Material didático de apoio ao curso Introdução à rede Ipê. A ESR elaborou este material com o objetivo de auxiliar na capacitação dos técnicos das nov...
Material didático do curso de Arquitetura e protocolos de rede TCP-IP da Escola Superior de Redes. O curso fornece uma visão geral das redes, conceitos básicos, noções de meios de comunicação, equi...Full description
Material didático do curso de Arquitetura e protocolos de rede TCP-IP da Escola Superior de Redes. O curso fornece uma visão geral das redes, conceitos básicos, noções de meios de comunicaçã…Descrição completa
Material didático do curso de Arquitetura e protocolos de rede TCP-IP da Escola Superior de Redes. O curso fornece uma visão geral das redes, conceitos básicos, noções de meios de comunicação, equi...Full description
Descripción: Material didático do curso de Arquitetura e protocolos de rede TCP-IP da Escola Superior de Redes. O curso fornece uma visão geral das redes, conceitos básicos, noções de meios de comunicação, equi...
Material didático do curso de Arquitetura e protocolos de rede TCP-IP da Escola Superior de Redes. O curso fornece uma visão geral das redes, conceitos básicos, noções de meios de comunicaçã…Descrição completa
Descrição: Material didático do curso de Arquitetura e protocolos de rede TCP-IP da Escola Superior de Redes. O curso fornece uma visão geral das redes, conceitos básicos, noções de meios de comunicação, equi...
Descrição: Material didático do curso de Arquitetura e protocolos de rede TCP-IP da Escola Superior de Redes. O curso fornece uma visão geral das redes, conceitos básicos, noções de meios de comunicação, equi...
Material didático do curso de Arquitetura e protocolos de rede TCP-IP da Escola Superior de Redes. O curso fornece uma visão geral das redes, conceitos básicos, noções de meios de comunicaçã…Full description
Descrição completa
ipipipFull description
Aula Redes Saneamento
Descripción completa
Rede Estruturada - Visio
Descrição: exercicio modelo.
Descrição completa
Descrição: Modelo para projeto de redes lógica
Descrição completa
Descrição completa
Descrição: Conceitos sobre redes de computadores
Introdução à
Rede Ipê Gustavo Batista
A RNP – Rede Nacional de Ensino e Pesquisa – é qualificada como uma Organização Social (OS), sendo ligada ao Ministério da Ciência, Tecnologia e Inovação (MCTI)
e
responsável
pelo
Programa Interministerial RNP, que conta com a participação dos ministérios da Educação (MEC), da Saúde (MS) e da Cultura (MinC). Pioneira no acesso à Internet no Brasil, a RNP planeja e mantém a rede Ipê, a rede óptica nacional acadêmica de alto desempenho. Com Pontos de Presença nas 27 unidades da federação, a rede tem mais de 800 instituições conectadas. São aproximadamente 3,5 milhões de usuários usufruindo de uma infraestrutura de redes avançadas para comunicação, computação e experimentação, que contribui para a integração entre o sistema de Ciência e Tecnologia, Educação Superior, Saúde e Cultura.
Ministério da Cultura Ministério da Saúde Ministério da Educação Ministério da Ciência, Tecnologia e Inovação
Diretor Geral Nelson Simões Diretor de Serviços e Soluções José Luiz Ribeiro Filho
Escola Superior de Redes Coordenação Luiz Coelho Edição Pedro Sangirardi Coordenação Acadêmica de Redes Luiz Carlos Lobato Equipe ESR Celia Maciel, Cristiane Oliveira, Derlinéa Miranda, Edson Kowask, Elimária Barbosa, Evellyn Feitosa, Felipe Nascimento, Lourdes Soncin, Luciana Batista, Renato Duarte, Sergio Ricardo de Souza e Yve Abel Marcial Capa, projeto visual e diagramação Tecnodesign Versão 1.1.0 Este material didático foi elaborado com fins educacionais. Solicitamos que qualquer erro encontrado ou dúvida com relação ao material ou seu uso seja enviado para a equipe de elaboração de conteúdo da Escola Superior de Redes, no e-mail [email protected]. A Rede Nacional de Ensino e Pesquisa e os autores não assumem qualquer responsabilidade por eventuais danos ou perdas, a pessoas ou bens, originados do uso deste material. As marcas registradas mencionadas neste material pertencem aos respectivos titulares. Distribuição
Escola Superior de Redes
Rua Lauro Müller, 116 – sala 1103 22290-906 Rio de Janeiro, RJ http://esr.rnp.br [email protected]
Dados Internacionais de Catalogação na Publicação (CIP) B333i Batista, Gustavo Introdução à rede Ipê / Gustavo Batista, Sidney Lucena; Colaboração de Beatriz Zoss. – Rio de Janeiro: RNP/ESR, 2013. 293 p. : il. ; 28 cm.
Bibliografia: p. 275. ISBN 978-85-63630-33-9
1. Redes de computadores – protocolos – conexão. 2. Rede Ipê. I. Lucena, Sidney. II. Zoss, Beatriz. III.Título.
CDD 004.62
Sumário Escola Superior de Redes A metodologia da ESR xi Sobre o curso xii A quem se destina xii Organização do livro xii Convenções utilizadas neste livro xiii Permissões de uso xiv Reconhecimentos xiv Sobre os autores xiv Prefácio xvi
1. Operação da rede Ipê Impacto da conexão na organização da instituição 1 Serviços IP fundamentais da RNP 2 Serviços de tráfego da RNP 2 Trânsito Nacional 3 Trânsito Internacional 3 Trânsito Acadêmico de Colaboração 3 Trânsito de Peering 3 Outros serviços da RNP 4 Serviços de comunicação e colaboração 6 Conferência Web 6 fone@RNP 6
iii
Videoconferência 8 Telepresença 8 Serviços de disponibilização de conteúdos digitais 9 Videoaula@RNP 9 Vídeo sob Demanda 10 Transmissão de sinal de TV 11 Transmissão de Vídeo ao Vivo 11 Serviços de Gestão de Identidade 12 Comunidade Acadêmica Federada (CAFe) 12 eduroam 12 Infraestrutura de Chaves Públicas para Ensino e Pesquisa (ICPEdu) 13 Serviço de Hospedagem Estratégica 13 Apoio a serviços 14 Considerações de uso 14 Condições de uso 16 Como fazer quando o link cai 16 Procedimento para checar conexão local 16 Verificar condições básicas de roteamento 18 Procedimento para entrar em contato com o PoP visando abertura de chamado 20 Acompanhamento dos chamados abertos 20 Acompanhamento de problemas relacionados ao backbone 21 Roteiro de Atividades 1 25 Atividade 1.1 – Panorama do tráfego 25 Atividade 1.2 – Falha de conectividade da organização usuária 25
2. Segurança na rede Ipê Centro de Atendimento a Incidentes de Segurança (CAIS) 27 Como fazer quando ocorre um problema de segurança 28 O que é o atendimento a incidentes? 28 O trabalho do CAIS 29 Recomendações à Organização Usuária 30 A ajuda do CAIS 30 Passos para a segurança de sua instituição 30
3. Infraestrutura de rede Conexão da organização usuária ao PoP da RNP 33 iv
Uso e especificação de switches e roteadores 36 Especificação de racks 37 Fontes redundantes 38 Topologia da rede 39 Identificação de cabos 41 Infraestrutura para abrigar os equipamentos e mantê-los 42 Localização e dimensões da sala 42 Equipamentos de apoio 42 Refrigeração 43 Instalação elétrica 43 Aterramento 43 Espaço para cabeamento e conexões 43
4. Switches e roteadores Switches L2 45 Switches L3 46 Comutação L2 49 Empilhamento 50 Subdivisão da rede em VLANs de distribuição 51 Roteadores 52 Roteador de borda 56 Troubleshooting básico 56 Estudo de caso 59 Roteiro de Atividades 2 61 Atividade 2.1 – Endereçamento IP 61 Atividade 2.2 – Identificação de soluções 61 Atividade 2.3 – Planejando VLANs 62 Atividade 2.4 – Distribuição das sub-redes 63
5. Serviços e gerenciamento da rede da instituição Serviços de rede 67 DNS 67 MX 70 Web 70 SFTP 71 v
E-mail 71 Repositório de arquivos 72 Firewall, DMZ e NAT 73 Procedimento de solicitação de bloco IP 75 Adequação do tamanho do bloco às necessidades da IFES 75 DNS reverso 75 Procedimento para cadastro de reverso 76 Gerenciamento da rede da instituição 77 Ferramentas de monitoramento 78
6. Instalação do roteador da RNP Requisitos de instalação do roteador 81 Requisitos físicos 81 Requisitos de ventilação 82 Requisitos de ambiente 82 Requisitos elétricos e planejamento de força 82 Manuseio de placas 83 Descarga eletrostática 84 Aterramento 84 Componentes básicos do roteador J2350 85 Componentes básicos do roteador J2320 86
7. Fundamentos de Junos Software modular 89 Separação entre planos de Controle e de Encaminhamento 90 Routine Engine (RE) 91 Packet Forwarding Engine 92 Processamento de tráfego 92 Tráfego de trânsito 92 Tráfego de exceção 93
8. Opções de acesso ao Junos A interface de usuário 95 A CLI do Junos 96 Modos de acesso 96 Ajuda 97
vi
Help Topic 97 Help Reference 98 Completando comandos 99 Teclas de edição EMACS 99 Usando o caractere “pipe” 100 Roteiro de Atividades 3 103 Atividade 3.1 – Acessar o Juniper via console serial 103 Atividade 3.2 – Opções da interface de usuário 106 Modo de operação 107 Modo de configuração 108 Configuração exclusiva 110 Configuração privada 110 Hierarquia do Modo de Configuração 111 Movendo entre níveis no Modo de Configuração 112 Alterando linhas da Configuração Candidata 115 Ativando e desativando configurações 117 Verificando a Configuração Candidata 118 Salvando a Configuração Candidata 119 Checando alterações antes de salvar 122 Restaurando configurações 122 Salvando a configuração em arquivo ASCII 123 Carregando arquivo de configuração 124 Comando run 124 Interface J-Web GUI 125 Processo de login na J-Web 126 Roteiro de Atividades 4 131 Atividade 4.1 – Opções de acesso ao Junos 131
9. Configurações do roteador Configuração default de fábrica 133 Configurações iniciais 135 Entrando no Modo de Configuração 136 Definindo parâmetros de acesso 138 Definindo parâmetros de gerência 138 Configuração de resgate 139 Configuração de interface 140 Nomeando interfaces 141 vii
Múltiplos endereços 142 Propriedades físicas de interfaces 143 Propriedades lógicas de interfaces 143 Verificando o estado das interfaces 145 Roteiro de Atividades 5 147 Atividade 5.1 – Configuração básica (parte 1) 147 Atividade 5.2 – Configuração básica (parte 2) 149 Configurações de Usuário e Autenticação 151 Ordem da autenticação 151 Componentes da autenticação 155 Logs do sistema 158 Interpretando mensagens de log 159 Investigando problemas com traceoptions 160 Visualizando arquivos de log e trace 162 Monitorando arquivos de log e trace 162 Network Time Protocol (NTP) 163 Monitorando o NTP 164 Simple Network Management Protocol (SNMP) 164 MIBs SNMP 165 Configurando SNMP 165 Monitorando a operação do SNMP 167 Roteiro de Atividades 6 169 Atividade 6.1 – Configurações posteriores 169
10. Operação, manutenção e monitoração Monitorando a plataforma e operando as interfaces 179 Monitorando a operação geral do sistema 179 Monitorando o chassi 180 Verificando o estado das interfaces 181 Estado das interfaces: informação extensiva 182 Monitorando interfaces 183 Utilitários de rede 184 Ping e Traceroute 184 Monitor traffic 185 Clientes de Telnet, SSH e FTP 187 viii
Mantendo o Junos 188 Convenção de nomes de pacotes de Junos 188 Recuperação de senha 189 Instalação e upgrade do Junos 190 Boas práticas de upgrade 191 Roteiro de Atividades 7 193 Atividade 7.1 – Instalação do Junos (parte 1) 193 Atividade 7.2 – Instalação do Junos (parte 2) 194 Atividade 7.3 – Upgrade do Junos 197
11. Fundamentos de roteamento Conceitos de roteamento 201 Componentes do roteamento 202 Rotas diretamente conectadas 203 Tabela de rotas 203 Múltiplas tabelas de rotas 204 Preferência de rotas: selecionando a rota ativa 204 Verificando a tabela de rotas 207 Forwarding Table (FT) 208 Determinando o Next Hop 209 Instâncias de roteamento 210 Trabalhando com Instâncias de Roteamento 213 Roteamento estático 214 Roteiro de Atividades 8 219 Atividade 8.1 – Configurando rota estática 219
12. Filtros de firewall Visão geral 223 Diagrama de bloco de um filtro de firewall 224 Condições Match 225 Ações do filtro de firewall 226 Definindo um filtro de firewall 227 Filtrando tráfego local 229
ix
Implementando policing com filtros de firewall 230 Estudo de caso: filtros de firewall 234 Monitorando os resultados de um filtro 237 Verificação de RPF Unicast 238 Problemas com a verificação RPF 239 Filtros de “fail” 240 Roteiro de Atividades 9 243 Atividade 9.1 – Configurando filtro de firewall 243 Atividade 9.2 – Configurando polices de firewall 244
13. Troubleshooting em interfaces Desativando e desabilitando interfaces 247 Exemplos de configuração de interfaces 249 Troubleshooting genérico de interfaces 250 Verificando erros na interface 254 Monitorando interface 255 Teste de loop 256 Tipos de teste de loop 257 Configurando testes de loop 258 Protocolos L2 e testes de loop 259 Ping e testes de loop 260 Troubleshooting específico de interfaces serial e ethernet 262 Interfaces de LAN e convenção de nomes 262 Interfaces E3 263 Verificando o funcionamento físico da porta 263 Checando compatibilidade com equipamento remoto 263 Verificando alarmes ativos em interfaces E3/T3 264 Interfaces E1 265 Alarmes e mídia E1 266 Interfaces Sonet/SDH 268 Monitorando interfaces Sonet/SDH 268 Verificando o estado da interface Sonet/SDH 269 Entendendo a rede Sonet/SDH 270
Bibliografia 275
x
Escola Superior de Redes A Escola Superior de Redes (ESR) é a unidade da Rede Nacional de Ensino e Pesquisa (RNP) responsável pela disseminação do conhecimento em Tecnologias da Informação e Comunicação (TIC). A ESR nasce com a proposta de ser a formadora e disseminadora de competências em TIC para o corpo técnico-administrativo das universidades federais, escolas técnicas e unidades federais de pesquisa. Sua missão fundamental é realizar a capacitação técnica do corpo funcional das organizações usuárias da RNP, para o exercício de competências aplicáveis ao uso eficaz e eficiente das TIC. A ESR oferece dezenas de cursos distribuídos nas áreas temáticas: Administração e Projeto de Redes, Administração de Sistemas, Segurança, Mídias de Suporte à Colaboração Digital e Governança de TI. A ESR também participa de diversos projetos de interesse público, como a elaboração e execução de planos de capacitação para formação de multiplicadores para projetos educacionais como: formação no uso da conferência web para a Universidade Aberta do Brasil (UAB), formação do suporte técnico de laboratórios do Proinfo e criação de um conjunto de cartilhas sobre redes sem fio para o programa Um Computador por Aluno (UCA).
A metodologia da ESR A filosofia pedagógica e a metodologia que orientam os cursos da ESR são baseadas na aprendizagem como construção do conhecimento por meio da resolução de problemas típicos da realidade do profissional em formação. Os resultados obtidos nos cursos de natureza teórico-prática são otimizados, pois o instrutor, auxiliado pelo material didático, atua não apenas como expositor de conceitos e informações, mas principalmente como orientador do aluno na execução de atividades contextualizadas nas situações do cotidiano profissional. A aprendizagem é entendida como a resposta do aluno ao desafio de situações-problema semelhantes às encontradas na prática profissional, que são superadas por meio de análise, síntese, julgamento, pensamento crítico e construção de hipóteses para a resolução do problema, em abordagem orientada ao desenvolvimento de competências. Dessa forma, o instrutor tem participação ativa e dialógica como orientador do aluno para as atividades em laboratório. Até mesmo a apresentação da teoria no início da sessão de aprendizagem não é considerada uma simples exposição de conceitos e informações. O instrutor busca incentivar a participação dos alunos continuamente.
xi
As sessões de aprendizagem onde se dão a apresentação dos conteúdos e a realização das atividades práticas têm formato presencial e essencialmente prático, utilizando técnicas de estudo dirigido individual, trabalho em equipe e práticas orientadas para o contexto de atuação do futuro especialista que se pretende formar. As sessões de aprendizagem desenvolvem-se em três etapas, com predominância de tempo para as atividades práticas, conforme descrição a seguir: Primeira etapa: apresentação da teoria e esclarecimento de dúvidas (de 60 a 90 minutos). O instrutor apresenta, de maneira sintética, os conceitos teóricos correspondentes ao tema da sessão de aprendizagem, com auxílio de slides em formato PowerPoint. O instrutor levanta questões sobre o conteúdo dos slides em vez de apenas apresentá-los, convidando a turma à reflexão e participação. Isso evita que as apresentações sejam monótonas e que o aluno se coloque em posição de passividade, o que reduziria a aprendizagem. Segunda etapa: atividades práticas de aprendizagem (de 120 a 150 minutos). Esta etapa é a essência dos cursos da ESR. A maioria das atividades dos cursos é assíncrona e realizada em duplas de alunos, que acompanham o ritmo do roteiro de atividades proposto no livro de apoio. Instrutor e monitor circulam entre as duplas para solucionar dúvidas e oferecer explicações complementares. Terceira etapa: discussão das atividades realizadas (30 minutos). O instrutor comenta cada atividade, apresentando uma das soluções possíveis para resolvê-la, devendo ater-se àquelas que geram maior dificuldade e polêmica. Os alunos são convidados a comentar as soluções encontradas e o instrutor retoma tópicos que tenham gerado dúvidas, estimulando a participação dos alunos. O instrutor sempre estimula os alunos a encontrarem soluções alternativas às sugeridas por ele e pelos colegas e, caso existam, a comentá-las.
Sobre o curso A ESR elaborou este material com o objetivo de auxiliar na capacitação dos técnicos das novas instituições usuárias em sua conexão ao backbone da RNP, uma vez que a configuração dos equipamentos e da infraestrutura necessária é de responsabilidade da instituição usuária. O curso descreve a RNP, a estrutura do seu backbone, seus Pontos de Presença (PoPs), os procedimentos de manutenção e o impacto da conexão à RNP nas novas instituições usuárias. São abordados aspectos técnicos da infraestrutura física, de conexão e de TI, o uso de switches e roteadores, a infraestrutura de TI da organização e a solicitação de blocos IP. Ainda serão descritos em detalhes a configuração, manuseio, manutenção e problemas de interface do roteador Juniper da RNP, além de conceitos básicos de roteamento e utilização de filtros de firewall.
A quem se destina O curso é destinado aos técnicos de suporte e gerentes de infraestrutura de TI das organizações usuárias da rede RNP.
Organização do livro O livro está organizado em partes bem definidas para facilitar o acesso ao conteúdo que o leitor desejar. O Capítulo 1 apresenta a operação da RNP, os procedimentos de manutenção e o impacto da conexão à rede da RNP nas novas instituições usuárias. São propostas também atividades práticas para fixação do conteúdo. xii
O Capítulo 2 descreve os procedimentos de segurança, as funções e as atividades executadas pelo Centro de Atendimento a Incidentes de Segurança (CAIS) e como tratar um problema de segurança. Os Capítulos 3, 4 e 5 descrevem a infraestrutura de rede recomendada para as instituições usuárias, a estrutura necessária para instalar os equipamentos da RNP, os conhecimentos técnicos desejáveis para a equipe de TI relativos a equipamentos, tais como switches e roteadores e suas funcionalidades. Descrevem também os serviços de rede local desejáveis, e recomendam procedimentos de gerenciamento da rede da instituição usuária. São propostas atividades práticas e estudos de caso para fixação dos conhecimentos técnicos apresentados. Os Capítulos de 6 a 13 tratam especificamente do roteador da RNP, sua instalação, características do sistema operacional Junos, configurações básicas e avançadas do roteador, procedimentos de operação e manutenção, configuração de rotas estáticas e utilização de filtros de firewall. Finalmente, são apresentados procedimentos básicos de resolução de problemas em interfaces do roteador. Esta última parte do livro vem acompanhada de atividades práticas realizadas em laboratório com roteadores idênticos aos que as instituições usuárias receberão da RNP, permitindo que os seus técnicos possam tirar o maior proveito da interligação com a rede da RNP. Todas as atividades são acompanhadas das respectivas soluções, para que os técnicos possam, a qualquer momento, reproduzir essas atividades em seus locais de trabalho.
Convenções utilizadas neste livro As seguintes convenções tipográficas são usadas neste livro: Itálico Indica nomes de arquivos e referências bibliográficas relacionadas ao longo do texto.
Largura constante Indica comandos e suas opções, variáveis e atributos, conteúdo de arquivos e resultado da saída de comandos. Comandos que serão digitados pelo usuário são grifados em negrito e possuem o prefixo do ambiente em uso (no Linux é normalmente # ou $, enquanto no Windows é C:\).
Conteúdo de slide Indica o conteúdo dos slides referentes ao curso apresentados em sala de aula.
Símbolo Indica referência complementar disponível em site ou página na internet.
Símbolo Indica um documento como referência complementar.
Símbolo Indica um vídeo como referência complementar.
Símbolo Indica um arquivo de aúdio como referência complementar.
xiii
Símbolo Indica um aviso ou precaução a ser considerada.
Símbolo Indica questionamentos que estimulam a reflexão ou apresenta conteúdo de apoio ao entendimento do tema em questão.
Símbolo Indica notas e informações complementares como dicas, sugestões de leitura adicional ou mesmo uma observação.
Permissões de uso Todos os direitos reservados à RNP. Agradecemos sempre citar esta fonte quando incluir parte deste livro em outra obra. Exemplo de citação: Batista, Gustavo. Introdução à rede Ipê. Rio de Janeiro: Escola Superior de Redes, RNP, 2013.
Comentários e perguntas Para enviar comentários e perguntas sobre esta publicação: Escola Superior de Redes RNP Endereço: Av. Lauro Müller 116 sala 1103 – Botafogo Rio de Janeiro – RJ – 22290-906 E-mail: [email protected]
Reconhecimentos Esta publicação não teria sido possível sem a colaboração da área de Engenharia de Redes e Operações da RNP. Agradecemos ao Centro de Atendimento a Incidentes de Segurança (CAIS) e a Gestão de Serviços da RNP pela sua contribuição; a Juniper Networks por ter gentilmente cedido os manuais técnicos que foram fundamentais para a elaboração deste conteúdo; a Sidney Lucena, ex-Coordenador Acadêmico de Redes da ESR, que organizou a primeira versão desse curso; e, finalmente, nosso muito obrigado a Beatriz Zoss, a Bia, gerente de relacionamento da RNP que identificou a necessidade e propôs a elaboração deste curso.
Sobre os autores Gustavo Batista graduou-se em Engenharia de Telecomunicações pela Universidade Federal Fluminense em 2003. Trabalhou durante 3 anos em operadora de telefonia celular com sistemas de gerência de rede telefônica, administrando sistemas Unix, Linux e Windows e executando projetos de integração de sistemas de gerência de diferentes fabricantes em uma plataforma única. Trabalhou no Centro de Engenharia e Operações da RNP (CEO) como analista de redes. Hoje atua na área de operações da rede multisserviços de uma empresa nacional de porte, onde também participa de projetos nas áreas de QoS em redes IP e desempenho de rede.
xiv
Luiz Carlos Lobato é formado em Engenharia Eletrônica pelo ITA, com pós-graduação em Negócios e Serviços de Telecomunicações pelo CEFET-RJ. Possui certificação de redes CiscoCCNA. Gerente da Divisão de Suporte Técnico da Telebrás até a privatização das telecomunicações, sendo responsável pela operação e gerência da rede de dados do Sistema Telebrás. Após a privatização atuou como Coordenador de Cursos de Tecnologia de Redes (Graduação Superior) em diversas faculdades. É colaborador da Escola Superior de Redes desde 2008, tendo elaborado material de treinamento e lecionado diversos cursos na área de Redes. Atualmente é Coordenador Acadêmico de Redes da ESR.
xv
Prefácio Lembro com nitidez do dia em que, juntamente com Bia Zoss e Luiz Coelho, decidimos pela elaboração de um curso para o qual este livro se destina. Foi no ano de 2008, quando dois grandes desafios nos foram colocados: a conexão de centenas de novos campi de universidades e de institutos federais – fruto da política de expansão do ensino do Governo Federal – e a mudança do fornecedor dos equipamentos roteadores usados para a conexão com a Internet das nossas instituições clientes. Assim, além de capacitá-los a recepcionar o enlace de dados da sua instituição, detectamos que seria importante também fazer uma apresentação da própria RNP. Nessa ocasião, a despeito de todas as dificuldades e dos riscos envolvidos, optamos pela estratégia de “ensinar a pescar”. O desafio de criar um material para dar conta dessas duas questões e ser apresentado em um curso de 20 horas foi dado a Gustavo Batista, um ex-colaborador da RNP que, com sua saída, além de causar um sério desfalque na equipe, deixou o seu gestor com um zumbido nos ouvidos que ele conserva até os dias atuais. E, conforme vocês verão, Gustavo não decepcionou: preparou um excelente material que deve ser usado não apenas na sala de aula, mas no dia a dia do seu trabalho. Uma isca de primeira qualidade para a sua pescaria.
Ari Frazão Jr. Gestor de engenharia e operações da RNP
xvi
1 Orientar a instituição sobre os procedimentos adequados para se conectar ao backbone da RNP e tratamento dos problemas de conexão.
Impacto da conexão na organização, serviços fundamentais da RNP, considerações de uso, procedimentos de abertura de chamado, acompanhamento de problemas.
