Beruflich Dokumente
Kultur Dokumente
Rede Ip
Gustavo Batista
A RNP Rede Nacional de Ensino e Pesquisa qualificada como uma Organizao Social (OS), sendo ligada ao Ministrio da Cincia, Tecnologia e Inovao (MCTI) e responsvel pelo Programa Interministerial RNP, que conta com a participao dos ministrios da Educao (MEC), da Sade (MS) e da Cultura (MinC). Pioneira no acesso Internet no Brasil, a RNP planeja e mantm a rede Ip, a rede ptica nacional acadmica de alto desempenho. Com Pontos de Presena nas 27 unidades da federao, a rede tem mais de 800 instituies conectadas. So aproximadamente 3,5 milhes de usurios usufruindo de uma infraestrutura de redes avanadas para comunicao, computao e experimentao, que contribui para a integrao entre o sistema de Cincia e Tecnologia, Educao Superior, Sade e Cultura.
Ministrio da Cultura Ministrio da Sade Ministrio da Educao Ministrio da Cincia, Tecnologia e Inovao
Introduo
Rede Ip
Gustavo Batista
Introduo
Rede Ip
Gustavo Batista
Copyright 2013 Rede Nacional de Ensino e Pesquisa RNP Rua Lauro Mller, 116 sala 1103 22290-906 Rio de Janeiro, RJ
Diretor Geral Nelson Simes Diretor de Servios e Solues Jos Luiz Ribeiro Filho
Rua Lauro Mller, 116 sala 1103 22290-906 Rio de Janeiro, RJ http://esr.rnp.br info@esr.rnp.br
Dados Internacionais de Catalogao na Publicao (CIP) B333i Batista, Gustavo Introduo rede Ip / Gustavo Batista, Sidney Lucena; Colaborao de Beatriz Zoss. Rio de Janeiro: RNP/ESR, 2013. 293 p. : il. ; 28 cm. Bibliografia: p. 275. ISBN 978-85-63630-33-9
1. Redes de computadores protocolos conexo. 2. Rede Ip. I. Lucena, Sidney. II. Zoss, Beatriz. III.Ttulo. CDD 004.62
Sumrio
Escola Superior de Redes
A metodologia da ESRxi Sobre o curso xii A quem se destinaxii Organizao do livroxii Convenes utilizadas neste livroxiii Permisses de usoxiv Reconhecimentosxiv Sobre os autoresxiv Prefcioxvi
1. Operao da rede Ip
Impacto da conexo na organizao da instituio1 Servios IP fundamentais da RNP2 Servios de trfego da RNP2 Trnsito Nacional3 Trnsito Internacional3 Trnsito Acadmico de Colaborao3 Trnsito de Peering3 Outros servios da RNP4 Servios de comunicao e colaborao6 Conferncia Web 6 fone@RNP 6
iii
Videoconferncia 8 Telepresena 8 Servios de disponibilizao de contedos digitais 9 Videoaula@RNP 9 Vdeo sob Demanda 10 Transmisso de sinal de TV 11 Transmisso de Vdeo ao Vivo 11 Servios de Gesto de Identidade 12 Comunidade Acadmica Federada (CAFe)12 eduroam12 Infraestrutura de Chaves Pblicas para Ensino e Pesquisa (ICPEdu)13 Servio de Hospedagem Estratgica 13 Apoio a servios14 Consideraes de uso14 Condies de uso16 Como fazer quando o link cai16 Procedimento para checar conexo local16 Verificar condies bsicas de roteamento18 Procedimento para entrar em contato com o PoP visando abertura de chamado20 Acompanhamento dos chamados abertos20 Acompanhamento de problemas relacionados ao backbone21 Roteiro de Atividades 125 Atividade 1.1 Panorama do trfego25 Atividade 1.2 Falha de conectividade da organizao usuria25
2. Segurana na rede Ip
Centro de Atendimento a Incidentes de Segurana (CAIS)27 Como fazer quando ocorre um problema de segurana28 O que o atendimento a incidentes?28 O trabalho do CAIS29 Recomendaes Organizao Usuria30 A ajuda do CAIS30 Passos para a segurana de sua instituio30
3. Infraestrutura de rede
Conexo da organizao usuria ao PoP da RNP33 iv
Uso e especificao de switches e roteadores36 Especificao de racks37 Fontes redundantes38 Topologia da rede39 Identificao de cabos41 Infraestrutura para abrigar os equipamentos e mant-los42 Localizao e dimenses da sala42 Equipamentos de apoio42 Refrigerao43 Instalao eltrica43 Aterramento43 Espao para cabeamento e conexes43
4. Switches e roteadores
Switches L245 Switches L346 Comutao L249 Empilhamento50 Subdiviso da rede em VLANs de distribuio51 Roteadores52 Roteador de borda56 Troubleshooting bsico56 Estudo de caso59 Roteiro de Atividades 261 Atividade 2.1 Endereamento IP61 Atividade 2.2 Identificao de solues61 Atividade 2.3 Planejando VLANs62 Atividade 2.4 Distribuio das sub-redes63
E-mail71 Repositrio de arquivos72 Firewall, DMZ e NAT73 Procedimento de solicitao de bloco IP75 Adequao do tamanho do bloco s necessidades da IFES75 DNS reverso 75 Procedimento para cadastro de reverso76 Gerenciamento da rede da instituio77 Ferramentas de monitoramento78
7. Fundamentos de Junos
Software modular89 Separao entre planos de Controle e de Encaminhamento90 Routine Engine (RE)91 Packet Forwarding Engine92 Processamento de trfego92 Trfego de trnsito92 Trfego de exceo93
vi
Help Topic97 Help Reference98 Completando comandos99 Teclas de edio EMACS99 Usando o caractere pipe100 Roteiro de Atividades 3103 Atividade 3.1 Acessar o Juniper via console serial103 Atividade 3.2 Opes da interface de usurio106 Modo de operao107 Modo de configurao108 Configurao exclusiva110 Configurao privada110 Hierarquia do Modo de Configurao111 Movendo entre nveis no Modo de Configurao112 Alterando linhas da Configurao Candidata115 Ativando e desativando configuraes117 Verificando a Configurao Candidata118 Salvando a Configurao Candidata119 Checando alteraes antes de salvar122 Restaurando configuraes122 Salvando a configurao em arquivo ASCII123 Carregando arquivo de configurao124 Comando run124 Interface J-Web GUI125 Processo de login na J-Web126 Roteiro de Atividades 4131 Atividade 4.1 Opes de acesso ao Junos131
9. Configuraes do roteador
Configurao default de fbrica133 Configuraes iniciais135 Entrando no Modo de Configurao136 Definindo parmetros de acesso138 Definindo parmetros de gerncia138 Configurao de resgate139 Configurao de interface 140 Nomeando interfaces141 vii
Mltiplos endereos142 Propriedades fsicas de interfaces143 Propriedades lgicas de interfaces143 Verificando o estado das interfaces145 Roteiro de Atividades 5147 Atividade 5.1 Configurao bsica (parte 1)147 Atividade 5.2 Configurao bsica (parte 2)149 Configuraes de Usurio e Autenticao151 Ordem da autenticao151 Componentes da autenticao155 Logs do sistema158 Interpretando mensagens de log159 Investigando problemas com traceoptions160 Visualizando arquivos de log e trace162 Monitorando arquivos de log e trace162 Network Time Protocol (NTP)163 Monitorando o NTP164 Simple Network Management Protocol (SNMP)164 MIBs SNMP165 Configurando SNMP165 Monitorando a operao do SNMP167 Roteiro de Atividades 6169 Atividade 6.1 Configuraes posteriores169
Mantendo o Junos 188 Conveno de nomes de pacotes de Junos188 Recuperao de senha189 Instalao e upgrade do Junos190 Boas prticas de upgrade191 Roteiro de Atividades 7193 Atividade 7.1 Instalao do Junos (parte 1)193 Atividade 7.2 Instalao do Junos (parte 2)194 Atividade 7.3 Upgrade do Junos197
ix
Implementando policing com filtros de firewall230 Estudo de caso: filtros de firewall234 Monitorando os resultados de um filtro237 Verificao de RPF Unicast238 Problemas com a verificao RPF239 Filtros de fail240 Roteiro de Atividades 9243 Atividade 9.1 Configurando filtro de firewall243 Atividade 9.2 Configurando polices de firewall244
Bibliografia 275
A metodologia da ESR
A filosofia pedaggica e a metodologia que orientam os cursos da ESR so baseadas na aprendizagem como construo do conhecimento por meio da resoluo de problemas tpicos da realidade do profissional em formao. Os resultados obtidos nos cursos de natureza terico-prtica so otimizados, pois o instrutor, auxiliado pelo material didtico, atua no apenas como expositor de conceitos e informaes, mas principalmente como orientador do aluno na execuo de atividades contextualizadas nas situaes do cotidiano profissional. A aprendizagem entendida como a resposta do aluno ao desafio de situaes-problema semelhantes s encontradas na prtica profissional, que so superadas por meio de anlise, sntese, julgamento, pensamento crtico e construo de hipteses para a resoluo do pro blema, em abordagem orientada ao desenvolvimento de competncias. Dessa forma, o instrutor tem participao ativa e dialgica como orientador do aluno para as atividades em laboratrio. At mesmo a apresentao da teoria no incio da sesso de aprendizagem no considerada uma simples exposio de conceitos e informaes. O instrutor busca incentivar a participao dos alunos continuamente.
xi
As sesses de aprendizagem onde se do a apresentao dos contedos e a realizao das atividades prticas tm formato presencial e essencialmente prtico, utilizando tcnicas de estudo dirigido individual, trabalho em equipe e prticas orientadas para o contexto de atuao do futuro especialista que se pretende formar. As sesses de aprendizagem desenvolvem-se em trs etapas, com predominncia de tempo para as atividades prticas, conforme descrio a seguir: Primeira etapa: apresentao da teoria e esclarecimento de dvidas (de 60 a 90 minutos). O instrutor apresenta, de maneira sinttica, os conceitos tericos correspondentes ao tema da sesso de aprendizagem, com auxlio de slides em formato PowerPoint. O instrutor levanta questes sobre o contedo dos slides em vez de apenas apresent-los, convidando a turma reflexo e participao. Isso evita que as apresentaes sejam montonas e que o aluno se coloque em posio de passividade, o que reduziria a aprendizagem. Segunda etapa: atividades prticas de aprendizagem (de 120 a 150 minutos). Esta etapa a essncia dos cursos da ESR. A maioria das atividades dos cursos assncrona e realizada em duplas de alunos, que acompanham o ritmo do roteiro de atividades proposto no livro de apoio. Instrutor e monitor circulam entre as duplas para solucionar dvidas e oferecer explicaes complementares. Terceira etapa: discusso das atividades realizadas (30 minutos). O instrutor comenta cada atividade, apresentando uma das solues possveis para resolv-la, devendo ater-se quelas que geram maior dificuldade e polmica. Os alunos so convidados a comentar as solues encontradas e o instrutor retoma tpicos que tenham gerado dvidas, estimulando a participao dos alunos. O instrutor sempre estimula os alunos a encontrarem solues alternativas s sugeridas por ele e pelos colegas e, caso existam, a coment-las.
Sobre o curso
A ESR elaborou este material com o objetivo de auxiliar na capacitao dos tcnicos das novas instituies usurias em sua conexo ao backbone da RNP, uma vez que a configurao dos equipamentos e da infraestrutura necessria de responsabilidade da instituio usuria. O curso descreve a RNP, a estrutura do seu backbone, seus Pontos de Presena (PoPs), os procedimentos de manuteno e o impacto da conexo RNP nas novas instituies usurias. So abordados aspectos tcnicos da infraestrutura fsica, de conexo e de TI, o uso de switches e roteadores, a infraestrutura de TI da organizao e a solicitao de blocos IP. Ainda sero descritos em detalhes a configurao, manuseio, manuteno e pro blemas de interface do roteador Juniper da RNP, alm de conceitos bsicos de roteamento e utilizao de filtros de firewall.
A quem se destina
O curso destinado aos tcnicos de suporte e gerentes de infraestrutura de TI das organizaes usurias da rede RNP.
Organizao do livro
O livro est organizado em partes bem definidas para facilitar o acesso ao contedo que o leitor desejar. O Captulo 1 apresenta a operao da RNP, os procedimentos de manuteno e o impacto da conexo rede da RNP nas novas instituies usurias. So propostas tambm ativida des prticas para fixao do contedo. xii
O Captulo 2 descreve os procedimentos de segurana, as funes e as atividades exe cutadas pelo Centro de Atendimento a Incidentes de Segurana (CAIS) e como tratar um problema de segurana. Os Captulos 3, 4 e 5 descrevem a infraestrutura de rede recomendada para as instituies usurias, a estrutura necessria para instalar os equipamentos da RNP, os conhecimen tos tcnicos desejveis para a equipe de TI relativos a equipamentos, tais como switches e roteadores e suas funcionalidades. Descrevem tambm os servios de rede local desejveis, e recomendam procedimentos de gerenciamento da rede da instituio usuria. So propostas atividades prticas e estudos de caso para fixao dos conhecimentos tcnicos apresentados. Os Captulos de 6 a 13 tratam especificamente do roteador da RNP, sua instalao, caractersticas do sistema operacional Junos, configuraes bsicas e avanadas do roteador, procedimentos de operao e manuteno, configurao de rotas estticas e utilizao de filtros de firewall. Finalmente, so apresentados procedimentos bsicos de resoluo de problemas em interfaces do roteador. Esta ltima parte do livro vem acompanhada de atividades prticas realizadas em laboratrio com roteadores idnticos aos que as instituies usurias recebero da RNP, permitindo que os seus tcnicos possam tirar o maior proveito da interligao com a rede da RNP. Todas as atividades so acompanhadas das respectivas solues, para que os tcnicos possam, a qualquer momento, reproduzir essas atividades em seus locais de trabalho.
Largura constante
Indica comandos e suas opes, variveis e atributos, contedo de arquivos e resultado da sada de comandos. Comandos que sero digitados pelo usurio so grifados em negrito e possuem o prefixo do ambiente em uso (no Linux normalmente # ou $, enquanto no Windows C:\).
Contedo de slide
Indica o contedo dos slides referentes ao curso apresentados em sala de aula.
Smbolo
Indica referncia complementar disponvel em site ou pgina na internet.
Smbolo
Indica um documento como referncia complementar.
Smbolo
Indica um vdeo como referncia complementar.
Smbolo
Indica um arquivo de adio como referncia complementar.
xiii
Smbolo
Indica um aviso ou precauo a ser considerada.
Smbolo
Indica questionamentos que estimulam a reflexo ou apresenta contedo de apoio ao entendimento do tema em questo.
Smbolo
Indica notas e informaes complementares como dicas, sugestes de leitura adicional ou mesmo uma observao.
Permisses de uso
Todos os direitos reservados RNP. Agradecemos sempre citar esta fonte quando incluir parte deste livro em outra obra. Exemplo de citao: Batista, Gustavo. Introduo rede Ip. Rio de Janeiro: Escola Superior de Redes, RNP, 2013.
Comentrios e perguntas
Para enviar comentrios e perguntas sobre esta publicao: Escola Superior de Redes RNP Endereo: Av. Lauro Mller 116 sala 1103 Botafogo Rio de Janeiro RJ 22290-906 E-mail: info@esr.rnp.br
Reconhecimentos
Esta publicao no teria sido possvel sem a colaborao da rea de Engenharia de Redes e Operaes da RNP. Agradecemos ao Centro de Atendimento a Incidentes de Segurana (CAIS) e a Gesto de Servios da RNP pela sua contribuio; a Juniper Networks por ter gentilmente cedido os manuais tcnicos que foram fundamentais para a elaborao deste contedo; a Sidney Lucena, ex-Coordenador Acadmico de Redes da ESR, que organizou a primeira verso desse curso; e, finalmente, nosso muito obrigado a Beatriz Zoss, a Bia, gerente de relacionamento da RNP que identificou a necessidade e props a elaborao deste curso.
Sobre os autores
Gustavo Batista graduou-se em Engenharia de Telecomunicaes pela Universidade Federal Fluminense em 2003. Trabalhou durante 3 anos em operadora de telefonia celular com sistemas de gerncia de rede telefnica, administrando sistemas Unix, Linux e Windows e executando projetos de integrao de sistemas de gerncia de diferentes fabricantes em uma plataforma nica. Trabalhou no Centro de Engenharia e Operaes da RNP (CEO) como analista de redes. Hoje atua na rea de operaes da rede multisservios de uma empresa nacional de porte, onde tambm participa de projetos nas reas de QoS em redes IP e desempenho de rede.
xiv
Luiz Carlos Lobato formado em Engenharia Eletrnica pelo ITA, com ps-graduao em Negcios e Servios de Telecomunicaes pelo CEFET-RJ. Possui certificao de redes CiscoCCNA. Gerente da Diviso de Suporte Tcnico da Telebrs at a privatizao das telecomunicaes, sendo responsvel pela operao e gerncia da rede de dados do Sistema Telebrs. Aps a privatizao atuou como Coordenador de Cursos de Tecnologia de Redes (Graduao Superior) em diversas faculdades. colaborador da Escola Superior de Redes desde 2008, tendo elaborado material de treinamento e lecionado diversos cursos na rea de Redes. Atualmente Coordenador Acadmico de Redes da ESR.
xv
Prefcio
Lembro com nitidez do dia em que, juntamente com Bia Zoss e Luiz Coelho, decidimos pela elaborao de um curso para o qual este livro se destina. Foi no ano de 2008, quando dois grandes desafios nos foram colocados: a conexo de centenas de novos campi de universidades e de institutos federais fruto da poltica de expanso do ensino do Governo Federal e a mudana do fornecedor dos equipamentos roteadores usados para a conexo com a Internet das nossas instituies clientes. Assim, alm de capacit-los a recepcionar o enlace de dados da sua instituio, detectamos que seria importante tambm fazer uma apre sentao da prpria RNP. Nessa ocasio, a despeito de todas as dificuldades e dos riscos envolvidos, optamos pela estratgia de ensinar a pescar. O desafio de criar um material para dar conta dessas duas questes e ser apresentado em um curso de 20 horas foi dado a Gustavo Batista, um ex-colaborador da RNP que, com sua sada, alm de causar um srio desfalque na equipe, deixou o seu gestor com um zumbido nos ouvidos que ele conserva at os dias atuais. E, conforme vocs vero, Gustavo no decepcionou: preparou um excelente material que deve ser usado no apenas na sala de aula, mas no dia a dia do seu trabalho. Uma isca de primeira qualidade para a sua pescaria.
xvi
1
Operao da rede Ip
objetivos
Orientar a instituio sobre os procedimentos adequados para se conectar ao backbone da RNP e tratamento dos problemas de conexo.
conceitos
Impacto da conexo na organizao, servios fundamentais da RNP, consideraes de uso, procedimentos de abertura de chamado, acompanhamento de problemas.
