Qualidade de Serviço em Redes IP

Prévia do material em texto

19/06/2018 Disciplina Portal
http://estacio.webaula.com.br/Classroom/index.html?id=2002657&classId=933223&topicId=2723635&p0=03c7c0ace395d80182db07ae2c30f034&enableForum=
Redes Convergentes
Aula 7 - Qualidade de Serviço de rede IP
INTRODUÇÃO
Para que a rede possa tratar, de forma diferenciada, cada tipo de serviço, inicialmente, é necessário identi�car os
diversos tipos de serviço transportados pelos segmentos TCP/UDP e datagramas IP.
Para a identi�cação, podem ser construídas Access Control Lists (ACL’s) ou Listas de Controle de Acesso: um conjunto
de regras e ações sobre o tráfego.
As regras baseiam-se em identi�car determinado tráfego a partir do endereço IP de origem e de destino, bem como a
partir da porta TCP/UDP de origem e de destino. Uma vez satisfeita uma regra, isto é, uma vez identi�cado certo tipo de
tráfego, uma ação é de�nida na regra da ACL.
A ação é permit ou deny, ou seja, aquela que, respectivamente, inclui ou exclui o tráfego identi�cado.
19/06/2018 Disciplina Portal
http://estacio.webaula.com.br/Classroom/index.html?id=2002657&classId=933223&topicId=2723635&p0=03c7c0ace395d80182db07ae2c30f034&enableForum=
A lógica do conjunto de regras da ACL resulta na identi�cação do tráfego e nos permite fazer a marcação para �ns de
Qualidade de Serviço (QoS).
Bons estudos!
OBJETIVOS
De�nir QoS;
Analisar a marcação de tráfego;
Empregar ACL’s.
19/06/2018 Disciplina Portal
http://estacio.webaula.com.br/Classroom/index.html?id=2002657&classId=933223&topicId=2723635&p0=03c7c0ace395d80182db07ae2c30f034&enableForum=
Rede IP como base para convergência de serviços
Para que a rede IP possa ser capaz de transportar uma grande variedade de serviços, esta deverá oferecer os
requisitos mínimos de cada serviço, como:
Para cada tipo de serviço, a rede IP deverá assumir características particulares. 
Em outras palavras, dependendo do serviço sobre a rede, há que oferecer:
Chamamos esse esforço de atender às diferentes necessidades das aplicações de Quality of Service (QoS) ou
Qualidade de Serviço.
SUPORTE À MARCAÇÃO DE TRÁFEGO
Conforme vimos nas aulas 3 e 4, o tráfego dos serviços é digitalizado e transportado diretamente pelos segmentos
TCP/UDP (protocolo de camada 4 – L4) ou indiretamente por meio do RTP encapsulado no UDP.
O protocolo de L4 é transportado nos datagramas IP (protocolo de camada 3 – L3).
Quatro informações disponíveis nos headers do TCP/UDP e nos headers do IP podem ser úteis na identi�cação do
tráfego:
19/06/2018 Disciplina Portal
http://estacio.webaula.com.br/Classroom/index.html?id=2002657&classId=933223&topicId=2723635&p0=03c7c0ace395d80182db07ae2c30f034&enableForum=
Qualquer envio de pacotes com serviço entre origem 
e destino envolve as quatro informações.
O encaminhamento dos pacotes entre a origem e o destino é feito pela camada 3 (rede – L3). Para tal, os roteadores
ou switches com funções de roteamento (switches L3) leem o endereço IP de destino do datagrama, consultam sua
tabela de roteamento e encaminham o pacote para a direção (interface) de melhor rota.
