEthernet Observe que o painel inferior apresenta os comandos executados no S.O. do roteador. A console de comandos pode ser acessada para a configuração dos parâmetros do roteador. Configuração da interface Serial0/0 do Roteador 0 Configuração da interface FastEthernet do Roteador 1 Configuração da interface Serial0/0 do Roteador 1 Configurações nos hosts (computadores) a partir das abas Physycal, Config e Desktop Configurações de endereçamento Opções de configuração da aba Desktop Acesso à opção IP Configuration Acesso à opção Command Prompt Configuração do protocolo de roteamento dinâmico RIP no Roteador 0 a partir da Command Line Interface Configuração do protocolo de roteamento dinâmico RIP no Roteador 1 a partir da Command Line Interface Testando a configuração das rotas Salvando as configurações do roteador no arquivo de inicialização (gravar na flash) Utilizando o modo de simulação Utilizando o modo de simulação Clique na lupa e, depois, no pacote. Assim, será possível verificar o conteúdo da PDU. Ao continuar a simulação, o pacote será entregue ao destino. Examinando o pacote em Router 0 PDU’s em Router 0 Topologia de redes Você pode optar por construir esta topologia ou utilizar o arquivo Packet Tracer (PKT) já pronto. Se escolher a primeira opção, utilize os seguintes dados... PC0: Endereço IP: 192.10.10.1 Máscara: 255.255.255.0 Default Gateway: 192.10.10.254 PC1: Endereço IP: 192.10.10.2 Máscara: 255.255.255.0 Default Gateway: 192.10.10.254 PC2: Endereço IP: 192.11.11.1 Máscara: 255.255.255.0 Default Gateway: 192.11.11.254 PC3: Endereço IP: 192.11.11.2 Máscara: 255.255.255.0 Default Gateway: 192.11.11.254 Router 0: Interface esquerda: Endereço IP: 192.10.10.254 Máscara: 255.255.255.0 Interface direita: Endereço IP: 192.11.11.254 Máscara: 255.255.255.0 Etapa 1: Dar um ping I. Clique no envelope fechado que existe na aba direita da interface: II. Agora, com o envelope selecionado, dê um clique no PC0 e outro no PC1: Dessa forma, você fará um ping entre o PC0 e o PC1. Se a configuração estiver correta, deverá aparecer Sucessfull no canto inferior direito: III. Repita a operação entre o PC2 e o PC3. Se, no passo II ou III, não aparecer Successfull, verifique a configuração dos endereços IP. IV. Repita a operação entre o PC0 e o PC2. Na primeira tentativa, deverá falhar e, na segunda, funcionar. Em caso negativo, reveja a configuração do Router 0. V. Após funcionar, clique em Delete para limpar a lista de eventos: Etapa 2: Alternar entre modos tempo real e simulação I. Localize a palavra Realtime no canto inferior direito da interface do PKT. Nesse modo, a rede está sempre em execução como uma rede real – independente de trabalhar nela ou não. Suas configurações são feitas em tempo real, e a rede responde quase da mesma forma: II. Clique na guia diretamente atrás da Realtime, a fim de alternar para o modo Simulation. Neste, você pode ver sua rede ser executada em um ritmo mais lento, observando os caminhos que os dados percorrem e inspecionando os pacotes de dados em detalhes: III. Observe a lista de protocolos e clique em Show All/None (ela deve ficar vazia): IV. Clique, agora, em Edit Filters: V. Na caixa aberta, escolha IPv4/ICMP: VI. Na lista de protocolos, aparecerá apenas ICMP. VII. Realize um novo ping entre PC0 e PC2. Logo, aparecerá um pacote em PC0 e na lista de eventos (a cor do pacote pode variar a cada execução): VIII. No painel de simulação, clique em Auto Capture/Play. Você deve vê-lo, agora, viajando entre os dispositivos: IX. Clique em Auto Capture/Play novamente para pausar a simulação. X. Após a conclusão da simulação, clique em Delete e limpe a lista de eventos: XI. Realize um novo ping entre PC0 e PC2. Logo, aparecerá novamente um pacote em PC0 e na lista de eventos: XII. Clique em Capture/Forward para avançar a simulação. Em seguida, clique no botão mais algumas vezes para observar o efeito: Etapa 3: Verificar o conteúdo do pacote. I. Na topologia de rede à esquerda, clique no envelope que está sendo movido em um dispositivo intermediário e investigue o que está dentro dele: II. Clique na tab OSI Model e observe que, no Switch, somente há informações de duas camadas. Já quando você seleciona o pacote no Router, há três camadas. III. Clique nas guias Inbound PDU Details e Outbound PDU Details, e note que, nelas, aparecem os cabeçalhos dos protocolos Por fim, conheça os passos para construir a Topologia de redes. Agora que teve a oportunidade de explorar a rede representada no PKT, você pode ter adquirido algumas habilidades que gostaria de testar ou talvez queira entendê-la mais detalhadamente. Se a maior parte do que viu e praticou nessa interface está além de seu nível de conhecimento, lançamos, aqui, alguns desafios a você. Não se preocupe se não puder vencer todos. Você será um usuário master e um projetista de rede do PKT em breve! Redes Convergentes / Aula 6 - Roteamento em uma rede IP Introdução Quando desejamos sair de um host para outro que se localiza em outra rede, necessitamos encontrar o caminho para isso. Essa atividade é chamada de roteamento. Mas como saber a qual rede o host pertence? O suporte a essa verificação é provido pelo endereço IP, que também será objeto de estudo desta aula. Aqui, definiremos, ainda, as VLAN’s e entenderemos como ocorre o roteamento entre elas. Camada de redes A camada de redes é responsável pelo roteamento, ou seja, por encontrar o caminho (rota) entre o nó ou host de origem e o nó ou host de destino. É nessa camada que encontramos o protocolo IP e seu esquema de endereçamento, que nos permite determinar não somente o endereço do host mas também a rede a que ele pertence. O nível de rede provê os meios funcionais e procedurais para a transmissão de dados orientada ou não orientada à conexão. A imagem a seguir mostra os dois tipos de sistemas que existem em uma rede de dispositivos finais (computadores) e em uma rede de dispositivos intermediários (roteadores). Fonte: Camada de rede. Adaptado de: Kurose e Ross, 2010. Endereço IP Um endereço IP é formado por 32 bits (4 bytes). Cada byte é chamado de octeto. Logo, esse endereço é composto de 4 octetos (os campos W, X, Y, Z da imagem). Ele funciona como o identificador lógico para uma interface de rede. Trata-se de um endereço hierárquico que apresenta a rede em que a máquina está (ID de rede ou network ID) e o identificador da máquina naquela rede (ID host ou host ID). Para isso, parte dos octetos define o ID da rede, e a outra parte, o id do host, como mostra a imagem a seguir: Endereço IP: 11010000 11110101 00011100 10000011 Representação: 208.245.28.131Vejamos como isso é feito: 1. Inicialmente, separamos os 32 bits nos 4 octetos que compõem o endereço. 2. Em seguida, transformamos o número binário formado pelo octeto em decimal. 3. Por último, juntamos os números decimais e os separamos por um ponto (“.”). Observe a representação a seguir: Endereço IP Dessa forma, ao contrário do endereço físico da interface, o endereço IP muda à medida que deslocamos o host de uma rede para outra. Esse endereço utiliza a Notação Decimal Pontuada, na qual cada octeto é representado por um número decimal (de 0 a 255) separados por um ponto (“.”). Endereçamento por classes (class full) A forma encontrada para determinar as porções rede e host do endereço foi adotar classes de endereçamento. Aquelas originalmente utilizadas na internet são: A tabela a seguir apresenta essas classes: Fonte: Professor Antonio Sergio Alves Cavalcante. Os octetos para network ID são sempre os primeiros a partir da esquerda. Por exemplo: IP de classe A: 10.15.30.50 Network ID: 10 Host ID: 15.30.50 A distinção entre as classes é realizada pelo valor do primeiro octeto do endereço (mais à esquerda) – observe, na tabela anterior, o range de endereços de cada classe. Os hosts com mais de uma interface de rede possuem um endereço IP para cada uma. Esse endereço identifica não uma máquina, e sim uma conexão à rede. Alguns endereços são reservados para funções especiais, tais como: ENDEREÇO DE REDE: Aquele que identifica a própria rede – e não uma interface de rede específica –, representado por todos os bits de host ID com o valor 0 (ZERO). Exemplos 19.0.0.0 Identifica a rede 19 (endereço classe A); 139.40.0.0 Identifica a rede 139.40 (endereço classe B); 199.27.90.0 Identifica a rede 199.27.90 (endereço classe C). ENDEREÇO DE BROADCAST: Aquele que identifica todas as máquinas na rede específica, representado por todos os bits de host ID com o valor 1 (UM). Exemplos 19.255.255.255 Endereço de broadcast na rede 19.0.0.0; 139.40.255.255 Endereço de broadcast na rede 139.40.0.0; 199.27.90.255 Endereço de broadcast na rede 199.27.90.0. Portanto, em cada rede (A, B ou C), são reservados o primeiro e o último endereços, e eles não podem ser usados por interfaces de rede. A tabela a seguir ilustra a situação: Endereços de rede e broadcast Fonte: Professor Antonio Sergio Alves Cavalcante. O endereçamento baseado em classes NÃO é mais empregado na internet. Hoje, utilizamos