11 A organizao usuria dos servios da RNP passa a fazer parte do sistema autnomo da RNP. 11 A partir de ento, todos os pontos da internet mundial passaro a enxergar a instituio como um cliente da RNP. 11 Os endereos IP usados na rede da instituio sero cedidos pela RNP. 11 Todos os equipamentos da rede local que precisarem do servio da rede Ip devero, necessariamente, usar endereo IP da RNP. 22 proibido o uso dos servios da RNP sem o atendimento a esse requisito. 11 Caso a instituio deseje manter os servios de outro provedor alm da RNP, os equipamentos servidos pelo outro provedor no podero usar endereos IP da RNP. 11 Da mesma forma, os equipamentos endereados com IPs cedidos pela RNP no podero usar o servio de outro provedor sob nenhuma hiptese. 11 Assim, essas duas redes devero ser segmentadas; do contrrio, podem ocorrer srios problemas de roteamento.
cenrio proibido:
Provedor comercial
RNP
Figura 1.1 Hosts com IP RNP no podem usar servio de outro provedor, e viceversa.
Provedor comercial
RNP
Organizao usuria
11 Elas esto aptas a utilizar em sua totalidade os servios IP fundamentais da RNP, a saber: 22 Trnsito Nacional. 22 Trnsito Internacional. 22 Trnsito Acadmico de Colaborao. 22 Trnsito de Peering. A definio de cada um desses servios ilustrada a seguir.
Trnsito Nacional
definido como a facilidade de servio que permite ao cliente da RNP acessar pessoas, recursos e sistemas localizados em algum ponto do pas conectado rede Ip, direta ou indiretamente atravs de uma rede regional.
PoP
BACKBONE
Trnsito Internacional
definido como a facilidade de servio que permite ao cliente da RNP acessar pessoas, recursos e sistemas localizados em algum ponto fora do pas atravs da internet global.
PoP
BACKBONE
PoP
BACKBONE
Trnsito de Peering
definido como a facilidade de servio que permite ao cliente da RNP acessar pessoas, recursos e sistemas localizados em redes comerciais nacionais ou internacionais, redes corporativas e redes federais autnomas atravs de acordos de troca de trfego estabe lecidos entre a rede Ip e essas redes.
PTT
PoP
BACKBONE
A figura seguinte resume os servios fundamentais aos quais o cliente da RNP tem acesso: Cliente B Cliente A RedeComep
Empresa Privada
PoP
PTT
2
BACKBONE
Os nmeros das setas esto associados aos servios da seguinte maneira: 11 Trnsito Nacional: seta 1; 11 Trnsito Internacional: seta 2; 11 Trnsito Acadmico: setas 3; 11 Trnsito de Peering: seta 4.
Introduo rede Ip
11 Servios de Disponibilizao de Contedos Digitais: 22 Videoaula@RNP. 22 Vdeo sob Demanda. 22 Transmisso de Sinal de TV. 22 Transmisso de Vdeo ao Vivo. 11 Servios de Gesto de Identidade: 22 Comunidade Acadmica Federada (CAFe). 22 eduroam. 22 Infraestrutura de Chaves Pblicas para Ensino e Pesquisa (ICPEdu). 11 Servios de Hospedagem Estratgica: 22 Internet Data Center (IDC). 11 Apoio aos servios: 22 Service Desk. Os servios disponibilizados pela RNP s suas organizaes usurias so resultados de pro -
cessos de inovao e prospeco, de acordo com as necessidades dos clientes, em atividades de anlise de cenrios e tendncias com parceiros como a academia, o setor empresarial e as principais redes acadmicas mundiais. Os principais benefcios dos servios da RNP so facilitar e promover a comunicao, a colaborao distncia e a disseminao de conhecimento. As informaes sobre os servios disponibilizados pela RNP para suas organizaes usurias e comunidades de clientes especiais e estratgicos encontram-se consolidadas no Catlogo de Servios, estando os servios classificados da seguinte forma: 11 Servios de Comunicao e Colaborao: 22 Conferncia web. 22 fone@RNP. 22 Videoconferncia. 22 Telepresena. 11 Servios de Disponibilizao de Contedos Digitais: 22 Videoaula@RNP. 22 Vdeo sob Demanda. 22 Transmisso de Sinal de TV. 22 Transmisso de Vdeo ao Vivo. 11 Servios de Gesto de Identidade:
Captulo 1 - Operao da rede Ip
22 Comunidade Acadmica Federada (CAFe). 22 eduroam. 22 Infraestrutura de Chaves Pblicas para Ensino e Pesquisa (ICPEdu). 11 Servios de Hospedagem Estratgica: 22 Internet Data Center (IDC).
Conferncia Web
O objetivo principal do servio realizar reunies virtuais entre participantes remotos com a utilizao de recursos de udio, vdeo, texto, quadro de notas, chat e imagens, alm do compartilhamento da tela do computador ou de aplicativos especficos. Ele se destaca pela facilidade de uso e mobilidade, aliada a um investimento de baixo custo para as instituies clientes. Voltado para clientes que demandam uma soluo de menor custo para reunies virtuais, treinamentos e palestras distncia, o servio tambm se destaca pela facilidade de uso. Para utilizar toda a integrao e a interatividade disponibilizadas pela conferncia web, basta um computador, celular ou tablet conectado internet, um navegador (browser) e um conjunto de microfone e fone de ouvido, sem necessidade adicional de hardware ou software. Alm desses recursos, o servio possui a funcionalidade de gravar reunies, que podem ser disponibilizadas para visualizao ou baixadas para armazenamento.
Introduo rede Ip
fone@RNP
Servio que permite a interconexo VoIP (Voz sobre IP) entre diferentes organizaes. Com isso, os clientes deste servio conseguem oferecer a seus usurios a possibilidade de rea lizar chamadas telefnicas gratuitas para outras instituies distantes geograficamente no Brasil ou no exterior, dentro ou fora da rede VoIP da RNP.
O benefcio das ligaes gratuitas para o usurio final se estende atravs da capilaridade do fone@RNP, com presena em todos os estados brasileiros, e das conexes VoIP com a rede pblica de telefonia de algumas instituies clientes, o que propicia ao usurio final ligar para um nmero telefnico comum a partir de um ramal VoIP. Destaque tambm para a interconexo da rede VoIP da RNP com outras redes VoIP dentro e fora do pas. Atualmente, o fone@RNP rene mais de cem instituies clientes distribudas pelo territrio nacional, com mais de 40 organizaes que completam ligaes para a rede pblica de telefonia. Conta tambm com acordos de troca de trfego com outras redes VoIP do governo brasileiro e de instituies de ensino e pesquisa da Argentina, Austrlia, Blgica, Crocia, Eslovnia, Espanha, Grcia, Holanda, Hungria, Itlia, Letnia, Litunia, Mxico, Portugal, Srvia e Sua. Os acordos com esses pases foram possibilitados pela integrao do servio iniciativa internacional do NreNum.net, da Terena (Associao de Redes de Educao e Pesquisa Transeuropeia). Alm das ligaes telefnicas gratuitas, as instituies clientes podem acessar um sistema centralizado de estatsticas, que propicia ao gestor da infraestrutura local dispor de dados sobre como o servio tem sido utilizado na sua instituio ou em outras que integram o fone@RNP. Mais informaes sobre o servio em: http://portal.rnp.br/web/servicos/fone-rnp
Videoconferncia
Fornecer salas virtuais para viabilizar a realizao de videoconferncias multiponto para as instituies clientes sem que estas precisem arcar com o nus de adquirir uma soluo local para isso. O servio tambm oferece recursos de gravao, streaming e integrao com sistemas de videoconferncia que utilizem ISDN, alm de alta definio (Hd) e novas funcionalidades que podem surgir em decorrncia de melhorias e investimentos contnuos na ampliao da infraestrutura da videoconferncia.
Telepresena
Participantes em diferentes locais interagindo como se estivessem frente a frente na mesma mesa de reunio; essa experincia imersiva a proposta do servio de telepresena. Verdadeiro estado da arte na tecnologia de videoconferncia, o servio oferece recursos tecno lgicos de ponta em salas fsicas planejadas e ambientadas especificamente para ampliar a sensao de realismo na colaborao entre participantes remotos. Com udio e vdeo de alta qualidade, atualmente so oferecidas aos clientes do servio seis salas, distribudas por cinco estados do pas. Cada uma delas est equipada com cmeras de alta definio posicionadas para a melhor cobertura do espao assim que o sistema for iniciado, sem que os participantes precisem se preocupar com os ajustes dos equipamentos durante as reunies. A telepresena pode ser usada de forma integrada com outros servios da RNP, como a vide Introduo rede Ip
oconferncia e o fone@RNP, e tambm pode ser realizada por meio da conexo entre duas salas (ponto a ponto) ou mais ambientes (multiponto).
A RNP oferece aos seus clientes os servios descritos a seguir, voltados para a disponibilizao de contedos digitais.
Videoaula@RNP
Servio integrado para elaborao, armazenamento e disponibilizao pela web de videoaulas produzidas pelas instituies clientes. Tais organizaes passam a ter, por meio desse servio, um meio para acesso e armazenamento de um amplo e interessante material didtico formado por mltiplas mdias (vdeo, udio, animaes, roteiro e arquivos de apoio), que pode ser utilizado como apoio ao ensino distncia ou presencial. O upload das videoaulas digitais feito em um sistema com redundncia e alta disponibilidade, resultando em um acesso rpido e fcil a partir de um simples navegador (browser).
10
Introduo rede Ip
Transmisso de sinal de TV
Transmisso, pela internet, do sinal de emissoras de TV a partir de uma infraestrutura de servidores distribudos em todos os estados brasileiros. As principais vantagens so a economia de banda e a reduo do tempo de acesso, j que o cliente no precisa de equipa mentos de grande porte para suportar um elevado nmero de pedidos. Este servio disponibiliza, para a internet, o sinal de TV de emissoras que tm participao ou parceria com a RNP e uma programao relevante comunidade acadmica, como TV escola, TV Brasil e Canal Sade, dentre outras. Mais informaes sobre este servio esto disponveis em: http://portal.rnp.br/web/servicos/transmissao-de-sinal-de-tv
servidor local com a rede de vdeo digital (RVD), infraestrutura que distribui o vdeo para
11
eduroam
O eduroam (education roaming) um servio de acesso sem fio seguro, desenvolvido para a comunidade internacional de educao e pesquisa. A iniciativa permite que estudantes, pesquisadores e equipes das instituies participantes obtenham conectividade internet, atravs de conexo sem fio (Wi-Fi) dentro de seus campi e em qualquer localidade que oferea esta facilidade como provedora de servio.
12
Lanada no Brasil em 2012, a iniciativa internacional j rene instituies de aproximada mente 60 pases, unindo diversos usurios na troca de experincias e conhecimento de forma simples, rpida e segura a partir da internet. O eduroam oferece acesso seguro e sem fio internet para estudantes e pesquisadores nas universidades cadastradas, sem necessidade de mltiplos logins e senhas. Aps efetuar o registro na base do servio, seguido da configurao do computador do usurio para conexo com a rede, possvel acessar a web em qualquer provedor de servio do mundo. Mais detalhes sobre a adeso ao servio e sua utilizao em: http://portal.rnp.br/web/servicos/eduroam
O IDC garante monitoramento de banda por usurio, relatrios via web em tempo real e contato permanente com a equipe especializada do centro de operaes. Alm disso, quin zenalmente, o Centro de Atendimento a Incidentes de Segurana (CAIS) envia uma anlise detalhada que indica eventuais correes de segurana necessrias. A RNP oferece toda a infraestrutura fsica, eltrica e lgica para abrigar as mquinas, abrindo uma porta de acesso rede ip. O IDC ocupa um espao com controle de acesso, vigilncia com cmeras, climatizao ininterrupta, redundncia e sistemas de segurana, deteco e combate a incndios. Encontra-se estrategicamente localizado em Braslia (DF), abrigando em suas instalaes o Ponto de Presena da RNP no Distrito Federal (PoP-DF), diretamente conectado ao backbone de educao e pesquisa multigigabit da rede Ip.
13
Mais detalhes sobre o Internet Data Center da RNP podem obtidos em: http://portal.rnp.br/web/servicos/internet-data-center
Apoio a servios
O Service Desk tem como objetivo principal o atendimento de primeiro nvel aos servios da RNP, ou seja, o atendimento aos clientes que desejam aderir, agendar, reclamar ou demandar o uso dos servios oferecidos pela RNP s suas instituies usurias. O Service Desk no tem a finalidade de substituir o suporte local das instituies clientes, que continua sendo fornecido pelas equipes de suporte local ou pelo responsvel tcnico do servio. A atuao do Service Desk comea, portanto, quando estes grupos locais ou pessoas autorizadas precisam demandar ou reclamar dos servios ofertados pela RNP. Assim, o escopo de ao do Service Desk est circunscrito ao suporte remoto dos clientes da RNP, ou seja, quelas instituies usurias qualificadas para fazer uso dos seus servios e que possuem uma estrutura de suporte local para seus usurios finais. Alm disso, o Service Desk realiza atividades proativas relacionadas ao monitoramento do uso dos servios, gerando estatsticas para fins gerenciais e de prestao de contas aos clientes. Mais detalhes sobre a atuao do Service Desk em: http://portal.rnp.br/web/servicos/service-desk
Consideraes de uso
A rede Ip um dos sistemas autnomos (ASs) que compem a internet, operando sob o nmero de sistema autnomo 1916. Trata-se de uma infraestrutura de rede formada por um conjunto de equipamentos e enlaces de dados sob a administrao de uma mesma entidade. Essa infraestrutura possui um Autonomous System Number (ASN) que a identifica e a formaliza como uma unidade que compe a Internet Global. 11 A infraestrutura da rede Ip permitir atender s aplicaes de ensino superior e pesquisa de forma eficiente. 11 Quando necessrio, sero usados mecanismos de segregao de trfego ou reserva de banda para priorizar as aplicaes de ensino superior e pesquisa diante das demais aplicaes em curso na rede. 11 As organizaes usurias j devidamente qualificadas pelo CG-RNP podem se conectar RNP apenas atravs de um PoP, direta ou indiretamente (via rede acad mica regional ou Redecomep). Instituies usurias classificadas como temporrias somente podero cursar na rede o trfego referente ao projeto executado em parceria com uma instituio primria ou secundria. Caso a instituio possua campi ou filiais remotos, a conexo rede Ip desses atores poder ocorrer de duas maneiras: 11 Conexo fsica e lgica das filiais rede Ip se d diretamente via PoP RNP.
Introduo rede Ip
11 Conexo fsica das filiais via PoP, mas a conexo lgica com a sede.
14
A figura anterior exibe a primeira forma de se conectar uma filial RNP. Nesse modelo a filial tratada como se fosse outro cliente. As setas exibem o trfego trocado entre a filial e a rede Ip.
A figura anterior exibe a segunda forma de se conectar uma filial RNP. As setas cinzas exibem o trfego saindo da filial para a rede Ip. As setas pretas mostram o trfego gerado na rede Ip com destino filial. 11 Nesse modelo, a filial conectada fisicamente ao PoP, mas uma conexo lgica construda de modo que todo o trfego da filial seja forado a passar pela sede.
Captulo 1 - Operao da rede Ip
11 Essa categoria de conexo adequada quando se deseja que a filial esteja submetida s mesmas polticas de roteamento e de segurana da sede, mas a filial no tem os equipamentos necessrios para a aplicao dessas polticas (firewalls, web sense etc.). Existem vrias tecnologias que podero ser usadas para implementar esse tipo de conexo lgica (Tnel GRE, tnel IPSec, roteamento esttico etc.). importante frisar que essa categoria de conexo aumenta a carga do enlace de dados da instituio-sede com a RNP.
15
Condies de uso
Na execuo de suas atividades de ensino e pesquisa, as organizaes usurias podem usar os servios fundamentais de trnsito nacional, internacional, acadmico e de peering, bem como os servios avanados, que sero descritos no decorrer do curso. O uso desses servios no ser permitido nas seguintes condies: 11 Transmisso de materiais considerados ilegais por caracterizarem: 22 Transgresso de direitos autorais. 22 Agresso criana e ao meio ambiente. 22 Atentado privacidade ou discriminao racial ou religiosa. 22 Disseminao de propaganda comercial, poltica ou religiosa. 22 Transmisso de material de propaganda no solicitado pelo destinatrio (spam). 22 Atividades estritamente comerciais. 22 Atividades que contribuam para o esgotamento excessivo dos recursos da rede, sejam computacionais, comunicacionais ou humanas. 22 Promoo de corrupo ou destruio de dados de usurios. 22 Atividades prejudiciais utilizao dos servios de rede por outros usurios. 22 Interligao ou abrigo em seu espao de endereamento de uma terceira instituio, no qualificada para usar servios da RNP.
Ao perceber perda de servio e/ou reclamaes de usurios, o primeiro passo verificar a conexo com a RNP. Este tpico exibe algumas aes sugeridas para checar a conexo local antes de acionamento do PoP da RNP. A execuo das aes que sero sugeridas facilitar as aes do PoP, caso este seja acionado. Alm das sugestes descritas importante que o contato tcnico da instituio verifique junto ao seu PoP as aes que aquele ator recomenda. Cada PoP dispe de diferentes recursos para prover essa verificao.
16
A figura anterior mostra uma conexo tpica entre a organizao usuria e o PoP. Podemos chamar as interfaces de onde saem as setas de: 11 Uplink da organizao usuria (seta na parte inferior da figura);
Telnet Protocolo da camada de aplicao que permite a um usurio iniciar uma sesso remota em um equipamento de rede ou qualquer mquina que possua um servidor do servio Telnet. Atravs da sesso possvel enviar comandos ao equipamento. Porta console Interface de equipamento de rede atravs da qual possvel conectar um PC ou notebook e, utilizando aplicao adequada, iniciar uma sesso local no equipamento. Atravs da sesso possvel enviar comandos ao equipamento.
11 Downlink da organizao usuria (seta na parte superior da figura). Em geral essas duas interfaces fazem parte de uma sub-rede IP com dois endereos (rede /30). Um dos endereos associado ao downlink e o outro associado ao uplink. 11 O primeiro procedimento a ser executado para verificao da sade da conexo local a verificao do estado do roteador Juniper da instituio e da interface de uplink. 11 Para tal deve-se proceder com as seguintes verificaes: 22 Verificar se o roteador est ligado e operacional. 22 Se o roteador estiver desligado e no for possvel reativ-lo atravs do boto Power, deve-se abrir um chamado no PoP. 22 Verificar as condies gerais de hardware, software e interfaces de produo (uplink e de LAN).
q q
Estando o equipamento ligado, pode estar ocorrendo uma falha no sistema operacional, em componente de software ou hardware, a qual promove a perda do servio de roteamento. 11 Nesse caso, pode-se conectar ao roteador (atravs de telnet para o IP da interface LAN ou de porta console) e verificar as mensagens de erro com o comando show log messages. 11 H algum erro explcito de hardware e/ou software? Deve-se abrir um chamado no PoP detalhando o ocorrido. 11 Deve-se verificar as condies operacionais das interfaces de uplink e de LAN do roteador. 22 Isso pode ser feito no equipamento Juniper com o comando show interfaces terse.