A escolha da melhor rota baseia-se em algoritmos de melhor custo, que podem considerar o menor caminho e a
melhor utilização de banda, por exemplo. O processo de roteamento em si pode ser considerado uma forma de
oferecer QoS, já que se busca o melhor caminho para o tráfego.
O que não se consegue apenas com o roteamento é o tratamento diferenciado do tráfego, fazendo encaminhamentos
diferentes em função do tipo de tráfego, de endereços IP de origem e de destino, ou de portas TCP/UDP de origem e de
destino.
A identi�cação do tráfego de interesse fundamenta-se na busca de uma ou mais informações contidas nos endereços
IP de origem e de destino, e nas portas TCP/UDP de origem e de destino.
Nos roteadores e switches, o mecanismo que nos permite essa identi�cação são as Access Control Lists (ACL’s) ou
Listas de Controle de Acesso.
ACL (Access Control Lists) ou lista de controle de acesso
As ACL’s são um conjunto de regras e ações sobre o tráfego. Elas são compostas por uma lista sequencial de
instruções de permissão ou negação que se aplicam a endereços ou protocolos de camada superior.
Originalmente, essas listas são consideradas ferramentas de segurança, já que permitem controlar, de forma e�ciente,
o tráfego dentro e fora de sua rede. Mas, hoje, são utilizadas, também, para identi�car o tipo de dado transportado e, a
partir dessa identi�cação, fazer a marcação do tráfego.
Você pode con�gurar as ACL’s para todos os protocolos de rede roteados, estabelecendo controles tão simples como
permitir ou negar hosts de rede ou endereços, ou, ainda, o tráfego da rede com base na porta TCP utilizada.
Para compreender como uma ACL funciona com o TCP, observe, a seguir, o diálogo que ocorre durante uma conversa
TCP quando você faz o download de uma página da web em seu computador:
19/06/2018 Disciplina Portal
http://estacio.webaula.com.br/Classroom/index.html?id=2002657&classId=933223&topicId=2723635&p0=03c7c0ace395d80182db07ae2c30f034&enableForum=
O processo TCP é muito semelhante a uma conversa na qual dois nós em uma rede concordam em transmitir dados
entre um e outro.
Conforme vimos na aula 4, inicialmente, realizamos a abertura da conexão (3way handshake). Depois, fazemos a troca
de dados, e, por �m, a conexão é encerrada.
FILTRAGEM DE PACOTES
Um roteador funciona como um �ltro de pacote ao encaminhar ou negar pacotes de acordo com as regras de �ltragem.
Quando um pacote chega ao roteador de �ltragem, este extrai determinadas informações do cabeçalho do pacote e
toma decisões conforme as regras do �ltro quanto à possibilidade de o pacote ser transmitido ou descartado.
A �ltragem de pacote funciona na camada de rede do modelo de referência OSI ou na camada de internet do TCP/IP.
A ACL pode extrair informações do cabeçalho do pacote, testá-lo em relação a suas regras e tomar decisões (“permitir”
ou “negar”) com base no(a):
19/06/2018 Disciplina Portal
http://estacio.webaula.com.br/Classroom/index.html?id=2002657&classId=933223&topicId=2723635&p0=03c7c0ace395d80182db07ae2c30f034&enableForum=
Como as ACL’s funcionam?
As ACL’s de�nem o conjunto de regras que dão controle adicional a pacotes que:
 
