Академический Документы
Профессиональный Документы
Культура Документы
Se uma rea OSPF estiver muito grande os seguintes problemas podem aparecer.
Clculos freqentes de SPF: Com uma rede muito grande inevitvel que no haja queda em links e
os roteadores passem muito tempo calculando novamente a tabela de rotas.
As tabelas de link-state e a tabela de rotas vai ficar muito grande .
A soluo para isso separar as redes em reas distintas. Isso que ser tratado mais adiante.
Page 2
O OSPF permite roteamento hierrquico, ou seja, dividir um sistema autnomo em vrias reas menores. As
principais vantagens so:
Reduo o nmero de clculos SPF - Como a informao de roteamento detalhada mantida dentro da
rea, no necessrio enviar todos as mudanas de link-state para todas as reas. Portanto, nem todos os
roteadores vo rodar o algoritmo SPF novamente, somente os afetados pela mudana.
Tabela de rotas menores - Voc pode sumarizar as rotas de uma rea para a outra, no sendo necessrio
enviar detalhes de todas as subredes de sua rea.
Reduo do overhead de LSU - Os LSUs podem conter vrios tipos de LSAs, sendo um deles chamado de
summary LSA. Ao invs de mandar informao de cada rede dentro da rea, pode ser anunciado uma simples
ou um conjunto simples de rotas sumarizadas para reduzir a quantidade de LSUs enviados na rede.
Page 3
Page 4
Page 5
rea Padro:
Essa rea aceita todos LSAs
rea Backbone:
A rea backbone liga todas as reas
Sempre recebe o nmero 0
Todas as reas devem estar conectadas na rea 0.
Possui todas as propriedades da rea padro.
rea Stub:
No aceita informaes sobre rotas externas ao sistema autnomo como rotas no OSPF.
Para essas rotas usado uma rota default (0.0.0.0).
rea Totally Stub:
No aceita rotas externas e nem rotas do summary link.
Para redes fora da rea usada a rota default.
rea Not-so-Stubby:
Como se fosse a rea totally stub. A diferena que aceita rotas externas (LSA tipo 7).
Page 6
O primeiro comando (show ip ospf database) mostra toda a link-state database de forma reduzida. Nesse caso s foi copiada a parte
dos routers LSAs para que voc possa observar o detalhamento atravs do segundo comando (show ip ospf database router 3.3.3.3)
onde foi selecionado para viusaulizao o router LSA com Link State ID de 3.3.3.3.
Observao
Page 7
Quando o link ponto a ponto o OSPF cria uma stub network, fazendo com esse link seja descrito como se fossem dois.
ADV Router
139.2.26.60
Age
36.36.36.36
Seq#
1371
Checksum
0x8000001F 0x6549
Nesse caso o roteador com 36.36.36.36 possui o link 139.2.26.60 em uma rede broadcast e ele o DR. Existem um roteador nessa
mesma rede que o 26.26.26.26.
Page 8
ADV Router
Age
Seq#
Checksum
139.2.26.0
r3
1396
0x80000023 0x8498
139.2.36.0
r3
1396
0x80000023 0xB16B
Essa a sada detalhada do summary LSA que possui link ID 139.2.26.0. Anuncia as redes de uma rea para outra rea.
Page 9
ADV Router
r3
Age
307
Seq#
Checksum
0x80000024 0xDE5D
ADV Router
Age
Seq#
150.100.0.0
r3660
1022
0x8000001E 0xB24F 0
Checksum Tag
192.128.10.0
r3660
24
0x80000021 0xC8E5 0
Page 11
A configurao do ABR simples, basta colocar suas interfaces em diferentes reas, uma ou mais na rea
backbone(0) e uma ou mais em outra rea que ser interliga na backbone.
A Cisco recomenda que at 50 roteadores por rea OSPF, bem como, no se colocar hosts na rea 0.
Page 12
A sumarizao de rotas extremamente importante para fazer com que uma rede seja eficiente, diminuindo as tabelas de rotas dos
roteadores e facilitando anlise e atualizao da rede. Para isso, o trabalho deve comear no plano de endereamento IP. Se ele for
realizado considerando a caracterstica de hierarquia do OSPF sua rede ser otimizada.