17
user@Merlot> show interfaces terse Interface fe-0/0/0 fe-0/0/0.100 fe-0/0/0.200 fe-0/0/1 fe-0/0/1.0 fe-0/0/2 fe-0/0/3 Admin Link Proto Local up up up up up up up up up up up up down down inet 10.0.31.1/24 ccc ccc
11 As interfaces de produo devem estar no estado up up. 11 Se a interface de uplink no estiver no estado up up, deve-se abrir um chamado no PoP, detalhando o fato. 11 Nesse caso, pode-se passar tambm alguma mensagem de erro explcita que tenha sido percebida ao se executar o show log messages. 11 Se a interface de uplink est no estado up up mas a interface de LAN no est, deve-se verificar o estado do equipamento de distribuio de rede que se conecta a essa interface. 11 Nesse caso no h ao do PoP. A atividade corretiva de responsabilidade da instituio usuria.
18
Comando ping endereado pela LAN: 11 No Juniper, faz-se ping <IP Destino> from <IP LAN>.
Figura 1.21 Ping com origem na LAN no Juniper: comando ping 10.1.1.1 from 192.168.1.1.
19
Se o equipamento do PoP responder corretamente, fica caracterizado o bom funcionamento do roteamento entre PoP e organizao usuria. Nesse caso, pode existir um problema no backbone da RNP. Deve-se, ento, abrir um chamado no PoP, repassando o resultado do teste de ping executado.
11 recomendvel que a prpria instituio entre em contato com o PoP para cobrar uma posio da operadora sempre que for necessrio obter informaes mais detalhadas sobre o caso.
20
No momento em que a ferramenta foi acessada, quando se extraiu a imagem acima, o enlace de dados que liga os PoPs do Cear (CE) e Maranho (MA) estava indisponvel.
21
Pelo desenho da rede possvel verificar que essa falha no acarreta perda de servio, pois o enlace defeituoso parte de um anel que ainda conta com outros enlaces. Os clientes da RNP do Maranho ainda conseguem acessar o PoP do Cear fazendo o caminho:
MA->PA->PI->PE->PB(CGE)->PB(JPA)->RN->CE
No entanto, essa falha pode justificar um aumento na latncia de determinadas aplicaes. Por exemplo, uma instituio cliente do PoP do Par (PA) que possui uma aplicao que consulta uma base de dados em uma instituio parceira que est conectada ao PoP-CE normalmente percorre o caminho:
Latncia Tempo passado desde a sada de um pacote de dados de sua origem at a chegada em seu destino.
PA->MA->CE
Com a falha do link da figura, o caminho ser:
PA->PI->PE->PB(CGE)->PB(JPA)->RN->CE
Apesar de a largura de banda em todos esses enlaces ser alta, as aplicaes vo perceber um inevitvel aumento de latncia. Se esse for um parmetro crtico para o funcionamento de uma aplicao, impactos podem ser percebidos. Outra informao til do Panorama do Trfego que pode ajudar no entendimento de problemas o nvel de uso dos enlaces de dados. Por exemplo: na Figura 1.23 percebe-se que o enlace de dados que atende ao PoP-AP est amarelo. Ao posicionar o cursor no link daquele PoP verifica-se o volume do trfego no enlace, vide a figura seguinte:
Introduo rede Ip
A Figura 1.23 mostra que, em alguns horrios, o trfego entrante no Amap chega a 51,14 Mbps, que corresponde a 75,20% da capacidade total desse enlace. Embora esse fato justi fique bem alguma percepo de lentido por parte de uma instituio atendida pelo PoP-AP, ele pode indicar ateno, pois um maior uso do canal poder rapidamente deteriorar a qualidade da comunicao de todos os clientes desse PoP.
22
O Panorama do Trfego constitui, portanto, uma ferramenta til de acompanhamento no s de problemas do backbone, como da evoluo natural do trfego de um PoP de interesse. A consulta a essa ferramenta complementa as informaes sobre falhas de backbone que podem ser obtidas diretamente com o PoP.
23
24
Introduo rede Ip
Roteiro de Atividades 1
Atividade 1.1 Panorama do trfego
Uma organizao usuria comeou a perceber certa lentido no acesso a um determinado site da internet. Proativamente, o administrador da rede resolveu acessar a ferramenta Panorama do Trfego, disponvel em http://www.rnp.br/ceo/trafego/panorama.php. Ao faz-lo, o administrador concluiu que o problema, no momento, provavelmente afeta tambm outros clientes. Resolveu ento ligar para o PoP da RNP para verificar se algo pode ser feito. A figura seguinte retrata o panorama que foi visto pelo administrador de rede no momento de seu acesso. Considerada a figura, onde deve estar localizado o site com o qual o cliente quer se comunicar?
25
Aes: ( ) Executar um ping para o roteador do PoP utilizando IP origem da LAN, para testar se h falha de roteamento na comunicao PoP-Organizao. Ordem: Comandos: ( ) Verificar se o roteador da organizao est ligado e operacional. Ordem: Comandos: ( ) Verificar as condies gerais de hardware, software e interfaces de produo no roteador da organizao com os comandos show log messages e show interfaces terse. Ordem: Comandos:
26
Introduo rede Ip
2
Segurana na rede Ip
objetivos
Orientar a instituio sobre os procedimentos adequados para tratar os incidentes de segurana e como se relacionar com o CAIS.
conceitos
O Centro de Atendimento a Incidentes de Segurana da RNP foi criado em 1997. Hoje o CAIS compreende uma equipe tcnica com notvel reputao na rea de segurana de redes,
Captulo 2 - Segurana na rede Ip
equipe que se reporta Diretoria de Servios e Solues (DSS) da RNP. O CAIS internacionalmente reconhecido por sua atuao na deteco, resoluo e pre veno de incidentes de segurana na rede acadmica brasileira e por sua forte presena na Amrica Latina, promovendo a cultura de segurana. O CAIS elabora, promove e dissemina prticas de segurana em redes. Entre os rgos internacionais que contam com a participao do CAIS esto o Forum of Incident Response and Security Teams (FIRST www.first.org ) e o Anti-Phishing Working Group (APGW www.antiphishing.org ).
27
O contato com diversas instituies internacionais permite ao CAIS interagir com equipes de resposta a incidentes de segurana de diversos pases e setores. Essas equipes so conhecidas como Computer Security Incident Response Team (CSIRT). No Brasil, o CAIS presta servios comunidade acadmica e organiza anualmente o Dia Internacional de Segurana em Informtica (DISI), evento voltado para a conscientizao do usurio final no uso da internet e outros ambientes. Os servios tpicos prestados pelo CAIS se materializam em: 11 Tratamento de incidentes. 11 Disseminao da cultura de segurana. 11 Infraestrutura de segurana. 11 Gesto de segurana da informao. 11 O CAIS trata incidentes de segurana que envolvam o backbone da RNP, trocando informaes com os PoPs, CSIRTs no Brasil e provedores de servio. 11 Incidentes podem ser comunicados ao CAIS atravs do e-mail: cais@cais.rnp.br.
28
11 Qualquer incidente de segurana pode ser reportado ao CAIS. 11 Por incidente de segurana entenda-se qualquer evento que promova a quebra da poltica de uso da RNP. 11 A poltica estabelece que as organizaes usurias da RNP, para a promoo de suas atividades de ensino e pesquisa, podem: 22 Utilizar os servios de rede disponveis, suas facilidades de trnsito nacional e internacional. 22 Usufruir de acordos de interconexo existentes entre a RNP e outras redes. Exceto quando esse uso se reflete em: 1. Produo ou transmisso de dados ou materiais considerados ilegais, entre outros, por caracterizarem: transgresso dos direitos do autor, de proteo criana e ao meio ambiente, atentado privacidade ou promoo discriminao racial ou religiosa. 2. Veiculao de propaganda comercial, poltica ou religiosa. 3. Transmisso de mensagens ou material de propaganda no solicitado pelo destinatrio. 4. Uso em atividades estritamente comerciais. 5. Atividades que contribuam para a ineficincia ou esgotamento dos recursos na rede, sejam eles computacionais, comunicacionais ou humanos. 6. Atividades que promovam a corrupo ou destruio de dados de usurios. 7. Atividades que interrompam ou prejudiquem a utilizao dos servios de rede por outros usurios. 8. Interligao ou abrigo em seu espao de endereamento de uma terceira instituio sem qualificao obtida atravs desta Poltica de Uso. Um evento que fere os itens 3 ou 7 no configura um incidente de segurana. Um evento que fere quaisquer dos outros itens da poltica dado como um incidente de segurana. 11 Caso ocorram incidentes de segurana dentro da instituio, ela deve se preocupar em corrigir o problema, sob pena de deixar de usufruir dos servios de rede disponveis. 11 Algumas consequncias indiretas tambm podem ocorrer, como: 22 Bloqueio, por parte de terceiros, da entrega de e-mails enviados a partir da instituio. 22 Enquadramento em leis internacionais de proteo propriedade intelectual. 22 Comprometimento da imagem da instituio ou mesmo da RNP.
11 Os incidentes de segurana mais comuns tratados pelo CAIS so: 22 Envio de mensagens de e-mail no solicitadas (spam). 22 Ataques a sistemas (procura por vulnerabilidades e invaso). 22 Golpes de fraudes bancrias, cartes de crdito (phishing). 22 Troca de pginas web. 22 Download de material protegido por copyright (P2P e outros). 22 Disseminao de malware.
O trabalho do CAIS
29
11 Os incidentes de segurana mais srios (e menos frequentes) tratados pelo CAIS so: 22 Pedofilia. 22 Difamao. 22 Solicitaes judiciais.
A ajuda do CAIS
Na prtica, o CAIS oferece os seguintes servios: 11 Notificao s instituies clientes sobre quaisquer incidentes de segurana que cheguem ao conhecimento da comunidade acadmica nacional de segurana. 11 Auxlio na resoluo dos incidentes, seja esclarecendo dvidas, orientando sobre boas prticas ou fazendo interface com outros grupos de segurana. 11 Manuteno e disponibilizao de dados estatsticos sobre o atendimento a incidentes na RNP. 11 Acesso direto equipe do CAIS atravs de ferramenta de dilogo IRC, facilitando a comunicao para resoluo de incidentes.
Introduo rede Ip
30
11 Mantenha a data e hora de seus sistemas ajustados por NTP, para garantir a preciso do horrio nos logs de eventuais ataques. 11 Caso a instituio tenha sofrido algum incidente de segurana: 22 Colete todos os dados relacionados ao incidente. 22 Certifique-se de incluir data, hora e fuso horrio. 22 Notifique o atacante, com cpia ao CAIS. 22 Caso a instituio tenha sido origem de um incidente de segurana: 33 Trate o caso com responsabilidade. 33 Busque identificar o problema, resolv-lo, e responder ao solicitante, copiando o CAIS na resposta.
31
32
Introduo rede Ip
3
Infraestrutura de rede
objetivos
Orientar a instituio sobre os tipos de conexo rede da RNP, a infraestrutura de rede, equipamentos, cabeamento e infraestrutura fsica.
conceitos
Conexo da organizao usuria ao PoP da RNP, uso e especificao de switches e roteadores, topologia da rede, infraestrutura de cabeamento e infraestrutura fsica.
Organizao usuria
PoP RNP
A Figura 3.1 mostra uma conexo de fibra ptica entre uma organizao usuria e o PoP da RNP. O enlace exibido reporta a conexo lgica. Fisicamente no existe um cabo ptico conectando os dois pontos. A operadora constri esse circuito dentro da sua infraestru tura. Ou seja, em termos prticos, o link implementado passando por uma ou mais esta es da operadora em questo.
RNP
33
RNP
Organizao usuria
PoP RNP
A Figura 3.2 exibe uma instituio que foi conectada rede Ip via rdio. Essa uma opo utilizada principalmente em locais onde no existe infraestrutura de cabeamento pronta para uso. Dependendo da situao, a conexo rdio pode ser implementada exatamente como na Figura 3.2, com uma antena no PoP da RNP e outra no cliente. Porm, o que ocorre cotidianamente que o link rdio liga a organizao usuria a um ponto de presena da operadora, e esse ponto conectado ao PoP RNP via rede cabeada. Ou seja, de fato tem-se um enlace que parte sem fio e parte cabeado.
PoP Operadora
RNP
Figura 3.3 Ligao de instituio via satlite.
Introduo rede Ip
Organizao usuria
PoP RNP
A Figura 3.3 exibe uma instituio conectada rede Ip via satlite. Essa opo usada em casos onde a organizao usuria encontra-se em um lugar remoto onde no se pode usar cabos ou um rdio diretivo por falta de visibilidade entre a instituio e o ponto de presena da operadora mais prximo. Um exemplo tpico so as instituies localizadas em reas de selva nos estados amaznicos.
34
11 Nos casos exibidos o enlace de dados contratado pela RNP junto a uma operadora de telecomunicaes. 11 O contrato firmado entre essas duas partes estabelece parmetros de qualidade que devero ser atendidos, como: 22 Largura de banda disponvel, tempo de resposta, taxa de erro de bit (BER) etc. 11 Cabe RNP executar a gesto desse contrato, garantindo o seu cumprimento e aplicando as punies necessrias quando os itens acordados no forem atendidos. 11 Em qualquer dos casos, invariavelmente, a organizao usuria receber, em suas dependncias, alguma infraestrutura de equipamentos da operadora. 11 A organizao ter que zelar pelo bom funcionamento desses equipamentos, mantendo-os em condies recomendadas. 11 No caso mais simples, de organizao usuria atendida por rede cabeada, a opera dora instala um modem nas dependncias da organizao. A conexo se apresenta como no esquema da Figura 3.4.
Rede Operadora
Modem
Cabo serial
Roteador RNP
Todos os equipamentos detalhados na figura ficaro nas dependncias da organizao usuria. Na Figura 3.4 o roteador fornecido pela RNP e seu objetivo receber a conexo da operadora e rotear pacotes de dados da rede da instituio para fora. O modem da figura pertence operadora de telecomunicaes. A infraestrutura adequada para abrigar esses dispositivos ser apresentada adiante. 11 A conexo entre o roteador e o modem quase sempre se d via interface serial do roteador. 11 Existe uma grande variedade de conectores que podem compor o cabo que faz essa conexo. 11 O conector V.35 um dos mais populares.
35
A Figura 3.5 mostra, alm do V.35, outros conectores que so usados cotidianamente.
EIA/TIA-232
EIA/TIA-449
V-35
X21
EIA-530
Na figura, a parte superior dos cabos corresponde ao conector que se liga porta serial do roteador da RNP. A parte inferior do cabo se liga ao modem da operadora. Esse cabo, via de regra, fornecido pela operadora de telecomunicaes provedora do circuito de dados. Para os casos em que a instituio conectada via rede sem fio, a infraestrutura instalada pela operadora um pouco mais complexa. O equipamento da RNP sempre o mesmo: um roteador. Alm da antena, que deve ficar no telhado ou em uma torre para prover visibili dade com a antena que fica no ponto de presena da operadora, necessria a instalao de uma infraestrutura especfica. Para trazer o sinal da antena para dentro da instituio instalado um cabeamento de RF. Esse cabeamento termina em um transceiver, o qual se conectar ao roteador. A operadora instala isoladores no cabeamento, perto da antena, para proteger os equipamentos de rede da instituio de descargas eltricas que porventura tentem se propagar via cabeamento da antena para dentro da instituio. Para o caso da conexo via satlite a infraestrutura similar ao cenrio da rede sem fio, porm nesse caso temos o roteador ligado a um modem satlite, que adapta o sinal do rote ador ao meio fsico do enlace satelital. Em todos os cenrios apresentados o enlace da operadora sempre acaba no roteador da RNP. Esse equipamento define o ponto de delimitao entre a responsabilidade da opera dora e da organizao usuria. O roteador tem como objetivo principal prover o trnsito de pacotes de dados da rede da instituio para o PoP e vice-versa. O equipamento suporta ainda outras funcionalidades que podero ou no ser usadas, como protocolos de roteamento, VPN, firewall, segmentao de rede em VLANs e NAT, entre outras. Mais detalhes sobre o equipamento que ser usado pela instituio sero apresentados mais frente neste curso.
Os equipamentos de rede mais usados em redes profissionais so os roteadores e os switches. Em redes mais antigas ou em ambientes no corporativos hubs tambm podem ser usados. Esse curso no tratar de hubs, pois o uso deles j no recomendado por diversos motivos.
36
Os fabricantes de rede dividem a linha de equipamentos em: 11 Produtos para escritrio (Office). 11 Produtos para empresa (Enterprise). 11 Produtos para provedor de servio (Provider). O nome comercial varia entre fabricantes. Em alguns casos a linha pode ser subdividida em
mais segmentos. As trs linhas citadas so a referncia de mercado. Alguns fabricantes definem ainda uma linha adicional de produtos para centro de processamento de dados (Data Center). Essa linha adicional se destina especificamente s empresas que administram grandes infraestruturas de processamento de dados. A complexidade, os protocolos particulares e o gigantesco volume de dados que ali existem implicam otimizaes especficas na arquitetura dos equipamentos dessa linha.
Especificao de racks
Os equipamentos de infraestrutura de redes e de servios podem ser classificados quanto a sua disposio fsica em duas grandes famlias: 11 Equipamentos de mesa; 11 Equipamentos de rack. Dentre os equipamentos de mesa esto os servidores de torre e os PCs (que constantemente abrigam servios).
Em algumas empresas, os equipamentos de mesa so rejeitados, porque no possvel organiz-los em racks. Constantemente os equipamentos de mesa ocupam espaos importantes de CPDs de maneira difcil de organizar. 11 Os racks so armrios prprios para receber equipamentos de telecomunicaes. 11 Proveem infraestrutura especfica para passagem de cabos, acomodao de fontes extras, ventiladores, barra de aterramento e rguas de energia. 11 Os racks de 19 so os preferidos da indstria de telecomunicaes e grande parte dos equipamentos do mercado fabricada de modo a encaixar perfeitamente nesses racks. 11 Normalmente um equipamento ocupa toda a largura do rack e parte de sua altura. 11 O espao de altura dos racks dividido em RUs (rack units). 11 Ao comprar um equipamento deve-se atentar para a informao de espao fsico necessrio em rack. 37
Captulo 3 - Infraestrutura de rede
Alguns tamanhos tpicos de rack so 8, 12 e 16 RUs. O equipamento Juniper J2350, por exemplo, possui 1,5 RU.
40 RUs
Figura 3.8 Diviso de rack em RUs.
1,5 RU
Fontes redundantes
Quase todo equipamento moderno de redes ou de telecomunicaes possui uma verso com fontes redundantes. A fonte de um equipamento, assim como ocorre com um compu tador pessoal, responsvel pelo fornecimento de energia para todos os componentes do hardware. Uma falha de fonte provoca a parada imediata do equipamento. A fonte redun dante capaz de resolver o problema. Na grande maioria dos casos o equipamento possui tecnologia para promover a comutao automtica para a fonte backup em caso de falha na fonte principal. 11 Os equipamentos tambm possuem a tecnologia de hot swap, que permite trocar uma fonte queimada sem parada do equipamento.
