Академический Документы
Профессиональный Документы
Культура Документы
Rede Ip
Gustavo Batista
A RNP Rede Nacional de Ensino
e Pesquisa qualificada como
uma Organizao Social (OS),
sendo ligada ao Ministrio da
Cincia, Tecnologia e Inovao
(MCTI) e responsvel pelo
Programa Interministerial RNP,
que conta com a participao dos
ministrios da Educao (MEC), da
Sade (MS) e da Cultura (MinC).
Pioneira no acesso Internet no
Brasil, a RNP planeja e mantm a
rede Ip, a rede ptica nacional
acadmica de alto desempenho.
Com Pontos de Presena nas
27 unidades da federao, a rede
tem mais de 800 instituies
conectadas. So aproximadamente
3,5 milhes de usurios usufruindo
de uma infraestrutura de redes
avanadas para comunicao,
computao e experimentao,
que contribui para a integrao
entre o sistema de Cincia e
Tecnologia, Educao Superior,
Sade e Cultura.
Ministrio da
Cultura
Ministrio da
Sade
Ministrio da
Educao
Ministrio da
Cincia, Tecnologia
e Inovao
Introduo
Rede Ip
Gustavo Batista
Introduo
Rede Ip
Gustavo Batista
Rio de Janeiro
Escola Superior de Redes
2013
Copyright 2013 Rede Nacional de Ensino e Pesquisa RNP
Rua Lauro Mller, 116 sala 1103
22290-906 Rio de Janeiro, RJ
Diretor Geral
Nelson Simes
Edio
Pedro Sangirardi
Equipe ESR
Celia Maciel, Cristiane Oliveira, Derlina Miranda, Edson Kowask, Elimria Barbosa, Evellyn
Feitosa, Felipe Nascimento, Lourdes Soncin, Luciana Batista, Renato Duarte, Sergio Ricardo
de Souza e Yve Abel Marcial
Verso
1.1.0
Este material didtico foi elaborado com fins educacionais. Solicitamos que qualquer erro encon-
trado ou dvida com relao ao material ou seu uso seja enviado para a equipe de elaborao de
contedo da Escola Superior de Redes, no e-mail info@esr.rnp.br. A Rede Nacional de Ensino e
Pesquisa e os autores no assumem qualquer responsabilidade por eventuais danos ou perdas, a
pessoas ou bens, originados do uso deste material.
As marcas registradas mencionadas neste material pertencem aos respectivos titulares.
Distribuio
Escola Superior de Redes
Rua Lauro Mller, 116 sala 1103
22290-906 Rio de Janeiro, RJ
http://esr.rnp.br
info@esr.rnp.br
Bibliografia: p. 275.
ISBN 978-85-63630-33-9
CDD 004.62
Sumrio
A metodologia da ESRxi
A quem se destinaxii
Organizao do livroxii
Permisses de usoxiv
Reconhecimentosxiv
Sobre os autoresxiv
Prefcioxvi
1. Operao da rede Ip
Impacto da conexo na organizao da instituio1
Trnsito Nacional3
Trnsito Internacional3
Trnsito de Peering3
Conferncia Web 6
fone@RNP 6
iii
Videoconferncia 8
Telepresena 8
Videoaula@RNP 9
Transmisso de sinal de TV 11
eduroam12
Apoio a servios14
Consideraes de uso14
Condies de uso16
2. Segurana na rede Ip
Centro de Atendimento a Incidentes de Segurana (CAIS)27
O trabalho do CAIS29
A ajuda do CAIS30
3. Infraestrutura de rede
Conexo da organizao usuria ao PoP da RNP33
iv
Uso e especificao de switches e roteadores36
Especificao de racks37
Fontes redundantes38
Topologia da rede39
Identificao de cabos41
Equipamentos de apoio42
Refrigerao43
Instalao eltrica43
Aterramento43
4. Switches e roteadores
Switches L245
Switches L346
Comutao L249
Empilhamento50
Roteadores52
Roteador de borda56
Troubleshooting bsico56
Estudo de caso59
DNS67
MX70
Web70
SFTP71
v
E-mail71
Repositrio de arquivos72
DNS reverso 75
Ferramentas de monitoramento78
Requisitos fsicos81
Requisitos de ventilao82
Requisitos de ambiente82
Manuseio de placas83
Descarga eletrosttica84
Aterramento84
7. Fundamentos de Junos
Software modular89
Processamento de trfego92
Trfego de trnsito92
Trfego de exceo93
A CLI do Junos96
Modos de acesso96
Ajuda97
vi
Help Topic97
Help Reference98
Completando comandos99
Modo de operao107
Modo de configurao108
Configurao exclusiva110
Configurao privada110
Restaurando configuraes122
Comando run124
9. Configuraes do roteador
Configurao default de fbrica133
Configuraes iniciais135
Configurao de resgate139
Nomeando interfaces141
vii
Mltiplos endereos142
Ordem da autenticao151
Componentes da autenticao155
Logs do sistema158
Monitorando o NTP164
MIBs SNMP165
Configurando SNMP165
Monitorando o chassi180
Monitorando interfaces183
Utilitrios de rede184
Ping e Traceroute184
Monitor traffic185
viii
Mantendo o Junos 188
Recuperao de senha189
Componentes do roteamento202
Tabela de rotas203
Instncias de roteamento210
Roteamento esttico214
Condies Match225
ix
Implementando policing com filtros de firewall230
Filtros de fail240
Monitorando interface255
Teste de loop256
Interfaces E3263
Interfaces E1265
Interfaces Sonet/SDH268
Bibliografia 275
x
Escola Superior de Redes
A Escola Superior de Redes (ESR) a unidade da Rede Nacional de Ensino e Pesquisa (RNP) respon-
svel pela disseminao do conhecimento em Tecnologias da Informao e Comunicao (TIC).
A ESR nasce com a proposta de ser a formadora e disseminadora de competncias em TIC
para o corpo tcnico-administrativo das universidades federais, escolas tcnicas e unidades
federais de pesquisa. Sua misso fundamental realizar a capacitao tcnica do corpo
funcional das organizaes usurias da RNP, para o exerccio de competncias aplicveis ao
uso eficaz e eficiente das TIC.
A ESR oferece dezenas de cursos distribudos nas reas temticas: Administrao e Projeto
de Redes, Administrao de Sistemas, Segurana, Mdias de Suporte Colaborao Digital e
Governana de TI.
A metodologia da ESR
A filosofia pedaggica e a metodologia que orientam os cursos da ESR so baseadas na
aprendizagem como construo do conhecimento por meio da resoluo de problemas
tpicos da realidade do profissional em formao.
Os resultados obtidos nos cursos de natureza terico-prtica so otimizados, pois o
instrutor, auxiliado pelo material didtico, atua no apenas como expositor de conceitos e
informaes, mas principalmente como orientador do aluno na execuo de atividades con-
textualizadas nas situaes do cotidiano profissional.
Dessa forma, o instrutor tem participao ativa e dialgica como orientador do aluno para as
atividades em laboratrio. At mesmo a apresentao da teoria no incio da sesso de apren-
dizagem no considerada uma simples exposio de conceitos e informaes. O instrutor
busca incentivar a participao dos alunos continuamente.
xi
As sesses de aprendizagem onde se do a apresentao dos contedos e a realizao das
atividades prticas tm formato presencial e essencialmente prtico, utilizando tcnicas de
estudo dirigido individual, trabalho em equipe e prticas orientadas para o contexto de atua-
o do futuro especialista que se pretende formar.
Sobre o curso
A ESR elaborou este material com o objetivo de auxiliar na capacitao dos tcnicos das novas
instituies usurias em sua conexo ao backbone da RNP, uma vez que a configurao dos
equipamentos e da infraestrutura necessria de responsabilidade da instituio usuria.
O curso descreve a RNP, a estrutura do seu backbone, seus Pontos de Presena (PoPs),
os procedimentos de manuteno e o impacto da conexo RNP nas novas instituies
usurias. So abordados aspectos tcnicos da infraestrutura fsica, de conexo e de TI,
o uso de switches e roteadores, a infraestrutura de TI da organizao e a solicitao de
blocos IP. Ainda sero descritos em detalhes a configurao, manuseio, manuteno e pro-
blemas de interface do roteador Juniper da RNP, alm de conceitos bsicos de roteamento
e utilizao de filtros de firewall.
A quem se destina
O curso destinado aos tcnicos de suporte e gerentes de infraestrutura de TI das organiza-
es usurias da rede RNP.
Organizao do livro
O livro est organizado em partes bem definidas para facilitar o acesso ao contedo que o
leitor desejar.
xii
O Captulo 2 descreve os procedimentos de segurana, as funes e as atividades exe-
cutadas pelo Centro de Atendimento a Incidentes de Segurana (CAIS) e como tratar um
problema de segurana.
Esta ltima parte do livro vem acompanhada de atividades prticas realizadas em laboratrio
com roteadores idnticos aos que as instituies usurias recebero da RNP, permitindo que
os seus tcnicos possam tirar o maior proveito da interligao com a rede da RNP.
Itlico
Indica nomes de arquivos e referncias bibliogrficas relacionadas ao longo do texto.
Largura constante
Indica comandos e suas opes, variveis e atributos, contedo de arquivos e resultado da sada
de comandos. Comandos que sero digitados pelo usurio so grifados em negrito e possuem
o prefixo do ambiente em uso (no Linux normalmente # ou $, enquanto no Windows C:\).
Contedo de slide
Indica o contedo dos slides referentes ao curso apresentados em sala de aula.
Smbolo
Indica referncia complementar disponvel em site ou pgina na internet.
Smbolo
Indica um documento como referncia complementar.
Smbolo
Indica um vdeo como referncia complementar.
Smbolo
Indica um arquivo de adio como referncia complementar.
xiii
Smbolo
Indica um aviso ou precauo a ser considerada.
Smbolo
Indica questionamentos que estimulam a reflexo ou apresenta contedo de apoio ao
entendimento do tema em questo.
Smbolo
Indica notas e informaes complementares como dicas, sugestes de leitura adicional ou
mesmo uma observao.
Permisses de uso
Todos os direitos reservados RNP.
Agradecemos sempre citar esta fonte quando incluir parte deste livro em outra obra.
Exemplo de citao: Batista, Gustavo. Introduo rede Ip. Rio de Janeiro: Escola Superior
de Redes, RNP, 2013.
Comentrios e perguntas
Para enviar comentrios e perguntas sobre esta publicao:
Escola Superior de Redes RNP
Endereo: Av. Lauro Mller 116 sala 1103 Botafogo
Rio de Janeiro RJ 22290-906
E-mail: info@esr.rnp.br
Reconhecimentos
Esta publicao no teria sido possvel sem a colaborao da rea de Engenharia de Redes
e Operaes da RNP. Agradecemos ao Centro de Atendimento a Incidentes de Segurana
(CAIS) e a Gesto de Servios da RNP pela sua contribuio; a Juniper Networks por ter
gentilmente cedido os manuais tcnicos que foram fundamentais para a elaborao deste
contedo; a Sidney Lucena, ex-Coordenador Acadmico de Redes da ESR, que organizou
a primeira verso desse curso; e, finalmente, nosso muito obrigado a Beatriz Zoss, a Bia,
gerente de relacionamento da RNP que identificou a necessidade e props a elaborao
deste curso.
Sobre os autores
Gustavo Batista graduou-se em Engenharia de Telecomunicaes pela Universidade Fede-
ral Fluminense em 2003. Trabalhou durante 3 anos em operadora de telefonia celular com
sistemas de gerncia de rede telefnica, administrando sistemas Unix, Linux e Windows
e executando projetos de integrao de sistemas de gerncia de diferentes fabricantes
em uma plataforma nica. Trabalhou no Centro de Engenharia e Operaes da RNP (CEO)
como analista de redes. Hoje atua na rea de operaes da rede multisservios de uma
empresa nacional de porte, onde tambm participa de projetos nas reas de QoS em redes
IP e desempenho de rede.
xiv
Luiz Carlos Lobato formado em Engenharia Eletrnica pelo ITA, com ps-graduao
em Negcios e Servios de Telecomunicaes pelo CEFET-RJ. Possui certificao de redes
CiscoCCNA. Gerente da Diviso de Suporte Tcnico da Telebrs at a privatizao das tele-
comunicaes, sendo responsvel pela operao e gerncia da rede de dados do Sistema
Telebrs. Aps a privatizao atuou como Coordenador de Cursos de Tecnologia de Redes
(Graduao Superior) em diversas faculdades. colaborador da Escola Superior de Redes
desde 2008, tendo elaborado material de treinamento e lecionado diversos cursos na rea
de Redes. Atualmente Coordenador Acadmico de Redes da ESR.
xv
Prefcio
Lembro com nitidez do dia em que, juntamente com Bia Zoss e Luiz Coelho, decidimos pela
elaborao de um curso para o qual este livro se destina. Foi no ano de 2008, quando dois
grandes desafios nos foram colocados: a conexo de centenas de novos campi de universi-
dades e de institutos federais fruto da poltica de expanso do ensino do Governo Federal
e a mudana do fornecedor dos equipamentos roteadores usados para a conexo com a
Internet das nossas instituies clientes. Assim, alm de capacit-los a recepcionar o enlace
de dados da sua instituio, detectamos que seria importante tambm fazer uma apre-
sentao da prpria RNP. Nessa ocasio, a despeito de todas as dificuldades e dos riscos
envolvidos, optamos pela estratgia de ensinar a pescar.
O desafio de criar um material para dar conta dessas duas questes e ser apresentado em
um curso de 20 horas foi dado a Gustavo Batista, um ex-colaborador da RNP que, com sua
sada, alm de causar um srio desfalque na equipe, deixou o seu gestor com um zumbido
nos ouvidos que ele conserva at os dias atuais. E, conforme vocs vero, Gustavo no
decepcionou: preparou um excelente material que deve ser usado no apenas na sala de
aula, mas no dia a dia do seu trabalho. Uma isca de primeira qualidade para a sua pescaria.
xvi
1
Operao da rede Ip
objetivos
conceitos
Impacto da conexo na organizao, servios fundamentais da RNP, consideraes de
uso, procedimentos de abertura de chamado, acompanhamento de problemas.
11 Caso a instituio deseje manter os servios de outro provedor alm da RNP, os equi-
pamentos servidos pelo outro provedor no podero usar endereos IP da RNP.
11 Assim, essas duas redes devero ser segmentadas; do contrrio, podem ocorrer
srios problemas de roteamento.
cenrio proibido:
1
Provedor
comercial RNP
LAN
organizao
usuria
Figura 1.1
Hosts com IP RNP
no podem usar
servio de outro
provedor, e vice-
Hosts com IP da RNP versa.
A figura a seguir ilustra um cenrio permitido caso se deseje manter a conexo de outro provedor
depois de se tornar cliente da RNP. O cenrio ilustrado, embora permitido, no recomendado.
Provedor RNP
comercial
Organizao
usuria
Figura 1.2
Cenrio permitido
em instituio com
dois provedores.
22 Trnsito Nacional.
22 Trnsito Internacional.
22 Trnsito de Peering.
2
Trnsito Nacional
definido como a facilidade de servio que permite ao cliente da RNP acessar pessoas, q
recursos e sistemas localizados em algum ponto do pas conectado rede Ip, direta ou
indiretamente atravs de uma rede regional.
Cliente
Internet
Commodity PoP
Nacional BACKBONE
Figura 1.3
Exemplo de
Trnsito Nacional.
Trnsito Internacional
definido como a facilidade de servio que permite ao cliente da RNP acessar pessoas, q
recursos e sistemas localizados em algum ponto fora do pas atravs da internet global.
Cliente
Internet
Commodity PoP
Internacional BACKBONE
Figura 1.4
Exemplo
de Trnsito
Internacional.
Cliente
Internet
Acadmica PoP
Internacional BACKBONE
Captulo 1 - Operao da rede Ip
Figura 1.5
Exemplo de
Trnsito Acadmico
de Colaborao.
Trnsito de Peering
definido como a facilidade de servio que permite ao cliente da RNP acessar pessoas, q
recursos e sistemas localizados em redes comerciais nacionais ou internacionais, redes
corporativas e redes federais autnomas atravs de acordos de troca de trfego estabe-
lecidos entre a rede Ip e essas redes.
3
PTT
Cliente
Empresa
Privada PoP
BACKBONE
Figura 1.6
Exemplo de
Trnsito de Peering.
A figura seguinte resume os servios fundamentais aos quais o cliente da RNP tem acesso:
Cliente B
Cliente A
RedeComep Empresa
4 Privada
PoP PTT
3 1
Rede 3
Acadmica 2 Provedor
Estadual Internet Commodity
BACKBONE
Nacional
Provedor
Internet Acadmica Internet Commodity
Internacional Internacional
Figura 1.7
Os nmeros das setas esto associados aos servios da seguinte maneira: Servios
fundamentais RNP.
11 Trnsito Nacional: seta 1;
22 fone@RNP.
22 Videoconferncia.
22 Telepresena.
4
11 Servios de Disponibilizao de Contedos Digitais: q
22 Videoaula@RNP.
22 eduroam.
22 Service Desk.
As informaes sobre os servios disponibilizados pela RNP para suas organizaes usurias
e comunidades de clientes especiais e estratgicos encontram-se consolidadas no Catlogo
de Servios, estando os servios classificados da seguinte forma:
22 Conferncia web.
22 fone@RNP.
22 Videoconferncia.
22 Telepresena.
22 Videoaula@RNP.
22 eduroam.
5
Servios de comunicao e colaborao
A RNP oferece aos seus clientes os seguintes servios de comunicao e colaborao: q
11 Conferncia web.
11 fone@RNP.
11 Videoconferncia.
11 Telepresena.
Conferncia Web
O objetivo principal do servio realizar reunies virtuais entre participantes remotos com a
utilizao de recursos de udio, vdeo, texto, quadro de notas, chat e imagens, alm do compar-
tilhamento da tela do computador ou de aplicativos especficos. Ele se destaca pela facilidade
de uso e mobilidade, aliada a um investimento de baixo custo para as instituies clientes.
Voltado para clientes que demandam uma soluo de menor custo para reunies virtuais,
treinamentos e palestras distncia, o servio tambm se destaca pela facilidade de uso.
Para utilizar toda a integrao e a interatividade disponibilizadas pela conferncia web,
basta um computador, celular ou tablet conectado internet, um navegador (browser) e
um conjunto de microfone e fone de ouvido, sem necessidade adicional de hardware ou
software. Alm desses recursos, o servio possui a funcionalidade de gravar reunies, que
podem ser disponibilizadas para visualizao ou baixadas para armazenamento.
Figura 1.8
Conferncia Web.
http://portal.rnp.br/web/servicos/conferencia-web
fone@RNP
Servio que permite a interconexo VoIP (Voz sobre IP) entre diferentes organizaes. Com
isso, os clientes deste servio conseguem oferecer a seus usurios a possibilidade de rea-
lizar chamadas telefnicas gratuitas para outras instituies distantes geograficamente no
Brasil ou no exterior, dentro ou fora da rede VoIP da RNP.
6
O benefcio das ligaes gratuitas para o usurio final se estende atravs da capilaridade do
fone@RNP, com presena em todos os estados brasileiros, e das conexes VoIP com a rede
pblica de telefonia de algumas instituies clientes, o que propicia ao usurio final ligar
para um nmero telefnico comum a partir de um ramal VoIP. Destaque tambm para a
interconexo da rede VoIP da RNP com outras redes VoIP dentro e fora do pas.
Atualmente, o fone@RNP rene mais de cem instituies clientes distribudas pelo territrio
nacional, com mais de 40 organizaes que completam ligaes para a rede pblica de
telefonia. Conta tambm com acordos de troca de trfego com outras redes VoIP do governo
brasileiro e de instituies de ensino e pesquisa da Argentina, Austrlia, Blgica, Crocia,
Eslovnia, Espanha, Grcia, Holanda, Hungria, Itlia, Letnia, Litunia, Mxico, Portugal,
Srvia e Sua. Os acordos com esses pases foram possibilitados pela integrao do servio
iniciativa internacional do NreNum.net, da Terena (Associao de Redes de Educao e
Pesquisa Transeuropeia).
Alm das ligaes telefnicas gratuitas, as instituies clientes podem acessar um sistema
centralizado de estatsticas, que propicia ao gestor da infraestrutura local dispor de dados
sobre como o servio tem sido utilizado na sua instituio ou em outras que integram o
fone@RNP.
Figura 1.9
Estatsticas do
fone@RNP.
7
Videoconferncia
Fornecer salas virtuais para viabilizar a realizao de videoconferncias multiponto para as
instituies clientes sem que estas precisem arcar com o nus de adquirir uma soluo local
para isso.
Figura 1.10
Videoconferncia.
Telepresena
Participantes em diferentes locais interagindo como se estivessem frente a frente na mesma
mesa de reunio; essa experincia imersiva a proposta do servio de telepresena. Verda-
deiro estado da arte na tecnologia de videoconferncia, o servio oferece recursos tecno-
lgicos de ponta em salas fsicas planejadas e ambientadas especificamente para ampliar a
sensao de realismo na colaborao entre participantes remotos.
Com udio e vdeo de alta qualidade, atualmente so oferecidas aos clientes do servio seis
salas, distribudas por cinco estados do pas. Cada uma delas est equipada com cmeras
de alta definio posicionadas para a melhor cobertura do espao assim que o sistema for
iniciado, sem que os participantes precisem se preocupar com os ajustes dos equipamentos
durante as reunies.
A telepresena pode ser usada de forma integrada com outros servios da RNP, como a vide-
oconferncia e o fone@RNP, e tambm pode ser realizada por meio da conexo entre duas
Introduo rede Ip
8
Figura 1.11
Telepresena.
A RNP oferece aos seus clientes os servios descritos a seguir, voltados para a disponibilizao
de contedos digitais.
Videoaula@RNP
Servio integrado para elaborao, armazenamento e disponibilizao pela web de videoaulas
produzidas pelas instituies clientes. Tais organizaes passam a ter, por meio desse
servio, um meio para acesso e armazenamento de um amplo e interessante material didtico
formado por mltiplas mdias (vdeo, udio, animaes, roteiro e arquivos de apoio), que
pode ser utilizado como apoio ao ensino distncia ou presencial.
O upload das videoaulas digitais feito em um sistema com redundncia e alta disponibilidade,
resultando em um acesso rpido e fcil a partir de um simples navegador (browser).
Captulo 1 - Operao da rede Ip
9
Figura 1.12
Videoaula@RNP.
Mais do que um portal para upload e visualizao de vdeos com interface amigvel, e infra-
estrutura de servidores distribudos que otimiza o acesso e a distribuio do seu contedo
pelo territrio nacional, este servio se diferencia dos outros portais de vdeo da internet
pela procedncia do material disponvel. Afinal, o contedo oferecido pela comunidade
brasileira de ensino e pesquisa e pelas demais organizaes vinculadas aos ministrios e ins-
tituies com os quais a RNP desenvolve parcerias.
Beneficia-se tambm da rede de vdeo digital (RVD), uma rede de disponibilizao de conte-
dos (CDN) estruturada a partir de equipamentos, denominados refletores, distribudos por
27 Pontos de Presena (PoPs) interligados pela rede Ip. Os refletores permitem que os vdeos
solicitados fiquem temporariamente armazenados, agilizando o acesso regional ao contedo.
Introduo rede Ip
10
Figura 1.13 Mais informaes sobre o servio em:
Vdeo sob http://portal.rnp.br/web/servicos/video-sob-demanda
demanda.
Transmisso de sinal de TV
Transmisso, pela internet, do sinal de emissoras de TV a partir de uma infraestrutura de
servidores distribudos em todos os estados brasileiros. As principais vantagens so a eco-
nomia de banda e a reduo do tempo de acesso, j que o cliente no precisa de equipa-
mentos de grande porte para suportar um elevado nmero de pedidos.
11
Servios de Gesto de Identidade
A RNP oferece aos seus clientes os seguintes servios para a gesto de identidade: q
11 Comunidade Acadmica Federada (CAFe).
11 eduroam.
Com isso, a CAFe propicia que os usurios acessem diferentes servios da rede utilizando o
login e a senha que possuem na instituio de origem. Alm disso, devido s exigncias do
processo de adeso ao servio, as instituies clientes da CAFe passam a desfrutar tambm
da vantagem de propiciar acesso facilitado aos servios locais atravs de um login nico
(single sign on) para seus usurios.
Figura 1.14
CAFe.
Introduo rede Ip
eduroam
O eduroam (education roaming) um servio de acesso sem fio seguro, desenvolvido para
a comunidade internacional de educao e pesquisa. A iniciativa permite que estudantes,
pesquisadores e equipes das instituies participantes obtenham conectividade internet,
atravs de conexo sem fio (Wi-Fi) dentro de seus campi e em qualquer localidade que
oferea esta facilidade como provedora de servio.
12
Lanada no Brasil em 2012, a iniciativa internacional j rene instituies de aproximada-
mente 60 pases, unindo diversos usurios na troca de experincias e conhecimento de
forma simples, rpida e segura a partir da internet.
O eduroam oferece acesso seguro e sem fio internet para estudantes e pesquisadores
nas universidades cadastradas, sem necessidade de mltiplos logins e senhas. Aps efetuar
o registro na base do servio, seguido da configurao do computador do usurio para
conexo com a rede, possvel acessar a web em qualquer provedor de servio do mundo.
Figura 1.15
ICPEdu.
O IDC garante monitoramento de banda por usurio, relatrios via web em tempo real e
Captulo 1 - Operao da rede Ip
contato permanente com a equipe especializada do centro de operaes. Alm disso, quin-
zenalmente, o Centro de Atendimento a Incidentes de Segurana (CAIS) envia uma anlise
detalhada que indica eventuais correes de segurana necessrias.
A RNP oferece toda a infraestrutura fsica, eltrica e lgica para abrigar as mquinas,
abrindo uma porta de acesso rede ip. O IDC ocupa um espao com controle de acesso,
vigilncia com cmeras, climatizao ininterrupta, redundncia e sistemas de segurana,
deteco e combate a incndios. Encontra-se estrategicamente localizado em Braslia (DF),
abrigando em suas instalaes o Ponto de Presena da RNP no Distrito Federal (PoP-DF),
diretamente conectado ao backbone de educao e pesquisa multigigabit da rede Ip.
13
Mais detalhes sobre o Internet Data Center da RNP podem obtidos em:
http://portal.rnp.br/web/servicos/internet-data-center
Apoio a servios
O Service Desk tem como objetivo principal o atendimento de primeiro nvel aos servios
da RNP, ou seja, o atendimento aos clientes que desejam aderir, agendar, reclamar ou
demandar o uso dos servios oferecidos pela RNP s suas instituies usurias.
O Service Desk no tem a finalidade de substituir o suporte local das instituies clientes,
que continua sendo fornecido pelas equipes de suporte local ou pelo responsvel tcnico
do servio. A atuao do Service Desk comea, portanto, quando estes grupos locais ou
pessoas autorizadas precisam demandar ou reclamar dos servios ofertados pela RNP.
Assim, o escopo de ao do Service Desk est circunscrito ao suporte remoto dos clientes
da RNP, ou seja, quelas instituies usurias qualificadas para fazer uso dos seus servios e
que possuem uma estrutura de suporte local para seus usurios finais. Alm disso, o Service
Desk realiza atividades proativas relacionadas ao monitoramento do uso dos servios,
gerando estatsticas para fins gerenciais e de prestao de contas aos clientes.
Consideraes de uso
A rede Ip um dos sistemas autnomos (ASs) que compem a internet, operando sob o
nmero de sistema autnomo 1916. Trata-se de uma infraestrutura de rede formada por um
conjunto de equipamentos e enlaces de dados sob a administrao de uma mesma enti-
dade. Essa infraestrutura possui um Autonomous System Number (ASN) que a identifica e a
formaliza como uma unidade que compe a Internet Global.
