Parte 2 Cisco Top Down (PT)

Machine Translated by Google
parte II
Projeto de rede lógica
capítulo 5 Projetando uma topologia de rede
Capítulo 6 Projetando modelos para endereçamento e numeração
Capítulo 7 Selecionando protocolos de comutação e roteamento
Capítulo 8 Desenvolvendo estratégias de segurança de rede
Capítulo 9 Desenvolvendo estratégias de gerenciamento de rede

Esta página foi intencionalmente deixada em branco

capítulo 5
Projetando uma topologia de rede
Neste capítulo, você aprenderá técnicas para desenvolver uma topologia de rede. Uma topologia
é um mapa de uma rede que indica segmentos de rede, pontos de interconexão e
comunidades de usuários. Embora locais geográficos possam aparecer no mapa, o propósito de
o mapa deve mostrar a geometria da rede, não a geografia física ou técnica
implementação. O mapa é um projeto de alto nível da rede, análogo a um desenho arquitetônico que mostra a
localização e o tamanho dos cômodos de um edifício, mas não o
materiais de construção para a fabricação dos quartos.
Projetar uma topologia de rede é o primeiro passo na fase de projeto lógico da metodologia de projeto de
rede de cima para baixo. Para atender às metas de escalabilidade e capacidade de adaptação de um cliente, é
importante arquitetar uma topologia lógica antes de selecionar produtos físicos
ou tecnologias. Durante a fase de projeto da topologia, você identifica redes e pontos de interconexão, o
tamanho e o escopo das redes e os tipos de dispositivos de interconexão de redes.
isso será necessário, mas não os dispositivos reais.
Este capítulo fornece dicas para projetos de redes WAN universitárias e empresariais e
concentra-se no projeto de rede hierárquica, que é uma técnica para projetar campus escalonáveis e redes WAN
usando um modelo modular em camadas. Além de cobrir o projeto de rede hierárquica, o capítulo também
aborda topologias de projeto de rede redundantes e
topologias que atendam às metas de segurança. (A segurança é abordada com mais detalhes no Capítulo 8,
“Desenvolvendo estratégias de segurança de rede.”) Este capítulo também discute o Cisco SAFE
arquitetura de referência de segurança.
Ao concluir este capítulo, você saberá mais sobre como projetar aplicativos seguros, redundantes e
topologias hierárquicas e modularizadas. Um diagrama de topologia é uma ferramenta útil para ajudá-lo
e seu cliente iniciam o processo de mudança de um projeto lógico para uma implementação física do ambiente de
rede do cliente.
120 Projeto de rede de cima para baixo
Projeto de rede hierárquica

Para atender às metas comerciais e técnicas de um cliente para um projeto de rede corporativa, talvez seja
necessário recomendar uma topologia de rede que consista em muitos componentes inter-relacionados.
Essa tarefa fica mais fácil se você conseguir “dividir e conquistar” o trabalho e desenvolver o design em
camadas.
Especialistas em design de rede desenvolveram o modelo hierárquico de design de rede para ajudá-lo a
desenvolver uma topologia em camadas discretas. Cada camada pode ser focada em funções específicas,
permitindo escolher os sistemas e recursos corretos para a camada. Por exemplo, na Figura 5-1, os roteadores
WAN de alta velocidade podem transportar tráfego através do backbone da WAN corporativa, os roteadores
de média velocidade podem conectar edifícios em cada campus e os switches podem conectar dispositivos
de usuários e servidores dentro dos edifícios.
Empreendimento
Camada Central
Estrutura WAN
Campus A Campus B
Campus C
Distribuição
Espinha dorsal do Campus C Camada
Camada de Acesso
Edifício C-1 Edifício C-2
Figura 5-1 Topologia Hierárquica
Uma topologia hierárquica típica é
ÿ Uma camada central de roteadores e switches de última geração otimizados para disponibilidade e
desempenho.
ÿ Uma camada de distribuição de roteadores e switches que implementam políticas. Em organizações de

pequeno e médio porte, as camadas central e de distribuição podem ser combinadas.
ÿ Uma camada de acesso que conecta usuários por meio de switches de baixo custo e pontos de acesso sem fio.
Capítulo 5: Projetando uma Topologia de Rede 121
Por que usar um modelo hierárquico de design de rede?

As redes que crescem despercebidas e sem qualquer plano em vigor tendem a desenvolver-se num
formato desestruturado. Dr. Peter Welcher, autor de artigos sobre design e tecnologia de redes para a Cisco
World e outras publicações, refere-se às redes não planejadas como redes de bolas de pêlo.
Welcher explica as desvantagens de uma topologia de bola de pêlo apontando os problemas que muitas
adjacências de CPU causam. Quando os dispositivos de rede se comunicam com muitos outros
dispositivos, a carga de trabalho exigida das CPUs dos dispositivos pode ser onerosa. Por exemplo, em uma
grande rede plana (comutada), os pacotes de transmissão são onerosos. Um pacote de difusão interrompe
a CPU em cada dispositivo dentro do domínio de transmissão e exige tempo de processamento em todos
os dispositivos (incluindo roteadores, estações de trabalho e servidores) para os quais um entendimento de
protocolo para essa transmissão está instalado.
Outro problema potencial com redes não hierárquicas, além dos pacotes de broadcast, é a carga de trabalho
da CPU necessária para que os roteadores se comuniquem com muitos outros roteadores e processem
vários anúncios de rotas. Uma metodologia de projeto de rede hierárquica permite projetar uma topologia
modular que limita o número de roteadores em comunicação.
Usar um modelo hierárquico pode ajudá-lo a minimizar custos. Você pode adquirir os dispositivos de
interligação de redes apropriados para cada camada da hierarquia, evitando assim gastar dinheiro em
recursos desnecessários para uma camada. Além disso, a natureza modular do modelo de design
hierárquico permite um planejamento preciso da capacidade dentro de cada camada da hierarquia,
reduzindo assim o desperdício de largura de banda. A responsabilidade de gerenciamento de rede e os
sistemas de gerenciamento de rede podem ser distribuídos às diferentes camadas de uma arquitetura
de rede modular para controlar os custos de gerenciamento.
A modularidade permite manter cada elemento de design simples e fácil de entender.

A simplicidade minimiza a necessidade de treinamento extensivo para o pessoal de operações de rede
e agiliza a implementação de um projeto. Testar um projeto de rede é facilitado porque há uma
funcionalidade clara em cada camada. O isolamento de falhas é aprimorado porque os técnicos de rede
podem reconhecer facilmente os pontos de transição na rede para ajudá-los a isolar possíveis pontos de
falha.
O design hierárquico facilita mudanças. Como os elementos de uma rede exigem mudanças, o custo
de fazer uma atualização fica restrito a um pequeno subconjunto da rede geral. Em grandes arquiteturas
de redes planas ou em malha, as alterações tendem a impactar um grande número de sistemas. A
substituição de um dispositivo pode afetar inúmeras redes devido às interconexões complexas.
Como você pode saber quando tem um bom design?

Aqui estão algumas respostas sábias de Peter Welcher que são baseadas nos princípios do design de rede
modular e hierárquico:
ÿ Quando você já sabe como adicionar um novo prédio, andar, link WAN, site remoto,
serviço de comércio eletrônico e assim por diante
ÿ Quando novas adições causam apenas alterações locais nos dispositivos conectados diretamente
ÿ Quando sua rede pode dobrar ou triplicar de tamanho sem grandes alterações de design
ÿ Quando a solução de problemas é fácil porque não há interações de protocolo complexas para envolver seu
cérebro
Quando a escalabilidade é um objetivo principal, uma topologia hierárquica é recomendada porque a

modularidade em um projeto permite a criação de elementos de projeto que podem ser replicados à medida
que a rede cresce. Como cada instância de um módulo é consistente, a expansão é fácil de planejar e
implementar. Por exemplo, planejar uma rede de campus para um novo local pode ser simplesmente uma
questão de replicar um projeto de rede de campus existente.
Os protocolos de roteamento de rápida convergência atuais foram projetados para topologias hierárquicas.
O resumo de rotas, que o Capítulo 6, “Projetando modelos para endereçamento e nomenclatura”, aborda com
mais detalhes, é facilitado pelo projeto de rede hierárquica. Para controlar a sobrecarga da CPU de
roteamento e o consumo de largura de banda, topologias hierárquicas modulares devem ser usadas com
protocolos como Open Shortest Path First (OSPF), Intermediate System-to Intermediate System (IS-IS),
Border Gateway Protocol (BGP) e Enhanced Interior Gateway Protocolo de roteamento (IGRP aprimorado).
Topologias planas versus hierárquicas

Uma topologia de rede plana é adequada para redes pequenas. Com um design de rede plano, não há
hierarquia. Cada dispositivo de rede tem essencialmente a mesma tarefa e a rede não é dividida em camadas
ou módulos. Uma topologia de rede plana é fácil de projetar e implementar, e é fácil de manter, desde que
a rede permaneça pequena. Quando a rede cresce, contudo, uma rede plana é indesejável. A falta de
hierarquia dificulta a solução de problemas. Em vez de concentrar os esforços de solução de problemas em
apenas uma área da rede, talvez seja necessário inspecionar toda a rede.
Topologias WAN planas

Uma WAN para uma pequena empresa pode consistir em alguns sites conectados em loop. Cada site possui um
roteador WAN que se conecta a dois outros sites adjacentes por meio de links ponto a ponto, conforme mostrado
na parte superior da Figura 5-2. Desde que a WAN seja pequena (alguns sites), os protocolos de roteamento
podem convergir rapidamente e a comunicação com qualquer outro site pode ser recuperada quando um link
falhar. Contanto que apenas um link falhe, a comunicação é recuperada. Quando mais de um link falha, alguns
sites ficam isolados de outros.
Entretanto, uma topologia de loop plano geralmente não é recomendada para redes com muitos sites. Uma
topologia de loop pode significar que há muitos saltos entre roteadores em lados opostos do loop, resultando
em atraso significativo e maior probabilidade de falha. Se a sua análise do fluxo de tráfego indicar que roteadores
em lados opostos de uma topologia de loop trocam muito tráfego, você deverá recomendar uma
topologia hierárquica em vez de uma topologia hierárquica.
laço. Para evitar qualquer ponto único de falha, você pode colocar roteadores ou switches redundantes nas
camadas superiores da hierarquia, conforme mostrado na parte inferior da Figura 5-2.
Sede em Passe de subsídios

Medford Filial
Cataratas Klamath Ashland

Filial Filial
Topologia de Loop Plano
Sede em
Medford
Passe de subsídios Klamath Ashland Cidade Branca

Filial Cataratas Filial Filial
Escritório Filial Escritório Escritório
Escritório
Topologia Hierárquica Redundante
Figura 5-2 Topologia de Loop Plano (Superior) e

Topologia Redundante Hierárquica (Inferior)
A topologia de loop plano mostrada no topo da Figura 5-2 atende às metas de baixo custo e disponibilidade
razoavelmente boa. A topologia hierárquica redundante mostrada na parte inferior da Figura 5-2 atende às
metas de escalabilidade, alta disponibilidade e baixo atraso.
Topologias de LAN plana

No início e meados da década de 1990, um projeto típico para uma LAN eram PCs e servidores conectados a
um ou mais hubs em uma topologia plana. Os PCs e servidores implementaram um processo de controle de
acesso à mídia, como passagem de token ou acesso múltiplo com detecção de portadora com detecção
de colisão (CSMA/CD) para controlar o acesso à largura de banda compartilhada. Todos os dispositivos
faziam parte do mesmo domínio de largura de banda e tinham a capacidade de afetar negativamente o atraso e
a taxa de transferência de outros dispositivos.
Atualmente, os projetistas de rede recomendam conectar os PCs e servidores a switches da camada de

enlace de dados (Camada 2) em vez de hubs. Neste caso, a rede é segmentada em pequenos
domínios de largura de banda para que um número limitado de dispositivos compita pela largura de banda ao
mesmo tempo. Contudo, os dispositivos competem pelo serviço do hardware e software de comutação, por isso
é importante compreender as características de desempenho dos comutadores candidatos, conforme discutido
no Capítulo 10, “Selecionando tecnologias e dispositivos para redes de campus”.
Conforme discutido no Capítulo 4, “Caracterizando o tráfego de rede”, os dispositivos conectados em uma

rede comutada ou em ponte fazem parte do mesmo domínio de transmissão. Os switches encaminham quadros
de transmissão para todas as portas. Os roteadores, por outro lado, segmentam as redes em domínios de transmissão
separados. Um único domínio de broadcast deve ser limitado a algumas centenas de dispositivos para que os
dispositivos não fiquem sobrecarregados com a tarefa de processar o tráfego de broadcast.
A introdução de hierarquia em um projeto de rede através da adição de roteadores reduz a radiação de transmissão.
Com um design hierárquico, você pode implantar dispositivos de interconexão de redes para realizar o trabalho que
eles fazem melhor. Você pode adicionar roteadores a um projeto de rede de campus para isolar o tráfego de
transmissão. Você pode implantar switches de última geração para maximizar a largura de banda para aplicativos
de alto tráfego e usar switches de baixo custo quando for necessário acesso simples e barato. Maximizar o
desempenho geral através da modularização das tarefas exigidas dos dispositivos de interconexão de redes é um
dos muitos benefícios do uso de um modelo de design hierárquico.
Topologias de malha versus topologias de malha hierárquica
Os projetistas de rede geralmente recomendam uma topologia mesh para atender aos requisitos de disponibilidade.
Em uma topologia full-mesh, cada roteador ou switch se conecta a todos os outros roteadores ou switches.
Uma rede full-mesh fornece redundância completa e oferece bom desempenho porque há apenas um
atraso de link único entre dois sites quaisquer. Uma rede de malha parcial tem menos conexões. Alcançar outro
roteador ou switch em uma rede de malha parcial pode exigir a travessia de links intermediários, conforme mostrado
na Figura 5-3.
Topologia de malha parcial
Topologia de malha completa
Figura 5-3 Topologia de malha parcial (esquerda) e topologia de malha completa (direita)
Observação Em uma topologia de malha completa, cada roteador ou switch está conectado a todos os outros
roteadores ou switches. O número de links em uma topologia de malha completa é o seguinte:
(N * (N – 1)) / 2
N é o número de roteadores ou switches. (Divida o resultado por 2 para evitar contar o Roteador X para o Roteador Y
e o Roteador Y para o Roteador X como dois links diferentes.)
Embora as redes mesh apresentem boa confiabilidade, elas apresentam muitas desvantagens se não forem
projetadas cuidadosamente. As redes mesh podem ser caras para implantar e manter. (Uma rede full mesh é
cara.) As redes mesh também podem ser difíceis de otimizar, solucionar problemas e atualizar, a menos que
sejam projetadas usando um modelo simples e hierárquico. Em uma topologia de malha chique não hierárquica,
os dispositivos de interconexão de redes não são otimizados para funções específicas.
Conter problemas de rede é difícil devido à falta de modularidade. As atualizações de rede são problemáticas
porque é difícil atualizar apenas uma parte da rede.
As redes mesh têm limites de escalabilidade para grupos de roteadores que transmitem atualizações de
roteamento ou anúncios de serviço. À medida que o número de adjacências de CPU do roteador aumenta, a
quantidade de largura de banda e de recursos de CPU dedicados ao processamento de atualizações aumenta.
Uma boa regra é manter o tráfego de transmissão em menos de 20% do tráfego em cada link. Esta regra limita o
número de roteadores adjacentes que podem trocar tabelas de roteamento e anúncios de serviço. Entretanto, essa
limitação não será um problema se você seguir as diretrizes para um design simples e hierárquico. Um design
hierárquico, por sua própria natureza, limita o número de adjacências de roteadores.
Com protocolos de roteamento, como OSPF e EIGRP, o problema não está no tráfego broadcast/multicast e
nos recursos de CPU usados para roteamento diário. O problema é a quantidade de trabalho e largura de banda
necessária para restabelecer o roteamento após uma interrupção. Tenha cuidado para não deixar sua rede se
transformar em uma malha complicada só porque ainda está funcionando.
Provavelmente haverá uma interrupção algum dia, e então você poderá aprender da maneira mais difícil as
falhas associadas a uma malha complexa de roteadores.
A Figura 5-4 mostra um design empresarial hierárquico e redundante clássico. O projeto usa uma hierarquia de malha
parcial em vez de uma malha completa. A figura mostra uma rede roteada corporativa, mas a topologia também
pode ser usada para uma rede de campus comutada.
Para pequenas e médias empresas, o modelo hierárquico é frequentemente implementado como uma topologia
hub-and-spoke com pouca ou nenhuma malha. A sede corporativa ou um data center formam o hub. Links para
escritórios remotos e residências de teletrabalhadores formam os raios, conforme mostrado na Figura 5-5.
Modelo hierárquico clássico de três camadas

A literatura publicada pela Cisco e outros fornecedores de redes fala sobre um modelo hierárquico clássico de
três camadas para topologias de design de rede. O modelo de três camadas permite agregação e filtragem de
tráfego em três níveis sucessivos de roteamento ou comutação. Isto torna o modelo hierárquico de três camadas
escalável para grandes redes internacionais.
Quartel general
(Camada Central)
Regional
Escritórios
(Distribuição
Camada)
Filiais (camada de acesso)
Figura 5-4 Projeto hierárquico de malha parcial
Corporativo
Quartel general
Filial Lar Filial

Escritório Escritório Escritório
Figura 5-5 Hierárquica Hub-and-Spoke

Topologia para uma empresa de médio porte
Embora o modelo tenha sido desenvolvido numa época em que os roteadores delineavam camadas,
o modelo pode ser usado para redes comutadas e redes roteadas. A Figura 5-1 e a Figura 5-4 mostram
topologias hierárquicas de três camadas.
Cada camada do modelo hierárquico tem uma função específica:
ÿ A camada central fornece transporte ideal entre locais.
ÿ A camada de distribuição conecta serviços de rede à camada de acesso e implementa políticas

relativas à segurança, carga de tráfego e roteamento.
ÿ Em um projeto de WAN, a camada de acesso consiste nos roteadores na extremidade das redes
do campus. Em uma rede de campus, a camada de acesso fornece switches ou hubs para fins
acesso do usuário.
As seções a seguir discutem as camadas central, de distribuição e de acesso com mais detalhes.
Camada Central
A camada central de uma topologia hierárquica de três camadas é a espinha dorsal de alta velocidade
da rede interligada. Como a camada central é crítica para a interconectividade, você deve projetá-la
com componentes redundantes. A camada central deve ser altamente confiável e se adaptar
rapidamente às mudanças.
Ao configurar roteadores na camada principal, você deve usar recursos de roteamento que otimizem a
taxa de transferência de pacotes. Você deve evitar usar filtros de pacotes ou outros recursos que
retardem a manipulação de pacotes. Você deve otimizar o núcleo para baixa latência e boa
capacidade de gerenciamento.
O núcleo deve ter um diâmetro limitado e consistente. Roteadores (ou switches) da camada de
distribuição e LANs clientes podem ser adicionados ao modelo sem aumentar o diâmetro do núcleo.
Limitar o diâmetro do núcleo proporciona desempenho previsível e facilidade de solução de problemas.
Para clientes que precisam se conectar a outras empresas através de uma extranet ou da Internet, a
topologia principal deverá incluir um ou mais links para redes externas. Os administradores de redes
corporativas devem desencorajar os administradores regionais e de filiais de planejarem suas
próprias extranets ou conexões com a Internet. A centralização dessas funções na camada central
reduz a complexidade e o potencial de problemas de roteamento e é essencial para minimizar
preocupações de segurança.
Trazer links de parceiros de negócios para a filial onde a colaboração está ocorrendo pode parecer
lógico, mas significa que você deve permitir o tráfego do parceiro para dentro da filial, mas não além
dela. Com o tempo, você acabará com uma miscelânea de listas de controle de acesso (ACL)
distribuídas e firewalls, o que complica a aplicação de políticas. Também aumenta muito os custos
se você quiser usar sistemas de detecção de intrusão (IDS) e outras tecnologias de segurança.
Da mesma forma, alguns escritórios remotos com conectividade VPN IPsec estão abandonando o
acesso dividido em locais remotos onde os usuários têm acesso local à Internet, além do acesso
remoto IPsec às sedes corporativas. Apesar dos custos de largura de banda, forçar todo o acesso
externo a passar pelo núcleo da rede significa ter apenas uma estrutura de segurança para
administrar, o que é uma boa forma de evitar problemas de segurança.
Camada de Distribuição
A camada de distribuição da rede é o ponto de demarcação entre as camadas de acesso e central da
rede. A camada de distribuição tem muitas funções, incluindo controlar o acesso aos recursos por
razões de segurança e controlar o tráfego de rede que atravessa a rede.
núcleo por motivos de desempenho. A camada de distribuição costuma ser a camada que delineia os
domínios de transmissão. (Embora isso também possa ser feito na camada de acesso.) Em projetos de
rede que incluem LANs virtuais (VLAN), a camada de distribuição pode ser configurada para rotear entre
VLANs.
A camada de distribuição permite que a camada central conecte sites que executam protocolos diferentes,
mantendo alto desempenho. Para manter um bom desempenho no núcleo, a camada de distribuição pode
redistribuir entre protocolos de roteamento da camada de acesso com uso intensivo de largura de banda e
protocolos de roteamento de núcleo otimizados. Por exemplo, talvez um site na camada de acesso ainda
esteja executando um protocolo mais antigo, como o IGRP. A camada de distribuição pode redistribuir entre
o IGRP na camada de acesso e o EIGRP na camada central.
Para melhorar o desempenho do protocolo de roteamento, a camada de distribuição pode resumir as rotas
da camada de acesso. Para algumas redes, a camada de distribuição oferece uma rota padrão para acessar
os roteadores da camada e executa apenas protocolos de roteamento dinâmico ao se comunicar com os
roteadores principais.
Para maximizar a hierarquia, a modularidade e o desempenho, a camada de distribuição deve ocultar

informações detalhadas de topologia sobre a camada de acesso dos roteadores principais. A camada de
distribuição deve resumir vários destinos da camada de acesso em alguns anúncios no núcleo. Da mesma
forma, a camada de distribuição deve ocultar informações detalhadas de topologia sobre a camada central da
camada de acesso, resumindo-as em um pequeno conjunto de anúncios ou em apenas uma rota padrão, se
possível. A camada de distribuição pode fornecer à camada de acesso uma rota para o roteador da camada de
distribuição mais próximo que tenha acesso ao núcleo.
Camada de acesso
A camada de acesso fornece aos usuários em segmentos locais acesso à rede interligada. A camada de
acesso pode incluir roteadores, switches, pontes, hubs de mídia compartilhada e pontos de acesso sem
fio. Conforme mencionado, os switches são frequentemente implementados na camada de acesso em redes
de campus para dividir domínios de largura de banda para atender às demandas de aplicações que precisam
de muita largura de banda ou que não podem suportar o atraso variável caracterizado pela largura de banda
compartilhada.
Para redes que incluem pequenas filiais e escritórios remotos, a camada de acesso pode fornecer acesso à
rede corporativa usando tecnologias de área ampla, como ISDN, Frame Relay, linhas digitais alugadas e linhas
de modem analógico. Você pode implementar recursos de roteamento, como roteamento de discagem sob
demanda (DDR) e roteamento estático, para controlar a utilização da largura de banda e minimizar custos em
links remotos da camada de acesso. (O DDR mantém um link inativo, exceto quando o tráfego
especificado precisa ser enviado.)
Diretrizes para projeto de rede hierárquica

Esta seção descreve brevemente algumas diretrizes para projeto de rede hierárquica. Seguir estas diretrizes
simples ajudará você a projetar redes que aproveitem os benefícios do design hierárquico.
A primeira diretriz é que você deve controlar o diâmetro de uma topologia de rede corporativa
hierárquica. Na maioria dos casos, três camadas principais são suficientes (conforme mostrado na Figura 5-4):
ÿ A camada central
ÿ A camada de distribuição
ÿ A camada de acesso
O controle do diâmetro da rede proporciona latência baixa e previsível. Também ajuda a prever
caminhos de roteamento, fluxos de tráfego e requisitos de capacidade. Um diâmetro de rede
controlado também facilita a solução de problemas e a documentação da rede.
Deve ser mantido um controle estrito da topologia da rede na camada de acesso. A camada de
acesso é mais suscetível a violações das diretrizes hierárquicas de projeto de rede.
Os usuários na camada de acesso têm a tendência de adicionar redes à rede de forma inadequada.
Por exemplo, um administrador de rede em uma filial pode conectar a rede da filial a outra filial,
adicionando uma quarta camada. Este é um erro comum de projeto de rede conhecido como adição
de uma cadeia. A Figura 5-6 mostra uma cadeia.
Camada Central
Camada de Distribuição
Camada de Acesso
Corrente Porta dos fundos
Figura 5-6 Chain e Backdoor na Camada de Acesso
Além de evitar cadeias, você deve evitar backdoors. Um backdoor é uma conexão entre dispositivos
na mesma camada, conforme mostrado na Figura 5-6. Um backdoor pode ser um roteador, ponte ou
switch extra adicionado para conectar duas redes. Um backdoor também pode ser um hub; por
exemplo, alguém pode instalar um minihub em uma sala de conferências e acidentalmente conectar o
hub a duas tomadas em vez de apenas uma. Backdoors devem ser evitados porque
causar problemas inesperados de roteamento e comutação e dificultar a documentação e a solução de

problemas da rede.
Nota Às vezes, há motivos válidos para adicionar uma cadeia ou backdoor. Por exemplo, as topologias
de redes internacionais são por vezes distorcidas pela disponibilidade de ligações de fibra óptica, pela
facilidade e custo de provisionamento de novas redes e pela disponibilidade de operadoras competentes.
Uma rede internacional pode exigir que uma cadeia adicione outro país. Às vezes, uma porta traseira
é adicionada para aumentar o desempenho e a redundância entre dois dispositivos paralelos em uma
camada. Em geral, entretanto, outras opções de design podem ser encontradas que permitem que o
design mantenha sua estrutura hierárquica. Para maximizar os benefícios de um modelo hierárquico,
geralmente você deve evitar cadeias e backdoors.
Finalmente, uma outra diretriz para o projeto de rede hierárquica é que você deve projetar primeiro a
camada de acesso, seguida pela camada de distribuição e, finalmente, pela camada central.
Começando pela camada de acesso, você pode realizar o planejamento de capacidade com mais
precisão para as camadas de distribuição e de núcleo. Você também pode reconhecer as técnicas de
otimização necessárias para as camadas de distribuição e núcleo.
Você deve projetar cada camada usando técnicas modulares e hierárquicas e depois planejar as
interconexões entre as camadas com base na análise da carga, fluxo e comportamento do tráfego.
Para entender melhor as características do tráfego de rede, você pode revisar os conceitos abordados
no Capítulo 4. Ao selecionar tecnologias para cada camada, conforme discutido na Parte III,
“Projeto de rede física”, talvez seja necessário voltar e ajustar o design para outras camadas. camadas.
Lembre-se de que o projeto de rede é um processo iterativo.
Topologias de design de rede redundantes

Projetos de rede redundantes permitem atender aos requisitos de disponibilidade da rede duplicando
elementos em uma rede. A redundância tenta eliminar qualquer ponto único de falha na rede. O objetivo
é duplicar qualquer componente necessário cuja falha possa desabilitar aplicativos críticos. O
componente pode ser um roteador central, um switch, um link entre dois switches, uma unidade de
serviço de canal (CSU), uma fonte de alimentação, um tronco WAN, conectividade com a Internet
e assim por diante. Para permitir a sobrevivência dos negócios após um desastre e oferecer benefícios
de desempenho a partir do compartilhamento de carga, algumas organizações possuem data centers
completamente redundantes. Outras organizações tentam restringir as despesas operacionais da rede
usando um nível de redundância menos abrangente.
Você pode implementar redundância dentro de redes de campus individuais e entre camadas do modelo
hierárquico. A implementação de redundância em redes de campus pode ajudá-lo a cumprir as
metas de disponibilidade para usuários que acessam serviços locais. Você também pode implementar
redundância na borda da rede corporativa para garantir alta disponibilidade para acesso à Internet,
extranet e rede virtual privada (VPN).
Observação Como a implantação e a manutenção da redundância são caras, você deve implementar topologias
redundantes com cuidado. Certifique-se de selecionar um nível de redundância que corresponda aos requisitos de
disponibilidade e acessibilidade do cliente.
Antes de selecionar soluções de design redundantes, você deve primeiro analisar os objetivos comerciais e
técnicos do seu cliente, conforme discutido na Parte I, “Identificando as necessidades e metas do seu cliente”.
Certifique-se de identificar aplicativos, sistemas, dispositivos de trabalho na Internet e links críticos. Analise a
tolerância do seu cliente ao risco e as consequências de não implementar redundância. Certifique-se de
discutir com seu cliente as vantagens e desvantagens de redundância versus baixo custo e simplicidade versus
complexidade. A redundância acrescenta complexidade à topologia da rede e ao endereçamento e roteamento
da rede.
Caminhos de backup
Para manter a interconectividade mesmo quando um ou mais links estão inativos, os projetos de rede redundantes
incluem um caminho de backup para os pacotes viajarem quando há problemas no caminho primário. Um
caminho de backup consiste em roteadores e switches e links de backup individuais entre roteadores e switches,
que duplicam dispositivos e links no caminho primário.
Ao estimar o desempenho da rede para um projeto de rede redundante, você deve levar em consideração dois
aspectos do caminho de backup:
ÿ Quanta capacidade o caminho de backup suporta
ÿ Com que rapidez a rede começará a usar o caminho de backup
Você pode usar uma ferramenta de modelagem de rede para prever o desempenho da rede quando o caminho
de backup estiver em uso. Às vezes, o desempenho é pior que o caminho primário, mas ainda assim
aceitável.
É bastante comum que um caminho de backup tenha menos capacidade que um caminho primário.
Links de backup individuais dentro do caminho de backup geralmente usam tecnologias diferentes. Por
exemplo, uma linha alugada pode estar em paralelo com uma linha dial-up de backup ou um circuito ISDN.
Projetar um caminho de backup que tenha a mesma capacidade do caminho primário pode ser caro e apropriado
apenas se os requisitos de negócios do cliente exigirem um caminho de backup com as mesmas características de
desempenho do caminho primário.
Se a mudança para o caminho de backup exigir a reconfiguração manual de qualquer componente, os

usuários notarão uma interrupção. Para aplicações de missão crítica, a interrupção provavelmente não é aceitável.
Um failover automático é necessário para aplicativos de missão crítica. Ao usar designs de rede redundantes e
de malha parcial, você pode acelerar o tempo de recuperação automática quando um link falhar.
Uma outra consideração importante com relação aos caminhos de backup é que eles devem ser testados.
Às vezes, os projetistas de rede desenvolvem soluções de backup que nunca são testadas até que um
catástrofe acontece. Quando ocorre a catástrofe, os links de backup não funcionam. Em alguns projetos de rede,
os links de backup são usados para compartilhamento de carga e redundância. Isto tem a vantagem de que o caminho
de backup é uma solução testada que é regularmente usada e monitorada como parte das operações diárias. O
compartilhamento de carga será discutido com mais detalhes na próxima seção.
Partilha de carga
O objetivo principal da redundância é atender aos requisitos de disponibilidade. Um objetivo secundário é melhorar o
desempenho através do suporte ao compartilhamento de carga entre links paralelos. O compartilhamento de carga,
às vezes chamado de balanceamento de carga, permite que duas ou mais interfaces ou caminhos compartilhem a carga
de tráfego.
Nota Os puristas usam o termo compartilhamento de carga em vez de balanceamento de carga porque a carga geralmente
não é balanceada com precisão em vários links. Como os roteadores podem armazenar em cache a interface usada
para um host de destino ou até mesmo para uma rede de destino inteira, todo o tráfego para esse destino tende a seguir o
mesmo caminho. Isso faz com que a carga não seja balanceada entre vários links, embora a carga deva ser compartilhada
entre os links se houver muitos destinos diferentes.
Em ambientes WAN, você pode facilitar o compartilhamento de carga configurando a agregação de canais. A
agregação de canais significa que um roteador pode ativar automaticamente vários canais à medida que os requisitos
de largura de banda aumentam. O Multilink Point-to-Point Protocol (MPPP) é um padrão da Internet Engineering Task
Force (IETF) para agregação de canais. O MPPP garante que os pacotes cheguem em sequência ao roteador
receptor. Para conseguir isso, os dados são encapsulados no protocolo ponto a ponto (PPP) e os datagramas recebem
um número de sequência. No roteador receptor, o PPP utiliza o número de sequência para recriar o fluxo de
dados original. Vários canais aparecem como um link lógico para protocolos de camada superior.
As implementações de protocolos de roteamento IP da maioria dos fornecedores suportam compartilhamento de carga

entre links paralelos que têm custo igual. (Os valores de custo são usados pelos protocolos de roteamento para
determinar o caminho mais favorável para um destino. Dependendo do protocolo de roteamento, o custo pode ser
baseado na contagem de saltos, largura de banda, atraso ou outros fatores.) Com o EIGRP, a Cisco oferece suporte
ao compartilhamento de carga mesmo quando os caminhos não têm o mesmo custo. Usando um recurso chamado
variação, o EIGRP pode carregar compartilhamento entre caminhos que não têm o mesmo custo. A Cisco oferece
suporte ao compartilhamento de carga em seis caminhos paralelos.
Alguns protocolos de roteamento baseiam o custo no número de saltos para um destino específico.
Esses protocolos de roteamento balanceiam a carga em caminhos de largura de banda desiguais, desde que a
contagem de saltos seja igual. Entretanto, quando um enlace lento fica saturado, os enlaces de maior capacidade não
podem ser preenchidos. Isso é chamado de congestionamento pinhole, que pode ser evitado projetando-se links de
largura de banda igual dentro de uma camada da hierarquia ou usando um protocolo de roteamento que baseia o
custo na largura de banda e possui o recurso de variação.
Projeto de rede modular

O design de rede de cima para baixo permite detalhar os componentes do projeto de rede e
aplicar princípios fundamentais de projeto aos componentes e ao projeto geral.
Hierarquia e redundância, conforme mencionado nas seções anteriores, são conceitos
fundamentais de projeto de rede. Outro conceito fundamental relacionado à hierarquia é a modularidade.
Grandes projetos de design de redes e grandes redes em geral consistem em diferentes áreas
ou módulos. Cada área deve ser concebida utilizando uma abordagem sistemática e descendente,
aplicando hierarquia e redundância quando apropriado. As soluções e serviços de rede
podem ser selecionados por módulo, mas validados como parte do projeto geral da rede. A Cisco
desenvolveu a arquitetura de referência de segurança SAFE para representar os componentes ou
módulos de uma rede corporativa típica. A próxima seção descreve a arquitetura.
Arquitetura de referência de segurança Cisco SAFE

SAFE é uma arquitetura de referência que os projetistas de redes podem usar para simplificar a
complexidade de uma grande rede. A arquitetura permite aplicar uma abordagem modular ao
projeto de rede. Com o SAFE, você pode analisar os componentes funcionais, lógicos e físicos de
uma rede e, assim, simplificar o processo de projeto de uma rede corporativa geral.
A arquitetura Cisco SAFE está especialmente preocupada com a segurança. O SAFE adota uma
abordagem de defesa profunda, na qual múltiplas camadas de proteção estão estrategicamente
localizadas em toda a rede. As camadas estão sob uma estratégia unificada para proteger toda a
rede e os vários componentes da rede, incluindo segmentos de rede individuais, dispositivos
de infraestrutura, serviços de rede, terminais e aplicativos. A Figura 5-7 mostra os principais
módulos da arquitetura SAFE.
Visualização de alto nível
Gerenciamento
Borda WAN Galhos
WAN
Campus
Extranet Site parceiro
Essencial
Borda da Internet Teletrabalhador
Internet
Centro de dados Cisco
Comércio eletrônico SensorBase
Figura 5-7 Visão de alto nível da arquitetura Cisco SAFE

A arquitetura SAFE compreende os seguintes módulos principais:
ÿ Núcleo: O núcleo une todos os outros módulos. O núcleo é uma infraestrutura de alta velocidade que
fornece transporte confiável e escalável de Camada 2 e Camada 3. O núcleo normalmente é
implementado com switches redundantes que agregam as conexões ao campus, data center, borda
WAN e borda da Internet.
ÿ Data center: o data center hospeda servidores, aplicativos e dispositivos de armazenamento para uso
de usuários internos. O data center também conecta a infraestrutura de rede exigida por esses
dispositivos, incluindo roteadores, switches, balanceadores de carga, dispositivos de entrega de
conteúdo e dispositivos de aceleração de aplicativos. O data center não é acessível diretamente pela
Internet ao público em geral.
ÿ Campus: A rede do campus fornece acesso de rede a usuários finais e dispositivos localizados em
uma única localização geográfica. O campus pode abranger vários andares em um único edifício
ou vários edifícios para empresas maiores. O campus hospeda serviços locais de dados, voz e
vídeo. O projeto do campus deve permitir que os usuários acessem com segurança o data center
e os recursos da Internet a partir da infraestrutura do campus.
ÿ Gerenciamento: A rede de gerenciamento fornece serviços de monitoramento, análise, autenticação

e registro. Os servidores de gerenciamento suportam RADIUS, Kerberos, Network Time
Protocol (NTP), Simple Network Management Protocol (SNMP) e tráfego syslog. A rede de
gerenciamento combina gerenciamento fora de banda (OOB) e gerenciamento dentro de banda (IB),
abrangendo todos os blocos de construção da arquitetura SAFE. A rede de gerenciamento OOB
pode ser implementada como um conjunto de switches dedicados ou através do uso de VLANs
isoladas.
ÿ Borda WAN: A borda WAN é a parte da rede que agrega links WAN que conectam filiais geograficamente
distantes a um site central ou hub regional.
A WAN pode ser de propriedade da empresa ou de um provedor de serviços, sendo esta última a
opção mais comum.
ÿ Borda da Internet: A borda da Internet é a infraestrutura que fornece conectividade à Internet e que
atua como porta de entrada da empresa para o resto do mundo.
Os serviços de borda da Internet incluem uma DMZ pública, acesso corporativo à Internet e VPN de
acesso remoto.
ÿ Filiais: as filiais fornecem conectividade a usuários e dispositivos em locais remotos. Uma filial
normalmente inclui uma ou mais LANs e se conecta ao site central por meio de uma WAN privada
ou de uma conexão à Internet usando tecnologia VPN. As filiais hospedam serviços locais de dados,
voz e vídeo.
ÿ Extranet: Uma extranet permite que parceiros de negócios, clientes e fornecedores selecionados acessem
uma parte da rede por meio de protocolos seguros. Os serviços de extranet incluem VPN de
acesso remoto, detecção e mitigação de ameaças, failover estável para servidores e dispositivos de
rede e redundância topológica.
ÿ Site parceiro: Sites parceiros são redes de propriedade de parceiros de negócios, clientes e
fornecedores. Eles acessam serviços na extranet por meio de WAN segura ou conectividade
com a Internet.
ÿ Comércio eletrônico: O módulo de comércio eletrônico hospeda aplicativos, servidores e dados utilizados na
venda e compra de produtos. Os serviços incluem segurança das camadas 2 a 7, farms de servidores com
filtragem de tráfego e balanceamento de carga do servidor. Os contextos virtuais fornecem
segmentação e aplicação de políticas para comunicação entre servidores.
ÿ Teletrabalhador: O módulo teletrabalhador é o escritório doméstico de um funcionário em período integral

ou parcial. Os serviços no módulo de teletrabalhador incluem VPN de acesso remoto, segurança de
desktop, rede sem fio segura, telefonia IP e vídeo IP.
ÿ Cisco SensorBase: O Cisco SensorBase consiste em servidores de coleta de ameaças que recebem
atualizações diárias de sensores implantados globalmente sobre ameaças como botnets, dark nets,
malware e invasores em série. Os sensores incluem sistemas de prevenção de intrusões, servidores
de e-mail e dispositivos de segurança da web.
Projetando uma topologia de design de rede de campus

As topologias de projeto de rede de campus devem atender às metas de disponibilidade e desempenho do
cliente, apresentando pequenos domínios de largura de banda, pequenos domínios de transmissão, redundância,
servidores espelhados e diversas maneiras de uma estação de trabalho acessar um roteador para
comunicações fora da rede. As redes de campus devem ser projetadas usando uma abordagem hierárquica
e modular para que a rede ofereça bom desempenho, capacidade de manutenção e escalabilidade.
Uma rede de campus pode consistir em camadas de acesso, distribuição e núcleo:
ÿ Camada de acesso ao campus: este módulo contém estações de trabalho de usuários finais e telefones IP
conectado a switches ou pontos de acesso sem fio. Switches de última geração fornecem uplinks para a
camada de distribuição. Os serviços oferecidos por este módulo incluem acesso à rede, controle de
transmissão, filtragem de protocolo e marcação de pacotes para recursos de qualidade de serviço (QoS).
ÿ Camada de distribuição do campus: A função deste módulo é agregar armários de fiação

dentro de um edifício e fornecer conectividade ao núcleo do campus através de roteadores (ou switches
com módulos de roteamento). Este módulo fornece roteamento, QoS e métodos de controle de acesso
para atender aos requisitos de segurança e desempenho. Redundância e compartilhamento de carga são
recomendados para este módulo. Por exemplo, cada edifício deve ter dois caminhos de custo igual para
o núcleo do campus.
ÿ Camada central do campus: O núcleo do campus interconecta os módulos de acesso e distribuição com o
data center, gerenciamento de rede e módulos de borda. O núcleo do campus fornece conectividade
redundante e de rápida convergência. Ele roteia e alterna o tráfego o mais rápido possível de um módulo
para outro. Este módulo geralmente usa roteadores de alta velocidade (ou switches com capacidade de
roteamento) e fornece QoS e recursos de segurança.
Protocolo Spanning Tree

A topologia de um projeto de rede de campus é frequentemente determinada pelo Spanning Tree Protocol
(STP), que é um protocolo e algoritmo, documentado em IEEE 802.1D, para “podar” dinamicamente uma
topologia arbitrária de switches conectados da Camada 2 em uma árvore de abrangência. . A topologia
resultante abrange todo o domínio comutado e tem o formato de um
árvore matemática, com galhos que se espalham a partir de um caule sem formar voltas ou
polígonos. O projetista da rede conecta fisicamente os switches em uma malha redundante
topologia, mas o STP cria uma árvore lógica sem redundância.
Nota Como o STP foi desenvolvido pela primeira vez quando pontes foram usadas em vez de switches, o STP
as discussões usam a palavra bridge para o dispositivo da Camada 2 que hoje chamamos de switch.
A árvore geradora possui uma ponte raiz e um conjunto de portas em outras pontes que encaminham
tráfego em direção à ponte raiz. As pontes enviam quadros de unidade de dados de protocolo de ponte (BPDU) para
entre si para construir e manter a árvore geradora. BPDUs identificam a ponte raiz e
ajudar as outras pontes a calcular seu caminho de menor custo até a raiz. Bridges enviam topologia
alterar BPDUs de notificação quando as portas da ponte mudarem de estado. Configuração de envio de pontes
BPDUs a cada 2 segundos para manter a árvore geradora. BPDUs são enviados para a ponte
Endereço do grupo 01:80:C2:00:00:00.
Valores de custo da árvore abrangente
Como já mencionado, as pontes calculam o caminho de menor custo para a ponte raiz. O
O caminho de menor custo geralmente é o caminho de maior largura de banda, embora o custo seja configurável.
A especificação original IEEE 802.1D usava um campo de 16 bits para o custo de links de diferentes
velocidades. A versão 2004 usa um campo de 32 bits. Os switches Cisco por padrão usam um switch de 16 bits
campo com os valores padrão mostrados na Tabela 5-1. Os switches Cisco também podem ser configurados
para valores de 32 bits. A Tabela 5-1 mostra os valores padrão da Cisco de 16 bits e os valores padrão de 32 bits.
valores para a versão 2004 do IEEE 802.1D.
Tabela 5-1 Valores de custo IEEE 802.1D e Cisco de 16 bits
Velocidade do link Custo Cisco de 16 bits Custo IEEE 802.1D 2004 de 32 bits
100kbps Não aplicável 200.000.000
1Mbps Não aplicável 20.000.000
10Mbps 100 2.000.000
100Mbps 10 200.000
1Gb/s 4 20.000
10Gbps 2 2000
100 Gbps Não aplicável 200
1 Tbps Não aplicável 20
10 Tbps Não aplicável 2

Protocolo Rapid Spanning Tree Em 2004, o
IEEE incorporou seu padrão 802.1w, “Rapid Reconfiguration of Spanning Tree”, no padrão IEEE 802.1D. O objetivo
do comitê 802.1w era padronizar um modo aprimorado de operação do switch que reduzisse o tempo que o STP leva
para convergir para uma árvore geradora de menor custo e para restaurar o serviço após falhas no link. Com o padrão
802.1D original, as redes demoravam quase um minuto para convergir. Em uma rede configurada corretamente,
o novo 802.1D Rapid Spanning Tree Protocol (RSTP) pode alcançar convergência ou reconvergência em algumas
centenas de milissegundos.
Com o RSTP, as portas da ponte podem estar em um dos três estados:
ÿ Descartando: uma porta que não está aprendendo endereços MAC nem encaminhando quadros de usuários
ÿ Aprendizagem: uma porta que está aprendendo endereços MAC para preencher a tabela de endereços MAC, mas
ainda não está encaminhando quadros de usuário
ÿ Encaminhamento: uma porta que aprende endereços MAC e encaminha quadros de usuário
O STP original esperou passivamente que a rede convergisse antes de fazer a transição de uma porta para o
estado de encaminhamento. Para obter uma convergência rápida, um administrador de rede teve que ajustar
cuidadosamente os valores padrão conservadores dos temporizadores Maximum Age e Forward Delay, o que
colocava em risco a estabilidade da rede. O RSTP, por outro lado, pode confirmar ativamente que uma porta pode
fazer a transição com segurança para o estado de encaminhamento sem precisar depender de nenhuma configuração
de temporizador. Existe agora um mecanismo de sincronização que ocorre entre pontes compatíveis com RSTP
para que elas construam ativamente a topologia o mais rápido possível.
Como foi o caso do STP, o RSTP elege a ponte com o ID de ponte mais baixo como ponte raiz. Cada ponte tem
um custo de caminho raiz associado a ela. Para a ponte raiz isso é zero. Para todas as outras pontes, é a soma
dos custos do caminho da porta no caminho de menor custo para a ponte raiz.
Quando a rede comutada convergiu, cada porta da ponte terá uma das seguintes funções:
ÿ Raiz: Atribuído à única porta em uma ponte não raiz que fornece o menor custo
caminho para a ponte raiz. Se uma ponte tiver duas ou mais portas com o mesmo custo, a porta com o menor
ID de porta será selecionada como porta raiz. Uma porta raiz é uma porta de encaminhamento.
ÿ Designado: atribuído à porta conectada a uma LAN que fornece o caminho de menor custo dessa LAN até a
ponte raiz. Todas as portas na ponte raiz são portas designadas. Se houver duas ou mais pontes com o
mesmo custo, a ponte com o ID de ponte mais baixo será a ponte designada. A porta da ponte designada que
está conectada à LAN recebe a função de porta designada para essa LAN. Se a ponte designada tiver duas ou
mais portas conectadas à LAN, a porta da ponte com o menor ID de porta será selecionada como a porta
designada. Uma porta designada é uma porta de proteção.
ÿ Alternativo: atribuído a uma porta que oferece um caminho alternativo na direção da ponte raiz àquele
fornecido pela porta raiz da ponte. Uma porta alternativa é uma porta de descarte.
ÿ Backup: atribuído a uma porta em uma ponte designada que atua como backup para o caminho fornecido por
uma porta designada na direção das folhas da árvore geradora.
As portas de backup existem apenas onde duas portas em uma ponte estão conectadas em loop back por
um link ponto a ponto, ou onde a ponte tem duas ou mais conexões com uma LAN de mídia compartilhada.
Uma porta de backup é uma porta de descarte.
ÿ Desativado: atribuído a uma porta que não está operacional ou foi excluída da topologia ativa pelo
gerenciamento de rede. Uma porta desabilitada é uma porta descartada.
A versão 2004 do 802.1D também suporta o conceito de porta de borda. Um gerente de rede pode configurar
uma porta como porta de borda se ela estiver conectada a uma LAN que não tenha outras pontes
conectadas. (O RSTP também pode detectar automaticamente portas de borda.) As portas de borda passam
diretamente para o estado de encaminhamento, o que é um grande benefício para portas da camada de
acesso que conectam sistemas de usuários finais. O RSTP ainda continua monitorando a porta em busca
de BPDUs caso uma ponte esteja conectada. Assim que a ponte detecta um BPDU chegando em uma porta
de borda, a porta se torna uma porta não-de ponta. Uma porta de borda corresponde ao recurso Cisco
PortFast (e é configurada com o comando Cisco spanning-tree portfast ).
Em uma rede estável onde o RSTP comunicou informações consistentes por toda a rede, cada LAN possui
uma e somente uma porta designada, e cada ponte, com exceção da ponte raiz, possui uma única porta raiz
conectada a uma LAN. Como cada ponte fornece conectividade entre sua porta raiz e suas portas designadas,
a topologia ativa resultante conecta todas as LANs e não possui loops. Em outras palavras, é uma árvore
geradora.
Convergência e Reconvergência RSTP

O RSTP pode convergir rapidamente para uma topologia em árvore onde os caminhos de menor custo são os
quadros de encaminhamento. O RSTP consegue uma transição rápida para o estado de encaminhamento em
portas de borda, portas raiz e links ponto a ponto. As portas de borda e raiz podem fazer a transição para
encaminhamento sem transmitir ou receber mensagens de outras pontes.
Uma porta designada anexada a um link ponto a ponto pode fazer a transição para o estado de encaminhamento
quando recebe um acordo de função explícito transmitido pela outra ponte anexada ao link. No caso de uma
LAN compartilhada, o atraso de transição de encaminhamento usado por uma porta designada é longo o
suficiente para que outras pontes conectadas à LAN recebam e atuem nas mensagens transmitidas, mas é
independente do tamanho geral da rede. Se todas as LANs em uma rede forem links ponto a ponto, os
temporizadores RSTP definirão os atrasos de pior caso que ocorrerão apenas se as mensagens do protocolo
forem perdidas ou os limites de taxa de transmissão forem excedidos.
O tipo de link para uma LAN é derivado automaticamente do modo duplex de uma porta. Uma porta que opera no
modo full-duplex é considerada ponto a ponto, enquanto uma porta half-duplex é considerada uma porta
compartilhada por padrão. (A configuração automática do tipo de link também pode ser substituída pela
configuração explícita.) Nas redes comutadas modernas, a maioria dos links
operam em modo full-duplex e o RSTP os trata como links ponto a ponto. Isso os torna candidatos à transição
rápida para o estado de encaminhamento.
Se a conectividade física da rede mudar ou os parâmetros de gerenciamento mudarem, novas informações da

árvore geradora se propagarão rapidamente. Cada ponte aceita informações melhores de qualquer ponte em uma
LAN ou informações revisadas da ponte designada anteriormente para a LAN. As BPDUs de configuração
atualizada são transmitidas através de portas designadas até que as folhas da árvore geradora sejam
alcançadas. A transmissão de informações cessa à medida que novas BPDUs de configuração alcançam
portas designadas que já receberam as novas informações através de caminhos redundantes na rede, ou
alcançam LANs que não estão conectadas de forma redundante.
Na especificação 802.1D original, uma ponte que detectasse uma alteração de topologia gerava uma notificação
de alteração de topologia até a raiz. A raiz então inundou a alteração até que os temporizadores Maximum Age
e Forward Delay expirassem. Na especificação 802.1D mais recente, que inclui os aprimoramentos do
802.1w, a propagação da mudança é um processo de uma etapa.
O iniciador da mudança de topologia inunda as informações por toda a rede.
Não há necessidade de esperar que a ponte raiz seja notificada ou que as pontes mantenham um estado de
mudança de topologia até que os temporizadores expirem.
O RSTP inclui outra forma de transição imediata para o estado de encaminhamento que é semelhante à extensão
UplinkFast proprietária da Cisco para STP. Quando uma ponte perde sua porta raiz, ela pode fazer a transição
imediata de uma porta alternativa para o estado de encaminhamento. A seleção de uma porta alternativa como
a nova porta raiz gera uma mudança de topologia. O mecanismo de mudança de topologia RSTP limpa as
entradas apropriadas nas tabelas de endereços MAC das pontes afetadas, um passo necessário para garantir
que a tabela reflita com precisão a nova topologia e o caminho para os endereços MAC de destino.
Selecionando a ponte raiz

É uma boa prática controlar qual switch se tornará a ponte raiz. A ponte raiz deve ser um switch confiável e
de alta velocidade no centro da topologia comutada. Se você permitir que os switches elejam a raiz por conta
própria, você terá pouco controle sobre a direção em que o tráfego flui e a quantidade de atraso no
encaminhamento de quadros em sua rede. Se você não tomar cuidado, uma ponte lenta pode se tornar a ponte
raiz. Além disso, as portas de alta velocidade podem ser acidentalmente removidas da árvore geradora
em deferência às portas de baixa velocidade que estão mais próximas da ponte raiz.
A bridge raiz é o switch com o menor ID de bridge. O ID da ponte possui duas partes, um campo de prioridade
e o endereço MAC do switch. Se todas as prioridades forem mantidas em seus valores padrão, o switch ou
ponte com o endereço MAC mais baixo se tornará a raiz. Este poderia facilmente ser um dos primeiros
produtos da Cisco, porque a Cisco tinha um ID de fornecedor muito baixo. (O ID do fornecedor constitui os
primeiros 3 bytes de um endereço MAC, e o ID do fornecedor original da Cisco era 00:00:0C.)
O controle manual do processo de seleção da ponte raiz é fundamental para manter o alto rendimento
em redes comutadas. Isto pode ser conseguido garantindo que um determinado
switch tem o ID de ponte mais baixo. Não é recomendado (ou mesmo possível em alguns switches) alterar
a parte do endereço MAC de um ID de ponte. Em vez disso, para controlar o ID da ponte, defina a
prioridade da ponte. Em switches Cisco, você pode usar o comando spanning-tree vlan vlan-id
prioridade . Você deve dar a prioridade mais baixa a um switch único, de alta velocidade e localizado
centralmente, para que ele se torne a ponte raiz. Você também deve diminuir a prioridade em outro switch
de alta velocidade localizado centralmente para que ele se torne a raiz se a raiz primária falhar.
Geralmente esses dois switches são switches da camada de distribuição.
Nota A Cisco também oferece suporte a um recurso Root Guard que protege sua rede contra um switch
de baixa velocidade que sequestra o trabalho da ponte raiz. Uma porta de switch configurada para Root
Guard não pode se tornar uma porta raiz. Em vez disso, a porta se torna uma porta designada para seu
segmento LAN. Se houver um BPDU melhor recebido na porta, o Root Guard desabilita a porta, em vez de
levar em consideração o BPDU e reiniciar a eleição da ponte raiz. O Root Guard precisa ser habilitado em
todas as portas de todos os switches que não devem se tornar a ponte raiz.
Dimensionando o protocolo Spanning Tree