o chamado endereçamento sem classes (class less). Endereçamento sem classes (class less) O endereçamento por classes que estudamos anteriormente não era eficiente para a distribuição de endereços. Com o crescimento da internet, o número de redes interconectadas aumentou muito, o que agravou o problema de disponibilidade de endereços IP – especialmente o desperdício de endereços em classes C e B. Visando diminuir essa perda e ampliar a quantidade de endereços disponíveis sem afetar o funcionamento dos sistemas existentes, decidiu-se flexibilizar o conceito de classes, cuja divisão entre rede e host ocorre somente a cada 8 bits. Para conseguir essa flexibilização, foi criada a máscara de subrede, que, além de dividir a rede em subredes, permitiu realizar o endereçamento sem classes, já que determina a porção rede (network ID) e a porção host (host ID) do endereço. Da mesma forma que o endereço IP, a máscara de subrede é formada por 4 octetos com uma sequência contínua de 1 mais uma de 0. A porção de bits em 1 identifica aqueles utilizados para identificar a rede no endereço, e a porção em 0, aqueles que determinam a estação. A máscara também pode ser compreendida como um número inteiro que diz a quantidade de bits 1 (um) utilizados. Por exemplo, uma máscara com valor 255.255.255.192 poderia ser representada como /26, o que significa que os 26 primeiros bits (contados da esquerda para a direita) estão ligados (valor 1), e os 6 últimos, desligados (valor 0). Observe a seguir uma representação desse mecanismo: Máscara de subrede Adaptado de: Kurose e Ross, 2010. No endereço exposto (200.18.160.X), o network ID possui 26 bits, e o host ID, os 6 bits restantes. Dessa forma, o endereço 200.18.160.0 da antiga classe C pode ser dividido em quatro redes com estas identificações: Observe que os quatro endereços de rede são independentes entre si. Eles podem ser empregados em redes completamente separadas e, até mesmo, utilizados em instituições distintas. Em termos de identificação da rede, utilizamos os mesmos critérios anteriores, ou seja, todos os bits de identificação do host são 0. Quando todos esses bits são 1, isso identifica um broadcast naquela rede específica. Sendo assim, existem as seguintes identificações: Após a análise do uso de subredes, concluímos que a identificação de uma rede é, na verdade, um espaço de endereçamento, que pode ser usado da forma mais indicada. Roteamento IP O destino de um pacote que é enviado por uma máquina pode ser o: Para encaminhar o pacote ao roteador, o host de origem endereça, em nível de camada de rede, o pacote com o IP da máquina de destino, que se encontra na outra rede. Já em nível de enlace, esse mesmo host coloca no quadro, como MAC de destino, o endereço físico da interface do roteador que está em sua rede. Quando recebe o quadro com seu MAC no destino, o roteador realiza as seguintes operações: Fonte: Khvost / Flat_Enot / Shutterstock Tal processo se repete em cada roteador ao longo do caminho até que o pacote chegue ao destino final. Esse tipo de roteamento é chamado de Next-Hop Routing, já que um pacote é sempre enviado ao próximo roteador no caminho. Nele, não há necessidade de que um roteador conheça a rota completa até o destino. Cada roteador deve conhecer apenas o próximo roteador ao qual tem de enviar a mensagem. Observe o exemplo a seguir: Adaptado de: Tanenbaum, 2003. Os passos que devem ser seguidos para que uma estação envie uma mensagem IP para outra estação: Quando uma estação (como a A) deseja enviar uma mensagem IP à outra rede (como a estação B), deve seguir estes passos: 1. Identificar que o host de destino está em outra rede e que, por isso, a mensagem deve ser enviada a um roteador; 2. Determinar, por meio da tabela de rotas da máquina de origem, o roteador correto para enviar a mensagem; 3. Descobrir, com base no protocolo ARP, o endereço MAC do roteador; 4. Enviar o quadro, tendo como MAC de destino o endereço físico do roteador com o endereço de destino no pacote IP da estação; 5. Rotear o pacote, observando o endereço IP de destino e verificando para que rede ele é endereçado – ao receber o quadro com seu endereço MAC, mas com um endereço de rede (IP) que não é o seu, o roteador procura fazer isso; 6. Descobrir o endereço MAC da estação de destino (via ARP) – no caso da figura, em que o roteador atende a duas redes (de origem e de destino); 7. Encapsular, finalmente, o pacote em quadro com o endereço MAC da estação B (0D.0A.12.07.71.FF) e transmiti-lo à rede. Vejamos, agora, mais um exemplo de utilização de vários roteadores. A imagem a seguir mostra a topologia: Fonte: Professor Antonio Sergio Alves Cavalcante. O que ocorre quando o host 200.1.1.1 deseja enviar uma informação dentro de um datagrama IP ao host de destino 200.2.2.1. O host 200.1.1.1 (pertencente à rede 200.1.1.0) necessita se comunicar com um host 200.2.2.1 (pertencente à outra rede – 200.2.2.0). 1. Como o destino não se encontra na mesma rede, é precisoencaminhar o datagrama IP (pacote IP) ao equipamento que o interliga a outras redes – nesse caso, o roteador A (conhecido como default gateway ou roteador default). Resumindo, o default gateway da 200.1.1.0/24 é o roteador A. Os endereços IP do datagrama são mantidos – tanto a origem host 200.1.1.1 quanto o destino host200.2.2.1. 2. Ao receber o datagrama IP por meio da interface de entrada, o roteador A analisa sua tabela de rotas, toma uma decisão de roteamento e o encaminha para o roteador B, realizando sua tarefa – o roteamento de datagramas IP ou pacotes IP. Logo, encaminha-se o datagrama IP para o próximo salto ou roteador até que este chegue a seu destino (200.2.2.1). 3. Da mesma forma, o roteador B analisa sua tabela de rotas e encaminha o datagrama IP para o roteador D. 4. Os roteadores D, E e F fazem o mesmo processo, encaminhando o datagrama IP para os rotadores subsequentes. 5. Por fim, o roteador F verifica que uma de suas interfaces se encontra na rede 200.2.2.0/24 e entrega o datagrama ao 200.2.2.1. Vale destacar que a decisão de roteamento é tomada quando o datagrama IP entra por uma interface do roteador. Com base no endereço IP de destino, define-se por que interface de saída o datagrama IP deve seguir viagem para alcançar seu destino. Esse ato de entrar por uma interface, tomar a decisão de roteamento e sair por outra interface também pode ser chamado de repasse entre as interfaces de entrada e saída. A imagem a seguir ilustra uma estrutura de redes e a tabela de rotas dos roteadores: Nos sistemas operacionais, geralmente, a rota default é representada como a rede 0.0.0.0. ** Não mostrado na imagem. Adaptado de: Tanenbaum, 2003. Observe que as tabelas de rotas de cada roteador são diferentes. Nelas, existem rotas diretas(Informações redundantes para identificar a capacidade de acessar a própria rede à qual os roteadores estão conectados), que, apesar de parecerem redundantes, são úteis para mostrar, de forma semelhante, as rotas diretas às redes conectadas diretamente ao roteador. Além disso, também há uma rota default (Resumo de diversas rotas encaminhadas pelo mesmo próximo roteador) – aquela utilizada durante a decisão de roteamento no caso de não existir uma rota específica para a rede destino da mensagem IP. Sem a utilização dessa rota, a tabela de rotas deveria possuir uma linha para cada rede que pudesse ser endereçada. Em uma rede como a internet, isso seria completamente impossível. A alimentação das informações na tabela de rotas pode ocorrer de modo estático (Neste tipo de alimentação, as rotas são preenchidas de forma manual – geralmente pela configuração inicial da máquina.) ou dinâmico (Neste tipo de alimentação, protocolos como RIP, RIP2, OSPF ou BGP são responsáveis pela aquisição de informações sobre a topologia da rede e a publicação de rotas na tabela de rotas dos roteadores envolvidos.) ou ambos simultaneamente. Virtual LAN Inicialmente, vamos relembrar os conceitos de Local Area Network (LAN), conforme mostra a imagem a seguir: Prédio de 2 andares Empresa ABC1234 Rede convencional Prédio de 2 andares Empresa ABC1234 Rede convencional Aqui, existem duas redes locais: LAN1 – RH (Recursos Humanos) e LAN2 – FIN (FINanceiro). As LAN’s se comunicam e são separadas por meio do roteador que se encontra no primeiro andar, segmentando a rede em duas redes lógicas diferentes (10.1.1.0/24 e 10.2.2.0/24). Vamos considerar uma expansão nessa rede: acrescentando uma nova uma LAN – VENDAS (rede convencional B), o custo aumenta muito com mais um switch por andar e mais uma interface FastEthernet no roteador. Suponhamos, agora, que haja uma nova expansão nessa rede: a empresa ABC1234 vai replicar seu site em São Paulo e em Florianópolis, respectivamente. A replicação desse projeto em outros dois sites acarreta a aquisição de 12 switches e 2 roteadores com, no mínimo, 3 interfaces FastEthernet cada. Mas há um problema nessa expansão: o diretor financeiro chegou à conclusão de que o custo desses equipamentos torna o projeto inviável. É