Instituies usurias classificadas como temporrias somente podero cursar na rede o trfego
referente ao projeto executado em parceria com uma instituio primria ou secundria.
Caso a instituio possua campi ou filiais remotos, a conexo rede Ip desses atores q
poder ocorrer de duas maneiras:
11 Conexo fsica e lgica das filiais rede Ip se d diretamente via PoP RNP.
Introduo rede Ip
11 Conexo fsica das filiais via PoP, mas a conexo lgica com a sede.
14
As duas categorias de conexo so exibidas nas figuras seguintes:
Figura 1.16
Conexo da filial
diretamente com
o PoP.
A figura anterior exibe a primeira forma de se conectar uma filial RNP. Nesse modelo a filial
tratada como se fosse outro cliente. As setas exibem o trfego trocado entre a filial e a
rede Ip.
Figura 1.17
Conexo lgica da
filial com a sede.
A figura anterior exibe a segunda forma de se conectar uma filial RNP. As setas cinzas
exibem o trfego saindo da filial para a rede Ip. As setas pretas mostram o trfego gerado
na rede Ip com destino filial.
11 Nesse modelo, a filial conectada fisicamente ao PoP, mas uma conexo lgica q
construda de modo que todo o trfego da filial seja forado a passar pela sede.
11 Essa categoria de conexo adequada quando se deseja que a filial esteja submetida
Captulo 1 - Operao da rede Ip
Existem vrias tecnologias que podero ser usadas para implementar esse tipo de conexo
lgica (Tnel GRE, tnel IPSec, roteamento esttico etc.).
importante frisar que essa categoria de conexo aumenta a carga do enlace de dados da
instituio-sede com a RNP.
15
Condies de uso
Na execuo de suas atividades de ensino e pesquisa, as organizaes usurias podem usar
os servios fundamentais de trnsito nacional, internacional, acadmico e de peering, bem
como os servios avanados, que sero descritos no decorrer do curso.
Figura 1.18
Interligao
proibida de
instituio no
qualificada.
conexo com a RNP. Este tpico exibe algumas aes sugeridas para checar a conexo local
antes de acionamento do PoP da RNP. A execuo das aes que sero sugeridas facilitar as
aes do PoP, caso este seja acionado.
Alm das sugestes descritas importante que o contato tcnico da instituio verifique
junto ao seu PoP as aes que aquele ator recomenda. Cada PoP dispe de diferentes
recursos para prover essa verificao.
16
Figura 1.19
Interligao tpica
entre organizao
usuria e Pop.
A figura anterior mostra uma conexo tpica entre a organizao usuria e o PoP.
q
Protocolo da camada de
aplicao que permite a Em geral essas duas interfaces fazem parte de uma sub-rede IP com dois endereos
um usurio iniciar uma
(rede /30).
sesso remota em um
equipamento de rede ou
Um dos endereos associado ao downlink e o outro associado ao uplink.
q
qualquer mquina que
possua um servidor do
11 O primeiro procedimento a ser executado para verificao da sade da conexo local
servio Telnet. Atravs
da sesso possvel a verificao do estado do roteador Juniper da instituio e da interface de uplink.
enviar comandos ao
11 Para tal deve-se proceder com as seguintes verificaes:
equipamento.
22 Verificar se o roteador est ligado e operacional.
Porta console 22 Se o roteador estiver desligado e no for possvel reativ-lo atravs do boto
Interface de equipa- Power, deve-se abrir um chamado no PoP.
mento de rede atravs
da qual possvel 22 Verificar as condies gerais de hardware, software e interfaces de produo
conectar um PC ou (uplink e de LAN).
notebook e, utilizando
Captulo 1 - Operao da rede Ip
aplicao adequada, Estando o equipamento ligado, pode estar ocorrendo uma falha no sistema operacional, em
iniciar uma sesso local
no equipamento. Atravs
componente de software ou hardware, a qual promove a perda do servio de roteamento.
da sesso possvel
enviar comandos ao
11 Nesse caso, pode-se conectar ao roteador (atravs de telnet para o IP da interface q
equipamento. LAN ou de porta console) e verificar as mensagens de erro com o comando
show log messages.
22 Isso pode ser feito no equipamento Juniper com o comando show interfaces terse.
17
user@Merlot> show interfaces terse
fe-0/0/0 up up
fe-0/0/0.100 up up ccc
fe-0/0/0.200 up up ccc
fe-0/0/1 up up
fe-0/0/2 up down
fe-0/0/3 up down
11 Nesse caso, pode-se passar tambm alguma mensagem de erro explcita que tenha
sido percebida ao se executar o show log messages.
11 Com esse procedimento possvel testar se o roteador do PoP ainda sabe rotear
pacotes para a rede da organizao usuria.
As figuras a seguir exibem a diferena de um ping simples para o ping com IP de origem
alterado.
18
Figura 1.20
Ping simples no
Juniper: comando
ping 10.1.1.1.
Figura 1.21
Ping com origem
na LAN no Juniper:
comando ping
10.1.1.1 from
192.168.1.1.
19
Se o equipamento do PoP responder corretamente, fica caracterizado o bom funcionamento
do roteamento entre PoP e organizao usuria. Nesse caso, pode existir um problema no
backbone da RNP. Deve-se, ento, abrir um chamado no PoP, repassando o resultado do
teste de ping executado.
22 Via trouble-ticket (boa parte dos PoPs j suportam essa modalidade de aciona-
mento).
22 Via telefone.
Outros PoPs ainda no disponibilizam esse sistema. Nesse caso, envia-se o e-mail repor-
tando a falha e os testes executados para o endereo eletrnico disponibilizado pelo PoP.
O registro do chamado executado manualmente pelo PoP a posteriori.
importante que esse acionamento seja executado pelo contato tcnico da instituio, ou
pelo profissional a quem essa tarefa especfica foi delegada. Caso a tarefa tenha sido dele-
gada, importante que a pessoa que far o acionamento tambm conhea a infraestrutura
de rede da instituio. Caso seja necessrio acionar uma operadora de telecomunicaes,
essa ao ser feita pelo PoP da RNP.
11 recomendvel que a prpria instituio entre em contato com o PoP para cobrar
uma posio da operadora sempre que for necessrio obter informaes mais deta-
lhadas sobre o caso.
20
Acompanhamento de problemas relacionados ao backbone
11 Se a conexo local est funcionando, mas ocorre falha no uso do servio, provvel q
que a falha esteja fora da alada do PoP da RNP.
A instituio usuria pode, sempre que precisar, solicitar ao PoP as ltimas informaes
sobre o diagnstico e a soluo do problema.
11 O Panorama do Trfego:
Figura 1.22 No momento em que a ferramenta foi acessada, quando se extraiu a imagem acima, o
Panorama do enlace de dados que liga os PoPs do Cear (CE) e Maranho (MA) estava indisponvel.
Trfego da rede Ip.
21
Pelo desenho da rede possvel verificar que essa falha no acarreta perda de servio, pois
o enlace defeituoso parte de um anel que ainda conta com outros enlaces. Os clientes da
RNP do Maranho ainda conseguem acessar o PoP do Cear fazendo o caminho:
MA->PA->PI->PE->PB(CGE)->PB(JPA)->RN->CE
No entanto, essa falha pode justificar um aumento na latncia de determinadas aplicaes. Latncia
Por exemplo, uma instituio cliente do PoP do Par (PA) que possui uma aplicao que Tempo passado desde
a sada de um pacote
consulta uma base de dados em uma instituio parceira que est conectada ao PoP-CE
de dados de sua origem
normalmente percorre o caminho: at a chegada em seu
destino.
PA->MA->CE
PA->PI->PE->PB(CGE)->PB(JPA)->RN->CE
Apesar de a largura de banda em todos esses enlaces ser alta, as aplicaes vo perceber um
inevitvel aumento de latncia. Se esse for um parmetro crtico para o funcionamento de uma
aplicao, impactos podem ser percebidos. Outra informao til do Panorama do Trfego que
pode ajudar no entendimento de problemas o nvel de uso dos enlaces de dados.
Por exemplo: na Figura 1.23 percebe-se que o enlace de dados que atende ao PoP-AP est
amarelo. Ao posicionar o cursor no link daquele PoP verifica-se o volume do trfego no
enlace, vide a figura seguinte:
A Figura 1.23 mostra que, em alguns horrios, o trfego entrante no Amap chega a 51,14 Figura 1.23
Introduo rede Ip
Mbps, que corresponde a 75,20% da capacidade total desse enlace. Embora esse fato justi- Panorama do
trfego: trfego de
fique bem alguma percepo de lentido por parte de uma instituio atendida pelo PoP-AP, enlace de dados.
ele pode indicar ateno, pois um maior uso do canal poder rapidamente deteriorar a
qualidade da comunicao de todos os clientes desse PoP.
22
O Panorama do Trfego constitui, portanto, uma ferramenta til de acompanhamento no
s de problemas do backbone, como da evoluo natural do trfego de um PoP de interesse.
A consulta a essa ferramenta complementa as informaes sobre falhas de backbone que
podem ser obtidas diretamente com o PoP.
23
24
Introduo rede Ip
Roteiro de Atividades 1
Atividade 1.1 Panorama do trfego
Uma organizao usuria comeou a perceber certa lentido no acesso a um determinado
site da internet. Proativamente, o administrador da rede resolveu acessar a ferramenta
Panorama do Trfego, disponvel em http://www.rnp.br/ceo/trafego/panorama.php.
Ao faz-lo, o administrador concluiu que o problema, no momento, provavelmente afeta
tambm outros clientes. Resolveu ento ligar para o PoP da RNP para verificar se algo pode
ser feito.
A figura seguinte retrata o panorama que foi visto pelo administrador de rede no momento
de seu acesso. Considerada a figura, onde deve estar localizado o site com o qual o cliente
quer se comunicar?
Figura 1.24
Panorama da
Atividade 1.1.
que a conexo com a internet estaria indisponvel. A partir desse evento, a RNP recomenda
uma metodologia de troubleshooting preliminar, a fim de facilitar a atuao do PoP/RNP,
quando solicitado.
Cite a ordem recomendada para as aes abaixo e, quando houver necessidade de executar
algum comando, cite os comandos que devem ser usados.
25
Aes:
( ) Executar um ping para o roteador do PoP utilizando IP origem da LAN, para testar se h
falha de roteamento na comunicao PoP-Organizao.
Ordem:
Comandos:
Ordem:
Comandos:
Ordem:
Comandos:
Introduo rede Ip
26
2
Segurana na rede Ip
objetivos
conceitos
CAIS, servios do CAIS, segurana.
O Centro de Atendimento a Incidentes de Segurana da RNP foi criado em 1997. Hoje o CAIS
compreende uma equipe tcnica com notvel reputao na rea de segurana de redes,
equipe que se reporta Diretoria de Servios e Solues (DSS) da RNP.
Captulo 2 - Segurana na rede Ip
Entre os rgos internacionais que contam com a participao do CAIS esto o Forum of
Incident Response and Security Teams (FIRST www.first.org) e o Anti-Phishing Working
Group (APGW www.antiphishing.org).
27
O contato com diversas instituies internacionais permite ao CAIS interagir com equipes
de resposta a incidentes de segurana de diversos pases e setores. Essas equipes so
conhecidas como Computer Security Incident Response Team (CSIRT). No Brasil, o CAIS
presta servios comunidade acadmica e organiza anualmente o Dia Internacional de
Segurana em Informtica (DISI), evento voltado para a conscientizao do usurio final no
uso da internet e outros ambientes.
11 Tratamento de incidentes. q
11 Disseminao da cultura de segurana.
11 Infraestrutura de segurana.
11 O PoP manter contato com a instituio. Uma vez sanado ou atenuado o ataque, o
evento ser reportado ao CAIS, que investigar suas caractersticas e poder gerar
aes recomendadas para evitar um novo ataque.
11 Caso o ataque identificado no gere impacto imediato (ou j tenha sido sanado), a
instituio dever report-lo diretamente ao CAIS, atravs do servio de atendimento
a incidentes de segurana.
11 Telefone: (61) 3243-4400 a ligao pode ser feita inclusive fora do horrio comercial.
Contatos no emergenciais podem ser feitos via e-mail: cais@cais.rnp.br, ou atravs de um for-
mulrio especfico disponvel no portal do CAIS em: http://www.rnp.br/cais/atendimento.html
Introduo rede Ip
28
11 Qualquer incidente de segurana pode ser reportado ao CAIS. q
11 Por incidente de segurana entenda-se qualquer evento que promova a quebra da
poltica de uso da RNP.
O trabalho do CAIS
Captulo 2 - Segurana na rede Ip
22 Disseminao de malware.
29
11 Os incidentes de segurana mais srios (e menos frequentes) tratados pelo CAIS so: q
22 Pedofilia.
22 Difamao.
22 Solicitaes judiciais.
11 recomendado que essa entidade notifique o CAIS em relao aos ataques rece-
bidos, bem como os responsveis pelas redes atacantes, solicitando providncias
(nesse caso, sempre copiando o CAIS nas mensagens).
22 Definir uma topologia de rede que facilite a gerncia e controle, utilizando DMZ e
firewall.
A ajuda do CAIS
Na prtica, o CAIS oferece os seguintes servios:
30
11 Mantenha a data e hora de seus sistemas ajustados por NTP, para garantir a preciso q
do horrio nos logs de eventuais ataques.
31
32
Introduo rede Ip
3
Infraestrutura de rede
objetivos
conceitos
Conexo da organizao usuria ao PoP da RNP, uso e especificao de switches e
roteadores, topologia da rede, infraestrutura de cabeamento e infraestrutura fsica.
11 Esse ator alugar um meio fsico para prover o contato da instituio com a rede Ip.
22 O que ocorre usualmente que o meio fsico uma fibra ptica, um cabo de cobre
ou um radioenlace (sem fio).
RNP
Captulo 3 - Infraestrutura de rede
Figura 3.1
Ligao de
instituio via fibra Organizao PoP RNP
ptica. usuria
A Figura 3.1 mostra uma conexo de fibra ptica entre uma organizao usuria e o PoP
da RNP. O enlace exibido reporta a conexo lgica. Fisicamente no existe um cabo ptico
conectando os dois pontos. A operadora constri esse circuito dentro da sua infraestru-
tura. Ou seja, em termos prticos, o link implementado passando por uma ou mais esta-
es da operadora em questo.
33
RNP
Figura 3.2
Organizao PoP RNP Ligao de
usuria instituio via rdio.
A Figura 3.2 exibe uma instituio que foi conectada rede Ip via rdio. Essa uma opo
utilizada principalmente em locais onde no existe infraestrutura de cabeamento pronta
para uso. Dependendo da situao, a conexo rdio pode ser implementada exatamente
como na Figura 3.2, com uma antena no PoP da RNP e outra no cliente. Porm, o que ocorre
cotidianamente que o link rdio liga a organizao usuria a um ponto de presena da
operadora, e esse ponto conectado ao PoP RNP via rede cabeada. Ou seja, de fato tem-se
um enlace que parte sem fio e parte cabeado.
PoP
Operadora
RNP
Figura 3.3
Ligao de
Organizao PoP RNP instituio via
usuria satlite.
Introduo rede Ip
A Figura 3.3 exibe uma instituio conectada rede Ip via satlite. Essa opo usada em
casos onde a organizao usuria encontra-se em um lugar remoto onde no se pode usar
cabos ou um rdio diretivo por falta de visibilidade entre a instituio e o ponto de presena
da operadora mais prximo. Um exemplo tpico so as instituies localizadas em reas de
selva nos estados amaznicos.
34
11 Nos casos exibidos o enlace de dados contratado pela RNP junto a uma operadora q
de telecomunicaes.
11 O contrato firmado entre essas duas partes estabelece parmetros de qualidade que
devero ser atendidos, como:
22 Largura de banda disponvel, tempo de resposta, taxa de erro de bit (BER) etc.
11 Cabe RNP executar a gesto desse contrato, garantindo o seu cumprimento e apli-
cando as punies necessrias quando os itens acordados no forem atendidos.
11 No caso mais simples, de organizao usuria atendida por rede cabeada, a opera-
dora instala um modem nas dependncias da organizao.
Rede Operadora
Modem
Cabo serial
Figura 3.4
Conexo Roteador RNP
instituio:
operadora.
do roteador.
11 Existe uma grande variedade de conectores que podem compor o cabo que faz essa
conexo.
35
A Figura 3.5 mostra, alm do V.35, outros conectores que so usados cotidianamente.
Figura 3.5
EIA/TIA-232 EIA/TIA-449 V-35 X21 EIA-530 Cabos seriais.
Na figura, a parte superior dos cabos corresponde ao conector que se liga porta serial do
roteador da RNP. A parte inferior do cabo se liga ao modem da operadora. Esse cabo, via de
regra, fornecido pela operadora de telecomunicaes provedora do circuito de dados.
Para os casos em que a instituio conectada via rede sem fio, a infraestrutura instalada
pela operadora um pouco mais complexa. O equipamento da RNP sempre o mesmo: um
roteador. Alm da antena, que deve ficar no telhado ou em uma torre para prover visibili-
dade com a antena que fica no ponto de presena da operadora, necessria a instalao
de uma infraestrutura especfica. Para trazer o sinal da antena para dentro da instituio
instalado um cabeamento de RF. Esse cabeamento termina em um transceiver, o qual se
conectar ao roteador. A operadora instala isoladores no cabeamento, perto da antena,
para proteger os equipamentos de rede da instituio de descargas eltricas que porven-
tura tentem se propagar via cabeamento da antena para dentro da instituio.
Para o caso da conexo via satlite a infraestrutura similar ao cenrio da rede sem fio,
porm nesse caso temos o roteador ligado a um modem satlite, que adapta o sinal do rote-
ador ao meio fsico do enlace satelital.
36
Os fabricantes de rede dividem a linha de equipamentos em:
O nome comercial varia entre fabricantes. Em alguns casos a linha pode ser subdividida em
mais segmentos. As trs linhas citadas so a referncia de mercado. Alguns fabricantes definem
ainda uma linha adicional de produtos para centro de processamento de dados (Data Center).
Especificao de racks
Os equipamentos de infraestrutura de redes e de servios podem ser classificados quanto a
sua disposio fsica em duas grandes famlias:
11 Equipamentos de mesa;
11 Equipamentos de rack.
Figura 3.6
Equipamentos de
mesa (Fonte:
www.sevenl.net).
q
Captulo 3 - Infraestrutura de rede
37
Figura 3.7
Rack de 19para
telecomunicaes.
40 RUs
Figura 3.8
Diviso de rack
em RUs.
1,5 RU
Fontes redundantes
Quase todo equipamento moderno de redes ou de telecomunicaes possui uma verso
com fontes redundantes. A fonte de um equipamento, assim como ocorre com um compu-
tador pessoal, responsvel pelo fornecimento de energia para todos os componentes do
hardware. Uma falha de fonte provoca a parada imediata do equipamento. A fonte redun-
dante capaz de resolver o problema.
Na grande maioria dos casos o equipamento possui tecnologia para promover a comutao
automtica para a fonte backup em caso de falha na fonte principal.
11 Nesses casos a fonte backup assume, mas no haver backup para ela.
38
fundamental um eficiente ferramental de gerncia de hardware. Tipicamente o protocolo
SNMP o responsvel pelo reporte de uma falha dessa magnitude, sendo suportado por
praticamente todo tipo de equipamento de redes e de telecomunicaes.
Topologia da rede
O objetivo maior da gerncia de redes garantir o maior tempo de disponibilidade possvel
para os recursos e servios da instituio. Para ajudar a alcanar esse objetivo existem
vrias outras boas prticas alm da atividade de gerncia. Uma dessas atividades o
desenho racional da topologia da rede.
Figura 3.9
Topologia
barramento.
Figura 3.10
Captulo 3 - Infraestrutura de rede
Topologia anel.
39
Figura 3.11
Topologia estrela.
Cada tipo de equipamento tem uma tarefa bem definida, e por isso sua especificao tcnica
particular e direcionada tarefa para a qual ser designado. A figura seguinte exibe um
modelo de referncia que assume os conceitos de redundncia e hierarquia.
Ncleo
Distribuio
Figura 3.12
Modelo de
referncia: rede
redundante e
Acesso
hierarquizada.
q
Introduo rede Ip
40
11 A camada de distribuio concentra os equipamentos de acesso e segmenta dife- q
rentes grupos de trabalho.
O esquema representado na figura acima apenas uma referncia. No mundo real nem
sempre possvel obter-se um modelo de rede perfeitamente hierarquizado e redundante,
principalmente por questes financeiras. De toda forma, quanto mais perto do modelo de
referncia for a rede, melhor o seu desempenho geral.
Identificao de cabos
11 Uma prtica muito simples que ajuda enormemente a tarefa de manter a rede organi- q
zada e documentada a identificao de cabos.
11 Uma rede que se estende por um espao fsico muito extenso e que possua muitos
cabos rapidamente se transforma em um caos completo.
Figura 3.13
Exemplo de
ambiente catico
(Fonte: www.
bernabauer.com)
Captulo 3 - Infraestrutura de rede
41
Figura 3.14
Cabo identificado
(Fonte: www.
midiasolucao.com.br).
11 A dimenso da sala deve ser tal que permita ao equipamento de ar-condicionado que
a atende refriger-la com eficincia.
recomendvel que o acesso sala seja restrito aos profissionais capacitados a operar os
equipamentos ali presentes. A segurana fsica dos equipamentos deve ser verificada antes
que qualquer poltica de segurana lgica seja elaborada.
Equipamentos de apoio
q
Introduo rede Ip
42
11 Dependendo da criticidade das aplicaes da rede a instituio pode lanar mo de q
um gerador, que permite a manuteno de energia eltrica mesmo durante longas
falhas da concessionria de energia.
11 Existem vrios tipos de geradores, dos mais robustos e caros aos mais simples
e baratos.
Refrigerao
11 Todo equipamento instalado na sala de equipamentos traz em sua documentao q
tcnica a quantidade de BTUs que ser consumida.
Instalao eltrica
Todo equipamento instalado na sala de equipamentos (ou CPD) traz em sua documentao
tcnica a potncia mdia dissipada, bem como a capacidade mxima de sua(s) fonte(s).
importante fazer a gerncia da infraestrutura eltrica da sala de equipamentos para evitar
que a capacidade dos componentes (quadros de energia, disjuntores etc.) seja ferida.
Aterramento
11 Todo equipamento de redes e de telecomunicaes deve ser aterrado em q
infraestrutura adequada.
11 Os cabos devem ser instalados de modo a evitar tenso no corpo dos cabos e nos
conectores.
11 Para atender a esses objetivos importante alocar espao adequado dentro dos
racks para acomodao de sobras de cabeamento.
43
Figura 3.15
Boas prticas de
cabeamento (Fonte:
taquara.olx.com.br).
Introduo rede Ip
44
4
Switches e roteadores
objetivos
conceitos
Switches L2 e L3, comutao L2, empilhamento, subdiviso da rede em VLANs,
roteadores.
Switches L2
11 Os switches L2 tm a funo de distribuir e segmentar os pontos de rede e as LANs q
do ambiente.
11 Cabe ao switch apenas avaliar em qual ponto de rede est o destinatrio do frame.
45
Pacote
Default
Gateway Roteamento L3
Rede L2 (comutao)
Em qual porta fsica
est o destino?
Figura 4.1
Destino Roteamento
L3 versus
encaminhamento
L2.
Em qual porta fsica est o destino?
A exemplo do que ocorre com os roteadores, o porte de um switch pode variar tremen-
damente dependendo de sua aplicao. Para referncia, o peso dos switches usados pelo
mercado pode variar de 1,5 a 300 kg. Seu preo pode sair da ordem de centenas de reais at
centenas de milhares de dlares.
Um switch de rede local popular possui 24 portas fast ethernet (100 Mbps). Um switch de
um centro de processamento de dados de um grande provedor de contedo de internet
possui mais de 200 portas com capacidade de 10Gbps cada uma. A diferena de capacidade
de processamento entre os equipamentos desse exemplo justifica a grande diferena de
preo entre eles.
Switches L3
Introduo rede Ip
Funo L3
Funo L2
Figura 4.2
Interao L2-L3
tradicional com
switch e roteador.
A figura seguinte mostra a mesma LAN, mas o roteador e o switch foram substitudos por
um nico equipamento, um switch L3.
Funes L3 e L2
Figura 4.3
Switch L3 faz o
papel de default
gateway de vrias
redes/sub-redes/ VLAN A VLAN B VLAN C
VLANs.
Uma aplicao tpica do switch L3 no mundo real pode ser vista nas prximas figuras.
20 eventualmente.
47
Rede Ip
Link saturado
Figura 4.4
VLAN 30 VLAN 20 VLAN 10 Usurios da
VLAN 30 reclamam
de lentido.
Aps uma investigao, foi percebido que o link entre o switch L2 e o roteador apresentava
descarte de pacotes, sinal de saturao.
48
Rede Ip
Link OK
Figura 4.5
Switch L3 elimina VLAN 30 VLAN 20 VLAN 10
o problema.
No mundo real poderamos pensar em fundir as VLANs 10 e 20 em uma mesma VLAN. Dessa
forma o trfego entre os hosts das duas redes no mais competiria com o trfego da VLAN
30. No entanto, existem situaes em que essa fuso no possvel, por motivos tcnicos
ou polticos.
Seria possvel ainda pensar em substituir tambm o roteador. Na figura optou-se por manter
o roteador ativo. Essa deciso pode ser correta em casos onde o roteador presta outros ser-
vios alm do roteamento tradicional, como NAT, firewall e VPN, entre outros. Dessa forma,
evita-se que o switch L3 fique com seus recursos de hardware saturados, mantendo nesse
equipamento apenas os servios tradicionais de roteamento e switching. Da mesma forma,
h economia de recursos do roteador com a reduo do trfego que ele precisa tratar.
Comutao L2
Captulo 4 - Switches e roteadores
11 Os switches se utilizam desse protocolo para evitar que ocorram loops de encaminha-
mento na rede.
49
11 Em ambientes onde existe mais de um caminho possvel para se chegar a um host q
fundamental a presena do spanning-tree, tanto que todos os fabricantes de equipa-
mentos de rede j deixam esse protocolo habilitado de fbrica.
Root Bridge
Links operando
Links bloqueados Figura 4.6
Spanning-tree: evita
loops de rede.
Em resumo, seu objetivo fazer com que s exista um caminho vlido entre dois pontos q
quaisquer de uma rede L2.
Empilhamento
11 Quando o nmero de usurios de uma rede local aumenta muito, necessrio lanar q
mo de outros recursos para fazer a rede escalar.
11 Quando um switch no tem mais portas fsicas disponveis possvel empilhar mais
de um switch para aumentar a densidade de portas.
11 A comunicao entre os switches pode se dar via porta Ethernet ou via cabeamento
especfico para o fim de empilhamento.
Introduo rede Ip
50
Figura 4.7
Switches
empilhados
(Fonte: www.
kathmann.com).
Neste texto os termos VLAN e sub-rede so usados de maneira intercambivel, pois em uma
rede dividida em VLANs os termos tm exatamente o mesmo significado. A figura seguinte
ilustra um esquema onde os diferentes departamentos de uma instituio esto separados
em VLANs.
R1 R2
SW1 SW2
Figura 4.8
Depto. nanceiro Depto. de docentes Laboratrio de alunos
Diviso da rede
em VLANs. (VLAN 10) (VLAN 20) (VLAN 30)
51
11 A boa prtica diz que os hosts com maior interesse de trfego devem ficar na mesma q
VLAN (rede).
11 Dessa forma o trfego entre esses hosts no competir pelos recursos de rede com
outros hosts.