O STP funciona melhor quando a rede comutada é mantida relativamente pequena e os comutadores têm
potência de CPU e RAM suficientes para realizar seu trabalho com eficiência. Em uma rede
superdimensionada com switches com pouca potência de CPU, os BPDUs podem não ser enviados e
recebidos corretamente, resultando em loops. Um switch com RAM insuficiente ou um problema de software
também pode derrubar BPDUs. Além disso, uma rede congestionada poderia causar problemas para a
transmissão de BPDUs.
Para garantir que informações antigas não circulem indefinidamente por caminhos redundantes em uma
rede, evitando assim a propagação de novas informações, cada BPDU inclui uma Idade da Mensagem
e uma Idade Máxima. Quando a Idade da Mensagem excede a Idade Máxima, o BPDU é descartado. Em
redes comutadas grandes e lentas, os BPDUs podem ser descartados antes de chegarem a todos os
comutadores. Este problema faz com que o STP reconverja com muito mais frequência do que deveria.
STP depende da recepção oportuna de BPDUs. A Cisco possui um recurso de detecção de distorção de
BPDU que permite que um switch monitore BPDUs que chegam tarde e notifique o administrador por
meio de mensagens syslog. Esse recurso é mais uma solução alternativa do que uma solução. Um
plano melhor é projetar uma rede comutada com cuidado. Mantenha a rede comutada pequena com uma
ponte raiz selecionada por seu alto desempenho e posicionamento central na rede.
Também é comum desenvolver redes de campus que dependem de STP apenas para loops
inadvertidos. Em outras palavras, a topologia da Camada 2 é intencionalmente projetada para ser uma
topologia em árvore por padrão, portanto não há necessidade do STP remover loops para criar uma
árvore. O STP ainda está habilitado caso um engenheiro de rede novato (ou um usuário) coloque um switch
na rede em loop, mas o STP é relegado a uma função de proteção em vez de sua função operacional
legada. Roteadores e protocolos de roteamento são adicionados ao projeto nas camadas de distribuição
e núcleo. Os roteadores têm vantagens em comparação aos switches em sua capacidade de implementar
protocolos de roteamento e políticas de segurança de rápida convergência, compartilhamento de carga e recursos de QoS.
Observação A Cisco também oferece suporte a um recurso BPDU Guard que protege sua rede contra um switch
de baixa velocidade que ingressa em uma rede e envia BPDUs. Uma porta de switch configurada para BPDU
Guard entra no modo errdisable.
LANs virtuais
Uma rede de campus deve ser projetada usando pequena largura de banda e pequenos domínios de
transmissão. Um domínio de largura de banda é um conjunto de dispositivos que compartilham largura de banda
e competem pelo acesso à largura de banda. Uma topologia de barramento tradicional ou Ethernet baseada
em hub, por exemplo, é um domínio de largura de banda único. Um switch divide domínios de largura de banda
e geralmente é usado para conectar cada dispositivo, de modo que a rede consista em muitos domínios de
largura de banda extremamente pequenos. Com switches, ao contrário dos hubs, o domínio da largura
de banda consiste na porta do switch e no dispositivo que a conecta. Se o modo de transmissão full-duplex
for usado, um domínio de largura de banda se tornará ainda menor e consistirá apenas na porta ou no dispositivo.
Nota Em redes que sofrem colisões, incluindo a Ethernet tradicional, um domínio de largura de banda também é
chamado de domínio de colisão.
Um domínio de transmissão é um conjunto de dispositivos que podem ouvir os quadros de transmissão uns dos
outros. Um quadro de transmissão é um quadro enviado para o endereço MAC FF:FF:FF:FF:FF:FF. Por padrão,
os switches não dividem domínios de broadcast. Entretanto, a camada de acesso ao campus deve usar
switches e fornecer controle de transmissão. Para conseguir isso, são necessárias LANs virtuais.
Uma LAN virtual (VLAN) é uma emulação de uma LAN padrão que permite que a transferência de dados
ocorra sem as restrições físicas tradicionais colocadas em uma rede. Uma VLAN é um conjunto de dispositivos
LAN que pertencem a um grupo administrativo. A associação ao grupo é baseada em parâmetros de
configuração e políticas administrativas, e não na localização física.
Os membros de uma VLAN comunicam-se entre si como se estivessem no mesmo fio ou hub, quando podem
estar localizados em diferentes segmentos físicos da LAN. Os membros de uma VLAN comunicam-se com
membros de uma VLAN diferente como se estivessem em segmentos de LAN diferentes, mesmo quando estão
localizados no mesmo switch. Como as VLANs são baseadas em conexões lógicas em vez de físicas, elas
são extremamente flexíveis.
Nos primeiros dias das VLANs, em meados da década de 1990, falava-se muito sobre o uso de VLANs para
agrupar usuários que trabalhavam em um projeto, mesmo que eles não estivessem fisicamente localizados
juntos. Com VLANs, a localização física de um usuário não importa. Um administrador de rede pode atribuir
um usuário a uma VLAN independentemente da localização do usuário. Em teoria, a atribuição de VLAN
pode ser baseada em aplicativos, protocolos, requisitos de desempenho, requisitos de segurança, características
de carga de tráfego ou outros fatores.
Também se falou muito sobre VLANs simplificando movimentações, adições e alterações em uma rede de
campus. A teoria era que, com as VLANs, os administradores de rede podem permanecer sentados em seus
escritórios ou no armário de fiação quando um usuário final se muda para um novo escritório ou cubículo.
Se um usuário do departamento de marketing, por exemplo, se mudar para um novo escritório fisicamente
localizado entre engenheiros, o profissional de marketing pode não ter as habilidades necessárias para
configurar o endereçamento IP para compatibilidade com o novo local. Pedir ajuda aos engenheiros pode
não funcionar porque os engenheiros não gostam de profissionais de marketing, e pedir ao administrador da
rede para ir ao escritório e fazer a mudança pode levar muito tempo porque os administradores estão
muito ocupados. Em vez disso, o administrador da rede pode configurar a porta do switch do dispositivo
movido para fazer parte da VLAN de marketing. Mudanças adicionais podem ser necessárias para garantir
que os outros switches saibam que a VLAN de marketing se expandiu para uma nova área; entretanto,
nenhuma alteração é necessária no computador do profissional de marketing.
Nas redes modernas, as VLANs não são frequentemente utilizadas desta forma. Configurar manualmente
endereços IP não é comum porque o DHCP se tornou muito popular. Além disso, quando uma VLAN está
dispersa por muitas redes físicas, o tráfego deve fluir para cada uma dessas redes, o que afeta o
desempenho das redes e aumenta os requisitos de capacidade dos links que conectam as VLANs. Redes
com VLANs que migram por toda a topologia do campus são difíceis de gerenciar e otimizar.
Nas redes modernas, em vez de permitir a disseminação de uma LAN lógica ou de um grupo administrativo
por muitas LANs físicas, uma VLAN tornou-se um método para subdividir LANs físicas baseadas em switches
em muitas LANs lógicas. As VLANs permitem que uma rede grande, plana e baseada em switch seja dividida
em domínios de transmissão separados. Em vez de inundar todas as transmissões em todas as portas, um
switch habilitado para VLAN inunda uma transmissão apenas nas portas que fazem parte da mesma
VLAN da estação emissora.
Quando os switches se tornaram populares em meados da década de 1990, muitas empresas

implementaram grandes redes de campus comutadas com poucos roteadores. Os objetivos eram manter os
custos baixos usando switches em vez de roteadores e fornecer bom desempenho porque presumivelmente
os switches eram mais rápidos que os roteadores. Contudo, sem a capacidade do roteador de conter o
tráfego de transmissão, as empresas precisavam de VLANs, que permitissem que a grande rede plana fosse
dividida em domínios de transmissão. Um roteador (ou um módulo de roteamento dentro de um switch)
ainda é necessário para a comunicação entre VLANs.
Em redes de campus baseadas em IP, uma VLAN geralmente é sua própria sub-rede IP, devido à forma
como o Address Resolution Protocol (ARP) funciona. Quando um host IP em uma sub-rede precisa
alcançar outro host na mesma sub-rede, ele envia uma mensagem ARP para determinar o endereço MAC
(Media Access Control) do host que está tentando alcançar. A mensagem ARP é enviada como uma
transmissão. Todos os dispositivos que se encontram dessa forma precisam estar na mesma VLAN. Assim,
em uma rede IP, as VLANs são implementadas como sub-redes IP separadas. Um roteador (ou um módulo
de roteamento dentro de um switch) fornece comunicação entre sub-redes da mesma forma que faria para
um conjunto de LANs reais (não virtuais) interconectadas.
Projetos fundamentais de VLAN

Para entender as VLANs, é útil pensar primeiro em LANs reais (não virtuais). Imagine dois switches que
não estão conectados de forma alguma. O Switch A conecta estações na Rede A e o Switch B conecta
estações na Rede B, conforme mostrado na Figura 5-8.
Quando a Estação A1 na Figura 5-8 envia uma transmissão, a Estação A2 e a Estação A3 recebem a
transmissão, mas nenhuma das estações na Rede B recebe a transmissão, porque as duas
os interruptores não estão conectados. Essa mesma configuração pode ser implementada através de
opções de configuração em um único switch, com o resultado parecido com a Figura 5-9.
Através da configuração do switch existem agora duas LANs virtuais implementadas em um único switch,
em vez de duas LANs físicas separadas. Esta é a beleza das VLANs. O tráfego de transmissão, multicast
e destino desconhecido originado de qualquer membro da VLAN A é encaminhado para todos os
outros membros da VLAN A, e não para um membro da VLAN B. A VLAN A tem as mesmas propriedades
de uma LAN fisicamente separada e limitada por roteadores .
O comportamento do protocolo na Figura 5-8 é exatamente igual ao comportamento do protocolo
na Figura 5-9.
Interruptor A Interruptor B
Estação A1 Estação A2 Estação A3 Estação B1 Estação B2 Estação B3
Rede A Rede B
Figura 5-8 Dois switches com estações conectadas
VLAN A
Estação A1 Estação A2 Estação A3
Estação B1 Estação B2 Estação B3
VLANB
Figura 5-9 Switch Único com Estações de

Rede A e Rede B anexadas
As VLANs podem abranger vários switches. Na Figura 5-10, ambos os switches contêm estações que
são membros da VLAN A e da VLAN B. Esse projeto introduz um novo problema, cuja solução é
especificada no padrão IEEE 802.1Q e no Inter Switch Link (ISL) proprietário da Cisco. protocolo. O
problema tem a ver com o encaminhamento de quadros de broadcast, multicast ou de destino
desconhecido de um membro de uma VLAN em um switch para os membros da mesma VLAN no outro
switch.
VLAN A VLAN A
Estação A1 Estação A2 Estação A3 Estação A4 Estação A5 Estação A6
Estação B1 Estação B2 Estação B3 Estação B4 Estação B5 Estação B6
VLANB VLANB
Figura 5-10 VLAN A e VLAN B abrangem dois switches
Na Figura 5-10, todos os quadros que vão do Switch A ao Switch B seguem o mesmo caminho de
interconexão. O padrão 802.1Q e o protocolo Cisco ISL definem um método para o Switch B reconhecer
se um quadro recebido pertence à VLAN A ou à VLAN B. À medida que um quadro sai do Switch A,
um cabeçalho especial é adicionado ao quadro, chamado de tag VLAN . . A tag VLAN contém um
identificador (ID) de VLAN que especifica a qual VLAN o quadro pertence.
Como ambos os switches foram configurados para reconhecer a VLAN A e a VLAN B, eles podem
trocar quadros através do link de interconexão, e o switch destinatário pode determinar a VLAN para a
qual esses quadros devem ser enviados, examinando a etiqueta da VLAN.
O link entre os dois switches às vezes é chamado de link de tronco ou simplesmente tronco.
Os links de tronco permitem que o projetista da rede junte VLANs que abrangem vários switches.
Uma consideração importante de projeto é determinar o escopo de cada VLAN e quantos switches ela
deve abranger. Conforme mencionado anteriormente, a maioria dos designers tenta manter o escopo
pequeno. Cada VLAN é um domínio de broadcast e, de acordo com as recomendações especificadas
no capítulo anterior, um único domínio de broadcast deve ser limitado a algumas centenas de estações
de trabalho (ou outros dispositivos, como telefones IP).
Outra consideração importante de projeto é a capacidade dos links troncais. Usando os métodos
discutidos no Capítulo 4, você deve estudar o tráfego de rede para determinar se Fast Ethernet,
Gigabit Ethernet ou múltiplos de Fast ou Gigabit Ethernet serão necessários para links de tronco.
Embora a Cisco suporte troncos Ethernet de 10 Mbps em alguns equipamentos, 10 Mbps geralmente é
suficiente apenas para troncos que suportam redes pequenas ou para redes de laboratório usadas
para fins de aprendizagem e teste.
LANs sem fio

Conforme discutido na Parte I deste livro, a mobilidade dos usuários tornou-se uma meta importante para
muitas empresas. Em um projeto de rede de campus, uma ou mais LANs sem fio (WLAN) podem atingir
esse objetivo, oferecendo acesso à intranet e à Internet em áreas abertas do campus e em áreas
de alta densidade, como auditórios, salas de conferências e refeitórios. WLAN
A tecnologia também permite a implantação de LANs em escritórios ou outras partes de edifícios onde
pode não ser rentável ou prático instalar cabeamento.
Uma WLAN consiste em pontos de acesso que se comunicam por radiofrequência (RF) com clientes
sem fio. A área que um único ponto de acesso pode cobrir costuma ser chamada de célula sem fio.
Projetar uma topologia WLAN exige que um projetista determine a área de cobertura de cada célula
sem fio e decida quantas células serão necessárias para atender às necessidades de cobertura total.
Os fatores que afetam a cobertura de um único ponto de acesso incluem taxa de dados, nível de
potência, escolha da antena e posicionamento da antena. As características arquitetônicas do local
sem fio também afetam a cobertura, conforme descrito na seção “Verificando um local para
uma instalação sem fio” no Capítulo 3, “Caracterizando a rede existente”.
Posicionando um ponto de acesso para cobertura máxima

A maioria dos pontos de acesso utiliza uma antena isotrópica, o que significa que a intensidade do sinal
é teoricamente a mesma quando medida ao longo de eixos em todas as direções. Se você suspender
um ponto de acesso no espaço, a cobertura deverá se assemelhar a uma esfera tridimensional com o
ponto de acesso no centro. Na realidade, as limitações do design da antena geralmente resultam
em uma cobertura menos uniforme. O tipo mais comum de antena de ponto de acesso é omnidirecional,
que na verdade não é “omni” ou “iso”. Em vez de uma esfera, a cobertura se parece mais com uma
rosquinha ou câmara de ar de pneu.
Uma antena omnidirecional é geralmente um elemento de transmissão de 4 a 6 polegadas, geralmente

conectado a um pivô giratório ou posicionável. O sinal que se propaga de uma antena omnidirecional é
mais forte na direção perpendicular ao eixo da antena e mais fraco na mesma direção do eixo da
antena. Lembrar disso pode ajudá-lo a posicionar suas antenas para cobertura máxima (e a decidir se
você pode precisar de uma antena direcional em vez de uma antena omnidirecional).
Cuidado Pense no significado de omni em omnidirecional. Colocar um ponto de acesso próximo a uma
parede externa significa que parte do sinal provavelmente irradiará fortemente para fora do edifício,
onde um usuário não autorizado sentado no estacionamento poderá recebê-lo facilmente.
Além disso, lembre-se de que um ponto de acesso em uma sala pode se propagar através de uma
parede e interferir potencialmente em um ponto de acesso na sala ao lado. As paredes atenuam
(diminuem) a intensidade do sinal, mas não o bloqueiam completamente.
Os pontos de acesso podem ser montados na posição horizontal ou vertical. É importante certificar-
se de que uma antena omnidirecional aponta para cima. Além da antena do ponto de acesso,
considere também a antena nas estações receptoras, geralmente notebooks. Cada NIC e computador
sem fio são diferentes. Alguns laptops têm antenas longas que se estendem da placa até a parte
traseira do laptop, atrás da tela. Outros computadores podem não ter uma antena integrada e devem
contar com uma antena menor na NIC.
Você deve testar seu projeto de WLAN com uma variedade de computadores e outros dispositivos
que os usuários reais usarão.
Para uma determinada taxa de dados, você pode alterar o nível de potência ou escolher uma antena
diferente para alterar a área e o formato da cobertura. Um tamanho de célula grande pode resultar em muitos
clientes compartilhando a largura de banda disponível. (WLANs IEEE 802.11 são redes compartilhadas, com
todos os dispositivos no mesmo domínio de largura de banda.) Ao reduzir a potência do ponto de acesso ou o
ganho da antena, você pode reduzir o tamanho da célula e compartilhar a largura de banda com menos clientes.
Isto resultará em mais pontos de acesso para uma determinada área de cobertura, mas proporcionará melhor
desempenho aos clientes.
WLANs e VLANs
Você pode colocar vários pontos de acesso em uma instalação para dar aos usuários a capacidade de
circular livremente por uma área estendida, mantendo ao mesmo tempo acesso ininterrupto aos recursos da
rede. O método mais fácil para garantir que os usuários possam fazer roaming é colocar todos os usuários na
mesma sub-rede IP e na mesma VLAN. Caso contrário, os dispositivos que se movem de sub-rede para sub-rede
deverão adquirir um novo endereço IP e poderão perder pacotes que possam ter sido transmitidos enquanto
adquiriam um endereço.
Sempre que possível, uma WLAN deve ser uma sub-rede separada para simplificar o endereçamento em
roaming e também para melhorar o gerenciamento e a segurança. Manter todos os clientes sem fio em sua
própria sub-rede facilita a configuração de filtros de tráfego para proteger os clientes com fio contra ataques
lançados pela WLAN.
Pontos de acesso sem fio redundantes

Nas arquiteturas de LAN de campus com e sem fio, a redundância geralmente é desejável para garantir alta
disponibilidade. Para redes de campus com WLANs de missão crítica, a Cisco possui um recurso chamado
modo Hot Standby que oferece suporte à configuração de dois pontos de acesso para usar o mesmo canal em
uma única área de cobertura. Apenas um dos pontos de acesso está ativo. O ponto de acesso em espera monitora
passivamente a rede e o ponto de acesso primário. Se o ponto de acesso primário falhar, o ponto de acesso
secundário assume o controle para fornecer
cobertura.
Observação Não confunda o modo Hot Standby do ponto de acesso com o Cisco Hot Standby Router Protocol
(HSRP), que será abordado na próxima seção “Redundância de estação de trabalho para roteador”. O modo Hot
Standby do ponto de acesso trata da redundância da Camada 2, enquanto o HSRP trata da redundância da
Camada 3.
Você deve colocar o ponto de acesso em espera próximo ao ponto de acesso que ele monitorará e fornecer a
mesma configuração (exceto para um endereço IP diferente). O ponto de acesso em espera associa-se ao ponto
de acesso monitorado como um cliente e consulta o ponto de acesso monitorado regularmente através da
interface Ethernet e da interface RF. Se o ponto de acesso monitorado não responder, o ponto de acesso
em espera torna-se ativo, sinaliza ao rádio do ponto de acesso primário para ficar inativo e assume o lugar
do ponto de acesso monitorado na rede.
Assim que a falha do ponto de acesso primário for detectada, será necessária a intervenção do usuário. O
usuário deve retornar o ponto de acesso de backup ao modo de espera. A falha na redefinição do ponto de
acesso em espera faz com que os pontos de acesso primário e de espera operem simultaneamente no
mesmo canal quando o ponto de acesso primário volta a ficar on-line.
Redundância e compartilhamento de carga em LANs com fio
Em redes de campus com fio, é prática comum projetar links redundantes entre switches LAN. A maioria
dos switches LAN implementam o algoritmo spanning tree IEEE 802.1D para evitar loops de rede. O padrão
802.1D é uma boa solução para redundância, mas não para compartilhamento de carga, pois apenas um
caminho está ativo. Alguns fornecedores de switches, incluindo a Cisco, permitem que você tenha uma
árvore de abrangência por VLAN, que pode ser usada para implementar redundância.
Um switch pode atuar como ponte raiz para uma VLAN e como backup da ponte raiz para outra VLAN.
Cisco Per VLAN Spanning Tree+ (PVST+) cria uma topologia de árvore lógica separada para cada VLAN. O
PVST+ permite o compartilhamento de carga ao ter diferentes caminhos de encaminhamento por VLAN.
O PVST+ é menos escalável que o método 802.1D clássico, onde há apenas uma raiz e uma árvore,
porque é necessário tempo de CPU para processar BPDUs para cada VLAN. A Cisco superou essa
limitação com o Multi-Instance Spanning Tree Protocol (MISTP), que permite que um conjunto de VLANs
seja agrupado em uma única spanning tree.
O IEEE também aprimorou o algoritmo spanning tree original com seu padrão Multiple Spanning Trees
(MST), que está documentado no IEEE 802.1s. O Multiple Spanning Tree Protocol (MSTP) usa RSTP para
convergência rápida, mas melhora a escalabilidade do RSTP agregando um conjunto de spanning tree
baseado em VLAN em instâncias distintas e executando apenas um algoritmo de spanning tree (rápido) por
instância. Essa arquitetura fornece vários caminhos de encaminhamento para o tráfego de dados, permite o
compartilhamento de carga e reduz o número de árvores de abrangência necessárias para suportar um
grande número de VLANs.
Se você usar VLANs em um projeto de rede de campus com switches que suportam 802.1s, PVST+
ou MISTP, os links redundantes poderão oferecer compartilhamento de carga, além de tolerância a falhas.
A Figura 5-11 mostra um projeto de LAN de campus redundante que utiliza o algoritmo spanning tree e VLANs.
O projeto da Figura 5.11 aproveita o conceito de uma árvore geradora por VLAN. O switch A atua
como ponte raiz para VLANs 2, 4 e 6. (O switch B pode se tornar a ponte raiz para essas VLANs se o switch
A falhar.) O switch B atua como ponte raiz para VLANs 3, 5 e 7. ( O switch A pode se tornar a ponte
raiz para essas VLANs se o switch B falhar.) O resultado é que ambos os links de um switch da camada de
acesso transportam tráfego, e o failover para uma nova ponte raiz acontece automaticamente se um dos
switches da camada de distribuição falhar.
Tanto o compartilhamento de carga quanto a tolerância a falhas são alcançados.
O projeto da Figura 5-11 pode ser dimensionado para uma grande rede de campus. O projeto foi testado em
uma rede que possui 8.000 usuários, 80 switches de camada de acesso, 14 switches de camada de
distribuição e 4 roteadores centrais de campus (sem contar os roteadores que vão para a WAN).
Para WAN Para WAN
HSRP Camada Central
Distribuição
Camada
VLAN 2 e 3 VLAN 4 e 5 VLAN 6 e 7

VLAN 2 e 3 VLAN 4 e 5 VLAN 6 e 7
Camada de Acesso
Figura 5-11 Topologia Redundante Hierárquica do Campus
Redundância de servidor
Esta seção aborda diretrizes para redundância de servidores em um projeto de rede de campus. Servidores de
arquivos, web, Dynamic Host Configuration Protocol (DHCP), nomes e bancos de dados são candidatos à
redundância em um design de campus, dependendo dos requisitos do cliente.
Em uma rede que suporta Voz sobre IP (VoIP), os servidores que fornecem o mapeamento entre um número
de telefone e um endereço IP e cuidam do processamento de chamadas devem ser provisionados de forma
redundante. O Cisco Unified Communications Manager, por exemplo, oferece suporte a um grupo de redundância
onde os servidores recebem a função de servidor primário, secundário ou terciário.
Os servidores DHCP podem ser colocados na camada de acesso, distribuição ou núcleo. Para redes grandes e
distribuídas globalmente, os servidores DHCP redundantes geralmente são colocados na camada de acesso. Isso
evita tráfego excessivo entre as camadas de acesso e distribuição ou núcleo e permite que cada servidor DHCP
atenda a uma porcentagem menor da população de usuários. Se o núcleo da rede estiver em Nova York, por
exemplo, e as camadas de acesso e distribuição estiverem espalhadas pelo mundo, faz sentido ter servidores
DHCP na camada de acesso. No entanto, para redes pequenas, os servidores DHCP geralmente estão localizados
centralmente no núcleo da rede para facilitar o gerenciamento por um departamento de TI centralizado.
Em grandes redes de campus, o servidor DHCP geralmente é colocado em um segmento de rede diferente dos
sistemas finais que o utilizam. Se o servidor estiver do outro lado de um roteador, o roteador poderá ser
configurado para encaminhar transmissões DHCP de sistemas finais. O roteador encaminha as transmissões para
um endereço de servidor configurado por meio do comando ip helper address em um roteador Cisco. O roteador
insere o endereço da interface que recebeu a solicitação
no campo giaddr da solicitação DHCP. O servidor usa o campo giaddr para determinar de qual conjunto de
endereços escolher um endereço.
Os servidores de nomes são, em teoria, menos críticos que os servidores DHCP porque os usuários podem
acessar os serviços por endereço em vez de nome se o servidor de nomes falhar; Entretanto, como muitos usuários
não percebem isso, é uma boa ideia planejar servidores de nomes redundantes. Os servidores de nomes
implementam o Sistema de Nomes de Domínio da Internet (DNS), o Windows Internet Naming Service (WINS)
e o NetBIOS Name Service (NBNS). Os servidores de nomes podem ser colocados na camada de acesso,
distribuição ou núcleo. Para redes grandes e distribuídas globalmente, faz sentido ter servidores de nomes na
camada de acesso. Para redes pequenas, entretanto, é mais comum colocar servidores de nomes no núcleo
da rede.
Em qualquer aplicação onde o custo do tempo de inatividade dos servidores de arquivos seja uma grande
preocupação, os servidores de arquivos espelhados devem ser recomendados. Por exemplo, numa corretora onde
os traders acedem a dados para comprar e vender ações, os dados podem ser replicados em dois ou mais
servidores de ficheiros espelhados. Os servidores de arquivos espelhados contêm dados idênticos. As
atualizações dos dados são sincronizadas entre os servidores. Os servidores devem estar em redes e fontes de
alimentação diferentes para maximizar a disponibilidade.
Se a redundância completa do servidor não for viável devido a considerações de custo, o espelhamento ou
duplexação dos discos rígidos do servidor de arquivos é uma boa ideia. (Duplexação é o mesmo que espelhamento,
com o recurso adicional de que os dois discos rígidos são controlados por controladores de disco diferentes.)
Implementar uma rede de área de armazenamento (SAN) é outra opção. SANs são uma solução popular para
organizações que buscam acesso ininterrupto e altamente confiável a grandes quantidades de informações
armazenadas.
A redundância tem vantagens de disponibilidade e desempenho. Com servidores de arquivos espelhados,

é possível compartilhar a carga de trabalho entre servidores. Usando uma rede de distribuição de conteúdo (CDN) e
dispositivos de serviços de conteúdo, os usuários podem ser direcionados para um dos muitos servidores espelhados
que contêm os mesmos dados.
A redundância também pode ser alcançada adicionando alguma sofisticação ao DNS. Quando um cliente solicita
acesso a um recurso pelo seu nome DNS, um servidor DNS pode retornar vários endereços de host em sua
resposta. Se isso fornecerá uma boa redundância depende do software host. Algumas implementações tentam
endereços adicionais se o primeiro não responder.
Outra possibilidade é um recurso chamado DNS round robin, onde o servidor possui uma lista de endereços
pelos quais ele circula. O servidor fornece um endereço diferente a cada solicitação, percorrendo sua lista de
endereços. Quando chega ao final da lista, ele volta ao início da lista. Devido ao cache DNS, onde os clientes e
outros servidores DNS se lembram de um mapeamento anterior de nome para endereço, o round robin DNS
não é perfeito, mas pode ser bastante simples de implementar e configurar em um servidor DNS típico.
A redundância e o balanceamento de carga com DNS também podem funcionar com vários servidores DNS.
Supondo que os clientes acessem servidores DNS diferentes, um servidor pode responder com um endereço,
enquanto outros servidores respondem com endereços diferentes. Novamente, o cache DNS pode limitar a
eficácia deste método.
Observação Há uma advertência a ser lembrada com relação a arquivos espelhados, DHCP, web e outros tipos de
servidores. Os servidores espelhados oferecem redundância para hardware, cabeamento, conexão LAN e fonte de
alimentação, mas não oferecem redundância de software ou dados. Como os servidores espelhados contêm dados
replicados, se o problema estiver nos dados ou na capacidade do software de acessar os dados, todos os servidores
espelhados serão afetados.
Redundância de estação de trabalho para roteador
As estações de trabalho em uma rede de campus devem ter acesso a um roteador para acessar serviços remotos.
Como a comunicação entre estação de trabalho e roteador é crítica na maioria dos projetos, você deve considerar
a implementação de redundância para esta função.
Uma estação de trabalho tem muitas maneiras possíveis de descobrir um roteador em sua rede, dependendo do
protocolo que está executando e também da implementação do protocolo. As próximas seções descrevem métodos
para estações de trabalho aprenderem sobre roteadores e recursos de redundância que garantem que uma estação de
trabalho possa alcançar um roteador.
As implementações de IP variam na forma como implementam a comunicação entre estação de trabalho e roteador.
Algumas estações de trabalho IP enviam um quadro ARP para localizar uma estação remota. Um roteador
executando o proxy ARP pode responder à solicitação ARP com o endereço da camada de enlace de dados do roteador.
Os roteadores Cisco executam proxy ARP por padrão.
A vantagem de depender do proxy ARP para alcançar estações remotas é que uma estação de trabalho não precisa ser
configurada com o endereço de um roteador. No entanto, como o proxy ARP nunca foi padronizado, a maioria dos
administradores de rede não depende dele. Além disso, muitos especialistas em segurança recomendam desligá-lo
porque facilita o acesso de um invasor a outra rede. Em vez disso, as estações de trabalho IP recebem o endereço
de um roteador padrão.
Isso pode ser configurado manualmente ou fornecido pelo DHCP. Um roteador padrão é o endereço de um roteador no
segmento local que uma estação de trabalho usa para acessar serviços remotos. O roteador padrão geralmente
é chamado de gateway padrão por motivos históricos.
Uma estação de trabalho IP geralmente conhece o endereço de apenas um roteador: o gateway padrão. O resultado é
que uma estação de trabalho nem sempre utiliza o método mais conveniente para chegar a uma estação remota. A
estação de trabalho pode selecionar um caminho que inclua um salto extra. A Figura 5.12 mostra o problema do salto
extra. Para contornar o problema de salto extra e adicionar redundância, algumas implementações de IP de estações de
trabalho permitem que um administrador de rede adicione rotas estáticas a um arquivo de configuração ou
configure a estação de trabalho para executar um protocolo de roteamento.
Nota Em ambientes UNIX, as estações de trabalho às vezes executam o daemon RIP para aprender sobre rotas. É melhor
que eles executem o daemon RIP no modo passivo em vez do modo ativo. No modo ativo, uma estação de trabalho
envia um quadro de transmissão RIP a cada 30 segundos. Quando muitas estações de trabalho UNIX executam o RIP
no modo ativo, a quantidade de tráfego de difusão pode degradar o desempenho da rede. Além disso, existem riscos de
segurança ao permitir que estações não controladas executem um protocolo de roteamento em modo ativo.
Caminho do pacote
Figura 5-12 Estação de trabalho para roteador

Problema Extra-Hop
Outra alternativa para a comunicação IP da estação de trabalho com o roteador é o Router Discovery Protocol
(RDP). RFC 1256 especifica a extensão RDP para o Internet Control Message Protocol (ICMP). Com o RDP,
cada roteador transmite periodicamente um pacote de anúncio de roteador ICMP de cada uma de suas
interfaces, anunciando o endereço IP dessa interface.
As estações de trabalho descobrem os endereços de seus roteadores locais simplesmente ouvindo os
anúncios, de maneira semelhante ao método que as estações de trabalho AppleTalk usam para descobrir o
endereço de um roteador. A taxa de publicidade padrão para RDP é uma vez a cada 7 a 10 minutos, o que
é bem diferente do padrão do AppleTalk, que é uma vez a cada 10 segundos.
Quando uma estação de trabalho é inicializada, ela pode fazer multicast de um pacote de solicitação de roteador
ICMP para solicitar anúncios imediatos, em vez de esperar pela chegada do próximo anúncio periódico. O
RDP não tenta resolver o problema do salto extra. Embora a maioria dos roteadores suporte RDP, poucas
implementações de IP de estações de trabalho o suportam, portanto o RDP não é amplamente utilizado.
Uma razão pela qual o RDP não se tornou popular é que o DHCP inclui uma opção para um servidor
DHCP retornar o endereço de um gateway padrão para um cliente. Conforme especificado na RFC 2131, a
resposta de um servidor à solicitação de um endereço IP de um cliente DHCP pode incluir um campo de
opções no qual o servidor pode colocar um ou mais endereços de gateway padrão. Um nível de preferência
pode ser usado para especificar qual gateway padrão é a melhor opção. O servidor também pode incluir
uma lista de rotas estáticas no campo de opções.
Atualmente, a maioria das estações de trabalho IP são configuradas com o endereço de um gateway padrão.
A configuração pode ser feita em cada estação de trabalho ou em um servidor DHCP que suporte várias
estações de trabalho, que é o método mais comum. A execução de protocolos de roteamento ou protocolos
de descoberta de roteadores em estações de trabalho provou ser uma alternativa ruim devido à sobrecarga de
tráfego e processamento, problemas de segurança e falta de implementações para muitas plataformas.
O problema com uma configuração de gateway padrão é que ela cria um único ponto de falha, principalmente
porque muitas implementações controlam apenas um gateway padrão.
A perda do gateway padrão faz com que as estações de trabalho percam conexões com sites remotos e não
consigam estabelecer novas conexões.
Protocolo Hot Standby Router O Cisco
Hot Standby Router Protocol (HSRP) fornece uma maneira para uma estação de trabalho IP continuar
se comunicando em uma rede mesmo se seu gateway padrão ficar indisponível.
Na RFC 2338, a IETF padronizou um protocolo semelhante, o Virtual Router Redundancy Protocol
(VRRP). Os roteadores nas camadas central, de distribuição ou de acesso podem executar HSRP
ou VRRP. O projeto do campus mostrado na Figura 5.11 apresenta HSRP na camada central.
O HSRP funciona criando um roteador virtual, também chamado de roteador fantasma, conforme
mostrado na Figura 5-13. O roteador virtual possui seus próprios endereços IP e MAC. Cada estação
de trabalho é configurada para usar o roteador virtual como gateway padrão. Quando uma estação de
trabalho transmite um quadro ARP para encontrar seu gateway padrão, o roteador HSRP ativo responde
com o endereço MAC do roteador virtual. Se o roteador ativo ficar off-line, um roteador em espera
assumirá o controle do roteador ativo, continuando a entrega dos pacotes da estação de trabalho. A
mudança é transparente para a estação de trabalho.
Roteador ativo
Empreendimento
Rede
Roteador Virtual
Posto de trabalho
Roteador em espera
Figura 5-13 Protocolo de roteador Hot Standby (HSRP)
Os roteadores HSRP em uma LAN comunicam-se entre si para designar um roteador ativo e um
roteador em espera. O roteador ativo envia mensagens Hello periódicas. Os outros roteadores HSRP
escutam as mensagens Hello. Se o roteador ativo falhar, fazendo com que os outros roteadores HSRP
parem de receber mensagens Hello, o roteador em espera assumirá o controle e se tornará o
roteador ativo. Como o novo roteador ativo assume os endereços IP e MAC do fantasma, as estações
de trabalho não veem alterações. Eles continuam a enviar pacotes para o endereço MAC do
roteador virtual e o novo roteador ativo entrega esses pacotes. O temporizador Hello deve ser configurado
para ser curto o suficiente para que os aplicativos e protocolos da estação de trabalho não interrompam
as conexões antes que o roteador em espera se torne ativo.
HSRP também funciona para proxy ARP. Quando um roteador HSRP ativo recebe uma solicitação ARP
para uma estação que não está na rede local, o roteador responde com o endereço MAC do roteador
virtual. Se o roteador ficar indisponível, o novo roteador ativo ainda poderá entregar o tráfego.
A Cisco também possui um aprimoramento útil para HSRP, rastreamento de espera, que monitora uma
ou mais interfaces WAN em um roteador que tenha HSRP habilitado nas interfaces LAN. Se o
software detecta um problema com o circuito WAN conectado a uma das interfaces WAN que está rastreando,
ele faz failover para uma interface WAN ativa em um roteador em espera. O gateway padrão, para o qual o HSRP
fornece redundância, é o método do usuário para sair da LAN e geralmente está conectado a uma interface WAN
que fornece acesso ao restante da intranet ou à Internet, portanto, o recurso de rastreamento em espera é
extremamente útil.
A Cisco também oferece suporte a um roteador habilitado para HSRP que preserva a tradução de endereços
de rede (NAT) e as informações de estado IPsec. Os dispositivos de borda WAN podem manter traduções NAT
e túneis IPsec, normalmente usados em VPNs, quando o HSRP muda para um roteador diferente.
Protocolo de balanceamento de carga de gateway
Para obter compartilhamento de carga juntamente com redundância, a Cisco também possui um protocolo
mais recente, o Gateway Load Balancing Protocol (GLBP), que é semelhante, mas não idêntico, ao HSRP e ao
VRRP. Com HSRP e VRRP, os roteadores em espera de um grupo são supérfluos até que o roteador ativo
falhe. Esses roteadores em espera podem ter acesso à largura de banda que é desperdiçada até que surja um
problema. Embora vários grupos de roteadores virtuais possam ser configurados para o mesmo conjunto de
roteadores, o que representa menos desperdício, os hosts devem ser configurados para gateways padrão
diferentes, o que resulta em uma carga administrativa extra. O GLBP fornece balanceamento de carga em
vários roteadores usando um único endereço IP virtual e vários endereços MAC virtuais. Cada host é configurado
com o mesmo endereço IP virtual e todos os roteadores do grupo de roteadores virtuais participam do
encaminhamento de pacotes.
Os membros de um grupo GLBP elegem um roteador para ser o gateway virtual ativo (AVG) desse grupo.
Outros membros do grupo fornecem backup para o AVG caso o AVG fique indisponível. O AVG atribui um
endereço MAC virtual a cada membro do grupo GLBP. Cada gateway assume a responsabilidade de
encaminhar pacotes enviados para o endereço MAC virtual atribuído a ele pelo AVG. Esses gateways são
conhecidos como encaminhadores virtuais ativos (AVF) devido ao seu endereço MAC virtual. O AVG é
responsável por responder às solicitações ARP do endereço IP virtual. O compartilhamento de carga é obtido
quando o AVG responde às solicitações ARP com diferentes endereços MAC virtuais.
Projetando a Topologia Enterprise Edge

A borda corporativa consiste em uma borda WAN para conectar filiais e uma borda de Internet para
conectar-se à Internet pública por meio da infraestrutura de borda de um provedor de serviços. A vantagem
empresarial também pode incluir uma extranet para conectar parceiros e um módulo de comércio eletrônico para
vender produtos. Esta seção aborda topologias de borda corporativa que incluem segmentos WAN
redundantes, conexões multihomed com a Internet e VPNs. A seção também inclui alguns comentários sobre a
vantagem do provedor de serviços.
Segmentos WAN redundantes

Como os links WAN podem ser peças críticas de uma rede corporativa, links WAN redundantes (de backup) são
frequentemente incluídos em uma topologia de rede de borda corporativa. Uma rede WAN pode ser projetada
como malha completa ou malha parcial. Uma topologia de malha completa fornece
redundância completa. Ele também oferece bom desempenho porque há apenas um atraso de link entre dois
sites quaisquer. No entanto, como já discutido neste capítulo, uma análise completa
mesh é caro para implementar, manter, atualizar e solucionar problemas. Uma topologia de malha parcial
hierárquica, conforme mostrado anteriormente na Figura 5-4, geralmente é suficiente.
Diversidade de circuito
Ao provisionar links WAN de backup, você deve aprender o máximo possível sobre o
roteamento de circuito físico real. Operadoras diferentes às vezes usam os mesmos recursos, o que significa que
seu caminho de backup é suscetível às mesmas falhas que seu caminho principal. Você
deve fazer algum trabalho investigativo para garantir que seu backup seja realmente um backup.
Os engenheiros de rede usam o termo diversidade de circuitos para se referir à situação ideal de
circuitos usando caminhos diferentes.
Como as operadoras alugam capacidade entre si e usam empresas terceirizadas que fornecem
capacidade para múltiplas operadoras, está cada vez mais difícil garantir a diversidade de circuitos. Além disso, as
portadoras muitas vezes se fundem entre si e misturam seus circuitos após a fusão. Como transportadoras
utilizam cada vez mais técnicas automatizadas para reencaminhamento de circuitos físicos, torna-se ainda
mais difícil planear a diversidade porque o reencaminhamento é dinâmico.
No entanto, você deve trabalhar com os provedores de seus links WAN para compreender o nível de
diversidade de circuitos no projeto de sua rede. As operadoras geralmente estão dispostas a trabalhar com os
clientes para fornecer informações sobre roteamento de circuitos físicos. Ser
ciente, porém, de que as operadoras às vezes fornecem informações imprecisas, baseadas em bases de dados
que não são mantidas atualizadas. Tente incluir compromissos de diversidade de circuitos em contratos
com seus provedores.
Ao analisar a diversidade de circuitos, certifique-se de analisar seu cabeamento local, além de seu
serviços da transportadora. Talvez você tenha projetado um link ISDN para fazer backup de um link Frame Relay.
Esses dois links usam o mesmo cabeamento para chegar ao ponto de demarcação na rede do seu prédio? Qual
cabeamento os links usam para chegar à sua operadora? O cabeamento que vai
do seu prédio até a operadora costuma ser o elo mais fraco de uma rede. Pode ser afetado
por construção, inundações, tempestades de gelo, caminhões batendo em postes telefônicos e outros fatores.
Multihoming da conexão com a Internet

O significado genérico de multihoming é “fornecer mais de uma conexão para um sistema acessar e oferecer
serviços de rede”. O termo multihoming também é usado em muitos
maneiras específicas. Um servidor, por exemplo, é considerado multihomed se tiver mais de um endereço de
camada de rede. As redes de entrega de conteúdo podem fornecer dados da camada de aplicativo multihome e
Serviços.
O termo multihoming é cada vez mais usado para se referir à prática de fornecer a uma rede empresarial mais de
uma entrada na Internet. Entradas redundantes no
A Internet fornece tolerância a falhas para aplicativos que requerem acesso à Internet. Uma empresa
A rede pode ser multihomed para a Internet de muitas maneiras diferentes, dependendo dos objetivos do cliente.
A Figura 5-14 e a Tabela 5-2 descrevem alguns métodos para multihoming do
Conexão de internet.
Tabela 5-2 Descrição das opções para multihoming da conexão com a Internet
Número Número de Número Vantagens Desvantagens

Conexões
dos roteadores de ISPs
no para o
Empreendimento Internet
Opção 1 2 1 Backup WAN; baixo Sem redundância de ISP; roteador é

A custo; trabalhando com um único ponto de falha; esse
um ISP pode ser mais solução assume que o ISP tem
fácil do que trabalhar dois pontos de acesso perto do
com vários ISPs. empreendimento.
Opção 1 2 2 Backup WAN; O roteador é um ponto único de

B baixo custo; falha; pode ser difícil
Redundância de ISP. lidar com políticas e procedimentos
de dois ISPs diferentes.
Opção 2 2 1 Backup WAN; Sem redundância de ISP.

C especialmente bom para
empresa
geograficamente dispersa;
custo médio; trabalhar
com um ISP pode
ser mais fácil do que
trabalhar com vários

ISPs.
Opção 2 2 2 Backup WAN; Alto custo; pode ser difícil

D especialmente bom para para lidar com políticas e
geograficamente dis procedimentos de dois diferentes
empresa persed; ISPs.
Redundância de ISP.
No caso das opções C e D, o objectivo poderá ser melhorar o desempenho da rede através de
permitindo que sites empresariais europeus acessem a Internet usando o roteador de Paris e o Norte
Sites americanos para usar o roteador de Nova York. Isso pode ser feito configurando corretamente um
gateway padrão nas estações finais e uma rota padrão nos roteadores corporativos em
Europa e América do Norte. Uma rota padrão especifica para onde um pacote deve ir se houver
nenhuma entrada explícita para a rede de destino na tabela de roteamento de um roteador. A rota padrão
às vezes também é chamada de porta de entrada de último recurso.
Seu cliente pode ter objetivos mais complexos do que o objetivo simples do parágrafo anterior. Talvez o seu
cliente queira garantir que os sites empresariais europeus acedam
Sites da Internet norte-americanos através do roteador de Nova York. Um objectivo paralelo é que o Norte
Os sites empresariais americanos acessam sites europeus da Internet através do roteador Paris. Isto pode ser
uma meta razoável quando uma latência constante e baixa é necessária para um aplicativo. A latência
é mais previsível se a primeira parte do caminho for através da intranet da empresa, em vez de
a Internet. No entanto, esse objetivo é mais difícil de atingir do que o primeiro. Exige que o
os roteadores corporativos entendem as rotas do ISP e definem preferências nessas rotas.
ISP 1 ISP 1
Paris Nova Iorque
Empreendimento Empreendimento
Opção A
Opção C
ISP 1 ISP 2 ISP 1 ISP 2
Paris Nova Iorque
Empreendimento
Empreendimento
Opção B Opção D
Figura 5-14 Opções para multihoming da conexão com a Internet
Um objetivo relacionado é usar o “melhor caminho” através da Internet para os sites que a empresa
os usuários mais confiam. A menos que uma empresa contrate (e pague) por serviços gerenciados de ponta a ponta
QoS, este objetivo não pode ser alcançado. O protocolo de roteamento usado na Internet, BGP, não
oferecer otimização de rota. Seu único propósito é fornecer acessibilidade e estabilidade no sistema de roteamento
global. Os fornecedores intermédios com os quais uma empresa não tem qualquer relação comercial não se
importam se o tráfego da empresa segue rotas óptimas, nem têm qualquer
incentivo para fazê-lo.
Outro objectivo, mais complexo, é garantir que o tráfego de entrada da Internet destinado a sites empresariais
europeus utilize o router de Paris e o tráfego de entrada para o Norte.
Os sites empresariais americanos usam o roteador de Nova York. Este objetivo exige que a empresa
roteadores para anunciar na Internet rotas para sites corporativos. As rotas devem incluir métricas para que os
roteadores na Internet saibam o caminho preferido para os sites da empresa.
intranet.
Uma outra advertência quando uma rede corporativa é multihomed é o potencial de se tornar uma rede de
trânsito que fornece interconexões para outras redes. Referindo-se à Figura 5.14, considere que o roteador
corporativo aprende rotas do ISP. Se o roteador corporativo anunciar essas rotas aprendidas, corre o risco
de permitir que a rede corporativa se torne uma rede de trânsito e seja carregada por tráfego externo não
intencional. Quando uma rede corporativa se torna uma rede de trânsito, os roteadores na Internet aprendem
que podem acessar outros roteadores na Internet por meio da rede corporativa. Para evitar esta situação,
os roteadores corporativos devem anunciar apenas suas próprias rotas. Alternativamente, eles podem ser
executados sem um protocolo de roteamento e contar com roteamento padrão e estático.
Em geral, o multihoming da conexão com a Internet pode ser um desafio se os objetivos do cliente forem
complexos. Incentive seus clientes a simplificar suas metas para garantir facilidade de implementação,
escalabilidade, disponibilidade e preço acessível. Se o objetivo principal for alta disponibilidade, não presuma
que isso significa que será necessária mais redundância. De acordo com Howard Berkowitz em seu
livro WAN Survival Guide, “Aumentos descontrolados na redundância levam a aumentos descontrolados na
complexidade e podem, na verdade, diminuir a disponibilidade”.
Rede Privada Virtual

As redes privadas virtuais (VPN) usam criptografia e tunelamento avançados para permitir que as
organizações estabeleçam conexões de rede privadas seguras, de ponta a ponta, em uma rede de terceiros.
A rede de terceiros pode ser uma rede privada de provedores de serviços ou a Internet pública. Uma
organização pode se conectar à rede de terceiros usando uma variedade de tecnologias WAN e de acesso
remoto, incluindo linhas alugadas, Frame Relay, modems a cabo, linha de assinante digital (DSL),
modems analógicos, ISDN e assim por diante. As organizações também podem usar VPNs para conectar
usuários externos, como parceiros de negócios, clientes, revendedores e fornecedores. As VPNs
também oferecem suporte a usuários móveis e teletrabalhadores.
A conectividade ponto a ponto através da rede de terceiros é normalmente fornecida por um protocolo de
tunelamento. Tunelamento é uma técnica para encapsular pacotes de um protocolo dentro de outro protocolo.
Por exemplo, um túnel pode transportar pacotes IPv4 através de uma rede que suporta apenas IPv6. No
contexto de uma VPN, o tunelamento é usado para encapsular mensagens privadas e aplicar algoritmos de
criptografia à carga útil.
Os túneis fornecem uma conexão lógica ponto a ponto através de uma rede IP sem conexão, permitindo a
aplicação de recursos avançados de segurança. A criptografia é aplicada à conexão em túnel para embaralhar
os dados, tornando os dados legíveis apenas para sistemas autorizados. Em aplicações onde a segurança
e a privacidade são menos preocupantes, os túneis podem ser usados sem criptografia para fornecer suporte
multiprotocolo.
Os métodos de tunelamento da camada 2 são encapsulados na camada de enlace de dados do modelo OSI.
Os exemplos incluem protocolo de encapsulamento ponto a ponto (PPTP), encaminhamento de camada
2 (L2F), VPNs MPLS e protocolo de encapsulamento de camada 2 (L2TP). L2TP é um padrão IETF (RFC
2661) que muitos fornecedores oferecem suporte para suas soluções VPN, incluindo Cisco e Microsoft. A IETF
também está desenvolvendo uma nova versão do L2TP, chamada L2, que está emergindo como uma
solução leve, porém robusta, para tunelamento da Camada 2.
O tunelamento da camada 3 encapsula na camada de rede. Dois exemplos são o IPsec e o encapsulamento
de roteamento genérico da Cisco (GRE). Se apenas pacotes IP-unicast estiverem sendo encapsulados, o
IPsec é a melhor escolha. GRE é usado quando pacotes multicast, broadcast e não IP precisam ser
encapsulados.
Os aplicativos VPN para redes corporativas podem ser divididos em duas categorias principais:
ÿ VPNs site a site: as VPNs site a site concentram-se na conexão geograficamente dispersa
escritórios e ampliando a WAN corporativa clássica. Uma VPN site a site também pode adicionar
interconexões entre várias organizações; nesse caso, às vezes é chamada de VPN extranet.
ÿ VPNs de acesso remoto: VPNs de acesso remoto concentram-se em usuários remotos e na parte comercial
ners que acessam a rede conforme necessário.
As seções a seguir descrevem esses dois tipos de VPNs com mais detalhes.
VPNs site a site

As VPNs site-to-site surgiram como uma forma relativamente barata para uma empresa conectar filiais e
escritórios domésticos geograficamente dispersos por meio de um provedor de serviços ou da Internet,
em vez de manter uma WAN privada cara. Os dados privados da empresa podem ser criptografados para
roteamento através da rede do provedor de serviços ou da Internet.
Tradicionalmente, as empresas dependiam de linhas alugadas T1 privadas de 1,544 Mbps para
interligar escritórios remotos. As linhas alugadas são caras para instalar e manter. Para muitas empresas,
uma linha alugada fornece mais largura de banda do que o necessário a um preço demasiado elevado. As
empresas também usavam redes Frame Relay e ponto a ponto para suas WANs privadas, mas elas também
eram um tanto caras e difíceis de gerenciar. Uma VPN site a site é uma solução mais econômica e gerenciável.
Ao projetar a topologia de uma rede site a site, você deve considerar as mesmas necessidades que
consideraria para uma WAN privada, incluindo a necessidade de alta disponibilidade com failover
automático, desempenho, segurança e escalabilidade. As topologias mais comuns para uma VPN site-to-
site são as seguintes:
ÿ Hub-and-spoke
ÿ Malha
ÿ Rede hierárquica
A topologia hub-and-spoke é usada quando há um único local regional ou sede com muitos escritórios
remotos e a maior parte do tráfego ocorre entre os locais remotos e o local regional ou sede. Esse
design minimiza a complexidade da configuração ao ter uma única conexão IPsec ou um único túnel GRE
de cada local remoto até o local regional ou sede. Este design não é apropriado quando há um alto nível de
tráfego entre locais remotos ou quando há necessidade de redundância e automação.
failover. Uma melhoria no design é incluir vários roteadores VPN na sede para fornecer melhor
redundância.
Os projetos de VPN em malha podem ser totalmente em malha, fornecendo conectividade de

qualquer para qualquer, ou parcialmente em malha, fornecendo conectividade de algum para
algum, dependendo das necessidades do cliente. A topologia em malha é um bom projeto para
usar quando há um pequeno número de locais totais (regionais, sedes ou locais remotos), com
uma grande quantidade de tráfego fluindo entre alguns (malha parcial) ou todos (malha completa)
do sites. Em um projeto totalmente em malha, a perda de um único local afeta apenas o tráfego de
ou para esse local. Todos os outros locais permanecem inalterados. Este design não é bem
dimensionado quando há vários sites, devido ao grande número de conexões IPsec ou túneis GRE
com IPsec que precisam ser configurados em cada dispositivo.
Uma topologia VPN hierárquica é uma topologia híbrida para uma grande empresa que possui
muitas sedes e escritórios regionais com muito tráfego fluindo entre eles, e muitos escritórios
remotos, com pouca interação entre eles. A topologia consiste em um núcleo de malha total ou
parcial, com locais periféricos conectados ao núcleo usando um design hub-and-spoke. Um projeto
hierárquico é o mais complexo dos projetos em termos de configuração e pode ter uma
combinação de túneis IPsec e GRE.
VPNs de acesso remoto

