CAPITULO 01 - WANs e roteadores Visão Geral Uma rede de longa distância (WAN) é uma rede de comunicações de dados que abrange uma grande área geográfica. As WANs têm várias características importantes que as diferem das redes locais. A primeira lição deste módulo oferecerá uma visão geral das tecnologias e protocolos utilizados em WANs. Explicará também as diferenças e semelhanças entre WANs e redes locais. É importante ter uma compreensão dos componentes da camada física de um roteador. Essa compreensão cria uma base para outros conhecimentos e habilidades necessários para configurar roteadores e gerenciar redes roteadas. Este módulo oferece um exame mais detalhado dos componentes físicos internos e externos de um roteador. Ele também descreve técnicas para conectar fisicamente as diversas interfaces dos roteadores. Ao concluírem este módulo, os alunos deverão ser capazes de: • • • • • • •
Identificar as organizações responsáveis pelos padrões utilizados em WANs; Explicar a diferença entre uma WAN e uma rede local e o tipo de endereço que cada uma delas utiliza; Descrever a função de um roteador em uma WAN; Identificar os componentes internos do roteador e descrever suas funções; Descrever as características físicas do roteador; Identificar portas comuns de um roteador; Conectar adequadamente portas Ethernet, WAN serial e de console
1.1 WANs 1.1.1 Introdução às WANs Uma rede de longa distância (WAN) é uma rede de comunicações de dados que abrange uma grande área geográfica, como um estado, região ou país. As WANs geralmente utilizam meios de transmissão fornecidos por prestadoras de serviços de telecomunicações, como por exemplo, as companhias telefônicas. Estas são as principais características das WANs: • •
•
Conectam dispositivos que estão separados por grandes áreas geográficas. Usam os serviços de prestadoras, como Regional Bell Operating Companies (RBOCs), Sprint, MCI, VPM Internet Services, Inc. Alguns exemplos no Brasil são: Embratel, Telemar, Intelig, Telefônica, Brasil Telecom, entre outras. Usam conexões seriais de vários tipos para acessar a largura de banda através de grandes áreas geográficas.
Uma WAN difere de uma rede local de diversas maneiras. Por exemplo, diferentemente de uma rede local, que conecta estações de trabalho, periféricos, terminais e outros dispositivos em um único prédio ou outra área geográfica pequena, uma WAN estabelece conexões de dados através de uma ampla área geográfica. As empresas usam WANs para conectar diversas localidades, de maneira que seja possível trocar informações entre escritórios distantes. Uma WAN opera na camada física e na camada de enlace do modelo de referência OSI. Ela interconecta redes locais que, geralmente, estão separadas por grandes áreas geográficas. As WANs propiciam o intercâmbio de pacotes de dados e quadros entre roteadores e switches e as redes locais suportadas por eles.
2
Os seguintes dispositivos são usados nas WANs:
• •
•
Roteadores, que oferecem diversos serviços, tais como portas para interconexão de redes e portas de interface WAN. Modems, que incluem serviços de interface de voz, unidades de serviço de canal/digital (CSU/DSUs) que fazem interface com serviços T1/E1, e adaptadores de terminal / terminação de rede tipo 1 (TA/NT1s), que fazem interface com serviços ISDN (Integrated Services Digital Network – Rede Digital de Serviços Integrados). Servidores de comunicação, que concentram as comunicações através de linha de escada (dial-in e dial-out).
Os protocolos de enlace da WAN descrevem como os quadros são transportados entre os sistemas de um único enlace de dados. Eles incluem protocolos criados para operar sobre serviços comutados dedicados ponto a ponto, multiponto e mutiacesso, tais como Frame Relay. Os padrões da WAN são definidos e gerenciados por diversas autoridades reconhecidas, como as seguintes agências: •
• • •
International Telecommunication Union-Telecommunication Standardization Sector – União Internacional de Telecomunicações-Setor de Padronização das Telecomunicações (ITU-T), antigo Consultative Committee for International Telegraph and Telephone – Comitê Consultivo para Telégrafo e Telefone Internacional (CCITT). International Organization for Standardization – Organização Internacional de Padronização (ISO). Internet Engineering Task Force – Força-Tarefa de Engenharia da Internet (IETF). Electronic Industries Association – Associação das Indústrias Eletrônicas (EIA).
3
1.1.2 Introdução aos roteadores de uma WAN Um roteador é um tipo especial de computador. Ele tem os mesmos componentes básicos de um PC desktop padrão. Tem uma CPU, memória, um barramento do sistema e diversas interfaces de entrada/saída. Entretanto, os roteadores são projetados para realizar algumas funções muito específicas, que geralmente não são realizadas pelos computadores desktop. Por exemplo, os roteadores conectam e permitem a comunicação entre duas redes e determinam o melhor caminho para que os dados viajem através dessas redes conectadas. Assim como os computadores precisam de sistemas operacionais para executar aplicativos de software, os roteadores precisam do IOS (Internetwork Operating System – Sistema Operacional de Interconexão de Redes) para executar as funções definidas nos arquivos de configuração. Esses arquivos de configuração contêm as instruções e os parâmetros que controlam o fluxo de tráfego que entra e sai dos roteadores. Especificamente, usando protocolos de roteamento, os roteadores tomam decisões com relação ao melhor caminho para os pacotes. O arquivo de configuração especifica todas as informações para uma configuração e uma utilização corretas dos protocolos roteados e de roteamento, selecionados ou ativados, no roteador. Este curso mostrará como definir os arquivos de configuração a partir dos comandos do IOS, a fim de fazer com que o roteador realize diversas funções essenciais de rede. O arquivo de configuração do roteador pode parecer complexo à primeira vista, mas parecerá muito menos complicado até o final do curso. Os principais componentes internos do roteador são a memória de acesso aleatório (RAM), a memória de acesso aleatório não-volátil (NVRAM), a memória flash, a memória somente de leitura (ROM) e as interfaces. A RAM, também chamada de RAM dinâmica (DRAM), tem as seguintes características e funções: • • • • • • •
Armazena tabelas de roteamento; Mantém a cache do ARP; Mantém a cache de fast-switching (comutação rápida); Armazena pacotes em buffers (RAM compartilhada); Mantém filas para armazenamento temporário de pacotes (queues); Fornece memória temporária para o arquivo de configuração do roteador enquanto ele estiver ligado; Perde seu conteúdo quando o roteador é desligado ou reiniciado.
A NVRAM tem as seguintes características e funções: • •
Armazena o arquivo de configuração que será utilizando na inicialização (startup configuration); Retém seu conteúdo quando o roteador é desligado ou reiniciado.
A memória flash tem as seguintes características e funções: • • • • •
Mantém a imagem do sistema operacional (IOS); Permite que o software seja atualizado sem remover nem substituir chips do processador; Retém seu conteúdo quando o roteador é desligado ou reiniciado; Pode armazenar várias versões do software do IOS; É um tipo de ROM programável, apagável eletronicamente (EEPROM).
A memória somente de leitura (ROM) tem as seguintes características e funções:
4
• • •
Mantém instruções que definem o autoteste realizado na inicialização do roteador (Power-on self test - POST); Armazena o programa de bootstrap e softwares básicos do sistema operacional; Requer a substituição de chips plugáveis na placa-mãe para as atualizações de software.
As interfaces têm as seguintes características e funções: • •
Conectam o roteador à rede para entrada e saída de pacotes; Podem ficar na placa-mãe ou em um módulo separado
1.1.3 Redes locais e WANs com roteadores Embora um roteador possa ser usado para segmentar redes locais, seu principal uso é como dispositivo WAN. Os roteadores têm tanto interfaces de rede local como de WAN. Na verdade, as tecnologias WAN geralmente são usadas para conectar roteadores, ou seja, os roteadores se comunicam entre si por meio de conexões WAN. Os roteadores são os dispositivos que compõem o backbone das grandes intranets e da Internet. Eles operam na camada 3 do modelo OSI, tomando decisões com base nos endereços de rede. As duas principais funcões de um roteador são a seleção do melhor caminho para chegar ao destino e a comutação de pacotes para a interface apropriada. Os roteadores fazem isso criando tabelas de roteamento e trocando informações de rede com outros roteadores. Um administrador pode manter tabelas de roteamento através da configuração de rotas estáticas, mas geralmente as tabelas de roteamento são mantidas dinamicamente por meio do uso de um protocolo de roteamento, que troca informações sobre a topologia (caminhos) da rede com outros roteadores. Se, por exemplo, o computador (x) precisar se comunicar com o computador (y) de um lado do mundo e com o computador (z) em outro local distante, é necessário um recurso que defina como será o roteamento do fluxo de informações, assim como caminhos redundantes para haja uma maior confiabilidade. Muitas decisões de projeto de rede e das tecnologias a utilizar podem ser tomadas para que possa ser atingida a meta de conseguir que os computadores x, y e z se comuniquem. Uma interconexão de redes (internetwork) corretamente configurada oferece as seguintes funcionalidades: • • • • •
Endereçamento fim-a-fim consistente; Endereços que representam topologias de rede; Seleção do melhor caminho; Roteamento dinâmico ou estático; Comutação
1.1.4 Função do roteador em uma WAN Considera-se que uma WAN opera na camada física e na camada de enlace. Isso não significa que as outras cinco camadas do modelo OSI não sejam encontradas em uma WAN. Significa simplesmente que as características que diferenciam uma WAN de uma rede local normalmente são encontradas na camada física e na camada de enlace. Em outras palavras, os padrões e os protocolos usados nas camadas 1 e 2 das WANs são diferentes dos utilizados nas mesmas camadas das redes locais. A camada física da WAN descreve a interface entre o equipamento terminal de dados (DTE) e o equipamento de terminação do circuito de dados (DCE). Geralmente, o DCE é o provedor do serviço e o DTE é o dispositivo conectado. Nesse modelo, os serviços oferecidos para o DTE são disponibilizados através de um modem ou CSU/DSU.
5
A principal função de um roteador é o roteamento. Este ocorre na camada de rede, a camada 3, mas se uma WAN opera nas camadas 1 e 2, então o roteador é um dispositivo de rede local ou de WAN? A resposta é que ele é os dois, como geralmente ocorre na área de redes. Um roteador pode ser exclusivamente um dispositivo de rede local, pode ser exclusivamente um dispositivo WAN ou pode estar na fronteira entre uma rede local e uma WAN e ser um dispositivo de rede local e de WAN ao mesmo tempo. Uma das funções de um roteador em uma WAN é rotear pacotes na camada 3, mas essa também é uma função de um roteador em uma rede local. Portanto, roteamento não está estritamente relacionado à função WAN do roteador. Quando um roteador usa os padrões e os protocolos das camadas física e de enlace que estão associados às WANs, ele opera como um dispositivo WAN. As principais funções na WAN de um roteador, portanto, não são de roteamento, mas de oferecer conexões entre os vários padrões físicos e de enlace de dados da WAN. Por exemplo, um roteador pode ter uma interface ISDN, que usa encapsulamento PPP, e uma interface serial na terminação de uma linha T1, que usa encapsulamento Frame Relay. O roteador deve ser capaz de mover um fluxo de bits de um tipo de serviço, como ISDN, para outro, como T1, e mudar o encapsulamento do enlace de dados de PPP para Frame Relay. Muitos dos detalhes dos protocolos das camadas 1 e 2 da WAN serão abordados mais adiante no curso, mas alguns dos principais protocolos e padrões WAN estão listados aqui para referência. Protocolos e padrões da camada física da WAN: • • • • • • • • • • •
EIA/TIA-232 EIA/TIA-449 V.24 V.35 X.21 G.703 EIA-530 ISDN T1, T3, E1 e E3 xDSL SONET (OC-3, OC-12, OC-48, OC-192)
Protocolos e padrões da camada de enlace da WAN: • • • • • • • • • •
High-level data link control (HDLC) Frame Relay Point-to-Point Protocol (PPP) Synchronous Data Link Control (SDLC) Serial Line Internet Protocol (SLIP) X.25 ATM LAPB LAPD LAPF
1.1.5 Abordagem da Academia para laboratórios práticos No laboratório da Academia, todas as redes estarão conectadas com cabos seriais ou Ethernet e os alunos poderão ver e tocar todos os equipamentos.
6
Diferentemente da configuração do laboratório da Academia, os cabos seriais no mundo real não estão conectados back-to-back. Em uma situação do mundo real, um roteador pode estar em Nova York, nos Estados Unidos, enquanto outro está em Sydney, na Austrália. Um administrador em Sydney teria que se conectar ao roteador de Nova York através da nuvem da WAN para solucionar problemas no roteador de Nova Iorque.
No laboratório da Academia, os dispositivos que formam a nuvem da WAN são simulados pela conexão entre cabos DTE-DCE back-to-back. A conexão da interface s0/0 de um roteador para a interface s0/1 de outro roteador simula um circuito completo na nuvem.
1.2 Roteadores Embora a arquitetura exata dos roteadores varie de um modelo para outro, esta seção introduzirá os principais componentes internos. As figuras e mostram os componentes internos de alguns modelos de roteadores da Cisco. Os componentes comuns são abordados nos parágrafos abaixo.
7
CPU: A unidade central de processamento (CPU) executa instruções do sistema operacional. Dentre estas funções estão a inicialização do sistema, o roteamento e o controle da interface de rede. A CPU é um microprocessador. Roteadores de maior porte podem ter várias CPUs. RAM: A memória de acesso aleatório (RAM) é usada para manter informações da tabela de roteamento, para cache de comutação rápida (fast-switching), para manter a configuração em uso e para filas de pacotes. Na maioria dos roteadores, a RAM oferece espaço temporário de armazenamento em tempo de execução para os processos do Cisco IOS e seus subsistemas. Geralmente, a RAM é dividida logicamente em memória principal do roteador e memória compartilhada de entrada/saída (E/S). A memória compartilhada de E/S é compartilhada entre as interfaces para armazenamento temporário de pacotes. O conteúdo da RAM é perdido quando a energia é desligada. Geralmente, a RAM é uma memória de acesso aleatório dinâmico (DRAM) e pode ser aumentada adicionando-se módulos DIMM (Dual In-Line Memory Modules – Módulos de Memória Dual em Linha). Flash: A memória flash é usada para armazenar uma imagem completa do software Cisco IOS. Normalmente, o roteador carrega o IOS da flash. Essas imagens podem ser atualizadas carregando-se uma nova imagem na memória flash. O IOS pode estar na forma compactada
8
ou não compactada. Na maioria dos roteadores, uma cópia executável do IOS é transferida para a RAM durante o processo de inicialização. Em outros roteadores, o IOS pode ser executado diretamente da memória flash. Adicionar ou substituir módulos SIMM (Single In-Line Memory Modules – Módulos de Memória Simples em Linha) ou cartões PCMCIA pode aumentar a quantidade de memória flash. NVRAM: A memória de acesso aleatório não-volátil (NVRAM) é usada para armazenar a configuração a ser utilizada na inicialização (startup configuration). Em alguns dispositivos, a NVRAM é implementada usando memórias somente de leitura programáveis e eletronicamente apagáveis (EEPROMs) separadas. Em outros dispositivos, ela é implementada no mesmo dispositivo flash a partir do qual o código de inicialização (boot code) é carregado. Nos dois casos, esses dispositivos retêm seus conteúdos quando a energia é desligada. Barramentos: A maioria dos roteadores contém um barramento do sistema e um barramento da CPU. O barramento do sistema é usado para comunicação entre a CPU e as interfaces e/ou slots de expansão. Esse barramento transfere os pacotes para as interfaces e a partir delas. O barramento da CPU é usado pela CPU para ter acesso aos componentes de armazenamento do roteador. Esse barramento transfere instruções e dados para endereços de memória especificados ou a partir deles. ROM: A memória somente de leitura (ROM) é usada para armazenar permanentemente o código de diagnóstico de problemas na inicialização (ROM Monitor). As principais tarefas da ROM são os testes do hardware durante a inicialização do roteador e a carga do software Cisco IOS da flash para a RAM. Alguns roteadores também têm uma versão reduzida do IOS, que pode ser usada como uma fonte alternativa de inicialização. As ROMs não podem ser apagadas. Elas só podem ser atualizadas substituindo os chips da ROM instalados nos soquetes. Interfaces: As interfaces são as conexões do roteador com o ambiente externo. Os três tipos de interfaces são: rede local (LAN), rede de longa distância (WAN) e Console/AUX. Geralmente, as interfaces de rede local são de uma das variedades de Ethernet ou Token Ring. Essas interfaces têm chips controladores, que fornecem a lógica para conectar o sistema ao meio físico. As interfaces de rede local podem ser de configuração fixa ou modular. As interfaces WAN incluem as seriais, as ISDN e as que têm uma CSU (Channel Service Unit) integrada. Assim como as interfaces de rede local, as interfaces WAN também têm chips controladores especiais para as interfaces. As interfaces WAN podem ser de configuração fixa ou modular. As portas de Console/AUX são portas seriais usadas principalmente para a configuração inicial do roteador. Essas portas não são portas de rede. Elas são usadas para sessões de terminal a partir das portas de comunicação do computador ou através de um modem. Fonte de alimentação: A fonte de alimentação fornece a energia necessária para operar os componentes internos. Os roteadores de maior porte podem usar fontes de alimentação múltiplas ou modulares. Em alguns dos roteadores de monor porte, a fonte de alimentação pode ser externa.
1.2.2 Características físicas do roteador Não é essencial saber a localização exata dos componentes físicos dentro do roteador para entender a maneira de utilizá-lo. Entretanto, em algumas situações, como para a instalação de mais memória, isso pode ser muito útil. Os componentes exatos utilizados e a sua localização variam de um modelo de roteador para outro. A figura identifica os componentes internos de um roteador 2600.
9
A figura mostra alguns dos conectores externos de um roteador 2600.
1.2.3 Conexões externas do roteador Os três tipos básicos de conexões possíveis em um roteador são as interfaces de rede local, as interfaces WAN e as portas de gerenciamento. As interfaces de rede local permitem que o roteador seja conectado ao meio físico de uma rede local. É comum neste caso, o uso de algum tipo de Ethernet. Entretanto, podem ser utilizadas outras tecnologias de rede local, como Token Ring ou FDDI.
10
WANs provêem conexões através de um provedor de serviços a uma localidade distante ou à Internet. Estas conexões podem utilizar interfaces seriais ou qualquer outro tipo de interface WAN. Com alguns tipos de interfaces WAN, é necessário um dispositivo externo, tal como uma CSU, para conectar o roteador ao equipamento local do provedor de serviços. Com outros tipos de conexões WAN, o roteador pode ser conectado diretamente ao provedor de serviços. A função das portas de gerenciamento é diferente daquela exercida pelas outras conexões. As conexões de LAN e de WAN provêem conexões de rede por onde os pacotes de dados são encaminhados. A porta de gerenciamento fornece uma conexão baseada em texto que pode ser utilizada para configurar e solucionar problemas do roteador. As interfaces de gerenciamento comumente utilizadas são as portas de console e a auxiliar. Essas portas são seriais assíncronas EIA-232 e podem ser conectadas a uma porta de comunicação (COM) de um computador. O computador precisa executar um programa de emulação de terminal que provê uma sessão com o roteador utilizando linha de comando baseada em texto. Através dessa sessão, o administrador da rede pode gerenciar o dispositivo.
1.2.4 Conexões das portas de gerenciamento A porta de console e a porta auxiliar (AUX) são portas de gerenciamento. Essas portas seriais assíncronas não foram concebidas como portas de rede. Uma dessas duas portas é necessária para realizar a configuração inicial do roteador. A porta de console é recomendada para essa configuração inicial. Nem todos os roteadores têm uma porta auxiliar. Quando o roteador entra em funcionamento pela primeira vez, nenhum parâmetro da rede está configurado. Portanto, o roteador não pode comunicar-se com nenhuma rede. Para prepará-lo para a inicialização e configuração iniciais, conecte um terminal ASCII RS-232, ou um computador que emule um terminal ASCII, à porta de console do sistema. Assim, é possível inserir os comandos de configuração do roteador. Uma vez inserida essa configuração inicial no roteador através da porta de console ou da porta auxiliar, o roteador poderá ser conectado à rede para fins de solução de problemas ou monitoramento. O roteador também pode ser configurado remotamente, através da porta de configuração usando Telnet em uma rede IP, ou discando para um modem conectado à porta de console ou à porta auxiliar do roteador. Para a solução de problemas, também é preferível usar a porta de console em vez da porta auxiliar. Isso porque ela mostra, por default, as mensagens de inicialização, depuração e de erros do roteador. A porta de console também pode ser usada quando os serviços de rede não tiverem sido iniciados ou tiverem alguma falha. Assim, a porta de console pode ser usada para procedimentos de recuperação de desastres e recuperação de senhas.
11
1.2.5 Conectando as interfaces de console A porta de console é uma porta de gerenciamento usada para fornecer acesso fora de banda (out-of-band) ao roteador. Ela é usada para a configuração inicial do roteador, para monitoramento e para procedimentos de recuperação de desastres. Um cabo de console ou rollover e um adaptador RJ-45/DB-9 são usados para conectar a porta de console a um PC. A Cisco fornece o adaptador necessário para conectar-se à porta de console. O PC ou terminal precisa suportar a emulação de terminal VT100. Geralmente são utilizados softwares de emulação de terminal, tais como o HyperTerminal. Para conectar o PC a um roteador: 1. No software de emulação de terminal do PC, configure: • A porta COM correta; • 9600 baud; • 8 bits de dados; • Sem paridade; • 1 bit de parada; • Sem fluxo de controle. 2. Conecte o conector RJ-45 do cabo rollover à porta de console do roteador. 3. Conecte a outra ponta do cabo rollover ao adaptador RJ-45 / DB-9. 4. Conecte o adaptador DB-9 fêmea a um PC.
1.2.6 Conectando a interfaces LAN Na maioria dos ambientes de rede local, o roteador é conectado à rede local usando uma interface Ethernet ou Fast Ethernet. O roteador é um host que se comunica com a rede local através de um hub ou de um switch. Para fazer essa conexão, é usado um cabo direto. Uma interface de roteador 10/100BaseTX requer um cabo de par trançado não blindado (UTP) de categoria 5 ou melhor, independentemente do tipo de roteador. Em alguns casos, a interface Ethernet do roteador é conectada diretamente ao computador ou a outro roteador. Para esse tipo de conexão, é necessário um cabo cruzado (crossover). Em qualquer conexão ao roteador, a interface correta deve ser utilizada. Se for usada uma interface errada, o roteador ou os outros dispositivos de rede podem ser danificados. Muitos tipos diferentes de conexões usam o mesmo tipo de conector. Por exemplo, interfaces Ethernet, ISDN BRI, Console, AUX com CSU/DSU integrados e Token Ring usam o mesmo conector de oito pinos: RJ-45, RJ-48 ou RJ-49. Para ajudar a diferenciar as conexões do roteador e identificar a utilização dos conectores, a Cisco usa um esquema de código de cores. A figura mostra alguns deles para um roteador 2600.
12
1.2.7 Conectando as interfaces WAN As conexões WAN podem assumir inúmeras formas. Uma WAN estabelece conexões de dados através de uma ampla área geográfica, usando muitos tipos diferentes de tecnologia. Esses serviços WAN geralmente são alugados de provedores de serviços. Dentre esses tipos de conexão WAN estão: linhas alugadas, comutadas por circuitos e comutadas por pacotes.
Para cada tipo de serviço WAN, o equipamento instalado no cliente (CPE – Customer Premises equipment), geralmente um roteador, é o DTE (Data Terminal Equipment - Equipamento Terminal de Dados). Eles são conectados ao provedor de serviços usando um dispositivo DCE (Data Circuit-Terminating Equipment - Equipamento de terminação do circuito de dados), geralmente um modem ou uma unidade de serviço de canal/dados (CSU/DSU). Esse dispositivo é usado para converter os dados do DTE em uma forma aceitável para o provedor de serviços de WAN.
13
Talvez as interfaces de roteador mais utilizadas para os serviços WAN sejam as interfaces seriais. Para selecionar o cabo serial adequado, basta saber as respostas para estas quatro perguntas: •
•
•
•
14
Qual é o tipo de conexão ao dispositivo Cisco? Os roteadores Cisco podem usar diferentes conectores para as interfaces seriais. A interface à esquerda é uma interface Smart Serial. A interface à direita é uma conexão DB-60. Isso torna a escolha do cabo serial que conecta o sistema de rede aos dispositivos seriais uma parte essencial da configuração de uma WAN. A rede está sendo conectada a um dispositivo DTE ou DCE? DTE e DCE são dois tipos de interfaces seriais que os dispositivos utilizam para se comunicar. A principal diferença entre os dois é que o dispositivo DCE fornece o sinal de clock que sincroniza a comunicação entre os dispositivos. A documentação do dispositivo deve especificar se é um DTE ou DCE. Qual é o padrão de sinais exigido pelo dispositivo? Para cada dispositivo, pode-se usar um padrão serial diferente. Cada padrão define os sinais no cabo e especifica o conector na ponta do cabo. A documentação do dispositivo deve sempre ser consultada quanto ao padrão de sinais. O cabo requer um conector macho ou fêmea? Se o conector tiver pinos externos visíveis, ele é macho. Se tiver encaixes para pinos externos, é fêmea.
Resumo Devem ter sido compreendidos os importantes conceitos a seguir: • • • • • • • •
Conceitos de WAN e de rede local; Função de um roteador em WANs e LANs; Protocolos WAN; Configuração do encapsulamento; Identificação e descrição dos componentes internos de um roteador; Características físicas de um roteador; Portas mais comuns em um roteador; Como conectar as portas de console, de LAN e de WAN do roteador.
15
CAPITULO 02 - Introdução aos roteadores Visão Geral A tecnologia Cisco foi concebida em torno do Cisco IOS (Internetwork Operating System – Sistema Operacional de Interconexão de redes), que é o software que controla as funções de roteamento e de comutação nos dispositivos de interconexão de redes. Uma compreensão sólida do IOS é essencial para um administrador de redes. Este módulo apresentará uma introdução aos fundamentos do IOS e oferecerá práticas que permitirão examinar os seus recursos. Todas as tarefas de configuração da rede, das mais básicas às mais complexas, exigem uma base sólida a respeito dos fundamentos da configuração do roteador. Este módulo fornecerá as ferramentas e as técnicas para a configuração básica do roteador, as quais serão usadas ao longo do curso. Ao concluir este módulo, os alunos deverão ser capazes de: • • • • • • • • •
Descrever a finalidade do IOS; Descrever a operação básica do IOS; Identificar vários recursos do IOS; Identificar os métodos para estabelecer uma sessão com o roteador utilizando a interface de linha de comando (CLI); Alternar entre o modo EXEC de usuário e o modo EXEC privilegiado; Estabelecer uma sessão HyperTerminal com um roteador; Efetuar login em um roteador; Usar o recurso de ajuda na interface de linha de comando; Solucionar problemas de erros no uso dos comandos.
2.1 Operando o software Cisco IOS 2.1.1 A finalidade do software Cisco IOS Assim como um computador, um roteador ou switch não pode funcionar sem um sistema operacional. A Cisco chama seu sistema operacional de Internetwork Operating System (Sistema Operacional de Interconexão de Redes) ou IOS. Essa é a tecnologia de software embutida em todos os roteadores da Cisco, sendo também o sistema operacional dos switches da linha Catalyst. Sem um sistema operacional, o hardware não tem qualquer funcionalidade. O Cisco IOS oferece os seguintes serviços de rede: • • •
Funções básicas de roteamento e comutação; Acesso confiável e seguro aos recursos da rede; Escalabilidade.
2.1.2 Interface do usuário do roteador O software Cisco IOS usa uma interface de linha de comando (CLI) como seu ambiente de console tradicional. O IOS é uma tecnologia central que se estende por quase toda a linha de produtos da Cisco. Seus detalhes de operação podem variar nos diferentes dispositivos de internetworking. Esse ambiente pode ser acessado através de diversos métodos. Uma maneira de acessar a CLI é através de uma sessão de console. Uma console usa uma conexão serial de baixa velocidade diretamente de um computador ou terminal para a porta de console do roteador. Outra maneira de acessar uma sessão da CLI é usando uma conexão discada (dial-up) através de um modem ou de um cabo null-modem conectado à porta AUX do roteador. Nenhum desses métodos requer que o roteador tenha qualquer serviço de rede configurado. Outro método para acessar uma sessão CLI é conectar-se via Telnet ao roteador. Para estabelecer
16
uma sessão Telnet com o roteador, pelo menos uma interface do roteador deve estar configurada com um endereço IP e as sessões de terminais virtuais precisam estar configuradas para solicitar o login do usuário e devem ter uma senha associada.
2.1.3 Modos da interface do usuário do roteador A interface de linha de comando (CLI) da Cisco usa uma estrutura hierárquica. Essa estrutura exige a entrada em diferentes modos para realizar determinadas tarefas. Por exemplo, para configurar a interface de um roteador, o usuário deve entrar no modo Setup de interface. A partir desse modo, todas as configurações inseridas aplicam-se somente a essa interface específica. Cada modo Setup é indicado por um prompt distinto e permite apenas os comandos que sejam adequados a esse modo. O IOS fornece um serviço de interpretação de comandos conhecido como executivo de comandos (EXEC). Depois que cada comando é inserido, o EXEC valida e executa o comando. Como recurso de segurança, o software Cisco IOS separa as sessões EXEC em dois níveis de acesso. Esses níveis são o modo EXEC de usuário e o modo EXEC privilegiado. O modo EXEC privilegiado também é conhecido como modo de ativação. Os recursos do modo EXEC de usuário e do modo EXEC privilegiado são os seguintes: •
•
O modo EXEC de usuário permite somente uma quantidade limitada de comandos básicos de monitoramento. Ele geralmente é chamado de modo "somente de visualização". O modo EXEC de usuário não permite nenhum comando que possa alterar a configuração do roteador. O modo EXEC de usuário pode ser identificado pelo prompt ">". O modo EXEC privilegiado permite acesso a todos os comandos do roteador. Esse modo pode ser configurado para que seja exigida uma senha do usuário antes de acessá-lo. Para maior proteção, ele também pode ser configurado para exigir uma identificação do usuário (user ID). Isso permite que somente os usuários autorizados acessem o roteador. Os comandos de configuração e gerenciamento exigem que o administrador da rede esteja no modo EXEC privilegiado. O modo Setup global e outros modos de configuração mais específicos só podem ser alcançados a partir do modo EXEC privilegiado. O modo EXEC privilegiado pode ser identificado pelo prompt "#".
Para acessar o nível EXEC privilegiado a partir do nível EXEC de usuário, digite o comando enable no prompt ">".
Se uma senha estiver configurada, o roteador pedirá essa senha. Por razões de segurança, um dispositivo de rede da Cisco não mostra a senha digitada. Quando a senha correta for digitada, o prompt do roteador mudará para "#", indicando que o usuário passou para o modo EXEC
17
privilegiado. Inserir um ponto de interrogação (?) no modo EXEC privilegiado revela muitas outras opções de comandos, além das disponíveis no modo EXEC de usuário.
2.1.4 Características do software Cisco IOS A Cisco fornece imagens de IOS para atender uma grande variedade de produtos de rede de diferentes plataformas. Para otimizar o software Cisco IOS exigido por essas várias plataformas, a Cisco está trabalhando no desenvolvimento de várias imagens diferentes do software Cisco IOS. Cada imagem representa um conjunto diferente de recursos para atender às várias plataformas existentes de dispositivos, os recursos disponíveis de memória nos equipamentos e às necessidades dos clientes. Embora existam muitas imagens de IOS para diferentes modelos de dispositivos e conjuntos de recursos da Cisco, a estrutura básica dos comandos de configuração é a mesma. As habilidades de configuração e solução de problemas adquiridas em qualquer um dos dispositivos aplicam-se a uma ampla gama de produtos. A convenção de nomes para as diferentes versões do Cisco IOS contém três partes: • • •
A plataforma na qual a imagem é executada; Os recursos especiais suportados pela imagem; Onde a imagem é executada e se ela foi zipada ou compactada.
Recursos específicos do IOS podem ser selecionados com auxílio do Cisco Software Advisor, uma ferramenta interativa que fornece as informações mais atuais e permite selecionar opções que atendam as necessidades da rede. Uma das principais considerações ao selecionar uma nova imagem de IOS é a compatibilidade com a memória flash e RAM disponíveis no roteador. Em geral, quanto mais nova a versão e quanto mais recursos ela oferecer, mais memória será necessária. Use o comando show version no dispositivo Cisco para verificar a imagem atual e a memória flash disponível. O site de suporte da Cisco tem ferramentas disponíveis para ajudar a determinar a quantidade de flash e RAM necessárias para cada imagem. Antes de instalar uma nova imagem do software Cisco IOS no roteador, verifique se este atende às exigências de memória para essa imagem. Para ver a quantidade de RAM, use o comando show version: ...<saída omitida>... cisco 1721 (68380) processor (revision C) with 3584K/512K bytes of memory. Essa linha mostra quanto há de memória principal e compartilhada instalada no roteador. Algumas plataformas usam uma parcela da DRAM como memória compartilhada. A necessidade de memória leva isso em consideração, portanto as duas quantidades devem ser somadas para encontrar a quantidade de DRAM instalada no roteador. Para encontrar a quantidade de memória flash, use o comando show flash. GAD#show flash ...<saída omitida>... 15998976 bytes total (10889728 bytes free)
2.1.5 Modo de operar do software Cisco IOS
18
Os dispositivos que utilizam o IOS Cisco têm três ambientes ou modos operacionais distintos: • • •
ROM Monitor; Boot ROM; Cisco IOS.
Normalmente, o processo de inicialização do roteador carrega um destes ambientes operacionais na RAM e o executa. O valor definido no configuration register (registrador de configuração) pode ser usado pelo administrador do sistema para controlar o modo como o roteador será inicializado. No modo ROM Monitor é realizado o processo inicial de inicialização (bootstrap) e oferecido ao usuário um conjunto de comandos para operação de baixo nível e para diagnóstico do equipamento. É usado para corrigir falhas do sistema e recuperar senhas perdidas. O modo ROM monitor não pode ser acessado através de nenhuma das interfaces de rede. Só pode ser acessado por meio de uma conexão física direta através da porta de console. Quando o roteador está operando no modo boot ROM, somente um subconjunto limitado dos recursos do Cisco IOS está disponível. No modo Boot ROM são permitidas operações de gravação na memória flash que são usadas principalmente para substituir a imagem do Cisco IOS que está armazenada na flash. No modo Boot ROM, a imagem do Cisco IOS pode ser modificada usando o comando copy tftp flash, que copia uma imagem do IOS armazenada em um servidor TFTP para a memória flash do roteador. A operação normal de um roteador requer o uso da imagem completa do Cisco IOS, conforme armazenada na flash. Em alguns dispositivos, o IOS é executado diretamente a partir da flash. Entretanto, a maioria dos roteadores Cisco requer que uma cópia do IOS seja carregada na RAM e executada também a partir da RAM. Algumas imagens do IOS são armazenadas na flash em formato compactado e precisam ser expandidas ao serem copiadas para a RAM. Para ver a imagem e versão do IOS que está sendo executado, use o comando show version, que também indica como o configuration register está definido. O comando show flash é usado para verificar se o sistema tem memória suficiente para carregar uma nova imagem do Cisco IOS
2.2 Inicializando um roteador 2.2.1 Inicializando roteadores Cisco pela primeira vez Um roteador é inicializado com a carga do bootstrap, do sistema operacional e de um arquivo de configuração. Se não conseguir encontrar um arquivo de configuração, ele entra no modo Setup. Após a conclusão do modo Setup, uma cópia de backup do arquivo de configuração pode ser salva na memória RAM não volátil. O objetivo das rotinas de inicialização do software Cisco IOS é iniciar a operação do roteador. Para isso, as rotinas de inicialização devem realizar as seguintes tarefas: • • •
Certificar-se de que o hardware do roteador foi testado e está funcional. Encontrar e carregar o software Cisco IOS. Encontrar e aplicar o arquivo de configuração armazenado (startup configuration) ou entrar no modo Setup.
19
Quando um roteador Cisco é ligado, é realizado um autoteste (POST - Power-on Self Test). Durante esse autoteste, o roteador executa uma série de testes a partir da ROM em todos os módulos de hardware. Esses testes verificam a operação básica da CPU, da memória e das portas das interfaces de rede. Após verificar as funções de hardware, o roteador passa à inicialização do software. Após o POST, ocorrem os seguintes eventos ocorrem durante a inicialização do roteador:
Etapa 1 O bootstrap é executado a partir da ROM. Um bootstrap é um conjunto simples de instruções que testam o hardware e inicializam o IOS para que seja iniciada a operação do roteador. Etapa 2 O IOS pode ser encontrado em diversos lugares. testam o hardware e inicializam o IOS para que seja iniciada a operação do roteador. Se o campo de boot indicar uma carga a partir da flash ou da rede, os comandos boot system existentes no arquivo de configuração indicam o nome exato e a localização da imagem a ser utilizada. Etapa 3 A imagem do sistema operacional é carregada. Quando o IOS é carregado e está operacional, uma listagem dos componentes de hardware e software disponíveis é exibida na tela do terminal de console. Etapa 4 O arquivo de configuração salvo na NVRAM é carregado na memória principal e executado linha a linha. Os comandos de configuração iniciam os processos de roteamento, fornecem endereços para as interfaces e definem outras características operacionais do roteador. Etapa 5 Se não existir nenhum arquivo de configuração válido na NVRAM, o sistema operacional busca um servidor TFTP disponível. Se nenhum servidor TFTP for encontrado, o diálogo de configuração (modo setup) é iniciado. A configuração não é o modo para entrada de recursos complexos de protocolo no roteador. A finalidade do modo Setup é permitir que o administrador instale uma configuração mínima para um roteador que não seja capaz de localizar uma configuração a partir de outra fonte. No modo Setup, as respostas padrão aparecem entre colchetes [ ] depois das perguntas. Pressione a tecla Enter para usar esses padrões. Durante o processo de configuração, podese pressionar Ctrl-C a qualquer momento para encerrar o processo. Quando a configuração é encerrada por meio de Ctrl-C, todas as interfaces do roteador são desabilitadas (administrative shutdown).
