Vous êtes sur la page 1sur 67

Redes convergentes

Hierarquia na Rede comutada sem fronteiras


As diretrizes de projeto
de rede comutada sem
fronteiras se baseiam
nos seguintes
princpios:
Hierrquico
Modularidade

Resilincia
Flexibilidade

Encaminhamento de quadros

Preenchendo dinamicamente uma tabela de endereos MAC do switch

Um switch deve primeiro identificar quais dispositivos existem


em cada porta antes de transmitir um quadro
Ele cria uma tabela chamada endereo MAC ou a tabela
CAM (memria enderevel de contedo)
A porta do dispositivo de mapeamento armazenada na
tabela CAM
A CAM um tipo especial de memria usado em alta
velocidade para buscar aplicativos.
As informaes na tabela de endereos MAC que usei para
encaminhar quadros
Quando um switch recebe um quadro de entrada com um
endereo MAC no encontrado na tabela CAM, ele inunda-o
em todas as portas, exceto a que recebeu o quadro.

Encaminhamento de quadros

Switching Store-and-Forward
O recurso store-and-forward permite que o switch:
Procure erros (por meio de verificao de FCS)
Execute o buffer automtico

Encaminhamento mais lento

Encaminhamento de quadros

Switching Cut-Through
O recurso Cut-through permite que o switch comece a encaminhar em
aproximadamente 10 microssegundos
Nenhuma verificao de FCS
Nenhum buffer automtico

Domnios de switching

Domnios de coliso
O domnio de coliso o segmento onde os dispositivos
devem competir para se comunicar
Todas as portas de um hub pertencem ao mesmo
domnio de coliso
Cada porta de um switch um domnio de coliso
independente
Um switch divide o segmento em domnios de coliso
menores, facilitando a concorrncia do dispositivo.

Domnios de switching

Domnios de broadcast
O domnio de broadcast a extenso da rede onde um
quadro de broadcast pode ser ouvido.
Os switches encaminham quadros de broadcast a todas
as portas. Portanto, os switches no dividem os
domnios de broadcast.
Todas as portas de um switch (com a configurao
padro) pertencem ao mesmo domnio de broadcast
Se dois ou mais switches estiverem conectados, as
transmisses sero encaminhadas a todas as portas de
todos os switches (exceto a porta que recebeu
originalmente o broadcast)

Configurao bsica do switch

Preparar-se para o gerenciamento de switch bsico

Configurar portas de switch

Configurar portas de switch na camada fsica

Configurar portas de switch

Recurso de MDIX automtico

Configurar portas de switch

Verificando a configurao de porta de switch

Acesso remoto seguro

Configurando o SSH
O SSH por usa a porta 22 por padro.
O Telnet usa a porta TCP 23

Preocupaes com segurana em LANs

Falsificao de DHCP
O DHCP um protocolo de rede usado para atribuir
automaticamente informaes IP
H dois tipos de ataques DHCP:
DHCP starvation
usado geralmente antes de um ataque de spoofing para
negar o servio ao servidor DHCP legtimo;

DHCP Spoofing
Onde um servidor DHCP falso colocado na rede para
emitir endereos DHCP aos clientes.

Viso Geral de VLANs

Definies de VLAN

Viso Geral de VLANs

Vantagens de VLANs
Segurana
Grupos de dados confidenciais separados do resto da rede,
reduzindo as chances de violaes de informaes;

Reduo de custo
Cada vez que um usurio se movimenta necessrio um novo
cabeamento;

Melhor desempenho
Reduz o trfego desnecessrio na rede e aumenta o
desempenho

Domnios de broadcast menores


Reduz o nmero de dispositivos no domnio de broadcast.

Maior eficincia da equipe de TI


Todas as polticas e procedimentos j configurados para a VLAN
especfica so implementados quando as portas so atribudas .