As VPNs de acesso remoto permitem acesso sob demanda à rede de uma organização, por
meio de conexões seguras e criptografadas. Usuários móveis ou remotos e filiais que não
precisam estar sempre conectados podem acessar suas redes corporativas por meio de uma rede
de terceiros, como a rede de um provedor de serviços ou a Internet. As empresas usam VPNs de
acesso remoto para reduzir despesas de comunicação, aproveitando as infra-estruturas locais de
provedores de serviços que suportam acesso discado, ISDN, modem a cabo, DSL ou sem fio à
Internet ou à rede privada do provedor.
Ao implementar uma arquitetura VPN de acesso remoto, uma consideração importante é onde
iniciar o tunelamento e a criptografia. O túnel deve ser iniciado no PC cliente ou em um servidor de
acesso à rede (NAS) operado pelo provedor de serviços VPN? Em um modelo iniciado pelo cliente,
o túnel criptografado é estabelecido pelo software cliente usando IPsec, L2TP ou PPTP, tornando
assim a rede do provedor de serviços apenas um meio de transporte para a rede corporativa.
Uma vantagem de um modelo iniciado pelo cliente é que a rede de acesso do provedor de serviços
de “última milha” usada para acessar o ponto de presença (POP) do provedor é protegida.
Uma desvantagem do modelo iniciado pelo cliente é a necessidade de gerenciar software nas
máquinas clientes.
Em um modelo iniciado por NAS, um usuário remoto acessa o POP de um provedor de serviços, é
autenticado pelo provedor de serviços e, por sua vez, inicia um túnel seguro para a rede corporativa
a partir do POP. Com uma arquitetura iniciada por NAS, a inteligência da VPN reside na rede do
provedor de serviços. Não há software cliente de usuário final para a organização manter,
eliminando assim problemas de gerenciamento de clientes associados ao acesso remoto. As
desvantagens, porém, são a falta de segurança na rede de acesso local que conecta o cliente à
rede do provedor de serviços e a necessidade de interoperar com servidores operados pela
fornecedor. A Figura 5-15 mostra uma topologia VPN de acesso remoto para uma empresa de
varejo. A empresa usa túneis iniciados pelo cliente e iniciados pelo NAS.
Loja de varejo
Filial
56 Kbps Escritório
Modem ISDN
NAS
Internet
56 Kbps
Modem NAS T1
Cabo
Modem
Loja de varejo Teletrabalhador
Quartel general
Figura 5-15 VPN de acesso remoto para uma empresa de varejo
Na sede, as conexões VPN dos usuários terminam na seção VPN de acesso remoto do módulo de borda
da Internet, de acordo com a arquitetura Cisco SAFE. A Cisco recomenda que um ou mais
concentradores VPN residam nesta área. Um concentrador VPN é uma plataforma de hardware dedicada
que agrega um grande volume de conexões VPN simultâneas. Geralmente, as empresas colocam o
concentrador entre um roteador que tem acesso à VPN e um roteador que encaminha o tráfego para a
rede do campus. A seção VPN de acesso remoto também inclui um servidor de autenticação, autorização
e contabilidade (AAA) e um sistema de detecção de intrusões (IDS) ou sistema de prevenção de
intrusões (IPS).
Borda do provedor de serviços
Embora o foco deste capítulo seja projetar uma topologia lógica para uma rede corporativa, uma
rápida discussão sobre provedores de serviços é necessária neste ponto. Uma rede corporativa se
conecta a um módulo que pode ser chamado de borda do provedor de serviços e, embora não se
espere que você projete esse módulo como um projetista de rede corporativa, você precisa ter algum
entendimento dele e ser capaz de selecionar o módulo apropriado. fornecedor (ou
fornecedores) para seus clientes de design. A seleção de um provedor de serviços é algo que você
deve considerar durante a fase de projeto lógico, que é o foco da Parte II. A Parte III aborda o tópico
novamente porque durante essa fase você deve fazer algumas seleções definitivas de tecnologias,
dispositivos e provedores de WAN.
Nos primórdios das comunicações de dados, existiam as companhias telefónicas regionais ou nacionais e os
seus clientes, e nada mais. A escolha do fornecedor pelo cliente era ditada pela localização. O nível de
serviço e preços foram ditados pelo fornecedor.
Hoje, existe uma ampla gama de provedores e níveis de serviço, e os preços são mais negociáveis.
Encontrar um fornecedor que corresponda às necessidades de uma empresa requer uma boa compreensão
dessas necessidades e da cultura da empresa e do fornecedor potencial. Muitos ISPs são pequenas startups
que oferecem serviços de modem sem fio e a cabo para usuários finais. Esses ISPs podem não ter o
conhecimento necessário para dar suporte a uma grande empresa, embora possam ser apropriados para
usuários domésticos que acessam a rede corporativa usando software VPN. Alguns ISPs concentram-se
principalmente em servidores de hospedagem e não oferecem suporte aos usuários finais. Alguns ISPs são,
na verdade, provedores de serviços de rede (NSP), o que significa que seu principal negócio é conectar
outros ISPs, em vez de empresas ou usuários finais. A seleção de provedores para o projeto de sua rede exige
que você entenda quais desses tipos de serviços você realmente precisa.
ISPs e NSPs às vezes são classificados como Tier 1 a Tier 5. Embora essas categorias não tenham um
significado universal, se um provedor se autodenomina provedor Tier 1 e você estiver procurando um provedor
barato para conectar um pequeno escritório ou casa, você saiba procurar em outro lugar. Os ISPs de nível 1
são grandes provedores internacionais, enquanto os ISPs de nível 5 são pequenos provedores
especializados, às vezes localizados em uma cidade ou área rural. Um provedor Tier 5 pode ser tão pequeno
quanto um cibercafé.
Uma diferença importante entre os níveis tem a ver com o relacionamento que um provedor mantém com outros
ISPs. Usando uma definição econômica de ponto (em vez da definição de BGP), um relacionamento entre pares
significa que dois ISPs não cobram um do outro para transportar o tráfego um do outro. Ambos têm
aproximadamente o mesmo tamanho e é vantajoso para ambos permitir que seus clientes tenham acesso um
ao outro, sem se preocupar com o faturamento. Isso difere do outro relacionamento comum entre ISPs, que
é provedor-cliente, onde um ISP menor paga a um ISP maior pelo privilégio de enviar tráfego através da rede do
ISP maior. Isso geralmente é chamado de compra de trânsito.
Um provedor de nível 1 não compra transporte público. Um provedor de Nível 1 possui um centro de
operações de rede 24 horas por dia, 7 dias por semana e um backbone nacional ou internacional com pelo
menos conectividade DS-3 e, mais provavelmente, OC-3 a OC-48. O fornecedor obtém todas as suas
rotas através de acordos de peering bilaterais. Seus clientes são principalmente outros provedores, mas também
pode oferecer suporte a uma grande empresa. Exemplos de provedores de nível 1 incluem Verizon, Cable &
Wireless, British Telecom, Verio, Level 3 e AT&T. Os provedores de nível 2 também têm backbones de alta
largura de banda e operações 24 horas por dia, 7 dias por semana, mas estão limitados a uma presença
regional ou nacional e compram trânsito (muitas vezes com desconto em massa) de um provedor de nível 1 para
tráfego que sai da região. Um fornecedor Tier 2 obtém todas as suas rotas regionais através de acordos de peering.
Um provedor de Nível 3 é normalmente um provedor regional para uma região de pequeno ou médio porte.
Um provedor de nível 3 compra trânsito de vários provedores upstream e executa uma tabela de roteamento
livre de padrões. Não há uma definição geral de Nível 4 ou Nível 5, mas o Nível 4 pode ser um provedor
metropolitano com hospedagem múltipla para dois provedores regionais, e o Nível 5 pode ser um provedor
pequeno e de hospedagem única que conecta usuários finais por meio de um modem sem fio ou a cabo. serviço.
Neste ponto do processo de design, você deve ter analisado os requisitos e as topologias até ter uma
boa ideia do nível necessário. Durante a fase de design lógico, você deve começar a fazer uma lista de
critérios para selecionar fornecedores e desenvolver um plano e um conjunto de padrões para avaliar os
candidatos. Investigue a disponibilidade de prestadores de serviços nas regiões relevantes e comece
a fazer perguntas. Seja específico em suas solicitações de informações aos candidatos. Priorize
as informações solicitadas e indique a rapidez com que você precisa de uma resposta. Você também
pode pedir referências e começar a fazer perguntas sobre o provedor de outros usuários da região.
Consulte a seção “Selecionando um provedor de serviços WAN” no Capítulo 11, “Selecionando tecnologias
e dispositivos para redes corporativas”, para obter mais informações sobre este tópico.
Topologias de design de rede segura

Esta seção discute a segurança da rede em relação às topologias de rede. O Capítulo 8 aborda a
segurança da rede com mais detalhes. O foco desta seção são as topologias lógicas, mas a segurança
física também é brevemente mencionada.
Planejamento para segurança física

Ao desenvolver a topologia lógica de uma rede, você deve começar a ter uma ideia de onde os
equipamentos serão instalados. Você deve começar a trabalhar com seu cliente de projeto
imediatamente para garantir que equipamentos críticos serão instalados em salas de informática que
tenham proteção contra acesso não autorizado, roubo, vandalismo e desastres naturais, como
inundações, incêndios, tempestades e terremotos. A segurança física não é realmente um aspecto do
projeto de rede lógica, mas é mencionada aqui porque sua topologia lógica pode ter um impacto
sobre ela e porque o planejamento da segurança física deve começar imediatamente, caso haja
prazos para construir ou instalar mecanismos de segurança.
Atendendo às metas de segurança com topologias de firewall

Um firewall é um sistema ou combinação de sistemas que impõe um limite entre duas ou mais redes.
Um firewall pode ser um roteador com ACLs, uma caixa de hardware dedicada ou software
executado em um PC ou sistema UNIX. Um firewall deve ser colocado na topologia da rede para que
todo o tráfego de fora da rede protegida passe pelo firewall. Uma política de segurança especifica qual
tráfego está autorizado a passar pelo firewall.
Os firewalls são especialmente importantes na fronteira entre a rede corporativa e a Internet. Uma
topologia básica de firewall é simplesmente um roteador com uma conexão WAN à Internet, uma
conexão LAN à rede corporativa e software que possui recursos de segurança. Essa topologia elementar
é apropriada se o seu cliente tiver uma política de segurança simples. Políticas de segurança simples
podem ser implementadas no roteador com ACLs. O roteador também pode usar NAT para ocultar
endereços internos de hackers da Internet.
Para clientes que precisam publicar dados públicos e proteger dados privados, a topologia do firewall
pode incluir uma LAN pública que hospede servidores Web, FTP, DNS e SMTP. A literatura de
segurança mais antiga frequentemente se referia à LAN pública como zona de livre comércio, que é uma
bom nome para isso. Infelizmente, o termo menos apropriado zona desmilitarizada (DMZ) tornou-se mais
popular. A literatura de segurança refere-se a um host na DMZ como um host bastião, um sistema seguro
que suporta um número limitado de aplicações para uso por pessoas de fora. O host bastião contém
dados que pessoas de fora podem acessar, como páginas da web, mas é fortemente protegido contra
pessoas de fora que os utilizam para qualquer outra coisa que não seja para seus propósitos limitados.
Para clientes maiores, é recomendado usar um firewall dedicado além de um roteador entre a Internet e a
rede corporativa. Para maximizar a segurança, você pode executar recursos de segurança no roteador e
no firewall dedicado. (Por outro lado, para maximizar o desempenho, você não executaria recursos de
segurança no roteador.) A Figura 5-16 mostra uma topologia segura DMZ.
Firewall
Empreendimento
Rede
Internet
DMZ
Web, arquivos, DNS, servidores de email
Figura 5-16 Topologia DMZ
Uma topologia alternativa é usar dois roteadores como firewalls e colocar a DMZ entre eles, conforme
mostrado na Figura 5-17. Essa topologia é chamada de topologia de firewall de três partes. Uma
desvantagem dessa abordagem é que a configuração dos roteadores pode ser complexa, consistindo
em muitas ACLs para controlar o tráfego de entrada e saída da rede privada e da DMZ. Outra
desvantagem é que o tráfego da rede corporativa flui através da DMZ. A DMZ conecta servidores públicos
que podem ser comprometidos e atuam como plataformas de lançamento para ataques à rede corporativa.
Você pode fortalecer essa topologia usando roteadores com ACLs simples em cada extremidade da
DMZ e também incluindo firewalls em cada extremidade configurados com ACLs mais complexas. Além
disso, os hosts bastiões dentro da DMZ devem executar software de firewall e ser configurados para um
conjunto limitado de serviços.
Resumo
Este capítulo enfocou técnicas para desenvolver uma topologia para um projeto de rede.
Projetar uma topologia de rede é o primeiro passo na fase de projeto lógico da metodologia de projeto
de rede de cima para baixo. Ao projetar uma topologia lógica antes de uma implementação física, você
pode aumentar a probabilidade de atender às metas de escalabilidade, adaptabilidade e desempenho de
um cliente.
Empreendimento
Internet
Rede DMZ
Web, arquivos, DNS, servidores de email
Figura 5-17 Topologia de firewall de três partes
Este capítulo discutiu quatro características das topologias de rede:
ÿ Hierarquia
ÿ Modularidade
ÿ Redundância
ÿ Segurança
Todas essas características podem ser aplicadas ao design de WAN de campus e de empresa.
As características não são mutuamente exclusivas. Seu objetivo deve ser projetar arquiteturas de rede
hierárquicas, modulares, redundantes e seguras com base nos objetivos do cliente.
A hierarquia e a modularidade permitem desenvolver uma rede que consiste em muitos componentes
inter-relacionados de forma estruturada e em camadas. Usar um modelo hierárquico pode ajudá-lo a
maximizar o desempenho da rede, reduzir o tempo de implementação e solução de problemas de um
projeto e minimizar custos.
Projetos de rede redundantes permitem atender aos requisitos de disponibilidade da rede duplicando
componentes de rede. A redundância elimina pontos únicos de falha na rede. A redundância também
facilita o compartilhamento de carga, o que aumenta o desempenho da rede.
Entretanto, a redundância acrescenta complexidade e custo à rede e deve ser projetada com cuidado.
Dependendo do design específico da sua rede, você deve planejar uma topologia segura que proteja
roteadores principais, pontos de demarcação, cabeamento, switches, servidores e assim por diante.
Adicionar um ou mais firewalls à sua topologia pode ajudá-lo a proteger redes corporativas contra
invasores externos.
Depois de concluir uma topologia lógica para um cliente, você deve continuar na fase de projeto
lógico, projetando modelos de endereçamento e nomenclatura de rede, selecionando protocolos de
comutação e roteamento e desenvolvendo estratégias de segurança e gerenciamento de rede.
Esses tópicos são abordados nos próximos capítulos. Fazer um trabalho completo na fase de projeto
lógico pode facilitar a transição para o projeto da implementação física da rede. Também pode prepará-
lo para a tarefa de selecionar os produtos e tecnologias certos para o seu cliente.
Perguntas de revisão
1. Muitos livros básicos sobre redes afirmam que existem três topologias de rede: um barramento, um anel e uma estrela.
Com base no conhecimento adquirido neste capítulo, explique por que essas topologias simples podem não atender
às necessidades das redes modernas.
2. Compare e contraste topologias de malha completa e parcial. Que vantagens um

malha parcial foi comparada a uma malha completa? Quais são as vantagens de uma malha completa em
comparação com uma malha parcial?
3. Por que é difícil conseguir um verdadeiro balanceamento de carga (em oposição ao compartilhamento de carga)
na maioria das redes?
4. O que significa segurança física ? Quais são algumas facetas da segurança física?
Cenário de projeto
No Capítulo 1, “Analisando metas e restrições de negócios”, você aprendeu sobre a ElectroMyCycle,
fabricante de novas motocicletas elétricas. A ElectroMyCycle escolheu você para projetar uma nova rede que permitirá
à empresa crescer para um tamanho maior. A rede de campus apoiará cerca de 200 funcionários e um novo data center.
Outra característica da rede do campus será uma instalação de fabricação de última geração com equipamentos em rede
que se comunicam com servidores no data center que suportam controle e gerenciamento em tempo real. Os
engenheiros acessarão os servidores a partir de seus PCs na camada de acesso da rede do campus.
A ElectroMyCycle venderá sua nova motocicleta online e por meio de uma grande empresa de varejo. Para vendas
online, a ElectroMyCycle planeja ter uma DMZ que conecte um servidor web público, um servidor DNS e um servidor de
e-mail. O servidor web precisa se comunicar com servidores back-end no data center que armazenam os dados de
faturamento do cliente. A ElectroMyCycle também planeja abrir uma filial de vendas na cidade onde reside a sede
corporativa da empresa varejista, a cerca de 800 quilômetros da sede da ElectroMyCycle.
Projete e desenhe uma topologia lógica que atenderá às necessidades da ElectroMyCycle. Além de atender às
necessidades especificadas, leve em consideração a segurança.
1. Explique por que você acha que seu projeto atende às necessidades do ElectroMyCycle.
2. Liste as principais comunidades de usuários do seu projeto.
3. Liste os principais armazenamentos de dados e as comunidades de usuários de cada armazenamento de dados.
4. Identifique os principais fluxos de tráfego de rede no desenho da topologia da rede.
5. Como o seu projeto fornece segurança para a rede da ElectroMyCycle?
6. Que perguntas você fará à ElectroMyCycle sobre este projeto enquanto trabalha?

Capítulo 6
Projetando modelos para

Endereçamento e Numeração
Este capítulo fornece diretrizes para atribuir endereços e nomes a componentes de interligação de redes,
incluindo redes, sub-redes, roteadores, servidores e sistemas finais. O capítulo se concentra no
endereçamento e nomenclatura do protocolo da Internet (IP). Para aproveitar ao máximo este capítulo, você
já deve ter um conhecimento básico de endereçamento IP.
Este capítulo ilustra a importância de usar um modelo estruturado para endereçamento e nomenclatura
da camada de rede. Sem estrutura, é fácil ficar sem endereços, desperdiçar endereços, introduzir
endereços e nomes duplicados e usar endereços e nomes difíceis de gerenciar. Para atender às metas de
escalabilidade, desempenho e capacidade de gerenciamento de um cliente, você deve atribuir endereços e
nomes sistematicamente.
Este capítulo também demonstra a importância de desenvolver políticas e procedimentos para endereçamento
e nomeação. As políticas envolvem frequentemente um plano para a distribuição de autoridade para
endereçamento e nomeação, para evitar que um departamento tenha de gerir todos os endereços e
nomes. Uma autoridade central pode atribuir blocos de endereços e nomes de forma hierárquica a
departamentos e filiais.
A Parte I deste livro, “Identificando as necessidades e metas do seu cliente”, recomenda compreender a
estrutura organizacional do seu cliente (por exemplo, departamentos, filiais, unidades de negócios e assim
por diante). Essas informações são úteis ao planejar endereços e nomes. Um mapa de topologia da
rede também é útil porque ajuda a ver a hierarquia na rede e a reconhecer onde existem limites de endereço.
A etapa de endereçamento e nomeação do processo de projeto de rede de cima para baixo se enquadra
aqui na metodologia porque faz uso das informações coletadas nas fases anteriores do processo de
projeto de rede.
A etapa de endereçamento e nomeação precede a seleção dos protocolos de roteamento e comutação,

que será abordada no próximo capítulo, porque o modelo de endereçamento desenvolvido pode ditar quais
protocolos de roteamento você pode selecionar. (Por exemplo, alguns protocolos de roteamento não suportam
mascaramento de sub-rede de comprimento variável [VLSM].)
Diretrizes para Atribuição de Endereços de Camada de Rede

Os endereços da camada de rede devem ser planejados, gerenciados e documentados. Embora um sistema final possa
aprender seu endereço dinamicamente, não existem mecanismos para atribuir números de rede ou sub-rede
dinamicamente. Esses números devem ser planejados e administrados. Muitas redes antigas ainda existem onde o
endereçamento não foi planejado ou documentado. Essas redes são difíceis de solucionar e não são escaláveis.
A lista a seguir fornece algumas regras simples para endereçamento da camada de rede que podem ajudá-lo a arquitetar
a escalabilidade e a capacidade de gerenciamento em um projeto de rede. Essas regras são descritas com mais
detalhes nas seções posteriores deste capítulo.
ÿ Projete um modelo estruturado para endereçamento antes de atribuir qualquer endereço.
ÿ Deixe espaço para crescimento no modelo de endereçamento. Se você não planeja o crescimento, poderá mais tarde
ter que renumerar muitos dispositivos, o que exige muita mão-de-obra.
ÿ Atribua blocos de endereços de forma hierárquica para promover boa escalabilidade e

disponibilidade.
ÿ Atribua blocos de endereços com base na rede física, não nos membros do grupo
navio, para evitar problemas quando grupos ou indivíduos se deslocam.
ÿ Se o nível de experiência em gerenciamento de rede em escritórios regionais e filiais for alto, você poderá delegar
autoridade para endereçar redes, sub-redes, servidores e sistemas finais regionais e de filiais.
ÿ Para maximizar a flexibilidade e minimizar a configuração, use o endereçamento dinâmico para

sistemas finais.
ÿ Para maximizar a segurança e a adaptabilidade, use endereços privados com Network Address Translation (NAT) em
ambientes IP.
Usando um modelo estruturado para endereçamento de camada de rede

Um modelo estruturado de endereçamento significa que os endereços são significativos, hierárquicos e planejados. Os
endereços IP que incluem um prefixo e uma parte do host são estruturados. Atribuir um número de rede IP a uma rede
corporativa e, em seguida, dividir o número da rede em sub-redes e sub-redes em sub-redes, é um modelo estruturado
(hierárquico) para endereçamento IP.
Um modelo estruturado de abordagem claramente documentado facilita o gerenciamento e a solução de problemas. A

estrutura facilita a compreensão de mapas de rede, a operação de software de gerenciamento de rede e o
reconhecimento de dispositivos em rastreamentos e relatórios do analisador de protocolo.
Os endereços estruturados também facilitam a otimização e a segurança da rede porque facilitam a implementação
de filtros de rede em firewalls, roteadores e switches.
Muitas empresas não têm modelo de endereçamento. Quando não há modelo e os endereços são atribuídos de forma
aleatória, podem ocorrer os seguintes problemas:
ÿ Rede duplicada e endereços de host
ÿ Endereços ilegais que não podem ser roteados na Internet

Capítulo 6: Projetando Modelos para Endereçamento e Numeração 169
ÿ Endereços insuficientes no total ou por grupo
ÿ Destinatários que não podem ser usados e, portanto, são desperdiçados
Administração de endereços por uma autoridade central

Um departamento de Sistemas de Informação (SI) corporativo ou de rede empresarial deve desenvolver um modelo
global para endereçamento da camada de rede. Como projetista da rede, você deve ajudar o departamento de SI a
desenvolver o modelo. O modelo deve identificar números de rede para o núcleo da rede corporativa e blocos de
sub-redes para as camadas de distribuição e acesso. Dependendo da estrutura organizacional da empresa, os
gerentes de rede de cada região ou filial podem dividir ainda mais as sub-redes.
Os endereços IP são públicos ou privados. Os endereços públicos são globalmente únicos e são registrados por uma
autoridade de numeração. Endereços privados nunca são roteados na Internet global e são atribuídos a partir de
um intervalo especial, documentado na RFC 1918. Os endereços privados são abordados com mais detalhes na seção
“Usando endereços privados em um ambiente IP”, posteriormente neste capítulo.
No início do processo de design de endereçamento, você precisa responder às seguintes perguntas sobre endereços
públicos versus endereços privados:
ÿ Os tipos de endereço público, privado ou ambos são obrigatórios?
ÿ Quantos sistemas finais precisam de acesso apenas à rede privada?
ÿ Quantos sistemas finais precisam estar visíveis para a rede pública?
ÿ Como ocorrerá a tradução entre endereços privados e públicos?
ÿ Onde na topologia da rede estará o limite entre anúncios públicos e privados

existem vestidos?
A Internet Assigned Numbers Authority (IANA) é responsável pela coordenação global de endereços IP públicos. A
IANA aloca endereços IP para Registros Regionais de Internet (RIR). Se precisar de um grande número de
endereços públicos, você trabalhará com um dos cinco RIRs:
ÿ O American Registry for Internet Numbers (ARIN) atende a América do Norte e partes do
o caribenho. Acesse www.arin.net para obter mais informações.
ÿ O Centro de Coordenação da Rede RIPE (RIPE NCC) atende a Europa, o Oriente Médio e a Ásia Central. Acesse
www.ripe.net para obter mais informações.
ÿ O Centro de Informações da Rede Ásia-Pacífico (APNIC) atende a Ásia e a região do Pacífico.

Acesse www.apnic.net para obter mais informações.
ÿ O Registro de Endereços da Internet da América Latina e do Caribe (LACNIC) atende a América Latina e partes do
Caribe. Acesse www.lacnic.net para mais informações.
ÿ O Centro de Informação da Rede Africana (AfriNIC) serve África. Acesse www.afrinic.net

Para maiores informações.
O termo espaço de endereço independente de provedor refere-se a endereços atribuídos

diretamente por um dos RIRs. Na prática, a maioria das empresas não utiliza endereços do
espaço de endereço independente do provedor. Para se tornar elegível para endereço independente do provedor
espaço, uma organização deve demonstrar aos RIRs que terá milhares de
Hosts conectados à Internet. Portanto, a maioria das empresas trabalha com um serviço de Internet
provedor (ISP) para obter endereços públicos, caso em que seus endereços fazem parte do
espaço de endereço atribuído pelo provedor. A empresa usa esses endereços enquanto
continua assinante do provedor. A mudança para um novo fornecedor requer renumeração,
que é um problema com endereços atribuídos pelo provedor. No entanto, a menos que você tenha
numerosos hosts que precisam de endereçamento público, você provavelmente usará
endereços.
Autoridade de distribuição para endereçamento
Um dos primeiros passos no desenvolvimento de um modelo de endereçamento e nomenclatura é determinar quem

implementará o modelo. Quais administradores de rede realmente atribuirão endereços
e configurar dispositivos? Se o endereçamento e a configuração forem realizados por administradores de rede
inexperientes, você deverá manter o modelo simples.
Se houver falta de administradores de rede (o que ocorre em muitas organizações),

simplicidade e minimizar a quantidade de configuração necessária é importante. Nessas situações, o endereçamento
dinâmico é uma boa recomendação. Mecanismos de endereçamento dinâmico, como o Dynamic Host
Configuration Protocol (DHCP) para ambientes IP,
permitir que cada sistema final aprenda seu endereço automaticamente. Pouca ou nenhuma configuração é
necessário.
Se os administradores de rede em escritórios regionais e filiais forem inexperientes, você poderá

considere não delegar autoridade para endereçamento e nomeação. Muitas pequenas e médias empresas mantêm
um controle rigoroso de endereçamento e nomenclatura em nível corporativo (centralizado). Manter um controle
rigoroso evita erros que podem causar frustração ao usuário e
falhas na rede. Manter um controle rigoroso pode ser um desafio, especialmente à medida que os administradores e
usuários de redes regionais se tornam mais experientes em redes e começam a
instalação de dispositivos que podem atribuir endereços.
Usando endereçamento dinâmico para sistemas finais
O endereçamento dinâmico reduz as tarefas de configuração necessárias para conectar sistemas finais a
uma rede. O endereçamento dinâmico também oferece suporte a usuários que mudam de escritório com frequência,
viajar ou trabalhar em casa ocasionalmente. Com o endereçamento dinâmico, uma estação pode aprender
automaticamente o segmento de rede ao qual está atualmente conectada e ajustar sua rede
endereço da camada de acordo.
O endereçamento dinâmico foi incorporado em protocolos de desktop legados, como AppleTalk e

Novell NetWare. Os projetistas desses protocolos reconheceram a necessidade de minimizar as tarefas de
configuração para que usuários inexperientes pudessem configurar pequenas redes. Os protocolos IP, por outro
lado, foram projetados para serem executados em computadores gerenciados por profissionais experientes.
administradores de sistema e originalmente não suportava endereçamento dinâmico. Nos últimos anos,
entretanto, a importância do endereçamento dinâmico foi reconhecida, e a maioria das empresas usa DHCP para
minimizar tarefas de configuração para sistemas finais IP.
Muitas redes usam uma combinação de endereçamento estático e dinâmico. Endereços estáticos são normalmente
usados para servidores, roteadores e sistemas de gerenciamento de rede. Endereços estáticos também são usados na
borda corporativa nos módulos de comércio eletrônico, borda da Internet, VPN/acesso remoto e borda WAN de um
design de rede modular. Embora os switches funcionem abaixo da camada de rede no enlace de dados e nas
camadas físicas, também é uma boa ideia atribuir um endereço estático da camada de rede aos switches para fins
de gerenciamento. Endereços dinâmicos são normalmente usados para sistemas finais, incluindo estações de
trabalho e telefones IP.
Outros critérios para usar endereçamento estático versus dinâmico incluem o seguinte:
ÿ O número de sistemas finais: quando há mais de 30 sistemas, anúncios dinâmicos

vestir é geralmente preferível.
ÿ Renumeração: Se for provável que você precise renumerar sistemas no futuro e houver muitos sistemas finais,
a atribuição dinâmica de endereços é a melhor escolha.
A renumeração para endereços públicos será necessária se um novo ISP for selecionado. Além disso, você
pode planejar uma renumeração porque o plano atual não está bem estruturado ou ficará sem números em breve.
ÿ Alta disponibilidade: endereços IP atribuídos estaticamente estão disponíveis a qualquer momento. Os endereços IP
atribuídos dinamicamente devem ser adquiridos primeiro de um servidor. Se o servidor falhar, um endereço
não poderá ser adquirido. Para evitar esse problema, você pode implantar servidores DHCP redundantes ou usar
endereços estáticos.
ÿ Segurança: Com a atribuição dinâmica de endereços, na maioria dos casos, qualquer dispositivo que se conecte à
rede pode adquirir um endereço válido. Isto impõe alguns riscos de segurança e pode significar que o
endereçamento dinâmico não é apropriado para uma empresa com uma política de segurança rigorosa.
ÿ Rastreamento de endereços: se uma política de gerenciamento ou segurança exigir que os endereços sejam
rastreados, o endereçamento estático poderá ser mais fácil de implementar do que o endereçamento dinâmico.
ÿ Parâmetros adicionais: se os sistemas finais precisarem de informações além de um endereço, o endereçamento

dinâmico será útil porque um servidor pode fornecer parâmetros adicionais aos clientes junto com o
endereço. Por exemplo, um servidor DHCP fornece uma máscara de sub-rede, um gateway padrão e informações
opcionais do servidor, como o endereço de um servidor TFTP para VoIP e o endereço de um ou mais
servidores de nomes, incluindo Sistema de Nomes de Domínio (DNS) e Windows Internet Naming. Servidores
de serviço (WINS).
Endereçamento IP Dinâmico Quando
os protocolos IP foram desenvolvidos pela primeira vez, era necessário que um administrador de rede configurasse
cada host com seu endereço IP exclusivo. Em meados da década de 1980, foram desenvolvidos protocolos para
suportar estações sem disco que aprendem dinamicamente um endereço, o que era necessário porque uma
estação sem disco não possui armazenamento para salvar uma configuração. Esses protocolos incluíam o
protocolo de resolução de endereço reverso (RARP) e o BOOTP. O BOOTP evoluiu para o DHCP, que ganhou
popularidade considerável desde o final da década de 1990.
O RARP tem escopo limitado; a única informação retornada a uma estação usando RARP é o seu endereço IP.
BOOTP é mais sofisticado que RARP e retorna opcionalmente informações adicionais, incluindo o
endereço do gateway padrão, o nome de um arquivo de inicialização para download e 64 bytes de
informações específicas do fornecedor.
O protocolo de configuração dinâmica de host DHCP
é baseado em BOOTP, cujos hosts podem interoperar com hosts DHCP, embora o DHCP adicione muitos
aprimoramentos ao BOOTP, incluindo um campo maior de informações específicas do fornecedor (chamado
de campo de opções no DHCP) e a alocação automática de rede reutilizável. endereços da camada de trabalho.
O DHCP ultrapassou a popularidade do BOOTP porque é mais fácil de configurar. Ao contrário do BOOTP,
o DHCP não exige que um administrador de rede mantenha uma tabela de endereços MAC para IP.
O DHCP usa um modelo cliente/servidor. Os servidores alocam endereços da camada de rede e salvam
informações sobre quais endereços foram alocados. Os clientes solicitam dinamicamente parâmetros de
configuração dos servidores. O objetivo do DHCP é que os clientes não exijam configuração manual. Além
disso, o gerente da rede não deve precisar inserir nenhum parâmetro de configuração por cliente nos servidores.
O DHCP oferece suporte a três métodos de alocação de endereços IP:
ÿ Alocação automática: um servidor DHCP atribui um endereço IP permanente a um cliente.
ÿ Alocação dinâmica: um servidor DHCP atribui um endereço IP a um cliente por um período limitado
período de tempo.
ÿ Alocação manual: um administrador de rede atribui um endereço IP permanente a um

cliente, e o DHCP é usado simplesmente para transmitir o endereço atribuído ao cliente. (A alocação
manual raramente é usada porque requer configuração por cliente, o que as alocações automáticas e
dinâmicas não exigem.)
A alocação dinâmica é o método mais popular, em parte porque seu recurso de realocação oferece suporte
a ambientes onde os hosts não estão on-line o tempo todo e onde há mais hosts do que endereços. Com a
alocação dinâmica, um cliente solicita o uso de um endereço por um período limitado de tempo. O período de
tempo é chamado de arrendamento.
O mecanismo de alocação garante não realocar esse endereço dentro do tempo solicitado e tenta retornar o
mesmo endereço da camada de rede cada vez que o cliente solicita um endereço. O cliente pode estender seu
aluguel com solicitações subsequentes. O cliente pode optar por renunciar à sua concessão enviando
uma mensagem de liberação de DHCP ao servidor.
O mecanismo de alocação poderá reutilizar um endereço se a concessão do endereço tiver expirado.

Como verificação de consistência, o servidor de alocação deve testar o endereço antes de alocá-lo, enviando
uma solicitação de eco do Internet Control Message Protocol (ICMP) (também conhecido como pacote de ping)
para o endereço. O cliente também deve investigar o endereço recém-recebido para garantir que ele não esteja
em uso no momento, enviando um pacote de ping para o endereço ou enviando uma solicitação de protocolo
de resolução de endereço (ARP) para o endereço. Se houver resposta, o endereço já está em uso e não
deve ser utilizado pelo cliente.
Quando um cliente é inicializado, ele transmite uma mensagem de descoberta de DHCP em sua sub-rede local. Uma estação
que recebeu anteriormente um endereço e concessão da camada de rede pode incluí-los no
Mensagem de descoberta de DHCP para sugerir que eles sejam usados novamente. Um roteador pode passar o DHCP
descubra a mensagem em servidores DHCP que não estejam na mesma sub-rede física para evitar a exigência de que um
servidor DHCP resida em cada sub-rede. (O roteador atua como um agente de retransmissão DHCP.)
Cada servidor responde à solicitação DHCP com uma mensagem de oferta DHCP que inclui um
endereço da camada de rede disponível no campo seu endereço (yiaddr) . A mensagem de oferta DHCP pode incluir
parâmetros de configuração adicionais no campo de opções, como a máscara de sub-rede e os endereços de um gateway
padrão, um servidor DNS ou um servidor TFTP.
Depois que o cliente recebe mensagens de oferta DHCP de um ou mais servidores, o cliente escolhe um servidor do qual
solicitar parâmetros de configuração. O cliente transmite um
Mensagem de solicitação DHCP que inclui a opção de identificador do servidor para indicar qual servidor foi selecionado.
Esta mensagem de solicitação DHCP é transmitida e retransmitida através de roteadores se
necessário.
O servidor selecionado na mensagem de solicitação DHCP confirma os parâmetros de configuração

para o cliente ao armazenamento persistente e responde com uma mensagem DHCP ACK, contendo
os parâmetros de configuração para o cliente solicitante.
Se um cliente não receber nenhuma oferta de DHCP ou mensagens DHCP ACK, o cliente expirará e
retransmite as mensagens de descoberta e solicitação do DHCP. Para evitar sincronicidade e tráfego excessivo de rede, o
cliente usa um algoritmo de espera exponencial aleatório para determinar o atraso entre as retransmissões. O atraso entre
as retransmissões deve ser
escolhido para permitir tempo suficiente para respostas do servidor, com base nas características do
a rede entre o cliente e o servidor. Por exemplo, em uma rede Ethernet de 10 Mbps,
o atraso antes da primeira retransmissão deve ser de 4 segundos, randomizado pelo valor de
um número aleatório uniforme escolhido no intervalo –1 a +1. O atraso antes do próximo
a retransmissão deve ser de 8 segundos, randomizada pelo valor de um número uniforme escolhido no intervalo –1 a +1.
O atraso de retransmissão deve ser duplicado nas retransmissões subsequentes até um máximo de 64 segundos.
Agentes de retransmissão DHCP
Os clientes DHCP enviam suas mensagens como transmissões. As transmissões não cruzam roteadores e permanecem
local para uma sub-rede. Sem um agente de retransmissão, cada sub-rede precisa de um servidor DHCP. Como mencionado,
um roteador pode atuar como um agente de retransmissão DHCP. Isso significa que o roteador passa pela transmissão DHCP
mensagens de clientes para servidores DHCP que não estão na mesma sub-rede que os clientes. Esse
evita a necessidade de um servidor DHCP residir em cada sub-rede com clientes.
Com roteadores Cisco, você pode usar o comando ip helper-address em cada interface do roteador
onde os clientes residem para fazer com que o roteador se torne um agente de retransmissão DHCP. Um endereço
O parâmetro do comando deve apontar para o endereço IP do servidor DHCP.
Alternativamente, o endereço pode ser um endereço de broadcast para que o roteador transmita o
Mensagem de descoberta de DHCP na rede especificada. Um endereço de broadcast deve ser usado
somente se o servidor estiver em uma rede conectada diretamente porque os roteadores modernos não encaminham
transmissões direcionadas para outras redes.
Quando um roteador retransmite uma mensagem de descoberta para outra rede ou sub-rede, o roteador coloca
o endereço IP da interface na qual a mensagem chegou no endereço do gateway
(giaddr) do cabeçalho DHCP. O servidor DHCP pode usar as informações do giaddr para
determinar de qual escopo o endereço atribuído deve vir.
Cuidado Quando você habilita um endereço auxiliar IP, os roteadores Cisco encaminham vários endereços UDP
transmissões por padrão, incluindo transmissões TFTP, DNS, NetBIOS e TACACS. Para configurar o roteador para ser mais
criterioso em seu encaminhamento, use o comando ip forward-protocol para os protocolos que devem ser encaminhados
e o comando no ip forward-protocol para os protocolos que não devem ser encaminhados. Para garantir que os
pacotes DHCP sejam encaminhados, use o comando ip forward-protocol udp 67 . Mensagens de descoberta e solicitação
de DHCP usam a porta de destino UDP número 67, o número de porta reservado há muitos anos para
BOOTP.
Endereçamento Dinâmico IP Versão 6

Assim como o IPv4, o IP versão 6 (IPv6) suporta endereçamento estático e dinâmico. Chamadas IPv6
configuração automática de endereçamento dinâmico . A configuração automática IPv6 pode ser com estado ou sem
estado.
Com um método de configuração automática com estado, os hosts obtêm endereços e outros parâmetros
de um servidor. O servidor armazena um banco de dados contendo as informações necessárias e
mantém o controle sobre as atribuições de endereço. Isto deve soar familiar. O modelo de configuração automática com
estado é definido no DHCPv6.
A configuração automática sem estado não requer configuração manual de hosts, requer mínimo (ou nenhum)
configuração de roteadores e nenhum servidor. Para um engenheiro de rede que não está preocupado
sobre quais endereços são usados, desde que sejam exclusivos e roteáveis, a configuração automática sem estado
oferece muitos benefícios. A configuração automática sem estado é discutida na RFC 4862.
Com a configuração automática sem estado, um host gera seu próprio endereço usando endereços disponíveis localmente.
informações mais informações anunciadas pelos roteadores. O processo começa com a geração de um endereço local
de link para uma interface. O endereço link-local é gerado combinando o conhecido prefixo link-local (FE80::/10) com um
identificador de interface de 64 bits. Para
Para obter mais informações sobre prefixos IPv6, consulte a seção “Hierarquia em endereços IP versão 6”, posteriormente
neste capítulo.
A próxima etapa determina a exclusividade do endereço provisório que foi derivado

combinando o prefixo do endereço local do link com o identificador da interface. O anfitrião transmite
uma mensagem de solicitação de vizinho com o endereço provisório como endereço de destino. Se outro host estiver
usando esse endereço, um anúncio de vizinho será retornado. Neste caso, a configuração automática é interrompida e
é necessária alguma intervenção manual. Como o endereço geralmente é baseado em um endereço NIC, duplicatas são
muito improváveis. Se nenhuma resposta for retornada,
o endereço provisório é considerado único e a conectividade IP com hosts locais agora é
possível.
A etapa final do processo de configuração automática envolve ouvir mensagens de anúncio de roteador
IPv6 que os roteadores transmitem periodicamente. Um host também pode forçar um anúncio imediato do
roteador, transmitindo uma mensagem de solicitação de roteador para todos os endereços multicast dos roteadores.
Os anúncios de roteador contêm zero ou mais opções de informações de prefixo que contêm informações usadas pelo
host para gerar um endereço global.

Campos de opções adicionais contêm um prefixo de sub-rede e valores de tempo de vida, indicando por quanto
tempo os endereços criados a partir do prefixo permanecem preferenciais e válidos.
Rede com configuração zero

O grupo de trabalho Zero Configuration Networking (Zeroconf) da Internet Engineering Task Force
(IETF) levou o conceito de endereçamento dinâmico um passo além do DHCP. Assim como o AppleTalk e o IPv6,
o Zeroconf pode alocar endereços IP sem um servidor. Também pode traduzir entre nomes e endereços IP sem um
servidor DNS. Para lidar com a nomenclatura, o Zeroconf suporta DNS multicast (mDNS), que usa endereço
multicast para resolução de nomes. Zeroconf é implementado em sistemas operacionais Mac OS, Windows, Linux,
na maioria das impressoras dos principais fornecedores de impressoras e em outros dispositivos de rede.
Zeroconf é uma tecnologia link-local. Endereços e nomes de link local são significativos apenas em uma rede
específica. Eles não são globalmente únicos. Zeroconf é apropriado para redes domésticas e de pequenos
escritórios, redes ad hoc em reuniões e conferências (especialmente redes sem fio), sistemas embarcados como em
um automóvel e sempre que dois dispositivos precisam compartilhar ou trocar informações espontaneamente.
Embora o objetivo principal do Zeroconf seja facilitar o uso de redes de computadores pessoais, de acordo com a
página www.zeroconf.org, um objetivo de longo prazo é “permitir a criação de tipos inteiramente novos de produtos
em rede, produtos que hoje simplesmente não seria comercialmente viável devido à inconveniência e aos custos de
suporte envolvidos na instalação, configuração e manutenção de uma rede.”
O Zeroconf tem muitas vantagens, mas um risco potencial é que ele irá interferir em sistemas mais estruturados
para atribuições de endereços e nomes, embora a página www.zeroconf.org diga que o Zeroconf “deve coexistir
normalmente com redes configuradas maiores” e que os protocolos Zeroconf “ não deve causar danos à rede
quando uma máquina Zeroconf estiver conectada a uma rede grande.” Zeroconf possui alguns recursos
intrigantes e, como designer de rede, você deve estar familiarizado com ele. Zeroconf pode resolver vários problemas
para redes pequenas e ad hoc.
Usando endereços privados em um ambiente IP

Endereços IP privados são endereços que um administrador de rede empresarial atribui a redes e hosts internos
sem qualquer coordenação de um ISP ou de um dos RIRs. Um ISP ou RIR fornece endereços públicos para servidores
web ou outros servidores acessados por usuários externos, mas endereços públicos não são necessários para
hosts e redes internas.
O endereçamento para hosts internos que precisam de acesso a serviços externos, como e-mail, FTP ou servidores
web, pode ser feito por um gateway NAT. O NAT será abordado posteriormente neste capítulo.
Na RFC 1918, a IETF reserva os seguintes números para endereçamento de nós em redes privadas
internas:
ÿ 10.0.0.0 a 10.255.255.255
ÿ 172.16.0.0 a 172.31.255.255
ÿ 192.168.0.0 a 192.168.255.255
Uma vantagem dos números de rede privada é a segurança. Os números de redes privadas não são
anunciados na Internet. Os números de redes privadas não devem ser anunciados na Internet
porque não são globalmente exclusivos. Ao não anunciar números de redes internas privadas, consegue-se
um mínimo de segurança. Segurança adicional, incluindo firewalls e sistemas de detecção de intrusão,
também deve ser implantada, conforme discutido no Capítulo 5, “Projetando uma topologia de
rede”, e no Capítulo 8, “Desenvolvendo estratégias de segurança de rede”.
O endereçamento privado também ajuda a atingir metas de adaptabilidade e flexibilidade. O uso do

endereçamento privado facilita a mudança de ISP no futuro. Se tiver sido utilizado endereçamento
privado, ao mudar para um novo ISP, as únicas alterações de endereço necessárias serão no roteador ou
firewall que fornece serviços NAT e em quaisquer servidores públicos. Você deve recomendar o
endereçamento privado aos clientes que desejam a flexibilidade de mudar facilmente para um ISP diferente
no futuro.
Outra vantagem dos números de rede privada é que uma rede corporativa pode anunciar apenas um
número de rede, ou um pequeno bloco de números de rede, na Internet. É uma boa prática evitar anunciar
muitos números de rede na Internet. Um dos objetivos das práticas modernas da Internet é que os
roteadores da Internet não precisem gerenciar enormes tabelas de roteamento. À medida que uma rede
empresarial cresce, o gestor da rede pode atribuir endereços privados a novas redes, em vez de solicitar
números de rede pública adicionais a um ISP ou RIR. Isso evita aumentar o tamanho das tabelas de
roteamento da Internet.
Os números de redes privadas permitem que um projetista de redes reserve endereços escassos da
Internet para servidores públicos. Em meados da década de 1990, à medida que a Internet se tornou
comercializada e popularizada, um susto se espalhou pela comunidade da Internet sobre a escassez de endereços.
Foram feitas previsões terríveis de que não haveria mais endereços disponíveis na virada do século. Por
causa desse susto, muitas empresas (e muitos ISPs) receberam um pequeno conjunto de endereços que
precisavam ser gerenciados com cuidado para evitar o esgotamento. Estas empresas reconhecem o valor
dos endereços privados para redes internas.
Nota A escassez de endereços de Internet deveu-se principalmente à forma como os endereços IPv4 foram
divididos em classes. Embora o espaço de endereço IP tenha tamanho fixo e se esgote em algum momento,
o tamanho de 4 bytes de um endereço IPv4 é teoricamente grande o suficiente para endereçar mais
de 4 bilhões de nós. O método usado para dividir o espaço de endereçamento em classes significou,
entretanto, que muitos endereços foram desperdiçados. Aproximadamente 50% do espaço de endereço
foi usado para endereços de host Classe A. Outros 12% foram usados para endereços de host Classe C.
Com a invenção do endereçamento sem classes, a ameaça de ficar sem endereços é menos
iminente. O endereçamento sem classes é abordado na seção “Usando um modelo hierárquico para
atribuir endereços” deste capítulo.
Advertências com endereçamento privado

Embora os benefícios do endereçamento privado superem as desvantagens, é importante estar ciente
das desvantagens. Uma desvantagem é que a terceirização do gerenciamento de rede é difícil.
Quando uma empresa delega a responsabilidade de gerenciamento de rede a uma empresa externa,
a empresa externa normalmente configura consoles de rede em seu próprio local que se comunicam
com dispositivos de interligação de redes dentro da rede do cliente. Com o endereçamento
privado, entretanto, os consoles não podem alcançar os dispositivos do cliente, porque nenhuma rota
para redes internas é anunciada para o exterior. O NAT pode ser usado para converter endereços
privados em endereços públicos, mas pode haver problemas de interoperabilidade entre o NAT e
os protocolos de gerenciamento de rede, como o Simple Network Management Protocol
(SNMP).
Outra desvantagem do endereçamento privado é a dificuldade de comunicação com parceiros,

vendedores, fornecedores e assim por diante. Como as empresas parceiras provavelmente
também usam endereços privados, a construção de extranets torna-se mais difícil. Além disso, as
empresas que se fundem enfrentam a difícil tarefa de renumerar quaisquer endereços duplicados
causados pelo uso dos mesmos endereços privados por ambas as empresas.
Outra advertência a ter em mente ao usar endereços privados é que é fácil esquecer de usar um
modelo estruturado com endereços privados. Os gerentes de rede corporativa, que antes estavam
famintos por endereços cuidadosamente distribuídos por ISPs e RIRs, ficam entusiasmados quando
mudam para o endereçamento privado e têm toda a rede 10.0.0.0 à sua disposição.
A excitação não deve ofuscar a necessidade de atribuir o novo espaço de endereço de uma forma
estruturada e hierárquica. O endereçamento hierárquico facilita o resumo de rotas na rede
corporativa, o que diminui o consumo de largura de banda por meio de protocolos de roteamento,
reduz o processamento em roteadores e aumenta a resiliência da rede.
Tradução do Endereço da Rede
A Tradução de Endereço de Rede (NAT) é um mecanismo IP descrito na RFC 3022 para converter
endereços de uma rede interna em endereços apropriados para uma rede externa e vice-versa. O
NAT é útil quando os hosts que precisam de acesso aos serviços da Internet possuem endereços
privados. A funcionalidade NAT pode ser implementada em um dispositivo, roteador ou firewall
separado.
O administrador NAT configura um conjunto de endereços externos que podem ser usados para
tradução. Quando um host interno envia um pacote, o endereço de origem é traduzido dinamicamente
para um endereço do conjunto de endereços externos. O NAT também fornece endereços
estáticos para servidores que precisam de um endereço fixo (por exemplo, um servidor web ou de
correio que deve sempre mapear para o mesmo endereço conhecido).
Alguns produtos NAT também oferecem tradução de portas para mapear vários endereços para o mesmo endereço. Com
a tradução de portas, todo o tráfego de uma empresa tem o mesmo endereço. Os números de porta são usados para
distinguir conversas separadas. A tradução de portas reduz o número de endereços externos necessários. A tradução de
porta às vezes é chamada de sobrecarga de NAT ou tradução de endereço de porta (PAT).
Ao usar o NAT, todo o tráfego entre uma rede corporativa e a Internet deve passar pelo gateway NAT. Por esse
motivo, você deve certificar-se de que o gateway NAT tenha rendimento superior e baixo atraso, principalmente se os
usuários corporativos dependerem de aplicativos de vídeo ou voz da Internet. O gateway NAT deve ter um processador
rápido que possa examinar e alterar pacotes rapidamente. Tenha em mente que, além de modificar endereços IP,
um gateway NAT deve modificar as somas de verificação IP, TCP e UDP. (As somas de verificação para TCP e
UDP cobrem um pseudocabeçalho que contém endereços IP de origem e destino.)
Em muitos casos, o NAT também deve modificar os endereços IP que ocorrem dentro da parte de dados de um pacote.
Os endereços IP podem aparecer em ICMP, FTP, DNS, SNMP e outros tipos de pacotes.
Como o NAT tem a função de traduzir algo tão básico como endereços da camada de rede, pode ser complicado garantir
o comportamento correto de todos os aplicativos. Um gateway NAT deve ser exaustivamente testado em um ambiente
piloto antes de ser implantado de maneira geral.
Usando um modelo hierárquico para atribuir endereços

O endereçamento hierárquico é um modelo para aplicar estrutura a endereços de modo que os números na parte
esquerda de um endereço se refiram a grandes blocos de redes ou nós, e os números na parte direita de um endereço
se refiram a redes ou nós individuais. O endereçamento hierárquico facilita o roteamento hierárquico, que é um modelo
para distribuição de conhecimento de uma topologia de rede entre roteadores interligados. Com o roteamento hierárquico,
nenhum roteador precisa entender a topologia completa. Este capítulo concentra-se no endereçamento e roteamento
hierárquico para ambientes IP, mas os conceitos também se aplicam a outros ambientes.
Por que usar um modelo hierárquico para endereçamento e roteamento?

O Capítulo 5 examinou a importância da hierarquia no projeto de topologia. Os benefícios da hierarquia em um
modelo de endereçamento e roteamento são os mesmos de um modelo de topologia:
ÿ Suporte para fácil solução de problemas, atualizações e capacidade de gerenciamento
ÿ Desempenho otimizado
ÿ Convergência de protocolo de roteamento mais rápida
ÿ Escalabilidade
ÿ Estabilidade
ÿ Menos recursos de rede necessários (CPU, memória, buffers, largura de banda e assim por diante)
O endereçamento hierárquico permite a sumarização (agregação) de números de rede.

A sumarização permite que um roteador agrupe muitos números de rede ao anunciar sua tabela de
roteamento. A sumarização melhora o desempenho e a estabilidade da rede. O endereçamento
hierárquico também facilita o mascaramento de sub-rede de comprimento variável (VLSM). Com o VLSM,
uma rede pode ser dividida em sub-redes de diferentes tamanhos, o que ajuda a otimizar o espaço
de endereço disponível.
Roteamento Hierárquico
O roteamento hierárquico significa que o conhecimento da topologia e configuração da rede é localizado.