20
Quando o processo de configuração é concluído no modo Setup, são exibidas as seguintes opções: [0] Go to the IOS command prompt without saving this config. (Ir para o prompt de comando do IOS sem salvar esta configuração.) [1] Return back to the setup without saving this config. (Voltar à configuração sem salvar esta configuração.) [2] Save this configuration to nvram and exit. (Salvar esta configuração na NVRAM e sair.) Enter your selection [2]: (Digite a sua opção [2]:)
2.2.2 LEDs Indicadores utilizados no roteador Os roteadores Cisco utilizam LEDs para fornecer informações sobre seu estado operacional. Dependendo do modelo do roteador Cisco, os LEDs podem variar. Um LED de interface indica a atividade da interface correspondente. Se um LED estiver desligado quando a interface estiver ativa e conectada corretamente, isso pode indicar um problema. Se uma interface estiver excessivamente ocupada, seu LED estará sempre aceso. O LED verde de OK à direita da porta AUX estará sempre aceso depois que o sistema for inicializado corretamente.
2.2.3 Examinando a inicialização (boot) do roteador Os exemplos das figuras – mostram informações e mensagens exibidas durante inicialização. Essas informações variam, dependendo das interfaces instaladas no roteador e da versão do Cisco IOS. As telas exibidas nesse gráfico são apenas para referência e podem não refletir exatamente o que é exibido na tela de console.
Na figura , a declaração "NVRAM invalid, possibly due to write erase" ("NVRAM inválida, possivelmente devido a ter sido apagada pelo comando write erase"), indica ao usuário que esse roteador ainda não foi configurado ou que a NVRAM foi apagada. Um roteador deve ser configurado, o arquivo de configuração deve ser salvo na NVRAM e, em seguida, deve ser configurado para usar o arquivo de configuração armazenado na NVRAM. O valor padrão de fábrica do configuration register é 0x2102, que indica que o roteador deve tentar carregar uma imagem do Cisco IOS a partir da memória flash.
21
Na figura , o usuário pode determinar as versões do bootstrap e do IOS que estão sendo usadas pelo roteador, assim como o modelo do roteador, o processador e a quantidade de memória do roteador. Outras informações listadas nesse gráfico são: • • • •
A quantidade de interfaces; Os tipos de interfaces; A quantidade de NVRAM; A quantidade de memória flash.
Na figura , o usuário tem a opção de entrar no modo Setup. Lembre-se de que a finalidade principal do modo Setup é permitir que o administrador instale uma configuração mínima em um roteador que não seja capaz de localizar uma configuração a partir de outra fonte
2.2.4 Estabelecendo uma sessão HyperTerminal Todos os roteadores Cisco contêm uma porta de console serial assíncrona (RJ-45) TIA/EIA232. Para conectar um terminal à porta de console, são necessários cabos e adaptadores. Um terminal de console pode ser um terminal ASCII ou um PC que esteja executando um software de emulação de terminal, como o HyperTerminal. Para conectar um PC que esteja executando um software de emulação de terminal à porta de console, use o cabo rollover RJ-45 / RJ-45 com o adaptador fêmea RJ-45 / DB-9.
22
Os parâmetros padrão para a porta de console são 9600 baud, 8 bits de dados, sem paridade, 1 bit de parada, sem controle de fluxo. A porta de console não suporta controle de fluxo de hardware. Siga as etapas a seguir para conectar um terminal à porta de console no roteador: Etapa 1 Conecte o terminal usando o cabo rollover RJ-45 / RJ-45 e um adaptador RJ-45 / DB-9 ou RJ-45 / DB-25. Etapa 2 Configure o terminal ou o software de emulação de terminal do PC para 9600 baud, 8 bits de dados, sem paridade, 1 bit de parada, sem controle de fluxo.
A figura mostra uma lista de sistemas operacionais e os softwares de emulação de terminal que podem ser usados.
2.2.5 Efetuando o login no roteador Para configurar os roteadores Cisco, a interface do usuário do roteador deve ser acessada com um terminal ou através de acesso remoto. Ao acessar um roteador, o usuário deve efetuar o login no roteador antes de inserir qualquer outro comando. Por razões de segurança, o roteador tem dois níveis de acesso aos comandos: • •
Modo EXEC de usuário: As tarefas típicas incluem as de verificação do status do roteador. Neste modo, não são permitidas alterações na configuração do roteador Modo EXEC privilegiado: As tarefas típicas incluem as de alteração da configuração do roteador.
Após o login em um roteador, é exibido o prompt do modo EXEC de usuário. Os comandos disponíveis neste nível do usuário são um subconjunto dos comandos disponíveis no nível EXEC privilegiado. Em linhas gerais, esses comandos permitem que o usuário exiba informações sem alterar as definições da configuração do roteador. Para acessar todo o conjunto de comandos, deve-se entrar no modo EXEC privilegiado. No prompt ">", digite enable. No prompt password:, digite a senha que foi definida com o comando enable secret. Dois comandos podem ser usados para definir uma senha de acesso ao modo EXEC privilegiado: enable password e enable secret. Se os dois comandos forem usados, enable secret tem precedência. Uma vez concluídas as etapas de login, o prompt muda para "#", indicando que se entrou no modo EXEC privilegiado. O modo Setup global só pode ser acessado a partir do modo EXEC privilegiado. Os modos específicos listados a seguir também podem ser acessados a partir do modo Setup global: • • • • •
Interface Subinterface Line Router Route map
23
Para voltar ao modo EXEC de usuário a partir do modo EXEC privilegiado, pode-se usar o comando disable. Para voltar ao modo EXEC privilegiado a partir do modo Setup global, digite exit ou Ctrl-Z. Ctrl-Z também pode ser usado para voltar diretamente ao modo EXEC privilegiado a partir de qualquer submodo da configuração global.
2.2.6 Ajuda do teclado na CLI do roteador Ao digitar um ponto de interrogação (?) no prompt do modo EXEC de usuário ou no prompt do modo EXEC privilegiado é exibida uma lista útil dos comandos disponíveis. Observe o "-More--" na parte inferior do exemplo exibido. A tela mostra várias linhas de uma única vez. O prompt "--More--" na parte inferior da tela indica que há várias telas disponíveis como saída. Sempre que aparecer um prompt "--More--", a próxima tela disponível pode ser visualizada pressionando-se a barra de espaço. Para exibir apenas a linha seguinte, pressione a tecla Enter. Pressione qualquer outra tecla para voltar ao prompt. Para acessar o modo EXEC privilegiado, digite enable ou a abreviação ena. Isso pode fazer com que o roteador solicite uma senha ao usuário, caso ela tenha sido definida. Se um "?" (ponto de interrogação) for digitado no prompt do modo EXEC privilegiado, a tela exibe uma lista com um número mairo de comandos do que os que estão disponíveis no prompt do modo EXEC privilegiado. A saída na tela varia de acordo com a versão do software Cisco IOS e com a configuração do roteador. Se um usuário quiser ajustar o clock do roteador mas não souber o comando necessário, pode usar a função de ajuda para verificar o comando correto. O exercício a seguir ilustra um dos muitos usos da função de ajuda. A tarefa é ajustar o clock do roteador. Supondo que o comando não seja conhecido, siga as seguintes etapas: Etapa 1 Use ? para encontrar o comando de ajuste do clock. A saída da ajuda mostra que é necessário usar o comando clock. Etapa 2 Verifique a sintaxe para alteração do horário.
24
Etapa 3 Insira o horário atual, usando horas, minutos e segundos, conforme mostrado na figura . O sistema indica que é necessário fornecer informações adicionais para concluir o comando. Etapa 4 Pressione Ctrl-P (ou a seta para cima) para repetir a entrada de comando anterior automaticamente. Em seguida, adicione um espaço e um ponto de interrogação (?) para revelar os outros argumentos. Agora a entrada do comando pode ser concluída. Etapa 5 O símbolo de acento circunflexo (^) e a mensagem de ajuda apresentada indicam um erro. A posição do símbolo de acento circunflexo mostra onde está localizado o possível problema. Para inserir a sintaxe correta, digite novamente o comando até o ponto onde está localizado o símbolo de acento circunflexo e digite um ponto de interrogação (?). Etapa 6 Insira o ano, usando a sintaxe correta, e pressione Enter para executar o comando.
2.2.7 Comandos avançados de edição A interface do usuário inclui um modo de edição avançado, que oferece um conjunto de funções de teclas de edição, que permitem que o usuário edite uma linha de comando durante a digitação. As seqüências de teclas indicadas na figura podem ser usadas para mover o cursor na linha de comando e fazer correções ou alterações. Embora o modo de edição avançada esteja ativado automaticamente na versão atual do software, ele pode ser desativado se interferir na interação com os scripts gravados. Para desativar o modo de edição avançada, digite terminal no editing no prompt do modo EXEC privilegiado.
O conjunto de comandos de edição oferece um recurso de rolagem horizontal para comandos que se estendem além de uma única linha da tela. Quando o cursor atinge a margem direita, a linha de comando desloca-se dez espaços para a esquerda. Os dez primeiros caracteres da linha não podem ser vistos, mas o usuário pode fazer a rolagem para trás e verificar a sintaxe no início do comando. Para fazer a rolagem para trás, pressione Ctrl-B ou a seta para a esquerda repetidamente até atingir o início da entrada do comando. Ctrl-A leva o usuário diretamente de volta ao início da linha.
No exemplo mostrado na figura , a entrada do comando estende-se além de uma única linha. Quando o cursor atinge o final da linha pela primeira vez, a linha é deslocada dez espaços para a esquerda e exibida novamente. O cifrão ($) indica que a linha foi rolada para a esquerda. Cada vez que o cursor alcança o final da linha, ela é deslocada novamente dez espaços para a esquerda. A saída na tela varia de acordo com o nível do software Cisco IOS e com a configuração do roteador. Ctrl-Z é um comando usado para sair do modo Setup, levando o usuário de volta ao prompt do modo EXEC privilegiado.
25
2.2.8 Histórico de comandos do roteador A interface do usuário oferece um histórico ou registro dos comandos que foram inseridos. Esse recurso é particularmente útil para relembrar comandos longos ou complexos. Com o recurso de histórico de comandos, é possível realizar as seguintes tarefas: • • •
Definir o tamanho do buffer do histórico de comandos; Relembrar comandos; Desativar o recurso de histórico de comandos.
O histórico de comandos é ativado por padrão e o sistema registra dez linhas de comandos em seu buffer de histórico. Para alterar a quantidade de linhas de comandos registradas pelo sistema durante uma sessão do terminal, use o comando terminal history size ou history size. A quantidade máxima de comandos é 256.
Para relembrar os comandos do buffer do histórico a partir do mais recente, pressione Ctrl-P ou a tecla de seta para cima. Pressione-as repetidamente para relembrar os comandos mais antigos sucessivamente. Após relembrar os comandos com as teclas Ctrl-P ou seta para cima, pressione Ctrl-N ou a tecla para baixo repetidamente para voltar aos comandos mais recentes no buffer histórico. Para encurtar a digitação de um comando, é possível usar a quantidade mínima de caracteres exclusiva desse comando. Pressione a tecla Tab e a interface completará a entrada. Quando as letras digitadas identificarem o comando de maneira exclusiva, a tecla Tab simplesmente confirmará visualmente que o roteador entendeu o comando específico desejado. Na maioria dos computadores, também estão disponíveis funções adicionais de seleção e cópia de textos. Uma parte de um comando anterior pode então ser copiada e colada ou inserida como entrada do comando atual.
2.2.9 Solucionando erros de linha de comando Os erros de linha de comando ocorrem principalmente devido a erros de digitação. Se a palavra-chave de um comando for digitada de maneira incorreta, a interface do usuário proporciona o isolamento do erro, na forma de um indicador de erro (^). O símbolo "^" aparece no ponto da linha de comando onde foi inserido um comando, palavra-chave ou argumento incorreto. O indicador de localização do erro e o sistema interativo de ajuda permitem que o usuário encontre e corrija facilmente os erros de sintaxe.
26
Router#clock set 13:32:00 23 February 99 ^ % Entrada inválida detectada no marcador "^". O acento circunflexo (^) e a mensagem da ajuda indicam um erro onde aparece o 99. Para listar a sintaxe correta, digite o comando até o ponto em que ocorreu o erro, seguido de um ponto de interrogação (?): Router#clock set 13:32:00 23 February ? <1993-2035> Year Router#clock set 13:32:00 23 February Insira o ano usando a sintaxe correta e pressione Enter para executar o comando. Router#clock set 13:32:00 23 February 1999 Se uma linha de comando for inserida incorretamente e a tecla Enter for pressionada, a tecla de seta para cima pode ser pressionada para repetir o último comando. Use as teclas de seta para a direita ou esquerda para mover o cursor para o local onde o erro foi cometido. Em seguida, digite a correção que precisa ser feita. Se algo precisar ser excluído, use a tecla <backspace>.
2.2.10 O comando show version O comando show version exibe informações sobre a versão do software Cisco IOS que está em execução no momento no roteador. Isso inclui os valores definidos do configuration register (registrador de configuração) e do boot field (campo de inicialização).
A figura mostra as seguintes informações do comando show version: • • •
Versão e informações descritivas do IOS em uso; Versão da Bootstrap ROM; Versão da Boot ROM;
27
• • • • •
Tempo decorrido desde a inicialização do roteador; Método utilizado na última reinicialização do roteador; Arquivo da imagem do sistema em uso e sua localização; Plataforma de hardware do roteador; Valor do configuration register.
Use o comando show version para identificar a imagem do IOS em uso no roteador e de onde foi obtida.
Resumo Devem ter sido compreendidos os importantes conceitos a seguir: • • • • • • • • • • • •
A finalidade do IOS; A operação básica do IOS; Identificação das várias funcionalidades do IOS; Identificação dos métodos para estabelecer uma sessão CLI com o roteador; As diferenças entre os modos EXEC de usuário e privilegiado; Estabelecimento de uma sessão HyperTerminal; Login no roteador; Utilização do recurso de ajuda na interface de linha de comando; Utilização dos comandos avançados de edição; Utilização do histórico de comandos; Solução de erros de linha de comando; Utilização do comando show version
CAPITULO 03 - Configurando um roteador 28
Visão Geral Configurar um roteador para realizar tarefas complexas entre redes pode ser um grande desafio. Entretanto, os procedimentos iniciais para configurar um roteador não são nada difíceis. Se esses procedimentos e as etapas para alternar entre os vários modos do roteador forem seguidos, as configurações mais complexas ficarão muito menos assustadoras. Este módulo introduz os modos básicos de configuração do roteador e oferece oportunidades para praticar configurações simples. Uma configuração de roteador que seja clara, fácil de entender e com backups regulares deve ser um objetivo de todos os administradores de rede. O Cisco IOS oferece ao administrador diversas ferramentas para adicionar informações ao arquivo de configuração para fins de documentação. Assim como um programador competente fornece documentação para cada passo de programação, um administrador de rede deve fornecer o máximo possível de informação, para a eventualidade de outra pessoa precisar assumir a responsabilidade sobre a rede. Ao concluírem este módulo, os alunos deverão ser capazes de: • • • • • • • • • • •
Dar nome a um roteador; Definir senhas; Examinar comandos show; Configurar uma interface serial; Configurar uma interface Ethernet; Executar alterações em um roteador; Salvar alterações em um roteador; Configurar a descrição de uma interface; Configurar um banner com a mensagem do dia; Configurar tabelas de hosts; Entender a importância dos backups e da documentação.
3.1 Configurando um roteador 3.1.1 Modos de comando da CLI Todas as alterações de configuração de um roteador Cisco através da interface da linha de comando (CLI) são feitas a partir do modo de configuração global. É possível entrar em outros modos mais específicos, dependendo da alteração de configuração que for necessária, mas todos esses modos específicos são subconjuntos do modo de configuração global.
29
Os comandos do modo de configuração global são usados em um roteador para aplicar instruções de configuração que afetem o sistema como um todo. O comando a seguir muda o roteador para o modo de configuração global e permite inserir comandos a partir do terminal:
OBSERVAÇÃO: O prompt muda para indicar que agora o roteador está no modo de configuração global. Router#configure terminal Router(config)# O modo de configuração global, muitas vezes apelidado config global, é o principal modo de configuração. Estes são apenas alguns dos modos em que se pode entrar a partir do modo de configuração global: • • • • •
Modo de interface; Modo de linha; Modo de roteador; Modo de subinterface; Modo de controlador.
Quando se entra nesses modos específicos, o prompt do roteador muda para indicar o modo de configuração atual. Quaisquer alterações de configuração que forem feitas aplicam-se somente às interfaces ou aos processos cobertos por esse modo específico. Digitar exit a partir de um desses modos de configuração específicos leva o roteador de volta ao modo de configuração global. Pressionar Ctrl-Z faz com que o roteador saia completamente dos modos de configuração e o leva de volta ao modo EXEC privilegiado.
3.1.2 Configurando o nome de um roteador 30
Uma das primeiras tarefas de configuração é dar um nome exclusivo ao roteador. Essa tarefa é realizada no modo de configuração global usando os seguintes comandos: Router(config)#hostname Tokyo Tokyo(config)# Assim que a tecla Enter é pressionada, o prompt muda, passando do nome do host padrão (Router) para o nome do host recém-configurado, que, neste exemplo, é Tokyo.
3.1.3 Configurando senhas de roteador As senhas restringem o acesso aos roteadores. Sempre se deve configurar senhas para as linhas do terminal virtual e para a linha do console. As senhas também são usadas para controlar o acesso ao modo EXEC privilegiado, para que apenas usuários autorizados possam fazer alterações no arquivo de configuração. Os comandos a seguir são usados para definir uma senha opcional, mas recomendável, na linha do console: Router(config)#line console 0 Router(config-line)#password <senha> Router(config-line)#login Deve-se definir uma senha em uma ou mais linhas de terminal virtual (VTY), para que os usuários tenham acesso remoto ao roteador usando Telnet. Geralmente, os roteadores Cisco suportam cinco linhas VTY numeradas de 0 a 4, embora diferentes plataformas de hardware suportem quantidades diferentes de conexões VTY. Freqüentemente, usa-se a mesma senha para todas as linhas, mas às vezes uma linha é definida de maneira exclusiva para oferecer uma entrada de fall-back (respaldo) ao roteador se as outras quatro conexões estiverem ocupadas. São usados os seguintes comandos para definir a senha nas linhas VTY: Router(config)#line vty 0 4 Router(config-line)#password <senha> Router(config-line)#login A senha de ativação e o segredo de ativação são usados para restringir o acesso ao modo EXEC privilegiado. A senha de ativação só é usada se o segredo de ativação não tiver sido definido. É recomendável que o segredo de ativação esteja sempre ativado e seja sempre usado, já que ele é criptografado e a senha de ativação não é. Estes são os comandos usados para definir as senhas de ativação: Router(config)#enable password <senha> Router(config)#enable secret <senha> Às vezes não é desejável que as senhas sejam mostradas em texto claro na saída dos comandos show running-config ou show startup-config. Este comando é usado para criptografar as senhas na saída da configuração: Router(config)#service password-encryption O comando service password-encryption aplica criptografia fraca a todas as senhas não criptografadas. O comando enable secret <senha> usa um algoritmo MD5 forte para a criptografia.
3.1.4 Examinando os comandos show Há muitos comandos show que podem ser usados para examinar o conteúdo de arquivos do roteador e para a solução de problemas. Tanto no modo EXEC privilegiado quanto no modo
31
EXEC do usuário, o comando show ? fornece uma lista dos comandos show disponíveis. A lista é consideravelmente maior no modo EXEC privilegiado do que no modo EXEC do usuário. •
show interfaces: Exibe todas as estatísticas para todas as interfaces do roteador. Para ver as estatísticas de uma interface específica, insira o comando show interfaces seguido da interface específica e do número da porta. Por exemplo: Router#show interfaces serial 0/1
•
show controllers serial: Exibe informações específicas da inteface de hardware. Este comando deve incluir também o número de porta ou slot/porta da interface serial. Por exemplo: Router#show controllers serial 0/1
• • • • • • • • • •
show clock: Mostra o horário definido no roteador show hosts: Mostra uma lista em cache dos nomes e endereços dos hosts show users: Exibe todos os usuários que estão conectados ao roteador show history: Exibe um histórico dos comandos que foram inseridos show flash: Exibe informações sobre a memória flash e quais arquivos do IOS estão armazenados nela show version: Exibe informações sobre a versão do software carregado no momento, além de informações de hardware e dispositivo show ARP: Exibe a tabela ARP do roteador show protocol: Exibe o status global e o status específico da interface de quaisquer protocolos de camada 3 configurados show startup-config: Exibe o conteúdo da NVRAM, se presente e válido, ou exibe o arquivo de configuração apontado pela variável de ambiente CONFIG_FILE show running-config: Exibe o conteúdo do arquivo de configuração em execução ou o arquivo de configuração para uma interface específica, ou informação de mapa de classes
3.1.5 Configurando uma interface serial Uma interface serial pode ser configurada a partir do console ou através de uma linha de terminal virtual. Para configurar uma interface serial, siga estas etapas: 1. 2. 3. 4.
Entre no modo de configuração global; Entre no modo de interface; Especifique o endereço da interface e a máscara de sub-rede; Se houver um cabo DCE conectado, defina a taxa do clock; pule esta etapa se houver um cabo DTE conectado; 5. Ligue a interface. Cada interface serial conectada precisa ter um endereço IP e uma máscara de sub-rede se for esperado que a interface roteie pacotes IP. Configure o endereço IP usando os seguintes comandos: Router(config)#interface serial 0/0 Router(config-if)#ip address <endereço IP> <máscara de rede> As interfaces seriais necessitam de um sinal de clock para controlar a temporização das comunicações. Na maioria dos ambientes, um dispositivo DCE (por exemplo, um CSU) fornece o clock. Por padrão, os roteadores Cisco são dispositivos DTE, mas podem ser configurados como dispositivos DCE.
32
Em links seriais que estão diretamente interconectados, como em um ambiente de laboratório, um lado deve ser considerado um DCE e fornecer um sinal de clock. O clock é ativado e a velocidade é especificada com o comando clock rate. As taxas de clock disponíveis, em bits por segundo, são: 1200, 2400, 9600, 19200, 38400, 56000, 64000, 72000, 125000, 148000, 500000, 800000, 1000000, 1300000, 2000000 ou 4000000. Entretanto, algumas taxas de bits podem não estar disponíveis em certas interfaces seriais, dependendo de sua capacidade. Por padrão, as interfaces ficam desligadas, ou desativadas. Para ligar ou ativar uma interface, use o comando no shutdown. Se uma interface precisar ser desativada administrativamente para manutenção ou solução de problemas, use o comando shutdown para desligá-la. No ambiente do laboratório, a configuração da taxa de clock que será usada é de 56000. Os comandos para definir uma taxa de clock e ativar uma interface serial são os seguintes: Router(config)#interface serial 0/0 Router(config-if)#clock rate 56000 Router(config-if)#no shutdown
3.1.6 Alterando Configurações
Se uma configuração exigir modificação, vá para o modo apropriado e insira o comando adequado. Por exemplo, se for necessário ativar uma interface, entre no modo de configuração global, entre no modo de interface e emita o comando no shutdown. Para verificar as alterações, use o comando show running-config. Esse comando exibe a configuração atual. Se as variáveis exibidas não forem as esperadas, o ambiente pode ser corrigido através de uma ou mais das seguintes ações: • • • •
Emita a forma no de um comando de configuração. Recarregue o sistema para voltar ao arquivo de configuração original da NVRAM. Copie um arquivo de configuração armazenado a partir de um servidor TFTP. Remova o arquivo de configuração de inicialização com erase startup-config e, em seguida, reinicie o roteador e entre no modo de configuração.
Para salvar as variáveis de configuração no arquivo de configuração de inicialização na NVRAM, insira o seguinte comando no prompt EXEC privilegiado:
33
Router#copy running-config startup-config
3.1.7 Configurando uma interface Ethernet Uma interface Ethernet pode ser configurada a partir do console ou de uma linha de terminal virtual. Cada interface Ethernet precisa ter um endereço IP e uma máscara de sub-rede se for esperado que a interface roteie pacotes IP.
Para configurar uma interface Ethernet, siga estas etapas: 1. 2. 3. 4.
Entre no modo de configuração global; Entre no modo de configuração da interface; Especifique o endereço da interface e a máscara de sub-rede; Ative a interface.
Por padrão, as interfaces ficam desligadas, ou desativadas. Para ligar ou ativar uma interface, use o comando no shutdown. Se uma interface precisar ser desativada administrativamente para manutenção ou solução de problemas, use o comando shutdown para desligá-la.
3.2 Terminando a configuração 3.2.1 Importância dos padrões de configuração É importante desenvolver padrões para os arquivos de configuração dentro de uma organização. Isso permite controlar a quantidade de arquivos de configuração que devem ser mantidos, e como e onde esses arquivos são armazenados.
Um padrão é um conjunto de regras ou procedimentos que são amplamente utilizados ou são especificados oficialmente. Sem padrões em uma organização, uma rede pode ficar caótica caso ocorra uma interrupção do serviço. Para gerenciar uma rede, deve haver um padrão de suporte centralizado. Configuração, segurança, desempenho e outras questões devem ser tratados adequadamente para que a rede funcione sem problemas. Criar padrões para a consistência da rede ajuda a reduzir a sua complexidade, o tempo de inatividade não planejado e a exposição a incidentes que podem ter impacto no desempenho da rede.
3.2.2 Descrições de interface Uma descrição de interface deve ser usada para identificar informações importantes, tais como um roteador distante, um número de circuito ou um segmento de rede específico. Uma descrição de uma interface pode ajudar um usuário da rede a lembrar-se de informações específicas sobre a interface, tais como qual rede a interface atende.
34
O objetivo da descrição é ser simplesmente um comentário sobre a interface. Embora a descrição apareça nos arquivos de configuração que existem na memória do roteador, ela não afeta a operação do roteador. As descrições são criadas seguindo um formato padrão que se aplica a cada interface. A descrição pode incluir a finalidade e a localização da interface, outros dispositivos ou locais conectados à interface e identificadores de circuitos. As descrições permitem que o pessoal de suporte entenda melhor o escopo dos problemas relacionados a uma interface e permitem uma solução mais rápida dos problemas.
3.2.3 Configurando a descrição da interface Para configurar a descrição de uma interface, entre no modo de configuração global. A partir daí, entre no modo de configuração de interface. Use o comando description seguido da informação. Etapas do procedimento: 1. Entre no modo de configuração global, inserindo o comando configure terminal. 2. Entre no modo da interface específica (por exemplo, interface Ethernet 0) interface ethernet 0. 3. Insira a descrição do comando seguida da informação que deve ser exibida. Por exemplo, Rede XYZ, Prédio 18. 4. Saia do modo de interface, voltando para o modo EXEC privilegiado, usando o comando ctrl-Z. 5. Salve as alterações da configuração na NVRAM, usando o comando copy runningconfig startup-config. Eis dois exemplos de descrições de interface: interface Ethernet 0 description LAN Engenharia, Prédio 2 interface serial 0 description ABC rede 1, Circuito 1
3.2.4 Banners de login Um banner de login é uma mensagem que é exibida no login e que é útil para transmitir mensagens que afetam todos os usuário da rede, tais como avisos de paradas iminentes do sistema. Os banners de login podem ser vistos por qualquer pessoa. Portanto, deve-se tomar cuidado com as palavras da mensagem do banner. "Bem-vindo" é um convite para que qualquer pessoa entre em um roteador e, provavelmente, não é uma mensagem adequada. Um banner de login deve ser um aviso para que não se tente o login a menos que se tenha autorização. Uma mensagem tal como "Este sistema é protegido. Só é permitido acesso autorizado!" instrui os visitantes indesejáveis que qualquer intrusão além daquele ponto é indesejada e ilegal.
3.2.5 Configurando a mensagem do dia (MOTD) Um banner com a mensagem do dia pode ser exibido em todos os terminais conectados.
35
Entre no modo de configuração global para configurar um banner com a mensagem do dia (MOTD). Use o comando banner motd, seguido de um espaço e um caractere delimitador, tal como o sinal de sustenido (#). Adicione uma mensagem do dia seguida de um espaço e de um caractere delimitador novamente.
Siga estas etapas para criar e exibir uma mensagem do dia: 1. Entre no modo de configuração global, inserindo o comando configure terminal. 2. Insira o comando banner motd # <Aqui vai a mensagem do dia> #. 3. Salve as alterações, emitindo o comando copy running-config startupconfig.
3.2.6 Resolução de nomes de hosts A resolução de nomes de hosts é o processo usado por um sistema computacional para associar um nome de host a um endereço IP.
A fim de usar os nomes de hosts para se comunicar com outros dispositivos IP, os dispositivos de rede, tais como os roteadores, devem ser capazes de associar os nomes dos hosts a endereços IP. Uma lista de nomes de hosts e seus respectivos endereços IP é chamada de tabela de hosts. Uma tabela de hosts pode incluir todos os dispositivos da organização de uma rede. Cada endereço IP exclusivo pode ter um nome de host associado a ele. O software Cisco IOS mantém em cache mapeamentos entre nomes de hosts e endereços, para serem usados pelos comandos EXEC. Essa cache acelera o processo de conversão de nomes em endereços. Os nomes de hosts, diferentemente dos nomes DNS, têm significado somente no roteador no qual estão configurados. A tabela de hosts permite que o administrador da rede digite o nome do host (por exemplo, Auckland) ou o endereço IP para fazer Telnet para um host remoto.
3.2.7 Configurando tabelas de hosts Para atribuir nomes de hosts a endereços, primeiro entre no modo de configuração global. Emita o comando ip host seguido do nome do destino e todos os endereços IP onde o dispositivo puder ser encontrado. Isso mapeia o nome do host a cada um dos endereços IP da sua interface. Para alcançar o host, use um comando telnet ou ping com o nome do roteador ou um endereço IP que esteja associado ao nome do roteador. Este é o procedimento para configurar a tabela de hosts:
36
1. Entre no modo de configuração global do roteador. 2. Insira o comando ip host seguido do nome do roteador e todos os endereços IP associados às interfaces em cada roteador. 3. Continue inserindo até que todos os roteadores da rede tenham sido inseridos. 4. Salve a configuração na NVRAM.
3.2.8 Backup e documentação da configuração A configuração dos dispositivos de rede determina a maneira como a rede se comportará. O gerenciamento da configuração dos dispositivos inclui as seguintes tarefas: • • •
Listar e comparar arquivos de configuração em dispositivos em funcionamento; Armazenar arquivos de configuração em servidores de rede; Realizar instalações e atualizações de software.
Os arquivos de configuração devem ser armazenados em backup para a eventualidade de algum problema. Os arquivos de configuração podem ser armazenados em um servidor de rede, em um servidor TFTP ou em um disco guardado em local seguro. A documentação deve ser incluída com essa informação off-line.
3.2.9 Fazendo backups de arquivos de configuração Uma cópia atual da configuração pode ser armazenada em um servidor TFTP. O comando copy running-config tftp, conforme mostrado na figura:
Pode ser usado para armazenar a configuração atual em um servidor TFTP de rede. Para isso, realize as seguintes tarefas: Etapa 1 Insira o comando copy running-config tftp. Etapa 2 Insira o endereço IP do host em que o arquivo de configuração será armazenado. Etapa 3 Insira o nome a ser atribuído ao arquivo de configuração. Etapa 4 Confirme as opções, respondendo sim todas as vezes.
37
Um arquivo de configuração armazenado em um dos servidores da rede pode ser usado para configurar um roteador. Para isso, realize as seguintes tarefas: 1. Entre no modo de configuração, inserindo o comando copy tftp running-config, conforme mostrado na figura . 2. No prompt do sistema, selecione um arquivo de configuração de hosts ou de rede. O arquivo de configuração de rede contém comandos que se aplicam a todos os roteadores e servidores de terminal da rede. O arquivo de configuração de hosts contém comandos que se aplicam a um roteador em particular. No prompt do sistema, insira o endereço IP do host remoto onde o servidor TFTP está localizado. Neste exemplo, o roteador está configurado a partir do servidor TFTP no endereço IP 131.108.2.155. 3. No prompt do sistema, insira o nome do arquivo de configuração ou aceite o nome padrão. A convenção dos nomes de arquivos é baseada no UNIX. O nome de arquivo padrão é hostname-config para o arquivo de hosts e network-config para o arquivo de configuração da rede. No ambiente DOS, os nomes de arquivos são limitados a oito caracteres, mais uma extensão de três caracteres (por exemplo: roteador.cfg ). Confirme o nome do arquivo de configuração e o endereço do servidor tftp fornecido pelo sistema. Observe na figura que o prompt do roteador muda imediatamente para tokyo. Isso é uma evidência de que a reconfiguração acontece assim que o novo arquivo é descarregado.
A configuração do roteador também pode ser salva em um disco, capturando o texto no roteador e salvando-o no disco. Se o arquivo precisar ser copiado de volta para o roteador, use os recursos padrão de edição de um programa emulador de terminal para colar o arquivo de comandos no roteador.
Resumo Esta seção resume os pontos principais da configuração de um roteador. O roteador tem diversos modos: • • • •
38
Modo EXEC do usuário; Modo EXEC privilegiado; Modo de configuração global; Outros modos de configuração.
A interface da linha de comando pode ser usada para fazer alterações na configuração: • • • • •
Definir o nome do host; Definir senhas; Configurar interfaces; Modificar configurações; Mostrar configurações.
Devem ter sido compreendidos os importantes conceitos a seguir: • • • • •
Os padrões de configuração são elementos essenciais para o êxito na manutenção de uma rede eficiente por qualquer organização. As descrições de interfaces podem conter informações importantes para ajudar os administradores de rede a compreender e solucionar problemas em suas redes. Os banners de login e as mensagens do dia oferecem informações aos usuário no momento de efetuar login no roteador. A resolução de nomes de hosts converte nomes em endereços IP, que serão utilizados pelo roteador. O backup e a documentação da configuração são extremamente importantes para manter uma rede funcionando sem problemas.
CAPITULO 04 - Aprendendo sobre outros dispositivos Visão Geral Às vezes, os administradores de rede deparam-se com situações em que a documentação sobre a rede está incompleta ou imprecisa. O Cisco Discovery Protocol (CDP) pode ser uma ferramenta útil nessas situações, porque ajuda a dar uma idéia básica sobre a rede. O CDP é um protocolo de propriedade da Cisco, independente de meio físico e protocolos, usado para descoberta de vizinhos. O CDP mostra somente informações sobre vizinhos conectados diretamente, mas é uma ferramenta poderosa.
39
Em muitos casos, após a configuração inicial de um roteador, é difícil ou inconveniente para um administrador de rede conectar-se diretamente ao roteador para efetuar alterações de configuração ou outras atividades. Telnet é um aplicativo baseado em TCP/IP que permite conexão remota à interface de linha de comando (CLI) do roteador para fins de configuração, monitoramento e solução de problemas. É uma ferramenta essencial para o profissional de redes. Ao concluírem este módulo, os alunos deverão ser capazes de: • • • • • • • • • •
Ativar e desativar o CDP; Usar o comando show cdp neighbors; Determinar quais dispositivos vizinhos estão conectados a quais interfaces locais; Reunir informações de endereços de rede sobre dispositivos vizinhos usando o CDP; Estabelecer uma conexão Telnet; Verificar uma conexão Telnet; Desconectar-se de uma sessão Telnet; Suspender uma sessão Telnet; Realizar testes alternativos de conectividade; Solucionar problemas de conexões de terminais remotos.
4.1 Descobrindo e conectando-se a vizinhos 4.1.1 Introdução ao CDP O Cisco Discovery Protocol (CDP) é um protocolo de camada 2 que conecta os protocolos inferiores de meio físico e os protocolos superiores de camadas de rede, como mostrado na figura .
O CDP é usado para obter informações sobre dispositivos vizinhos, tais como os tipos de dispositivos conectados, as interfaces dos roteadores às quais eles estão conectados, as interfaces usadas para fazer as conexões e os números dos modelos dos dispositivos. O CDP é independente de meio físico e de protocolo, e funciona em todos os equipamentos da Cisco através do SNAP (Subnetwork Access Protocol – Protocolo de Acesso à Sub-rede). O lançamento mais recente desse protocolo é o CDP versão 2 (CDPv2). O Cisco IOS (versão 12.0(3)T ou posterior) suporta o CDPv2. O CDP versão 1 (CDPv1) está ativado por padrão no Cisco IOS (versões 10.3 a 12.0(3)T). Quando um dispositivo Cisco é inicializado, o CDP é iniciado automaticamente, permitindo que esse dispositivo detecte os dispositivos vizinhos que também estiverem executando o CDP. Ele
40
opera através da camada de enlace e permite que dois sistemas aprendam um sobre o outro, mesmo que estejam usando diferentes protocolos de camadas de rede. Cada dispositivo configurado com CDP envia mensagens periódicas, conhecidas como anúncios (advertisements), para os dispositivos diretamente conectados. Cada dispositivo anuncia pelo menos um endereço no qual pode receber as mensagens de SNMP (Simple Network Management Protocol – Protocolo de Gerenciamento de Redes Simples). Os anúncios contêm também informações sobre o "tempo de vida restante" (time-to-live) ou tempo de espera, indicando o tempo durante o qual os dispositivos receptores devem manter as informações de CDP antes de descartá-las. Além disso, cada dispositivo fica atento às mensagens CDP periódicas enviadas pelos outros, a fim de aprender sobre os dispositivos vizinhos.