Projeto e gerenciamento
Ter setores separados torna o gerenciamento de um projeto ou o

VLANs em um ambiente multicomutado

Troncos de VLAN

VLANs em um ambiente multicomutado

VLANs nativas e marcao 802.1q


Um quadro que pertence VLAN nativa no ser
marcado
Um quadro que for recebido sem marcao
permanecer assim e ser colocado na VLAN nativo
quando encaminhado
Se no houver portas associadas VLAN nativa e a
outros links de tronco, um quadro no marcado ser
descartado
Nos switches da Cisco, a VLAN nativa a VLAN 1 por
padro

VLANs em um ambiente multicomutado

Marcar quadros de Ethernet para identificao de VLAN

Atribuio VLAN

Atribuio de portas a VLANs

Atribuio VLAN

Atribuio de portas a VLANs

Atribuio de VLAN

Alterar associao de porta de VLAN

Atribuio de VLAN

Alterar associao de porta de VLAN

Atribuio de VLAN

Excluindo VLANs

Dynamic Trunking Protocol

Introduo ao DTP
As portas de switch podem ser configuradas manualmente
para formar troncos
As portas de switches tambm podem ser configuradas
para negociar e estabelecer um link de tronco a um par
conectado
O Dynamic Trunking Protocol (DTP) um protocolo para
gerenciar a negociao do tronco
O DTP um protocolo proprietrio da Cisco e ativado por
padro nos switches Cisco Catalyst 2960 e 3560
Se a porta do switch vizinho for configurada em um modo
de tronco que suporte o DTP, ela gerenciar a negociao
A configurao de DTP padro para switches Cisco Catalyst
sries 2960 e 3560 dynamic auto.

Atribuio de VLAN

Configurando links de tronco IEEE 802.1q

Atribuio de VLAN

Redefinir o tronco para o estado padro

Dynamic Trunking Protocol

Modos de interface negociados


O Cisco Catalyst 2960 e o 3560 suportam os seguintes
modos de tronco:
switchport mode dynamic auto
Torna a interface capaz de converter o link em link de tronco.

switchport mode dynamic desirable desejvel


A interface se tornar uma interface de tronco se a interface vizinha
estiver definida como tronco, desejvel ou no modo automtico.

switchport mode trunk


Coloca a interface no modo de entroncamento permanente e
negocia para converter o link vizinho em um link de tronco.

switchport nonegotiate
Impede a interface de gerar quadros de DTP. Voc s pode usar esse
comando quando o modo switchport de interface
accessoutrunk.

Identificando e solucionando de VLANs e troncos

Problemas de endereamento com VLAN


uma prtica muito comum associar uma VLAN a uma rede IP
Como as redes IP diferentes se comunicam apenas por meio
de um roteador, todos os dispositivos dentro de uma VLAN
devem ser parte da mesma rede IP para se comunicar
Na imagem abaixo, PC1 no pode se comunicar com o
servidor porque tem um endereo IP incorreto configurado

Identificando e solucionando de VLANs e troncos

Problemas comuns com troncos


Os problemas de entroncamento so geralmente
associados s configuraes incorretas.
Estes so os tipos mais comuns de erros de
configurao de tronco:
1. Incompatibilidades de VLANs nativas
2. Incompatibilidades do modo de tronco
3. VLAN autorizadas em troncos

Se um problema de tronco for detectado, as prticas


recomendadas orientam que os problemas devem
ser solucionados na ordem indicada acima.

Identificando e solucionando de VLANs e troncos

Lista de VLANs incorretas


As VLANs devem ser permitidas no tronco antes que
os quadros possam ser transmitidos pelo link
Use o comando switchport trunk allowed vlan para
especificar quais VLANs so permitidas em um link de
tronco
Para assegurar que as VLANs corretas sejam
permitidas em um tronco, use o comando show
interfaces trunk

Ataques em VLANs

PVLAN Edge
O recurso Private VLAN
(PVLAN) Edge, tambm
conhecido como portas
protegidas, assegura que no
haja nenhuma troca de
trfego unicast, broadcast ou
multicast entre portas
protegidas no switch
Relevncia local apenas
Uma porta protegida somente
troca trfego com portas no
protegidas
Uma porta protegida no
trocar trfego com outra
porta protegida

Funes de um roteador

Caractersticas de uma rede

Velocidade- bits por segundo em


um link
Custo- despesas com equipamentos
Segurana- grau de proteo
Topologia
fsicas e lgicas

Escalabilidade- grau de
facilidade para acomodar mais
usurios e requisitos de
transmisso de dados..

Confiabilidade- indica o quo


confiveis so os componentes que
formam a rede.

Disponibilidade- rede sempre disponvel para uso quando


necessrio.