No nosso exemplo temos a rede 130.130.0.0 que foi segmentada em subredes em duas reas. As subredes 130.130.0.0/24 at
130.130.31.0/24 esto na rea 0. E as subredes 130.130.32.0/24 at 130.130.63.0/24. A rea 0 no precisa ter na tabela de rotas uma
linha para cada subrede e o mesmo vale para a rea 1. Nesse caso, usamos a sumarizao.
Como fazemos para definir a mscara de sumarizao?
Vamos analisar o terceiro octeto em binrio:
130.130.0.0 - 130.130.00000000.0
130.130.1.0 - 130.130.00000001.0
130.130.2.0 - 130.130.00000010.0
130.130.3.0 - 130.130.00000011.0
130.130.4.0 - 130.130.00000100.0
130.130.5.0 - 130.130.00000101.0
130.130.6.0 - 130.130.00000110.0
130.130.7.0 - 130.130.00000111.0
130.130.8.0 - 130.130.00001000.0
130.130.9.0 - 130.130.00001001.0
130.130.10.0 - 130.130.00001010.0
130.130.11.0 - 130.130.00001011.0
130.130.12.0 - 130.130.00001100.0
130.130.13.0 - 130.130.00001101.0
130.130.14.0 - 130.130.00001110.0
130.130.15.0 - 130.130.00001111.0
130.130.16.0
130.130.17.0
130.130.18.0
130.130.19.0
130.130.20.0
130.130.21.0
130.130.22.0
130.130.23.0
130.130.24.0
130.130.25.0
130.130.26.0
130.130.27.0
130.130.28.0
130.130.29.0
130.130.30.0
130.130.31.0
- 130.130.00010000.0
- 130.130.00010001.0
- 130.130.00010010.0
- 130.130.00010011.0
- 130.130.00010100.0
- 130.130.00010101.0
- 130.130.00010110.0
- 130.130.00010111.0
- 130.130.00011000.0
- 130.130.00011001.0
- 130.130.00011010.0
- 130.130.00011011.0
- 130.130.00011100.0
- 130.130.00011101.0
- 130.130.00011110.0
- 130.130.00011111.0
Sempre os trs primeiros bits do terceiro octeto so iguais at a rede 130.130.31.0. Poderia ser usada a mscara de 255.255.224.0 para
sumarizao, pois essa mscara representaria a toda a faixa de endereos desejada.
Page 13
Para os casos de rotas externas a sumarizao feita no ASBR com o comando summary-address. A palavra
chave no-advertise suprime rotas que possuem mesma mscara. O tag serve para casos de controle
redistribuio via route map.
Page 14
Existem dois tipos de rotas externas que sero colocados dentro do sistema autnomo. Os tipos so E1 e E2.
As rotas E1 possuem mtrica que sero alteradas conforme ela vai sendo anunciada na rede. Por exemplo se
a mtrica inicial era 2 e ela passou por dois links com mtrica 10 a mtrica final ser 22.
Nas rotas E2 a mtrica permanece a mesma em toda rede. Se a mtrica inicial 3 ela ser igual em toda a
rede.
Page 15
O ASBR anuncia para o sistema autnomo do OSPF as rotas externas, mas no anuncia uma rota default.
Se for necessrio que os roteadores OSPF usem uma rota default (por exemplo, uma sada para a Internet), o
ASBR deve ser forado a faz-lo.
Os argumentos do comando so:
always - faz com a rota default seja gerada mesmo que o ASBR no possua a mesma.
metric - define qual ser o custo dessa rota
metric-type - Se a rota ser tipo 1 ou tipo 2.
Route-map - se haver um route-map asscociado a esse comando.
Observao
O ASBR deve ter configurada uma rota default atravs dos comandos:
ip route 0.0.0.0 0.0.0.0 [destino] ou
ip default-network [rede destino]
Page 16
A rea stub uma rea que no aceita rotas externas ao sistema autnomo, no lugar delas essa rea usa rotas
default.
Essa uma maneira de otimizar o projeto OSPF diminuindo o tamanho das tabelas de rotas.
Page 17
Page 18
A rea stub sumariza todas as rotas externas rea. Ela s conhece as rotas internas do AS.
Page 19
Page 20
Uma rea stub o fim da linha. No existem outros caminhos para sair da rea exceto pelo ABR (podem ter
mais de um ABR). A razo para reas stubs otimizar redes grandes.