O processamento dos hosts da rede tambm tende a cair com a reduo do domnio de bro-
adcast consequente da subdiviso em VLANs. Quando os hosts esto todos na mesma rede
(ou VLAN) um broadcast gerado por qualquer host recebido por todos os outros. A maioria
dos hosts no usar a mensagem de broadcast. Com a rede dividida em sub-redes somente
os pontos da VLAN onde foi gerado o broadcast recebem a mensagem, e recursos de rede e
de hosts so economizados.
Se todos os hosts estivessem misturados em uma grande rede, a configurao dessa poltica
seria complicada. Analogamente, a configurao de polticas de roteamento tambm
simplificada. Ainda na Figura 4.8, tem-se que o laboratrio dos alunos no pode ser capaz
de acessar os websites hospedados no departamento de docentes. Pode-se configurar uma
poltica de roteamento no roteador R1 de modo que a rede 200.1.1.0/26 no seja anunciada
ao roteador R2. Dessa forma, caso R2 no tenha uma rota default para o R1, os alunos no
conseguiro acesso aos sistemas da VLAN dos docentes.
Observe que a soluo do problema do pargrafo acima tambm poderia ser a criao de
uma regra de segurana, mas uma vez que a rede da figura no possui firewalls, o admi-
nistrador da rede pode usar o roteador apenas para a tarefa de roteamento. O problema
foi ento resolvido com a manipulao de uma poltica de roteamento. Se os websites do
departamento de docentes estivessem misturados na mesma VLAN do laboratrio dos
alunos, a configurao dessa poltica seria complicada.
Introduo rede Ip
Roteadores
11 Os roteadores so os protagonistas das redes baseadas em arquitetura TCP/IP q
ou IP/MPLS.
52
11 Essa deciso a chave para o bom desempenho da rede e das aplicaes que dela q
se utilizam.
A figura seguinte exemplifica um ambiente de rede onde todos os hosts esto na mesma
rede, ou seja, esto sobre o mesmo espao de endereamento IP. Nesse esquema um switch
de rede (que no faz a tarefa de roteamento) fica diretamente conectado a um modem for-
necido pelo provedor de servio, cenrio que dispensa a necessidade de um roteador.
Internet
Provedor de servio
10.1.1.0/24
Figura 4.9
Ambiente de rede
com uma nica
rede/sub-rede/
VLAN.
10.1.1.14 10.1.1.19 10.1.1.12
ocorrem alteraes na topologia da rede (quando ocorre uma falha, por exemplo).
53
Vrios caminhos levam
do ponto A ou B
Figura 4.10
Vrios caminhos
disponveis:
roteamento
dinmico.
H um nico caminho
possvel do ponto A ou B
Figura 4.11
Apenas um
caminho disponvel:
roteamento
esttico.
esttico usa muito pouco de memria e CPU do roteador, enquanto que os protocolos de
roteamento dinmico, dependendo do tamanho da rede, podem requerer roteadores de
grande porte, que so equipamentos caros.
54
O dimensionamento de um roteador depende:
O backplane do hardware est intrinsecamente ligado soma das capacidades das inter-
faces que funcionaro no equipamento. Um roteador com backplane de baixa capacidade
no pode ter, por exemplo, dezenas de interfaces de 10Gbps, pois todo esse trfego passar
pelo backplane.
O porte de um roteador pode variar muito dependendo do seu uso. Por exemplo, o peso de
um roteador pode variar de 6 (default gateway de algumas redes locais) a 180 kg (roteador
de um provedor de porte nacional). Seu preo pode variar de pouco milhares de reais at
centenas de milhares de dlares.
Figura 4.12
Roteador Juniper
Srie J: pequeno
porte (Fonte:
www.juniper.net).
22 IS-IS.
22 EIGRP.
55
O funcionamento detalhado de cada um desses protocolos de roteamento no tema deste curso.
Roteador de borda
11 O roteador de borda prov a comunicao de todas as VLANs da rede local com q
a internet.
11 Se houver mais de um enlace atravs do qual se possa chegar internet, esse ele-
mento dever executar um protocolo de roteamento dinmico.
Internet
Rede local
Roteador de borda
Troubleshooting bsico
Gerncia e documentao de rede, planejamento de topologia, controle da alocao de IPs e da
distribuio das sub-redes e identificao de cabos. Todas essas prticas apresentadas confi-
guram diferentes recursos para atingir um mesmo fim: manter a maior disponibilidade possvel
dos servios de rede. s vezes, mesmo com todos esses cuidados, os problemas ocorrem.
O troubleshoot de falhas pode ser simples ou complexo, dependendo dos recursos disponveis.
Introduo rede Ip
56
2. Isolar o problema: investigar a conectividade de camada 3 de cada hop.
Para executar esse processo aparentemente simples, faz-se uso de uma srie de conheci-
mentos e recursos.
PC 3
2
R1 Sw2 R2 Sw4
6 3
f0/0 Sw3
5
Sw1
1
Servidor Web
10.0.0.1/24
PC 1 PC 2
10.0.1.1/24 10.0.1.2/24
Figura 4.14 O usurio do PC1 reclamou que no consegue mais acessar http://webserver.com/relatorio,
Cenrio de uma pgina web que est hospedada no servidor web da figura. Um usurio do PC3 acessa
problema.
normalmente o site, sugerindo que no h problema com o servidor.
A Figura 4.14 ilustra todos os passos da conectividade de camada 3 entre PC1 e o servidor
em uma situao normal. Os nmeros ao lado das setas identificam a ordem dos aconteci-
mentos. As setas pretas ilustram a viagem dos dados de PC1 at o servidor. As setas cinzas
mostram o caminho da resposta do servidor at PC1.
ping para o IP do servidor. O ping no teve sucesso. Dessa forma, a prxima etapa veri-
ficar qual dos 6 passos no est ocorrendo. Para cada passo investigado, caso a conectivi-
dade de camada 3 funcione, no se far necessrio verificar as camadas 2 e 1 do hop.
Investigando o passo 1, foi verificado se o pacote est realmente saindo de PC1 e chegando
ao R1. O primeiro passo foi investigar se o browser utilizado no PC1 est conseguindo tra-
duzir o nome do servidor para o IP correto, 10.0.0.1. Isso pde ser verificado executando-se
no PC1 o comando nslookup webserver.com.
57
O prximo passo foi verificar se a configurao de default gateway do PC1 est correta.
O comando ipconfig /all mostrou o IP da interface f0/0 do R1 como o default gateway.
A configurao do PC1 estava correta. Foi executado um ping do PC1 para o IP do seu
default gateway, no caso, o IP da interface f0/0 de R1. O ping funcionou. O passo 1 da
figura est funcionando.
Em seguida o passo 2 foi investigado. Analisando a tabela de rotas de R1 foi verificado se ele
conhece a rede 10.0.0.0/24, onde est o servidor. Verificou-se que a rota conhecida e que
aponta para R2, o que correto. Por fim, a partir de R1 foi feito um ping para a interface
f0/1 de R2, que funciona. O passo 2 corretamente verificado.
Em seguida o passo 3 foi investigado. Analisando a tabela de rotas de R2 foi verificado se ele
conhece a rede 10.0.0.0/24, onde est o servidor. Verificou-se que a rota conhecida. Em
seguida o administrador tentou um ping do R2 para o IP do servidor web, que funcionou.
Passo 3 corretamente verificado.
Os pargrafos acima mostram que um pacote saindo do PC1 chega ao servidor. Agora, o
administrador avalia o trfego de retorno. Como o ping do passo 3 funcionou, o admi-
nistrador concluiu de imediato que o servidor consegue fazer um ping para o seu default
gateway, logo, o passo 4 funciona. Isso j poderia ser concludo apenas pelo fato de o PC3
conseguir acessar o servio.
Em seguida o passo 5 foi investigado. Analisando a tabela de rotas de R2 foi verificado se ele
conhece a rede 10.0.1.0/24, onde est o PC1. A rota desconhecida. A partir de R2 foi feito
um ping para o IP de PC1. O ping no funcionou! O passo 5 no est funcionando. A partir
daqui a investigao se concentra nesse hop. Nesse caso, existe uma clara falha na camada 3.
Assim, por ora, no ser necessrio descer s camadas 2 e 1.
Foi verificado que a vizinhana OSPF entre R1 e R2 estava estabelecida. No entanto, por
algum motivo, R1 deixou de anunciar a rota 10.0.1.0/24 para R2. Foi verificado que algum
editou um filtro de rotas de maneira incorreta em R1, o que provocou a falha. O adminis-
trador corrigiu o filtro e o passo 5 passou a funcionar.
Fazendo uma nova tentativa o usurio conseguiu acesso ao servidor. Se aps a alterao no
protocolo de roteamento o passo 5 continuasse a falhar, o prximo passo seria investigar a
camada 2 nesse passo, ou seja, as configuraes do switch SW2.
Introduo rede Ip
58
Estudo de caso
Solicitao, atribuio e administrao de blocos IP
RNP / Internet
R1 R2
fe-0/0/2
fe-0/0/2
fe-0/0/0
fe-0/0/0
fe-0/0/1 fe-0/0/1
Dados da rede
Laboratrios 200.33.1.32/28 14 4 6
Infraestrutura 200.33.1.16/29 6 3 3
Servios 200.33.1.64/27 30 11 12
11 40 Servios: base de dados de matrculas e dados dos alunos, servidor de FTP, servidor
de e-mail, DNS e outros.
59
Descrio do cenrio
Uma instituio de ensino mantm a rede cujo esboo do diagrama de rede encontra-se
na figura. Na poca da qualificao junto RNP foi concedido organizao o intervalo de
endereos 200.33.1.0/24.
poca, a demanda da rede era de 100 endereos. O administrador de rede dividiu ento o
intervalo /24 em dois intervalos /25.
11 Intervalo 1: 200.33.1.0/25;
11 Intervalo 2: 200.33.1.128/25.
O administrador usou o segundo intervalo para compor uma VLAN de PCs da administrao, a
VLAN 10 (a nica rede existente poca) e guardou o primeiro intervalo para demandas futuras.
Um ano depois, toda a equipe de administradores de rede mudou e no havia muita docu-
mentao. Vrias demandas de novas VLANs surgiram. Os novos administradores foram
alocando novos intervalos de IP sem muito planejamento.
Nesse perodo foram criadas mais 4 VLANs: 20, 30, 40 e 50. Alm disso, o nmero de usu-
rios da VLAN 10 cresceu mais. Os dados atuais das 5 VLANs da instituio so encontrados
logo abaixo da figura.
Voc foi contratado para ajudar os administradores de rede da instituio a resolver vrios
problemas da rede. O primeiro problema o atendimento a uma demanda por uma nova
VLAN, nmero 60, que ser usada por notebooks de alunos durante as aulas. Estima-se que
essa nova VLAN precisa de pelo menos 40 IPs.
Introduo rede Ip
60
Roteiro de Atividades 2
Atividade 2.1 Endereamento IP
Qual o tamanho de mscara mximo necessrio para uma sub-rede comportar essa nova VLAN?
1. Organizar a distribuio de endereos da rede de modo que uma nova sub-rede possa
ser definida para abrigar a nova VLAN 60, e ainda atender expectativa de crescimento
das demais VLANs (a demanda de crescimento encontra-se na rea Dados da rede).
4. Para manter a simplicidade, foi definido pela equipe de administradores que a topologia
bsica da rede no mudar. Ou seja, as conexes entre switches e roteadores no pode
ser modificada.
61
Atividade 2.3 Planejando VLANs
Agora que seu grupo j possui um conjunto de solues formuladas, faa um esboo
de como ficaria a distribuio das VLANs e dos elementos chave dentro da rede. Nesse
desenho, destaque as VLANs utilizando figuras de nuvens, e, se desejar, destaque os servi-
dores (de backup e/ou de repositrio de arquivos) com as letras B1, B2 e A1, de acordo com o
nome do servidor. No desenho, considere j a implantao da nova VLAN 60 para os PCs de
alunos, j a posicionando no switch que lhe parecer mais conveniente.
Introduo rede Ip
62
Atividade 2.4 Distribuio das sub-redes
Considerado o desenho esboado, hora de definir a distribuio das sub-redes dentro do
endereamento 200.33.1.0/24. Cabe lembrar nesse momento a necessidade de atendimento
premissa 3, estabelecida no incio da atividade, e a demanda de crescimento de cada
VLAN, citada na rea Dados da rede. Tome o cuidado de utilizar uma soluo que valorize
os seguintes parmetros (nessa ordem):
Depois de avaliar a tabela de endereamento, possvel que voc tenha que readequar sua
soluo de desenho da rede (Atividade 2.3) ou mesmo pensar em novas solues (alm das
citadas na Atividade 2.2) para liberar mais endereos.
20 Laboratrios 200.33.1.80/29 6 4 6
30 Infraestrutura 200.33.1.88/29 6 3 3
40 Servios 200.33.1.64/28 14 11 12
11 A sub-rede da VLAN 40 tem que ser 200.33.1.64 (condio do enunciado). Como o enun-
ciado tambm pede que se use a soluo mais adequada s demandas de crescimento
de cada VLAN, a mscara dessa rede dever ser /28.
11 Para as demais VLANs: aloca-se o endereo da maior VLAN para a menor, sempre verifi-
cando se possvel manter o mesmo range de IPs da rede original.
Dessa forma, a primeira premissa estabelecida para a soluo : Soluo mais adequada s
demandas de crescimento de cada VLAN.
Captulo 4 - Roteiro de Atividades 2
63
Nome da Mscara Quantidade Observaes
VLAN de IPs
O primeiro ponto a se observar que os hosts da VLAN 40 no podem ter seus IPs alte-
rados, logo, o prefixo dessa VLAN no pode mudar, apenas a mscara.
O segundo ponto que a maior VLAN (nmero 10) consome um /25 inteiro. Um dos obje-
tivos traados pelo enunciado obter uma soluo que se traduza na menor quantidade
de mudanas, tornando a ao o mais simples possvel. Para se chegar a esse objetivo
razovel pensar em manter intocveis os IPs da VLAN 10. Dessa forma, nada menos que 112
hosts ficaro inalterados. Dessa forma, o primeiro ponto fechar a sub-rede das VLANs 10 e
40, que ficam assim:
40 Servios 200.33.1.64/28 14 11 12
A segunda maior sub-rede ser a nova VLAN 60, a qual precisar ser pelo menos um /26.
A definio das VLANs 10 e 40 deixa apenas uma rede /26 livre: 200.33.1.0/26. Com isso, a
definio evolui para:
40 Servios 200.33.1.64/28 14 11 12
a 200.33.1.0/26
b 200.33.1.64/26
c 200.33.1.128/26
d 200.33.1.192/26.
A sub-rede b, que resta, pode ser dividida em duas sub-redes /27, que chamaremos redes
Introduo rede Ip
d e e.
/26 /27
_________________________________________________________________________
64
b - 200.33.1.64/26 == 200.33.1.01 000000 == d - 200.33.1.010 00000
== e - 200.33.1.011 00000
-----------------------------------------------------------------------------------------------------------------------
Metade da rede d (um /28) j foi consumida pela VLAN 40. A rede e permanece disponvel.
Nesse ponto, temos ento disposio uma rede /27 inteira (a rede e) e uma rede /28 inteira.
Resta definir os endereos das VLANs 20, 30 e 50. A maior delas a VLAN 50. Como o obje-
tivo buscar a ao o mais simples possvel, vamos verificar se possvel manter os hosts
dessa VLAN com seus IPs inalterados. O range atual um /27:
200.33.1.96/27
Esse range corresponde rede e, que est disponvel. Ento, alocamos a rede para a VLAN 50.
40 Servios 200.33.1.64/28 14 11 12
Resta alocar endereos para as VLANs 20 e 30. Ambas as redes so /29. Nesse momento,
ainda nos resta uma rede /28, que pode ser dividida em duas redes /29.
65
66
Introduo rede Ip
5
Servios e gerenciamento da rede
da instituio
objetivos
conceitos
Servios DNS, registro MX, web, SFTP, e-mail, repositrio de arquivos, firewall, DMZ, NAT.
Servios de rede
O objetivo maior de uma rede local prover servios a seus usurios. Pode-se dizer que
esses servios so o que os clientes realmente enxergam. Do ponto de vista do adminis-
trador de redes comum receber uma descrio de reclamao do tipo rede lenta, quando
na verdade h um nico servio que apresenta lentido. Muitas vezes todos os outros ser-
vios esto funcionando a contento.
11 Os servios podem ser hospedados na prpria rede local ou em redes remotas, que q
pertencem a terceiros.
11 A desvantagem descrita faz com que os administradores da rede local sejam levados
a manter alguns servios fundamentais na prpria rede local.
11 Sero feitas sugestes de servios que devem ser mantidos em rede local.
DNS
O servio de DNS pode ser tema de um curso inteiro. Os detalhes do funcionamento do
servio no sero explorados aqui, de modo que faremos apenas uma anlise suficiente
para os objetivos deste curso.
11 O DNS pode ser descrito como uma grande e importante base de dados distribuda q
pela internet.
67
11 Essa base responsvel por um dos servios mais importantes da internet contem- q
pornea: a traduo de nomes para endereos IP.
Quando o usurio digita no seu browser o URL www.rnp.br, o servio de DNS dever ser
acionado para que o browser efetivamente consiga buscar o IP do stio da RNP.
Existem diferentes tipos de servidores DNS, bem como diferentes mtodos de consulta.
11 Alm de usado para consultas a nomes de servios remotos, o DNS tambm usado q
para descobrir o IP de servios de rede local.
11 O servidor de DNS tem importncia particular para instituies que possuem nome
de domnio registrado junto ao Nic.br.
11 Todo domnio com final .br deve ser conhecido pelos servidores DNS do Nic.br, ou
seja, deve estar registrado junto ao rgo.
11 Todo domnio precisa de pelo menos um servidor DNS autoritativo. q Figura 5.1
Organograma
11 Aos clientes da RNP sugerido um mnimo de dois servidores para esse fim (por Nic.br.
segurana).
11 Quando uma instituio registra um domnio, ela informa ao Nic.br quem (so) o(s)
servidor(es) DNS autoritativo(s) daquele domnio.
Introduo rede Ip
Na Figura 5.2, o domnio rnp.br est registrado no Nic.br. O servidor DNS autoritativo do
domnio est hospedado na rede local da RNP. O Nic.br sabe quem esse servidor. Dessa
forma, quando um usurio da internet acessa o servio www.rnp.br, uma consulta DNS
gerada ao servidor de DNS que atende a esse usurio. Normalmente esse servidor est
hospedado no provedor de internet do usurio.
68
Esse servidor vai consultar recursivamente quantos servidores so necessrios para chegar
ao servidor autoritativo da RNP, que conseguir indicar o IP da mquina www do domnio
esr.rnp.br.
Pe
3 rg 5
un
!
te
Y
Y.
ao
Y.
?
br
Y.
D
N
p.
Q S
.rn
IP
ua rn
w
lo p.
w
br
w
IP
de
de
IP
w
w
lo
w 2 4
Ins
ua
.rn
tituio
Q
p.
b r?
6
Qual o IP de
www.rnp.br ? O IP Y.Y.Y.Y !
1
Figura 5.2
Consulta recursiva
para localizar
www.esr.rnp.br.
11 Outro problema pode ser gerado toda vez que um servio do domnio precisar mudar
de endereo IP.
11 Quando uma instituio passa a fazer parte do sistema autnomo da RNP, comum
que seus endereos IP sejam migrados para o espao de endereamento da RNP.
69
MX
O servio de DNS descrito prov acesso aos registros do tipo A (address).
11 Exemplo:
O endereo IP ser provido pelo servio de DNS, atravs do registro MX. Assim, o servidor
autoritativo responsvel pelo domnio rnp.br ser consultado. O servidor verificar o valor
configurado na entrada MX e responder. Descoberto o endereo do servidor de e-mail do
domnio do destinatrio da mensagem, o servidor de e-mail de cartoons.com se comuni-
car via protocolo SMTP com o servidor de e-mail de rnp.br, e a mensagem ser transferida.
Rede Local
Servidor de Servidor de
Correio local Correio rnp.br
e-mail para
6 zezinho@rnp.br
7
e-mail para e-mail para
zezinho@rnp.br zezinho@rnp.br
1
Legenda:
Figura 5.3
DNS Consulta ao
SMTP
registro MX para
POP3
envio de e-mail.
Web
q
Introduo rede Ip
11 Deixar esse servio sob a hospedagem de terceiros significa entregar a entidades externas
a responsabilidade pela disponibilidade e manuteno dos servios web da instituio.
70
Existe uma grande tendncia de migrao de servios para o ambiente web, o que torna a
importncia desse servio ainda maior. Alguns especialistas preveem que na internet do
futuro (no muito distante) o usurio de PC ter apenas um nico programa instalado em
sua mquina: um web browser, que prover acesso a qualquer tipo de servio: web, e-mail,
edio de textos e planilhas, acesso remoto, home-banking, home-office, videoconferncia,
videochamada, videomedicina, monitorao remota de ambientes etc.
SFTP
11 Prov as mesmas funcionalidades do servidor de FTP, porm aplicando criptografia, q
para garantir a confidencialidade e integridade dos dados transferidos.
11 Dentre as vrias aplicaes, o uso desse servio evita que usurios da rede transfiram
grandes quantidades de dados via e-mail, o que nem sempre possvel por limitaes
do servio.
E-mail
11 O servidor de e-mail o responsvel por receber todas as mensagens destinadas aos q
usurios da rede local, bem como transmitir para os servidores de e-mail remotos
todas as mensagens de e-mail desses mesmos usurios.
11 A comunicao entre os softwares clientes e seus servidores pode se dar via proto-
colos IMAP ou POP3 para a recepo de mensagens.
Existem outros protocolos menos conhecidos para prover essa interao. Uma das princi-
71
Servidor de Correio remetente Servidor de Correio destinatrio
SMTP
POP3
ou IMAP
SMTP
Figura 5.4
Servio de e-mail:
servidores e
clientes de e-mail.
Remetente Destinatrio
11 Nesses casos pode-se fazer uso de um servio de e-mail comercial, administrado por
uma entidade externa.
SMTP
Rede local
POP3 ou IMAP
SMTP
Remetente Destinatrio
Figura 5.5
Servio de e-mail
hospedado
remotamente.
Introduo rede Ip
Repositrio de arquivos
11 Esse servio provido atravs dos ditos HDs virtuais, servio largamente oferecido q
na internet de graa.
72
11 O compartilhamento feito sem que o usurio remoto necessite de qualquer recurso q
especial, basta uma conexo internet.
11 importante que esse servio seja usado apenas como repositrio e nunca como
ponto oficial de armazenamento de dados relevantes.
Internet
Rede DMZ
Figura 5.6
Rede corporativa Rede corporativa
e DMZ: firewall.
73
10.0.1.1 200.1.1.1
10.0.1.1 10.0.1.2 200.1.1.2
10.0.1.3 200.1.1.3
10.0.1.2
Internet
10.0.1.3
Figura 5.7
Operao do NAT:
converso de
endereos.
10.0.1.1:8811 200.1.1.1:8811
10.0.1.1 10.0.1.2:9112 200.1.1.1:9112
10.0.1.3:8811 200.1.1.1:13532
10.0.1.2
Internet
10.0.1.3
Figura 5.8
Operao do PAT:
converso de
endereo e porta.
11 Nos dias atuais, o PAT muito mais usado que o NAT, porque efetivamente economiza q
o uso de endereos IP, dado que todos os elementos de uma rede so enxergados na
internet sob um nico endereo.
74
Procedimento de solicitao de bloco IP
11 Uma vez qualificada pelo CG-RNP para ser cliente da rede Ip, a organizao usuria q
ter direito a um bloco IP fornecido pela RNP.
11 A solicitao desse bloco feita pelo contato tcnico da organizao e constitui uma
das etapas do processo de qualificao da organizao usuria.
11 O contato tcnico ganhar um acesso extranet da RNP e ter que preencher um ques-
tionrio fornecendo vrias informaes, incluindo o nmero de hosts endereveis de
sua rede e a perspectiva de crescimento desse nmero para os prximos anos.
11 A instituio no poder escolher o bloco IP que usar, mas o tamanho do seu bloco.
11 Os nmeros IP propriamente ditos sero definidos pela RNP de acordo com a sua
DNS reverso
11 O servio de DNS reverso, como o nome sugere, executa uma tarefa oposta ao DNS q
tradicional, mas de modo similar.
75
11 O servio de DNS tradicional utiliza os registros do tipo A (address). O DNS reverso q
funciona atravs de consultas aos registros PTR dos servidores de DNS.
11 Uma das aplicaes mais latentes do DNS reverso atualmente est ligada ao servio
de e-mail.
22 Ao enviar um e-mail, o software cliente tem total liberdade para editar os campos
do remetente, data, hora e destinatrio da mensagem.
22 Dessa forma, nada impede que um software malicioso envie um e-mail preen-
chendo o campo do remetente com um valor falso.
11 comum para qualquer usurio da internet receber e-mails aparentemente remetidos por
seus amigos com mensagens de anncios comerciais, um tipo de spam mais elaborado.
11 O DNS comea uma busca recursiva at chegar ao servidor DNS, que responde por
consultas de reverso para o range 200.1.1.0/24.
11 O resultado prtico que se o DNS reverso de uma instituio no est registrado corre-
tamente, vrios e-mails enviados por usurios daquela instituio no sero entregues.
76
11 Em seguida, dever enviar um e-mail para registro@rnp.br informando os hostnames q
dos servidores e a faixa de IP pelas quais eles respondem.
11 Dvidas sobre a configurao do servidor DNS propriamente dito podero ser escla-
recidas junto ao PoP da RNP.
11 Grande parte dos PoPs j disponibiliza essa informao on-line em seu website.
Documentao
11 A documentao da rede um dos maiores desafios que acompanham a atividade de q
administrao de rede.
11 Embora seja uma tarefa simples, raramente existe uma equipe exclusivamente designada
para esse fim, o que quase sempre provoca a existncia de documentao desatualizada.
Estudos mostram que o ambiente de rede bem documentado tem menor tempo de dispo-
nibilidade que ambientes desorganizados. Esse dado facilmente justificado. Um bom pro-
cesso de documentao recomendvel e contribui para o bom desempenho dos servios e
para reduo do downtime, simplificando troubleshooting e aprovisionamentos.
77
De posse da descrio de um problema e da documentao da topologia, do cabeamento e
das VLANs da rede, pode-se avaliar com facilidade os pontos da rede com maiores chances de
provocar a falha. Em alguns casos pode-se diagnosticar o problema sem sequer conectar-se a
um equipamento de rede.
Ferramentas de monitoramento
11 Existem diversas ferramentas projetadas para realizar o gerenciamento de redes. q
11 H boas opes de solues proprietrias bem como competentes ferramentas de
software livre.
Cacti q
11 Ferramenta totalmente grfica baseada em consultas SNMP.
11 Inclui interfaces de rede, utilizao de CPU, memria, rea de swap de servidores etc.
Figura 5.9
Cacti.
78
MRTG q
11 Ferramenta totalmente grfica com a mesma proposta do Cacti, mas possui menos
recursos.
Figura 5.10
MRTG.
NFSen q
11 Ferramenta grfica que recebe e processa mensagens de flow dos equipamentos
de rede.
11 As ferramentas baseadas em SNMP permitem definir, por exemplo, que uma inter-
face de determinado roteador tem uso de 8Mbps em um determinado horrio.
Figura 5.11
NFSen.
79
Muitas outras ferramentas esto disponveis. As equipes da GO e dos PoPs utilizam diversas lPara mais informaes
ferramentas de gerncia para administrar a rede Ip. A experincia dessas equipes com as sobre o evento: http://
ferramentas de gerncia utilizadas compartilhada em eventos peridicos, como o WRNP. www.rnp.br/wrnp/
Os clientes da RNP so motivados a participar dos minicursos disponveis nesse evento.
O WRNP tem ainda outras propostas.