Impacto da conexão na organização da instituição Provedor de rede formalizado como parte integrante da internet mundial. A formalização se dá através de um identificador chamado Autonomous System Number (ASN), único em todo o planeta.
11 A organização usuária dos serviços da RNP passa a fazer parte do sistema autônomo
q
da RNP. 11 A partir de então, todos os pontos da internet mundial passarão a enxergar a instituição como um cliente da RNP. 11 Os endereços IP usados na rede da instituição serão cedidos pela RNP. 11 Todos os equipamentos da rede local que precisarem do serviço da rede Ipê deverão, necessariamente, usar endereço IP da RNP. 22 É proibido o uso dos serviços da RNP sem o atendimento a esse requisito. 11 Caso a instituição deseje manter os serviços de outro provedor além da RNP, os equipamentos servidos pelo outro provedor não poderão usar endereços IP da RNP. 11 Da mesma forma, os equipamentos endereçados com IPs cedidos pela RNP não poderão usar o serviço de outro provedor sob nenhuma hipótese. 11 Assim, essas duas redes deverão ser segmentadas; do contrário, podem ocorrer sérios problemas de roteamento. Embora o cenário descrito seja permitido, não é aconselhável. A figura a seguir ilustra um cenário proibido:
Capítulo 1 - Operação da rede Ipê
Sistema autônomo
conceitos
objetivos
Operação da rede Ipê
1
Provedor comercial
RNP
LAN organização usuária
Figura 1.1 Hosts com IP RNP não podem usar serviço de outro provedor, e viceversa.
Hosts com IP da RNP A figura a seguir ilustra um cenário permitido caso se deseje manter a conexão de outro provedor depois de se tornar cliente da RNP. O cenário ilustrado, embora permitido, não é recomendado.
Provedor comercial
RNP
Organização usuária
Figura 1.2 Cenário permitido em instituição com dois provedores.
Hosts com IP de terceiro
Hosts com IP da RNP
Serviços IP fundamentais da RNP Serviços de tráfego da RNP Introdução à rede Ipê
11 As instituições primárias e secundárias poderão cursar todo o seu tráfego pela RNP. 11 Elas estão aptas a utilizar em sua totalidade os serviços IP fundamentais da RNP, a saber: 22 Trânsito Nacional. 22 Trânsito Internacional. 22 Trânsito Acadêmico de Colaboração. 22 Trânsito de Peering. A definição de cada um desses serviços é ilustrada a seguir. 2
q
Trânsito Nacional É definido como a facilidade de serviço que permite ao cliente da RNP acessar pessoas,
q
recursos e sistemas localizados em algum ponto do país conectado à rede Ipê, direta ou indiretamente através de uma rede regional.
Cliente Internet Commodity Nacional
PoP BACKBONE
Figura 1.3 Exemplo de Trânsito Nacional.
Trânsito Internacional É definido como a facilidade de serviço que permite ao cliente da RNP acessar pessoas,
q
recursos e sistemas localizados em algum ponto fora do país através da internet global.
Cliente Internet Commodity Internacional
PoP BACKBONE
Figura 1.4 Exemplo de Trânsito Internacional.
Trânsito Acadêmico de Colaboração É definido como a facilidade de serviço que permite ao cliente da RNP acessar pessoas,
q
recursos e sistemas localizados em algum ponto nas redes acadêmicas no Brasil e em outros países.
Cliente
PoP BACKBONE
Figura 1.5 Exemplo de Trânsito Acadêmico de Colaboração.
Trânsito de Peering É definido como a facilidade de serviço que permite ao cliente da RNP acessar pessoas, recursos e sistemas localizados em redes comerciais nacionais ou internacionais, redes corporativas e redes federais autônomas através de acordos de troca de tráfego estabe-
q
Capítulo 1 - Operação da rede Ipê
Internet Acadêmica Internacional
lecidos entre a rede Ipê e essas redes. 3
PTT
Cliente Empresa Privada
PoP BACKBONE
Figura 1.6 Exemplo de Trânsito de Peering.
A figura seguinte resume os serviços fundamentais aos quais o cliente da RNP tem acesso: Cliente B Cliente A RedeComep
Empresa Privada
4
PoP
3
Rede Acadêmica Estadual
3
PTT
1
2
Provedor Internet Commodity Nacional
BACKBONE
Internet Acadêmica Internacional
Provedor Internet Commodity Internacional Figura 1.7 Serviços fundamentais RNP.
Os números das setas estão associados aos serviços da seguinte maneira: 11 Trânsito Nacional: seta 1; 11 Trânsito Internacional: seta 2; 11 Trânsito Acadêmico: setas 3;
Introdução à rede Ipê
11 Trânsito de Peering: seta 4.
Outros serviços da RNP 11 Serviços de comunicação e colaboração: 22 Conferência web. 22 fone@RNP. 22 Videoconferência. 22 Telepresença.
4
q
11 Serviços de Disponibilização de Conteúdos Digitais:
q
22 Videoaula@RNP. 22 Vídeo sob Demanda. 22 Transmissão de Sinal de TV. 22 Transmissão de Vídeo ao Vivo. 11 Serviços de Gestão de Identidade: 22 Comunidade Acadêmica Federada (CAFe). 22 eduroam. 22 Infraestrutura de Chaves Públicas para Ensino e Pesquisa (ICPEdu). 11 Serviços de Hospedagem Estratégica: 22 Internet Data Center (IDC). 11 Apoio aos serviços: 22 Service Desk. Os serviços disponibilizados pela RNP às suas organizações usuárias são resultados de processos de inovação e prospecção, de acordo com as necessidades dos clientes, em atividades de análise de cenários e tendências com parceiros como a academia, o setor empresarial e as principais redes acadêmicas mundiais. Os principais benefícios dos serviços da RNP são facilitar e promover a comunicação, a colaboração à distância e a disseminação de conhecimento. As informações sobre os serviços disponibilizados pela RNP para suas organizações usuárias e comunidades de clientes especiais e estratégicos encontram-se consolidadas no Catálogo de Serviços, estando os serviços classificados da seguinte forma: 11 Serviços de Comunicação e Colaboração: 22 Conferência web. 22 fone@RNP. 22 Videoconferência. 22 Telepresença. 11 Serviços de Disponibilização de Conteúdos Digitais: 22 Videoaula@RNP. 22 Vídeo sob Demanda. 22 Transmissão de Sinal de TV. 22 Transmissão de Vídeo ao Vivo.
22 Comunidade Acadêmica Federada (CAFe). 22 eduroam. 22 Infraestrutura de Chaves Públicas para Ensino e Pesquisa (ICPEdu). 11 Serviços de Hospedagem Estratégica: 22 Internet Data Center (IDC).
Capítulo 1 - Operação da rede Ipê
11 Serviços de Gestão de Identidade:
5
Serviços de comunicação e colaboração A RNP oferece aos seus clientes os seguintes serviços de comunicação e colaboração:
Conferência Web O objetivo principal do serviço é realizar reuniões virtuais entre participantes remotos com a utilização de recursos de áudio, vídeo, texto, quadro de notas, chat e imagens, além do compartilhamento da tela do computador ou de aplicativos específicos. Ele se destaca pela facilidade de uso e mobilidade, aliada a um investimento de baixo custo para as instituições clientes. Voltado para clientes que demandam uma solução de menor custo para reuniões virtuais, treinamentos e palestras à distância, o serviço também se destaca pela facilidade de uso. Para utilizar toda a integração e a interatividade disponibilizadas pela conferência web, basta um computador, celular ou tablet conectado à internet, um navegador (browser) e um conjunto de microfone e fone de ouvido, sem necessidade adicional de hardware ou software. Além desses recursos, o serviço possui a funcionalidade de gravar reuniões, que podem ser disponibilizadas para visualização ou baixadas para armazenamento.
Introdução à rede Ipê
Figura 1.8 Conferência Web.
Mais informações sobre o serviço em: http://portal.rnp.br/web/servicos/conferencia-web
fone@RNP Serviço que permite a interconexão VoIP (Voz sobre IP) entre diferentes organizações. Com isso, os clientes deste serviço conseguem oferecer a seus usuários a possibilidade de realizar chamadas telefônicas gratuitas para outras instituições distantes geograficamente no Brasil ou no exterior, dentro ou fora da rede VoIP da RNP.
6
O benefício das ligações gratuitas para o usuário final se estende através da capilaridade do fone@RNP, com presença em todos os estados brasileiros, e das conexões VoIP com a rede pública de telefonia de algumas instituições clientes, o que propicia ao usuário final ligar para um número telefônico comum a partir de um ramal VoIP. Destaque também para a interconexão da rede VoIP da RNP com outras redes VoIP dentro e fora do país. Atualmente, o fone@RNP reúne mais de cem instituições clientes distribuídas pelo território nacional, com mais de 40 organizações que completam ligações para a rede pública de telefonia. Conta também com acordos de troca de tráfego com outras redes VoIP do governo brasileiro e de instituições de ensino e pesquisa da Argentina, Austrália, Bélgica, Croácia, Eslovênia, Espanha, Grécia, Holanda, Hungria, Itália, Letônia, Lituânia, México, Portugal, Sérvia e Suíça. Os acordos com esses países foram possibilitados pela integração do serviço à iniciativa internacional do NreNum.net, da Terena (Associação de Redes de Educação e Pesquisa Transeuropeia). Além das ligações telefônicas gratuitas, as instituições clientes podem acessar um sistema centralizado de estatísticas, que propicia ao gestor da infraestrutura local dispor de dados sobre como o serviço tem sido utilizado na sua instituição ou em outras que integram o fone@RNP. Mais informações sobre o serviço em: http://portal.rnp.br/web/servicos/fone-rnp
Sistema de estatísticas do fone@RNP 11 O sistema de estatísticas do fone@RNP (http://estatisticasfone.rnp.br/) visa pro-
q
porcionar uma visão detalhada do uso e da economia que o serviço traz para suas instituições clientes. 11 Dado o acesso aberto ao sistema, as organizações podem obter informações que subsidiem decisões locais relacionadas à disseminação do uso institucional, com base na demonstração da economia obtida.
Figura 1.9 Estatísticas do fone@RNP.
Capítulo 1 - Operação da rede Ipê
11 A adesão ao sistema é feita como parte da homologação da instituição no serviço.
7
Videoconferência Fornecer salas virtuais para viabilizar a realização de videoconferências multiponto para as instituições clientes sem que estas precisem arcar com o ônus de adquirir uma solução local para isso. O serviço também oferece recursos de gravação, streaming e integração com sistemas de videoconferência que utilizem ISDN, além de alta definição (Hd) e novas funcionalidades que podem surgir em decorrência de melhorias e investimentos contínuos na ampliação da infraestrutura da videoconferência.
Figura 1.10 Videoconferência.
Mais informações sobre o serviço em: http://portal.rnp.br/web/servicos/videoconferencia
Telepresença Participantes em diferentes locais interagindo como se estivessem frente a frente na mesma mesa de reunião; essa experiência imersiva é a proposta do serviço de telepresença. Verdadeiro estado da arte na tecnologia de videoconferência, o serviço oferece recursos tecnológicos de ponta em salas físicas planejadas e ambientadas especificamente para ampliar a sensação de realismo na colaboração entre participantes remotos. Com áudio e vídeo de alta qualidade, atualmente são oferecidas aos clientes do serviço seis salas, distribuídas por cinco estados do país. Cada uma delas está equipada com câmeras de alta definição posicionadas para a melhor cobertura do espaço assim que o sistema for iniciado, sem que os participantes precisem se preocupar com os ajustes dos equipamentos durante as reuniões.
Introdução à rede Ipê
A telepresença pode ser usada de forma integrada com outros serviços da RNP, como a vide-
8
oconferência e o fone@RNP, e também pode ser realizada por meio da conexão entre duas salas (ponto a ponto) ou mais ambientes (multiponto).
Figura 1.11 Telepresença.
Mais informações sobre o serviço em: http://portal.rnp.br/web/servicos/telepresenca1
Serviços de disponibilização de conteúdos digitais 11 Videoaula@RNP.
q
11 Vídeo sob Demanda. 11 Transmissão de Sinal de TV. 11 Transmissão de Vídeo ao Vivo. A RNP oferece aos seus clientes os serviços descritos a seguir, voltados para a disponibilização de conteúdos digitais.
Videoaula@RNP Serviço integrado para elaboração, armazenamento e disponibilização pela web de videoaulas produzidas pelas instituições clientes. Tais organizações passam a ter, por meio desse serviço, um meio para acesso e armazenamento de um amplo e interessante material didático formado por múltiplas mídias (vídeo, áudio, animações, roteiro e arquivos de apoio), que pode ser utilizado como apoio ao ensino à distância ou presencial. O upload das videoaulas digitais é feito em um sistema com redundância e alta disponibilidade,
Capítulo 1 - Operação da rede Ipê
resultando em um acesso rápido e fácil a partir de um simples navegador (browser).
9
Figura 1.12 Videoaula@RNP.
Mais informações sobre o serviço em: http://portal.rnp.br/web/servicos/videoaula-rnp
Vídeo sob Demanda Vídeo Sob Demanda é o ambiente para disponibilização e armazenamento de conteúdo audiovisual, a partir de um portal web (video.rnp.br) que contém vídeos públicos ou restritos, que podem ser postados por integrantes das organizações clientes da RNP e assistidos potencialmente por qualquer usuário da internet. Mais do que um portal para upload e visualização de vídeos com interface amigável, e infraestrutura de servidores distribuídos que otimiza o acesso e a distribuição do seu conteúdo pelo território nacional, este serviço se diferencia dos outros portais de vídeo da internet pela procedência do material disponível. Afinal, o conteúdo é oferecido pela comunidade brasileira de ensino e pesquisa e pelas demais organizações vinculadas aos ministérios e instituições com os quais a RNP desenvolve parcerias. Beneficia-se também da rede de vídeo digital (RVD), uma rede de disponibilização de conteúdos (CDN) estruturada a partir de equipamentos, denominados refletores, distribuídos por 27 Pontos de Presença (PoPs) interligados pela rede Ipê. Os refletores permitem que os vídeos
Introdução à rede Ipê
solicitados fiquem temporariamente armazenados, agilizando o acesso regional ao conteúdo.
10
Mais informações sobre o serviço em: http://portal.rnp.br/web/servicos/video-sob-demanda
Transmissão de sinal de TV Transmissão, pela internet, do sinal de emissoras de TV a partir de uma infraestrutura de servidores distribuídos em todos os estados brasileiros. As principais vantagens são a economia de banda e a redução do tempo de acesso, já que o cliente não precisa de equipamentos de grande porte para suportar um elevado número de pedidos. Este serviço disponibiliza, para a internet, o sinal de TV de emissoras que têm participação ou parceria com a RNP e uma programação relevante à comunidade acadêmica, como TV escola, TV Brasil e Canal Saúde, dentre outras. Mais informações sobre este serviço estão disponíveis em: http://portal.rnp.br/web/servicos/transmissao-de-sinal-de-tv
Transmissão de Vídeo ao Vivo O objetivo do serviço de transmissão de vídeo ao vivo é prover uma infraestrutura de servidores distribuídos ao longo de todo o território nacional, para propiciar uma distribuição on-line e otimizada de vídeos para as instituições clientes. Com isso, os clientes que desejam transmitir ao vivo um evento realizado em sua organização não precisam ter um servidor robusto ou uma grande capacidade de banda para dar conta dos inúmeros acessos simultâneos de usuários e espectadores. A otimização é realizada através de uma conexão desse servidor local com a rede de vídeo digital (RVD), infraestrutura que distribui o vídeo para todo o território nacional conforme a demanda de acesso dos usuários. Mais informações sobre o serviço em: http://portal.rnp.br/web/servicos/transmissoes-de-video-ao-vivo
Capítulo 1 - Operação da rede Ipê
Figura 1.13 Vídeo sob demanda.
11
Serviços de Gestão de Identidade A RNP oferece aos seus clientes os seguintes serviços para a gestão de identidade:
q
11 Comunidade Acadêmica Federada (CAFe). 11 eduroam. 11 Infraestrutura de Chaves Públicas para Ensino e Pesquisa (ICPEdu).
Comunidade Acadêmica Federada (CAFe) A comunidade acadêmica federada (CAFe) reúne instituições de ensino e pesquisa brasileiras que podem atuar como provedores de identidade (responsáveis pela autenticação das informações dos usuários) e de serviço (oferta de recursos e ferramentas). Com isso, a CAFe propicia que os usuários acessem diferentes serviços da rede utilizando o login e a senha que possuem na instituição de origem. Além disso, devido às exigências do processo de adesão ao serviço, as instituições clientes da CAFe passam a desfrutar também da vantagem de propiciar acesso facilitado aos serviços locais através de um login único (single sign on) para seus usuários. Além de atender a um número crescente de instituições de ensino e pesquisa brasileiras, a CAFe faz parte de iniciativas internacionais, como a REFEDS (Research and Education Federations), gerenciada pela Terena, que articula as necessidades de federações de identidade para educação e pesquisa em todo o mundo; e o serviço edugain, da Géant, que reúne em uma rede de confiança outras federações análogas à CAFe espalhadas por todo o mundo, além de um número significativo de serviços oferecidos a essas federações, que podem ser potencialmente compartilhados na CAFe. Mais informações sobre o serviço em: http://portal.rnp.br/web/servicos/cafe
Introdução à rede Ipê
Figura 1.14 CAFe.
eduroam O eduroam (education roaming) é um serviço de acesso sem fio seguro, desenvolvido para a comunidade internacional de educação e pesquisa. A iniciativa permite que estudantes, pesquisadores e equipes das instituições participantes obtenham conectividade à internet, através de conexão sem fio (Wi-Fi) dentro de seus campi e em qualquer localidade que ofereça esta facilidade como provedora de serviço.
12
Lançada no Brasil em 2012, a iniciativa internacional já reúne instituições de aproximadamente 60 países, unindo diversos usuários na troca de experiências e conhecimento de forma simples, rápida e segura a partir da internet. O eduroam oferece acesso seguro e sem fio à internet para estudantes e pesquisadores nas universidades cadastradas, sem necessidade de múltiplos logins e senhas. Após efetuar o registro na base do serviço, seguido da configuração do computador do usuário para conexão com a rede, é possível acessar a web em qualquer provedor de serviço do mundo. Mais detalhes sobre a adesão ao serviço e sua utilização em: http://portal.rnp.br/web/servicos/eduroam
Infraestrutura de Chaves Públicas para Ensino e Pesquisa (ICPEdu) A Infraestrutura de Chaves Públicas para Ensino e Pesquisa (ICPedu) consiste na implantação de uma estrutura para criação de certificados digitais e chaves de segurança aplicados em autenticação, assinatura digital e sigilo dentro do ambiente das instituições federais de ensino superior (IFES), Unidades de Pesquisa (UPs) e demais instituições de ensino. Assim, as instituições clientes podem emitir gratuitamente os próprios certificados digitais, que funcionam como assinaturas eletrônicas para pessoas e serviços. Consequentemente, passam a ter mais credibilidade em seus processos administrativos, além de ganhar em eficiência, economizando tempo e recursos financeiros e garantindo a identidade do portador de documentos eletrônicos específicos utilizados nesses processos. Mais detalhes sobre o serviço em: http://portal.rnp.br/web/servicos/icpedu
Figura 1.15 ICPEdu.
Serviço de Hospedagem Estratégica Serviço da RNP planejado para fornecer um alto nível de infraestrutura e gerenciamento de ambiente de tecnologia da informação e comunicação, atendendo a demanda do cliente
O IDC garante monitoramento de banda por usuário, relatórios via web em tempo real e contato permanente com a equipe especializada do centro de operações. Além disso, quinzenalmente, o Centro de Atendimento a Incidentes de Segurança (CAIS) envia uma análise detalhada que indica eventuais correções de segurança necessárias. A RNP oferece toda a infraestrutura física, elétrica e lógica para abrigar as máquinas, abrindo uma porta de acesso à rede ipê. O IDC ocupa um espaço com controle de acesso, vigilância com câmeras, climatização ininterrupta, redundância e sistemas de segurança, detecção e combate a incêndios. Encontra-se estrategicamente localizado em Brasília (DF), abrigando em suas instalações o Ponto de Presença da RNP no Distrito Federal (PoP-DF),
Capítulo 1 - Operação da rede Ipê
com garantia de alta disponibilidade, segurança e operação ininterrupta.
diretamente conectado ao backbone de educação e pesquisa multigigabit da rede Ipê. 13
Mais detalhes sobre o Internet Data Center da RNP podem obtidos em: http://portal.rnp.br/web/servicos/internet-data-center
Apoio a serviços O Service Desk tem como objetivo principal o atendimento de primeiro nível aos serviços da RNP, ou seja, o atendimento aos clientes que desejam aderir, agendar, reclamar ou demandar o uso dos serviços oferecidos pela RNP às suas instituições usuárias. O Service Desk não tem a finalidade de substituir o suporte local das instituições clientes, que continua sendo fornecido pelas equipes de suporte local ou pelo responsável técnico do serviço. A atuação do Service Desk começa, portanto, quando estes grupos locais ou pessoas autorizadas precisam demandar ou reclamar dos serviços ofertados pela RNP. Assim, o escopo de ação do Service Desk está circunscrito ao suporte remoto dos clientes da RNP, ou seja, àquelas instituições usuárias qualificadas para fazer uso dos seus serviços e que possuem uma estrutura de suporte local para seus usuários finais. Além disso, o Service Desk realiza atividades proativas relacionadas ao monitoramento do uso dos serviços, gerando estatísticas para fins gerenciais e de prestação de contas aos clientes. Mais detalhes sobre a atuação do Service Desk em: http://portal.rnp.br/web/servicos/service-desk
Considerações de uso A rede Ipê é um dos sistemas autônomos (ASs) que compõem a internet, operando sob o número de sistema autônomo 1916. Trata-se de uma infraestrutura de rede formada por um conjunto de equipamentos e enlaces de dados sob a administração de uma mesma entidade. Essa infraestrutura possui um Autonomous System Number (ASN) que a identifica e a formaliza como uma unidade que compõe a Internet Global. 11 A infraestrutura da rede Ipê permitirá atender às aplicações de ensino superior e
q
pesquisa de forma eficiente. 11 Quando necessário, serão usados mecanismos de segregação de tráfego ou reserva de banda para priorizar as aplicações de ensino superior e pesquisa diante das demais aplicações em curso na rede. 11 As organizações usuárias já devidamente qualificadas pelo CG-RNP podem se conectar à RNP apenas através de um PoP, direta ou indiretamente (via rede acadêmica regional ou Redecomep). Instituições usuárias classificadas como temporárias somente poderão cursar na rede o tráfego referente ao projeto executado em parceria com uma instituição primária ou secundária. Caso a instituição possua campi ou filiais remotos, a conexão à rede Ipê desses atores poderá ocorrer de duas maneiras:
Introdução à rede Ipê
11 Conexão física e lógica das filiais à rede Ipê se dá diretamente via PoP RNP.
14
11 Conexão física das filiais é via PoP, mas a conexão lógica é com a sede.
q
As duas categorias de conexão são exibidas nas figuras seguintes:
Figura 1.16 Conexão da filial diretamente com o PoP.
A figura anterior exibe a primeira forma de se conectar uma filial à RNP. Nesse modelo a filial é tratada como se fosse outro cliente. As setas exibem o tráfego trocado entre a filial e a rede Ipê.
Figura 1.17 Conexão lógica da filial com a sede.
A figura anterior exibe a segunda forma de se conectar uma filial à RNP. As setas cinzas exibem o tráfego saindo da filial para a rede Ipê. As setas pretas mostram o tráfego gerado na rede Ipê com destino à filial. 11 Nesse modelo, a filial é conectada fisicamente ao PoP, mas uma conexão lógica é
q
11 Essa categoria de conexão é adequada quando se deseja que a filial esteja submetida às mesmas políticas de roteamento e de segurança da sede, mas a filial não tem os equipamentos necessários para a aplicação dessas políticas (firewalls, web sense etc.). Existem várias tecnologias que poderão ser usadas para implementar esse tipo de conexão lógica (Túnel GRE, túnel IPSec, roteamento estático etc.). É importante frisar que essa categoria de conexão aumenta a carga do enlace de dados da instituição-sede com a RNP.
Capítulo 1 - Operação da rede Ipê
construída de modo que todo o tráfego da filial seja forçado a passar pela sede.
15
Condições de uso Na execução de suas atividades de ensino e pesquisa, as organizações usuárias podem usar os serviços fundamentais de trânsito nacional, internacional, acadêmico e de peering, bem como os serviços avançados, que serão descritos no decorrer do curso. O uso desses serviços não será permitido nas seguintes condições:
q
11 Transmissão de materiais considerados ilegais por caracterizarem: 22 Transgressão de direitos autorais. 22 Agressão à criança e ao meio ambiente. 22 Atentado à privacidade ou discriminação racial ou religiosa. 22 Disseminação de propaganda comercial, política ou religiosa. 22 Transmissão de material de propaganda não solicitado pelo destinatário (spam). 22 Atividades estritamente comerciais. 22 Atividades que contribuam para o esgotamento excessivo dos recursos da rede, sejam computacionais, comunicacionais ou humanas. 22 Promoção de corrupção ou destruição de dados de usuários. 22 Atividades prejudiciais à utilização dos serviços de rede por outros usuários. 22 Interligação ou abrigo em seu espaço de endereçamento de uma terceira instituição, não qualificada para usar serviços da RNP.
Figura 1.18 Interligação proibida de instituição não qualificada.
Como fazer quando o link cai
Introdução à rede Ipê
Procedimento para checar conexão local Ao perceber perda de serviço e/ou reclamações de usuários, o primeiro passo é verificar a conexão com a RNP. Este tópico exibe algumas ações sugeridas para checar a conexão local antes de acionamento do PoP da RNP. A execução das ações que serão sugeridas facilitará as ações do PoP, caso este seja acionado. Além das sugestões descritas é importante que o contato técnico da instituição verifique junto ao seu PoP as ações que aquele ator recomenda. Cada PoP dispõe de diferentes recursos para prover essa verificação. 16
Figura 1.19 Interligação típica entre organização usuária e Pop.