simples: reduzir custos com a tecnologia Virtual Local Area Network (VLAN) ou o protocolo IEEE 802.1q. Denominação motivada pelo fato de que os domínios de broadcast não são mais segmentados por separação física, e sim por software, por meio de configuração, o que define a porta que pertence à determinada LAN – a qual passa a se chamar de VLAN por estar separada virtualmente. Prédio de 2 andares Empresa ABC1234 Rede convencional Prédio de 2 andares Empresa ABC1234 Rede local virtual A vantagem dessa migração é que sobram 2 switches para os outros sites. Além disso, há grande economia de equipamentos. Se as redes passarem a ter necessidades diferentes de estações por andar, é mais fácil acomodar essas novas alterações, o que propicia grande flexibilidade ao projeto. Agora, vamos adicionar a VLAN de VENDAS: Prédio de 2 andares Empresa ABC1234 Rede convencional Prédio de 2 andares Empresa ABC1234 Rede local virtual Assim como nas LAN’s, cada VLAN tem de possuir seu endereçamento de rede lógica (IP) separado e configurar cada porta para pertencer à determinada VLAN. A porta configurada para uma estação normal é do tipo acesso, e cada porta de acesso DEVE ser configurada para pertencer a uma VLAN. Resumindo: Todas as reações das LAN’s são praticamente as mesmas das VLAN’s. Tipos de VLAN O TCP/IP (pilha de protocolos da internet) praticamente extinguiu as VLAN’s por protocolos, deixando, sobretudo, as VLAN’s por porta – quando as portas são associadas à determinada VLAN. Na atualidade, o tipo de tráfego transportado pela VLAN define sua função. Vamos conhecer alguns: VLAN DE DADOS: VLAN DE DADOS A maioria das VLANs são configuradas para transportar os dados das aplicações do usuário. Algumas aplicações possuem destaque, passando a compor seu próprio tipo de VLAN. Exemplos: VLAN que transporta o tráfego de voz, de gerência etc. Como são sensíveis e necessitam de tratamento diferenciado, esses tráfegos são separados da VLAN de dados – também conhecida como VLAN de usuário. VLAN PADRÃO: Quando o switch é ligado, configurando VLAN’s ou não, este entra em funcionamento, e todas as portas se comunicam – já que, na inicialização, elas pertencem à VLAN padrão (VLAN 1 na Cisco). Todas essas portas pertencem ao mesmo domínio de broadcast – tecnicamente mesma rede lógica. A VLAN 1 implementa os recursos das VLAN’s, com a exceção de não poder ser excluída ou renomeada. VLAN NATIVA: Para atravessar uma interligação entre switches (tunk), as VLAN’s devem utilizar a tag de VLAN (802.1q) para a devida identificação de domínio de broadcast (rede ou VLAN) a que esta pertence. Nesse trunk, passam frames marcados e não marcados. A dúvida é a seguinte: Por que passar tráfego não marcado? É simples: para manter a interoperabilidade com tráfegos de redes legadas, já que seu tráfego não possuía marcação. No trunk entre os switches, os frames têm de passar marcados. Caso não estejam, significa que pertencem à VLAN nativa. Logo, fica fácil identificá-los. VLAN DE GERENCIAMENTO: Em geral, a VLAN 1 é padrão para o gerenciamento do switch, mas, como é totalmente previsível e pode sofrer ataques, essa VLAN deve ser alterada. Os switches podem ser gerenciados por meio dos protocolos HTTP, Telnet, SSH ou SNMP. Para acesso remoto a estes, precisamos atribuir endereço e máscara de subrede à interface VLAN [x] (de gerência). VLANS DE VOZ: O tráfego em tempo real – como o de voz, por exemplo – precisa atender a alguns requisitos. Já o atraso de outros tráfegos – como o FTP – não será crucialtampouco afetará a informação. Com a finalidade de atender a esses requisitos e não sofrer atrasos, o tráfego de voz deve ter tratamento específico. São requisitos para o tráfego de VoIP: • Garantia de largura de banda; • Prioridade de tráfego na rede; • Capacidade de roteamento em áreas congestionadas na rede; • Atraso inferior a 150 milissegundos. Modos de portas de switch VLAN A porta pode ser configurada para suportar os seguintes tipos de VLAN: Fonte: Flat_Enot / Shutterstock Identificando VLAN’s Ao criar ou configurar uma VLAN, a ela serão atribuídos um número de identificação e um nome fornecido pelo administrador ou o nome default, como mostra a tabela a seguir: Cada porta associada à determinada VLAN funciona como a de um switch virtual, o qual passa a pertencer ao mesmo domínio de broadcast – tecnicamente a rede lógica. As VLAN’s não estão limitadas a um único switch: elas podem estar espalhadas por todos os switches interligados por cabos ou equipamentos até a camada 2, já que a camada 3 segmenta os domínios de broadcast. Um broadcast da VLAN 10 somente será enviado às portas pertencentes a essa VLAN. Por isso, os switches têm de possuir registros das VLAN’s e de portas das determinadas VLAN’s. Tipos de links Vamos conhecer, agora, alguns tipos de portas, também conhecidas como links: Access links Porta destinada a acesso de um nó da rede, à qual devemos atribuir uma VLAN. Quando entra pela porta de acesso, o frame deve ser marcado – a menos que pertença à VLAN nativa. A situação inversa é verdadeira: quando sai pela porta de acesso, o frame deve retirar a marcação de VLAN, já que o nó de rede não está pronto para – e não precisa – conhecer a VLAN configurada. Para a comunicação de nós de diferentes VLAN’s, o roteamento é necessário. Fonte: WhiteBarbie / Shutterstock Trunk links Portas destinadas à interligação de switches ou roteadores configurados com subinterfaces para realizar roteamento entre VLAN’s. Alguns servidores podem trabalhar com interfaces e subinterfaces, desde que utilizem placas que suportem 802.1q. Esses links não pertencem a uma VLAN, e sim autorizam ou não a passagem de determinadas VLAN’s por eles. Quando o frame atravessa o trunk, este permanece com sua tag de VLAN, que pode ser 802.1q ou ISL (proprietário da Cisco). O trunk é suportado por interfaces de 100 Mbps ou por outras mais rápidas, além de possuir uma VLAN nativa ou default para casos de falha do trunk. Roteamento entre VLAN’s As interligações de LAN’s e de VLAN’s são muito semelhantes – quase iguais. Para se comunicar com a LAN B, a rede LAN A necessita de um roteador com, no mínimo, duas interfaces de LAN para interligar as duas redes locais. E para que a comunicação entre a VLAN A e a VLAN B ocorra, ambas precisam de um roteador (equipamento da camada 3) com, no mínimo, duas interfaces para interligá-las. Você deve estar se perguntando: A resposta é bem simples: se, na VLAN, podemos virtualizar um switch, compondo-o com algumas portas do equipamento físico, é possível fazer o mesmo nas interfaces do roteador – ou seja, virtualizar interfaces lógicas dentro de uma única interface física do roteador. Da mesma forma que a LAN, cada VLAN é um domínio de broadcast diferente e, portanto, uma rede IP distinta. A grande vantagem é que, com uma única interface, podemos atender ao roteamento de diversas VLAN’s, utilizando uma interface física e virtualizando tantas quantas subinterfaces forem necessárias – uma por VLAN. A imagem a seguir ilustra esse processo: Roteamento entre LAN’s Roteamento entre VLAN’s (tradicional) O roteamento entre LAN’s ou VLAN’s nada mais é do que o encaminhamento do datagrama IP de uma rede para outra. Observe uma grande vantagem do roteamento entre VLAN’s em relação ao roteamento convencional entre LAN’s, no qual eram utilizadas interfaces de rede local para cada LAN a ser interconectada pelo roteador. Com o advento das VLAN’s anteriormente abordado, o roteador pode virtualizar várias subinterfaces em uma única interface física, conforme mostra a figura a seguir: Roteamento entre VLAN’s (tradicional) Router on a stick (subinterfaces) Alguns switches podem executar funções de camada 3 sem a necessidade de roteadores dedicados. Os switches multicamada podem executar roteamento entre as diversas VLAN’s. A imagem a seguir ilustra a questão: Atividade Para finalizar esta aula, vamos fazer uma nova atividade utilizando o Packet Tracer (PKT). Conheça, então, o passo a passo para configurar uma Rede estrela VLAN com três domínios de broadcast. (Atividade desenvolvida pelo professor José Silvério). Rede estrela VLAN com três domínios de broadcast Vamos montar uma rede em estrela com um switch Cisco 2950-24 com 10 PCs para uma escola, seccionando-a em três domínios de broadcast: Administrativo, Educacional e Biblioteca. 1. Configure para cada PC um endereço IP fixo com 10.0.0.0 e máscara 255.0.0.0 (classe A). Faça as conexões com o cabo UTP e verifique se as ligações físicas (camada 1) são operacionais – indicadas pelo led verde no switch central e nos PC’s. Sugestão de endereçamento IP estático para cada PC: PC0: 10.0.0.1 PC1: 10.0.0.2 PC2: 10.0.0.3 ... PC10: 10.0.0.11 2. Clique em cada PC na aba Config e, na interface Ethernet, informe o endereço IP de cada PC e sua máscara classe A: 3. Teste a conectividade de cada máquina da rede por meio do comando Ping, clicando sobre o PC na aba Desktop: 4. Utilize o Command Prompt e verifique, por meio do comando IPCONFIG/ALL, o endereço MAC e o IP de cada máquina: 5. Depois, utilize o comando Ping . Assim, se pingarmos do PC0 para o PC10 no prompt do PC0: PING 10.0.0.11 (IP definido para o PC10), teremos: 6. Para segmentar a rede em três domínios diferentes de broadcast, clique no switch na aba CLI - Command Line Interface. 