Introduo rede Ip
80
6
Instalao do roteador da RNP
objetivos
conceitos
Componentes bsicos dos roteadores J2350 e J2320.
22 Ele far a interface entre a rede da instituio e a rede de acesso do PoP RNP.
11 Cada plataforma Juniper possui um guia de hardware que prov as instrues deta-
lhadas de instalao.
Requisitos fsicos
11 O roteador da srie J preparado para ser instalado em um rack. q
11 Para abrigar o equipamento, um rack deve atender aos requisitos:
O espao horizontal entre os suportes de um rack que satisfaz um dos padres citados
normalmente um pouco maior que o espao entre as presilhas de montagem do roteador,
que mede 19 polegadas (48,2 cm).
Caso o espao entre os suportes do rack seja configurvel, dever ser arranjado de modo a
acomodar as dimenses externas do chassi. Alm disso, deve-se verificar se a especificao
do rack permite que o peso do roteador seja adicionado carga total existente.
81
11 O equipamento consome 1 RU do rack. q
11 Seu peso varia de 6,8 a 7,6 Kg, dependendo da quantidade de placas instaladas.
11 Seu peso varia de 7,4 a 8,3 Kg, dependendo da quantidade de placas instaladas.
Em racks com mltiplos equipamentos deve-se certificar que os mais pesados esto na
parte de baixo. Caso o rack tenha apenas um nico equipamento (o roteador RNP) reco-
mendado coloc-lo na parte inferior.
Requisitos de ventilao
O sistema de cooling dos roteadores J2350/J2320 funciona gerando o fluxo de ar de uma q
lateral do equipamento (no lado esquerdo) at a outra (no lado direito).
Assim, para que o sistema de cooling funcione adequadamente, necessrio que os lados
do equipamento tenham um espao livre. Dessa forma, recomendado que as paredes
laterais do rack sejam vazadas. Alm disso, recomenda-se que essas laterais tenham um
espao livre de pelo menos 15 cm. O roteador tem cinco ventiladores que enviam ar do
lado esquerdo do roteador para o direito. Esse fluxo de ar mantm o equipamento em
temperatura adequada.
Figura 6.1
Requisitos de ambiente Roteador J2350:
ventilao lateral
A tabela seguinte exibe as condies de ambiente consideradas timas para a operao (Fonte: http:www.
normal do roteador Juniper. juniper.net)
Descrio Valor
Temperatura 0% a 40%
ambiente.
82
Descrio Valor
Frequncia AC 50 a 60 Hz
importante que o ambiente seja pensado de tal forma que o cabo de fora no atravesse o
mesmo caminho que ser usado pelas pessoas.
11 Antes de adicionar novas PIMs (Physical Interface Module) ao chassi, preciso veri- q
ficar se a combinao de PIMs e mdulos no exceder a capacidade de fora e calor
do equipamento.
Manuseio de placas
Placas da Juniper (PIMs ou outras) so dispositivos caros e sensveis. A seguir exemplos de
como NO se deve fazer o translado de uma placa.
Figura 6.2
Como NO
transportar
uma placa.
Captulo 6 - Instalao do roteador da RNP
As placas devero ser transportadas com as duas mos apoiando a parte inferior do hardware.
83
Figura 6.3
Como transportar
uma placa.
Descarga eletrosttica
11 Placas que so retiradas do equipamento contm partes sensveis descarga q
eletrosttica.
11 Placas PIMs (ou outras) podem sofrer danos sob voltagens da ordem de 30 V.
11 Uma pessoa pode facilmente gerar uma energia esttica dessa magnitude quando
manuseia um material plstico ou uma embalagem de espuma, por exemplo.
22 Sempre use uma pulseira (ou tira) eletrosttica ao manusear placas do roteador.
11 Evite o contato do hardware com a sua roupa. Ela tambm pode emitir voltagem sufi-
ciente para danificar o equipamento.
Aterramento
recomendvel que a infraestrutura fsica que abrigar o roteador da RNP possua recursos
para dissipao de energia, tal qual uma malha de terra.
84
Ponto de aterramento
de proteo em chassis
Parafuso com
arruela prisioneira
Terminal de aterramento
Figura 6.4
Aterramento.
STATUS LED
ALARM LED
HA LED
Power RESET Console LAN USB ports ESD
button CONFIG port ports point
button
Figura 6.5 O roteador J2350 um equipamento da srie J. O hardware tem as seguintes caractersticas
Juniper J2350. principais:
O roteador possui:
11 Duas portas USB, que permitem que um drive USB seja usado como unidade de armaze-
namento secundria;
85
Componentes bsicos do roteador J2320
STATUS LED
ALARM LED
O roteador J2320 o equipamento de entrada da srie J. O hardware tem as seguintes Figura 6.6
caractersticas principais: Juniper J2320.
11 Ocupa 1 RU de rack. q
11 256 MB de DRAM (expansvel at 1GB).
11 Possui uma porta USB, que permite que um drive USB seja usado como unidade de
armazenamento secundria.
11 Ponto ESD (eletrostatic discharge): usado para conectar uma pulseira eletrosttica;
11 LED Alarm: se aceso, indica que h um alarme ativo. Pode ser um alarme crtico, majori-
trio ou minoritrio. Para mais detalhes ser necessrio se conectar ao sistema;
11 Porta Console: a porta prov um terminal (RS-232) com um conector RJ-45. usada para
acessar a CLI do roteador;
86
11 Porta Auxiliar: a porta prov um terminal (RS-232) remoto com um conector RJ-45.
usada para acessar a CLI do roteador remotamente;
11 Portas USB: aceitam a conexo de um drive USB que ser usado como um meio de arma-
zenamento;
11 Portas LAN: recebem conexes de rede do padro 10/100/1000 Base-TX Gigabit Ethernet;
87
88
Introduo rede Ip
7
Fundamentos de Junos
objetivos
conceitos
Caractersticas do Junos, plano de controle, plano de encaminhamento e
processamento de trfego.
Software modular
11 O sistema operacional da Juniper o Junos. q
11 Foi desenvolvido a partir do cdigo aberto do Free BSD e tornou-se uma referncia no
mercado de redes por sua estabilidade e modularidade.
22 Cada processo possui uma funo especfica e roda em seu prprio espao (prote-
gido) de memria, garantindo que um processo no sofra com falta de recursos e
no interfira nos recursos de outros.
11 No Junos essa operao mais simples e consequentemente traz menos riscos de falha.
Captulo 7 - Fundamentos de Junos
89
Figura 7.1
Modularidade
Juniper.
11 Esse fator faz com que a configurao e a operao das diferentes plataformas fun-
cionem exatamente da mesma maneira.
11 Dessa forma, as plataformas definem uma entidade especfica para cada uma dessas
funes: o plano de controle e o plano de encaminhamento.
Routing Engine
RT FT JUNOS
Software
Control Plane Internal link
Forwarding Plane
Figura 7.2
FT Separao
Frames/ Frames/ entre planos de
Packets in Packets out Controle e de
Packet Forwarding Engine
Encaminhamento.
dos demais, que cuidam dos protocolos de roteamento e tarefas administrativas da caixa. Esse
design permite ao usurio do equipamento ajustar cada processo conforme sua necessidade.
11 O plano de controle executado pela Routing Engine (RE), enquanto o plano de enca- q
minhamento implementado pela Packet Forwarding Engine (PFE).
90
11 As mensagens de atualizao da FT tm alta prioridade do kernel do Junos. q
11 Enquanto a RE prov a inteligncia do sistema, a PFE pode simplesmente executar o
encaminhamento dos pacotes com alto grau de confiabilidade e performance.
Embora todas as plataformas Juniper utilizem o mesmo conceito de separao entre con-
trole e encaminhamento, a implementao dos componentes que definem a RE e a PFE varia
de modelo para modelo. Nos equipamentos das sries M e T (mais robustos), a RE e a PFE
compreendem diferentes hardwares. A PFE executada em circuitos integrados exclusivos
(ASICs) enquanto a RE implementada por um processador.
Routing Engine
RT FT JUNOS
Software
Control Plane
Forwarding Plane
Figura 7.3
Packet Forwarding Engine
Routing engine.
11 A PFE envia mensagens de status para a RE, que agir caso alguma mensagem
reporte uma situao inadequada.
91
Packet Forwarding Engine
11 A PFE o componente central do plano de encaminhamento. q
11 Sua funo despachar os pacotes recebidos com a maior velocidade possvel.
11 A manuteno dessa tabela local evita que a PFE tenha que consultar as tabelas da RE
para tomar a deciso de encaminhamento de cada pacote.
Routing Engine
Control Plane
Forwarding Plane
FT
Frames/ Frames/ Figura 7.4
Packets in Packets out
Packet Forwarding Engine Forwarding Engine.
Processamento de trfego
Trfego de trnsito
11 Consiste em todo trfego que entra por uma interface de rede fsica, tem par- q
metros comparados com a tabela de encaminhamento e deixa o chassi por uma
interface de sada.
11 Para que o encaminhamento do pacote seja feito com sucesso, precisa haver uma
entrada na FT da PFE.
92
Routing Engine
CPU
Control Plane
Forwarding Plane
FT
Frames/ Frames/
Figura 7.5 Packets in Packets out
Trfego de trnsito. Packet Forwarding Engine
O trfego unicast chegar ao roteador por uma interface de entrada e sair por apenas
uma interface de sada. O trfego multicast entrar por uma interface de entrada e poder
sair por vrias interfaces de sada, dependendo do nmero e da localizao dos receptores
multicast presentes na rede.
Trfego de exceo
O outro tipo de trfego processado pelo roteador o trfego de exceo. Diferente do
trfego de trnsito, tratado mecanicamente pela PFE, o trfego de exceo requer alguma
forma de processamento especial. Alguns exemplos de trfego de exceo:
22 Pacotes com o campo IP options marcado precisam ser enviados para apreciao
da RE.
93
Routing Engine
CPU
Control Plane
Forwarding Plane
Frames / Packets in
?
Frames / Packets out Figura 7.6
Packet Forwarding Engine Trfego de exceo
11 O Junos limita a quantidade de trfego de exceo nesse link interno para proteger a
RE de ataques de DoS (Denial of Service).
Routing Engine
CPU
Control Plane
Figura 7.7
Limitador de
Frames/
trfego no link
Packets in
Packet Forwarding Engine interno.
94
8
Opes de acesso ao Junos
objetivos
conceitos
Acesso do usurio, CLI do Junos, modos de acesso, Ajuda, Help Topic, Help Reference,
completando comandos, teclas de edio EMACS, caractere pipe, modos de operao
e configurao, interface J-Web GUI.
A interface de usurio
11 O Junos oferece duas formas de acesso de usurio: linha de comando ou interface q
J-Web (http).
11 A interface de linha de comando do Junos (CLI Command Line Interface) pode ser
acessada de duas maneiras.
33 Para tal acesso deve-se utilizar um cabo console para conectar a porta console
do roteador a um notebook (ou mesmo um PC).
Diferentemente do acesso via console, para acessar a caixa via protocolo de acesso neces-
srio executar uma configurao prvia em alguma interface de rede (a interface precisa ter
IP configurado, por exemplo).
Captulo 8 - Opes de acesso ao Junos
Muitas plataformas da Juniper oferecem ainda uma porta ethernet dedicada apenas para
gerncia. Essa interface, a exemplo da porta console, tambm oferece acesso out of band.
Essa porta no oferece servio ao trfego de trnsito, e no existe no equipamento J2320.
11 O acesso do usurio ao sistema tambm se d via uma interface web que vem habili- q
tada de fbrica. A Juniper chama essa interface de J-Web.
11 J-Web uma interface grfica (GUI) que um usurio pode acessar utilizando protocolo
http (Hypertext Transfer Protocol) ou https (http over Secure Sockets Layer).
95
Essa interface web permite que o usurio configure parmetros mais comuns do roteador
atravs de janelas do tipo wizard. Para configuraes mais elaboradas, a J-Web permite
edio direta do arquivo de configurao da caixa, que um arquivo texto.
A CLI do Junos
Fazendo login
11 O primeiro passo para acessar a interface CLI fazer o processo de login. q
11 O Junos requer username e password para prover acesso ao sistema.
11 Toda plataforma Junos possui a conta do usurio root configurada de fbrica, sem
senha.
Processo de login:
host (ttyu0) q
11 login: user
11 Password:
--- JUNOS 9.5R1.8 built 2009-04-13 20:03:09 UTC
11 user@host>
11 Quando se faz o login utilizando o usurio root, tem-se acesso a um shell de Unix.
11 Para que um usurio no root tenha acesso a um shell, deve-se digitar o comando:
# start shell
Modos de acesso
A CLI do Junos permite duas modalidades de acesso: q
11 Modo de operao:
11 Modo de configurao:
96
Ajuda
11 A CLI do Junos prov acesso a um minimanual (help) em qualquer ponto da linha de q
comando.
11 O help informa as opes disponveis no ponto do comando onde a ajuda foi solici-
tada, fornecendo uma breve explicao de cada opo.
Invocando ajuda:
user@host> ?
Possible completions:
user@host> clear ?
Possible completions:
No exemplo acima, na parte superior, o usurio solicitou ajuda na CLI em branco. O Junos
ento listou todos os comandos disponveis. Na parte inferior, o usurio solicitou ajuda
aps digitar o comando clear. A CLI informou todas as opes que podem ser usadas para
completar esse comando.
exemplo acima o usurio tivesse digitado clear a?, o sistema teria mostrado todas as
opes do comando clear que comeam com a letra a.
Help Topic
O comando help topic fornece um manual mais completo sobre um determinado q
tpico do sistema.
97
Help topic:
Possible completions:
configuring the protocol family. For the inet family, configure the
addresses for the loopback interface. For the ccc, tcc, mpls, tnp, and
Help Reference
O comando help reference apresenta um manual sumarizado, um pouco mais prtico e q
menos terico, sobre um determinado tpico do sistema.
O exemplo seguinte exibe a aplicao do help reference sobre o mesmo tpico de sistema
do exemplo anterior.
O sistema explica as opes de configurao disponveis para o tpico e a sintaxe a ser utili-
zada, assemelhando-se ao comando man dos sistemas Unix.
address
Syntax
Introduo rede Ip
address address {
broadcast address;
...
98
Hierarchy Level
...
Existem ainda outras variedades de uso do comando help menos populares, que podero
ser exploradas ao longo da experincia dos alunos junto plataforma.
Completando comandos
11 O Junos permite a utilizao de teclas de completamento de comandos para evitar q
que o usurio precise executar um comando completo.
11 Utilizando a tecla de espao, o Junos completa o comando que est sendo digitado,
simplificando a operao do sistema.
Outra forma de completar o comando usar a tecla Tab. Essa tecla tem basicamente a
mesma utilidade da tecla de espao. Se acionada no meio da digitao de um comando o
Tab, completa a string do comando.
A diferena de uso entre o Tab e a tecla de espao que quando existe ambiguidade de
comandos disponveis, o Tab exibe os comandos ambguos disponveis.
1Ctrl+b
user@host> show interfaces
Posio do cursor
Sequncia
do teclado 1Ctrl+a
Captulo 8 - Opes de acesso ao Junos
1Ctrl+f
user@host> show interfaces
99
As seguintes sequncias so suportadas:
11 Ctrl + d: remove todos os caracteres do incio da linha at o ponto onde est o cursor.
11 Esse comando permite que a sada de um comando seja recebida e processada por
um segundo comando.
11 display set: disponvel apenas no modo de configurao. Exibe os comandos set que
geraram as linhas de configurao.
11 display xml: exibe a sada do comando anterior ao pipe no formato JUNOScript XML.
Introduo rede Ip
11 find <regular expression>: exibe a sada do comando anterior comeando da linha que
contm a expresso regular especificada.
11 hold: exibe a sada do comando anterior ao pipe tela a tela (como faz o comando more
do Unix).
100
11 last: exibe a ltima tela da sada do comando anterior ao pipe.
11 no-more: exibe a sada do comando anterior ao pipe toda de uma vez, sem pausa entre
diferentes telas.
11 save <filename>: salva o output do comando anterior ao pipe para o arquivo especificado.
11 trim: especifica o nmero de colunas a partir da linha inicial da sada do comando ante-
rior ao pipe.
possvel cascatear mltiplos pipes para processar uma sada de comando j processada
por um pipe.
101
Introduo rede Ip
102
Roteiro de Atividades 3
Atividade 3.1 Acessar o Juniper via console serial
1. Uma das maneiras de se acessar o roteador via cabo de console serial. Esse cabo
fornecido junto com o equipamento e possui um conector RJ45 em uma das pontas, que
voc dever conectar na porta de console do roteador e o outro conector DB9 em outra
ponta, que voc dever conectar na porta serial do computador.
Figura 8.2
Tela de
configurao do
software PuTTY.
Captulo 8 - Roteiro de Atividades 3
Aps alterar o connection type tipo de conexo para serial, clique em open; vai apa-
recer uma tela preta, onde voc dever digitar a tecla enter. Feito isso, voc entrar na tela
de login solicitando um usurio.
O usurio root. Aps informar o usurio o sistema solicitar uma senha. Essa senha vem
em branco de fbrica.
103
2. Entrando no modo operao;
Quando voc acessa o Junos com o usurio root, recebe um Shell Linux que fornece a
maioria dos comando bsicos do Unix. Para acessar o console do Junos, voc dever digitar
o comando cli (isso ocorre somente com o usurio root).
root@% cli
Aps o comando cli voc perceber que o prompt foi alterado, identificando que voc est
no modo operao.
root>
O Junos oferece algumas opes de ajuda, que auxiliaro na administrao do sistema ope-
racional. A primeira opo o sinal ?, logo aps cada comando.
Possible completions:
[edit system]
Possible completions:
[edit system]
104
Outra opo de ajuda que o Junos oferece com o comando help topic, que junto ao sinal
de interrogao fornece uma ajuda mais detalhada sobre uma configurao desejada.
[edit system]
host-name hostname;
Related Topics
[edit]
Outra opo de ajuda que o Junos oferece com o comando help reference, que junto o sinal
de interrogao, fornece informaes mais detalhadas sobre uma configurao desejada.
host-name
Syntax
host-name hostname;
Hierarchy Level
[edit system]
Release Information
Description
Options
Usage Guidelines
[edit]
105
Atividade 3.2 Opes da interface de usurio
Parte 1: Obtendo ajuda no Junos
Verifique as possveis opes do comando clear.
R.:5 clear ?
Verifique todas as opes do comando show system que comecem com a letra a.
Cheque outros temas referentes a interfaces para os quais seja possvel solicitar o manual
de informaes.
Cheque outros temas para os quais seja possvel solicitar o manual de informaes.
Utilize o comando help reference para verificar instrues de como aplicar um endereo a
uma interface.
11 Digite o comando pow interfaces fe-0/0/0 e tecle <Enter> (isso gerar um erro).
106
Ctrl+p
Ctrl+a
Tecle <Enter>.
Modo de operao
11 Ao fazer login no Junos, o usurio tpico ganha acesso ao modo de operao, utilizado q
para tarefas de monitorao e controle da plataforma.
Less Specic
Figura 8.3
database interface neighbor ...
Hierarquia do Modo
de Operao.
More Specic
11 Troubleshooting;
Captulo 8 - Roteiro de Atividades 3
11 Reincio de processos;
107
Comandos do Modo de Operao:
user@host> ?
possible completions:
Modo de configurao
11 Esse modo permite a um usurio alterar o arquivo de configurao do sistema. q
11 Diferente da maioria dos fabricantes, os equipamentos Juniper no efetivam as alte-
raes de configurao no exato momento em que os comandos de configurao
so executados.
22 Configurao Ativa:
22 Configurao Candidata:
commit
rollback n
0
1 2 ... 49
Figura 8.4
Configurao Ba lde
Candidata e d e b its
Configurao Ativa.
11 As alteraes passam a ser vlidas. Se a sintaxe no est correta, o sistema gera uma men-
sagem de erro e a configurao candidata no efetivada at que o erro seja corrigido.
11 Caso o usurio mude de ideia quanto configurao recm aplicada, pode-se retornar
configurao anterior atravs do comando rollback no modo de configurao.
109
11 Alm disso, surge no prompt um par de parnteses ([ ]), indicando em qual ponto da q
hierarquia do arquivo de configurao o usurio est.
Configurao exclusiva
11 Por default, mltiplos usurios podem entrar no modo de configurao e executar q
commit.
11 Ou seja, o usurio tem a garantia de que somente ele est editando a configurao
candidata.
user@host> configure q
Entering configuration mode
[edit]
user@host#
[edit]
user@host#
Configurao privada
Outra forma de entrar no modo de configurao fazendo uso do comando configure
private. Esse comando permite que mltiplos usurios editem a configurao. Nesse caso,
ao fazer commit, os usurios salvam na configurao ativa apenas as linhas de configu-
rao que cada um editou.
Se dois usurios esto no modo de configurao privada e ambos fazem a mesma modifi-
cao, o segundo commit vai falhar, e ser exibida mensagem de erro para evitar conflito
de configurao. Se o usurio que executou o segundo commit insiste e executa um novo
commit, a configurao salva corretamente.
110
Em alguns cenrios, o administrador do sistema pode querer definir que todas as edies da
configurao sejam feitas com configure private e nunca com configure. Ao criar contas
de usurios possvel limitar os comandos disponveis. Pode-se ento excluir a permisso
para executar o configure, permitindo, por exemplo, o configure private.
[edit]
user@host# edit protocols ospf area 51 stub
[edit protocols ospf area 0.0.0.51 stub]
user@host#
[edit]
Less Specic
Por exemplo, na CLI do modo de operao disponibiliza o comando show para mostrar
informaes especficas do sistema, enquanto que no modo de configurao tambm h um
comando show, mas para exibir uma poro especfica do arquivo de configurao. Os dois
comandos de show no tm qualquer relao.
111
Comandos set e show no Modo de Configurao:
[edit system] q
user@host# set services web-management http port 8080
[edit system]
web-management {
http {
port 8080;
11 O final de cada linha de configurao termina sempre com um ponto e vrgula (;), asse-
melhando o formato do arquivo a um cdigo de linguagem de programao estruturada.
11 Para mover-se para os nveis mais baixos da hierarquia utiliza-se o comando edit,
especificando o nvel ao qual se deseja chegar.
Aps mudar de nvel, o prompt muda para indicar o novo nvel onde o usurio est posicionado.
[edit]
user@host# edit protocols ospf area 51 stub
[edit]
112
[edit protocols ospf area 0.0.0.51 stub]
user@host# up
[edit]
Figura 8.7
Comando up. area-range area_range interface nssa stub ...
[edit]
Figura 8.8
area-range area_range interface nssa stub ...
Comando up <n>.
Para retornar para o nvel raiz da hierarquia de configurao utiliza-se o comando top.
Captulo 8 - Roteiro de Atividades 3
113
[edit protocols ospf area 0.0.0.51 stub]
user@host# top
[edit]
user@host#
[edit]
Figura 8.9
area-range area_range interface nssa stub ... Comando top.
11 O comando top pode ser combinado com o comando edit para se mover de um q
determinado nvel da hierarquia para outro nvel completamente diferente, com
apenas um comando.
ssh;
11 Se o usurio estiver na raiz (nvel edit) o comando exit sai do modo de configurao.
114
[edit protocols ospf]
user@host# edit area 51 stub
[edit protocols ospf area 0.0.0.51 stub]
user@host# exit
[edit protocols ospf]
user@host#
[edit]
Resumo dos comandos para navegao entre os diferentes nveis da hierarquia de configurao:
Comando set:
user@host# show
ssh ;
telnet;
Captulo 8 - Roteiro de Atividades 3
user@host# show
115
ftp;
ssh;
telnet;
No exemplo anterior, o comando set adicionou o comando ftp no nvel [edit system
services]. possvel executar o mesmo comando sem a necessidade de se mover para
o ponto da hierarquia a ser alterado. Para tal, poderia ter sido executado o comando
set system services ftp a partir do nvel [edit]. Ou ainda, poderia ter sido usado o
comando set services ftp a partir do nvel [edit system].
11 Para desfazer uma ao executada por um comando set, utiliza-se o comando delete. q
11 Esse comando remove uma linha de configurao e todas as linhas relacionadas.
Comando delete:
ftp ;
ssh;
telnet;
user@host# show
ftp ;
ssh;
Dependendo do uso que se deseja fazer do comando delete, possvel usar o wildcard
delete. Esse comando til quando se deseja remover vrias configuraes semelhantes.
O prximo exemplo exibe a utilidade desse recurso.
[edit]
matched: ge-1/0/0
Introduo rede Ip
matched: ge-1/0/1
[edit]
116
user@host#
[edit]
[edit]
user@host# commit
commit complete
[edit]
##
##
unit 0 {
family inet {
address 10.210.11.177/28;
family inet6;
[edit]
[edit]
Captulo 8 - Roteiro de Atividades 3
user@host# commit
commit complete
[edit]
unit 0 {
family inet {
117
address 10.210.11.177/28;
family inet6;
Comando show:
[edit]
ssh;
web-management {
http {
port 8080;
}
Introduo rede Ip
[edit]
118
user@host# show
ssh;
web-management {
http {
port 8080;
Hint To view the set commands used to build the configuration use
the show | display set command.
11 Dessa forma, o usurio tem acesso aos comandos que foram efetivamente utilizados
para fazer as configuraes presentes no arquivo.
[edit]
11 A forma mais simples e usual de executar essa tarefa j foi apresentada: commit.
11 Caso haja erros de sintaxe, uma mensagem de erro ser gerada e a configurao no
ser salva.
Comando commit:
119
[edit]
user@host# commit
commit complete
Uma forma de verificar de antemo se a configurao est sem erros de sintaxe atravs do
comando commit check. Esse comando verifica se a configurao candidata est correta,
mas no salva essa configurao.
[edit]
family
Normalmente quando isso acontece, a nica soluo levar um notebook at a sala onde
est o roteador, conectar o notebook porta console e corrigir o problema. Se o usurio que
est fazendo a configurao no est no prdio onde est o roteador, pode estar caracteri-
zado um problema srio.
O Junos apresenta uma proposta para essa situao: o comando commit confirmed.
Antes de salvar a configurao candidata com o comando commit, o usurio tem a opo
de executar o commit confirmed <time>, onde <time> um nmero expresso em minutos.
Esse comando faz com que o roteador efetive a configurao candidata durante alguns
minutos. Se aps essa quantidade de minutos especificada o usurio no se pronunciar,
o roteador volta com a configurao anterior (rollback1 !). Se o usurio quiser confirmar a
efetivao da configurao candidata, ele deve executar um commit.
[edit]
confirmed
commit complete
120
Repare que, caso o usurio tenha cometido um erro de configurao que comprometa a conec-
tividade do equipamento, esse procedimento evita que o usurio perca acesso total ao equipa-
mento durante muito tempo, caso esteja fazendo uma alterao de configurao remotamente.
Se o comando executado sem que seja especificado um valor de tempo, o valor assumido
de 10 minutos.
O Junos tambm permite que um usurio agende um commit. Para tal utiliza-se o commit at.
[edit]
...
Outra possibilidade deixar um log registrado do commit que ser executado. Para tal utiliza-se
o comando commit comment. Dessa forma, o commit ficar registrado na sada do comando
de verificao show system commit, que deve ser executado no modo de operao.
[edit]
commit complete
Por fim, o Junos permite executar o commit e deixar o modo de configurao de uma s
vez. Para tal utiliza-se o comando commit and-quit.
121
Checando alteraes antes de salvar
11 Um usurio fez dezenas de mudanas na configurao candidata. Antes de executar o q
commit, precisa ter certeza de que tudo foi feito.
+ ftp;
- telnet;
Restaurando configuraes
11 O Junos pode guardar automaticamente as ltimas 50 verses de arquivos q
de configurao.