A figura anterior mostra uma conexão típica entre a organização usuária e o PoP. Podemos chamar as interfaces de onde saem as setas de: 11 Uplink da organização usuária (seta na parte inferior da figura);
Porta console Interface de equipamento de rede através da qual é possível conectar um PC ou notebook e, utilizando aplicação adequada, iniciar uma sessão local no equipamento. Através da sessão é possível enviar comandos ao equipamento.
11 Downlink da organização usuária (seta na parte superior da figura). Em geral essas duas interfaces fazem parte de uma sub-rede IP com dois endereços
q
(rede /30). Um dos endereços é associado ao downlink e o outro é associado ao uplink. 11 O primeiro procedimento a ser executado para verificação da saúde da conexão local
q
é a verificação do estado do roteador Juniper da instituição e da interface de uplink. 11 Para tal deve-se proceder com as seguintes verificações: 22 Verificar se o roteador está ligado e operacional. 22 Se o roteador estiver desligado e não for possível reativá-lo através do botão “Power”, deve-se abrir um chamado no PoP. 22 Verificar as condições gerais de hardware, software e interfaces de produção (uplink e de LAN). Estando o equipamento ligado, pode estar ocorrendo uma falha no sistema operacional, em componente de software ou hardware, a qual promove a perda do serviço de roteamento. 11 Nesse caso, pode-se conectar ao roteador (através de telnet para o IP da interface LAN ou de porta console) e verificar as mensagens de erro com o comando “show log messages”. 11 Há algum erro explícito de hardware e/ou software? Deve-se abrir um chamado no PoP detalhando o ocorrido. 11 Deve-se verificar as condições operacionais das interfaces de uplink e de LAN do roteador.
q
Capítulo 1 - Operação da rede Ipê
Telnet Protocolo da camada de aplicação que permite a um usuário iniciar uma sessão remota em um equipamento de rede ou qualquer máquina que possua um servidor do serviço Telnet. Através da sessão é possível enviar comandos ao equipamento.
22 Isso pode ser feito no equipamento Juniper com o comando “show interfaces terse”. 17
user@Merlot> show interfaces terse Interface
Admin Link Proto Local
fe-0/0/0
up
up
fe-0/0/0.100
up
up
ccc
fe-0/0/0.200
up
up
ccc
fe-0/0/1
up
up
fe-0/0/1.0
up
up
fe-0/0/2
up
down
fe-0/0/3
up
down
inet
10.0.31.1/24
11 As interfaces de produção devem estar no estado “up up”.
q
11 Se a interface de uplink não estiver no estado “up up”, deve-se abrir um chamado no PoP, detalhando o fato. 11 Nesse caso, pode-se passar também alguma mensagem de erro explícita que tenha sido percebida ao se executar o “show log messages”. 11 Se a interface de uplink está no estado “up up” mas a interface de LAN não está, deve-se verificar o estado do equipamento de distribuição de rede que se conecta a essa interface. 11 Nesse caso não há ação do PoP. A atividade corretiva é de responsabilidade da instituição usuária.
Verificar condições básicas de roteamento Se a análise mostrar todas as interfaces de produção no estado correto e nenhuma falha em componentes de hardware e software do roteador, deve-se analisar as condições básicas de roteamento. Normalmente, a interface de uplink da instituição se conecta ao PoP através de uma rede IP de dois endereços (rede /30), onde um endereço é do PoP e o outro da interface de uplink. 11 Um teste básico de roteamento consiste em executar o comando ping alterando o
q
IP de origem para o endereço de LAN do roteador. 11 Com esse procedimento é possível testar se o roteador do PoP ainda “sabe” rotear pacotes para a rede da organização usuária. As figuras a seguir exibem a diferença de um ping simples para o ping com IP de origem alterado.
Introdução à rede Ipê
Comando ping simples:
18
11 No Juniper, faz-se simplesmente “ping ”.
q
Figura 1.20 Ping simples no Juniper: comando “ping 10.1.1.1”.
Comando ping endereçado pela LAN:
q
Figura 1.21 Ping com origem na LAN no Juniper: comando “ping 10.1.1.1 from 192.168.1.1”.
Capítulo 1 - Operação da rede Ipê
11 No Juniper, faz-se “ping from ”.
19
Se o equipamento do PoP responder corretamente, fica caracterizado o bom funcionamento do roteamento entre PoP e organização usuária. Nesse caso, pode existir um problema no backbone da RNP. Deve-se, então, abrir um chamado no PoP, repassando o resultado do teste de ping executado.
Procedimento para entrar em contato com o PoP visando abertura de chamado Todos os testes do tópico anterior foram citados para agilizar o trabalho de suporte da equipe técnica do PoP. No entanto, não foi explicitado como fazer o acionamento ao PoP. 11 Um chamado no PoP pode ser aberto de três maneiras:
q
22 Via e-mail. 22 Via trouble-ticket (boa parte dos PoPs já suportam essa modalidade de acionamento). 22 Via telefone. 11 Em casos graves (indisponibilidade total de serviço ou grande problema repentino de performance) é recomendado que o acionamento se dê por telefone, para o número de suporte disponibilizado pelo PoP. 22 Nesses casos, deve-se informar ao profissional do PoP todos os testes já executados. 22 É esperado que o profissional do PoP registre o problema e inicie a sua investigação. 11 Em casos menos graves pode-se abrir o chamado por e-mail. 22 Alguns PoPs disponibilizam o sistema de trouble-ticket, através do qual se envia um e-mail para um endereço eletrônico definido pelo PoP e, em seguida, se recebe o número do chamado aberto por e-mail automaticamente. Outros PoPs ainda não disponibilizam esse sistema. Nesse caso, envia-se o e-mail reportando a falha e os testes executados para o endereço eletrônico disponibilizado pelo PoP. O registro do chamado é executado manualmente pelo PoP a posteriori. É importante que esse acionamento seja executado pelo contato técnico da instituição, ou pelo profissional a quem essa tarefa específica foi delegada. Caso a tarefa tenha sido delegada, é importante que a pessoa que fará o acionamento também conheça a infraestrutura de rede da instituição. Caso seja necessário acionar uma operadora de telecomunicações, essa ação será feita pelo PoP da RNP.
Acompanhamento dos chamados abertos 11 O acompanhamento dos chamados se dá através do contato com a equipe técnica do PoP, via número de telefone disponibilizado pelo PoP (em casos graves) ou via e-mail. 11 Em casos de acionamento de operadoras, o PoP contatará os representantes daquele Introdução à rede Ipê
órgão periodicamente e manterá a instituição informada de toda e qualquer novidade.
20
11 É recomendável que a própria instituição entre em contato com o PoP para cobrar uma posição da operadora sempre que for necessário obter informações mais detalhadas sobre o caso.
q
Acompanhamento de problemas relacionados ao backbone 11 Se a conexão local está funcionando, mas ocorre falha no uso do serviço, é provável
q
que a falha esteja fora da alçada do PoP da RNP. 11 Nesses casos, o PoP entra em contato com a equipe de operações da GO/RNP e mantém contato permanente até a solução do caso. 11 A GO/RNP é a entidade responsável pela manutenção da rede Ipê. A instituição usuária pode, sempre que precisar, solicitar ao PoP as últimas informações sobre o diagnóstico e a solução do problema. 11 A GO disponibiliza na web page da RNP o Panorama do Tráfego.
q
11 Esta ferramenta informa, entre outras coisas, a saúde dos enlaces do backbone da RNP. 11 Este recurso está disponível, on-line, a qualquer hora. 11 O Panorama do Tráfego: 22 Mostra o nível de utilização de todos os enlaces de dados que compõem o backbone. 22 É atualizado a cada cinco minutos. 11 Os enlaces possuem as seguintes situações: 22 ADEQUADO (nível de utilização adequado). 22 ACIMA (nível de utilização acima do adequado, mas ainda não saturado). 22 SATURADO (enlace de dados com excesso de uso. Já atingiu a saturação). 22 INDISPONÍVEL (enlace de dados indisponível no momento).
Figura 1.22 Panorama do Tráfego da rede Ipê.
No momento em que a ferramenta foi acessada, quando se extraiu a imagem acima, o enlace de dados que liga os PoPs do Ceará (CE) e Maranhão (MA) estava indisponível.
Capítulo 1 - Operação da rede Ipê
A figura seguinte mostra uma foto da ferramenta:
21
Pelo desenho da rede é possível verificar que essa falha não acarreta perda de serviço, pois o enlace defeituoso é parte de um anel que ainda conta com outros enlaces. Os clientes da RNP do Maranhão ainda conseguem acessar o PoP do Ceará fazendo o caminho:
MA->PA->PI->PE->PB(CGE)->PB(JPA)->RN->CE No entanto, essa falha pode justificar um aumento na latência de determinadas aplicações.
Latência
Por exemplo, uma instituição cliente do PoP do Pará (PA) que possui uma aplicação que
Tempo passado desde a saída de um pacote de dados de sua origem até a chegada em seu destino.
consulta uma base de dados em uma instituição parceira que está conectada ao PoP-CE normalmente percorre o caminho:
PA->MA->CE Com a falha do link da figura, o caminho será:
PA->PI->PE->PB(CGE)->PB(JPA)->RN->CE Apesar de a largura de banda em todos esses enlaces ser alta, as aplicações vão perceber um inevitável aumento de latência. Se esse for um parâmetro crítico para o funcionamento de uma aplicação, impactos podem ser percebidos. Outra informação útil do Panorama do Tráfego que pode ajudar no entendimento de problemas é o nível de uso dos enlaces de dados. Por exemplo: na Figura 1.23 percebe-se que o enlace de dados que atende ao PoP-AP está amarelo. Ao posicionar o cursor no link daquele PoP verifica-se o volume do tráfego no
Introdução à rede Ipê
enlace, vide a figura seguinte:
22
A Figura 1.23 mostra que, em alguns horários, o tráfego entrante no Amapá chega a 51,14 Mbps, que corresponde a 75,20% da capacidade total desse enlace. Embora esse fato justifique bem alguma percepção de lentidão por parte de uma instituição atendida pelo PoP-AP, ele pode indicar atenção, pois um maior uso do canal poderá rapidamente deteriorar a qualidade da comunicação de todos os clientes desse PoP.
Figura 1.23 Panorama do tráfego: tráfego de enlace de dados.
O Panorama do Tráfego constitui, portanto, uma ferramenta útil de acompanhamento não só de problemas do backbone, como da evolução natural do tráfego de um PoP de interesse. A consulta a essa ferramenta complementa as informações sobre falhas de backbone que
Capítulo 1 - Operação da rede Ipê
podem ser obtidas diretamente com o PoP.
23
24
Introdução à rede Ipê
Roteiro de Atividades 1 Atividade 1.1 – Panorama do tráfego Uma organização usuária começou a perceber certa lentidão no acesso a um determinado site da internet. Proativamente, o administrador da rede resolveu acessar a ferramenta Panorama do Tráfego, disponível em http://www.rnp.br/ceo/trafego/panorama.php. Ao fazê-lo, o administrador concluiu que o problema, no momento, provavelmente afeta também outros clientes. Resolveu então ligar para o PoP da RNP para verificar se algo pode ser feito. A figura seguinte retrata o panorama que foi visto pelo administrador de rede no momento de seu acesso. Considerada a figura, onde deve estar localizado o site com o qual o cliente quer se comunicar?
Figura 1.24 Panorama da Atividade 1.1.
O administrador de rede da organização usuária recebeu várias reclamações dando conta que a conexão com a internet estaria indisponível. A partir desse evento, a RNP recomenda uma metodologia de troubleshooting preliminar, a fim de facilitar a atuação do PoP/RNP, quando solicitado. Cite a ordem recomendada para as ações abaixo e, quando houver necessidade de executar algum comando, cite os comandos que devem ser usados.
Capítulo 1 - Roteiro de atividade 1
Atividade 1.2 – Falha de conectividade da organização usuária
25
Ações: ( ) Executar um ping para o roteador do PoP utilizando IP origem da LAN, para testar se há falha de roteamento na comunicação PoP-Organização. Ordem: Comandos: ( ) Verificar se o roteador da organização está ligado e operacional. Ordem: Comandos: ( ) Verificar as condições gerais de hardware, software e interfaces de produção no roteador da organização com os comandos “show log messages” e “show interfaces terse”. Ordem:
Introdução à rede Ipê
Comandos:
26
2 Orientar a instituição sobre os procedimentos adequados para tratar os incidentes de segurança e como se relacionar com o CAIS.
conceitos
CAIS, serviços do CAIS, segurança.
Centro de Atendimento a Incidentes de Segurança (CAIS) 11 Compreende uma equipe técnica fortemente qualificada na área de segurança de redes.
q
11 Nacional e internacionalmente reconhecido por sua atuação na detecção, resolução e prevenção de incidentes de segurança. 11 Elabora, promove e dissemina práticas de segurança em redes. 11 Participa largamente de organismos internacionais na área de segurança. 11 Interage com equipes de resposta a incidentes de segurança de diversos países. 22 Essas equipes são conhecidas pela sigla CSIRT (Computer Security Incident Response Team). 22 No Brasil, várias instituições acadêmicas já contam com seu próprio CSIRT. 11 Na área internacional, o CAIS ainda coordena o grupo de trabalho de segurança da rede acadêmica CLARA. 11 No Brasil, presta diversos serviços à comunidade acadêmica. 11 Organiza o Dia Internacional de Segurança em Informática (DISI). O Centro de Atendimento a Incidentes de Segurança da RNP foi criado em 1997. Hoje o CAIS compreende uma equipe técnica com notável reputação na área de segurança de redes, equipe que se reporta à Diretoria de Serviços e Soluções (DSS) da RNP. O CAIS é internacionalmente reconhecido por sua atuação na detecção, resolução e prevenção de incidentes de segurança na rede acadêmica brasileira e por sua forte presença na América Latina, promovendo a cultura de segurança. O CAIS elabora, promove e dissemina práticas de segurança em redes. Entre os órgãos internacionais que contam com a participação do CAIS estão o Forum of Incident Response and Security Teams (FIRST – www.first.org) e o Anti-Phishing Working Group (APGW – www.antiphishing.org).
Capítulo 2 - Segurança na rede Ipê
objetivos
Segurança na rede Ipê
27
O contato com diversas instituições internacionais permite ao CAIS interagir com equipes de resposta a incidentes de segurança de diversos países e setores. Essas equipes são conhecidas como Computer Security Incident Response Team (CSIRT). No Brasil, o CAIS presta serviços à comunidade acadêmica e organiza anualmente o Dia Internacional de Segurança em Informática (DISI), evento voltado para a conscientização do usuário final no uso da internet e outros ambientes. Os serviços típicos prestados pelo CAIS se materializam em: 11 Tratamento de incidentes.
q
11 Disseminação da cultura de segurança. 11 Infraestrutura de segurança. 11 Gestão de segurança da informação. 11 O CAIS trata incidentes de segurança que envolvam o backbone da RNP, trocando informações com os PoPs, CSIRTs no Brasil e provedores de serviço. 11 Incidentes podem ser comunicados ao CAIS através do e-mail: [email protected].
Como fazer quando ocorre um problema de segurança A RNP atua na resolução, detecção e prevenção de incidentes de segurança. Normalmente um incidente de segurança objetiva: 11 Destruição, corrupção ou roubo de dados.
q
11 Redução de performance ou indisponibilidade da rede de uma instituição. 11 Ao se deparar com um ataque que produza impactos imediatos, como indisponibilidade ou lentidão de serviço, a instituição deverá contatar imediatamente o PoP, descrevendo os sintomas experimentados. 11 Os PoPs e a gerência de operações da RNP possuem ferramental adequado para caracterizar o tipo de ataque ocorrido. 11 A partir do ataque reportado, a gerência de operações da RNP e o PoP atuarão juntos na sua investigação. 11 O PoP manterá contato com a instituição. Uma vez sanado ou atenuado o ataque, o evento será reportado ao CAIS, que investigará suas características e poderá gerar ações recomendadas para evitar um novo ataque. 11 Caso o ataque identificado não gere impacto imediato (ou já tenha sido sanado), a instituição deverá reportá-lo diretamente ao CAIS, através do serviço de atendimento a incidentes de segurança. Para contatos de emergência com a equipe do CAIS/RNP: 11 Telefone: (61) 3243-4400 – a ligação pode ser feita inclusive fora do horário comercial.
Introdução à rede Ipê
Contatos não emergenciais podem ser feitos via e-mail: [email protected], ou através de um for-
28
mulário específico disponível no portal do CAIS em: http://www.rnp.br/cais/atendimento.html
O que é o atendimento a incidentes? 11 É um serviço oferecido pelo CAIS às instituições usuárias, que auxilia na identificação, notificação e solução de problemas em sistemas computacionais que atinjam as instituições, ou mesmo a RNP.
q
11 Qualquer incidente de segurança pode ser reportado ao CAIS.
q
11 Por incidente de segurança entenda-se qualquer evento que promova a quebra da política de uso da RNP. 11 A política estabelece que as organizações usuárias da RNP, para a promoção de suas atividades de ensino e pesquisa, podem: 22 Utilizar os serviços de rede disponíveis, suas facilidades de trânsito nacional e internacional. 22 Usufruir de acordos de interconexão existentes entre a RNP e outras redes. Exceto quando esse uso se reflete em: 1. Produção ou transmissão de dados ou materiais considerados ilegais, entre outros, por caracterizarem: transgressão dos direitos do autor, de proteção à criança e ao meio ambiente, atentado à privacidade ou promoção à discriminação racial ou religiosa. 2. Veiculação de propaganda comercial, política ou religiosa. 3. Transmissão de mensagens ou material de propaganda não solicitado pelo destinatário. 4. Uso em atividades estritamente comerciais. 5. Atividades que contribuam para a ineficiência ou esgotamento dos recursos na rede, sejam eles computacionais, comunicacionais ou humanos. 6. Atividades que promovam a corrupção ou destruição de dados de usuários. 7. Atividades que interrompam ou prejudiquem a utilização dos serviços de rede por outros usuários. 8. Interligação ou abrigo em seu espaço de endereçamento de uma terceira instituição sem qualificação obtida através desta Política de Uso. Um evento que fere os itens 3 ou 7 não configura um incidente de segurança. Um evento que fere quaisquer dos outros itens da política é dado como um incidente de segurança. 11 Caso ocorram incidentes de segurança dentro da instituição, ela deve se preocupar em
q
corrigir o problema, sob pena de deixar de usufruir dos serviços de rede disponíveis. 11 Algumas consequências indiretas também podem ocorrer, como: 22 Bloqueio, por parte de terceiros, da entrega de e-mails enviados a partir da instituição. 22 Enquadramento em leis internacionais de proteção à propriedade intelectual.
O trabalho do CAIS 11 Os incidentes de segurança mais comuns tratados pelo CAIS são: 22 Envio de mensagens de e-mail não solicitadas (spam). 22 Ataques a sistemas (procura por vulnerabilidades e invasão). 22 Golpes de fraudes bancárias, cartões de crédito (phishing). 22 Troca de páginas web. 22 Download de material protegido por copyright (P2P e outros). 22 Disseminação de malware.
q
Capítulo 2 - Segurança na rede Ipê
22 Comprometimento da imagem da instituição ou mesmo da RNP.
29
11 Os incidentes de segurança mais sérios (e menos frequentes) tratados pelo CAIS são:
Recomendações à Organização Usuária 11 A organização usuária também tem seu papel no tratamento dos incidentes de segurança.
q
11 É recomendado que a instituição mantenha uma equipe ou profissional responsável pela segurança de suas redes e sistemas. 11 Caberá a essa entidade investigar as ocorrências registradas em sua instituição e corrigir os problemas de segurança em sua alçada. 11 É recomendado que essa entidade notifique o CAIS em relação aos ataques recebidos, bem como os responsáveis pelas redes atacantes, solicitando providências (nesse caso, sempre copiando o CAIS nas mensagens). 11 A equipe/profissional responsável pela segurança das redes da instituição deverá também adotar práticas de prevenção: 22 Executar a gerência de redes e sistemas. 22 Manter os sistemas atualizados, originais e protegidos por antivírus. 22 Permitir somente o envio de e-mails através de servidores específicos. 22 Identificar e bloquear abusos na rede (P2P). 22 Definir uma topologia de rede que facilite a gerência e controle, utilizando DMZ e firewall. 22 Ter cuidados especiais com senhas de servidores. 22 Acompanhar listas de segurança e vulnerabilidades em produtos instalados (roteadores, servidores web, apache, php, mysql).
A ajuda do CAIS Na prática, o CAIS oferece os seguintes serviços: 11 Notificação às instituições clientes sobre quaisquer incidentes de segurança que
q
cheguem ao conhecimento da comunidade acadêmica nacional de segurança. 11 Auxílio na resolução dos incidentes, seja esclarecendo dúvidas, orientando sobre boas práticas ou fazendo interface com outros grupos de segurança. 11 Manutenção e disponibilização de dados estatísticos sobre o atendimento a incidentes na RNP. 11 Acesso direto à equipe do CAIS através de ferramenta de diálogo IRC, facilitando a
Introdução à rede Ipê
comunicação para resolução de incidentes.
Passos para a segurança de sua instituição 11 Estabeleça um ponto de contato único como contato de segurança: abuse@, seguranca@ ou security@. 11 Informe esse contato à RNP e ao CAIS. 11 Repasse as mensagens recebidas nestes e-mails aos responsáveis pelas questões de segurança.
30
q
11 Mantenha a data e hora de seus sistemas ajustados por NTP, para garantir a precisão
q
do horário nos logs de eventuais ataques. 11 Caso a instituição tenha sofrido algum incidente de segurança: 22 Colete todos os dados relacionados ao incidente. 22 Certifique-se de incluir data, hora e fuso horário. 22 Notifique o atacante, com cópia ao CAIS. 22 Caso a instituição tenha sido origem de um incidente de segurança: 33 Trate o caso com responsabilidade. 33 Busque identificar o problema, resolvê-lo, e responder ao solicitante, copiando
Capítulo 2 - Segurança na rede Ipê
o CAIS na resposta.
31
32
Introdução à rede Ipê
3 Orientar a instituição sobre os tipos de conexão à rede da RNP, a infraestrutura de rede, equipamentos, cabeamento e infraestrutura física.
Conexão da organização usuária ao PoP da RNP, uso e especificação de switches e roteadores, topologia da rede, infraestrutura de cabeamento e infraestrutura física.
Conexão da organização usuária ao PoP da RNP 11 Tipicamente a organização usuária se ligará ao PoP RNP através de um enlace de
conceitos
objetivos
Infraestrutura de rede
q
dados provido por uma operadora de telecomunicações. 11 Esse ator alugará um meio físico para prover o contato da instituição com a rede Ipê. 11 Esse meio será implementado por uma dentre diversas tecnologias. 22 O que ocorre usualmente é que o meio físico é uma fibra óptica, um cabo de cobre ou um radioenlace (sem fio). 11 Em alguns casos, dependendo da geografia da instituição a ser conectada, esse enlace de dados poderá ser implantado via um link de satélite.
RNP
Figura 3.1 Ligação de instituição via fibra óptica.
Organização usuária
PoP RNP
A Figura 3.1 mostra uma conexão de fibra óptica entre uma organização usuária e o PoP da RNP. O enlace exibido reporta a conexão lógica. Fisicamente não existe um cabo óptico conectando os dois pontos. A operadora “constrói” esse circuito dentro da sua infraestru-
Capítulo 3 - Infraestrutura de rede
As figuras abaixo exibem cada um dos casos:
tura. Ou seja, em termos práticos, o link é implementado passando por uma ou mais estações da operadora em questão. 33
RNP
Organização usuária
Figura 3.2 Ligação de instituição via rádio.
PoP RNP
A Figura 3.2 exibe uma instituição que foi conectada à rede Ipê via rádio. Essa é uma opção utilizada principalmente em locais onde não existe infraestrutura de cabeamento pronta para uso. Dependendo da situação, a conexão rádio pode ser implementada exatamente como na Figura 3.2, com uma antena no PoP da RNP e outra no cliente. Porém, o que ocorre cotidianamente é que o link rádio liga a organização usuária a um ponto de presença da operadora, e esse ponto é conectado ao PoP RNP via rede cabeada. Ou seja, de fato tem-se um enlace que é parte sem fio e parte cabeado.
PoP Operadora
Introdução à rede Ipê
RNP
Organização usuária
A Figura 3.3 exibe uma instituição conectada à rede Ipê via satélite. Essa opção é usada em casos onde a organização usuária encontra-se em um lugar remoto onde não se pode usar cabos ou um rádio diretivo por falta de visibilidade entre a instituição e o ponto de presença da operadora mais próximo. Um exemplo típico são as instituições localizadas em áreas de selva nos estados amazônicos.
34
PoP RNP
Figura 3.3 Ligação de instituição via satélite.
11 Nos casos exibidos o enlace de dados é contratado pela RNP junto a uma operadora
q
de telecomunicações. 11 O contrato firmado entre essas duas partes estabelece parâmetros de qualidade que deverão ser atendidos, como: 22 Largura de banda disponível, tempo de resposta, taxa de erro de bit (BER) etc. 11 Cabe à RNP executar a gestão desse contrato, garantindo o seu cumprimento e aplicando as punições necessárias quando os itens acordados não forem atendidos. 11 Em qualquer dos casos, invariavelmente, a organização usuária receberá, em suas dependências, alguma infraestrutura de equipamentos da operadora. 11 A organização terá que zelar pelo bom funcionamento desses equipamentos, mantendo-os em condições recomendadas. 11 No caso mais simples, de organização usuária atendida por rede cabeada, a operadora instala um modem nas dependências da organização. A conexão se apresenta como no esquema da Figura 3.4.
Rede Operadora
Modem
Cabo serial
Figura 3.4 Conexão instituição: operadora.