4.1.2 Informações obtidas com o CDP A principal utilização do CDP é descobrir todos os dispositivos Cisco que estão conectados diretamente a um dispositivo local. Use o comando show cdp neighbors para exibir as atualizações do CDP no dispositivo local.
A figura mostra um exemplo de como o CDP fornece as informações coletadas ao administrador da rede. Cada roteador que executa o CDP troca informações de protocolo com seus vizinhos. O administrador da rede pode exibir os resultados dessa troca de informações de CDP em um console conectado a um roteador local. O administrador usa o comando show cdp neighbors para exibir informações sobre as redes conectadas diretamente ao roteador. O CDP fornece informações sobre cada dispositivo CDP vizinho, transmitindo valores de comprimento de tipo (TLVs), que são blocos de informações embutidos nos anúncios CDP. Os TLVs dos dispositivos exibidos pelo comando show cdp neighbors contêm o seguinte: • • • • • •
ID do dispositivo Interface local Tempo de espera Capacidade Plataforma ID da porta
41
Os seguintes TLVs são incluídos somente no CDPv2: • • •
Nome de domínio de gerenciamento VTP VLAN nativa Full/Half duplex
Observe que o roteador inferior da figura não está conectado diretamente ao roteador do console do administrador. Para obter informações de CDP sobre esse dispositivo, o administrador precisaria se conectar por Telnet a um roteador conectado diretamente a esse dispositivo.
4.1.3 Implementação, monitoramento e manutenção do CDP Os comandos a seguir são usados para implementar, monitorar e manter as informações de CDP.
42
• • • • • • • •
cdp run cdp enable show cdp traffic clear cdp counters show cdp show cdp entry {*|nome-do-dispositivo[*][protocolo | versão]} show cdp interface [número-do-tipo] show cdp neighbors [número-do-tipo] [detalhe]
O comando cdp run é usado para ativar globalmente o CDP no roteador. Por padrão, o CDP está globalmente ativado. O comando cdp enable é usado para ativar o CDP em uma interface específica. No Cisco IOS versão 10.3 ou superior, o CDP é ativado por padrão em todas as interfaces suportadas para enviar e receber informações de CDP. O CDP poderia ser ativado em cada uma das interfaces de dispositivos, usando o comando cdp enable.
4.1.4 Criando um mapa de rede do ambiente O CDP foi projetado e implementado para ser um protocolo simples e de baixo custo. Embora um quadro CDP possa ser pequeno, ele é capaz de recuperar uma grande quantidade de informações úteis sobre os dispositivos Cisco, vizinhos e conectados. Essas informações podem ser usadas para criar um mapa de rede dos dispositivos conectados. Os dispositivos conectados aos dispositivos vizinhos podem ser descobertos usando Telnet para se conectar aos vizinhos, e usando o comando show cdp neighbors para descobrir quais dispositivos estão conectados a esses vizinhos.
4.1.5 Desativando o CDP Para desativar o CDP globalmente, use o comando no CDP run no modo de configuração global. Se o CDP estiver desativado globalmente, não é possível ativar interfaces individuais para o CDP. No Cisco IOS versão 10.3 ou superior, o CDP é ativado por padrão em todas as interfaces suportadas, para enviar e receber informações de CDP. Entretanto, em algumas interfaces, como as interfaces assíncronas, o CDP está desativado por padrão. Se o CDP estiver desativado, use o comando CDP enable no modo de configuração de interface. Para desativar o CDP em uma determinada interface depois de ter sido ativado, use o comando no CDP enable no modo de configuração de interface.
4.1.6 Solucionando problemas do CDP
Os comandos a seguir podem ser usados para mostrar a versão, informações de atualização, tabelas e tráfego:
43
4.2 Obtendo informações sobre dispositivos remotos 4.2.1 Telnet Telnet é um protocolo de terminal virtual que faz parte do conjunto de protocolos TCP/IP. Ele permite fazer conexões para hosts remotos, oferecendo um recurso de terminal de rede ou login remoto. Telnet é um comando EXEC do IOS, usado para verificar o software da camada de aplicação entre a origem e o destino. Este é o mecanismo de teste mais completo que existe. O Telnet atua na camada de aplicação do modelo OSI. Ele depende do TCP para garantir a entrega correta e organizada dos dados entre o cliente e o servidor.
44
Um roteador pode ter várias sessões Telnet entrantes simultâneas. O intervalo de 0 a 4 é usado para especificar cinco linhas Telnet ou VTY. Essas cinco sessões Telnet entrantes poderiam ocorrer ao mesmo tempo. Deve-se observar que a verificação da conectividade da camada de aplicação é um subproduto do Telnet. O uso principal do Telnet é a conexão remota a dispositivos da rede. O Telnet é um programa aplicativo simples e universal.
4.2.2 Estabelecendo e verificando uma conexão Telnet O comando Telnet do EXEC IOS permite que um usuário conecte-se de um dispositivo Cisco para outro. Com a implementação do TCP/IP da Cisco, não é necessário inserir os comandos connect ou telnet para estabelecer uma conexão Telnet. Pode-se inserir o nome do host ou o endereço IP do roteador remoto. Para terminar uma sessão Telnet , use os comandos EXEC exit ou logout. Para iniciar uma sessão Telnet, pode-se usar qualquer uma das seguintes alternativas: Denver>connect paris Denver>paris Denver>131.108.100.152 Denver>telnet paris Para que um nome funcione, deve haver uma tabela de nomes de hosts ou acesso a DNS para Telnet. Caso contrário, é necessário inserir o endereço IP do roteador remoto.
O Telnet pode ser usado para fazer um teste para determinar se um roteador remoto pode ou não ser acessado. Conforme mostrado na figura , se o Telnet for usado com êxito para
45
conectar o roteador York ao roteador Paris, então um teste básico da conexão da rede é bem sucedido. Essa operação pode ser realizada tanto no nível EXEC do usuário quanto privilegiado. Se o acesso remoto puder se obtido através de outro roteador, pelo menos um aplicativo TCP/IP pode alcançar o roteador remoto. Uma conexão Telnet bem sucedida indica que o aplicativo de camada superior funciona adequadamente. Se o Telnet funcionar para um roteador mas falhar para outro, é possível que essa falha tenha sido causada por problemas específicos de endereçamento, nomes ou permissão de acesso. Pode ser que o problema esteja neste roteador ou no roteador que falhou como destino do Telnet. Neste caso, o passo seguinte é tentar usar o ping, que é abordado mais adiante nesta lição. O ping permite testar as conexões ponta a ponta na camada de rede. Quando o Telnet estiver concluído, efetue o logoff do host. A conexão Telnet será encerrada por padrão após dez minutos de inatividade ou quando o comando exit for inserido no prompt EXEC.
4.2.3 Desconectando e suspendendo sessões Telnet Um recurso importante do comando Telnet é a suspensão. Entretanto, existe um problema potencial quando uma sessão Telnet está suspensa e a tecla Enter é pressionada. O software Cisco IOS reinicia a conexão até a conexão Telnet suspensa mais recentemente. A tecla Enter é usada freqüentemente. Com uma sessão Telnet suspensa, é possível reconectar-se a outro roteador. Isso é perigoso quando são feitas alterações na configuração ou ao usar comandos EXEC. Preste sempre atenção especial a qual roteador está sendo usado ao utilizar o recurso Telnet de suspensão. Uma sessão é suspensa durante um tempo limitado; para reiniciar uma sessão Telnet que foi suspensa, basta pressionar Enter. O comando show sessions mostra quais sessões Telnet estão ocorrendo.
O procedimento para desconectar uma sessão Telnet é o seguinte:
46
• •
Digite o comando disconnect. Após o comando, coloque o nome ou o endereço IP do roteador. Exemplo: Denver>disconnect paris
O procedimento para suspender uma sessão Telnet é o seguinte: • •
Pressione Ctrl-Shift-6 e, em seguida, x. Insira o nome ou o endereço IP do roteador.
4.2.4 Operação Telnet avançada Pode haver várias sessões Telnet abertas concomitantemente. Um usuário pode alternar livremente entre essas sessões. A quantidade permitida de sessões abertas ao mesmo tempo é definida pelo comando session limit. Para alternar entre sessões, saindo de uma sessão e retomando outra aberta anteriormente, use os comandos mostrados na figura . Uma nova conexão pode ser feita enquanto se está no prompt EXEC. Os roteadores da série 2500 são limitados a cinco sessões. Os roteadores da série 2600 e 1700 tem um limite padrão de X sessões. É possível usar e suspender várias sessões Telnet usando a seqüência Ctrl-Shift-6 e, em seguida, x. A sessão pode ser retomada usando a tecla Enter. Se a tecla Enter for pressionada, o software Cisco IOS retoma a conexão até a conexão Telnet suspensa mais recentemente. A utilização do comando resume requer um ID de conexão. O ID de conexão é exibido por meio do comando show sessions.
4.2.5 Testes alternativos de conectividade Como forma de auxiliar o diagnóstico da conectividade básica da rede, muitos protocolos de rede suportam um protocolo de eco. Os protocolos de eco são usados para testar se os pacotes do protocolo estão sendo roteados. O comando ping envia um pacote para o host de destino e espera um pacote de resposta desse host. Os resultados desse protocolo de eco podem ajudar a avaliar a confiabilidade do caminho até o host, os atrasos ao longo desse caminho e se o host pode ser alcançado ou se está funcionando. Esse é um mecanismo básico
47
de teste. Essa operação pode ser realizada tanto no modo EXEC do usuário quanto privilegiado.
O destino 172.16.1.5 do ping na figura respondeu com êxito a todos os cinco datagramas enviados. Os pontos de exclamação (!) indicam cada eco bem sucedido. Se forem recebidos um ou mais pontos (.) em vez de exclamações, o aplicativo do roteador excedeu o tempo-limite esperando um determinado eco de pacote do destino do ping. O comando ping do EXEC do usuário pode ser usado para diagnosticar a conectividade básica da rede. O comando ping usa o ICMP (Internet Control Message Protocol – Protocolo de Mensagens de Controle da Internet). O comando traceroute é uma ferramenta ideal para descobrir para onde estão sendo enviados os dados em uma rede. O comando traceroute é semelhante ao comando ping, exceto que, em vez de testar a conectividade ponta a ponta, o traceroute testa cada etapa ao longo do caminho. Essa operação pode ser realizada tanto no nível EXEC do usuário quanto privilegiado. Neste exemplo, está sendo rastreado o caminho de York para Rome. Ao longo do caminho, deve-se passar por London e Paris. Se um desses roteadores não puder ser alcançado, serão retornados três asteriscos (*) em vez do nome do roteador. O comando traceroute continuará tentando alcançar a próxima etapa até que seja usada a seqüência de escape CtrlShift-6. Um teste básico de verificação também enfoca a camada de rede. Use o comando show ip route para determinar se existe uma entrada para a rede de destino na tabela de roteamento. Esse comando será discutido em maior profundidade em outro módulo deste curso. O procedimento para utilização do comando ping é o seguinte: • •
ping endereço IP ou nome do destino; pressionar a tecla Enter.
O procedimento para utilização do comando traceroute é o seguinte: • •
48
traceroute endereço IP ou nome do destino; pressionar a tecla Enter.
4.2.6 Solucionando problemas de endereçamento IP Os problemas de endereçamento são os problemas mais comuns que ocorrem em redes IP. Os três comandos a seguir são usados para solucionar problemas relacionados aos endereços: • • •
ping usa o protocolo ICMP para verificar a conexão de hardware e o endereço IP da camada de rede. Esse é um mecanismo básico de teste. telnet verifica o software da camada de aplicação entre a origem e o destino. Este é o mecanismo de teste mais completo que existe. traceroute permite a localização de falhas no caminho entre a origem e o destino. O rastreamento usa valores de tempo de vida restante para gerar mensagens de cada roteador ao longo do caminho.
Resumo Devem ter sido compreendidos os importantes conceitos a seguir: • • • • • • • • • •
Ativação e desativação do CDP; Utilização do comando show cdp neighbors; Determinação de quais dispositivos vizinhos estão conectados a quais interfaces locais; Obtenção de informações de endereços de rede sobre dispositivos vizinhos usando o CDP; Estabelecimento de uma conexão Telnet; Verificação de uma conexão Telnet; Desconexão de uma sessão Telnet; Suspensão de uma sessão Telnet; Realização de testes alternativos de conectividade; Resolução de problemas de conexões de terminais remotos.
49
CAPITULO 05 - Gerenciamento do Software Cisco IOS Visão Geral Um roteador Cisco não pode operar sem o Cisco Internetworking Operating System (IOS). Cada roteador Cisco tem uma seqüência de inicialização predeterminada para localizar e carregar o IOS. Este módulo descreverá os estágios e a importância desse procedimento de inicialização. Os dispositivos de interconexão de redes Cisco operam com o uso de vários arquivos diferentes, incluindo arquivos de imagens do Cisco Internetwork Operating System (IOS) e arquivos de configuração. Um administrador de redes que deseje manter a rede funcionando sem problemas e de forma confiável deve gerenciar atentamente esses arquivos para garantir o uso das versões corretas e a execução dos backups necessários. Este módulo também descreve o sistema de arquivos utilizado pela Cisco e fornece as ferramentas para gerenciá-lo com eficiência. Ao concluírem este módulo, os alunos deverão ser capazes de: • • • • • • • •
50
Identificar os estágios da seqüência de inicialização do roteador Determinar como um dispositivo Cisco localiza e carrega o Cisco IOS Usar o comando boot system Identificar os valores do configuration-register Descrever resumidamente os arquivos usados pelo Cisco IOS e suas funções Listar a localização no roteador para os diferentes tipos de arquivo Descrever resumidamente as partes que compõem o nome do IOS Salvar e restaurar arquivos de configuração usando o TFTP e o recurso de cópia e colagem de textos (copy-and-paste)
• • •
Carregar uma imagem do IOS usando o TFTP Carregar uma imagem do IOS usando o XModem Verificar o sistema de arquivos usando os comandos show
5.1 Seqüência de Inicialização e Verificação do Roteador 5.1.1 Inicialização iniciada ao ligar o roteador (Power-on boot sequence) O objetivo das rotinas de inicialização do software Cisco IOS é iniciar a operação do roteador. O roteador deve proporcionar desempenho confiável no seu trabalho de conectar quaisquer redes configuradas. Para isso, as rotinas de inicialização devem: • • •
Testar o hardware do roteador. Encontrar e carregar o software Cisco IOS. Localizar e aplicar as instruções de configuração, inclusive as que determinam as funções dos protocolos e os endereços das interfaces.
A Figura ilustra a seqüência e os serviços usados para inicializar o roteador.
5.1.2 Como um dispositivo Cisco localiza e carrega o IOS A origem padrão para o software Cisco IOS depende da plataforma de hardware, porém o mais comum é que o roteador verifique os comandos boot system salvos na NVRAM. O software Cisco IOS permite o uso de várias alternativas para este comando. Outras origens podem ser especificadas para carregar o software, ou o roteador pode usar sua própria seqüência (fallback sequence) para localizar e carregar o software, caso não encontre uma que tenha sido especificada antes.
51
Os valores que podem ser utilizados no configuration register permitem as seguintes alternativas: •
•
•
•
Comandos boot system do modo configuração global podem ser especificados para definir outras origens a serem usadas seqüencialmente pelo roteador, no caso de não serem encontradas as anteriores. O roteador usará esses comandos conforme necessário, na seqüência especificada, quando for reinicializado. Se o NVRAM não tiver comandos do sistema de inicialização que possam ser usados pelo roteador, o sistema usa, por padrão, o software Cisco IOS armazenado na memória flash. Se a memória flash estiver vazia, o roteador tenta usar o TFTP para carregar uma imagem do IOS através da rede. O roteador usa o valor do registro de configuração para formar um nome de arquivo que será inicializado para carregar uma imagem padrão do IOS armazenada em um servidor de rede. Se um servidor TFTP não estiver disponível, o roteador irá carregar uma versão limitada da imagem do software Cisco IOS armazenada em ROM.
5.1.3 Uso do comando boot system Os seguintes exemplos mostram o uso de vários comandos do sistema de inicialização para especificar a seqüência que será utilizada para carregar o software Cisco IOS. Os três exemplos mostram entradas boot system que especificam que uma imagem do software Cisco IOS será carregada primeiramente de um servidor de rede e, em último caso, da ROM: •
• •
52
Memória Flash – Uma imagem do sistema pode ser carregada da memória flash. A vantagem é que essas informações armazenadas na memória flash não são vulneráveis às falhas da rede que podem ocorrer ao carregar imagens de sistema de servidores TFTP. Servidor de rede – Caso a memória flash seja corrompida, pode ser carregada uma imagem do sistema de um servidor TFTP. ROM – Se a memória flash estiver corrompida e houver uma falha para carregar a imagem do servidor de rede, a carga da imagem a partir da ROM será a opção final de inicialização (bootstrap). No entanto, a imagem do sistema armazenada na ROM provavelmente será um subconjunto do Cisco IOS, que não terá todos os protocolos,
recursos e configurações que podem ser encontrados no Cisco IOS completo. Além disso, se o software tiver sido atualizado desde a aquisição do roteador, esse roteador poderá ter uma versão mais antiga armazenada na ROM. O comando copy running-config startup-config salva os comandos na NVRAM. O roteador executará os comandos do sistema de inicialização conforme necessário, na ordem em que foram originalmente inseridos no modo configuração.
5.1.4 Registrador de configuração (configuration register) A ordem em que o roteador procura informações de bootstrap (inicialização) do sistema depende da definição do campo de inicialização (boot-field) do configuration register. A definição padrão do configuration register pode ser alterada com o comando configregister do modo configuração global. Use um número hexadecimal como argumento para esse comando. O configuration register é um registrador de 16 bits armazenado na NVRAM. Os quatro bits inferiores do configuration register formam o campo de inicialização (boot field). Para garantir que os 12 bits superiores não sejam alterados, primeiramente recupere os valores atuais do registro de configuração usando o comando show version. A seguir, use o comando config-register, alterando apenas o valor do último dígito hexadecimal.
Para alterar o campo boot field do configuration register, siga as orientações a seguir: •
•
•
Para entrar no modo ROM monitor, defina o configuration register com um valor de 0xnnn0, onde nnn representa o valor dos campos não associados à inicialização. Este valor define o campo boot field com o valor binário 0000. No ROM monitor, inicialize manualmente o sistema operacional usando o comando b no prompt do ROM monitor. Para inicializar usando a imagem em Flash ou para inicializar a partir do IOS em ROM (dependente da plataforma), configure o configuration register com o valor 0xnnn1, onde nnn representa o valor anterior dos campos não associados à inicialização (boot). Esse valor define o campo boot field com o valor binário 0001. Plataformas mais antigas, como roteadores Cisco 1600 e 2500, irão inicializar a partir de um IOS limitado em ROM. Plataformas mais novas, como roteadores Cisco 1700, 2600 e topo de linha, inicializarão a partir da primeira imagem em Flash. Para configurar o sistema para que use os comandos boot system, defina o configuration register com um valor qualquer no intervalo 0xnnn2 a 0xnnnF, onde nnn representa o valor anterior dos campos não associados à inicialização. Esses valores definem os bits do campo boot field como um valor binário entre 0010 e 1111. O uso dos comandos boot system a partir da NVRAM é o padrão.
5.1.5 Solução de problemas que podem ocorrer na inicialização do IOS No caso do roteador não ser inicializado corretamente, várias coisas podem estar erradas: • •
Instrução boot system ausente ou incorreta no arquivo de configuração Valor incorreto do configuration register
53
• •
Imagem flash corrompida Falha de hardware
Quando o roteador é inicializado, ele procura uma instrução boot system no arquivo de configuração. Esta instrução boot system pode forçar o roteador a ser inicializado de outra imagem, e não a do IOS armazenado na flash. Para identificar a imagem a ser utilizada na inicialização (boot), digite o comando show version e procure a linha que identifica a origem da imagem que foi utilizada na inicialização. Use o comando show running-config e procure uma instrução boot system na parte superior da configuração. Se a instrução boot system apontar para uma imagem do IOS incorreta, exclua-a usando a versão "no" do comando. Uma definição incorreta do registro de configuração impedirá que o IOS seja carregado da flash. O valor no registro de configuração informa ao roteador onde obter o IOS. Isso pode ser confirmado com o uso do comando show version e observando-se a última linha relativa ao registro de configuração. O valor correto varia de uma plataforma de hardware para a outra. Uma parte da documentação de redes deve ser uma cópia impressa do resultado do comando show version. Caso essa documentação não esteja disponível, há recursos no CD de documentação Cisco ou no website da Cisco para identificar o valor correto do registro de configuração. Corrija esse problema alterando o configuration register e salvando esses dados na configuração a ser utilizada na inicialização (startup configuration).
Se ainda houver problemas, talvez o roteador tenha um arquivo de imagem corrompida na flash. Se esse for o caso, deverá ser exibida uma mensagem de erro durante a inicialização. Essa mensagem pode ter várias formas. Alguns exemplos são: • • • •
open: read error...requested 0x4 bytes, got 0x0 (erro de leitura...solicitados 0x4 bytes, obtidos 0x0) trouble reading device magic number (problema ao ler o magic number do dispositivo) boot: cannot open "flash:" (não é possível abrir "flash:") boot: cannot determine first file name on device "flash:" (não é possível determinar o nome do arquivo no dispositivo "flash:")
Se a imagem na flash estiver corrompida, deverá ser carregado um novo IOS no roteador. Se nenhuma das opções acima parecer ser o problema, talvez haja uma falha de hardware no roteador. Se esse for o caso, entre em contato com o centro Cisco Technical Assistance (TAC). Embora sejam raras, as falhas de hardware ocorrem.
OBSERVAÇÃO: O valor do configuration register não é exibido pelos comandos show running-config ou show startup-config.
5.2 Gerenciamento do Sistema de Arquivos Cisco
54
5.2.1 Visão geral do sistema de arquivos do IOS Os roteadores e os switches dependem do software para sua operação. Os dois tipos de software necessários são o sistema operacional e a configuração. O sistema operacional usado em quase todos os dispositivos Cisco é o Cisco Internetwork Operating System (IOS). O Cisco IOS® é o software que permite que o hardware funcione como roteador ou como switch. O arquivo IOS tem vários megabytes. O software usado por um roteador ou switch é chamado de arquivo de configuração ou config. A configuração contém as "instruções" que definem como o dispositivo irá rotear ou comutar. Um administrador de redes cria uma configuração que define a funcionalidade desejada do dispositivo Cisco. As funções que podem ser especificadas pela configuração são os endereços IP das interfaces, os protocolos de roteamento e as redes que devem ser anunciadas. O arquivo de configuração normalmente tem entre algumas centenas e alguns milhares de bytes. Cada componente do software é armazenado na memória como um arquivo separado. Esses arquivos também são armazenados em diferentes tipos de memória.
O IOS é armazenado em uma área de memória chamada flash. A memória flash fornece armazenamento não volátil de um IOS, que pode ser usado como sistema operacional na inicialização. A memória flash permite que o IOS seja atualizado ou que armazene vários arquivos IOS. Em muitas arquiteturas de roteadores, o IOS é copiado e executado na memória de acesso aleatório (RAM). Uma cópia dos arquivos de configuração é armazenada na RAM não volátil (NVRAM) para uso como configuração durante a inicialização. Esta configuração é conhecida como "startup config". A startup config é copiada na RAM durante a inicialização do roteador. Esta configuração mantida na RAM é a usada para operar o roteador. Esta configuração é conhecida como "running config". Começando com a versão 12 do IOS, é fornecida uma interface única para todos os sistemas de arquivos usados pelo roteador. Este sistema é chamado Cisco IOS File System (IFS). O IFS fornece um método único para realizar todo o gerenciamento do sistema de arquivos usado por um roteador. Isto inclui os sistemas de arquivos da memória flash, os sistemas de arquivos de rede (TFTP, rcp e FTP) e a gravação e leitura dos dados (por exemplo, NVRAM, a running configuration, ROM). O IFS usa um conjunto comum de prefixos para especificar os dispositivos do sistema de arquivos.
55
O IFS usa a convenção URL para especificar arquivos em dispositivos de rede e a rede. A convenção URL identifica a localização dos arquivos de configuração após o sinal de doispontos como [[[//local]/diretório]/nome do arquivo]. O IFS também suporta transferência de arquivos utilizando FTP.
5.2.2 As convenções na nomenclatura do IOS A Cisco desenvolve muitas versões diferentes do IOS. O IOS suporta varias plataformas de hardware e uma série de recursos (features) . A Cisco também está continuamente desenvolvendo e lançando novas versões do IOS. Para identificar as diferentes versões, a Cisco tem uma convenção de atribuição de nomes para arquivos do IOS. Essa convenção de atribuição de nomes para o IOS usa diferentes campos do nome. Entre os campos estão a identificação da plataforma de hardware, a identificação de recursos disponíveis (features) e a versão numérica (release).
56
A primeira parte do nome do arquivo Cisco IOS identifica a plataforma de hardware para a qual a imagem foi criada. A segunda parte do nome do arquivo IOS identifica os vários recursos ou funcionalidades (features) contidos nesse arquivo. Existem diversos recursos que podem ser escolhidos. Esses recursos são empacotados em diferentes "imagens do IOS". Cada conjunto de recursos contém um sub-conjunto específico de todos os recursos disponibilizados no Cisco IOS. Como exemplos de categorias que incorporam conjuntos de recursos (features), temos: • • •
Básico – Um conjunto de recursos básicos para a plataforma de hardware, como por exemplo, IP e IP/FW Plus – Um conjunto de recursos básicos acrescido de recursos adicionais, tais como IP Plus, IP/FW Plus e Enterprise Plus Criptografia – A adição de recursos de criptografia de dados de 56 bits, como na versão Plus 56, às versões basic ou plus. Os exemplos incluem IP/ATM PLUS IPSEC 56 ou Enterprise Plus 56. Do Cisco IOS versão 12.2 em diante, os designadores de criptografia são k8/k9: • k8 – Criptografia igual ou inferior a 64 bits no IOS versão 12.2 e superiores • k9 – Criptografia superior a 64 bits (em 12.2 e superiores)
A terceira parte do nome do arquivo indica o seu formato. Ela especifica se o IOS está armazenado na memória flash em formato compactado e se ele é relocável. Se a imagem na flash estiver compactada, o IOS deverá ser expandido durante a inicialização, à medida que for copiado na RAM. Uma imagem relocável é copiada da memória flash na RAM para ser executada. Uma imagem não relocável é executada diretamente na memória flash. A quarta parte do nome do arquivo identifica a versão do IOS (release). À medida que a Cisco desenvolve novas versões do IOS, o número da versão numérica aumenta
5.2.3 Gerenciamento de arquivos de configuração com o uso do TFTP Em um roteador ou switch Cisco, a configuração ativa está na RAM e a localização padrão para a configuração utilizada na inicialização (startup config) é a NVRAM. Caso a configuração seja perdida, deverá haver uma cópia de backup dessa configuração. Uma das cópias de backup da configuração pode ser armazenada em um servidor TFTP. Para isso, pode-se usar o comando copy running-config tftp. As etapas para este processo são listadas abaixo: • • • •
Insira o comando copy running-config tftp. No prompt, insira o endereço IP do servidor TFTP onde será armazenado o arquivo de configuração. Insira o nome a ser atribuído ao arquivo de configuração ou aceite o nome padrão. Confirme a escolha digitando yes (sim) sempre que for solicitado.
A cópia do arquivo de configuração pode ser carregada de um servidor TFTP para restaurar a configuração do roteador. As etapas abaixo delineiam este processo: • • • • •
Insira o comando copy tftp running-config. No prompt, selecione um arquivo de configuração de hosts ou de rede. No prompt do sistema, insira o endereço IP do servidor TFTP onde o arquivo de configuração está localizado. No prompt do sistema, insira o nome do arquivo de configuração ou aceite o nome padrão. Confirme o nome do arquivo de configuração e o endereço do servidor fornecido pelo sistema.
57
5.2.4 Gerenciamento de arquivos de configuração com o uso do recurso copiar-e-colar Outro modo de criar uma cópia de backup da configuração é capturar o resultado do comando show running-config. Isso pode ser feito a partir da sessão do terminal, copiando-se o resultado, colando-o em um arquivo de texto e salvando esse arquivo. Esse arquivo precisará ser editado para que possa ser usado para restaurar a configuração do roteador.
Para capturar a configuração usando o texto exibido na tela do HyperTerminal, use o seguinte procedimento: 1. Selecione Transfer. 2. Selecione Capture Text. 3. Especifique o nome do arquivo de texto para onde será efetuada a captura da configuração. 4. Selecione Start para começar a captura do texto. 5. Exiba a configuração na tela, inserindo o comando show running-config. 6. Pressione a barra de espaço quando o prompt "- More -" aparecer. Após exibir toda a configuração, interrompa a captura, usando o seguinte procedimento: 1. Selecione Transfer. 2. Selecione Capture Text. 3. Selecione Stop. Ao concluir a captura, o arquivo de configuração deverá ser editado para a retirada do texto extra. Para criar essas informações em um formulário a ser "colado" de volta no roteador, remova quaisquer itens desnecessários da configuração capturada. Também é possível adicionar comentários para explicar as várias partes da configuração. Um comentário é adicionado iniciando-se uma linha com ponto de exclamação "!". O arquivo de configuração pode ser editado usando-se um editor de texto como, por exemplo, o Notepad. Para editar o arquivo no Notepad, clique em File > Open. Localize e selecione o arquivo capturado. Clique em Open. As linhas que precisam ser excluídas contêm: •
58
show running-config
• • • •
Building configuration… Current configuration: - More Quaisquer linhas que apareçam após a palavra "End".
Ao final de cada seção relativa à configuração de cada interface, adicione o comando no shutdown: Clicar em File > Save (Arquivo > Salvar)salvará a versão limpa da configuração. O backup da configuração pode ser restaurado em uma sessão do HyperTerminal. Antes da restauração dessa configuração, qualquer configuração remanescente deverá ser removido do roteador. Isso pode ser feito inserindo-se o comando erase startup-config no prompt do modo EXEC privilegiado do roteador e, em seguida, reiniciando-se o roteador com o comando reload. O HyperTerminal pode ser usado para restaurar uma configuração. O backup limpo da configuração pode ser copiado no roteador. • • • • • • •
Entre no modo configuração global do roteador. Clique em Transfer > Send Text File. Selecione o nome do arquivo onde será salvo o backup da configuração. As linhas do arquivo serão inseridas no roteador como se estivessem sendo digitadas. Observe se há erros. Após inserir a configuração, pressione a tecla Ctrl-Z para sair do modo configuração global. Restaure a configuração a ser utilizada na inicialização (startup configuration) com o comando copy running-config startup-config.
5.2.5 Gerenciamento de imagens do IOS com o uso do TFTP O IOS pode precisar ser atualizado, restaurado ou ter um backup feito, utilizando o comando copy. Quando um roteador for adquirido, deverá ser feito o backup do IOS. O backup do IOS pode ser iniciado no modo EXEC privilegiado, com o comando copy flash tftp. Essa imagem do IOS pode ser armazenada em um servidor central com outras imagens IOS. Essas imagens podem ser usadas para restaurar ou atualizar o IOS nos roteadores e switches instalados na rede. Esse servidor deverá ter um serviço TFTP operacional. O roteador solicitará que o usuário insira o endereço IP do servidor TFTP e especifique o nome do arquivo de destino.
59
Para restaurar ou atualizar o IOS a partir do servidor, use o comando copy tftp flash como mostrado na Figura . O roteador solicitará que o usuário insira o endereço IP do servidor TFTP. A seguir, solicitará o nome do arquivo que contém a imagem do IOS no servidor. O roteador poderá solicitar ao usuário que a flash seja apagada. Isso ocorre com freqüência quando não há memória suficiente para a nova imagem. À medida que a imagem é apagada da memória flash, uma série de “e”s aparece na console para mostrar o progresso deste processo. À medida que cada datagrama do arquivo de imagem do IOS for transferido, será exibido um sinal "!". A imagem do IOS tem vários megabytes; assim, esse processo pode demorar algum tempo. A nova imagem flash será verificada após ser descarregada. O roteador agora está pronto para ser recarregado para usar a nova imagem do IOS.
5.2.6 Gerenciamento de imagens do IOS com o uso do Xmodem Se a imagem do IOS na memória flash tiver sido apagada ou corrompida, talvez o IOS possa ser restaurado usando o modo ROM monitor (ROMmon). Em muitas das arquiteturas de hardware Cisco, o modo ROMmon é identificado a partir do prompt rommon 1 >. A primeira etapa neste processo visa a identificar por que a imagem do IOS não foi carregada a partir da memória flash. Isso pode ocorrer devido a uma imagem corrompida ou que não exista. A memória flash deve ser examinada com o comando dir flash:. Se for localizada uma imagem que pareça ser válida, deve-se tentar a inicialização com o uso dessa imagem. Isso é feito com o comando boot flash:. Por exemplo, se o nome da imagem fosse "c2600-is-mz.121-5", o comando seria: rommon 1>boot flash:c2600-is-mz.121-5 Se o roteador for inicializado corretamente, há alguns itens que precisam ser examinados para determinar por que o roteador foi inicializado no ROMmon em vez de usar o IOS da memória flash. Primeiramente, use o comando show version para verificar o registro de configuração e garantir que a configuração esteja de acordo com a seqüência de inicialização. Se o valor do configuration register estiver correto, use o comando show startup-config para ver se há um comando boot system instruindo o roteador a usar o IOS do ROM monitor. Se o roteador não for inicializado corretamente usando a imagem ou se não houver uma imagem disponível do IOS, um novo IOS precisará ser descarregado. O arquivo IOS pode ser recuperado com o uso do Xmodem para restaurar a imagem através da console, ou a imagem pode ser transferida com o uso do TFTP no modo ROMmon. Download com o uso do Xmodem do modo ROMmon Para restaurar o IOS através da console, o PC local precisa ter uma cópia do arquivo IOS para restaurar e um programa de emulação de terminal como, por exemplo, o HyperTerminal. O IOS pode ser restaurado com o uso da velocidade de console padrão de 9600 bps. A taxa de transferência (baud rate) pode ser alterada para 115200 bps para acelerar o download. A velocidade da console pode ser alterada no modo ROMmon com o uso do comando confreg. Após a inserção do comando confreg, o roteador solicitará os vários parâmetros que podem ser alterados.
60
Quando surgir o prompt "change console baud rate? y/n [n]:" a seleção de y acionará um prompt para que a nova velocidade seja selecionada. Após alterar a velocidade da console e reiniciar o roteador no modo ROMmon, a sessão do terminal (a 9600) deverá ser encerrada e uma nova sessão, iniciada a 115200 bps para corresponder à velocidade da console. O comando Xmodem pode ser usado no modo ROMmon para restaurar a imagem do software IOS no PC. O formato do comando é xmodem -c image_file_name. Por exemplo, para restaurar um arquivo de imagem do IOS com o nome "c2600-is-mz.122-10a.bin", digite o comando: xmodem -c c2600-is-mz.122-10a.bin
O -c instrui o processo do Xmodem a usar a Verificação de Redundância Cíclica (Cyclic Redundancy Check - CRC) para que seja realizada a verificação de erros durante o download. O roteador exibirá um prompt para que não seja iniciada a transferência e apresentará uma mensagem de advertência. Essa mensagem informará que a bootflash será apagada e solicitará que se confirme o prosseguimento. Quando o processo prosseguir, o roteador exibirá um prompt para o início da transferência. Agora, a transferência do Xmodem precisará ser iniciada no emulador de terminal. No HyperTerminal, selecione Transfer > Send File. A seguir, na janela popup Send File, especifique o nome/localização da imagem, selecione Xmodem como o protocolo e inicie a transferência. Durante a transferência, a janela popup Sending File (Enviando Arquivo) exibirá o status do processo.
61
Concluída a transferência, será exibida uma mensagem indicando que a memória flash está sendo apagada. Segue-se a mensagem "Download Complete!" ("Download Concluído!"). Antes de reinicializar o roteador, a definição da velocidade da console deverá voltar a 9600 e o registro de configuração deverá voltar a 0x2102. Insira o comando config-register 0x2102 no prompt EXEC privilegiado. Enquanto o roteador estiver sendo reinicializado, a sessão do terminal a 115200 bps deve ser encerrada e uma sessão a 9600 bps deve ser iniciada.
5.2.7 Variáveis de ambiente O IOS também poderá ser restaurado em uma sessão do TFTP. O download da imagem com o uso do TFTP na ROMmon é o modo mais rápido para restaurar uma imagem do IOS no roteador. Isso é feito definido-se variáveis de ambiente e, em seguida, usando-se o comando tftpdnld. Como a ROMmon tem funções muito limitadas, nenhum arquivo de configuração é carregado durante a inicialização. Assim, o roteador não tem uma configuração IP ou de interface. As variáveis de ambiente fornecem uma configuração mínima para permitir o TFTP do IOS. A transferência do TFTP da ROMmon atua somente na primeira porta LAN; assim, um conjunto simples de parâmetros IP deve ser definido para esta interface. Para definir uma variável de ambiente ROMmon, é digitado o nome da variável, seguido do sinal de igual (=) e o valor relativo à variável (VARIABLE_NAME=valor). Por exemplo, para definir o endereço IP como 10.0.0.1, digite IP_ADDRESS=10.0.0.1 no prompt da ROMmon.