As ACLs não funcionam em
pacotes com origem no próprio
roteador. 
 
As instruções ACL funcionam em ordem sequencial. Elas avaliam pacotes em relação à ACL, de cima para baixo, uma
instrução por vez.
O esquema a seguir mostra a lógica de uma ACL de entrada:
19/06/2018 Disciplina Portal
http://estacio.webaula.com.br/Classroom/index.html?id=2002657&classId=933223&topicId=2723635&p0=03c7c0ace395d80182db07ae2c30f034&enableForum=
Se o cabeçalho de um pacote corresponder a uma instrução ACL, as demais instruções na lista serão ignoradas, e o
pacote será permitido ou negado conforme determinação da instrução correspondente.
Se o cabeçalho de um pacote não corresponder a uma instrução ACL, o pacote será testado em relação à próxima
instrução da lista. Esse processo de comparação continua até o término da lista.
Uma instrução incluída no �nal abrange todos os pacotes para os quais as condições não se mostraram verdadeiras.
Essa condição de teste �nal corresponde a todos os demais pacotes e resultados em uma instrução “negar”.
Em vez de continuar dentro ou fora de uma interface, o roteador ignora todos esses pacotes restantes. Essa instrução
�nal costuma ser conhecida como negar qualquer instrução implicitamente ou negar todo o tráfego.
Devido a essa instrução, uma ACL deve ter, pelo menos, uma instrução de permissão. Do contrário, a ACL bloqueia todo
o tráfego.
O esquema a seguir mostra a lógica de uma ACL de saída:
Para que um pacote seja encaminhado a uma interface de saída (glossário), o roteador veri�ca a tabela de roteamento
para saber se o pacote pode ser roteado. Se não puder, o pacote será ignorado. Emseguida, o roteador identi�ca se a
interface de saída é agrupada em uma ACL.
Você pode aplicar uma ACL a várias interfaces. No entanto, talvez só haja uma ACL por protocolo, direção e interface.
TIPOS DE ACL
Há dois tipos de ACL:
19/06/2018 Disciplina Portal
http://estacio.webaula.com.br/Classroom/index.html?id=2002657&classId=933223&topicId=2723635&p0=03c7c0ace395d80182db07ae2c30f034&enableForum=
 
Padrão
 
 
ACL que permite a você �ltrar o tráfego a partir de endereços IP de origem. O destino do pacote e as portas
envolvidas não importam. 
 
Exemplo: 
 
 
 
 
Estendida
 
 
ACL que �ltra pacotes IP com base em vários atributos, como, por exemplo: 
 
Tipo de protocolo;
Endereço IP de origem;
Endereço IP de destino;
Portas TCP e UDP de origem;
Portas TCP e UDP de destino;
Informações do tipo de protocolo opcionais para maior granularidade de controle.
 
Exemplo: 
 
 
 
19/06/2018 Disciplina Portal
http://estacio.webaula.com.br/Classroom/index.html?id=2002657&classId=933223&topicId=2723635&p0=03c7c0ace395d80182db07ae2c30f034&enableForum=
Observe que a ACL 10 (padrão) permite todo o tráfego da rede 192.168.30.0/24. Como “negar tudo” está implícito ao
�nal, todo os demais tráfegos são bloqueados com essa ACL.
Já a ACL 103 (estendida) permite tráfego com origem em qualquer endereço na rede 192.168.30.0/24 para qualquer
host de destino na porta 80 (HTTP).
Con�gurando uma ACL
As ACL’s são con�guradas no modo de con�guração global do roteador. Lembre-se:
 
Uma ACL sempre tem um
deny implícito ao �nal. 
 
Por exemplo, as duas ACL’s (101 e 102) na �gura a seguir têm o mesmo efeito:
ACL 101 
 
access-list 1 permit 192.168.10.0 
 
ACL 102 
 
access-list 1 permit 192.168.10.0 
access-list 2 deny any 
 
A rede 192.168.10.0 teria permissão para acessar a rede 192.168.30.0, mas 192.168.11.0, não.
LÓGICA DA ACL PADRÃO
No esquema a seguir, os pacotes que chegam por Fa0/0 são veri�cados em relação aos seus endereços de origem:
access-list 2 deny host 192.168.10.1 
access-list 2 permit 192.168.10.0 0.0.0.255 
access-list 2 deny 192.168.0.0 0.0.255.255 
access-list 2 permit 192.0.0.0 0.255.255.255
Veja:
19/06/2018 Disciplina Portal
http://estacio.webaula.com.br/Classroom/index.html?id=2002657&classId=933223&topicId=2723635&p0=03c7c0ace395d80182db07ae2c30f034&enableForum=
Se forem permitidos, os pacotes serão roteados pelo roteador para uma interface de saída. Se não forem permitidos,
os pacotes serão ignorados na interface de entrada.
Con�gurando ACL’s padrão
Para con�gurar ACL’s padrão numeradas em um roteador, você deve, primeiro, criar a ACL padrão e ativá-la em uma
interface.
O comando no modo de con�guração global access-list de�ne uma ACL padrão com um número no intervalo de 1 a 99.
A sintaxe completa do comando ACL padrão é a seguinte:
 