Nenhum roteador precisa entender como chegar a outro segmento de rede. O roteamento hierárquico
exige que um administrador de rede atribua endereços de forma hierárquica. O endereçamento e o
roteamento IP têm sido um tanto hierárquicos há muito tempo, mas nos últimos anos, à medida que a
Internet e as intranets empresariais cresceram, tornou-se necessário adicionar mais hierarquia.
Para entender o roteamento hierárquico em termos simples, considere o sistema telefônico. O sistema
telefônico usa roteamento hierárquico há anos. Quando você disca 541-555-1212 de um telefone em
Michigan, a central telefônica em Michigan não sabe como entrar em contato com esse número
específico em Oregon. O switch em Michigan simplesmente sabe que o número não é de Michigan e
encaminha a chamada para uma companhia telefônica nacional. Um switch da companhia telefônica
nacional sabe que 541 é para o sul do Oregon, mas não sabe especificamente para onde devem ir
as chamadas para 555. Um switch em Oregon determina qual switch central lida com o prefixo 555 e
esse switch roteia a chamada para 1212.
Com a rede de dados, decisões semelhantes são tomadas à medida que um pacote viaja através de
uma rede roteada. Contudo, nas redes IP tradicionais, as decisões não poderiam ser tão locais como as
decisões no exemplo do telefone. Até recentemente, os endereços IP da Internet eram atribuídos de
forma não hierárquica. Por exemplo, duas empresas no Oregon podem ter números de rede Classe C
muito diferentes, apesar de ambas usarem o mesmo provedor upstream para acessar a Internet. Isso
significava que o provedor tinha que informar todos os outros sites da Internet sobre as duas empresas
do Oregon. Portanto, diferentemente do exemplo do sistema telefônico, um roteador em Michigan
saberia como alcançar redes específicas em Oregon.
Encaminhamento inter-domínio sem classe
Em meados da década de 1990, a IETF e a IANA perceberam que a falta de um modelo hierárquico
para atribuição de números de rede na Internet era um grave problema de escalabilidade. As tabelas de
roteamento da Internet estavam crescendo exponencialmente e a quantidade de sobrecarga para
processar e transmitir as tabelas era significativa. Para restringir a sobrecarga de roteamento, ficou
claro que a Internet deve adotar um esquema hierárquico de endereçamento e roteamento. Para
resolver o problema de sobrecarga de roteamento, a Internet adotou o método de roteamento
interdomínio sem classes (CIDR) para resumir rotas. O CIDR especifica que os endereços de rede
IP devem ser atribuídos em blocos e que os roteadores na Internet devem agrupar rotas para reduzir a
quantidade de informações de roteamento compartilhadas pelos roteadores da Internet.
A RFC 2050 fornece diretrizes para a alocação de endereços IP por RIRs e ISPs. RFC 2050
afirma que
Um provedor de Internet obtém um bloco de espaço de endereço de um registro de endereços e

então atribui aos seus clientes endereços dentro desse bloco com base em cada
exigência do cliente. O resultado desse processo é que as rotas para muitos clientes
serão agregadas e aparecerão para outros provedores como uma rota única. Para
agregação de rotas seja eficaz, os provedores de Internet incentivam os clientes a aderir
sua rede para usar o bloco do provedor e, assim, renumerar seus computadores. Tal
o incentivo pode se tornar um requisito no futuro.
Ao mesmo tempo que a IETF e a IANA abordaram o problema do roteamento não hierárquico, também abordaram o
problema do esgotamento dos endereços IP. Como dito anteriormente,
o sistema de atribuição de endereços em classes significava que muitos endereços seriam
desperdício. A IETF desenvolveu o endereçamento sem classes, que proporciona mais flexibilidade na especificação do
comprimento da parte do prefixo de um número de rede IP.
Roteamento sem classe versus roteamento com classe

Conforme mostrado na Figura 6-1, um endereço IP contém uma parte de prefixo e uma parte de host. Uso de roteadores
o prefixo para determinar o caminho para um endereço de destino que não seja local. Uso de roteadores
a parte do host para alcançar os hosts locais.
32 bits
Prefixo Hospedar
Comprimento do prefixo
Figura 6-1 Duas partes de um endereço IP
Um prefixo identifica um bloco de números de host e é usado para roteamento para esse bloco.
O roteamento tradicional, também conhecido como roteamento classful, não transmite nenhuma informação
sobre o comprimento do prefixo. Com o roteamento classful, hosts e roteadores calculam o prefixo
comprimento observando os primeiros bits de um endereço para determinar sua classe. Os primeiros
bits para endereços de Classe A a C são mostrados no gráfico a seguir:
Classe A Primeiro bit = 0 O prefixo é de 8 bits
Classe B Primeiros 2 bits = 10 O prefixo é de 16 bits
Classe C Primeiros 3 bits = 110 O prefixo é de 24 bits

Nas primeiras implementações de IP, os hosts e roteadores IP entendiam apenas três comprimentos de prefixo: 8,
16 e 24. Isso se tornou uma limitação à medida que as redes cresciam, então as sub-redes foram introduzidas.
Com sub-redes, um host (ou roteador) pode ser configurado para entender que o comprimento do prefixo local
é estendido. Esta configuração é realizada com uma máscara de sub-rede. Por exemplo, roteadores e hosts
podem ser configurados para entender que a rede 10.0.0.0 está subdividida em 254 sub-redes usando uma
máscara de sub-rede 255.255.0.0.
A notação CIDR indica o comprimento do prefixo com um campo de comprimento, seguido de uma barra. Por
exemplo, no endereço 10.1.0.1/16, o 16 indica que o prefixo tem 16 bits, o que significa o mesmo que a máscara de
sub-rede 255.255.0.0.
Os hosts e roteadores IP tradicionais tinham uma capacidade limitada de compreender comprimentos de prefixos
e sub-redes. Eles entendiam a duração das configurações locais, mas não das configurações remotas. O
roteamento classful não transmitiu nenhuma informação sobre o comprimento do prefixo. O comprimento do
prefixo foi calculado a partir das informações sobre a classe de endereço fornecidas nos primeiros bits de um
endereço, conforme mencionado anteriormente.
Os protocolos de roteamento sem classe, por outro lado, transmitem um comprimento de prefixo com um
endereço IP. Isso permite que protocolos de roteamento sem classe agrupem redes em uma entrada e usem o
comprimento do prefixo para especificar quais redes serão agrupadas. Os protocolos de roteamento sem classes
também aceitam qualquer comprimento de prefixo arbitrário, em vez de aceitar apenas comprimentos de 8,
16 ou 24, ditados pelo sistema classful.
Os protocolos de roteamento sem classe incluem Routing Information Protocol (RIP) versão 2, Enhanced
Interior Gateway Routing Protocol (EIGRP), Open Shortest Path First (OSPF), Border Gateway Routing Protocol
(BGP) e Intermediate System-to-Intermediate System (IS-IS). ).
Os protocolos de roteamento classful incluem RIP versão 1 e Interior Gateway Routing Protocol (IGRP).
Os protocolos de roteamento classful estão quase obsoletos. O RIP versão 2 substituiu o RIP versão 1 e
o EIGRP substituiu o IGRP.
Resumo de rota (agregação)

Ao anunciar rotas para outra rede importante, os protocolos de roteamento classful resumem automaticamente as
sub-redes. Eles anunciam apenas uma rota para uma rede Classe A, B ou C, em vez de rotas para sub-
redes. Como roteadores e hosts classful não entendem comprimentos de prefixos e sub-redes não locais, não há
razão para anunciar informações sobre comprimentos de prefixos. A sumarização automática em uma rede de
classe principal tem algumas desvantagens; por exemplo, sub-redes descontíguas não são suportadas. O Capítulo
3, “Caracterizando a rede existente”, mencionou sub-redes descontíguas, e elas serão abordadas com mais
detalhes posteriormente neste capítulo, na seção “Sub-redes descontíguas”.
Os protocolos de roteamento sem classe anunciam uma rota e um comprimento de prefixo. Se os endereços forem
atribuídos de forma hierárquica, um protocolo de roteamento sem classes poderá ser configurado para agregar
sub-redes em uma rota, reduzindo assim a sobrecarga de roteamento. A importância da sumarização de rotas na
Internet já foi discutida. Resumir (agregar) rotas em uma rede corporativa também é importante porque o resumo
de rotas reduz o tamanho do roteamento.
tabelas, o que minimiza o consumo de largura de banda e processamento em roteadores. A soma de

rotas também significa que os problemas dentro de uma área da rede não tendem a
espalhar para outras áreas.
Exemplo de resumo de rota

Esta seção cobre um exemplo de resumo de rota baseado na rede mostrada em
Figura 6-2. Observando a Figura 6-2, você pode ver que um administrador de rede atribuiu números de
rede 172.16.0.0 a 172.19.0.0 para redes em uma filial.
172.16.0.0
172.17.0.0
172.18.0.0
Roteador de filial
Núcleo Empresarial
Rede
172.19.0.0
Filial
Redes
Figura 6-2 Exemplo de resumo de rota
O roteador de filial da Figura 6-2 pode resumir seus números de rede local e
informe que pode atingir 172.16.0.0/14. Ao anunciar essa rota única, o roteador está dizendo: “Roteie
os pacotes para mim se o destino tiver os primeiros 14 bits definidos como 172.16”. O
roteador está reportando uma rota para todas as redes onde os primeiros 14 bits são iguais a 10101100
000100 em binário.
Para entender o resumo neste exemplo, você deve converter o número 172 para
binário, que resulta no número binário 10101100. Você também deve converter os números de 16 a
19 em binário, conforme mostrado no gráfico a seguir:
Segundo octeto em decimal Segundo octeto em binário

16 00010000
17 00010001
18 00010010
19 00010011
Observe que os 6 bits mais à esquerda dos números 16 a 19 são idênticos. Isso é o que
torna possível o resumo da rota com um comprimento de prefixo de 14 neste exemplo. O primeiro
8 bits para as redes são idênticos (todas as redes têm 172 para o primeiro octeto), e os próximos 6 bits também
são idênticos.
Dicas de resumo de rota

Para que o resumo de rotas funcione corretamente, os seguintes requisitos devem ser atendidos:
ÿ Vários endereços IP devem compartilhar os mesmos bits mais à esquerda.
ÿ Os roteadores devem basear suas decisões de roteamento em um endereço IP de 32 bits e um comprimento de

prefixo que pode ser de até 32 bits. (Uma rota específica do host possui um prefixo de 32 bits.)
ÿ Os protocolos de roteamento devem ter o comprimento do prefixo com endereços de 32 bits.
Ao passar algum tempo analisando números de rede (e convertendo os endereços em binários), você poderá
ver a simplicidade e a elegância do endereçamento sem classes e do resumo de rotas. Ao observar um bloco de
sub-redes, você pode determinar se os endereços podem ser resumidos usando as seguintes regras:
ÿ O número de sub-redes a serem resumidas deve ser uma potência de 2 (por exemplo, 2, 4, 8, 16, 32 e assim
por diante).
ÿ O octeto relevante no primeiro endereço do bloco a ser resumido deve ser um multi
base do número de sub-redes.
Considere um exemplo. Os seguintes números de rede são definidos em uma filial. Eles podem ser resumidos?
ÿ 192.168.32.0
ÿ 192.168.33.0
ÿ 192.168.34.0
ÿ 192.168.35.0
ÿ 192.168.36.0
O número de sub-redes é 5, o que não é uma potência de 2, portanto a primeira condição não é atendida.
O octeto relevante (terceiro neste caso) é 32, que não é um múltiplo do número de sub-redes. Portanto, a
segunda condição não foi atendida. Contudo, as primeiras quatro sub-redes podem ser resumidas. Um roteador
pode resumir as primeiras quatro redes como 192.168.32.0/22. Os 22 bits mais à esquerda das primeiras quatro
redes são idênticos. O roteador pode anunciar a rede 192.168.36.0 em uma rota separada da rota resumida
192.168.32.0/22.
Sub-redes descontíguas
Conforme mencionado anteriormente, os protocolos de roteamento classful resumem automaticamente as sub-
redes. Um efeito colateral disso é que sub-redes descontíguas não são suportadas. As sub-redes devem estar
próximas umas das outras (contíguas). A Figura 6-3 mostra uma rede corporativa com sub-redes descontíguas.
Área 0
Rede
192.168.49.0
Roteador A Roteador B
Área 1 Área 2
Sub-redes 10.108.16.0- Sub-redes 10.108.32.0-
10.108.31.0 10.108.47.0
Figura 6-3 Rede com sub-redes descontíguas
Com um protocolo de roteamento classful como RIP versão 1 ou IGRP, o roteador A na Figura 6-3 anuncia que pode
chegar à rede 10.0.0.0. O roteador B ignora esse anúncio porque já pode chegar à rede 10.0.0.0. Ele está diretamente
conectado à rede 10.0.0.0. O site oposto também é verdadeiro: o roteador B anuncia que pode chegar à rede 10.0.0.0,
mas o roteador A ignora essa informação. Isto significa que os roteadores não podem alcançar sub-redes remotas
da rede 10.0.0.0.
Para resolver este problema, um protocolo de roteamento sem classes pode ser usado. Com um protocolo de
roteamento sem classes, o Roteador A anuncia que pode chegar às redes 10.108.16.0/20. O roteador B anuncia que
pode chegar às redes 10.108.32.0/20. (Para entender por que o comprimento do prefixo é 20, converta os números de
rede em binários.) Como os protocolos de roteamento sem classe suportam prefixos de qualquer comprimento (não
apenas 8, 16 ou 24), os roteadores na Figura 6-3 podem rotear para endereços descontíguos. sub-redes, supondo que
elas estejam executando um protocolo de roteamento sem classes, como OSPF ou EIGRP.
Observação Para configurar os dispositivos no exemplo anterior com uma máscara de sub-rede antiga em vez de um
comprimento de prefixo, use uma máscara 255.255.240.0. Os primeiros 4 bits do terceiro octeto são definidos como 1s.
Um truque para determinar o valor do octeto relevante em uma máscara de sub-rede é subtrair o número de sub-redes
resumidas de 256. Neste exemplo, existem 16 sub-redes resumidas, então o octeto relevante é 256 menos 16, ou 240.
Hosts móveis
Roteamento sem classe e sub-redes descontíguas suportam hosts móveis. Um host móvel, neste contexto, é um host
que se move de uma rede para outra e possui um endereço IP definido estaticamente. Um administrador de rede pode
mover um host móvel e configurar um roteador com uma rota específica do host para especificar que o tráfego do
host deve ser roteado através desse roteador.
Na Figura 6-4, por exemplo, o host 10.108.16.1 foi movido para uma rede diferente. Embora o Roteador A anuncie
que a rede 10.108.16.0/20 está por trás dele, o Roteador B pode anunciar que 10.108.16.1/32 está por trás dele.
Ao tomar uma decisão de roteamento, os protocolos de roteamento sem classe correspondem ao prefixo mais longo.
Os roteadores do exemplo possuem em suas tabelas 10.108.16.0/20 e 10.108.16.1/32.
Ao comutar um pacote, os roteadores usam o prefixo mais longo disponível que seja apropriado para o
endereço de destino do pacote.
Sub-redes
10.108.16.0-
10.108.31.0
Anfitrião 10.108.16.1
Figura 6-4 Host Móvel
Na Figura 6-4, um projeto melhor seria usar DHCP para que os hosts possam ser movidos sem exigir qualquer
reconfiguração nos hosts ou roteadores. O exemplo é usado simplesmente para explicar o conceito de
correspondência de prefixo mais longo. Não pretende ser uma recomendação de design.
Mascaramento de sub-rede de comprimento variável
Usar um protocolo de roteamento sem classes significa que você pode ter diferentes tamanhos de sub-
redes em uma única rede. A variação do tamanho das sub-redes também é conhecida como
mascaramento de sub-rede de comprimento variável (VLSM). O VLSM depende do fornecimento explícito de
informações sobre o comprimento do prefixo em cada uso de um endereço. O comprimento do prefixo é
avaliado independentemente em cada local em que é usado. A capacidade de ter um comprimento de
prefixo diferente em diferentes pontos apoia a eficiência e a flexibilidade no uso do espaço de endereço IP.
Em vez de cada sub-rede ter o mesmo tamanho, você pode ter sub-redes grandes e pequenas.
Um uso para sub-redes pequenas são links WAN ponto a ponto que possuem apenas dois dispositivos (um
roteador em cada extremidade do link). Esse link pode usar uma máscara de sub-rede 255.255.255.252,
porque apenas dois dispositivos precisam de endereços. Os dois dispositivos podem ser numerados 01 e 10.
Nota Uma desvantagem de usar uma sub-rede separada para cada link WAN é que cada sub-rede adiciona
uma entrada à tabela de roteamento. Com roteadores de alguns fornecedores, você não precisa numerar as
portas seriais em um link WAN ponto a ponto, o que elimina a necessidade de pequenas sub-redes WAN
ponto a ponto. Uma desvantagem das portas não numeradas, entretanto, é que você não pode executar ping
nelas, o que torna a solução de problemas mais difícil. Mas se o SNMP ou outra rede
Embora as ferramentas de gerenciamento possam identificar problemas de porta, a capacidade de executar ping em
uma porta WAN não é essencial. Portas WAN não numeradas são uma solução melhor do que pequenas sub-redes
WAN ponto a ponto neste caso.
Hierarquia em endereços IP versão 6

O IPv6 aumenta o tamanho do endereço IP de 32 bits para 128 bits. O endereço longo significa que
vários níveis de hierarquia podem ser incorporados ao endereço. Apesar dos mitos populares, os
desenvolvedores do IPv6 consideraram o suporte a múltiplos níveis de hierarquia uma razão mais
importante para um enorme espaço de endereços do que a capacidade de endereçar todos os dispositivos
do planeta e possivelmente de outros planetas.
Um endereço IPv6 é escrito em hexadecimal em vez do formato decimal pontilhado usado pelo IPv4. Os
valores hexadecimais das oito partes de 16 bits do endereço são representados como uma série de campos
separados por dois pontos, no formato x:x:x:x:x:x:x:x. Por exemplo, aqui estão dois endereços IPv6:
FEDC:BA98:7654:3210:FEDC:BA98:7654:3210
1080:0:0:0:8:800:200C:417A
Observe que não é necessário escrever os 0s iniciais em um campo individual, mas deve haver pelo menos
um numeral em cada campo (exceto ao suprimir vários campos de 0s). Como os endereços IPv6 tendem a
conter longas sequências de 0s, você pode substituir dois pontos duplos (::) no início, no meio ou no final
de um endereço para indicar campos consecutivos de 16 bits com 0s.
Para evitar confusão, apenas um conjunto de dois pontos duplos pode ser usado. Por exemplo, o
endereço IPv6 2031:0000:130F:0000:0000:09C0:876A:130B pode ser escrito como
2031:0:130F::9C0:876A:130B. No entanto, não pode ser escrito como
2031::130F::9C0:876A:130B.
Como é o caso do IPv4, no IPv6 uma fonte pode endereçar datagramas para um ou vários destinos. IPv6
suporta unicast (um para um) e multicast (um para muitos). O IPv6 não tem conceito de endereços de
broadcast; endereços multicast são usados. O IPv6 também suporta anycast (um para o mais próximo),
que é usado para enviar um pacote para qualquer um de um grupo de interfaces. Um endereço
anycast IPv6 é um endereço atribuído a mais de uma interface (normalmente pertencente a nós
diferentes), com a propriedade de que um pacote enviado para um endereço anycast é roteado para a
interface “mais próxima” que possui esse endereço, de acordo com o medida de distância do protocolo de
roteamento.
Existem três tipos de endereços unicast no IPv6:
ÿ Endereços locais de link
ÿ Endereços unicast globais
ÿ Endereços IPv6 com endereços IPv4 incorporados

No passado, os endereços locais do site também eram suportados, mas foram descontinuados pela
RFC 3879. As seções a seguir descrevem os três tipos de endereços unicast IPv6 com mais
detalhes.
Endereços locais de link
Um endereço link-local é útil apenas no contexto de um único link ou rede. Um endereço unicast local
de link IPv6 pode ser configurado automaticamente em uma interface usando o prefixo local de link
(FE80::/10) e um identificador de interface. O ID da interface tem 64 bits e geralmente é derivado do
endereço de hardware na ROM de uma interface. Por exemplo, pode ser baseado em um endereço
MAC IEEE 802 de 48 bits.
Um endereço link-local serve como um método para conectar dispositivos na mesma rede local sem a
necessidade de endereços globalmente exclusivos. Um roteador IPv6 não deve encaminhar pacotes
que tenham um endereço de origem ou de destino local de link. Os endereços locais de link são usados
na descoberta de vizinhos e no processo de configuração automática sem estado, que foi explicado
anteriormente no capítulo na seção “Endereçamento dinâmico IP versão 6”.
A saída do Wireshark a seguir mostra um computador com um endereço unicast link-local enviando
um pacote para um endereço multicast link-local. O computador está tentando encontrar seu roteador.
EthernetII
Destino: 33:33:00:00:00:02
Fonte: 00:22:41:36:97:17
Tipo: IPv6 (0x86dd)

Protocolo de Internet versão 6
Versão: 6
Classe de tráfego: 0x00000000
Rótulo de fluxo: 0x00000000
Comprimento da carga útil: 16
Próximo cabeçalho: ICMPv6 (0x3a)

Limite de salto: 255
Fonte: fe80::222:41ff:fe36:9717
Destino: ff02::2
Protocolo de mensagens de controle da Internet v6

Tipo: 133 (solicitação de roteador)
Código: 0
Soma de verificação: 0xca4e [correto]

Opção ICMPv6 (endereço da camada de link de origem)
Tipo: Endereço da camada de link de origem (1)
Comprimento: 8
Endereço da camada de link: 00:22:41:36:97:17
Observe que o ID da interface de 64 bits no endereço IPv6 de origem é baseado no endereço MAC de
48 bits do computador. Você pode ver o endereço MAC no cabeçalho Ethernet II e no campo de
opção ICMPv6 no final do pacote. O ID da interface IPv6 0222:41ff:fe36:9717
é o endereço MAC com FF:FE no meio. Além disso, o valor do bit 6 foi alterado
para um binário 1. No endereço MAC, os bits 0–7, contando da esquerda, eram 00 em hexadeci mal. No endereço
IPv6, o bit 6 é um 1 binário, então os bits 0–7 são 02 em hexadecimal. O bit 6 é o
bit universal/local e geralmente é definido como 1 no IPv6 para indicar um endereço universal em vez de
do que um endereço que tenha apenas significado local para uma empresa.
Endereços Unicast Globais
Os endereços unicast globais são equivalentes aos endereços públicos registrados no IPv4. Esses
endereços são projetados para suportar o tipo de agregação baseada em provedor atualmente usada
na internet. A estrutura dos endereços unicast globais permite a agregação de roteamento
prefixos para que o número de entradas da tabela de roteamento na tabela global de roteamento da Internet
e nas tabelas de roteamento de provedores e empresas podem ser minimizadas. Endereços unicast globais
são agregados ascendentemente através das organizações, depois para ISPs de nível intermediário e, eventualmente,
para ISPs de nível superior.
O formato geral para endereços unicast globais IPv6 é o seguinte:
Prefixo de roteamento global: n bits

ID de sub-rede: m bits
ID da interface: bits de 128 nm
O prefixo de roteamento global normalmente é um valor estruturado hierarquicamente atribuído a um site. Isto
é um cluster de sub-redes ou links. Ele foi projetado para ser estruturado hierarquicamente por RIRs e
ISPs. O ID da sub-rede é um identificador de uma sub-rede dentro do site e foi projetado para ser estruturado
hierarquicamente pelos administradores do site.
A RFC 3513 exige que todos os endereços unicast, exceto aqueles que começam com valor binário
000, possuem IDs de interface com 64 bits de comprimento e são construídos em formato EUI-64 modificado.
Portanto, de acordo com esta RFC, o prefixo de roteamento global é de n bits; o ID da sub-rede é 64-n
pedaços; e o ID da interface é de 64 bits.
Um exemplo de endereço unicast global é 2001:4860:800d::63, que pertence ao Google.

Observe na seguinte saída do DiG que o Google tem muitos endereços unicast globais IPv6:
; <<>> DiG 9.4.3-P3<<>> AAAA ipv6.google.com
;; opções globais: printcmd
;; Obtive resposta:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30964
;; bandeiras: qr rd ra; CONSULTA: 1, RESPOSTA: 7, AUTORIDADE: 4, ADICIONAL: 4
;; SEÇÃO DE PERGUNTAS:
;ipv6.google.com. EM AAAA
;; SEÇÃO DE RESPOSTA:
ipv6.google.com. 10800 EM CNAME ipv6.l.google.com.
ipv6.l.google.com. 300 EM AAAA 2001:4860:800d::63

ipv6.l.google.com. 300 EM AAAA 2001:4860:800d::6a
Endereços IPv6 com endereços IPv4 incorporados
Algumas estratégias de transição de IPv4 para IPv6 usam um endereço IPv4. Por exemplo, ao encapsular pacotes
IPv6 em uma infra-estrutura de roteamento IPv4, os nós IPv6 podem receber atribuições especiais.
Endereços unicast IPv6 que carregam um endereço IPv4 em 32 bits de ordem inferior. O IPv6
O endereço consiste em 96 zeros, seguido por um endereço unicast IPv4 globalmente exclusivo de 32 bits.
Esse tipo de endereço é chamado de endereço IPv6 compatível com IPv4. Um exemplo de tal
o endereço é 0:0:0:0:0:0:66.241.68.22, ou mais sucintamente, ::66.241.68.22.
Um segundo tipo de endereço IPv6 que contém um endereço IPv4 incorporado é usado para representar
o endereço de um nó IPv4 como um endereço IPv6. Este tipo de endereço é chamado IPv4-
endereço IPv6 mapeado e consiste em 80 bits zero, 16 bits um e um unicast IPv4 de 32 bits.
endereço. Um exemplo de tal endereço é 0:0:0:0:0:FF:66.241.68.22, ou mais sucintamente,
::FF:66.241.68.22.
Nota Para os casos específicos de IPv4 em endereços IPv6, você escreve o endereço IPv4 no campo
32 bits de ordem inferior em decimal pontilhado em vez de hexadecimal.
Projetando um modelo para nomenclatura

Os nomes desempenham um papel essencial no cumprimento das metas de usabilidade do cliente. Curto, significativo
nomes aumentam a produtividade do usuário e simplificam o gerenciamento da rede. Uma boa nomenclatura
modelo também fortalece o desempenho e a disponibilidade de uma rede. O objetivo deste
seção é para ajudá-lo a projetar modelos de nomenclatura para interligações de redes que atenderão às metas do seu
cliente em termos de usabilidade, capacidade de gerenciamento, desempenho e disponibilidade.
Os nomes são atribuídos a muitos tipos de recursos em uma rede típica: roteadores, servidores,
hosts, impressoras e outros recursos. Esta seção cobre a nomenclatura de dispositivos e redes. O fornecimento de
nomes de usuários, grupos, contas e senhas não é coberto,
embora algumas das diretrizes para nomear dispositivos também se apliquem a esses itens.
Um bom modelo de nomenclatura deve permitir que um usuário acesse um serviço de forma transparente pelo nome, em vez de
do que endereço. Como os protocolos de rede exigem um endereço, o sistema do usuário deve
mapeie o nome para um endereço. O método para mapear um nome para um endereço pode ser
dinâmico, usando algum tipo de protocolo de nomenclatura, ou estático (por exemplo, um arquivo na conta do usuário).
sistema que lista todos os nomes e seus endereços associados). Geralmente, um método dinâmico é
preferível, apesar do tráfego de rede adicional causado por protocolos de nomenclatura dinâmica.
Ao desenvolver um modelo de nomenclatura, considere as seguintes questões:
ÿ Que tipos de entidades precisam de nomes? Servidores, roteadores, impressoras, hosts, outros?
ÿ Os sistemas finais precisam de nomes? Os sistemas finais oferecerão algum serviço, como por
serviço web pessoal?
ÿ Qual é a estrutura de um nome? Uma parte do nome identifica o tipo de

dispositivo?
ÿ Como os nomes são armazenados, gerenciados e acessados?
ÿ Quem atribui nomes?
ÿ Como os hosts mapeiam um nome para um endereço? Será fornecido um sistema dinâmico ou estático?
ÿ Como um anfitrião aprende seu próprio nome?
ÿ Se o endereçamento dinâmico for usado, os nomes também serão dinâmicos e mudarão quando um endereço mudar?
ÿ O sistema de nomenclatura deve usar um modelo ponto a ponto ou cliente/servidor?
ÿ Se forem usados servidores de nomes, quanta redundância (espelhamento) será necessária?
ÿ O banco de dados de nomes será distribuído entre vários servidores?
ÿ Como o sistema de nomenclatura selecionado afetará o tráfego de rede?
ÿ Como o sistema de nomenclatura selecionado afetará a segurança?
Autoridade de distribuição para nomenclatura
Durante os estágios iniciais do projeto de um modelo de nomenclatura, considere quem realmente atribuirá nomes
fazendo as seguintes perguntas:
ÿ O espaço de nomes será totalmente controlado por uma autoridade centralizada ou a nomeação de alguns dispositivos
será realizada por agentes descentralizados?
ÿ Um departamento de SI corporativo nomeará dispositivos em escritórios regionais e filiais, ou os administradores

departamentais podem implementar nomes nesses locais?
ÿ Os usuários terão permissão para nomear seus próprios sistemas ou todos os nomes serão atribuídos pela rede
administradores de trabalho?
A desvantagem de distribuir autoridade para nomenclatura é que os nomes se tornam mais difíceis de controlar e
gerenciar. Entretanto, se todos os grupos e usuários concordarem e praticarem as mesmas políticas, há muitas
vantagens em distribuir autoridade para nomenclatura.
A vantagem óbvia de distribuir autoridade para nomeação é que nenhum departamento fica sobrecarregado com a tarefa
de atribuir e manter todos os nomes. Outras vantagens incluem desempenho e escalabilidade. Se cada servidor de nomes
gerenciar uma parte do espaço de nomes em vez de todo o espaço de nomes, os requisitos de memória e poder
de processamento nos servidores serão reduzidos. Além disso, se os clientes tiverem acesso a um servidor de nomes
local em vez de depender de um servidor centralizado, muitos nomes poderão ser resolvidos para endereços
localmente, sem causar tráfego na rede. Os servidores locais podem armazenar informações em cache sobre dispositivos
remotos, para reduzir ainda mais o tráfego de rede.
Diretrizes para Atribuição de Nomes

Para maximizar a usabilidade, os nomes devem ser curtos, significativos, inequívocos e distintos. Um usuário deve reconhecer
facilmente quais nomes combinam com quais dispositivos. Uma boa prática é incluir no nome algum tipo de indicação do
tipo do dispositivo. Por exemplo, você pode pré-fixar ou sufixo nomes de roteadores com os caracteres rtr, switches com sw,
servidores com svr e assim por diante. O uso de prefixos ou sufixos significativos diminui a ambiguidade para os usuários finais
e ajuda os gerentes a extrair mais facilmente nomes de dispositivos das ferramentas de gerenciamento de rede.
Os nomes também podem incluir um código de localização. Alguns projetistas de redes usam códigos de aeroporto em
seus modelos de nomenclatura. Por exemplo, todos os nomes em São Francisco começam com SFO, todos os nomes em
Oakland começam com OAK e assim por diante. O código de localização pode ser um número, mas a maioria das pessoas
lembra-se melhor das letras do que dos números.
Tente evitar nomes que tenham caracteres incomuns, como sublinhados, e comerciais, asteriscos e assim por diante, mesmo
que o protocolo de nomenclatura permita esses caracteres (o que muitos fazem).
Esses caracteres são difíceis de digitar e podem fazer com que aplicativos e protocolos se comportem de maneira inesperada.
Caracteres incomuns podem significar algo especial para um protocolo. Por exemplo, o cifrão quando usado como último
caractere em um nome NetBIOS significa que o nome não aparece nas listas de navegadores de rede ou em resposta aos
comandos de pesquisa de rede NetBIOS. Os nomes NetBIOS com um cifrão no final são apenas para uso administrativo.
Também é melhor que os nomes não façam distinção entre maiúsculas e minúsculas, porque as pessoas geralmente não
conseguem lembrar qual maiúsculas e minúsculas usar. Nomes que exigem que o usuário se lembre de casos mistos
(por exemplo, DBServer) não são uma boa ideia. Eles são difíceis de digitar e alguns protocolos podem não diferenciar
maiúsculas de minúsculas de qualquer maneira e podem transmitir o nome todo em letras minúsculas ou maiúsculas, perdendo
o significado da combinação de letras maiúsculas e minúsculas.
Você também deve evitar espaços nos nomes. Os espaços confundem os usuários e podem não funcionar corretamente com
alguns aplicativos ou protocolos. Os nomes geralmente devem ter oito caracteres ou menos, se possível. Isto é
especialmente verdadeiro para sistemas operacionais, aplicativos ou protocolos que mapeiam nomes para nomes de arquivos
e restringem o tamanho de um nome de arquivo a oito caracteres.
Se um dispositivo tiver mais de uma interface e mais de um endereço, você deverá mapear todos os endereços para um nome
comum. Por exemplo, em um roteador multiporta com vários endereços IP, atribua o mesmo nome a todos os endereços
IP do roteador. Dessa forma, o software de gerenciamento de rede não assume que um dispositivo multiporta é na verdade
mais de um dispositivo.
Nota A política de segurança pode ditar recomendações para nomenclatura. Nomes que são facilmente reconhecidos pelos
usuários também são facilmente reconhecidos pelos invasores. Para dispositivos e fontes de dados importantes (por
exemplo, roteadores e servidores), geralmente é uma boa ideia usar nomes longos e enigmáticos. Em alguns casos, os
nomes são usados apenas pelo software do sistema e não pelos usuários, portanto a usabilidade não é afetada. Em
outros casos, devem ser feitas compensações entre as metas de usabilidade e segurança.
Atribuindo nomes em um ambiente NetBIOS

NetBIOS é uma interface de programação de aplicativos (API) que inclui funções para nomear dispositivos,
garantir a exclusividade dos nomes e localizar serviços nomeados. O NetBIOS foi desenvolvido pela IBM e
pela Sytek na década de 1980 para uso em redes de PC. Ganhou popularidade no final da década de 1980 como
forma de conectar PCs usando software da IBM, Microsoft e 3Com. Ainda é amplamente utilizado em
ambientes Microsoft Windows. Quando o NetBIOS é usado em uma rede TCP/IP, o que é típico atualmente, a
implementação costuma ser chamada de NetBT.
O NetBT faz uso extensivo de pacotes de transmissão por padrão. Pacotes de transmissão são usados para
anunciar serviços nomeados, localizar serviços nomeados e eleger um navegador mestre em um
ambiente Windows. Entretanto, o uso de broadcasts não é o método preferido para implementar funções de
nomenclatura em um ambiente TCP/IP, devido às implicações de desempenho e porque os roteadores não
encaminham pacotes de broadcast por padrão. Um roteador pode ser configurado para encaminhar
transmissões NetBT, que vão para a porta UDP 137, mas esta não é uma solução ideal porque requer
configuração extra e espalha transmissões, a menos que a configuração especifique um endereço unicast.
Para evitar que os clientes tenham que enviar quadros de transmissão para procurar serviços nomeados, um
administrador de rede pode colocar um arquivo lmhosts em cada estação. O arquivo lmhosts é um arquivo de
texto ASCII que contém uma lista de nomes e seus respectivos endereços IP. O arquivo lmhosts é semelhante
ao arquivo hosts em dispositivos TCP/IP UNIX, embora inclua algumas funcionalidades específicas do
Windows.
O uso de arquivos lmhosts requer muita manutenção porque os arquivos não mudam dinamicamente conforme os
nomes mudam. À medida que a rede cresce, os arquivos lmhosts devem ser removidos em favor do uso de
servidores WINS ou DNS para resolução dinâmica de nomes NetBIOS para endereços IP.
Quando um PC é configurado com um servidor WINS, o PC envia uma mensagem diretamente ao servidor
WINS para resolver um nome, em vez de usar o arquivo lmhosts ou enviar pacotes de transmissão. O PC
também envia uma mensagem ao servidor WINS ao inicializar para garantir que seu nome seja exclusivo. Para
evitar configurar cada PC com o endereço de um servidor WINS, um PC pode receber o endereço de um
servidor WINS no campo de opções de uma resposta DHCP.
Para garantir que um PC possa acessar um servidor WINS, você pode estabelecer servidores WINS redundantes.
Para usar servidores redundantes, você deve planejar a sincronização dos bancos de dados WINS nos
servidores. Isto é conseguido através do estabelecimento de parceiros WINS que utilizam a
replicação WINS. Se os servidores WINS redundantes estiverem em lados opostos de um link WAN lento, a
replicação deverá ocorrer com pouca frequência ou após o horário comercial. Para redes internacionais, a
replicação WINS geralmente é definida para cada 12 horas.
Em um ambiente NetBT, os hosts possuem um nome de host NetBIOS e um nome de host IP. Normalmente,
esses nomes são iguais, mas não precisam ser. Os nomes de host IP são mapeados para endereços usando
o Sistema de Nomes de Domínio (DNS). DNS é um serviço padrão da Internet e será abordado na próxima
seção, que aborda a nomenclatura em um ambiente IP genérico em oposição a um ambiente NetBT. Espera-
se que, com o tempo, a nomenclatura em um ambiente Windows seja realizada exclusivamente com DNS e o
WINS se torne obsoleto. Se você estiver projetando uma rede do zero, não há necessidade de NetBT ou WINS.
A Microsoft também oferece suporte a nomes de host dinâmicos, que são necessários quando o DHCP é usado
para endereçamento dinâmico. Com a integração DNS/WINS, um servidor DNS pode consultar um servidor
WINS para determinar se o servidor WINS aprendeu um nome dinâmico. Isso evita a necessidade de configurar
nomes em um servidor DNS, o que é difícil com nomes dinâmicos.
Atribuindo Nomes em um Ambiente IP

A nomeação em um ambiente IP é realizada configurando arquivos de hosts, servidores DNS ou servidores NIS
(Network Information Service). O DNS é usado na Internet e também ganhou grande popularidade no
gerenciamento de nomes em redes corporativas. É o sistema de nomenclatura recomendado para redes modernas.
Um arquivo hosts informa a uma estação de trabalho UNIX como converter um nome de host em um endereço IP.
Um administrador de rede mantém um arquivo de hosts em cada estação de trabalho na rede.
Tanto o DNS quanto o NIS foram desenvolvidos para permitir que um gerente de rede centralize a nomenclatura de
dispositivos, usando uma abordagem de banco de dados distribuído, em vez de um arquivo simples que reside
em cada sistema.
A Sun Microsystems desenvolveu o NIS para permitir que um administrador de rede UNIX centralize o
gerenciamento de nomes e outros parâmetros de configuração. Um administrador pode usar o NIS para manter
nomes, informações de usuário e senha, endereços Ethernet, aliases de correio, definições de grupo e nomes e
números de protocolo. O NIS já foi bastante comum, mas tornou-se menos comum à medida que o padrão de
nomenclatura da Internet (DNS) ganhou impulso.
O sistema de nomes de domínio

O DNS foi desenvolvido no início da década de 1980, quando ficou claro que o gerenciamento de um arquivo
hosts contendo os nomes e endereços de todos os sistemas na Internet não funcionaria mais. À medida que o
arquivo de hosts da Internet cresceu, tornou-se difícil mantê-lo, armazená-lo e transmiti-lo para outros hosts.
DNS é um banco de dados distribuído que fornece um sistema de nomenclatura hierárquico. Um nome DNS tem
duas partes: um nome de host e um nome de domínio. Por exemplo, em information.priscilla.com, information é o
host e priscilla.com é o domínio. A Tabela 6-1 mostra alguns dos domínios de nível superior mais comuns.
Domínios de nível superior mais recentes, como .biz, .info, .museum e .name, podem ajudar a evitar as muitas
disputas que ocorrem sobre o direito de usar nomes populares e comercializáveis. Existem também muitos domínios
geográficos de nível superior (por exemplo, .uk para o Reino Unido e .de para a Alemanha).
A arquitetura DNS distribui o conhecimento dos nomes para que nenhum sistema precise conhecer todos os nomes.
A Corporação da Internet para Atribuição de Nomes e Números (ICANN) é uma corporação sem fins lucrativos
responsável pelo gerenciamento geral do DNS e dos domínios de nível superior.
A ICANN credenciou um conjunto de registradores competitivos que têm autoridade sobre nomes de nível
superior.
Tabela 6-1 Domínios de nível superior
Domínio Descrição
.edu Instituições educacionais
.gov Agências governamentais
.líquido Provedores de rede
.com Empresas comerciais
.org Organizações sem fins lucrativos
Cada camada da hierarquia também pode delegar autoridade. Por exemplo, um registrador pode
delegar autoridade a um departamento de SI corporativo para um nome como cisco.com. O é
O departamento pode delegar autoridade ao departamento de engenharia para nomes no subdomínio engi
neering.cisco.com. Dentro do departamento de engenharia, pode haver vários hosts com nomes como
development.engineering.cisco.com e testing.engineer ing.cisco.com. A delegação permite que o DNS seja gerenciado
de forma autônoma em cada camada, o que
aumenta a escalabilidade e ajuda a manter os nomes significativos.
O DNS usa um modelo cliente/servidor. Quando um cliente precisa enviar um pacote para uma estação nomeada,
o software resolvedor no cliente envia uma consulta de nome a um servidor DNS local. Se o local
Se o servidor não puder resolver o nome, ele consultará outros servidores em nome do resolvedor. Quando
o servidor de nomes local recebe uma resposta, ele responde ao resolvedor e armazena em cache as informações
para solicitações futuras. O período de tempo que um servidor deve armazenar em cache as informações recebidas
de outros servidores é inserido no banco de dados DNS por um administrador de rede. Longo
os intervalos de tempo diminuem o tráfego da rede, mas também podem dificultar a alteração de um nome.
O nome antigo pode estar armazenado em cache em milhares de servidores na Internet.
O gerenciamento de nomes e servidores DNS é uma tarefa complexa. Para mais informações sobre
gerenciando nomes DNS em um ambiente UNIX, consulte o livro clássico de Paul Albitz e
Cricket Liu, DNS e BIND, agora em sua quinta edição até o momento.
Nomes DNS Dinâmicos

Com muitas implementações de DHCP, quando um host solicita um endereço IP de um servidor DHCP
servidor, o host também recebe um nome de host dinâmico, algo como pc23.dynamic.priscil la.com. Um nome dinâmico
não é apropriado para alguns aplicativos. Por exemplo, web
servidores, servidores FTP e alguns aplicativos de telefonia pela Internet dependem de nomes de host estáticos.
Para acessar um servidor web, um usuário digita um Uniform Resource Locator (URL) baseado em
o nome de domínio do servidor. Se o nome mudar dinamicamente, torna-se impossível
chegar ao servidor. Com alguns aplicativos de telefonia pela Internet, o usuário precisa informar às pessoas
o nome do host a ser usado ao fazer uma chamada para o sistema do usuário. Outro exemplo é casa
usuários que desejam acessar um computador em sua rede doméstica enquanto viajam. A casa
computador pode obter um endereço IP diferente sempre que fizer uma conexão com seu ISP. Esse
significa que não há endereço estável ao qual se conectar.
Para estes tipos de aplicações, é importante ter uma implementação de DNS que possa associar um
nome estático a um endereço dinâmico. DNS dinâmico é um serviço que fornece a capacidade de um
dispositivo em rede, como um computador doméstico ou roteador, notificar um servidor DNS para
alterar, em tempo real, a configuração DNS ativa de seus nomes de host configurados, endereços ou
outras informações armazenadas. no servidor.
Os provedores de serviços e fornecedores oferecem uma variedade de soluções DNS dinâmicas. Os

provedores fornecem software cliente (ou firmware) que automatiza a descoberta e o registro do
endereço IP público de um cliente. O programa cliente é executado em um computador ou roteador e
se conecta ao servidor DNS do provedor de serviços e faz com que o servidor vincule o endereço IP
descoberto a um nome de host. Dependendo do provedor, o nome do host é registrado em um
domínio de propriedade do provedor ou no nome de domínio do próprio cliente. Esses serviços usam uma
variedade de métodos e protocolos. Muitas vezes eles usam uma solicitação HTTP porque ambientes
restritivos às vezes permitem apenas o protocolo HTTP no tráfego de saída de um cliente.
Nas redes Microsoft Windows, o DNS dinâmico é parte integrante do Active Directory.
Os controladores de domínio registram seus tipos de serviços de rede no DNS para que outros
computadores no domínio (ou floresta) possam acessá-los. A Microsoft usa a autenticação Kerberos
para proteger esta transação. Outros serviços DNS dinâmicos usam o Algoritmo de Serviço de
Segurança Genérico para Autenticação de Transação de Chave Secreta para DNS (GSS-TSIG),
definido na RFC 3645. GSS-TSIG usa chaves secretas compartilhadas e hashing unidirecional para
fornecer um método criptograficamente seguro de identificação de cada ponto final de uma conexão como
tendo permissão para fazer ou responder a uma atualização de DNS.
Resolução de nomes IPv6
A resolução de nomes com IPv6 pode ser tratada estaticamente com entradas manuais nos arquivos de
configuração local de um host cliente ou dinamicamente. A resolução dinâmica de nomes é realizada
com um servidor DNS que possui suporte integrado para IPv6, geralmente junto com IPv4. Um aplicativo
compatível com IPv6 mapeia um nome para um endereço IPv6 com uma solicitação de um registro A6
(um registro de endereço para o host IPv6). O administrador da rede deve configurar os servidores
DNS apropriados com suporte IPv6 e conectar os hosts nomeados à rede IPv6 com endereços IPv6
válidos. No lado do cliente, o administrador deve inserir manualmente o endereço de um servidor
DNS que possa lidar com endereços IPv6 ou usar DHCPv6 para informar ao cliente o endereço do
servidor DNS.
Resumo
Este capítulo forneceu diretrizes para atribuir endereços e nomes em uma rede interligada.
O capítulo ilustrou a importância de usar um modelo estruturado para endereçamento e nomeação
para facilitar a compreensão de mapas de rede, operar software de gerenciamento de rede, reconhecer
dispositivos em rastreamentos de analisadores de protocolo e atender às metas de usabilidade do
cliente.
Endereços e nomes estruturados facilitam a otimização e a segurança da rede porque facilitam a

codificação de filtros de rede em firewalls, roteadores e switches. Estruturada
Os endereços também ajudam a implementar o resumo de rotas, o que diminui a utilização da largura de banda, o
processamento em roteadores e a instabilidade da rede.
Este capítulo também discutiu a distribuição de autoridade para endereçamento e nomeação, para evitar que
um departamento tenha que gerenciar todos os endereços e nomes. Outra maneira de simplificar as tarefas
de endereçamento e nomeação é usar endereçamento e nomeação dinâmicos. O endereçamento dinâmico — por
exemplo, DHCP para ambientes IP — permite que cada sistema final aprenda seu endereço automaticamente.
O DHCP é recomendado para o endereçamento de sistemas finais em um projeto de rede de campus.
Endereçamento e nomenclatura são elementos essenciais da fase de projeto lógico do processo de projeto
de rede de cima para baixo. Se projetados corretamente, os modelos de endereçamento e nomenclatura podem
fortalecer sua capacidade de satisfazer as necessidades do cliente. Eles também podem ajudá-lo a decidir
quais protocolos de roteamento e comutação selecionar, o que será abordado no próximo capítulo.
1. Os seguintes números de rede são definidos em uma filial. Eles podem ser summa
rized e, em caso afirmativo, qual é o número da rede e o comprimento do prefixo?
10.108.48.0
10.108.49.0
10.108.50.0
10.108.51.0
10.108.52.0
10.108.53.0
10.108.54.0
10.108.55.0
2. Inicie o aplicativo Wireshark e capture pacotes do seu computador. Usando um navegador da web, navegue
até http://www.yahoo.com. Encontre a consulta DNS que seu computador envia para obter um endereço
IP para www.yahoo.com. Além disso, encontre a resposta.
Descreva detalhadamente os dados DNS na consulta e na resposta. Observe que se você não conseguir
encontrar a consulta e responder, pode ser necessário limpar o cache DNS. Em um computador Windows,
você pode fazer isso com o comando ipconfig /flushdns . Em um Mac, use o comando dscacheutil
-flushcache .
3. O que é uma sub-rede descontígua? Por que algumas redes empresariais possuem sub-redes descontíguas? Por
que os protocolos de roteamento classful não suportam sub-redes descontíguas?
4. Discuta a configuração dos endereços IP. Ao configurar manualmente o endereçamento IP em um host, quais
parâmetros você deve configurar? Se você suspeitar que pode haver um problema com as informações de
endereçamento inseridas, quais comandos você pode usar para solucionar o problema? Quais são algumas
desvantagens da configuração manual? Que outras opções existem?
Cenário de projeto
No Capítulo 1, “Analisando metas e restrições de negócios”, você aprendeu sobre a
ElectroMyCycle, fabricante de uma nova motocicleta elétrica. A ElectroMyCycle escolheu você para projetar
uma nova rede que permitirá à empresa crescer para um tamanho maior. No Capítulo 5, você
aprendeu que a rede da ElectroMyCycle apoiará cerca de 200 funcionários. A rede incluirá um data center
e uma nova instalação de fabricação de última geração. Os usuários da rede do campus acessarão os
servidores do data center a partir de seus PCs.
Para vendas online, a ElectroMyCycle planeja ter um DMZ que conecte um servidor web, um servidor DNS e
um servidor de e-mail. A ElectroMyCycle também planeja abrir uma filial de vendas em uma cidade que
fica a cerca de 800 quilômetros da sede da ElectroMyCycle.
Projete e documente um esquema de endereçamento IP para atender às necessidades da ElectroMyCycle.

Especifique quais blocos de endereços IP serão atribuídos aos diferentes módulos do seu projeto de rede.
Documente se você usará endereçamento público ou privado para cada módulo. Documente se você usará
endereçamento manual ou dinâmico para cada módulo. Especifique onde (se houver) o resumo da rota
ocorrerá.

Capítulo 7
Selecionando protocolos
de comutação e roteamento
O objetivo deste capítulo é ajudá-lo a selecionar os protocolos de comutação e roteamento corretos para seu
cliente de projeto de rede. As seleções que você fará dependerão dos objetivos comerciais e técnicos do seu
cliente. Para ajudá-lo a selecionar os protocolos corretos para seu cliente, este capítulo aborda os
seguintes atributos dos protocolos de comutação e roteamento:
ÿ Características do tráfego de rede
ÿ Largura de banda, memória e uso de CPU
ÿ O número aproximado de roteadores ou switches peer suportados
ÿ A capacidade de se adaptar rapidamente às mudanças em uma rede interligada
ÿ A capacidade de autenticar atualizações de rota por motivos de segurança
Neste ponto do processo de projeto de rede, você criou uma topologia de projeto de rede e desenvolveu
alguma ideia de onde os switches e roteadores residirão, mas não selecionou nenhum produto real de switch
ou roteador. Uma compreensão dos protocolos de comutação e roteamento que um switch ou roteador
deve suportar ajudará você a selecionar o melhor produto para o trabalho.
Este capítulo começa com uma discussão genérica sobre a tomada de decisões para ajudá-lo a desenvolver
um processo sistemático para selecionar soluções para os componentes lógicos e físicos de um projeto de
rede. Tomar decisões acertadas sobre protocolos e tecnologias é uma habilidade crucial de projeto de rede
que este capítulo pode ajudá-lo a desenvolver.
Uma discussão sobre protocolos de comutação segue a seção sobre tomada de decisão. A seção de
comutação abrange pontes transparentes, comutação multicamada, aprimoramentos de algoritmos de
spanning tree e protocolos de comutação para transporte de informações de LAN virtual (VLAN).
Uma seção sobre protocolos de roteamento segue a seção de ponte. A seção de roteamento fornece técnicas
para comparar e contrastar protocolos de roteamento. O capítulo termina com uma tabela que resume a
comparação dos protocolos de roteamento.
Tomando decisões como parte da rede de cima para baixo

Processo de design
Os próximos capítulos fornecem diretrizes para a seleção de soluções de projeto de rede para um cliente. As
decisões que você toma sobre protocolos e tecnologias devem ser baseadas nas informações coletadas sobre os
objetivos comerciais e técnicos do seu cliente.
Pesquisadores que estudam modelos de decisão dizem que um dos aspectos mais importantes para tomar
uma decisão acertada é ter uma boa lista de metas. Em seu livro The Can-Do Manager, publicado pela
American Management Association, Tess Kirby diz que há quatro fatores envolvidos na tomada de decisões
acertadas:
ÿ As metas devem ser estabelecidas.
ÿ Muitas opções devem ser exploradas.
ÿ As consequências da decisão devem ser investigadas.
ÿ Devem ser elaborados planos de contingência.
Para combinar opções com objetivos, você pode fazer uma tabela de decisão, como a da Tabela 7-1.
A Tabela 7-1 mostra uma tabela de decisão que combina os protocolos de roteamento com os objetivos técnicos
e de negócios de um cliente fictício. Você pode desenvolver uma tabela semelhante para protocolos de
comutação, tecnologias de design de campus, tecnologias de design empresarial, protocolos WAN e assim por diante.
Para desenvolver a tabela, coloque as opções na coluna mais à esquerda e os principais objetivos do seu
cliente no topo. Coloque as metas em ordem de prioridade, começando pelas metas críticas.
Você pode preencher a Tabela 7-1 primeiro simplesmente colocando um X em cada opção que atenda a uma
meta crítica. Quaisquer opções que não atendam aos objetivos críticos podem ser imediatamente eliminadas.
Outras opções podem ser avaliadas em função do cumprimento de outros objetivos, numa escala de 1 a 10.
Depois que uma decisão for tomada, você deverá solucionar o problema da decisão. Pergunte a si mesmo o
seguinte:
ÿ Se esta opção for escolhida, o que poderia dar errado?
ÿ Esta opção já foi tentada antes (possivelmente com outros clientes)? Se sim, qual é o problema
ocorreram problemas?
ÿ Como o cliente reagirá a esta decisão?
ÿ Quais são os planos de contingência caso o cliente não aprove a decisão?
Este processo de tomada de decisão pode ser usado durante as fases de projeto da rede lógica e física. Você
pode usar esse processo para ajudá-lo a selecionar protocolos, tecnologias e dispositivos que atenderão aos
requisitos do cliente.
Capítulo 7: Selecionando protocolos de comutação e roteamento 201
Tabela 7-1 Exemplo de Tabela de Decisão
Metas Críticas Outros objetivos
Adaptabilidade- Deve escalar Deve ser uma indústria Deve Deve Deveria estar
deve se adaptar para um tamanho grande padrão e não corra fácil de

mudanças em grande (centenas compatível com Crie um barato configurar
interligação de redes de roteadores) equipamento existente muito e gerenciar
em segundos tráfego roteadores
BGPX * X X 8 7 7
OSPFX _ X X 8 8 8
É-É X X X 8 6 6
IGRP X X
EIGRPX _ X
RASGAR X
*X = Atende aos critérios críticos. 1 = Mais baixo. 10 = Mais alto.
Selecionando protocolos de comutação

Os switches se tornaram populares em meados da década de 1990 como uma forma barata de particionar LANs.
sem incorrer na latência associada às pontes. Os switches aproveitam circuitos integrados rápidos para
oferecer baixa latência. As pontes eram muito mais lentas que os switches e tinham menos
portos e um custo mais elevado por porto. Por estas razões, os switches substituíram as pontes
dias. Os conceitos fundamentais, entretanto, não mudaram muito, e muitas discussões sobre
conceitos de comutação, incluindo as discussões neste capítulo, usam o termo ponte.
Os switches têm a capacidade de realizar processamento store-and-forward ou cut-through. Com o

processamento cut-through, um switch verifica rapidamente o endereço de destino (o
primeiro campo no cabeçalho do quadro Ethernet), determina a porta de saída e imediatamente
começa a enviar bits para a porta de saída.
Uma desvantagem do processamento cut-through é que ele encaminha quadros ilegais (por exemplo,
runts Ethernet) e quadros com erros de CRC. Em uma rede propensa a falhas e erros,
O processamento cut-through não deve ser usado. Alguns switches têm a capacidade de passar
automaticamente do modo cut-through para o modo store-and-forward quando um limite de erro é atingido.
alcançado. Esse recurso é chamado de switching cut-through adaptativo por alguns fornecedores.
Um switch também oferece suporte ao encaminhamento paralelo, enquanto as pontes geralmente não.
Quando uma ponte típica está encaminhando um quadro de uma porta para outra, nenhum outro quadro
pode ser encaminhado. Existe apenas um caminho de encaminhamento. Um switch, por outro lado, permite múltiplos,
caminhos de encaminhamento paralelos, o que significa que um switch pode lidar com um grande volume de tráfego mais
rapidamente do que uma ponte. Switches de última geração podem suportar vários encaminhamentos simultâneos
caminhos, dependendo da estrutura da malha de comutação. (Os fabricantes usam o termo
switching fabric para descrever a arquitetura de seus switches.)
Switching e as camadas OSI