OBSERVAÇÃO: Todos os nomes de variáveis diferenciam maiúsculas de minúsculas (case sensitive). As variáveis mínimas necessárias para usar o tftpdnld são: • • • • •
62
IP_ADDRESS – O endereço IP na interface LAN IP_SUBNET_MASK – A máscara de sub-rede para a interface LAN DEFAULT_GATEWAY – O gateway padrão para a interface LAN TFTP_SERVER – O endereço IP do servidor TFTP TFTP_FILE – O nome do arquivo IOS no servidor
Para verificar as variáveis de ambiente definidas no ROMmon, pode ser usado o comando set.
Definidas as variáveis para o download do IOS, o comando tftpdnld é inserido sem argumentos. O ROMmon ecoará as variáveis e, em seguida, será exibido um prompt de confirmação, com uma advertência de que isso apagará a memória flash.
À medida que cada datagrama do arquivo IOS for recebido, será exibido um sinal de "!". Quando todo o arquivo IOS tiver sido recebido, a memória flash será apagada e o novo arquivo de imagem do IOS será gravado. Serão exibidas mensagens quando o processo for concluído. Quando a nova imagem for gravada na memória flash e o prompt da ROMmon for exibido, o roteador poderá ser reinicializado digitando-se i. O roteador deverá agora ser inicializado com a nova imagem do IOS que está na memória flash.
5.2.8 Verificação do sistema de arquivos Há vários comandos que podem ser usados para verificar o sistema de arquivos do roteador. Um deles é o comando show version. O comando show version pode ser usado para verificar a imagem atual e o tamanho total da memória flash. Ele também verifica dois outros itens relativos à carga do IOS. Ele identifica a origem da imagem do IOS em uso no roteador e exibe o registro de configuração. A definição do campo de inicialização (boot field) do configuration register pode ser examinada para determinar de onde o roteador deve carregar o IOS. Caso não exista correspondência entre eles, talvez haja uma imagem do IOS corrompida ou ausente na memória flash, ou talvez haja comandos boot system na configuração utilizada na inicialização (startup configuration).
63
O comando show flash também pode ser usado para verificar o sistema de arquivos. Esse comando é usado para identificar imagem(ns) IOS na memória flash e a quantidade de memória flash disponível. Esse comando é freqüentemente usado para confirmar se há bastante espaço para armazenar uma nova imagem do IOS.
Como foi citado anteriormente, o arquivo de configuração pode conter comandos boot system. Esses comandos podem ser usados para identificar a origem da imagem do IOS desejado na inicialização Podem ser usados vários comandos boot system para criar uma seqüência (fallback sequence) a ser usada para localizar e carregar outras imagens de IOS, caso as definidas antes não sejam encontradas ou estejam corrompidas. Esses comandos boot system serão processados na ordem em que aparecerem no arquivo de configuração.
Resumo • • • • • • • • • • • • •
Identificação dos estágios da seqüência de inicialização do roteador Identificação de como o dispositivo Cisco localiza e carrega o Cisco IOS Uso do comando boot system Identificação dos valores do configuration register Solução de problemas Identificação dos arquivos usados pelo Cisco IOS e de suas funções Identificação da localização no roteador dos diferentes tipos de arquivos Identificação das partes que compõem o nome de um IOS Gerenciamento de arquivos de configuração com o uso do TFTP Gerenciamento de arquivos de configuração com o uso do recurso copiar e colar Gerenciamento de imagens do IOS com o TFTP Gerenciamento de imagens do IOS com o XModem Verificação do sistema de arquivos usando comandos show
Módulo 6: Roteamento e protocolos de roteamento Visão Geral
64
O roteamento nada mais é do que um conjunto de instruções indicando como ir de uma rede a outra. Essas instruções, também conhecidas como rotas, podem ser dadas dinamicamente ao roteador por outro roteador ou podem ser atribuídas estaticamente no roteador por um administrador de redes. Este módulo introduz o conceito de protocolos de roteamento dinâmico, descreve as classes de protocolos de roteamento dinâmico e dá exemplos de protocolos em cada classe. Um administrador de redes escolhe um protocolo de roteamento dinâmico com base em várias considerações. O tamanho da rede, a largura de banda dos links disponíveis, o poder de processamento dos roteadores, as marcas e modelos desses roteadores e os protocolos que já estão em uso na rede são fatores que devem ser levados em consideração ao escolher um protocolo de roteamento. Este módulo fornecerá mais detalhes sobre as diferenças entre os protocolos de roteamento que ajudam os administradores a fazer uma escolha. Ao concluírem este módulo, os alunos deverão ser capazes de: • • • • • • • • • •
Explicar a importância do roteamento estático; Configurar rotas estáticas e default; Verificar e solucionar problemas de rotas estáticas e default; Identificar as classes dos protocolos de roteamento; Identificar os protocolos de roteamento por vetor de distância (distance vector); Identificar os protocolos de roteamento por estado do enlace (link state); Descrever as características básicas dos protocolos de roteamento mais comuns; Identificar os protocolos de gateways interiores; Identificar os protocolos de gateways exteriores; Ativar o RIP (Routing Information Protocol) em um roteador.
6.1 Introdução ao roteamento estático 6.1.1 Introdução ao roteamento O roteamento é o processo usado por um roteador para encaminhar pacotes para a rede de destino. Um roteador toma decisões com base no endereço IP de destino de um pacote. Todos os dispositivos ao longo do caminho usam o endereço IP de destino para orientar o pacote na direção correta, a fim de que ele chegue ao seu destino. Para tomar as decisões corretas, os roteadores precisam aprender como chegar a redes remotas. Se estiverem usando o roteamento dinâmico, essa informação é obtida dos outros roteadores. Se estiverem usando o roteamento estático, as informações sobre as redes remotas são configuradas manualmente por um administrador da rede.
65
Como as rotas estáticas precisam ser configuradas manualmente, qualquer alteração na topologia da rede requer que o administrador adicione e exclua rotas estáticas para refletir essas alterações. Em uma rede grande, essa manutenção das tabelas de roteamento pode exigir uma quantidade enorme de tempo de administração. Em redes pequenas com poucas alterações possíveis, as rotas estáticas exigem muito pouca manutenção. Devido ao acréscimo de exigências administrativas, o roteamento estático não tem a escalabilidade do roteamento dinâmico. Mesmo em redes grandes, rotas estáticas que têm o objetivo de atender a uma finalidade específica geralmente são configuradas em conjunto com um protocolo de roteamento dinâmico.
6.1.2 Modo de operação de rotas estáticas Operações com rotas estáticas podem ser divididas nestas três partes: • • •
O administrador da rede configura a rota; O roteador instala a rota na tabela de roteamento; Os pacotes são roteados usando a rota estática.
Como uma rota estática é configurada manualmente, o administrador deve configurá-la no roteador usando o comando ip route. A sintaxe correta do comando ip route está indicada na figura .
O administrador de rede responsável pelo roteador Hoboken precisa configurar uma rota estática apontando para as redes 172.16.1.0/24 e 172.16.5.0/24 nos outros roteadores. O administrador pode inserir um dos dois comandos para atingir esse objetivo.
66
O método da figura especifica a interface de saída.
O método da figura especifica o endereço IP do do roteador adjacenteque será utilizado como o próximo salto (next-hop). Qualquer um dos comandos instalará uma rota estática na tabela de roteamento de Hoboken. A única diferença entre os dois está na distância administrativa atribuída à rota pelo roteador quando ela é colocada na tabela de roteamento. A distância administrativa é um parâmetro opcional, que fornece uma medida da confiabilidade da rota. Quanto mais baixo o valor, mais confiável a rota. Assim, uma rota com uma distância administrativa mais baixa será instalada antes de uma rota idêntica com uma distância administrativa mais alta. A distância administrativa padrão para rotas estáticas é 1. Quando uma interface de saída é configurada como o gateway de uma rota estática, esta rota será apresentada na tabela de roteamento como sendo diretamente conectada. Ás vezes isto é confuso, pois uma rota realmente diretamente conectada tem distância administrativa 0. Para verifcar a distância administrativa de uma rota em particular, use o comando show ip routeaddress, onde o enederço IP da rota em questão é inserido para a opção de endereço. Se for desejável uma distância administrativa diferente do padrão, pode-se inserir um valor entre 0 e 255 após a especificação do próximo salto ou da interface de saída, da seguinte maneira: waycross(config)#ip route 172.16.3.0 255.255.255.0 172.16.4.1 130 Se o roteador não puder alcançar a interface de saída que está sendo usada na rota, esta não será instalada na tabela de roteamento. Isso significa que se essa interface estiver inativa, a rota não será colocada na tabela de roteamento. Às vezes, as rotas estáticas são usadas para fins de backup. Uma rota estática pode ser configurada em um roteador para ser usada somente quando a rota obtida dinamicamente falhar. Para usar uma rota estática dessa maneira, basta definir sua distância administrativa com valor mais alto do que o do protocolo de roteamento dinâmico que está sendo usado.
6.1.3 Configurando rotas estáticas Esta seção lista as etapas para configurar rotas estáticas e fornece um exemplo de rede simples, para a qual é possível configurar esse tipo de rota. Siga as etapas a seguir para configurar rotas estáticas: 1. Determine todas os prefixos, máscaras e endereços desejados. O endereço pode ser tanto uma interface local como um endereço do próximo salto (next-hop) que leve ao destino desejado. 2. Entre no modo de configuração global. 3. Digite o comando ip route com um endereço de destino e uma máscara de subrede, seguidos do gateway correspondente da etapa 1. A inclusão de uma distância administrativa é opcional. 4. Repita a etapa 3 para todas as redes de destino definidas na etapa 1. 5. Saia do modo de configuração global. 6. Salve a configuração ativa na NVRAM, usando o comando copy running-config startup-config.
67
A rede do exemplo é uma configuração simples com três roteadores. Hoboken precisa ser configurado para que possa alcançar a rede 172.16.1.0 e a rede 172.16.5.0. Essas duas redes têm como máscara de sub-rede 255.255.255.0. Os pacotes que têm como rede de destino 172.16.1.0 precisam ser roteados para Sterling e os pacotes que têm como endereço de destino 172.16.5.0 precisam ser roteados para Waycross. Para realizar essa tarefa, é possível configurar rotas estáticas. As duas rotas estáticas serão configuradas inicialmente para usar uma interface local como gateway para as redes de destino.
Como a distância administrativa não foi especificada, o padrão será 1 quando a rota for instalada na tabela de roteamento. Observe que uma distância administrativa igual a 0 equivale a uma rede conectada diretamente. As mesmas duas rotas estáticas também podem ser configuradas usando um endereço do próximo salto como gateway.
A primeira rota, para a rede 172.16.1.0, tem um gateway 172.16.2.1. A segunda rota, para a rede 172.16.5.0, tem um gateway 172.16.4.2. Como a distância administrativa não foi especificada, o padrão será 1.
68
6.1.4 Configurando o encaminhamento de rotas default As rotas default são usadas para rotear pacotes com destinos que não correspondem a nenhuma das outras rotas da tabela de roteamento. Geralmente, os roteadores são configurados com uma rota default para o tráfego dirigido à Internet, já que normalmente é impraticável ou desnecessário manter rotas para todas as redes na Internet. Uma rota default, na verdade, é uma rota estática especial que usa este formato: ip route 0.0.0.0 0.0.0.0 [endereço-de-próximo-salto|interface-desaída] A máscara 0.0.0.0, quando submetida à operação lógica AND com o endereço IP de destino do pacote a ser roteado, resultará sempre na rede 0.0.0.0. Se o pacote não corresponder a uma rota mais específica da tabela de roteamento, ele será roteado para a rede 0.0.0.0. Siga as etapas a seguir para configurar rotas default: 1. Entre no modo de configuração global. 2. Digite o comando ip route com 0.0.0.0 para o prefixo e 0.0.0.0 para a máscara. A opção endereço para a rota padrão pode ser tanto a interface do roteador local que se conecta às redes externas como o endereço IP do roteador do próximo salto. Na maioria dos casos, é preferível especificar o endereço IP do roteador do próximo salto. 3. Saia do modo de configuração global. 4. Salve a configuração ativa na NVRAM, usando o comando copy running-config startup-config. Na seção "Configurando rotas estáticas", foram configuradas rotas estáticas em Hoboken para tornar acessíveis as redes 172.16.1.0 em Sterling e 172.16.5.0 em Waycross. Agora deve ser possível rotear pacotes para essas duas redes a partir de Hoboken. Entretanto, nem Sterling nem Waycross saberão como devolver os pacotes para outra rede conectada indiretamente. Seria possível configurar uma rota estática em Sterling e Waycross para cada rede de destino conectada indiretamente. Essa solução, contudo, não seria escalável em uma rede maior. Sterling se conecta a todas as redes conectadas indiretamente, através da interface serial 0. Waycross tem somente uma conexão para todas as redes conectadas indiretamente, através da interface serial 1. Uma rota default tanto em Sterling como em Waycross fornecerá roteamento para todos os pacotes destinados a redes conectadas indiretamente
6.1.5 Verificando a configuração de uma rota estática Depois de configurar as rotas estáticas, é importante verificar se elas estão presentes na tabela de roteamento e se o roteamento está funcionando conforme esperado. O comando show running-config é usado para visualizar a configuração ativa na RAM e verificar se a rota estática foi inserida corretamente. O comando show ip route é usado para confirmar se a rota estática está presente na tabela de roteamento.
69
Siga as etapas a seguir para verificar a configuração das rotas estáticas: • •
• •
No modo privilegiado, digite o comando show running-config para visualizar a configuração ativa. Verifique se a rota estática foi inserida corretamente. Se a rota não estiver correta, será necessário voltar ao modo de configuração global para remover a rota estática incorreta e inserir a correta. Digite o comando show ip route. Verifique se a rota configurada está na tabela de roteamento.
6.1.6 Solucionando problemas na configuração de uma rota estática Na seção "Configurando rotas estáticas", foram configuradas rotas estáticas em Hoboken para tornar acessíveis as redes 172.16.1.0 em Sterling e 172.16.5.0 em Waycross . Usando essa configuração, os nós da rede 172.16.1.0 em Sterling não podem alcançar os nós da rede 172.16.5.0. No modo EXEC privilegiado no roteador Sterling, execute um ping para um nó da rede 172.16.5.0. O ping falhará. Agora, execute um traceroute de Sterling para o mesmo endereço usado na instrução ping anterior. Observe que o traceroute também falha, indicando que o pacote ICMP foi devolvido por Hoboken mas não por Waycross. Isso indica que o problema está em Hoboken ou Waycross. Faça Telnet para o roteador Hoboken. Tente executar um ping novamente no nó da rede 172.16.5.0 conectado ao roteador Waycross. Esse ping deve obter êxito, pois Hoboken está conectado diretamente a Waycross.
6.2 Visão geral sobre roteamento dinâmico 6.2.1 Introdução aos protocolos de roteamento Os protocolos de roteamento são diferentes dos protocolos roteados, tanto em termos de função quanto de tarefa. Um protocolo de roteamento é a comunicação usada entre os roteadores. Um protocolo de roteamento permite que um roteador compartilhe informações com outros roteadores a respeito das redes que ele conhece e da sua proximidade com outros roteadores. As informações que um roteador obtém de outro, usando um protocolo de roteamento, são usadas para construir e manter uma tabela de roteamento. Exemplos de protocolos de roteamento: • • • •
RIP (Routing Information Protocol); IGRP (Interior Gateway Routing Protocol); EIGRP (Enhanced Interior Gateway Routing Protocol); OSPF (Open Shortest Path First).
Um protocolo roteado é usado para direcionar o tráfego dos usuários. Ele fornece informações suficientes no endereço da sua camada de rede para permitir que um pacote seja encaminhado de um host para outro com base no esquema de endereçamento. Exemplos de protocolos roteados: • •
IP (Internet Protocol); IPX (Internetwork Packet Exchange)
6.2.2 Sistemas autônomos Um sistema autônomo (AS) é uma coleção de redes sob uma administração comum, que compartilha uma estratégia comum de roteamento. Para o mundo exterior, um AS é visto como
70
uma única entidade. O AS pode ser controlado por um ou mais operadores, apresentando uma visão consistente do roteamento para o mundo exterior. O ARIN (American Registry of Internet Numbers), um provedor de serviços ou um administrador atribui um número de identificação a cada AS. Esse número do sistema autônomo tem 16 bits. Os protocolos de roteamento, tais como o IGRP da Cisco, requerem a atribuição de um número de sistema autônomo único.
6.2.3 Finalidade de um protocolo de roteamento e de sistemas autônomos O objetivo de um protocolo de roteamento é construir e manter a tabela de roteamento. Essa tabela contém as redes conhecidas e as portas associadas a essas redes. Os roteadores usam protocolos de roteamento para gerenciar as informações recebidas de outros roteadores, informações obtidas da configuração de suas próprias interfaces e rotas configuradas manualmente.
O protocolo de roteamento aprende todas as rotas disponíveis, coloca as melhores rotas na tabela de roteamento e remove rotas quando elas não são mais válidas. O roteador usa as informações da tabela de roteamento para encaminhar pacotes de um protocolo roteado. O algoritmo de roteamento é fundamental para o roteamento dinâmico. Sempre que houver alteração na topologia de uma rede devido a expansão, reconfiguração ou falha, a base de conhecimentos da rede também deve mudar. A base de informações sobre a rede (network knowledgebase) deve refletir uma visão precisa e consistente da nova topologia. Quando todos os roteadores de um grupo de redes interconectadas (internetwork) estiverem operando com as mesmas informações sobre a topologia da rede, diz-se que esse grupo de redes interconectadas (internetwork) convergiu. É desejável uma convergência rápida, pois isso reduz o período durante o qual os roteadores continuariam a tomar decisões de roteamento incorretas. Os sistemas autônomos (AS) propiciam a divisão do grupo de redes interconectadas (internetwork) global em redes menores e mais fáceis de gerenciar. Cada AS tem seu próprio conjunto de regras e diretivas e um número de AS que o distingue de maneira exclusiva dos outros sistemas autônomos no resto do mundo.
71
6.2.4 Identificando as classes dos protocolos de roteamento A maioria dos algoritmos pode ser classificada em uma destas duas categorias: • •
vetor de distância (distance vector); estado do enlace (link state).
A abordagem de roteamento pelo vetor da distância determina a direção (vetor) e a distância para qualquer link no grupo de redes interconectadas (internetwork). A abordagem pelo estado dos links, também chamada de shortest path first (caminho mais curto primeiro), recria a topologia exata de todo o grupo de redes interconectadas (internetwork).
6.2.5 Características do protocolo de roteamento por vetor da distância Os algoritmos de roteamento por vetor da distância passam cópias periódicas de uma tabela de roteamento de um roteador para outro. Essas atualizações periódicas entre os roteadores comunicam as alterações de topologia. Os algoritmos de roteamento baseados no vetor da distância também são conhecidos como algoritmos de Bellman-Ford. Cada roteador recebe uma tabela de roteamento dos roteadores vizinhos diretamente conectados a ele. O roteador B recebe informações do roteador A. O roteador B adiciona um número ao vetor da distância (como uma quantidade de saltos), que aumenta o vetor da distância. Em seguida, o roteador B passa essa nova tabela de roteamento ao seu outro vizinho, o roteador C. Esse mesmo processo ocorre em todas as direções entre os roteadores vizinhos. O algoritmo acumula distâncias de rede para poder manter um banco de dados de informações sobre a topologia da rede. Entretanto, os algoritmos de vetor da distância não permitem que um roteador conheça a topologia exata de um grupo de redes interconectadas (internetwork), já que cada roteador vê somente os roteadores que são seus vizinhos. Cada roteador que utiliza roteamento por vetor da distância começa identificando seus próprios vizinhos. A interface que conduz a cada rede conectada diretamente é mostrada como tendo distância 0. Conforme o processo de descoberta do vetor de distância avança, os roteadores descobrem o melhor caminho para as redes de destino, com base nas informações que recebem de cada vizinho. O roteador A aprende sobre as outras redes com base nas informações que recebe do roteador B. Cada uma das outras redes listadas na tabela de roteamento tem um vetor da distância acumulada para mostrar o quão distante está essa rede em uma determinada direção.
72
Quando a topologia muda, a tabela de roteamento é atualizada. Da mesma forma que o processo de descoberta de redes, as atualizações das alterações de topologia avançam passo a passo de um roteador para outro. Os algoritmos de vetor de distância pedem que cada roteador envie toda a sua tabela de roteamento para cada um de seus vizinhos adjacentes. As tabelas de roteamento contêm informações sobre o custo total do caminho, conforme definido pela sua métrica, e sobre o endereço lógico do primeiro roteador no caminho para cada rede contida na tabela.
Uma analogia do vetor da distância são as placas encontradas nas rodovias. Uma placa aponta para um destino e indica a distância até ele. Mais adiante, outra placa aponta para o mesmo destino, mas a distância já é menor. Enquanto a distância for diminuindo, o tráfego está seguindo o melhor caminho.
6.2.6 Características do protocolo de roteamento por estado do enlace O segundo algoritmo básico usado para roteamento é por estado dos links. Os algoritmos por estado dos links também são conhecidos como algoritmos Dijkstra ou SPF (shortest path first – o caminho mais curto primeiro). Os algoritmos de roteamento por estado dos links mantêm um banco de dados complexo com as informações de topologia. O algoritmo por vetor da distância tem informações não-específicas sobre as redes distantes e nenhum conhecimento sobre os roteadores distantes. Um algoritmo de roteamento por estado dos links mantém um conhecimento completo sobre os roteadores distantes e sobre como eles se interconectam.
73
O roteamento por estado dos links utiliza: •
• • •
Anúncios do estado dos links (Link-state advertisements – LSAs) – Um anúncio do estado dos links (LSA) é um pequeno pacote de informações de roteamento que é enviado entre os roteadores. Banco de dados topológico – Um banco de dados topológico é uma coleção de informações reunidas a partir dos LSAs. Algoritmo SPF – O algoritmo SPF (o caminho mais curto primeiro) é um cálculo realizado no banco de dados e que resulta na árvore SPF. Tabelas de roteamento – Uma lista das interfaces e dos caminhos conhecidos.
Processo de descoberta de redes no roteamento por estado dos links Os LSAs são trocados entre os roteadores, começando pelas redes conectadas diretamente para as quais eles tenham informações diretas. Cada roteador, em paralelo com os outros, constrói um banco de dados topológico, que consiste em todos os LSAs trocados. O algoritmo SPF calcula a alcançabilidade da rede. O roteador constrói essa topologia lógica como uma árvore, tendo a si mesmo como a raiz (root), que consiste em todos os possíveis caminhos para cada rede no grupo de redes interconectadas (internetwork) onde está sendo utilizado o protocolo por estado de enlace. Em seguida, ele ordena esses caminhos, colocando os caminhos mais curtos primeiro (SPF). O roteador lista os melhores caminhos e as interfaces para essas redes de destino na tabela de roteamento. Ele também mantém outros bancos de dados de elementos da topologia e detalhes de status. O roteador que primeiro toma conhecimento de uma alteração na topologia por estado dos links encaminha essa informação para que os outros roteadores possam utilizá-la para as atualizações. Isso envolve o envio de informações comuns de roteamento a todos os roteadores do grupo de redes interconectadas (internetwork). Para alcançar a convergência, cada roteador rastreia seus vizinhos quanto ao nome do roteador, o status da interface e o custo do link até esse vizinho. O roteador constrói um pacote LSA, que lista essas informações, juntamente com os novos vizinhos, as mudanças nos custos dos links e os links que não são mais válidos. Em seguida, o pacote LSA é distribuído para que todos os outros roteadores o recebam. Quando o roteador recebe um LSA, o banco de dados é atualizado com as informações mais recentes. Ele calcula um mapa do grupo de redes interconectadas (internetwork) usando os dados acumulados e determina o caminho mais curto para outras redes usando o algoritmo SPF. Cada vez que um LSA causa uma alteração no banco de dados de estado dos links, o SPF recalcula os melhores caminhos e atualiza a tabela de roteamento.
Preocupações relacionadas ao uso de protocolos por estado de enlace: • • •
Sobrecarga do processador; Exigência de memória; Consumo de largura de banda.
Os roteadores que executam protocolos por estado dos links requerem mais memória e realizam mais processamento do que os que executam protocolos de roteamento por vetor da distância. Eles precisam ter memória suficiente para guardar todas as informações de vários bancos de dados, a árvore de topologia e a tabela de roteamento. A enxurrada inicial de pacotes de estado dos links consome largura de banda. Durante o processo inicial de descoberta, todos os roteadores que usam protocolos de roteamento por estado dos links enviam pacotes LSA a todos os outros roteadores. Essa ação inunda o grupo de redes interconectadas (internetwork) e reduz temporariamente a largura de banda disponível para o tráfego roteado que transporta os dados dos usuários. Após essa enxurrada inicial, os protocolos de roteamento por estado dos links geralmente exigem apenas uma largura de
74
banda mínima para enviar pacotes LSA que são pouco freqüentes ou são disparados por eventos (event triggered LSA) para refletir alterações na topologia.
6.3 Visão geral sobre os protocolos de roteamento 6.3.1 Determinação do caminho (Path determination) Um roteador determina o caminho de um pacote, de um link de dados para outro, usando duas funções básicas: • •
Uma função de determinação do caminho; Uma função de comutação (switching).
A determinação do caminho ocorre na camada de rede. Essa função possibilita que um roteador avalie os caminhos até um destino e estabeleça o tratamento preferencial de um pacote. O roteador usa a tabela de roteamento para determinar o melhor caminho e, depois, encaminha o pacote usando a função de comutação. A função de comutação é o processo interno usado por um roteador para aceitar um pacote em uma interface e encaminhá-lo para uma segunda interface do mesmo roteador. Uma responsabilidade essencial da função de comutação do roteador é encapsular os pacotes no tipo de quadro apropriado para o próximo enlace de dados.
A figura ilustra a maneira como os roteadores usam o endereçamento para essas funções de roteamento e comutação. O roteador usa a parte de rede do endereço para fazer escolhas de caminhos e passar o pacote para o próximo roteador ao longo do caminho.
6.3.2 Configuração de roteamento Ativar um protocolo de roteamento IP em um roteador envolve a definição de parâmetros globais e de roteamento. As tarefas globais incluem a seleção de um protocolo de roteamento, como RIP, IGRP, EIGRP ou OSPF. A principal tarefa no modo de configuração do roteamento é indicar os números das redes IP. O roteamento dinâmico usa broadcasts e multicasts para se comunicar com outros roteadores. A métrica de roteamento ajuda os roteadores a encontrar o melhor caminho para cada rede ou sub-rede. O comando router inicia um processo de roteamento.
75
O comando network é necessário porque permite que o processo de roteamento determine quais interfaces participam do envio e recebimento das atualizações do roteamento. Exemplo de uma configuração de roteamento: GAD(config)#router rip GAD(config-router)#network 172.16.0.0 Os números de rede baseiam-se nos endereços da rede de acordo com a classe correspondente, e não nos endereços de sub-rede e nem nos endereços de hosts individuais. Os principais endereços da rede estão limitados aos números de redes de classes A, B e C.
6.3.3 Protocolos de roteamento Na camada de Internet do conjunto de protocolos TCP/IP, um roteador pode usar um protocolo de roteamento IP para realizar roteamento através da implementação de um algoritmo de roteamento específico. Exemplos de protocolos de roteamento IP:
• • • • •
RIP – Um protocolo de roteamento interior por vetor da distância; IGRP – O protocolo de roteamento interior por vetor da distância da Cisco; OSPF – Um protocolo de roteamento interior por estado dos links; EIGRP – O protocolo avançado de roteamento interior por vetor da distância da Cisco; BGP – Um protocolo de roteamento exterior por vetor da distância.
O RIP (Routing Information Protocol) foi especificado originalmente na RFC 1058. Suas
76
principais características são as seguintes: • • • •
É um protocolo de roteamento por vetor da distância. A contagem de saltos é usada como métrica para seleção do caminho. Se a contagem de saltos for maior que 15, o pacote é descartado. Por padrão, as atualizações de roteamento são enviadas por broadcast a cada 30 segundos.
O IGRP (Interior Gateway Routing Protocol) é um protocolo proprietário desenvolvido pela Cisco. Algumas das principais características do projeto do IGRP enfatizam o seguinte: • • •
É um protocolo de roteamento por vetor da distância. A largura de banda, carga, atraso e confiabilidade são usados para criar uma métrica composta. Por padrão, as atualizações de roteamento são enviadas por broadcast a cada 90 segundos.
O OSPF (Open Shortest Path First) é um protocolo de roteamento por estado dos links não-proprietário. As principais características do OSPF são: • • • •
Protocolo de roteamento por estado dos links. Protocolo de roteamento de padrão aberto, descrito na RFC 2328. Usa o algoritmo SPF para calcular o menor custo até um destino. Quando ocorrem alterações na topologia, há uma enxurrada de atualizações de roteamento.
O EIGRP é um protocolo avançado de roteamento por vetor da distância proprietário da Cisco. As principais características do EIGRP são: • • • • •
É um protocolo avançado de roteamento por vetor da distância. Usa balanceamento de carga com custos desiguais. Usa características combinadas de vetor da distância e estado dos links. Usa o DUAL (Diffusing Update Algorithm – Algoritmo de Atualização Difusa) para calcular o caminho mais curto. As atualizações de roteamento são enviadas por multicast usando 224.0.0.10 e são disparadas por alterações da topologia.
O BGP (Border Gateway Protocol) é um protocolo de roteamento exterior. As principais características do BGP são: • • •
É um protocolo de roteamento exterior por vetor da distância. É usado entre os provedores de serviço de Internet ou entre estes e os clientes. É usado para rotear o tráfego de Internet entre sistemas autônomos.
6.3.4 Sistemas autônomos e IGP versus EGP Os protocolos de roteamento interior foram concebidos para utilização em uma rede cujas partes estejam sob controle de uma única organização. Os critérios de projeto para um protocolo de roteamento interior exigem que ele encontre o melhor caminho através da rede. Em outras palavras, a métrica e a maneira como essa métrica é usada são os elementos mais importantes em um protocolo de roteamento interior. Um protocolo de roteamento exterior é concebido para utilização entre duas redes diferentes que estejam sob controle de diferentes organizações. Geralmente, esses protocolos são usados entre provedores de serviço de Internet ou entre estes e uma empresa. Por exemplo,
77
uma empresa usaria um BGP, protocolo de roteamento exterior, entre um de seus roteadores e um roteador de um provedor de serviços de Internet. Os protocolos de gateway IP exteriores requerem os três conjuntos de informações a seguir antes de iniciar o roteamento: • • •
Uma lista de roteadores vizinhos com os quais trocar informações de roteamento. Uma lista de redes para anunciar como diretamente alcançáveis. O número do sistema autônomo do roteador local.
Um protocolo de roteamento exterior deve isolar sistemas autônomos. Lembre-se: sistemas autônomos são gerenciados por diferentes administrações. As redes precisam de um protocolo para se comunicar entre esses diferentes sistemas. Os sistemas autônomos têm um número de identificação, que é atribuído pelo ARIN (American Registry of Internet Numbers) ou por um provedor. Esse número do sistema autônomo tem 16 bits. Protocolos de roteamento, tais como o IGRP e o EIGRP da Cisco, requerem a atribuição de um número de sistema autônomo único.
Resumo Devem ter sido compreendidos os importantes conceitos a seguir: • • • • • • • • • • • • • • • • • •
78
Um roteador não encaminha um pacote se não tiver uma rota para uma rede de destino. Os administradores de rede configuram manualmente as rotas estáticas. As rotas default são rotas estáticas especiais, que fornecem um gateway de último recurso (gateway of last resort) aos roteadores. As rotas estáticas e default são configuradas usando o comando ip route. A configuração das rotas estáticas e default pode ser verificada por meio dos comandos show ip route, ping e traceroute. Verificar e solucionar problemas de rotas estáticas e default. Protocolos de roteamento. Sistemas autônomos. Finalidade dos protocolos de roteamento e dos sistemas autônomos. As classes de protocolos de roteamento. Características e exemplos do protocolo de roteamento por vetor da distância. Características e exemplos do protocolo por estado dos links. Determinação de rotas. Configuração do roteamento. Protocolos de roteamento (RIP, IGRP, OSPF, EIGRP, BGP). Sistemas autônomos e IGP versus EGP. Roteamento por vetor da distância. Roteamento por estado dos links.
CAPITULO 07 – Protocolos de Roteamento de Vetor da distância Visão Geral Os protocolos de roteamento dinâmico podem ajudar a simplificar a vida do administrador de redes. O roteamento dinâmico possibilita evitar o demorado e rigoroso processo de configuração de rotas estáticas. O roteamento dinâmico também possibilita aos roteadores reagir a alterações na rede e ajustar suas tabelas de roteamento adequadamente, sem a intervenção do administrador. No entanto, o roteamento dinâmico pode causar problemas. Alguns problemas associados aos protocolos de roteamento de vetor da distância são discutidos neste módulo, juntamente com algumas ações dos projetistas de protocolos para solucionar os problemas. O RIP (Routing Information Protocol - Protocolo de Informações de Roteamento) é um protocolo de roteamento de vetor da distância usado em milhares de redes em todo o mundo. O fato de o RIP basear-se em padrões abertos e de sua implementação ser muito simples atrai alguns administradores de rede, embora o RIP não possua os recursos de protocolos de roteamento mais avançados. Devido a essa simplicidade, o RIP é um bom começo para o aluno que estuda redes. Este módulo também apresenta a configuração e a solução de problemas do RIP. Como o RIP, o IGRP (Interior Gateway Routing Protocol) é um protocolo de roteamento de vetor da distância. Diferentemente do RIP, o IGRP é um protocolo proprietário da Cisco, e não é baseado em padrões. Embora com implementação muito simples, o IGRP é um protocolo de roteamento mais complexo do que o RIP e pode usar diversos fatores para determinar a melhor rota para uma rede de destino. Este módulo apresentará a configuração e a solução de problemas do IGRP. Ao concluírem este módulo, os alunos deverão ser capazes de: • • • • • • • • • • •
Descrever como os loops de roteamento podem ocorrer no roteamento de vetor da distância Descrever vários métodos usados pelos protocolos de roteamento de vetor da distância para garantir a exatidão das informações de roteamento Configurar o RIP Usar o comando ip classless Solucionar problemas do RIP Configurar o RIP para balanceamento da carga Configurar rotas estáticas para o RIP Verificar o RIP Configurar o IGRP Verificar a operação do IGRP Solucionar problemas do IGRP
7.1.1 Atualizações do roteamento de vetor da distância
As atualizações da tabela de roteamento ocorrem periodicamente ou quando é alterada a topologia em uma rede com protocolos de vetor da distância. É importante que um protocolo de roteamento seja eficiente na atualização das tabelas de roteamento. Como ocorre com o processo de exploração de redes, as atualizações das alterações da topologia prosseguem sistematicamente de um roteador para o outro. Os algoritmos de vetor da distância solicitam que cada roteador envie toda a sua tabela de roteamento a cada vizinho adjacente. As tabelas de roteamento incluem informações sobre o custo total do caminho, conforme definido pelas métricas e pelo endereço lógico do primeiro roteador do caminho para cada rede contida na tabela
79
7.1.2 Problemas de loop no roteamento de vetor da distância Os loops de roteamento podem ocorrer quando tabelas de roteamento inconsistentes não são atualizadas devido à convergência lenta em uma rede em mudança.
1. Antes da falha da Rede 1, todos os roteadores têm conhecimento consistente e tabelas de roteamento corretas. Diz-se que a rede convergiu. Para o restante deste exemplo, presuma que o caminho preferido do Roteador C para a Rede 1 seja via Roteador B e que a distância do Roteador C para a Rede 1 seja 3. 2. Quando a Rede 1 falha, o Roteador E envia uma atualização ao Roteador A, que pára de rotear pacotes para a Rede 1, mas os roteadores B, C e D continuam a fazê-lo, pois ainda não foram informados da falha. Quando o Roteador A envia sua atualização, os Roteadores B e D param de rotear para a Rede 1. No entanto, o Roteador C não recebeu nenhuma atualização. Para o Roteador C, a Rede 1 ainda é alcançável via Roteador B. 3. Agora, o Roteador C envia uma atualização periódica ao Roteador D, indicando um caminho para a Rede 1 via Roteador B. O Roteador D altera sua tabela de roteamento para que ela reflita essas informações boas, mas incorretas, e propaga as informações ao Roteador A, que propaga as informações aos Roteadores B e E, e assim sucessivamente. Qualquer pacote destinado à Rede 1 agora entrará em loop do Roteador C para o B, para o A, para o D e retornará ao C.