Introduo rede Ip
11 Um dos perigos da fonte redundante a sua gerncia. muito comum no mundo corporativo ocorrerem falhas de fonte sem que o administrador do equipamento tome conhecimento. 11 Nesses casos a fonte backup assume, mas no haver backup para ela. 11 Se esse componente falhar, haver parada de servio. 11 Concluso: no adianta ter fontes redundantes enquanto no se intervm na fonte defeituosa.
38
fundamental um eficiente ferramental de gerncia de hardware. Tipicamente o protocolo SNMP o responsvel pelo reporte de uma falha dessa magnitude, sendo suportado por praticamente todo tipo de equipamento de redes e de telecomunicaes.
Topologia da rede
O objetivo maior da gerncia de redes garantir o maior tempo de disponibilidade possvel para os recursos e servios da instituio. Para ajudar a alcanar esse objetivo existem vrias outras boas prticas alm da atividade de gerncia. Uma dessas atividades o desenho racional da topologia da rede. 11 Existem trs desenhos bsicos: barramento, anel e estrela. 11 A maioria das topologias de rede possui uma dessas trs configuraes ou uma com binao delas.
39
11 Ao definir a topologia da rede dois conceitos ajudam a melhorar a robustez dela: redundncia e hierarquia. 11 O conceito de redundncia fica claro na topologia em anel. Uma topologia preocu pada com a redundncia evita que as VLANs (ou redes) dependam de um nico link para se manterem disponveis. 11 A ideia de hierarquia define equipamentos com funes bem definidas na rede, evitando mistura de papis entre eles.
Cada tipo de equipamento tem uma tarefa bem definida, e por isso sua especificao tcnica particular e direcionada tarefa para a qual ser designado. A figura seguinte exibe um modelo de referncia que assume os conceitos de redundncia e hierarquia.
Ncleo
Distribuio
Acesso
Introduo rede Ip
Nesse modelo de referncia os equipamentos foram divididos em camadas. 11 Cada camada prov servio para todas as camadas mais abaixo. 11 A camada de acesso conecta os usurios rede e prov comutao de frames entre usurios da mesma VLAN.
40
11 A camada de distribuio concentra os equipamentos de acesso e segmenta diferentes grupos de trabalho. 22 Um bom arranjo dessa camada ajuda a isolar problemas de rede. 22 Essa camada tambm pode implementar polticas de segurana. 11 A camada de ncleo constitui a espinha dorsal da rede, constituda de links de alta velocidade, normalmente na faixa dos gigabits por segundo. 22 Essa camada concentra os equipamentos de distribuio. 22 Sua funo rotear pacotes entre os equipamentos de distribuio e as redes externas o mais rpido possvel. 11 No modelo, cada equipamento possui duas conexes com a camada imediatamente acima, por questes de redundncia. O esquema representado na figura acima apenas uma referncia. No mundo real nem
sempre possvel obter-se um modelo de rede perfeitamente hierarquizado e redundante, principalmente por questes financeiras. De toda forma, quanto mais perto do modelo de referncia for a rede, melhor o seu desempenho geral.
Identificao de cabos
11 Uma prtica muito simples que ajuda enormemente a tarefa de manter a rede organizada e documentada a identificao de cabos. 11 Uma rede que se estende por um espao fsico muito extenso e que possua muitos cabos rapidamente se transforma em um caos completo.
A identificao de cabos permite saber de imediato que equipamentos esto conectados entre si e qual cabo prov essa conexo, agilizando todo tipo de aprovisionamento, desapro visionamento ou troubleshooting da infraestrutura fsica de cabeamento.
41
Obviamente, para garantir a organizao do ambiente no basta identificar os cabos, preciso manter as etiquetas atualizadas toda vez que uma mudana for feita, ou seja, reco mendado estabelecer um processo de mudana das conexes da rede.
equipamentos ali presentes. A segurana fsica dos equipamentos deve ser verificada antes que qualquer poltica de segurana lgica seja elaborada.
Introduo rede Ip
Equipamentos de apoio
11 Alguns equipamentos de apoio ajudam a aumentar a disponibilidade dos equipamentos. 22 Exemplos: nobreaks e geradores. 11 Os nobreaks protegem os equipamentos contra picos de luz, cobrindo o fornecimento de energia durante falhas curtas de fornecimento eltrico.
42
11 Dependendo da criticidade das aplicaes da rede a instituio pode lanar mo de um gerador, que permite a manuteno de energia eltrica mesmo durante longas falhas da concessionria de energia. 11 Existem vrios tipos de geradores, dos mais robustos e caros aos mais simples e baratos. Um erro comum ignorar a necessidade de manuteno dos equipamentos de apoio.
muito comum ocorrerem casos de falhas de energia onde o gerador no assume porque, por exemplo, est sem carga.
Refrigerao
11 Todo equipamento instalado na sala de equipamentos traz em sua documentao tcnica a quantidade de BTUs que ser consumida. 11 importante fazer a gerncia da capacidade de refrigerao da sala, de modo a garantir que o consumo de refrigerao dos equipamentos da sala no ultrapassar a capacidade de refrigerao do equipamento de ar-condicionado.
Instalao eltrica
Todo equipamento instalado na sala de equipamentos (ou CPD) traz em sua documentao tcnica a potncia mdia dissipada, bem como a capacidade mxima de sua(s) fonte(s). importante fazer a gerncia da infraestrutura eltrica da sala de equipamentos para evitar que a capacidade dos componentes (quadros de energia, disjuntores etc.) seja ferida.
Aterramento
11 Todo equipamento de redes e de telecomunicaes deve ser aterrado em infraestrutura adequada. 11 fortemente indicado que a instituio que abrigar equipamentos em suas dependncias providencie uma malha de terra adequada. 11 comum instituies e residncias ignorarem essa questo, que pode evitar a queima dos equipamentos em situaes de descargas eltricas.
43
44
Introduo rede Ip
4
Switches e roteadores
objetivos
Descrever o uso de switches de camada 2 e de camada 3, o uso de roteadores na rede da instituio, a conexo com a rede da RNP e as vantagens de utilizar VLANs.
conceitos
Switches L2
11 Os switches L2 tm a funo de distribuir e segmentar os pontos de rede e as LANs do ambiente. 11 A funo fundamental desses elementos receber um frame, avaliar o campo ende reo MAC destino e tomar a deciso de encaminhamento. 11 O switch L2 no faz o servio de roteamento de pacotes; se um frame chega para ele, ocorre que tipicamente algum roteador j tomou a deciso de roteamento, ou seja, a rede onde o destinatrio do pacote reside j foi descoberta. 11 Cabe ao switch apenas avaliar em qual ponto de rede est o destinatrio do frame.
45
Pacote
Roteamento L3
Destino
Introduo rede Ip
Switches L3
11 Os switches L3 podem fazer as funes de L3 e/ou de L2. 11 Cabe ao administrador de rede fazer essa definio. 11 Em algumas situaes, o switch L3 pode substituir o uso do roteador e do switch L2, de modo que as funes L2 e L3 estejam no mesmo equipamento. 11 Em outras aplicaes, o switch L3 pode fazer a funo L2 para algumas VLANs e a funo de L3 para outras, dependendo da convenincia do administrador.
46
Algumas aplicaes do switch L3 so mostradas a seguir. A figura seguinte exibe uma rede local tpica, um roteador fazendo o papel de default gateway da LAN e um switch fazendo o papel de distribuio dos pontos de rede. Embora haja apenas um nico switch no esquema da figura, poderiam existir vrios outros, operando em diferentes hierarquias.
Funo L3
Funo L2
Figura 4.2 Interao L2-L3 tradicional com switch e roteador.
VLAN A
VLAN B
VLAN C
A figura seguinte mostra a mesma LAN, mas o roteador e o switch foram substitudos por um nico equipamento, um switch L3.
Funes L3 e L2
Figura 4.3 Switch L3 faz o papel de default gateway de vrias redes/sub-redes/ VLANs.
VLAN A
VLAN B
VLAN C
Uma aplicao tpica do switch L3 no mundo real pode ser vista nas prximas figuras. 11 Os servidores das VLANs 10 e 20 no acessam a internet nem a rede Ip, no entanto essas duas VLANs trocam grande volume de trfego entre si. 11 A VLAN 30 usa a rede Ip intensamente, acessando servidores das VLANs 10 e 20 eventualmente. O administrador de rede recebeu vrias reclamaes de lentido de usurios da VLAN 30. Na figura abaixo as setas pretas exibem o trfego entre as VLANs 10 e 20. As setas cinzas mostram o trfego da VLAN 30.
q
Captulo 4 - Switches e roteadores
47
Rede Ip
Link saturado
VLAN 30
VLAN 20
VLAN 10
Aps uma investigao, foi percebido que o link entre o switch L2 e o roteador apresentava descarte de pacotes, sinal de saturao. 11 O administrador de rede dispunha de um switch L3 que sobrou de um projeto no terminado e resolveu trocar o switch L2 pelo L3. 11 O switch L3 se tornou o default gateway das VLANs 10 e 20. 11 O trfego entre as VLANs 10 e 20 no compete mais com o trfego entre VLAN 30 e rede Ip.
48
Introduo rede Ip
Rede Ip
Link OK
VLAN 30
VLAN 20
VLAN 10
No mundo real poderamos pensar em fundir as VLANs 10 e 20 em uma mesma VLAN. Dessa forma o trfego entre os hosts das duas redes no mais competiria com o trfego da VLAN 30. No entanto, existem situaes em que essa fuso no possvel, por motivos tcnicos ou polticos. Seria possvel ainda pensar em substituir tambm o roteador. Na figura optou-se por manter o roteador ativo. Essa deciso pode ser correta em casos onde o roteador presta outros servios alm do roteamento tradicional, como NAT, firewall e VPN, entre outros. Dessa forma, evita-se que o switch L3 fique com seus recursos de hardware saturados, mantendo nesse equipamento apenas os servios tradicionais de roteamento e switching. Da mesma forma, h economia de recursos do roteador com a reduo do trfego que ele precisa tratar. O dimensionamento dos switches L3 definido quase pelos mesmos parmetros dos switches L2.
Captulo 4 - Switches e roteadores
Comutao L2
11 Os switches L2 tambm executam protocolos para otimizar o servio de encaminhamento. 22 Exemplo: protocolo spanning-tree. 11 Os switches se utilizam desse protocolo para evitar que ocorram loops de encaminha mento na rede. 11 Um loop de encaminhamento tem o poder de parar completamente uma rede, e isso efetivamente ocorre no mundo real.
49
11 Em ambientes onde existe mais de um caminho possvel para se chegar a um host fundamental a presena do spanning-tree, tanto que todos os fabricantes de equipa mentos de rede j deixam esse protocolo habilitado de fbrica. 11 Um switch normalmente executa uma instncia de spanning-tree para cada VLAN existente. Tem-se a um ponto de limitao para o dimensionamento do nmero de VLANs que um switch pode suportar. Root Bridge
A operao do spanning-tree no ser detalhada neste curso. Em resumo, seu objetivo fazer com que s exista um caminho vlido entre dois pontos quaisquer de uma rede L2.
q q
Empilhamento
11 Quando o nmero de usurios de uma rede local aumenta muito, necessrio lanar mo de outros recursos para fazer a rede escalar. 11 Os esquemas de expanso de portas no podem ajudar neste caso especfico. Nesse cenrio a soluo mesmo aumentar o nmero de portas fsicas. 11 Quando um switch no tem mais portas fsicas disponveis possvel empilhar mais de um switch para aumentar a densidade de portas. 11 O empilhamento consiste em criar um nico equipamento lgico a partir de dois ou mais switches fsicos. 11 A comunicao entre os switches pode se dar via porta Ethernet ou via cabeamento
Introduo rede Ip
especfico para o fim de empilhamento. A ideia simples. O administrador de redes empilha dois switches de 24 portas cada e obtm um nico switch lgico, que possui 48 portas. Os demais equipamentos de rede nunca sabero que ali existem dois switches, pois ambos respondem pelos mesmos ende reos IPs e pelo mesmo hostname.
50
Neste texto os termos VLAN e sub-rede so usados de maneira intercambivel, pois em uma rede dividida em VLANs os termos tm exatamente o mesmo significado. A figura seguinte ilustra um esquema onde os diferentes departamentos de uma instituio esto separados em VLANs.
R1
R2
SW1
SW2
200.1.1.64/26
200.1.1.0/26
200.1.1.128/25
51
11 A boa prtica diz que os hosts com maior interesse de trfego devem ficar na mesma VLAN (rede). 11 Dessa forma o trfego entre esses hosts no competir pelos recursos de rede com outros hosts. 11 O trfego de uma VLAN fica isolado do trfego das demais. 11 O isolamento de trfego das VLANs, alm de salvar recursos da rede, promove um maior grau de segurana. Um capturador de trfego que deseje capturar dados de um determinado departamento
ter que usar um ponto de rede na VLAN do departamento a ser vitimado. Outros pontos de rede no enxergaro esse trfego. O processamento dos hosts da rede tambm tende a cair com a reduo do domnio de broadcast consequente da subdiviso em VLANs. Quando os hosts esto todos na mesma rede (ou VLAN) um broadcast gerado por qualquer host recebido por todos os outros. A maioria dos hosts no usar a mensagem de broadcast. Com a rede dividida em sub-redes somente os pontos da VLAN onde foi gerado o broadcast recebem a mensagem, e recursos de rede e de hosts so economizados.
Na Figura 4.8 o roteador R1 o default gateway das VLANs 10 e 20, e o roteador R2 o default gateway da VLAN 30. Imagine que os dados do departamento financeiro so estritamente confidenciais e no devem trafegar por nenhuma outra VLAN. Para implementar essa condio em uma rede dividida em VLANs, basta criar uma regra, ou lista de acesso, impedindo que pacotes com IP origem que no estejam na rede 200.1.1.64/26 possam ser destinados a pacotes desse alcance. Essa regra poderia ser configurada na sada da interface de R1, que conecta ao switch SW1. Se todos os hosts estivessem misturados em uma grande rede, a configurao dessa poltica seria complicada. Analogamente, a configurao de polticas de roteamento tambm simplificada. Ainda na Figura 4.8, tem-se que o laboratrio dos alunos no pode ser capaz de acessar os websites hospedados no departamento de docentes. Pode-se configurar uma poltica de roteamento no roteador R1 de modo que a rede 200.1.1.0/26 no seja anunciada ao roteador R2. Dessa forma, caso R2 no tenha uma rota default para o R1, os alunos no conseguiro acesso aos sistemas da VLAN dos docentes. Observe que a soluo do problema do pargrafo acima tambm poderia ser a criao de uma regra de segurana, mas uma vez que a rede da figura no possui firewalls, o administrador da rede pode usar o roteador apenas para a tarefa de roteamento. O problema foi ento resolvido com a manipulao de uma poltica de roteamento. Se os websites do departamento de docentes estivessem misturados na mesma VLAN do laboratrio dos
Introduo rede Ip
Roteadores
11 Os roteadores so os protagonistas das redes baseadas em arquitetura TCP/IP ou IP/MPLS. 11 A funo fundamental desses elementos receber os pacotes IP, interpretar o campo IP destino e decidir como encaminhar o pacote.
52
11 Essa deciso a chave para o bom desempenho da rede e das aplicaes que dela se utilizam. 11 O uso de roteadores mandatrio em ambientes que tenham mais de uma rede, sub-rede ou VLAN.
Um ambiente de rede que possui apenas uma nica rede/sub-rede/VLAN no necessita de um roteador. Toda rede/sub-rede/VLAN, para ter seus pacotes chegando em outras redes, precisa de pelo menos um roteador. O roteador que roteia os pacotes da rede chamado default gateway da rede/sub-rede/VLAN. A figura seguinte exemplifica um ambiente de rede onde todos os hosts esto na mesma rede, ou seja, esto sobre o mesmo espao de endereamento IP. Nesse esquema um switch de rede (que no faz a tarefa de roteamento) fica diretamente conectado a um modem fornecido pelo provedor de servio, cenrio que dispensa a necessidade de um roteador.
10.1.1.0/24
10.1.1.14
10.1.1.19
10.1.1.12
11 Quando os roteadores da rede fazem uso de um protocolo de roteamento, diz-se que o roteamento ali dinmico. 11 O roteamento dinmico se caracteriza por recalcular automaticamente as rotas quando ocorrem alteraes na topologia da rede (quando ocorre uma falha, por exemplo). 11 Em redes complexas, onde existem vrias possibilidades de encaminhamento, o uso do roteamento dinmico salutar.
q
Captulo 4 - Switches e roteadores
53
11 O roteamento esttico tambm utilizado na rede Ip, para executar o servio de encaminhamento de pacotes em partes da rede onde no h deciso de encaminhamento a ser feita. 11 O roteamento esttico, diferente do dinmico, no caracteriza troca de informaes entre roteadores. 11 A informao de roteamento inserida manualmente no roteador por um administrador de rede.
A comunicao entre o roteador da instituio e a rede IP se d tipicamente atravs de roteamento esttico, pois h apenas um caminho possvel entre as duas entidades. A van Introduo rede Ip
tagem de se usar essa modalidade de roteamento a economia de recursos. O roteamento esttico usa muito pouco de memria e CPU do roteador, enquanto que os protocolos de roteamento dinmico, dependendo do tamanho da rede, podem requerer roteadores de grande porte, que so equipamentos caros. Fazendo referncia arquitetura de referncia OSI, diz-se que os roteadores atuam na camada 3 (layer 3) da arquitetura, chamada camada de inter-rede; na arquitetura TCP/IP essa camada se chama simplesmente camada de rede. Da a expresso equipamento L3.
54
O dimensionamento de um roteador depende: 11 Do volume de trfego que ser cursado em suas interfaces; 11 Da quantidade de interfaces que o roteador pode suportar; 11 Da necessidade de redundncia de hardware (fontes, CPUs, backplanes); 11 Da capacidade do seu backplane (hardware de encaminhamento interno por onde passar o trfego de todas as interfaces); 11 Dos protocolos que sero usados e do tamanho da rede envolvida. O backplane do hardware est intrinsecamente ligado soma das capacidades das interfaces que funcionaro no equipamento. Um roteador com backplane de baixa capacidade no pode ter, por exemplo, dezenas de interfaces de 10Gbps, pois todo esse trfego passar pelo backplane. Em algumas situaes, as placas de rede possuem alguma capacidade de processamento, fazendo com que parte da deciso de encaminhamento seja definida na prpria interface de rede, que acaba por otimizar recursos do backplane e da CPU principal da mquina, evitando que a sua capacidade precise ser maior que a soma das capacidades das interfaces. Em arquiteturas mais novas, o backplane subdividido em estruturas menores, de modo que cada estrutura fica responsvel por um conjunto de interfaces. O porte de um roteador pode variar muito dependendo do seu uso. Por exemplo, o peso de um roteador pode variar de 6 (default gateway de algumas redes locais) a 180 kg (roteador de um provedor de porte nacional). Seu preo pode variar de pouco milhares de reais at centenas de milhares de dlares.