Neste livro, um switch refere-se a um dispositivo que opera nas camadas 1 e 2 do modelo de referência OSI, salvo
especificação em contrário. O termo switch tem um significado mais genérico. O verbo mudar significa simplesmente
mover algo para uma posição diferente.
Um dispositivo de interligação de redes move dados que chegam em uma interface para uma interface diferente.
Um hub ou repetidor Ethernet troca bits que vêm em uma interface para todas as outras interfaces. Um hub
funciona na camada 1 do modelo OSI e não entende nada além de bits. Um switch Ethernet é uma ponte
multiporta de alta velocidade que alterna quadros com base no endereço de destino da Camada 2. Depois que
um switch aprende a interface correta a ser usada para um destino unicast específico, ele alterna os quadros desse
destino exclusivamente para essa interface, diferentemente de um hub, que alterna bits para todas as interfaces.
Um switch roteador envia pacotes com base no endereço de destino da Camada 3. Para pacotes unicast, o roteador
alterna exclusivamente para uma interface.
A mudança de substantivo é um bom termo de engenharia que não deve ser obscurecido por exageros de
marketing. Na eletrônica, uma chave é um dispositivo que permite ou interrompe o fluxo de corrente através de
um circuito elétrico. Na indústria de transportes, uma chave é um dispositivo feito de dois trilhos móveis projetado
para virar uma locomotiva de um trilho para outro. No campo de trabalho em rede, um switch permite ou
interrompe o fluxo de dados e, embora não gire uma locomotiva, gira bits, quadros e pacotes.
Os roteadores modernos podem trocar pacotes com extrema rapidez. Alguns fabricantes adicionam a palavra switch
aos nomes de seus produtos de roteadores para enfatizar que os roteadores são tão rápidos (ou quase tão rápidos)
quanto os switches da Camada 2. Os roteadores modernos usam caminhos de dados internos de alta velocidade,
processadores paralelos e métodos avançados de cache, todos essenciais para a comutação de dados em alta
velocidade. Os fabricantes chamam seus produtos de switches de camada 3, switches de roteamento,
roteadores de comutação, switches multicamadas e muitos outros nomes criativos. Em geral, um switch, switch de
roteamento ou roteador de comutação da Camada 3 é um dispositivo que pode lidar com a comutação de dados
da Camada 2 e da Camada 3. Um switch da Camada 3 é um roteador de alta velocidade que pode incluir interfaces
que tomam uma decisão de encaminhamento com base apenas nas informações da Camada 2.
Ponte Transparente
Os switches e pontes Ethernet usam uma tecnologia clássica chamada ponte transparente. Uma ponte transparente
conecta um ou mais segmentos de LAN para que sistemas finais em diferentes segmentos possam se comunicar
entre si de forma transparente. Um sistema final envia um quadro para um destino sem saber se o destino é
local ou está do outro lado de uma ponte transparente. As pontes transparentes são assim chamadas porque sua
presença é transparente para os sistemas finais.
Para aprender como encaminhar quadros, uma ponte transparente escuta todos os quadros e determina quais
estações residem em quais segmentos. A ponte aprende a localização dos dispositivos observando o endereço
de origem em cada quadro. A ponte desenvolve uma tabela de comutação como a mostrada na Tabela 7-2. A
tabela de comutação às vezes também é chamada de tabela de ponte, tabela de endereços MAC ou tabela de
memória endereçável de conteúdo (CAM).
Capítulo 7: Selecionando Protocolos de Comutação e Roteamento 203
Tabela 7-2 Tabela de comutação em uma ponte ou switch
Endereço MAC Porta
08-00-07-06-41-B9 1
00-00-0C-60-7C-01 2
00-80-24-07-8C-02 3
Quando um quadro chega a uma ponte, a ponte procura o endereço de destino no quadro
e compara-o com as entradas na tabela de comutação. Se a ponte tiver aprendido onde reside a estação de destino
(observando os endereços de origem nos quadros anteriores), ela poderá encaminhar
o quadro para a porta correta. Uma ponte transparente envia (inunda) quadros com um
endereço de destino desconhecido e todos os quadros multicast/broadcast em todas as portas (exceto
a porta na qual o quadro foi recebido).
As pontes operam nas camadas 1 e 2 do modelo de referência OSI. Eles determinam como encaminhar um quadro
com base nas informações do cabeçalho da Camada 2 do quadro. Ao contrário de um roteador, um
bridge não analisa informações da Camada 3 ou de quaisquer camadas superiores. Segmentos de uma ponte
domínios de largura de banda para que os dispositivos em lados opostos de uma ponte não concorram com
entre si para controle de acesso à mídia. Uma ponte não encaminha colisões Ethernet ou
Quadros MAC em uma rede Token Ring.
Embora uma ponte segmente domínios de largura de banda, ela não segmenta domínios de broadcast
(a menos que programado por filtros para isso). Uma ponte envia quadros de transmissão por todas as portas.
Esta é uma questão de escalabilidade que já foi discutida na Parte I deste livro. Evitar
tráfego de transmissão excessivo, as redes em ponte e comutadas devem ser segmentadas com
roteadores ou divididos em VLANs.
Uma ponte é um dispositivo de armazenamento e encaminhamento. Armazenar e encaminhar significa que a ponte recebe
um quadro completo, determina qual porta de saída usar, prepara o quadro para a porta de saída, calcula uma
verificação de redundância cíclica (CRC) e transmite o quadro quando o
o meio está livre na porta de saída.
Selecionando aprimoramentos do protocolo Spanning Tree
Conforme discutido no Capítulo 5, “Projetando uma topologia de rede”, pontes transparentes e

os switches implementam o Spanning Tree Protocol (STP) para evitar loops em uma topologia. Um
Uma consideração importante de projeto é quais melhorias no STP você deve selecionar para
garanta alta disponibilidade nos projetos de rede do seu campus. O Capítulo 5 discutiu duas melhorias importantes:
ÿ IEEE 802.1w, que fornece rápida reconvergência da árvore geradora e agora é

integrado ao padrão IEEE 802.1D
ÿ IEEE 802.1s, que agrega um conjunto de árvores geradoras baseadas em VLAN em instâncias distintas e
executa apenas um algoritmo de árvore geradora (rápido) por instância
Conforme descrito nas próximas seções, há muitos outros aprimoramentos no STP que podem
aumentar a disponibilidade e a resiliência de um projeto de rede de campus que depende do STP.
PortFast
A versão 2004 do 802.1D suporta o conceito de porta de switch edge. Uma porta de borda corresponde
ao recurso Cisco PortFast (e é configurada com o comando Cisco spanning tree portfast ). Um
engenheiro de rede pode configurar uma porta como porta de borda se ela estiver conectada a uma LAN
que não tenha outros switches conectados. O Rapid Spanning Tree Protocol (RSTP) também
pode detectar automaticamente portas de borda. As portas de borda transitam diretamente para o estado
de encaminhamento, o que é um grande benefício para as portas da camada de acesso que conectam
sistemas de usuários finais e telefones IP.
Sem PortFast, uma porta de switch permanece nos estados de descarte e aprendizagem antes de
começar a encaminhar quadros, o que pode fazer com que quadros importantes sejam descartados.
Com redes IP, o problema mais sério com o atraso na inicialização da porta do switch é que um
cliente pode atingir o tempo limite enquanto espera para receber um endereço IP de um servidor
DHCP. Com algumas implementações, se isso acontecer, o cliente usa um endereço do intervalo de
endereços IP privados automáticos (169.254.0.1 a 169.254.255.254) em vez de um endereço atribuído
por um servidor DHCP. Este endereço não permite a comunicação através de um roteador, o que
significa que os usuários não podem acessar a Internet e possivelmente também os servidores corporativos.
PortFast deve ser usado apenas em portas que não conectam outro switch; no entanto, às vezes isso é
imprevisível, especialmente quando os usuários e administradores de rede juniores se tornam mais
experientes em redes e decidem instalar seus próprios equipamentos. Para proteger uma rede que usa
PortFast, a Cisco oferece suporte a um recurso chamado BPDU Guard , que desliga uma porta
habilitada para PortFast se uma unidade de dados de protocolo de ponte (BPDU) de outro switch for
recebida. A versão 2004 do RSTP também oferece suporte a um recurso semelhante e monitora uma
porta de borda para BPDUs caso um switch esteja conectado. Assim que o switch detecta um BPDU
chegando em uma porta de borda, a porta se torna uma porta sem borda.
UplinkFast e BackboneFast UplinkFast é
um recurso da Cisco que pode ser configurado em switches da camada de acesso. UplinkFast melhora o
tempo de convergência do STP se ocorrer uma falha de um uplink redundante de um switch da camada
de acesso. Um uplink é uma conexão de um switch da camada de acesso a um switch de ponta na camada
de distribuição de um projeto de rede hierárquica. A Figura 7-1 ilustra um típico projeto de rede
hierárquica e redundante. Os usuários estão conectados ao Switch A na camada de acesso. O switch
da camada de acesso está conectado a dois switches da camada de distribuição. Um dos uplinks está
bloqueado pelo STP. (STP também bloqueou uma das ligações entre as camadas de distribuição e
central.)
Se o uplink para o Switch B na Figura 7-1 falhar, o STP eventualmente desbloqueará o uplink para o
Switch C, restaurando assim a conectividade. Com os parâmetros STP padrão, a recuperação leva
entre 30 e 50 segundos. Com UplinkFast, a recuperação leva cerca de 1 segundo. O recurso UplinkFast
é baseado na definição de um grupo de uplink. Em um determinado switch, o grupo de uplink consiste
na porta raiz e em todas as portas que fornecem uma conexão alternativa.
para a ponte raiz. Se a porta raiz falhar ou o uplink primário falhar, uma porta do uplink
grupo é selecionado para substituir imediatamente a porta raiz. UplinkFast deve ser configurado
somente em switches da camada de acesso na borda da sua rede e não na distribuição ou no núcleo
interruptores de camada.
Essencial
Camada
Distribuição
Camada
Interruptor B Interruptor C
Uplink secundário
Link ascendente primário
Acesso
Camada
Interruptor A
Figura 7-1 Switch de camada de acesso com dois uplinks para

Switches de camada de distribuição
Nota O RSTP inclui uma forma de transição imediata para o estado de encaminhamento que é semelhante
à extensão UplinkFast proprietária da Cisco para STP. Quando uma ponte perde sua porta raiz, ela
pode fazer a transição imediata de uma porta alternativa para o estado de encaminhamento.
A Cisco também oferece suporte a um recurso chamado BackboneFast, que pode economizar até 20 segundos para
um switch (Idade Máxima) ao se recuperar de uma falha de link indireto que ocorre em uma porta não local. Quando
ativado em todos os switches de uma rede comutada, o BackboneFast acelera
convergem após uma falha aproveitando o fato de que um switch envolvido em uma falha não local pode ser capaz
de passar imediatamente para o estado de escuta. Em algumas topologias,
não é necessário que um switch espere que o temporizador de Idade Máxima expire. O interruptor
primeiro verifica com outros switches para determinar se seu status é válido. A verificação é realizada com duas
unidades de dados de protocolo (PDU) proprietárias da Cisco: Root Link Query (RLQ)
e resposta RLQ.
Detecção de link unidirecional
Às vezes, o hardware falha de tal forma que a conectividade entre dois switches funciona de maneira
apenas uma direção. Isso é chamado de link unidirecional. O Switch A pode ouvir o Switch B, mas
O Switch B não consegue ouvir o Switch A. Esta situação pode ser causada pelo receptor do Switch B estar
morto ou fraco, o transmissor do Switch A está morto ou fraco, ou algum outro componente, como
como repetidor ou cabo, sendo incapaz de transmitir ou receber. Por exemplo, um cabo pode estar
funcionando na camada física (portanto, o link está ativo), mas ter sido construído incorretamente, de modo
que uma porta do switch possa transmitir, mas não receber, mesmo que seu parceiro não esteja ciente do
problema e possa transmitir e receber.
Um link unidirecional pode causar um loop em uma rede comutada. Se uma porta de switch não
puder receber dados, ela não poderá ouvir BPDUs e poderá entrar no estado de encaminhamento quando
seu parceiro já estiver encaminhando. Se uma porta de switch não puder enviar dados, ela não poderá
enviar BPDUs e seu parceiro poderá não ter conhecimento de sua existência. O IEEE não diz como lidar
com esta situação, mas os fornecedores reconheceram o potencial de um problema e ofereceram soluções.
A Cisco fornece o protocolo UniDirectional Link Detection (UDLD) em switches de última geração.
O UDLD permite que dispositivos conectados através de cabos Ethernet de fibra óptica ou cobre monitorem
a configuração física dos cabos e detectem quando existe um link unidirecional.
Quando um link unidirecional é detectado, o UDLD desliga a porta afetada e alerta o usuário. Uma porta de
switch configurada para usar UDLD transmite mensagens UDLD periodicamente para dispositivos
vizinhos. Os dispositivos em ambas as extremidades de um link devem suportar UDLD para que o
protocolo identifique e desative links unidirecionais com êxito.
LoopGuard
A Cisco também oferece suporte a um recurso chamado LoopGuard que se destina a fornecer proteção
adicional contra loops causados por uma porta de bloqueio que se move erroneamente para o estado de
encaminhamento. Isso geralmente acontece porque uma das portas de uma topologia fisicamente redundante
(não necessariamente a porta de bloqueio) para de receber BPDUs, talvez devido a um problema de link
unidirecional.
Se o LoopGuard estiver ativado e os BPDUs não forem recebidos em uma porta não designada, a porta
passará para o estado inconsistente de loop em vez de passar para os estados de escuta, aprendizado e
encaminhamento. Sem o STP LoopGuard, a porta assumiria a função de porta designada e passaria para o
estado de encaminhamento, criando assim um loop. Quando um BPDU é recebido em uma porta em um
estado inconsistente de loop, a porta faz a transição para outro estado STP. Isto significa que a
recuperação é automática e nenhuma intervenção é necessária.
Você pode escolher UDLD ou STP LoopGuard, ou ambos, o que é recomendado. O UDLD funciona melhor
que o LoopGuard no EtherChannel (que é um agrupamento de interfaces Ethernet em um canal lógico).
O UDLD desativa apenas a interface com falha. O canal permanece funcional com as interfaces
restantes. O STP LoopGuard bloqueia todo o canal em tal falha (colocando-o no estado inconsistente de
loop).
LoopGuard não funciona onde o link é unidirecional desde que foi criado pela primeira vez. A porta
pode nunca receber BPDUs, mas não reconhecer que há um problema e se tornar uma porta designada. O
UDLD fornece proteção contra esse problema. Por outro lado, o UDLD não protege contra falhas de STP
causadas por problemas de software que resultam no não envio de BPDUs por uma porta designada.
Problemas de software são menos prováveis do que problemas de hardware, mas podem acontecer. A
ativação do UDLD e do LoopGuard fornece o mais alto nível de proteção.
Protocolos para transporte de informações de VLAN

Antes de passar para a discussão dos protocolos de roteamento da Camada 3, é importante abordar
alguns protocolos adicionais da Camada 2 que podem ser implantados em redes comutadas que usam VLANs.
Quando as VLANs são implementadas em uma rede comutada, os switches precisam de um método
para garantir que o tráfego intra-VLAN vá para as interfaces corretas. Para se beneficiar das vantagens
das VLANs, os switches precisam garantir que o tráfego destinado a uma VLAN específica vá para essa
VLAN e não para qualquer outra VLAN. Isso pode ser conseguido marcando frames com informações
de VLAN usando o padrão IEEE 802.1Q, que será discutido na próxima seção. Outro aspecto
importante das VLANs é a configuração e o gerenciamento.
Esta seção também aborda o protocolo de gerenciamento Cisco VLAN: VLAN Trunking Protocol
(VTP).
IEEE 802.1Q
Em 1998, o IEEE definiu um método padrão para etiquetar quadros com um ID de VLAN. O
método é publicado na versão revisada de 2006 do documento IEEE 802.1Q “Virtual Bridged Local Area
Networks”. Com o 802.1Q, uma etiqueta VLAN é adicionada dentro de um quadro Ethernet. O quadro
não é encapsulado, como acontece com o protocolo Cisco Inter-Switch Link (ISL) mais antigo. Em vez
disso, o 802.1Q adiciona um cabeçalho que é inserido imediatamente após o destino e os endereços
MAC de origem do quadro a ser transmitido. Normalmente é aqui que um EtherType residiria para quadros
Ethernet II ou onde o campo de comprimento residiria para quadros 802.3. O campo EtherType ou
comprimento do quadro original é empurrado para frente e segue o cabeçalho 802.1Q.
Os primeiros 2 bytes do cabeçalho 802.1Q são o campo Tag Protocol Identifier (TPID). O TPID está
definido como 0x8100. Como esse número é maior que o tamanho máximo de um quadro Ethernet,
o destinatário sabe que o campo não é um campo de comprimento 802.3 e que o quadro não é um
quadro 802.3 típico (sem etiqueta). Se o destinatário suportar 802.1Q, ele reconhecerá 0x8100 como o
campo TPID e continuará a processar o restante dos campos no cabeçalho 802.1Q. Se o destinatário
não suportar 802.1Q, ele verá os 2 bytes TPID como um EtherType não suportado e descartará o
quadro.
Como o 802.1Q altera um quadro Ethernet/802.3, em vez de encapsular o quadro como o ISL faz, um
switch deve recalcular a sequência de verificação de quadro (FCS) no final do quadro, o que é uma
pequena desvantagem do 802.1Q em comparação ao ISL. No entanto, as CPUs dos switches hoje em
dia são tão rápidas que recalcular o FCS não leva muito tempo.
Alguns switches Cisco suportam apenas 802.1Q, e alguns switches Cisco mais antigos e obsoletos
suportam apenas ISL. Alguns apoiam ambos. Verifique o catálogo de produtos Cisco para obter
informações sobre qual método de entroncamento é suportado em um switch. Além disso, em alguns
switches, você pode usar o comando show port capacidades para exibir quais tecnologias de trunking são suportadas.
Além das diferenças na forma como eles marcam os quadros, a diferença mais importante entre o ISL
e o 802.1Q está na interação com o STP. Dependendo de quão recente é o software em um switch, o
802.1Q pode exigir que todas as VLANs estejam em uma árvore de abrangência, enquanto o ISL
permite uma árvore geradora por VLAN. Com a adição do padrão Multiple Spanning Tree (MST)
802.1s do IEEE, isso pode não ser mais um problema, mas o suporte para 802.1s com 802.1Q depende
do software no switch.
Protocolo de tronco dinâmico O
Dynamic Trunk Protocol (DTP) proprietário da Cisco suporta um switch negociando com o lado remoto
para ativar ou desativar o 802.1Q. O DTP deve ser recomendado aos seus clientes de design, mas tome
cuidado com sua configuração. O 802.1Q em uma interface de tronco pode ser ativado, desativado,
desejável, automático e não negociado. Nonegotiate habilita 802.1Q, mas não envia nenhuma solicitação
de configuração para o outro lado. Use nonegotiate ao conectar-se a um switch que não oferece
suporte a DTP.
Você deve usar o modo desligado sempre que não quiser que a interface local seja um tronco
802.1Q, mas quiser que ela participe do DTP para informar o lado remoto sobre seu status desligado.
Use o modo ligado quando o lado remoto suportar DTP e quando desejar que o lado local permaneça no
modo de tronco, independentemente do modo do lado remoto.
O modo automático significa que o switch pode receber uma solicitação para ativar o 802.1Q e entrar
automaticamente no modo tronco. Um switch configurado no modo automático nunca inicia uma
solicitação. O outro lado deve estar ativado ou desejável.
O modo desejável faz com que uma interface de switch informe a extremidade remota de sua intenção
de habilitar o 802.1Q, mas na verdade não habilita o 802.1Q, a menos que o lado remoto concorde
em habilitá-lo. O lado remoto deve estar ativado, automático ou desejável para que o link use 802.1Q.
Não use o modo desejável se o lado remoto não suportar DTP, pois o recebimento de quadros DTP pode
confundir o switch remoto. Em geral, porém, quando ambos os switches suportam DTP, a Cisco recomenda
definir ambos os lados como desejável. Nesse modo, os engenheiros de rede podem confiar nas
mensagens de status do syslog e da linha de comando informando que uma porta está ativa e em
trunking, enquanto no modo ligado, uma porta pode aparecer mesmo que o vizinho esteja configurado incorretamente.
O DTP deveria simplificar a configuração do 802.1Q. Com todas essas opções, entretanto, é fácil cometer
um erro, especialmente porque algumas combinações são inválidas e resultam em uma incompatibilidade
de modo 802.1Q. Se um lado estiver entroncado e o outro não, as portas do switch não entenderão o
tráfego uma da outra. Um lado marcará quadros e o outro lado não marcará quadros. Você deve evitar as
seguintes combinações:
ÿ Não negociar (habilitar 802.1Q, mas não negociar) e desabilitar (não habilitar 802.1Q)
ÿ Não negociar (habilitar 802.1Q, mas não negociar) e automático (habilitar 802.1Q apenas se o outro
lado assim o desejar)
Protocolo de entroncamento VLAN
O Cisco VLAN Trunking Protocol (VTP) é um protocolo de gerenciamento de VLAN switch para switch
e switch para roteador que troca alterações de configuração de VLAN à medida que são feitas na rede.
O VTP gerencia a adição, exclusão e renomeação de VLANs em uma rede de campus sem exigir
intervenção manual em cada switch. VTP também reduz
configuração manual configurando automaticamente um novo switch ou roteador com informações de VLAN
existentes quando o novo switch ou roteador é adicionado à rede.
Em grandes redes comutadas, você deve dividir a rede em vários domínios VTP, o que reduz a quantidade de
informações de VLAN que cada switch deve manter. Um switch aceita informações de VLAN apenas de
switches em seu domínio. Os domínios VTP são vagamente análogos aos sistemas autônomos em uma rede
roteada onde um grupo de roteadores compartilha políticas administrativas comuns. Vários domínios VTP são
recomendados em redes grandes. Em redes de médio e pequeno porte, um único domínio de VLAN é suficiente
e minimiza possíveis problemas.
Os switches Cisco podem ser configurados em servidor VTP, cliente ou modo transparente. O modo servidor é o
padrão. No modo de servidor VTP, você pode criar, modificar e excluir VLANs. Os servidores VTP salvam
suas configurações de VLAN quando são desligados. Os clientes VTP trocam informações com outros
clientes e servidores VTP, mas você não pode criar, alterar ou excluir VLANs em um cliente VTP. Você deve fazer
isso em um servidor VTP. Os clientes VTP não salvam suas configurações de VLAN quando desligados. No
entanto, a maioria dos switches devem ser clientes para evitar que as informações da VLAN fiquem
dessincronizadas se atualizações forem feitas em muitos switches.
Um switch transparente VTP não anuncia sua configuração de VLAN e não sincroniza sua configuração de
VLAN com base em anúncios recebidos; entretanto, os switches VTP transparentes encaminham anúncios VTP
recebidos para outros switches. Use o modo transparente quando um switch no meio da topologia não precisar
corresponder a outras configurações de switch, mas causaria problemas para outros switches se não
encaminhasse informações de VLAN. Você também pode usar o modo transparente em todos os switches se
preferir controlar manualmente a configuração das informações da VLAN.
Selecionando Protocolos de Roteamento

Um protocolo de roteamento permite que um roteador aprenda dinamicamente como alcançar outras redes
e trocar essas informações com outros roteadores ou hosts. Selecionar protocolos de roteamento para seu
cliente de projeto de rede é mais difícil do que selecionar protocolos de comutação, porque há muitas opções. A
decisão será facilitada se você puder usar uma tabela de decisão, como a mostrada na Tabela 7-1. Munido de
um conhecimento sólido dos objetivos do seu cliente e de informações sobre as características dos diferentes
protocolos de roteamento, você poderá tomar uma decisão acertada sobre quais protocolos de roteamento
recomendar.
Caracterizando Protocolos de Roteamento

Todos os protocolos de roteamento têm o mesmo objetivo geral: compartilhar informações de acessibilidade da
rede entre roteadores. Os protocolos de roteamento atingem esse objetivo de diversas maneiras. Alguns
protocolos de roteamento enviam uma tabela de roteamento completa para outros roteadores. Outros
protocolos de roteamento enviam informações específicas sobre o status dos links conectados diretamente.
Alguns protocolos de roteamento enviam pacotes Hello periódicos para manter seu status com roteadores pares.
Alguns protocolos de roteamento incluem informações avançadas, como máscara de sub-rede ou comprimento de prefixo com rota
Informação. A maioria dos protocolos de roteamento compartilha informações dinâmicas (aprendidas), mas em alguns
casos, informações de configuração estática são mais apropriadas.
Os protocolos de roteamento diferem em suas características de escalabilidade e desempenho. Muitos protocolos de

roteamento foram projetados para pequenas redes. Alguns protocolos de roteamento funcionam melhor em um ambiente
estático e têm dificuldade em convergir para uma nova topologia quando ocorrem alterações. Alguns protocolos de
roteamento destinam-se à conexão de redes internas de campus e outros à conexão de diferentes empresas. As
próximas seções fornecem mais informações sobre as diferentes características dos protocolos de roteamento. A Tabela
7-5 no final deste capítulo resume a comparação de vários protocolos de roteamento.
Protocolos de roteamento de vetor de distância
Os protocolos de roteamento se enquadram em duas classes principais: protocolos de vetor de distância e protocolos de
estado de link. Este capítulo aborda primeiro os protocolos de vetor de distância.
Os seguintes protocolos são protocolos de vetor de distância (ou derivados de protocolos de vetor de distância):
ÿ Routing Information Protocol (RIP) versão 1 e 2
ÿ Protocolo de roteamento de gateway interno (IGRP)
ÿ Enhanced IGRP (EIGRP) (um protocolo avançado de vetor de distância)
ÿ Border Gateway Protocol (BGP) (um protocolo de roteamento de vetor de caminho)
O termo vetor significa direção ou curso. Um vetor de distância é um percurso que também inclui informações
sobre a duração do percurso. Muitos protocolos de roteamento de vetor de distância especificam a duração do percurso
com uma contagem de saltos. Uma contagem de saltos especifica o número de roteadores que devem ser percorridos
para chegar a uma rede de destino. (Para alguns protocolos, a contagem de saltos significa o número de links em vez
do número de roteadores.)
Um protocolo de roteamento de vetor de distância mantém (e transmite) uma tabela de roteamento que lista redes
conhecidas e a distância até cada rede. A Tabela 7-3 mostra uma tabela típica de roteamento de vetor de distância.
Um protocolo de roteamento de vetor de distância envia sua tabela de roteamento para todos os vizinhos. Ele envia
um pacote de broadcast que atinge todos os outros roteadores no segmento local (e quaisquer hosts que utilizem
informações de roteamento). Os protocolos de vetor de distância podem enviar a tabela inteira de cada vez, ou podem
simplesmente enviar atualizações após a primeira transmissão e enviar a tabela de roteamento completa apenas
ocasionalmente.
Recursos de Split-Horizon, Hold-Down e Poison-Reverse do vetor de distância

Protocolos
Um roteador executando um protocolo de vetor de distância envia sua tabela de roteamento para cada uma de suas
portas periodicamente. Se o protocolo suportar a técnica de split-horizon, o roteador enviará apenas rotas acessíveis
através de outras portas. Isso reduz o tamanho da atualização
e, mais importante, melhora a precisão das informações de roteamento. Com horizonte dividido, um
O roteador não informa a outro roteador informações que sejam melhor aprendidas localmente.
Tabela 7-3 Tabela de roteamento de vetor de distância
Rede Distância (em lúpulo) Enviar para (próximo salto)
10.0.0.0 0 (conectado diretamente) Porta 1
172.16.0.0 0 (conectado diretamente) Porta 2
172.17.0.0 1 172.16.0.2
172.18.0.0 2 172.16.0.2
192.168.1.0 1 10.0.0.2
192.168.2.0 2 10.0.0.2
A maioria dos protocolos de vetor de distância também implementa um temporizador de espera para que novas
informações sobre uma rota para uma rede suspeita não sejam acreditadas imediatamente, caso a informação
é baseado em dados obsoletos. Os temporizadores de retenção são uma forma padrão de evitar loops que
podem ocorrer durante a convergência. Para entender o problema do loop, considere a rede mostrada na
Figura 7-2.
172.16.0.0 192.168.2.0
Tabela de roteamento do roteador A Tabela de roteamento do roteador B
Rede Distância Enviar para Rede Distância Enviar para
172.16.0.0 0 Porta 1 192.168.2.0 0 Porta 1

192.168.2.0 1 Roteador B 172.16.0.0 1 Roteador A
Figura 7-2 Tabelas de roteamento de vetor de distância parcial no roteador A e no roteador B
Quando os roteadores transmitem suas tabelas de roteamento, eles simplesmente enviam os dados de rede e distância.
colunas da tabela. Eles não enviam a coluna Send To (Next Hop), que é uma das
as causas do problema do loop.
A sequência de eventos que pode levar a um loop de roteamento é a seguinte:
1. A conexão do roteador A à rede 172.16.0.0 falha.
2. O roteador A remove a rede 172.16.0.0 de sua tabela de roteamento.

3. Com base em anúncios anteriores do Roteador A, o Roteador B transmite seu roteamento

tabela dizendo que o roteador B pode alcançar a rede 172.16.0.0.
4. O roteador A adiciona a rede 172.16.0.0 à sua tabela de roteamento com um valor Send To (Next
Hop) do roteador B e uma distância de 2.
5. O roteador A recebe um quadro para um host na rede 172.16.0.0.
6. O roteador A envia o quadro para o roteador B.
7. O roteador B envia o quadro para o roteador A.
O quadro vai e volta do roteador A para o roteador B até que o valor IP Time-To-Live (TTL) expire (TTL
é um campo no cabeçalho IP de um pacote IP que é diminuído cada vez que um roteador processa o
quadro).
Para piorar a situação, sem horizonte dividido, em algum momento o Roteador A envia uma atualização
de rota dizendo que pode chegar à Rede 172.16.0.0, fazendo com que o Roteador B atualize a rota em sua
tabela com uma distância de 3. Tanto o Roteador A quanto o Roteador B continue a enviar atualizações de
rota até que finalmente o campo de distância alcance o infinito. (Os protocolos de roteamento definem
arbitrariamente uma distância que significa infinito. Por exemplo, 16 significa infinito para RIP.) Quando
o campo de distância atinge o infinito, os roteadores removem a rota.
O problema de atualização de rota é chamado de problema de contagem até o infinito. Uma função de retenção
informa ao roteador para não adicionar ou atualizar informações de uma rota que foi removida recentemente,
até que um temporizador de retenção expire. No exemplo, se o Roteador A usar hold-down, ele não adicionará
a rota para a rede 172.16.0.0 que o Roteador B envia. O horizonte dividido também resolve o problema
do exemplo, porque se o roteador B usar o horizonte dividido, ele não informará ao roteador A sobre uma
rota para 172.16.0.0.
Mensagens venenosas reversas são outra forma de acelerar a convergência e evitar loops.
Com o Poison Reverse, quando um roteador aprende uma rota de outro roteador, ele responde enviando
uma atualização de volta para esse roteador que lista a distância até a rede como infinita. Ao fazer isso, o
roteador declara explicitamente que a rota não pode ser acessada diretamente por ele mesmo.
As atualizações acionadas são outro recurso avançado dos protocolos de vetor de distância que podem
acelerar a convergência. Com atualizações acionadas, um protocolo de roteamento anuncia falhas de rota
imediatamente. Em vez de simplesmente esperar pela próxima atualização de roteamento agendada
regularmente e não incluir na atualização quaisquer rotas que tenham falhado, um roteador pode enviar
imediatamente uma atualização. A atualização imediata (acionada) lista a rota com falha com a distância
definida como infinito.
Protocolos de roteamento link-state

Os protocolos de roteamento link-state não trocam tabelas de roteamento. Em vez disso, os roteadores que
executam um protocolo de roteamento link-state trocam informações sobre os links aos quais um roteador
está conectado. Cada roteador aprende informações suficientes sobre links na rede de roteadores pares para
construir sua própria tabela de roteamento.
Os seguintes protocolos são protocolos de roteamento link-state:
ÿ Abra primeiro o caminho mais curto (OSPF)
ÿ Sistema Intermediário para Sistema Intermediário (IS-IS)
ÿ Protocolo de serviços de link (NLSP) NetWare Internetwork Packet Exchange (IPX)
Um protocolo de roteamento link-state usa um algoritmo de caminho mais curto primeiro, como o
algoritmo Dijkstra, para determinar como chegar às redes de destino. O algoritmo Dijkstra, que leva o nome do
cientista da computação que inventou o algoritmo, Edsger Dijkstra, resolve o problema de encontrar o caminho
mais curto de um ponto de origem em um gráfico matemático até um ponto de destino. Uma das belezas do
algoritmo é que, ao mesmo tempo que encontra o caminho mais curto para um destino, uma fonte também
pode encontrar o caminho mais curto para todos os pontos do gráfico ao mesmo tempo. Isso torna o algoritmo
perfeito para um protocolo de roteamento, embora tenha outros usos.
Com o roteamento link-state, os roteadores usam um protocolo Hello para estabelecer um relacionamento
(chamado de adjacência) com roteadores vizinhos. Cada roteador envia anúncios link-state (LSA) para
cada vizinho adjacente. Os anúncios identificam links e métricas. Cada vizinho que recebe um anúncio o
propaga para seus vizinhos. O resultado é que cada roteador termina com um banco de dados de estado de
enlace idêntico que descreve os nós e enlaces no gráfico de interligação de redes. Usando o algoritmo
Dijkstra, cada roteador calcula independentemente seu caminho mais curto para cada rede e insere esta
informação em sua tabela de roteamento.
O roteamento link-state requer mais potência de CPU e memória do roteador do que o roteamento de
vetor de distância e pode ser mais difícil de solucionar. Entretanto, o roteamento link-state tem algumas
vantagens sobre o roteamento por vetor de distância. Em geral, o roteamento link-state foi projetado para
usar menos largura de banda, ser menos propenso a loops e convergir mais rapidamente que o roteamento
de vetor de distância. (Embora existam protocolos de vetor de distância, como o EIGRP, que também
possuem essas qualidades.)
Escolhendo entre protocolos de vetor de distância e de estado de link De acordo com
os documentos de design da Cisco, você pode usar as diretrizes a seguir para ajudá-lo a decidir que tipo de
protocolo de roteamento implantar.
Escolha protocolos de vetor de distância quando
ÿ A rede utiliza uma topologia simples e plana e não requer um projeto hierárquico.
ÿ A rede usa uma topologia hub-and-spoke simples.
ÿ Os administradores não têm conhecimento suficiente para operar e solucionar problemas do link
protocolos estaduais.
ÿ Os piores tempos de convergência na rede não são uma preocupação.
Escolha protocolos link-state quando
ÿ O design da rede é hierárquico, o que geralmente acontece em redes grandes.

ÿ Os administradores conhecem o protocolo link-state selecionado.
ÿ A convergência rápida da rede é crucial.
Métricas de protocolo de roteamento
Os protocolos de roteamento usam métricas para determinar qual caminho é preferível quando mais de um caminho
está disponível. Os protocolos de roteamento variam de acordo com quais métricas são suportadas. Os protocolos
tradicionais de roteamento de vetor de distância usavam apenas contagem de saltos. Os protocolos mais recentes
também podem levar em consideração atraso, largura de banda, confiabilidade e outros fatores. As métricas podem
afetar a escalabilidade. Por exemplo, o RIP suporta apenas 15 saltos. As métricas também podem afetar o
desempenho da rede. Um roteador que usa a contagem de saltos como única métrica perde a oportunidade de
selecionar uma rota que tenha mais saltos, mas também mais largura de banda do que outra rota.
Protocolos de roteamento hierárquicos versus não hierárquicos Alguns protocolos
de roteamento não oferecem suporte a hierarquia. Todos os roteadores têm as mesmas tarefas e cada roteador
é par de todos os outros roteadores. Os protocolos de roteamento que suportam hierarquia, por outro lado, atribuem
tarefas diferentes aos roteadores e agrupam roteadores em áreas, sistemas autônomos ou domínios. Em um arranjo
hierárquico, alguns roteadores se comunicam com roteadores locais na mesma área, e outros roteadores têm a função
de conectar áreas, domínios ou sistemas autônomos. Um roteador que conecta uma área a outras áreas pode
resumir rotas para sua área local. A sumarização aumenta a estabilidade porque os roteadores estão protegidos
contra problemas que não estão em sua própria área.
Protocolos de roteamento internos versus externos Os protocolos
de roteamento também podem ser caracterizados pelo local onde são usados. Protocolos de roteamento interno,
como RIP, OSPF e EIGRP, são usados por roteadores dentro da mesma empresa ou sistema autônomo (AS).
Protocolos de roteamento externo, como o BGP, realizam roteamento entre vários sistemas autônomos. O
BGP é usado na Internet por roteadores pares em diferentes sistemas autônomos para manter uma visão
consistente da topologia da Internet.
Protocolos de roteamento com classe e sem classe O capítulo
anterior discutiu as diferenças entre protocolos de roteamento IP com classe e sem classe. Para resumir os conceitos
do Capítulo 6, “Projetando modelos para endereçamento e nomenclatura”, um protocolo de roteamento classful,
como RIP ou IGRP, sempre considera a classe de endereço IP (Classe A, B ou C). A sumarização de endereços
é automática por número de rede principal. Isso significa que sub-redes descontíguas não são visíveis entre si e
que o mascaramento de sub-rede de comprimento variável (VLSM) não é compatível.
Os protocolos sem classe, por outro lado, transmitem informações sobre comprimento de prefixo ou máscara de sub-
rede com endereços de rede IP. Com protocolos de roteamento sem classes, o espaço de endereço IP pode ser
mapeado para que sub-redes descontíguas e VLSM sejam suportadas. O espaço de endereços IP deve ser
mapeado cuidadosamente para que as sub-redes sejam organizadas em blocos contíguos, permitindo que as
atualizações de rotas sejam resumidas nos limites da área.
Roteamento dinâmico versus estático e padrão

Uma rota estática é uma rota configurada manualmente e não depende de atualizações de um protocolo de
roteamento. Em alguns casos, não é necessário utilizar um protocolo de roteamento. Rotas estáticas
são frequentemente usadas para conectar-se a uma rede stub. Uma rede stub reside na extremidade de
uma rede e não é usada como caminho de trânsito para o tráfego que tenta chegar a qualquer outro lugar.
Um exemplo de rede stub é uma empresa que se conecta à Internet por meio de um único link a um provedor
de serviços de Internet (ISP). O ISP pode ter uma rota estática para a empresa. Não é necessário executar
um protocolo de roteamento entre a empresa e o ISP.
Uma desvantagem do roteamento estático é a quantidade de administração que pode ser

necessária, especialmente em redes grandes. Em redes pequenas (e até mesmo em algumas grandes),
entretanto, as rotas estáticas têm muitas vantagens e não devem ser negligenciadas ao projetar ou atualizar
uma rede. As rotas estáticas reduzem o uso de largura de banda e são fáceis de solucionar.
As rotas estáticas permitem que você use uma rota diferente daquela escolhida pelo roteamento
dinâmico, o que pode ser benéfico quando você deseja que o tráfego siga um caminho específico. As
rotas estáticas também permitem usar uma rota mais específica do que o permitido pelo protocolo de
roteamento dinâmico. As rotas estáticas também facilitam a segurança porque oferecem mais controle sobre
quais redes podem ser acessadas.
A maioria dos ISPs possui muitas rotas estáticas em suas tabelas de roteamento para alcançar as redes
de seus clientes. Num ISP, quando o tráfego chega de outros sites na Internet com um endereço de destino
que corresponde ao endereço de rede atribuído a um cliente, a decisão de roteamento é simples. O tráfego
segue apenas em uma direção: para o roteador nas instalações do cliente. Não há necessidade de um
protocolo de roteamento.
Nos roteadores Cisco, as rotas estáticas têm precedência sobre as rotas para o mesmo destino que são
aprendidas por meio de um protocolo de roteamento. O Cisco IOS Software também suporta uma rota
estática flutuante, que é uma rota estática que possui uma distância administrativa mais alta do que as
rotas aprendidas dinamicamente e pode, portanto, ser substituída por rotas aprendidas dinamicamente. Uma
aplicação importante das rotas estáticas flutuantes é fornecer rotas de backup quando nenhuma informação
dinâmica estiver disponível.
Uma rota padrão é um tipo especial de rota estática usada quando não há entrada na tabela de roteamento
para uma rede de destino. Uma rota padrão também é chamada de “rota de último recurso”. Em alguns
casos, basta uma rota padrão. Vejamos novamente o exemplo da rede do cliente ligada a um ISP. Do lado
do cliente, pode não ser necessário ou prático aprender rotas para todas as redes da Internet. Se houver
apenas uma conexão com a Internet (o link para o ISP), todo o tráfego da Internet deverá seguir nessa
direção de qualquer maneira. Assim, o projetista da rede corporativa pode simplesmente definir uma rota
padrão que aponte para o roteador do ISP.
Embora as rotas estáticas e padrão reduzam o uso de recursos, incluindo largura de banda e recursos de
CPU e memória do roteador, a desvantagem é a perda de informações detalhadas sobre o roteamento.
Roteadores com uma rota padrão sempre enviam tráfego que não é local para um roteador peer. Eles
não têm como saber que o outro roteador pode ter perdido algumas de suas rotas. Eles também não têm
como saber se um destino está sempre inacessível (por exemplo, quando alguém está fazendo uma
varredura de ping e enviando vários pings para vários endereços de destino IP, alguns dos quais não
são acessíveis). Um roteador com uma rota padrão encaminha esses
pacotes. Ele não tem como distinguir destinos que não pode alcançar de destinos que nenhum roteador pode alcançar. O
roteamento padrão também pode fazer com que um roteador use caminhos abaixo do ideal. Para evitar esses tipos de problemas,
use o roteamento dinâmico.
Roteamento sob demanda

O roteamento sob demanda (ODR) é um recurso proprietário da Cisco que fornece roteamento IP para redes stub. ODR usa
o Cisco Discovery Protocol (CDP) para transportar informações mínimas de roteamento entre um site principal e roteadores
stub. ODR evita a sobrecarga do roteamento dinâmico sem incorrer na sobrecarga de configuração e gerenciamento do
roteamento estático.
As informações de roteamento IP necessárias para representar a topologia de rede de um roteador em uma rede stub são
bastante simples. Por exemplo, em uma topologia hub-and-spoke (veja a Figura 5-5 no Capítulo 5), os roteadores stub nos locais
spoke têm uma conexão WAN com o roteador hub e um pequeno número de segmentos LAN diretamente conectados ao
roteador stub. Essas redes stub podem não exigir que o roteador stub aprenda qualquer informação de roteamento IP dinâmico.
Com o ODR, o roteador hub fornece informações de rota padrão para os roteadores stub, eliminando assim a necessidade de
configurar uma rota padrão em cada roteador stub. Os roteadores stub usam CDP para enviar informações de prefixo IP para
interfaces conectadas diretamente ao hub. O roteador hub instala rotas de rede stub em sua tabela de roteamento. O roteador
do hub também pode ser configurado para redistribuir essas rotas em qualquer protocolo de roteamento IP dinâmico configurado.
No roteador stub, nenhum protocolo de roteamento IP está configurado. Isto simplifica a configuração e muitas vezes é uma
boa solução para a camada de acesso de uma rede projetada hierarquicamente.
Restrições de escalabilidade para protocolos de roteamento Ao selecionar
um protocolo de roteamento para um cliente, considere as metas do cliente para dimensionar a rede para um tamanho
grande e investigue as seguintes questões para cada protocolo de roteamento. Cada uma das questões a seguir aborda uma
restrição de escalabilidade para protocolos de roteamento:
ÿ Existem limites impostos às métricas?
ÿ Com que rapidez o protocolo de roteamento pode convergir quando ocorrem atualizações ou alterações?
Os protocolos link-state tendem a convergir mais rapidamente do que os protocolos de vetor de distância.
A convergência é discutida com mais detalhes na próxima seção.
ÿ Com que frequência as atualizações de roteamento ou LSAs são transmitidas? A frequência das atualizações é função de um
cronômetro ou as atualizações são acionadas por um evento, como uma falha de link?
ÿ Quantos dados são transmitidos em uma atualização de roteamento? A mesa inteira? Apenas mudanças? O horizonte dividido é
usado?
ÿ Quanta largura de banda é usada para enviar atualizações de roteamento? A utilização da largura de banda é par
particularmente relevante para links seriais de baixa largura de banda.
ÿ Até que ponto as atualizações de roteamento são distribuídas? Para vizinhos? Para uma área delimitada? Para
todos os roteadores no AS?
ÿ Quanta utilização da CPU é necessária para processar atualizações de roteamento ou LSAs?
ÿ As rotas estáticas e padrão são suportadas?
ÿ O resumo de rotas é suportado?
Essas questões podem ser respondidas observando o comportamento do protocolo de roteamento com um
analisador de protocolo e estudando as especificações ou RFCs relevantes. As próximas seções deste capítulo
também podem ajudá-lo a entender melhor o comportamento do protocolo de roteamento.
Convergência do protocolo de roteamento
Convergência é o tempo que leva para os roteadores chegarem a um entendimento consistente da topologia da
interligação de redes após a ocorrência de uma alteração. Uma mudança pode ser uma falha de um segmento de
rede ou roteador, ou um novo segmento ou roteador ingressando na rede. Para compreender a importância da
convergência rápida para o seu cliente específico, você deve desenvolver uma compreensão da probabilidade
de alterações frequentes na rede do cliente. Existem links que tendem a falhar com frequência? A rede do cliente está
sempre “em construção” seja para melhorias ou por problemas de confiabilidade?
Como os pacotes podem não ser roteados de forma confiável para todos os destinos enquanto a convergência está
ocorrendo, o tempo de convergência é uma restrição crítica do projeto. O processo de convergência deverá
ser concluído em poucos segundos para aplicações sensíveis ao tempo, tais como aplicações de voz e aplicações
baseadas em Systems Network Architecture (SNA). Quando o SNA é transportado através de uma rede IP, um
protocolo de convergência rápida como o OSPF é recomendado. Os protocolos link-state foram projetados para
convergir rapidamente. Alguns protocolos de vetor de distância mais recentes, como o EIGRP, também foram
projetados para convergência rápida.
Um roteador inicia o processo de convergência quando percebe que um link para um de seus roteadores
pares falhou. Um roteador Cisco envia quadros de manutenção de atividade a cada 10 segundos (por padrão) para
ajudá-lo a determinar o estado de um link. Em um link WAN ponto a ponto, um roteador Cisco envia quadros de
manutenção de atividade para o roteador na outra extremidade do link. Nas LANs, um roteador Cisco envia quadros
de manutenção de atividade para si mesmo.
Se um link serial falhar, um roteador poderá iniciar o processo de convergência imediatamente se perceber a
queda do sinal Carrier Detect (CD). Caso contrário, um roteador inicia a convergência após enviar dois ou três
quadros de manutenção de atividade e não receber resposta. Em uma rede Ethernet, se o próprio transceptor do
roteador falhar, ele poderá iniciar o processo de convergência imediatamente. Caso contrário, o roteador inicia o
processo de convergência após não conseguir enviar dois ou três quadros de manutenção de atividade.
Se o protocolo de roteamento usar pacotes Hello e o temporizador Hello for menor que o temporizador
keepalive, o protocolo de roteamento poderá iniciar a convergência mais cedo. Outro fator que influencia o tempo
de convergência é o balanceamento de carga. Se uma tabela de roteamento incluir vários caminhos para um
destino, o tráfego poderá seguir imediatamente outros caminhos quando um caminho falhar. O balanceamento de
carga foi discutido com mais detalhes no Capítulo 5.
Roteamento IP
Os protocolos de roteamento IP mais comuns são RIP, EIGRP, OSPF, IS-IS e BGP. As seções a seguir
descrevem algumas das características de desempenho e escalabilidade desses protocolos para ajudá-lo a
selecionar os protocolos corretos para seu cliente de projeto de rede.
Routing Information Protocol O IP Routing
Information Protocol (RIP) foi o primeiro protocolo de roteamento padrão desenvolvido para ambientes
TCP/IP. O RIP foi desenvolvido originalmente para os protocolos Xerox Network System (XNS) e foi
adotado pela comunidade IP no início dos anos 1980. O RIP foi o protocolo de roteamento interno mais
comum por muitos anos, provavelmente porque é fácil de configurar e funciona em vários sistemas
operacionais. Ele ainda é usado em redes mais antigas e em redes onde a simplicidade e a facilidade de
solução de problemas são importantes. O RIP versão 1 (RIPv1) está documentado no RFC 1058. O RIP versão
2 (RIPv2) está documentado no RFC 2453.
O RIP transmite sua tabela de roteamento a cada 30 segundos. O RIP permite 25 rotas por pacote, portanto,
em redes grandes, são necessários vários pacotes para enviar toda a tabela de roteamento. A utilização da
largura de banda é um problema em grandes redes RIP que incluem links de baixa largura de banda. Para
evitar loops de roteamento durante a convergência, a maioria das implementações de RIP inclui horizonte
dividido e um temporizador de espera.
O RIP usa uma única métrica de roteamento (contagem de saltos) para medir a distância até uma rede de
destino. Esta limitação deve ser considerada ao projetar redes que utilizam RIP. A limitação significa que se
existirem vários caminhos para um destino, o RIP mantém apenas o caminho com o menor número de saltos,
mesmo que outros caminhos tenham uma largura de banda agregada maior, menor atraso de porta agregada,
menos congestionamento e assim por diante.
Outra limitação do RIP é que a contagem de saltos não pode ultrapassar 15. Se um roteador receber uma
atualização de roteamento que especifique que um destino está a 16 saltos de distância, o roteador limpará
esse destino de sua tabela de roteamento. Uma contagem de saltos de 16 significa que a distância até o
destino é infinita – em outras palavras, o destino é inacessível.
RIPv1 é um protocolo de roteamento classful, o que significa que sempre considera a classe da rede IP. A
sumarização de endereços é automática por número de rede principal. Isso significa que sub-redes não
contíguas não são visíveis entre si e o VLSM não é compatível. O RIPv2, por outro lado, não tem classes.
A Internet Engineering Task Force (IETF) desenvolveu o RIPv2 para resolver alguns dos problemas de
escalabilidade e desempenho do RIPv1. O RIPv2 adiciona os seguintes campos às entradas de rota em uma
tabela de roteamento:
ÿ Tag de rota: distingue rotas internas que estão dentro do domínio de roteamento RIP de rotas externas que
foram importadas de outro protocolo de roteamento ou de um sistema autônomo diferente
ÿ Máscara de sub-rede: contém a máscara de sub-rede aplicada ao endereço IP para gerar a parte não-host
(prefixo) do endereço
ÿ Próximo salto: especifica o endereço IP do próximo salto imediato para o qual os pacotes para o destino
nação na entrada da rota deve ser encaminhada
As tags de rota facilitam a fusão de redes RIP e não RIP. Incluir a máscara de sub-rede em uma entrada de rota
fornece suporte para roteamento sem classes. O objetivo do campo next-hop é eliminar pacotes roteados
através de saltos extras. Especificar um valor de 0.0.0.0 no campo next-hop indica que o roteamento deve ser
feito através do originador da atualização RIP.
Especificar um valor diferente de 0.0.0.0 é útil quando o RIP não está em uso em todos os roteadores de uma
rede.
O RIPv2 também suporta autenticação simples para impedir que hackers enviem atualizações de roteamento.
O esquema de autenticação utiliza o espaço de uma entrada de rota. Isto significa que só pode haver 24 entradas
de rota em uma mensagem quando a autenticação é usada. Atualmente, a única autenticação suportada é uma
senha simples em texto simples.
Protocolo de roteamento de gateway interno aprimorado A Cisco
desenvolveu o Interior Gateway Routing Protocol (IGRP) proprietário de vetor de distância em meados da
década de 1980 para atender às necessidades dos clientes que exigem um protocolo de roteamento interno
robusto e escalável. Muitos clientes migraram suas redes RIP para o IGRP para superar a limitação de 15 saltos
do RIP e a dependência de apenas uma métrica (contagem de saltos). O temporizador de atualização
de 90 segundos do IGRP para envio de atualizações de rotas também foi mais atraente do que o temporizador
de atualização de 30 segundos do RIP para clientes preocupados com a utilização da largura de banda.
A Cisco desenvolveu o Enhanced IGRP (EIGRP) proprietário no início da década de 1990 para atender às
necessidades de clientes corporativos com redes grandes, complexas e multiprotocolos. O EIGRP é compatível
com o IGRP e fornece um mecanismo de redistribuição automática para permitir que rotas IGRP sejam
importadas para o EIGRP e vice-versa. O EIGRP também pode redistribuir rotas para RIP, IS-IS, BGP e
OSPF.
O EIGRP usa uma métrica composta baseada nos seguintes fatores:
ÿ Largura de banda: a largura de banda do segmento de menor largura de banda no caminho. Um administrador
de rede pode configurar a largura de banda ou usar o valor padrão, que se baseia no tipo de link. (A
configuração é recomendada para links WAN de alta velocidade se o valor da largura de banda padrão for
menor que a velocidade real.)
ÿ Atraso: uma soma de todos os atrasos das interfaces de saída no caminho. Cada atraso é inversamente
proporcional à largura de banda de cada interface de saída. O atraso não é calculado dinamicamente.
ÿ Confiabilidade: A confiabilidade do caminho, com base na confiabilidade da interface relatada pelos roteadores
no caminho. Em uma atualização EIGRP, a confiabilidade é um número de 8 bits, onde 255 é 100%
confiável e 1 é minimamente confiável. Por padrão, a confiabilidade não é usada a menos que o
comando de pesos métricos esteja configurado, caso em que ela é calculada dinamicamente.
ÿ Carga: a carga no caminho, com base na carga da interface relatada pelos roteadores no caminho. Em
uma atualização EIGRP, a confiabilidade é um número de 8 bits, onde 255 é 100 por cento
carregado e 1 está minimamente carregado. Por padrão, a carga não é usada a menos que o comando
metricweights esteja configurado, caso em que a carga é calculada dinamicamente.
Nota Use o comando metricweights para alterar o comportamento padrão do EIGRP com cuidado e somente sob a
orientação de um engenheiro experiente.
O EIGRP permite balanceamento de carga em caminhos de métricas iguais e caminhos de métricas não iguais. O
recurso de variação do EIGRP significa que se um caminho for três vezes melhor que outro, o melhor caminho
poderá ser usado três vezes mais que o outro caminho. Somente rotas com métricas que estejam dentro de um
determinado intervalo da melhor rota podem ser usadas como caminhos múltiplos. Consulte a documentação de
configuração da Cisco para obter mais informações.
O EIGRP possui um algoritmo melhor para anunciar e selecionar uma rota padrão do que o RIP.
O RIP permite que um administrador de rede configure uma rota padrão, identificada como rede 0.0.0.0. O EIGRP, por
outro lado, permite que redes reais sejam sinalizadas como candidatas a serem padrão. Periodicamente, o EIGRP
verifica todas as rotas padrão candidatas e escolhe aquela com a métrica mais baixa para ser a rota padrão real.
Este recurso permite mais flexibilidade e melhor desempenho do que a rota estática padrão do RIP.
Para reduzir o tempo de convergência, o EIGRP suporta atualizações acionadas. Um roteador acionado envia uma
atualização em resposta a uma alteração (por exemplo, a falha de um link). Após o recebimento de uma atualização
acionada, outros roteadores também podem enviar atualizações acionadas. Uma falha faz com que uma onda de
mensagens de atualização se propague por toda a rede, acelerando assim o tempo de convergência e reduzindo o
risco de loops.
O EIGRP possui muitos recursos e comportamentos avançados não encontrados no IGRP ou em outros protocolos
de vetor de distância. Embora o EIGRP ainda envie vetores com informações de distância, as atualizações são
as seguintes:
ÿ Não periódico significa que as atualizações são enviadas somente quando uma métrica muda, e não em intervalos
regulares.
ÿ Parcial significa que as atualizações incluem apenas rotas que foram alteradas, e não todas as entradas na tabela de
roteamento.
ÿ Delimitado significa que as atualizações são enviadas somente aos roteadores afetados.
Esses comportamentos significam que o EIGRP usa pouca largura de banda.
Ao contrário do IGRP, as atualizações do EIGRP carregam um comprimento de prefixo com cada número de rede,
o que torna o EIGRP um protocolo sem classes. Por padrão, entretanto, o EIGRP resume as rotas nos limites da rede
classful. A sumarização automática pode ser desativada e a sumarização manual pode ser usada em seu lugar, o que
pode ser útil quando uma rede inclui sub-redes descontíguas.
Um dos principais objetivos do EIGRP é oferecer convergência rápida em grandes redes. Para atingir esse objetivo, os
projetistas do EIGRP adotaram o algoritmo de atualização por difusão (DUAL) que
Capítulo 7: Selecionando Protocolos de Switching e Roteamento 221
Dr. JJ Garcia-Luna-Aceves desenvolvido na SRI International. DUAL especifica um método para os

roteadores armazenarem informações de roteamento dos vizinhos para que os roteadores possam
mudar rapidamente para rotas alternativas. Os roteadores também podem consultar outros roteadores
para aprender rotas alternativas e enviar pacotes Hello para determinar a acessibilidade dos vizinhos.
O DUAL garante uma topologia sem loop, portanto não há necessidade de mecanismo de retenção,
outro recurso que minimiza o tempo de convergência.
DUAL é um dos motivos pelos quais o EIGRP utiliza significativamente menos largura de banda que o
IGRP ou outros protocolos de vetor de distância. Um roteador usando DUAL desenvolve sua tabela de
roteamento usando o conceito de um sucessor viável. Um sucessor viável é um roteador vizinho que tenha
o caminho de menor custo para um destino. Quando um roteador detecta que um link falhou, se um
sucessor viável tiver uma rota alternativa, o roteador muda imediatamente para a rota alternativa,
sem causar nenhum tráfego de rede. Se não houver sucessor, o roteador envia uma consulta aos
vizinhos. A consulta se propaga pela rede até que uma nova rota seja encontrada.
Um roteador EIGRP desenvolve uma tabela de topologia que contém todos os destinos anunciados
pelos roteadores vizinhos. Cada entrada na tabela contém um destino e uma lista de vizinhos que
anunciaram o destino. Para cada vizinho, a entrada inclui a métrica que o vizinho anunciou para esse
destino. Um roteador calcula sua própria métrica para o destino usando a métrica de cada vizinho em
combinação com a métrica local que o roteador usa para alcançar o vizinho. O roteador compara
métricas e determina o caminho de menor custo para um destino e um sucessor viável para usar caso o
caminho de menor custo falhe.
O EIGRP pode ser dimensionado para milhares de nós de roteamento. Para garantir um bom
desempenho em grandes redes, o EIGRP deve ser usado em redes com topologias hierárquicas simples.
abrir o caminho mais curto primeiro
No final da década de 1980, a IETF reconheceu a necessidade de desenvolver um protocolo de

roteamento link-state interno para atender às necessidades de grandes redes empresariais que eram
limitadas pelas limitações do RIP. O protocolo de roteamento Open Shortest Path First (OSPF) é
resultado do trabalho da IETF. OSPF é definido na RFC 2328.
As vantagens do OSPF são as seguintes:
ÿ OSPF é um padrão aberto suportado por muitos fornecedores.
ÿ OSPF converge rapidamente.
ÿ OSPF autentica trocas de protocolos para atender às metas de segurança.
ÿ OSPF oferece suporte a sub-redes descontíguas e VLSM.
ÿ OSPF envia quadros multicast, em vez de quadros de broadcast, o que reduz a utilização da CPU em
hosts LAN (se os hosts tiverem NICs capazes de filtrar multicasts).
ÿ As redes OSPF podem ser projetadas em áreas hierárquicas, o que reduz a memória e
Requisitos de CPU em roteadores.
ÿ OSPF não utiliza muita largura de banda.