7. Crie 3 VLAN’s: VLAN 10 – setor Administrativo (portas 1 a 8); VLAN 20 – setor Educacional (portas 9 a 16); VLAN 30 – setor Biblioteca (portas 17 a 24). 8. Habilite o modo privilegiado do switch por meio do comando enable. Verifique que o prompt muda de > para #: Switch> Switch>enable Switch# 9. Entre no modo de configuração global. Mude o hostname do switch por meio do comando hostname: Switch#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#hostname switch_central switch_central(config)# switch_central# 10. Crie as VLAN’s 10, 20 e 30, nomeando-as no switch: switch_central(config)#vlan 10 switch_central(config-vlan)#name Administrativo switch_central(config-vlan)#exit switch_central(config)#vlan 20 switch_central(config-vlan)#name Educacional switch_central(config-vlan)#exit switch_central(config)#vlan 30 switch_central(config-vlan)#name Biblioteca switch_central(config-vlan)#exit 11. Verifique se as VLAN’s estão criadas com o comando: switch_central#show vlan brief Você observará que as VLAN’s foram criadas, mas não estão associadas a nenhuma porta. ATENÇÃO! Note que a VLAN 1 é a VLAN, por default, associada a todas as portas do switch. 12. Associe as portas 1 a 8 para a VLAN 10: switch_central(config)#interface range fastEthernet 0/1-8 switch_central(config-if-range)#switchport access vlan 10 switch_central(config-if-range)# Associe as portas 9 a 16 para a VLAN 20: switch_central(config)#interface range fastEthernet 0/9-16 switch_central(config-if-range)#switchportaccess vlan 20 switch_central(config-if-range)# Associe as portas 17 a 24 para a VLAN 30: switch_central(config)#interface range fastEthernet 0/17-24 switch_central(config-if-range)#switchport access vlan 30 switch_central(config-if-range)# 13. Verifique se as VLAN’s criadas estão associadas às portas com o comando: switch_central#show vlan brief Gravando a configuração na NV-RAM do switch, teremos: switch_central#wr Building configuration... [OK] switch_central# 15. Agora, faça o teste de conectividade (ping) entre os PC’s do mesmo setor: Exemplo Do PC0 para PC2: Ping 10.0.0.3 Do PC3 para PC5: Ping 10.0.0.6 Do PC6 para PC10: Ping 10.0.0.11 16. Por fim, faça o teste de conectividade (ping) entre os PC’s de diferentes setores: Do PC0 para PC5: Ping 10.0.0.6 Do PC0 para PC10: Ping 10.0.0.11 Redes Convergentes / Aula 7 - Qualidade de Serviço de rede IP Introdução Para que a rede possa tratar, de forma diferenciada, cada tipo de serviço, inicialmente, é necessário identificar os diversos tipos de serviço transportados pelos segmentos TCP/UDP e datagramas IP. Para a identificação, podem ser construídas Access Control Lists (ACL’s) ou Listas de Controle de Acesso: um conjunto de regras e ações sobre o tráfego. As regras baseiam-se em identificar determinado tráfego a partir do endereço IP de origem e de destino, bem como a partir da porta TCP/UDP de origem e de destino. Uma vez satisfeita uma regra, isto é, uma vez identificado certo tipo de tráfego, uma ação é definida na regra da ACL. A ação é permit ou deny, ou seja, aquela que, respectivamente, inclui ou exclui o tráfego identificado. A lógica do conjunto de regras da ACL resulta na identificação do tráfego e nos permite fazer a marcação para fins de Qualidade de Serviço (QoS). Bons estudos! Rede IP como base para convergência de serviços Para que a rede IP possa ser capaz de transportar uma grande variedade de serviços, esta deverá oferecer os requisitos mínimos de cada serviço, como: VOZ: O tráfego de voz é altamente sensível a retardo e à variação de retardo (jitter), admitindo uma taxa de erros baixa (tráfego em tempo real). Os codificadores de áudio operam a taxas de bit até 64 kbps. FAX: O serviço de fax, em princípio, é tratado como o serviço de voz, mas há uma restrição para que a codificação seja feita pelo padrão G.711. VÍDEO EM TEMPO REAL: Como o serviço de voz, este é altamente sensível a retardo e jitter, mas apresenta requisitos de taxa de erro mais exigentes. Os codificadores de vídeo operam a taxas p x 64 kbps (p = 0 a 30). VÍDEO STREAMING: Serviço de vídeo e áudio que não é sensível a jitter por não operar em tempo real. DADOS CRÍTICOS: O serviço de dados críticos (prioritários) não tem grande sensibilidade a retardo ou jitter. Por outro lado, deve ter alta prioridade de envio – imediatamente após a prioridade de envio do tráfego em tempo real. Os requisitos de taxa de bits podem variar de taxas baixas a elevadas em função do serviço. Tais dados têm requisitos de taxa de erros altos. DADOS CRÍTICOS DE OPERAÇÕES FINANCEIRAS: Serviço de dados críticos, mas com requisitos de segurança elevados – como a criptografia em túneis seguros. DADOS NÃO PRIORITÁRIOS: O serviço de dados não prioritários – como e-mail e tráfego HTTP – é tolerante a retardo e jitter, e requer baixa ou elevada taxa de bits. Em geral, não tem requisitos de segurança e pode ser transportado com baixíssima prioridade. Para cada tipo de serviço, a rede IP deverá assumir características particulares. Em outras palavras, dependendo do serviço sobre a rede, há que oferecer: Chamamos esse esforço de atender às diferentes necessidades das aplicações de Quality of Service (QoS) ou Qualidade de Serviço. É muito importante identificarmos o tipo de dado que está sendo transportado em um pacote que passa por um roteador ou switch, pois, somente assim, poderemos fornecer as características necessárias àquele tipo de tráfego. Essa é a tarefa de marcação de tráfego. Suporte à marcação de tráfego Conforme vimos nas aulas 3 e 4, o tráfego dos serviços é digitalizado e transportado diretamente pelos segmentos TCP/UDP (protocolo de camada 4 – L4) ou indiretamente por meio do RTP encapsulado no UDP. O protocolo de L4 é transportado nos datagramas IP (protocolo de camada 3 – L3). Quatro informações disponíveis nos headers do TCP/UDP e nos headers do IP podem ser úteis na identificação do tráfego: Qualquer envio de pacotes com serviço entre origem e destino envolve as quatro informações. O encaminhamento dos pacotes entre a origem e o destino é feito pela camada 3 (rede – L3). Para tal, os roteadores ou switches com funções de roteamento (switches L3) leem o endereço IP de destino do datagrama, consultam sua tabela de roteamento e encaminham o pacote para a direção (interface) de melhor rota. A escolha da melhor rota baseia-se em algoritmos de melhor custo, que podem considerar o menor caminho e a melhor utilização de banda, por exemplo. O processo de roteamento em si pode ser considerado uma forma de oferecer QoS, já que se busca o melhor caminho para o tráfego. O que não se consegue apenas com o roteamento é o tratamento diferenciado do tráfego, fazendo encaminhamentos diferentes em função do tipo de tráfego, de endereços IP de origem e de destino, ou de portas TCP/UDP de origem e de destino. A identificação do tráfego de interesse fundamenta-se na busca de uma ou mais informações contidas nos endereços IP de origem e de destino, e nas portas TCP/UDP de origem e de destino. Nos roteadores e switches, o mecanismo que nos permite essa identificação são as Access Control Lists (ACL’s) ou Listas de Controle de Acesso. Poderíamos identificar o tráfego de origem da rede 200.20.20.0/24 com destino à aplicação servidor web, hospedada na máquina 230.17.17.9. Nesse caso, devemos procurar por pacotes com: Endereço de origem = 200.20.20.0 → Máscara = 255.255.255.0; Endereço de destino = 230.17.17.9 → Máscara = 255.255.255.255; Porta TCP de destino = 80 (especificamente e a partir de qualquer porta TCP de origem). A ideia é dar um tratamento diferenciado a esses pacotes quanto à largura de banda, quanto ao atraso etc. ACL (Access Control Lists) ou lista de controle de acesso As ACL’s são um conjunto de regras e ações sobre o tráfego. Elas são compostas por uma lista sequencial de instruções de permissão ou negação que se aplicam a endereços ou protocolos de camada superior. Originalmente, essas listas são consideradas ferramentas de segurança, já que permitem controlar, de forma eficiente, o tráfego dentro e fora de sua rede. Mas, hoje, são utilizadas, também, para identificar o tipo de dado transportado e, a partir dessa identificação, fazer a marcação do tráfego. Você pode configurar as ACL’s para todos os protocolos de rede roteados, estabelecendo controles tão simples como permitir ou negar hosts de rede ou endereços, ou, ainda, o tráfego da rede com base na porta TCP utilizada. Para compreender como uma ACL funciona com o TCP, observe, a seguir, o diálogo que ocorre durante uma conversa TCP quando você faz o download de uma página da web em seu computador: O processo TCP é muito semelhante a uma conversa na qual dois nós em uma rede concordam em transmitir dados entre um e outro. Os