Conectar dispositivos

Ativar o IP em um switch
Os dispositivos de infraestrutura de rede exigem que os
endereos IP habilitem o gerenciamento remoto.
Em um switch, o endereo IP de gerenciamento atribudo em
uma interface virtual

Verificar a conectividade de redes conectadas diretamente

Sada do comando Filter Show


Use o comando terminal length number para especificar o nmero de
linhas a serem exibidas. Um valor de 0 (zero) impede o Roteador de
pausar entre as telas de sada.
Para filtrar a sada especfica dos comandos, use caractere (|) depois do
comando show. Os parmetros que podem ser usados depois do pipe
incluem:

Section
Mostra toda a seo que comea
com a expresso de filtragem.
Include
Inclui todas as linhas de sada que
correspondem expresso de
filtragem;
Exclude
Exclui todas as linhas de sada que
correspondem expresso de
filtragem;

Determinao do caminho

Melhor caminho
O melhor caminho selecionado por um protocolo de roteamento
com base no valor ou mtrica utilizada para determinar a distncia
para chegar a uma rede.
Uma mtrica o valor usado para medir a distncia at uma rede
especificada.
O melhor caminho para uma rede o caminho com a menor
mtrica.
Os protocolos de roteamento dinmico usam suas prprias regras e
mtricas para criar e atualizar tabelas de roteamento, por exemplo:
Routing Information Protocol (RIP) - Contagem de saltos
Open Shortest Path First (OSPF) - Custo com base na largura de
banda cumulativa da origem para o destino
Enhanced Interior Gateway Routing Protocol (EIGRP) - Largura de
banda, atraso, carga, confiabilidade

Determinao do caminho

Balanceamento de carga
Quando um Roteador tem dois ou mais caminhos para
um destino com mtricas de custo igual, o Roteador
encaminha os pacotes usando ambos os caminhos da
mesma forma.
Routing Information Protocol
(RIP):
Contagem de saltos
Open Shortest Path First (OSPF):
O custo da Cisco com base na largura
de banda cumulativa da origem para
o destino
Protocolo Melhorado Interior
para Roteamento do Gateway
(EIGRP):
Largura de banda, atraso, carga,

Determinao do caminho da rota

Distncia administrativa
Se vrios caminhos para um destino forem configuradas em um
roteador, o caminho instalado na tabela de roteamento ser aquele
com a melhor (menor) distncia administrativa (AD).
A distncia administrativa identifica a "confiabilidade" da origem da rota.
Quanto menor o AD, mais confivel a rota.

A tabela de roteamento

A tabela de roteamento
A tabela de roteamento um arquivo armazenado na
RAM que contm informaes sobre
Rotas diretamente conectadas
Rotas remotas
Associaes de rede ou prximo salto

A tabela de roteamento

Entradas de roteamento de rede remota


Interpretando as entradas da tabela de roteamento.

Rotas diretamente conectadas

Interfaces diretamente conectadas


Um roteador recm-implantado, sem nenhuma interface configurada,
possui uma tabela de roteamento vazia.
Uma interface diretamente conectada configurada cria duas
entradas da tabela de roteamento: Link Local (L) e Diretamente
conectada (C)

Operao do roteamento entre VLANs

O que o roteamento entre VLANs?


Os switches da camada 2 (TCP) no podem encaminhar o
trfego entre VLANs sem a ajuda de um roteador
O roteamento entre VLANs um processo para encaminhar o
trfego de rede de uma VLAN a outra VLAN usando um roteador

Operao do roteamento entre VLANs

Roteamento de Router-On-A-Stick entre VLANs


A abordagem chamada router-on-a-stick usa um caminho
diferente para roteamento entre VLANs
Uma das interfaces fsicas do roteador configurada como
porta de tronco 802.1Q. Agora essa interface pode
entender as marcas de VLAN
As subinterfaces lgicas so criadas em seguida.
Uma subinterface por VLAN
Cada subinterface configurada com um endereo IP de
rede VLAN que representa
Os membros de VLAN (hosts) so configurados para usar o
endereo de subinterface como um gateway padro.
Somente uma interface fsica do roteador usada

Configurar roteamento entre VLANs legado

Preparao

Tipos de rotas estticas

Rota esttica flutuante


As rotas estticas flutuantes so rotas estticas usadas
para fornecer um caminho alternativo para uma rota
esttica ou dinmica principal, em caso de falha do
link.
A rota esttica flutuante usada somente quando a
rota principal no est disponvel.
Para realizar isso, a rota
esttica flutuante
configurada com uma
distncia administrativa
mais alta que a rota
primria.