Para tomar a deciso de encaminhamento da forma mais eficiente os roteadores podem fazer uso de um protocolo de roteamento dinmico. Atravs dele os diferentes roteadores que compem a rede trocam informaes uns com os outros e, baseando-se nas informa es recebidas dos vizinhos, concluem qual o melhor caminho para se direcionar cada um dos pacotes IP recebidos. 11 Os principais protocolos de roteamento dinmico executados na rede Ip e em vrios outros provedores comerciais so OSPF e BGP. 11 Em redes de organizaes menores pode-se utilizar outros protocolos mais simples que consomem menos recursos de hardware (e consequentemente requerem equipamentos mais baratos). 11 Um exemplo de protocolo de roteamento simples o RIP. 11 Exemplos de outros protocolos menos populares, mas no menos eficientes que os citados: 22 IS-IS. 22 EIGRP. 55
q
Captulo 4 - Switches e roteadores
Roteador de borda
11 O roteador de borda prov a comunicao de todas as VLANs da rede local com a internet. 11 Esse elemento candidato natural a receber a configurao das polticas de rotea mento da instituio, tais como restries de acesso a sites no autorizados. 11 Problemas de lentido ou indisponibilidade de servios de internet podem ter ligao direta com a boa sade desse roteador e do seu link com a internet, normalmente chamado de uplink da instituio. 11 Quando a conexo da instituio no tiver um enlace de backup, esse roteador execu tar roteamento esttico, o mais recomendado para esse cenrio. 11 Se houver mais de um enlace atravs do qual se possa chegar internet, esse ele mento dever executar um protocolo de roteamento dinmico.
Internet
Rede local
Roteador de borda
VLAN 21
VLAN 22
VLAN 23
Troubleshooting bsico
Gerncia e documentao de rede, planejamento de topologia, controle da alocao de IPs e da distribuio das sub-redes e identificao de cabos. Todas essas prticas apresentadas configuram diferentes recursos para atingir um mesmo fim: manter a maior disponibilidade possvel dos servios de rede. s vezes, mesmo com todos esses cuidados, os problemas ocorrem.
Introduo rede Ip
O troubleshoot de falhas pode ser simples ou complexo, dependendo dos recursos disponveis. Todas as prticas apresentadas no pargrafo anterior ajudam significativamente a acelerar o processo de soluo. O ltimo recurso uma metodologia bsica de ataque a problemas. Uma metodologia que funciona com frequncia a seguinte: 1. Predizer o comportamento normal da rede e comparar o cenrio correto com o sintoma percebido.
56
2. Isolar o problema: investigar a conectividade de camada 3 de cada hop. 3. Ao encontrar o hop cuja conectividade de camada 3 no funciona, verificar nesse hop a sade das camadas 2 e 1. Para executar esse processo aparentemente simples, faz-se uso de uma srie de conhecimentos e recursos. O exemplo seguinte ilustra a aplicao do mtodo de forma didtica e demorada. Na prtica, vrias das etapas da investigao que ser apresentada podem ser executadas de maneira simplificada com o comando traceroute ou com uma breve entrevista junto ao usurio reclamante.
PC 3 Sw4
Sw3
PC 2 10.0.1.2/24
10.0.0.1/24
O usurio do PC1 reclamou que no consegue mais acessar http://webserver.com/relatorio, uma pgina web que est hospedada no servidor web da figura. Um usurio do PC3 acessa normalmente o site, sugerindo que no h problema com o servidor. A Figura 4.14 ilustra todos os passos da conectividade de camada 3 entre PC1 e o servidor em uma situao normal. Os nmeros ao lado das setas identificam a ordem dos acontecimentos. As setas pretas ilustram a viagem dos dados de PC1 at o servidor. As setas cinzas mostram o caminho da resposta do servidor at PC1.
Captulo 4 - Switches e roteadores
Como o servidor est funcionando, o administrador da rede orientou o usurio a fazer um ping para o IP do servidor. O ping no teve sucesso. Dessa forma, a prxima etapa verificar qual dos 6 passos no est ocorrendo. Para cada passo investigado, caso a conectividade de camada 3 funcione, no se far necessrio verificar as camadas 2 e 1 do hop. Investigando o passo 1, foi verificado se o pacote est realmente saindo de PC1 e chegando ao R1. O primeiro passo foi investigar se o browser utilizado no PC1 est conseguindo tra duzir o nome do servidor para o IP correto, 10.0.0.1. Isso pde ser verificado executando-se no PC1 o comando nslookup webserver.com.
57
O prximo passo foi verificar se a configurao de default gateway do PC1 est correta. O comando ipconfig /all mostrou o IP da interface f0/0 do R1 como o default gateway. A configurao do PC1 estava correta. Foi executado um ping do PC1 para o IP do seu default gateway, no caso, o IP da interface f0/0 de R1. O ping funcionou. O passo 1 da figura est funcionando. Em seguida o passo 2 foi investigado. Analisando a tabela de rotas de R1 foi verificado se ele conhece a rede 10.0.0.0/24, onde est o servidor. Verificou-se que a rota conhecida e que aponta para R2, o que correto. Por fim, a partir de R1 foi feito um ping para a interface f0/1 de R2, que funciona. O passo 2 corretamente verificado. Em seguida o passo 3 foi investigado. Analisando a tabela de rotas de R2 foi verificado se ele conhece a rede 10.0.0.0/24, onde est o servidor. Verificou-se que a rota conhecida. Em seguida o administrador tentou um ping do R2 para o IP do servidor web, que funcionou. Passo 3 corretamente verificado. Os pargrafos acima mostram que um pacote saindo do PC1 chega ao servidor. Agora, o administrador avalia o trfego de retorno. Como o ping do passo 3 funcionou, o administrador concluiu de imediato que o servidor consegue fazer um ping para o seu default gateway, logo, o passo 4 funciona. Isso j poderia ser concludo apenas pelo fato de o PC3 conseguir acessar o servio. Em seguida o passo 5 foi investigado. Analisando a tabela de rotas de R2 foi verificado se ele conhece a rede 10.0.1.0/24, onde est o PC1. A rota desconhecida. A partir de R2 foi feito um ping para o IP de PC1. O ping no funcionou! O passo 5 no est funcionando. A partir daqui a investigao se concentra nesse hop. Nesse caso, existe uma clara falha na camada 3. Assim, por ora, no ser necessrio descer s camadas 2 e 1. Foi verificado que a vizinhana OSPF entre R1 e R2 estava estabelecida. No entanto, por algum motivo, R1 deixou de anunciar a rota 10.0.1.0/24 para R2. Foi verificado que algum editou um filtro de rotas de maneira incorreta em R1, o que provocou a falha. O administrador corrigiu o filtro e o passo 5 passou a funcionar. Fazendo uma nova tentativa o usurio conseguiu acesso ao servidor. Se aps a alterao no protocolo de roteamento o passo 5 continuasse a falhar, o prximo passo seria investigar a camada 2 nesse passo, ou seja, as configuraes do switch SW2.
58
Introduo rede Ip
Estudo de caso
Solicitao, atribuio e administrao de blocos IP
RNP / Internet
R1
fe-0/0/2 fe-0/0/2 fe-0/0/0 fe-0/0/1 fe-0/0/1
R2
fe-0/0/0
SW1
SW2
SW3
SW4
VLANs 10 e 20
VLAN 30
VLAN 40
VLAN 50
Dados da rede
VLANs PCs administrao Laboratrios Infraestrutura Servios PCs professores Intervalo 200.33.1.128/25 200.33.1.32/28 200.33.1.16/29 200.33.1.64/27 200.33.1.96/27 Total de IPs 126 14 6 30 30 IPs em uso 112 4 3 11 5 Crescimento estimado 126 6 3 12 20
59
Descrio do cenrio
Uma instituio de ensino mantm a rede cujo esboo do diagrama de rede encontra-se na figura. Na poca da qualificao junto RNP foi concedido organizao o intervalo de endereos 200.33.1.0/24. poca, a demanda da rede era de 100 endereos. O administrador de rede dividiu ento o intervalo /24 em dois intervalos /25. 11 Intervalo 1: 200.33.1.0/25; 11 Intervalo 2: 200.33.1.128/25. O administrador usou o segundo intervalo para compor uma VLAN de PCs da administrao, a VLAN 10 (a nica rede existente poca) e guardou o primeiro intervalo para demandas futuras. Um ano depois, toda a equipe de administradores de rede mudou e no havia muita docu mentao. Vrias demandas de novas VLANs surgiram. Os novos administradores foram alocando novos intervalos de IP sem muito planejamento. Nesse perodo foram criadas mais 4 VLANs: 20, 30, 40 e 50. Alm disso, o nmero de usu rios da VLAN 10 cresceu mais. Os dados atuais das 5 VLANs da instituio so encontrados logo abaixo da figura. Voc foi contratado para ajudar os administradores de rede da instituio a resolver vrios problemas da rede. O primeiro problema o atendimento a uma demanda por uma nova VLAN, nmero 60, que ser usada por notebooks de alunos durante as aulas. Estima-se que essa nova VLAN precisa de pelo menos 40 IPs.
60
Introduo rede Ip
Roteiro de Atividades 2
Atividade 2.1 Endereamento IP
Qual o tamanho de mscara mximo necessrio para uma sub-rede comportar essa nova VLAN?
Dada a utilizao atual da rede 200.33.1.0/24 na instituio, exemplifique uma sub-rede daquele intervalo de IPs que poderia ser usada para abrigar a nova VLAN?
Aps a anlise do item anterior, um dos integrantes da equipe de administradores sugeriu solicitar um novo bloco IP RNP. Ao analisar a situao, qual posio voc acha que a equipe da RNP responsvel tomar? Por qu?
61
62
Introduo rede Ip
A tabela seguinte mostra uma possvel distribuio: Nmero da VLAN 10 20 30 40 50 60 Nome PCs administrao Laboratrios Infraestrutura Servios PCs professores PCs alunos Prefixo/ mscara 200.33.1.128/25 200.33.1.80/29 200.33.1.88/29 200.33.1.64/28 200.33.1.96/27 200.33.1.0/26 Total de IPs 126 6 6 14 30 62 IPs em uso 112 4 3 11 5 40 Demanda 126 6 3 12 20 40
A metodologia para se chegar a essa soluo a seguinte: 11 A sub-rede da VLAN 40 tem que ser 200.33.1.64 (condio do enunciado). Como o enun ciado tambm pede que se use a soluo mais adequada s demandas de crescimento de cada VLAN, a mscara dessa rede dever ser /28. 11 Para as demais VLANs: aloca-se o endereo da maior VLAN para a menor, sempre verifi cando se possvel manter o mesmo range de IPs da rede original. Dessa forma, a primeira premissa estabelecida para a soluo : Soluo mais adequada s demandas de crescimento de cada VLAN. Assim, o menor tamanho possvel para cada VLAN : Nome da VLAN VLAN 10 VLAN 20 VLAN 30 Mscara /25 /29 /29 Quantidade de IPs 126 IPs 6 IPs 6 IPs Observaes Dependendo da soluo usada pelo aluno, essa VLAN pode nem existir mais.
Captulo 4 - Roteiro de Atividades 2
63
Observaes O endereo IP dos servidores dessa VLAN no pode mudar, mas a mscara pode. -
O primeiro ponto a se observar que os hosts da VLAN 40 no podem ter seus IPs alte rados, logo, o prefixo dessa VLAN no pode mudar, apenas a mscara. O segundo ponto que a maior VLAN (nmero 10) consome um /25 inteiro. Um dos obje tivos traados pelo enunciado obter uma soluo que se traduza na menor quantidade de mudanas, tornando a ao o mais simples possvel. Para se chegar a esse objetivo razovel pensar em manter intocveis os IPs da VLAN 10. Dessa forma, nada menos que 112 hosts ficaro inalterados. Dessa forma, o primeiro ponto fechar a sub-rede das VLANs 10 e 40, que ficam assim: VLAN 10 40 Nome PCs administrao Servios Prefixo 200.33.1.128/25 200.33.1.64/28 Total de IPs 126 14 IPs em uso 112 11 Demanda 126 12
A segunda maior sub-rede ser a nova VLAN 60, a qual precisar ser pelo menos um /26. A definio das VLANs 10 e 40 deixa apenas uma rede /26 livre: 200.33.1.0/26. Com isso, a definio evolui para: VLAN 10 40 60 Nome PCs administrao Servios PCs alunos Prefixo 200.33.1.128/25 200.33.1.64/28 200.33.1.0/26 Total de IPs 126 14 62 IPs em uso 112 11 xxx Demanda 126 12 40
Nesse ponto, se dividirmos a rede da instituio em sub-redes /26, temos as 4 redes: a 200.33.1.0/26 b 200.33.1.64/26 c 200.33.1.128/26 d 200.33.1.192/26. Juntas, as VLANs 10 e 60, que j definimos, consomem por inteiro as sub-redes a, c e d. A sub-rede b, que resta, pode ser dividida em duas sub-redes /27, que chamaremos redes d e e. /26 /27
Introduo rede Ip
_________________________________________________________________________
64
-----------------------------------------------------------------------------------------------------------------------
Metade da rede d (um /28) j foi consumida pela VLAN 40. A rede e permanece disponvel. Nesse ponto, temos ento disposio uma rede /27 inteira (a rede e) e uma rede /28 inteira. Resta definir os endereos das VLANs 20, 30 e 50. A maior delas a VLAN 50. Como o obje tivo buscar a ao o mais simples possvel, vamos verificar se possvel manter os hosts dessa VLAN com seus IPs inalterados. O range atual um /27: 200.33.1.96/27 Esse range corresponde rede e, que est disponvel. Ento, alocamos a rede para a VLAN 50. VLAN 10 40 50 60 Nome PCs administrao Servios PCs professores PCs alunos Prefixo 200.33.1.128/25 200.33.1.64/28 200.33.1.96/27 200.33.1.0/26 Total de IPs 126 14 30 62 IPs em uso 112 11 5 xxx Demanda 126 12 20 40
Resta alocar endereos para as VLANs 20 e 30. Ambas as redes so /29. Nesse momento, ainda nos resta uma rede /28, que pode ser dividida em duas redes /29. A VLAN 20 originalmente usava o range 200.33.1.32/28, o qual j est em uso nesse momento. Ento, usamos uma rede /29 que ainda est disponvel. Usamos a rede 200.33.1.80/29, por exemplo. Para a VLAN 30, resta a rede 200.33.1.88/29. Dependendo das decises que o grupo tomou, esta VLAN 30 pode nem ser necessria.
65
66
Introduo rede Ip
5
Servios e gerenciamento da rede da instituio
objetivos
Descrever os principais servios de rede da instituio, os procedimentos para obteno de blocos de endereos IP e as principais ferramentas de gerenciamento de rede.
conceitos
Servios DNS, registro MX, web, SFTP, e-mail, repositrio de arquivos, firewall, DMZ, NAT.
Servios de rede
O objetivo maior de uma rede local prover servios a seus usurios. Pode-se dizer que esses servios so o que os clientes realmente enxergam. Do ponto de vista do administrador de redes comum receber uma descrio de reclamao do tipo rede lenta, quando na verdade h um nico servio que apresenta lentido. Muitas vezes todos os outros servios esto funcionando a contento. 11 Os servios podem ser hospedados na prpria rede local ou em redes remotas, que pertencem a terceiros. 11 A vantagem de se manter servios na rede de terceiros a simplificao da tarefa de 11 Nesse caso, a responsabilidade pela manuteno da boa sade dos servidores fica com os administradores da rede remota. 11 A grande desvantagem que a qualidade do servio prestado na rede local fica merc da capacidade daquela equipe remota. 11 A desvantagem descrita faz com que os administradores da rede local sejam levados a manter alguns servios fundamentais na prpria rede local. 11 Sero feitas sugestes de servios que devem ser mantidos em rede local.
Captulo 5 - Servios e gerenciamento da rede da instituio
sua administrao.
DNS
O servio de DNS pode ser tema de um curso inteiro. Os detalhes do funcionamento do servio no sero explorados aqui, de modo que faremos apenas uma anlise suficiente para os objetivos deste curso. 11 O DNS pode ser descrito como uma grande e importante base de dados distribuda pela internet.
67
11 Essa base responsvel por um dos servios mais importantes da internet contempornea: a traduo de nomes para endereos IP.
Os usurios da internet no conhecem o endereo IP de nenhum servio, mas conhecem o seu nome. O PC desses usurios, por sua vez, precisa do endereo IP para acessar o servio. Dessa forma, uma traduo nome-IP dever ocorrer. Quando o usurio digita no seu browser o URL www.rnp.br, o servio de DNS dever ser acionado para que o browser efetivamente consiga buscar o IP do stio da RNP. Existem diferentes tipos de servidores DNS, bem como diferentes mtodos de consulta. 11 Alm de usado para consultas a nomes de servios remotos, o DNS tambm usado para descobrir o IP de servios de rede local. 11 Quando se tenta, por exemplo, mapear uma pasta de rede chamada \\servidor_arquivos1.esr.rnp.br\curso, o PC precisa saber o IP da mquina servidor_arquivos1, que fica no domnio esr.rnp.br. O DNS dar essa resposta. 11 O servidor de DNS tem importncia particular para instituies que possuem nome de domnio registrado junto ao Nic.br. 22 Nic.br o rgo responsvel pelo registro de domnios no Brasil, administrado pelo Comit Gestor da Internet no Brasil (CGI.br). 11 Todo domnio com final .br deve ser conhecido pelos servidores DNS do Nic.br, ou seja, deve estar registrado junto ao rgo.
11 Todo domnio precisa de pelo menos um servidor DNS autoritativo. 11 Aos clientes da RNP sugerido um mnimo de dois servidores para esse fim (por segurana). 11 Quando uma instituio registra um domnio, ela informa ao Nic.br quem (so) o(s)
Introduo rede Ip
servidor(es) DNS autoritativo(s) daquele domnio. 22 O servidor autoritativo aquele que responde pelo domnio. Na Figura 5.2, o domnio rnp.br est registrado no Nic.br. O servidor DNS autoritativo do domnio est hospedado na rede local da RNP. O Nic.br sabe quem esse servidor. Dessa forma, quando um usurio da internet acessa o servio www.rnp.br, uma consulta DNS gerada ao servidor de DNS que atende a esse usurio. Normalmente esse servidor est hospedado no provedor de internet do usurio.
68
Esse servidor vai consultar recursivamente quantos servidores so necessrios para chegar ao servidor autoritativo da RNP, que conseguir indicar o IP da mquina www do domnio esr.rnp.br.
.br
rnp.br
rn
Ins tituio
ua lo
IP
Qual o IP de www.rnp.br ?
Figura 5.2 Consulta recursiva para localizar www.esr.rnp.br.
6
O IP Y.Y.Y.Y !
de
p.
br
w w w .rn
IP
p. br ?
ao
Y.
Y.
Y.
3
Q
Pe
rg
un
te
! r?