Router(con�g)#access-list access-list-number [deny |
permit | remark] source [source-wildcard] [log] 
 
Veja na tabela a seguir:
Sintaxe do comando access-list da ACL padrão
19/06/2018 Disciplina Portal
http://estacio.webaula.com.br/Classroom/index.html?id=2002657&classId=933223&topicId=2723635&p0=03c7c0ace395d80182db07ae2c30f034&enableForum=
A sintaxe completa do comando da ACL padrão para �ltrar determinado host é a seguinte:
 
Router(con�g)#access-list access-list-number [deny | permit] source [log] 
 
Por exemplo, para criar uma ACL numerada e designada 10, que permitisse a rede 192.168.10.0 /24, você digitaria:
 
R1(con�g)#access-list 10 permit 192.168.10.0 0.0.0.255 
 
A forma NO desse comando remove uma ACL padrão, como mostra a �gura a seguir:
 
R1# show access-list 
Standard IP access list 10 
10 permit 192.168.10.0 
R1# 
R1# conf t 
Enter con�guration commands, one per line. End with CNTL/Z. 
R1 (con�g) # no access-list 10 
R1 (con�g) # exit 
R1# 
*Oct 25 19:59:41.142: %SYS-5-CONFIG_I: Con�gured from console by console 
R1# show access-list 
R1# 
 
 
MASCARAMENTO CURINGA
Entre as instruções ACL’s, estão as máscaras curinga (glossário).
Embora sejam parecidas, as máscaras de sub-rede e as máscaras curinga têm uma lógica de funcionamento diferente.
Ambas têm 32 bits e utilizam 1s e 0s binários.
As máscaras de sub-rede o fazem para identi�car a rede, a sub-rede e a porção de host de um endereço IP. Já as
máscaras curinga, para �ltrar endereços IP individuais ou grupos, e permitir ou negar acesso a recursos com base em
um endereço IP.
19/06/2018 Disciplina Portal
http://estacio.webaula.com.br/Classroom/index.html?id=2002657&classId=933223&topicId=2723635&p0=03c7c0ace395d80182db07ae2c30f034&enableForum=
 
De�nindo máscaras
curinga com cuidado,
você pode permitir ou
negar um ou vários
endereços IP. 
 
Mas esses tipos de máscaras são diferentes quanto à forma com que comparam 1s e 0s binários. As máscaras
curinga utilizam as seguintes regras para fazê-lo:
O esquema a seguir explica como máscaras curinga diferentes �ltram endereços IP:
Mascaramento curinga
19/06/2018 Disciplina Portal
http://estacio.webaula.com.br/Classroom/index.html?id=2002657&classId=933223&topicId=2723635&p0=03c7c0ace395d80182db07ae2c30f034&enableForum=
0 signi�ca comparar o valor do bit de endereço correspondente. 
1 signi�ca ignorar o valor do bit de endereço correspondente.
UTILIZANDO UMA MÁSCARA CURINGA
A tabela a seguir mostra os resultados da aplicação de uma máscara curinga 0.0.255.255 a um endereço IP de 32 bits:
Lembre-se de que um 0 binário indica um valor
correspondente.
Palavras-chave de máscara curinga
Trabalhar com representações decimais de bits de máscara curinga binários pode ser entediante. Para simpli�car essa
tarefa, as palavras-chave host (glossário) e any (glossário) ajudam a identi�car as utilizações mais comuns dessa
máscara.
Essas palavras-chave eliminam a entrada de máscaras curinga durante a identi�cação de um host especí�co ou de
uma rede. Elas também facilitam a leitura de uma ACL, fornecendo dicas visuais sobre a origem ou o destino dos
critérios.
Veja dois exemplos:
19/06/2018 Disciplina Portal
http://estacio.webaula.com.br/Classroom/index.html?id=2002657&classId=933223&topicId=2723635&p0=03c7c0ace395d80182db07ae2c30f034&enableForum=
Fonte da Imagem:
192.168.10.10 0.0.0.0 corresponde a todos os bits de endereço;
Abrevie esta máscara curinga utilizando o endereço IP precedido pela
palavra-chave host (host 192.168.10.10).
 