segmentos de dados TCP levam em sua área de dados o protocolo de nível mais alto, necessário ao direcionamento dos dados de aplicativo para o aplicativo correto. Conforme vimos na aula 4, inicialmente, realizamos a abertura da conexão (3way handshake). Depois, fazemos a troca de dados, e, por fim, a conexão é encerrada. Filtragem de pacotes Um roteadorfunciona como um filtro de pacote ao encaminhar ou negar pacotes de acordo com as regras de filtragem. Quando um pacote chega ao roteador de filtragem, este extrai determinadas informações do cabeçalho do pacote e toma decisões conforme as regras do filtro quanto à possibilidade de o pacote ser transmitido ou descartado. A filtragem de pacote funciona na camada de rede do modelo de referência OSI ou na camada de internet do TCP/IP. A ACL pode extrair informações do cabeçalho do pacote, testá-lo em relação a suas regras e tomar decisões (“permitir” ou “negar”) com base no(a): Exemplo Para compreender como um roteador utiliza a filtragem de pacote, imagine que um segurança foi colocado diante de uma porta fechada. As instruções do segurança se resumem a permitir apenas a entrada de pessoas cujos nomes estão em uma lista. Em outros termos, ele está filtrando os indivíduos com base nos critérios da presença de seus nomes na lista autorizada. Por exemplo, você poderia dizer: “Só permita acesso à web a usuários da rede A. Negue acesso à web a usuários da rede B, mas permita a eles todos os demais acessos”. Analise a figura a seguir e identifique o caminho de decisão utilizado pelo filtro de pacote para realizar essa tarefa: Para esse cenário, o filtro de pacote observa todos os pacotes da seguinte forma: Se o pacote for um TCP SYN da rede A que utiliza a porta 80, ele terá permissão para passar. Todos os demais acessos serão negados para esses usuários. Se o pacote for um TCP SYN da rede B que utiliza a porta 80, ele será bloqueado. No entanto, todos os demais acessos serão permitidos. As ACL’s são associadas às interfaces dos roteadores. À medida que cada pacote passa por ela, a ACL é verificada de cima para baixo, uma linha por vez, procurando um padrão correspondente ao pacote de entrada. A ACL aplica uma ou mais políticas de segurança corporativas, empregando uma regra de permissão ou negação para determinar o destino do pacote. Por padrão, um roteador não tem qualquer ACL configurada e, por isso, não filtra o tráfego. O tráfego que entra no roteador é roteado de acordo com a tabela de roteamento. Se você não utilizar as ACL’s no roteador, todos os pacotes que puderem ser roteados passarão pelo roteador até o próximo segmento de rede. Observe, na figura a seguir, a regra geral para configurar uma ACL: De acordo com essa regra, configura-se: Uma ACL por protocolo – Para controlar o fluxo de tráfego em uma interface, uma ACL deve ser definida para cada protocolo habilitado na interface. Uma ACL por direção – As ACL’s controlam o tráfego em uma direção por vez em uma interface. Duas ACL’s separadas devem ser criadas para controlar os tráfegos de entrada e de saída. Uma ACL por interface – As ACL’s controlam o tráfego de uma interface (como, por exemplo, Fast Ethernet 0/0). No exemplo da figura anterior, para podermos filtrar todos os protocolos, precisaríamos de 12 ACL’s, 3 protocolos (IP, IPX e AppleTalk), 2 interfaces e 2 direções (in e out). Como as ACL’s funcionam? As ACL’s definem o conjunto de regras que dão controle adicional a pacotes que: As ACLs não funcionam em pacotes com origem no próprio roteador. As instruções ACL funcionam em ordem sequencial. Elas avaliam pacotes em relação à ACL, de cima para baixo, uma instrução por vez. O esquema a seguir mostra a lógica de uma ACL de entrada: Se o cabeçalho de um pacote corresponder a uma instrução ACL, as demais instruções na lista serão ignoradas, e o pacote será permitido ou negado conforme determinação da instrução correspondente. Se o cabeçalho de um pacote não corresponder a uma instrução ACL, o pacote será testado em relação à próxima instrução da lista. Esse processo de comparação continua até o término da lista. Uma instrução incluída no final abrange todos os pacotes para os quais as condições não se mostraram verdadeiras. Essa condição de teste final corresponde a todos os demais pacotes e resultados em uma instrução “negar”. Em vez de continuar dentro ou fora de uma interface, o roteador ignora todos esses pacotes restantes. Essa instrução final costuma ser conhecida como negar qualquer instrução implicitamente ou negar todo o tráfego. Devido a essa instrução, uma ACL deve ter, pelo menos, uma instrução de permissão. Do contrário, a ACL bloqueia todo o tráfego. O esquema a seguir mostra a lógica de uma ACL de saída: Para que um pacote seja encaminhado a uma interface de saída, o roteador verifica a tabela de roteamento para saber se o pacote pode ser roteado. Se não puder, o pacote será ignorado. Em seguida, o roteador identifica se a interface de saída é agrupada em uma ACL. Vejamos alguns exemplos de operação de ACL de saída: Se a interface de saída não for agrupada em uma ACL de saída, o pacote será enviado diretamente para aquela interface. Se a interface de saída for agrupada em uma ACL de saída, o pacote não será enviado por aquela interface até ser testado pela combinação de instruções ACL associadas a ela. Com base nos testes ACL, o pacote é permitido ou negado. Você pode aplicar uma ACL a várias interfaces. No entanto, talvez só haja uma ACL por protocolo, direção e interface. Para listas de saída: Permitir = enviar o pacote para o buffer de saída; Negar = descartar esse pacote. Tipos de ACL Há dois tipos de ACL: Padrão ACL que permite a você filtrar o tráfego a partir de endereços IP de origem. O destino do pacote e as portas envolvidas não importam. Exemplo: Estendida ACL que filtra pacotes IP com base em vários atributos, como, por exemplo: Tipo de protocolo; Endereço IP de origem; Endereço IP de destino; Portas TCP e UDP de origem; Portas TCP e UDP de destino; Informações do tipo de protocolo opcionais para maior granularidade de controle. Exemplo: Observe que a ACL 10 (padrão) permite todo o tráfego da rede 192.168.30.0/24. Como “negar tudo” está implícito ao final, todo os demais tráfegos são bloqueados com essa ACL. Já a ACL 103 (estendida) permite tráfego com origem em qualquer endereço na rede 192.168.30.0/24 para qualquer host de destino na porta 80 (HTTP). Configurando uma ACL As ACL’s são configuradas no modo de configuração global do roteador. Lembre-se: Uma ACL sempre tem um deny implícito ao final. Por exemplo, as duas ACL’s (101 e 102) na figura a seguir têm o mesmo efeito: ACL 101 access-list 1 permit 192.168.10.0 ACL 102 access-list 1 permit 192.168.10.0 access-list 2 deny any A rede 192.168.10.0 teria permissão para acessar a rede 192.168.30.0, mas 192.168.11.0, não. Lógica da ACL padrão No esquema a seguir, os pacotes que chegam por Fa0/0 são verificados em relação aos seus endereços de origem: access-list 2 deny host 192.168.10.1 access-list 2 permit 192.168.10.0 0.0.0.255 access-list 2 deny 192.168.0.0 0.0.255.255 access-list 2 permit 192.0.0.0 0.255.255.255 Veja: Se forem permitidos, os pacotes serão roteados pelo roteador para uma interface de saída. Se não forem permitidos, os pacotes serão ignorados na interface de entrada. Configurando ACL’s padrão Para configurar ACL’s padrão numeradas em um roteador, você deve, primeiro, criar a ACL padrão e ativá-la em uma interface. O comando no modo de configuração global access-list define uma ACL padrão com um número no intervalo de 1 a 99. A sintaxe completa do comandoACL padrão é a seguinte: Router(config)# access-list access-list-number [deny | permit | remark] source [source-wildcard] [log] Veja na tabela a seguir: Sintaxe do comando access-list da ACL padrão A sintaxe completa do comando da ACL padrão para filtrar determinado host é a seguinte: Router(config)#access-list access-list-number [deny | permit] source [log] Por exemplo, para criar uma ACL numerada e designada 10, que permitisse a rede 192.168.10.0 /24, você digitaria: R1(config)#access-list 10 permit 192.168.10.0 0.0.0.255 A forma NO desse comando remove uma ACL padrão, como mostra a figura a seguir: R1# show access-list Standard IP access list 10 10 permit 192.168.10.0 R1# R1# conf t Enter configuration commands, one per line. End with CNTL/Z. R1 (config) # no access-list 10 R1 (config) # exit R1# *Oct 25 19:59:41.142: %SYS-5-CONFIG_I: Configured from console by console R1# show access-list R1# Mascaramento curinga Entre as instruções ACL’s, estão as máscaras curinga (Strings de dígitos binários que informam ao roteador as partes do número da sub-rede que devem ser observadas). Embora sejam parecidas, as máscaras de sub-rede e as máscaras curinga têm uma lógica de funcionamento diferente. Ambas têm 32 bits e utilizam 1s e 0s binários. As máscaras de sub-rede o fazem para identificar a rede, a sub-rede e a porção de host de um endereço IP. Já as máscaras curinga, para filtrar endereços IP individuais ou grupos, e permitir ou negar acesso a recursos com base em um endereço IP. Definindo máscaras curinga com cuidado, você pode permitir ou negar um ou vários endereços IP. Mas esses tipos de máscaras são diferentes quanto à forma com que comparam 1s e 0s binários. As máscaras curinga utilizam as seguintes regras para fazê-lo: O esquema a seguir explica como máscaras curinga diferentes filtram endereços IP: Mascaramento curinga 0 significa comparar o valor do bit de endereço correspondente. 