As principais caractersticas so:
No podem ter ASBR.
No podem ser rea de trnsito, ou seja, no podem ter links virtuais.
Page 21
Imagine uma situao em que deve-se ligar duas redes, uma est rodando RIP e outra OSPF. Nesse exemplo,
a rea 1 teria um ASBR, portanto ela no poderia ser uma rea stub.
Os roteadores RIP no precisam aprender rotas do OSPF, mas os roteadores OSPF devem saber as rotas do
RIP.
A rea NSSA (RFC 1587) permite que rotas externas podem ser anunciadas dentro do sistema autnomo do
OSPF, enquanto mantm as caractersticas de uma rea stub.
Para isso foram criados os LSA tipo 7, que so enviados em toda rea NSSA, mas so bloqueados no ABR. O
ABR recebe o LSA tipo 7 e transforma em LSA tipo 5.
As rotas externas de uma rea NSSA so conhecidas pela representao N1 e N2, que possuem as mesmas
caractersticas das E1 e E2.
Page 22
A configurao dos roteadores na rea NSSA simples basta usar o seguinte comando em todas os
roteadores da rea NSSA:
area [x] nssa.
Page 23
Todas as reas em uma rede OSPF devem estar ligadas atravs da rea 0. Quando isso no possvel
fisicamente deve-se usar os links virtuais. Esse recurso deve ser usado apenas para resolver problemas em
carter de urgncia e, assim que possvel, deve ser desfeito em favor de uma rede corretamente estruturada.
A implementao de links virtuais nos roteadores Cisco feito como demand circuits.
Observao
O endereo IP a ser utilizado no comando ID do roteador com o qual ser estabelecido o link virtual.
Um exemplo do comando show ip ospf virtual-links :
r3#sh ip ospf virtual-links
Virtual Link OSPF_VL0 to router 72.72.72.72 is up
Run as demand circuit
DoNotAge LSA allowed.
Transit area 1, via interface Serial0, Cost of using 64
Transmit Delay is 1 sec, State POINT_TO_POINT,
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
Hello due in 00:00:08
Adjacency State FULL (Hello suppressed)
Observao
O hello supressed, ou seja, no h hello peridico. Na link-state database os LSA que se referem ao link
virtual ser marcado como DNA - Do Not Age, porque no h hello peridico.
Page 24
No exemplo acima a rea 1 usado como transporte para unir as rea 0 e rea 4. Para verificar o
funcionamento use o comando nos ABRs:
show ip OSPF virtual-links.
Page 25
Nesse caso os links virtuais foram usados para ligar duas reas 0, que poderia estar segmentada pelo fato de
duas empresas terem se unido, por exemplo.
Page 26
Page 27
BGP um protocolo Distance Vector que roda sobre o protocolo TCP com porta 179.
Existem duas diferenas ignificantes entre BGP e os outros protocolos DV.
BGP no envia updates peridicos, mas somente as mudanas.
BGP sempre seleciona caminhos sem loop, pois as rotas anunciadas possuem a
informao de caminho completo (as-path), no somente o next-hop.
Page 28
O protocolo BGP foi projetado para permitir que os ISPs (Internet Service Providers) se
comunicassem. Esses ISPs devem ter vrios links entre eles e todos devem concordar em
rodar um protocolo que manipule como e em que condies a comunicao vai ser
estabelecida. BGP um protocolo baseado em polticas de roteamento (policy based
routing) que implementa esses acordos entre os ISPs.
Page 29
Esses dados so do ano 2000 e, como a Internet est crescendo continuamente eles sofrem
alteraes muito grandes.
Para verificar o quanto cada protocolo de roteamento est usando de memria use o
comando show ip route summary
Page 30
BGP nem sempre apropriado e deve ser evitado sempre que possvel.
Se somente h um caminho utilize uma rota default. Se usar BGP voc s ir conseguir que
o roteador use CPU e memria sem necessidade. Para rodar BGP e aceitar toda a tabela de
rotas da Internet h um consumo de mais 30 Mbytes de memria, sendo 4Mbytes de
alterao em mdia por minuto (dados do ano 2000).