Este é um processo de máscara curinga com um único endereço IP. Em vez de inserir 192.168.10.10 0.0.0.0, você pode
utilizar host 192.168.10.10, conforme a seguir:
 
R1 (con�g) #access-list 1 permit 192.168.10.10 0.0.0.0 
R1 (con�g) #access-list 1 permit host 
 
Fonte da Imagem:
0.0.0.0 255.255.255.255 ignora todos os bits de endereço;
Abrevie expressão com a palavra-chave any.
 
Este é um processo de máscara curinga com a correspondência de qualquer endereço IP. Em vez de inserir 0.0.0.0
255.255.255.255, você pode utilizar a palavra-chave any sozinha, conforme a seguir:
19/06/2018 Disciplina Portal
http://estacio.webaula.com.br/Classroom/index.html?id=2002657&classId=933223&topicId=2723635&p0=03c7c0ace395d80182db07ae2c30f034&enableForum=
 
R1 (con�g) #access-list 1 permit 0.0.0.0 255.255.255.255 
R1 (con�g) #access-list 1 permit any 
 
Depois de ser con�gurada, a ACL padrão é vinculada a uma interface a partir do comando IP access-group:
 
Router(con�g-if)#ip access-group {access-list-number | access-list-name} {in | out} 
 
Para remover uma ACL de uma interface, primeiro, digite o comando no IP access-group e, em seguida, o comando
global no access-list para sua total remoção.
TESTANDO PACOTES COM ACL’S ESTENDIDAS
Para obter um controle de �ltragem de tráfego mais preciso, você pode utilizar ACL’s estendidas, numeradas de 100 a
199.
Assim como as ACL’spadrão, as estendidas veri�cam os endereços do pacote de origem, mas também analisam o
endereço de destino, os protocolos e os números de porta (ou de serviços). Isso proporciona um número maior de
critérios nos quais a ACL se baseia.
Por exemplo, uma ACL estendida pode permitir tráfego de e-mail simultaneamente de uma rede para um destino
especí�co, enquanto nega transferências de arquivos e navegação na web.
Testando portas e serviços
A possibilidade de �ltrar com base no protocolo e no número da porta permite criar ACL’s estendidas muito especí�cas.
Utilizando o número de porta apropriado, você pode especi�car um aplicativo, con�gurando esse número ou o nome de
uma porta bem conhecida.
A �gura a seguir mostra alguns exemplos de como um administrador especi�ca um número de porta TCP ou UDP,
colocando-o no �nal da instrução da ACL estendida:
 
access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq 23 
access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq 21 
access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq 20 
 
Operações lógicas podem ser utilizadas, tais como:
19/06/2018 Disciplina Portal
http://estacio.webaula.com.br/Classroom/index.html?id=2002657&classId=933223&topicId=2723635&p0=03c7c0ace395d80182db07ae2c30f034&enableForum=
As etapas procedurais para con�gurar as ACL’s estendidas são iguais àquelas referentes às ACL’s padrão: primeiro,
você cria a ACL estendida e, só então, ativa-a em uma interface.
No entanto, a sintaxe do comando e os parâmetros são mais complexos para dar suporte aos recursos adicionais
fornecidos por ACL’s estendidas.
Observe a seguir a sintaxe dos comandos de ACL estendida:
Con�gurando ACL’s estendidas 
 
 
access-list access-list-number {deny | permit | remark} protocol source [source-wildcard] [operator operand]
[port port-number or name] destination [destination-wildcard][operator operand] [port port-number or name]
[established] 
 