122
Dessa forma, a vida de um arquivo de configurao retratada na figura a seguir.
rollback n
0
1 2 ... 49
Comando save:
[edit]
Este comando salva as linhas da configurao candidata em um arquivo cujo nome foi
especificado. As linhas que sero salvas no arquivo ASCII so as linhas da hierarquia onde se
estava ao executar o comando.
A seguir podemos conferir formas alternativas para selecionar o destino do arquivo que
ser salvo.
123
Selecionando destino do arquivo:
[edit]
[edit]
[edit]
A segunda opo exibida faz com que o roteador salve o arquivo em um diretrio de um
servidor de FTP remoto, utilizando o login user e a senha password.
A terceira opo mostra o arquivo sendo salvo em um servidor remoto host, atravs de
um security copy, utilizando o login user. Nesse caso o sistema remoto solicitar a senha
atravs de um prompt.
O load pode carregar a configurao completa ou parcial contida em um arquivo ASCII local, de
um arquivo em um servidor remoto ou do buffer de um programa de emulao de terminal.
11 replace: procura pela tag replace no arquivo de configurao que est sendo carre-
gado. O software troca as linhas existentes com o mesmo nome daquelas marcadas
com replace no arquivo carregado.
Comando run
q
Introduo rede Ip
124
Uso do comando run:
commit complete
11 A aba Dashboard prov uma viso geral do status do sistema, das portas, dos alarmes
ativos e informaes de utilizao.
mouse ou via acesso direto configurao em formato texto. Um Help fica disponvel
em um cone ?, o qual pode ser clicado.
11 A aba Troubleshoot prov acesso a ferramentas simples de rede como ping e traceroute.
125
Processo de login na J-Web
Para que seja possvel o acesso ao sistema atravs da J-Web, necessrio que o comando q
http ou https esteja configurado na hierarquia [edit system services web-management].
J-Web habilitado:
[edit system]
ssh;
telnet;
web-management {
http;
Se for utilizado o https ser necessrio gerar e instalar um certificado local para segurana
da pgina.
A viso default que aparece para o usurio ao executar o login traz a aba Monitor. Nesse
local o usurio tem acesso s estatsticas em tempo real das interfaces e de outros parme- Figura 8.12
Introduo rede Ip
126
Figura 8.13 A opo Interfaces mostra informaes sobre as interfaces do roteador.
Aba Monitor/
Chassis.
127
Introduo rede Ip
Figura 8.14
Aba Monitor/
Interfaces.
128
Dentro da aba Monitor/Interfaces podemos selecionar uma determinada interface,
conforme mostrado na figura seguinte.
Figura 8.15
Aba Monitor/ Na aba Manage/Files o usurio gerencia o sistema de arquivos. As aes disponveis nessa
Interfaces/
ge-0/0/0.0. seo esto associadas manuteno do sistema.
Figura 8.16
Aba Manage/Files.
129
Nessa seo possvel gerenciar e manter os arquivos de configurao, fazer download
de arquivos de log, arquivos de dump ou outros arquivos temporrios. Tambm possvel
remover arquivos para liberar espao na memria flash do equipamento.
Por fim, a aba Diagnose prov utilitrios para a investigao de problemas. Pode-se
fazer troubleshoot de portas individuais atravs de comandos como ping e traceroute.
Tambm possvel capturar pacotes.
Figura 8.17
Aba Diagnose/
Ping Host.
Introduo rede Ip
130
Roteiro de Atividades 4
Atividade 4.1 Opes de acesso ao Junos
1. Entrando no modo configurao do Junos;
root> configure
[edit]
[edit]
Para descer a rvore do arquivo de configurao do Junos, deve-se utilizar o comando edit.
[edit interfaces]
Para subir a rvore do arquivo de configurao do Junos, voc deve utilizar o comando up.
root# up
Captulo 8 - Roteiro de Atividades 4
root# up
[edit interfaces]
root# up
[edit]
131
O Junos oferece um comando para voc ir ao topo do arquivo de configurao, indepen-
dente de onde voc estiver localizado. Esse comando o top.
root#
root# top
[edit]
Ao navegar pelo arquivo de configurao do Junos voc pode verificar a configurao com o
comando show.
root# show
root-authentication {
encrypted-password $1$GwoPLZZp$8HKb9z7J55MJHFt7/tErn.; ##
SECRET-DATA
services {
ssh;
telnet;
web-management {
http {
interface ge-0/0/1.0;
syslog {
file messages {
any any;
Para excluir alguma configurao na rvore do Junos, voc deve fazer a exemplo do
comando set, porm utilizando o comando delete.
132
9
Configuraes do roteador
objetivos
conceitos
Configurao default de fbrica, configurao inicial, configurao de interface,
nomeao de interfaces, configuraes de usurio e autenticao, logs do sistema,
Network Time Protocol (NTP) e Simple Network Management Protocol (SNMP).
11 necessrio definir uma senha de root antes que qualquer mudana seja feita no sistema.
A configurao que vem de fbrica pode variar de uma famlia de modelo para outra, ou
mesmo entre diferentes modelos da mesma famlia. As diferentes plataformas so proje-
tadas para executar papis especficos em uma rede, e a configurao de fbrica criada
sob esse conceito.
Para exemplificar a ideia, podemos pensar na famlia EX de switches, que projetada para
executar funes L2. Essa famlia vem com todas as interfaces habilitadas com o Rapid
Spanning Tree (RSPT). Outras plataformas no necessitam desse recurso.
Figura 9.1
Configurao = Congurao Y default de fbrica
default de fbrica.
A configurao default traz o log de sistema habilitado, o qual captura eventos do Junos e
os escreve nos chamados arquivos de log, pr-definidos. A figura seguinte traz um exemplo
tpico de uma configurao de log que vem habilitada no sistema.
133
Configurao de log default:
[edit]
user * {
any emergency;
file messages {
any any;
authorization info;
file interactive-commands {
interactive-commands any;
Sob certas circunstncias, pode ser necessrio voltar configurao original de fbrica.
possvel copiar essa configurao para a configurao candidata. Para tal utiliza-se o
comando load factory-default.
[edit]
[edit]
New password:
[edit]
Introduo rede Ip
user@host# commit
commit complete
134
Configuraes iniciais
Ligando, desligando e reiniciando o Junos: q
11 Uma vez que um equipamento Juniper ligado, se a fora for perdida por qualquer
motivo, e retornar em seguida, o hardware ligar automaticamente, sem necessidade
de interveno manual.
Para desligar o sistema pelo mtodo convencional usa-se o comando request system halt:
Possible completions:
Para plataformas Junos que oferecem REs redundantes, o usurio pode reiniciar ambas REs
simultaneamente, utilizando request system halt both-routing-engines.
11 Uma vez desembalado e ligado, o equipamento Juniper est pronto para receber as q
primeiras configuraes.
11 As senhas do sistema no podem ter menos que 6 (seis) caracteres e precisam incluir
uma mudana de caixa (letras maisculas e minsculas), dgitos ou metacaracteres.
[edit]
135
error: minimum password length is 6
O exemplo mostra a senha sendo configurada como texto plano. Ao contrrio dos demais
sistemas do mercado, o Juniper nunca exibe a senha digitada como texto plano. As senhas
sempre aparecem encriptadas, conforme abaixo:
[edit system]
Alm desse item, tambm recomendvel que os seguintes itens sejam configurados: q
11 Hostname do equipamento.
11 Horrio do sistema.
Uma vez conectado ao equipamento, o prompt mostrar o nome do usurio (root). Como
no haver um hostname configurado, o sistema usar o seu default: Amnesiac.
login: root
136
root@%
root> configure
[edit]
root#
[edit]
[edit system]
[edit system]
New password:
[edit system]
[edit system]
137
11 Alm da data e hora, deve-se confirmar o timezone da regio pertinente. q
11 O timezone configurado de fbrica o UTC (GMT).
11 Uma vez definido o timezone local, a hora do sistema ser ajustada de acordo com a
diferena entre o timezone configurado manualmente e o default.
11 Ao invs de definir o horrio local, existe a opo de configurar o roteador para sin-
cronizar o seu horrio com um servidor de Network Time Protocol (NTP).
[edit system]
[edit sy stem]
11 Outro protocolo de acesso que pode ser configurado de modo similar o http, que q
permite ao usurio acessar o equipamento atravs da interface J-Web.
[edit system]
[root# top
[edit]
[edit]
Introduo rede Ip
Repare que tambm foi configurada uma rota esttica para uma rede de gerncia. Por rede
de gerncia entenda-se a infraestrutura onde estaro as mquinas que precisaro fazer
acesso remoto (via telnet ou SSH) ao roteador, e que recebero traps SNMP dele.
138
Se a instituio tiver um protocolo de roteamento dinmico configurado na sua LAN, esse
tambm poder ser usado para divulgar o endereo IP de gerncia do roteador e aprender
o endereo da rede de gerncia. Algumas literaturas consideram boa prtica manter o rote-
amento esttico para a rede de gerncia, para o caso de falha em um protocolo de rotea-
No Junos, as rotas estticas somente estaro disponveis quando o rpd (Routing
mento.
Protocol Process) estiver rodando.
Verificando as configuraes
Aps realizar toda a configurao inicial, as alteraes executadas podem ser verificadas
com o comando show configuration. Esse comando exibe a configurao ativa com o seu
formato original, com as diferentes hierarquias separadas com chaves ({ }).
Verificando as configuraes:
version 9.5R1.8;
system {
host-name host;
time-zone America/Los_Angeles;
root-authentication {
encrypted-password $1$e/FUEOVo$JF6NiAZxuufGFxDs10MAr/; ##
SECRET-DATA
services {
ssh;
telnet;
syslog {
...
Configurao de resgate
11 O Junos possui o recurso da configurao de resgate. q
Captulo 9 - Configuraes do roteador
11 Trata-se de um arquivo de configurao extra, definido pelo usurio, que fica guar-
dado no sistema e pode ser solicitado em situaes de emergncia.
139
root@host> request system configuration rescue delete
[edit]
load complete
[edit]
root@host# commit
commit complete
Configurao de interface
O uso mais primrio de uma interface a conexo entre diferentes dispositivos de rede. No
entanto, no Junos, algumas interfaces so definidas para exercer outras funes.
11 Interfaces internas:
11 Interfaces de rede:
11 Interface de loopback:
11 Interfaces de servios:
140
22 mt: Interface de Tnel Multicast. q
22 sp: Interface de Servios Adaptativos.
Nomeando interfaces
A figura a seguir apresenta os novos atores introduzidos: Interface, PIC (ou PIM) e FPC.
Enquanto diferentes
Tipo de mdia da interface (ge, so, at, e assim por diante)
plataformas usam nomes
Nmero do slot do carto de linha (FPC) diferentes para os cartes
Nmero do slot do carto de interface (PIC) de linha e os cartes de
Nmero da porta interface, o CLI quase
sempre usa FPC e PIC.
PIC
A numerao da porta e do slot Line card
inicia em zero, ao invs de um (1). FPC
PIC
PIC
Figura 9.2 11 A interface a porta de rede propriamente dita, onde ser conectado um cabo que q
Interface, PIC e FPC. ligar o equipamento a outro n da rede.
11 A PIC (Physical Interface Card) ou PIM (Physical Interface Module) um carto insta-
lado no roteador, que contm um nmero determinado de interfaces.
Em alguns modelos Juniper, tipicamente nos equipamentos de entrada, o termo PIC subs-
titudo por PIM (Physical Interface Module). A funo de uma PIM basicamente a mesma
Captulo 9 - Configuraes do roteador
de uma PIC. As diferenas no sero abordadas aqui, de modo que, para os objetivos desse
curso, os termos podero ser intercambiveis.
Tipicamente, o nmero do slot (seja da FPC ou da PIC) comea em zero. Analogamente, a pri-
meira interface de uma PIC a interface zero. Esse nmero incrementado de acordo com a
configurao do hardware. A figura anterior exibe a nomeao de uma interface no Junos.
A interface ge-0/2/3 a quarta interface de sua PIC.
A PIC onde a interface se encontra a terceira de sua FPC. A FPC onde est a PIC, e a pri-
meira do roteador. Finalmente, a mdia da interface gigabit ethernet. Juntando todas essas
informaes tem-se o nome da interface: ge-0/2/3.
141
Interfaces que no so fsicas no seguem essa conveno. Normalmente elas seguem uma
sequncia simples como: 0, 1, 2...
11 Cada interface fsica pode possuir uma ou mais interfaces lgicas (subinterfaces). q
11 Criar subinterfaces til em ambientes onde se deseja criar conexes L2 como cir-
cuitos virtuais ou 802.1q.
11 Redes Frame Relay e ATM so exemplos de tecnologias que fazem uso de subinter-
faces.
ge-0/0/14.51
Em uma interface que utiliza a tecnologia de encapsulamento PPP, por exemplo, haveria
apenas uma nica interface, e seu identificador seria .0.
11 Por exemplo, uma interface ge-1/1/1 poderia ter, por exemplo, dois DLCIs Frame Relay
definidos (DLCI 8 e 9) e implementados nas interfaces ge-1/1/1.20 e ge-1/1/1.21.
Mltiplos endereos
11 A plataforma Junos permite que uma interface, fsica ou lgica, tenha mais de um q
endereo IP.
user@host# show
family inet {
address 10.1.1.1/32;
142
}
user@host# show
family inet {
address 10.1.1.1/24;
Outra opo seria retirar o endereo com um delete e em seguida colocar o novo IP com o
comando set (no necessariamente nessa ordem).
11 Modo: em interfaces ethernet pode-se escolher entre modo duplex ou half duplex.
11 MTU: o Maximum Transmission Unit pode variar o tamanho entre 256 e 9192 bytes.
11 Clock.
11 FCS: o Frame Check Sequence pode ser modificado para 32 bits (o default 16).
11 Identificador de circuito virtual: para links Frame Relay, ATM ou tag de VLAN.
interfaces {
interface-name {
physical-properties;
[...]
unit unit-number {
143
logical-properties;
[...]
[edit]
ge-0/0/2 {
unit 0 {
family inet {
address 172.19.102.1/24;
address 172.19.102.2/24 {
preferred;
family inet6 {
address 3001::1/64;
lo0 {
unit 0 {
family inet {
address 192.168.100.1/32;
Introduo rede Ip
address 192.168.200.1/32; {
primary;
144
}
Observe no cdigo que uma unit pode suportar mltiplas famlias de protocolo, o que equi-
vale a dizer que uma subinterface (lgica) suporta vrios protocolos de rede, como IPv4 e IPv6.
O cdigo tambm mostra o uso dos comandos preferred e primary. A opo preferred
usada quando h mltiplos IPs de uma mesma sub-rede na mesma subinterface. Essa
opo permite ao usurio selecionar o endereo que ser usado como endereo de origem
nos pacotes gerados pelo sistema para hosts locais na mesma sub-rede. Por default, se nada
definido pelo usurio, o sistema assume que o endereo com o menor valor ser o prefe-
rido. No exemplo anterior, se o comando preferred no fosse usado, o endereo preferido
seria o 172.19.102.1. Mas o comando sobrescreveu o comportamento default do roteador, e
elegeu o 172.19.102.2 como o preferido.
Broadcast: 172.19.102.255
Broadcast: 172.19.102.255
Flags: Is-Primary
11 Para verificar o estado de uma nica interface particular, pode-se passar o nome da
interface desejada como parmetro para o comando.
145
user@host> show interfaces terse ge-O/O/2
ge-O/O/2 up up
172.19.102.1/24
inet6 3001::1/64
fe80::217:cbff:fe4e:a282/64
Introduo rede Ip
146
Roteiro de Atividades 5
Atividade 5.1 Configurao bsica (parte 1)
1. Alterar o hostname;
Para se alterar o nome do roteador voc dever utilizar o comando hostname. Ele deve ser
executado a partir do [edit system] da rvore do arquivo de configurao Junos, ou como
alternativa pode-se chamar o comando set a partir do [edit], no topo da rvore do arquivo
de configurao.
[edit]
2. O comando commit:
Uma vez definida a senha de root, basta executar o comando commit. Ao executar esse
comando, toda a configurao definida pelo comando set e que se encontra no arquivo de con-
figurao candidata ser aplicada para o modo de execuo, ou seja, essa configurao valer
a partir deste momento. Mas antes de aplicar essa configurao, o Junos faz uma verificao
prvia no intuito de encontrar erros de sintaxe. Um recurso bastante utilizado o comando
compare em conjunto com o comando show. Com estes dois comandos associados, pode-se
fazer uma anlise entre o que configurao candidata e o que configurao atual.
A linha que inicia com o sinal - indica a configurao que ser deletada aps o commit. J a
linha que inicia com o sinal + indica as configuraes que sero aplicadas aps o commit.
[edit system]
- host-name bancadaX;
+ host-name teste;
[edit]
3. O comando rollback
147
4. Para verificar os commits realizados no seu sistema basta digitar o comando:
Com a informao dos commits realizados no seu sistema, pode-se restaur-lo a partir do modo
de configurao com o comando rollback seguido do ID do commit que se deseja restaurar.
root@bancadaX# rollback ?
Possible completions:
root@bancadaX# rollback 1
load complete
[edit]
Aps executar o comando rollback, deve-se executar o comando commit para que as
Introduo rede Ip
root@bancadaX# commit
commit complete
[edit]
148
Atividade 5.2 Configurao bsica (parte 2)
1. Trabalhando com o redirecionador PIPE;
Numa circunstncia em que se precise filtrar a sada padro do comando show interfaces
terse, por exemplo, basta usar o respectivo comando com o redirecionador PIPE seguido
do comando match, como exibido abaixo.
ge-0/0/0 up down
Uma premissa para se executar o comando commit definir uma senha para o usurio
root, j que ela no definida quando o equipamento vem com as configuraes de fbrica.
Para se definir uma senha para o usurio root, basta digitar o comando:
New password:
Para saber o caminho que se encontra na estrutura de diretrio do filesystem, basta executar
o comando show cli directory a partir do modo operao. Com a informao do caminho em
que se encontra, possvel listar os arquivos e diretrios com o comando file list.
Captulo 9 - Roteiro de Atividades 5
/cf/root/:
.cshrc
.history
.login
.profile
149
.ssh/
backup.txt
conf_17-12-2010
conf_display_set
novo
snmp
teste.txt
ttyp1
Para verificar o contedo do arquivo .login, que se encontra no diretrio /cf/root, basta
utilizar o comando:
glenio@bancadaX# exit
No Junos, cada usurio de sistema pode ter acesso ao shell do Unix, onde est disponvel a
maioria dos comandos j conhecidos no mundo Unix. Para ter acesso ao shell, basta chamar
o comando start shell, a partir do modo operao.
Se o comando tiver sido realizado com sucesso, o prompt de comando mudar, indicando
assim que voc est no shell do Unix.
Agora pode-se verificar alguns comandos do Unix, como, pwd, ls, top, cd.
Caso seja necessrio voltar para o modo de operao do Junos, basta utilizar o comando cli.
% cli
glenio@bancadaX>
Introduo rede Ip
150
Configuraes de Usurio e Autenticao
H duas opes de configuraes para acesso de usurio: autenticao local ou autenti-
cao centralizada (usando soluo de RADIUS ou TACACS+).
Local authentication
database
RADIUS or
TACACS+ server
Figura 9.3
Autenticao de
Usurio Junos.
Essa soluo de autenticao remota permite que mltiplos usurios definidos no RADIUS
ou no TACACS+ sejam mapeados para um template de conta de usurio definido localmente.
Captulo 9 - Roteiro de Atividades 5
Ordem da autenticao
O Junos pode ser configurado para ser um cliente de RADIUS e de TACACS+. A diferena
entre esses mtodos no ser tratada neste curso.
possvel priorizar a ordem que o software usar para tentar autenticar o usurio. Dessa
forma, para cada tentativa de login, o Junos tentar mais de um mtodo de autenticao
na ordem especificada, at que a autenticao possa ser efetuada. O mtodo seguinte ser
tentado sempre que o mtodo anterior falhar ou rejeitar o acesso do usurio. S no caso de
nenhum dos mtodos funcionar, o acesso do usurio ser negado.
151
Se nenhum dos mtodos de acesso responder (com aceite ou rejeio), o Junos tentar como
ltimo recurso autenticar o usurio utilizando a base local.
9) RADIUS server
b78 Username = lab
b , la Password = lab123
2 (la T
Step E JEC
p 3R
Ste
Step 1 (lab, lab789)
Step 4 (lab, lab789)
Local authentication
database
Username = lab
Password = lab789
A configurao da ordem de autenticao pode ser feita com o comando a seguir na raiz da Figura 9.4
hierarquia do modo de configurao: Ordem de
autenticao.
set system authentication-order [...]
Dentro dos colchetes devem ser colocadas as palavras-chave na ordem desejada. Exemplo:
Para configurar um sistema RADIUS remoto, utilize o comando a seguir na raiz da hierarquia
do modo de configurao:
O parmetro secret define um valor usado pelo RADIUS para validar a identidade do rote-
ador.
[edit system]
152
172.18.102.13 secret $9$9ZKntpBvMX7Nb1RcleW-dbs2gaU; ## SECRET-DATA
A configurao do TACACS+ anloga. Para tal use o comando a seguir na raiz da hierarquia
do modo de configurao:
O parmetro secret permite que o TACACS+ possa validar a identidade do roteador. Para
verificar a configurao de TACACS+ usa-se o comando show system tacplus-server:
[edit system]
O usurio lab, utilizado no primeiro exemplo desse tpico, est definido tambm no banco
de dados local de usurios. A seguir uma forma de verificar a existncia desse usurio local:
[edit system]
class super-user;
authentication {
[edit]
153
[edit]
user@host# show system authentication-order
authentication-order [ radius tacplus ];
9) RADIUS server
b78 Username = lab
b , la
(la Password = lab123
2 CT
Step EJE
R
p3
Ste
Step 1 (lab, lab789)
Step 4 (lab, lab789)
Local authentication
database
Username = lab
Password = lab789
Na figura anterior o usurio tentou fazer login no sistema usando a senha lab789, que Figura 9.5
difere das senhas definidas no RADIUS e no TACACS+. O sistema tenta fazer autenticao via Ordem de
autenticao sem
RADIUS, sem sucesso. Em seguida tenta autenticao via TACACS+, sem sucesso novamente. opo password.
Nesse caso o sistema no consultar a base local como ltimo recurso, pois essa opo foi
excluda da lista de recursos de autenticao, e pelo menos um dos recursos listados
respondeu (se a conexo com o RADIUS e com o TACACS+ tivesse falhado, a base local seria
usada como ltimo recurso). O acesso do usurio negado.
154
RADIUS server
9) Username = lab
b 78
, la Password = lab123
lab
p 2(
Ste
Local authentication
database
Username = lab
Password = lab789
Figura 9.6 Repare que no exemplo, como nenhum dos recursos listados no parmetro authetication-order
Ordem de respondeu, a base local ser usada. Esse comportamento evita a situao indesejvel de
autenticao:
servidores de um equipamento ficar inacessvel quando ocorre uma falha dos servidores centralizados
autenticao de autenticao.
indisponveis.
Componentes da autenticao
11 Cada comando do modo de operao e do modo de configurao est sujeito q
aprovao pelo processo de autenticao do sistema.
O perfil de acesso do usurio root no pode ser modificado. Por esse motivo funda-
mental proteger a senha desse usurio.
Figura 9.7
Entidades lgicas User
q
envolvidas no
processo de Um usurio (user) um membro de uma classe (class).
autenticao.
Ao utilizar autenticao remota possvel mapear mltiplos logins do TACACS a um mesmo
user do Junos.
155
Class
11 Uma classe (class) define um conjunto de flags de permisso. q
11 possvel configurar ou customizar classes.
11 O sistema traz quatro classes pr-definidas que podem contemplar a maioria das
situaes desejadas.
22 read-only: view.
Permission
Uma permisso (permission) uma flag associada a um privilgio. Pode-se entender uma q
permission como um conjunto de comandos pertinentes a uma determinada tarefa.
Algumas das permisses que j vm configuradas no sistema so listadas a seguir:
156
[edit system login]
root@host# show
class noc-admin {
deny-commands (file) ;
deny-configuration (groups);
user nancy {
uid 2002;
class noc-admin;
authentication {
encrypted-password SlSKQXKa/VQSijv77wxLnyf7XRI.1IbTqO; ##
SECRET-DATA
11 Para tal, o primeiro passo foi liberar o comando (avulso) configure private.
11 Esse comando foi adicionado lista de tarefas que o usurio pode fazer.
157
Finalmente, o administrador usou o comando deny-configuration para garantir que os usu-
rios da classe em questo no tero acesso aos privilgios da permisso groups, e dessa
forma no podero ver as configuraes da hierarquia [edit groups].
Logs do sistema
O sistema de log do Junos usa os mesmos princpios do mecanismo de log usado pelos
sistemas Unix.
11 Esse sistema grava mensagens gerais sobre a operao do Junos, tais como interfaces q
que saem de operao ou usurios que tentam fazer login e no conseguem.
11 O arquivo de log primrio, definido pela configurao que vem de fbrica, o /var/
log/messages.
user@host# show
any notice;
authorization info;
any any;
authorization info;
}
Introduo rede Ip
interactive-commands any;
158
change-log info;
11 host <nome> ou host <IP>: especifica o servidor de syslog para o qual devero ser
enviadas as mensagens de log.
A opo explicit-priority nas configuraes de syslog altera o formato default das mensa-
gens de log, que passam a exibir um valor numrico que representa a gravidade do evento.
Na escala de severidade do Junos, o valor zero representa os eventos mais graves, ao passo
Captulo 9 - Roteiro de Atividades 5
Abaixo um exemplo de uso do comando de modo de operao help syslog <message code>:
Name: UI_DBASE_LOGOUT_EVENT
159
Message: User <username> exiting configuration mode
Severity: notice
Pela descrio da mensagem acima, percebe-se que o usurio user deixou o modo de
configurao. Trata-se de uma mensagem informativa.
11 O Junos enviar os resultados da operao de trace para o arquivo criado para esse fim.
11 Esse arquivo ficar guardado no diretrio /var/log, como os arquivos de log, ou ser
enviado para um servidor remoto.
user@host# show
Na maioria dos casos o administrador ser seletivo, pois habilitando todo tipo de mensa-
gens, um volume muito grande de informaes gerado. Para habilitar todo tipo de infor-
mao utiliza-se a palavra-chave all.
user@host# show
Introduo rede Ip
traceoptions {
160
flag error detail;
Abaixo seguem alguns parmetros que podem ser configurados quando se faz uso
de traceoptions.
11 files <nmero>: especifica o nmero mximo de arquivos de trace que podem existir.
11 no-stamp: previne que o timestamp das mensagens seja colocado no incio de cada
registro, como ocorre no comportamento default do equipamento.
11 replace: troca um arquivo de trace existente, caso um arquivo de trace com o nome
especificado j exista. Por default, se essa opo no usada, as novas informaes
sero apendadas no arquivo existente.
11 no-world-readable: permite que o arquivo gerado seja lido apenas pelo usurio que
programou a sua gerao. Por default, se a opo readable no usada, essa opo
estar habilitada.
161
H ainda outras operaes que podem ser feitas nos arquivos com os comandos q
(autoexplicativos):
11 file compare
11 file copy
11 file list
11 file rename
Assim como ocorre nos sistemas Unix, os comandos cuja sada consomem mais de uma tela
so apresentados de maneira pausada.
No exemplo, o comando match <string> exibe as linhas da sada do comando anterior, que
contm a string especificada. Esse recurso particularmente importante no dia a dia, quando
se deseja procurar por um tipo de mensagem especfica no meio dos registros do sistema.
Esse cascateamento permite combinar a busca com lgica AND e OR, conforme mostrado.
162
11 possvel monitorar o incremento de vrios arquivos diferentes executando o monitor q
start vrias vezes e variando o parmetro <nome do arquivo monitorado>.