BGP usado para selecionar o caminho para deixar seu sistema autnomo e recomendar
para os outros AS o melhor ponto de entrada no seu AS. A nica poltica que pode ser
alterada como um pacote entra ou sai do seu AS. Uma vez que o pacote entra em outro
AS, a poltica interna desse AS passa a controlar e decidir como tratar o pacote.
Nesse curso veremos como o BGP trata e estabelece as polticas de roteamento.
Page 31
Page 32
Page 33
Para se identificar para os outros roteadores que falam BGP, usado um endereo IP. No
caso do BGP escolhido o maior endereo IP ativo configurado no roteador. Se existir uma
interface loopback configurada, mesmo que no possui o maior endereo IP do roteador, ela
ser selecionada. Se houver mais de uma loopback, ser selecionada aquela que possuir o
maior endereo IP.
recomendado utilizar uma loopback como ID pois ela sempre est ativa, a no ser que
todo o roteador saia do ar. Isso traz mais estabilidade rede.
Page 34
O BGP mantm sua tabela para armazenar informaes recebidas de outros roteadores.
Essa tabela separada da tabela de rotas IP do roteador. Essas tabelas podem compartilhar
suas informaes dependendo da configurao.
Para ver o contedo da tabela BGP use o comando show ip bgp.
Page 35
Os detalhes que esto descritos na tabela sero discutidos ao longo do curso. Por enquanto
apenas lembre que existem duas tabelas - a do BGP e a tabela de rotas. Essas tabelas
podem ou no interagir conforme o que estiver configurado.
Page 36
Inicialmente os vizinhos BGP iro trocar as tabelas de rotas BGP. partir da sero enviadas somente as
mudanas que ocorrerem. Pacotes de keepalive so enviados para manter a conexo e pacotes de notificao
so enviados em eventos especiais.
Depois que uma conexo TCP estabelecida, a primeira mensagem enviada o open message, que
respondida com um ack se ele for aceito. Depois que o o open confirmado a conexo BGP estabelecida,
e as mensagem de atualizao, keepalive e notificao podem ser enviadas.
O open message contm:
Hold Time - Mximo tempo entre keepalives ou atualizaes. Ao receber um open message, o roteador
calcula o valor do hold time usando o menor entre o que est configurado e o recebido no open message. Se
hold time terminar e no for recebido nenhum keepalive o vizinho considerado morto. Se hold time zero no
so trocados keepalives.
ID do roteador - Identificao do roteador que est enviando a mensagem.
As mensagens de atualizao possuem informaes sobre um nico caminho. Para cada caminho deve ter
uma mensagem. Uma mensagem de atualizao pode incluir as informaes de rotas e seus atributos.
As mensagens de notificao so enviadas quando ocorrem erros. A conexo BGP fechada imediatamente
aps ser enviada uma notificao. Nas notificaes esto especificadas os cdigos dos erros, subcdigo e
outros dados relacionados.
Page 37
Antes de dois roteadores trocarem informaes BGP eles devem estabelecer uma conexo
TCP entre eles. Essa conexo monitorada atravs de keepalives.
Vizinhos Externos: Roteadores que esto fora do seu sistema autnomo. A conexo entre
eles chamada eBGP e normalmente eles esto diretamente conectados.
Vizinhos Internos: Roteadores que esto no mesmo sistema autnomo. A conexo entre
eles chamada iBGP e eles no precisam estar conectados diretamente, basta ter
conectividade IP.
Page 38
Quando estiver utilizando o endereo da loopback necessrio dizer ao seu roteador para us-lo como
endereo origem para todos os pacotes BGP. Se o comando update-source no for usado o roteador usar
como endereo de origem o endereo IP da interface pela qual o pacote est sendo enviado.
Se o comando update-source no for usado e o vizinho estiver apontando para o endereo da loopback do
seu roteador, o vizinho que receber o pacote ir verificar o endereo de origem e verificar que no h
vizinhana com esse endereo, ento o pacote ser descartado.
O comando ebgp-multihop permite que o roteador estabelea a vizinhana com um vizinho externo usando os
endereos da loopback. Nesse caso, no h rota IGP apontando como chegar ao endereo loopback do
vizinho, mas mesmo assim o roteador conseguir estabelecer a vizinhana.