19/06/2018 Disciplina Portal
http://estacio.webaula.com.br/Classroom/index.html?id=2002657&classId=933223&topicId=2723635&p0=03c7c0ace395d80182db07ae2c30f034&enableForum=
No exemplo da imagem a seguir, o administrador de rede precisa restringir o acesso à internet para permitir apenas a
navegação no site. Vejamos:
Con�gurando ACL’s estendidas
 
R1 (con�g) #access-list 103 permit tcp 192.168.10.0
0.0.0.255 any eq 80 
R1 (con�g) #access-list 103 permit tcp 192.168.10.0
0.0.0.255 any eq 443 
R1 (con�g) #access-list 104 permit tcp any 192.168.10.0
0.0.0.255 established 
 
A ACL 103 permite solicitações para as portas 80 e 443. 
A ACL 104 permite HTTP estabelecido e respostas HTTPS.
A ACL 103 se aplica ao tráfego que deixa a rede 192.168.10.0, e a ACL 104, ao tráfego que chega à rede. A ACL 103
atende à primeira parte do requisito. Ela permite ao tráfego proveniente de qualquer endereço na rede 192.168.10.0 ir a
qualquer destino, estando sujeito à limitação de chegar apenas às portas 80 (HTTP) e 443 (HTTPS).
A natureza de HTTP exige que esse tráfego volte na rede, mas o administrador de rede quer restringir esse tráfego a
trocas HTTP nos sites solicitados. A solução em segurança deve negar qualquer outro tráfego que chega à rede.
A ACL 104 faz isso por meio do bloqueio de todo o tráfego de entrada, EXCETO pelas conexões estabelecidas.
19/06/2018 Disciplina Portal
http://estacio.webaula.com.br/Classroom/index.html?id=2002657&classId=933223&topicId=2723635&p0=03c7c0ace395d80182db07ae2c30f034&enableForum=
 
HTTP estabelece conexões que começam pela
solicitação original e passam pela troca de
mensagens ACK, FIN e SYN. 
 
Observe que o exemplo anterior utiliza o parâmetro established, que permite a respostas trafegar com origem na rede
192.168.10.0 /24 e retornar à entrada em s0/0/0. Uma correspondência ocorrerá se o datagrama TCP tiver os bits ACK
ou de rede�nição (RST) de�nidos, o que indica que o pacote pertence a uma conexão existente.
Com o parâmetro established, o roteador permitirá apenas ao tráfego estabelecido voltar e bloquear todos os demais
tráfegos.
APLICAR ACL ÀS INTERFACES
Quando vamos aplicar uma ACL a uma interface devemos atentar se o tráfego que você deseja �ltrar está entrando ou
saindo. A tentativa de acessar sites na Internet é tráfego saindo.
Receber e-mails na Internet é tráfego entrando na empresa. No entanto, durante a consideração de como aplicar uma
ACL a uma interface, entrar e sair ganham signi�cados diferentes, dependendo do ponto de vista.
No exemplo da imagem a seguir, R1 tem duas interfaces. Observe:
 
R1 (con�g) #interface S0/0/0 
R1 (con�g) #ip access-group
103 out 
R1 (con�g) #ip access-group
104 in 
 
Ela tem uma porta serial, S0/0/0, e uma porta Fast Ethernet, Fa0/0. O tráfego de Internet que chega entra pela interface
S0/0/0, mas sai pela interface Fa0/0 para alcançar PC1. O exemplo aplica a ACL à interface serial em ambas as
direções.
19/06/2018 Disciplina Portal
http://estacio.webaula.com.br/Classroom/index.html?id=2002657&classId=933223&topicId=2723635&p0=03c7c0ace395d80182db07ae2c30f034&enableForum=
Já na próxima imagem, temos um exemplo da negação de tráfego FTP na sub-rede 192.168.11.0 para a sub-rede
192.168.10.0, mas que permite todo o tráfego restante. Observe a utilização de máscaras curinga:
 