1 significa ignorar o valor do bit de endereço correspondente. As máscaras curinga costumam ser conhecidas como inversas, porque, comparadas às máscaras de sub-rede, apresentam as seguintes características: Utilizando uma máscara curinga A tabela a seguir mostra os resultados da aplicação de uma máscara curinga 0.0.255.255 a um endereço IP de 32 bits: Lembre-se de que um 0 binário indica um valor correspondente. Palavras-chave de máscara curinga Trabalhar com representações decimais de bits de máscara curinga binários pode ser entediante. Para simplificar essa tarefa, as palavras-chave host (Opção que substitui a máscara 0.0.0.0. Essa máscara informa que todos os bits de endereço IP devem corresponder, ou apenas um host é correspondente) e any (Opção que substitui o endereço IP e a máscara 255.255.255.255. Essa máscara indica ignorar todo o endereço IP ou aceitar qualquer endereço) ajudam a identificar as utilizações mais comuns dessa máscara. Essas palavras-chave eliminam a entrada de máscaras curinga durante a identificação de um host específico ou de uma rede. Elas também facilitam a leitura de uma ACL, fornecendo dicas visuais sobre a origem ou o destino dos critérios. Veja dois exemplos: Exemplo 1: 192.168.10.10 0.0.0.0 corresponde a todos os bits de endereço; Abrevie esta máscara curinga utilizando o endereço IP precedido pela palavra- chave host (host 192.168.10.10). Este é um processo de máscara curinga com um único endereço IP. Em vez de inserir 192.168.10.10 0.0.0.0, você pode utilizar host 192.168.10.10, conforme a seguir: R1 (config) #access-list 1 permit 192.168.10.10 0.0.0.0 R1 (config) #access-list 1 permit host 0.0.0.0 255.255.255.255 ignora todos os bits de endereço; Este é um processo de máscara curinga com a correspondência de qualquer endereço IP. Em vez de inserir 0.0.0.0 255.255.255.255, você pode utilizar a palavra-chave any sozinha, conforme a seguir: R1 (config) #access-list 1 permit 0.0.0.0 255.255.255.255 R1 (config) #access-list 1 permit any Depois de ser configurada, a ACL padrão é vinculada a uma interface a partir do comando IP access-group: Router(config-if)#ip access-group {access-list-number | access-list-name} {in | out} Para remover uma ACL de uma interface, primeiro, digite o comando no IP access-group e, em seguida, o comando global no access-list para sua total remoção. Testando pacotes com ACL’s estendidas Para obter um controle de filtragem de tráfego mais preciso, você pode utilizar ACL’s estendidas, numeradas de 100 a 199. Assim como as ACL’s padrão, as estendidas verificam os endereços do pacote de origem, mas também analisam o endereço de destino, os protocolos e os números de porta (ou de serviços). Isso proporciona um número maior de critérios nos quais a ACL se baseia. Por exemplo, uma ACL estendida pode permitir tráfego de e-mail simultaneamente de uma rede para um destino específico, enquanto nega transferências de arquivos e navegação na web. Testando portas e serviços A possibilidade de filtrar com base no protocolo e no número da porta permite criar ACL’s estendidas muito específicas. Utilizando o número de porta apropriado, você pode especificar um aplicativo, configurando esse número ou o nome de uma porta bem conhecida. A figura a seguir mostra alguns exemplos de como um administrador especifica um número de porta TCP ou UDP, colocando-o no final da instrução da ACL estendida: access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq 23 access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq 21 access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq 20 Operações lógicas podem ser utilizadas, tais como: As etapas procedurais para configurar as ACL’s estendidas são iguais àquelas referentes às ACL’s padrão: primeiro, você cria a ACL estendida e, só então, ativa-a em uma interface. No entanto, a sintaxe do comando e os parâmetros são mais complexos para dar suporte aos recursos adicionais fornecidos por ACL’s estendidas. Observe a seguir a sintaxe dos comandos de ACL estendida: Configurando ACL’s estendidas access-list access-list-number {deny | permit | remark} protocol source [source-wildcard] [operator operand] [port port-number or name] destination [destination- wildcard][operator operand] [port port-number or name][established] No exemplo da imagem a seguir, o administrador de rede precisa restringir o acesso à internet para permitir apenas a navegação no site. Vejamos: Configurando ACL’s estendidas R1 (config) #access-list 103 permit tcp 192.168.10.0 0.0.0.255 any eq 80 R1 (config) #access-list 103 permit tcp 192.168.10.0 0.0.0.255 any eq 443 R1 (config) #access-list 104 permit tcp any 192.168.10.0 0.0.0.255 established A ACL 103 permite solicitações para as portas 80 e 443. A ACL 104 permite HTTP estabelecido e respostas HTTPS. A ACL 103 se aplica ao tráfego que deixa a rede 192.168.10.0, e a ACL 104, ao tráfego que chega à rede. A ACL 103 atende à primeira parte do requisito. Ela permite ao tráfego proveniente de qualquer endereço na rede 192.168.10.0 ir a qualquer destino, estando sujeito à limitação de chegar apenas às portas 80 (HTTP) e 443 (HTTPS). A natureza de HTTP exige que esse tráfego volte na rede, mas o administrador de rede quer restringir esse tráfego a trocas HTTP nos sites solicitados. A solução em segurança deve negar qualquer outro tráfego que chega à rede. A ACL 104 faz isso por meio do bloqueio de todo o tráfego de entrada, EXCETO pelasconexões estabelecidas. HTTP estabelece conexões que começam pela solicitação original e passam pela troca de mensagens ACK, FIN e SYN. Observe que o exemplo anterior utiliza o parâmetro established, que permite a respostas trafegar com origem na rede 192.168.10.0 /24 e retornar à entrada em s0/0/0. Uma correspondência ocorrerá se o datagrama TCP tiver os bits ACK ou de redefinição (RST) definidos, o que indica que o pacote pertence a uma conexão existente. Com o parâmetro established, o roteador permitirá apenas ao tráfego estabelecido voltar e bloquear todos os demais tráfegos. Aplicar ACL às interfaces Quando vamos aplicar uma ACL a uma interface devemos atentar se o tráfego que você deseja filtrar está entrando ou saindo. A tentativa de acessar sites na Internet é tráfego saindo. Receber e-mails na Internet é tráfego entrando na empresa. No entanto, durante a consideração de como aplicar uma ACL a uma interface, entrar e sair ganham significados diferentes, dependendo do ponto de vista. No exemplo da imagem a seguir, R1 tem duas interfaces. Observe: R1 (config) #interface S0/0/0 R1 (config) #ip access-group 103 out R1 (config) #ip access-group 104 in Ela tem uma porta serial, S0/0/0, e uma porta Fast Ethernet, Fa0/0. O tráfego de Internet que chega entra pela interface S0/0/0, mas sai pela interface Fa0/0 para alcançar PC1. O exemplo aplica a ACL à interface serial em ambas as direções. Já na próxima imagem, temos um exemplo da negação de tráfego FTP na sub-rede 192.168.11.0 para a sub-rede 192.168.10.0, mas que permite todo o tráfego restante. Observe a utilização de máscaras curinga: R1 (config) #access-list 101 deny tcp 192.168.11.0 0.0.0.255 192.168.10.0 0.0.0.255 eq 21 R1 (config) #access-list 101 deny tcp 192.168.11.0 0.0.0.255 192.168.10.0 0.0.0.255 eq 20 R1 (config) #access-list 101 permit ip any any R1 (config) #interface Fa0/1 R1 (config) #ip access-group 101 in Lembre-se de que, como o FTP exige as portas 20 e 21, você precisa especificar ambas eq 20 e eq 21 para negar FTP. Com ACL’s estendidas, você pode escolher utilizar números de porta como os do exemplo ou chamar uma porta bem conhecida pelo nome. As ACL’s mostradas abaixo são equivalentes: Utilizando números da porta access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq 23 access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq 21 access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq 20 Utilizando palavras-chave access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq telnet access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq ftp access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq ftp-data Atividade Para finalizar esta aula, vamos fazer uma nova atividade utilizando o Packet Tracer (PKT). Conheça, então, o passo a passo para configurar uma Rede com VLAN trunk. (Atividade elaborada pelo professor Jose Silvério) Vamos montar uma rede em estrela com 2 switches Cisco 2950-24 – o primeiro (SW01) conectado a 6 hosts, e o segundo (SW02), a 5 – de uma editora de livros composta de dois departamentos: Departamento