Para minimizar a utilização da largura de banda, o OSPF propaga apenas as alterações. Outro tráfego de rede
está limitado a pacotes de sincronização de banco de dados que ocorrem com pouca frequência (a cada 30 minutos)
e pacotes Hello que estabelecem e mantêm adjacências vizinhas e são usados para eleger um
roteador designado em LANs. Olá são enviados a cada 10 segundos. Em links dial-up e ISDN
configurados como circuitos de demanda, o OSPF pode ser ainda mais silencioso. Nesse caso, os roteadores OSPF
suprimem Hellos e os pacotes de sincronização de banco de dados.
Na inicialização e quando há alterações, um roteador OSPF faz multicast LSAs para todos os outros
roteadores dentro da mesma área hierárquica. Roteadores OSPF acumulam informações de estado de link
para calcular o caminho mais curto para uma rede de destino. O cálculo usa o Dijkstra
algoritmo. O resultado do cálculo é um banco de dados da topologia, denominado banco de dados de estado do
link. Cada roteador em uma área possui um banco de dados idêntico.
Todos os roteadores executam o mesmo algoritmo, em paralelo. No banco de dados link-state, cada roteador
constrói uma árvore de caminhos mais curtos, sendo ele mesmo a raiz da árvore. O caminho mais curto
tree fornece a rota para cada destino. Informações de roteamento derivadas externamente
aparece na árvore como folhas. Quando existem diversas rotas de custo igual para um destino, o tráfego
é distribuído igualmente entre eles.
De acordo com a RFC 2328, o custo de uma rota é descrito por “uma única métrica adimensional” que é “configurável
por um administrador de sistema”. Um custo está associado à produção
lado de cada interface do roteador. Quanto menor o custo, maior a probabilidade de a interface ser
usado para encaminhar o tráfego de dados. Um custo também está associado a rotas derivadas externamente (por
exemplo, rotas aprendidas de um protocolo de roteamento diferente).
Em um roteador Cisco, o custo de uma interface é padronizado como 100.000.000 dividido pela largura de banda da
interface. Por exemplo, tanto FDDI quanto Ethernet de 100 Mbps têm um custo de 1.
O custo pode ser configurado manualmente. Geralmente é melhor que ambas as extremidades de um link usem o
mesmo custo. Se um roteador Cisco estiver em uma extremidade de um link e um roteador não-Cisco estiver na outra
final, talvez seja necessário configurar manualmente o custo. Como o OSPF define a métrica de custo de forma tão
ampla, os fornecedores não são obrigados a concordar sobre como o custo é definido.
Observação A implementação do Cisco OSPF usa uma largura de banda de referência de 100 Mbps para cálculo de
custos. A fórmula para calcular o custo de uma interface é a largura de banda de referência
dividido pela largura de banda da interface. Por exemplo, no caso de uma interface Ethernet de 10 Mbps, o custo da
interface é 100 Mbps dividido por 10 Mbps, ou 10. Numa rede interligada com
links de alta velocidade de 100 Mbps ou mais, você deve alterar a largura de banda de referência para uma
número superior a 100 Mbps. Você pode usar o comando ospf auto-cost reference-bandwidth para fazer essa alteração.
Arquiteturas OSPF
OSPF permite que conjuntos de redes sejam agrupados em áreas. A topologia de uma área está oculta
do resto do sistema autônomo. Ao ocultar a topologia de uma área, o tráfego de roteamento é reduzido. Além disso, o
roteamento dentro da área é determinado apenas pela própria topologia da área, proporcionando proteção à área
contra dados de roteamento incorretos. Ao dividir os roteadores em áreas,
os requisitos de memória e CPU para cada roteador são limitados.
Uma área de backbone contígua, chamada Área 0, é necessária quando uma rede OSPF é dividida em
áreas. Todas as outras áreas se conectam à Área 0 através de um Area Border Router (ABR),
conforme mostrado na Figura 7-3. Todo o tráfego entre áreas deve passar pela Área 0, que deve ter
alta disponibilidade, rendimento e largura de banda. A área 0 deve ser fácil de gerenciar e solucionar
problemas. Um conjunto de roteadores em um rack conectado através de uma LAN de alta velocidade
é uma boa Área 0 para muitos clientes.
Área 0 (espinha dorsal)
ABR ABR ABR
Área 1 Área 2 Área 3
Figura 7-3 Áreas OSPF conectadas via ABRs
Além dos ABRs, uma rede OSPF pode incluir um ou mais Autonomous System Boundary Routers
(ASBR), que conecta uma rede OSPF a um AS diferente ou a uma rede que usa um protocolo de
roteamento diferente do OSPF. Por exemplo, um ASBR poderia conectar uma rede interna do campus
OSPF à Internet.
Ao projetar uma rede OSPF, certifique-se de atribuir números de rede em blocos que possam ser
resumidos. Um ABR deve resumir as rotas por trás dele para evitar que roteadores no backbone e em
outras áreas tenham que saber detalhes sobre uma área específica. O resumo deve ser configurado nos
roteadores Cisco com o comando area-range .
Um ABR que conecta uma rede stub pode ser configurado para injetar uma rota padrão na área stub para
todas as redes externas que estão fora do AS ou são aprendidas por outros protocolos de roteamento. O
roteador também pode ser configurado para injetar uma rota padrão para rotas internas resumidas ou não
resumidas para outras áreas. Se um roteador injeta uma rota padrão para todas as rotas, a Cisco chama
a área de área totalmente atarracada, que é uma técnica da Cisco que funciona desde que todos os ABRs
das áreas atarracadas sejam roteadores Cisco.
A Cisco também oferece suporte a áreas não tão atarracadas, o que permite a redistribuição de rotas
externas no OSPF em uma área que de outra forma seria atarracada. Áreas não tão atarracadas são
especificadas na RFC 1587. Áreas não tão atarracadas não são comuns, mas podem ser usadas em
uma rede stub que inclui um link legado para outro protocolo de roteamento ou AS que seja diferente
do link usado por o resto da rede para alcançar o mundo exterior.
Devido à exigência de que o OSPF seja estruturado em áreas e à recomendação de que as rotas
sejam resumidas, pode ser difícil migrar uma rede existente para o OSPF.
Além disso, ampliar uma rede OSPF existente pode ser um desafio. Se uma rede estiver sujeita a
rápidas mudanças ou crescimento, o OSPF pode não ser a melhor escolha. Para a maioria das redes,
entretanto, o OSPF é uma boa escolha devido à sua baixa utilização de largura de banda, escalabilidade
e compatibilidade com vários fornecedores.
Sistema Intermediário para Sistema Intermediário O Sistema Intermediário
para Sistema Intermediário (IS-IS) é um protocolo dinâmico de estado de enlace desenvolvido para uso com o conjunto de
protocolos Open System Interconnection (OSI). O IS-IS integrado é uma implementação do IS-IS para redes mistas OSI e IP
que ganhou popularidade limitada para uso em grandes redes IP hierárquicas, especialmente no núcleo de grandes ISPs. IS-
IS é um protocolo de roteamento interno sem classe que é semelhante em operação ao OSPF, embora um pouco mais
flexível, eficiente e escalável.
Tal como acontece com o OSPF, o IS-IS pode ser implementado de forma hierárquica. Um roteador pode desempenhar
diferentes funções:
ÿ Roteadores de nível 1 roteiam dentro de uma área.
ÿ Roteadores de nível 2 roteiam entre áreas.
ÿ Os roteadores de nível 1 a 2 participam do roteamento intraárea de nível 1 e do roteamento interárea de nível 2.
No IS-IS, a fronteira entre áreas está em um link entre roteadores. Um roteador pertence a apenas uma área. Em
comparação, no OSPF, os limites de área residem dentro de um ABR. Algumas interfaces de roteador no ABR
pertencem a uma área e outras interfaces pertencem a outra área. Com o IS-IS, todas as interfaces do roteador estão na
mesma área. Isto torna o IS-IS um pouco mais modular e significa que, em alguns casos, uma área pode ser atualizada
sem afetar tantos roteadores.
Os roteadores de nível 1 dentro de uma área (incluindo roteadores de nível 1 a 2) mantêm um banco de dados de estado de
link idêntico que define a topologia de sua área. O Nível 2 (incluindo roteadores de Nível 1–2) também mantém um
banco de dados de estado de link separado para a topologia de Nível 2.
Ao contrário dos ABRs OSPF, os roteadores de nível 1–2 não anunciam rotas de nível 2 para roteadores de nível 1.
Um roteador de nível 1 não tem conhecimento de destinos fora de sua própria área. Isso torna o IS IS mais eficiente que o
OSPF no que diz respeito ao uso da CPU e ao processamento de atualizações de roteamento, embora funcionalidades
semelhantes possam ser implementadas em roteadores Cisco OSPF configurando uma área totalmente atarracada.
Observação Do ponto de vista de um roteador de Nível 1, enviar tráfego para fora da área envolve encontrar o roteador de
Nível 2 mais próximo. O roteador de nível 1 depende do roteador de nível 2 para chegar ao destino. O caminho percorrido
pode ser abaixo do ideal se alguns dos roteadores de nível 2 do ponto de saída de uma área estiverem mal localizados
ou tiverem conectividade deficiente com a rede de destino. A escolha do roteador de saída no IS-IS não é baseada em
informações detalhadas. Do lado positivo, esse comportamento significa que os roteadores de nível 1 exigem menos
processamento.
O conjunto de roteadores de Nível 2 (incluindo roteadores de Nível 1–2) e seus links de interconexão constituem o
backbone IS-IS. Tal como acontece com o OSPF, o tráfego interárea deve atravessar esse backbone.
OSPF possui um backbone central (Área 0) que conecta fisicamente todas as outras áreas. Uma estrutura de endereçamento
IP consistente é necessária para resumir os endereços no backbone e reduzir a quantidade de informações transportadas
no backbone e anunciadas.
em toda a rede. Em comparação, um backbone IS-IS pode ser um conjunto de áreas distintas interconectadas
por uma cadeia de roteadores de Nível 2 e Nível 1–2, abrindo caminho através e entre áreas de Nível 1.
Comparado ao OSPF, o IS-IS permite uma abordagem mais flexível para estender o backbone
adicionando roteadores de nível 2 adicionais.
Protocolo de gateway de fronteira
A IETF desenvolveu o Border Gateway Protocol (BGP) para substituir o agora obsoleto Exterior Gateway
Protocol (EGP) como o protocolo de roteamento externo padrão para a Internet. O BGP resolve
problemas que o EGP tinha com confiabilidade e escalabilidade. BGP4, a versão atual do BGP, é
especificada na RFC 1771.
O BGP interno (iBGP) pode ser usado em uma grande empresa para rotear entre domínios.
O BGP externo (eBGP) é usado para rotear entre empresas e participar do roteamento global da Internet.
O eBGP é frequentemente usado para multihome a conexão de uma empresa com a Internet. É um
equívoco comum pensar que o multihoming requer BGP, mas isso não é verdade. Dependendo dos
objetivos do cliente e da flexibilidade das políticas do seu ISP, você pode usar multihome com rotas padrão,
conforme discutido no Capítulo 5. Executar o eBGP pode ser desafiador, exigindo uma compreensão das
complexidades do roteamento da Internet. O eBGP deve ser recomendado apenas para empresas que
possuem engenheiros de rede seniores e um bom relacionamento com seus ISPs. Um engenheiro de
rede inexperiente pode configurar o eBGP de forma a causar problemas para toda a Internet. Além disso, o
eBGP deve ser usado apenas em roteadores com muita memória, CPU rápida e conexão de alta largura
de banda à Internet. Uma tabela de roteamento da Internet contém mais de 100.000 rotas e está
crescendo continuamente à medida que a Internet se expande e mais empresas usam o BGP para
multihome.
O principal objetivo do BGP é permitir que os roteadores troquem informações sobre os caminhos para as
redes de destino. Cada roteador BGP mantém uma tabela de roteamento que lista todos os caminhos
possíveis para uma rede específica. Os roteadores BGP trocam informações de roteamento na inicialização
e depois enviam atualizações incrementais, usando TCP para entrega confiável de pacotes BGP. Uma
atualização especifica atributos de caminho, que incluem a origem das informações do caminho, uma
sequência de segmentos de caminho do sistema autônomo e informações do próximo salto.
Quando um roteador BGP recebe atualizações de vários sistemas autônomos que descrevem diferentes
caminhos para o mesmo destino, o roteador deve escolher o melhor caminho para chegar a esse destino.
Após a escolha do melhor caminho, o BGP propaga o melhor caminho para seus vizinhos. A decisão é
baseada no valor dos atributos na atualização (como próximo salto, peso administrativo, preferência local,
origem da rota e comprimento do caminho) e outros fatores configuráveis pelo BGP.
Usando vários protocolos de roteamento em uma rede

Ao selecionar protocolos de roteamento para um cliente, é importante perceber que você não precisa
usar os mesmos protocolos de roteamento em toda a rede. Os critérios para seleção de protocolos são
diferentes para diferentes partes de uma rede. Além disso, ao fundir uma nova rede com uma rede antiga,
muitas vezes é necessário executar mais de um protocolo de roteamento. Em alguns casos, o projeto da
sua rede pode se concentrar em um novo projeto para o
camadas principais e de distribuição e precisam interoperar com os protocolos de roteamento da camada de

acesso existentes. Outro exemplo: quando duas empresas se fundem, às vezes cada empresa deseja executar
um protocolo de roteamento diferente.
Esta seção resume algumas recomendações para selecionar um protocolo de roteamento para diferentes camadas
do modelo de design hierárquico e depois discute a redistribuição entre protocolos de roteamento. A seção
termina com uma rápida discussão sobre Integrated Routing and Bridging (IRB), um método Cisco IOS para
conectar redes em ponte e roteadas em um único roteador.
Protocolos de roteamento e modelo de design hierárquico

Conforme discutido no Capítulo 5, grandes redes interligadas são projetadas usando uma abordagem modular e
hierárquica. Uma dessas abordagens é o modelo de design hierárquico de três camadas, que possui uma
camada central otimizada para disponibilidade e desempenho, uma camada de distribuição que implementa
políticas e uma camada de acesso que conecta os usuários. As próximas três seções discutem protocolos de
roteamento para as três camadas do modelo.
Protocolos de roteamento para a camada central A
camada central deve incorporar links redundantes e compartilhamento de carga entre caminhos de custos iguais.
Deve fornecer resposta imediata caso ocorra uma falha no link e se adaptar rapidamente às mudanças. Os
protocolos de roteamento que atendem a essas necessidades incluem EIGRP, OSPF e IS-IS. A decisão de
usar EIGRP, OSPF ou IS-IS deve ser baseada na topologia subjacente, no design do endereçamento IP, nas
preferências do fornecedor e em outras metas comerciais e técnicas.
OSPF impõe um design hierárquico estrito. As áreas OSPF devem ser mapeadas de acordo com o plano de
endereçamento IP, o que pode ser difícil de conseguir. EIGRP e IS-IS são mais flexíveis no que diz respeito à
estrutura hierárquica e ao design de endereçamento IP. Entretanto, o EIGRP é um protocolo proprietário da
Cisco. Embora a Cisco o tenha licenciado para alguns fornecedores, se os produtos de outros fornecedores forem
usados na implementação do projeto de rede, o EIGRP poderá não ser uma boa solução. Alternativamente, o
EIGRP pode ser usado no núcleo com redistribuição para outro protocolo de roteamento na camada de distribuição.
O RIP não é recomendado como protocolo de roteamento principal. A sua resposta às mudanças é lenta, o que
pode resultar em perturbações na conectividade.
Protocolos de roteamento para a camada de distribuição A
camada de distribuição representa o ponto de conexão entre as camadas central e de acesso. Os protocolos de
roteamento usados na camada de distribuição incluem RIPv2, EIGRP, OSPF e IS IS. A camada de distribuição às
vezes também usa ODR. A camada de distribuição geralmente tem a função de redistribuir entre os protocolos
de roteamento usados na camada central e aqueles usados na camada de acesso.
Protocolos de roteamento para a camada de acesso A
camada de acesso fornece acesso aos recursos da rede para usuários locais e remotos. Tal como acontece com
as camadas de distribuição e núcleo, a topologia subjacente, o design de endereçamento IP e as preferências
do fornecedor orientam a escolha do protocolo de roteamento. Os equipamentos da camada de acesso podem ser
menos potentes que os equipamentos da camada de distribuição e de núcleo, no que diz respeito ao poder de
processamento e à memória, o que influencia a escolha do protocolo de roteamento.
Os protocolos de roteamento que devem ser usados na camada de acesso incluem RIPv2, OSPF e EIGRP.
A camada de distribuição às vezes também usa ODR. O uso de roteamento estático também é uma possibilidade.
O IS-IS nem sempre é apropriado para a camada de acesso porque exige mais conhecimento para configurar e
também não é adequado para redes dial-up. As limitações do uso do OSPF como protocolo de roteamento da
camada de acesso estão ligadas aos seus altos requisitos de memória e poder de processamento e aos rígidos
requisitos de design hierárquico. Entretanto, os altos requisitos de memória e poder de processamento do
OSPF podem ser evitados com o uso de resumo e planejamento cuidadoso da área.
Redistribuição entre protocolos de roteamento A redistribuição
permite que os roteadores executem mais de um protocolo de roteamento e compartilhem rotas entre
protocolos de roteamento. A implementação da redistribuição pode ser desafiadora porque cada protocolo de
roteamento se comporta de maneira diferente e os protocolos de roteamento não podem trocar informações
diretamente sobre rotas, prefixos, métricas, estados de enlace e assim por diante. A redistribuição pode levar a
loops de roteamento se não for configurada com cuidado e pode complicar o planejamento e a solução de problemas.
Apesar dos desafios, a redistribuição pode ser desejável ao conectar diferentes camadas do modelo hierárquico, ao
migrar para um novo protocolo de roteamento, quando departamentos diferentes usam protocolos diferentes
ou quando há um ambiente de fornecedores mistos.
Um administrador de rede configura a redistribuição especificando quais protocolos devem inserir informações de
roteamento nas tabelas de roteamento de outros protocolos. O projeto de redistribuição envolve a determinação
dos protocolos de roteamento a serem usados em uma rede e a extensão de cada domínio de roteamento.
Neste contexto, um domínio de roteamento é um conjunto de roteadores que compartilham informações através do
uso de um único protocolo de roteamento. O projetista deve determinar onde residem os limites entre os domínios
de roteamento e onde a redistribuição deve ocorrer.
A redistribuição é mais frequentemente necessária na camada de distribuição onde os domínios de roteamento
se cruzam.
Outra decisão é usar a redistribuição unidirecional ou bidirecional. Com a redistribuição unidirecional, as informações
de roteamento são redistribuídas de um protocolo de roteamento para outro, mas não vice-versa. Rotas estáticas
ou padrão podem ser usadas na direção oposta para fornecer conectividade. Com a redistribuição bidirecional, as
informações de roteamento são redistribuídas de um protocolo de roteamento para outro e vice-versa. Informações
completas de roteamento podem ser trocadas ou a filtragem pode ser usada para limitar as informações
trocadas.
Na maioria dos projetos hierárquicos, você provavelmente usará a redistribuição unidirecional em vez de bidirecional.
Ao usar a redistribuição bidirecional, você provavelmente não redistribuirá todas as rotas de um domínio para outro.
A maioria dos designs exige que você filtre para que apenas um subconjunto das rotas em um domínio seja
redistribuído no outro. A filtragem de rotas pode ser necessária para evitar loops de roteamento e manter a segurança,
a disponibilidade e o desempenho.
Você deve certificar-se de que um protocolo de roteamento não injete rotas em outro protocolo de roteamento que já
tenha uma maneira melhor de alcançar as redes anunciadas. Isso pode ser feito com filtragem. Se um roteador
for configurado incorretamente (ou reconfigurado maliciosamente por um hacker) para começar a anunciar rotas que
não pertencem ao seu domínio, o fluxo de tráfego pode ser afetado. O problema pode resultar em roteamento
abaixo do ideal ou, pior, impedir o tráfego
de chegar ao seu destino. Uma boa prática de projeto é filtrar rotas para que um roteador receba apenas
rotas esperadas de outros domínios.
A filtragem também é usada para melhorar o desempenho. Uma grande rede pode ter centenas ou até
milhares de rotas. Se todas as rotas forem redistribuídas em uma rede com roteadores menores, o
tamanho da tabela de roteamento poderá sobrecarregar os roteadores menores, degradando o
desempenho da rede. O roteador pode ficar atolado procurando na grande tabela de roteamento o endereço
do próximo salto. A grande tabela de roteamento também pode exceder a memória do roteador,
fazendo com que ele falhe completamente.
A configuração da redistribuição também deve ser feita com cuidado para evitar feedback. O feedback
acontece quando um protocolo de roteamento aprende sobre rotas de outro protocolo e então anuncia
essas rotas de volta para o outro protocolo de roteamento. Por exemplo, se um roteador estiver configurado
para redistribuir rotas EIGRP em um domínio RIPv2 e também configurado para redistribuição de rotas
de volta ao EIGRP, o roteador deverá filtrar todas as rotas que aprendeu do EIGRP antes de
redistribuir rotas para o EIGRP. Isso evita problemas causados pelas diferenças nas métricas usadas
pelos diferentes protocolos de roteamento.
Resolvendo Métricas Incompatíveis Ao
redistribuir de um protocolo de roteamento para outro, você precisará tomar algumas decisões sobre
métricas. Os protocolos de roteamento usam métricas diferentes que não podem ser facilmente
convertidas entre si. Em vez de tentar uma conversão, você deve simplesmente tomar uma decisão sobre
qual deve ser a métrica para rotas originadas com um protocolo de roteamento diferente. Por exemplo,
você pode decidir que todas as rotas EIGRP comecem com uma contagem de saltos de 1 quando
redistribuídas em um domínio RIPv2. Ou você pode decidir que todas as rotas OSPF comecem com
uma largura de banda de 1.000 e um atraso de 100 quando redistribuídas no EIGRP.
Distâncias Administrativas
Outro fator que torna a redistribuição um desafio é a possibilidade de um roteador aprender sobre um destino
por meio de mais de um protocolo de roteamento. Cada protocolo de roteamento e cada fornecedor lidam
com esse problema de maneira diferente. A Cisco atribui uma distância administrativa às rotas
aprendidas de diferentes fontes. Uma distância administrativa menor significa que uma rota é preferida.
Por exemplo, se um roteador aprende sobre uma rota via OSPF e RIPv2, a rota OSPF é preferida
porque o OSPF tem uma distância administrativa padrão de 110 e o RIPv2 tem uma distância administrativa
padrão de 120. Se um roteador também tiver uma rota estática para o destino, a rota estática é preferida
porque a distância administrativa padrão para uma rota estática é 1.
A Tabela 7-4 descreve algumas distâncias administrativas comuns por tipo de rota.
Nota O Cisco IOS Software também suporta uma rota estática flutuante, que é uma rota estática que
possui uma distância administrativa mais alta do que uma rota aprendida dinamicamente. Rotas estáticas
flutuantes estão disponíveis para IP, IPX e AppleTalk. Uma rota estática flutuante é uma rota configurada
estaticamente que possui uma grande distância administrativa para que possa ser substituída por
informações de roteamento aprendidas dinamicamente. Uma rota estática flutuante pode ser usada para
criar um “caminho de último recurso” que é usado somente quando nenhuma informação dinâmica está
disponível. Uma aplicação importante de rotas estáticas flutuantes é fornecer rotas de backup em topologias
onde o roteamento por discagem sob demanda (DDR) é usado.
Capítulo 7: Selecionando protocolos de comutação e roteamento 229
Tabela 7-4 Distância Administrativa por Tipo de Rota
Fonte da rota Distância padrão

Valor
Interface conectada 0
Rota estática 1
Resumo do protocolo de roteamento de gateway interno aprimorado (EIGRP) 5

rota
Protocolo de Gateway de Fronteira Externa (BGP) 20
EIGRP interno 90
IGRP 100
OSPF 110
Sistema Intermediário para Sistema Intermediário (IS-IS) 115
Protocolo de informações de roteamento (RIP) 120
Protocolo de gateway externo (EGP) 140
Roteamento sob demanda (ODR) 160
EIGRP externo 170
BGP interno 200
Desconhecido 255
Roteamento e ponte integrados

Para clientes que precisam mesclar redes interligadas e roteadas, o Cisco IOS Software
oferece suporte para IRB, que conecta VLANs e redes em ponte a redes roteadas
dentro do mesmo roteador.
Um recurso mais antigo do Cisco IOS, Concurrent Routing and Bridging (CRB), suportava roteamento e
bridging dentro do mesmo roteador, mas significava simplesmente que você poderia se conectar
redes em ponte para outras redes em ponte e redes roteadas para outras redes roteadas. O IRB estende
o CRB fornecendo a capacidade de encaminhar pacotes entre pontes
e interfaces roteadas por meio de uma interface baseada em software chamada interface virtual em ponte
(IVB).
Uma vantagem do IRB é que uma sub-rede IP ou VLAN em ponte pode abranger um roteador. Isso pode ser
útil quando há escassez de números de sub-rede IP e não é prático atribuir um
número de sub-rede diferente para cada interface em um roteador. O IRB também pode ser útil durante
migração de um ambiente em ponte para um ambiente roteado ou VLAN.
Um resumo dos protocolos de roteamento

A Tabela 7-5 fornece uma comparação de vários protocolos de roteamento para ajudá-lo a selecionar um protocolo de roteamento
protocolo baseado nas metas do cliente em termos de adaptabilidade, escalabilidade, acessibilidade, segurança,
e desempenho da rede.
Tabela 7-5 Comparações de protocolos de roteamento
Distância Interior Classe ou Métricas Convergência de escalabilidade Recurso Apoia Facilidade de design,
Vetor ou ou Sem classes Suportado Tempo Consumo Segurança? Configuração,
Estado do link Exterior Autentica e
Rotas? Solução de problemas
Distância RIPv1 Interior Classful Hop conta 15 saltos Pode ser longo (se Memória: baixa Não Fácil
vetor não houver CPU: baixo
balanceamento de carga) Largura de banda:
alto
Distância RIPv2 Interior Classless Hop conta 15 saltos Pode ser longo (se Memória: baixa Sim Fácil
vetor não houver CPU: baixo
balanceamento de carga) Largura de banda:
alto
Distância IGRP Interior elegante Largura de banda, 255 lúpulos Rápido (usa Memória: baixa Não Fácil
vetor atraso, confiável (o padrão é acionado CPU: baixo
capacidade, carga 100) atualizações e Largura de banda:
veneno reverso) alto
EIGRP Avançado Interior sem classe Largura de banda, Milhares de Muito rápido Memória: mod Sim Fácil
distância atraso, roteadores (usa DUAL consumir CPU: baixo
vetor confiabilidade, carga algoritmo) Largura de banda: baixa
Custo sem classe do interior do estado do link OSPF (100 Alguns queridos Rápido (usa Memória: alta Sim Moderado
milhão de divisão roteadores dred LSAs e CPU: alta
medido pela por área, um Olá pacotes) Largura de banda: baixa
largura da banda em poucas centenas
Cisco áreas
roteadores)
Caminho BGP Exterior sem classe Valor do caminho Milhares de Rápido (usa Memória: alta Sim Moderado
vetor atributos e roteadores atualizar e CPU: alta
outra configuração pacotes de Largura de banda: baixa
fatores duráveis keepalive e com
rotas de sorteio)
Estado do link IS-IS Interior sem classe Configurado Centenas de Rápido (usa Memória: alta Sim Moderado
valor do caminho, roteadores por LSA) CPU: alta
mais atraso, área, alguns Largura de banda: baixa
despesa, e centenas
erros áreas
Resumo
Este capítulo forneceu informações para ajudá-lo a selecionar os protocolos de comutação e roteamento
corretos para seu cliente de projeto de rede. O capítulo abordou as características de escalabilidade
e desempenho dos protocolos e falou sobre a rapidez com que os protocolos podem se adaptar às
mudanças.
Decidir sobre os protocolos de comutação e roteamento corretos para o seu cliente o ajudará a
selecionar os melhores produtos de switch e roteador para o cliente. Por exemplo, se você decidiu
que o projeto deve suportar um protocolo de roteamento que possa convergir em segundos em uma rede
grande, você provavelmente não recomendará um roteador que execute apenas RIP.
Este capítulo começou com uma discussão genérica sobre tomada de decisão para ajudá-lo a
desenvolver um processo sistemático para selecionar soluções de projeto de rede. Seguiu-se uma
discussão sobre protocolos de ponte e comutação, que cobriu ponte transparente, comutação
multicamada, aprimoramentos para protocolos STP e VLAN. Uma seção sobre protocolos de roteamento
seguiu a seção de comutação. A Tabela 7-5 resumiu as comparações feitas entre vários protocolos de
roteamento na seção de roteamento.
1. Compare e contraste o roteamento de vetor de distância e de estado de link. Se você estivesse
projetando um novo protocolo de roteamento, qual usaria e por quê?
2. Analise a tabela de roteamento em seu computador. No Windows você pode visualizá-lo com um
comando de impressão de rota . Em um Mac, você pode visualizá-lo com o comando netstat -rn .
Quais entradas estão na sua tabela de roteamento e por que elas estão lá? A sua rota padrão
está na tabela e, se sim, qual é?
3. Selecione um protocolo de roteamento de seu interesse, seja RIPv2, OSPF, EIGRP, BGP ou um
protocolo de roteamento diferente. Pesquise quaisquer problemas de segurança associados a
este protocolo de roteamento e escreva dois ou três parágrafos sobre o que você descobriu.
4. Os projetistas de rede usam muitos fatores ao decidir qual protocolo de roteamento usar.
Por exemplo, eles consideram se o protocolo de roteamento converge rapidamente. Liste e
descreva brevemente cinco outros fatores que caracterizam os protocolos de roteamento e
ajudam um projetista a distinguir um protocolo de outro.
Cenário de projeto
No Capítulo 4, “Caracterizando o tráfego de rede”, você aprendeu sobre o Genome4U, um projeto de
pesquisa científica em uma grande universidade que planeja sequenciar os genomas de 100 mil
voluntários. O projeto também criará um conjunto de bancos de dados acessíveis ao público com dados
genômicos, de características e médicos associados aos voluntários. A arrecadação de fundos do
Genome4U está indo bem e o projeto está construindo um laboratório de vários andares para cerca
de 500 pesquisadores. Os engenheiros de rede do projeto implementarão uma nova rede para o
laboratório usando switches e roteadores Cisco. Os engenheiros de rede planejam usar o EIGRP nos novos roteadores.
No entanto, os projetos de rede nunca são tão fáceis. A nova rede também precisa se comunicar com
muitos parceiros de negócios, incluindo um laboratório de biologia próximo que utiliza RIP e um escritório
de arrecadação de fundos que utiliza OSPF. O laboratório também precisa de acesso à Internet, que
espera poder ser conseguido simplesmente conectando a rede à rede do campus da universidade, que
tem acesso à Internet.
Projetar um plano para integrar os diferentes protocolos de roteamento em um novo projeto de rede
para o laboratório do Genome4U. Que informações você redistribuirá entre os protocolos de roteamento?
Que problemas você espera encontrar (com diferentes métricas, segurança e assim por diante) ao
redistribuir e como você superará os problemas? Como você fornecerá acesso à Internet?
Capítulo 8
Rede em desenvolvimento
Estratégias de Segurança
O desenvolvimento de estratégias de segurança que possam proteger todas as partes de uma rede
complicada e, ao mesmo tempo, ter um efeito limitado na facilidade de uso e no desempenho é uma das
tarefas mais importantes e difíceis relacionadas ao projeto de rede. O projeto de segurança é desafiado pela
complexidade e pela natureza porosa das redes modernas, que incluem servidores públicos para
comércio eletrônico, conexões extranet para parceiros de negócios e serviços de acesso remoto para
usuários que acessam a rede a partir de casa, locais de clientes, quartos de hotel, cibercafés, e assim por diante.
Para ajudá-lo a lidar com as dificuldades inerentes ao projeto de segurança de rede para redes
complexas, este capítulo ensina uma abordagem sistemática e de cima para baixo que se concentra no
planejamento e no desenvolvimento de políticas antes da seleção de produtos de segurança.
O objetivo deste capítulo é ajudá-lo a trabalhar com seus clientes de projeto de rede no desenvolvimento
de estratégias de segurança eficazes e a selecionar as técnicas corretas para implementar as estratégias.
O capítulo descreve as etapas para desenvolver uma estratégia de segurança e cobre alguns princípios
básicos de segurança. O capítulo apresenta uma abordagem modular para o projeto de segurança
que permitirá aplicar soluções em camadas que protegem uma rede de diversas maneiras. As seções
finais descrevem métodos para proteger os componentes de uma rede corporativa típica que correm maior
risco, incluindo conexões de Internet, redes de acesso remoto, serviços de rede e de usuário e redes sem
fio.
A segurança deve ser considerada durante muitas etapas do processo de projeto de rede de cima
para baixo. Este não é o único capítulo que cobre segurança. O Capítulo 2, “Analisando metas técnicas e
compensações”, discutiu a identificação de ativos de rede, a análise de riscos de segurança e o
desenvolvimento de requisitos de segurança. O Capítulo 5, “Projetando uma topologia de rede”, abordou
topologias de rede seguras. Este capítulo se concentra em estratégias e mecanismos de segurança.
Projeto de segurança de rede

Seguir um conjunto estruturado de etapas ao desenvolver e implementar segurança de rede ajudará você
a abordar as diversas preocupações que desempenham um papel no projeto de segurança. Muitas
estratégias de segurança foram desenvolvidas de forma aleatória e não conseguiram realmente proteger os
ativos e atender aos objetivos principais de segurança do cliente. Quebrando o processo de
O design de segurança nas etapas a seguir o ajudará a planejar e executar com eficácia uma estratégia de segurança:
1. Identifique os ativos da rede.
2. Analise os riscos de segurança.
3. Analise os requisitos e compensações de segurança.
4. Desenvolva um plano de segurança.
5. Defina uma política de segurança.
6. Desenvolver procedimentos para aplicação de políticas de segurança.
7. Desenvolver uma estratégia de implementação técnica.
8. Obtenha a adesão de usuários, gerentes e equipe técnica.
9. Treinar usuários, gestores e equipe técnica.
10. Implementar a estratégia técnica e os procedimentos de segurança.
11. Teste a segurança e atualize-a se for encontrado algum problema.
12. Mantenha a segurança.
O Capítulo 2 abordou as etapas 1 a 3 em detalhes. Este capítulo revisita rapidamente as etapas 1 a 3 e também
aborda as etapas 4, 5, 6 e 12. As etapas 7 a 10 estão fora do escopo deste livro. O Capítulo 12, “Testando seu
projeto de rede”, aborda a Etapa 11.
Identificando ativos de rede

O Capítulo 2 discutiu a coleta de informações sobre as metas de segurança de rede de um cliente. Conforme discutido no
Capítulo 2, a análise dos objetivos envolve a identificação dos ativos da rede e o risco de que esses ativos possam ser
sabotados ou acessados de forma inadequada. Envolve também a análise das consequências dos riscos.
Os ativos de rede podem incluir hosts de rede (incluindo os sistemas operacionais, aplicativos e dados dos hosts),
dispositivos de interligação de redes (como roteadores e switches) e dados de rede que atravessam a rede. Menos
óbvios, mas ainda importantes, os ativos incluem propriedade intelectual, segredos comerciais e a reputação de uma
empresa.
Analisando riscos de segurança

Os riscos podem variar desde intrusos hostis até usuários não treinados que baixam aplicativos da Internet que contêm
vírus. Intrusos hostis podem roubar dados, alterar dados e fazer com que o serviço seja negado a usuários legítimos. Os
ataques de negação de serviço (DoS) tornaram-se cada vez mais comuns nos últimos anos. Consulte o Capítulo 2 para
obter mais detalhes sobre a análise de risco.
Capítulo 8: Desenvolvendo Estratégias de Segurança de Rede 235
Analisando requisitos de segurança e compensações
O Capítulo 2 aborda a análise dos requisitos de segurança com mais detalhes. Embora muitos clientes tenham
objetivos mais específicos, em geral, os requisitos de segurança resumem-se à necessidade de proteger os
seguintes ativos:
ÿ A confidencialidade dos dados, para que apenas usuários autorizados possam visualizar informações confidenciais
ÿ A integridade dos dados, para que apenas usuários autorizados possam alterar informações confidenciais
ÿ Disponibilidade do sistema e dos dados, para que os usuários tenham acesso ininterrupto a recursos
computacionais importantes
De acordo com RFC 2196, “Manual de Segurança do Site:”
Um velho truísmo em segurança é que o custo de se proteger contra uma ameaça deveria ser menor do
que o custo de recuperação caso a ameaça o atingisse. Neste contexto, deve lembrar-se que o custo
inclui perdas expressas em moeda real, reputação, fiabilidade e outras medidas menos óbvias.
Como acontece com a maioria dos requisitos de projeto técnico, atingir as metas de segurança significa fazer
concessões. Devem ser feitas compensações entre metas de segurança e metas de capacidade financeira,
usabilidade, desempenho e disponibilidade. Além disso, a segurança aumenta a quantidade de trabalho de
gerenciamento porque os IDs de login dos usuários, as senhas e os registros de auditoria devem ser mantidos.
A segurança também afeta o desempenho da rede. Recursos de segurança como filtros de pacotes e criptografia
de dados consomem energia e memória da CPU em hosts, roteadores e servidores.
A criptografia pode usar mais de 15% da energia disponível da CPU em um roteador ou servidor.
A criptografia pode ser implementada em dispositivos dedicados em vez de roteadores ou servidores compartilhados,
mas ainda há um efeito no desempenho da rede devido ao atraso que os pacotes experimentam enquanto
estão sendo criptografados ou descriptografados.
Outra desvantagem é que a segurança pode reduzir a redundância da rede. Se todo o tráfego precisar passar
por um dispositivo de criptografia, por exemplo, o dispositivo se tornará um ponto único de falha.
Isso dificulta o cumprimento das metas de disponibilidade.
A segurança também pode dificultar a oferta de balanceamento de carga. Alguns mecanismos de segurança
exigem que o tráfego siga sempre o mesmo caminho para que os mecanismos de segurança possam ser aplicados
uniformemente. Por exemplo, um mecanismo que randomiza números de sequência TCP (para que os hackers
não possam adivinhar os números) não funcionará se alguns segmentos TCP de uma sessão seguirem um
caminho que contorne a função de randomização devido ao balanceamento de carga.
Desenvolvendo um Plano de Segurança
Uma das primeiras etapas no projeto de segurança é desenvolver um plano de segurança. Um plano de segurança
é um documento de alto nível que propõe o que uma organização fará para atender aos requisitos de segurança. O
plano especifica o tempo, as pessoas e outros recursos que serão necessários para desenvolver uma
política de segurança e alcançar a implementação técnica da política.
Como designer de rede, você pode ajudar seu cliente a desenvolver um plano que seja prático e
pertinente. O plano deve basear-se nos objetivos do cliente e na análise dos ativos e riscos da rede.
Um plano de segurança deve fazer referência à topologia da rede e incluir uma lista de serviços de rede que serão
fornecidos (por exemplo, FTP, web, e-mail e assim por diante). Esta lista deve especificar quem fornece os serviços,
quem tem acesso aos serviços, como o acesso é fornecido e quem administra os serviços.
Como designer de rede, você pode ajudar o cliente a avaliar quais serviços são definitivamente necessários, com
base nos objetivos comerciais e técnicos do cliente. Às vezes, novos serviços são adicionados desnecessariamente,
simplesmente porque são a última tendência. A adição de serviços pode exigir novos filtros de pacotes em
roteadores e firewalls para proteger os serviços, ou processos adicionais de autenticação de usuário para limitar
o acesso aos serviços, acrescentando complexidade à estratégia de segurança. Estratégias de segurança
excessivamente complexas devem ser evitadas porque podem ser autodestrutivas. Estratégias de segurança
complicadas são difíceis de implementar corretamente sem introduzir falhas de segurança inesperadas.
Um dos aspectos mais importantes do plano de segurança é a especificação das pessoas que devem estar
envolvidas na implementação da segurança da rede:
ÿ Serão contratados administradores de segurança especializados?
ÿ Como os usuários finais e seus gerentes serão envolvidos?
ÿ Como os usuários finais, gerentes e equipe técnica serão treinados em políticas e

procedimentos?
Para que um plano de segurança seja útil, ele precisa contar com o apoio de todos os níveis de funcionários da
organização. É especialmente importante que a gestão corporativa apoie totalmente o plano de segurança. A
equipe técnica na sede e em locais remotos deve aderir ao plano, assim como os usuários finais.
Desenvolvendo uma Política de Segurança
De acordo com RFC 2196, “Manual de Segurança do Site:”
Uma política de segurança é uma declaração formal das regras que as pessoas que têm acesso à tecnologia
e aos ativos de informação de uma organização devem respeitar.
Uma política de segurança informa os usuários, gestores e pessoal técnico sobre suas obrigações de proteção de
ativos tecnológicos e de informação. A política deve especificar os mecanismos pelos quais estas obrigações
podem ser cumpridas. Tal como aconteceu com o plano de segurança, a política de segurança deve ter a adesão
de funcionários, gestores, executivos e pessoal técnico.
Desenvolver uma política de segurança é tarefa da alta administração, com a ajuda dos administradores de
segurança e de rede. Os administradores recebem informações de gerentes, usuários, projetistas e engenheiros
de rede e, possivelmente, de consultores jurídicos. Como projetista de rede, você deve trabalhar em estreita
colaboração com os administradores de segurança para compreender como as políticas podem afetar o projeto da
rede.
Depois de desenvolvida uma política de segurança, com o envolvimento dos utilizadores, do pessoal e da gestão, esta deverá
ser explicada a todos pela gestão de topo. Muitas empresas exigem que o pessoal assine uma declaração indicando que leu,
compreendeu e concordou em cumprir
por uma política.
Uma política de segurança é um documento vivo. Como as organizações mudam constantemente, as políticas de segurança
devem ser atualizadas regularmente para refletir as novas direções de negócios e as mudanças tecnológicas. Os riscos também
mudam com o tempo e afetam a política de segurança.
Componentes de uma política de segurança

Em geral, uma política deve incluir pelo menos os seguintes itens:
ÿ Uma política de acesso que define direitos e privilégios de acesso. A política de acesso deve
fornecem diretrizes para conectar redes externas, conectar dispositivos a uma rede e adicionar novo software aos
sistemas. Uma política de acesso também pode abordar como
os dados são categorizados (por exemplo, confidenciais, internos e ultrassecretos).
ÿ Uma política de responsabilidade que defina as responsabilidades dos usuários, da equipe de operações,
e gestão. A política de responsabilização deve especificar uma capacidade de auditoria e
fornecer diretrizes para tratamento de incidentes que especifiquem o que fazer e quem contatar se
uma possível intrusão é detectada.
ÿ Uma política de autenticação que estabeleça confiança por meio de uma política de senha eficaz e estabeleça diretrizes
para autenticação em local remoto.
ÿ Uma política de privacidade que defina expectativas razoáveis de privacidade em relação ao

monitoramento de correio eletrônico, registro de teclas digitadas e acesso aos arquivos dos usuários.
ÿ Diretrizes para aquisição de tecnologia de informática que especificam os requisitos para aquisição, configuração e auditoria
de sistemas e redes de computadores quanto à conformidade
com a política.
Desenvolvimento de procedimentos de segurança
Os procedimentos de segurança implementam políticas de segurança. Os procedimentos definem configuração, login,

processos de auditoria e manutenção. Os procedimentos de segurança devem ser escritos para os usuários finais,
administradores de rede e administradores de segurança. Os procedimentos de segurança devem especificar
como lidar com incidentes (ou seja, o que fazer e quem contatar se uma intrusão for detectada). Os procedimentos de
segurança podem ser comunicados aos usuários e administradores em aulas de treinamento individualizadas e ministradas
por instrutores.
Mantendo a segurança
A segurança deve ser mantida agendando auditorias independentes periódicas, lendo auditoria
registros, respondendo a incidentes, lendo literatura atual e alertas de agências, realizando
testes de segurança, treinamento de administradores de segurança e atualização do plano e política de segurança. A segurança
da rede deve ser um processo perpétuo. Os riscos mudam com o tempo, e assim
deveria segurança. Os especialistas em segurança da Cisco usam o termo roda de segurança para ilustrar que
implementar, monitorar, testar e melhorar a segurança é um processo sem fim.

Muitos engenheiros de segurança sobrecarregados podem se identificar com o conceito de roda. Atualizar
continuamente os mecanismos de segurança para acompanhar os ataques mais recentes pode, às vezes, fazer
com que o administrador se sinta um hamster em uma roda de treinamento.
Mecanismos de Segurança
Esta seção descreve alguns ingredientes típicos de projetos de redes seguras. Você pode selecionar um
desses ingredientes ao projetar soluções para desafios de segurança comuns, que são descritos na seção
“Modularizando o design de segurança”, posteriormente neste capítulo.
Segurança física
A segurança física refere-se à limitação do acesso aos principais recursos da rede, mantendo os recursos
atrás de uma porta trancada e protegidos contra desastres naturais e provocados pelo homem.
A segurança física pode proteger uma rede contra o uso indevido inadvertido de equipamentos de rede por
funcionários e prestadores de serviços não treinados. Ele também pode proteger a rede contra hackers,
concorrentes e terroristas que entram nas ruas e alteram as configurações dos equipamentos.
Dependendo do nível de proteção, a segurança física pode proteger uma rede contra eventos terroristas e de
risco biológico, incluindo bombas, derramamentos radioativos e assim por diante. A segurança física também
pode proteger os recursos contra desastres naturais, como inundações, incêndios, tempestades e terremotos.
Dependendo do projeto de rede específico do cliente, a segurança física deve ser instalada para proteger
roteadores principais, pontos de demarcação, cabeamento, modems, servidores, hosts, armazenamento de
backup e assim por diante. Trabalhe com seu cliente durante os estágios iniciais do projeto de design da rede
para garantir que o equipamento será colocado em salas de informática que tenham acesso com chave de cartão
e/ou guardas de segurança. As salas de informática também devem ser equipadas com fontes de alimentação
ininterruptas, alarmes de incêndio, mecanismos de redução de incêndio e sistemas de remoção de água.
Para proteger os equipamentos contra terremotos e ventos fortes durante tempestades, os equipamentos devem
ser instalados em racks fixados no chão ou na parede.
Como a segurança física é um requisito tão óbvio, é fácil esquecer-se de planeá-la, mas nunca deve ser
negligenciada ou considerada menos importante do que outros mecanismos de segurança. Conforme
mencionado na seção “Topologias de projeto de rede segura” do Capítulo 5, você deve começar a
trabalhar com seu cliente de projeto no início do projeto para garantir que os equipamentos críticos serão
protegidos. O planejamento da segurança física deve começar durante as fases iniciais do processo de design
de cima para baixo, caso haja prazos para construir ou instalar mecanismos de segurança.
Autenticação
A autenticação identifica quem está solicitando serviços de rede. O termo autenticação geralmente se refere
à autenticação de usuários, mas também pode se referir à autenticação de dispositivos ou processos de
software. Por exemplo, alguns protocolos de roteamento suportam autenticação de rota, em que um
roteador deve passar por alguns critérios antes que outro roteador aceite suas atualizações de roteamento.
A maioria das políticas de segurança estabelece que para acessar uma rede e seus serviços, o usuário deve
inserir um ID de login e uma senha autenticados por um servidor de segurança. Para maximizar a segurança,
podem ser usadas senhas únicas (dinâmicas). Com sistemas de senha de uso único, a senha do usuário
sempre muda. Isso geralmente é feito com um cartão de segurança, também chamado de Smartcard. Um
cartão de segurança é um dispositivo físico do tamanho de um cartão de crédito. O usuário digita um número de
identificação pessoal (PIN) no cartão. O PIN é um nível inicial de segurança que simplesmente dá permissão
ao usuário para usar o cartão. O cartão fornece uma senha única usada para acessar a rede corporativa por
tempo limitado. A senha é sincronizada com um servidor central de cartões de segurança que reside na rede.
Os cartões de segurança são comumente usados por teletrabalhadores e usuários móveis. Eles geralmente não
são usados para acesso à LAN.
A autenticação é tradicionalmente baseada em uma das três provas:
ÿ Algo que o usuário sabe: geralmente envolve o conhecimento de um segredo exclusivo que é compartilhado
pelas partes autenticadoras. Para um usuário, esse segredo aparece como uma senha clássica, um
PIN ou uma chave criptográfica privada.
ÿ Algo que o usuário possui: Geralmente envolve a posse física de um item exclusivo do usuário. Os exemplos
incluem cartões de token de senha, cartões de segurança e chaves de hardware.
ÿ Algo que o usuário é: envolve a verificação de uma característica física única do

usuário, como impressão digital, padrão de retina, voz ou rosto.
Muitos sistemas usam autenticação de dois fatores, que exige que o usuário tenha duas provas de identidade.
Um exemplo é um sistema de controle de acesso que requer cartão de segurança e senha. Com a
autenticação de dois fatores, o comprometimento de um fator não leva ao comprometimento do sistema. Um
invasor pode aprender uma senha, mas a senha será menos usada sem o cartão de segurança. Por outro
lado, se o cartão de segurança for roubado, ele não poderá ser usado sem a senha.
Autorização
Enquanto a autenticação controla quem pode acessar os recursos da rede, a autorização diz o que eles podem
fazer depois de acessarem os recursos. A autorização concede privilégios a processos e usuários. A autorização
permite que um administrador de segurança controle partes de uma rede (por exemplo, diretórios e arquivos
em servidores).
A autorização varia de usuário para usuário, dependendo em parte do departamento ou função do usuário.
Por exemplo, uma política pode estabelecer que apenas os funcionários de Recursos Humanos devem ver os
registos salariais de pessoas que não gerem.
Os especialistas em segurança recomendam a utilização do princípio do menor privilégio na implementação da

autorização. Este princípio baseia-se na ideia de que cada usuário deve receber apenas os direitos mínimos
necessários para realizar uma determinada tarefa. Portanto, um mecanismo de autorização deve conceder ao usuário
apenas as permissões de acesso mínimas necessárias.
É difícil listar explicitamente as atividades autorizadas de cada usuário em relação a cada recurso, por isso são
utilizadas técnicas para simplificar o processo. Por exemplo, um gerente de rede pode criar grupos de usuários para
usuários com os mesmos privilégios.
Auditoria contabil)
Para analisar eficazmente a segurança de uma rede e responder a incidentes de segurança, devem ser
estabelecidos procedimentos para a recolha de dados de actividade de rede. A coleta de dados é chamada de
contabilidade ou auditoria.
Para redes com políticas de segurança rigorosas, os dados de auditoria devem incluir todas as tentativas de
obter autenticação e autorização por qualquer pessoa. É especialmente importante registrar o acesso “anônimo” ou
“convidado” aos servidores públicos. Os dados também devem registar todas as tentativas dos utilizadores para alterar
os seus direitos de acesso.
Os dados coletados devem incluir nomes de usuários e de host para tentativas de login e logout, e direitos de acesso
anteriores e novos para uma alteração de direitos de acesso. Cada entrada no log de auditoria deve ter carimbo de
data/hora.
O processo de auditoria não deve coletar senhas. A coleta de senhas cria um potencial de violação de segurança se
os registros de auditoria forem acessados indevidamente. Nem senhas corretas nem incorretas devem ser
coletadas. Uma senha incorreta geralmente difere da senha válida por apenas um único caractere ou transposição
de caracteres.
Uma outra extensão da auditoria é o conceito de avaliação de segurança. Com a avaliação de segurança, a rede
é examinada internamente por profissionais treinados nas vulnerabilidades exploradas pelos invasores da rede. Parte
de qualquer política de segurança e procedimento de auditoria deve incluir avaliações periódicas das vulnerabilidades
de uma rede. O resultado deverá ser um plano específico para corrigir deficiências, que pode ser tão simples como a
reciclagem do pessoal.
Criptografia de dados
A criptografia é um processo que embaralha os dados para protegê-los de serem lidos por qualquer pessoa, exceto o
destinatário pretendido. Um dispositivo de criptografia criptografa os dados antes de colocá-los em uma rede. Um
dispositivo de descriptografia descriptografa os dados antes de passá-los para um aplicativo. Um roteador,
servidor, sistema final ou dispositivo dedicado pode atuar como um dispositivo de criptografia ou descriptografia.
Os dados criptografados são chamados de dados cifrados (ou simplesmente dados criptografados). Os dados que
não são criptografados são chamados de texto simples ou texto não criptografado.
A criptografia é um recurso de segurança útil para fornecer confidencialidade de dados. Também pode ser usado
para identificar o remetente dos dados. Embora a autenticação e a autorização também devam proteger a
confidencialidade dos dados e identificar os remetentes, a criptografia é um bom recurso de segurança a ser
implementado caso os outros tipos de segurança falhem.
Entretanto, existem compensações de desempenho associadas à criptografia, conforme mencionado na

seção “Analisando compensações de segurança”, anteriormente neste capítulo. A criptografia deve ser
usada quando um cliente analisa riscos de segurança e identifica consequências graves se os dados não
forem mantidos confidenciais e a identidade dos remetentes dos dados não for garantida. Em redes
internas e redes que usam a Internet simplesmente para navegação na web, e-mail e transferência de
arquivos, a criptografia geralmente não é necessária. Para organizações que conectam sites privados
através da Internet, usando redes privadas virtuais (VPN), a criptografia é recomendada para proteger a
confidencialidade dos dados da organização.
A criptografia tem duas partes:
ÿ Um algoritmo de criptografia é um conjunto de instruções para embaralhar e desembaralhar dados.
ÿ Uma chave de criptografia é um código usado por um algoritmo para embaralhar e desembaralhar dados.
Às vezes, as crianças brincam com criptografia usando um algoritmo simples, como “encontre a letra na
linha superior e use a letra na linha inferior”, e uma chave que pode ser semelhante à tabela a seguir:
aBCDeFGHIJKLMNopqRSTUVWxyZ
INBYGLSPTARWQHXMDKFUO CZVEJ
Neste exemplo, LISA é criptografado como WTFI. A chave mostra apenas letras maiúsculas, mas
também existem muitas outras possibilidades, incluindo letras minúsculas, dígitos e assim por diante.
A maioria dos algoritmos é mais complexa que a do exemplo infantil para evitar a necessidade de manter
uma chave que inclua um valor para cada caractere possível.
O objetivo da criptografia é que, mesmo que o algoritmo seja conhecido, sem a chave apropriada, um
intruso não consiga interpretar a mensagem. Esse tipo de chave é chamado de chave secreta.
Quando o remetente e o destinatário usam a mesma chave secreta, ela é chamada de chave simétrica.
O Data Encryption Standard (DES) é o exemplo mais conhecido de sistema de chave simétrica. A
criptografia DES está disponível para a maioria dos roteadores e muitas implementações de servidores.
Embora as chaves secretas sejam razoavelmente simples de implementar entre dois dispositivos, à
medida que o número de dispositivos aumenta, o número de chaves secretas aumenta, o que pode ser
difícil de gerenciar. Por exemplo, uma sessão entre a Estação A e a Estação B utiliza uma chave diferente
de uma sessão entre a Estação A e a Estação C, ou uma sessão entre a Estação B e a Estação C, e assim
por diante. Chaves assimétricas podem resolver esse problema.
Criptografia de chave pública/privada A
criptografia de chave pública/privada é o exemplo mais conhecido de sistema de chave assimétrica.