11 Vantagens de uma instituio em manter o servidor DNS autoritativo do seu domnio sob sua prpria administrao: 22 Flexibilidade na administrao do servio. 22 Responsabilidade pela manuteno do servio.
se pode garantir que o servio de nomes do domnio estar no ar o tempo todo. 11 Outro problema pode ser gerado toda vez que um servio do domnio precisar mudar de endereo IP. 11 Quando uma instituio passa a fazer parte do sistema autnomo da RNP, comum que seus endereos IP sejam migrados para o espao de endereamento da RNP. Se a instituio tem a administrao do servidor DNS, ela mesma ter a oportunidade de realizar a migrao do endereo, alterando tambm a configurao do servidor DNS respon svel pelos seus domnios. Se a administrao desse servidor fica a cargo de uma entidade remota, a tarefa de migrao fica muito mais complicada. A migrao de endereo IP de servios juntamente com a reconfigurao do DNS autoritativo uma tarefa grande, que no ser aqui detalhada.
lo ua IP de .rn w w w b p.
69
MX
O servio de DNS descrito prov acesso aos registros do tipo A (address). 11 Alm do acesso aos registros A, o servidor autoritativo de um domnio tambm pode prover consultas ao registro MX, usado na execuo do servio de e-mail. 11 Exemplo: 22 Um usurio da internet, proprietrio da conta de e-mail huguinho@cartoons. com, deseja enviar uma mensagem de e-mail para zezinho@rnp.br. 22 O servidor de e-mail do domnio cartoons.com receber a mensagem e tentar descobrir o IP de um servidor de e-mail do domnio rnp.br, que poder receber a mensagem e pass-la para o usurio Zezinho. 22 Assim, ser gerada uma consulta DNS do tipo MX. O endereo IP ser provido pelo servio de DNS, atravs do registro MX. Assim, o servidor autoritativo responsvel pelo domnio rnp.br ser consultado. O servidor verificar o valor configurado na entrada MX e responder. Descoberto o endereo do servidor de e-mail do domnio do destinatrio da mensagem, o servidor de e-mail de cartoons.com se comunicar via protocolo SMTP com o servidor de e-mail de rnp.br, e a mensagem ser transferida.
Rede Local
DNS
3 4
Qual IP do servio de correio de rnp.br ? O IP X.X.X.X O IP X.X.X.X
5 2
Introduo rede Ip
Web
11 Esse servio o mais popular da internet. 11 Praticamente todas as instituies com um domnio registrado possuem um servidor web que hospeda seu stio e servios on-line. 11 Deixar esse servio sob a hospedagem de terceiros significa entregar a entidades externas a responsabilidade pela disponibilidade e manuteno dos servios web da instituio.
70
Existe uma grande tendncia de migrao de servios para o ambiente web, o que torna a importncia desse servio ainda maior. Alguns especialistas preveem que na internet do futuro (no muito distante) o usurio de PC ter apenas um nico programa instalado em sua mquina: um web browser, que prover acesso a qualquer tipo de servio: web, e-mail, edio de textos e planilhas, acesso remoto, home-banking, home-office, videoconferncia, videochamada, videomedicina, monitorao remota de ambientes etc.
SFTP
11 Prov as mesmas funcionalidades do servidor de FTP, porm aplicando criptografia, para garantir a confidencialidade e integridade dos dados transferidos. 11 Esse servio possibilita transferir e armazenar arquivos na rede local. 11 A aplicabilidade desse servio na rede local vasta. 11 Dentre as vrias aplicaes, o uso desse servio evita que usurios da rede transfiram grandes quantidades de dados via e-mail, o que nem sempre possvel por limitaes do servio. 11 O servio de SFTP o mais adequado para prover transferncia de arquivos com tamanho da ordem de megabytes ou gigabytes.
E-mail
11 O servidor de e-mail o responsvel por receber todas as mensagens destinadas aos usurios da rede local, bem como transmitir para os servidores de e-mail remotos todas as mensagens de e-mail desses mesmos usurios. 11 Esse servio utiliza dois tipos de protocolo: 22 Um para a comunicao entre servidores de e-mail. 22 Outro para comunicao entre servidor de e-mail e cliente. 11 Os diferentes servidores se comunicam via protocolo SMTP. 11 A comunicao entre os softwares clientes e seus servidores pode se dar via proto colos IMAP ou POP3 para a recepo de mensagens. 11 Para o envio de mensagens usado tambm o SMTP.
pais diferenas entre esses protocolos que o Post Office Protocol version 3 (POP3) usado em situaes onde se espera que um nico cliente precise se conectar a uma caixa postal. O Internet Message Access Protocol (IMAP) permite que vrios clientes possam se conectar mesma caixa postal. O IMAP adequado para situaes onde uma caixa postal utilizada por mais de um usurio.
Existem outros protocolos menos conhecidos para prover essa interao. Uma das princi-
71
SMTP
POP3 ou IMAP SMTP
Remetente
Destinatrio
11 Muitas instituies no possuem mo de obra adequada para administrar um servidor de e-mail. 11 Nesses casos pode-se fazer uso de um servio de e-mail comercial, administrado por uma entidade externa. 11 Nesse caso cabe instituio cuidar apenas da comunicao entre os softwares clientes de e-mail e esses servidores externos (usando SMTP e POP3 ou IMAP). 11 Quando o servio de e-mail fica hospedado em um ambiente externo, a sua disponibilidade e qualidade ficam a cargo de terceiros.
Internet
Rede local
SMTP
Remetente
Destinatrio
Introduo rede Ip
Repositrio de arquivos
11 Esse servio provido atravs dos ditos HDs virtuais, servio largamente oferecido na internet de graa. 11 Sua utilidade grande, pois permite a usurios da instituio compartilhar arquivos e documentos com qualquer usurio da internet ou com usurios da prpria instituio que estejam trabalhando remotamente.
72
11 O compartilhamento feito sem que o usurio remoto necessite de qualquer recurso especial, basta uma conexo internet. 11 importante que esse servio seja usado apenas como repositrio e nunca como ponto oficial de armazenamento de dados relevantes. O motivo trivial: a disponibilidade de arquivos e documentos importantes da instituio no pode ficar sob a dependncia de entidades externas.
Internet
Rede DMZ
Rede corporativa
A figura anterior explicita o uso clssico do firewall. 11 Os servios hospedados na rede DMZ (zona desmilitarizada) devem estar acessveis a partir da internet. 11 Os servios e hosts da rede corporativa no podem ser acessados por entidades na internet.
11 A operao bsica dos firewalls comparar todos os pacotes que passam pelas suas interfaces com regras configuradas manualmente pelo administrador de redes. 11 Se o pacote estiver contemplado nas regras de permisso ele receber servio. Do contrrio, ser descartado. 11 Em muitas redes os firewalls tambm fazem a tarefa de NAT e PAT. As figuras seguintes definem a operao de NAT e PAT.
73
10.0.1.2
Internet
10.0.1.3
Figura 5.7 Operao do NAT: converso de endereos.
10.0.1.2
Internet
10.0.1.3
Figura 5.8 Operao do PAT: converso de endereo e porta.
11 Nos dias atuais, o PAT muito mais usado que o NAT, porque efetivamente economiza o uso de endereos IP, dado que todos os elementos de uma rede so enxergados na internet sob um nico endereo. 22 O efeito prtico que apenas um endereo IP vlido consumido. 22 Todos os demais endereos IP so privados e no sero enxergados na internet.
Introduo rede Ip
11 NAT e PAT tambm podem ser implementados em roteadores, embora alguns autores defendam que essa tarefa deve ser realizada no firewall. 11 O argumento principal que os recursos de hardware do roteador devem ser usados para a tarefa de rotear, ao passo que a arquitetura do hardware do firewall conce bida de modo a torn-lo adequado a essa tarefa. 11 O modelo Juniper J2350 fornecido s organizaes usurias suporta NAT e PAT.
74
DNS reverso
11 O servio de DNS reverso, como o nome sugere, executa uma tarefa oposta ao DNS tradicional, mas de modo similar. 11 Em determinadas situaes importante para uma aplicao descobrir um nome a partir do endereo IP, e no o contrrio. 22 Isso particularmente interessante quando se quer garantir que o hostname da mquina que enviou uma mensagem realmente possui o endereo IP que se encontra no pacote da mensagem.
75
11 O servio de DNS tradicional utiliza os registros do tipo A (address). O DNS reverso funciona atravs de consultas aos registros PTR dos servidores de DNS. 11 Uma das aplicaes mais latentes do DNS reverso atualmente est ligada ao servio de e-mail. 22 Ao enviar um e-mail, o software cliente tem total liberdade para editar os campos do remetente, data, hora e destinatrio da mensagem. 22 Esses dados no so questionados pelo protocolo que far a transmisso do e-mail, o SMTP. 22 Dessa forma, nada impede que um software malicioso envie um e-mail preen chendo o campo do remetente com um valor falso. 11 comum para qualquer usurio da internet receber e-mails aparentemente remetidos por seus amigos com mensagens de anncios comerciais, um tipo de spam mais elaborado. 11 O problema do spam se tornou to macio que praticamente todos os servidores de e-mail importantes, ao receberem um e-mail, fazem a consulta de reverso para averi guar se o endereo IP do remetente coincide com a informao contida no servio de DNS reverso. 11 O exemplo a seguir ilustra a utilidade do DNS reverso para o servio de e-mail: 22 O servidor de e-mail do domnio rnp.br recebeu um e-mail de luizinho@cartoons. com para huguinho@rnp.br. 22 Antes de repassar o e-mail para o usurio Huguinho, o servidor de e-mail pergunta ao DNS o hostname do servidor de e-mail cujo IP 200.1.1.1 (IP origem que chegou na mensagem de e-mail). 11 O DNS comea uma busca recursiva at chegar ao servidor DNS, que responde por consultas de reverso para o range 200.1.1.0/24. 11 Esse servidor responder que o hostname procurado mail.cartoons.com. Com isso, a autenticidade da mensagem reconhecida. 11 Se o administrador do domnio cartoons.com no tivesse configurado o DNS reverso corretamente a procura falharia e o servidor em rnp.br teria dvidas sobre a real identidade do remetente. 11 Dependendo da configurao do servidor destino, a mensagem poder ser entregue, descartada ou movida para uma pasta de spam. 11 O resultado prtico que se o DNS reverso de uma instituio no est registrado corretamente, vrios e-mails enviados por usurios daquela instituio no sero entregues. 22 A entrega depender da configurao do servidor do domnio destino. A configurao de DNS reverso similar ao DNS tradicional. A instituio deve informar ao seu provedor (RNP) quais so os servidores autoritativos que respondem pelo servio de DNS reverso para seus IPs. A RNP difundir a informao para os root servers da internet. Dessa forma, toda vez que um servidor DNS qualquer da internet receber uma consulta
Introduo rede Ip
de DNS reverso para um IP da instituio, a consulta ser direcionada para o servidor DNS registrado, que poder responder consulta.
76
11 Em seguida, dever enviar um e-mail para registro@rnp.br informando os hostnames dos servidores e a faixa de IP pelas quais eles respondem. 11 Dvidas sobre a configurao do servidor DNS propriamente dito podero ser escla recidas junto ao PoP da RNP. 11 A configurao do DNS reverso no servidor da instituio no atribuio do PoP, mas da instituio.
q
Captulo 5 - Servios e gerenciamento da rede da instituio
Documentao
11 A documentao da rede um dos maiores desafios que acompanham a atividade de administrao de rede. 11 Embora seja uma tarefa simples, raramente existe uma equipe exclusivamente designada para esse fim, o que quase sempre provoca a existncia de documentao desatualizada. Estudos mostram que o ambiente de rede bem documentado tem menor tempo de dispo-
nibilidade que ambientes desorganizados. Esse dado facilmente justificado. Um bom pro cesso de documentao recomendvel e contribui para o bom desempenho dos servios e para reduo do downtime, simplificando troubleshooting e aprovisionamentos.
77
De posse da descrio de um problema e da documentao da topologia, do cabeamento e das VLANs da rede, pode-se avaliar com facilidade os pontos da rede com maiores chances de provocar a falha. Em alguns casos pode-se diagnosticar o problema sem sequer conectar-se a um equipamento de rede. A definio de um bom processo de documentao juntamente com uma ferramenta adequada recomendvel para o bom desempenho dos servios que dependem do bom funcionamento da rede de dados de uma instituio.
Ferramentas de monitoramento
11 Existem diversas ferramentas projetadas para realizar o gerenciamento de redes. 11 H boas opes de solues proprietrias bem como competentes ferramentas de software livre. 11 As ferramentas proprietrias tm a desvantagem de serem caras. 11 O software livre grtis e em muitos casos pode oferecer servios to adequados s necessidades da instituio quanto as solues de mercado.
No entanto, o bom desempenho das ferramentas livres depende fortemente da dedicao de mo de obra tcnica para customiz-las para as necessidades da instituio, o que requer tempo e dedicao. Feito isso seu desempenho ser satisfatrio. A seguir sero apresentadas algumas ferramentas de gerncia implementadas em software livre. Cacti 11 Ferramenta totalmente grfica baseada em consultas SNMP. 11 Praticamente qualquer recurso de rede compatvel com o protocolo SNMP (popular no mercado de tecnologia) pode ter um grfico plotado. 11 Inclui interfaces de rede, utilizao de CPU, memria, rea de swap de servidores etc. 11 Os grficos so armazenados em base de dados do tipo RRD.
Introduo rede Ip
78
MRTG 11 Ferramenta totalmente grfica com a mesma proposta do Cacti, mas possui menos recursos. 11 Tambm utiliza o protocolo SNMP como principal recurso.
NFSen 11 Ferramenta grfica que recebe e processa mensagens de flow dos equipamentos de rede. 11 Permite traar o grfico de utilizao de interfaces de rede com um diferencial: discernir as aplicaes que esto usando os recursos. 11 As ferramentas baseadas em SNMP permitem definir, por exemplo, que uma interface de determinado roteador tem uso de 8Mbps em um determinado horrio. 11 J as ferramentas baseadas em flow, como o NFSen, permitem saber adicionalmente que desse total: 22 1Mbps vem do servidor de e-mail, 2Mbps so de aplicaes de backup e 5Mbps de trfego de internet.
79
Muitas outras ferramentas esto disponveis. As equipes da GO e dos PoPs utilizam diversas ferramentas de gerncia para administrar a rede Ip. A experincia dessas equipes com as ferramentas de gerncia utilizadas compartilhada em eventos peridicos, como o WRNP. Os clientes da RNP so motivados a participar dos minicursos disponveis nesse evento. O WRNP tem ainda outras propostas.
80
Introduo rede Ip
6
Instalao do roteador da RNP
objetivos
Descrever os requisitos de instalao fsica do roteador Juniper.
conceitos
Requisitos fsicos
11 O roteador da srie J preparado para ser instalado em um rack. 11 Para abrigar o equipamento, um rack deve atender aos requisitos: 22 Rack de 19 polegadas, como definido pelo documento EIA-310-D, publicado pela 11 Racks populares do mercado contemplam esse padro. O espao horizontal entre os suportes de um rack que satisfaz um dos padres citados normalmente um pouco maior que o espao entre as presilhas de montagem do roteador, que mede 19 polegadas (48,2 cm).
q
Captulo 6 - Instalao do roteador da RNP
Caso o espao entre os suportes do rack seja configurvel, dever ser arranjado de modo a acomodar as dimenses externas do chassi. Alm disso, deve-se verificar se a especificao do rack permite que o peso do roteador seja adicionado carga total existente. O modelo J2320 possui as seguintes dimenses: 11 4,45 cm de altura, 38,35 cm de comprimento e 44,48 cm de largura.
81
11 O equipamento consome 1 RU do rack. 11 Seu peso varia de 6,8 a 7,6 Kg, dependendo da quantidade de placas instaladas. O modelo J2350 possui as seguintes dimenses: 11 6,63 cm de altura, 38,35 cm de comprimento e 44,48 cm de largura. 11 O equipamento consome 1,5 RU do rack. 11 Seu peso varia de 7,4 a 8,3 Kg, dependendo da quantidade de placas instaladas. Em racks com mltiplos equipamentos deve-se certificar que os mais pesados esto na parte de baixo. Caso o rack tenha apenas um nico equipamento (o roteador RNP) recomendado coloc-lo na parte inferior.
Requisitos de ventilao
O sistema de cooling dos roteadores J2350/J2320 funciona gerando o fluxo de ar de uma lateral do equipamento (no lado esquerdo) at a outra (no lado direito).
Assim, para que o sistema de cooling funcione adequadamente, necessrio que os lados do equipamento tenham um espao livre. Dessa forma, recomendado que as paredes laterais do rack sejam vazadas. Alm disso, recomenda-se que essas laterais tenham um espao livre de pelo menos 15 cm. O roteador tem cinco ventiladores que enviam ar do lado esquerdo do roteador para o direito. Esse fluxo de ar mantm o equipamento em temperatura adequada. 11 A velocidade dos ventiladores ajustada automaticamente dependendo da temperatura corrente. 11 As entradas de ar que abastecem os ventiladores devem ser limpas periodicamente. 11 A poeira reduz a capacidade de ventilao do sistema de cooling.
Requisitos de ambiente
A tabela seguinte exibe as condies de ambiente consideradas timas para a operao normal do roteador Juniper. Descrio Umidade relativa Temperatura Consumo de calor
Introduo rede Ip
Valor 5% a 90% sem condensao 0% a 40% J2350 1195 BTU/h (350 W) J2320 1091 BTU/h (320 W)
Tabela 6.1 Requisitos de ambiente.
Consumo de calor
82
Corrente AC Corrente AC
Os cabos de fora apropriados so disponibilizados junto com o equipamento. O conector fmea do cabo deve ser conectado tomada macho do roteador, que levar a energia at a fonte AC. O plug macho disponvel no cabo, o qual se ligar fonte de energia do prdio, ser compatvel com a localizao geogrfica do usurio. importante que o ambiente seja pensado de tal forma que o cabo de fora no atravesse o mesmo caminho que ser usado pelas pessoas. 11 Antes de adicionar novas PIMs (Physical Interface Module) ao chassi, preciso verificar se a combinao de PIMs e mdulos no exceder a capacidade de fora e calor do equipamento. 11 Se a funcionalidade de J Series Power Management estiver habilitada, PIMs e mdulos que excederem a capacidade de fora e de calor permanecero desligadas quando o chassi for ligado.
Manuseio de placas
Placas da Juniper (PIMs ou outras) so dispositivos caros e sensveis. A seguir exemplos de como NO se deve fazer o translado de uma placa.
As placas devero ser transportadas com as duas mos apoiando a parte inferior do hardware.