Roteador RNP
Todos os equipamentos detalhados na figura ficarão nas dependências da organização usuária. Na Figura 3.4 o roteador é fornecido pela RNP e seu objetivo é receber a conexão da operadora e rotear pacotes de dados da rede da instituição para fora. O modem da figura
A infraestrutura adequada para abrigar esses dispositivos será apresentada adiante. 11 A conexão entre o roteador e o modem quase sempre se dá via interface serial do roteador. 11 Existe uma grande variedade de conectores que podem compor o cabo que faz essa conexão. 11 O conector V.35 é um dos mais populares.
q
Capítulo 3 - Infraestrutura de rede
pertence à operadora de telecomunicações.
35
A Figura 3.5 mostra, além do V.35, outros conectores que são usados cotidianamente.
EIA/TIA-232
EIA/TIA-449
V-35
X21
EIA-530
Na figura, a parte superior dos cabos corresponde ao conector que se liga à porta serial do roteador da RNP. A parte inferior do cabo se liga ao modem da operadora. Esse cabo, via de regra, é fornecido pela operadora de telecomunicações provedora do circuito de dados. Para os casos em que a instituição é conectada via rede sem fio, a infraestrutura instalada pela operadora é um pouco mais complexa. O equipamento da RNP é sempre o mesmo: um roteador. Além da antena, que deve ficar no telhado ou em uma torre para prover visibilidade com a antena que fica no ponto de presença da operadora, é necessária a instalação de uma infraestrutura específica. Para trazer o sinal da antena para dentro da instituição é instalado um cabeamento de RF. Esse cabeamento termina em um transceiver, o qual se conectará ao roteador. A operadora instala isoladores no cabeamento, perto da antena, para proteger os equipamentos de rede da instituição de descargas elétricas que porventura tentem se propagar via cabeamento da antena para dentro da instituição. Para o caso da conexão via satélite a infraestrutura é similar ao cenário da rede sem fio, porém nesse caso temos o roteador ligado a um modem satélite, que adapta o sinal do roteador ao meio físico do enlace satelital. Em todos os cenários apresentados o enlace da operadora sempre acaba no roteador da RNP. Esse equipamento define o ponto de delimitação entre a responsabilidade da operadora e da organização usuária. O roteador tem como objetivo principal prover o trânsito de pacotes de dados da rede da instituição para o PoP e vice-versa. O equipamento suporta ainda outras funcionalidades que poderão ou não ser usadas, como protocolos de roteamento, VPN, firewall, segmentação de rede em VLANs e NAT, entre outras. Mais detalhes sobre o equipamento que será usado pela instituição serão apresentados mais à frente neste curso.
Introdução à rede Ipê
Uso e especificação de switches e roteadores
36
Os equipamentos de rede mais usados em redes profissionais são os roteadores e os switches. Em redes mais antigas ou em ambientes não corporativos hubs também podem ser usados. Esse curso não tratará de hubs, pois o uso deles já não é recomendado por diversos motivos.
Figura 3.5 Cabos seriais.
Os fabricantes de rede dividem a linha de equipamentos em: 11 Produtos para escritório (Office).
q
11 Produtos para empresa (Enterprise). 11 Produtos para provedor de serviço (Provider). O nome comercial varia entre fabricantes. Em alguns casos a linha pode ser subdividida em mais segmentos. As três linhas citadas são a referência de mercado. Alguns fabricantes definem ainda uma linha adicional de produtos para centro de processamento de dados (Data Center). Essa linha adicional se destina especificamente às empresas que administram grandes infraestruturas de processamento de dados. A complexidade, os protocolos particulares e o gigantesco volume de dados que ali existem implicam otimizações específicas na arquitetura dos equipamentos dessa linha.
Especificação de racks Os equipamentos de infraestrutura de redes e de serviços podem ser classificados quanto a sua disposição física em duas grandes famílias: 11 Equipamentos de mesa; 11 Equipamentos de rack. Dentre os equipamentos de mesa estão os servidores de torre e os PCs (que constantemente abrigam serviços).
Figura 3.6 Equipamentos de mesa (Fonte: www.sevenl.net).
Em algumas empresas, os equipamentos de mesa são rejeitados, porque não é possível tantes de CPDs de maneira difícil de organizar. 11 Os racks são armários próprios para receber equipamentos de telecomunicações. 11 Proveem infraestrutura específica para passagem de cabos, acomodação de fontes extras, ventiladores, barra de aterramento e réguas de energia. 11 Os racks de 19´´ são os preferidos da indústria de telecomunicações e grande parte dos equipamentos do mercado é fabricada de modo a encaixar perfeitamente nesses racks. 11 Normalmente um equipamento ocupa toda a largura do rack e parte de sua altura. 11 O espaço de altura dos racks é dividido em RUs (rack units). 11 Ao comprar um equipamento deve-se atentar para a informação de espaço físico
q
Capítulo 3 - Infraestrutura de rede
organizá-los em racks. Constantemente os equipamentos de mesa ocupam espaços impor-
necessário em rack. 37
Figura 3.7 Rack de 19´´para telecomunicações.
Alguns tamanhos típicos de rack são 8, 12 e 16 RUs. O equipamento Juniper J2350, por exemplo, possui 1,5 RU.
40 RUs Figura 3.8 Divisão de rack em RUs.
1,5 RU
Fontes redundantes Quase todo equipamento moderno de redes ou de telecomunicações possui uma versão com fontes redundantes. A fonte de um equipamento, assim como ocorre com um computador pessoal, é responsável pelo fornecimento de energia para todos os componentes do hardware. Uma falha de fonte provoca a parada imediata do equipamento. A fonte redundante é capaz de resolver o problema. Na grande maioria dos casos o equipamento possui tecnologia para promover a comutação automática para a fonte backup em caso de falha na fonte principal. 11 Os equipamentos também possuem a tecnologia de “hot swap”, que permite trocar
Introdução à rede Ipê
uma fonte queimada sem parada do equipamento. 11 Um dos perigos da fonte redundante é a sua gerência. É muito comum no mundo corporativo ocorrerem falhas de fonte sem que o administrador do equipamento tome conhecimento. 11 Nesses casos a fonte backup assume, mas não haverá backup para ela. 11 Se esse componente falhar, haverá parada de serviço. 11 Conclusão: não adianta ter fontes redundantes enquanto não se intervém na fonte defeituosa. 38
q
É fundamental um eficiente ferramental de gerência de hardware. Tipicamente o protocolo SNMP é o responsável pelo reporte de uma falha dessa magnitude, sendo suportado por praticamente todo tipo de equipamento de redes e de telecomunicações.
Topologia da rede O objetivo maior da gerência de redes é garantir o maior tempo de disponibilidade possível para os recursos e serviços da instituição. Para ajudar a alcançar esse objetivo existem várias outras boas práticas além da atividade de gerência. Uma dessas atividades é o desenho racional da topologia da rede. 11 Existem três desenhos básicos: barramento, anel e estrela.
q
11 A maioria das topologias de rede possui uma dessas três configurações ou uma combinação delas.
Figura 3.10 Topologia anel.
Capítulo 3 - Infraestrutura de rede
Figura 3.9 Topologia barramento.
39
Figura 3.11 Topologia estrela.
11 Ao definir a topologia da rede dois conceitos ajudam a melhorar a robustez dela:
q
redundância e hierarquia. 11 O conceito de redundância fica claro na topologia em anel. Uma topologia preocupada com a redundância evita que as VLANs (ou redes) dependam de um único link para se manterem disponíveis. 11 A ideia de hierarquia define equipamentos com funções bem definidas na rede, evitando mistura de papéis entre eles. Cada tipo de equipamento tem uma tarefa bem definida, e por isso sua especificação técnica é particular e direcionada à tarefa para a qual será designado. A figura seguinte exibe um modelo de referência que assume os conceitos de redundância e hierarquia.
Núcleo
Distribuição
Figura 3.12 Modelo de referência: rede redundante e hierarquizada.
Introdução à rede Ipê
Acesso
40
Nesse modelo de referência os equipamentos foram divididos em camadas. 11 Cada camada provê serviço para todas as camadas mais abaixo. 11 A camada de acesso conecta os usuários à rede e provê comutação de frames entre usuários da mesma VLAN.
q
11 A camada de distribuição concentra os equipamentos de acesso e segmenta dife-
q
rentes grupos de trabalho. 22 Um bom arranjo dessa camada ajuda a isolar problemas de rede. 22 Essa camada também pode implementar políticas de segurança. 11 A camada de núcleo constitui a espinha dorsal da rede, constituída de links de alta velocidade, normalmente na faixa dos gigabits por segundo. 22 Essa camada concentra os equipamentos de distribuição. 22 Sua função é rotear pacotes entre os equipamentos de distribuição e as redes externas o mais rápido possível. 11 No modelo, cada equipamento possui duas conexões com a camada imediatamente acima, por questões de redundância. O esquema representado na figura acima é apenas uma referência. No mundo real nem sempre é possível obter-se um modelo de rede perfeitamente hierarquizado e redundante, principalmente por questões financeiras. De toda forma, quanto mais perto do modelo de referência for a rede, melhor o seu desempenho geral.
Identificação de cabos 11 Uma prática muito simples que ajuda enormemente a tarefa de manter a rede organi-
q
zada e documentada é a identificação de cabos. 11 Uma rede que se estende por um espaço físico muito extenso e que possua muitos
Figura 3.13 Exemplo de ambiente caótico (Fonte: www. bernabauer.com)
A identificação de cabos permite saber de imediato que equipamentos estão conectados entre si e qual cabo provê essa conexão, agilizando todo tipo de aprovisionamento, desaprovisionamento ou troubleshooting da infraestrutura física de cabeamento.
Capítulo 3 - Infraestrutura de rede
cabos rapidamente se transforma em um caos completo.
41
Figura 3.14 Cabo identificado (Fonte: www. midiasolucao.com.br).
Obviamente, para garantir a organização do ambiente não basta identificar os cabos, é preciso manter as etiquetas atualizadas toda vez que uma mudança for feita, ou seja, é recomendado estabelecer um processo de mudança das conexões da rede.
Infraestrutura para abrigar os equipamentos e mantê-los 11 Não existem padrões para a infraestrutura que abrigará os equipamentos da RNP.
q
11 A orientação é que a instituição se preocupe com a documentação técnica dos equipamentos que receberá em suas dependências. 11 Esses documentos especificarão as condições ideais que permitirão aos equipamentos uma vida útil ótima. A seguir veremos os pontos que devem ser verificados.
Localização e dimensões da sala 11 A localização da sala deve ser tal que evite a propagação de ruído dos equipamentos
q
ao restante do ambiente, evitando prejuízo para a população da instituição. 11 A dimensão da sala deve ser tal que permita ao equipamento de ar-condicionado que a atende refrigerá-la com eficiência. 22 Salas grandes são mais difíceis de refrigerar. 22 Temperatura é um dos itens mais importantes para o bom funcionamento de equipamentos de redes e telecomunicações. É recomendável que o acesso à sala seja restrito aos profissionais capacitados a operar os equipamentos ali presentes. A segurança física dos equipamentos deve ser verificada antes
Introdução à rede Ipê
que qualquer política de segurança lógica seja elaborada.
42
Equipamentos de apoio 11 Alguns equipamentos de apoio ajudam a aumentar a disponibilidade dos equipamentos. 22 Exemplos: nobreaks e geradores. 11 Os nobreaks protegem os equipamentos contra picos de luz, cobrindo o fornecimento de energia durante falhas curtas de fornecimento elétrico.
q
11 Dependendo da criticidade das aplicações da rede a instituição pode lançar mão de
q
um gerador, que permite a manutenção de energia elétrica mesmo durante longas falhas da concessionária de energia. 11 Existem vários tipos de geradores, dos mais robustos e caros aos mais simples e baratos. Um erro comum é ignorar a necessidade de manutenção dos equipamentos de apoio. É muito comum ocorrerem casos de falhas de energia onde o gerador não assume porque, por exemplo, está sem carga.
Refrigeração 11 Todo equipamento instalado na sala de equipamentos traz em sua documentação
q
técnica a quantidade de BTUs que será consumida. 11 É importante fazer a gerência da capacidade de refrigeração da sala, de modo a garantir que o consumo de refrigeração dos equipamentos da sala não ultrapassará a capacidade de refrigeração do equipamento de ar-condicionado.
Instalação elétrica Todo equipamento instalado na sala de equipamentos (ou CPD) traz em sua documentação técnica a potência média dissipada, bem como a capacidade máxima de sua(s) fonte(s). É importante fazer a gerência da infraestrutura elétrica da sala de equipamentos para evitar que a capacidade dos componentes (quadros de energia, disjuntores etc.) seja ferida.
Aterramento 11 Todo equipamento de redes e de telecomunicações deve ser aterrado em
q
infraestrutura adequada. 11 É fortemente indicado que a instituição que abrigará equipamentos em suas dependências providencie uma malha de terra adequada. 11 É comum instituições e residências ignorarem essa questão, que pode evitar a queima dos equipamentos em situações de descargas elétricas.
Espaço para cabeamento e conexões 11 A saúde e vida útil do cabeamento utilizado nas redes dependem significativamente
q
da disposição física utilizada. 11 Os cabos devem ser instalados de modo a evitar tensão no corpo dos cabos e nos 11 Deve-se evitar dobrar o cabo em ângulos muito pequenos. 11 Para atender a esses objetivos é importante alocar espaço adequado dentro dos racks para acomodação de sobras de cabeamento. Veja no destaque da figura seguinte as dobras com ângulos diferentes.
Capítulo 3 - Infraestrutura de rede
conectores.
43
Introdução à rede Ipê
Figura 3.15 Boas práticas de cabeamento (Fonte: taquara.olx.com.br).
44
4 Descrever o uso de switches de camada 2 e de camada 3, o uso de roteadores na rede da instituição, a conexão com a rede da RNP e as vantagens de utilizar VLANs.
roteadores.
Switches L2 11 Os switches L2 têm a função de distribuir e segmentar os pontos de rede e as LANs
conceitos
Switches L2 e L3, comutação L2, empilhamento, subdivisão da rede em VLANs,
q
do ambiente. 11 A função fundamental desses elementos é receber um frame, avaliar o campo “endereço MAC destino” e tomar a decisão de encaminhamento. 11 O switch L2 não faz o serviço de roteamento de pacotes; se um frame chega para ele, ocorre que tipicamente algum roteador já tomou a decisão de roteamento, ou seja, a rede onde o destinatário do pacote reside já foi descoberta. 11 Cabe ao switch apenas avaliar em qual ponto de rede está o destinatário do frame.
Capítulo 4 - Switches e roteadores
objetivos
Switches e roteadores
45
Pacote
Default Gateway
Roteamento L3
Rede L2 (comutação) Em qual porta física está o destino?
Figura 4.1 Roteamento L3 versus encaminhamento L2.
Destino
Em qual porta física está o destino? O dimensionamento de um switch depende principalmente: 11 Da quantidade de interfaces requeridas; 11 Da velocidade dessas interfaces; 11 Da quantidade de LANs (VLANs) que trafegarão dados pelo equipamento; 11 Da necessidade de redundância de hardware (fontes, CPUs, backplanes etc); 11 Da necessidade de ter serviços L2 e L3 no mesmo equipamento. A exemplo do que ocorre com os roteadores, o porte de um switch pode variar tremendamente dependendo de sua aplicação. Para referência, o peso dos switches usados pelo mercado pode variar de 1,5 a 300 kg. Seu preço pode sair da ordem de centenas de reais até centenas de milhares de dólares. Um switch de rede local popular possui 24 portas fast ethernet (100 Mbps). Um switch de um centro de processamento de dados de um grande provedor de conteúdo de internet possui mais de 200 portas com capacidade de 10Gbps cada uma. A diferença de capacidade de processamento entre os equipamentos desse exemplo justifica a grande diferença de
Introdução à rede Ipê
preço entre eles.
Switches L3 11 Os switches L3 podem fazer as funções de L3 e/ou de L2. 11 Cabe ao administrador de rede fazer essa definição. 11 Em algumas situações, o switch L3 pode substituir o uso do roteador e do switch L2, de modo que as funções L2 e L3 estejam no mesmo equipamento. 11 Em outras aplicações, o switch L3 pode fazer a função L2 para algumas VLANs e a função de L3 para outras, dependendo da conveniência do administrador.
46
q
Algumas aplicações do switch L3 são mostradas a seguir. A figura seguinte exibe uma rede local típica, um roteador fazendo o papel de default gateway da LAN e um switch fazendo o papel de distribuição dos pontos de rede. Embora haja apenas um único switch no esquema da figura, poderiam existir vários outros, operando em diferentes hierarquias.
Default gateway das VLANs A, B e C
Função L3
Função L2 Figura 4.2 Interação L2-L3 tradicional com switch e roteador.
VLAN A
VLAN B
VLAN C
A figura seguinte mostra a mesma LAN, mas o roteador e o switch foram substituídos por um único equipamento, um switch L3.
Default gateway das VLANs A, B e C
Funções L3 e L2
VLAN A
VLAN B
VLAN C
Uma aplicação típica do switch L3 no mundo real pode ser vista nas próximas figuras. 11 Os servidores das VLANs 10 e 20 não acessam a internet nem a rede Ipê, no entanto
q
essas duas VLANs trocam grande volume de tráfego entre si. 11 A VLAN 30 usa a rede Ipê intensamente, acessando servidores das VLANs 10 e 20 eventualmente. O administrador de rede recebeu várias reclamações de lentidão de usuários da VLAN 30. Na figura abaixo as setas pretas exibem o tráfego entre as VLANs 10 e 20. As setas cinzas mostram o tráfego da VLAN 30.
Capítulo 4 - Switches e roteadores
Figura 4.3 Switch L3 faz o papel de default gateway de várias redes/sub-redes/ VLANs.
47
Rede Ipê
Default Gateway das VLANs 10, 20 e 30
Link saturado
VLAN 30
VLAN 20
Figura 4.4 Usuários da VLAN 30 reclamam de lentidão.
VLAN 10
Após uma investigação, foi percebido que o link entre o switch L2 e o roteador apresentava descarte de pacotes, sinal de saturação. 11 O administrador de rede dispunha de um switch L3 que sobrou de um projeto não terminado e resolveu trocar o switch L2 pelo L3. 11 O switch L3 se tornou o default gateway das VLANs 10 e 20. 11 O tráfego entre as VLANs 10 e 20 não compete mais com o tráfego entre VLAN 30 e
Introdução à rede Ipê
rede Ipê.
48
q
Rede Ipê
Default Gateway da VLAN 30
Link OK
Default Gateway das VLANs 10 e 20
VLAN 30
VLAN 20
VLAN 10
No mundo real poderíamos pensar em fundir as VLANs 10 e 20 em uma mesma VLAN. Dessa forma o tráfego entre os hosts das duas redes não mais competiria com o tráfego da VLAN 30. No entanto, existem situações em que essa fusão não é possível, por motivos técnicos ou políticos. Seria possível ainda pensar em substituir também o roteador. Na figura optou-se por manter o roteador ativo. Essa decisão pode ser correta em casos onde o roteador presta outros serviços além do roteamento tradicional, como NAT, firewall e VPN, entre outros. Dessa forma, evita-se que o switch L3 fique com seus recursos de hardware saturados, mantendo nesse equipamento apenas os serviços tradicionais de roteamento e switching. Da mesma forma, há economia de recursos do roteador com a redução do tráfego que ele precisa tratar. O dimensionamento dos switches L3 é definido quase pelos mesmos parâmetros dos switches L2.
Comutação L2 11 Os switches L2 também executam protocolos para otimizar o serviço de encaminhamento. 22 Exemplo: protocolo spanning-tree. 11 Os switches se utilizam desse protocolo para evitar que ocorram loops de encaminhamento na rede. 11 Um loop de encaminhamento tem o poder de parar completamente uma rede, e isso efetivamente ocorre no mundo real.
q
Capítulo 4 - Switches e roteadores
Figura 4.5 Switch L3 elimina o problema.
49
11 Em ambientes onde existe mais de um caminho possível para se chegar a um host é
q
fundamental a presença do spanning-tree, tanto que todos os fabricantes de equipamentos de rede já deixam esse protocolo habilitado de fábrica. 11 Um switch normalmente executa uma instância de spanning-tree para cada VLAN existente. Tem-se aí um ponto de limitação para o dimensionamento do número de VLANs que um switch pode suportar. Root Bridge
Links operando
Figura 4.6 Spanning-tree: evita loops de rede.
Links bloqueados
A operação do spanning-tree não será detalhada neste curso. Em resumo, seu objetivo é fazer com que só exista um caminho válido entre dois pontos
q
quaisquer de uma rede L2.
Empilhamento 11 Quando o número de usuários de uma rede local aumenta muito, é necessário lançar
q
mão de outros recursos para fazer a rede escalar. 11 Os esquemas de expansão de portas não podem ajudar neste caso específico. Nesse cenário a solução é mesmo aumentar o número de portas físicas. 11 Quando um switch não tem mais portas físicas disponíveis é possível empilhar mais de um switch para aumentar a densidade de portas. 11 O empilhamento consiste em criar um único equipamento lógico a partir de dois ou mais switches físicos.
Introdução à rede Ipê
11 A comunicação entre os switches pode se dar via porta Ethernet ou via cabeamento
50
específico para o fim de empilhamento. A ideia é simples. O administrador de redes empilha dois switches de 24 portas cada e obtém um único “switch lógico”, que possui 48 portas. Os demais equipamentos de rede nunca saberão que ali existem dois switches, pois ambos respondem pelos mesmos endereços IPs e pelo mesmo hostname.
Figura 4.7 Switches empilhados (Fonte: www. kathmann.com).
Subdivisão da rede em VLANs de distribuição A divisão da rede em VLANs é uma das boas práticas em rede local. Há vários motivos
q
para realizá-la. Aqui citaremos cinco: 11 Aumento da confidencialidade dos dados das diferentes redes. 11 Economia de recursos dos elementos de rede e de links. 11 Economia de recursos dos hosts através da redução dos domínios de broadcast. 11 Flexibilidade para configuração de políticas de roteamento e segurança. 11 Flexibilidade para distribuição física dos pontos de redes. Neste texto os termos VLAN e sub-rede são usados de maneira intercambiável, pois em uma rede dividida em VLANs os termos têm exatamente o mesmo significado. A figura seguinte ilustra um esquema onde os diferentes departamentos de uma instituição estão separados em VLANs.
R1
R2
SW1
Figura 4.8 Divisão da rede em VLANs.
200.1.1.0/26
200.1.1.128/25
Depto. financeiro
Depto. de docentes
Laboratório de alunos
(VLAN 10)
(VLAN 20)
(VLAN 30)
Capítulo 4 - Switches e roteadores
200.1.1.64/26
SW2
51
11 A boa prática diz que os hosts com maior interesse de tráfego devem ficar na mesma
q
VLAN (rede). 11 Dessa forma o tráfego entre esses hosts não competirá pelos recursos de rede com outros hosts. 11 O tráfego de uma VLAN fica isolado do tráfego das demais. 11 O isolamento de tráfego das VLANs, além de salvar recursos da rede, promove um maior grau de segurança. Um capturador de tráfego que deseje capturar dados de um determinado departamento terá que usar um ponto de rede na VLAN do departamento a ser vitimado. Outros pontos de rede não enxergarão esse tráfego. O processamento dos hosts da rede também tende a cair com a redução do domínio de broadcast consequente da subdivisão em VLANs. Quando os hosts estão todos na mesma rede (ou VLAN) um broadcast gerado por qualquer host é recebido por todos os outros. A maioria dos hosts não usará a mensagem de broadcast. Com a rede dividida em sub-redes somente os pontos da VLAN onde foi gerado o broadcast recebem a mensagem, e recursos de rede e de hosts são economizados.
A rede dividida também facilita a configuração de políticas de roteamento e segurança.
Na Figura 4.8 o roteador R1 é o default gateway das VLANs 10 e 20, e o roteador R2 é o default gateway da VLAN 30. Imagine que os dados do departamento financeiro são estritamente confidenciais e não devem trafegar por nenhuma outra VLAN. Para implementar essa condição em uma rede dividida em VLANs, basta criar uma regra, ou lista de acesso, impedindo que pacotes com IP origem que não estejam na rede 200.1.1.64/26 possam ser destinados a pacotes desse alcance. Essa regra poderia ser configurada na saída da interface de R1, que conecta ao switch SW1. Se todos os hosts estivessem misturados em uma grande rede, a configuração dessa política seria complicada. Analogamente, a configuração de políticas de roteamento também é simplificada. Ainda na Figura 4.8, tem-se que o laboratório dos alunos não pode ser capaz de acessar os websites hospedados no departamento de docentes. Pode-se configurar uma política de roteamento no roteador R1 de modo que a rede 200.1.1.0/26 não seja anunciada ao roteador R2. Dessa forma, caso R2 não tenha uma rota default para o R1, os alunos não conseguirão acesso aos sistemas da VLAN dos docentes. Observe que a solução do problema do parágrafo acima também poderia ser a criação de uma regra de segurança, mas uma vez que a rede da figura não possui firewalls, o administrador da rede pode usar o roteador apenas para a tarefa de roteamento. O problema foi então resolvido com a manipulação de uma política de roteamento. Se os websites do
Introdução à rede Ipê
departamento de docentes estivessem misturados na mesma VLAN do laboratório dos alunos, a configuração dessa política seria complicada.
Roteadores 11 Os roteadores são os protagonistas das redes baseadas em arquitetura TCP/IP ou IP/MPLS. 11 A função fundamental desses elementos é receber os pacotes IP, interpretar o campo “IP destino” e decidir como encaminhar o pacote.
52
q
11 Essa decisão é a chave para o bom desempenho da rede e das aplicações que dela
q
se utilizam. 11 O uso de roteadores é mandatório em ambientes que tenham mais de uma rede, sub-rede ou VLAN. Um ambiente de rede que possui apenas uma única rede/sub-rede/VLAN não necessita de um roteador. Toda rede/sub-rede/VLAN, para ter seus pacotes chegando em outras redes, precisa de pelo menos um roteador. O roteador que roteia os pacotes da rede é chamado “default gateway” da rede/sub-rede/VLAN. A figura seguinte exemplifica um ambiente de rede onde todos os hosts estão na mesma rede, ou seja, estão sobre o mesmo espaço de endereçamento IP. Nesse esquema um switch de rede (que não faz a tarefa de roteamento) fica diretamente conectado a um modem fornecido pelo provedor de serviço, cenário que dispensa a necessidade de um roteador.