80
7.1.3 Definição de uma contagem máxima As atualizações inválidas da Rede 1 continuarão em loop até que outro processo as interrompa. Esta condição, chamada de contagem até o infinito, gera loops continuamente na rede, apesar do fato fundamental da rede de destino, ou seja, a Rede 1, estar inativa. Enquanto os roteadores permanecerem em contagem até o infinito, as informações inválidas permitirão a existência de um loop de roteamento. Sem medidas que interrompam o processo de contagem até o infinito, a contagem da métrica de vetor da distância é incrementada cada vez que o pacote passa por outro roteador. Esses pacotes entram em loop na rede devido a informações erradas das tabelas de roteamento. Os algoritmos de roteamento de vetor da distância corrigem a si próprios, mas um problema de loop de roteamento pode exigir a contagem até o infinito. Para evitar este problema prolongado, os protocolos de vetor da distância definem o infinito como um número máximo específico. Esse número refere-se a uma métrica de roteamento que pode, simplesmente, ser a contagem de saltos. Com essa técnica, o protocolo de roteamento permite que o loop prossiga até que a métrica exceda o valor máximo permitido. O gráfico mostra o valor de métrica como 16 saltos. Esse valor excede o padrão de vetor da distância máximo de 15 saltos; assim, o pacote será descartado pelo roteador. De qualquer forma, quando o valor de métrica exceder o máximo, a Rede 1 será considerada inalcançável.
7.1.4 Eliminação de loops de roteamento via split horizon Outra possível origem para um loop de roteamento ocorre quando uma informação incorreta enviada de volta a um roteador contradiz as informações corretas distribuídas por ele anteriormente. Veja como o problema ocorre:
1. O Roteador A passa uma atualização aos roteadores B e D, indicando que a Rede 1 está inativa. No entanto, o Roteador C transmite uma atualização ao Roteador B, indicando que a Rede 1 está disponível à distância de 4, via Roteador D. Isso não viola as regras de split horizon. 2. O Roteador B conclui, incorretamente, que o Roteador C ainda tem um caminho válido para a Rede 1, embora com métrica muito menos favorável. O Roteador B envia uma atualização ao Roteador A recomendando a nova rota para a Rede 1. 3. O Roteador A agora determina que pode transmitir à Rede 1 via Roteador B; o Roteador B determina que pode transmitir à Rede 1 via Roteador C e o Roteador C
81
determina que pode transmitir à Rede 1 via Roteador D. Qualquer pacote introduzido nesse ambiente entrará em loop entre os roteadores. 4. O split horizon tenta evitar essa situação. Se chegar uma atualização de roteamento sobre a Rede 1 do Roteador A, o Roteador B ou D não poderá enviar informações sobre a Rede 1 de volta ao Roteador A. Assim, o split horizon reduz as informações incorretas sobre roteamento e a sobrecarga do roteamento.
7.1.5 Inviabilização de rota A inviabilização de rota (route poisoning) é usada por vários protocolos de vetor da distância para superar grandes loops de roteamento e oferecer informações explícitas quando uma subrede ou uma rede não está acessível. Isso normalmente é feito com a definição da contagem de saltos como um mais o máximo. Um modo de evitar atualizações inconsistentes é a inviabilização de rota. Quando a Rede 5 fica inativa, o Roteador E inicia a inviabilização da rota fazendo uma entrada na tabela para a Rede 5 como 16, ou inalcançável. Com essa inviabilização da rota para a Rede 5, o Roteador C não é suscetível de atualizações incorretas relativas à Rede 5. Quando o Roteador C recebe uma inviabilização de rota do Roteador E, envia uma atualização, chamada poison reverse, de volta ao Roteador E. Isso verifica se todos os roteadores do segmento receberam as informações da rota inviabilizada.
82
Quando a inviabilização de rota é usada com atualizações acionadas, acelerará a convergência, pois os roteadores vizinhos não precisam aguardar 30 segundos para anunciar a rota inviabilizada. A inviabilização de rota faz com que o protocolo de roteamento anuncie rotas de métrica infinita para uma rota com falha. A inviabilização de rota não quebra as regras de split horizon. O split horizon com poison reverse é, essencialmente, uma inviabilização de rota, porém especificamente colocada em links pelos quais, normalmente, o split horizon não permitiria a passagem de informações de roteamento. De qualquer forma, o resultado é que as rotas com falha são anunciadas com métricas infinitas.
7.1.6 Como impedir loops de roteamento com atualizações acionadas Novas tabelas de roteamento são regularmente enviadas aos roteadores vizinhos. Por exemplo, no RIP as atualizações ocorrem a cada 30 segundos. No entanto, uma atualização acionada é enviada imediatamente em resposta a alguma alteração na tabela de roteamento. O roteador que detecta a alteração na topologia envia imediatamente uma mensagem de atualização aos roteadores adjacentes que, por sua vez, geram atualizações acionadas notificando a alteração aos seus vizinhos adjacentes. Quando uma rota falha, é enviada imediatamente uma atualização, sem esperar que o temporizador de atualização expire. As atualizações acionadas, usadas juntamente com a inviabilização de rota, garantem que todos os roteadores tomem conhecimento de rotas com falha antes que os temporizadores de retenção expirem. Essas atualizações prosseguem e enviam atualizações, pois as informações de roteamento foram alteradas sem aguardar a expiração do temporizador. O roteador envia outra atualização de roteamento em suas outras interfaces, sem esperar que o temporizador de atualização de roteamento expire. Isso faz com que as informações sobre o status da rota alterada sejam encaminhadas e inicia os temporizadores de retenção mais rapidamente no roteadores vizinhos. A onda de atualização propaga-se em toda a rede. Emitindo uma atualização acionada, o Roteador C anuncia que a rede 10.4.0.0 está inalcançável. Ao receber essa informação, o Roteador B anuncia pela interface S0/1 que a rede 10.4.0.0 está inativa. Por sua vez, o Roteador A envia uma atualização pela interface Fa0/0.
7.1.7 Como impedir loops de roteamento com temporizadores de retenção Um problema de contagem até o infinito pode ser evitado com o uso de temporizadores de retenção:
83
•
•
•
Quando um roteador recebe uma atualização de um vizinho, indicando o impedimento de uma rede antes acessível, ele marca a rota como inacessível e inicia um temporizador de retenção. Se, a qualquer momento antes da expiração do temporizador de retenção, for recebida uma atualização do mesmo vizinho indicando que a rede está novamente acessível, o roteador marca essa rede como acessível e remove o temporizador de retenção. Se chegar uma atualização de outro roteador vizinho com métrica melhor do que aquela originalmente registrada para a rede, o roteador marca a rede como acessível e remove o temporizador de retenção. Se, a qualquer momento antes da expiração do temporizador de retenção, for recebida uma atualização de outro roteador vizinho com métrica pior, essa atualização será ignorada. Ignorar uma atualização com métrica pior durante o período de eficácia de um temporizador de retenção concede mais tempo para que a informação de uma alteração desfeita seja propagada em toda a rede.
7.2 RIP 7.2.1 Processo de roteamento do RIP A versão moderna de padrão aberto do RIP, às vezes chamada de IP RIP, está detalhada formalmente em dois documentos separados. O primeiro é conhecido como RFC (Request for Comments, Solicitação de Comentários) 1058 e o outro, como STD (Internet Standard, Padrão de Internet) 56.
O RIP evoluiu de um Classful Routing Protocol (protocolo de roteamento com classes), RIP Versão 1 (RIP v1), para um Classless Routing Protocol (protocolo de roteamento sem classes), RIP Versão 2 (RIP v2). As evoluções do RIP v2 incluem: • • •
Capacidade de transportar informações adicionais sobre roteamento de pacotes. Mecanismo de autenticação para garantir as atualizações da tabela. Suporte a VLSM (máscaras de sub-rede com tamanho variável).
O RIP impede a continuação indefinida de loops de roteamento, implementando um limite sobre o número de saltos permitidos em um caminho da origem até o destino. O número máximo de saltos em um caminho é de 15. Quando um roteador recebe uma atualização de roteamento que contém uma entrada nova ou alterada, o valor da métrica é aumentado em 1, para incluir-se como um salto nesse caminho. Se isso fizer com que a métrica seja incrementada além de 15, então ele será considerado como infinito e esse destino de rede será considerado inalcançável. O RIP inclui diversos recursos comuns em outros protocolos de roteamento. Por exemplo, o RIP implementa o mecanismos de split horizon e de retenção para impedir a propagação de informações de roteamento incorretas.
7.2.2 Configuração do RIP O comando router rip habilita o RIP como o protocolo de roteamento. O comando network é usado em seguida para informar ao roteador em que interfaces executar o RIP. O processo de roteamento associa interfaces específicas aos endereços de rede e começa a enviar e receber atualizações do RIP nessas interfaces.
84
O RIP envia mensagens de atualização em intervalos regulares. Quando um roteador recebe uma atualização de roteamento que inclui alterações em uma entrada, atualiza sua tabela de roteamento para que ela reflita a nova rota. O valor da métrica recebido para o caminho é aumentado em 1 e a interface de origem da atualização é indicada como o próximo salto na tabela de roteamento. Os roteadores RIP mantêm apenas a melhor rota para um destino, mas podem manter vários caminhos de mesmo custo para o destino.
A maior parte dos protocolos de roteamento utiliza uma combinação de atualizações iniciadas por tempo e eventos. O RIP é controlado por tempo, mas a implementação da Cisco envia atualizações acionadas sempre que uma mudança é detectada. Mudanças de topologia também acionam atualizações em roteadores IGRP, independentemente dos temporizadores de atualização. Sem atualizações acionadas, o RIP e o IGRP não executarão apropriadamente. Após atualizar sua tabela de roteamento devido a uma alteração na configuração, o roteador inicia imediatamente a transmissão de atualizações de roteamento para informar a alteração aos outros roteadores na rede. Essas atualizações, chamadas de atualizações acionadas, são enviadas independentemente daquelas programadas regularmente e encaminhadas pelos roteadores RIP. Por exemplo, as descrições para os comandos usados para configurar o roteador BHM mostradas na figura são: • • •
BHM(config)#router rip – Seleciona o RIP como o protocolo de roteamento BHM(config-router)#network 10.0.0.0 – Especifica uma rede conectada diretamente BHM(config-router)#network 10.0.0.0 – Especifica uma rede conectada diretamente
As interfaces de roteador Cisco conectadas às redes 10.0.0.0 e 192.168.13.0 enviam e recebem atualizações do RIP. Essas atualizações de roteamento permitem que o roteador aprenda a topologia da rede com o roteador vizinho que também executa o RIP. O RIP deve ser ativado e as redes, especificadas. As tarefas restantes são opcionais. Entre elas estão: • • • • • • •
Aplicação de deslocamentos a métricas de roteamento Ajuste de temporizadores Especificação de uma versão do RIP Ativação da autenticação do RIP Configuração do resumo da rota em uma interface Verificação do resumo da rota IP Desativação do resumo automático da rota
85
• • • •
Execução simultânea do IGRP e do RIP Desativação da validação de endereços IP de origem Ativação ou desativação do split horizon Conexão do RIP a uma WAN
Para ativar o RIP, use os seguintes comandos, começando em modo de configuração global: • •
Router(config)#router rip – Ativa o processo de roteamento do RIP Router(config-router)#networknetwork-number – Associa uma rede ao processo de roteamento do RIP
7.2.3 Uso do comando ip classless Às vezes, um roteador recebe pacotes destinados a uma sub-rede desconhecida de uma rede que possui sub-redes conectadas diretamente. Para que o software Cisco IOS encaminhe esses pacotes à melhor rota de super-rede possível, use o comando de configuração global ip classless. Uma rota de super-rede cobre um intervalo de sub-redes com uma única entrada. Por exemplo, uma empresa usa toda a sub-rede 10.10.0.0 /16; nesse caso, uma rota de subrede para 10.10.10.0 /24 seria 10.10.0.0 /16. O comando ip classless é ativado por padrão no software Cisco IOS Versão 11.3 e posterior. Para desativar esse recurso, use a forma no desse comando. Quando o recurso for desativado, quaisquer pacotes recebidos destinados a uma sub-rede cuja numeração esteja contida no esquema de endereçamento do roteador serão descartados. O IP sem classes afeta apenas a operação dos processos de encaminhamento no IOS. Ele não afeta o modo de construção da tabela de roteamento. Essa é a essência do roteamento com classes. Se uma parte de uma rede principal for conhecida, mas a sub-rede à qual o pacote se destina nessa rede principal for desconhecido, o pacote será descartado. O aspecto mais confuso dessa regra é que o roteador usa a rota padrão somente se o destino de rede principal não existir na tabela de roteamento. Um roteador assume, por padrão, que todas as sub-redes de uma rede conectada diretamente devem estar presentes na tabela de roteamento. Se um pacote for recebido com endereço de destino desconhecido em uma subrede desconhecida de uma rede conectada diretamente, o roteador presumirá que a sub-rede não existe. Assim, o roteador descartará o pacote mesmo que haja uma rota padrão. A configuração de ip classless no roteador soluciona esse problema, ao permitir que o roteador ignore os marcos com classes das redes em sua tabela de roteamento e, simplesmente, use a rota padrão
7.2.4 Problemas comuns de configuração do RIP Os roteadores RIP devem basear-se em seus vizinhos para obter informações de rede não conhecidas em primeira mão. Um termo comum usado para descrever essa funcionalidade é Roteamento por Rumor. O RIP usa um algoritmo de roteamento de vetor da distância. Todos os protocolos de roteamento de vetor da distância têm problemas criados principalmente por convergência lenta. Convergência é o que ocorre quando todos os roteadores na mesma internetwork têm as mesmas informações de roteamento. Entre esses problemas estão os loops de roteamento e a contagem até o infinito. Eles resultam em inconsistências causadas por mensagens de atualização de roteamento com rotas desatualizadas que se propagam na rede.
86
Para reduzir os loops de roteamento e a contagem até o infinito, o RIP usa as seguintes técnicas: • • • • •
Contagem até o infinito Split horizon Inviabilização de rotas Contadores de retenção Atualizações acionadas
Alguns desses métodos podem exigir configuração enquanto, com outros, isso ocorre raramente ou nunca. O RIP permite uma contagem máxima de 15 saltos. Qualquer destino superior a essa distância é marcado como inalcançável. A contagem máxima do RIP restringe muito seu uso em internetworks de grande porte, mas evita que um problema chamado "contagem até o infinito" cause loops sem fim de roteamento na rede. A regra de split horizon baseia-se na teoria segundo a qual não é útil enviar de volta informações sobre uma rede na direção de onde vieram. Em algumas configurações de rede, pode ser necessário desativar o recurso de split horizon. O comando a seguir é usado para desativar o split horizon: GAD(config-if)#no ip split-horizon O temporizador de retenção é outro mecanismo que pode precisar de alterações. Os temporizadores de retenção impedem a contagem até o infinito, mas também aumentam o tempo de convergência. A retenção padrão para o RIP é de 180 segundos. Isso impedirá que qualquer rota inferior seja atualizada, mas também pode impedir a instalação de uma rota alternativa válida. O temporizador de retenção pode ser reduzido para acelerar a convergência, mas deve ser usado com cautela. A opção ideal seria definir o temporizador com tempo ligeiramente superior ao da mais longa atualização possível na internetwork. No exemplo da Figura ,
o loop consiste em quatro roteadores. Se cada um deles tiver o tempo de atualização de 30 segundos, o loop mais longo seria de 120 segundos. Assim, o temporizador de retenção deve ser definido com tempo ligeiramente superior a 120 segundos. Use o seguinte comando para alterar o temporizador de retenção, assim como para os temporizadores de atualização, inválido e flush:
87
Router(config-router)#timers basic update invalid holddown flush [sleeptime] Outro item que afeta o tempo de convergência, e é configurável, é o intervalo de atualização. O intervalo de atualização padrão do RIP no Cisco IOS é de 30 segundos. Ele pode ser configurado com intervalos maiores, para preservar a largura de banda, ou menores, para baixar o tempo de convergência. Outro problema com os protocolos de roteamento é o anúncio não desejado de atualizações vindos de uma interface específica. Quando um comando network for emitido para uma determinada rede, o RIP começará imediatamente a enviar anúncios para todas as interfaces contidas no intervalo de endereços de rede especificado. Para controlar o conjunto de interfaces que trocarão atualizações de roteamento, o administrador da rede pode desativar esse envio em interfaces específicas, configurando o comando passive-interface.
Como o RIP é um protocolo de broadcast, o administrador da rede pode precisar configurá-lo para que ele troque informações de roteamento em uma rede não broadcast como, por exemplo, a Frame Relay. Nesse tipo de rede, o RIP precisa ser informado de outros roteadores RIP vizinhos. Para isso, use o comando exibido na Figura.
Por padrão, o software Cisco IOS recebe pacotes do RIP das versões 1 e 2, mas envia apenas pacotes da Versão 1. O administrador da rede pode configurar o roteador para que receba e envie apenas pacotes da Versão 1 ou para que envie apenas pacotes da Versão 2. Para configurar o roteador para que envie pacotes de apenas uma versão, use os comandos mostrados na Figura.
Para controlar como os pacotes recebidos de uma interface são processados, use os comandos mostrados na Figura
88
7.2.5 Verificação da configuração do RIP Há vários comandos que podem ser usados para verificar se o RIP está configurado corretamente. Dois dos mais comuns são show ip route e show ip protocols.
O comando show ip protocols mostra que protocolos de roteamento estão transportando o tráfego IP no roteador. Esse resultado pode ser usado para verificar a maior parte, se não a totalidade, da configuração do RIP. Alguns dos itens de configuração mais comuns a serem verificados são: • • •
Se o roteamento do RIP está configurado Se as interfaces corretas estão enviando e recebendo atualizações do RIP Se o roteador está anunciando as redes corretas
O comando show ip route pode ser usado para verificar se as rotas recebidas pelos vizinhos do RIP estão instaladas na tabela de roteamento. Examine o resultado do comando e procure rotas do RIP representadas por "R". Lembre-se de que a rede levará algum tempo para convergir; assim, as rotas poderão não aparecer imediatamente.
89
Comandos adicionais para verificar a configuração do RIP são: • • •
show interfaceinterface show ip interfaceinterface show running-config
7.2.6 Solução de problemas de atualização do RIP A maior parte dos erros de configuração do RIP envolve instruções de rede incorretas, subredes não contíguas ou split horizons. Um comando altamente eficiente para localizar problemas de atualização do RIP é debug ip rip.
O comando debug ip rip exibe atualizações do roteamento do RIP à medida que elas são enviadas ou recebidas. O exemplo na Figura mostra a saída de um roteador usando o comando debug ip rip após receber uma atualização do RIP. Após receber e processar essa atualização, o roteador envia a informação recém-atualizada às suas duas interfaces RIP. A saída mostra que o roteador está usando a versão 1 do RIP e envia a atualização (endereço de broadcast 255.255.255.255). O número de parênteses representa o endereço de origem encapsulado no cabeçalho IP da atualização do RIP. Há vários indicadores-chave a serem procurados no resultado do comando debug ip rip. Problemas tais como redes não contíguas ou duplicadas podem ser diagnosticados com esse comando. Um sintoma desses problemas seria o fato de um roteador anunciar uma rota com uma métrica inferior àquela recebida para essa rede. Outros comandos para solucionar problemas no RIP: • • • • •
show ip rip database show ip protocols {summary} show ip route debug ip rip {events} show ip interface brief
7.2.7 Como impedir atualizações de roteamento em uma interface A filtragem de rotas atua controlando as rotas inseridas ou anunciadas em uma tabela de roteamento. Isto tem efeitos diferentes sobre os protocolos de roteamento de estado de link e sobre protocolos de vetor da distância. Um roteador que esteja executando um protocolo de vetor da distância anuncia rotas com base em sua tabela de rotas. Como resultado, um filtro de rota influencia a definição das rotas a serem anunciadas pelo roteador aos seus vizinhos. Por outro lado, os roteadores que estão executando protocolos de estado de link determinam rotas com base em informações do banco de dados de estado de link, e não das entradas de rotas anunciadas pelo roteador. Os filtros de rota não afetam os anúncios ou o banco de dados de estado de link. Por esse motivo, as informações deste documento aplicam-se somente a Protocolos de Roteamento IP de vetor da distância como, por exemplo, o RIP (Routing Information Protocol) e o IGRP (Interior Gateway Routing Protocol).
90
O uso do comando passive interface pode evitar que os roteadores enviem atualizações de roteamento através de uma interface de roteador. Impedir o envio de mensagens de atualização de roteamento através de uma interface de roteador impede que outros sistemas da rede sejam notificados dinamicamente sobre outras rotas. Na Figura , o roteador E usa o comando passive interface para impedir o envio de atualizações de roteamento.
Para o RIP e o IGRP, o comando passive interface interrompe o envio de atualizações pelo roteador a um vizinho específico, mas o roteador continua a escutar e usar as atualizações de roteamento desse vizinho. Impedir o envio de mensagens de atualização de roteamento através de uma interface de roteador impede que outros sistemas da interface sejam notificados dinamicamente sobre outras rotas.
7.2.8 Balanceamento de carga com RIP O balanceamento de carga é um conceito que permite que um roteador seja beneficiado com vários melhores caminhos até um determinado destino. Esses caminhos são definidos estaticamente pelo administrador da rede ou calculados por um protocolo de roteamento dinâmico como, por exemplo, o RIP. O RIP pode executar o balanceamento de carga em até seis caminhos de mesmo custo com quatro caminhos como padrão. O RIP executa o que é chamado de balanceamento de carga "round robin". Isso significa que o RIP reveza o envio de mensagens nos caminhos paralelos.
A Figura mostra um exemplo de rotas RIP com quatro caminhos de mesmo custo. O roteador começará com um ponto de interface para a interface conectada ao roteador 1. Em seguida, esse ponto de interface percorre um ciclo nas interfaces e nas rotas de modo determinístico como, por exemplo, 1-2-3-4-1-2-3-4-1 e assim sucessivamente. Como a métrica para o RIP é de contagem de saltos, a velocidade dos links não é considerada. Assim, o caminho de 56 Kbps terá a mesma preferência do caminho de 155 Mbps.
91
As rotas de mesmo custo podem ser localizadas com o comando show ip route. Por exemplo, a Figura mostra o resultado do comando show ip route para uma sub-rede específica com várias rotas.
Observe que há dois blocos de descritores de roteamento. Cada bloco é uma rota. Há também um asterisco (*) ao lado de uma das entradas do bloco. Isso corresponde à rota ativa usada para o novo tráfego.
7.2.9 Balanceamento de carga em vários caminhos O balanceamento de carga descreve a capacidade de um roteador para transmitir pacotes para um endereço IP de destino em mais de um caminho. O balanceamento de carga é um conceito que permite que um roteador seja beneficiado com vários melhores caminhos até um determinado destino. Os caminhos são derivados estaticamente ou com protocolos dinâmicos como, por exemplo, RIP, EIGRP, OSPF e IGRP.
Quando um roteador aprende vários caminhos para uma rede específica, a rota com a menor distância administrativa é instalada na tabela de roteamento. Às vezes, o roteador deve selecionar uma rota entre muitas, aprendidas com o mesmo processo de roteamento, com a mesma distância administrativa. Nesse caso, o roteador escolhe o caminho com o menor custo ou com a melhor métrica até o destino. Cada processo de roteamento calcula seu custo de forma diferente e esses custos precisam ser configurados manualmente para que se chegue ao balanceamento da carga.
92
Se o roteador receber e instalar vários caminhos com as mesmas distância administrativa e custo até um destino, poderá ocorrer o balanceamento de carga. Pode haver até seis rotas de mesmo custo (um limite imposto pelo Cisco IOS na tabela de roteamento), mas alguns IGPs (Interior Gateway Protocols) têm sua própria limitação. O EIGRP permite até quatro rotas de mesmo custo. Por padrão, a maioria dos protocolos de roteamento IP instala um máximo de quatro rotas paralelas em uma tabela. As rotas estáticas sempre instalam seis rotas. A exceção é o BGP que, por padrão, permite apenas um caminho até um destino. O intervalo de caminhos máximos é de um a seis caminhos. Para alterar o número máximo permitido de caminhos, use o comando a seguir em modo de configuração do roteador: Router(config-router)#maximum-paths [number] O IGRP pode executar o balanceamento de carga em até seis links diferentes. As redes RIP devem ter a mesma contagem de saltos para o balanceamento de carga, enquanto o IGRP usa a largura de banda para determinar como executar esse balanceamento.
Três modos para chegar à Rede X: • • •
E para B para A com métrica de 30 E para C para A com métrica de 20 E para D para A com métrica de 45
O roteador E escolhe o segundo caminho acima, E-C-A com métrica de 20, pois é um custo inferior a 30 e a 45. O IOS Cisco suporta dois métodos de balanceamento de carga para pacotes IP. Estes métodos são balanceamento de carga por-pacote e por-destino. Se a comutação por processo está habilitada, o roteador irá alternar o caminho por pacote. Se a comutação rápida estiver habilitada, somente uma rota estará em cache para um dado endereço de destino. Todos os pacotes destinados a um mesmo host irão seguir o mesmo caminho. Pacotes destinados a um host diferente, mas na mesma rede, podem utilizar um caminho alternativo. O tráfego é balanceado baseado no destino. Por padrão, o roteador usa balanceamento de carga por destino, também chamado de comutação rápida. O cache de rotas permite que pacotes de saída sejam balanceados por destino, mas não por pacote. Para desabilitar a comutação rápida, utilize o comando no ip route-cache. Ao usar este comando, o tráfego será balanceado por pacotes.
93
7.2.10 Integração de rotas estáticas com o RIP As rotas estáticas são definidas pelo usuário e forçam os pacotes a usarem um caminho específico entre uma origem e um destino. As rotas estáticas tornam-se muito importantes se o software Cisco IOS não aprender uma rota para um destino específico. Elas também são úteis para especificar um "gateway de último recurso", comumente chamado de rota padrão. Se um pacote destinar-se a uma sub-rede não listada explicitamente na tabela de roteamento, o pacote será encaminhado à rota padrão. Um roteador que execute o RIP pode receber uma rota padrão via atualização de outro roteador que também execute o RIP. Outra opção é o próprio roteador gerar a rota padrão. As rotas estáticas podem ser removidas com o uso do comando de configuração global no ip route. O administrador pode sobrepor uma rota estática com informações de roteamento dinâmico, ajustando os valores de distância administrativa. Cada protocolo de roteamento dinâmico tem uma distância administrativa (AD) padrão. Uma rota estática pode ser definida como menos desejável do que uma outra aprendida dinamicamente, desde que a AD da rota estática seja superior à da rota dinâmica. Observe que depois que a rota estática para a rede 172.16.0.0 através de 192.168.14.2 foi adicionada, a tabela de roteamento não a mostra. Somente a rota dinâmica aprendida via RIP está presente. Isto ocorre porque a AD é superior (130) para a rota estática, e a menos que a rota obtida através de RIP via S0/0 caia, a rota estática não será instalada na tabela de roteamento.
As rotas estáticas que apontam para uma interface serão anunciadas pelo roteador RIP proprietário da rota estática e propagadas em toda a internetwork. Isso ocorre porque as rotas estáticas que apontam para uma interface são consideradas na tabela de roteamento como conectadas e, assim, perdem sua natureza estática na atualização. Se uma rota estática for atribuída a uma interface não definida no processo do RIP, via comando network, o RIP não a anunciará, a menos que seja especificado um comando redistribute static no processo RIP. Quando uma interface cai, todas as rotas estáticas que apontam para ela são removidas da tabela de roteamento IP. Da mesma forma, quando o software não pode mais localizar um próximo salto válido para o endereço especificado na rota estática, essa rota é removida da tabela de roteamento IP.
94
Na Figura , uma rota estática foi configurada no roteador GAD para tomar o lugar da rota RIP em caso de falha do processo de roteamento do RIP. Isto é conhecido como rota estática flutuante. A rota estática flutuante foi configurada definindo-se AD na rota estática (130) superior ao padrão AD do RIP (120). O roteador BHM também seria configurado com uma rota padrão.
Para configurar uma rota estática, use o comando da Figura em modo de configuração global.
7.3 IGRP 7.3.1 Recursos do IGRP O IGRP é um IGP (Interior Gateway Protocol) de vetor da distância. Os protocolos de roteamento de vetor da distância comparam rotas matematicamente, medindo distâncias. Essa medição é conhecida como vetor da distância. Os roteadores devem enviar regularmente toda ou parte da sua tabela de roteamento em uma mensagem de atualização de roteamento a cada roteador vizinho. À medida que as informações se espalham na rede, os roteadores executam as seguintes funções: • •
Identificar novos destinos Aprender sobre falhas
O IGRP é um protocolo de roteamento de vetor da distância desenvolvido pela Cisco. O IGRP envia atualizações de roteamento a intervalos de 90 segundos, anunciando redes para um sistema autônomo específico. As principais características de projeto do IGRP são: • • •
Versatilidade para manipular automaticamente topologias complexas Flexibilidade necessária para segmentação com diferentes características de largura de banda e de atraso Escalabilidade para funcionamento em redes muito grandes
Por padrão, o protocolo de roteamento IGRP usa largura de banda e atraso como métricas. Além disso, o IGRP pode ser configurado para usar uma combinação de variáveis para determinar uma métrica composta. Essas variáveis incluem: • • • •
Largura de banda Atraso Carga Confiabilidade
95
7.3.2 Métricas do IGRP O comando show ip protocols exibe parâmetros, filtros e informações de rede relativas aos protocolos de roteamento em uso no roteador. Existem 5 pesos (K1 a K5) mostrados na figura. Eles são usados pelo algoritmo para calcular a métrica de roteamento do IGRP. Por default, os pesos K1 e K3 são iguais a 1, e os pesos K2, K4 e K5 são iguais a 0.
Essa métrica composta é mais precisa do que a de contagem de saltos usada pelo RIP ao escolher um caminho até um destino. O caminho que possui o menor valor de métrica é a melhor rota. As métricas usadas pelo IGRP são: • • • •
Largura de banda – O menor valor de largura de banda do caminho Atraso – O atraso cumulativo de interfaces na rede Confiabilidade – A confiabilidade no link em direção ao destino, conforme determinado pela troca de keepalives Carga – A carga em um link em direção ao destino, em base de bits por segundo
O IGRP usa a métrica composta. Essa métrica é calculada como função de largura de banda, atraso, carga e confiabilidade. Por padrão, apenas a largura de banda e o atraso são considerados. Os outros parâmetros são considerados apenas se ativados via configuração. Atraso e largura de banda não são valores medidos, mas são definidos através dos comandos de atraso e de largura de banda. O comando show ip route no exemplo mostra os valores de métrica do IGRP entre parênteses. Um link com largura de banda mais alta e uma rota com atraso cumulativo menor terão métrica menor.
7.3.3 Rotas IGRP O IGRP anuncia três tipos de rota: • • •
96
Interna Sistema Externa
Interna As rotas internas são aquelas entre sub-redes de uma rede conectada a uma interface de roteador. Se a rede conectada a um roteador não for dividida em sub-redes, o IGRP não anunciará rotas internas. Sistema As rotas de sistema são aquelas para redes em um sistema autônomo. O software Cisco IOS deriva rotas de sistema de interfaces de rede conectadas diretamente e de informações sobre rotas de sistema fornecidas por outros roteadores que usem linguagem IGRP ou por servidores de acesso. As rotas de sistema não incluem informações de sub-rede. Externa As rotas externas são aquelas para redes que se encontram fora do sistema autônomo considerado ao identificar um gateway de último recurso. O software Cisco IOS escolhe um gateway of last resort na lista de rotas externas fornecida pelo IGRP. O software usa o gateway (roteador) of last resort se não for encontrada rota melhor e se o destino não for uma rede conectada. Se o sistema autônomo tiver mais do que uma conexão a uma rede externa, diferentes roteadores podem escolher diferentes roteadores externos como gateway of last resort.
7.3.4 Recursos de estabilidade do IGRP O IGRP tem diversos recursos criados para aumentar sua estabilidade, tais como:
97
• • •
Retenções Split horizons Atualizações de poison reverse
Retenções As retenções são usadas para impedir que mensagens de atualização regulares incorretamente reapliquem uma rota que talvez não esteja ativa. Quanto um roteador cai, isso é detectado pelos vizinhos através da falta de mensagens de atualização programadas regularmente. Split horizons Os split horizons partem do princípio segundo o qual, normalmente, não é útil enviar de volta informações sobre uma rede na direção de onde vieram. A regra de split horizon ajuda a impedir loops de roteamento. Atualizações de poison reverse As atualizações de poison reverse são usadas para impedir loops de roteamento maiores. Em termos gerais, aumentos nas métricas de roteamento indicam loops de roteamento. As atualizações de poison reverse são, então, enviadas para remover a rota e colocá-la em modo de retenção. Com o IGRP, as atualizações de poison reverse são enviadas somente se uma métrica de rota tiver sido aumentada em um fator 1.1 ou superior. O IGRP também mantém diversos temporizadores e variáveis que contêm intervalos de tempo. Eles incluem um temporizador de atualização, um temporizador de invalidação, um temporizador de retenção e um temporizador de limpeza. O temporizador de atualização especifica a freqüência do envio de mensagens de atualização de roteamento. O padrão do IGRP para essa variável é de 90 segundos. O temporizador de invalidação especifica o tempo que um roteador deve esperar, na ausência de mensagens de atualização de roteamento relativas a uma rota específica, antes de declarála inválida. O padrão do IGRP para essa variável é de três vezes o período de atualização. O temporizador de retenção especifica o tempo durante o qual informações sobre rotas mais deficientes são ignoradas. O padrão do IGRP para essa variável é de três vezes o período de atualização mais 10 segundos. Finalmente, o temporizador de limpeza indica o tempo para que uma rota seja eliminada da tabela de roteamento. O padrão do IGRP é de sete vezes o temporizador de atualização de roteamento. Hoje, o IGRP dá sinais de envelhecimento, pois não oferece suporte a VLSM (máscaras de sub-rede com tamanho variável). Em vez de desenvolver uma versão 2 do IGRP para corrigir esse problema, a Cisco utilizou o legado de sucesso do IGRP no Enhanced IGRP (IGRP Melhorado).
7.3.5 Configuração do IGRP Para configurar o processo de roteamento do IGRP, use o comando de configuração router igrp. Para encerrar um processo de roteamento IGRP, use a forma no desse comando. RouterA(config)#router igrpas-number RouterA(config)#no router igrpas-number O número de Autonomous System (sistema autônomo) é um que identifica o processo IGRP. Ele também é usado para marcar as informações de roteamento.
98
Para especificar uma lista de redes para os processos de roteamento IGRP, use o comando de configuração de roteador network. Para remover uma entrada, use a forma no desse comando.
7.3.6 Migração do RIP para o IGRP Com a criação do IGRP no início dos anos 80, a Cisco Systems foi a primeira empresa a solucionar os problemas associados ao uso do RIP para rotear datagramas entre rotas internas. O IGRP determina o melhor caminho através da internetwork, examinando a largura de banda e o atraso das redes entre os roteadores. O IGRP converge mais rapidamente do que o RIP, evitando, assim, os loops de roteamento causados pelo desacordo sobre o próximo salto de roteamento a ser adotado. Além disso, o IGRP não compartilha a limitação de contagem de saltos do RIP. Como resultado desse e de outros aperfeiçoamentos sobre o RIP, o IGRP permitiu a implantação de muitas internetworks grandes, complexas e com topologia diversificada. Estas são as etapas para a conversão do RIP para o IGRP. 1. Inserir show ip route para verificar que RIP é o protocolo de roteamento existente nos roteadores a serem convertidos. 2. Configurar o IGRP nos roteadores A e B. 3. Inserir o comando show ip protocols nos roteadores A e B. 4. Inserir o comando show ip route nos roteadores A e B.
7.3.7 Verificação da configuração do IGRP Para verificar se o IGRP está configurado corretamente, insira o comando show ip route e procure rotas IGRP representadas por "I". Comandos adicionais para verificar a configuração do IGRP são: • • • • • •
show show show show show show
interfaceinterface running-config running-config interfaceinterface running-config | begin interfaceinterface running-config | begin igrp ip protocols
Para verificar se a interface Ethernet está configurada corretamente, insira o comando show interface fa0/0.