Educacional – responsável pela edição e pela produção dos livros; Departamento de Vendas. Ambos serão configurados em VLAN’s distintas. Como mostra o diagrama a seguir, os 2 switches se interligam, em salas diferentes, por meio de um cabo cross-over: 1. Clique em cada host para configurar um endereço IP estático de classe C: 10.30.10.0/24. Sugestão IP do Host PC0: 10.30.10.2 Máscara: 255.255.255.0 (classe C) IP do Host PC1: 10.30.10.3 Máscara: 255.255.255.0 (classe C) ... IP do Host PC10: 10.30.10.12 Máscara: 255.255.255.0 (classe C) 2. Certifique-se de que existe conectividade entre os hosts a partir do comando ping: 3. Crie, agora, as VLAN’s de acesso (VLAN 5 e 10) no switch SW01 e SW02. Clique duas vezes sobre o switch na aba CLI (Command Line Interface): Atenção em { } são comentários a cada linha de comando Switch>enable { habilitando o modo privilegiado } Switch#configure terminal { habilitando o modo de configuração global } Switch(config)#hostname SW01 { designando o nome do switch 0 } SW01(config)#vlan 5 { configurando a VLAN 5 } SW01(config-vlan)#name EDUCACIONAL { atribuindo o nome à VLAN } SW01(config-vlan)#exit SW01(config)#vlan 10 SW01(config-vlan)#name VENDAS SW01(config-vlan)#exit SW01#show vlan brief { verifique se as VLAN’s estão criadas } VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Fa0/24 5 EDUCACIONAL active 10 VENDAS active 1002 fddi-default active 1003 token-ring-default active 1004 fddinet-default active 1005 trnet-default active Switch# 4. Associe as portas físicas de acesso às VLAN’s 5 do Departamento Educacional e 10 do Departamento de Vendas no SW01: SW01(config)#interface range fastEthernet 0/1-3 { selecionando as portas de 1 a 3 } SW01(config-if-range)#switchport mode access { atribuindo o modo access às portas } SW01(config-if-range)#switchport access vlan 5 { associando à VLAN 5 } SW01(config-if-range)#exit SW01(config)#interface range fastEthernet 0/4-6 { selecionando as portas de 4 a 6 } SW01(config-if-range)#switchport mode access { atribuindo o modo access às portas } SW01(config-if-range)#switchport access vlan 10 { associando à VLAN 10 } SW01(config-if-range)#exit 5. Verifique se as portas físicas estão associadas às respectivas VLAN’s: SW01#show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/7, Fa0/8, Fa0/9, Fa0/10 Fa0/11, Fa0/12, Fa0/13, Fa0/14 Fa0/15, Fa0/16, Fa0/17, Fa0/18 Fa0/19, Fa0/20, Fa0/21, Fa0/22 Fa0/23, Fa0/24 5 EDUCACIONAL active Fa0/1, Fa0/2, Fa0/3 10 VENDAS active Fa0/4, Fa0/5, Fa0/6 1002 fddi-default active 1003 token-ring-default active 1004 fddinet-default active 1005 trnet-default active SW01# Em seguida, faça um teste de conectividade entre os hosts de uma mesma VLAN e de VLAN’s diferentes do SW01. O que acontece? Vamos repetir o que foi feito no SW01 para o SW02. Dessa vez, ao invés de CLI, utilizaremos o configurador gráfico do Packet Tracer 5.3.3. 1. Clique duas vezes no switch 1 e na aba config. Configurando o hostname Observe que os comandos equivalentes à CLI aparecem na caixa de texto inferior. Configurando as VLAN’s a) Na aba Config, escolha a opção VLAN Database, informando a VLAN e seu nome: b) Clique em add para adicionar a VLAN: Observe que, na lista, aparece, agora, a VLAN 5 e seu nome. Repita o mesmo para a VLAN 10 (VLANname VENDAS). Vamos associar as portas de 1 a 3 para a VLAN 5 e as portas 4 e 5 para a VLAN 10. 1. Clique na aba Config > Interface Fastethernet 0/1, escolha a opção Access e marque a VLAN 5 – EDUCACIONAL: Repita o procedimento para as portas 0/2 e 0/3. Na porta 0/4, marque a VLAN 10 – VENDAS: Em seguida, faça um teste de conectividade entre os hosts de uma mesma VLAN e de VLAN’s diferentes do SW02. O que acontece? Depois, faça um novo teste de conectividade, mas, agora, entre os hosts de uma mesma VLAN do SW01 e SW02. O que acontece? Ao realizar tais testes de conectividade entre hosts de uma mesma VLAN, mas de switches diferentes, verificamos que estes falham. Isso ocorre porque precisamos configurar o trunk entre os 2 switches, o que permite o trânsito de dados da VLAN 5 e da VLAN 10. 1. No SW01 ou SW02, clique na aba CLI, selecione o modo de configuração e a interface 0/24, usada para interligar os switches com cabo cross: SW01(config)#interface fastethernet 0/24 SW01(config)# switchport trunk encapsulation dot1q SW01(config-if)#switchport mode trunk Faça, agora, um teste de conectividade entre os hosts de uma mesma VLAN do SW01 e SW02. O que acontece? Par finalizar, vamos emular o teste de conectividade com o simulador. 1. Clique na opção Simulation no canto inferior esquerdo: 2. No Simulation Panel, escolha a opção Edit Filters: 3. Desmarque todos os protocolos, deixando apenas o ICMP habilitado: 4. Clique na opção Add PDU (Protocol Data Unit) no canto inferior esquerdo da tela e adicione a PDU no PC0 até o PC6: Observe que a PDU aparece na lista de simulação no status In Progress. 5. Clique em Toggle PDU List Window > Auto Capture / Play ou Capture / Forward: Redes Convergentes / Aula 8 - Políticas de Qualidade de Serviço (QoS) Introdução Com o avanço das redes de comunicação e das aplicações em tempo real interligando um número de usuários cada vez maior, as necessidades de suporte da rede ao aplicativo têm se multiplicado a cada dia. A necessidade de transmissões mais rápidas e confiáveis, que garantam a satisfação desse cliente/aplicativo, gera cada vez mais exigências na rede. Contudo, não basta apenas aumentar a banda e a velocidade das transmissões. Tem de haver a garantia de entrega e recebimento dos pacotes que trafegam na rede, e, ainda, em um tempo compatível com as exigências de cada aplicação. As aplicações em tempo real requerem garantias rigorosas de que chegarão a tempo a seu destino, anulando a retransmissão e o descarte de pacotes – garantias estas que devem ser dadas pela rede em que trafegam. Já aplicações que não são de tempo real, que são menos rigorosas, podem dispor de um tempo ligeiramente maior para entrega fim-a-fim, podendo, assim, haver retransmissões e descartes de pacotes. Logo, há redes que têm de prestar um tratamento diferenciado para cada tipo de aplicação. Então, diz-se que essas redes, que podem fornecer esses níveis de serviços diferenciados, suportam Qualidade de Serviço – Quality of Service (QoS). Nesta aula, vamos estudar os parâmetros de QoS e entender como se realiza a marcação de tráfego. Veremos, ainda, as classes de serviço. Bons estudos! Fundamentos da QoS QoS é o acrônimo de Quality of Service, ou seja, Qualidade de Serviço. Trata-se de uma nomenclatura genérica para designar um conjunto de algoritmos capazes de fornecer vários níveis de tratamentos para diferentes tipos de tráfego na rede. O propósito dessa tecnologia é otimizar o uso da banda passante, provendo um tráfego fim-a-fim eficaz e econômico. A QoS resolve a necessidade da aquisição de mais banda para a rede, pois supre a demanda de tráfego das LAN’s/WAN’s de forma inteligente e organizacional, por meio dos mais diversos mecanismos de que dispõe. A QoS é muito importante para as redes convergentes, pois as torna capazes de transportar, de modo simultâneo e bem próximo ao ideal, os mais diversos tráfegos – tais como vídeo, voz e dados –, sem que um interfira no outro. Cada um desses tráfegos merece um tratamento especial conforme suas características. Assim, é necessário que os cuidados especiais sejam obedecidos para que não ocorram possíveis problemas. Parâmetros de QoS As necessidades das aplicações são medidas de acordo com os seguintes parâmetros: LARGURA DE BANDA (VAZÃO): Quantidade efetiva da informação transmitida pela fonte que chega ao destino. A vazão corresponde aos requisitos de largura de banda exigidos por uma aplicação. ATRASO (RETARDO OU LATÊNCIA): Tempo decorrido desde a geração de uma mensagem pelo emissor na extremidade de uma conexão até seu recebimento pelo receptor na outra extremidade. É o somatório dos atrasos impostos pela rede e pelos equipamentos utilizados na comunicação. Há dois tipos de atraso: • Latência – tempo usado para equipamentos; • Retardo – tempo mais usado para a transmissão de dados. JITTER (FLUTUAÇÃO DO ATRASO) : Variação no tempo e na sequência da entrega das informações, devido à variação no atraso da rede. O jitter é importante para as aplicações cuja operação adequada depende, de alguma forma, da garantia de que as informações devem ser processadas em períodos de tempo bem definidos. PERDA DE PACOTES (CONFIABILIDADE): Nas redes IP, esta perda ocorre, principalmente, em função do descarte de pacotes nos roteadores e switches em situações de congestionamento, mas também devido a erro durante o transporte dos pacotes. Aplicações diferentes possuem diferentes necessidades. As aplicações em tempo real requerem que os dados sejam transmitidos em determinado espaço máximo de tempo para que sejam considerados úteis e para que suportem pequenos erros e perdas. Já as aplicações que não são em tempo real suportam determinada variação no atraso de uma transmissão, mas são muito sensíveis