Configurar rotas estticas IPv4

Comando ip route

Configurar rotas estticas IPv4

Configurar uma rota esttica diretamente conectada

Configurar rotas IPv4 padro

Configurar uma rota esttica padro

CIDR

CIDR e sumarizao de rota

CIDR

Exemplo de CIDR de roteamento esttico

Como isso
acontece?

VLSM

Diviso em sub-redes Sub-redes

VLSM

Exemplo de VLSM

Configurar rotas de sumarizao IPv4

Calcular uma rota de sumarizao

Configurando o protocolo RIP

Modo de configurao de RIP do roteador


Anunciando redes

Configurando o protocolo RIP

Configurando interfaces passivas

O envio de atualizaes
desnecessrias em uma LAN
afeta a rede de trs maneiras:
Largura de banda
desperdiada
Recursos desperdiados
Risco segurana

Configurando o protocolo RIP

Propagando uma rota padro

Atualizaes de link-state

Processo de roteamento link-state

Partes de uma entrada de rota IPv4

Entradas de rede remota

Open Shortest Path First

Recursos/Caractersticas do OSPF

Suporta VLSM e CIDR

sem atualizaes peridicas

suporta autenticao MD5

Se auto ajusta
novos eqptos

Os roteadores podem ser


agrupados em um sistema
hierrquico

Usando OSPF
onde existe
como
caracterstica
a distncia
administrativa
(AD) que a
(preferncia)
da origem da
rota padro
110.

Open Shortest Path First

Operao de link-state

Se um vizinho estiver
presente, o roteador
ativado para OSPF
tentar estabelecer uma
adjacncia com esse
vizinho

Mensagens do OSPF

Encapsulando mensagens do OSPF

Router ID do OSPF

Topologia de rede do OSPF


router ospf process-id. O valor process-idrepresenta um nmero entre 1 e 65.535,
alm de ser selecionado pelo administrador de rede. O valorprocess-id de total
importncia localmente, o que significa que no tem o mesmo valor nos outros
roteadores do OSPF para estabelecer adjacncias com esses vizinhos.

Verificar o OSPF

Verificar os vizinhos do OSPF


Verifique se o roteador formou uma adjacncia
com seus roteadores vizinhos

ACLs IPv4 padro versus estendidas

Tipos de ACLs IPv4 da Cisco


ACLs padro

ACLs estendidas

Mscaras curinga nas ACLs

Palavras-chave de mscara curinga

Mscaras curinga nas ACLs

Exemplos de palavras-chave de mscara curinga

Operao do DHCPv4

Configurando um servidor DHCPv4

possvel configurar um roteador da Cisco executando o software


IOS Cisco como um servidor DHCPv4. Para configurar o DHCP
1. Exclua os endereos do pool (de equipamentos j configurados).
# ip dhcp excluded-address 192.168.10.1 192.168.10.9

2. Configurar o nome do pool DHCP

R1 (config)# ip dhcp pool DHCP-FB

R1 (dhcp-config)#

3. Configurando tarefas especficas:


Defina o intervalo de endereos e a mscara de sub-rede.

R1 (dhcp-config)# network 192.168.10.0 255.255.255.0

Use o comando default-router para obter o gateway padro.


R1 (dhcp-config)# default-router 192.168.10.1

R1 (dhcp-config)# dns-server 192.168.11.5

R1 (dhcp-config)# domain-name www.cartelcali.gov.co

R1 (dhcp-config)# end

Para desativar o DHCP - no service dhcp

Configurando o NAT dinmico

Configurando o NAT dinmico

Global # ip nat pool NAT-MAXO 200.100.10.1 200.100.10.14


netmask 255.255.255.240

Global # access-list 1 permit 192.168.10.0 0.0.0.255

Global # ip nat inside source list 1 pool NAT-MAXO overload

Global # interface serial0/0/0


Global-if # ip nat inside
Global # interface serial0/1/0
Global-if # ip nat outside