7.3.8 Solução de problemas do IGRP A maioria dos erros de configuração do IGRP envolve uma instrução de rede com erro de digitação, sub-redes não contíguas ou um número de sistema autônomo incorreto. Os seguintes comandos são úteis ao solucionar problemas do IGRP: • • • • • •
show ip protocols show ip route debug ip igrp events debug ip igrp transactions ping traceroute
Resumo
99
Devem ter sido compreendidos os importantes conceitos a seguir: • • • • • • • • • • • • • • • • • • • • • • • •
Como as informações de roteamento são mantidas em protocolos de vetor da distância Como ocorrem os loops de roteamento no vetor da distância Definição de um ponto máximo para impedir a contagem até o infinito Eliminação de loops de roteamento via split horizon Inviabilização de rota Como impedir loops de roteamento com atualizações acionadas Como impedir loops de roteamento com temporizadores de retenção Como impedir atualizações de roteamento em uma interface Balanceamento de carga em vários caminhos Processo RIP Configuração do RIP Uso do comando ip classless Problemas comuns de configuração do RIP Balanceamento de carga com o RIP Integração de rotas estáticas com o RIP Verificação da configuração do RIP Recursos do IGRP Métricas do IGRP Rotas IGRP Recursos de estabilidade do IGRP Configuração do IGRP Migração do RIP para o IGRP Verificação da configuração do IGRP Solução de problemas do IGRP
CAPITULO 08 - Mensagens de Erro e de Controle do Conjunto de Protocolos TCP/IP 100
Visão Geral Por ser um sistema de entrega de melhor esforço,o IP não possui mecanismos que garantam a entrega dos dados independentemente de problemas que possam ocorrer na rede. Os dados podem não alcançar seu destino por vários motivos como, por exemplo, falha de hardware, configuração inadequada, incorreta ou informações de roteamento incorretas. Para ajudar a identificar esses problemas, o IP usa o ICMP (Internet Control Message Protocol) para notificar ao remetente dos dados que houve erro no processo de entrega. Este módulo descreve os vários tipos de mensagens de erro ICMP e alguns de seus usos. Como o IP não possui mecanismo incorporado para o envio de mensagens de erro e de controle, ele usa o ICMP para enviar e receber essas mensagens nos hosts de uma rede. Este módulo concentra-se nas mensagens de controle, que fornecem informações ou parâmetros de configuração aos hosts. O conhecimento sobre mensagens de controle ICMP é parte essencial da solução de problemas de uma rede e um ponto-chave para a plena compreensão das redes IP. Ao concluírem este módulo, os alunos deverão ser capazes de: • • • • • • •
Descrever o ICMP Descrever o formato de mensagem ICMP Identificar os tipos de mensagens de erro ICMP Identificar as causas potenciais de mensagens de erro específicas do ICMP Descrever as mensagens de controle ICMP Identificar as diversas mensagens de controle ICMP usadas atualmente nas redes Determinar as causas para as mensagens de controle ICMP
8.1 Visão geral de mensagens de erro TCP/IP 8.1.1 ICMP (Internet Control Message Protocol) O IP é um método não confiável de entrega de dados em rede. Ele é conhecido como um mecanismo de entrega de melhor esforço. O IP não possui processos internos que garantam a entrega dos dados no caso de problemas na comunicação da rede. Se um dispositivo intermediário como, por exemplo, um roteador, falhar, ou se um dispositivo destino for desconectado da rede, os dados não poderão ser entregues. Além disso, no projeto básico do IP, nada permite que ele notifique o remetente de que houve falha na transmissão dos dados.
O ICMP (Internet Control Message Protocol) é o componente da pilha de protocolos TCP/IP que trata dessa limitação básica do IP. O ICMP não soluciona as questões de falta de confiabilidade no IP. A confiabilidade deve ser fornecida por protocolos de camada superior, caso necessário.
8.1.2 Relatórios e correção de erros
101
O ICMP é um protocolo de geração de relatórios de erros para o IP. Quando há erros de entrega de um datagrama, o ICMP é usado para relatá-los à origem desse datagrama. Por exemplo, se a Estação de Trabalho 1 da Figura estiver enviando um datagrama à Estação de Trabalho 6, mas a interface Fa0/0 do Roteador C cair, o Roteador C utilizará o ICMP para devolver uma mensagem à Estação de Trabalho 1, indicando que não foi possível entregar o datagrama. O ICMP não corrige, mas apenas relata o problema de rede encontrado. Quando o Roteador C recebe o datagrama da Estação de Trabalho 1, ele conhece apenas os endereços IP origem e destino do datagrama. Ele não conhece o caminho exato usado pelo datagrama até o Roteador C. Assim, o Roteador C pode apenas notificar a falha à Estação de Trabalho 1 e não são enviadas mensagens do ICMP aos roteadores A e B. O ICMP relata o status do pacote entregue apenas ao dispositivo origem. Ele não propaga as informações sobre alterações na rede aos roteadores.
8.1.3 Entrega de mensagens do ICMP As mensagens do ICMP são encapsuladas em datagramas, como quaisquer outros dados entregues com o uso do IP. A Figura exibe o encapsulamento de dados do ICMP em um datagrama IP.
Como as mensagens do ICMP são transmitidas do mesmo modo que quaisquer outros dados, elas estão sujeitas às mesmas falhas de entrega. Isso cria um cenário onde os relatórios de erro poderiam gerar outros, aumentando o congestionamento em uma rede sobrecarregada. Por esse motivo, os erros criados por mensagens do ICMP não geram suas próprias mensagens desse tipo. Assim, é possível haver um erro de entrega de datagrama jamais reportado ao remetente dos dados.
8.1.4 Redes inalcançáveis A comunicação de rede depende do cumprimento de algumas condições básicas. Primeiramente, os dispositivos de envio e de recepção devem ter a pilha de protocolos TCP/IP corretamente configurada. Isso inclui a instalação do protocolo TCP/IP e a configuração correta do endereço IP e da máscara de sub-rede. Um default gateway também deve ser configurado, se os datagramas trafegarem fora da rede local. Em segundo lugar, os dispositivos intermediários devem ser instalados de forma a rotear o datagrama do dispositivo origem até à rede destino. Os roteadores cumprem essa função. Um roteador também deve ter o protocolo TCP/IP corretamente configurado em suas interfaces e usar um protocolo de roteamento adequado. Se essas condições não forem cumpridas, a comunicação de rede não poderá ocorrer. Por exemplo, o dispositivo de envio pode endereçar um datagrama a um endereço IP não existente ou a um dispositivo destino que se encontre desconectado de sua rede. Os roteadores também podem ser pontos de falha, se uma interface de conexão estiver desativada ou se o roteador não tiver as informações necessárias para localizar a rede destino. Se uma rede destino não estiver acessível, é chamada de rede inalcançável.
102
A Figura e mostra um roteador recebendo um pacote que não pode entregar ao seu destino final. O pacote não pode ser entregue porque não há rota conhecida para o destino. Por isso, o roteador envia à origem uma mensagem ICMP host unreachable
8.1.5 Uso do ping para testar a alcançabilidade de um destino O protocolo ICMP pode ser usado para testar a disponibilidade de um destino específico. A Figura mostra o ICMP sendo usado para enviar uma mensagem echo request (solicitação de eco) ao dispositivo destino. Se o dispositivo destino receber um echo request (solicitação de eco) do ICMP, ele formula uma mensagem echo reply (resposta de eco) para enviar de volta à origem da mensagem echo request. Se o remetente receber uma echo reply (resposta de eco), isso confirma que o dispositivo destino pode ser alcançado via protocolo IP.
A mensagem de echo request (solicitação de eco) é normalmente iniciada com o uso do comando ping. Nesse exemplo, o comando é usado com o endereço IP do dispositivo destino
103
O comando também pode ser utilizado como mostra a Figura , com o uso do endereço IP do dispositivo destino. Nesses exemplos, o comando ping envia quatro solicitações de eco e recebe quatro respostas de eco, confirmando a conectividade IP entre os dois dispositivos. Conforme mostrado na Figura , a echo reply (resposta de eco) inclui um valor de tempo de vida (time-to-live – TTL). O TTL é um campo no cabeçalho do pacote IP usado pelo IP para limitar o encaminhamento do pacote. Conforme cada roteador processa o pacote, o valor do TTL é diminuído em uma unidade. Quando um roteador recebe um pacote com o valor do TTL igual a 1, ele diminuirá o valor do TTL para 0 e o pacote não pode ser encaminhado. Uma mensagem ICMP pode ser gerada e enviada de volta a máquina origem, e o pacote que não pode ser entregue é descartado.
8.1.6 Detecção de rotas excessivamente longas Podem ocorrer situações na comunicação de rede nas quais um datagrama trafegue em círculo, sem alcançar jamais o seu destino. Isso pode ocorrer se dois roteadores rotearem continuamente um datagrama entre si, um considerando que o outro seja o próximo salto no caminho até o destino. Quando há vários roteadores envolvidos, um ciclo de roteamento é criado. Num ciclo de roteamento, um roteador envia o datagrama ao próximo salto e pensa que o próximo salto irá rotear o datagrama para o destino correto. O próximo salto então roteia o datagrama ao próximo roteador no ciclo. Isto pode ser causado por informações de roteamento incorretas.
104
As limitações do protocolo de roteamento podem resultar em destinos inalcançáveis. Por exemplo, o RIP tem um limite da distância em que uma determinada informação de roteamento tem permissão para trafegar. O limite de saltos do RIP é de 15, o que significa que o pacote terá permissão para percorrer apenas 15 roteadores. Em qualquer dos dois casos, há uma rota excessivamente longa. Na hipótese de o caminho real incluir um caminho de roteamento circular ou muitos saltos, o pacote excederá a contagem máxima de saltos
8.1.7 Mensagens de eco Como ocorre com qualquer tipo de pacote, as mensagens do ICMP têm formatos especiais. Cada tipo de mensagem do ICMP mostrado na Figura tem características exclusivas, mas todos os formatos de mensagem do ICMP começam com esses mesmos três campos:
• • •
Type (tipo) Code (código) Checksum
O campo de tipo indica que tipo de mensagem do ICMP está sendo enviado. O campo de código inclui mais informações específicas do tipo da mensagem. O campo checksum, como em outros tipos de pacotes, é usado para verificar a integridade dos dados.
A Figura mostra o formato para as mensagens ICMP echo request e echo reply. O tipo e os números de código relevantes são mostrados para cada tipo de mensagem. Os campos identifier (identificador) e sequence number (número de seqüência) são exclusivos das mensagens echo request e echo reply. Os campos identifier e sequence são usados para corresponder as respostas às solicitações de eco. O campo data contém informações adicionais, que podem ser parte da mensagem echo reply ou echo request.
105
8.1.8 Mensagem destination unreachable Nem sempre os datagramas podem ser encaminhados aos seus destinos. Falhas de hardware, configuração incorreta do protocolo, interfaces inativas e informações de roteamento incorretas são alguns dos motivos que possam impedir uma entrega bem-sucedida. Nesses casos, o ICMP retorna ao remetente uma mensagem destination unreachable (destino inalcançável), indicando que não foi possível encaminhar corretamente o datagrama.
A Figura mostra um cabeçalho de mensagem destination unreachable. O valor 3 no campo de tipo indica que esta é uma mensagem destination unreachable. O valor de código indica por que motivo não foi possível entregar o pacote.
A Figura tem um valor de código 0-12, indicando que a rede estava inalcançável. A Figura mostra o significado de cada possível valor de código em uma mensagem destination unreachable. Uma mensagem destination unreachable também pode ser enviada quando for necessária a fragmentação de um pacote para o seu encaminhamento. A fragmentação é normalmente necessária quando um datagrama é encaminhado de uma rede Token Ring a uma rede Ethernet. Se o datagrama não permitir a fragmentação, não será possível encaminhar o pacote e será enviada uma mensagem destination unreachable. Essas mensagens também podem ser geradas se serviços relacionados ao IP como, por exemplo, FTP ou Web, estiverem inalcançáveis. Para solucionar com eficiência problemas em uma rede IP, é necessário compreender as várias causas desse tipo de mensagens.
8.1.9 Relatórios de erro diversos Os dispositivos que processam datagramas talvez não possam encaminhar um datagrama devido a algum tipo de erro num parâmetro do cabeçalho. Esse erro não está relacionado ao estado do host ou da rede destino mas, mesmo assim, impede o processamento e a entrega do datagrama, e por causa disso, o datagrama é descartado. Nesse caso, uma mensagem
106
ICMP do tipo 12 (parameter problem – problema de parâmetro) é enviada à origem do datagrama. A Figura mostra o cabeçalho da mensagem de problema de parâmetro. A mensagem de problema de parâmetro inclui o campo de indicador no cabeçalho. Quando o valor de código é 0, o campo de indicador mostra o octeto do datagrama que produziu o erro.
8.2 Mensagens de controle do conjunto de protocolos TCP/IP 8.2.1 Introdução às mensagens de controle O ICMP (Internet Control Message Protocol) integra o conjunto de protocolos TCP/IP. Na verdade, todas as implementações do IP devem incluir suporte a ICMP. As razões são simples. Primeiramente, como o IP não garante a entrega, não possui método inerente para informar aos hosts a ocorrência de erros. Além disso, o IP não possui um método incorporado para fornecer mensagens informativas ou de controle aos hosts. O ICMP faz isso para o IP. Ao contrário das mensagens de erro, as mensagens de controle não resultam de perda ou de condições de erro durante a transmissão de pacotes. Em vez disso, elas são usadas para informar aos hosts sobre condições tais como congestionamento na rede ou a existência de um gateway melhor para uma rede remota. O ICMP usa o cabeçalho básico do IP para atravessar várias redes. O ICMP usa vários tipos de mensagens de controle. Alguns dos mais comuns são mostrados na Figura . Muitos deles são discutidos nesta seção
8.2.2 Solicitações do ICMP para redirecionamento/alteração Uma mensagem de controle comum do ICMP é a solicitação para redirecionamento/alteração do ICMP. Esse tipo de mensagem somente pode ser iniciado por um gateway, que é um termo comumente usado para descrever um roteador. Todos os hosts que se comunicam com várias redes IP devem ser configurados com um default gateway. Esse default gateway é o endereço de uma porta de roteador conectada à mesma rede do host.
107
A Figura exibe um host conectado a um roteador com acesso à Internet. Uma vez configurado com o endereço IP Fa 0/0 como seu default gateway, o Host B usa esse endereço IP para alcançar qualquer rede não diretamente conectada a ele. Normalmente, o Host B é conectado a um único gateway. No entanto, em algumas circunstâncias, um host conecta-se a um segmento com dois ou mais roteadores conectados diretamente. Nesse caso, o default gateway do host poderá precisar usar uma solicitação de redirecionamento/alteração para informar ao host o melhor caminho para uma determinada rede.
A Figura mostra uma rede na qual seriam usados os redirecionamentos do ICMP. O host B envia um pacote ao Host C na rede 10.0.0.0/8. Como o Host B não está diretamente conectado à mesma rede, encaminha o pacote ao seu default gateway, o Roteador A. O Roteador A encontra a rota correta para a rede 10.0.0.0/8, verificando sua tabela de roteamento. Ele determina que o caminho para a rede vai utilizar a mesma interface pela qual chegou a solicitação para o encaminhamento do pacote. Ele encaminha o pacote e envia uma ICMP redirect/change request ao Host B, instruindo-o a usar o Roteador B como gateway para encaminhar todas as futuras solicitações para a rede 10.0.0.0/8. Os gateways default somente enviam mensagens ICMP redirect/change request se as seguintes condições forem atendidas: • • • •
108
A interface na qual o pacote entra na rede deve ser a mesma na qual o pacote é roteado para fora. A sub-rede/rede do endereço IP origem deve ser a mesma sub-rede/rede do endereço IP do próximo salto do pacote roteado. O datagrama não deve ser roteado na origem. A rota para o redirecionamento não deve ser outro redirecionamento ICMP ou uma rota padrão.
•
O roteador deve ser configurado para enviar redirecionamentos. (Por default, os roteadores Cisco enviam redirecionamentos do ICMP. O sub-comando de interface no ip redirects desativará os redirecionamentos do ICMP.
A solicitação de redirecionamento/alteração do ICMP usa o formato mostrado na Figura . Ela tem um código de tipo ICMP 5. Além disso, tem um valor de código 0, 1, 2 ou 3. O campo Router Internet Address (Endereço de Internet do Roteador) no redirecionamento ICMP é o endereço IP que deveria ser usado como default gateway para uma rede particular.
No exemplo da Figura , o redirecionamento ICMP enviado do Roteador A ao Host B teria um valor de campo Router Internet Address (Endereço de Internet do Roteador) 172.16.1.200, que é o endereço IP de E0 no Roteador B.
8.2.3 Sincronização de clock e estimativa de tempo de trânsito O conjunto de protocolos TCP/IP permite a conexão entre sistemas em grandes distâncias, através de várias redes. Cada uma dessas redes individuais fornece, ao seu modo, sincronização de clock. Como resultado, hosts de diferentes redes que estejam tentando efetuar comunicação usando software que exija sincronização de tempo podem, às vezes, encontrar problemas. O tipo de mensagem de timestamp ICMP foi criado para ajudar a atenuar esse problema. A mensagem ICMP timestamp request (solicitação de timestamp) permite que um host solicite o horário atual de acordo com o host remoto. O host remoto usa uma mensagem de ICMP timestamp reply (resposta de timestamp) para responder à solicitação. O campo de tipo em uma mensagem de timestamp ICMP pode ser 13 (timestamp request) ou 14 (timestamp reply). O valor do campo de código é sempre definido como 0, pois não há parâmetros adicionais disponíveis. A solicitação de timestamp ICMP contém um originate timestamp (timestamp de origem), que é o horário no host solicitante exatamente anterior ao envio da solicitação de timestamp. O receive timestamp (timestamp de recepção) é o horário em que o host destino recebe a solicitação de timestamp ICMP. O transmit timestamp (timestamp de transmissão) é preenchido imediatamente antes do retorno da resposta de timestamp ICMP. O originate timestamp, receive timestamp e transmit timestamp são computados em números de milissegundos, decorridos a partir de meia-noite, UT (Universal Time, horário universal). Todas as mensagens de resposta de timestamp ICMP contêm os timestamps de origem, de recepção e de transmissão. Usando esses três timestamps, o host pode estimar o tempo de trânsito na rede, subtraindo o horário original do tempo de recepção. Ou ele pode determinar o
109
tempo de trânsito na direção de retorno subtraindo o tempo de transmissão do tempo atual. O host que originou a solicitação de timestamp também pode estimar o horário local do computador remoto. Embora as mensagens de timestamp ICMP ofereçam um meio para estimar o horário em um host remoto e o tempo total de trânsito na rede, esse não é o melhor modo de obtenção dessas informações. Em seu lugar, protocolos mais robustos, tais como o NTP (Network Time Protocol) nas camadas superiores da pilha de protocolos TCP/IP executam a sincronização de clock de modo mais confiável.
8.2.4 Formatos de solicitações de informação e de mensagens de resposta As solicitações de informação e as mensagens de resposta do ICMP foram criadas originalmente para permitir que um host determine seu número de rede. A Figura mostra o formato para uma solicitação de informação e para uma mensagem de resposta do ICMP.
Dois códigos de tipo estão disponíveis nesta mensagem. O tipo 15 significa uma mensagem de solicitação de informação e o tipo 16 identifica uma mensagem de resposta de informação. Esse tipo específico de mensagem do ICMP é considerado obsoleto. Outros protocolos como, por exemplo, BOOTP, RARP (Reverse Address Resolution Protocol) e DHCP (Dynamic Host Configuration Protocol – Protocolo de Configuração Dinâmica de Host) são atualmente usados para permitir que os hosts obtenham seus números de rede.
8.2.5 Requisições de Máscara de Endereço Quando um administrador de rede usa o processo de divisão em sub-redes para dividir um endereço IP principal em várias sub-redes, é criada uma nova máscara de sub-rede. Essa nova máscara de sub-rede é crucial na identificação de bits de rede, de sub-rede e de host em um endereço IP. Se um host não conhecer a máscara de sub-rede, poderá enviar uma solicitação de máscara de endereço ao roteador local. Se o endereço do roteador for conhecido, a solicitação poderá ser enviada diretamente ao roteador. Caso contrário, ela será transmitida em broadcast. Quando o roteador receber a solicitação, enviará uma address mask reply (resposta de máscara de endereço). Essa address mask reply identificará a máscara de sub-rede correta. Por exemplo, suponha que um host esteja localizado em uma rede de Classe B e tenha como endereço IP 172.16.5.2. Esse host desconhece a máscara de sub-rede e portanto transmitirá em broadcast uma solicitação de máscara de endereço: Endereço de origem: 172.16.5.2 Endereço de destino: 255.255.255.255 Protocolo: ICMP = 1 Tipo: Address Mask Request = AM1 Código: 0 Máscara: 255.255.255.0 Esse broadcast é recebido por 172.16.5.1, o roteador local. O roteador envia a resposta de máscara de endereço: Endereço origem: 172.16.5.1 Endereço destino: 172.16.5.2 Protocolo: ICMP = 1 Tipo: Address Mask Reply = AM2 Código: 0 Máscara: 255.255.255.0
110
O formato de quadro para address mask request e address mask reply é mostrado na Figura .
A Figura mostra as descrições de cada campo da mensagem de solicitação de máscara de endereço. Observe que o mesmo formato de quadro é usado para os dois tipos de mensagens. No entanto, um número –do tipo ICMP 17 é atribuído à solicitação e 18 é atribuído à resposta
111
8.2.6 Mensagem de descoberta de roteador
Quando um host da rede é inicializado e não foi manualmente configurado com um default gateway, ele pode aprender sobre roteadores disponíveis através do processo de descoberta de roteador. Esse processo começa com o host enviando uma mensagem router solicitation (solicitação de roteador) a todos os roteadores, usando o endereço multicast 224.0.0.2 como endereço de destino. A Figura mostra a mensagem ICMP router discovery. A mensagem router discovery também pode ser transmitida em broadcast, para incluir roteadores que talvez não estejam configurados para multicasting. Se uma mensagem router discovery é enviada a um roteador que não suporte o processo de descoberta, fica sem resposta
8.2.7 Mensagem router solicitation (solicitação de roteador) Um host gera uma mensagem ICMP router solicitation em resposta à ausência de um default gateway. Essa mensagem é enviada via multicast e é a primeira etapa do processo de descoberta do roteador. Um roteador local responde com um anúncio de roteador, identificando o default gateway para o host local.
A Figura identifica o formato de quadro
A Figura fornece uma explicação de cada campo.
112
8.2.8 Mensagens de congestionamento e de controle de fluxo Se vários computadores tentarem acessar o mesmo destino ao mesmo tempo, o computador destino pode ficar sobrecarregado pelo tráfego. Também pode ocorrer congestionamento quando uma LAN de alta velocidade alcança uma conexão WAN mais lenta. Os pacotes eliminados ocorrem quando há um intenso congestionamento em uma rede. As mensagens ICMP source-quench (redução na origem) são usadas para reduzir o volume de perda de dados. A mensagem source-quench solicita que os remetentes reduzam sua taxa de transmissão de pacotes. Na maioria dos casos, o congestionamento diminui em pouco tempo e a origem aumenta lentamente a taxa de transmissão, desde que não sejam recebidas outras mensagens source-quench. A maioria dos roteadores Cisco não envia mensagens sourcequench por default, pois essas mensagens podem somar-se ao congestionamento da rede. Um escritório domiciliar (SOHO) é um cenário em que mensagens ICMP source-quench do podem ser usadas com eficiência. Um SOHO poderia consistir em quatro computadores conectados em rede com o uso de um cabo CAT-5, compartilhamento a conexão a Internet em um modem de 56K. É fácil ver que a largura de banda de 10Mbps da LAN SOHO poderia rapidamente sobrecarregar a largura de banda disponível de 56K do link WAN, resultando em perda de dados e retransmissões. O host que atua como gateway pode utilizar uma mensagem ICMP source-quench para solicitar que os outros hosts reduzam suas taxas de transmissão a um patamar administrável, evitando, assim, a perda contínua de dados. Uma rede na qual o congestionamento no link WAN poderia causar problemas de comunicação é mostrada na Figura .
113
Resumo Devem ter sido compreendidos os importantes conceitos a seguir: • •
• • • • • • • • • • •
114
O IP é um método de entrega de melhor esforço, que usa mensagens do ICMP para alertar o remetente de que os dados não chegaram ao destino. As mensagens de solicitação e de echo reply (resposta de eco) do ICMP permitem que o administrador da rede teste a conectividade IP, para auxiliar o processo de identificação e solução de problemas. As mensagens do ICMP são transmitidas com o uso do protocolo IP; assim, sua entrega não é confiável. Os pacotes ICMP têm suas próprias informações especiais de cabeçalho iniciadas com um campo de tipo e um de código. Identificar causas potenciais de mensagens de erro específicas do ICMP As funções das mensagens de controle do ICMP Mensagens de solicitação para redirecionamento/alteração do ICMP Mensagens de sincronização de clock e de estimativa de tempo de trânsito do ICMP Mensagens de solicitação de informação e de resposta do ICMP Mensagens de solicitação de máscara de endereço e de resposta do ICMP Mensagem de descoberta de roteamento do ICMP Mensagem de solicitação de roteamento do ICMP Mensagens de congestionamento e de controle de fluxo do ICMP
Módulo 9 - Princípios da Resolução de Problemas com Roteadores Visão Geral Um roteador usa um protocolo de roteamento dinâmico para aprender rotas para as redes de destino. A maioria dos roteadores usa uma combinação de roteamento dinâmico e rotas estáticas configuradas manualmente. Independente do método usado, quando o roteador determina que uma determinada rota é o melhor caminho para um destino, ele instala aquela rota na tabela de roteamento. Este módulo descreve métodos para análise e interpretação do conteúdo da tabela de roteamento. Teste e solução de problemas são, talvez, os componentes que consomem mais tempo no trabalho dos administradores de rede. Testes e soluções eficientes devem ser conduzidos de forma lógica, organizada e bem documentada. Caso contrário, os problemas se repetirão e o administrador nunca irá entender a rede realmente. Este módulo descreve uma abordagem estruturada da solução de problemas de rede e apresenta algumas ferramentas a serem usadas no processo de solução de problemas. Os problemas de roteamento estão entre os mais comuns e de diagnóstico mais difícil para o administrador. Pode não ser simples identificar e solucionar problemas de roteamento, mas existem várias ferramentas para facilitar essa tarefa. Este módulo apresenta algumas das ferramentas mais importantes e proporciona a prática no uso delas. Ao concluírem este módulo, os alunos deverão ser capazes de: • • • • • • • • • • • •
Usar o comando show ip route para exibir informações detalhadas sobre as rotas do roteador. Configurar uma rota ou uma rede padrão. Entender como o roteador usa o endereçamento das camadas 2 e 3 para encaminhar os dados pela rede. Usar o comando ping para fazer testes básicos de conectividade da rede. Usar o comando telnet para verificar o software da camada de aplicação existente entre as estações de origem e de destino. Solucionar problemas usando testes na seqüencia das camadas OSI. Usar o comando show interfaces para confirmar problemas nas camadas 1 e 2. Usar os comandos show ip route e show ip protocol para identificar problemas de roteamento. Usar o comando show cdp para verificar a conectividade da camada 2. Usar o comando traceroute para identificar o caminho adotado pelos pacotes entre as redes. Usar o comando show controllers serial para verificar se o cabo correto está conectado. Usar os comandos básicos de debug para monitorar a atividade do roteador.
115
9.1 Análise da tabela de roteamento 9.1.1 O comando show ip route Uma das principais funções de um roteador é determinar o melhor caminho para um destino. Ele aprende caminhos, também chamados de rotas, a partir da configuração do administrador ou a partir de outros roteadores através de protocolos de roteamento. Os roteadores armazenam essas informações em tabelas de roteamento, usando a memória de acesso aleatório embutida (RAM). A tabela de roteamento contém uma lista das melhores rotas disponíveis. O roteador usa a tabela para tomar decisões de encaminhamento de pacotes. O comando show ip route exibe o conteúdo da tabela de roteamento IP. Essa tabela contém entradas para todas as redes e sub-redes conhecidas, além de um código que indica como a informação foi obtida. Estes são alguns dos comandos adicionais que podem ser usados com o comando show ip route: • • • • •
show show show show show
ip ip ip ip ip
route route route route route
connected address rip igrp static
A tabela de roteamento mapeia prefixos de rede para interfaces de saída. Quando o RTA recebe um pacote destinado ao endereço 192.168.4.46, ele procura o prefixo 192.168.4.0/24 na tabela. O RTA encaminha o pacote pela interface (Ethernet0) com base na entrada da tabela de roteamento. Quando o RTA recebe um pacote destinado ao endereço 10.3.21.5, ele envia o pacote pela serial 0. A tabela do exemplo mostra quatro rotas para redes conectadas diretamente. Essas rotas, indicadas pela letra C, estão disponíveis para redes conectadas diretamente. O RTA abandona os pacotes destinados a uma rede que não esteja listada na tabela. Para encaminhar a outros destinos, a tabela de roteamento do RTA precisa incluir mais rotas. As novas rotas podem ser adicionadas de duas formas: • •
Roteamento estático – O administrador define manualmente rotas para uma ou mais redes de destino. Roteamento dinâmico – As rotas seguem regras definidas por um protocolo de roteamento para trocar informações e selecionar o melhor caminho de forma independente.
As rotas definidas administrativamente são consideradas estáticas porque não são alteradas sem que um administrador programe as alterações manualmente. As rotas aprendidas a partir de outros roteadores são dinâmicas porque podem ser alteradas automaticamente, conforme os roteadores vizinhos atualizam-se uns aos outros com novas informações. Cada forma tem vantagens e desvantagens fundamentais
116
9.1.2 Determinação do gateway de último recurso Não é viável, nem desejável, que um roteador tenha rotas para todos os destinos possíveis. Em vez disso, os roteadores têm rotas padrão ou um gateway de último recurso. Routas padrão são usadas quando o roteador é incapaz de associar uma rede destino com qualquer uma das entradas na tabela de roteamento. O roteador usa essa rota padrão para alcançar o gateway de último recurso na tentativa de encaminhar o pacote.
117
Uma característica chave de escalabilidade é que as rotas padrão mantêm as tabelas o mais simples possível. Elas possibilitam que os roteadores encaminhem pacotes destinados a qualquer host da Internet sem precisar manter uma entrada na tabela para cada rede de Internet. As rotas padrão podem ser inseridas estaticamente por um administrador ou aprendidas dinamicamente usando um protocolo de roteamento. O roteamento padrão começa com o administrador. Para que os roteadores possam trocar informações dinamicamente, o administrador precisa configurar pelo menos uma rota padrão no roteador. Dependendo dos resultados desejados, o administrador pode usar um dos dois comandos a seguir para configurar estaticamente uma rota padrão: ip default-network ou ip route 0.0.0.0 0.0.0.0 O comando ip default-network estabelece uma rota padrão nas redes que usam protocolos de roteamento dinâmico. O comando ip default-network é classful, o que quer dizer que se o roteador tem uma rota para a sub-rede indicada por este comando, ele instala a rota para a rede toda. O comando ip default-network deve ser emitido usando a rede toda, de maneira a indicar a rota padrão candidata. O comando global ip default-network 192.168.17.0 define a rede de classe C 192.168.17.0 como o caminho do destino dos pacotes que não têm entradas na tabela de roteamento. Nas redes configuradas com ip default-network, se o roteador tem uma rota para a rede, a rota é indicada como candidata à rota padrão.
118
Outra forma de configurar uma rota padrão é usar o comando ip route para 0.0.0.0/0. Router(config)#ip route prefix mask {address | interface}[distance] Após configurar uma rota ou uma rede padrão, o comando show ip route irá mostrar: Gateway of last resort is 172.16.1.2 to network 0.0.0.0
9.1.3 Determinação de origem e destino de rotas Para o tráfego através de uma nuvem de rede, a determinação do caminho ocorre na camada de rede. A função de determinação do caminho permite que o roteador avalie os caminhos disponíveis para um destino e estabeleça o melhor tratamento para o pacote. Os serviços de roteamento usam as informações da topologia da rede ao avaliarem os caminhos na rede. Essas informações podem ser configuradas pelo administrador da rede ou coletadas através de processos dinâmicos executados na rede. A camada de rede proporciona entrega de pacotes fim-a-fim de melhor esforço pelas redes interconectadas. A camada de rede usa a tabela de roteamento IP para enviar pacotes da rede de origem à rede de destino. Após determinar o caminho a ser usado, o roteador pega o pacote de uma interface e o encaminha a outra interface ou porta que reflita o melhor caminho para o destino do pacote.
9.1.4 Determinação dos endereços das camadas 2 e 3 Enquanto os endereços de camada de rede são usados para transferir os pacotes da origem ao destino, é importante entender que outro tipo de endereço é usado para transferir pacotes de um roteador para o próximo. Para que o pacote seja transferido da origem ao destino, os endereços das camadas 2 e 3 são usados. Como mostrado na figura , em cada interface, conforme o pacote se movimenta pela rede, a tabela de roteamento é analisada e o roteador determina o próximo salto. Então, o endereço MAC do próximo salto é aplicado para encaminhar o pacote. Os cabeçalhos IP de origem e de destino não são alterados em nenhum momento.
119
O endereço da camada 3 é usado para rotear o pacote da rede de origem à rede de destino. Os endereços IP de origem e de destino permanecem os mesmos. O endereço MAC é alterado a cada salto ou roteador. O endereço da camada de enlace é necessário porque a entrega dentro de uma mesma rede é determinada pelo endereço no cabeçalho do quadro da camada 2 e não no cabeçalho do pacote da camada 3.
9.1.5 Determinação da distância administrativa da rota O roteador pode descobrir rotas usando protocolos de roteamento dinâmico ou elas podem ser configuradas manualmente pelo administrador. Após as rotas serem descobertas ou configuradas, o roteador deve escolher a melhor para cada rede. A distância administrativa é a informação-chave usada pelo roteador para decidir o melhor caminho para um determinado destino. Ela é o número que mede a confiabilidade da fonte da informação sobre a rota. Quanto mais baixo o valor, mais confiável a rota.
Cada protocolo de roteamento tem uma distância administrativa padrão diferente. Se um caminho tem a distância administrativa mais baixa, ele é instalado na tabela de roteamento. A rota não será instalada na tabela caso a distância de outra origem seja mais baixa.
120
9.1.6 Determinação da métrica da rota Os protocolos de roteamento usam métricas para determinar a melhor rota para um destino. A métrica é o valor que mede a preferência da rota. Alguns protocolos usam somente um fator para calcular a métrica. Por exemplo, o protocolo RIP v1 (Routing Information Protocol versão 1) usa a contagem de saltos como único fator de determinação da métrica de uma rota. Outros protocolos baseiam sua métrica em contagem de saltos, largura de banda, atraso, confiabilidade, atraso em pulsos (tick delay), e custo. Cada algoritmo de roteamento interpreta à sua maneira o que é melhor. O algoritmo gera um número, chamado valor métrico, para cada caminho através da rede. Normalmente, quanto menor o número da métrica, melhor o caminho. Fatores como largura da banda e atraso são estáticos, porque permanecem os mesmos para cada interface até que o roteador seja reconfigurado ou a rede, reestruturada. Fatores como carga e confiabilidade são dinâmicos, porque são calculados para cada interface em tempo real pelo roteador. Quantos mais fatores compuserem a métrica, maior será a flexibilidade de adaptação das operações da rede para fins específicos. Na configuração padrão, o protocolo IGRP usa os fatores estáticos largura de banda e atraso para calcular a métrica. Esses dois fatores podem ser configurados manualmente, possibilitando o controle preciso das rotas a serem escolhidas pelo roteador. O IGRP também pode ser configurado para considerar os fatores dinâmicos, carga e confiabilidade, no cálculo da métrica. Usando-se os fatores dinâmicos, os roteadores IGRP podem tomar decisões com base nas condições atuais. Se um enlace ficar muito carregado ou pouco confiável, o IGRP irá aumentar a métrica das rotas que usam esse enlace. Rotas alternativas podem apresentar uma métrica inferior a da rota rebaixada, passando a ser usadas. O IGRP calcula a métrica pela adição dos valores ponderados de características diferentes do enlace à rede em questão. No exemplo a seguir, os valores de largura de banda, largura de banda dividida por carga e atraso são ponderados com as constantes K1, K2 e K3. Métrica = [K1 * Largura de banda + (K2 * Largura de banda)/256 – carga) + K3 * Atraso] * [K5/(confiabilidade + K4)] Os valores constantes padrão são K1 = K3 = 1 e K2 = K4 = K5 = 0, portanto. Se K5 = 0, o termo [K5/(reliability + K4)] não é usado. Dado os valores padrão de K1 a K5, o cálculo da métrica composta usada pelo IGRP se reduz a Métrica = Largura de banda + Atraso
9.1.7 Determinação do próximo salto da rota Os algoritmos de roteamento preenchem as tabelas com várias informações. Associações de destino/próximo salto informam ao roteador que um determinado destino pode ser alcançado corretamente pelo envio do pacote a um determinado roteador. Esse roteador representa o próximo salto no caminho até o destino final. Quando um roteador recebe um pacote, ele verifica o endereço de destino e tenta associar esse endereço ao próximo salto.
9.1.8 Determinação da última atualização de roteamento Use os seguintes comandos para encontrar a última atualização de roteamento: • •
show ip route show ip route address
121
• •
show ip protocols show ip rip database
9.1.9 Observação de vários caminhos para um destino Alguns protocolos de roteamento aceitam vários caminhos para um mesmo destino. Diferentemente dos algoritmos com um único caminho, esses algoritmos com vários caminhos possibilitam o tráfego em várias linhas, oferecem melhor throughput e são mais confiáveis. O IGRP supporta balanceamento de carga com caminhos de custos desiguais, o que é conhecido como variação. O comando variance instrui o roteador a incluir rotas com métrica n vezes menor do que a mínima métrica de rota para aquele destino, onde n é o número especificado pelo comando variance. A variável n pode ter valores entre 1 e 128, com o padrão sendo 1, o que significa balanceamento de carga igual. Rt1 tem duas rotas para a rede 192.168.30.0. O comando variance será configurado em Rt1, para garantir que ambas as rotas para a rede 192.168.30.0 sejam utilizadas.
A Figura mostra a saída do comando show ip route em Rt1 antes da variância ser configurada. Fast Ethernet 0/0 é a única rota para 192.168.30.0. Esta rota tem uma distância administrativa de 100 e métrica 8986.
A Figura mostra a saída do comando show ip route em Rt1 depois da variância ser configurada. A rota preferida é a interface FastEthernet 0/0, mas Serial 0/0 também será usada. Depois do comando variance ser executado, IGRP usará balanceamento de carga entre os dois links. A rota preferencial é a interface FastEthernet 0/0, mas a Serial 0/0 também é usada. Para verificar o balanceamento de carga, use o comando ping 192.168.30.1. Após a execução do comando ping, a rota preferencial passa a ser a interface Serial 0/0. O IGRP usará o balanceamento de carga entre os dois enlaces.