11 O Junos mostrar na tela as linhas novas que aparecerem nos arquivos monitorados,
em tempo real.
Cada linha exibida na tela trar o nome do arquivo monitorado, para que se possa diferen-
ciar as mensagens. Para verificar os arquivos que esto sendo monitorados utilizado o
comando do modo de operao monitor list.
Para usar o comando monitor start em um arquivo, o usurio precisa ter permisso de
leitura ao arquivo especificado.
Em muitas situaes o usurio est interessado em monitorar em tempo real apenas algum
tipo particular de mensagem.
11 Abaixo observamos uma situao na qual o usurio deseja ver em tempo real apenas
as mensagens de log que contenham a string fail.
11 Este comando, quando usado sem nenhuma opo, faz cessar todas as monitoraes
correntes.
user@host# show
boot-server
10.210.14.173;
server 10.210.14.173;
163
11 Duas mquinas podem se sincronizar apenas quando seus relgios esto q
relativamente prximos.
11 A opo de boot server (usada no exemplo anterior) pode ser usada para configurar
o horrio do sistema no momento do boot.
Monitorando o NTP
A seguir a sada do comando show ntp associations, que exibe o status corrente da sincro-
nizao:
[edit]
11 O smbolo asterisco (*) indica que o elemento ao lado foi selecionado para sincronizao.
11 Outros smbolos podem aparecer na sada para indicar outros estados. O smbolo que
deve aparecer em situao normal o asterisco.
Dispositivos executando o Junos podem agir como um agente SNMP. Um agente SNMP troca
informaes de gerncia de rede com um SNMP manager, executado em um equipamento
remoto, chamado Network Management System (NMS).
Introduo rede Ip
Agent
NMS Poll (device running JUNOS Software)
Figura 9.8
SNMP: Manager
Response e Agente.
164
O agente responde a solicitaes de informao geradas pelo manager. Um agente se comu-
nica com o manager usando os seguintes tipos de mensagem:
11 Get, Getbulk e Getnext: o manager SNMP requisita informaes do agente, que responde
com um get response.
11 Set: o manager SNMP altera valores da MIB SNMP (Management Information Base) do
agente. O agente confirma a operao com uma mensagem de set response.
11 Trap: o agente SNMP envia mensagens (traps) de notificao ao manager, que no foram
previamente solicitadas pelo manager. Elas so geradas proativamente pelo agente para
reportar informaes que considera importantes.
A atividade de solicitar informaes aos agentes SNMP, que executada pelo NMS da rede,
chama-se polling SNMP.
MIBs SNMP
Uma MIB uma coleo de objetos mantidos pelo agente SNMP em uma base de dados hie-
rrquica. O manager SNMP consegue visualizar ou mesmo alterar (em alguns casos) objetos
da estrutura da MIB do agente.
Parte das MIBs de todos os equipamentos padronizada pela Internet Engineering Task
Force (IETF). Isso significa que alguns objetos podem existir em qualquer dispositivo, inde-
pendente do fabricante. Existe, porm, uma poro da MIB chamada enterprise. Nessa
poro cada fabricante est livre para criar seus prprios objetos.
Cada objeto identificado dentro da MIB atravs de um Object Identifier (OID). Durante a ativi-
dade de gerncia de rede, o NMS pode executar pollings em OIDs especficos do agente, visando
obter informaes sobre algum recurso da mquina onde esse agente executado. Para tal, o
NMS dever conhecer a estrutura da MIB dos agentes para saber os OIDs disponveis. As MIBs
proprietrias da Juniper esto disponveis para download em: http://www.juniper.net/techpubs.
Ao consultar dados de SNMP do agente, o NMS precisa formalizar um pedido. Nesse pedido
o NMS precisa mostrar que conhece a community SNMP do agente. Essa community
funciona como uma senha de acesso. Apenas os NMS que a conhecem podem solicitar infor-
maes. Na verso 1 as informaes de pacote no so criptografadas, o que permite a um
capturador de trfego obter o valor da community e dos OIDs facilmente. A verso 3 prov
Captulo 9 - Roteiro de Atividades 5
Configurando SNMP
A seguir um exemplo de configurao de SNMP no Junos:
[edit snmp]
user@host# show
165
location BSU East Campus Closet - Rack 4;
community cardinals {
authorization read-only;
clients {
trap-group my-trap-group {
version v2;
categories {
chassis;
link;
targets {
10.210.14.173;
11 SNMP Contact: prov informaes sobre a equipe que deve ser contatada para o caso de
falha do agente.
Debaixo da hierarquia [edit snmp] tambm so criadas sub hierarquias com as communities.
Um agente pode ter inmeras communities configuradas. Para cada community, o adminis-
trador do Junos define os NMSs que podem fazer consulta usando-a, e o nvel de acesso:
Por fim, o exemplo mostra uma configurao de trap-group. Atravs dessa definio o
administrador define que o Junos no s aceitar consultas SNMP do NMS como tambm
Introduo rede Ip
166
Monitorando a operao do SNMP
Um NMS prov a interface para a maioria das tarefas de monitorao do SNMP. Para veri-
ficar a operao desse protocolo, diretamente no Junos que est trabalhando como agente
SNMP, podem ser usadas traceoptions dentro da hierarquia [edit snmp]. Alm disso,
existem vrios comandos show snmp que auxiliam a tarefa.
jnxoperatingDescr.1.1.0.0 = midplane
jnxoperatingDescr.4.1.1 1 = FAN 0
jnxOperatingDescr.9.1.0.0 = RE-EX3200-24-T
No uso desse comando, as OIDs podem ser especificadas pelo nome ou pela hierarquia de nmeros
do SNMP. Esse curso no tratar do detalhamento da nomenclatura usada nessa hierarquia.
167
Introduo rede Ip
168
Roteiro de Atividades 6
Atividade 6.1 Configuraes posteriores
1. Configurando interfaces;
2. Para configurar uma interface de rede GigaEthernet, basta proceder como no exemplo
seguinte. Vale ressaltar que o Junos trabalha somente com interface virtual, ento voc
deve definir a interface virtual (unit) que deseja configurar.
Nessa mesma atividade coloque o IP da estao Windows 7 com o primeiro IP vlido do seu
Range de IPs.
Este exemplo para o roteador A da primeira bancada. Os demais roteadores sero confi-
gurados conforme os endereos descritos na figura a seguir.
169
Mesa do
Instrutor
8 7 6 5 4 3 2 1
16 15 14 13 12 11 10 9
24 23 22 21 20 19 18 17
Para verificar o status de uma interface Giga Ethernet e descobrir se ela est up ou down, e
se possui algum erro de pacotes, basta proceder como no exemplo seguinte.
ge-0/0/0 up down
Introduo rede Ip
gr-0/0/0 up up
ip-0/0/0 up up
ls-0/0/0 up up
170
lt-0/0/0 up up
mt-0/0/0 up up
pd-0/0/0 up up
pe-0/0/0 up up
ge-0/0/1 up up
ge-0/0/2 up down
ge-0/0/3 up down
se-3/0/0 up down
se-3/0/1 up down
dsc up up
gre up up
ipip up up
lo0 up up
10.0.0.16 -->
0/0
128.0.0.1 -->
0/0
128.0.1.16 -->
0/0
inet6 fe80::205:86ff:fe71:e000
lo0.32768 up up
Captulo 9 - Roteiro de Atividades 6
lsi up up
mtun up up
pimd up up
pime up up
pp0 up up
st0 up up
171
tap up up
vlan up up
Outro exemplo:
inet 192.168.1.1/30
Outro exemplo:
172
00:24:dc:18:6f:00
Traffic statistics:
1 expedited-fo 0 0 0
2 assured-forw 0 0 0
3 network-cont 0 0 0
Traffic statistics:
Local statistics:
Captulo 9 - Roteiro de Atividades 6
Transit statistics:
173
Input packets: 63016 0 pps
root# ping
unknown command.
[edit]
^C
[edit]
ge-0/0/0 up down
login: aluno1_pca
senha: esr1
174
login: aluno1_pcb
senha: esr1
login: aluno2_pca
senha: esr1
login: aluno2_pcb
senha: esr1
E assim por diante para as demais bancadas. Para efetuar a criao dos logins, entre no
modo de configurao com configure e execute:
A senha ser solicitada duas vezes. Verifique os servios ativos no roteador com o comando:
175
Em seguida, entre com login e senha. Repita o procedimento duas vezes, de modo a
testar os dois logins recm criados. A partir desse momento desconecte o cabo console e
entregue-o ao seu instrutor. Nos prximos passos, os alunos dos PCs A e B da bancada aces-
saro o roteador a partir de uma sesso telnet aberta de um dos PCs.
Execute o comando run show log messages para verificar o contedo do arquivo messages.
Execute show | compare para verificar suas alteraes. Se estiverem certas, execute commit.
Deixe a sesso parada para verificar as mensagens que surgem na tela. Abra outra sesso
telnet para o roteador, em paralelo, usando o mesmo login e senha. Nessa nova sesso
execute os seguintes comandos:
show interfaces
configure private
show routing-options
Introduo rede Ip
exit configuration-mode
Verifique as mensagens que apareceram na sesso onde ficou ligada a monitorao. Observe
que os comandos executados pelo(s) seu(s) colega(s) de bancada tambm aparecem.
176
Execute o comando monitor list no modo de configurao para checar as monitoraes
correntemente ligadas.
Verifique o arquivo de log <logFile> que voc definiu. Execute file list /var/log/?
Configure o contedo que foi registrado nesse arquivo. Execute file show /var/log/<logFile>.
7. Configurando SNMP;
Para configurar o Junos a aceitar consultar SNMP basta seguir como o exemplo abaixo:
[edit]
[edit]
[edit]
Para verificar se o roteador est sincronizado com o servidor NTP basta executar o comando
run show ntp associations no modo configurao.
===========================================================
-284920 0.244
[edit]
177
Introduo rede Ip
178
10
Operao, manuteno e
monitorao
objetivos
conceitos
Monitoramento da plataforma, operao de interfaces, utilitrios de rede, manuteno
do Junos OS, recuperao de senha, instalao e upgrade do Junos.
JUNOS CLI
SNMP LEDs
Figura 10.1
Ferramentas de
J-Web LCDs
monitorao.
diagnosticar problemas.
11 alarms: exibe alarmes ativos no sistemas (esses alarmes saem da lista automaticamente
quando o problema sanado).
179
11 boot-messages: mostra mensagens geradas durante o ltimo processo de boot do sistema.
possible completions:
Monitorando o chassi
A operao do chassi feita usando-se os comandos do modo de operao show chassis
<argumento>. A lista abaixo exibe alguns dos valores mais populares que o <argumento>
pode tomar:
11 alarms: exibe alarmes ativos referentes ao chassi, que saem da lista automaticamente
quando o problema sanado.
180
Possible completions:
O exemplo seguinte exibe ainda outras opes que podem ser utilizadas como argumento
do comando show interfaces:
Captulo 10 - Operao, manuteno e monitorao
user@host> show interfaces ge-0/0/0 ?
Possible completions:
181
snmp-index SNMP index of interface
Um comando popular que prov informao resumida sobre o estado de todas as interfaces
do roteador o show interfaces terse, cuja sada mostrada abaixo:
ge-O/O/O up up
ge-O/O/1 up up
fe80::217:cbff:fe4e:a281/64
ge-O/O/2 up up
iso
mpls
ge-O/O/3 down up
Esse comando ideal para fornecer uma ideia geral do funcionamento de todas as cone-
xes presentes. Repare que todas as famlias de protocolos de rede so exibidas, bem como
todas as interfaces e subinterfaces. O exemplo anterior mostra os estados administrativos e
operacionais de cada um desses recursos.
182
Remote fault : Online
Traffic statistics:
...
Entre outras informaes, esse comando traz informaes sobre erros de CRC, estatsticas
e propriedades fsicas e lgicas da interface. Caso a interface tenha sido configurada com
QoS, estatsticas das filas de QoS tambm sero mostradas. Dada a quantidade de detalhes
exibidos, o comando torna-se um grande aliado da tarefa de depurao de problemas.
Monitorando interfaces
O comando do modo de operao monitor interface <nome da interface> exibe, em tempo
real, estatsticas sobre o uso de uma interface especfica, tais como: volume de dados rece-
bidos e enviados, erros de CRC e outros, quantidade de pacotes recebidos e enviados, taxa
de transmisso e recepo etc. Abaixo apenas uma poro da sada do comando:
Delay: 0/0/2
Encapsulation: ENET2
183
Remote statistics:
Traffic statistics:
Para obter informaes similares (porm mais resumidas) de todas as interfaces, pode-se
usar o comando do modo de operao show interface traffic. A seguir uma poro da sada
desse comando:
...
Utilitrios de rede
Ping e Traceroute
11 Junos prov utilitrios populares para avaliao da rede, como ping e traceroute. q
11 Estas ferramentas determinam condies gerais de alcance na rede e o caminho dos
pacotes para chegar a um determinado destino.
^C
184
round-trip min/avg/max/stddev = 0.218/0.281/0.345/0.046 ms
Por default, o ping envia um fluxo contnuo de echo requests ICMP a um determinado
destino. Para parar o fluxo, o usurio precisa teclar Ctrl + C, conforme mostrado a seguir.
Alternativamente, pode-se usar o argumento count <n>, que faz com que sejam gerados
apenas <n> echo requests ICMP.
Monitor traffic
11 O comando monitor traffic executa a mesma funo do software Unix tcpdump. q
11 Essa ferramenta monitora o trfego de uma determinada interface, que originado
ou que termina na RE local do roteador.
185
11 Problemas de camada 2 podem ser depurados usando o argumento layer2-headers. q
11 A opo matching permite filtrar a massa de dados capturada usando critrios base-
ados nos campos do pacote do protocolo IP.
11 A opo write-file fica escondida (no aparece quando se executa o comando ?),
mas est disponvel e consiste em um recurso bastante til.
A opo write-file deve ser usada com bastante cuidado. Dependendo do volume
de dados capturado, o arquivo de sada pode formar um volume absurdamente
grande e estourar o tamanho do disco do sistema, o que comprometeria grande
parte das funes do roteador (por esse motivo o comando fica escondido). Ao usar
a opo write-file, sempre utilize a opo matching em conjunto, para evitar
que muitos pacotes sejam registrados. Essa prtica ajuda a evitar a gerao de um
grande volume.
length 98: 10.100.200.2 > 10.100.200.1: ICMP echo reply, id 5153, seq
222, length 64
^C ----- Ctrl+c
O exemplo mostra o capturador de pacotes do Junos em ao. Para parar uma captura
necessrio teclar Ctrl + C.
186
Clientes de Telnet, SSH e FTP
11 O Junos traz previamente instalados clientes de Telnet, SSH e FTP. q
11 Esses softwares permitem acessar equipamentos remotos a partir da CLI do Junos.
user@host> telnet ?
Possible completions:
Trying 127.0.0.1...
Connected to 127.0.0.1.
host (ttyp0)
Password:
...
Para transferir arquivos do Junos para um sistema remoto utilizando o cliente FTP, usa-se o
comando file copy conforme abaixo:
var/tmp/junos-jseries-domestic.tgz
187
Mantendo o Junos
Para verificar detalhes sobre a verso de Junos que est sendo executada na caixa, utiliza-se o
comando do modo de operao show version. Pode-se adicionar a esse comando a opo
detail para obter informaes adicionais sobre os pacotes e processos includos na verso
do sistema operacional.
Hostname: host
Model: mx480
Mais dois nmeros fecham o nome do pacote. O nmero da build e do spin do cdigo. Assim,
o pacote jinstall-9.5R1.8-domestic.tgz indica: Software Junos verso 9.5, build 1, spin 8.
188
H ainda uma terceira e rara possibilidade: a FIPS. Essa verso prov servios avanados
de segurana de redes para clientes que precisam adequar suas operaes ao padro da
Federal Information Processing Standards 140-2.
Todo software Junos fornecido em pacotes assinados, que contm assinaturas digitais
que usam o algoritmo SHA-1 (Secure Hash Algorithm 1). Um pacote s pode ser instalado se
um procedimento de verificao do pacote executado pelo hardware retorna um resultado
esperado. Do contrrio a instalao falhar.
O resultado esperado ser retornado sempre que a assinatura digital for verificada corretamente.
Recuperao de senha
A perda da senha de root do sistema um perigo sempre presente. Quando isso ocorre,
pode-se recuper-la usando o procedimento descrito a seguir.
...TRIMMED...
loader> boot -s
11 Nesse ponto pode-se executar um reset da senha de root com o comando set system
root-authentication plain-text-password.
189
[edit]
New password:
[edit]
root# commit
commit complete
[edit]
root# exit
root> exit
O download da imagem do Junos pode ser feito em um portal prprio mantido pela Juniper:
http://www.juniper.net/support/
O download pode ser executado atravs de um browser web ou de um cliente de FTP. Para
baixar uma imagem de Junos utilizando um cliente de FTP, aponta-se o software cliente para
o endereo ftp.juniper.net.
Independentemente do mtodo que ser usado, para fazer o download necessrio ter um
contrato de suporte vlido com o fabricante e uma conta de acesso ao portal. Cada imagem
individual de Junos designada para uma plataforma especfica. Ao fazer o download da
imagem deve-se atentar para o tipo de plataforma para o qual a imagem designada.
Uma vez executado o download, a imagem deve ser gravada no disco do roteador, em um dire-
Introduo rede Ip
trio qualquer. Para proceder com o upgrade, o usurio utiliza o comando do modo de operao:
Caso a imagem esteja em um servidor de FTP remoto possvel usar o mesmo comando, pas-
sando como argumento os nomes do diretrio e do arquivo remotos, IP, senha e usurio do ser-
vidor de FTP. Procedendo dessa forma, o sistema far a instalao a partir do arquivo remoto.
190
Para ativar o novo software necessrio proceder com o reboot do sistema. Esse reboot
pode ser executado em um passo posterior ou automaticamente, usando a opo reboot
como argumento do comando request system software add.
Adding jinstall...
WARNING: (if configured), but erase all other files and information
WARNING: and log files, but this can not be guaranteed. This is the
...
Uma vez que o novo Junos instalado, o usurio notificado de que o sistema far um novo
reboot para completar o processo de upgrade. Nesse ponto o usurio pode usar o terminal
de console para acompanhar as mensagens geradas, prestando particular ateno para
mensagens de erro que venham a ocorrer.
Dispositivos que rodam o Junos executam cdigos binrios fornecidos pela Juniper. Cada Captulo 10 - Operao, manuteno e monitorao
imagem de Junos possui executveis assinados digitalmente, que so registrados pelo
sistema somente se a assinatura validada. O Junos no executar nenhum binrio sem o
devido registro. Esse recurso existe para proteger o hardware contra softwares no autori-
zados e atividades que poderiam comprometer a atividade do equipamento.
191
Para determinar os arquivos candidatos a serem removidos, utiliza-se o comando de modo
de operao:
192
Roteiro de Atividades 7
Atividade 7.1 Instalao do Junos (parte 1)
1. Verificando alarmes do Junos;
O equipamento j2350 da Juniper possui um led chamado Alarm, que indica se h alguma
coisa errada com o equipamento.
Para verificar o motivo do alarme caso o led esteja aceso, basta utilizar os comandos abaixo
a partir do modo operao. Verifique se existe algum alarme ativado com o comando:
Para simular um alarme, digite o comando abaixo para apagar o arquivo rescue:
> commit
Reinicie o roteador:
Quando o roteador reiniciar, acender uma luz laranja de alarme; para verificar o alarme
usa-se o comando:
> commit
O Junos fornece alguns servios de acesso remoto, quer via protocolo Telnet, SSH, interface
grfica com algumas opes de configurao e at mesmo servios DHCP e FTP.
193
3. Configurando o modo RESCUE;
Como se viu no exemplo anterior, a sada exibida pelo comando show system alarms
informa que existe um alarme devido configurao de rescue no estar habilitada. Essa
mais uma funcionalidade do Junos que auxilia o administrador em casos de recuperao em
desastres. Quando se define uma configurao de rescue, salva-se uma cpia da configu-
rao atual em um arquivo na flash do equipamento. Para aplicar essa configurao salva,
basta apertar ligeiramente uma vez o boto config do equipamento.
Essa atividade visa simular uma situao de desastre. Para isso execute o seguinte comando
a partir do modo configurao para habilitar a configurao de rescue.
[edit]
root@teste# commit
commit complete
[edit]
Feito isso, perceba que o boto alarm do equipamento no est mais com o led aceso.
[edit]
root@teste# commit
commit complete
[edit]
Uma questo muito importante em sistemas corporativos relativa a backup e restore. Junos
fornece alguns comandos e opes que facilitam o backup e restore de todo o seu sistema.
Para salvar toda a configurao ativa do seu sistema em um arquivo texto, deve-se utilizar
o comando show a partir do [edit], topo da rvore de configurao do Junos, junto com o
comando display set, que exibir na tela os comandos que geraram a configurao atual,
Introduo rede Ip
194
root@bancadaX# show | display set
$1$GwoPLZZp$8HKb9z7J55MJHFt7/
tErn.
$1$GlS0hWjY$wwKM
hlH6.gv2RAo9IHwcR/
encrypted-password $1$W.X4RTGh$CG2
Rw5JXXBOpSo7WXGuYd1
195
Com esses comandos em mos, basta salvar em um arquivo com o comando save,
conforme a seguir:
[edit]
Agora, com todas as configuraes salvas em um arquivo, pode-se utilizar o cliente scp
do Unix para copiar o arquivo para uma mquina remota, ou at mesmo copiar de uma
mquina remota o arquivo que se encontra na flash do Juniper, j que o Junos possui um
servidor de Shell seguro (SSH) para estabelecer conexes remotas. Exemplo:
Para entrar no Shell do Unix, digite o seguinte comando a partir do modo operao:
root@bancadaX% pwd
/cf/root
root@bancadaX% ls -lah
total 70
196
Se o arquivo for encontrado, basta utilizar o cliente scp para copiar o arquivo para uma
mquina remota:
root@200.130.26.5s password:
backup_19012011.txt
100% 2550 2.5KB/s 00:00
O sistema operacional remoto pedir a senha para o usurio root; se informada correta-
mente, copiar o arquivo de maneira segura.
O Junos guarda alguns modelos de configurao que podem auxiliar na configurao do roteador
quando ele vem de fbrica. Esses arquivos esto localizados no diretrio /etc/config/.
Feito isso, basta executar o comando commit para que as configuraes passem a ter efeito.
Obtenha acesso via console e faa um reboot no sistema. Durante o processo de boot
tecle a barra de espao continuamente, at que o sistema apresente o prompt loader> (ou
um prompt OK, dependendo da plataforma). Nesse momento execute boot -s para iniciar
o sistema no modo single-user.
. . . TRIMMED . . .
loader> boot -s
. . . TRIMMED . . .
Depois de uma srie de mensagens, a CLI inicia e apresenta o prompt do modo de operao.
Nesse ponto pode-se executar um reset da senha de root com o comando:
197
Em seguida necessrio efetivar o comando com commit:
[edit]
New password:
[edit]
Root# commit
commit complete
[edit]
root# exit
root> exit
Aps a execuo deste comando, se tudo correu bem, o sistema solicitar um reboot.
198
4. Acessando via SSH;
Para acessar o roteador remotamente com o protocolo SSH, basta utilizar o software livre
PuTTY, informando o IP do roteador remoto, bem como usurio e senha.
Figura 10.2
Configurao
PuTTY.
199
Introduo rede Ip
200
11
Fundamentos de roteamento
objetivos
conceitos
Fundamentos de roteamento, roteamento esttico.
Conceitos de roteamento
Roteamento, na sua forma mais bsica, o processo de mover dados entre redes de camada 3.
A figura seguinte exibe um exemplo de topologia de rede contendo vrios equipamentos L3
(roteadores). Entre esses equipamentos esto as chamadas redes L3.
Server A Server B
Internet
User B
Data center
Figura 11.1
Redes L3.
11 Apesar dos roteadores serem os equipamentos mais populares para a tarefa de rote- q
amento, outros dispositivos podem realizar essa funo, como switches e firewalls.
201
Componentes do roteamento
Os componentes do roteamento podem ser divididos em dois grupos:
2. Os recursos que garantem a inteligncia para usar o caminho mais adequado para a
comunicao.
Internet
User A
User B
Data center Figura 11.2
Componentes do
roteamento.
No exemplo da figura existe um caminho fsico entre as duas redes destacadas e a internet.
Uma vez que esse caminho fsico est configurado e opera corretamente, o primeiro recurso
est garantido.
O default gateway de cada rede local precisa determinar o prximo hop apropriado para
cada pacote de trfego de trnsito que chega em suas interfaces. Os equipamentos que
executam o Junos usam os dados armazenados na Forwarding Table (FT) para tomar essa
deciso. A FT contm um subconjunto das informaes contidas na tabela de rotas.
Introduo rede Ip
202
Rotas diretamente conectadas
Internet
User A
.1 .1
User B
Data center
Figura 11.3
Exemplo de 10.2.2.0/24
roteamento. 10.1.1.0/24
O roteador, que funciona como gateway das redes locais da figura, requer a informao de
roteamento suficiente para determinar o prximo hop que conseguir encontrar a rede de
destino, referente ao trfego entre as duas redes locais. Nesse exemplo, o roteador aprendeu
essa informao atravs da prpria configurao de endereo IP de suas interfaces. Uma vez
que o equipamento tem um IP na rede 10.2.2.0\24 e outro na rede 10.1.1.0\24, ao receber um
pacote endereado para qualquer uma dessas redes, ele j saber por qual interface o pacote
deve sair. Portanto, para a comunicao entre as duas redes locais do exemplo, no neces-
sria a configurao de nenhum protocolo de roteamento.
Tabela de rotas
Routing
protocol OSPF
OSPF
databases OSPF
Routing Forwarding
table table
Other routing
information Dire
sources Static
Figura 11.4
Tabela de rotas.
203
A tabela de rotas do Junos consolida a informao de rotas recebidas de mltiplas fontes de
roteamento, incluindo os vrios protocolos de roteamento que podem estar em execuo na
mquina, as rotas estticas (adicionadas manualmente pelo administrador do roteador) e as
rotas diretamente conectadas.
11 Opcionalmente pode-se fazer com que o Junos considere mais de uma rota para ser
ativada, balanceando trfego entre duas ou mais rotas.
11 Outras tabelas podem existir. Um exemplo a inet6.0, que o Junos cria quando
usada configurao de IP verso 6.
A seguir uma lista das diferentes tabelas de rotas que podem ser criadas pelo Junos
quando necessrio:
11 inet.2: usada para armazenar rotas MBGP para checagem de Reverse Path
Forwarding (RPF).
11 A tabela abaixo mostra a route preference default das fontes mais populares de
informao de rotas.
Introduo rede Ip
204
Routing information source Default preference
Direct 0
Local 0
Static 5
OSPF internal 10
RIP 100
Quanto menor o valor da route preference, mais prefervel a rota. O valor da route
preference o primeiro critrio utilizado pelo Junos para escolher entre rotas de diferentes
fontes recebidas para um mesmo prefixo.
A tabela abaixo exibe a lista completa do valor de route preference para todas as fontes de
informao de roteamento com as quais o Junos trabalha.
Direct 0 SNMP 50
passada FT.
205
[OSPF/10] 00:02:21, metric 1
No exemplo de preferncia de rotas, as rotas esttica e OSPF esto com seus valores de
route preference default. possvel mudar esses valores para uma determinada fonte
de informao, com a inteno de fazer dessa fonte, por exemplo, a mais prefervel (ou a
menos prefervel) em uma situao onde ela no o seria. A exceo so as rotas diretamente
conectadas e rotas locais que sero sempre preferidas, independente do valor de route
preference das outras fontes de informao.