Internet Provedor de serviço Cliente com rede única
10.1.1.0/24
10.1.1.14
10.1.1.19
10.1.1.12
11 Quando os roteadores da rede fazem uso de um protocolo de roteamento, diz-se que
q
o roteamento ali é dinâmico. 11 O roteamento dinâmico se caracteriza por recalcular automaticamente as rotas quando ocorrem alterações na topologia da rede (quando ocorre uma falha, por exemplo). 11 Em redes complexas, onde existem várias possibilidades de encaminhamento, o uso do roteamento dinâmico é salutar.
Capítulo 4 - Switches e roteadores
Figura 4.9 Ambiente de rede com uma única rede/sub-rede/ VLAN.
53
Vários caminhos levam do ponto A ou B
Figura 4.10 Vários caminhos disponíveis: roteamento dinâmico.
11 O roteamento estático também é utilizado na rede Ipê, para executar o serviço de
q
encaminhamento de pacotes em partes da rede onde não há decisão de encaminhamento a ser feita. 11 O roteamento estático, diferente do dinâmico, não caracteriza troca de informações entre roteadores. 11 A informação de roteamento é inserida manualmente no roteador por um administrador de rede.
Há um único caminho possível do ponto A ou B
Figura 4.11 Apenas um caminho disponível: roteamento estático.
A comunicação entre o roteador da instituição e a rede IP se dá tipicamente através de
Introdução à rede Ipê
roteamento estático, pois há apenas um caminho possível entre as duas entidades. A vantagem de se usar essa modalidade de roteamento é a economia de recursos. O roteamento estático usa muito pouco de memória e CPU do roteador, enquanto que os protocolos de roteamento dinâmico, dependendo do tamanho da rede, podem requerer roteadores de grande porte, que são equipamentos caros. Fazendo referência à arquitetura de referência OSI, diz-se que os roteadores atuam na camada 3 (layer 3) da arquitetura, chamada “camada de inter-rede”; na arquitetura TCP/IP essa camada se chama simplesmente “camada de rede”. Daí a expressão “equipamento L3”. 54
O dimensionamento de um roteador depende: 11 Do volume de tráfego que será cursado em suas interfaces; 11 Da quantidade de interfaces que o roteador pode suportar; 11 Da necessidade de redundância de hardware (fontes, CPUs, backplanes); 11 Da capacidade do seu backplane (hardware de encaminhamento interno por onde passará o tráfego de todas as interfaces); 11 Dos protocolos que serão usados e do tamanho da rede envolvida. O backplane do hardware está intrinsecamente ligado à soma das capacidades das interfaces que funcionarão no equipamento. Um roteador com backplane de baixa capacidade não pode ter, por exemplo, dezenas de interfaces de 10Gbps, pois todo esse tráfego passará pelo backplane. Em algumas situações, as placas de rede possuem alguma capacidade de processamento, fazendo com que parte da decisão de encaminhamento seja definida na própria interface de rede, que acaba por otimizar recursos do backplane e da CPU principal da máquina, evitando que a sua capacidade precise ser maior que a soma das capacidades das interfaces. Em arquiteturas mais novas, o backplane é subdividido em estruturas menores, de modo que cada estrutura fica responsável por um conjunto de interfaces. O porte de um roteador pode variar muito dependendo do seu uso. Por exemplo, o peso de um roteador pode variar de 6 (default gateway de algumas redes locais) a 180 kg (roteador de um provedor de porte nacional). Seu preço pode variar de pouco milhares de reais até centenas de milhares de dólares.
Figura 4.12 Roteador Juniper Série J: pequeno porte (Fonte: www.juniper.net).
Para tomar a decisão de encaminhamento da forma mais eficiente os roteadores podem fazer uso de um protocolo de roteamento dinâmico. Através dele os diferentes roteadores que compõem a rede trocam informações uns com os outros e, baseando-se nas informações recebidas dos vizinhos, concluem qual o melhor caminho para se direcionar cada um
11 Os principais protocolos de roteamento dinâmico executados na rede Ipê e em vários outros provedores comerciais são OSPF e BGP. 11 Em redes de organizações menores pode-se utilizar outros protocolos mais simples que consomem menos recursos de hardware (e consequentemente requerem equipamentos mais baratos). 11 Um exemplo de protocolo de roteamento simples é o RIP. 11 Exemplos de outros protocolos menos populares, mas não menos eficientes que os citados: 22 IS-IS.
q Capítulo 4 - Switches e roteadores
dos pacotes IP recebidos.
22 EIGRP. 55
O funcionamento detalhado de cada um desses protocolos de roteamento não é tema deste curso.
Roteador de borda 11 O roteador de borda provê a comunicação de todas as VLANs da rede local com
q
a internet. 11 Esse elemento é candidato natural a receber a configuração das políticas de roteamento da instituição, tais como restrições de acesso a sites não autorizados. 11 Problemas de lentidão ou indisponibilidade de serviços de internet podem ter ligação direta com a boa saúde desse roteador e do seu link com a internet, normalmente chamado de “uplink da instituição”. 11 Quando a conexão da instituição não tiver um enlace de backup, esse roteador executará roteamento estático, o mais recomendado para esse cenário. 11 Se houver mais de um enlace através do qual se possa chegar à internet, esse elemento deverá executar um protocolo de roteamento dinâmico.
Internet
Rede local
VLAN 21
Roteador de borda
VLAN 22
VLAN 23
Troubleshooting básico Gerência e documentação de rede, planejamento de topologia, controle da alocação de IPs e da distribuição das sub-redes e identificação de cabos. Todas essas práticas apresentadas configuram diferentes recursos para atingir um mesmo fim: manter a maior disponibilidade possível
Introdução à rede Ipê
dos serviços de rede. Às vezes, mesmo com todos esses cuidados, os problemas ocorrem. O troubleshoot de falhas pode ser simples ou complexo, dependendo dos recursos disponíveis. Todas as práticas apresentadas no parágrafo anterior ajudam significativamente a acelerar o processo de solução. O último recurso é uma metodologia básica de ataque a problemas. Uma metodologia que funciona com frequência é a seguinte: 1. Predizer o comportamento normal da rede e comparar o cenário correto com o sintoma percebido. 56
Figura 4.13 Roteador de borda.
2. Isolar o problema: investigar a conectividade de camada 3 de cada hop. 3. Ao encontrar o hop cuja conectividade de camada 3 não funciona, verificar nesse hop a saúde das camadas 2 e 1. Para executar esse processo aparentemente simples, faz-se uso de uma série de conhecimentos e recursos. O exemplo seguinte ilustra a aplicação do método de forma didática e demorada. Na prática, várias das etapas da investigação que será apresentada podem ser executadas de maneira simplificada com o comando “traceroute” ou com uma breve entrevista junto ao usuário reclamante.
PC 3
2 Sw2
R1
R2
f0/1 6
f0/1
Sw4 f0/2 3
f0/0
5
Sw3
Sw1 1 4 Servidor Web PC 1 10.0.1.1/24
10.0.0.1/24
O usuário do PC1 reclamou que não consegue mais acessar http://webserver.com/relatorio, uma página web que está hospedada no servidor web da figura. Um usuário do PC3 acessa normalmente o site, sugerindo que não há problema com o servidor. A Figura 4.14 ilustra todos os passos da conectividade de camada 3 entre PC1 e o servidor em uma situação normal. Os números ao lado das setas identificam a ordem dos acontecimentos. As setas pretas ilustram a viagem dos dados de PC1 até o servidor. As setas cinzas mostram o caminho da resposta do servidor até PC1. Como o servidor está funcionando, o administrador da rede orientou o usuário a fazer um “ping” para o IP do servidor. O “ping” não teve sucesso. Dessa forma, a próxima etapa é verificar qual dos 6 passos não está ocorrendo. Para cada passo investigado, caso a conectividade de camada 3 funcione, não se fará necessário verificar as camadas 2 e 1 do hop. Investigando o passo 1, foi verificado se o pacote está realmente saindo de PC1 e chegando ao R1. O primeiro passo foi investigar se o browser utilizado no PC1 está conseguindo traduzir o nome do servidor para o IP correto, 10.0.0.1. Isso pôde ser verificado executando-se no PC1 o comando “nslookup webserver.com”.
Capítulo 4 - Switches e roteadores
Figura 4.14 Cenário de problema.
PC 2 10.0.1.2/24
57
O próximo passo foi verificar se a configuração de default gateway do PC1 está correta. O comando “ipconfig /all” mostrou o IP da interface f0/0 do R1 como o default gateway. A configuração do PC1 estava correta. Foi executado um “ping” do PC1 para o IP do seu default gateway, no caso, o IP da interface f0/0 de R1. O “ping” funcionou. O passo 1 da figura está funcionando. Em seguida o passo 2 foi investigado. Analisando a tabela de rotas de R1 foi verificado se ele conhece a rede 10.0.0.0/24, onde está o servidor. Verificou-se que a rota é conhecida e que aponta para R2, o que é correto. Por fim, a partir de R1 foi feito um “ping” para a interface f0/1 de R2, que funciona. O passo 2 corretamente verificado. Em seguida o passo 3 foi investigado. Analisando a tabela de rotas de R2 foi verificado se ele conhece a rede 10.0.0.0/24, onde está o servidor. Verificou-se que a rota é conhecida. Em seguida o administrador tentou um “ping” do R2 para o IP do servidor web, que funcionou. Passo 3 corretamente verificado. Os parágrafos acima mostram que um pacote saindo do PC1 chega ao servidor. Agora, o administrador avalia o tráfego de retorno. Como o “ping” do passo 3 funcionou, o administrador concluiu de imediato que o servidor consegue fazer um “ping” para o seu default gateway, logo, o passo 4 funciona. Isso já poderia ser concluído apenas pelo fato de o PC3 conseguir acessar o serviço. Em seguida o passo 5 foi investigado. Analisando a tabela de rotas de R2 foi verificado se ele conhece a rede 10.0.1.0/24, onde está o PC1. A rota é desconhecida. A partir de R2 foi feito um “ping” para o IP de PC1. O “ping” não funcionou! O passo 5 não está funcionando. A partir daqui a investigação se concentra nesse hop. Nesse caso, existe uma clara falha na camada 3. Assim, por ora, não será necessário “descer” às camadas 2 e 1. Foi verificado que a vizinhança OSPF entre R1 e R2 estava estabelecida. No entanto, por algum motivo, R1 deixou de anunciar a rota 10.0.1.0/24 para R2. Foi verificado que alguém editou um filtro de rotas de maneira incorreta em R1, o que provocou a falha. O administrador corrigiu o filtro e o passo 5 passou a funcionar. Fazendo uma nova tentativa o usuário conseguiu acesso ao servidor. Se após a alteração no protocolo de roteamento o passo 5 continuasse a falhar, o próximo passo seria investigar a
Introdução à rede Ipê
camada 2 nesse passo, ou seja, as configurações do switch SW2.
58
Estudo de caso Solicitação, atribuição e administração de blocos IP
RNP / Internet
R1
R2 fe-0/0/2 fe-0/0/2
fe-0/0/0 fe-0/0/1
SW1
SW2
SW3
VLANs 10 e 20
VLAN 30
VLAN 40
fe-0/0/0
SW4
VLAN 50
Dados da rede VLANs
Intervalo
Total de IPs
IPs em uso
Crescimento estimado
PCs administração
200.33.1.128/25
126
112
126
Laboratórios
200.33.1.32/28
14
4
6
Infraestrutura
200.33.1.16/29
6
3
3
Serviços
200.33.1.64/27
30
11
12
PCs professores
200.33.1.96/27
30
5
20
Descrição das VLANs 11 10 – Desktops administrativos: máquinas de diretores, secretárias e da área financeira. 11 20 – Laboratórios: PCs e outros equipamentos IP usados nas aulas práticas. 11 30 – Dois servidores de backup (B1 e B2) e um servidor de repositórios de arquivos (A1), onde professores gravam e recuperam material de aulas. O servidor B1 faz backup somente dos serviços da VLAN 40. O servidor B2 faz backup de todos os PCs (professores e administração) e ainda do servidor de repositório A1. 11 40 – Serviços: base de dados de matrículas e dados dos alunos, servidor de FTP, servidor de e-mail, DNS e outros. 11 50 – Desktops das salas dos respectivos professores.
Capítulo 4 - Switches e roteadores
Figura 4.15 Cenário do estudo de caso.
fe-0/0/1
59
Descrição do cenário Uma instituição de ensino mantém a rede cujo esboço do diagrama de rede encontra-se na figura. Na época da qualificação junto à RNP foi concedido à organização o intervalo de endereços 200.33.1.0/24. À época, a demanda da rede era de 100 endereços. O administrador de rede dividiu então o intervalo /24 em dois intervalos /25. 11 Intervalo 1: 200.33.1.0/25; 11 Intervalo 2: 200.33.1.128/25. O administrador usou o segundo intervalo para compor uma VLAN de PCs da administração, a VLAN 10 (a única rede existente à época) e guardou o primeiro intervalo para demandas futuras. Um ano depois, toda a equipe de administradores de rede mudou e não havia muita documentação. Várias demandas de novas VLANs surgiram. Os novos administradores foram alocando novos intervalos de IP sem muito planejamento. Nesse período foram criadas mais 4 VLANs: 20, 30, 40 e 50. Além disso, o número de usuários da VLAN 10 cresceu mais. Os dados atuais das 5 VLANs da instituição são encontrados logo abaixo da figura. Você foi contratado para ajudar os administradores de rede da instituição a resolver vários problemas da rede. O primeiro problema é o atendimento a uma demanda por uma nova VLAN, número 60, que será usada por notebooks de alunos durante as aulas. Estima-se que
Introdução à rede Ipê
essa nova VLAN precisa de pelo menos 40 IPs.
60
Roteiro de Atividades 2 Atividade 2.1 – Endereçamento IP Qual o tamanho de máscara máximo necessário para uma sub-rede comportar essa nova VLAN?
Dada a utilização atual da rede 200.33.1.0/24 na instituição, exemplifique uma sub-rede daquele intervalo de IPs que poderia ser usada para abrigar a nova VLAN?
Após a análise do item anterior, um dos integrantes da equipe de administradores sugeriu solicitar um novo bloco IP à RNP. Ao analisar a situação, qual posição você acha que a equipe da RNP responsável tomará? Por quê?
Atividade 2.2 – Identificação de soluções A ideia de solicitar um novo bloco não foi adiante. Dessa forma, sua ajuda foi requisitada para resolver o problema de rearranjo de endereços para implementar uma nova VLAN, com previsão de 40 endereços. Porém, outros problemas foram expostos, e você terá que propor soluções para todos eles. Para tal, utilize as informações contidas na área “Descrição das VLANs”. Os problemas são os seguintes: 1. Organizar a distribuição de endereços da rede de modo que uma nova sub-rede possa ser definida para abrigar a nova VLAN 60, e ainda atender à expectativa de crescimento das demais VLANs (a demanda de crescimento encontra-se na área “Dados da rede”). 2. Professores do turno da noite reclamam de lentidão ao acessar o servidor de repositório. É sabido que os backups ocorrem durante a noite. Os servidores de backup estão na VLAN 30, e realizam o backup dos hosts das VLANs “Serviços” e “PCs administração”, além do próprio servidor de repositório de arquivos.
IP, e não podem ter seus endereços trocados sob nenhuma hipótese. 4. Para manter a simplicidade, foi definido pela equipe de administradores que a topologia básica da rede não mudará. Ou seja, as conexões entre switches e roteadores não pode ser modificada. Dados os problemas “1” e “2” e as premissas “3” e “4”, indique a seguir propostas de melhoria. Pode ser usada toda e qualquer ação que respeite as duas premissas estabelecidas.
Capítulo 4 - Roteiro de Atividades 2
3. Os hosts da VLAN “Serviços” possuem licenças de software associadas a seus endereços
61
Atividade 2.3 – Planejando VLANs Agora que seu grupo já possui um conjunto de soluções formuladas, faça um esboço de como ficaria a distribuição das VLANs e dos elementos chave dentro da rede. Nesse desenho, destaque as VLANs utilizando figuras de nuvens, e, se desejar, destaque os servidores (de backup e/ou de repositório de arquivos) com as letras B1, B2 e A1, de acordo com o nome do servidor. No desenho, considere já a implantação da nova VLAN 60 para os PCs de
Introdução à rede Ipê
alunos, já a posicionando no switch que lhe parecer mais conveniente.
62
Atividade 2.4 – Distribuição das sub-redes Considerado o desenho esboçado, é hora de definir a distribuição das sub-redes dentro do endereçamento 200.33.1.0/24. Cabe lembrar nesse momento a necessidade de atendimento à premissa “3”, estabelecida no início da atividade, e a demanda de crescimento de cada VLAN, citada na área “Dados da rede”. Tome o cuidado de utilizar uma solução que valorize os seguintes parâmetros (nessa ordem): 11 Solução mais adequada às demandas de crescimento de cada VLAN; 11 Solução que se traduza na menor quantidade de mudanças, tornando a ação o mais simples possível. Depois de avaliar a tabela de endereçamento, é possível que você tenha que readequar sua solução de desenho da rede (Atividade 2.3) ou mesmo pensar em novas soluções (além das citadas na Atividade 2.2) para liberar mais endereços.
A tabela seguinte mostra uma possível distribuição: Número da VLAN
Nome
Prefixo/ máscara
Total de IPs
IPs em uso
Demanda
10
PCs administração
200.33.1.128/25
126
112
126
20
Laboratórios
200.33.1.80/29
6
4
6
30
Infraestrutura
200.33.1.88/29
6
3
3
40
Serviços
200.33.1.64/28
14
11
12
50
PCs professores
200.33.1.96/27
30
5
20
60
PCs alunos
200.33.1.0/26
62
40
40
A metodologia para se chegar a essa solução é a seguinte: 11 A sub-rede da VLAN 40 tem que ser 200.33.1.64 (condição do enunciado). Como o enunciado também pede que se use a “solução mais adequada às demandas de crescimento de cada VLAN”, a máscara dessa rede deverá ser /28. 11 Para as demais VLANs: aloca-se o endereço da maior VLAN para a menor, sempre verificando se é possível manter o mesmo range de IPs da rede original. Dessa forma, a primeira premissa estabelecida para a solução é: “Solução mais adequada às
Assim, o menor tamanho possível para cada VLAN é: Nome da VLAN
Máscara
Quantidade de IPs
Observações
VLAN 10
/25
126 IPs
-
VLAN 20
/29
6 IPs
-
VLAN 30
/29
6 IPs
Dependendo da solução usada pelo aluno, essa VLAN pode nem existir mais.
Capítulo 4 - Roteiro de Atividades 2
demandas de crescimento de cada VLAN”.
63
Nome da VLAN
Máscara
Quantidade de IPs
Observações
VLAN 40
/28
14 IPs
O endereço IP dos servidores dessa VLAN não pode mudar, mas a máscara pode.
VLAN 50
/27
30 IPs
-
VLAN 60
/26
62 IPs
-
O primeiro ponto a se observar é que os hosts da VLAN 40 não podem ter seus IPs alterados, logo, o prefixo dessa VLAN não pode mudar, apenas a máscara. O segundo ponto é que a maior VLAN (número 10) consome um /25 inteiro. Um dos objetivos traçados pelo enunciado é obter uma “solução que se traduza na menor quantidade de mudanças, tornando a ação o mais simples possível”. Para se chegar a esse objetivo é razoável pensar em manter intocáveis os IPs da VLAN 10. Dessa forma, nada menos que 112 hosts ficarão inalterados. Dessa forma, o primeiro ponto é fechar a sub-rede das VLANs 10 e 40, que ficam assim: VLAN
Nome
Prefixo
Total de IPs
IPs em uso
Demanda
10
PCs administração
200.33.1.128/25
126
112
126
40
Serviços
200.33.1.64/28
14
11
12
A segunda maior sub-rede será a nova VLAN 60, a qual precisará ser pelo menos um /26. A definição das VLANs 10 e 40 deixa apenas uma rede /26 livre: 200.33.1.0/26. Com isso, a definição evolui para: VLAN
Nome
Prefixo
Total de IPs
IPs em uso
Demanda
10
PCs administração
200.33.1.128/25
126
112
126
40
Serviços
200.33.1.64/28
14
11
12
60
PCs alunos
200.33.1.0/26
62
xxx
40
Nesse ponto, se dividirmos a rede da instituição em sub-redes /26, temos as 4 redes: a – 200.33.1.0/26 b – 200.33.1.64/26 c – 200.33.1.128/26 d – 200.33.1.192/26.
Introdução à rede Ipê
Juntas, as VLANs 10 e 60, que já definimos, consomem por inteiro as sub-redes “a”, “c” e “d”.
64
A sub-rede “b”, que resta, pode ser dividida em duas sub-redes /27, que chamaremos redes “d” e “e”.
Metade da rede “d” (um /28) já foi consumida pela VLAN 40. A rede “e” permanece disponível. Nesse ponto, temos então à disposição uma rede /27 inteira (a rede “e”) e uma rede /28 inteira. Resta definir os endereços das VLANs 20, 30 e 50. A maior delas é a VLAN 50. Como o objetivo é buscar a ação o mais simples possível, vamos verificar se é possível manter os hosts dessa VLAN com seus IPs inalterados. O range atual é um /27: 200.33.1.96/27 Esse range corresponde à rede “e”, que está disponível. Então, alocamos a rede para a VLAN 50. VLAN
Nome
Prefixo
Total de IPs
IPs em uso
Demanda
10
PCs administração
200.33.1.128/25
126
112
126
40
Serviços
200.33.1.64/28
14
11
12
50
PCs professores
200.33.1.96/27
30
5
20
60
PCs alunos
200.33.1.0/26
62
xxx
40
Resta alocar endereços para as VLANs 20 e 30. Ambas as redes são /29. Nesse momento, ainda nos resta uma rede /28, que pode ser dividida em duas redes /29. A VLAN 20 originalmente usava o range 200.33.1.32/28, o qual já está em uso nesse momento. Então, usamos uma rede /29 que ainda está disponível. Usamos a rede 200.33.1.80/29, por exemplo. Para a VLAN 30, resta a rede 200.33.1.88/29. Dependendo das
Capítulo 4 - Roteiro de Atividades 2
decisões que o grupo tomou, esta VLAN 30 pode nem ser necessária.
65
66
Introdução à rede Ipê
5 Descrever os principais serviços de rede da instituição, os procedimentos para obtenção de blocos de endereços IP e as principais ferramentas de gerenciamento de rede.
Serviços DNS, registro MX, web, SFTP, e-mail, repositório de arquivos, firewall, DMZ, NAT.
conceitos
Serviços de rede O objetivo maior de uma rede local é prover serviços a seus usuários. Pode-se dizer que esses serviços são o que os clientes realmente enxergam. Do ponto de vista do administrador de redes é comum receber uma descrição de reclamação do tipo “rede lenta”, quando na verdade há um único serviço que apresenta lentidão. Muitas vezes todos os outros serviços estão funcionando a contento. 11 Os serviços podem ser hospedados na própria rede local ou em redes remotas, que
q
pertencem a terceiros. 11 A vantagem de se manter serviços na rede de terceiros é a simplificação da tarefa de sua administração. 11 Nesse caso, a responsabilidade pela manutenção da boa saúde dos servidores fica com os administradores da rede remota. 11 A grande desvantagem é que a qualidade do serviço prestado na rede local fica à mercê da capacidade daquela equipe remota. 11 A desvantagem descrita faz com que os administradores da rede local sejam levados a manter alguns serviços fundamentais na própria rede local. 11 Serão feitas sugestões de serviços que devem ser mantidos em rede local.
DNS O serviço de DNS pode ser tema de um curso inteiro. Os detalhes do funcionamento do serviço não serão explorados aqui, de modo que faremos apenas uma análise suficiente para os objetivos deste curso. 11 O DNS pode ser descrito como uma grande e importante base de dados distribuída
q
Capítulo 5 - Serviços e gerenciamento da rede da instituição
objetivos
Serviços e gerenciamento da rede da instituição
pela internet. 67
11 Essa base é responsável por um dos serviços mais importantes da internet contem-
q
porânea: a tradução de nomes para endereços IP. Os usuários da internet não conhecem o endereço IP de nenhum serviço, mas conhecem o seu nome. O PC desses usuários, por sua vez, precisa do endereço IP para acessar o serviço. Dessa forma, uma tradução nome-IP deverá ocorrer. Quando o usuário digita no seu browser o URL www.rnp.br, o serviço de DNS deverá ser acionado para que o browser efetivamente consiga buscar o IP do sítio da RNP. Existem diferentes tipos de servidores DNS, bem como diferentes métodos de consulta. 11 Além de usado para consultas a nomes de serviços remotos, o DNS também é usado
q
para descobrir o IP de serviços de rede local. 11 Quando se tenta, por exemplo, mapear uma pasta de rede chamada \\servidor_arquivos1.esr.rnp.br\curso, o PC precisa saber o IP da máquina “servidor_arquivos1”, que fica no domínio esr.rnp.br. O DNS dará essa resposta. 11 O servidor de DNS tem importância particular para instituições que possuem nome de domínio registrado junto ao Nic.br. 22 Nic.br é o órgão responsável pelo registro de domínios no Brasil, administrado pelo Comitê Gestor da Internet no Brasil (CGI.br). 11 Todo domínio com final “.br” deve ser conhecido pelos servidores DNS do Nic.br, ou seja, deve estar registrado junto ao órgão.
11 Todo domínio precisa de pelo menos um servidor DNS autoritativo. 11 Aos clientes da RNP é sugerido um mínimo de dois servidores para esse fim (por segurança).