9.2 Testes de rede
122
9.2.1 Introdução aos testes de rede Os testes básicos de uma rede devem ser conduzidos em seqüência, de uma camada do modelo de referência OSI à seguinte. É melhor começar pela camada 1 e chegar até a camada 7, se necessário. Começando pela camada 1, busque problemas simples, como fios ligados na tomada. Os problemas mais comuns que ocorrem em redes IP resultam de erros no esquema de endereçamento. É importante testar a configuração de endereço antes de passar para as próximas etapas de configuração.
Cada teste apresentado nesta seção focaliza operações de rede em uma camada específica do modelo OSI. telnet e ping são dois comandos importantes usados para testar a rede
9.2.2 Abordagem estruturada para solução de problemas A solução de problemas é um processo que permite que o usuário identifique problemas na rede. Este processo deve ser baseado nos padrões de rede definidos pelo administrador de redes. A documentação é um aspecto muito importante do processo de solução de problemas. As etapas deste modelo são: Etapa 1 Coletar todas as informações disponíveis e analisar os sintomas de falha. Etapa 2 Localizar o problema no segmento de rede específico, no módulo ou unidade como um todo ou em um único usuário. Etapa 3 Isolar o problema como sendo especificamente de hardware ou software na unidade, no módulo ou na conta de rede do usuário. Etapa 4 Identificar e corrigir o problema específico. Etapa 5 Verificar se o problema foi resolvido. Etapa 6 Documentar o problema e a solução. Entretanto, é de extrema importância que se siga um processo organizado, para manter a rede funcionando bem e com eficiência. Usando uma abordagem estruturada para a solução de problemas, todos os membros da equipe de suporte saberão quais etapas cada um já concluiu para solucionar o problema. Se forem empregadas várias opções de solução de problemas, sem organização nem documentação, a solução não será eficiente. Mesmo que o problema seja resolvido nessas circunstâncias, será impossível aplicar a solução novamente em problemas similares no futuro.
9.2.3 Teste por Camada OSI 123
Os testes devem ser iniciados pela camada 1 do modelo OSI e chegar até a camada 7, se necessário. Os erros da camada 1 podem incluir: • • • • • • • • •
Cabos partidos Cabos desconectados Cabos conectados a portas incorretas Conexão de cabo intermitente Uso de cabos errados para a tarefa a ser executada (deve-se usar corretamente os cabos de conexão cruzada, rollovers e diretos) Problemas de transceiverr Problemas de cabos DCE Problemas de cabos DTE Dispositivos desligados
Os erros da camada 2 podem incluir: • • • • •
Interfaces seriais configuradas inadequadamente Interfaces Ethernet configuradas inadequadamente Conjunto de encapsulamento inadequado (o HDLC é padrão para as interfaces seriais) Definições de velocidade de clock inadequadas em interfaces seriais Problemas na placa de rede
Os erros da camada 3 podem incluir: • • • •
Protocolo de roteamento desativado Protocolo de roteamento errado ativado Endereços IP incorretos Máscaras de sub-rede incorretas
Se houver erros na rede, deve ser iniciado o processo de teste das camadas OSI. O comando ping é usado na camada 3 para testar a conectividade. Na camada 7, o comando telnet deve ser usado para verificar o software da camada de aplicação entre as estações de origem e de destino. Esses comandos serão discutidos em maior profundidade em outra seção 9.2.4 Solução de problemas da camada 1 com indicadores As luzes indicadoras são ferramentas úteis para a solução de problemas. A maioria das interfaces ou placas de rede apresenta luzes indicadoras, que mostram a existência de uma conexão válida. Essa luz costuma ser chamada de luz de link. A interface também pode apresentar luzes que indicam transmissão (TX) ou recepção (RX) de tráfego. Se as luzes estiverem indicando que a conexão não é válida, desligue o dispositivo e recoloque a placa de interface. Um cabo incorreto ou com falha também pode fazer com que a luz indique problemas de conexão ou link. Certifique-se de que todos os cabos estejam conectados às portas corretas. Certifique-se de que todas as conexões cruzadas estejam ligadas aos locais corretos, com cabos e métodos adequados. Verifique se as portas de switch ou de hub estão na VLAN ou no domínio de colisão corretos e têm as opções corretas definidas para spanning tree e outras considerações.
124
Verifique se o cabo correto está sendo usado. Pode ser preciso usar um cabo cruzado para estabelecer conexões diretas entre dois switches ou hubs ou entre dois hosts, como PCs ou roteadores. Verifique se o cabo da interface de origem está conectado corretamente e em boas condições. Caso haja dúvida sobre a conexão, recoloque o cabo e verifique se a conexão está segura. Tente substituir o cabo por outro que com certeza esteja funcionando. Se o cabo for conectado a uma tomada na parede, use um testador para verificar se a fiação da tomada está correta. Verifique também se algum transceiver está sendo usado, se é do tipo correto e se está conectado e configurado corretamente. Se a substituição do cabo não solucionar o problema, tente substituir o transceiver, se for o caso. Sempre verifique se o dispositivo está ligado. Sempre faça as verificações básicas antes de executar o diagnóstico ou adotar um procedimento de solução de problemas mais complexo.
9.2.5 Solução de problemas da camada 3 com o comando ping O comando ping é utilizado para testar a conectividade da rede. Como forma de auxiliar o diagnóstico da conectividade básica da rede, muitos protocolos de rede aceitam um protocolo de eco. Os protocolos de eco são usados para testar se os pacotes do protocolo estão sendo roteados. O comando ping envia um pacote para o host de destino e espera um pacote de resposta desse host. Os resultados desse protocolo de eco podem ajudar a avaliar a confiabilidade do caminho até o host, os atrasos ao longo desse caminho e se o host pode ser alcançado ou se está funcionando. A saída do comando ping exibe os tempos mínimo, médio e máximo consumidos para o pacote encontrar o sistema especificado e retornar. O comando ping usa o protocolo ICMP (Internet Control Message Protocol) para verificar a conexão de hardware e o endereço lógico da camada de rede. A figura mostra uma tabela com os tipos de mensagem ICMP. Esse é um mecanismo básico de teste de conectividade de rede.
125
Na figura , o destino 172.16.1.5 do comando ping respondeu com sucesso a todos os cinco datagramas enviados. Os pontos de exclamação (!) indicam cada eco bem sucedido. Se forem recebidos um ou mais pontos (.) em vez de exclamações, o aplicativo do roteador excedeu o tempo-limite esperando um determinado eco de pacote do destino do ping.
O seguinte comando ativa uma ferramenta de diagnóstico para testar a conectividade: Router#ping [protocol] {host | address} O comando ping testa as conexões da rede, enviando solicitações de eco ICMP a um host de destino, e monitora o tempo de resposta. O comando ping controla o número de pacotes enviados, o número de respostas recebidas e a porcentagem de pacotes perdidos. Ele também controla o tempo para que os pacotes chegassem ao destino e para que as respostas fossem recebidas. Essas informações permitem verificar a comunicação entre as estações de trabalho e os outros hosts, além de possíveis perdas de informação. O comando ping pode ser chamado pelos modos EXEC usuário e privilegiado. O comando ping pode ser usado para confirmar a conectividade de rede básica em redes AppleTalk, CLNS (ISO Connectionless Network Service ), IP, Novell, Apollo, VINES, DECnet ou XNS.
126
O uso do comando ping estendido faz com que o roteador execute uma gama mais extensa de opções de teste. Para usar o ping estendido, digite ping na linha de comando e pressione a tecla Enter sem digitar o endereço IP. Os prompts serão exibidos todas as vezes que a tecla Enter for pressionada. Estes prompts provém muitas outras opções além daquelas no ping padrão. É uma boa idéia usar o comando ping quando a rede está funcionando normalmente, para ver como o comando funciona em condições normais e ter, assim, um termo de comparação durante a solução de problemas.
9.2.6 Solução de problemas da camada 7 com Telnet Telnet é um protocolo de terminal virtual que faz parte do conjunto de protocolos TCP/IP. Ele possibilita a verificação do software da camada de aplicação entre as estações de origem e destino. Este é o mecanismo de teste mais completo que existe. O Telnet é usado normalmente para conectar dispositivos remotos, coletar informações e executar programas. O Telnet fornece um terminal virtual para conexão de roteadores com TCP/IP. Para a solução de problemas, é importante verificar se a conexão pode ser feita com Telnet. Isso prova que pelo menos uma aplicação TCP/IP pode conectar-se fim-a-fim. Uma conexão Telnet bem sucedida indica que o aplicativo de camada superior e os serviços das camadas inferiores estão funcionando corretamente. Se o administrador conseguir usar o Telnet em um roteador mas não em outro, verifique a conectividade da camada inferior. Se a conectividade foi verificada, é provável que a falha seja causada por problemas específicos de endereçamento, nomeação ou permissão de acesso. Esses problemas podem existir no roteador do administrador ou no roteador que falhou como destino do Telnet. Se o Telnet para um determinado servidor falhar de um host, tente conectar de um roteador e de outros dispositivos. Ao tentar usar o telnet, se o prompt de login não for exibido, verifique: •
•
•
Se é possível encontrar uma pesquisa do DNS no endereço do cliente. Muitos servidores Telnet não permitirão conexões de endereços IP que não tenham entrada no DNS. Esse é um problema comum de endereços atribuídos pelo DHCP, aos quais o administrador não adicionou entradas DNS para os pools DHCP. É possível que uma aplicação Telnet não consiga negociar as opções corretas e, portanto, não possa conectar-se. Em um roteador da Cisco, esse processo de negociação pode ser exibido pelo comando debug telnet. É possível que o Telnet tenha sido desativado ou removido para outra porta, que não seja a 23, no servidor de destino.
9.3 Visão geral da solução de problemas de roteadores 9.3.1 Solução de problemas da camada 1 com o comando show interfaces O IOS da Cisco contém um amplo conjunto de comandos para a solução de problemas. Dentre os mais usados estão os comandos show. Todos os aspectos do roteador podem ser exibidos por um ou mais comandos show. O comando show usado para verificar o status e as estatísticas das interfaces é o comando show interfaces. O comando show interfaces sem argumentos retorna status e estatísticas em todas as portas do roteador. show interfaces <interface name> retorna status e estatísticas somente da porta nomeada. Para exibir o status da serial 0/0, use o comando show interfaces serial0/0. O status de duas partes importantes das interfaces é exibido pelo comando show interfaces. Elas são a parte física (hardware) e a parte lógica (software). Elas podem ser relacionadas às funções das camadas 1 e 2.
127
O hardware inclui cabos, conectores e interfaces, mostrando a condição da conexão real entre os dispositivos. O status do software mostra o estado das mensagens, como keepalive, informações de controle e informações de usuário, que são passadas entre dispositivos adjacentes. Isso está relacionado à condição do protocolo da camada 2 passado entre duas interfaces de roteadores conectados. Esses elementos importantes da saída do comando show interfaces serial são exibidos como o status do protocolo de enlace e linha.
O primeiro parâmetro refere-se à camada de hardware e reflete essencialmente se a interface está recebendo o sinal Carrier Detect (CD) da outra extremidade da conexão. Se a linha está inativa, pode haver um problema no cabeamento, o equipamento em algum ponto do circuito pode estar desligado ou com falha ou uma das extremidades pode estar inativa administrativamente. Se a interface está inativa administrativamente, ela foi desabilitada manualmente na configuração. O comando show interfaces serial também fornece informações para auxiliar no diagnóstico de outros problemas na camada 1, que não sejam tão facilmente identificáveis. Um número crescente de contagens de transição de portadora em uma linha serial pode indicar a ocorrência de um ou mais dos seguintes problemas: • •
128
Interrupções na linha devido a problemas na rede do provedor. Falha de hardware do roteador, da DSU ou do switch.
Se um número crescente de erros de entrada for exibido na saída do comando show interfaces serial, há várias causas possíveis para tais erros. Alguns desses problemas relacionados à camada 1 são: • • • • • •
Falha no equipamento da companhia telefônica Linha serial com ruído Cabo incorreto ou de comprimento incorreto Conexão ou cabo danificados Defeito na CSU ou na DSU Defeito de hardware do roteador
Outra questão a ser examinada é o número de redefinições de interface. Elas são conseqüência de muitos keepalives perdidos. Os seguintes problemas de camada 1 podem provocar redefinições de interface: • •
Linha ruim, provocando transições de portadora Possíveis problemas de hardware na CSU, na DSU ou no switch
Se as transições de portadora e as redefinições de interface estiverem aumentando ou se os erros de entrada estiverem altos enquanto as redefinições de interface estiverem aumentando, é provável que o problema seja decorrente de uma linha ruim ou de defeito na CSU ou na DSU. O número de erros deve ser interpretado em relação ao volume de tráfego processado pelo roteador e o tempo em que as estatísticas foram capturadas. O roteador registra estatísticas que fornecem informações sobre a interface. As estatísticas refletem o funcionamento do roteador desde sua inicialização ou desde a última vez em que os contadores foram zerados. Se a saída do comando show interfaces mostrar que os contadores nunca foram zerados, use o comando show version para saber há quanto tempo o roteador está em operação. Use o comando clear counters para zerar os contadores. Após a correção de um problema, os contadores devem sempre ser zerados. Recomeçar do zero mostra com mais clareza o status atual da rede e ajuda a verificar se o problema foi realmente corrigido
9.3.2 Solução de problemas da camada 2 com o comando show interfaces O comando show interfaces é provavelmente a ferramenta mais importante para detectar problemas nas camadas 1 e 2 no roteador. O primeiro parâmetro (linha) refere-se à camada física. O segundo parâmetro (protocolo) indica se os processos IOS que controlam o protocolo de linha consideram a interface utilizável. Isso é determinado pelo recebimento bem sucedido dos keepalives. Os keepalives são mensagens enviadas por um dispositivo de rede para informar a outro dispositivo de rede que o circuito virtual entre eles continua ativo. Se a interface perder três keepalives seguidos, o protocolo de linha será marcado como inativo. Quando a linha está inativa, o protocolo está sempre inativo, porque não há mídia utilizável para o protocolo da camada 2. Isso se aplica quando a interface está inativa devido a problemas de hardware ou quando ela está administrativamente inativa. Se a interface estiver ativa e o protocolo de linha estiver inativo, existe um problema na camada 2. Algumas das possíveis causas são:
129
• • •
Falta de keepalives Falta de taxa de clock Incompatibilidade do tipo de encapsulamento
O comando show interfaces serial deve ser usado após a configuração de uma interface serial, para verificar as alterações e se a interface está funcionando.
9.3.3 Solução de problemas com o comando show cdp O CDP (Cisco Discovery Protocol) divulga informações sobre o dispositivo aos vizinhos diretos, incluindo endereços MAC e IP e interfaces de saída.
A saída do comando show cdp neighbors exibe informações sobre os vizinhos Cisco conectados diretamente. Essas informações são úteis para solução de problemas de conectividade. Em caso de suspeita de problema de cabeamento, ative a interface com o comando no shutdown e execute o comando show cdp neighbors detail antes de fazer qualquer outra configuração. O comando exibe detalhes sobre um determinado dispositivo, como interfaces ativas, ID da porta e o dispositivo. A versão do IOS da Cisco que está sendo executada nos dispositivos remotos também é mostrada. Se a camada física está funcionando corretamente, todos os outros dispositivos Cisco conectados diretamente devem ser exibidos. Se os dispositivos conhecidos não são exibidos, deve haver um problema na camada 1. Uma questão relevante com o CDP é a segurança. A quantidade de informações fornecidas pelo CDP é tão extensa que ele pode representar uma brecha de segurança. Por motivos de segurança, o CDP deve ser configurado somente em links entre dispositivos Cisco e desativado em portasde usuários ou links que não sejam gerenciados localmente.
9.3.4 Solução de problemas com o comando traceroute
130
O comando traceroute é usada para descobrir as rotas usadas pelos pacotes para chegar ao destino. O comando traceroute é frequentemente referido como trace em materiais de referência. Porém, a sintaxe correta do comando é traceroute. O traceroute também pode ser usado para auxiliar o teste da camada de rede (camada 3) com base nos saltos e fornecer avaliações de desempenho. A saída do comando traceroute gera uma lista de saltos que foram alcançados com sucesso. Se os dados chegam ao destino pretendido corretamente, a saída indica todos os roteadores pelos quais o datagrama passou. Essa saída pode ser capturada e usada futuramente na solução de problemas de internetwork. A saída do traceroute também indica o salto específico em que a falha está ocorrendo. Para cada roteador do caminho é gerada uma linha de saída no terminal indicando ao endereço IP da interface em que os dados entraram. Um asterisco (*) indica que houve falha do pacote. Conhecendo o último salto bom da saída do traceroute e comparando-o ao diagrama de internetwork, a área do problema pode ser isolada.
O traceroute também fornece informações sobre o desempenho relativo dos links. O RTT (round trip time) é o tempo necessário para enviar um pacote e receber a resposta. Isso é útil para se ter uma idéia aproximada do atraso no link. Esses números não são precisos o suficiente para serem usados em uma avaliação de desempenho rigorosa. No entanto, essa saída pode ser capturada e usada futuramente na solução de problemas de internetwork. O traceroute envia uma seqüência de datagramas UDP (User Datagram Protocol) do roteador para um endereço de porta inválido no host remoto. Para que os dados dos comandos traceroute ou ping façam o trajeto completo entre os roteadores, é preciso que haja roteadores conhecidos em ambas as direções. Uma falha na resposta nem sempre indica um problema porque as mensagens ICMP podem ter limitação de velocidade ou ser filtradas no host. Isso se aplica especialmente à internet. O traceroute envia uma seqüência de datagramas UDP (User Datagram Protocol) do roteador para um endereço de porta inválido no host remoto. Para a primeira seqüência de três datagramas enviada, o valor do campo TTL (Time-To-Live) é definido como um. O valor de TTL 1 faz com que o datagrama exceda o tempo limite no primeiro roteador do caminho. Esse roteador, então, envia uma mensagem ICMP de tempo excedido (TEM), indicando que o datagrama expirou. Outras três mensagens UDP são enviadas, agora com o TTL definido como 2. Isso faz com que o segundo roteador retorne a mensagem ICMP TEM. Esse processo continua até que os pacotes efetivamente cheguem ao outro destino ou até que o máximo TTL seja alcançado. O máximo valor padrão para o TTL no traceroute é 30. Como os datagramas estão tentando acessar uma porta inválida no host de destino, são retornadas mensagens ICMP de que a porta não pode ser alcançada, em vez de mensagens de tempo excedido. Isso indica uma porta que não pode ser alcançada e sinaliza o programa traceroute, concluindo o processo.
131
9.3.5 Solução de problemas de roteamento Os comandos show ip protocols e show ip route exibem informações sobre os protocolos e a tabela de roteamento. A saída desses comandos pode ser usada para verificar a configuração do protocolo de roteamento. O comando show ip route é provavelmente o mais importante para a solução de problemas de roteamento. Ele exibe o conteúdo da tabela de roteamento IP. A saída do comando show ip route mostra as entradas referentes a todas as redes e sub-redes e como as informações foram obtidas.
Caso haja um problema para acessar um host em uma determinada rede, a saída do comando show ip route pode ser usada para verificar se o roteador tem uma rota para essa rede. Se a saída do comando não mostra as rotas esperadas ou nenhuma rota, é provável que não esteja havendo troca de informações de roteamento. Nesse caso, use o comando show ip protocols no roteador para verificar se há um erro de configuração do protocolo de roteamento. O comando show ip protocols exibe valores referentes a informações do protocolo de roteamento IP em todo o roteador. Esse comando pode ser usado para confirmar quais protocolos estão configurados, quais redes estão sendo anunciadas. quais interfaces estão enviando atualizações e as origens das atualizações de roteamento. A saída do comando show ip protocols também mostra os timers, os filtros, o resumo da rota, a redistribuição da rota e outros parâmetros específicos a cada protocolo que esteja ativado no roteador. Quando há vários protocolos configurados, as informações são listadas em seções separadas.
132
A saída do comando show ip protocols pode ser usada no diagnóstico de vários problemas de roteamento, incluindo a identificação de roteadores suspeitos de fornecer informações incorretas. Ele pode ser usado para confirmar se os protocolos esperados, as redes anunciadas e os vizinhos de roteamento estão presentes. Como em qualquer procedimento de solução de problemas, a identificação do problema fica dificultada, se não impossibilitada, caso não haja documentação indicando o que era esperado.
9.3.6 Solução de problemas com o comando show controllers Muito freqüentemente, a configuração e a solução de problemas de roteadores é feita remotamente, impossibilitando a verificação física das conexões. O comando show controllers é útil para a determinação do tipo de cabo conectado sem que seja preciso inspecioná-los. Pela avaliação da saída do comando show controllers, é possível determinar o tipo de cabo detectado pelo controlador. Isso é importante para encontrar a interface serial que está sem cabo ou com cabo incorreto ou defeituoso.
133
O comando show controllers serial 0/0 consulta o circuito integrado (chip) que controla a interface serial e exibe as informações relativas à interface física serial 0/0. Essa saída varia de um chip controlador para outro. Mesmo em um único tipo de roteador, podem ser usados diferentes chips controladores. Independentemente do tipo de controlador, o comando show controllers serial gera um grande volume de saída. Além do tipo de cabo, a maior parte dessa saída apresenta detalhes técnicos internos sobre o status do chip controlador. Sem conhecimento específico sobre o circuito integrado, essas informações têm pouca utilidade
9.3.7 Introdução ao comando debug Os comandos debug auxiliam o isolamento de problemas de configuração e protocolo. O comando debug é usado para exibir eventos e dados dinâmicos. Como os comandos show exibem somente informações estatísticas, eles apresentam um histórico do funcionamento do roteador. O uso do comando debug traz mais informações sobre os eventos atuais do roteador. Esses eventos podem ser tráfego em uma interface, mensagens de erro geradas pelos nós da rede, pacotes de diagnóstico específicos ao protocolo e outros dados relevantes para a solução de problemas. A saída dinâmica do comando debug afeta o desempenho, provocando uma sobrecarga do processador, que pode comprometer o funcionamento normal do roteador. Por esse motivo, o comando debug deve ser usado com reservas. Use os comandos debug para examinar tipos de tráfego ou problemas após algumas causas prováveis terem sido avaliadas; esses comandos devem ser usados para isolar problemas e não para monitorar a operação normal da rede.
ADVERTÊNCIA: Advertência: O comando debug all deve ser usado moderadamente, já que pode afetar o funcionamento do roteador. Na configuração padrão, o roteador envia a saída do debug e as mensagens do sistema para o console. Caso uma sessão telnet esteja sendo usada para examinar o roteador, a saída do debug e as mensagens do sistema podem ser redirecionadas para o terminal remoto. Para isso, use o comando terminal monitor na sessão Telnet. É preciso ter atenção redobrada ao usar os comandos debug nas sessões Telnet. Não deve ser selecionado nenhum comando que faça com que a saída do debug gere mais tráfego, aumentando, assim, a saída do debug. Se isso ocorrer, a sessão Telnet irá saturar o link rapidamente com tráfego ou o roteador irá
134
esgotar um ou mais recursos. Uma boa regra a seguir para evitar essa recorrência de tráfego é "nunca usar o debug em uma atividade na porta em que a sessão está estabelecida". A saída dos diferentes comandos debug varia. Alguns geram várias linhas com freqüência, enquanto outros geram uma ou duas linhas de poucos em poucos minutos. O comando a seguir configura um timestamp que mostra hora:minuto:segundo da saída, tempo decorrido desde a última vez em que o roteador foi ligado e quando o comando reload foi executado: GAD(config)#service timestamps debug uptime A saída deste comando é útil para determinar o tempo decorrido entre eventos. Para determinar quanto tempo se passou desde a última ocorrência do evento de debug, o tempo desde o último reload tem que ser usado como referência. Este tempo pode ser encontrado com o comando show version. Um uso mais prático de timestamps é fazer com que ele mostre a hora e data que o evento ocorreu. Isto simplifica o processo de determinar a última ocorrência de um evento de debug. Isto é feito utilizando a opção datetime: GAD(config)#service timestamps debug datetime localtime Observe que este comando só é útil se o relógio (clock) estiver configurado no roteador. Caso contrário, o timestamp exibido na saída do debug não é um horário correto. Para garantir que os timestamps estão corretos, o relógio do roteador deve ser configurado com o horário correto no modo EXEC privilegiado com o seguinte comando: GAD#clock set 15:46:00 3 May 2004 OBSERVAÇÃO: Observação: Em algumas plataformas Cisco, o relógio do roteador não possui bateria, então o relógio do sistema precisará ser reconfigurado após a reinicialização do roteador ou uma falha de energia. Os comandos no debug all ou undebug all desativam toda a saída de diagnóstico. Para desativar um determinado comando de debug, use a forma no (não) desse comando. Por exemplo: se o debug para monitorar o RIP foi ativado pelo comando debug ip rip, ele pode ser desativado pelo comando no debug ip rip. Para exibir o que está sendo examinado no momento por um comando debug, use o comando show debugging
Resumo
135
Os seguintes conceitos principais devem ter sido compreendidos: • • • • • • • • • • • • • • • • • • • •
O comando show ip route Determinação do gateway de último recurso Determinação de origem de rota e de endereço de destino Determinação da distância administrativa de rota Determinação da métrica de rota Determinação do próximo salto de rota Determinação da última atualização de rota Observação de vários caminhos para um destino Abordagem estruturada para solução de problemas Teste por Camada OSI Solução de problemas da camada 1 com indicadores Solução de problemas da camada 3 com o comando ping Solução de problemas da camada 7 com Telnet Solução de problemas da camada 1 com o comando show interfaces Solução de problemas da camada 2 com o comando show interfaces Solução de problemas com o comando show cdp Solução de problemas com o comando traceroute Solução de problemas de roteamento com os comandos show ip route e show ip protocols Solução de problemas com o comando show controllers serial Solução de problemas com os comandos debug
Visão Geral
136
Módulo 10 - TCP/IP intermediário
Os roteadores usam as informações de endereço IP (Protocolo Internet) do cabeçalho de um pacote para determinar a interface para onde esse pacote deve ser comutado a fim de ficar mais próximo do seu destino. Como o IP não oferece nenhum serviço que ajude a garantir que o pacote realmente atinja o destino, ele é descrito como um protocolo não confiável, sem conexão, que usa entrega de melhor esforço. Se os pacotes forem descartados no caminho, chegarem fora de ordem ou forem transmitidos mais rápido do que o receptor pode aceitá-los, o IP sozinho não consegue corrigir o problema. Para solucionar esses problemas, o IP conta com o TCP (Transmission Control Protocol – Protocolo de Controle da Transmissão). Este módulo descreve o TCP e suas funções e apresenta o UDP, outro importante protocolo da camada 4. Cada camada do modelo de rede OSI tem várias funções. Essas funções são independentes das outras camadas. Cada camada espera receber serviços da camada abaixo dela e oferece certos serviços à camada acima dela. As camadas de aplicação, apresentação e sessão do modelo OSI, que são consideradas parte da camada de aplicação no modelo TCP/IP, acessam os serviços da camada de transporte através de entidades lógicas chamadas portas. Este módulo apresentará o conceito de portas e explicará a importância fundamental das portas e dos números de portas para as redes de dados. Ao concluírem este módulo, os alunos deverão ser capazes de: • • • • • • • •
Descrever o TCP e sua função; Descrever a sincronização e o controle de fluxo do TCP; Descrever a operação e os processos do UDP; Identificar números de porta comuns; Descrever várias conversas entre hosts; Identificar as portas usadas para serviços e clientes; Descrever a numeração das portas e as portas conhecidas; Entender as diferenças e a relação entre endereços MAC, endereços IP e números de portas.
10.1 Operação do TCP 10.1.1 Operação do TCP Os endereços IP permitem o roteamento de pacotes entre as redes. Entretanto, o IP não oferece garantia de entrega. A camada de transporte é responsável pelo transporte e pela regulação confiáveis do fluxo de dados da origem para o destino. Isso é realizado por meio das janelas móveis e dos números de seqüência, juntamente com um processo de sincronização que garante que cada host está pronto e interessado em se comunicar. Para entender a confiabilidade e o controle de fluxo, imagine um aluno que estude um idioma estrangeiro durante um ano. Agora, imagine que esse aluno visite um país onde o idioma é falado. Nas conversas, ele precisa pedir que as pessoas repitam as palavras (para fins de confiabilidade) e que falem pausadamente para que ele possa entender as palavras (controle de fluxo). A camada de transporte, a camada 4 do modelo OSI, oferece esses serviços para a camada 5, através do TCP.
10.1.2 Sincronização ou handshake triplo O TCP é um protocolo orientado a conexões. Antes da transmissão dos dados, os dois hosts comunicantes entram em um processo de sincronização para estabelecer uma conexão virtual para cada seção entre dois hosts. O processo de sincronização garante que os dois lados estão prontos para a transmissão dos dados e permite que os dispositivos determinem os números da seqüência inicial para aquela seção. Esse processo é conhecido por handshake (aperto de mão) triplo. É um processo em três etapas, que estabelece a conexão virtual entre os dois dispositivos. É importante observar que o handshake triplo é iniciado pelo cliente. Para estabelecer uma seção TCP, o cliente irá usar um número de porta conhecido que corresponde ao serviço que ele deseja contactar no servidor.
137
•
•
•
Na primeira etapa, o host iniciador (cliente) envia um pacote de sincronização (com a flag SYN ligada) para iniciar a conexão. Isto indica que o pacote tem um valor de número de seqüência inicial válido neste segmento para esta seção de x. O bit SYN ligado no cabeçalho indica um pedido de conexão. O bit SYN é um único bit no campo de código do cabeçalho de um segmento TCP. O Número de Seqüência é um campo de 32 bits no cabeçalho do segmento TCP. Na segunda etapa, o outro host recebe o pacote, grava o número de seqüência x do cliente, e responde com uma confirmação (flag ACK ligada). O bit de controle ACK ligado indica que o campo de Número de Confirmação contém um valor de confirmação válido. A flag ACK é um único bit no campo de código do cabeçalho do segmento TCP e o Número de confirmação é um campo de 32 bits no cabeçalho do segmento TCP. Assim que a conexão é estabelecida, a flag de ACK será ligada para todos os segmentos durante a seção. O campo de N úmero de confirmação contém o próximo número de seqüência que este host está esperando receber (x + 1). O número de confirmação x + 1 significa que o host recebeu todos os octetos até x, inclusive, e que está esperando o byte x + 1 em seguida. O host também inicia uma seção de retorno. Isto inclui um segmento TCP com o seu próprio Número de Seqüência de valor y e a flag SYN ligada. Na etapa três, o host que iniciou a comunicação responde com um Número de Confirmação simples de valor y + 1, que é o valor do número de seqüência do host B + 1. Isto indica que recebeu a ACK anterior e finaliza o processo de conexão para essa seção.
É importante entender que os números de seqüência inicias são parte do início da comunicação entre os dois dispositivos. Eles atuam como números iniciais de referência entre os dois dispositivos. Os números de seqüência dão a cada host uma maneira de confirmar , para que o receptor saiba que o emissor está respondendo à solicitação de conexão adequada.
10.1.3 Ataques de recusa de serviço Ataques DoS têm a intenção de negar serviços a hosts legítimos que tentam estabelecer conexões. Os ataques DoS são um método comum utilizado por hackers para bloquear a resposta do sistema. Um tipo de DoS é conhecido como inundação SYN (SYN flooding). A inundação SYN explora o handshake triplo normal, fazendo com que os dispositivos atingidos enviem confirmações para endereços de origem que não completam o handshake. O handshake triplo é iniciado quando o primeiro host envia um pacote de sincronização (SYN). Esse pacote SYN inclui o endereço IP de origem e o endereço IP de destino. As informações dos endereços de origem e de destino são usadas pelo destinatário para devolver o pacote ACK para o dispositivo emissor.
138
Em um ataque DoS, o hacker inicia a sincronização de uma conexão através de um SYN, mas falsifica o endereço IP de origem. "Spoofing" é um termo utilizado quando se falsifica alguma informação, como o endereço IP, para esconder a localização e identidade de alguém. Neste caso, uma vez que o endereço da origem do pacote foi alterado para um endereço inexistente, o qual não pode ser alcançado (unreachable), a sessão TCP é colocada no estado de espera (wait) até que a conexão termine por tempo esgotado (timeout). Esse estado de espera exige que o dispositivo atacado reserve recursos do sistema, como memória, até que o temporizador da conexão exceda o tempo limite. Os hackers inundam o host atacado com essas solicitações SYN falsas, consumindo todos os seus recursos disponíveis para as conexões, impedindo que responda a solicitações de conexão legítimas. Para se proteger desses ataques, os administradores do sistema podem reduzir o tempo limite da conexão e aumentar o tamanho da fila de conexões. Também existem softwares que detectam esses tipos de ataques e iniciam medidas defensivas.
10.1.4 Janelamento e tamanho da janela A quantidade de dados que precisa ser transmitida geralmente é muito grande para ser enviada em um único segmento de dados. Nesse caso, os dados precisam ser quebrados em pedaços menores para permitir uma transmissão adequada. O TCP é responsável por quebrar os dados em segmentos. Esse processo pode ser comparado a como as crianças são alimentadas. A comida deve ser cortada em pequenos pedaços, de forma que possam ser acomodados na boca da criança. Além disso, as máquinas receptoras podem não ser capazes de receber os dados numa velocidade tão rápida quanto a origem consegue enviar, talvez porque o dispositivo receptor está ocupado com outras tarefas ou simplesmente porque o emissor é um dispositivo mais robusto. Uma vez segmentados, os dados devem ser transmitidos para o dispositivo de destino. Um dos serviços fornecidos pelo TCP é o controle de fluxo, que regula a quantidade de dados que é enviada durante um determinado período de transmissão. O processo de controle do fluxo é conhecido como janelamento.
139
O tamanho da janela determina a quantidade de dados que pode ser transmitida de uma vez antes que o destino responda com uma confirmação. Depois que um host transmite o número de bytes do tamanho da janela, o host precisa receber uma confirmação de que os dados foram recebidos, antes de poder enviar mais dados. Por exemplo, se o tamanho da janela for 1, cada byte precisa ser confirmado antes do próximo byte ser enviado. O TCP utiliza o janelamento para determinar dinamicamente o tamanho da transmissão. Equipamentos negociam o tamanho da janela para permitir que um número específico de bytes seja transmitido antes do reconhecimento. Este processo de variar dinamicamente o tamanho da janela aumenta a confiabilidade. O tamanho da janela pode variar dependendo das confirmações.
10.1.5 Números de seqüência O TCP quebra os dados em segmentos. Em seguida, os segmentos de dados são transportados do emissor para o receptor, seguindo o processo de sincronização e a negociação de um tamanho de janela, que determina a quantidade de bytes que pode ser transmitida de uma única vez. Os segmentos de dados que estão sendo transmitidos precisam ser remontados quando todos os dados forem recebidos. Não há garantia de que os dados chegarão na ordem em que foram transmitidos. O TCP aplica números de seqüência aos segmentos de dados que está transmitindo, para que o receptor seja capaz de remontar adequadamente os bytes na ordem original. Se os segmentos do TCP chegarem fora de ordem, eles podem ser montados de maneira incorreta. Os números de seqüência indicam ao dispositivo de destino a ordem correta em que os bytes devem ser colocados quando forem recebidos. Esses números de seqüência também funcionam como números de referência, para que o receptor saiba se recebeu todos os dados. Eles também identificam os pedaços de dados que faltam para o emissor, para que ele possa transmiti-los novamente. Isso oferece mais eficiência, já que o emissor só precisa retransmitir os segmentos que faltam, em vez de todo o conjunto de dados.
140
Cada segmento TCP é numerado antes da transmissão. Observe que após a porta de destino no formato do segmento está a parte do número de seqüência. Na estação receptora, o TCP usa os números de seqüência para reagrupar os segmentos em uma mensagem completa. Se um número de seqüência estiver faltando na série, esse segmento é retransmitido.
10.1.6 Confirmações Positivas A confirmação é uma etapa comum no processo de sincronização, que inclui janelas móveis e seqüenciamento de dados. Em um segmento TCP, o campo do número de seqüência é seguido pelo campo do número de confirmação. É nesse campo que são indicados o rastreamento de bytes transmitidos e recebidos. Um problema do protocolo IP é que não existe método de verificação para determinar se os segmentos de dados realmente chegaram no destino. Assim, os segmentos de dados podem ser encaminhados constantemente sem que se saiba se eles foram efetivamente recebidos ou não. O TCP utiliza confirmação positiva e retransmissão para controlar o fluxo de dados e confirmar a entrega de dados.Confirmação positiva e retransmissão (PAR) é uma técnica comum usada por muitos protocolos para fornecer confiabilidade. Com a PAR, a origem envia um pacote, aciona um temporizador e espera por uma confirmação antes de enviar o próximo pacote da seção. Se o temporizador expirar antes que a origem receba uma confirmação, a origem retransmite o pacote e inicia novamente o temporizador. A confirmação é obtida através do valor do Número de Confirmação e da flag ACK ligada no cabeçalho TCP. O TCP usa confirmações esperadas, nas quais o número da confirmação refere-se ao próximo octeto esperado como parte da seção TCP. O janelamento é um mecanismo de controle de fluxo que exige que o dispositivo de origem receba uma confirmação do destino depois de transmitir uma determinada quantidade de dados. Com um tamanho de janela igual a 3, o dispositivo de origem pode enviar três octetos ao destino. Em seguida, deve esperar por uma confirmação destes bytes. Se o destino receber os três octetos, ele enviará uma confirmação ao dispositivo de origem, que poderá, então, transmitir mais três octetos. Se o destino não receber os três octetos, ele não envia uma confirmação. Isto pode acontecer devido a sobrecarga de buffers ou pacotes perdidos em trânsito. Como a origem não recebe uma notificação, ela sabe que os octetos devem ser retransmitidos e que o tamanho da janela deve ser reduzido. A redução do tamanho da janela provê menos bytes para o host destino processar em seus buffers, antes que mais dados cheguem. Isto efetivamente faz com a comunicação entre os dois hosts fique mais lenta, e provê maior confiabilidade entre os mesmos
141
10.1.7 Operação do UDP A pilha do protocolo TCP/IP contém muitos protocolos diferentes, cada um destinado a realizar uma certa tarefa. O IP fornece transporte de camada 3 sem conexão através de uma interrede. O TCP permite uma transmissão de pacotes confiável, orientada a conexões, na camada 4 do modelo OSI. O UDP fornece um serviço de transmissão de pacotes sem conexão e não confiável na camada 4 do modelo OSI. Tanto o TCP quanto o UDP usam o IP como protocolo subjacente da camada 3. Além disso, o TCP e o UDP são usados por diversos protocolos da camada de aplicação. O TCP fornece serviços para os aplicativos, tais como FTP, HTTP, SMTP e DNS. O UDP é o protocolo da camada de transporte usado pelo DNS, TFTP, SNMP e DHCP.