Page 39
O BGP somente envia atualizaes se ocorreu alguma mudana na tabela e somente manda uma vez. Se uma
poltica alterada entre dois vizinhos necessrio reiniciar a conexo para que a alterao passe a valer.
Se o comando clear ip bgp * acima for utilizado sem a palavra soft toda a tabela BGP ser apagada e todas
as rotas sero aprendidas novamente ao mesmo tempo. Isso pode causar muitos problemas se voc tiver
muitos vizinhos. Por essa razo aconselhado que use o comando especfico para cada vizinho, ou seja, o
impacto na rede ser muito menor.
A opo soft faz com que o roteador no reset a sesso BGP, ao invs disso, ele cria uma nova atualizao e
envia toda a tabela para todos vizinhos ou queles especificados.
Page 40
Os vizinhos que esto em estado ACTIVE ainda no esto OK, pois eles no ainda no trocaram as tabelas. Com esse
comando tem-se um resumo dos vizinhos de um roteador.
BGP table version - verso da tabela interna do BGP
Main routing table version - verso da ltima tabela colocada na tabela de rotas
Neighbor - ID do vizinho
V - verso do BGP que est rodando
AS - nmero do AS do vizinho
MsgRcvd - mensagens recebidas
MsgSent - mensagens enviadas
TblVer - verso da ltima tabela enviada pelo vizinho
InQ - mensagens recebidas do vizinho que esto que esto sendo processadas
OutQ - mensagens que esto para ser enviadas para o vizinho
Up/Down - tempo em que a conexo TCP foi estabelecida ou foi encerrada
State/PfxRcd - Estado da conexo e nmero de prefixos recebidos do vizinho. Se exceder o nmero mximo de prefixos
assinalados para serem recebidos de um vizinho (comando neighbor maximum-prefix) a conexo vai para down e o
estado fica em idle.
Page 41
Para maiores detalhes use o comando show ip bgp neighbors. Note que nesse exemplo o vizinho eBGP.
Page 42
Page 43
Existem trs condies a serem seguidas para que o BGP possa anunciar uma rede. So
elas:
A rede a ser anunciada deve estar presente na tabela de rotas IP.
O processo BGP deve conhecer a rede.
O roteador deve saber chegar no next-hop.
Cada uma dessas regras ser discutida adiante.
Page 44
A primeira condio que a rota a ser anunciada pelo BGP que ela deve estar na tabela
de rotas IP. Essa rota pode ter sido aprendida por protocolo IGP, ser uma rede diretamente
conectada ou ser aprendida por uma rota esttica. Para que uma dessas rotas seja colocada
na tabela BGP usa-se o comando network.
Page 45
Por default a sincronizao est ligada, ou seja, vale a condio 1. A sincronizao pode ser
desligada, o que permitir ao BGP anunciar as rotas mesmo que elas no estejam na tabela
de rotas IP.
A sincronizao serve para evitar buracos negros dentro de um sistema autnomo. seguro
desabilitar essa facilidade quando todos os roteadores esto rodando BGP dentro do sistema
autnomo.
Page 46
Para que uma rota seja anunciada a mesma deve estar dentro do processo BGP. Isso pode
ocorrer das seguintes formas:
Comando network: o administrador configura manualmente.
Redistribuio: as rotas podem ser redistribudas para dentro do processo BGP
Aprendidas de outro roteador BGP: as rotas podem ser aprendidas de um outro roteador
vizinho que est rodando BGP.
Page 47
No exemplo acima, os roteadores Kyoto e Roma so vizinhos eBGP. Paris-Roma e KyotoTaiwan so vizinhos iBGP. Roma ir anunciar a rede 198.101.24.0, que recebeu de Paris
para Kyoto (AS 200) alterando dessa maneira o endereo de next hop, pois houve mudana
de sistema autnomo. No momento que Kyoto anuncia para Taiwan, o endereo next-hop
mantido, o que causar um next-hop desconhecido para Taiwan.
Outro detalhe importante, que se Taiwan no souber chegar at o next-hop ele no
anunciar a rota e no colocar na tabela de rotas IP.
Page 48
Nesse caso deve ser usado o comando neighbor endereo ip next-hop-self em Kyoto.
Resumindo:
para conexes eBGP o endereo next hop ser sempre alterado
para conexes iBGP o endereo next hop mantido.