83
Descarga eletrosttica
11 Placas que so retiradas do equipamento contm partes sensveis descarga eletrosttica. 11 Placas PIMs (ou outras) podem sofrer danos sob voltagens da ordem de 30 V. 11 Uma pessoa pode facilmente gerar uma energia esttica dessa magnitude quando manuseia um material plstico ou uma embalagem de espuma, por exemplo. 11 Para evitar prejuzos desnecessrios, deve-se observar as precaues contra descarga eletrosttica: 22 Sempre use uma pulseira (ou tira) eletrosttica ao manusear placas do roteador. 22 Certifique-se de que a pele est em contato com a pulseira. 11 Se possvel, verifique periodicamente a resistncia do material usado. Esse valor deve sempre estar entre 1 e 10 mega ohms.
11 Ao manusear um componente do hardware, certifique-se de que o fio da pulseira eletrosttica est em contato com um dos pontos de descarga eletrosttica do chassi. 11 Evite o contato do hardware com a sua roupa. Ela tambm pode emitir voltagem sufi ciente para danificar o equipamento. 11 Ao remover um componente do hardware do roteador, sempre o coloque em um local de modo que os componentes eletrnicos fiquem em contato com uma superfcie eletrosttica.
Aterramento
recomendvel que a infraestrutura fsica que abrigar o roteador da RNP possua recursos para dissipao de energia, tal qual uma malha de terra. Para proteger o equipamento de descargas, deve-se aterr-lo antes de ligar. O equipamento traz na sua parte traseira um pino prprio para a conexo do aterramento. Alm do pino terra, uma rosca, um parafuso e uma arruela so fornecidos para acoplar o fio de terra ao roteador.
Introduo rede Ip
84
Ponto de aterramento de proteo em chassis Parafuso com arruela prisioneira Terminal de aterramento
POWER LED
CONFIG LED
Auxiliary port
PIN blanks
STATUS LED ALARM LED HA LED Power RESET Console button CONFIG port button LAN ports USB ports ESD point
O roteador J2350 um equipamento da srie J. O hardware tem as seguintes caractersticas principais: 11 Ocupa 1,5 RU de rack. 11 512 MB de DRAM (expansvel at 1GB). 11 512 MB de compact flash disc (expansvel at 1GB). 11 400 Mbps de vazo. O roteador possui: 11 Duas portas USB, que permitem que um drive USB seja usado como unidade de armaze namento secundria; 11 4 portas Ethernet 10/100/1000 Mbps fixas; 11 5 Slots para PIMs (h grande variedade de PIMs disponveis).
85
POWER LED
CONFIG LED
Console port
PIN blanks
STATUS LED ALARM LED HA LED Power RESET Auxiliary button CONFIG port button LAN USB ports ports ESD point
O roteador J2320 o equipamento de entrada da srie J. O hardware tem as seguintes caractersticas principais: 11 Ocupa 1 RU de rack. 11 256 MB de DRAM (expansvel at 1GB). 11 256 MB de compact flash disc (expansvel at 1GB). 11 Possui uma porta USB, que permite que um drive USB seja usado como unidade de armazenamento secundria. 11 400 Mbps de vazo. 11 4 portas Ethernet 10/100/1000 Mbps fixas. 11 3 slots para PIMs (h grande variedade de PIMs disponveis). Os demais componentes da srie J2300 so descritos a seguir: 11 Ponto ESD (eletrostatic discharge): usado para conectar uma pulseira eletrosttica; 11 LED Alarm: se aceso, indica que h um alarme ativo. Pode ser um alarme crtico, majoritrio ou minoritrio. Para mais detalhes ser necessrio se conectar ao sistema; 11 LED Power: se aceso, indica que o equipamento est ligado; 11 Boto Power: se pressionado e solto em seguida, ligar o roteador. Com o equipamento ligado, se o boto pressionado e solto rapidamente, provoca o processo de desligamento educado (no abrupto). Se o boto pressionado por mais de 5 segundos provoca o desligamento imediato do roteador. 11 Boto Reset Config: se pressionado e solto em seguida provoca o carregamento e o commit da rescue configuration. Se pressionado durante 15 segundos provoca a deleo de todas as configuraes, carrega a configurao de fbrica e faz commit dela;
Introduo rede Ip
11 LED Configuration: pisca verde durante o carregamento da rescue configuration ou da configurao de fbrica. Pisca vermelho enquanto as configuraes esto sendo dele tadas e a configurao de fbrica est sendo carregada; 11 Porta Console: a porta prov um terminal (RS-232) com um conector RJ-45. usada para acessar a CLI do roteador;
86
11 Porta Auxiliar: a porta prov um terminal (RS-232) remoto com um conector RJ-45. usada para acessar a CLI do roteador remotamente; 11 Portas USB: aceitam a conexo de um drive USB que ser usado como um meio de armazenamento; 11 Portas LAN: recebem conexes de rede do padro 10/100/1000 Base-TX Gigabit Ethernet; 11 Terminal de aterramento: o ponto de contato definido para conexo do fio de terra; 11 Drive Compact Flash Externo: prov um meio de armazenamento secundrio para arquivos de log, de configurao e imagens de sistema operacional; 11 Tomada de fora: o ponto de conexo do cabo de fora AC que alimentar o equipamento; 11 Ventiladores (fans) da fonte: proveem resfriamento automtico da fonte de alimentao.
87
88
Introduo rede Ip
7
Fundamentos de Junos
objetivos
Descrever as caractersticas bsicas do sistema operacional Junos.
conceitos
Software modular
11 O sistema operacional da Juniper o Junos. 11 Foi desenvolvido a partir do cdigo aberto do Free BSD e tornou-se uma referncia no mercado de redes por sua estabilidade e modularidade. 11 Alguns grandes fabricantes do mercado esto partindo para a mesma proposta, de customizar software livre de modo a adequ-lo s necessidades de seus equipamentos. 11 As funcionalidades do Junos so alocadas em mltiplos processos de software. 22 Cada processo possui uma funo especfica e roda em seu prprio espao (prote gido) de memria, garantindo que um processo no sofra com falta de recursos e no interfira nos recursos de outros. 11 A modularidade ajuda a manter problemas isolados. 11 Quando um processo falha, o sistema como um todo continua funcionando, perde-se apenas a funcionalidade pela qual o processo responsvel. 11 A arquitetura do Junos tambm favorece a insero de novas funcionalidades. 11 Em outros sistemas comum trocar-se toda a imagem do sistema operacional para adicionar novas funcionalidades.
11 No Junos essa operao mais simples e consequentemente traz menos riscos de falha.
89
11 Todas as plataformas que utilizam o Junos usam o mesmo cdigo-fonte em imagens especficas. 11 Esse design garante que as funcionalidades do software funcionam de maneira similar em todas as plataformas que utilizam o Junos OS. 11 Esse fator faz com que a configurao e a operao das diferentes plataformas fun cionem exatamente da mesma maneira.
Routing Engine
RT
Control Plane Forwarding Plane
FT
JUNOS Software
Internal link
Frames/ Packets in
FT
Packet Forwarding Engine
O esquema mostrado na figura exibe a separao mantida entre o plano de controle (Control Plane) e o plano de encaminhamento (Forwarding Plane). Os processos responsveis pelo encaminhamento dos pacotes ficam totalmente separados dos demais, que cuidam dos protocolos de roteamento e tarefas administrativas da caixa. Esse design permite ao usurio do equipamento ajustar cada processo conforme sua necessidade. 11 O plano de controle executado pela Routing Engine (RE), enquanto o plano de enca minhamento implementado pela Packet Forwarding Engine (PFE). 11 A RE se comunica com a PFE atravs de um canal de comunicao interno exclusivo para esse fim. Atravs desse canal a PFE recebe a Forwarding Table (FT) atualizada. 90
Introduo rede Ip
11 As mensagens de atualizao da FT tm alta prioridade do kernel do Junos. 11 Enquanto a RE prov a inteligncia do sistema, a PFE pode simplesmente executar o encaminhamento dos pacotes com alto grau de confiabilidade e performance. Embora todas as plataformas Juniper utilizem o mesmo conceito de separao entre con -
trole e encaminhamento, a implementao dos componentes que definem a RE e a PFE varia de modelo para modelo. Nos equipamentos das sries M e T (mais robustos), a RE e a PFE compreendem diferentes hardwares. A PFE executada em circuitos integrados exclusivos (ASICs) enquanto a RE implementada por um processador. Nos equipamentos da srie J a PFE implementada em software e conta com recursos exclusivos de memria e ciclos de CPU, fazendo com que a PFE tenha o mesmo grau de esta bilidade dos modelos maiores. A RE ainda implementada em um processador. Alm disso, processadores de rede em cada interface fsica (PIM) executam servios de rede especficos, de forma a economizar recursos do hardware da RE principal da caixa.
Routing Engine
RT
Control Plane Forwarding Plane
Figura 7.3 Routing engine.
FT
JUNOS Software
91
Routing Engine
Frames/ Packets in
FT
Packet Forwarding Engine
A FT local da PFE sincronizada com as informaes de encaminhamento providas pela RE. Alm de encaminhar pacotes, a PFE tambm executa outros servios avanados como: limitador de trfego (Policer), filtros de firewall e CoS (Class of Service). Outros servios podem ser oferecidos atravs de cartes de servio especficos que podem ser adicionados caixa, como gerao de flows.
Processamento de trfego
Trfego de trnsito
11 Consiste em todo trfego que entra por uma interface de rede fsica, tem par metros comparados com a tabela de encaminhamento e deixa o chassi por uma interface de sada. 11 Para que o encaminhamento do pacote seja feito com sucesso, precisa haver uma entrada na FT da PFE. 11 O trfego de trnsito passa somente pelo plano de encaminhamento e nunca processado pela RE diretamente, ou seja, o plano de controle no tratar os pacotes referentes ao trfego de trnsito. 11 Mantendo o processamento do trfego de trnsito confinado ao plano de encaminha mento, as plataformas que executam o Junos conseguem otimizar seus recursos de hardware para as tarefas especficas de controle e de processamento de trfego. 11 Trfegos unicast e multicast so ambos classificados como trfego de trnsito, sendo
Introduo rede Ip
92
Routing Engine
CPU
Control Plane Forwarding Plane
Frames/ Packets in
FT
Packet Forwarding Engine
O trfego unicast chegar ao roteador por uma interface de entrada e sair por apenas uma interface de sada. O trfego multicast entrar por uma interface de entrada e poder sair por vrias interfaces de sada, dependendo do nmero e da localizao dos receptores multicast presentes na rede.
Trfego de exceo
O outro tipo de trfego processado pelo roteador o trfego de exceo. Diferente do trfego de trnsito, tratado mecanicamente pela PFE, o trfego de exceo requer alguma forma de processamento especial. Alguns exemplos de trfego de exceo: 11 Pacotes endereados ao prprio chassi, como atualizaes de protocolos de rotea mento, sesses telnet, pings, traceroutes e respostas a sesses iniciadas pela RE. 11 Pacotes IP com o campo IP options preenchidos (raramente esse tipo de pacote gerado e a PFE no foi desenvolvida para tratar esse caso). 22 Pacotes com o campo IP options marcado precisam ser enviados para apreciao da RE. 22 Um exemplo de aplicao que utiliza o campo IP options o acelerador de trfego. 11 Trfego que requer a gerao de mensagens ICMP. Mensagens ICMP so criadas para enviar ao originador de um trfego alguma condio de erro ou para responder mensagens de ping. Um exemplo de erro ICMP a mensagem Destination unreachable, gerada quando no h uma entrada na FT que atenda ao servio do pacote ou quando o parmetro TTL tenha expirado.
93
Routing Engine
CPU
Control Plane Forwarding Plane
Frames / Packets in
?
Frames / Packets out
11 Todo trfego de exceo remetido RE atravs de um link interno que conecta os planos de controle e de encaminhamento. 11 O Junos limita a quantidade de trfego de exceo nesse link interno para proteger a RE de ataques de DoS (Denial of Service).
Durante congestionamentos, Junos d preferncia ao trfego local de controle, que desem penha as tarefas fundamentais para o bom funcionamento do roteador.
Routing Engine
CPU
Control Plane Forwarding Plane Built-in Rate Limiting
Figura 7.7 Limitador de trfego no link interno.
Frames/ Packets in
94
Introduo rede Ip
8
Opes de acesso ao Junos
objetivos
Descrever as interfaces do usurio, os diversos modos de configurao, os procedimentos de gravao e restaurao das configuraes.
conceitos
Acesso do usurio, CLI do Junos, modos de acesso, Ajuda, Help Topic, Help Reference, completando comandos, teclas de edio EMACS, caractere pipe, modos de operao e configurao, interface J-Web GUI.
A interface de usurio
11 O Junos oferece duas formas de acesso de usurio: linha de comando ou interface J-Web (http). 11 A interface de linha de comando do Junos (CLI Command Line Interface) pode ser acessada de duas maneiras. 22 A primeira via porta console out of band (OoB). 33 Para tal acesso deve-se utilizar um cabo console para conectar a porta console do roteador a um notebook (ou mesmo um PC). 33 Esse notebook dever ter instalado um programa emulador de terminal (exemplo: Tera Term). 22 A outra forma de acesso interface de linha de comando via interface de rede (in band), utilizando um protocolo de acesso como telnet ou SSH.
Diferentemente do acesso via console, para acessar a caixa via protocolo de acesso necessrio executar uma configurao prvia em alguma interface de rede (a interface precisa ter IP configurado, por exemplo). Muitas plataformas da Juniper oferecem ainda uma porta ethernet dedicada apenas para gerncia. Essa interface, a exemplo da porta console, tambm oferece acesso out of band. Essa porta no oferece servio ao trfego de trnsito, e no existe no equipamento J2320. 11 O acesso do usurio ao sistema tambm se d via uma interface web que vem habili tada de fbrica. A Juniper chama essa interface de J-Web. 11 J-Web uma interface grfica (GUI) que um usurio pode acessar utilizando protocolo http (Hypertext Transfer Protocol) ou https (http over Secure Sockets Layer). Web browsers populares como o Windows Internet Explorer ou o Mozilla Firefox so capazes de prover esse acesso.
Captulo 8 - Opes de acesso ao Junos
95
Essa interface web permite que o usurio configure parmetros mais comuns do roteador atravs de janelas do tipo wizard. Para configuraes mais elaboradas, a J-Web permite edio direta do arquivo de configurao da caixa, que um arquivo texto.
A CLI do Junos
Fazendo login
11 O primeiro passo para acessar a interface CLI fazer o processo de login. 11 O Junos requer username e password para prover acesso ao sistema. 11 O administrador do sistema cria contas de usurios e as associa a um perfil de acesso. 11 Toda plataforma Junos possui a conta do usurio root configurada de fbrica, sem senha. 11 recomendado que a senha seja configurada logo no primeiro acesso. Ao se conectar ao equipamento, o usurio recebe um prompt que mostra o nome do usurio e hostname do roteador (caso haja um configurado). Processo de login: host (ttyu0) 11 login: user 11 Password: --- JUNOS 9.5R1.8 built 2009-04-13 20:03:09 UTC 11 user@host> 22 O usurio root tem acesso completo a todas as funes do roteador. 11 Quando se faz o login utilizando o usurio root, tem-se acesso a um shell de Unix. 22 Para iniciar a CLI do Junos utiliza-se o comando cli. 22 Para terminar a sesso usa-se o comando exit. 11 Todos os demais usurios (no root) ao se conectarem no sistema j recebem a CLI do Junos, sem necessidade do comando cli. 11 Para que um usurio no root tenha acesso a um shell, deve-se digitar o comando: # start shell
Modos de acesso
A CLI do Junos permite duas modalidades de acesso: 11 Modo de operao: 22 A CLI usada basicamente para monitorao e troubleshooting do roteador. 22 Comandos tpicos disponveis nesse modo: show, monitor, ping e traceroute. 33 Esses comandos permitem exibir informaes do sistema e executar testes,
Introduo rede Ip
mas no permitem alterar a configurao da caixa. 11 Modo de configurao: 22 O usurio pode configurar todos os parmetros do sistema incluindo interfaces, protocolos, nvel de acesso de contas de usurio e propriedades do hardware.
96
Ajuda
11 A CLI do Junos prov acesso a um minimanual (help) em qualquer ponto da linha de comando. 11 O help informa as opes disponveis no ponto do comando onde a ajuda foi solicitada, fornecendo uma breve explicao de cada opo. 11 A ajuda pode ser invocada atravs do comando ?. 11 No necessrio confirmar o comando com enter; basta simplesmente digitar ?. Quando o ponto de interrogao digitado na linha de comando, o Junos lista todos os comandos e/ou opes disponveis. Invocando ajuda:
user@host> ? Possible completions: clear configure file help Clear information in the system Manipulate software configuration information Perform file operations Provide help information
user@host> clear ? Possible completions: arp bfd bgp dhcp Clear address resolution information Clear Bidirectional Forwarding Detection information Clear Border Gateway Protocol information
No exemplo acima, na parte superior, o usurio solicitou ajuda na CLI em branco. O Junos ento listou todos os comandos disponveis. Na parte inferior, o usurio solicitou ajuda aps digitar o comando clear. A CLI informou todas as opes que podem ser usadas para completar esse comando. Se o ponto de interrogao digitado no meio da string de um comando, o Junos mostrar exemplo acima o usurio tivesse digitado clear a?, o sistema teria mostrado todas as opes do comando clear que comeam com a letra a.
Captulo 8 - Opes de acesso ao Junos
todas as opes disponveis que comeam com a string em questo. Por exemplo, se no
Help Topic
O comando help topic fornece um manual mais completo sobre um determinado tpico do sistema.
No exemplo a seguir, o usurio solicitou informaes sobre o tpico interfaces address. Na sada do comando, a CLI explica como aplicar um endereo interface e as situaes em que esse procedimento necessrio.
97
Help topic:
interfaces
destined specific
for source
Packet counts
You assign an address to an interface by specifying the address when configuring the protocol family. For the inet family, configure the interfaces IP address. For the iso family, configure one or more addresses for the loopback interface. For the ccc, tcc, mpls, tnp, and vpls families, you never configure an address.
Help Reference
O comando help reference apresenta um manual sumarizado, um pouco mais prtico e menos terico, sobre um determinado tpico do sistema.
O exemplo seguinte exibe a aplicao do help reference sobre o mesmo tpico de sistema do exemplo anterior. O sistema explica as opes de configurao disponveis para o tpico e a sintaxe a ser utilizada, assemelhando-se ao comando man dos sistemas Unix.
address address { <publish>; ... broadcast address; arp ip-address (mac | multicast-mac) mac-address
98
Hierarchy Level [edit interfaces interface-name unit logical-unit-number family family], [edit logical-routers logical-router-name interfaces interfacename unit logical-unit-number family family] ...
Existem ainda outras variedades de uso do comando help menos populares, que podero ser exploradas ao longo da experincia dos alunos junto plataforma.
Completando comandos
11 O Junos permite a utilizao de teclas de completamento de comandos para evitar que o usurio precise executar um comando completo. 11 Utilizando a tecla de espao, o Junos completa o comando que est sendo digitado, simplificando a operao do sistema.