Introdução à rede Ipê
11 Quando uma instituição registra um domínio, ela informa ao Nic.br quem é(são) o(s) servidor(es) DNS autoritativo(s) daquele domínio. 22 O servidor autoritativo é aquele que responde pelo domínio. Na Figura 5.2, o domínio “rnp.br” está registrado no Nic.br. O servidor DNS autoritativo do domínio está hospedado na rede local da RNP. O Nic.br sabe quem é esse servidor. Dessa forma, quando um usuário da internet acessa o serviço www.rnp.br, uma consulta DNS é gerada ao servidor de DNS que atende a esse usuário. Normalmente esse servidor está hospedado no provedor de internet do usuário. 68
q
Figura 5.1 Organograma Nic.br.
Esse servidor vai consultar recursivamente quantos servidores são necessários para chegar ao servidor autoritativo da RNP, que conseguirá indicar o IP da máquina www do domínio esr.rnp.br.
rnp.br
Servidor DNS domínio “.br”
5
Y.
p. br ?
Y. S
rn
p.
IP
w w w .rn
N
2
Ins tituição
4
r?
b p.
.rn w w w
IP
de
br
de
lo ua
Q
D
Y.
ao
é
te
Y
!
un
ua lo
rg
Servidor DNS domínio “rnp.br”
Q
Pe
IP
3
O
.br
Servidor DNS instituição 6
Qual o IP de www.rnp.br ?
O IP é Y.Y.Y.Y !
1
Figura 5.2 Consulta recursiva para localizar www.esr.rnp.br.
11 Vantagens de uma instituição em manter o servidor DNS autoritativo do seu domínio
q
sob sua própria administração: 22 Flexibilidade na administração do serviço.
11 Quando o servidor autoritativo está sob administração de uma entidade externa, não se pode garantir que o serviço de nomes do domínio estará no ar o tempo todo. 11 Outro problema pode ser gerado toda vez que um serviço do domínio precisar mudar de endereço IP. 11 Quando uma instituição passa a fazer parte do sistema autônomo da RNP, é comum que seus endereços IP sejam migrados para o espaço de endereçamento da RNP. Se a instituição tem a administração do servidor DNS, ela mesma terá a oportunidade de realizar a migração do endereço, alterando também a configuração do servidor DNS responsável pelos seus domínios. Se a administração desse servidor fica a cargo de uma entidade remota, a tarefa de migração fica muito mais complicada. A migração de endereço IP de serviços juntamente com a reconfiguração do DNS autoritativo é uma tarefa grande, que não será aqui detalhada.
Capítulo 5 - Serviços e gerenciamento da rede da instituição
22 Responsabilidade pela manutenção do serviço.
69
MX O serviço de DNS descrito provê acesso aos registros do tipo A (address). 11 Além do acesso aos registros “A”, o servidor autoritativo de um domínio também
q
pode prover consultas ao registro MX, usado na execução do serviço de e-mail. 11 Exemplo: 22 Um usuário da internet, proprietário da conta de e-mail “huguinho@cartoons. com”, deseja enviar uma mensagem de e-mail para “[email protected]”. 22 O servidor de e-mail do domínio “cartoons.com” receberá a mensagem e tentará descobrir o IP de um servidor de e-mail do domínio rnp.br, que poderá receber a mensagem e passá-la para o usuário Zezinho. 22 Assim, será gerada uma consulta DNS do tipo MX. O endereço IP será provido pelo serviço de DNS, através do registro MX. Assim, o servidor autoritativo responsável pelo domínio rnp.br será consultado. O servidor verificará o valor configurado na entrada MX e responderá. Descoberto o endereço do servidor de e-mail do domínio do destinatário da mensagem, o servidor de e-mail de “cartoons.com” se comunicará via protocolo SMTP com o servidor de e-mail de rnp.br, e a mensagem será transferida. Rede Local
Figura 5.3 Consulta ao registro MX para envio de e-mail.
Introdução à rede Ipê
DNS SMTP POP3
70
Web 11 Esse serviço é o mais popular da internet. 11 Praticamente todas as instituições com um domínio registrado possuem um servidor web que hospeda seu sítio e serviços on-line. 11 Deixar esse serviço sob a hospedagem de terceiros significa entregar a entidades externas a responsabilidade pela disponibilidade e manutenção dos serviços web da instituição.
q
Existe uma grande tendência de migração de serviços para o ambiente web, o que torna a importância desse serviço ainda maior. Alguns especialistas preveem que na internet do futuro (não muito distante) o usuário de PC terá apenas um único programa instalado em sua máquina: um web browser, que proverá acesso a qualquer tipo de serviço: web, e-mail, edição de textos e planilhas, acesso remoto, home-banking, home-office, videoconferência, videochamada, videomedicina, monitoração remota de ambientes etc.
SFTP 11 Provê as mesmas funcionalidades do servidor de FTP, porém aplicando criptografia,
q
para garantir a confidencialidade e integridade dos dados transferidos. 11 Esse serviço possibilita transferir e armazenar arquivos na rede local. 11 A aplicabilidade desse serviço na rede local é vasta. 11 Dentre as várias aplicações, o uso desse serviço evita que usuários da rede transfiram grandes quantidades de dados via e-mail, o que nem sempre é possível por limitações do serviço. 11 O serviço de SFTP é o mais adequado para prover transferência de arquivos com tamanho da ordem de megabytes ou gigabytes.
E-mail 11 O servidor de e-mail é o responsável por receber todas as mensagens destinadas aos
q
usuários da rede local, bem como transmitir para os servidores de e-mail remotos todas as mensagens de e-mail desses mesmos usuários. 11 Esse serviço utiliza dois tipos de protocolo: 22 Um para a comunicação entre servidores de e-mail. 22 Outro para comunicação entre servidor de e-mail e cliente. 11 Os diferentes servidores se comunicam via protocolo SMTP. 11 A comunicação entre os softwares clientes e seus servidores pode se dar via protocolos IMAP ou POP3 para a recepção de mensagens.
Existem outros protocolos menos conhecidos para prover essa interação. Uma das principais diferenças entre esses protocolos é que o Post Office Protocol version 3 (POP3) é usado em situações onde se espera que um único cliente precise se conectar a uma caixa postal. O Internet Message Access Protocol (IMAP) permite que vários clientes possam se conectar à mesma caixa postal. O IMAP é adequado para situações onde uma caixa postal é utilizada por mais de um usuário.
Capítulo 5 - Serviços e gerenciamento da rede da instituição
11 Para o envio de mensagens é usado também o SMTP.
71
Servidor de Correio destinatário
Servidor de Correio remetente
SMTP POP3 ou IMAP SMTP
Figura 5.4 Serviço de e-mail: servidores e clientes de e-mail.
Destinatário
Remetente
11 Muitas instituições não possuem mão de obra adequada para administrar um
q
servidor de e-mail. 11 Nesses casos pode-se fazer uso de um serviço de e-mail comercial, administrado por uma entidade externa. 11 Nesse caso cabe à instituição cuidar apenas da comunicação entre os softwares clientes de e-mail e esses servidores externos (usando SMTP e POP3 ou IMAP). 11 Quando o serviço de e-mail fica hospedado em um ambiente externo, a sua disponibilidade e qualidade ficam a cargo de terceiros.
Internet
Servidor de correio destinatário
Servidor de correio externo
SMTP
Rede local
POP3 ou IMAP SMTP
Introdução à rede Ipê
Remetente
Repositório de arquivos 11 Esse serviço é provido através dos ditos “HDs virtuais”, serviço largamente oferecido na internet de graça. 11 Sua utilidade é grande, pois permite a usuários da instituição compartilhar arquivos e documentos com qualquer usuário da internet ou com usuários da própria instituição que estejam trabalhando remotamente.
72
Destinatário
Figura 5.5 Serviço de e-mail hospedado remotamente.
q
11 O compartilhamento é feito sem que o usuário remoto necessite de qualquer recurso
q
especial, basta uma conexão à internet. 11 É importante que esse serviço seja usado apenas como repositório e nunca como ponto oficial de armazenamento de dados relevantes. O motivo é trivial: a disponibilidade de arquivos e documentos importantes da instituição não pode ficar sob a dependência de entidades externas.
Firewall, DMZ e NAT 11 Esses três recursos são largamente utilizados na borda da rede local.
q
11 Normalmente o firewall é o elemento que protagoniza a implementação da rede DMZ e também do NAT, embora o NAT possa ser feito normalmente por um roteador ou switch L3.
Internet
Rede DMZ
Rede corporativa
A figura anterior explicita o uso clássico do firewall. 11 Os serviços hospedados na rede DMZ (zona desmilitarizada) devem estar acessíveis
q
a partir da internet. 11 Os serviços e hosts da rede corporativa não podem ser acessados por entidades na internet. 11 Esses objetivos são alcançados através de regras construídas no firewall. 11 A operação básica dos firewalls é comparar todos os pacotes que passam pelas suas interfaces com regras configuradas manualmente pelo administrador de redes. 11 Se o pacote estiver contemplado nas regras de permissão ele receberá serviço. Do contrário, será descartado. 11 Em muitas redes os firewalls também fazem a tarefa de NAT e PAT. As figuras seguintes definem a operação de NAT e PAT.
Capítulo 5 - Serviços e gerenciamento da rede da instituição
Figura 5.6 Rede corporativa e DMZ: firewall.
73
10.0.1.1
10.0.1.1
200.1.1.1
10.0.1.2
200.1.1.2
10.0.1.3
200.1.1.3
10.0.1.2
Internet
10.0.1.3 Figura 5.7 Operação do NAT: conversão de endereços.
10.0.1.1
10.0.1.1:8811
200.1.1.1:8811
10.0.1.2:9112
200.1.1.1:9112
10.0.1.3:8811
200.1.1.1:13532
10.0.1.2
Internet
10.0.1.3 Figura 5.8 Operação do PAT: conversão de endereço e porta.
11 Nos dias atuais, o PAT é muito mais usado que o NAT, porque efetivamente economiza o uso de endereços IP, dado que todos os elementos de uma rede são enxergados na internet sob um único endereço. 22 O efeito prático é que apenas um endereço IP válido é consumido.
Introdução à rede Ipê
22 Todos os demais endereços IP são privados e não serão enxergados na internet.
74
11 NAT e PAT também podem ser implementados em roteadores, embora alguns autores defendam que essa tarefa deve ser realizada no firewall. 11 O argumento principal é que os recursos de hardware do roteador devem ser usados para a tarefa de rotear, ao passo que a arquitetura do hardware do firewall é concebida de modo a torná-lo adequado a essa tarefa. 11 O modelo Juniper J2350 fornecido às organizações usuárias suporta NAT e PAT.
q
Procedimento de solicitação de bloco IP 11 Uma vez qualificada pelo CG-RNP para ser cliente da rede Ipê, a organização usuária
q
terá direito a um bloco IP fornecido pela RNP. 11 A solicitação desse bloco é feita pelo contato técnico da organização e constitui uma das etapas do processo de qualificação da organização usuária. 11 O contato técnico ganhará um acesso à extranet da RNP e terá que preencher um questionário fornecendo várias informações, incluindo o número de hosts endereçáveis de sua rede e a perspectiva de crescimento desse número para os próximos anos. 22 Nesse mesmo questionário é solicitado um bloco IP. 11 A solicitação de bloco também pode ocorrer posteriormente ao processo de qualificação. 11 Depois de algum tempo, caso haja perspectiva de crescimento da rede, a instituição poderá solicitar um bloco adicional através de seu contato técnico. 22 Nesse caso, o pedido será feito por e-mail. 22 Uma mensagem com o número de IPs adicionais necessários e a justificativa do pedido deverá ser enviada para [email protected]. 22 O solicitante receberá uma resposta automática do sistema de trouble-ticket da GO e deverá aguardar um retorno. 22 A GO avaliará a justificativa do pedido, que poderá ser atendido integral ou parcialmente, ou ser negado. Em caso de dúvidas em relação ao procedimento, a instituição poderá ainda entrar em contato com o seu PoP, que poderá buscar informações junto à GO, se necessário. A solicitação de endereços IPv6 é feita através do mesmo procedimento.
Adequação do tamanho do bloco às necessidades da IFES 11 Endereços IPv4 são recursos escassos e devem acabar nos próximos anos. Por isso,
q
não só a RNP, mas todos os sistemas autônomos que compõem a internet mundial usam certo critério ao alocar os blocos IP. 11 A instituição não poderá escolher o bloco IP que usará, mas o tamanho do seu bloco.
conveniência. 11 A solicitação do tamanho do bloco deriva da quantidade de hosts que precisam de endereços e da perspectiva de escalabilidade da rede. 11 Caso julgue que o tamanho do bloco solicitado pela instituição não é proporcional à realidade da infraestrutura dela, a RNP poderá questionar a real necessidade do bloco e sugerir um novo bloco.
DNS reverso 11 O serviço de DNS reverso, como o nome sugere, executa uma tarefa oposta ao DNS tradicional, mas de modo similar. 11 Em determinadas situações é importante para uma aplicação descobrir um nome a partir do endereço IP, e não o contrário. 22 Isso é particularmente interessante quando se quer garantir que o hostname da máquina que enviou uma mensagem realmente possui o endereço IP que se
q
Capítulo 5 - Serviços e gerenciamento da rede da instituição
11 Os números IP propriamente ditos serão definidos pela RNP de acordo com a sua
encontra no pacote da mensagem. 75
11 O serviço de DNS tradicional utiliza os registros do tipo A (address). O DNS reverso
q
funciona através de consultas aos registros PTR dos servidores de DNS. 11 Uma das aplicações mais latentes do DNS reverso atualmente está ligada ao serviço de e-mail. 22 Ao enviar um e-mail, o software cliente tem total liberdade para editar os campos do remetente, data, hora e destinatário da mensagem. 22 Esses dados não são questionados pelo protocolo que fará a transmissão do e-mail, o SMTP. 22 Dessa forma, nada impede que um software malicioso envie um e-mail preenchendo o campo do remetente com um valor falso. 11 É comum para qualquer usuário da internet receber e-mails aparentemente remetidos por seus amigos com mensagens de anúncios comerciais, um tipo de spam mais elaborado. 11 O problema do spam se tornou tão maciço que praticamente todos os servidores de e-mail importantes, ao receberem um e-mail, fazem a consulta de reverso para averiguar se o endereço IP do remetente coincide com a informação contida no serviço de DNS reverso. 11 O exemplo a seguir ilustra a utilidade do DNS reverso para o serviço de e-mail: 22 O servidor de e-mail do domínio “rnp.br” recebeu um e-mail de luizinho@cartoons. com para [email protected]. 22 Antes de repassar o e-mail para o usuário Huguinho, o servidor de e-mail pergunta ao DNS o hostname do servidor de e-mail cujo IP é 200.1.1.1 (IP origem que chegou na mensagem de e-mail). 11 O DNS começa uma busca recursiva até chegar ao servidor DNS, que responde por consultas de reverso para o range 200.1.1.0/24. 11 Esse servidor responderá que o hostname procurado é “mail.cartoons.com”. Com isso, a autenticidade da mensagem é reconhecida. 11 Se o administrador do domínio “cartoons.com” não tivesse configurado o DNS reverso corretamente a procura falharia e o servidor em “rnp.br” teria dúvidas sobre a real identidade do remetente. 11 Dependendo da configuração do servidor destino, a mensagem poderá ser entregue, descartada ou movida para uma pasta de spam. 11 O resultado prático é que se o DNS reverso de uma instituição não está registrado corretamente, vários e-mails enviados por usuários daquela instituição não serão entregues. 22 A entrega dependerá da configuração do servidor do domínio destino. A configuração de DNS reverso é similar ao DNS tradicional. A instituição deve informar ao seu provedor (RNP) quais são os servidores autoritativos que respondem pelo serviço de DNS reverso para seus IPs. A RNP difundirá a informação para os root servers da internet.
Introdução à rede Ipê
Dessa forma, toda vez que um servidor DNS qualquer da internet receber uma consulta
76
de DNS reverso para um IP da instituição, a consulta será direcionada para o servidor DNS registrado, que poderá responder à consulta.
Procedimento para cadastro de reverso 11 O cliente da RNP precisará configurar entre 2 e 5 servidores autoritativos para responder pelo seu domínio.
q
11 Em seguida, deverá enviar um e-mail para [email protected] informando os hostnames
q
dos servidores e a faixa de IP pelas quais eles respondem. 11 Dúvidas sobre a configuração do servidor DNS propriamente dito poderão ser esclarecidas junto ao PoP da RNP. 11 A configuração do DNS reverso no servidor da instituição não é atribuição do PoP, mas da instituição.
Gerenciamento da rede da instituição 11 A gerência da rede é uma das tarefas mais importantes do dia a dia da administração
q
de redes. 11 Essa atividade permite ao administrador conhecer o nível de utilização dos recursos e serviços da rede, de modo que quando ocorrem variações dos níveis considerados cotidianos a equipe técnica terá condições de perceber a mudança mais rapidamente. 11 Ocorre assim menor tempo de reação a problemas ou a potenciais problemas. 11 Alguns recursos tipicamente monitorados são: 22 Utilização de CPU e memória de servidores, roteadores e switches. 22 Conectividade IP de servidores, roteadores e switches. 22 Processos específicos de servidores. 22 Utilização do enlace de dados do roteador de borda. 22 Status de componentes de hardware de servidores, roteadores e switches, como fontes, ventiladores e processador. 11 O PoP da RNP executa a monitoração do enlace de dados que conecta a organização usuária à rede Ipê. 11 Grande parte dos PoPs já disponibiliza essa informação on-line em seu website. 11 A gerência dos recursos e serviços nas redes locais da instituição não é atribuição da RNP nem de seus PoPs.
11 Todo serviço que agregue valor à atividade da instituição ou que suporte suas ativi-
q
dades é candidato potencial a ser gerenciado. 11 Isso inclui os serviços de e-mail, DNS, portais web, SAP e outras plataformas de serviço. 11 A atividade de gerência de rede pode abranger a monitoração de componentes de hardware e/ou software que sejam fundamentais à disponibilidade dos serviços gerenciados.
Documentação 11 A documentação da rede é um dos maiores desafios que acompanham a atividade de
q
administração de rede. 11 Embora seja uma tarefa simples, raramente existe uma equipe exclusivamente designada para esse fim, o que quase sempre provoca a existência de documentação desatualizada. Estudos mostram que o ambiente de rede bem documentado tem menor tempo de disponibilidade que ambientes desorganizados. Esse dado é facilmente justificado. Um bom processo de documentação é recomendável e contribui para o bom desempenho dos serviços e para redução do “downtime”, simplificando troubleshooting e aprovisionamentos.
Capítulo 5 - Serviços e gerenciamento da rede da instituição
Serviços que devem ser gerenciados
77
De posse da descrição de um problema e da documentação da topologia, do cabeamento e das VLANs da rede, pode-se avaliar com facilidade os pontos da rede com maiores chances de provocar a falha. Em alguns casos pode-se diagnosticar o problema sem sequer conectar-se a um equipamento de rede. A definição de um bom processo de documentação juntamente com uma ferramenta adequada é recomendável para o bom desempenho dos serviços que dependem do bom funcionamento da rede de dados de uma instituição.
Ferramentas de monitoramento 11 Existem diversas ferramentas projetadas para realizar o gerenciamento de redes.
q
11 Há boas opções de soluções proprietárias bem como competentes ferramentas de software livre. 11 As ferramentas proprietárias têm a desvantagem de serem caras. 11 O software livre é grátis e em muitos casos pode oferecer serviços tão adequados às necessidades da instituição quanto as soluções de mercado. No entanto, o bom desempenho das ferramentas livres depende fortemente da dedicação de mão de obra técnica para customizá-las para as necessidades da instituição, o que requer tempo e dedicação. Feito isso seu desempenho será satisfatório. A seguir serão apresentadas algumas ferramentas de gerência implementadas em software livre. Cacti
q
11 Ferramenta totalmente gráfica baseada em consultas SNMP. 11 Praticamente qualquer recurso de rede compatível com o protocolo SNMP (popular no mercado de tecnologia) pode ter um gráfico plotado. 11 Inclui interfaces de rede, utilização de CPU, memória, área de swap de servidores etc.
Introdução à rede Ipê
11 Os gráficos são armazenados em base de dados do tipo RRD.
78
Figura 5.9 Cacti.
MRTG
q
11 Ferramenta totalmente gráfica com a mesma proposta do Cacti, mas possui menos recursos. 11 Também utiliza o protocolo SNMP como principal recurso.
Figura 5.10 MRTG.
NFSen
q
11 Ferramenta gráfica que recebe e processa mensagens de “flow” dos equipamentos de rede. 11 Permite traçar o gráfico de utilização de interfaces de rede com um diferencial: discernir as aplicações que estão usando os recursos. 11 As ferramentas baseadas em SNMP permitem definir, por exemplo, que uma interface de determinado roteador tem uso de 8Mbps em um determinado horário. 11 Já as ferramentas baseadas em flow, como o NFSen, permitem saber adicionalmente que desse total: 22 1Mbps vem do servidor de e-mail, 2Mbps são de aplicações de backup e 5Mbps
Figura 5.11 NFSen.
Capítulo 5 - Serviços e gerenciamento da rede da instituição
de tráfego de internet.
79
Muitas outras ferramentas estão disponíveis. As equipes da GO e dos PoPs utilizam diversas ferramentas de gerência para administrar a rede Ipê. A experiência dessas equipes com as ferramentas de gerência utilizadas é compartilhada em eventos periódicos, como o WRNP. Os clientes da RNP são motivados a participar dos minicursos disponíveis nesse evento.
Introdução à rede Ipê
O WRNP tem ainda outras propostas.
80
lPara mais informações sobre o evento: http:// www.rnp.br/wrnp/
6 Descrever os requisitos de instalação física do roteador Juniper.
conceitos
Componentes básicos dos roteadores J2350 e J2320.
Requisitos de instalação do roteador 11 A organização usuária cliente da RNP receberá em suas dependências um roteador
q
da RNP. 22 Esse equipamento será um modelo Juniper 2350. 22 Ele fará a interface entre a rede da instituição e a rede de acesso do PoP RNP. 11 Cada plataforma Juniper possui um guia de hardware que provê as instruções detalhadas de instalação. Esse capítulo comentará detalhes do planejamento de instalação da plataforma da série J. O detalhamento de cada tarefa que compõe o procedimento de instalação pode ser verificado no documento “J Series Services Routers Hardware Guide”.
Requisitos físicos 11 O roteador da série J é preparado para ser instalado em um rack.
q
11 Para abrigar o equipamento, um rack deve atender aos requisitos: 22 Rack de 19 polegadas, como definido pelo documento EIA-310-D, publicado pela European Telecommunications Standards (ETSI). 11 Racks populares do mercado contemplam esse padrão. O espaço horizontal entre os suportes de um rack que satisfaz um dos padrões citados é normalmente um pouco maior que o espaço entre as presilhas de montagem do roteador, que mede 19 polegadas (48,2 cm). Caso o espaço entre os suportes do rack seja configurável, deverá ser arranjado de modo a acomodar as dimensões externas do chassi. Além disso, deve-se verificar se a especificação do rack permite que o peso do roteador seja adicionado à carga total existente. O modelo J2320 possui as seguintes dimensões: 11 4,45 cm de altura, 38,35 cm de comprimento e 44,48 cm de largura.
q
Capítulo 6 - Instalação do roteador da RNP
objetivos
Instalação do roteador da RNP
81
q
11 O equipamento consome 1 RU do rack. 11 Seu peso varia de 6,8 a 7,6 Kg, dependendo da quantidade de placas instaladas. O modelo J2350 possui as seguintes dimensões: 11 6,63 cm de altura, 38,35 cm de comprimento e 44,48 cm de largura. 11 O equipamento consome 1,5 RU do rack. 11 Seu peso varia de 7,4 a 8,3 Kg, dependendo da quantidade de placas instaladas. Em racks com múltiplos equipamentos deve-se certificar que os mais pesados estão na parte de baixo. Caso o rack tenha apenas um único equipamento (o roteador RNP) é recomendado colocá-lo na parte inferior.
Requisitos de ventilação O sistema de cooling dos roteadores J2350/J2320 funciona gerando o fluxo de ar de uma
q
lateral do equipamento (no lado esquerdo) até a outra (no lado direito). Assim, para que o sistema de cooling funcione adequadamente, é necessário que os lados do equipamento tenham um espaço livre. Dessa forma, é recomendado que as paredes laterais do rack sejam vazadas. Além disso, recomenda-se que essas laterais tenham um espaço livre de pelo menos 15 cm. O roteador tem cinco ventiladores que enviam ar do lado esquerdo do roteador para o direito. Esse fluxo de ar mantém o equipamento em temperatura adequada. 11 A velocidade dos ventiladores é ajustada automaticamente dependendo da
q
temperatura corrente. 11 As entradas de ar que abastecem os ventiladores devem ser limpas periodicamente. 11 A poeira reduz a capacidade de ventilação do sistema de cooling.
Requisitos de ambiente A tabela seguinte exibe as condições de ambiente consideradas ótimas para a operação
Introdução à rede Ipê
normal do roteador Juniper. Descrição
Valor
Umidade relativa
5% a 90% sem condensação
Temperatura
0% a 40%
Consumo de calor
J2350 – 1195 BTU/h (350 W)
Consumo de calor
J2320 – 1091 BTU/h (320 W)
Requisitos elétricos e planejamento de força O modelo J2320 é compatível com potência AC. Da série J, apenas os modelos J2350, J4350 e J6350 estão disponíveis em DC. A tabela a seguir ilustra as especificações elétricas do equipamento.
82
Figura 6.1 Roteador J2350: ventilação lateral (Fonte: http:www. juniper.net)
Tabela 6.1 Requisitos de ambiente.
Tabela 6.2 Especificações elétricas.
Descrição
Valor
Voltagem AC
100 –240 V
Frequência AC
50 a 60 Hz
Corrente AC
J2350 – 3,5 A a 1,5 A
Corrente AC
J2320 – 3,2 A a 1,3 A
Os cabos de força apropriados são disponibilizados junto com o equipamento. O conector fêmea do cabo deve ser conectado à tomada macho do roteador, que levará a energia até a fonte AC. O plug macho disponível no cabo, o qual se ligará à fonte de energia do prédio, será compatível com a localização geográfica do usuário. É importante que o ambiente seja pensado de tal forma que o cabo de força não atravesse o mesmo caminho que será usado pelas pessoas. 11 Antes de adicionar novas PIMs (Physical Interface Module) ao chassi, é preciso veri-
q
ficar se a combinação de PIMs e módulos não excederá a capacidade de força e calor do equipamento. 11 Se a funcionalidade de “J Series Power Management” estiver habilitada, PIMs e módulos que excederem a capacidade de força e de calor permanecerão desligadas quando o chassi for ligado.