Page 49
Page 50
possvel fazer sumarizao com o comando network. No esquea que para que uma rede
ser anunciada via BGP ela precisa estar na tabela de rotas. Para isso, foi usada uma rota
esttica apontando para o interface null.
Page 51
Page 52
Page 53
* Esse atributo gerado quando usa-se o comando aggegate-address sem nenhuma opo,
porque a rota sumarizada ser gerada e anunciada como se ela fosse gerada do prprio
roteador. Se a sumarizao contm rotas de outros AS essa informao ser omitida e ser
gerado o atributo atomic, para informar que h informaes faltando. Para que a informao
de caminhos seja completa use a palavra-chave as-set que informar o caminho completo e
no ser gerado o atomic attribut.
Page 54
Esse comando permite que um peso seja colocado para todas as rotas originadas de um
vizinho especfico. O peso somente usado pelo roteador onde est configurado. Se a
mesma rede aprendida por diferentes vizinhos, aquele vizinho que possui maior peso ser
selecionado. Por default, todos os vizinhos possuem peso de 32.768. O roteador no passa
o peso para outro roteador. Se a rota recebida de um vizinho o peso zero.
Por default, as rotas geradas internamente (comando network, por exemplo) o peso
32.768. Se uma rota vinda de um vizinho vem com peso 0 (zero).
Page 55
O caminho via AS 300 para rede 198.101.24.0 preferido porque o vizinho do AS 300
recebeu um peso maior.
Page 56
Page 57
Essa mtrica usada internamente em um AS entre roteadores que falam iBGP (internal
BGP). usado para determinar o melhor caminho para deixar o sistema autnomo.
A mtrica por default 100, e valores maiores so preferidos.
Page 58
Page 59
Page 60
O MED uma maneira de dizer a outro AS como ele deve escolher a entrada no seu AS. O
MED um atributo opcional no-transitivo.
O MED passado para o outro AS e usado por ele, mas no repassado para outro.
Quando uma rota passada do AS que recebeu para outro, a mtrica ser setada como 0
novamente.
O menor valor preferido.
Page 61
Page 62
O comando bgp always-compare-med faz com o que o roteador BGP sempre compare os
valores de MED de vizinhos de diferentes sistemas autnomos. muito difcil fazer com que
os ISPs usem esse comando.
Page 63
Page 64
O AS-PATH consiste do caminho para chegar em uma rota, ou seja, por quais sistemas
autnomos deve-se passar para chegar em uma determinada rota.
Essa lista pode ser alterada atravs de prepend que ser discutido mais adiante.
Page 65
Page 66
Origin um atributo well-known que define a origem do caminho, que pode ser:
IGP - A rota interior ao AS, geralmente criada com o comando network. Aparece na tabela
com a letra i.
EGP - Aprendida via Exterior Gateway Protocol EGP. Indicada na tabela com a letra e.
Incomplete - A origem da rota desconhecida. Geralmente ocorre quando h redistribuio
de um protocolo IGP dentro do BGP. Na tabela aparece com ?.
Page 67
Page 68
Page 69
Page 70
As configuraes so as seguintes:
router bgp 100 (220.110.55.1)
neighbor 64.1.1.1 remote-as 100
neighbor 64.1.1.1 route-reflector-client
neighbor 200.100.50.1 remote-as 100
neighbor 200.100.50.1 route-reflector-client
neighbor 198.101.24.1 remote-as 100
neighbor 198.101.24.1 route-reflector-client
neighbor 132.56.1.1 remote-as 100
bgp cluster-id 555
router bgp 100 (132.56.1.1)
neighbor 64.1.1.1 remote-as 100
neighbor 64.1.1.1 route-reflector-client
neighbor 200.100.50.1 remote-as 100
neighbor 200.100.50.1 route-reflector-client
neighbor 198.101.24.1 remote-as 100
neighbor 198.101.24.1 route-reflector-client
neighbor 220.110.55.1 remote-as 100
bgp cluster-id 555
router bgp 100 (198.101.24.1)
neighbor 220.110.55.1 remote-as 100
neighbor 132.56.1.1 remote-as 100
router bgp 100 (64.1.1.1)
neighbor 220.110.55.1 remote-as 100
neighbor 132.56.1.1 remote-as 100
router bgp 100 (200.100.50.1)
neighbor 220.110.55.1 remote-as 100
neighbor 132.56.1.1 remote-as 100
Atente para o fato de que no necessrio configurar nada Page
no cliente
71com relao ao route reflector.