11 Quando o roteador recebe a mesma rota (para um mesmo prefixo), com o mesmo custo, q
de um mesmo protocolo fonte (de modo que o route preference fica empatado), o
route protocol process (rpd) ativar mais de uma rota e selecionar aleatoriamente um
dos caminhos a ser usado por cada pacote que destinado ou prefixo em questo.
Nesse cenrio, se desejado, pode-se habilitar o balanceamento de trfego atravs das mlti-
Introduo rede Ip
plas rotas com base em fluxo de dados. Por definio, o balanceamento seria por pacote.
O detalhamento das configuraes de roteamento est fora do escopo desse curso.
206
Verificando a tabela de rotas
O comando show route exibe a tabela de rotas:
...
Sem usar nenhum argumento, o comando anterior exibe o contedo completo de todas as
tabelas de rotas da caixa. Est destacado que todas as rotas ativas ficam marcadas com um
asterisco (*). Cada entrada da tabela de rotas mostra a fonte atravs da qual o equipamento
aprendeu a informao, bem como a sua route preference.
11 O comando show route mostra um sumrio das rotas ativas, em holddown e escon-
Captulo 11 - Fundamentos de roteamento
didas.
11 Rotas escondidas so aquelas que o sistema no pode usar por alguma razo, tal como
parmetro prximo hop invlido ou uma route policy impede que ela possa ser usada.
possvel filtrar a sada do comando por prefixo de interesse, tipo de protocolo e outros
atributos. O exemplo seguinte exibe uma forma filtrada do comando, que traz apenas rotas
aprendidas via protocolo de roteamento OSPF.
207
user@host> show route protocol ospf
MultiRecv
Repare que apesar do comando retornar apenas duas rotas, o contador de rotas continua
trazendo o valor total presente na tabela.
Routing
protocol OSPF
OSPF
databases OSPF
Routing Forwarding
table table
Other routing
information Dire
sources Static
Figura 11.5
Forwarding Table.
Internet:
208
0/0/2.0
O exemplo mostra que o kernel do Junos adiciona algumas entradas nessa tabela e as
mantm permanentemente. Um exemplo a entrada com o destino default, que con-
templa todos os pacotes que no so contemplados por nenhuma outra entrada. Quando
um pacote contemplado pela entrada default, descartado, e uma mensagem ICMP de
destination unreachable enviada ao remetente do pacote.
Quando o administrador configura uma rota default na tabela de rotas (apontando para o
destino 0.0.0.0\0), a tabela FT passa a usar essa rota ao invs da entrada default.
Cada entrada na FT mostrada no exemplo possui um tipo (type). A lista abaixo detalha q
route types comuns encontradas na FT:
Cada entrada na FT mostrada tambm possui um tipo de next hop. A lista abaixo
detalha next hop types comuns encontrados na FT:
Forwarding plane
Figura 11.6
Determinando o FT
next hop.
Packets in Packets out
Quando mltiplos prefixos contemplam o IP destino do pacote, o Junos utiliza aquele que o
mais especfico (com a maior mscara), como faz o equipamento de qualquer outro fabricante.
209
user@host> show route forwarding-table
Internet:
...
Instncias de roteamento
O equipamento Juniper agrupa diferentes tabelas de rotas, interfaces e protocolos de
roteamento em instncias de roteamento lgica (routing instances). O roteador mantm a
informao de roteamento em uma instncia de roteamento separada da informao de
todas as outras instncias.
210
Device Running JUNOS software
O Junos tambm cria outras instncias de roteamento privadas, que so usadas para
comunicao interna entre componentes do hardware. O usurio pode ignorar a existncia
dessas entidades lgicas. O exemplo seguinte exibe todas as instncias de roteamento
criadas por default pelo Junos.
_ _juniper_private1_ _ forwarding
_ _juniper_private2_ _ forwarding
_ _master.anon_ _ forwarding
master forwarding
Captulo 11 - Fundamentos de roteamento
inet.0 7/0/0
Alm das instncias de fbrica, o Junos permite que o usurio configure instncias de rote-
amento adicionais atravs da hierarquia [edit routing-instances]. Instncias definidas pelo
usurio podem ser usadas para uma variedade de propsitos e prov aos administradores
de rede mais flexibilidade para lidar com o seu ambiente de rede.
211
Possible completions:
user@host# show
interface ge-0/0/1.0;
interface lo0.1;
routing-options {
static {
}
Introduo rede Ip
protocols {
ospf {
area 0.0.0.0 {
212
interface ge-0/O/0.0;
interface ge-0/0/1.0;
interface 100.1;
Se o usurio usa IPv6 dentro da mesma instncia, o software criar uma tabela unicast de
IPv6, cujo nome ter o formato <nome da instncia>.inet.6.0.
213
192.168.100.52/32 *[Direct]0] 02:06:18
O comando o mesmo show route j conhecido, mas com o argumento table <nome da
tabela desejada>.
Adicionalmente, o comando j conhecido show interfaces terse pode ser alterado de modo
a exibir apenas as interfaces que fazem parte de uma determinada instncia de roteamento.
O exemplo abaixo ilustra a sada do comando.
!!!!!!!!!!!!!!!!!!!!!!!!
Roteamento esttico
Rotas estticas so usadas em um ambiente de rede para se atingir uma variedade de q
objetivos. So popularmente usadas em duas situaes:
11 H mltiplos caminhos para se chegar a um prefixo, mas se quer forar a rede a enca-
Introduo rede Ip
214
Network A ge-0/0/1
Internet
Figura 11.7 172.29.100.0/24 .1 .2 .1
Exemplo de rota
default esttica. 172.30.25.0/30 192.168.63.14
A figura anterior ilustra uma situao onde a rede 172.29.100.0\24 est ligada internet por
um nico caminho. Nesse caso no h motivo para usar um protocolo de roteamento din-
mico para acessar a internet. Ao invs disso, o usurio configurou uma rota default esttica
(para o destino 0.0.0.0\0), que aponta para a interface ge-0/0/1. Dessa forma, ao executar
o comando show route 192.168.63.14, o sistema calculou dentre as entradas da tabela de
rotas que a entrada mais especfica que contempla esse destino a rota para 0.0.0.0\0.
22 Um pacote cujo IP destino contemplado por uma entrada cujo next hop
reject ou discard ser descartado.
O endereo IP especificado no next hop de uma rota esttica deve ser alcanvel usando
uma rota diretamente conectada. Diferente do software de outros fabricantes, o Junos, por
default, no executa buscas recursivas de next hop quando se trata de rotas estticas.
Uma rota esttica sempre estar na tabela de rotas at que o usurio a remova ou at que
ela se torne inativa. Uma rota esttica se torna inativa quando o IP do seu next hop se
torna inacessvel (por uma falha na rede, por exemplo).
[edit routing-options]
user@host# show
rib inet6.0 {
static {
215
static {
route 172.28.102.0/24 {
next-hop 10.210.11.190;
no-readvertise;
...
!!!!!!!!!!!!!!!!!!!!!!!!
Uma vez instaladas as rotas estticas devidas, a conectividade entre as redes pode ser verifi-
Introduo rede Ip
216
Host A Host B Host C
.1 .2 .5 .6 .1
Figura 11.8
Resolvendo next 172.25.1.0/30 172.25.1.4/30 172.20.3.0/24
hop indireto.
[edit routing-option]
user@Host-A# show
static {
route 172.20.3.0/24 {
next-hop 172.25.1.6;
resolve;
Conforme ilustrado acima, possvel alterar esse comportamento default do Junos e fazer
com que as buscas recursivas sejam usadas. Para isso deve-se usar a opo resolve na rota
esttica em questo.
A figura anterior mostra uma rota esttica que define um roteador remoto, 172.25.1.6, que
no est conectado diretamente ao Host A, como o next hop da rede 172.20.3.0\24. Nesse
caso, ao receber um pacote IP destinado ao prefixo remoto 172.20.3.0\24, o roteador no
saber, num primeiro momento, em qual interface est o next hop 172.25.1.6. Uma busca
recursiva ser necessria, ou seja, o roteador dever achar na tabela de rotas uma rota que
contemple o IP 172.25.1.6. Essa rota tambm ser usada para encaminhar o pacote para o
172.20.3.0\24. Dessa forma, o pacote ser entregue.
Normalmente, o roteamento que usa buscas recursivas funciona bem em ambientes onde
h um protocolo de roteamento dinmico que anuncia as redes /30 que endeream as inter-
faces dos links ponto a ponto. Ou seja, ainda se referindo ao ltimo exemplo, a rota para o
IP do next hop remoto 172.25.1.6 ser, tipicamente, uma rota obtida atravs de protocolo
dinmico. Se no fosse assim, o usurio deveria configurar manualmente outra rota esttica
para contemplar o IP do next hop, o que no algo escalvel.
172.30.25.0/30
ge-0/0/1
.2 primary .1
Network A Internet
172.29.100.0/24 .1
.6 secondary .5
ge-1/0/0
Figura 11.9
Qualified Next Hop. 172.30.25.4/30
217
[edit routing-options]
user@host# show
static {
route 0.0.0.0/0 {
next-hop 172.30.25.1;
qualified-next-hop 172.30.25.5
preference 7;
Na figura, o next hop 172.30.25.1 assume o trfego destinado rota esttica default,
com route preference igual a 5 (valor default para rotas estticas). Em paralelo, o usurio
definiu uma rota esttica qualified para o next hop 172.30.25.5, definindo para ela a
route preference 7. Dessa forma, todo o trfego a ser encaminhado pela rota default usar
o next hop 172.30.25.1. Em um cenrio onde esse n falha, a rota qualified ser ento uti-
lizada. Outros fabricantes chamam esse tipo de implementao de rota esttica flutuante.
Introduo rede Ip
218
Roteiro de Atividades 8
Atividade 8.1 Configurando rota esttica
Para esta atividade usaremos a topologia descrita na figura a seguir.
Mesa do
Instrutor
8 7 6 5 4 3 2 1
16 15 14 13 12 11 10 9
24 23 22 21 20 19 18 17
Figura 11.10 Aps efetuar as ligaes dos cabos conforme descrito para cada bancada, execute os
Topologia da comandos de configurao a seguir.
Atividade 8.1.
219
Utilizar a ge-0/0/1, ge-0/0/2 e a E1-1/0/0 no exerccio.
Comandos roteador A:
# commit
# commit
Comandos roteador B:
11 Execute show route <IP do PC remoto do outro roteador>. Voc deve perceber que no
existe rota para o endereo IP remoto.
11 Entre no modo de configurao com configure private, e crie as rotas para o PC remoto
com os seguintes comandos:
Comandos roteador A:
220
Comandos roteador B:
11 Em seguida verifique a conectividade com run ping <IP do PC remoto do outro roteador.
H conectividade? Por qu?
11 Execute o comando show | compare para checar a diferena entre a configurao can-
didata e a configurao ativa.
11 Entre no modo de configurao com configure private e remova a rota esttica criada
com delete routing-options static route <prefixo> next-hop <NH>.
11 Teste a conectividade com o PC remoto do outro roteador com run ping <IP do PC
remoto do outro roteador >. H conectividade?
11 Execute show route para verificar as rotas recm adicionadas na tabela de rotas.
221
Introduo rede Ip
222
12
Filtros de firewall
objetivos
conceitos
Filtros de firewall, RPF Unicast.
Viso geral
11 O conceito de filtro de firewall no Junos se assemelha ao que o mercado de redes q
chama de lista de acesso.
11 Esse recurso utilizado para controlar o trfego que passa atravs de um equipa-
mento Juniper (saindo ou entrando).
Figura 12.1
Filtro de firewall.
Captulo 12 - Filtros de firewall
223
11 Em contraste, o firewall statefull requer apenas que o usurio determine a ao a ser q
tomada em um dado tipo de conexo.
A execuo das aes definidas no termo ser feita sobre todos os pacotes que satisfizeram
as condies do termo. O termo pode definir zero ou mais aes. Alm disso, pode ter zero
ou mais condies.
my-filter
Nomes de termos
e ltros denidos
pelo usurio.
term firstterm
from then
match
no match
then
from Comandos descrevem as aes
term secondterm
Comandos descrevem que devem ser tomadas se
as condies de from then ocorrer uma comparao com
comparao (match). match o comando from
no match
term Default
Ao default para os
discard pacotes no permitidos
explicitamente.
Introduo rede Ip
Conforme mostrado na figura, a entidade lgica que agrupa os vrios termos chamada Figura 12.2
filter (filtro). Filtro de firewall:
diagrama de blocos.
224
11 Ao definir o filtro, o usurio deve escolher com critrio a ordem dos termos, pois ela q
influenciar na operao do filtro.
A figura revela ainda que os filtros no Junos sempre incluem um termo default, ainda que o
usurio no o tenha definido. Esse termo diz ao Junos o que fazer com um pacote que no
satisfaz as condies de nenhum dos outros termos. Esse termo default informa ao Junos
que o pacote deve ser descartado. Assim, o administrador do sistema deve ter sempre em
mente que caso um pacote no atenda a nenhum dos matchs do filtro, ser descartado.
Condies Match
11 Geralmente uma condio match cai dentro de uma dentre trs categorias: compa- q
rao numrica, comparao de endereo ou comparao de bit.
11 Os critrios avaliados pelo match podem ser valores em campos do cabealho dos
pacotes IP. Mas nem todos os campos desse cabealho estaro disponveis.
11 Quando o usurio especifica o campo do pacote IP que ser avaliado, o Junos procura
em cada pacote, no campo determinado, um valor para verificar se o critrio match
definido atendido.
term firstterm
from
Comandos descrevem from then
Figura 12.3 as condies de match
Filtro de firewall: comparao (match).
diagrama de blocos.
O Junos no verifica se o tal campo faz sentido no pacote que est sendo avaliado. Por
exemplo, o usurio pode definir que o Junos deve tomar uma ao baseado na existncia
da flag ACK no pacote TCP. Dessa forma, o Junos ir procurar pelo bit que define o ACK, na
posio do pacote onde esse bit est sempre presente. No entanto, o Junos no verificar
se o pacote TCP. Se o pacote que passa pela interface for UDP, que no tem o conceito de
ACK, ocorrer um problema semntico da anlise do filtro.
Assim, cabe ao usurio ter cincia desse comportamento do sistema e cuidar para que as
anlises sejam coesas. No exemplo anterior, o usurio deveria utilizar dois matches: o pri-
meiro informando que o pacote tem que ser TCP, e um segundo dizendo que o bit ACK deve
estar configurado.
q
Captulo 12 - Filtros de firewall
225
11 Esse comportamento pode trazer resultados imprevisveis quando se est utilizando q
um firewall stateless como o do Junos.
Pensando em um filtro que tenha vrios termos, uma ao terminadora faz com que a
anlise de todos os termos subsequentes seja cancelada. Ao verificar dentro de um termo
uma ao terminadora, o sistema executa a ao e no se faz necessrio verificar o con-
tedo dos demais termos. As aes terminadoras so: accept, reject e discard.
11 A ao accept faz com que o sistema permita que o pacote avaliado seja q
processado normalmente.
11 A ao reject faz com que o sistema seja descartado e uma mensagem de ICMP seja
enviada ao remetente informando sobre o descarte.
A ao reject admite argumentos opcionais que permitem ao usurio enviar uma men-
sagem ICMP (destination unreachable) diferente para o remetente ou mesmo enviar um
TCP reset ao invs da mensagem ICMP. A ao reject tcp-reset executa essa ao.
Alm das trs aes terminadoras, o usurio tem a opo de usar uma ao modificadora.
As aes modificadoras so: count, log, syslog, forwarding-class, loss-priority e
policer. Diferente das aes terminadoras, quando o sistema encontra uma ao modi-
ficadora, ela executada e o processamento dos termos subsequentes do filtro acontece
normalmente. Esse processamento somente ser interrompido por uma ao terminadora.
11 boa prtica definir um termo final sem condies e com uma ao terminadora.
Introduo rede Ip
11 As aes count, log e syslog servem para gravar informaes sobre os pacotes
processados pelo filtro.
11 A ao policer permite invocar um traffic policer, que ser apresentado mais tarde
nesse curso.
226
Definindo um filtro de firewall
O uso de um filtro de firewall inclui dois passos: definir um filtro e aplicar o filtro q
em uma interface.
my-filter
term firstterm
from then
match
no match
term secondterm
from then
match
no match
term Default
discard
Figura 12.5
Estrutura do filtro.
Figura 12.6 Um filtro pode ser aplicado em mais de uma interface. O mesmo filtro tambm pode ser
Aplicando filtro nas aplicado nas duas direes (in e out) de uma interface. Um filtro tambm pode ser
interfaces.
Captulo 12 - Filtros de firewall
11 set input <nome do filtro> (para definir o filtro atuando nos pacotes entrantes da interface) ou;
227
Um filtro definido para um determinado protocolo de rede s pode ser utilizado em units
desse mesmo protocolo. Ou seja, no possvel, por exemplo, aplicar um filtro de IPv6 em
uma unit que no seja IPv4.
Se um filtro definido sob a hierarquia [edit firewall inet6], no ser possvel aplic-lo em
uma hierarquia [ edit interfaces <nome> unit <n> family inet ] (unit IPv4). Ou seja, a family
do filtro precisa casar com a family da interface.
Ao adicionar um filtro a uma interface atravs de uma sesso remota (Telnet ou SSH)
sempre uma boa prtica utilizar a opo commit confirmed. comum o administrador, por
um erro de configurao, perder acesso a uma interface aps aplicar um filtro.
Para pensar
Exemplo de filtro
Definindo um bloqueio do protocolo ICMP. Nome do filtro: bloqueios.
MYNET
R1
.100 .1 ge-0/0/1.0
Internet
.2 .1 Figura 12.7
172.27.102.0/24 172.30.25.0/30 Exemplo de filtro
(parte I).
Na figura anterior, o usurio deseja filtrar todo o trfego de protocolo http que entra
pela interface ge0/0/1.0, exceto o trfego destinado ao servidor da figura. A configurao
seguinte exibe um exemplo de filtro que pode fazer essa tarefa.
MYNET
Introduo rede Ip
R1
.100 .1 ge-0/0/1.0
.2 Figura 12.8
172.27.102.0/24 Exemplo de filtro
(parte II).
228
O filtro criado possui dois termos. No primeiro a condio que o trfego seja http e o
destino seja o servidor. Se essas duas condies forem contempladas, o trfego ser permi-
tido e o processamento termina (na ao terminadora accept). Se alguma das condies
no for aceita, o processamento seguir para o segundo termo.
O segundo termo diz que se o trfego for http, deve ser descartado (ao terminadora discard).
Sempre que necessrio evitar o termo default (que descarta todos os pacotes por default),
utilize um ltimo termo sem condies e com a ao accept.
Esse tipo de filtro tem a mesma estrutura do filtro de trfego, mas aplicado interface lo0
(Loopback 0). A figura seguinte ilustra o ponto de atuao do filtro de acesso local quando
aplicado interface lo0.
Routing Engine
CPU
Control Plane
Io0
Forwarding Plane
Figura 12.9
Frames and Packets in
Filtrando trfego
local. Packet Forwarding Engine
Os filtros de trfego local so aplicados de modo a proteger a RE. A PFE aplica esse filtro
antes de passar o trfego ao plano de controle.
Ao aplicar um filtro de trfego local importante considerar o trfego provindo dos pro-
tocolos de roteamento e outros trfegos de controle. Essa observao ganha importncia
graas ao comportamento do termo default, inserido automaticamente pelo sistema.
Captulo 12 - Filtros de firewall
229
Definition Application
Repare que se o termo else-accept no fosse includo, o software descartaria todo o trfego
de controle e gerncia que no foi especificado explicitamente. Isso inclui os anncios de rotas
OSPF, BGP e de outros protocolos provindas de roteadores vizinhos, bem como mensagens
SNMP ou NTP de plataformas de gerncia. Um srio distrbio poderia ser causado.
Para completar a configurao, a seguir vemos a criao de uma prefix-list, definio feita
na hierarquia [edit policy-options].
[edit policy-options]
user@host# show
prefix-list trusted {
172.27.102.0/24;
11 O policer criado na hierarquia [edit firewall], sendo preciso aplic-lo a uma interface.
230
Ba l d e
Figura 12.10 d e b it
Policer em ao.
O filtro usado para a tarefa de policing tem a mesma estrutura dos demais filtros. Ele
consiste em um conjunto de termos, os quais definem condies e aes relacionadas.
A diferena que normalmente se usa a opo policer no(s) primeiro(s) termo(s).
Para melhor entendimento, a seguir vemos o uso de um policer associado a um filtro de firewall.
[edit firewall]
user@host# show
policer p1 {
if-exceeding {
bandwidth-limit 400k;
burst-size-limit lOOk;
then discard;
family inet {
filter rate-limit-subnet {
term match-subnet {
from {
source-address {
192.100.1.0/24;
}
Captulo 12 - Filtros de firewall
then {
policer p1;
231
term else-accept {
then accept;
11 O parmetro burst-size-limit pode ser entendido como um pico que pode exceder a q
velocidade mdia assinalada.
22 O administrador quer permitir que determinado padro de trfego use apenas 10 Mbps.
22 No entanto, o administrador admite que a aplicao possa gerar picos de 100 Mbps
com durao de 5 milisegundos. Assim, teremos o clculo do burst-size-limit:
firewall {
policer class-example {
if-exceeding {
bandwidth-limit 10m;
burst-size-limit 62500;
family inet {
filter example1 {
term policer-example {
Introduo rede Ip
from {
protocol tcp;
then {
232
policer class-example;
forwarding-class assured-forwarding;
accept;
[edit firewall
user@host # show
policer pl
if-exceeding {
bandwidth-limit 400k;
burst-size-limit 100k;
then discard;
family inet {
term match-subnet {
from {
source-address {
192.100.1.0/24;
then {
Captulo 12 - Filtros de firewall
policer pl:
term else-accept {
then accept;
233
}
11 Acima h um policer chamado p1, que descarta trfego que exceda o consumo de q
uma largura de banda mdia de 400 Kbps com picos de 100 Kbytes.
11 Uma vez definido o policer, possvel invoc-lo a partir de um termo de filtro de firewall.
No exemplo acima, o filtro rate-limit-subnet submete todo o trfego originado pela rede
192.100.1.0\24 ao policer definido previamente. Ser descartado o volume de trfego
daquela sub-rede que demandar mais recursos do que os definidos pelo policer.
Todos os demais trfegos, originados de outras redes, sero aceitos normalmente e podero
usar toda a largura de banda da interface onde o filtro for aplicado.
MYNET
R1
.1 ge-0/0/1.0
Internet
.2 .1
Figura 12.11
172.27.102.0/24 172.30.25.0/30 Estudo de caso
(parte I).
11 Todo o trfego de qualquer fonte que no seja da rede 172.27.102.0\24 deve ser descar-
tado e registrado em arquivo de log;
11 Todo trfego com IP origem da rede 172.27.102.0\24 deve ser descartado e registrado.
11 Todo trfego da internet respondendo a conexes TCP iniciadas do servidor MyNET deve
ser atendido.
Para alcanar os objetivos traados, o filtro seguinte foi definido para ser aplicado na sada
da interface.
user@R1# show
234
term deny-spoofed {
from {
source-address {
0.0.0.0/0;
then{
log;
discard;
term else-accept {
then (
count outbound-accepted;
accept;
user@Rl# show
term deny-spoofed {
from {
source-prefix-list {
internal-prefixes;
}
Captulo 12 - Filtros de firewall
then {
log;
discard;
term allow--established-sessions
235
from {
protocol tcp;
tcp-established;
then accept;
term allow-some-icmp {
from {
protocol icmp;
then accept;
term else-discard
then {
count inbound-discarded;
discard;
[edit policy-options]
user@Rl# show
prefix-list internal-prefixes {
172.27.102.0/24;
Na configurao aplicada foram usadas as opes count e log. O count mantm um con-
tador cumulativo de pacotes e de bytes. Para cada contador de um filtro o sistema mantm
um nico conjunto de estatsticas. Assim, se um mesmo filtro aplicado em mltiplas inter-
faces, todos os pacotes contemplados pelo count incrementaro um mesmo contador.
O prximo passo aplicar os filtros definidos nas direes de entrada e sada da interface.
user@R1# show
unit 0 {
family inet {
filter {
236
input input-ff;
output output-ff;
address 172.30.25.2/30;
MYNET
Filtros de rewall de
sada (Output)
R1 Output controlam o trfego
saindo da interface.
.1
Filtros de rewall de
172.27.102.0/24 Input entrada (Input)
controlam o trfego
Figura 12.12
entrando na interface.
Estudo de caso
(parte II).
Os contadores de um filtro, definidos pela opo count, podem ser zerados com o
comando clear firewall filter <nome do filtro>.
Log :
...
237
O comando show firewall counter, conforme mostrado a seguir, verifica o valor dos conta-
dores do filtro aplicado (definidos pela opo count).
Filter: input-ff
Counters:
inbound-discarded 1296 23
Filter: output-ff
Counters:
Repare no exemplo que o nome do filtro pode ser passado como argumento do comando,
caso se deseje verificar os contadores de um nico filtro.
22 Essa checagem visa garantir que o pacote realmente deveria vir de onde veio.
33 Se a resposta for outra, o pacote ser descartado, pois ficar caracterizada uma
potencial ocorrncia de IP spoofing.
238
Passou RPF
Falhou RPF
Tabela de rotas
Ba l d e
Figura 12.13
d e b it
Verificao RPF.
Uma mesma interface pode ter a verificao RPF configurada juntamente com um filtro de
firewall, sem problemas.
R2
Internet R1 R4
172.30.17.0/24
Caminho ativo
Caminho factvel R3
Figura 12.14 O problema pode ser corrigido com o uso da opo feasible-paths, conforme mostrado no
RPF em interfaces exemplo de configurao seguinte.
redundantes.
Captulo 12 - Filtros de firewall
R1
Figura 12.15
RPF com
feasible-paths
habilitado.
239
O uso dessa opo faz com que o sistema considere todas as rotas recebidas pelo roteador
para fazer a verificao, e no s a rota ativa na tabela de rotas. Normalmente, em topolo-
gias redundantes, o roteador ter duas ou mais rotas para entregar o pacote, mas s uma
estar ativa.
11 Existem outras opes de configurao de RPF que variam de acordo com a plataforma.
Filtros de fail
11 Quando um pacote no passa na verificao de RPF, descartado por default. q
11 Opcionalmente pode-se definir um filtro de fail.
11 Dessa forma, todos os pacotes que forem reprovados no teste de RPF sero subme-
tidos s aes contidas no filtro de fail.
11 Essas aes podem inclusive ser um accept, para liberar o trfego, ou um policer,
para limitar a sua taxa de dados.
A seguir um filtro de fail configurado para permitir trfego reprovado no teste de RPF
apenas quando este for proveniente de um servidor DHCP ou Bootstrap (BOOTP).
firewall {
family inet {
filter rpf-dhcp {
term dhcp {
from {
source-address{
destination-address {
255.255.255.25!V32
}
Introduo rede Ip
then accept;
240
}
Repare que esse filtro libera apenas trfego com IP origem 0.0.0.0\32 e destino
255.255.255.255\32. Esses parmetros so usados pelos protocolos DHCP e BOOTP.
ge-0/0/1 {
unit 0 {
family inet {
filter {
input input-ff;
output output-ff
address 172.30.25.2/30;
ge-0/0/2 {
unit 0 {
family inet {
address 172.19.2.1/30;
ge-0/0/3 {
unit 0 {
Captulo 12 - Filtros de firewall
family inet {
address 172.27.102.1/24;
241
O exemplo mostra a verificao de RPF no seu modo mais simples, sendo aplicada na inter-
face ge-0/0/1.0.
Nas interfaces ge-0/0/2.0 e ge-0/0/3.0, a verificao foi habilitada em conjunto com um filtro
de fail nomeado rpf-dhcp.