Manuseio de placas Placas da Juniper (PIMs ou outras) são dispositivos caros e sensíveis. A seguir exemplos de como NÃO se deve fazer o translado de uma placa.
As placas deverão ser transportadas com as duas mãos apoiando a parte inferior do hardware.
Capítulo 6 - Instalação do roteador da RNP
Figura 6.2 Como NÃO transportar uma placa.
83
Figura 6.3 Como transportar uma placa.
Descarga eletrostática 11 Placas que são retiradas do equipamento contêm partes sensíveis à descarga
q
eletrostática. 11 Placas PIMs (ou outras) podem sofrer danos sob voltagens da ordem de 30 V. 11 Uma pessoa pode facilmente gerar uma energia estática dessa magnitude quando manuseia um material plástico ou uma embalagem de espuma, por exemplo. 11 Para evitar prejuízos desnecessários, deve-se observar as precauções contra descarga eletrostática: 22 Sempre use uma pulseira (ou tira) eletrostática ao manusear placas do roteador. 22 Certifique-se de que a pele está em contato com a pulseira. 11 Se possível, verifique periodicamente a resistência do material usado. Esse valor deve sempre estar entre 1 e 10 mega ohms. 11 Ao manusear um componente do hardware, certifique-se de que o fio da pulseira eletrostática está em contato com um dos pontos de descarga eletrostática do chassi. 11 Evite o contato do hardware com a sua roupa. Ela também pode emitir voltagem suficiente para danificar o equipamento. 11 Ao remover um componente do hardware do roteador, sempre o coloque em um local de modo que os componentes eletrônicos fiquem em contato com uma superfície eletrostática.
Aterramento É recomendável que a infraestrutura física que abrigará o roteador da RNP possua recursos para dissipação de energia, tal qual uma malha de terra. Para proteger o equipamento de descargas, deve-se aterrá-lo antes de ligar. O equipamento traz na sua parte traseira um pino próprio para a conexão do aterramento. Além do pino terra,
Introdução à rede Ipê
uma rosca, um parafuso e uma arruela são fornecidos para acoplar o fio de terra ao roteador.
84
Ponto de aterramento de proteção em chassis Parafuso com arruela prisioneira Terminal de aterramento
Figura 6.4 Aterramento.
Componentes básicos do roteador J2350
POWER LED
CONFIG LED
Auxiliary port
Phisical Interface Module (PIM)
PIN blanks
STATUS LED ALARM LED Power RESET Console button CONFIG port button
Figura 6.5 Juniper J2350.
LAN ports
USB ports
ESD point
O roteador J2350 é um equipamento da série J. O hardware tem as seguintes características principais: 11 Ocupa 1,5 RU de rack.
q
11 512 MB de DRAM (expansível até 1GB). 11 512 MB de compact flash disc (expansível até 1GB). 11 400 Mbps de vazão. O roteador possui: 11 Duas portas USB, que permitem que um drive USB seja usado como unidade de armazenamento secundária; 11 4 portas Ethernet 10/100/1000 Mbps fixas; 11 5 Slots para PIMs (há grande variedade de PIMs disponíveis).
Capítulo 6 - Instalação do roteador da RNP
HA LED
85
Componentes básicos do roteador J2320
POWER LED
CONFIG LED
Console port
Phisical Interface Module (PIM)
PIN blanks
STATUS LED ALARM LED HA LED Power RESET Auxiliary button CONFIG port button
ESD point
LAN USB ports ports
O roteador J2320 é o equipamento de entrada da série J. O hardware tem as seguintes características principais: 11 Ocupa 1 RU de rack.
q
11 256 MB de DRAM (expansível até 1GB). 11 256 MB de compact flash disc (expansível até 1GB). 11 Possui uma porta USB, que permite que um drive USB seja usado como unidade de armazenamento secundária. 11 400 Mbps de vazão. 11 4 portas Ethernet 10/100/1000 Mbps fixas. 11 3 slots para PIMs (há grande variedade de PIMs disponíveis). Os demais componentes da série J2300 são descritos a seguir: 11 Ponto ESD (eletrostatic discharge): usado para conectar uma pulseira eletrostática; 11 LED Alarm: se aceso, indica que há um alarme ativo. Pode ser um alarme crítico, majoritário ou minoritário. Para mais detalhes será necessário se conectar ao sistema; 11 LED Power: se aceso, indica que o equipamento está ligado; 11 Botão Power: se pressionado e solto em seguida, ligará o roteador. Com o equipamento ligado, se o botão é pressionado e solto rapidamente, provoca o processo de desligamento “educado” (não abrupto). Se o botão é pressionado por mais de 5 segundos provoca o desligamento imediato do roteador. 11 Botão Reset Config: se pressionado e solto em seguida provoca o carregamento e o “commit” da “rescue configuration”. Se pressionado durante 15 segundos provoca a
Introdução à rede Ipê
deleção de todas as configurações, carrega a configuração de fábrica e faz “commit” dela;
86
11 LED Configuration: pisca verde durante o carregamento da “rescue configuration” ou da configuração de fábrica. Pisca vermelho enquanto as configurações estão sendo deletadas e a configuração de fábrica está sendo carregada; 11 Porta Console: a porta provê um terminal (RS-232) com um conector RJ-45. É usada para acessar a CLI do roteador;
Figura 6.6 Juniper J2320.
11 Porta Auxiliar: a porta provê um terminal (RS-232) remoto com um conector RJ-45. É usada para acessar a CLI do roteador remotamente; 11 Portas USB: aceitam a conexão de um drive USB que será usado como um meio de armazenamento; 11 Portas LAN: recebem conexões de rede do padrão 10/100/1000 Base-TX Gigabit Ethernet; 11 Terminal de aterramento: é o ponto de contato definido para conexão do fio de terra; 11 Drive Compact Flash Externo: provê um meio de armazenamento secundário para arquivos de log, de configuração e imagens de sistema operacional; 11 Tomada de força: é o ponto de conexão do cabo de força AC que alimentará o equipamento;
Capítulo 6 - Instalação do roteador da RNP
11 Ventiladores (fans) da fonte: proveem resfriamento automático da fonte de alimentação.
87
88
Introdução à rede Ipê
7 Descrever as características básicas do sistema operacional Junos.
Características do Junos, plano de controle, plano de encaminhamento e processamento de tráfego.
Software modular 11 O sistema operacional da Juniper é o Junos.
conceitos
q
11 Foi desenvolvido a partir do código aberto do Free BSD e tornou-se uma referência no mercado de redes por sua estabilidade e modularidade. 11 Alguns grandes fabricantes do mercado estão partindo para a mesma proposta, de customizar software livre de modo a adequá-lo às necessidades de seus equipamentos. 11 As funcionalidades do Junos são alocadas em múltiplos processos de software. 22 Cada processo possui uma função específica e roda em seu próprio espaço (protegido) de memória, garantindo que um processo não sofra com falta de recursos e não interfira nos recursos de outros. 11 A modularidade ajuda a manter problemas isolados. 11 Quando um processo falha, o sistema como um todo continua funcionando, perde-se apenas a funcionalidade pela qual o processo é responsável. 11 A arquitetura do Junos também favorece a inserção de novas funcionalidades. 11 Em outros sistemas é comum trocar-se toda a imagem do sistema operacional para adicionar novas funcionalidades. 11 No Junos essa operação é mais simples e consequentemente traz menos riscos de falha. Ao adicionar novas funcionalidades no Junos, não se corre o risco de perder outras.
Capítulo 7 - Fundamentos de Junos
objetivos
Fundamentos de Junos
89
Figura 7.1 Modularidade Juniper.
11 Todas as plataformas que utilizam o Junos usam o mesmo código-fonte em imagens
q
específicas. 11 Esse design garante que as funcionalidades do software funcionam de maneira similar em todas as plataformas que utilizam o Junos OS. 11 Esse fator faz com que a configuração e a operação das diferentes plataformas funcionem exatamente da mesma maneira.
Separação entre planos de Controle e de Encaminhamento 11 Toda plataforma Juniper tem a mesma filosofia de trabalho: manter uma separação
q
bem definida entre as tarefas de controle e de encaminhamento. 11 Dessa forma, as plataformas definem uma entidade específica para cada uma dessas funções: o plano de controle e o plano de encaminhamento.
Routing Engine
RT
FT
Control Plane
JUNOS Software Internal link
Forwarding Plane
Frames/ Packets in
FT Packet Forwarding Engine
Figura 7.2 Separação entre planos de Controle e de Encaminhamento.
Frames/ Packets out
O esquema mostrado na figura exibe a separação mantida entre o plano de controle
Introdução à rede Ipê
(Control Plane) e o plano de encaminhamento (Forwarding Plane). Os processos responsáveis pelo encaminhamento dos pacotes ficam totalmente separados dos demais, que cuidam dos protocolos de roteamento e tarefas administrativas da caixa. Esse design permite ao usuário do equipamento ajustar cada processo conforme sua necessidade. 11 O plano de controle é executado pela Routing Engine (RE), enquanto o plano de encaminhamento é implementado pela Packet Forwarding Engine (PFE). 11 A RE se comunica com a PFE através de um canal de comunicação interno exclusivo para esse fim. Através desse canal a PFE recebe a Forwarding Table (FT) atualizada. 90
q
11 As mensagens de atualização da FT têm alta prioridade do kernel do Junos.
q
11 Enquanto a RE provê a inteligência do sistema, a PFE pode simplesmente executar o encaminhamento dos pacotes com alto grau de confiabilidade e performance. Embora todas as plataformas Juniper utilizem o mesmo conceito de separação entre controle e encaminhamento, a implementação dos componentes que definem a RE e a PFE varia de modelo para modelo. Nos equipamentos das séries M e T (mais robustos), a RE e a PFE compreendem diferentes hardwares. A PFE é executada em circuitos integrados exclusivos (ASICs) enquanto a RE é implementada por um processador. Nos equipamentos da série J a PFE é implementada em software e conta com recursos exclusivos de memória e ciclos de CPU, fazendo com que a PFE tenha o mesmo grau de estabilidade dos modelos maiores. A RE ainda é implementada em um processador. Além disso, processadores de rede em cada interface física (PIM) executam serviços de rede específicos, de forma a economizar recursos do hardware da RE principal da caixa.
Routine Engine (RE) A RE é o cérebro da plataforma, responsável por:
q
11 Gerenciar o sistema. 11 Processar e propagar anúncios dos protocolos de roteamento. 11 Manter a tabela de rotas (routing table). 11 Calcular e manter a tabela de encaminhamento (forwarding table). 11 Atualizar as informações de encaminhamento junto à PFE.
Routing Engine
RT
FT
JUNOS Software
Control Plane Forwarding Plane Figura 7.3 Routing engine.
Packet Forwarding Engine A RE também executa os processos de todos os protocolos executados na caixa, bem como todos os demais softwares que controlam as interfaces de rede, os componentes do chassi e com a PFE. 11 A RE provê a interface de linha comando (Command Line Interface – CLI) e a interface J-Web GUI, através das quais o usuário acessa e controla o roteador. 11 Por fim, a RE controla as ações da PFE através de informações de encaminhamento atualizadas que são passadas àquela entidade. 11 Os processos que residem no microcódigo da PFE também são gerenciados pela RE. 11 A PFE envia mensagens de status para a RE, que agirá caso alguma mensagem reporte uma situação inadequada.
q
Capítulo 7 - Fundamentos de Junos
a supervisão do sistema. Esses softwares são executados pelo kernel do Junos, que interage
91
Packet Forwarding Engine
q
11 A PFE é o componente central do plano de encaminhamento. 11 Sua função é despachar os pacotes recebidos com a maior velocidade possível. 11 Essa tarefa é baseada na informação de uma FT local da PFE. 11 A manutenção dessa tabela local evita que a PFE tenha que consultar as tabelas da RE para tomar a decisão de encaminhamento de cada pacote. 11 Esse design permite que o encaminhamento de pacotes continue funcionando em cenários de falha do plano de controle.
Routing Engine
Control Plane Forwarding Plane
Frames/ Packets in
FT Packet Forwarding Engine
Frames/ Packets out
Figura 7.4 Forwarding Engine.
A FT local da PFE é sincronizada com as informações de encaminhamento providas pela RE. Além de encaminhar pacotes, a PFE também executa outros serviços avançados como: limitador de tráfego (Policer), filtros de firewall e CoS (Class of Service). Outros serviços podem ser oferecidos através de cartões de serviço específicos que podem ser adicionados à caixa, como geração de flows.
Processamento de tráfego Tráfego de trânsito 11 Consiste em todo tráfego que entra por uma interface de rede física, tem parâmetros comparados com a tabela de encaminhamento e deixa o chassi por uma interface de saída. 11 Para que o encaminhamento do pacote seja feito com sucesso, precisa haver uma entrada na FT da PFE. 11 O tráfego de trânsito passa somente pelo plano de encaminhamento e nunca é processado pela RE diretamente, ou seja, o plano de controle não tratará os pacotes referentes ao tráfego de trânsito. 11 Mantendo o processamento do tráfego de trânsito confinado ao plano de encaminhamento, as plataformas que executam o Junos conseguem otimizar seus recursos de hardware para as tarefas específicas de controle e de processamento de tráfego.
Introdução à rede Ipê
11 Tráfegos unicast e multicast são ambos classificados como tráfego de trânsito, sendo
92
processados pela PFE e não pela RE.
q
Routing Engine
CPU Control Plane Forwarding Plane
Frames/ Packets in
FT Packet Forwarding Engine
Frames/ Packets out
O tráfego unicast chegará ao roteador por uma interface de entrada e sairá por apenas uma interface de saída. O tráfego multicast entrará por uma interface de entrada e poderá sair por várias interfaces de saída, dependendo do número e da localização dos receptores multicast presentes na rede.
Tráfego de exceção O outro tipo de tráfego processado pelo roteador é o tráfego de exceção. Diferente do tráfego de trânsito, tratado mecanicamente pela PFE, o tráfego de exceção requer alguma forma de processamento especial. Alguns exemplos de tráfego de exceção: 11 Pacotes endereçados ao próprio chassi, como atualizações de protocolos de rotea-
q
mento, sessões telnet, pings, traceroutes e respostas a sessões iniciadas pela RE. 11 Pacotes IP com o campo “IP options” preenchidos (raramente esse tipo de pacote é gerado e a PFE não foi desenvolvida para tratar esse caso). 22 Pacotes com o campo “IP options” marcado precisam ser enviados para apreciação da RE. 22 Um exemplo de aplicação que utiliza o campo “IP options” é o acelerador de tráfego. 11 Tráfego que requer a geração de mensagens ICMP. Mensagens ICMP são criadas para enviar ao originador de um tráfego alguma condição de erro ou para responder mensagens de ping. Um exemplo de erro ICMP é a mensagem “Destination unreachable”, gerada quando não há uma entrada na FT que atenda ao serviço do pacote ou quando o parâmetro TTL tenha expirado.
Capítulo 7 - Fundamentos de Junos
Figura 7.5 Tráfego de trânsito.
93
Routing Engine
CPU Control Plane Forwarding Plane
Frames / Packets in
? Frames / Packets out
Figura 7.6 Tráfego de exceção
Packet Forwarding Engine
11 Todo tráfego de exceção é remetido à RE através de um link interno que conecta os
q
planos de controle e de encaminhamento. 11 O Junos limita a quantidade de tráfego de exceção nesse link interno para proteger a RE de ataques de DoS (Denial of Service). Durante congestionamentos, Junos dá preferência ao tráfego local de controle, que desempenha as tarefas fundamentais para o bom funcionamento do roteador.
Routing Engine
CPU Control Plane Forwarding Plane
Frames/ Packets in
Built-in Rate Limiting
Packet Forwarding Engine
Introdução à rede Ipê
Por segurança, o limitador de tráfego do link interno não é configurável.
94
Figura 7.7 Limitador de tráfego no link interno.
8 Descrever as interfaces do usuário, os diversos modos de configuração, os procedimentos de gravação e restauração das configurações.
conceitos
Acesso do usuário, CLI do Junos, modos de acesso, Ajuda, Help Topic, Help Reference, completando comandos, teclas de edição EMACS, caractere pipe, modos de operação e configuração, interface J-Web GUI.
A interface de usuário 11 O Junos oferece duas formas de acesso de usuário: linha de comando ou interface
q
J-Web (http). 11 A interface de linha de comando do Junos (CLI – Command Line Interface) pode ser acessada de duas maneiras. 22 A primeira é via porta console out of band (OoB). 33 Para tal acesso deve-se utilizar um cabo console para conectar a porta console do roteador a um notebook (ou mesmo um PC). 33 Esse notebook deverá ter instalado um programa emulador de terminal (exemplo: “Tera Term”). 22 A outra forma de acesso à interface de linha de comando é via interface de rede (in band), utilizando um protocolo de acesso como telnet ou SSH. Diferentemente do acesso via console, para acessar a caixa via protocolo de acesso é necessário executar uma configuração prévia em alguma interface de rede (a interface precisa ter IP configurado, por exemplo). Muitas plataformas da Juniper oferecem ainda uma porta ethernet dedicada apenas para gerência. Essa interface, a exemplo da porta console, também oferece acesso “out of band”. Essa porta não oferece serviço ao tráfego de trânsito, e não existe no equipamento J2320. 11 O acesso do usuário ao sistema também se dá via uma interface web que vem habilitada de fábrica. A Juniper chama essa interface de J-Web. 11 J-Web é uma interface gráfica (GUI) que um usuário pode acessar utilizando protocolo http (Hypertext Transfer Protocol) ou https (http over Secure Sockets Layer). Web browsers populares como o Windows Internet Explorer ou o Mozilla Firefox são capazes de prover esse acesso.
q
Capítulo 8 - Opções de acesso ao Junos
objetivos
Opções de acesso ao Junos
95
Essa interface web permite que o usuário configure parâmetros mais comuns do roteador através de janelas do tipo wizard. Para configurações mais elaboradas, a J-Web permite edição direta do arquivo de configuração da caixa, que é um arquivo texto.
A CLI do Junos Fazendo login 11 O primeiro passo para acessar a interface CLI é fazer o processo de login.
q
11 O Junos requer “username” e “password” para prover acesso ao sistema. 11 O administrador do sistema cria contas de usuários e as associa a um “perfil de acesso”. 11 Toda plataforma Junos possui a conta do usuário root configurada de fábrica, sem senha. 11 É recomendado que a senha seja configurada logo no primeiro acesso. Ao se conectar ao equipamento, o usuário recebe um prompt que mostra o nome do usuário e “hostname” do roteador (caso haja um configurado). Processo de login: host (ttyu0)
q
11 login: user 11 Password: --- JUNOS 9.5R1.8 built 2009-04-13 20:03:09 UTC 11 user@host> 22 O usuário root tem acesso completo a todas as funções do roteador. 11 Quando se faz o login utilizando o usuário root, tem-se acesso a um shell de Unix. 22 Para iniciar a CLI do Junos utiliza-se o comando “cli”. 22 Para terminar a sessão usa-se o comando “exit”. 11 Todos os demais usuários (não root) ao se conectarem no sistema já recebem a CLI do Junos, sem necessidade do comando “cli”. 11 Para que um usuário não root tenha acesso a um shell, deve-se digitar o comando: # start shell
Modos de acesso A CLI do Junos permite duas modalidades de acesso: 11 Modo de operação: 22 A CLI é usada basicamente para monitoração e troubleshooting do roteador. 22 Comandos típicos disponíveis nesse modo: “show”, “monitor”, “ping” e “traceroute”.
Introdução à rede Ipê
33 Esses comandos permitem exibir informações do sistema e executar testes,
96
mas não permitem alterar a configuração da caixa. 11 Modo de configuração: 22 O usuário pode configurar todos os parâmetros do sistema incluindo interfaces, protocolos, nível de acesso de contas de usuário e propriedades do hardware.
q
Ajuda 11 A CLI do Junos provê acesso a um minimanual (help) em qualquer ponto da linha de
q
comando. 11 O “help” informa as opções disponíveis no ponto do comando onde a ajuda foi solicitada, fornecendo uma breve explicação de cada opção. 11 A ajuda pode ser invocada através do comando “?”. 11 Não é necessário confirmar o comando com “enter”; basta simplesmente digitar “?”. Quando o ponto de interrogação é digitado na linha de comando, o Junos lista todos os comandos e/ou opções disponíveis. Invocando ajuda:
user@host> ? Possible completions: clear configure
Clear information in the system Manipulate software configuration information
file
Perform file operations
help
Provide help information
user@host> clear ? Possible completions: arp
Clear address resolution information
bfd
Clear Bidirectional Forwarding Detection information
bgp
Clear Border Gateway Protocol information
dhcp
Clear DHCP information
No exemplo acima, na parte superior, o usuário solicitou ajuda na CLI em branco. O Junos então listou todos os comandos disponíveis. Na parte inferior, o usuário solicitou ajuda após digitar o comando “clear”. A CLI informou todas as opções que podem ser usadas para completar esse comando.
todas as opções disponíveis que começam com a string em questão. Por exemplo, se no exemplo acima o usuário tivesse digitado “clear a?”, o sistema teria mostrado todas as opções do comando “clear” que começam com a letra “a”.
Help Topic O comando “help topic” fornece um manual mais completo sobre um determinado
q
tópico do sistema. No exemplo a seguir, o usuário solicitou informações sobre o tópico “interfaces address”. Na saída do comando, a CLI explica como aplicar um endereço à interface e as situações em que esse procedimento é necessário.
Capítulo 8 - Opções de acesso ao Junos
Se o ponto de interrogação é digitado no meio da string de um comando, o Junos mostrará
user@host> help topic interfaces address Configuring the Interface Address
You assign an address to an interface by specifying the address when configuring the protocol family. For the inet family, configure the interface’s IP address. For the iso family, configure one or more addresses for the loopback interface. For the ccc, tcc, mpls, tnp, and vpls families, you never configure an address.
Help Reference O comando “help reference” apresenta um manual sumarizado, um pouco mais prático e
q
menos teórico, sobre um determinado tópico do sistema. O exemplo seguinte exibe a aplicação do “help reference” sobre o mesmo tópico de sistema do exemplo anterior. O sistema explica as opções de configuração disponíveis para o tópico e a sintaxe a ser utilizada, assemelhando-se ao comando “man” dos sistemas Unix.
user@host> help reference interfaces address address
Introdução à rede Ipê
Syntax address address {
arp ip-address (mac | multicast-mac) mac-address
;
broadcast address; ...
98
Hierarchy Level [edit interfaces interface-name unit logical-unit-number family family], [edit logical-routers logical-router-name interfaces interfacename unit logical-unit-number family family] ... Existem ainda outras variedades de uso do comando “help” menos populares, que poderão ser exploradas ao longo da experiência dos alunos junto à plataforma.
Completando comandos 11 O Junos permite a utilização de teclas de completamento de comandos para evitar
q
que o usuário precise executar um comando completo. 11 Utilizando a tecla de espaço, o Junos completa o comando que está sendo digitado, simplificando a operação do sistema. Se a tecla de espaço é usada em um ponto onde existe ambiguidade de comandos disponíveis, um beep é gerado pelo sistema e o comando não é completado. Outra forma de completar o comando é usar a tecla “Tab”. Essa tecla tem basicamente a mesma utilidade da tecla de espaço. Se acionada no meio da digitação de um comando o “Tab”, completa a string do comando. A diferença de uso entre o “Tab” e a tecla de espaço é que quando existe ambiguidade de comandos disponíveis, o “Tab” exibe os comandos ambíguos disponíveis.
Teclas de edição EMACS O Junos permite ao usuário agilizar a tarefa de digitação com o uso de teclas de edição EMACS, que permitem mover o cursor em uma linha de comando para adicionar ou remover caracteres específicos.
user@host> show interfaces
Sequência do teclado
1Ctrl+a user@host> show interfaces 1Ctrl+f user@host> show interfaces
Figura 8.1 Edição EMACS.
1Ctrl+e user@host> show interfaces
Posição do cursor Capítulo 8 - Opções de acesso ao Junos
1Ctrl+b user@host> show interfaces
99
As seguintes sequências são suportadas: 11 Ctrl + b: move o cursor um caractere para a esquerda.
q
11 Ctrl + a: move o cursor para o início da linha de comando. 11 Ctrl + f: move o cursor um caractere para a direita. 11 Ctrl + e: move o cursor para o final da linha de comando. 11 delete + backspace: remove o caractere antes do cursor. 11 Ctrl + d: remove todos os caracteres do início da linha até o ponto onde está o cursor. 11 Ctrl + k: remove todos os caracteres entre o cursor e o final da linha de comando. 11 Ctrl + u: remove todos os caracteres e nega o comando corrente. 11 Ctrl + w: remove a palavra à esquerda do cursor. 11 Ctrl + l: repete a linha corrente. 11 Ctrl + p: repete o comando anterior do histórico de comandos. 11 Ctrl + n: avança para o comando seguinte no histórico de comandos.
Usando o caractere “pipe” 11 O caractere “|” (pipe) executa a mesma função que possui nos sistemas baseados
q
em Unix. 11 Esse comando permite que a saída de um comando seja recebida e processada por um segundo comando. 11 Utilizando esse conceito pode-se, por exemplo, filtrar a saída de um comando. Os comandos disponíveis após o caractere “|” são listados: 11 compare: disponível no modo de configuração, apenas quando se está usando um comando de “show”. Compara mudanças feitas na sessão de configuração corrente com o conteúdo do arquivo de configuração do roteador. 11 count: exibe o número de linhas existentes na saída do comando antes do pipe. 11 display changed: disponível apenas no modo de configuração. Exibe mudanças de configuração feitas na sessão corrente (para visualização do arquivo em XML). 11 display detailed: disponível apenas no modo de configuração. Exibe informações adicionais sobre o conteúdo da configuração. 11 display inheritance: disponível apenas no modo de configuração. Exibe configuração herdada. 11 display omit: disponível apenas no modo de configuração. Exibe linhas da configuração da opção “omit”. 11 display set: disponível apenas no modo de configuração. Exibe os comandos “set” que geraram as linhas de configuração.