Com sistemas de chave pública/privada, cada estação segura em uma rede possui uma chave pública que é publicada
abertamente ou facilmente determinada. Todos os dispositivos podem usar a chave pública de uma estação
para criptografar dados a serem enviados à estação.
A estação receptora descriptografa os dados usando sua própria chave privada. Como nenhum outro dispositivo
possui a chave privada da estação, nenhum outro dispositivo pode descriptografar os dados, portanto, os dados
a confidencialidade é mantida. Matemáticos e cientistas da computação escreveram programas de

computador que identificam números especiais a serem usados nas chaves, de modo que o mesmo algoritmo
possa ser usado tanto pelo remetente quanto pelo destinatário, mesmo que sejam usadas chaves diferentes.
A Figura 8-1 mostra um sistema de chave pública/privada para confidencialidade de dados.
Anfitrião A Anfitrião B
Dados criptografados
Criptografar dados Descriptografar dados
Usando Host B Usando Host B

Chave pública Chave privada
Figura 8-1 Sistema de Chave Pública/ Privada para Garantir

Confidencialidade de dados
Os sistemas de chave pública/privada fornecem recursos de confidencialidade e autenticação.

Usando chaves assimétricas, um destinatário pode verificar se um documento realmente veio do usuário ou host
de onde parece ter vindo. Por exemplo, suponha que você esteja enviando suas declarações fiscais para o
Internal Revenue Service (IRS). O IRS precisa saber que os retornos vieram de você e não de um terceiro hostil
que deseja fazer parecer que você deve mais do que deve.
Você pode criptografar seu documento ou parte dele com sua chave privada, resultando no que é
conhecido como assinatura digital. O IRS pode descriptografar o documento usando sua chave pública,
conforme mostrado na Figura 8-2. Se a descriptografia for bem-sucedida, o documento veio de você porque
ninguém mais deveria ter sua chave privada.
Anfitrião A Anfitrião B
Dados criptografados
Criptografar dados Descriptografar dados
Usando Host B Usando Host B

Chave pública Chave privada
Figura 8-2 Sistema de chave pública/ privada para envio de um

Assinatura digital
O recurso de assinatura digital de chaves assimétricas pode ser usado com o recurso de confidencialidade
de dados. Depois de criptografar seu documento com sua chave privada, você também pode criptografar
o documento com a chave pública do IRS. O IRS descriptografa o documento duas vezes. Se o resultado forem
dados de texto simples, o IRS sabe que o documento veio de você e que você pretendia que o documento
fosse para o IRS e não para mais ninguém.
Alguns exemplos de sistemas de chave assimétrica incluem o padrão Rivest, Shamir e Adleman
(RSA), o algoritmo de chave pública Diffie-Hellman e o Padrão de Assinatura Digital (DSS). A
Cisco usa o padrão DSS para autenticar roteadores peer durante a configuração de uma sessão
criptografada. Os roteadores peer usam o algoritmo Diffie-Hellman para enviar informações sobre uma
chave secreta a ser usada para criptografar dados. Os dados reais são criptografados usando o algoritmo
DES e a chave secreta.
Filtros de pacotes
Filtros de pacotes podem ser configurados em roteadores, firewalls e servidores para aceitar ou negar
pacotes de endereços ou serviços específicos. Os filtros de pacotes aumentam os mecanismos de
autenticação e autorização. Eles ajudam a proteger os recursos da rede contra uso não autorizado,
roubo, destruição e ataques DoS.
Uma política de segurança deve indicar se os filtros de pacotes implementam uma ou outra das
seguintes políticas:
ÿ Negar tipos específicos de pacotes e aceitar todo o resto
ÿ Aceite tipos específicos de pacotes e negue todo o resto
A primeira política exige uma compreensão profunda das ameaças específicas à segurança e pode ser
difícil de implementar. A segunda política é mais fácil de implementar e mais segura porque o administrador
de segurança não precisa prever ataques futuros para os quais os pacotes deverão ser negados. A
segunda política também é mais fácil de testar porque existe um conjunto finito de usos aceitos da rede.
Fazer um bom trabalho na implementação da segunda política requer uma boa compreensão dos
requisitos da rede. O projetista da rede deve trabalhar com o administrador de segurança para
determinar quais tipos de pacotes devem ser aceitos.
A Cisco implementa a segunda política em seus filtros de pacotes, que a Cisco chama de listas de
controle de acesso (ACL). Uma ACL em um roteador ou switch que executa o Cisco IOS Software
sempre tem uma instrução deny-all implícita no final. Instruções de aceitação específicas são processadas
antes da instrução deny-all implícita. (A declaração está implícita porque o administrador não precisa
realmente inseri-la, embora seja uma boa ideia inseri-la para tornar o comportamento da lista mais óbvio.)
As ACLs permitem controlar se o tráfego de rede é encaminhado ou bloqueado nas interfaces de um

roteador ou switch. As definições de ACL fornecem critérios aplicados a pacotes que entram ou saem de
uma interface. Os critérios típicos são o endereço de origem do pacote, o endereço de destino do
pacote ou o protocolo da camada superior do pacote.
Como o Cisco IOS Software testa um pacote em relação a cada instrução de critério na lista até que uma
correspondência seja encontrada, as ACLs devem ser projetadas com cuidado para fornecer um bom
desempenho. Ao estudar o fluxo de tráfego, você pode projetar a lista de modo que a maioria dos
pacotes corresponda às primeiras condições. Menos condições para verificar por pacote significa melhor
rendimento. Um bom conselho para projetar ACLs é ordenar a lista com as instruções mais gerais no
topo e as instruções mais específicas na parte inferior, sendo a última declaração a declaração geral e
implícita de negação de tudo.
Firewalls
Conforme discutido no Capítulo 5, um firewall é um dispositivo que impõe políticas de segurança na
fronteira entre duas ou mais redes. Um firewall pode ser um roteador com ACLs, um dispositivo de
hardware dedicado ou software executado em um PC ou sistema UNIX. Os firewalls são especialmente
importantes na fronteira entre a rede corporativa e a Internet.
Um firewall possui um conjunto de regras que especifica qual tráfego deve ser permitido ou negado.
Um firewall de filtro de pacotes sem estado estático analisa pacotes individuais e é otimizado para
velocidade e simplicidade de configuração. Um firewall com estado pode rastrear sessões de comunicação
e permitir ou negar tráfego de maneira mais inteligente. Por exemplo, um firewall com estado pode lembrar
que um cliente protegido iniciou uma solicitação para baixar dados de um servidor da Internet e permitir
a entrada de dados para essa conexão. Um firewall com estado também pode funcionar com protocolos,
como FTP ativo (modo de porta), que exigem que o servidor também abra uma conexão com o cliente.
Outro tipo de firewall é um firewall proxy. Os firewalls proxy são o tipo de firewall mais avançado, mas
também o menos comum. Um firewall proxy atua como intermediário entre hosts, interceptando parte
ou todo o tráfego de aplicativos entre clientes locais e servidores externos. Os firewalls proxy
examinam pacotes e oferecem suporte ao rastreamento com estado de sessões. Esses tipos de firewalls
podem bloquear tráfego malicioso e conteúdo considerado inaceitável.
Sistemas de detecção e prevenção de intrusões

Um sistema de detecção de intrusão (IDS) detecta eventos maliciosos e notifica um administrador,
usando e-mail, paginação ou registro da ocorrência. Um IDS também pode realizar análises estatísticas e
de anomalias. Alguns dispositivos IDS podem reportar-se a um banco de dados central que correlaciona
informações de vários sensores para fornecer ao administrador uma visão geral da segurança em
tempo real de uma rede. Um sistema de prevenção de intrusões (IPS) pode bloquear dinamicamente o
tráfego adicionando regras a um firewall ou sendo configurado para inspecionar (e negar ou permitir) o
tráfego à medida que ele entra em um firewall. Um IPS é um IDS que pode detectar e prevenir ataques.
Existem dois tipos de dispositivos IDS:
ÿ Host IDS: reside em um host individual e monitora esse host.
ÿ IDS de rede: monitora todo o tráfego de rede que pode ver, observando assinaturas predefinidas de
eventos maliciosos. Um IDS de rede geralmente é colocado em uma sub-rede diretamente
conectada a um firewall para que possa monitorar o tráfego permitido e procurar atividades suspeitas.
No passado, uma grande preocupação tanto com os dispositivos IDS como com os IPS era o volume de
alarmes falsos que eles tendiam a gerar. Um alarme falso ocorre quando um IDS ou IPS relata um evento
de rede como um problema sério, quando na verdade não é um problema. Este problema de alarme
falso foi amenizado por software e serviços sofisticados em dispositivos IPS modernos. As soluções
Cisco IPS, por exemplo, incluem detecção de anomalias que aprende sobre o tráfego de rede real
típico na rede de um cliente e emite alarmes somente quando houver desvio desse tráfego.
A Cisco também oferece suporte a filtragem de reputação e serviços de correlação global para que um IPS possa
se manter atualizado sobre as tendências globais de segurança e negar com mais precisão o tráfego de
redes conhecidas por estarem atualmente associadas a botnets, spam e outros malwares.
Modularizando o Design de Segurança

Os especialistas em segurança promovem o princípio da defesa da segurança em profundidade . Este princípio
afirma que a segurança da rede deve ser multicamadas, com muitas técnicas diferentes utilizadas para proteger
a rede. Nenhum mecanismo de segurança pode ter garantia de resistir a todos os ataques. Portanto, cada
mecanismo deve ter um mecanismo de backup. Isso às vezes é chamado de abordagem de cinto e suspensórios.
Tanto o cinto quanto os suspensórios garantem que as calças fiquem levantadas. Um exemplo de rede é
usar um firewall dedicado para limitar o acesso aos recursos e um roteador de filtragem de pacotes que adiciona
outra linha de defesa.
Como parte da implementação profunda da defesa da segurança, o design da segurança deve ser modular.
Vários métodos devem ser projetados e aplicados a diferentes partes da rede, seja a conexão com a Internet,
a infraestrutura sem fio ou o componente de acesso remoto. A Cisco fornece uma abordagem modular com sua
arquitetura de referência de segurança SAFE (descrita no Capítulo 5).
Em geral, utilizar uma abordagem modular para o projeto de segurança é uma boa maneira de compreender os
tipos de soluções que devem ser selecionadas para implementar a defesa de segurança em profundidade. As
próximas seções abordam a segurança dos seguintes módulos ou componentes de uma rede corporativa:
ÿ Conexões com a Internet
ÿ Acesso remoto e redes privadas virtuais (VPN)
ÿ Serviços e gerenciamento de rede
ÿ Farms de servidores
ÿ Serviços ao usuário
ÿ Redes sem fio
Protegendo conexões com a Internet

As conexões de Internet devem ser protegidas com um conjunto de mecanismos de segurança sobrepostos,
incluindo firewalls, filtros de pacotes, segurança física, registros de auditoria, autenticação e autorização.
Os roteadores da Internet devem estar equipados com filtros de pacotes para evitar DoS e outros ataques. Esses
filtros devem ter backup com filtros adicionais colocados em dispositivos de firewall. A conexão com a Internet deve
ser monitorada cuidadosamente. Os dispositivos IDS de rede e host devem monitorar sub-redes, roteadores e
servidores acessíveis pela Internet para detectar sinais de ataque ou atividade de rede maliciosa e identificar
violações bem-sucedidas na rede protegida.
Uma boa regra para redes corporativas é que a rede tenha pontos de saída e entrada bem definidos. Uma
organização que tenha apenas uma conexão com a Internet pode gerenciar
problemas de segurança mais facilmente do que uma organização que possui muitas conexões com a Internet.
Entretanto, algumas grandes organizações exigem mais de uma conexão com a Internet por motivos de desempenho
e redundância. Tudo bem, desde que as conexões sejam gerenciadas e monitoradas. Departamentos ou usuários
que adicionam conexões à Internet sem a coordenação dos engenheiros de redes corporativas não devem ser
tolerados.
Um risco comum associado à conexão com a Internet são as ameaças de reconhecimento da Internet, por meio
das quais um invasor tenta sondar a rede e seus hosts para descobrir redes, hosts e serviços acessíveis em execução
em hosts expostos e para desenvolver um mapa de rede. Para gerir o risco de tentativas de reconhecimento, os
routers e os dispositivos de firewall de primeira linha devem bloquear todas as ligações de entrada, exceto aquelas
necessárias para aceder a serviços específicos em servidores públicos ou para completar uma transação iniciada
por um cliente confiável. Os roteadores e firewalls também devem bloquear pacotes normalmente usados para
ameaças de reconhecimento, como pings.
Ao selecionar protocolos de roteamento para a conexão com a Internet e para roteadores que injetam rotas da
Internet na rede interna, você deve selecionar um protocolo que ofereça autenticação de rota, como Routing
Information Protocol versão 2 (RIPv2), Open Shortest Path First (OSPF), Enhanced Interior Gateway Routing Protocol
(EIGRP) ou Border Gateway Protocol, versão 4 (BGP4). O roteamento estático e padrão também é uma boa opção
porque com o roteamento estático e padrão não há atualizações de roteamento que possam ser comprometidas.
Ao proteger a conexão com a Internet, a Tradução de Endereço de Rede (NAT) pode ser usada para proteger
esquemas de endereçamento de rede internos. Conforme discutido no Capítulo 6, “Projetando modelos para
endereçamento e nomenclatura”, o NAT oculta números de redes internas de redes externas. O NAT traduz os
números da rede interna quando é necessário acesso externo.
Protegendo Servidores Públicos

A maioria das empresas precisa de servidores públicos acessíveis pela Internet.
Isso inclui World Wide Web, protocolo de transferência de arquivos (FTP), sistema de nomes de domínio (DNS),
e-mail e servidores de comércio eletrônico. Os servidores públicos devem ser colocados em uma rede de zona
desmilitarizada (DMZ) protegida de outras redes por meio de firewalls. As redes DMZ foram discutidas com mais
detalhes no Capítulo 5.
Para proteger servidores públicos contra ataques DoS, os administradores de servidores devem usar sistemas
operacionais e aplicativos confiáveis que tenham sido corrigidos com as correções de segurança mais recentes. A
adição de Common Gateway Interface (CGI) ou outros tipos de scripts aos servidores deve ser feita com muito
cuidado. Os scripts devem ser exaustivamente testados quanto a vazamentos de segurança.
Os servidores públicos devem executar software de firewall e ser configurados para proteção DoS. Por exemplo,
o servidor deve ser configurado para limitar o número de estabelecimentos de conexão que podem ocorrer em
um determinado período de tempo. Os servidores também devem executar software que possa examinar o conteúdo
transportado pelos protocolos de aplicação para que o software possa verificar e possivelmente eliminar conteúdo
perigoso, como vírus ou código móvel. (Código móvel é um software que pode ser transmitido através de uma
rede e executado em outro dispositivo.)
Se um cliente puder pagar dois servidores separados, os especialistas em segurança recomendam que os serviços
FTP não sejam executados no mesmo servidor que os serviços web. Os usuários de FTP têm mais oportunidades de
lendo e possivelmente alterando arquivos do que os usuários da web. Um hacker poderia usar FTP para danificar as
páginas web de uma empresa, prejudicando assim a imagem da empresa e possivelmente comprometendo o comércio
eletrônico baseado na web e outras aplicações. Especialistas em segurança recomendam nunca permitir acesso à
Internet a servidores Trivial File Transfer Protocol (TFTP),
porque o TFTP não oferece recursos de autenticação.
Os servidores de e-mail têm sido uma fonte de invasões de intrusos, provavelmente porque os protocolos e implementações
de e-mail já existem há muito tempo e os hackers podem entendê-los facilmente. Além disso, pela sua própria natureza,
um servidor de e-mail deve permitir acesso externo. Assegurar
servidores de e-mail, os administradores de rede devem manter-se atualizados sobre bugs bem conhecidos e vazamentos
de segurança, inscrevendo-se em listas de discussão dedicadas a informações de segurança.
Os servidores DNS devem ser cuidadosamente controlados e monitorados. A resolução de nome para endereço é
fundamental para a operação de qualquer rede. Um invasor que consegue controlar ou
personificar um servidor DNS pode causar estragos em uma rede. Os servidores DNS devem ser protegidos contra ataques
de segurança por filtros de pacotes em roteadores e versões de software DNS que
incorporar recursos de segurança.
Tradicionalmente, o DNS não tinha recursos de segurança. Em particular, não havia como verificar
informações retornadas em uma resposta DNS a uma consulta. Um hacker poderia sequestrar a consulta e
retornar um mapeamento de nome para endereço falsificado. Assinaturas digitais e outros recursos de segurança estão
sendo adicionados ao protocolo para resolver esse problema e outras questões de segurança.
Consulte RFC 4033, “Introdução e requisitos de segurança de DNS” e seu complemento
documentos, RFC 4034 e RFC 4035, para obter mais informações.
Protegendo servidores de comércio eletrônico
Os servidores de comércio eletrônico são vulneráveis aos mesmos ataques que ameaçam todos os servidores públicos, mas
um comprometimento de um servidor de comércio eletrônico resulta em perdas mais substanciais porque estes
os servidores mantêm dados financeiros e de clientes altamente confidenciais e confidenciais. Comércio eletrônico
os servidores são frequentemente alvos de ataques DoS, direcionados aos seus sistemas operacionais ou aplicativos.
Os servidores de comércio eletrônico devem ser protegidos contra ataques DoS com regras de filtragem de pacotes
e regras que negam tentativas sucessivas de conexão em um curto período de tempo. Eles
também devem ser protegidos de invasores que queiram comprometê-los para lançar um
ataque a outros servidores, incluindo outros servidores de comércio eletrônico.
Em alguns projetos de rede, os aplicativos de comércio eletrônico são executados em vários servidores. Por exemplo,
um servidor web front-end de aplicativo de comércio eletrônico aceita sessões criptografadas de
Os clientes da Internet processam as solicitações e consultam um servidor de banco de dados, que contém dados
confidenciais de clientes e financeiros. Para uma protecção óptima dos dados sensíveis e para evitar uma
servidor comprometido atacando outro servidor, você pode separar os servidores em seus próprios
Redes DMZ. Por exemplo, projete a topologia de forma que haja um firewall que proteja
o servidor de banco de dados do servidor web front-end, caso o servidor web esteja comprometido.
Servidores no mesmo segmento também podem ser separados por controle de acesso de switch LAN
mecanismos (como VLANs privadas). Os dispositivos IDS de rede e host devem monitorar sub-redes e
servidores individuais para detectar sinais de ataques e confirmar violações bem-sucedidas.
Protegendo acesso remoto e VPNs

Para oferecer suporte a usuários móveis, muitas redes empresariais incluem tecnologias de acesso remoto,
concentradores VPN e gateways VPN site a site. Os dados dos utilizadores são enviados através de redes
públicas, como a Rede Telefónica Pública Comutada (PSTN) e a Internet, pelo que é importante proteger
os dados contra escutas clandestinas. A proteção contra falsificação de identidade de clientes ou sites
remotos também é importante, para evitar que um invasor se faça passar por um cliente legítimo e faça login
na rede. Isso pode acontecer se um invasor roubar as credenciais de um usuário legítimo (como um par
de nome de usuário e senha) ou descobrir as chaves de autenticação usadas em uma conexão VPN.
Protegendo tecnologias de acesso remoto A segurança é
fundamental para tecnologias de acesso remoto e deve consistir em tecnologias de firewall, segurança
física, mecanismos de autenticação e autorização, auditoria e, possivelmente, criptografia. Autenticação e
autorização são os recursos mais importantes e podem ser implementadas com o Challenge Handshake
Authentication Protocol (CHAP) e o protocolo Remote Authentication Dial-In User Service (RADIUS).
Usuários remotos e roteadores remotos que usam o protocolo ponto a ponto (PPP) devem ser autenticados
com CHAP. O protocolo de autenticação de senha (PAP), que oferece menos segurança que o CHAP, não é
recomendado. A seção “Tecnologias de acesso remoto” do Capítulo 11, “Selecionando tecnologias e
dispositivos para redes corporativas”, aborda PPP, CHAP e PAP com mais detalhes.
Outra opção para autenticação, autorização e contabilidade é o RADIUS. A Livingston, Inc. desenvolveu o
RADIUS, que se tornou um padrão do setor e está documentado na RFC 2865. O RADIUS oferece ao
administrador a opção de ter um banco de dados centralizado de informações do usuário. O banco de dados
inclui informações de autenticação e configuração e especifica o tipo de serviço permitido por um usuário
(por exemplo, PPP, Telnet, rlogin e assim por diante). RADIUS é um protocolo cliente/servidor. Um servidor
de acesso atua como cliente de um servidor RADIUS.
Os serviços dial-up devem ser estritamente controlados. Os usuários não devem ter permissão para
conectar modems e linhas analógicas às suas próprias estações de trabalho ou servidores. (Algumas empresas
demitem funcionários que fazem isso.) Se alguns usuários remotos ainda precisarem discar para a rede
usando um modem e uma linha telefônica analógica, é útil ter um único ponto de discagem (por exemplo,
um único pool de modem ou servidor de acesso) para que todos os usuários sejam autenticados da mesma
forma. Um conjunto diferente de modems deve ser usado para qualquer serviço de discagem externa. Os
serviços de discagem interna e externa devem ser autenticados.
Existem muitas considerações de segurança operacional com redes dial-up e, se possível, as redes dial-up
devem ser eliminadas das redes modernas. Se isso não for possível,
modems e servidores de acesso devem ser cuidadosamente configurados e protegidos contra hackers que
os reconfigurem. Os modems devem ser programados para redefinir a configuração padrão no início e no
final de cada chamada, e os modems e servidores de acesso devem encerrar as chamadas de forma limpa.
Os servidores devem forçar o logout se o usuário desligar inesperadamente.
Se os modems e servidores de acesso suportarem retorno de chamada (o que a maioria faz), o retorno de
chamada deverá ser usado. Com o retorno de chamada, quando um usuário disca e é autenticado, o sistema
desconecta a chamada e liga de volta para um número especificado. O retorno de chamada é útil porque o
sistema chama de volta o usuário real, não um hacker que possa estar se passando pelo usuário.
Entretanto, o retorno de chamada pode ser facilmente comprometido e não deve ser o único mecanismo
de segurança usado.
Protegendo VPNs As
organizações que usam VPNs para conectar sites privados e usuários finais por meio de uma rede pública,
como a Internet, devem usar NAT, firewalls, autenticação forte e criptografia de dados. Os sistemas
operacionais clientes que se conectam via VPN devem usar firewall pessoal e software de proteção contra
vírus. É importante proteger contra o comprometimento de um cliente ou site remoto que permita que um
invasor ataque com êxito a rede corporativa pela VPN. Um exemplo é um cliente VPN que foi comprometido
por um cavalo de Troia que transforma o sistema do cliente em um retransmissor. Tal ataque pode significar
que quando o cliente está conectado à rede corporativa por meio de uma VPN de acesso remoto à Internet, o
invasor pode se conectar ao cliente pela Internet e, a partir do cliente, conectar-se à rede corporativa
protegida.
Nas topologias VPN, os dados privados trafegam por uma rede pública, portanto a criptografia é obrigatória.
A solução mais comum para criptografia é usar o IP Security Protocol (IPsec), que é um padrão da Internet
Engineering Task Force (IETF) que fornece confidencialidade de dados, integridade de dados e autenticação
entre pares participantes na camada IP. O IPsec fornece um caminho seguro entre usuários remotos e um
concentrador VPN e entre sites remotos e um gateway VPN site a site.
Numerosos RFCs tratam do Ipsec e de muitos rascunhos da Internet. Para aprender melhor o IPsec, as principais
RFCs que você deve ler são as seguintes:
ÿ RFC 4301, “Arquitetura de segurança para o protocolo da Internet”
ÿ RFC 4302, “Cabeçalho de autenticação IP”
ÿ RFC 4303, “Carga útil de segurança com encapsulamento de IP (ESP)”
ÿ RFC 4306, “Associação de Segurança da Internet e Protocolo de Gerenciamento de Chaves (ISAKMP)”
O IPsec permite que um sistema selecione protocolos e algoritmos de segurança e estabeleça chaves
criptográficas. O protocolo Internet Key Exchange (IKE) fornece autenticação de pares IPsec. Também negocia
chaves IPsec e associações de segurança. IKE usa as seguintes tecnologias:
ÿ DES: criptografa dados de pacotes.
ÿ Diffie-Hellman: estabelece uma chave de sessão compartilhada e secreta.
ÿ Message Digest 5 (MD5): um algoritmo hash que autentica dados de pacotes.
ÿ Algoritmo hash seguro (SHA): um algoritmo hash que autentica dados de pacotes.
ÿ Nonces criptografados RSA: fornecem repúdio.
ÿ Assinaturas RSA: proporcionam não-repúdio.
Protegendo serviços de rede e gerenciamento de rede

Para proteger os serviços de rede internos, é importante proteger os dispositivos internos de interligação de redes,
como roteadores e switches. Você deve tratar cada dispositivo de rede como um host de alto valor e fortalecê-lo
(fortalece-lo) contra possíveis invasões. Isto envolve práticas comuns, como executar apenas os serviços mínimos
necessários e estabelecer confiança apenas com parceiros autênticos. Por exemplo, um roteador não deve aceitar
atualizações de roteamento de um roteador que não tenha sido autenticado. Os protocolos de roteamento que
suportam autenticação devem ser selecionados, incluindo RIPv2, OSPF, EIGRP e BGP4. Rotas estáticas e padrão
também são uma boa escolha porque eliminam a necessidade de aceitar atualizações de roteamento.
IDs de login e senhas devem ser exigidos para acessar roteadores e switches, independentemente de o usuário
acessar o dispositivo por meio de uma porta de console ou pela rede. Uma senha de primeiro nível pode ser usada
para administradores que simplesmente precisam verificar o status dos dispositivos. Uma senha de segundo nível deve
ser usada para administradores que tenham permissão para visualizar ou alterar configurações. Evite usar um
protocolo não seguro, como o Telnet, para acessar roteadores e switches em uma rede. Uma escolha melhor é Secure
Shell (SSH).
Quando administradores (ou hackers se passando por administradores) se conectam a um roteador ou switch, eles
não devem ver a típica mensagem de conexão, que geralmente diz algo simples, como Bem-vindo a este roteador.
Em vez disso, um roteador ou switch deve exibir avisos sobre o uso autorizado e o monitoramento de todas as
atividades no dispositivo. Muitos especialistas em segurança recomendam a ajuda de um advogado ao escrever a
mensagem de conexão.
Se o acesso do modem às portas do console dos dispositivos de interligação de redes for permitido, os modems
deverão ser protegidos da mesma forma que os modems de usuário de discagem padrão, e os números de telefone
não deverão estar listados e não estar relacionados ao(s) número(s) principal(is) da organização. Os números
de telefone também devem ser alterados quando houver rotatividade de pessoal.
Para clientes com vários roteadores e switches, um protocolo como o Terminal Access Controller Access Control
System (TACACS) pode ser usado para gerenciar um grande número de IDs de usuário e senhas de roteadores e
switches em um banco de dados centralizado. O TACACS também oferece recursos de auditoria, que podem ser úteis
quando um administrador de rede inexperiente tenta evitar a responsabilidade por uma configuração incorreta que levou
a um incidente de segurança.
Para se proteger contra configuração incorreta de dispositivos por hackers (ou administradores de rede
inexperientes), você pode impor autorização em comandos de configuração específicos. TACACS e outros
métodos de autorização podem ser configurados para permitir que apenas administradores específicos insiram
comandos arriscados, como comandos para alterar IP
endereços ou ACLs. O uso de um processo de controle de mudanças centralizado e bem gerenciado é

também recomendado.
Limitar o uso do Protocolo Simples de Gerenciamento de Rede (SNMP) deve ser considerado
em redes corporativas para as quais as metas de segurança superam as metas de gerenciamento. Um de
o principal problema com o SNMP é a operação definida , que permite que uma estação remota altere
dados de gerenciamento e configuração. Se o SNMPv3 for usado, isso não será uma preocupação tão grande,
porque o SNMPv3 suporta autenticação para uso com a operação set e outras
Operações SNMP.
Os sistemas de gerenciamento de rede devem ser especialmente protegidos porque hospedam

dados extremamente confidenciais sobre configuração de rede e dispositivos de segurança. Além disso, os sistemas de gestão
de rede são por vezes ligados a outros dispositivos através de um canal separado.
rede de gerenciamento (fora da banda), que, sem um projeto cuidadoso, poderia fornecer um caminho
em torno de mecanismos de segurança, como firewalls.
Para minimizar o risco, os sistemas de gerenciamento de rede devem ser colocados em sua própria DMZ
atrás de um firewall. Eles devem executar um sistema operacional reforçado que foi corrigido
com as correções de segurança mais recentes. Todos os serviços desnecessários devem ser desativados.
Tal como acontece com roteadores e switches, os sistemas de gerenciamento de rede devem ser protegidos
da representação de administradores, onde um invasor rouba as credenciais (nomes de usuário ou senhas) de um
administrador. Para gerenciar o risco de representação do administrador, forneça ao administrador mecanismos de
autenticação fortes. Um bom exemplo
é um sistema de senha única de dois fatores baseado em cartões de segurança.
Protegendo farms de servidores
Farms de servidores hospedam servidores de arquivos, impressão, banco de dados e aplicativos dentro de redes de campus
e filiais. Esses servidores geralmente contêm as informações mais confidenciais de uma empresa,
então eles devem ser protegidos. Como os servidores são acessados por um grande número de usuários, o desempenho da
rede costuma ser um problema crítico, o que pode limitar a escolha da proteção.
mecanismos. No entanto, devem ser implementados métodos para proteger contra o comprometimento de aplicações
expostas e o acesso não autorizado aos dados. IDS de rede e host
dispositivos devem ser implantados para monitorar sub-redes e servidores individuais para detectar sinais de
ataques e confirmar violações bem-sucedidas.
Quando os servidores de um farm de servidores são comprometidos, os invasores podem usar esses servidores para atacar
outros servidores. Para gerenciar esse risco, configure filtros de rede que limitem a conectividade de
o servidor. Em muitos casos, um servidor não precisa iniciar conexões. Os estabelecimentos de conexão geralmente vêm do
cliente. Existem inúmeras exceções, no entanto, que
pode ser programado em filtros. Por exemplo, com FTP ativo (modo de porta), o servidor inicia uma conexão. Além disso, vários
gerenciamento de rede, nomenclatura, localização de recursos e
protocolos de autenticação e autorização podem exigir que o servidor inicie uma conexão. Como parte do processo de
projeto de rede de cima para baixo, você deve ter analisado os protocolos presentes nos locais de farm de servidores (consulte
o Capítulo 3, “Caracterizando os protocolos existentes).
Internetwork” e Capítulo 4, “Caracterização do tráfego de rede” para obter mais informações).
Os dados coletados podem ajudá-lo a determinar quais protocolos um servidor precisará permitir.
Para maximizar a segurança, tanto o software do servidor quanto o do usuário final devem ser cuidadosamente
selecionados e mantidos. Os administradores de servidores e desktops devem ser obrigados a manter-se
atualizados sobre os mais recentes truques e vírus de hackers. Bugs de segurança conhecidos em sistemas
operacionais devem ser identificados e corrigidos. Além disso, o software aplicativo deve ser selecionado com base,
em parte, na sua adesão a práticas de programação modernas e seguras. Com a criação de linguagens de
programação de alto nível mais seguras e a crescente conscientização dos programadores sobre questões
de segurança, estão disponíveis muitos aplicativos que são razoavelmente seguros. No entanto, a maior parte do
software de stock, que ainda é utilizado por muitas empresas, é vulnerável a ataques simples para destruir a sua
segurança.
Para clientes com requisitos de segurança rigorosos, os aplicativos de servidor podem incorporar criptografia. Isso
é um acréscimo a qualquer criptografia cliente/servidor usada para proteger os dados que trafegam através de
uma rede. Para proteger contra o uso não autorizado de dados, os métodos criptográficos podem proteger os
dados em uma unidade de disco. Por exemplo, os dados nas unidades de disco podem ser criptografados para
que possam ser lidos somente pelo aplicativo adequado.
Servidores de arquivos e outros servidores devem fornecer recursos de autenticação e autorização. As políticas e
procedimentos de segurança devem especificar práticas aceitas em relação às senhas: quando devem ser
usadas, como devem ser formatadas e como podem ser alteradas. Em geral, as senhas devem incluir letras e
números, ter pelo menos seis caracteres, não ser uma palavra comum e ser alteradas com frequência.
Em servidores, o conhecimento da senha root (ou equivalente não-UNIX) deve ser limitado a algumas pessoas.
Contas de convidados devem ser evitadas, se possível. Protocolos que suportam o conceito de confiança em
outros hosts devem ser usados com cautela (exemplos incluem rlogin e rsh em sistemas UNIX). Os hosts que
permitem contas de convidados e oferecem suporte a hosts confiáveis devem ser isolados de outros hosts,
se possível.
Kerberos é um sistema de autenticação que fornece segurança usuário-host para protocolos de nível de aplicativo,
como FTP e Telnet. Se solicitado pelo aplicativo, o Kerberos também pode fornecer criptografia. Kerberos depende
de um banco de dados de chaves simétricas que usa um centro de distribuição de chaves (KDC) em um servidor
Kerberos.
Protegendo os serviços do usuário
Uma política de segurança deve especificar quais aplicativos podem ser executados em PCs em rede e
restringir o download de aplicativos desconhecidos da Internet ou de outros sites. A política de segurança
também deve exigir que os PCs tenham firewall pessoal e software antivírus instalados. Os procedimentos de
segurança devem especificar como este software é instalado e mantido atualizado.
Os utilizadores devem ser incentivados a terminar a sessão nas suas sessões com os servidores quando se
ausentam das suas secretárias por longos períodos de tempo e a desligar as suas máquinas quando saem do
trabalho, para se protegerem contra pessoas não autorizadas que se aproximem de um sistema e acedam a
serviços e aplicações. Os logouts automáticos também podem ser implantados para desconectar automaticamente
uma sessão que não teve atividade por um período de tempo.
Um outro aspecto da segurança da parte do usuário final de uma rede é garantir que os usuários conectem
apenas computadores ou outros dispositivos permitidos às interfaces LAN em seus escritórios. Em particular,
uma área de preocupação são os utilizadores que ligam pontos de acesso sem fios que não estão devidamente
protegidos. Esses pontos de acesso não autorizados são às vezes chamados de pontos de acesso não
autorizados. A segurança das redes sem fio, discutida com mais detalhes na próxima seção, não deve ser
deixada para os usuários finais. Deve ser cuidadosamente planejado e implementado e não comprometido pelos
usuários que instalam seus próprios pontos de acesso sem fio.
A Cisco e outros fornecedores oferecem suporte a um padrão IEEE chamado 802.1X, que fornece segurança
baseada em portas de switch. Com o 802.1X ativado em uma porta de switch, nenhum dispositivo pode se
conectar à rede sem primeiro usar o 802.1X para autenticação. Este é um método para garantir que um usuário
não instale um dispositivo desconhecido, como um ponto de acesso sem fio.
Com este uso do 802.1X, é o ponto de acesso que é autenticado. Outro uso do 802.1X é autenticar
dispositivos clientes sem fio, como laptops. Quando uma infra-estrutura sem fio legítima está instalada, o 802.1X
não é mais necessário nas portas que conectam pontos de acesso conhecidos, mas pode ser usado para
autenticar usuários sem fio, conforme discutido posteriormente na seção “802.1X com protocolo de autenticação
extensível” do este capítulo.
Protegendo redes sem fio

As redes sem fio estão ganhando ampla popularidade em redes de campus empresariais, em filiais e em
escritórios domésticos. A maioria das organizações apoia os aumentos na produtividade e na satisfação dos
funcionários que as redes sem fio oferecem, mas ao mesmo tempo estão preocupadas com os riscos de
segurança, como deveriam estar. Nos últimos anos, foram descobertas lacunas gritantes nos métodos típicos
usados para segurança sem fio, resultando no desenvolvimento de novos métodos e modelos para fornecer
segurança em redes sem fio. Esta seção cobre primeiro algumas diretrizes gerais de design e depois inclui
informações sobre os dois tópicos a seguir:
ÿ Autenticação em redes sem fio
ÿ Privacidade de dados em redes sem fio
Conforme mencionado no Capítulo 5, é melhor colocar LANs sem fio (WLAN) em sua própria sub-rede e em sua
própria VLAN. Isto simplifica o endereçamento para estações em roaming e também melhora o gerenciamento e
a segurança. Manter todos os clientes sem fio em sua própria sub-rede facilita a configuração de filtros de
tráfego para proteger os clientes com fio contra ataques lançados na rede sem fio. Para maximizar a
flexibilidade do roaming, todas as WLANs podem ser uma única VLAN e sub-rede IP, de modo que não haja
necessidade de recuperar um novo endereço IP ao mover-se de uma área para outra. Para maximizar a
segurança, entretanto, pode ser mais sensato subdividir a WLAN em múltiplas VLANs e sub-redes IP.
Lembre-se de que os requisitos de segurança para usuários sem fio variam de acordo com o tipo de usuário.
Os convidados que visitam uma empresa podem precisar de acesso fácil à Internet, mas devem ser impedidos
de acessar a rede da empresa. Não se pode esperar que esses convidados conheçam uma chave de criptografia
ou tenham software VPN instalado. Isto é diferente do emprego
ees que desejam acesso sem fio enquanto almoçam no refeitório ou durante reuniões em salas de conferências
privadas. Espera-se que esses usuários conheçam uma chave ou tenham instalado o software VPN aprovado pela
empresa. O uso de VLANs é útil aqui. Quando
você entende os diferentes tipos de usuários e onde eles podem se movimentar, você pode dividir o
WLAN em várias VLANs e aplique políticas de segurança separadamente para cada VLAN.
Você deve implementar ACLs em pontos de acesso sem fio e em switches e roteadores com fio
que transportam tráfego originado em uma rede sem fio. As ACLs devem permitir apenas protocolos específicos,
de acordo com as políticas de segurança.
Todos os laptops sem fio (e com fio) devem ser obrigados a executar antivírus e software de firewall pessoal. Eles
também devem ser atualizados regularmente com os patches de segurança do sistema operacional mais
recentes. Dependendo dos requisitos de segurança, você também pode querer
exigem que os usuários corporativos de laptops sem fio usem software VPN para acessar a rede corporativa. A
seção final deste capítulo, “Usando software VPN em clientes sem fio”, discute o uso do software VPN IPsec
como uma opção de segurança para redes sem fio.
Autenticação em redes sem fio
Em uma LAN Ethernet com fio, um dispositivo deve estar fisicamente conectado à rede para se comunicar.
Esta característica fundamental de uma Ethernet com fio não está presente no domínio da rede sem fio.
rede, no entanto. Não há nada para conectar. O padrão IEEE 802.11 fornece um
método para dispositivos se autenticarem em um ponto de acesso sem fio, emulando assim o básico
segurança fornecida por uma rede com fio onde um usuário deve ter acesso físico a uma porta para
comunicar.
A autenticação ocorre depois que um cliente sem fio localizou um ponto de acesso com sinal suficientemente forte
e selecionou um canal. O processo de inicialização do cliente 802.11 consiste nas seguintes etapas:
Etapa 1. O cliente transmite um quadro de solicitação de sonda em cada canal.
Etapa 2. Os pontos de acesso dentro do alcance respondem com um quadro Probe Response.
Passo 3. O cliente decide qual ponto de acesso é o melhor para acesso e envia um
Quadro de solicitação de autenticação.
Etapa 4. O ponto de acesso envia um quadro de resposta de autenticação.
Etapa 5. Após a autenticação bem-sucedida, o cliente envia uma solicitação de associação

quadro para o ponto de acesso.
Etapa 6. O ponto de acesso responde com um quadro Association Response. O cliente pode
agora passe o tráfego para o ponto de acesso.
O IEEE 802.11 especifica duas formas de autenticação: chave aberta e chave compartilhada. Com aberto
autenticação, o cliente é sempre autenticado desde que o ponto de acesso tenha sido configurado para permitir
autenticação aberta. Este é o modo padrão para a maioria dos sistemas. Abrir
a autenticação pode ser considerada como autenticação nula. O cliente pede para ser autenticado
e o ponto de acesso permite a autenticação. Pode parecer inútil usar tal algoritmo, mas a autenticação aberta
tem seu lugar nas redes 802.11. A autenticação aberta é frequentemente usada para acesso de convidados, onde
seria impraticável fornecer uma chave aos usuários.
Além disso, muitos dispositivos compatíveis com 802.11 são unidades portáteis de aquisição de dados, como
leitores de código de barras. Eles não possuem os recursos de CPU necessários para algoritmos de autenticação
complexos.
Com a autenticação de chave compartilhada, uma chave estática Wired Equivalent Privacy (WEP) deve ser
configurada corretamente no cliente e no ponto de acesso. As etapas para autenticação de chave
compartilhada são as seguintes:
Etapa 1. O cliente envia uma solicitação de autenticação ao ponto de acesso solicitando

autenticação de chave compartilhada.
Etapa 2. O ponto de acesso responde com uma resposta de autenticação contendo texto de desafio.
Etapa 3. O cliente usa sua chave WEP configurada localmente para criptografar o texto do desafio
e responde com outra solicitação de autenticação.
Etapa 4. Se o ponto de acesso puder descriptografar a solicitação de autenticação e recuperar o texto de desafio
original, o cliente deverá estar usando a chave WEP correta, para que o ponto de acesso responda
com uma resposta de autenticação que conceda acesso ao cliente.
Em agosto de 2001, os criptoanalistas Fluhrer, Mantin e Shamir determinaram que uma chave WEP pode ser
derivada pela coleta passiva de quadros específicos de uma LAN sem fio.
Pesquisadores da AT&T e da Rice University e os desenvolvedores do aplicativo AirSnort implementaram a
vulnerabilidade e verificaram que chaves WEP de 64 ou 128 bits podem ser derivadas após apenas 4 milhões
de quadros. Para LANs sem fio de alto uso, isso significa cerca de 4 horas até que uma chave WEP de 128 bits
possa ser derivada.
Além da vulnerabilidade do WEP a ataques passivos, o WEP também é vulnerável à derivação indutiva de chave,
que é o processo de derivar uma chave coagindo informações da LAN sem fio. Os ataques man-in-the-middle,
uma forma de derivação indutiva de chave, são eficazes em redes 802.11 devido à falta de integridade eficaz
das mensagens. O receptor de um quadro não pode verificar se o quadro não foi violado durante sua transmissão.
A chave WEP compartilhada, conforme especificado pelo IEEE 802.11, é uma chave estática. Se a chave for
descoberta por um usuário não autorizado, ela deverá ser alterada nos pontos de acesso e em cada cliente individual.
Os invasores podem descobrir a chave de várias maneiras, incluindo espionagem em vários pacotes, mas
também usando métodos mais simples, como pedir a chave a usuários ingênuos ou roubar os laptops dos
usuários onde a chave está configurada.
A especificação 802.11 estipula apenas os dois mecanismos para autenticação de dispositivos sem fio que já
foram discutidos: autenticação aberta e autenticação de chave compartilhada. Outros mecanismos que também
são comumente usados incluem a configuração de um Service Set Identifier (SSID) não publicado,
autenticando dispositivos por seu cliente Media Access Control
(MAC) e usando 802.1X com o Extensible Authentication Protocol (EAP).

Eles são descritos nas próximas três seções.
Usando um identificador de conjunto de serviços não
publicado Cada WLAN possui um SSID que a identifica. Para obter acesso a uma LAN sem fio, o
cliente deve saber o SSID correto. Alguns administradores de rede confiam nisso como um método de
segurança, mesmo que não autentique verdadeiramente o cliente e não forneça nenhuma privacidade de
dados. Além disso, um bisbilhoteiro pode determinar facilmente o SSID com o uso de um analisador de
protocolo sem fio. O SSID é anunciado em texto simples em mensagens de beacon enviadas pelo ponto
de acesso.
Alguns fornecedores de pontos de acesso, incluindo a Cisco, oferecem a opção de desabilitar transmissões
SSID em mensagens de beacon, mas isso não oferece muita proteção. O SSID ainda pode ser determinado
analisando quadros de resposta de sonda de um ponto de acesso. Além disso, desabilitar transmissões
SSID pode ter um efeito adverso na interoperabilidade sem fio para implantações de fornecedores
mistos. Portanto, a maioria dos especialistas não recomenda o uso do SSID como modo de segurança.
Autenticação de endereço MAC
A autenticação de endereço MAC verifica o endereço MAC de um cliente em relação a uma lista
configurada de endereços permitidos. A autenticação de endereço MAC é usada para aumentar as
autenticações de chave aberta e compartilhada fornecidas pelo 802.11, reduzindo ainda mais a
probabilidade de dispositivos não autorizados acessarem a rede. Dependendo do ponto de acesso, a lista
de endereços MAC pode ser configurada localmente no ponto de acesso ou o ponto de acesso pode usar
um protocolo de autenticação como RADIUS e um servidor de autenticação externo. Um servidor é útil
para instalações grandes onde seria difícil configurar pontos de acesso individuais. Se for utilizado um
servidor, a redundância deve ser considerada para que o servidor não se torne um ponto único de falha.
Os endereços MAC são enviados como texto não criptografado de acordo com a especificação 802.11.
Como resultado, em LANs sem fio que usam autenticação de endereço MAC, um invasor de rede poderá
subverter o processo de autenticação MAC falsificando um endereço MAC válido. Os invasores de rede
podem usar um analisador de protocolo para determinar endereços MAC válidos que estão sendo usados
na rede e alterar suas próprias NICs sem fio para usar esse endereço (em NICs que suportam a
alteração do endereço MAC).
A autenticação de endereço MAC exige muito trabalho. Um administrador de rede deve saber o endereço
de cada NIC permitida e configurá-lo no ponto de acesso ou servidor. Além disso, como mencionado, os
hackers podem contornar a autenticação de endereço MAC alterando seu próprio endereço para
corresponder a um endereço permitido. Portanto, a maioria dos especialistas não recomenda confiar na
autenticação de endereço MAC como único modo de segurança.
802.1X com protocolo de autenticação extensível
IEEE 802.1X especifica um método para autenticar e autorizar um dispositivo conectado a uma porta LAN.
É usado tanto em switches com fio quanto em pontos de acesso sem fio (onde o “anexo” não é físico).
O 802.1X fornece suporte opcional para uso de um servidor de autenticação, como um servidor RADIUS,
recomendado para instalações maiores.
O 802.1X é extensível e oferece suporte a uma variedade de algoritmos de autenticação. As mais

comuns são variedades de EAP, que é um padrão IETF, documentado na RFC 2284. Com 802.1X
e EAP, os dispositivos assumem uma das três funções:
ÿ O suplicante reside no cliente de LAN sem fio.
ÿ O autenticador reside no ponto de acesso.
ÿ Um servidor de autenticação reside em um servidor RADIUS.
Quando 802.1X e EAP são implementados, um cliente associado a um ponto de acesso não
pode usar a rede até que o usuário seja autenticado. Após a associação, o cliente e a rede (ponto
de acesso ou servidor RADIUS) trocam mensagens EAP para realizar a autenticação. Um suplicante
EAP no cliente obtém credenciais do usuário, que podem ser um ID de usuário e uma senha, um ID
de usuário e uma senha de uso único ou um certificado digital. As credenciais são passadas para o
autenticador ou servidor e uma chave de sessão é desenvolvida.
Com 802.1X e EAP, os tempos limite de sessão forçam um cliente a se autenticar novamente para
manter a conectividade de rede. Embora a reautenticação seja transparente para o cliente, o
processo de reautenticação gera novas chaves WEP a cada intervalo de reautenticação. Isto é
importante para mitigar ataques de derivação de chaves estatísticas e é um aprimoramento crítico
do WEP. Uma desvantagem do 802.1X com EAP, entretanto, é que a reautenticação pode causar
algum atraso, quando comparada ao uso de uma chave WEP estática. Isso pode causar problemas
para usuários que utilizam dispositivos sensíveis a atrasos, como telefones 802.11.
Observe que o EAP autentica usuários. Enquanto a autenticação 802.11 é baseada em dispositivos,
o EAP baseia-se na autenticação de um usuário e não em um dispositivo LAN sem fio. Isso evita os
problemas causados pelo roubo de um laptop usando uma chave WEP estática, o que permitiria ao
ladrão acessar a rede e provavelmente resultaria na necessidade de um administrador de rede alterar
a chave WEP nos pontos de acesso afetados e em todos os clientes. O EAP gera material de
codificação exclusivo para cada usuário. Isso alivia os administradores de rede do fardo de
gerenciar chaves estáticas. O EAP também suporta autenticação mútua, o que permite que um
cliente tenha certeza de que está se comunicando com o servidor de autenticação pretendido.
Selecionar a implementação correta do EAP pode ser um processo desafiador devido ao grande
número de opções. Os nomes engraçados, como LEAP e PEAP, não ajudam em nada.
Você deve acertar isso. O suplicante, o autenticador e o servidor de autenticação devem suportar
a mesma variedade de EAP, que é provavelmente um dos seguintes:
ÿ EAP leve (LEAP): Desenvolvido pela Cisco e às vezes chamado de EAP-Cisco.