Introduo rede Ip
242
Roteiro de Atividades 9
Atividade 9.1 Configurando filtro de firewall
Alunos dos PCs do roteador A devem fazer um firewall filter que permita que IPs que esto
nos PCs do roteador B possam fazer SSH para a interface ge-0/0/1, mas no possam fazer
telnet ou ping. Qualquer outro IP que tente acessar a interface ge-0/0/1, usando qualquer pro-
tocolo, deve conseguir. Depois de criado, esse filtro deve ser aplicado na interface ge-0/0/1.
set firewall family inet filter bloqueios term block_icmp from address 10.0.30.0/24
set firewall family inet filter bloqueios term block_icmp from address 10.0.40.0/24
set firewall family inet filter bloqueios term block_icmp from protocol icmp
set firewall family inet filter bloqueios term block_icmp then reject
set firewall family inet filter bloqueios term block_telnet from address 10.0.30.0/24
set firewall family inet filter bloqueios term block_telnet from address 10.0.40.0/24
set firewall family inet filter bloqueios term block_telnet from port telnet
set firewall family inet filter bloqueios term block_telnet then reject
set firewall family inet filter bloqueios term permitindo then accept
Para verificar se o filtro est corretamente configurado, aps o comando commit, o arquivo
de configurao dever ser semelhante ao mostrado a seguir.
family inet {
filter bloqueios {
term block_icmp {
from {
address {
10.0.30.0/24;
Captulo 12 - Roteiro de Atividades 7
10.0.40.0/24;
protocol icmp;
then {
reject;
243
}
term block_telnet {
from {
address {
10.0.40.0/24;
10.0.30.0/24;
port telnet;
then {
reject;
term permitindo {
then accept;
[edit]
1. Calculando burst-size:
2. Criando policer:
top
Introduo rede Ip
244
3. Criando firewall filter:
set firewall family inet filter ICMP_Limit term else then accept
245
Introduo rede Ip
246
13
Troubleshooting em interfaces
objetivos
conceitos
Troubleshooting genrico de interfaces, troubleshooting especfico de interfaces serial
e Ethernet, interfaces E1, E3 e Sonet/SDH.
Como qualquer outra linha do arquivo de configurao, uma interface tambm pode ser
desativada. Abaixo est ilustrado um exemplo de desativao de interface:
[edit]
Captulo 13 - Troubleshooting em interfaces
so-2/0/0 up up
[edit]
[edit]
247
user@host# show interfaces
...
[edit]
so-2/0/0 up up
11 O exemplo anterior mostra que uma interface desativada tem todas as suas unidades q
(interfaces lgicas) excludas da lista de interfaces presentes.
11 Opcionalmente uma interface pode ser desabilitada com o comando disable, que
deve ser colocado na hierarquia [edit interfaces <nome da interface>].
[edit]
Interface Admin
Link
Proto
Local Remote
so-2/0/0 up up
so-2/0/0.0 up up inet
10.2.1.21/30
[edit]
[edit]
disable;
unit 0 {
family inet {
Introduo rede Ip
address 10.2.1.21/30;
248
[edit]
Interface Admin
Link
Proto
Local Remote
so-2/0/0 down up
so-2/0/0.0 up down
inet
10.2.1.21/30
[edit interfaces]
atm-options {
vpi 0 {
maximum-vcs 200;
unit 0 {
description to HK;
vci 100;
family inet {
address 10.0.15.1/24;
unit 101 {
Captulo 13 - Troubleshooting em interfaces
description to DE;
vci 101;
family inet {
address 172.16.0.1/24;
249
[edit interfaces]
unit 0 {
family inet {
address 10.0.13.1/24;
family mpls;
[edit interfaces]
no-keepalives;
Cada exemplo acima faz uso de pelo menos uma interface lgica (unit), na qual configu-
rada uma famlia de protocolo L3 (family), que define o tipo de pacotes L3 que podero
trafegar por ali. Outras propriedades lgicas das interfaces so configuradas na hierarquia
unit das interfaces.
Para verificar os comandos set que foram usados para configurar uma interface, pode-se
usar o artifcio do | display set. A seguir est ilustrada a utilidade deste recurso:
[edit interfaces]
250
user@host> show interfaces so* terse
iso
iso
...
11 O wildcard asterisco (*) um recurso que pode ser usado para filtrar a sada q
do comando.
11 Uma interface fsica que foi desabilitada aparece com os estados administrativo e
operacional respectivamente down e up, e suas respectivas interfaces lgicas
como admin up e link status down.
11 A interface fsica fica com link status up porque o enlace fsico est saudvel (no
tem alarmes).
11 Novamente, a interface fsica mantm link status up, porque o enlace fsico est
funcionando.
Captulo 13 - Troubleshooting em interfaces
11 A interface lgica fica com link status down porque a comunicao de camada 2 est
quebrada.
251
Physical interface: so-0/1/2, Enabled, Physical link is Up
Not-configured
Last flapped : 2009-02-17 03:13:49 UTC (1w3d 11:12 ago) ----- Trafic
load and alarm status
Logical interface so-0/1/2.0 (index 67) (SNMP ifIndex 75) ----- Logical
device indexes
Flags: None
O exemplo ilustrado destaca as diferentes partes do relatrio gerado pelo comando, inclu-
sive uma parte dedicada s interfaces lgicas que porventura estiverem definidas.
252
11 O ndice SNMP ifIndex usado para identificar a interface junto aos softwares que q
fazem consultas via SNMP.
11 O outro ndice usado pelo prprio Junos para fazer referncia s interfaces quando
esto executando tarefas internas.
O ndice de identificao interna das interfaces fsicas chamado ifd, ao passo que o ndice
que identifica uma interface lgica o ifl.
11 No-Carrier: indica que o sinal de carrier no est presente (em mdias que suportam
reconhecimento de carrier).
11 Loose-LCP: protocolo PPP no est usando o Link Control Protocol para indicar a sade
da conexo PPP.
11 Loose-LMI: protocolo Frame Relay no est usando Local Management Interface para
indicar a sade da conexo Frame Relay.
253
11 Loose-NCP: protocolo PPP no usa o Network Control Protocol para indicar se o disposi-
tivo est up.
...
Statistics last cleared: Never ----- When counters were last cleared
...
Output errors:
...
PLL Lock 0 0 OK
SEF 143 157 OK
254
11 Os contadores exibidos no comando podem ser zerados a qualquer momento com o q
comando clear interfaces statistics <nome da interface>.
A lista a seguir exibe e explica alguns dos contadores de erro das interfaces no Junos:
11 Errors: exibe o nmero de frames entrantes na interface que chegaram com erro de FCS.
11 Policed Discards: exibe o nmero de frames entrantes que foram descartados porque o
cdigo do protocolo L3 no foi reconhecido ou no de interesse. Um exemplo clssico
de descarte nesta situao so os pacotes do protocolo Cisco CDP, que no so vlidos no
equipamento Juniper.
11 Carrier Transitions: exibe o nmero de vezes que a interface saiu do estado down para
up. Esse nmero no deve ser incrementado rapidamente, apenas quando o cabo da
interface desconectado ou quando o sistema remoto desligado. Se esse contador
incrementa rapidamente (mais de uma vez a cada 30 segundos), fica caracterizada uma
falha na linha de transmisso, no sistema remoto ou na PIC local.
11 Drops: exibe o nmero de pacotes descartados na fila de sada da interface. Esse con-
tador incrementado normalmente em situaes de saturao ou uso de policer.
11 Aged Packets: exibe a quantidade de pacotes que permaneceram muito tempo na SDRAM
compartilhada. Esse contador no deveria ser incrementado nunca. Se incrementado,
fica caracterizado um bug de software ou um mau funcionamento do hardware.
Monitorando interface
q
Captulo 13 - Troubleshooting em interfaces
255
Traffic statistics: Current Delta
Error statistics:
Teste de loop
O caminho fsico que implementa o enlace de dados de uma organizao usuria at o
PoP da RNP normalmente composto de um certo nmero de segmentos de cabo (spams)
interconectados por dispositivos que regeneram e repetem o sinal adiante. Quando uma
falha ocorre no enlace possvel localizar a fonte do problema atravs de testes em cada
segmento e testes fim a fim.
256
Loop
detected!
TX RX
Telco sets
RX loopback TX
Figura 13.1 Normalmente, um teste de loop executado recursivamente em cada um dos dispositivos
Teste de loop. que compem o circuito de dados. Se um loop configurado em um determinado segmento
do enlace e o roteador na ponta do circuito no verifica a presena de sinal na recepo, fica
caracterizado o isolamento do problema entre o roteador da ponta do enlace e o ponto
onde foi executado o loop.
11 Os testes de loop tambm podem ser utilizados para localizar segmentos do enlace
que protagonizam a apario de taxas de erro de CRC na recepo do roteador.
11 Quando possvel, sempre melhor executar o teste de loop local externo, utilizando
um plug externo.
11 O plug externo poder executar a atenuao necessria para evitar a queima do receptor.
Captulo 13 - Troubleshooting em interfaces
Interfaces ponto a ponto (tecnologias de no broadcast como Sonet, SDH e E1) tambm
suportam testes de loop remoto. A figura a seguir ilustra a diferena dos loops local e remoto.
257
O circuito pode entrar
em loop em qualquer
lugar do caminho
Loopback
local
Porta e
Porta est OK Loopback circuito
(internamente) remoto esto OK
A configurao do loop remoto na interface do equipamento faz com que o equipamento Figura 13.2
remoto receba tudo que enviado ao roteador. Nenhuma sinalizao gerada para o equi- Loop Local e
Remoto.
pamento remoto para dizer que o loop est ocorrendo. Por isso, normalmente esse tipo de
teste executado em conjunto com tcnicos da operadora de telecomunicaes, que deseja
testar o circuito.
Para o teste de loop local, o parmetro clocking da PIC de transmisso deve ser configu-
rado para internal, que a opo default.
user@Tokyo# show
no-keepalives;
encapsulation frame-relay;
sonet options {
loopback local;
unit 100 {
dlci 100;
Introduo rede Ip
family inet {
address 10.0.22.1/24;
258
[edit interfaces so-0/1/1]
Loopback: Local,
11 A interface usada no exemplo anterior utiliza Frame Relay com recurso de keepalives
(LMI) desligado.
Na maioria das vezes, o comportamento acima descrito pode ser evitado atravs da confi-
gurao do comando no-keepalives, mas, como mostrado a seguir, essa opo pode ser
usada apenas em interfaces com protocolo de enlace: Frame Relay, ATM e HDLC. O protocolo
PPP, mesmo com a opo de keepalive desabilitada, consegue detectar um loop automati-
camente devido a algumas negociaes que ocorrem no nvel 3. A nica forma de evitar que
a interface fique down em links com PPP mudar a configurao de encapsulamento L2
durante o teste de loop.
...
259
Device flags: Present Running Loop-Detected
...
...
Flags: Protocol-Down
user@London# show
no keepalives;
unit 0 {
family inet {
address 10.0.22.2/24;
Figura 13.3
10.0.10.1 Loopback Comportamento
de loop em
equipamentos de
outros fabricantes.
Figura 13.4
10.0.10.1 Loopback Comportamento
de loop em
equipamentos
Juniper.
Introduo rede Ip
O exemplo seguinte mostra como a linha com loop pode ser testada no Junos.lab@router>
ping 10.0.10.2
260
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
JUNOS Device
10.0.10.1 Loopback
Figura 13.5
Teste de linha com Ping to remote
ping no Junos. IP 10.0.10.2
11 Ao utilizar o equipamento Juniper com um loop externo na linha (loop local externo, loop q
remoto em equipamento da operadora ou um loop remoto da interface local) deve-se
fazer um ping para um IP remoto que normalmente atendido pela interface local.
11 Esse processo se repetir continuamente at que o campo TTL atinja o valor zero. Se
a linha estiver saudvel, um erro de Time To Live exceeded ser gerado.
11 Se a linha tiver uma indisponibilidade fsica no trecho testado, os pings sero perdidos.
Se o trecho testado sofrer com taxas de erro, uma parte dos pacotes de ping gerar o erro
de TTL Exceeded; a outra parte no retornar o erro.
No caso de linha com taxas de erro, o tamanho dos pacotes de ping e o uso da opo rapid
no comando de ping podem afetar o resultado. Pacotes maiores e enviados em intervalos
pequenos tm menor probabilidade de completar o percurso em caso de linha com erro.
Outro fator que pode ser variado durante os testes o TTL. No ping do Juniper, o valor de
TTL default 255. Dessa forma, um erro de TTL expirado indica que houve 255 transmisses
e recepes executadas com sucesso. Configurar o valor de TTL para um valor menor pode
ser til ao tentar caracterizar a qualidade da linha.
261
Troubleshooting especfico de interfaces serial e ethernet
Interfaces de LAN e conveno de nomes
Plataformas Junos suportam vrios tipos de tecnologia ethernet. As mdias ethernet q
suportadas e as respectivas convenes de nomes utilizadas so:
As interfaces Fast Ethernet podem operar nos modos half duplex ou full duplex. As inter-
faces Gigabit funcionam apenas no modo full-duplex.
Abaixo esto os comandos mais comuns utilizados no ataque a problemas com inter- q
faces de tecnologia ethernet, comandos de troubleshooting para interfaces ethernet
(exceto loopback). Cada um destes comandos detalhado a seguir:
11 ping
11 loopback (local)
11 show arp
11 monitor traffic
11 monitor interface
11 clear statistics
11 request ...
11 restart ...
Comando ping
Usado largamente para verificar a conectividade de elementos na LAN. A recepo de um
echo reply de um elemento da LAN valida o bom funcionamento das camadas 1, 2 e 3 dos
segmentos de rede que ligam o roteador ao host em questo.
262
autoconfiguration. Em ambos os casos, os contadores de erro sofrero incrementos, e
este comando permitir o diagnstico.
11 monitor interface: exibe estatsticas em tempo real de uma interface fsica. A sada se
atualiza a cada um segundo. Dentre outras coisas, esse comando acompanha a evoluo
de vrios contadores de erro, como frames mal formados, ou com erro de CRC.
Interfaces E3
Verificando o funcionamento fsico da porta
Para verificar o bom funcionamento da porta E3, pode-se fazer um loop fsico entre as
portas de transmisso e recepo. Ao fazer essa operao, deve-se tomar o cuidado de usar
um atenuador para evitar uma alta potncia na porta de recepo do roteador.
Uma vez que a porta de transmisso est conectada na porta de recepo (loop), o usurio
deve verificar a presena da flag Loop-Detected na interface em questo. Essa flag dever
ser vista na sada dos diferentes comandos show interfaces. Alm disso, a sada do
monitor interface dever mostrar o contador de input packet count igual ao contador
output packet count. Se esses comportamentos esperados ocorrerem, pode-se afirmar
que a transmisso e a recepo da interface esto ocorrendo a contento.
Ainda, se o protocolo de nvel 2 HDLC estiver em uso na interface, o contador de input keepalive
packet dever ser igual ao contador de output keepalive packet. Se algum dos itens destacados
nos dois pargrafos acima no ocorre, a PIC pode estar com problemas. Para isolar o problema,
preciso trocar as configuraes e o cabeamento para outra porta E3 e executar novo teste.
Para mover a configurao de uma porta para outra de maneira rpida, o comando
rename pode ser usado conforme o exemplo abaixo:
[edit interfaces]
11 Frame Checksum: o enlace E3 usa um campo de 16 bits para a tarefa de cheksum. pos-
Captulo 13 - Troubleshooting em interfaces
svel configurar esse campo para utilizar 32 bits, o que torna a verificao mais confivel.
Porm, alguns equipamentos antigos suportam apenas o campo de 16 bits. Um descasa-
mento dessa configurao implicar um problema na conectividade fsica.
11 Line buildout: para fazer com que o sinal chegue a um destino que esteja a mais de
70 metros do roteador, utiliza-se a opo long-buildout na hierarquia [edit interfaces
<nome da interface> t3-options.
263
Verificando alarmes ativos em interfaces E3/T3
A seguir vemos a sada do comando show interfaces para uma interface T3. A sada do
comando para uma interface E3 similar.
Finalmente, a parte inferior mostra alarmes ativos e os defeitos ativos na camada fsica. Em
uma interface saudvel, no se esperam alarmes ativos.
A lista abaixo mostra alguns dos alarmes mais populares e seus significados. Quase todos
implicaro em acionamento do provedor do enlace de dados.
11 LoF (Loss of Frame): indica perdas de bit(s) dos frames recebidos. Pode estar ocorrendo
um problema de sincronismo na linha ou incompatibilidade na configurao da forma-
tao de frames.
11 LoS (Loss of Signal): indica que o sinal est fraco ou no pode ser identificado na interface
E3. Pode-se verificar os cabos para checar sua integridade. Tipicamente esse problema
implicar em acionamento da operadora de telecomunicaes que prov o enlace.
264
11 IDLE: esse alarme indica que a linha ainda no foi provisionada para o servio.
11 Yellow: indica que o equipamento detectou um problema com o sinal que est sendo
recebido do equipamento remoto.
Alm dos alarmes, alguns eventos de erro fsico podem ser registrados:
11 BPV (Bipolar Violation): ocorrncia de erro fsico, como um pulso com a mesma polari-
dade do pulso anterior (com codificao B3ZS bipolar 3 zero substitution).
11 EXZ (excessive zeros): indica a ocorrncia de uma sequncia muito grande de zeros.
11 LCV (Line Code Violation): contador que registra a ocorrncia dos erros BPV e EXZ de
forma cumulativa.
11 PCV (p-bit code violation): o bit de verificao P no frame DS-3 no casa com o cdigo
calculado localmente.
11 CCV (c-bit code violation): conta as violaes de cdigo reportadas atravs do bit de verifi-
cao C do frame DS-3.
A opo size o primeiro recurso disponvel no comando ping, que pode ser usado em
casos de problemas de performance. Essa opo altera o tamanho dos pacotes do ping
e permite ao usurio conhecer a reao da rede a pacotes grandes e pequenos. Em alguns
casos possvel verificar, por exemplo, que pacotes grandes esto sofrendo taxas de des-
carte elevadas, ao passo que pacotes pequenos esto recebendo servio normalmente.
A opo pattern permite a gerao de pacotes de ping com um padro de bits particular-
mente especificado. Em alguns casos possvel verificar que o circuito apresenta perfor-
mance normal para pacotes com muitos bits 1 e baixa performance para pacotes com
muitos bits 0.
A seguir vemos a execuo do comando ping fazendo uso das opes size e pattern.
Esse procedimento til para verificar a performance de circuitos E3 ou E1.
Interfaces E1
11 A investigao de problemas em interfaces E1 bastante similar ao procedimento q
utilizado para interfaces E3.
11 Os recursos de loop e ping podem ser usados para avaliar o bom funcionamento da
PIC fsica e da rede do provedor do enlace de dados.
265
11 Alm disso, em problemas de indisponibilidade de link, deve-se verificar se as configu- q
raes fsicas das interfaces E1 nos equipamentos das duas pontas do enlace utilizam
os mesmos parmetros.
Antes de apresentar os itens de verificao usados para investigao das interfaces E1, apre-
sentaremos algumas particularidades da sua configurao.
O feixe de dados E1 um padro da hierarquia digital PDH, que opera na taxa de 2048
Mbps. O feixe implementa um dos esquemas mais bsicos de multiplexao por diviso de
tempo dentre os utilizados em telecomunicaes.
11 O feixe composto por 32 canais de 64 Kbps cada, divididos no tempo (32 x 64 = 2048). q
11 Na interface Juniper as caractersticas fsicas especficas da interface E1 so configuradas
sob a hierarquia de configurao [edit interfaces <nome da interface> e1-options].
11 Ou seja, apenas 1984 Kbps so efetivamente usados para a transmisso de dados teis.
O Junos se refere ao primeiro canal do feixe como slot 1. Outros fabricantes se referem a
esse recurso como slot 0.
Alarmes e mdia E1
11 Alarmes e defeitos podem causar a inutilizao da interface e justificar problemas q
de performance.
266
Link flags : Keepalives
E1 errors:
11 A lista seguinte destaca alguns alarmes populares das interfaces E1, que existem q
tambm nas interfaces E3:
22 YLW: Yellow.
11 Abaixo seguem os contadores de erros tpicos que podem ocorrer na camada fsica. Alguns
deles so definidos tambm para as interfaces E3 (no sero novamente definidos).
33 Esse erro pode ocorrer, por exemplo, quando h falta de sincronismo entre o
relgio dos equipamentos transmissor e receptor.
A opo size o primeiro recurso disponvel no comando ping, que pode ser usada em
Captulo 13 - Roteiro de Atividades 1
casos de problemas de performance. Essa opo altera o tamanho dos pacotes do ping
e permite ao usurio conhecer a reao da rede a pacotes grandes e pequenos. Em alguns
casos possvel verificar, por exemplo, que pacotes grandes esto sofrendo taxas de des-
carte elevadas, ao passo que pacotes pequenos esto recebendo servio normalmente.
A opo pattern permite a gerao de pacotes de ping com um padro de bits particular-
mente especificado. Em alguns casos possvel verificar que o circuito apresenta perfor-
mance normal para pacotes com muitos bits 1 e baixa performance para pacotes com
muitos bits 0.
267
A seguir a execuo do comando ping fazendo uso das opes size e pattern (mesmo
exemplo utilizado na avaliao da interface E3).
Interfaces Sonet/SDH
A hierarquia de transmisso digital Sonet/SDH incorpora uma grande variedade de funcio-
nalidades de manuteno e operao, que facilitam a investigao de problemas nesse tipo
de linha. A interpretao dos erros Sonet/SDH til para determinar a fonte de problemas
na rede SDH. Alm disso, os valores contidos nos vrios contadores so informativos
quando corretamente interpretados, e ajudam na localizao do problema. Esse tpico
cobre os comandos disponveis para as interfaces Sonet/SDH.
A conexo SDH caracteriza a configurao de framing sdh sob a hierarquia [edit chassis].
chassis {
fpc 0 {
pic 0 {
framing sdh;
As interfaces Sonet/SDH dos roteadores Juniper funcionam como PTEs (Path Terminating
Equipment), e possuem visibilidade fim a fim do enlace de dados. Ao perceber problemas,
o equipamento reporta alarmes e erros, que podem ser verificados com comandos ade-
quados. Os alarmes e erros indicam a natureza dos problemas.
268
Output bytes: 6612857 (0 bps) [0]
Encapsulation statistics:
Error statistics:
L3 incompletes: 0 [0]
Interface warnings:
Em condies normais, a primeira linha deve exibir a mensagem Physical Link is Up. Do
contrrio, a interface no est apta a transferir e receber dados.
269
O show interfaces permite verificar os alarmes e defeitos ativos para a interface. Alm
disso, as configuraes das camadas 1 e 2 so verificadas, bem como flags da interface.
11 STM-1: 155 Mbps (pode ser composto por diversos frames PDH, como E1s e E3s).
11 O padro de hierarquia digital americano difere um pouco do SDH, mas sua essncia q
a mesma. As diferenas tcnicas no so tema deste curso.
Introduo rede Ip
11 Os feixes populares definidos pela hierarquia Sonet (nome dado ao padro americano) so:
22 OC-3: 155 Mbps (pode ser composto por diversos frames PDH, como E1s e E3s)
270
PTE STE LTE STE STE LTE PTE
Path
Regenerator = Repeater
ADM = Add/drop multiplexer
STE = Section-terminating equipment
A rede Sonet/SDH tpica composta pelos equipamentos terminais, chamados PTE (Path
Terminating Equipment), pelos equipamentos terminais de seo, chamados STE (Section
Terminating Equipment) e pelos multiplexadores add/drop.
A interface Sonet/SDH da plataforma Junos faz o papel de PTE. Basicamente os PTEs fazem o
papel de terminais do caminho. Ou seja, o PTE o destino final do frame. ali que o payload
ser interpretado e processado.
O caminho entre dois PTEs dentro da rede SDH chamado path. Alm do payload, o PTE
dedica ateno ao POH path overhead, a parte do cabealho dedicada a informaes sobre
o caminho atravessado pelo frame.
271
1 2 3 4 5 6 7 8 9 10 270
1
2
RSOH
3
4
POH
5
6
7 MSOH Figura 13.7
8
Estrutura do
9
frame STM-1.
Cabealho Informao til
O PTE tambm executa algumas funes do STE e do LTE. Antes de processar o payload, o
PTE precisa garantir a sade do frame. Para tal, ele observa a mesma parte do cabealho
que avaliada pelo STE para concluir se o frame est ntegro. O PTE tambm utiliza o line
overhead para determinadas tarefas.
O LTE tambm avalia o section overhead para garantir a sade dos frames que recebem.
Line
Introduo rede Ip
272
Quando ocorre uma interrupo de fibra ptica entre o roteador B e o multiplexador add/
drop B, vide figura, os seguintes alarmes sero gerados na rede:
11 LOL (Loss of Light): indica ausncia de luz na conexo fsica da porta de recepo do STE
que recebe um frame. Esse alarme causa uma cascata de outros alarmes, tal como LOS,
LOF e outros descritos abaixo.
11 LOS (Loss of Signal): indica ausncia de sinal na interface fsica de recepo do PTE.
11 LOF (Loss of Frame): indica a deteco de erros verificados nos bytes A1 e A2 do cabe-
alho dos frames recebidos pelo PTE.
11 AIS: o Junos envia um alarme AIS para a rede SDH para sinalizar uma condio de erro.
Um AIS-L indica que ocorreu um LOF ou LOS em algum STE do caminho upstream. Um
AIS-P indica que um LOS ou LOF detectado em um LTE do caminho upstream. Nesses
casos necessrio interagir com o responsvel pela rede SDH para identificar o elemento
que gerou os alarmes.
11 RDI: o Junos envia uma mensagem de remote defect indicator para sinalizar uma con-
dio de erro. No padro Sonet/SDH, um RDI-L enviado de um LTE para outro quando
um deles detecta um AIS-L, LOS ou LOF. Um RDI-P enviado de um PTE para outro
quando um deles detecta um AIS-P, AIS-L, LOS ou LOF.
11 REI: o Junos envia um remote error indicator para sinalizar uma condio de erro. Um
REI-L enviado ao LTE quando um erro detectado no byte B2. Um REI-P enviado ao
PTE remoto quando um erro detectado no byte B3.
RDI-P
RDI-L
LOS AIS
AIS-L AIS-P
Exemplo de Path
sinalizao RDI.
A presena dos alarmes citados requer interao com o responsvel pela rede Sonet/SDH.
As razes pelas quais um simples cabo interrompido produz um alarme de LOL ou de LOS
so explicveis pelos prprios nomes dos alarmes, podendo gerar alguma confuso o fato
de outros contadores incrementarem (como o AIS) na linha e no path Sonet/SDH. Esses
contadores so usados para ajudar a localizar os pontos de falha.
274
Bibliografia
11 Juniper Networks, J2300, J4300, and J6300 Services Router, Getting Started
Guide, Release 8.5
11 ALBITZ, P.; LIU, C. DNS and Bind. OReilly & Associates, 1993.
275
Introduo rede Ip
276
Gustavo Batista graduou-se em Enge-
nharia de Telecomunicaes pela Uni-
versidade Federal Fluminense em
2003. Trabalhou durante 3 anos em
operadora de telefonia celular com sis-
temas de gerncia de rede telefnica,
administrando sistemas Unix, Linux e
Windows e executando projetos de integrao de sistemas
de gerncia de diferentes fabricantes em uma plataforma
nica. Trabalhou no Centro de Engenharia e Operaes da
RNP (CEO) como analista de redes. Hoje atua na rea de
operaes da rede multisservios de uma empresa nacional
de porte, onde tambm participa de projetos nas reas de
QoS em redes IP e desempenho de rede.
LIVRO DE APOIO AO CURSO
ISBN 978-85-63630-33-9
9 788563 630339