O TCP deve ser usado quando os aplicativos precisam garantir que um pacote chegue intacto, em seqüência e não duplicado. Às vezes, a sobrecarga associada à garantia de que o pacote será entregue é um problema ao se usar o TCP. Nem todos os aplicativos precisam garantir a entrega do pacote de dados; portanto, eles usam o mecanismo de entrega sem conexão, mais rápido, oferecido pelo UDP. O padrão do protocolo UDP, descrito na RFC 768, é um protocolo simples que troca segmentos, sem confirmações nem entrega garantida. O UDP não usa janelamento nem confirmações; portanto, os protocolos da camada de aplicação precisam fornecer a detecção de erros. O campo "Porta de origem" é um campo opcional usado somente se as informações precisarem voltar ao host emissor. Quando um roteador de destino recebe uma atualização de roteamento, o roteador de origem não está solicitando nada, portanto nada precisa voltar à origem. O campo "Porta de destino" especifica o aplicativo para o qual o UDP precisa passar os dados. Uma solicitação DNS de um host para um servidor DNS teria um campo "Porta de destino" igual a 53, o número da porta UDP para o DNS. O campo "Comprimento" identifica a quantidade de octetos no segmento UDP. A checksum (soma de verificação) do UDP é opcional, mas deve ser usada para garantir que os dados não foram danificados durante a transmissão. Para o transporte através da rede, o UDP é encapsulado dentro do pacote IP.
142
Quando um segmento UDP chega ao endereço IP de destino, deve existir um mecanismo que permita que o host receptor determine o aplicativo de destino exato. As portas de destino são usadas com essa finalidade. Se um host estiver executando tanto os serviços de TFTP como de DNS, ele deve ser capaz de determinar o serviço de que os segmentos UDP necessitam. O campo "Porta de destino" do cabeçalho UDP determina o aplicativo ao qual o segmento UDP é entregue.
10.2 Visão geral das portas da camada de transporte 10.2.1 Várias conversas entre hosts Em um dado momento qualquer, milhares de pacotes com centenas de serviços diferentes atravessam uma rede de modem. Em muitos casos, os servidores oferecem uma infinidade de serviços, o que causa problemas únicos para o endereçamento dos pacotes. Se um servidor está executando tanto SMTP como HTTP, ele usa o campo da porta de destino para determinar qual serviço está sendo solicitado pela origem. A origem não pode construir um pacote destinado apenas ao endereço IP do servidor, porque o destino não saberia qual serviço estava sendo solicitado. Um número de porta precisa estar associado à conversa entre os hosts para garantir que o pacote atinja o serviço apropriado no servidor. Sem uma maneira de distinguir entre diferentes conversas, o cliente não seria capaz de enviar um e-mail e navegar até uma página da Web usando um único servidor ao mesmo tempo. Deve-se usar um método para separar as conversas da camada de transporte. Os hosts que executam TCP/IP associam as portas da camada de transporte a certos aplicativos. Os números de porta são usados para manter registro de diferentes conversas que cruzam a rede ao mesmo tempo. Os números de porta são necessários quando um host está se comunicando-se com um servidor que executa vários serviços. Tanto o TCP quanto o UDP usam números de porta ou soquete para passar informações às camadas superiores. Os desenvolvedores de aplicativos de software concordaram em usar os números de portas conhecidos, que estão definidos na RFC1700. Toda conversa destinada ao aplicativo FTP usa o número de porta padrão 21. As conversas que não envolvem aplicativos com números de porta conhecidos recebem números de porta selecionados aleatoriamente em um intervalo específico. Esses números de portas são usados como endereços de origem e destino no segmento TCP. Os números de portas têm os seguintes intervalos atribuídos: • • •
As portas conhecidas (well known ports) são as de 0 a 1023 As portas registradas (well known ports) são as de 1024 a 49151 As portas dinâmicas e/ou privadas são as de 49152 a 65535.
Os sistemas que iniciam as requisições de uma nova conexão usam números de portas para selecionar os aplicativos corretos. Os números de porta de origem para estas requisições são atribuídos dinamicamente pelo host que originou a comunicação e, normalmente, são números maiores do que 1023. Os números de porta no intervalo 0-1023 são considerados números de porta públicos e são controlados pela IANA (Internet Assigned Numbers Authority – Autoridade de Números Atribuídos da Internet). Os números usados nas caixas postais dos correios são uma boa analogia para os números de portas. Uma correspondência pode ser enviada para um CEP, cidade e caixa postal. O CEP e a cidade encaminham a correspondência para a agência de triagem correta dos correios,
143
enquanto a caixa postal garante que o item será entregue para o indivíduo específico ao qual se destina. Da mesma forma, o endereço IP leva o pacote ao servidor correto, mas o número de porta TCP ou UDP garante que o pacote seja entregue ao aplicativo correto.
10.2.2 Portas para serviços Os serviços em execução nos hosts precisam ter um número de porta atribuído a eles para que possa ocorrer comunicação. Um host remoto que tente se conectar a um serviço espera que esse serviço use protocolos e portas específicos da camada de transporte. Algumas portas, definidas na RFC 1700, são chamadas de portas conhecidas e são reservadas tanto no TCP como no UDP. Essas portas conhecidas definem os aplicativos que são executados acima dos protocolos da camada de transporte. Por exemplo, um servidor que execute o serviço FTP encaminha as conexões TCP que usam as portas 20 e 21 dos clientes para seu aplicativo FTP. Dessa maneira, o servidor pode determinar exatamente qual serviço está sendo solicitado por um cliente. O TCP e o UDP usam números de porta para determinar o serviço correto ao qual as solicitações são encaminhadas
10.2.3 Portas para clientes Sempre que um cliente conecta-se a um serviço em um servidor, portas de origem e de destino precisam ser especificadas. Os segmentos TCP e UDP contêm campos para as portas de origem e de destino. As portas de destino, ou portas de serviços, normalmente são definidas usando-se as portas conhecidas. As portas de origem definidas pelo cliente são determinadas dinamicamente. Em geral, um cliente determina a porta de origem atribuindo aleatoriamente um número acima de 1023. Por exemplo, um cliente que está tentando comunicar-se com um servidor Web usa o TCP e atribui 80 para a porta de destino e 1045 para a porta de origem. Quando o pacote chega ao servidor, ele passa para a camada de transporte e, finalmente, para o serviço HTTP, que opera na porta 80. O servidor HTTP responde à solicitação do cliente com um segmento que usa a porta 80 como origem e a porta 1045 como destino. Dessa maneira, clientes e servidores usam portas para distinguir o processo ao qual o segmento está associado.
10.2.4 Numeração das portas e números de portas conhecidos Os números de portas são representados por 2 bytes no cabeçalho de um segmento TCP ou UDP. Esse valor de 16 bits faz com que os números das portas variem de 0 a 65535. Os números de portas são divididos em três categorias: portas conhecidas, portas registradas e portas dinâmicas ou privadas. As primeiras 1023 portas são portas conhecidas. Como o nome indica, essas portas são usadas para serviços de rede conhecidos, tais como FTP, Telnet ou DNS. As portas registradas variam de 1024 a 49151. As portas entre 49152 e 65535 são definidas como portas dinâmicas ou privadas
10.2.5 Exemplo de várias sessões entre hosts Os números de portas são usados para rastrear as várias sessões que podem ocorrer entre os hosts. Os números de portas de origem e de destino combinam-se com o endereço de rede para formar um soquete. Um par de soquetes, um em cada host, forma uma conexão exclusiva. Por exemplo, um host pode ter uma conexão Telnet, porta 23, e estar navegando na Internet ao mesmo tempo, porta 80. Os endereços IP e MAC seriam os mesmos, porque os pacotes estão vindo do mesmo host. Portanto, cada conversa no lado da origem precisa do seu próprio número de porta, e cada serviço solicitado também precisa de seu próprio número de porta.
144
10.2.6 Comparação entre endereços MAC, endereços IP e números de portas Esses três métodos de endereçamento geralmente se confundem, mas essa confusão pode ser evitada se os endereços forem explicados em relação ao modelo OSI. Os números de portas estão localizados na camada de transporte e são fornecidos pela camada de rede. A camada de rede atribui o endereço lógico (endereço IP) e, em seguida, é atendida pela camada de enlace, que atribui o endereço físico (endereço MAC). Pode-se fazer uma boa analogia com uma carta convencional. O endereço de uma carta consiste em um nome, logradouro, cidade e estado. Essas informações podem ser comparadas à porta, ao endereço MAC e ao endereço IP usados para os dados de rede. O nome no envelope seria equivalente ao número de porta, o logradouro seria o MAC e a cidade e o estado seriam o endereço IP. Várias cartas podem ser enviadas para o mesmo logradouro, cidade e estado, mas contêm diferentes nomes no envelope. Por exemplo, duas cartas poderiam ser enviadas para a mesma casa, uma delas endereçada a "John Doe" e a outra a "Jane Doe". Isso é o mesmo que várias sessões com diferentes números de portas
Resumo Devem ter sido compreendidos os importantes conceitos a seguir: • • • • • • • • • • • • •
Descrição da operação do TCP; Processo de sincronização (handshake triplo); Ataques de recusa de serviço; Janelamento e tamanho da janela; Números de seqüência; ACK positiva; Operação do UDP; Várias conversas entre hosts; Portas para serviços; Portas para clientes; Numeração de portas e portas conhecidas; Exemplo de várias sessões entre hosts; Comparação entre endereços MAC, endereços IP e números de portas.
145
Módulo 11 - Listas de Controle de Acesso (ACLs) Visão Geral Os administradores de rede devem encontrar uma maneira de negar o acesso não desejado à rede e, ao mesmo tempo, permitir que os usuários internos tenham acesso adequado aos serviços necessários. Apesar da utilidade das ferramentas de segurança, tais como senhas, equipamento de callback e dispositivos físicos de segurança, elas não possuem a flexibilidade da filtragem básica de tráfego e os controles específicos que a maioria dos administradores desejam. Por exemplo, um administrador de rede talvez queira permitir que os usuários acessem a Internet, mas não permitir o acesso via Telnet de usuários externos para a LAN. Os roteadores fornecem recursos básicos de filtragem, como bloqueio de tráfego da Internet, com as listas de controle de acesso (ACLs). Uma ACL é uma lista seqüencial de instruções de permissão ou de recusa que se aplica a endereços ou a protocolos das camadas superiores. Este módulo apresentará as ACLs padrão e estendidas como meio de controle do tráfego na rede e como as ACLs são usadas como parte de uma solução de segurança. Além disso, este capítulo inclui dicas, considerações, recomendações e princípios básicos do uso das ACLs e inclui as configurações e os comandos necessários para que as ACLs sejam criadas. Por fim, fornece exemplos de ACLs padrão e estendidas e de como aplicar ACLs às interfaces do roteador. As ACLs podem ser tão simples como uma única linha cuja finalidade seja permitir pacotes de um host específico ou podem ser conjuntos extremamente complexos de regras e condições que podem definir o tráfego e moldar o desempenho dos processos do roteador de maneira precisa. Embora muitos dos usos avançados das ACLs estejam além do escopo deste curso, este módulo fornece detalhes sobre as ACLs padrão e estendidas, o posicionamento correto das ACLs e algumas de suas aplicações especiais. Ao concluírem este módulo, os alunos deverão ser capazes de: • • • • •
Descrever as diferenças entre ACLs padrão e estendidas; Explicar as regras de posicionamento das ACLs; Criar e aplicar ACLs com nomes; Descrever a função dos firewalls; Usar as ACLs para restringir o acesso via terminal virtual.
11.1 Fundamentos das listas de controle de acesso 11.1.1 O que são ACLs As ACLs são listas de condições aplicadas ao tráfego que viaja através da interface de um roteador. Essas listas informam o roteador sobre os tipos de pacotes que ele deve aceitar ou recusar. A aceitação e a recusa podem basear-se em condições especificadas. As ACLs permitem o gerenciamento do tráfego e o acesso seguro a uma rede e a partir dela.
146
As ACLs podem ser criadas para todos os protocolos de rede roteados, como o IP e o IPX. As ACLs podem ser configuradas no roteador para controlar o acesso a uma rede ou sub-rede. As ACLs filtram o tráfego da rede, controlando se os pacotes roteados são encaminhados ou bloqueados nas interfaces dos roteadores. O roteador examina cada pacote para determinar se deve encaminhá-lo ou descartá-lo, com base nas condições especificadas na ACL. Alguns pontos de decisão das ACLs são: endereços de origem e destino, protocolos e números de portas de camadas superiores.
As ACLs devem ser definidas por protocolo, por direção ou por porta. Para controlar o fluxo de tráfego em uma interface, deve-se definir uma ACL para cada protocolo ativado na interface. As ACLs controlam o tráfego em uma direção de cada vez em uma interface. É necessário criar uma ACL separada para cada direção, uma para o tráfego de entrada e outra para o de saída. Por fim, é possível definir vários protocolos e várias direções para cada interface. Se o roteador tiver duas interfaces configuradas para IP, AppleTalk e IPX, serão necessárias 12 ACLs. Uma ACL para cada protocolo, vezes dois (direções de entrada e saída), vezes dois (quantidade de portas). A seguir estão algumas das principais razões para a criação de ACLs: •
Limitar o tráfego e aumentar o desempenho da rede. Restringindo o tráfego de vídeo, por exemplo, as ACLs podem reduzir significativamente a carga na rede e, conseqüentemente, aumentar seu desempenho.
147
•
•
•
• •
Fornecer controle de fluxo de tráfego. As ACLs podem restringir a entrega de atualizações de roteamento. Se as atualizações não forem necessárias devido às condições da rede, a largura de banda é preservada. Fornecer um nível básico de segurança para acesso à rede. As ACLs podem permitir que um host acesse uma parte da rede e impedir que outro host acesse a mesma área. Por exemplo, o host A recebe permissão para acessar a rede de Recursos Humanos e o host B é impedido de acessar essa mesma rede. Escolher que tipos de tráfego serão encaminhados ou bloqueados nas interfaces do roteador. Permitir que o tráfego de e-mail seja roteado, mas bloquear todo tráfego de Telnet. Permitir que um administrador controle quais áreas podem ser acessadas por um cliente em uma rede. Procurar por determinados hosts nos pacotes, para permitir ou negar acesso a uma parte de uma rede. Conceder ou negar permissão aos usuários para acessar somente alguns tipos de arquivos, como FTP ou HTTP.
Se você não configurar ACLs no roteador, todos os pacotes que atravessarem um roteador receberão permissão de acesso a todas as partes da rede.
11.1.2 Como as ACLs funcionam Uma ACL é um grupo de instruções que definem se os pacotes são aceitos ou rejeitados nas interfaces de entrada e de saída. Essas decisões são tomadas analisando-se uma instrução de condição de uma lista de acesso e, em seguida, realizando-se a ação de aceitação ou rejeição definida na instrução.
148
A ordem em que as instruções da ACL são posicionadas é importante. O software Cisco IOS testa o pacote com cada instrução de condição na lista, de cima para baixo. Assim que uma correspondência é encontrada na lista, a ação de aceitação ou rejeição é realizada e nenhuma outra instrução da ACL é verificada. Se uma instrução de condição que permite todo tráfego está localizada no início da lista, nenhuma instrução adicionada abaixo é verificada. Se forem necessárias mais instruções de condição em uma lista de acesso, toda a ACL precisa ser excluída e recriada com as novas instruções de condição. Para simplificar o processo de revisar uma ACL, é recomendável usar um editor de texto (como o Bloco de Notas) e colar a ACL na configuração do roteador. O início do processo do roteador é o mesmo, estejam as ACLs sendo usadas ou não. À medida que um quadro entra em uma interface, o roteador verifica se o endereço da camada 2 tem correspondência ou se é um quadro de broadcast. Se o endereço do quadro for aceito, as informações do quadro são removidas e o roteador verifica se há uma ACL na interface de entrada. Se existe uma ACL, o pacote é testado novamente em relação às instruções da lista. Se o pacote corresponde a uma instrução, a ação de aceitar ou rejeitar o pacote é executada. Se o pacote é aceito na interface, ele é testado em relação às entradas da tabela de roteamento para se determinar a interface de destino, sendo comutado para essa interface. Depois, o roteador verifica se a interface de destino tem uma ACL. Se tiver, o pacote é testado em relação às instruções da lista e, se corresponder a uma instrução, a ação de aceitar ou rejeitar o pacote é executada. Se não há uma ACL ou se o pacote é aceito, o pacote é encapsulado no novo protocolo da camada 2 e encaminhado através da interface para o próximo dispositivo. Conforme mencionado, as instruções da ACL operam em ordem seqüencial e lógica. Se a correspondência com uma condição é verdadeira, o pacote é permitido ou negado e as instruções restantes da ACL não são verificadas. Se não há correspondência em nenhuma das instruções da ACL, uma instrução deny any implícita é colocada no final da lista por padrão. Mesmo que o deny any não seja visível na última linha de uma ACL, ele está lá e não permite que nenhum pacote sem correspondência na ACL seja aceito. Quando se começa a aprender sobre a criação das ACLs, é recomendável adicionar o deny implícito no final das ACLs, para reforçar a presença dinâmica do deny implícito.
11.1.3 Criando ACLs As ACLs são criadas no modo configuração global. Há muitos tipos diferentes de ACLs: padrão, estendido, IPX, AppleTalk e outros. Ao ser configurada em um roteador, cada ACL deve ser definida de maneira exclusiva, recebendo um número. Esse número identifica o tipo de lista de acesso criado e deve estar dentro do intervalo específico de números válidos para esse tipo de lista.
Depois de entrar no modo comando correto e de decidir sobre o número do tipo da lista, o usuário insere as instruções da lista de acesso usando a comando access-list, seguida dos parâmetros adequados. Um processo em duas etapas é utilizado para criar uma lista de acesso. A primeira etapa é escrever a ACL para filtrar o tráfego desejado no roteador. A segunda etapa é atribuir a ACL à interface apropriada.
149
Em TCP/IP, as ACLs são atribuídas a uma ou mais interfaces e podem filtrar o tráfego que chega ou o tráfego que sai, utilizando o comando ip access-group no modo de configuração da interface. Ao se atribuir uma ACL a uma interface, deve-se especificar o posicionamento como de entrada ou de saída. A direção do filtro pode ser configurada para verificar os pacotes que estão entrando ou saindo de uma interface. Para determinar se uma ACL deve controlar o tráfego de entrada ou de saída, o administrador precisa olhar para as interfaces como se estivesse dentro do roteador. Esse conceito é muito importante. O tráfego que entra, vindo de uma interface, é filtrado por uma lista de acesso de entrada; o tráfego que sai por uma interface é filtrado pela lista de acesso de saída. Após ser criada, uma ACL numerada deve ser atribuída a uma interface. Para alterar uma ACL que contenha instruções numeradas, todas as instruções da ACL numerada precisam ser excluídas por meio do comando no access-list número-da-lista. Estas regras básicas devem ser seguidas ao se criar e aplicar listas de acesso: • • • • •
•
150
Uma lista de acesso por protocolo por direção. As listas de acesso padrão devem ser aplicadas o mais perto possível do destino. As listas de acesso estendidas devem ser aplicadas o mais perto possível da origem. Use a referência de interface de entrada ou de saída como se estivesse olhando a porta de dentro do roteador. As instruções são processadas seqüencialmente do topo da lista para baixo, até que uma correspondência é encontrada; se não é encontrada nenhuma correspondência, o pacote é negado. Existe um deny any implícito no final de todas as listas de acesso. Isso não aparece na listagem da configuração.
•
• • • •
• •
•
As entradas das listas de acesso devem filtrar na ordem do específico para o geral. Hosts específicos devem ser recusados primeiro e grupos ou filtros gerais devem vir por último. A condição de correspondência é examinada primeiro. A permissão ou recusa é examinada SOMENTE se a correspondência é verdadeira. Nunca trabalhe com uma lista de acesso que seja aplicada ativamente. Use um editor de texto para criar comentários delineando a lógica; em seguida, preencha as instruções que realizam essa lógica. As novas linhas sempre são adicionadas na parte inferior da lista de acesso. Um comando no access-listx remove a lista inteira. Não é possível adicionar ou remover linhas específicas de ACLs numeradas. Uma lista de acesso IP envia uma mensagem "host ICMP não pode ser alcançado" para o remetente do pacote rejeitado e descarta o pacote no depósito de bits. Deve-se tomar cuidado ao remover uma lista de acesso. Se a lista de acesso está aplicada a uma interface de produção e é removida, dependendo da versão do IOS, pode haver um "deny any" padrão aplicado à interface e todo o tráfego será bloqueado. Os filtros de saída não afetam o tráfego originário do roteador local.
11.1.4 A função de uma máscara curinga Uma máscara curinga é composta de 32 bits divididos em quatro octetos. Uma máscara curinga é emparelhada com um endereço IP. Os números 1 e 0 da máscara são usados para identificar como lidar com os bits correspondentes do endereço IP. O termo máscara curinga é um apelido para o processo de correspondência dos bits de máscara da ACL e vem de uma analogia com o curinga do jogo de pôquer, que corresponde a qualquer outra carta. As máscaras curinga não têm relação funcional com as máscaras de sub-rede. São usadas para finalidades diferentes e seguem regras diferentes. A máscara de sub-rede e a máscara curinga tem significados diferentes quando são comparadas a um endereço IP. Máscaras de sub-rede usam uns e zeros binários para identificar que partes de um endereço IP representam a rede, a sub-rede e o host. Máscaras curinga usam uns e zeros binários para filtrar endereços IP individuais ou grupos de endereços IP, permitindo ou negando o acesso aos recursos com base nesses endereços. A única semelhança entre uma máscara de sub-rede e uma máscara curinga é que ambas tem 32 bits e usam números binários zeros e uns. Outra questão é que os uns e zeros têm significados diferentes em uma máscara curinga, em comparação com uma máscara de sub-rede. A fim de diminuir a confusão, Xs substituirão os 1s nas máscaras curinga do gráfico. A máscara na figura seria escrita como 0.0.255.255. Um zero significa "deixe o valor passar para ser verificado", enquanto que um X (1) significa "bloqueie o valor e não deixe que ele seja comparado".
151
No processo de máscara curinga, o endereço IP na instrução da lista de acesso tem a máscara curinga aplicada a ele. Isso cria o valor de correspondência, que é usado para comparar e analisar se um pacote deve ser processado por essa instrução ACL ou se deve ser enviado para a próxima instrução para ser verificado. A segunda parte do processo de uma ACL é que qualquer endereço IP que é verificado por uma determinada instrução ACL tem a máscara curinga dessa instrução aplicada a ele. O resultado do endereço IP e da máscara curinga deve ser igual ao valor de correspondência da ACL.
Há duas palavras-chave especiais que são usadas nas ACLs, as opções any e host. Posto de maneira simples, a opção any substitui o endereço IP por 0.0.0.0 e a máscara curinga por 255.255.255.255. Essa opção coincide com qualquer endereço que é comparado com ela. A opção host substitui a máscara 0.0.0.0. Essa máscara requer que todos os bits do endereço da ACL e do endereço do pacote coincidam. Essa opção faz coincidir apenas um endereço.
11.1.5 Verificando as ACLs Há muitos comandos show que verificam o conteúdo e o posicionamento das ACLs no roteador. O comando show ip interface exibe as informações da interface IP e indica se há alguma ACL definida. O comando show access-lists exibe o conteúdo de todas as ACLs do roteador. Para ver uma lista específica, adicione o nome ou número da ACL como opção para esse comando. O comando show running-config também revela as listas de acesso de um roteador e as informações de atribuição de interface. Esses comandos show verificam o conteúdo e o posicionamento da lista. Também é recomendável testar as listas de acesso com exemplos de tráfego para garantir que a lógica da lista de acesso está correta.
11.2 Listas de Controle de Acesso (ACLs) 11.2.1 ACLs padrão As ACLs padrão verificam o endereço de origem dos pacotes IP que são roteados. A comparação resulta em permitir ou negar acesso a um conjunto inteiro de protocolos, com base nos endereços de rede, sub-rede e host. Por exemplo, é feita a verificação do protocolo e do endereço de origem nos pacotes que chegam a Fa0/0. Se obtiverem permissão, os pacotes serão roteados através do roteador para uma interface de saída. Se não obtiverem permissão, eles serão descartados na interface de entrada. A versão padrão do comando de configuração global access-list é usada para definir uma ACL padrão com um número no intervalo de 1 e 99. Na versão 12.0.1 do Cisco IOS, ACLs padrão passaram a usar uma faixa adicional de números (1300 a 1999), podendo prover até
152
798 possíveis ACLs padrão. Esses números adicionais são referenciados como ACLs IP expandidas.
Na primeira instrução da ACL, observe que não há máscara curinga. Nesse caso, em que nenhuma lista é mostrada, a máscara padrão, que é 0.0.0.0, é usada. Isso significa que o endereço inteiro deve coincidir ou essa linha da ACL não se aplica e o roteador precisa procurar uma correspondência na linha seguinte da ACL. A sintaxe completa do comando da ACL padrão é: Router(config)#access-listaccess-list-number {deny | permit | remark} source [source-wildcard ] [log] A palavra-chave remark torna a lista de acesso fácil de entender. Cada comentário pode ter até 100 caracteres. Por exemplo, de imediato não é claro qual o propósito da seguinte entrada: access-list 1 permit 171.69.2.88 É mais fácil adicionar um comentário sobre esta entrada para entender o seu efeito, como apresentado a seguir: Access-list 1 remark Permite que passe somente o tráfego da estação do Jones Access-list 1 permit 171.69.2.88 A forma no desse comando é usada para remover uma ACL padrão. Esta é a sintaxe: Router(config)#no access-listaccess-list-number O comando ip access-group associa uma ACL padrão existente a uma interface: Router(config)#ip access-group {access-list-number | access-list-name} {in | out} A tabela mostra as descrições dos parâmetros usados nessa sintaxe
153
11.2.2 ACLs estendidas As ACLs estendidas são usadas com mais freqüência do que as ACLs padrão porque proporcionam um intervalo maior de controle. As ACLs estendidas verificam os endereços dos pacotes de origem e destino, além de serem capazes de verificar protocolos e números de portas. Isso permite maior flexibilidade para descrever o que a ACL verificará. Os pacotes podem ter acesso permitido ou negado com base no seu local de origem ou de destino, bem como no tipo de protocolo e nos endereços das portas. Uma ACL estendida pode permitir tráfego de correio eletrônico de Fa0/0 para destinos S0/0 específicos e negar transferências de arquivos e navegação na Web. Quando os pacotes são descartados, alguns protocolos enviam um pacote de eco ao remetente, informando que o destino não pôde ser alcançado. É possível configurar várias instruções para uma única ACL. Cada uma delas deve conter o mesmo número de lista de acesso, para relacionar as instruções à mesma ACL. Pode haver tantas instruções de condição quantas forem necessárias, limitadas somente pela memória disponível no roteador. É claro que quanto mais instruções houver, mais difícil será compreender e gerenciar a ACL.
154
A sintaxe da instrução da ACL estendida pode ser muito longa e, geralmente, ocupará mais de uma linha na janela do terminal. Os curingas também têm a opção de usar as palavras-chave host ou any no comando.
155
156
157
No final da instrução da ACL estendida, obtém-se precisão adicional de um campo que especifica o número da porta opcional dos protocolos TCP ou UDP. Os números conhecidos das portas TCP/IP estão mostrados na figura . É possível especificar operações lógicas, tais como igual (eq), diferente (neq), maior do que (gt) e menor do que (lt), que serão realizadas pela ACL estendida em determinados protocolos. As ACLs estendidas usam um número de lista de acesso no intervalo entre 100 e 199 (também entre 2000 e 2699 nos IOS mais recentes).
158
159
O comando ip access-group vincula uma ACL estendida existente a uma interface. Lembre-se de que só é permitida uma ACL por interface, por direção, por protocolo. O formato do comando é: Router(config-if)#ip access-group access-list-number {in | out}
11.2.3 ACLs com nome As ACLs com nome IP foram introduzidas no software Cisco IOS versão 11.2, permitindo que as ACLs padrão e estendidas recebam nomes em vez de números.
As vantagens oferecidas por uma lista de acesso com nome são: • • •
Identificar intuitivamente uma ACL, usando um nome alfanumérico. O IOS não limita o número de ACLs nomeadas que podem ser configuradas. As ACLs com nome podem ser modificadas sem ser excluídas e, em seguida, podem ser reconfiguradas. É importante observar que uma lista de acesso com nome permite a exclusão de instruções, mas só permite a inserção de instruções no final da lista. Mesmo no caso das ACLs com nome, é recomendável usar um editor de texto para criá-las.
Considere o seguinte antes de implementar as ACLs com nome. As ACLs com nome não são compatíveis com as versões do Cisco IOS anteriores à versão 11.2. Não é possível usar o mesmo nome para várias ACLs. Por exemplo, não é permitido especificar uma ACL padrão e uma ACL estendida ambas com o nome George. É importante ter conhecimento sobre as listas de acesso com nome devido às vantagens apresentadas. As operações avançadas das listas de acesso, tais como as ACLs com nome, serão apresentadas no currículo CCNP.
Uma ACL com nome é criada por meio do comando ip access-list. Isso faz com que o usuário passe ao modo configuração da ACL. No modo configuração da ACL, especifique uma ou mais condições a serem permitidas ou negadas. Isso determina se o pacote passará ou será descartado quando a instrução da ACL coincidir.
160
A configuração mostrada cria uma ACL padrão chamada "Filtro Internet" e uma ACL estendida chamada "grupo_de_marketing". A figura também indica como as listas de acesso com nome são aplicadas a uma interface.
11.2.4 Posicionando as ACLs As ACLs são usadas para controlar o tráfego, filtrando pacotes e eliminando tráfego não desejado em uma rede. Outra consideração importante na implementação das ACLs é o local onde a lista de acesso será posicionada. Se as ACLs forem posicionadas no local correto, é possível não apenas filtrar o tráfego, como também tornar toda a rede mais eficiente. Se o tráfego é filtrado, a ACL deve ser posicionada onde tiver maior impacto no aumento da eficiência.
Na figura , o administrador deseja negar o tráfego Telnet ou FTP originado do segmento Ethernet do roteador A para a LAN Ethernet (Fa 0/1) do roteador D. Ao mesmo tempo, outro tráfego deve ser permitido. Várias abordagens podem efetivar essa política. A abordagem recomendada usa uma ACL estendida, especificando tanto os endereços de origem como de destino. Posicione essa ACL estendida no roteador A. Assim, os pacotes não atravessarão a Ethernet do roteador A, não atravessarão as interfaces seriais dos roteadores B e C e não entrarão no roteador D. O tráfego com outros endereços de origem e de destino ainda será permitido. A regra geral é colocar as ACLs estendidas o mais perto possível da origem do tráfego negado. As ACLs padrão não especificam os endereços de destino, portanto devem ser posicionadas o mais perto possível do destino. Por exemplo, uma ACL padrão deve ser posicionada em Fa0/0 do roteador D para impedir o tráfego do roteador A. Um administrador só pode posicionar uma lista de acesso em um dispositivo controlado por ele. Portanto, o posicionamento das listas de acesso deve ser determinado no contexto abrangido pelo controle do administrador da rede.
161
11.2.5 Firewalls Um firewall é uma estrutura arquitetural que existe entre o usuário e o mundo externo para proteger a rede interna de intrusos. Na maioria das circunstâncias, os intrusos provêm da Internet global e das milhares de redes remotas que ela interconecta. Geralmente, um firewall de rede consiste em várias máquinas diferentes que funcionam em conjunto para evitar acesso não desejado e ilegal.
Nessa arquitetura, o roteador que é conectado à Internet, conhecido como roteador externo, força todo o tráfego que chega a ir para o gateway de aplicativos. O roteador que é conectado à rede interna, o roteador interno, aceita pacotes somente do gateway de aplicativos. Na verdade, o gateway controla a entrega de serviços baseados na rede interna, tanto para ela como a partir dela. Por exemplo, somente determinados usuários podem ter permissão para se comunicar com a Internet, ou somente determinados aplicativos podem ter permissão para estabelecer conexões entre um host interno e um host externo. Se o único aplicativo permitido é o correio eletrônico (e-mail), então somente pacotes de e-mail devem ter permissão para passar pelo roteador. Isso protege o gateway de aplicativos e evita sua sobrecarga com pacotes que, caso contrário, ele descartaria. As ACLs devem ser usadas em roteadores de firewall, que são freqüentemente posicionados entre a rede interna e a rede externa, como a Internet. Isto permite controle do tráfego que está entrando ou saindo de uma parte específica da rede interna. O roteador de firewall fornece um ponto de isolamento para que o resto da estrutura interna da rede não seja afetado. Para se obter benefícios de segurança, é necessário configurar ACLs nos roteadores de borda, que são roteadores situados nos limites da rede. Isso proporciona segurança básica a partir da rede externa, ou de uma área menos controlada para uma área mais privada da rede. Nesses roteadores de borda, é possível criar ACLs para cada protocolo de rede configurado nas interfaces do roteador
11.2.6 Restringindo o acesso do terminal virtual As listas de acesso padrão e estendidas aplicam-se aos pacotes que passam através de um roteador. Elas não se destinam a bloquear pacotes originados dentro do roteador. Uma lista de acesso estendida para Telnet de saída não impede sessões Telnet iniciadas pelo roteador, por padrão.
162
Assim como há portas ou interfaces físicas no roteador, tais como Fa0/0 e S0/0, também existem portas virtuais. Essas portas virtuais são chamadas de linhas vty. Há cinco dessas linhas vty, numeradas de 0 a 4, conforme mostrado na figura . Por razões de segurança, os usuários podem ter seu acesso ao roteador via terminal virtual permitido ou negado, mas acesso negado para destinos a partir desse roteador. A finalidade de se restringir o acesso vty é aumentar a segurança da rede. O acesso vty também é obtido usando-se o protocolo Telnet para estabelecer uma conexão não física ao roteador. Como resultado, há apenas um tipo de lista de acesso vty. Deve-se colocar restrições idênticas em todas as linhas vty, já que não é possível controlar por qual linha um usuário vai se conectar.
O processo de criação da lista de acesso vty é o mesmo descrito para uma interface. Entretanto, a aplicação da ACL a uma linha de terminal requer o comando access-class em vez do comando access-group. Deve-se considerar o seguinte ao se configurar listas de acesso em linhas vty: • • •
Quando se estiver controlando o acesso a uma interface, pode-se usar um nome ou um número. Somente listas de acesso com número podem ser aplicadas a linhas virtuais. Defina restrições idênticas em todas as linhas de terminais virtuais, porque um usuário pode tentar conectar-se a qualquer uma delas.
163
Resumo Devem ter sido compreendidos os importantes conceitos a seguir: • • • • • • • • • • • •
As ACLs executam várias funções dentro de um roteador, incluindo procedimentos de segurança/acesso. As ACLs são usadas para controlar e gerenciar o tráfego. Em alguns protocolos, é possível aplicar até duas ACLs a uma interface: uma ACL de entrada e uma ACL de saída. Depois que um pacote coincide com uma instrução da ACL, ele pode ter seu acesso ao roteador negado ou permitido. Os bits da máscara curinga usam o número um (1) e o número zero (0) para identificar como lidar com os bits correspondentes do endereço IP. A criação e a aplicação das listas de acesso são verificadas por meio do uso de vários comandos show do IOS. Os dois tipos principais de ACLs são: padrão e estendida. As ACLs com nome permitem a utilização de um nome para identificar a lista de acesso, em vez de um número. É possível configurar ACLs para todos os protocolos de rede roteados. As ACLs devem ser posicionadas onde permitirem o controle mais eficiente. Geralmente, as ACLs são usadas em roteadores de firewall. As listas de acesso também podem restringir o acesso via terminal virtual ao roteador
Estudo de Caso Este estudo de caso permite que os alunos completem um projeto de rede, implementação e solução de problemas, utilizando as habilidades ganhas no CCNA 2. Alunos usarão as habilidades que foram desenvolvidas para usar, fazer e conectar o cabeamento appropriado a equipamentos
164