a erros e a perdas. A tabela a seguir mostra a sensibilidade de vários tipos de aplicação aos parâmetros de QoS: Modelos de QoS Em uma rede sem QoS, o tráfego não é segregado e chega ao destino da melhor forma possível, baseado nas rotas do processo de roteamento e na largura de banda disponível. Em caso de congestionamento, os pacotes são descartados sem distinção. Esse modelo é denominado Melhor Esforço. Com QoS, o tráfego de algumas aplicações pode ter tratamento prioritário, e o tráfego de outras continua com o atendimento de Melhor Esforço. Nesse caso, quando há o congestionamento, os pacotes com atendimento de Melhor Esforço são descartados antes. Existem dois modelos para implementar QoS: Com o IntServ, antes de iniciar uma comunicação, o emissor solicita ao receptor a alocação de recursos necessários. O protocolo Reservation Protocol (RSVP - Protocolo de Reserva de Recursos) é utilizado para o controle de alocação dos recursos. O modelo DiffServ implementa a QoS com base na definição de classes de serviços, utilizando o campo ToS do cabeçalho IP, como mostrado a seguir: Melhor Esforço O IP protocolo básico da camada de redes da internet é um protocolo de Melhor Esforço e não oferece qualquer tipo de garantia. O modelo de Melhor Esforço trata todos os pacotes de rede da mesma forma. Assim, uma mensagem de voz de emergência é tratada da mesma maneira que uma fotografia digital anexada a um e-mail. Como nesse modelo não há QoS, a rede não pode saber a diferença entre pacotes e, como resultado, não pode tratar os pacotes de modo preferencial. O modelo de Melhor Esforçoé um conceito semelhante a enviar uma carta usando o correio normal. A carta é tratada de forma idêntica a todas as outras cartas. Com esse modelo, a carta pode nunca chegar e, a menos que você tenha um acordo de notificação separado com o destinatário da carta, pode ser que você nunca saiba que esta não chegou. Veja as vantagens e desvantagens do modelo de Melhor Esforço: Serviços integrados (IntServ) O IntServ usa uma abordagem orientada à conexão, herdada do projeto da rede de telefonia. Cada comunicação individual deve especificar, explicitamente, seu descritor de tráfego e os recursos de solicitação à rede. O roteador de borda realiza o controle de admissão para garantir que os recursos disponíveis sejam suficientes na rede. O padrão de IntServ supõe que os roteadores ao longo de um caminho estabelecem e mantêm o estado de cada comunicação individual. A imagem a seguir é uma ilustração simples desse modelo: No modelo de IntServ, o aplicativo solicita um tipo específico de serviço da rede antes de enviar dados. O aplicativo informa a rede do perfil de tráfego e solicita determinado tipo de serviço que pode abranger os requisitos de largura de banda e de atraso. O IntServ usa o protocolo RSVP para sinalizar as necessidades de QoS de tráfego de um aplicativo nos dispositivos no caminho ponta a ponta pela rede. Se os dispositivos de rede ao longo do caminho puderem reservar a largura de banda necessária, o aplicativo de origem poderá começar a transmissão. Mas, se a reserva solicitada falhar no caminho, o aplicativo de origem não enviará qualquer dado, como mostra a imagem a seguir: A imagem a seguir ilustra como ocorre o procedimento de reserva utilizando o RSVP: Primeiramente, o servidor define um caminho fixo para o cliente por meio da mensagem PATH. Essa mensagem inclui a descrição dos parâmetros do tráfego que será transmitido. O cliente, por sua vez, efetua o pedido de reserva de recursos para o roteador 1, indicando o quanto de banda necessita e uma folga de atraso. A folga de atraso permite que os roteadores ao longo do caminho utilizem uma banda menos prioritária para transportar os pacotes da reserva. Quanto mais folga for cedido ao roteador, mais ele poderá bufferizar os pacotes recebidos, aguardando a passagem de momentos de congestionamento para transportar os pacotes. Se a folga for muito pequena, o roteador precisará utilizar recursos privilegiados, que são mais escassos. No exemplo anterior, o roteador 1 não tem banda suficiente para tratar a requisição sem atraso. Por isso, ele aloca a reserva em sua faixa menos privilegiada, consumindo 10 ms da folga. Observe que o pedido de reserva é passado para o roteador 2 com a folga reduzida a 20 ms. O processo se repete até que a reserva chegue ao servidor. O servidor, por sua vez, envia a mensagem de confirmação da reserva para o cliente. Se algum dos roteadores ao longo do caminho não puderem atender a reserva, uma mensagem de erro será retornada ao cliente. Por exemplo, se o roteador 1 não puder atender a reserva, ele simplesmente retornará um erro ao cliente sem repassar o pedido ao roteador 2. Conheça as vantagens e desvantagens do modelo de IntServ: Serviços Diferenciados (DiffServ) O modelo QoS de DiffServ especifica um mecanismo simples e escalável para classificar e gerenciar o tráfego de redes e para proporcionar garantias de QoS em redes IP modernas. Por exemplo, o DiffServ pode oferecer serviço de baixa latência garantida para tráfego de redes crítico – como voz ou vídeo – e, ao mesmo tempo, garantias de tráfego de Melhor Esforço simples para serviços não críticos – como transferências de arquivos ou tráfego da web. O design do DiffServ supera as limitações de Melhor Esforço e de modelos IntServ. O modelo de DiffServ está descrito em RFCs 2474, 2597, 2598, 3246, 4594 e pode fornecer um QoS “praticamente garantido”, além de ser econômico e escalável. O modelo de DiffServ é um conceito semelhante a enviar um pacote usando um serviço de entrega. Você solicita (e paga por) um nível de serviço quando envia um pacote. Pela rede de pacotes, o nível de serviço pelo qual você pagou é reconhecido, e o pacote é atribuído ao serviço preferencial ou normal, dependendo do que solicitou. O DiffServ não é uma estratégia de ponta a ponta, pois não pode aplicar garantias desse tipo. Entretanto, trata-se de uma abordagem mais escalável para implementar a QoS. Diferente do IntServ e de seu QoS rígido, em que os hosts finais do QoS sinalizam suas necessidades para a rede, o DiffServ não usa sinalização. Em vez disso, o DiffServ usa uma abordagem “mais leve” (soft QoS), que funciona no modelo de QoS provisionado, no qual os elementos da rede estão configurados para atender às várias classes de tráfego – cada uma com requisitos diversificados de QoS. Devido ao menor consumo de recursos, esse é o modelo mais utilizado de QoS. A imagem a seguir é uma ilustração simples do modelo de DiffServ: A metodologia de DiffServ chama de domínio DiffServ um conjunto de roteadores que disponibilizam serviço de comunicação IP com QoS, como mostra a imagem a seguir: Os roteadores de um domínio DiffServ são divididos em dois grandes grupos: O DiffServ utiliza o conceito de QoS para o tráfego agregado, em vez de fluxos individuais – como o IntServ. O esquema a seguir o ilustra: A ideia básica do DiffServ foi que os roteadores de núcleo tratariam apenas grandes classes de tráfego, deixando a tarefa de discriminar os fluxos individuais só para os roteadores de borda. Um roteador de borda executa duas funções principais: marcação e policiamento. Marcação: Determinação da classe agregada a que o tráfego do usuário pertence. Por exemplo, o roteador de borda 1 definiria que o usuário A pertence à classe ouro, o usuário B, à classe prata, e os usuários C e D, à classe bronze. Já o roteador de borda 2 indicaria que os usuários E e F pertencem à classe ouro, e os usuários G e H, à classe bronze. Os roteadores de borda marcam os pacotes do usuário com códigos padronizados, utilizando um novo campo no cabeçalho IP, a fim de permitir que os roteadores de núcleo identifiquem a classe dos pacotes sem possuir regras para cada usuário. Policiamento: O roteador de borda diminui a prioridade ou descarta o tráfego do usuário que exceda a seu contrato. O roteador de núcleo, por sua vez, implementa o tratamento diferenciado para cada uma das classes agregadas predefinidas, utilizando os mecanismos clássicos de QoS, como: • Priorização; • Descarte preventivo; • Escalonamento com múltiplas filas; • Controle da taxa de transmissão. Identificação do tráfego Através de Listas de Acesso (ACL’s), é possível identificar o tráfego, segregando os serviços. Dessa forma, podemos reconhecer: A identificação do tráfego pode ser feita a partir de informações disponíveis nos headers dos datagramas IP e dos segmentos TCP/UDP, bem como com base em outros critérios, tais como a interface, por meio da qual o tráfego é transportado. O passo seguinte à identificação do tráfego é sua marcação, seguindo um critério de classes. Cada tipo de tráfego pode ser associado a uma classe de serviço. Para isso, usamos o campo Type of Service (ToS) no header do datagrama IP. Um código binário é escrito no byte ToS, determinando a classe de serviço à qual o tráfego está associado. A marcação acompanha o datagrama ao longo da rota na rede. Para cada classe de serviço, é possível
Compartilhar