As listas de acesso so usadas para filtrar o trfego que passa atravs dos roteadores, por
motivos de segurana ou por motivos de perfomance. Trfego no autorizado ou desejado
pode ser evitado usando listas de acesso.
Todos os protocolos, como IP, IPX, AppleTalk,etc., possuem listas de acesso especficas
que se adequam s suas caractersticas. Nesse captulo, sero enfocadas apenas as listas
de acesso referentes ao protocolo IP.
Page 72
Page 73
Utilizando uma lista de acesso outbound como exemplo, vamos verificar como um pacote
tratado quando entra em um roteador.
Ao entrar por uma interface o roteador vai verificar na tabela de rotas se existe uma entrada
para esse destino. Se no encontrar nada na tabela de rotas o pacote ser descartado. Caso
contrrio, ser selecionada uma interface de sada. Aps seleo da interface de sada o
roteador ir verificar se existe uma lista de acesso aplicada a ela. Se no houver a lista de
acesso o pacote enviado diretamente para a interface de sada. Se existir uma lista de
acesso, o pacote ser verificado e se ele for permitido passar ele ser enviado para a
interface de sada. Se o pacote no for permitido ele ser descartado.
Perceba que quando existem listas de acesso o roteador obrigado a analisar o pacote
mais vezes e com mais detalhes. Isso aumenta a latncia do roteador.
Page 74
As listas de acesso so analisadas de cima para baixo, linha por linha. Quando uma linha
satisfizer o contedo do pacote, ento esse ser permitido ou negado conforme o que estiver
escrito na linha.
Se nenhuma linha satisfizer a condio, existe no final de todas as listas de acesso um
deny all (nega tudo) implcito , ou seja, o pacote ser descartado.
Page 75
Alguns detalhes importantes das listas de acesso que devem ser lembrados:
O nmero da lista define que protocolo ser filtrado. Como dito anteriormente,
existem listas de acesso para todos os protocolos.
Uma interface somente pode ter uma lista de acesso por direo para cada
protocolo. Por exemplo se na interface estiver rodando IP e IPX ela pode ter duas
listas de acesso para IP (uma inbound e outra outbound) e duas listas de acesso
para IPX ((uma inbound e outra outbound).
A ordem de teste sequencial e feita de cima para baixo. Portanto, as linhas
mais especficas devem ser colocadas primeiro.
No final de toda lista de acesso h uma linha deny all, que nega qualquer pacote.
Primeiro crie a lista de acesso e depois aplique na interface.
As listas de acesso filtram trfego que passa pelo roteador e no trfego gerado
pelo mesmo.
As linhas adicionais criadas na lista de acesso so colocadas por ltimo. Ou seja,
se for necessrio colocar mais uma linha na lista de acesso e essa deve ficar, por
exemplo, no meio da lista a mesma deve ser apagada e criada novamente com
essa nova linha. muito til usar um editor de texto para fazer esse trabalho e
copi-la inteira para o roteador.
Page 76
Para definir quais endereos sero testados utiliza-se uma mscara especial chamada
wildcard. Na wildcard, um bit em zero significa que o bit correspondente no endereo ser
testado. O bit em 1 que o correspondente bit no endereo no ser testado, ou seja, pode
ter o valor que quiser que no ser levado em considerao.
Page 77
Nesse exemplo queremos que um endereo especfico seja testado. Por exemplo, queremos
permitir que somente uma determinada estao possa dar telnet para o roteador. Nesse
caso a wildcard usada todos os bits em zero, como mostrado no desenho acima.
Quando a wildcard for tudo zero, ou seja, 0.0.0.0, ela pode ser substituda na programao
pela palavra host.
Page 78
Suponha que voc queira negar telnet de qualquer estao de uma determinada rede para
os roteadores. Nesse caso, utiliza-se a wilcard com os bits todos setados em 1 e o
endereo do host com todos os bits em zero, como:
host 0.0.0.0 e wilcard 255.255.255.255.