A Cisco licencia o LEAP para outros fornecedores, incluindo Apple Computer e Intel. LEAP
suporta autenticação baseada em usuário e chaves WEP dinâmicas que são geradas após a
autenticação e quando ocorre o tempo limite da sessão. A autenticação do usuário é baseada
no logon do usuário no Windows, o que significa que o usuário não precisa fornecer
informações adicionais de logon para acessar a rede sem fio, o que torna o LEAP fácil de usar.
LEAP suporta autenticação mútua, o que significa que o cliente autentica o servidor e o servidor
autentica o cliente. Isso é importante para garantir que o cliente fale com um servidor autorizado
e não com um hacker se passando por servidor.
ÿ EAP-Transport Layer Security (EAP-TLS): Desenvolvido pela Microsoft e está documentado na RFC
2716. A Microsoft oferece suporte a EAP-TLS em todas as versões do Windows XP e lançou um
cliente Windows 2000 gratuito. Assim como o LEAP, o EAP-TLS suporta autenticação mútua, chaves
dinâmicas e tempos limite de sessão. EAP-TLS requer certificados para clientes e servidores. Por
causa disso, alguns usuários consideram o EAP da Microsoft mais seguro do que outros EAPs. No
entanto, o requisito de certificado também significa que o EAP TLS precisa de gerenciamento de
certificados, como o uso de uma autoridade de certificação confiável e a capacidade de revogar
certificados rapidamente.
ÿ EAP-Tunneled TLS (EAP-TTLS): Desenvolvido pela Funk e Certicom e depois entregue à IETF, onde é
atualmente (no momento em que este livro foi escrito) um rascunho da Internet baseado em padrões.
EAP-TTLS é um aprimoramento do EAP-TLS, com suporte para métodos avançados de autenticação,
como cartões token. Vários fornecedores assinaram contrato para oferecer suporte ao EAP-TTLS.
ÿ EAP protegido (PEAP): compatível com Cisco, Microsoft e RSA Security. Como
LEAP e EAP-TLS, PEAP suporta autenticação mútua, chaves dinâmicas e tempos limite de sessão.
PEAP usa um certificado para o cliente autenticar o servidor RADIUS. O servidor usa uma senha
de uso único ou um nome de usuário e senha para autenticar o cliente. Quando o cliente valida o
certificado do servidor, ele constrói um túnel criptografado e então usa EAP no túnel para autenticar. O
PEAP é mais gerenciável e escalável que o EAP-TLS. As organizações podem evitar a instalação de
certificados digitais em cada máquina cliente, conforme exigido pelo EAP-TLS, e selecionar o método
de autenticação do cliente que melhor lhes convém.
ÿ EAP-MD5: Não possui recursos de gerenciamento de chaves ou geração dinâmica de chaves. Embora o
EAP-MD5 seja suportado em muitas plataformas, ele provavelmente será eliminado da maioria das
redes sem fio porque apresenta poucos benefícios em relação ao WEP.
Privacidade de dados em redes sem fio

As seções anteriores discutiram métodos para autenticar um dispositivo sem fio (ou o usuário de um dispositivo
sem fio). Outro requisito importante para redes sem fio é a privacidade dos dados.
O padrão IEEE 802.11 original especificava WEP como método de criptografia de dados para atender aos
requisitos de privacidade. Infelizmente, o WEP demonstrou ser ineficaz como mecanismo de privacidade
de dados devido às muitas maneiras de comprometê-lo. A Cisco e outros fornecedores implementaram
muitas melhorias no WEP, que o IEEE padronizou como parte de seu padrão IEEE 802.11i.
Um conjunto de melhorias que aborda as deficiências do WEP é conhecido como Temporal Key Integrity
Protocol (TKIP). O TKIP fornece o seguinte:
ÿ Uma verificação de integridade de mensagem (MIC), que fornece autenticidade de quadro eficaz para
mitigar vulnerabilidades man-in-the-middle
ÿ Chaveamento por pacote, que fornece a cada quadro uma chave WEP nova e exclusiva que mitiga ataques
de derivação de chave WEP
Além do TKIP, o IEEE reconheceu a necessidade de mecanismos de criptografia mais fortes e adotou
o uso do Advanced Encryption Standard (AES) para a seção de privacidade de dados do padrão
802.11i. O desenvolvimento do AES foi facilitado pelo Instituto Nacional de Padrões e Tecnologia (NIST),
que solicitou à comunidade criptográfica novos algoritmos de criptografia. Os algoritmos tiveram que ser
totalmente divulgados e disponibilizados sem royalties. O NIST julgou os candidatos com base na
força criptográfica, bem como na implementação prática. O método finalista e adotado é conhecido
como algoritmo Rijndael. O algoritmo Rijndael fornece uma variedade de tamanhos de chave,
incluindo 128, 192 e 256 bits.
Acesso protegido por Wi-Fi
Outro desenvolvimento relacionado ao 802.11i e à segurança sem fio é o Wi-Fi Protected Access
(WPA). WPA é um subconjunto do padrão 802.11i adotado pela Wi-Fi Alliance. A Wi-Fi Alliance é uma
associação internacional sem fins lucrativos formada em 1999 para certificar a interoperabilidade de
produtos sem fio baseados nas especificações IEEE 802.11.
A Wi-Fi Alliance introduziu o WPA porque o 802.11i ainda não foi ratificado e também porque se
esperava que o 802.11i incluísse especificações que eventualmente exigiriam atualizações de
hardware para alguns dispositivos. A Wi-Fi Alliance decidiu introduzir um subconjunto de especificações
que fosse estável e pudesse ser alcançado por meio de atualizações de software.
WPA usa 802.1X com EAP para autenticação e TKIP para criptografia de dados. Para redes corporativas,
o WPA deve ser usado com um servidor de autenticação, como um servidor RADIUS, para fornecer
controle e gerenciamento de acesso centralizados. Em escritórios pequenos e domésticos, o WPA
permite o uso de chaves ou senhas inseridas manualmente. O usuário de pequeno escritório ou
escritório doméstico insere uma senha (também chamada de chave mestra ou chave pré-compartilhada)
no ponto de acesso e em cada cliente, e o WPA assume o controle a partir daí. A senha garante que
apenas dispositivos com uma senha correspondente possam ingressar na rede. Inserir uma senha
correta também inicia o processo de criptografia TKIP.
Em algumas configurações, uma opção WPA1 é diferenciada de uma opção WPA2. WPA1 usa TKIP
e é anterior ao 802.11i. WPA2 usa AES e é compatível com 802.11i. Outra distinção é WPA Personal
versus WPA Enterprise. O WPA Personal usa chaves pré-compartilhadas e é apropriado para redes
domésticas ou de pequenos escritórios. WPA Enterprise usa um servidor RADIUS e é apropriado para
redes empresariais maiores.
Usando software VPN em clientes sem fio Embora EAP
e WPA resolvam muitos dos problemas com WEP, eles podem ser difíceis de implementar, especialmente
em ambientes de vários fornecedores. Outra opção para clientes com grande necessidade de proteger a
confidencialidade dos dados é usar software VPN nos clientes sem fio.
Com esta solução, os clientes chegam à rede do campus conectando-se a um concentrador VPN. O
software VPN que usa IPsec tem muitas vantagens, incluindo criptografia Triple Data Encryption
Standard (3DES), suporte para senha única e suporte para políticas por usuário.
Quando o software VPN é instalado, os clientes WLAN ainda se associam a um ponto de acesso
sem fio para estabelecer conectividade na Camada 2. Os clientes então estabelecem conectividade na
Camada 3 usando DHCP e DNS. Os clientes estabelecem um túnel VPN para um concentrador VPN
para comunicar de forma segura com a rede do campus.
A rede sem fio deve ser considerada uma rede não confiável, adequada apenas como rede de trânsito
para tráfego IPsec, uma vez estabelecido um túnel VPN. Para isolar a rede sem fio não confiável, os
administradores devem colocar os usuários da WLAN em sua própria VLAN. Os clientes sem fio
também devem executar um software de firewall pessoal para protegê-los enquanto estiverem
conectados à rede WLAN não confiável, sem a proteção do IPsec.
Outro mecanismo de proteção é um recurso chamado Publicly Secure Packet Forwarding (PSPF),
que evita que clientes WLAN no mesmo ponto de acesso se comuniquem entre si (ou ataquem uns
aos outros). O PSPF fornece acesso à Internet aos clientes sem fornecer outros serviços típicos de
LAN, como a capacidade de compartilhar arquivos.
Para minimizar as ameaças à segurança, você deve configurar o ponto de acesso sem fio para
permitir apenas os protocolos necessários para estabelecer um túnel seguro para um concentrador VPN.
Esses protocolos incluem DHCP para configuração inicial do cliente, DNS para resolução de nomes
e protocolos específicos de VPN IPsec – protocolo IP 50 para ESP e porta UDP 500 para IKE. (O
tráfego DNS só será necessário se o cliente VPN acessar o gateway VPN pelo nome.)
Apesar da garantia de privacidade de dados fornecida pelo IPsec, uma solução VPN IPsec para
segurança sem fio tem algumas desvantagens. Por exemplo, alguns softwares VPN exigem que o
usuário inicie o software e forneça informações adicionais de logon antes de acessar a rede do campus.
O roaming de uma área para outra pode exigir a aquisição de um novo endereço IP ou de uma
solução IP móvel. Além disso, quando a criptografia 3DES é fornecida no software, os usuários podem
notar uma degradação no desempenho.
Em geral, a VPN IPsec em uma rede sem fio tem as mesmas desvantagens que tem em redes
com fio, incluindo menor facilidade de uso e desempenho, complexidade de configuração, necessidade
de instalação de software local nos computadores clientes, problemas de interoperabilidade com vários
aplicativos, a falta de suporte para aplicativos multicast e o fato de o IPsec ser uma solução somente IP.
Além disso, os dispositivos portáteis, incluindo telefones 802.11, podem não suportar IPsec.
Compreender as necessidades das diversas comunidades de usuários e suas aplicações irá ajudá-lo a
decidir se o IPsec deve ser exigido em vez de (ou além) das medidas de segurança sem fio discutidas
nas seções anteriores. Determinar o tamanho das comunidades de usuários sem fio e o volume de
tráfego que elas gerarão também é importante. Muitas soluções VPN foram projetadas para lidar com
um pequeno número de usuários remotos, em vez de um grande número de usuários sem fio
transitórios. Uma análise do fluxo e do volume de tráfego pode ser necessária para determinar se uma
solução VPN será dimensionada para suportar seus usuários sem fio.
Resumo
Este capítulo forneceu informações para ajudá-lo a selecionar métodos para atender às metas de segurança de
rede de um cliente. A segurança é uma grande preocupação para a maioria dos clientes devido ao aumento da
conectividade e das aplicações da Internet e porque cada vez mais utilizadores acedem às redes empresariais
a partir de locais remotos e de dispositivos sem fios. Além disso, ao mesmo tempo que as empresas se tornaram
mais dependentes das suas redes, o número de ataques às redes aumentou.
As tarefas envolvidas no projeto de segurança são paralelas às tarefas envolvidas no projeto geral da rede. É
importante analisar requisitos, desenvolver políticas e considerar compensações antes de selecionar tecnologias
e produtos reais para atender às necessidades de segurança dos vários usuários de uma rede corporativa. A rede
deve ser considerada um sistema modular que requer segurança para muitos componentes, incluindo ligações à
Internet, redes de acesso remoto, serviços de rede, serviços ao utilizador final e redes sem fios. Para
proteger a rede, você deve desenvolver estratégias, procedimentos e implementações em múltiplas camadas que
forneçam defesa de segurança em profundidade.
1. Qual é a diferença entre um plano de segurança e uma política de segurança? Como esses dois se relacionam?
2. Pessoas que são novas em segurança muitas vezes assumem que segurança significa simplesmente criptografia.
Por que esta é uma suposição ingênua? Quais são alguns outros aspectos de segurança que são tão
importantes quanto a criptografia?
3. Liste e descreva brevemente quatro compensações que muitas vezes devem ser feitas para alcançar uma boa
segurança de rede.
4. Pesquise um caso que tenha sido notícia nos últimos anos, onde ocorreu uma grande violação de segurança em
uma rede sem fio. Encontre um caso em que os invasores entraram pela rede sem fio, mas depois
penetraram mais profundamente na rede, resultando em graves danos econômicos ou políticos à
organização vítima. Escreva dois ou três parágrafos sobre o que você encontrou.
Cenário de projeto
Nos capítulos anteriores, você foi solicitado a fazer alguns trabalhos de design para o ElectroMyCycle.
Durante todo esse processo, você teve em mente os requisitos de segurança, é claro, mas agora chegou
a hora de focar na segurança.
1. Quais são os ativos mais importantes da ElectroMyCycle que devem ser protegidos com mecanismos
de segurança?
2. Quais são os maiores riscos de segurança que a ElectroMyCycle enfrenta?
3. Projete uma política de segurança de alto nível para ElectroMyCycle.
4. Descreva como você conseguirá a adesão das principais partes interessadas para sua segurança
política.
Capítulo 9
Rede em desenvolvimento
Estratégias de Gestão
Este capítulo conclui a discussão do projeto de rede lógica. O gerenciamento de rede é um dos aspectos
mais importantes do projeto de rede lógica. A gestão é muitas vezes negligenciada durante a concepção
de uma rede porque é considerada uma questão operacional e não uma questão de concepção.
Entretanto, se você considerar o gerenciamento desde o início, poderá evitar problemas de escalabilidade e
desempenho que ocorrem quando o gerenciamento é adicionado a um design após a conclusão do design.
Um bom projeto de gerenciamento de rede pode ajudar uma organização a atingir metas de
disponibilidade, desempenho e segurança. Processos eficazes de gerenciamento de rede podem
ajudar uma organização a medir até que ponto as metas de projeto estão sendo atendidas e a ajustar os
parâmetros da rede caso essas metas não estejam sendo atendidas. O gerenciamento de rede também
facilita o cumprimento das metas de escalabilidade porque pode ajudar uma organização a analisar
o comportamento atual da rede, aplicar atualizações adequadamente e solucionar quaisquer problemas
com atualizações. O objetivo deste capítulo é ajudá-lo a trabalhar com seu cliente de projeto de rede no
desenvolvimento de estratégias de gerenciamento e a selecionar as ferramentas e os produtos certos para
implementar as estratégias.
Projeto de gerenciamento de rede

Abordar o projeto de gerenciamento de rede da mesma forma que você aborda qualquer projeto de design é
uma boa ideia. Pense na escalabilidade, nos padrões de tráfego, nos formatos de dados e nas compensações
de custo/benefício. Os sistemas de gerenciamento de rede podem ser caros. Eles também podem ter um
efeito negativo no desempenho da rede.
Preste atenção ao princípio da incerteza de Heisenberg, que afirma que o ato de observar algo pode
alterar o que é observado. Alguns sistemas de gerenciamento de rede consultam estações remotas
regularmente. A quantidade de tráfego causado pela votação pode ser significativa. Você deve analisar os
requisitos do seu cliente para temporizadores de polling e não usar arbitrariamente os padrões de um sistema
de gerenciamento de rede.
Trabalhe com seu cliente para descobrir quais recursos devem ser monitorados e as métricas a
serem usadas ao medir o desempenho dos dispositivos. Escolha cuidadosamente os dados a serem
coletados. Salvar muitos dados pode resultar na necessidade de um supercomputador processar e
armazenar os dados. Por outro lado, tome cuidado para não jogar fora tantos dados que você não
possa usar os dados restantes para gerenciar a rede.
Planeje cuidadosamente o formato em que os dados devem ser salvos. Você deve tentar usar formatos
de dados de uso geral. Suponha que os dados coletados possam ser usados para aplicações diferentes
daquelas que você tem em mente. Como Kathryn Cramer diz em seu livro Roads Home: Seven
Pathways to Midlife Wisdom: “Permaneça aberto a possibilidades diferentes das que foram imaginadas”.
Gerenciamento proativo de rede

Ao ajudar seu cliente a projetar estratégias de gerenciamento de rede, você deve incentivar a prática
do gerenciamento proativo de rede. À medida que mais empresas reconhecem a importância
estratégica das suas redes, elas colocam mais ênfase na gestão proativa. O gerenciamento proativo
significa verificar a integridade da rede durante a operação normal para reconhecer possíveis
problemas, otimizar o desempenho e planejar atualizações.
As empresas que praticam uma gestão proativa coletam estatísticas e realizam testes, como medições
de tempo de resposta, rotineiramente. As estatísticas e os resultados dos testes podem ser usados
para comunicar tendências e a integridade da rede ao gerenciamento e aos usuários. Os gerentes
de rede podem escrever relatórios mensais ou trimestrais que documentem a qualidade do serviço de
rede entregue no último período, medida em relação às metas de serviço. Os objetivos do serviço
são definidos pelo projeto da rede: disponibilidade, tempo de resposta, rendimento, usabilidade e assim
por diante.
Se o seu cliente de design de rede planeja implementar um gerenciamento de rede proativo, o que
você deve incentivar, considere esse objetivo ao projetar uma estratégia de gerenciamento de rede
para seu cliente. O gerenciamento proativo da rede é desejável, mas pode exigir que as ferramentas
e os processos de gerenciamento da rede sejam mais sofisticados do que o gerenciamento reativo da
rede. No entanto, essa compensação pode ser justificada com menos tempo de inatividade.
Processos de gerenciamento de rede

O Capítulo 2, “Analisando Metas Técnicas e Compensações”, falou sobre a análise das metas de
um cliente para a capacidade de gerenciamento de uma rede. Em geral, a maioria dos clientes tem
necessidade de desenvolver processos de gerenciamento de rede que possam ajudá-los a gerenciar a
implementação e operação da rede, diagnosticar e corrigir problemas, otimizar o desempenho e
planejar melhorias.
A Organização Internacional de Padronização (ISO) define cinco tipos de processos de gerenciamento

de rede, que são frequentemente chamados pela sigla FCAPS:
Capítulo 9: Desenvolvendo Estratégias de Gerenciamento de Rede 265
ÿ Gerenciamento de falhas
ÿ Gerenciamento de configuração
ÿ Gestão contábil
ÿ Gestão de desempenho
ÿ Gerenciamento de segurança
Gerenciamento de falhas
O gerenciamento de falhas refere-se à detecção, isolamento, diagnóstico e correção de problemas.

Também inclui processos para relatar problemas aos usuários finais e gerentes e rastrear tendências
relacionadas aos problemas. Em alguns casos, o gerenciamento de falhas significa desenvolver
soluções alternativas até que o problema possa ser resolvido.
Os usuários da rede esperam uma resolução de falhas rápida e confiável. Eles também esperam ser
mantidos informados sobre os problemas atuais e receber um prazo para resolução. Depois que um
problema é resolvido, eles esperam que o problema seja testado e documentado em algum tipo de banco de
dados de rastreamento de problemas. Existe uma variedade de ferramentas para atender a esses
requisitos de gerenciamento de falhas, incluindo ferramentas de monitoramento que alertam os gerentes
sobre problemas, analisadores de protocolo para resolução de falhas e software de suporte técnico para
documentar problemas e alertar os usuários sobre problemas. As ferramentas de monitoramento
geralmente são baseadas nos padrões Simple Network Management Protocol (SNMP) e Remote Monitoring
(RMON), que são abordados com mais detalhes posteriormente neste capítulo.
A maioria dos sistemas operacionais fornece um meio para o sistema e seus processos em execução
reportarem falhas a um gerente de rede. Os dispositivos Cisco produzem mensagens syslog como resultado
de eventos de rede. Cada mensagem syslog contém um carimbo de data/hora, nível e recurso. Os níveis de
syslog são os seguintes:
ÿ Emergência (nível 0, o nível mais grave)
ÿ Alerta (nível 1)
ÿ Crítico (nível 2)
ÿ Erro (nível 3)
ÿ Aviso (nível 4)
ÿ Aviso (nível 5)
ÿ Informativo (nível 6)
ÿ Depuração (nível 7)
As mensagens syslog são enviadas por padrão para o roteador Cisco ou console do switch. Os
dispositivos de rede podem ser configurados para enviar mensagens syslog para uma estação de gerenciamento
de rede ou um host de rede remoto no qual um analisador syslog está instalado. Um analisador de syslog
aplica filtros e envia apenas um subconjunto predefinido de todas as mensagens de syslog para uma estação
de gerenciamento de rede. Isto economiza largura de banda e também reduz a quantidade de informações
que um administrador de rede deve analisar.
Gerenciamento de configurações
O gerenciamento de configuração ajuda um gerente de rede a acompanhar os dispositivos de rede e
manter informações sobre como os dispositivos são configurados. Com o gerenciamento de configuração,
um gerente de rede pode definir e salvar uma configuração padrão para dispositivos semelhantes,
modificar a configuração padrão para dispositivos específicos e carregar a configuração em dispositivos.
O gerenciamento de configuração também permite que um gerente mantenha um inventário dos ativos
da rede e faça o registro de versões. O registro de versão refere-se ao controle da versão dos sistemas
operacionais ou aplicativos em execução nos dispositivos de rede. O inventário de ativos de rede
também pode incluir informações sobre a configuração de hardware dos dispositivos, como a
quantidade de RAM, o tamanho da memória flash e o tipo de cabeamento usado pelos dispositivos.
O gerenciamento de configuração facilita o gerenciamento de mudanças. No passado, os

administradores de rede gastavam muito tempo lidando com configurações para novos funcionários e
alterações de configuração para funcionários que se mudavam. Atualmente, os protocolos de
configuração dinâmica, como o Dynamic Host Configuration Protocol (DHCP), liberam tempo de
gerenciamento para tarefas mais estratégicas do que movimentações, adições e alterações. Um
protocolo como o VLAN Trunking Protocol (VTP) também é benéfico porque atualiza automaticamente os
switches com informações da VLAN.
Gerenciamento de conta
O gerenciamento contábil facilita o faturamento baseado no uso, em que departamentos ou projetos
individuais são cobrados pelos serviços de rede. Mesmo nos casos em que não há troca de dinheiro,
a contabilização do uso da rede pode ser útil para capturar departamentos ou indivíduos que “abusam”
da rede. O abuso pode ser intencional (por exemplo, um funcionário ou ex-funcionário descontente
causando problemas na rede) ou não intencional. (As pessoas que jogam jogos em rede não pretendem
prejudicar a rede, mas mesmo assim podem causar tráfego excessivo.) Uma razão prática para
acompanhar o crescimento inesperado do tráfego é que o tráfego possa ser considerado durante a
próxima fase de planejamento de capacidade.
Gestão de Desempenho
De acordo com a ISO, a gestão de desempenho permite medir o comportamento e a eficácia da
rede. O gerenciamento de desempenho inclui examinar o aplicativo de rede e o comportamento do
protocolo, analisar a acessibilidade, medir o tempo de resposta e registrar alterações na rota da
rede. O gerenciamento de desempenho facilita a otimização de uma rede, o cumprimento dos acordos
de nível de serviço (SLA) e o planejamento da expansão. O monitoramento do desempenho envolve
a coleta de dados, o processamento de alguns ou todos os dados, a exibição dos dados processados
e o arquivamento de alguns ou de todos os dados.
Você deve monitorar dois tipos de desempenho:
ÿ Desempenho de ponta a ponta: Mede o desempenho em uma rede interligada. Pode

medir disponibilidade, capacidade, utilização, atraso, variação de atraso, rendimento,
acessibilidade, tempo de resposta, erros e intermitência do tráfego.
ÿ Desempenho dos componentes: mede o desempenho de links ou dispositivos individuais.

Por exemplo, o rendimento e a utilização em um determinado segmento de rede podem ser
medido. Além disso, roteadores e switches podem ser monitorados quanto à taxa de transferência
(pacotes por segundo), uso de memória e CPU e erros.
O gerenciamento de desempenho geralmente envolve pesquisar partes remotas da rede para testar
acessibilidade e medir os tempos de resposta. As medições de tempo de resposta consistem no envio de um
pacote de ping e na medição do tempo de ida e volta (RTT) para enviar o pacote e recebê-lo.
uma resposta. O pacote de ping é na verdade um Internet Control Message Protocol (ICMP)
pacote de eco.
Em grandes redes, os estudos de acessibilidade e RTT podem ser impraticáveis. Por exemplo, em um
rede com 10.000 dispositivos, alguns sistemas de gerenciamento de rede disponíveis comercialmente
levar horas para pesquisar os dispositivos, causar tráfego de rede significativo e salvar mais dados do que
um humano pode processar. Trabalhe com seu cliente para reduzir as metas de acessibilidade
e estudos RTT se os objectivos não forem realistas.
Outro processo de gerenciamento de desempenho é usar analisadores de protocolo ou ferramentas SNMP para
registrar cargas de tráfego entre fontes e destinos importantes. O objetivo é documentar os megabytes por
segundo entre pares de sistemas autônomos, redes, hosts,
ou aplicativos. A documentação de carga de tráfego de origem/destino é útil para planejamento de capacidade,
solução de problemas e para descobrir quais roteadores devem ser pares em protocolos de roteamento que
usam um sistema de peering, como o Border Gateway Protocol (BGP). Os dados de carga de tráfego de
origem/destino também são úteis se um SLA incluir requisitos de taxa de transferência.
O gerenciamento de desempenho pode incluir processos para registrar mudanças nas rotas entre
estações. O rastreamento de alterações de rota pode ser útil para solucionar problemas de acessibilidade e
desempenho. Uma maneira de documentar alterações de rota é usar pacotes de eco ICMP
com a opção de rota de registro IP ativada. Esteja ciente de que ativar a rota de gravação
no entanto, essa opção pode distorcer as medições RTT. A opção record-route faz com que cada
roteador coloque seu endereço no campo de opções do cabeçalho IP, o que pode causar tempo extra de
processamento. (Não se esqueça do princípio da incerteza de Heisenberg!) Planeje a mudança de rota
estudos separadamente das análises RTT. Outra forma de estudar mudanças de rota é com o tracer out.
Traceroute não é confiável, no entanto.
Nota Traceroute determina o caminho de roteamento IP para um dispositivo remoto. Com UNIX e
Sistemas operacionais Cisco IOS, um pacote traceroute é um User Datagram Protocol (UDP)
Pacote de “sonda” enviado para um número de porta alto, na faixa de 33.000 a 43.000. Os sistemas operacionais
da Microsoft enviam um ping em vez de um pacote UDP. Traceroute funciona aproveitando
da mensagem de erro ICMP que um roteador gera quando um pacote excede seu tempo de vida
(TTL). TTL é um campo no cabeçalho IP de um pacote IP.
Traceroute começa enviando uma sonda UDP ou pacote de ping com um TTL de 1. Isso faz com que o
primeiro roteador no caminho para descartar o pacote e enviar de volta uma mensagem ICMP com tempo
excedido (TTL excedido). Traceroute então envia vários pacotes, aumentando o TTL em um após
alguns pacotes foram enviados em cada valor TTL. Por exemplo, ele envia alguns pacotes com
TTL igual a 1, depois alguns pacotes com TTL igual a 2, depois alguns pacotes com TTL igual a 3 e assim por
diante, até que o host de destino seja alcançado.
Cada roteador no caminho diminui o TTL. O roteador que diminui o TTL para 0 envia de volta a mensagem de
tempo excedido (TTL excedido). O host de destino final envia de volta uma resposta de ping (se o remetente
estiver usando um sistema operacional Microsoft) ou uma mensagem ICMP de destino inacessível
(porta inacessível) (se o remetente estiver usando UNIX ou Cisco IOS), porque o número de porta UDP alto
é não é um porto bem conhecido. Este processo permite que um usuário veja uma mensagem de cada
roteador no caminho até o destino e uma mensagem do destino.
Infelizmente, o traceroute não é confiável. Alguns roteadores não enviam de volta mensagens com tempo
excedido, ou porque simplesmente não estão programados para fazê-lo ou porque estão configurados para
limitar a taxa de ICMP ou bloquear o ICMP por motivos de segurança. Alguns roteadores usam incorretamente
o TTL do pacote recebido para enviar a mensagem de tempo excedido, o que não funciona. Além disso, alguns
sistemas não enviam a mensagem de porta inacessível, o que significa que o traceroute espera muito
tempo antes de atingir o tempo limite. Finalmente, alguns provedores de serviços alteram propositalmente os
resultados do traceroute para ocultar saltos internos, de modo que os usuários pensem que os caminhos dos
provedores devem ser mais curtos que os caminhos dos concorrentes.
Gerenciamento de segurança O
gerenciamento de segurança permite que um gerente de rede mantenha e distribua senhas e outras
informações de autenticação e autorização. O gerenciamento de segurança também inclui processos para
geração, distribuição e armazenamento de chaves de criptografia. Também pode incluir ferramentas e
relatórios para analisar um grupo de configurações de roteadores e switches quanto à conformidade com os
padrões de segurança do site.
Um aspecto importante do gerenciamento de segurança é um processo de coleta, armazenamento e

exame de logs de auditoria de segurança. Os logs de auditoria devem documentar logins e logouts (mas
não salvar senhas) e tentativas de pessoas alterarem seu nível de autorização.
A coleta de dados de auditoria pode resultar em um rápido acúmulo de dados. O armazenamento necessário
pode ser minimizado mantendo os dados por um curto período de tempo e resumindo-os. Uma desvantagem
de manter menos dados, entretanto, é que fica mais difícil investigar incidentes de segurança. Compactar
os dados, em vez de manter menos dados, costuma ser uma solução melhor. Também é uma boa ideia
criptografar os logs de auditoria. Um hacker que acessa os logs de auditoria pode causar muitos danos a
uma rede se o log de auditoria não estiver criptografado. O hacker pode alterar o log sem detecção e também
coletar informações confidenciais do log.
Existem diversas ferramentas para manter logs de segurança, incluindo Event Viewer em sistemas
Windows e syslog em dispositivos UNIX e Cisco IOS. A maioria dos sistemas operacionais contemporâneos,
incluindo Windows, Solaris, Mac OS X e FreeBSD, suportam registro de eventos de auditoria devido aos
requisitos dos Critérios Comuns para Avaliação de Segurança de Tecnologia da Informação, um padrão
internacional para certificação de segurança de computadores.
Arquiteturas de gerenciamento de rede

Esta seção discute algumas decisões típicas que devem ser tomadas ao selecionar uma arquitetura de
gerenciamento de rede. Uma arquitetura de gerenciamento de rede consiste em três componentes principais:
ÿ Um dispositivo gerenciado: um nó de rede que coleta e armazena informações de gerenciamento

ção. Os dispositivos gerenciados podem ser roteadores, servidores, switches, pontes, hubs, sistemas finais
ou impressoras.
ÿ Um agente: software de gerenciamento de rede que reside em um dispositivo gerenciado. Um agente rastreia
informações de gerenciamento local e usa um protocolo como o SNMP para enviar informações aos
NMSs.
ÿ Um sistema de gerenciamento de rede (NMS): executa aplicativos para exibir o gerenciamento

dados, monitorar e controlar dispositivos gerenciados e comunicar-se com agentes. Um NMS geralmente é
uma estação de trabalho poderosa que possui recursos sofisticados de gráficos, memória, armazenamento e
processamento. O NMS normalmente está localizado em um centro de operações de rede (NOC).
A Figura 9-1 mostra o relacionamento entre dispositivos gerenciados, agentes e NMSs.
SMN
Agente Agente Agente
Gerenciamento Gerenciamento Gerenciamento

Base de dados Base de dados Base de dados
Dispositivos gerenciados
Figura 9-1 Arquitetura de gerenciamento de rede

Uma arquitetura de gerenciamento de rede consiste em dispositivos gerenciados, agentes e NMSs

organizados em uma topologia que se ajusta à topologia de interligação de redes. As tarefas para projetar uma
arquitetura de gerenciamento de rede são paralelas às tarefas para projetar uma rede interligada. O fluxo de
tráfego e a carga entre NMSs e dispositivos gerenciados devem ser considerados. Deve ser tomada uma
decisão sobre se o tráfego de gerenciamento flui dentro da banda (com outro tráfego de rede) ou fora da
banda (fora do fluxo de tráfego normal). Uma topologia redundante deve ser considerada. Deve ser tomada
uma decisão sobre uma topologia de gerenciamento centralizada ou distribuída.
Monitoramento dentro da banda versus monitoramento fora da banda
Com o monitoramento em banda, os dados de gerenciamento de rede trafegam por uma rede usando os
mesmos caminhos que o tráfego do usuário. Isso facilita o desenvolvimento da arquitetura de gerenciamento
de rede, mas resulta no dilema de que os dados de gerenciamento de rede são afetados por problemas na rede,
dificultando a solução dos problemas. É benéfico usar ferramentas de gerenciamento mesmo quando a rede
está congestionada, falhando ou sob ataque de segurança.
O monitoramento fora de banda torna o projeto da rede mais complexo e caro. Para manter o custo baixo,
linhas dial-up analógicas são frequentemente usadas para backup, em vez de circuitos ISDN ou Frame Relay.
Outra desvantagem do monitoramento fora de banda é que existem riscos de segurança associados à
adição de links extras entre NMSs e agentes. Para reduzir os riscos, os links devem ser cuidadosamente
controlados e adicionados somente se for absolutamente necessário.
Para links de modem analógico, o agente deve usar um mecanismo de retorno de chamada após o NMS ligar
para o agente.
Monitoramento Centralizado versus Monitoramento Distribuído
Numa arquitetura de monitoramento centralizado, todos os NMS residem em uma área da rede, geralmente
em um NOC corporativo. Os agentes são distribuídos pela rede e enviam dados como respostas de ping e
SNMP para os NMSs centralizados. Os dados são enviados por caminhos fora da banda ou dentro da banda.
O monitoramento distribuído significa que NMSs e agentes estão espalhados pela Internet. Um arranjo distribuído
hierárquico pode ser usado por meio do qual NMSs distribuídos enviam dados para NMSs centralizados
sofisticados usando uma arquitetura de gerente de gerentes (MoM). Um sistema centralizado que gerencia
NMSs distribuídos é às vezes chamado de NMS guarda-chuva.
Em uma arquitetura MoM, os NMS distribuídos podem filtrar os dados antes de enviá-los às estações
centralizadas, reduzindo assim a quantidade de dados de gerenciamento de rede que fluem na rede. Outra
vantagem do gerenciamento distribuído é que os sistemas distribuídos muitas vezes podem coletar dados
mesmo quando partes da rede estão falhando.
A desvantagem do gerenciamento distribuído é que a arquitetura é complexa e difícil de gerenciar. É mais

difícil controlar a segurança, conter a quantidade de dados coletados e armazenados e acompanhar os
dispositivos de gerenciamento. Um gerenciamento de rede simples
uma arquitetura que não complique o trabalho de gerenciamento da rede geralmente é uma solução
melhor.
Selecionando ferramentas e protocolos de gerenciamento de rede

Depois de discutir processos de gerenciamento de rede de alto nível com seu cliente e desenvolver uma
arquitetura de gerenciamento de rede, você poderá tomar algumas decisões sobre quais ferramentas
e protocolos de gerenciamento de rede recomendar ao seu cliente. Você pode atender às necessidades
da maioria dos clientes recomendando ferramentas que suportem SNMP e RMON. O Cisco
Discovery Protocol (CDP) e o Cisco NetFlow Accounting também são úteis.
Selecionando ferramentas para gerenciamento de rede
Para garantir alta disponibilidade da rede, as ferramentas de gerenciamento devem suportar vários
recursos que podem ser usados para gerenciamento de desempenho, falhas, configuração, segurança e
contabilidade. No mínimo, uma solução de gerenciamento de rede deve incluir ferramentas para isolar,
diagnosticar e relatar problemas para facilitar o reparo e a recuperação rápidos. Idealmente, o sistema
também deveria incorporar inteligência para identificar tendências que possam prever uma falha
potencial, para que um gerente de rede possa agir antes que ocorra uma condição de falha.
Ao selecionar ferramentas de gestão, considere a flexibilidade das ferramentas e os diversos públicos

que podem interagir com elas. As ferramentas de gerenciamento de rede devem fornecer uma interface
de usuário intuitiva que possa reagir rapidamente às entradas do usuário. Em muitos casos, ter uma
interface de navegador e uma interface de linha de comando (CLI) é benéfico.
Se as ferramentas permitirem a configuração dinâmica de dispositivos, as alterações de configuração

deverão entrar em vigor sem exigir a reinicialização do dispositivo, se o dispositivo suportar isso, porque
a interrupção do serviço de um dispositivo crítico pode impactar potencialmente milhares de usuários.
O software de gerenciamento também deve verificar a validade de quaisquer alterações de configuração
e restaurar automaticamente a operação para a última configuração ou imagem de software conhecida em
caso de erro. O software de gerenciamento que suporta a configuração dinâmica de dispositivos
deve exigir autenticação para evitar que um usuário não autorizado faça alterações.
protocolo de gerenciamento de rede simples
O SNMP é suportado pela maioria dos NMSs comerciais e por muitos dispositivos de rede, incluindo
switches, roteadores, servidores e estações de trabalho. O SNMP ganhou ampla popularidade devido
à sua simplicidade e à facilidade de implementação, instalação e uso. Além disso, quando usado de
maneira sensata, o SNMP não sobrecarrega indevidamente a rede. A interoperabilidade entre
implementações de SNMP de diferentes fornecedores pode ser alcançada com esforço mínimo porque
o SNMP é muito simples.
O SNMPv3 deve suplantar gradualmente as versões 1 e 2 porque oferece melhor segurança, incluindo
autenticação para proteção contra modificação de informações e operações seguras de conjunto para
configuração remota de dispositivos gerenciados por SNMP.
O SNMPv2 foi introduzido em 1993 e atualizado em 1996. O SNMPv2 adicionou uma operação get-bulk para a recuperação
eficiente de um bloco de parâmetros ao coletar dados de uma tabela de parâmetros; entretanto, nem o SNMPv1 nem o SNMPv2
fornecem recursos de segurança.

Sem autenticação, é possível que usuários não autorizados exerçam funções de gerenciamento de rede SNMP. Também é
possível que usuários não autorizados escutem informações de gerenciamento à medida que elas passam dos sistemas
gerenciados para um NMS. O SNMPv3 fornece recursos de segurança para ajudar a aliviar esses problemas. Devido à sua
segurança, o SNMPv3 pode ser usado para mais do que apenas monitorar estatísticas de rede. Também pode ser usado para
aplicações de controle. A maioria dos fornecedores oferece suporte a SNMPv3. A Cisco começou a oferecer suporte ao SNMPv3
no Cisco IOS Software Release 12.0(3)T.
O SNMP é especificado em três conjuntos de documentos:
ÿ A RFC 2579 define mecanismos para descrever e nomear parâmetros gerenciados com SNMP. Os mecanismos são chamados
de estrutura de informação gerenciada (SMI).
ÿ RFC 3416 define operações de protocolo para SNMP.
ÿ Management Information Bases (MIB) definem parâmetros de gerenciamento que são acessíveis via SNMP. Vários RFCs
definem MIBs de diferentes tipos. O conjunto principal de parâmetros para o conjunto de protocolos da Internet é chamado
MIB II e é definido na RFC 1213.
Os fornecedores também podem definir MIBs privados.
O SNMP possui sete tipos de pacotes:
ÿ Solicitação Get: enviada por um NMS a um agente para coletar um parâmetro de gerenciamento
ÿ Solicitação Get-Next: enviada por um NMS para coletar o próximo parâmetro em uma lista ou tabela de
parâmetros
ÿ Solicitação Get-Bulk: enviada por um NMS para recuperar grandes blocos de dados, como várias linhas em uma tabela (não
em SNMPv1)
ÿ Resposta: enviada por um agente a um NMS em resposta a uma solicitação
ÿ Solicitação de configuração: enviada por um NMS a um agente para configurar um parâmetro em um servidor gerenciado
dispositivo
ÿ Trap: Enviado de forma autônoma (não em resposta a uma solicitação) por um agente a um NMS para
notificar o NMS sobre um evento
ÿ Informar: Enviado por um NMS para notificar outro NMS sobre informações em uma visualização MIB que é remota para o
aplicativo receptor (não em SNMPv1, suporta arquiteturas MoM)
Bases de Informação de Gestão (MIB)

Um MIB armazena informações coletadas pelo agente de gerenciamento local em um dispositivo gerenciado.
Cada objeto em uma MIB possui um identificador exclusivo. Os aplicativos de gerenciamento de rede usam o identificador para
recuperar um objeto específico. O MIB está estruturado como uma árvore. Objetos semelhantes são agrupados no mesmo ramo
da árvore MIB. Por exemplo, vários contadores de interface são agrupados no ramo Interfaces da árvore MIB II (RFC 1213).
MIB II define os seguintes grupos de objetos gerenciados para redes TCP/IP:
ÿ Sistema
ÿ Interfaces
ÿ Tradução de endereços
ÿ PI
ÿ ICMP
ÿ TCP
ÿ UDP
ÿ EGP
ÿ Transmissão
ÿ SNMP
Além dos MIBs padrão, como o MIB II para objetos TCP/IP, existem definições de MIB específicas
do fornecedor. Os fornecedores podem obter sua própria ramificação para a definição privada de
uma subárvore MIB e criar objetos gerenciados personalizados nessa ramificação. Para usar
definições privadas de objetos gerenciados, um gerente de rede deve importar as definições
para um NMS. Um roteador Cisco suporta objetos MIB II padrão e objetos gerenciados privados
introduzidos pela Cisco em uma seção privada da árvore MIB. As definições do Cisco MIB podem
ser obtidas em http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml.
Monitoramento Remoto (RMON)

O RMON MIB foi desenvolvido pela IETF no início da década de 1990 para resolver deficiências
nos MIBs padrão, que não tinham a capacidade de fornecer estatísticas sobre links de dados e
parâmetros da camada física. A IETF desenvolveu o RMON MIB para fornecer estatísticas de
tráfego Ethernet e diagnóstico de falhas.
Os agentes RMON coletam estatísticas sobre erros de verificação de redundância cíclica (CRC),
colisões Ethernet, distribuição de tamanho de pacote, número de pacotes que entram e saem e taxa
de transmissão de pacotes. O grupo de alarmes RMON permite que um gerente de rede defina limites
para parâmetros de rede e configure agentes para entregar alertas automaticamente aos NMSs. O
RMON também suporta a captura de pacotes (com filtros, se desejado) e o envio dos pacotes capturados
para um NMS para análise de protocolo.
RMON fornece informações em nove grupos de parâmetros. A Tabela 9-1 lista e descreve os grupos.
O RMON fornece aos gerentes de rede informações sobre o funcionamento e o desempenho do segmento de
rede no qual reside o agente RMON. O RMON fornece uma visão da integridade de todo o segmento, em vez
das informações específicas do dispositivo que muitos agentes SNMP não RMON fornecem. Os benefícios do
RMON são óbvios, mas o escopo do
A versão 1 do RMON (RMON1) é limitada porque se concentra no link de dados e na camada física
parâmetros. A IETF está atualmente trabalhando em um padrão RMON2 que vai além das informações de segmento para
fornecer informações sobre a saúde e o desempenho de aplicações de rede e comunicações de ponta a ponta. RMON2 é
descrito na RFC 4502. A Tabela 9-2 mostra
os grupos em RMON2.
Tabela 9-1 Grupos Ethernet RMON
Grupo Descrição
Estatísticas Rastreia pacotes, octetos, distribuição de tamanho de pacote, transmissões, colisões, descartes
pacotes, fragmentos, erros de CRC/alinhamento, jabbers e subdimensionados e superdimensionados
pacotes.
História Armazena múltiplas amostras de valores do grupo Estatísticas para comparação de

o comportamento atual de uma variável selecionada para o seu desempenho ao longo do especificado
período.
Alarme Permite definir limites e intervalos de amostragem em qualquer estatística para criar um
condição de alarme. Os valores limite podem ser um valor absoluto, um valor crescente ou decrescente
valor ou um valor delta.
Anfitriões Fornece para cada nó ativo uma tabela que inclui uma variedade de estatísticas do nó,
incluindo pacotes e octetos de entrada e saída, pacotes multicast e de transmissão de entrada e saída
saída e contagem de erros.
Host Top N Estende a tabela de hosts para oferecer um estudo definido pelo usuário de estatísticas de hosts classificadas.
Host Top N é calculado localmente pelo agente, reduzindo assim o tráfego de rede e
processamento no NMS.
Matriz Exibe a quantidade de tráfego e o número de erros que ocorrem entre pares de
nós dentro de um segmento.
Filtros Permite que o usuário defina filtros específicos de correspondência de pacotes e faça com que eles sirvam como
mecanismo de parada ou início para atividade de captura de pacotes.
Pacote Captura pacotes que passam pelos filtros e os armazena para análise posterior. Um
Capturar O NMS pode solicitar o buffer de captura e analisar os pacotes.
Eventos Permite que o usuário crie entradas em um log de monitor ou gere traps SNMP a partir de
o agente para o NMS. Os eventos podem ser iniciados por um limite ultrapassado em um contador ou por uma
contagem de correspondência de pacotes.
Tabela 9-2 Grupos RMON2
Grupo Descrição
Diretório de protocolo Fornece uma lista de protocolos suportados pelo dispositivo
Distribuição de Protocolo Contém estatísticas de tráfego para cada protocolo suportado
Mapeamento de endereço Contém mapeamentos de endereços da camada de rede para a camada MAC
Host da camada de rede Contém estatísticas do tráfego da camada de rede de ou para cada host
Camada de rede Contém estatísticas de tráfego da camada de rede para conversas entre
Matriz pares de hospedeiros
Host da camada de aplicação Contém estatísticas do tráfego da camada de aplicação de ou para cada host
Camada de aplicação Contém estatísticas de tráfego da camada de aplicação para conversas

Matriz entre pares de hosts
Coleta de histórico do usuário Contém amostras periódicas de variáveis especificadas pelo usuário
Configuração da sonda Fornece uma maneira padrão de configurar remotamente os parâmetros do probe
como destino de trap e gerenciamento fora de banda
Protocolo de descoberta Cisco

Conforme mencionado no Capítulo 3, “Caracterizando a rede existente”, o CDP especifica um
método para roteadores e switches Cisco enviarem informações de configuração entre si em um
regularmente. Embora alguns especialistas em segurança recomendem desativar o CDP porque um hacker
Se você pudesse usar as informações para aprender sobre a configuração e a topologia de uma rede, muitos gerentes
de rede deixam o CDP ativado devido à sua utilidade. O CDP está habilitado por padrão.
Com o comando show cdp vizinhos detail , você pode exibir informações detalhadas sobre
roteadores e switches vizinhos, incluindo quais protocolos estão habilitados, a rede
endereços para protocolos habilitados, o número e tipos de interfaces, o tipo de plataforma
e seus recursos, e a versão do Cisco IOS Software em execução no vizinho.
CDP é um protocolo independente de mídia e protocolo. O CDP é executado na camada de enlace de dados,
permitindo que dois sistemas que suportam diferentes protocolos de camada de rede se comuniquem.
Os quadros CDP usam um encapsulamento SNAP (Subnetwork Access Protocol) e são enviados para o
Endereço multicast Cisco 01-00-0C-CC-CC-CC. Embora os switches geralmente encaminhem quadros multicast, os
switches Cisco não encaminham quadros CDP. Os roteadores também não encaminham
Quadros CDP. Os quadros CDP são enviados a cada 60 segundos por padrão, embora você possa alterar
isso com o comando cdp timer .
Os quadros CDP são enviados com um tempo de espera de 180 segundos por padrão. O tempo de espera especifica o
quantidade de tempo que um dispositivo receptor deve reter a informação antes de descartá-la. Quando
uma interface é desligada, o CDP envia um quadro com o tempo de espera definido como zero. Você pode configurar o
holdtime com o comando cdp holdtime . Enviando um pacote CDP com tempo de espera
de zero permite que um dispositivo de rede descubra rapidamente um vizinho perdido.
Contabilidade Cisco NetFlow

Conforme mencionado no Capítulo 3, a tecnologia Cisco IOS NetFlow é parte integrante do Cisco IOS Software
que coleta e mede dados à medida que eles entram nas interfaces do roteador ou switch. As informações
coletadas permitem que um gerente de rede caracterize a utilização dos recursos da rede e dos aplicativos.
Também pode ser usado para projetar suporte de qualidade de serviço (QoS).
Um fluxo de rede é definido como uma sequência unidirecional de pacotes entre um ponto final de origem e
destino. Um endpoint de fluxo é identificado pelo endereço IP e pelo número da porta da camada de transporte.
O NetFlow também identifica fluxos por tipo de protocolo IP, classe de serviço (CoS) e um identificador de
interface de entrada.
A coleta de dados do NetFlow ajuda um gerente de rede a visualizar padrões de tráfego para que a detecção
proativa de problemas seja possível. Também permite que um gerente de rede implemente a
contabilidade de utilização de recursos. Os provedores de serviços podem usar as informações do
NetFlow para migrar do faturamento de taxa única e taxa fixa para mecanismos de cobrança mais flexíveis
com base na hora do dia, uso de largura de banda, uso de aplicativos, QoS e assim por diante. Os gerentes de
redes empresariais podem usar as informações para recuperação de custos departamentais e alocação de
custos para utilização de recursos.
A coleta de dados do NetFlow também permite que um gerente de rede obtenha uma visão detalhada e
baseada no tempo do uso do aplicativo. Os provedores de conteúdo e serviços podem usar essas informações
para planejar e alocar recursos de rede e aplicativos para atender às demandas dos clientes. Por exemplo, um
provedor de conteúdo pode decidir sobre a capacidade e localização dos servidores web, com base nos
dados do NetFlow. Os dados do NetFlow, ou as informações deles derivadas, podem ser armazenados para
posterior recuperação e análise, em apoio a programas proativos de marketing e atendimento ao cliente (por
exemplo, para determinar quais aplicativos e serviços estão sendo usados por usuários internos e externos e
alvo). para melhorar o serviço).
A Cisco recomenda uma implantação cuidadosamente planejada do NetFlow, com serviços NetFlow ativados
em roteadores estrategicamente localizados, geralmente roteadores na borda de uma rede. Embora o NetFlow
tenha um impacto no desempenho dos roteadores, o impacto é mínimo e menor que o impacto do RMON. Os
benefícios da coleta de informações do NetFlow, quando comparado ao SNMP e ao RMON, incluem o maior
detalhamento dos dados coletados, o registro de data e hora dos dados, o suporte para diferentes dados coletados
em diferentes interfaces e maior escalabilidade.
Além disso, com o NetFlow, as análises RMON externas não são necessárias.
Estimando o tráfego de rede causado pelo gerenciamento de rede

Depois de determinar quais protocolos de gerenciamento serão usados, você poderá estimar a quantidade de
tráfego causado pelo gerenciamento de rede. Provavelmente o principal protocolo de gerenciamento será o
SNMP, embora existam outras opções, como CDP, pings, IP traceroute e assim por diante.
Após selecionar os protocolos de gerenciamento, você deverá determinar quais características de rede e
dispositivos serão gerenciadas. O objetivo é determinar quais dados um NMS solicitará dos dispositivos
gerenciados. Esses dados podem consistir em informações de acessibilidade, medições de tempo de resposta,
informações de endereço da camada de rede e dados do MIB RMON ou de outros MIBs. Depois de
determinar quais características serão coletadas dos dispositivos gerenciados, você deverá determinar com
que frequência o NMS solicita os dados (isso é chamado de intervalo de pesquisa).
Para calcular uma estimativa aproximada da carga de tráfego, multiplique o número de características de
gerenciamento pelo número de dispositivos gerenciados e divida pelo intervalo de pesquisa. Por exemplo, se uma
rede tiver 200 dispositivos gerenciados e cada dispositivo for monitorado por 10 características, o número
resultante de solicitações será o seguinte:
200 × 10 = 2.000
O número resultante de respostas também é
200 × 10 = 2.000
Se o intervalo de pesquisa for a cada 5 segundos e você assumir que cada solicitação e resposta
é um único pacote de 64 bytes, a quantidade de tráfego de rede é a seguinte:
(4.000 solicitações e respostas) × 64 bytes × 8 bits/byte = 2.048.000 bits a cada 5 segundos ou 409.600
bps
Neste exemplo, em uma Ethernet compartilhada de 10 Mbps, os dados de gerenciamento de rede usariam 4
porcentagem da largura de banda de rede disponível, o que é significativo, mas provavelmente aceitável.
Uma boa regra é que o tráfego de gerenciamento deve utilizar menos de 5% da capacidade da rede.
Nota Para obter uma estimativa mais precisa da carga de tráfego causada pelos dados de gerenciamento, você
deve usar um analisador de protocolo. Muitas implementações de SNMP solicitam mais de uma característica em
um pacote de solicitação, o que utiliza a largura de banda de maneira mais eficiente do que foi descrito em
o exemplo.
Resumo
Um de seus objetivos como designer de rede deve ser ajudar seu cliente a desenvolver alguns
estratégias e processos para implementação do gerenciamento de rede. Você também deve ajudar
seu cliente seleciona ferramentas e produtos para implementar as estratégias e processos. Esse
capítulo forneceu informações para ajudá-lo a selecionar os processos e ferramentas corretos para atender a um
metas do cliente para gerenciamento de rede. As tarefas envolvidas no design de gerenciamento
paralelamente às tarefas envolvidas no projeto geral da rede: análise de requisitos e objetivos,
fazer compensações, caracterizar o fluxo de tráfego de gerenciamento de rede e desenvolver um
topologia apropriada.
O gerenciamento é frequentemente negligenciado durante o projeto de uma rede porque é considerado

uma questão operacional e não uma questão de design. No entanto, ao considerar o gerenciamento da rede
antecipadamente, em vez de implementá-lo no final do processo de projeto ou depois que a rede já estiver
operacional, seu projeto será mais escalável e robusto.
1. Este capítulo abordou o gerenciamento de rede, enquanto o capítulo anterior abordou
segurança de rede. Observe que as tarefas de projeto de rede geralmente estão interligadas e
não deve ser considerado discreto só porque um livro está dividido em capítulos distintos.
De que forma o gerenciamento e a segurança da rede estão inter-relacionados? Ao definir o
gerenciamento de rede para seu cliente, quais preocupações de segurança você abordará? Ao
projetar a segurança de rede para seu cliente, quais preocupações de gerenciamento de rede você
abordará?
2. Quais são os prós e os contras do gerenciamento de rede fora de banda versus rede dentro de banda
gestão do trabalho?
3. Um sistema de gerenciamento de rede pode se comunicar com um dispositivo gerenciado usando um

protocolo de solicitação-resposta ou um mecanismo de armadilha. Quais são os prós e contras destes
dois métodos?
4. Pesquise um produto ou ferramenta de gerenciamento de rede de sua escolha. Descreva o produto ou

ferramenta em dois ou três parágrafos.
Cenário de projeto
Você está desenvolvendo uma proposta de design de rede para o Genome4U, um projeto universitário de
grande escala que foi discutido nos capítulos anteriores. Como você considerou
gerenciamento de rede para este projeto, você chegou a uma decisão preliminar de que a Cisco
O Discovery Protocol (CDP) deve ser habilitado nos roteadores e switches Cisco. Quando
você discutiu essa ideia com os engenheiros de rede da universidade, no entanto, de repente você
encontrou-se no meio de um atoleiro da Camada 8 (política de escritório). Acontece que
engenheiros de rede discutem entre si há anos sobre os benefícios de
CDP. Os engenheiros focados na segurança querem desativá-lo. Os engenheiros que se concentram nas
operações diárias querem que isso seja habilitado. Os técnicos de suporte de desktop concordam com o
grupo de operações porque os telefones Cisco VoIP que eles instalam podem aproveitar as vantagens do CDP.
Os arquitetos de TI insistem que a decisão é deles, mas não retornam ligações quando
você pede a opinião deles.
Qual será a sua recomendação e por quê? O CDP deve estar habilitado? Deveria ser
habilitado em todos os dispositivos e interfaces? Como você convencerá seus clientes de que seu
a decisão é a melhor e eles devem cumpri-la, até mesmo os arquitetos de TI?
Resumo da Parte II
Este capítulo conclui a Parte II do Projeto de Rede Top-Down. A Parte II concentrou-se em
a fase de projeto lógico da metodologia de projeto de rede de cima para baixo. Durante a fase de projeto
lógico, um projetista de rede desenvolve uma topologia de rede baseada no conhecimento
adquiridos sobre fluxo de tráfego e carga na fase de análise de requisitos do projeto de rede.
O projetista também desenvolve modelos de endereçamento e nomenclatura da camada de rede e seleciona
protocolos de ponte, comutação e roteamento. O designer também desenvolve segurança e rede
estratégias de gestão.
O desenvolvimento de um projeto lógico é uma etapa inicial importante no projeto de rede. O lógico
O design fornece ao projetista de rede a oportunidade de se concentrar nos objetivos do design, sem se
aprofundar muito nos detalhes dos componentes físicos da rede. Ao concentrar-se primeiro na arquitetura
lógica da rede, um projetista pode selecionar com mais precisão
tecnologias, capacidades e dispositivos que darão suporte aos objetivos do cliente. O lógico
A fase de projeto une a fase de análise de requisitos, na qual o fluxo de tráfego e
são analisadas as metas técnicas e de negócios, e a fase de projeto físico, na qual cabeamento,
tecnologias de camada de enlace de dados e dispositivos são adicionados à arquitetura de rede final.

Parte 2 Cisco Top Down (PT)

Enviado por

Direitos autorais:

Formatos disponíveis

Parte 2 Cisco Top Down (PT)

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Parte 2 Cisco Top Down (PT)

Enviado por

Direitos autorais:

Formatos disponíveis

Machine Translated by Google

Projeto de rede lógica

capítulo 5 Projetando uma topologia de rede

Capítulo 6 Projetando modelos para endereçamento e numeração

Capítulo 7 Selecionando protocolos de comutação e roteamento

Capítulo 8 Desenvolvendo estratégias de segurança de rede

Capítulo 9 Desenvolvendo estratégias de gerenciamento de rede

Esta página foi intencionalmente deixada em branco

Projetando uma topologia de rede

120 Projeto de rede de cima para baixo

Projeto de rede hierárquica

Edifício C-1 Edifício C-2

Figura 5-1 Topologia Hierárquica

Uma topologia hierárquica típica é

ÿ Uma camada de distribuição de roteadores e switches que implementam políticas. Em organizações de

Capítulo 5: Projetando uma Topologia de Rede 121

Por que usar um modelo hierárquico de design de rede?

A modularidade permite manter cada elemento de design simples e fácil de entender.

Como você pode saber quando tem um bom design?

122 Projeto de rede de cima para baixo

Quando a escalabilidade é um objetivo principal, uma topologia hierárquica é recomendada porque a

Topologias planas versus hierárquicas

Topologias WAN planas

Capítulo 5: Projetando uma Topologia de Rede 123

Sede em Passe de subsídios

Cataratas Klamath Ashland

Topologia de Loop Plano

Passe de subsídios Klamath Ashland Cidade Branca

Topologia Hierárquica Redundante

Figura 5-2 Topologia de Loop Plano (Superior) e

Topologias de LAN plana

Atualmente, os projetistas de rede recomendam conectar os PCs e servidores a switches da camada de

124 Projeto de rede de cima para baixo

Conforme discutido no Capítulo 4, “Caracterizando o tráfego de rede”, os dispositivos conectados em uma

Topologias de malha versus topologias de malha hierárquica

Topologia de malha parcial

Topologia de malha completa

Capítulo 5: Projetando uma Topologia de Rede 125

Modelo hierárquico clássico de três camadas

126 Projeto de rede de cima para baixo

Filiais (camada de acesso)

Figura 5-4 Projeto hierárquico de malha parcial

Filial Lar Filial

Figura 5-5 Hierárquica Hub-and-Spoke

Cada camada do modelo hierárquico tem uma função específica:

ÿ A camada central fornece transporte ideal entre locais.

ÿ A camada de distribuição conecta serviços de rede à camada de acesso e implementa políticas

Capítulo 5: Projetando uma Topologia de Rede 127

128 Projeto de rede de cima para baixo

Para maximizar a hierarquia, a modularidade e o desempenho, a camada de distribuição deve ocultar

Diretrizes para projeto de rede hierárquica

Capítulo 5: Projetando uma Topologia de Rede 129

Corrente Porta dos fundos

Figura 5-6 Chain e Backdoor na Camada de Acesso

130 Projeto de rede de cima para baixo

causar problemas inesperados de roteamento e comutação e dificultar a documentação e a solução de

Topologias de design de rede redundantes

Capítulo 5: Projetando uma Topologia de Rede 131