R1 (con�g) #access-list 101 deny tcp 192.168.11.0 0.0.0.255
192.168.10.0 0.0.0.255 eq 21 
R1 (con�g) #access-list 101 deny tcp 192.168.11.0 0.0.0.255
192.168.10.0 0.0.0.255 eq 20 
R1 (con�g) #access-list 101 permit ip any any 
R1 (con�g) #interface Fa0/1 
R1 (con�g) #ip access-group 101 in 
 
Lembre-se de que, como o FTP exige as portas 20 e 21, você precisa especi�car ambas eq 20 e eq 21 para negar FTP.
Com ACL’s estendidas, você pode escolher utilizar números de porta como os do exemplo ou chamar uma porta bem
conhecida pelo nome.
As ACL’s mostradas abaixo são equivalentes:
Utilizando números da porta 
 
access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq 23 
access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq 21 
access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq 20 
 
Utilizando palavras-chave 
19/06/2018 Disciplina Portal
http://estacio.webaula.com.br/Classroom/index.html?id=2002657&classId=933223&topicId=2723635&p0=03c7c0ace395d80182db07ae2c30f034&enableForum=
 
access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq telnet 
access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq ftp 
access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq ftp-data 
 
ATIVIDADE
Para �nalizar esta aula, vamos fazer uma nova atividade utilizando o Packet Tracer (PKT).
Conheça, então, o passo a passo para con�gurar uma Rede com VLAN trunk (glossário).
(Atividade elaborada pelo professor Jose Silvério)
Resposta Correta
EXERCÍCIOS
1. Para especi�car todos os hosts em uma rede IP 192.168.10.0/25, que máscara curinga (wildcard) deve ser usada?
0.0.0.127
0.0.0.128
0.0.0.192
0.0.0.255
255.255.255.128
Justi�cativa
2. O administrador de rede está escrevendo uma ACL com o objetivo de bloquear o tráfego IP originado de um host
com o IP 10.1.1.10 para qualquer outro host. Nesse caso, que comando pode ser utilizado?
Access list 4 deny any
Access list 3 permit any
Access list 2 deny 10.1.1.10 0.0.0.0
Access list 5 deny 10.1.1.10 0.0.0.255
Access list 1 deny 10.1.1.10 255.255.255.255
Justi�cativa
3. Os seguintes comandos foram emitidos em um roteador:
Router(con�g)# access list 2 permit any 
Router(con�g)# access list 2 deny host 172.16.5.24
Com base nesses comandos, podemos a�rmar que:
19/06/2018 Disciplina Portal
http://estacio.webaula.com.br/Classroom/index.html?id=2002657&classId=933223&topicId=2723635&p0=03c7c0ace395d80182db07ae2c30f034&enableForum=
Esta é uma ACL estendida.
Todos os hosts terão acesso permitido na rede.
Todos os hosts terão acesso negado na rede.
Qualquerhost da rede 172.16.5.0 terá acesso negado.
Somente o host com o IP 172.16.5.24 terá acesso negado na rede.
Justi�cativa
Glossário
INTERFACE DE SAÍDA
Vejamos alguns exemplos de operação de ACL de saída:
Se a interface de saída não for agrupada em uma ACL de saída, o pacote será enviado diretamente para aquela interface.
Se a interface de saída for agrupada em uma ACL de saída, o pacote não será enviado por aquela interface até ser testado pela
combinação de instruções ACL associadas a ela. Com base nos testes ACL, o pacote é permitido ou negado.
MÁSCARAS CURINGA
Strings de dígitos binários que informam ao roteador as partes do número da sub-rede que devem ser observadas.
HOST
19/06/2018 Disciplina Portal
http://estacio.webaula.com.br/Classroom/index.html?id=2002657&classId=933223&topicId=2723635&p0=03c7c0ace395d80182db07ae2c30f034&enableForum=
Opção que substitui a máscara 0.0.0.0. Essa máscara informa que todos os bits de endereço IP devem corresponder, ou apenas
um host é correspondente.
ANY
Opção que substitui o endereço IP e a máscara 255.255.255.255. Essa máscara indica ignorar todo o endereço IP ou aceitar
qualquer endereço.