Introdução à rede Ipê
11 display xml: exibe a saída do comando anterior ao pipe no formato JUNOScript XML.
100
11 except : exibe a saída do comando anterior sem a expressão especificada. 11 find : exibe a saída do comando anterior começando da linha que contém a expressão regular especificada. 11 hold: exibe a saída do comando anterior ao pipe tela a tela (como faz o comando “more” do Unix).
11 last: exibe a última tela da saída do comando anterior ao pipe. 11 match : exibe a saída do comando anterior ao pipe, incluindo apenas as linhas que contêm a expressão regular especificada. 11 no-more: exibe a saída do comando anterior ao pipe toda de uma vez, sem pausa entre diferentes telas. 11 request message: exibe a saída para múltiplos usuários. 11 resolve: converte endereços IP em nomes do DNS. 11 save : salva o output do comando anterior ao pipe para o arquivo especificado. 11 trim: especifica o número de colunas a partir da linha inicial da saída do comando anterior ao pipe. É possível cascatear múltiplos pipes para processar uma saída de comando já processada
Capítulo 8 - Opções de acesso ao Junos
por um pipe.
101
102
Introdução à rede Ipê
Roteiro de Atividades 3 Atividade 3.1 – Acessar o Juniper via console serial 1. Uma das maneiras de se acessar o roteador é via cabo de console serial. Esse cabo é fornecido junto com o equipamento e possui um conector RJ45 em uma das pontas, que você deverá conectar na porta de console do roteador e o outro conector DB9 em outra ponta, que você deverá conectar na porta serial do computador. Ao conectar corretamente os cabos, você precisará utilizar um software que irá propiciar o acesso à CLI do Junos. Esse software pode ser o HyperTerminal do Windows ou o software livre PuTTY.
Após alterar o “connection type” – tipo de conexão – para serial, clique em “open”; vai aparecer uma tela preta, onde você deverá digitar a tecla “enter”. Feito isso, você entrará na tela de login solicitando um usuário. O usuário é “root”. Após informar o usuário o sistema solicitará uma senha. Essa senha vem em branco de fábrica.
Capítulo 8 - Roteiro de Atividades 3
Figura 8.2 Tela de configuração do software PuTTY.
103
2. Entrando no modo operação; Quando você acessa o Junos com o usuário “root”, recebe um Shell Linux que fornece a maioria dos comando básicos do Unix. Para acessar o console do Junos, você deverá digitar o comando “cli” (isso ocorre somente com o usuário root).
root@% cli Após o comando “cli” você perceberá que o prompt foi alterado, identificando que você está no modo “operação”.
root> 3. Utilizando as opções de help do Junos; O Junos oferece algumas opções de ajuda, que auxiliarão na administração do sistema operacional. A primeira opção é o sinal “?”, logo após cada comando.
root# set system host-name ? Possible completions:
Hostname for this router
[edit system] root# set services ? Possible completions: <[Enter]>
Execute this command
+ apply-groups
Groups from which to inherit configuration data
+ apply-groups-except
Don’t inherit configuration data from these
groups > dhcp
Configure DHCP server
> finger
Allow finger requests from remote systems
> ftp
Allow FTP file transfers
> netconf
Allow NETCONF connections
> outbound-ssh
Initiate outbound SSH connection
> service-deployment
Configuration for Service Deployment (SDXD)
Introdução à rede Ipê
management application
104
> ssh
Allow ssh access
> telnet
Allow telnet login
> web-management
Web management configuration
> xnm-clear-text
Allow clear text-based JUNOScript connections
> xnm-ssl
Allow SSL-based JUNOScript connections
| [edit system]
Pipe through a command
Outra opção de ajuda que o Junos oferece é com o comando “help topic”, que junto ao sinal de interrogação fornece uma ajuda mais detalhada sobre uma configuração desejada.
root# help topic system host-name Configuring the Router’s Hostname To configure the router’s name, include the host-name statement at the [edit system] hierarchy level: [edit system] host-name hostname; The router’s name value must be less than 256 characters. Related Topics * Configuring the Basic Router Properties * Example: Configuring a Router?s Name, IP Address, and System ID [edit] Outra opção de ajuda que o Junos oferece é com o comando “help reference”, que junto o sinal de interrogação, fornece informações mais detalhadas sobre uma configuração desejada.
root# help reference system host-name host-name Syntax host-name hostname; Hierarchy Level [edit system] Release Information Statement introduced before JUNOS Release 7.4. Description Set the hostname of the router.
hostname--Name of the router. Usage Guidelines See Configuring the Router?s Hostname. Required Privilege Level system--To view this statement in the configuration. system-control--To add this statement to the configuration. [edit]
Capítulo 8 - Roteiro de Atividades 3
Options
105
Atividade 3.2 – Opções da interface de usuário Parte 1: Obtendo ajuda no Junos Verifique as possíveis opções do comando “clear”. R.:5 clear ? Verifique as possíveis opções do comando “show system”. R.:5 show system ? Verifique todas as opções do comando “show system” que comecem com a letra “a”. R.:5 show system a? Consulte o manual do sistema sobre endereços de interfaces. R.:5 help topic interfaces address Cheque outros temas referentes a interfaces para os quais seja possível solicitar o manual de informações. R.:5 help topic interfaces ? Cheque outros temas para os quais seja possível solicitar o manual de informações. R.:5 help topic ? Utilize o comando “help reference” para verificar instruções de como aplicar um endereço a uma interface. R.:5 help reference interfaces address
Parte 2: Familiarizando-se com a CLI do Junos 11 Pratique o completamento automático de comando com as teclas “Tab” e “Space”. Exemplo 1: Digite “show system up” Exemplo 2: Digite “show system up” Exemplo 3: Digite “show system x” Exemplo 4: Digite “show system x” 11 Após aplicar os exemplos acima, explique a diferença entre “Tab” e “Space”:
11 Verifique o histórico de comandos antigos executando recursivamente a tecla “seta pra Introdução à rede Ipê
cima” ou “Ctrl+p”.
106
11 Avance para os comandos mais recentes do histórico executando recursivamente a tecla “seta pra baixo” ou “Ctrl+n”. 11 Digite o comando “pow interfaces fe-0/0/0” e tecle (isso gerará um erro). 11 Corrija o comando anterior digitando seguidamente:
“Ctrl+p” “Ctrl+a” Troque “P” por “sh”. Tecle .
Modo de operação 11 Ao fazer login no Junos, o usuário típico ganha acesso ao modo de operação, utilizado
q
para tarefas de monitoração e controle da plataforma. 11 Os comandos do modo de operação seguem uma determinada hierarquia. O comando “show”, exemplificado na figura seguinte, exibe vários tipos de informação sobre o sistema e seu ambiente. A figura mostra uma das possíveis opções da hierarquia do comando “show”: a opção “ospf”, que mostra informação sobre o protocolo de roteamento dinâmico OSPF. Especificando a subopção “interface” dentro da opção “ospf”, obtemos informações sobre as configurações de OSPF de uma ou mais interfaces. O comando final fica “show ospf interface”.
Exemple: user@host> show ospf interface Less Specific
clear
configure
arp
database
configuration
interface
monitor
ospf
neighbor
set
show
...
version
...
...
More Specific É possível executar comandos do modo de operação, como o “show”, a partir do modo de configuração. Para tal basta usar o comando “run”. Assim, para verificar as configurações de OSPF das interfaces da caixa a partir do modo de operação, por exemplo, utiliza-se o “show ospf interface”. Para executar o mesmo comando a partir do modo de configuração, usa-se o “run show ospf interface”. Algumas tarefas típicas executadas de dentro do modo de operação: 11 Monitoramento e verificação do sistema (com comandos de “show”, por exemplo); 11 Troubleshooting; 11 Conexão a outros sistemas (com Telnet ou SSH); 11 Cópia ou criação de arquivos; 11 Reinício de processos; 11 Entrada no modo de configuração; 11 Término de sessão no equipamento.
Capítulo 8 - Roteiro de Atividades 3
Figura 8.3 Hierarquia do Modo de Operação.
help
107
Comandos do Modo de Operação:
user@host> ? possible completions: clear
Clear information in the system
configure
Manipulate software configuration information
file
Perform file operations
help
Provide help information
monitor
Show real-time debugging information
mtrace
Trace multicast path from source to receiver
op
Invoke an operation script
ping
Ping remote target
quit
Exit the management seSSlon
request
Make system-level requests
restart
Restart software process
cet
Set CLI properties, date/time, craft interface message
show
Show system information
cch
Start secure shell on another host
start
Start shell
telnet
Telnet to another host
test
Perform diagnostic debugging
trace route Trace route to remote host
Modo de configuração 11 Esse modo permite a um usuário alterar o arquivo de configuração do sistema. 11 Diferente da maioria dos fabricantes, os equipamentos Juniper não efetivam as alterações de configuração no exato momento em que os comandos de configuração são executados. 11 Todas as alterações que um usuário faz são acumuladas em um arquivo, temporariamente. 11 O Junos trabalha com os conceitos de Configuração Candidata e Configuração Ativa. 22 Configuração Ativa:
Introdução à rede Ipê
33 Presente no arquivo de configuração que está efetivamente valendo para o roteador. 33 Configuração que o sistema carrega durante o processo de “boot” do equipamento. 22 Configuração Candidata: 33 Fica em um arquivo temporário e poderá tornar-se a configuração ativa, caso o usuário queira. 33 Quando o usuário entra no modo de configuração do Junos, o software cria uma configuração candidata a partir de uma cópia da configuração ativa. 108
q
Se o usuário executa algum comando de configuração, altera a configuração candidata. Uma vez que o usuário tem certeza que a sua modificação pode ser efetivada, ele executa o comando “commit”. Essa ação faz com que a configuração candidata seja copiada em cima da configuração ativa. Nesse momento a configuração ativa é alterada efetivamente.
commit Configuração Candidata
configure
Configuração Ativa
rollback n
0
1
2
49
...
Figura 8.4 Configuração Candidata e Configuração Ativa.
Ba lde d e b its
11 Para entrar no modo de configuração e inaugurar a criação de um arquivo de configu-
q
ração candidata deve ser utilizado o comando “configure”. A partir desse momento o usuário pode começar a configurar o Junos. 11 Após executar todos os comandos de configuração desejados, executa-se o “commit”. 11 Nesse momento, o Junos checará toda a configuração candidata procurando por possíveis problemas de sintaxe. 11 Não encontrando problemas, a configuração candidata é copiada para a configuração ativa. 11 As alterações passam a ser válidas. Se a sintaxe não está correta, o sistema gera uma mensagem de erro e a configuração candidata não é efetivada até que o erro seja corrigido. 11 Caso o usuário mude de ideia quanto à configuração recém aplicada, pode-se retornar à configuração anterior através do comando “rollback” no modo de configuração.
Esse número inclui o arquivo de configuração ativo correntemente.
Iniciando o Modo de Configuração 11 Para entrar no modo de configuração, executa-se o comando “configure” a partir da CLI do modo de operação. 11 Se um usuário entra no modo de configuração e outro usuário já está nesse modo, o sistema gera uma mensagem indicando o usuário que está editando a configuração candidata e a porção da configuração que está sendo editada. 11 Uma vez no modo de configuração, o prompt da CLI muda do “>” para o “#”.
q
Capítulo 8 - Roteiro de Atividades 3
11 Na verdade, o Junos é capaz de salvar os últimos 50 arquivos de configuração.
109
11 Além disso, surge no prompt um par de parênteses (“[ ]”), indicando em qual ponto da
q
hierarquia do arquivo de configuração o usuário está. 11 Ao entrar no modo de configuração o usuário sempre entrará no nível “[edit]”.
Configuração exclusiva 11 Por default, múltiplos usuários podem entrar no modo de configuração e executar
q
“commit”. 11 Utilizando o comando “configure exclusive”, o usuário tem acesso ao modo de configuração e impede que outros usuários possam entrar nesse modo. 11 Ou seja, o usuário tem a garantia de que somente ele está editando a configuração candidata. Configuração exclusiva x Configuração tradicional: user@host> configure
q
Entering configuration mode [edit] user@host# user@host> configure exclusive warning: uncommitted changes will be discarded on exit Entering configuration mode [edit] user@host# 11 Quando se usa o “configure exclusive” para editar a configuração candidata, caso o usuário saia do modo de configuração sem executar um “commit”, todas as mudanças são descartadas, ao contrário do que ocorre quando se usa o comando “configure”, em que as mudanças não salvas com o “commit” ficam retidas na configuração candidata. 11 Na próxima vez que se entrar no modo de configuração, a configuração candidata estará lá, intocada. 11 Sempre que possível o uso do “configure exclusive” é recomendado.
Configuração privada Outra forma de entrar no modo de configuração é fazendo uso do comando “configure private”. Esse comando permite que múltiplos usuários editem a configuração. Nesse caso, ao fazer “commit”, os usuários salvam na configuração ativa apenas as linhas de configuração que cada um editou. Se um usuário que entrou no modo de configuração através de um “configure private”
Introdução à rede Ipê
(fazendo um “commit”) muda de ideia e executa um “rollback 0”, apenas as linhas que ele
110
mesmo alterou são revistas. Se dois usuários estão no modo de configuração privada e ambos fazem a mesma modificação, o segundo “commit” vai falhar, e será exibida mensagem de erro para evitar conflito de configuração. Se o usuário que executou o segundo “commit” insiste e executa um novo “commit”, a configuração é salva corretamente.
Em alguns cenários, o administrador do sistema pode querer definir que todas as edições da configuração sejam feitas com “configure private” e nunca com “configure”. Ao criar contas de usuários é possível limitar os comandos disponíveis. Pode-se então excluir a permissão para executar o “configure”, permitindo, por exemplo, o “configure private”. Se um usuário adentra o modo de configuração e altera a configuração candidata, outros usuários não podem entrar no modo de configuração usando as opções “exclusive” ou “private”. As mudanças feitas pelo primeiro usuário precisam ser confirmadas com um “commit” ou descartadas para que outros usuários possam entrar nos modos exclusivo ou privado.
Hierarquia do Modo de Configuração
q
11 No modo de configuração, o usuário se movimenta através de uma hierarquia de porções da configuração. 11 Para alterar um parâmetro, o usuário se movimenta até o ponto correto da hierarquia e faz a alteração. [edit] user@host# edit protocols ospf area 51 stub [edit protocols ospf area 0.0.0.51 stub] user@host# [edit]
Less Specific
chassis interfaces bgp isis
protocols services system ...
mpls ospf
pim rip rsvp vrrp ...
area area_id graceful-restart overload traffic-engineering More Specific
area-range area_range
interface
nssa
stub
...
...
A hierarquia do arquivo de configuração nada tem a ver com a hierarquia de comandos do modo de operação. De maneira análoga, os comandos disponíveis no modo de configuração nada têm a ver com os disponíveis no modo de operação. Por exemplo, na CLI do modo de operação disponibiliza o comando “show” para mostrar informações específicas do sistema, enquanto que no modo de configuração também há um comando “show”, mas para exibir uma porção específica do arquivo de configuração. Os dois comandos de “show” não têm qualquer relação. O Junos organiza a hierarquia de comandos de configuração em uma estrutura de árvore, similar à estrutura de diretórios do Unix e do Windows. Nesse modelo as configurações relacionadas ficam agrupadas em um mesmo ponto da árvore. 11 Para modificar uma linha qualquer da configuração candidata utiliza-se sempre o comando “set”. 11 O comando “show” exibe a configuração candidata ou parte dela.
q
Capítulo 8 - Roteiro de Atividades 3
Figura 8.5 Hierarquia de configuração.
111
Comandos “set” e “show” no Modo de Configuração:
q
[edit system] user@host# set services web-management http port 8080 [edit system] user@host# show services web-management {
http {
port 8080;
} } 11 As diferentes porções do arquivo de configuração (candidata ou ativa) são hierarquizadas através de chaves (“{ }”). As chaves facilitam a leitura da estrutura de árvore. 11 O final de cada linha de configuração termina sempre com um ponto e vírgula (“;”), assemelhando o formato do arquivo a um código de linguagem de programação estruturada. 11 Nos comandos de “set”, que efetivamente alteram o arquivo de configuração, não é necessário incluir nem colchetes nem ponto e vírgula.
Movendo entre níveis no Modo de Configuração 11 Ao entrar no modo de configuração, o usuário encontra-se na raiz da hierarquia. Esse
q
nível é chamado “edit”. Nesse momento o prompt de comando assinala a string “[edit]”. 11 Para mover-se para os níveis mais baixos da hierarquia utiliza-se o comando “edit”, especificando o nível ao qual se deseja chegar. Após mudar de nível, o prompt muda para indicar o novo nível onde o usuário está posicionado.
[edit] user@host# edit protocols ospf area 51 stub [edit protocols ospf area 0.0.0.51 stub] user@host# [edit]
chassis
bgp
Introdução à rede Ipê
area
112
interfaces protocols
isis
area_id
area-range
mpls
ospf
pim
graceful-restart
area_range
services system
rip
rsvp
overload
interface
vrrp
...
...
traffic-engineering
nssa
stub
...
...
Para mover-se de volta um nível na hierarquia de configuração utiliza-se o comando “up”:
Figura 8.6 Comandos “edit”: movendo-se na Hierarquia de Configuração.
[edit protocols ospf area 0.0.0.51 stub] user@host# up [edit protocols ospf area 0.0.0.51] user@host# [edit]
chassis
bgp
area Figura 8.7 Comando “up”.
interfaces protocols
isis
area_id
area-range
mpls
ospf
pim rip
graceful-restart
area_range
services
system
...
vrrp
...
rsvp
overload
interface
traffic-engineering
nssa
stub
...
...
Para mover-se de volta “n” níveis na hierarquia de configuração utiliza-se o comando “up ”.
[edit protocols ospf area 0.0.0.51] user@host# up 2 [edit protocols] user@host# [edit]
chassis
interfaces protocols
bgp isis
area
area-range
ospf
pim
graceful-restart
area_range
system
...
vrrp
...
rip rsvp
overload
interface
traffic-engineering
nssa
stub
...
...
Para retornar para o nível raiz da hierarquia de configuração utiliza-se o comando “top”. Capítulo 8 - Roteiro de Atividades 3
Figura 8.8 Comando “up ”.
area_id
mpls
services
113
[edit protocols ospf area 0.0.0.51 stub] user@host# top [edit] user@host# [edit]
chassis
interfaces protocols
bgp isis
area
area_id
area-range
mpls
ospf
services
pim rip
graceful-restart
area_range
system
...
vrrp
...
rsvp
overload
interface
nssa
traffic-engineering
stub
... Figura 8.9 Comando “top”.
...
11 O comando “top” pode ser combinado com o comando “edit” para se mover de um
q
determinado nível da hierarquia para outro nível completamente diferente, com apenas um comando. 11 Comando “top” combinado com “edit”: avanço rápido entre níveis.
[edit protocols ospf area 0.0.0.0 interface ge-0/0/0.0] user@host# top edit system login [edit system login]
user@host# top show system services ftp; ssh; 11 O comando “exit” retorna para o nível da hierarquia de configuração que o usuário estava antes do nível corrente. 11 Se o usuário estiver na raiz (nível “edit”) o comando “exit” sai do modo de configuração. 11 O comando “exit configuration-mode” sai do modo de configuração independente do
Resumo dos comandos para navegação entre os diferentes níveis da hierarquia de configuração: 11 edit: direciona o usuário para um ponto da hierarquia de configuração. 11 up: move o usuário um nível acima na hierarquia. 11 up : move o usuário “n” níveis acima na hierarquia. 11 top: move o usuário para a raiz da hierarquia. 11 exit: move o usuário para o nível anterior.
Alterando linhas da Configuração Candidata Uma vez posicionado no nível desejado da hierarquia que se quer modificar, o comando
q
“set” altera/adiciona uma linha da/na configuração candidata. Comando “set”:
[edit system services] user@host# show ssh ; telnet;
[edit system services] user@host# set ftp -> FTP service added
[edit system services] user@host# show
Capítulo 8 - Roteiro de Atividades 3
Figura 8.10 Comando “exit”: retorno ao nível anterior.
mpls
services
115
ftp; ssh; telnet; No exemplo anterior, o comando “set” adicionou o comando “ftp” no nível “[edit system services]”. É possível executar o mesmo comando sem a necessidade de se mover para o ponto da hierarquia a ser alterado. Para tal, poderia ter sido executado o comando “set system services ftp” a partir do nível “[edit]”. Ou ainda, poderia ter sido usado o comando “set services ftp” a partir do nível “[edit system]”. 11 Para desfazer uma ação executada por um comando “set”, utiliza-se o comando “delete”. 11 Esse comando remove uma linha de configuração e todas as linhas relacionadas. Comando “delete”:
[edit system services] use r@host# show ftp ; ssh; telnet;
[edit system services] user@host# delete telnet
[edit system services] user@host# show ftp ; ssh; Dependendo do uso que se deseja fazer do comando “delete”, é possível usar o “wildcard delete”. Esse comando é útil quando se deseja remover várias configurações semelhantes. O próximo exemplo exibe a utilidade desse recurso. Comando “wildcard delete”:
Ativando e desativando configurações 11 O Junos permite que um usuário desative uma determinada configuração sem removê-la.
q
11 Uma linha de configuração desativada continua presente no arquivo de configuração da caixa, mas o roteador irá ignorá-la. 11 O comando “deactivate” desativa uma porção da configuração, a qual poderá ser reativada com o comando “activate”. Comandos “activate” e “deactivate”:
[edit] user@host# deactivate interfaces ge-0/0/0 [edit] user@host# commit commit complete [edit] user@host# show interfaces ge-0/0/0 ## ## inactive: interfaces ge-0/0/0 ## unit 0 { family inet { address 10.210.11.177/28; } family inet6; } [edit] user@host# activate interfaces ge-0/0/0
user@host# commit commit complete [edit] user@host# show interfaces ge-0/0/0 unit 0 { family inet {
Capítulo 8 - Roteiro de Atividades 3
[edit]
117
address 10.210.11.177/28; } family inet6; }
Outros comandos auxiliares do Modo de Configuração Há ainda alguns comandos úteis que facilitam a operação do Junos no modo de configuração. São eles: 11 rename: altera o nome de uma configuração.
q
11 replace: altera um padrão em uma linha de configuração. 11 copy: copia um padrão de linha de configuração para outra linha. 11 insert: insere uma linha de configuração em um ponto desejado do arquivo de configuração. Esses comandos serão trabalhados nas atividades de laboratório.
Verificando a Configuração Candidata 11 No modo de configuração utiliza-se o comando “show” para verificar as linhas da configuração candidata. 11 Esse comando exibe a configuração de todo o arquivo da configuração candidata ou de uma porção da hierarquia corrente. 11 O comando “show | compare” compara a configuração candidata com a ativa. O exemplo seguinte mostra duas formas de exibir a configuração da hierarquia “[edit system services]”. Comando “show”:
[edit] user@host# show system services ssh; web-management { http { port 8080; }
Introdução à rede Ipê
}
[edit] user@host# edit system services
[edit system services] 118
q
user@host# show ssh;
web-management { http { port 8080; } }
Hint To view the set commands used to build the configuration use the show | display set command. Utilizando o comando “show”, a configuração da hierarquia especificada aparece entre chaves (“{ }”). As linhas de configuração da hierarquia aparecem finalizadas por um ponto e vírgula (“;”). Essa formatação é a mesma que a CLI usa para armazenar as configurações setadas pelo usuário. 11 Opcionalmente, é possível ver a configuração de uma determinada hierarquia no
q
formato de comandos “set”. 11 Dessa forma, o usuário tem acesso aos comandos que foram efetivamente utilizados para fazer as configurações presentes no arquivo. 11 Para visualizar uma porção de configuração nessa formatação descrita, utiliza-se o comando “show” com a opção “display set”. Comando “show” com opção “display set”:
[edit] user@host# show system services | display set set system services ssh set system services web-management http port 8080
Salvando a Configuração Candidata 11 Uma vez editada a configuração candidata com os vários comandos disponíveis no
q
11 A forma mais simples e usual de executar essa tarefa já foi apresentada: “commit”. 11 Após executar o “commit”, a mensagem “commit complete” confirma que as alterações foram executadas corretamente. 11 Caso haja erros de sintaxe, uma mensagem de erro será gerada e a configuração não será salva. Comando “commit”:
Capítulo 8 - Roteiro de Atividades 3
modo de configuração, é hora de salvar as alterações.
119
[edit] user@host# commit commit complete Uma forma de verificar de antemão se a configuração está sem erros de sintaxe é através do comando “commit check”. Esse comando verifica se a configuração candidata está correta, mas não salva essa configuração. Comando “commit check”:
[edit] user@host# commit check [edit interfaces ge-0/0/10 unit 0] ‘family’ When ethernet-switching family is configured on an interface, no other family type can be configured on the same interface. error: configuration check-out failed Ao executar determinadas mudanças na configuração do equipamento, a partir de um ponto remoto, existe o risco de perda do acesso a ele. Por exemplo, ao alterar uma configuração de roteamento incorretamente, é possível que haja perda de conectividade entre o ponto onde está o computador do usuário e o roteador. No mundo real essa situação ocorre com certa frequência. Normalmente quando isso acontece, a única solução é levar um notebook até a sala onde está o roteador, conectar o notebook à porta console e corrigir o problema. Se o usuário que está fazendo a configuração não está no prédio onde está o roteador, pode estar caracterizado um problema sério. O Junos apresenta uma proposta para essa situação: o comando “commit confirmed”. Antes de salvar a configuração candidata com o comando “commit”, o usuário tem a opção de executar o “commit confirmed