Nesse caso pode-se substituir essa combinao host/wilcard pela palavra any, durante a
programao.
Page 79
Para colocar um grupo de hosts que ser filtrado para o mesmo fim, ou por exemplo, um
grupo de hosts ou uma determinada subrede no poder acessar o servidor web, pode-se
utilizar variadas combinaes de wilcard. No exemplo acima todas as subredes que entre
10.10.16.0 at 10.10.31.0 estaro sendo filtradas.
Page 80
Para cada linha da lista de acesso standard use o seguinte comando no modo de
configurao global:
access-list nmero {permit|deny} endereo origem {wildcard-mask}
nmero - identifica a lista de acesso
permit/deny - define se a linha ir permitir ou negar o pacote
endereo origem - endereo ip de origem
wilcard-mask - wildcard mask
Depois de pronta a lista de acesso deve ser aplicada a uma interface, com o comando no
modode configurao de interface:
ip access-group nmero {in|out]
nmero - nmero da lista
in/out - define se a lista ser Inbound ou Outbound
Page 81
Nesse exemplo, somente um grupo de hosts que vai de 172.16.3.1 at 172.16.3.254 pode
enviar pacotes saindo pela interface ethernet 0. O restante ser negado.
Lembre-se que no fim de toda lista de acesso h uma linha deny all. Ento a nossa lista de
acesso, na verdade da seguinte maneira:
access-list 1 permit 172.16.3.0 0.0.0.255
access-list 1 deny all.
Page 82
Nesse caso deseja-se negar uma rede especfica e permitir qualquer outra. Na primeira linha
da lista de acesso nega-se a rede desejada e na outra linha no se deve esquecer de
permitir as demais. A lista est aplicada interface ethernet 0. Qualquer rede, para lista de
acesso representada pela palavra any.
Ento existem duas maneiras de escrever a segunda linha:
access-list 5 permit any ou
access-list 5 permit 0.0.0.0 255.255.255.255
Page 83
Por uma questo de segurana o administrador da rede est permitindo somente uma
estao enviar pacotes pela interface serial do roteador B.
A lista de acesso pode ser escrita de duas formas diferentes:
access-list 1 permit host 10.1.1.1
access-list 1 permit 10.1.1.1 0.0.0.0
Page 84
O roteador permite que at 5 usurios o acessem via Telnet. Para tanto disponibiliza cinco
portas virtuais numeradas de 0 a 4 (vty 0 4). Esse acesso pode ser controlado pela lista de
acesso, como ser visto a seguir.
Page 85
A lista de acesso criada da mesma maneira, o que acontece que ela ser aplicada s
interfaces virtuais, por onde o acesso telnet chega. Para aplicar a lista nas interface virtuais
usa-se o comando no modo de configurao global:
Page 86
Para esse exemplo, somente hosts entre 10.1.1.1 e 10.1.1.254 poder acessar o roteador via
telnet.
Page 87
Protocolo
20 (TCP)
FTP Data
21 (TCP)
FTP Program
23 (TCP)
Telnet
53 (TCP/UDP)
DNS
80 (TCP)
HTTP
Established: Permite conexes TCP entrarem, desde que tenha sido inciada internamente, ou seja,
estabelecida internamente.
Log: Envie mensagens de log para a console.
Page 88
O primeiro exemplo mostra uma lista de acesso extended sendo utilizada para negar acesso
dos hosts que esto entre 10.1.1.1 e 10.1.1.254 na porta destino tcp 80, que representa
trfego http. O restante do trfego permitido.
Page 89
O segundo exemplo o mesmo que o exemplo 1, mas dessa a porta filtrada a 23, ou seja,
telnet.
Page 90
As verses mais atuais de IOS ( partir de 11.2) permitem utilizar um novo tipo de accesslist - as nomeadas. Essas listas de acesso so mais flexveis porque permitem que linhas
possam ser apagadas separadamente, sem haver a necessidade de apagar toda lista de
acesso. No caso de inserir linhas ocorre o mesmo problema que nas listas de acesso
numeradas.
A maneira de implementao na interface a mesma das listas convencionais vistas at
aqui.
Page 91
Page 92
Com o comando show ip interface interface pode-se verificar se existem listas de acesso
aplicadas em uma determinada interface.
Page 93
Page 94