Se a tecla de espao usada em um ponto onde existe ambiguidade de comandos disponveis, um beep gerado pelo sistema e o comando no completado. Outra forma de completar o comando usar a tecla Tab. Essa tecla tem basicamente a mesma utilidade da tecla de espao. Se acionada no meio da digitao de um comando o Tab, completa a string do comando. A diferena de uso entre o Tab e a tecla de espao que quando existe ambiguidade de comandos disponveis, o Tab exibe os comandos ambguos disponveis.
user@host> show interfaces 1Ctrl+b user@host> show interfaces Sequncia do teclado 1Ctrl+a user@host> show interfaces 1Ctrl+f user@host> show interfaces
Figura 8.1 Edio EMACS.
Posio do cursor
Captulo 8 - Opes de acesso ao Junos
99
As seguintes sequncias so suportadas: 11 Ctrl + b: move o cursor um caractere para a esquerda. 11 Ctrl + a: move o cursor para o incio da linha de comando. 11 Ctrl + f: move o cursor um caractere para a direita. 11 Ctrl + e: move o cursor para o final da linha de comando. 11 delete + backspace: remove o caractere antes do cursor. 11 Ctrl + d: remove todos os caracteres do incio da linha at o ponto onde est o cursor. 11 Ctrl + k: remove todos os caracteres entre o cursor e o final da linha de comando. 11 Ctrl + u: remove todos os caracteres e nega o comando corrente. 11 Ctrl + w: remove a palavra esquerda do cursor. 11 Ctrl + l: repete a linha corrente. 11 Ctrl + p: repete o comando anterior do histrico de comandos. 11 Ctrl + n: avana para o comando seguinte no histrico de comandos.
comando de show. Compara mudanas feitas na sesso de configurao corrente com o contedo do arquivo de configurao do roteador. 11 count: exibe o nmero de linhas existentes na sada do comando antes do pipe. 11 display changed: disponvel apenas no modo de configurao. Exibe mudanas de confi gurao feitas na sesso corrente (para visualizao do arquivo em XML). 11 display detailed: disponvel apenas no modo de configurao. Exibe informaes adicio nais sobre o contedo da configurao. 11 display inheritance: disponvel apenas no modo de configurao. Exibe configurao herdada. 11 display omit: disponvel apenas no modo de configurao. Exibe linhas da configurao da opo omit. 11 display set: disponvel apenas no modo de configurao. Exibe os comandos set que geraram as linhas de configurao. 11 display xml: exibe a sada do comando anterior ao pipe no formato JUNOScript XML.
Introduo rede Ip
11 except <regular expression>: exibe a sada do comando anterior sem a expresso especificada. 11 find <regular expression>: exibe a sada do comando anterior comeando da linha que contm a expresso regular especificada. 11 hold: exibe a sada do comando anterior ao pipe tela a tela (como faz o comando more do Unix).
100
11 last: exibe a ltima tela da sada do comando anterior ao pipe. 11 match <regular expression>: exibe a sada do comando anterior ao pipe, incluindo apenas as linhas que contm a expresso regular especificada. 11 no-more: exibe a sada do comando anterior ao pipe toda de uma vez, sem pausa entre diferentes telas. 11 request message: exibe a sada para mltiplos usurios. 11 resolve: converte endereos IP em nomes do DNS. 11 save <filename>: salva o output do comando anterior ao pipe para o arquivo especificado. 11 trim: especifica o nmero de colunas a partir da linha inicial da sada do comando ante rior ao pipe. possvel cascatear mltiplos pipes para processar uma sada de comando j processada por um pipe.
101
102
Introduo rede Ip
Roteiro de Atividades 3
Atividade 3.1 Acessar o Juniper via console serial
1. Uma das maneiras de se acessar o roteador via cabo de console serial. Esse cabo fornecido junto com o equipamento e possui um conector RJ45 em uma das pontas, que voc dever conectar na porta de console do roteador e o outro conector DB9 em outra ponta, que voc dever conectar na porta serial do computador. Ao conectar corretamente os cabos, voc precisar utilizar um software que ir propiciar o acesso CLI do Junos. Esse software pode ser o HyperTerminal do Windows ou o software livre PuTTY.
Aps alterar o connection type tipo de conexo para serial, clique em open; vai apa recer uma tela preta, onde voc dever digitar a tecla enter. Feito isso, voc entrar na tela de login solicitando um usurio. O usurio root. Aps informar o usurio o sistema solicitar uma senha. Essa senha vem em branco de fbrica.
103
2. Entrando no modo operao; Quando voc acessa o Junos com o usurio root, recebe um Shell Linux que fornece a maioria dos comando bsicos do Unix. Para acessar o console do Junos, voc dever digitar o comando cli (isso ocorre somente com o usurio root).
root@% cli
Aps o comando cli voc perceber que o prompt foi alterado, identificando que voc est no modo operao.
root>
3. Utilizando as opes de help do Junos; O Junos oferece algumas opes de ajuda, que auxiliaro na administrao do sistema ope racional. A primeira opo o sinal ?, logo aps cada comando.
root# set system host-name ? Possible completions: <host-name> [edit system] root# set services ? Possible completions: <[Enter]> + apply-groups + apply-groups-except groups > dhcp > finger > ftp > netconf > outbound-ssh > service-deployment management application > ssh > telnet
Introduo rede Ip
Execute this command Groups from which to inherit configuration data Dont inherit configuration data from these
Configure DHCP server Allow finger requests from remote systems Allow FTP file transfers Allow NETCONF connections Initiate outbound SSH connection Configuration for Service Deployment (SDXD)
Allow ssh access Allow telnet login Web management configuration Allow clear text-based JUNOScript connections Allow SSL-based JUNOScript connections Pipe through a command
104
Outra opo de ajuda que o Junos oferece com o comando help topic, que junto ao sinal de interrogao fornece uma ajuda mais detalhada sobre uma configurao desejada.
root# help topic system host-name Configuring the Routers Hostname To configure the routers name, include the host-name statement at the [edit system] hierarchy level: [edit system] host-name hostname; The routers name value must be less than 256 characters. Related Topics * Configuring the Basic Router Properties * Example: Configuring a Router?s Name, IP Address, and System ID [edit]
Outra opo de ajuda que o Junos oferece com o comando help reference, que junto o sinal de interrogao, fornece informaes mais detalhadas sobre uma configurao desejada.
root# help reference system host-name host-name Syntax host-name hostname; Hierarchy Level [edit system] Release Information Statement introduced before JUNOS Release 7.4. Description Set the hostname of the router. Options
Captulo 8 - Roteiro de Atividades 3
hostname--Name of the router. Usage Guidelines See Configuring the Router?s Hostname. Required Privilege Level system--To view this statement in the configuration. system-control--To add this statement to the configuration. [edit]
105
11 Verifique o histrico de comandos antigos executando recursivamente a tecla seta pra cima ou Ctrl+p.
Introduo rede Ip
11 Avance para os comandos mais recentes do histrico executando recursivamente a tecla seta pra baixo ou Ctrl+n. 11 Digite o comando pow interfaces fe-0/0/0 e tecle <Enter> (isso gerar um erro). 11 Corrija o comando anterior digitando seguidamente:
106
Modo de operao
11 Ao fazer login no Junos, o usurio tpico ganha acesso ao modo de operao, utilizado para tarefas de monitorao e controle da plataforma. 11 Os comandos do modo de operao seguem uma determinada hierarquia. O comando show, exemplificado na figura seguinte, exibe vrios tipos de informao
sobre o sistema e seu ambiente. A figura mostra uma das possveis opes da hierarquia do comando show: a opo ospf, que mostra informao sobre o protocolo de roteamento dinmico OSPF. Especificando a subopo interface dentro da opo ospf, obtemos informaes sobre as configuraes de OSPF de uma ou mais interfaces. O comando final fica show ospf interface.
clear
configure
help
monitor
set
show
...
arp
Figura 8.3 Hierarquia do Modo de Operao.
configuration
ospf
version
...
database
More Specic
interface
neighbor
...
possvel executar comandos do modo de operao, como o show, a partir do modo de configurao. Para tal basta usar o comando run. Assim, para verificar as configuraes de OSPF das interfaces da caixa a partir do modo de operao, por exemplo, utiliza-se o show ospf interface. Para executar o mesmo comando a partir do modo de configurao, usa-se o run show ospf interface. Algumas tarefas tpicas executadas de dentro do modo de operao: 11 Monitoramento e verificao do sistema (com comandos de show, por exemplo);
Captulo 8 - Roteiro de Atividades 3
11 Troubleshooting; 11 Conexo a outros sistemas (com Telnet ou SSH); 11 Cpia ou criao de arquivos; 11 Reincio de processos; 11 Entrada no modo de configurao; 11 Trmino de sesso no equipamento.
107
user@host> ? possible completions: clear configure file help monitor mtrace op ping quit request restart cet show cch start telnet test Clear information in the system Manipulate software configuration information Perform file operations Provide help information Show real-time debugging information Trace multicast path from source to receiver Invoke an operation script Ping remote target Exit the management seSSlon Make system-level requests Restart software process Set CLI properties, date/time, craft interface message Show system information Start secure shell on another host Start shell Telnet to another host Perform diagnostic debugging
Modo de configurao
11 Esse modo permite a um usurio alterar o arquivo de configurao do sistema. 11 Diferente da maioria dos fabricantes, os equipamentos Juniper no efetivam as alte raes de configurao no exato momento em que os comandos de configurao so executados. 11 Todas as alteraes que um usurio faz so acumuladas em um arquivo, temporariamente. 11 O Junos trabalha com os conceitos de Configurao Candidata e Configurao Ativa. 22 Configurao Ativa: 33 Presente no arquivo de configurao que est efetivamente valendo para o
Introduo rede Ip
roteador. 33 Configurao que o sistema carrega durante o processo de boot do equipamento. 22 Configurao Candidata: 33 Fica em um arquivo temporrio e poder tornar-se a configurao ativa, caso o usurio queira. 33 Quando o usurio entra no modo de configurao do Junos, o software cria uma configurao candidata a partir de uma cpia da configurao ativa.
108
Se o usurio executa algum comando de configurao, altera a configurao candidata. Uma vez que o usurio tem certeza que a sua modificao pode ser efetivada, ele executa o comando commit. Essa ao faz com que a configurao candidata seja copiada em cima da configurao ativa. Nesse momento a configurao ativa alterada efetivamente.
commit
Congurao Candidata
configure rollback n
Congurao Ativa
...
49
Ba lde d e b its
11 Para entrar no modo de configurao e inaugurar a criao de um arquivo de configu rao candidata deve ser utilizado o comando configure. A partir desse momento o usurio pode comear a configurar o Junos. 11 Aps executar todos os comandos de configurao desejados, executa-se o commit. 11 Nesse momento, o Junos checar toda a configurao candidata procurando por possveis problemas de sintaxe. 11 No encontrando problemas, a configurao candidata copiada para a configu rao ativa. 11 As alteraes passam a ser vlidas. Se a sintaxe no est correta, o sistema gera uma mensagem de erro e a configurao candidata no efetivada at que o erro seja corrigido. 11 Caso o usurio mude de ideia quanto configurao recm aplicada, pode-se retornar configurao anterior atravs do comando rollback no modo de configurao. 11 Na verdade, o Junos capaz de salvar os ltimos 50 arquivos de configurao.
109
11 Alm disso, surge no prompt um par de parnteses ([ ]), indicando em qual ponto da hierarquia do arquivo de configurao o usurio est. 11 Ao entrar no modo de configurao o usurio sempre entrar no nvel [edit].
Configurao exclusiva
11 Por default, mltiplos usurios podem entrar no modo de configurao e executar commit. 11 Utilizando o comando configure exclusive, o usurio tem acesso ao modo de confi gurao e impede que outros usurios possam entrar nesse modo. 11 Ou seja, o usurio tem a garantia de que somente ele est editando a configurao candidata. Configurao exclusiva x Configurao tradicional: user@host> configure Entering configuration mode [edit] user@host# user@host> configure exclusive warning: uncommitted changes will be discarded on exit Entering configuration mode [edit] user@host# 11 Quando se usa o configure exclusive para editar a configurao candidata, caso o usurio saia do modo de configurao sem executar um commit, todas as mudanas so descartadas, ao contrrio do que ocorre quando se usa o comando configure, em que as mudanas no salvas com o commit ficam retidas na configurao candidata. 11 Na prxima vez que se entrar no modo de configurao, a configurao candidata estar l, intocada. 11 Sempre que possvel o uso do configure exclusive recomendado.
Configurao privada
Outra forma de entrar no modo de configurao fazendo uso do comando configure private. Esse comando permite que mltiplos usurios editem a configurao. Nesse caso, ao fazer commit, os usurios salvam na configurao ativa apenas as linhas de configu rao que cada um editou. Se um usurio que entrou no modo de configurao atravs de um configure private (fazendo um commit) muda de ideia e executa um rollback 0, apenas as linhas que ele
Introduo rede Ip
mesmo alterou so revistas. Se dois usurios esto no modo de configurao privada e ambos fazem a mesma modifi cao, o segundo commit vai falhar, e ser exibida mensagem de erro para evitar conflito de configurao. Se o usurio que executou o segundo commit insiste e executa um novo commit, a configurao salva corretamente.
110
Em alguns cenrios, o administrador do sistema pode querer definir que todas as edies da configurao sejam feitas com configure private e nunca com configure. Ao criar contas de usurios possvel limitar os comandos disponveis. Pode-se ento excluir a permisso para executar o configure, permitindo, por exemplo, o configure private. Se um usurio adentra o modo de configurao e altera a configurao candidata, outros usurios no podem entrar no modo de configurao usando as opes exclusive ou private. As mudanas feitas pelo primeiro usurio precisam ser confirmadas com um commit ou descartadas para que outros usurios possam entrar nos modos exclusivo ou privado.
[edit] chassis interfaces bgp isis protocols services system ... pim rip rsvp vrrp ... ...
mpls ospf
area-range area_range
interface
nssa
stub
...
A hierarquia do arquivo de configurao nada tem a ver com a hierarquia de comandos do modo de operao. De maneira anloga, os comandos disponveis no modo de configurao nada tm a ver com os disponveis no modo de operao. Por exemplo, na CLI do modo de operao disponibiliza o comando show para mostrar informaes especficas do sistema, enquanto que no modo de configurao tambm h um comando show, mas para exibir uma poro especfica do arquivo de configurao. Os dois comandos de show no tm qualquer relao. O Junos organiza a hierarquia de comandos de configurao em uma estrutura de rvore, similar estrutura de diretrios do Unix e do Windows. Nesse modelo as configuraes relacionadas ficam agrupadas em um mesmo ponto da rvore. 11 Para modificar uma linha qualquer da configurao candidata utiliza-se sempre o comando set. 11 O comando show exibe a configurao candidata ou parte dela.
Captulo 8 - Roteiro de Atividades 3
111
Comandos set e show no Modo de Configurao: [edit system] user@host# set services web-management http port 8080 [edit system] user@host# show services web-management { http { port 8080;
} }
11 As diferentes pores do arquivo de configurao (candidata ou ativa) so hierarquizadas atravs de chaves ({ }). As chaves facilitam a leitura da estrutura de rvore. 11 O final de cada linha de configurao termina sempre com um ponto e vrgula (;), assemelhando o formato do arquivo a um cdigo de linguagem de programao estruturada. 11 Nos comandos de set, que efetivamente alteram o arquivo de configurao, no necessrio incluir nem colchetes nem ponto e vrgula.
Aps mudar de nvel, o prompt muda para indicar o novo nvel onde o usurio est posicionado.
[edit] user@host# edit protocols ospf area 51 stub [edit protocols ospf area 0.0.0.51 stub] user@host# [edit]
chassis
interfaces protocols
services system
...
bgp
isis
mpls
ospf
pim
rip
rsvp
vrrp
...
area
Introduo rede Ip
area_id
graceful-restart
overload
traffic-engineering
...
area-range
area_range
interface
nssa
stub
...
112
[edit protocols ospf area 0.0.0.51 stub] user@host# up [edit protocols ospf area 0.0.0.51] user@host# [edit]
chassis
interfaces protocols
services
system
...
bgp
isis
mpls
ospf
pim rip
rsvp
vrrp
...
area
Figura 8.7 Comando up.
area_id
graceful-restart
overload
traffic-engineering
...
area-range
area_range
interface
nssa
stub
...
[edit protocols ospf area 0.0.0.51] user@host# up 2 [edit protocols] user@host# [edit]
chassis
interfaces protocols
services
system
...
bgp isis
mpls
ospf
pim
rip rsvp
vrrp
...
area
Figura 8.8 Comando up <n>.
area_id
graceful-restart
overload
traffic-engineering
...
area-range
area_range
interface
nssa
stub
...
Para retornar para o nvel raiz da hierarquia de configurao utiliza-se o comando top.
Captulo 8 - Roteiro de Atividades 3
113
[edit protocols ospf area 0.0.0.51 stub] user@host# top [edit] user@host# [edit]
chassis
interfaces protocols
services
system
...
bgp isis
mpls
ospf
pim rip
rsvp
vrrp
...
area
area_id
graceful-restart
overload
traffic-engineering
...
Figura 8.9 Comando top.
area-range
area_range
interface
nssa
stub
...
11 O comando top pode ser combinado com o comando edit para se mover de um determinado nvel da hierarquia para outro nvel completamente diferente, com apenas um comando. 11 Comando top combinado com edit: avano rpido entre nveis.
[edit protocols ospf area 0.0.0.0 interface ge-0/0/0.0] user@host# top edit system login [edit system login]
114
Introduo rede Ip
[edit protocols ospf] user@host# edit area 51 stub [edit protocols ospf area 0.0.0.51 stub] user@host# exit [edit protocols ospf] user@host# [edit] chassis interfaces protocols services system ...
bgp isis
mpls
ospf
pim rip
rsvp
vrrp
...
area
area_id
graceful-restart
overload
traffic-engineering
...
area-range
area_range
interface
nssa
stub
...
Resumo dos comandos para navegao entre os diferentes nveis da hierarquia de configurao: 11 edit: direciona o usurio para um ponto da hierarquia de configurao. 11 up: move o usurio um nvel acima na hierarquia. 11 up <n>: move o usurio n nveis acima na hierarquia. 11 top: move o usurio para a raiz da hierarquia. 11 exit: move o usurio para o nvel anterior.
[edit system services] user@host# set ftp -> FTP service added
115
matched: ge-1/0/0 matched: ge-1/0/1 Delete 2 objects? [yes, no] (no) yes
[edit]
116
user@host#
[edit] user@host# deactivate interfaces ge-0/0/0 [edit] user@host# commit commit complete [edit] user@host# show interfaces ge-0/0/0 ## ## inactive: interfaces ge-0/0/0 ## unit 0 { family inet { address 10.210.11.177/28; } family inet6; } [edit] user@host# activate interfaces ge-0/0/0 [edit] user@host# commit commit complete [edit] user@host# show interfaces ge-0/0/0 unit 0 { family inet {
Captulo 8 - Roteiro de Atividades 3
117
[edit] user@host# show system services ssh; web-management { http { port 8080; } }
Introduo rede Ip
Hint To view the set commands used to build the configuration use the show | display set command.
Utilizando o comando show, a configurao da hierarquia especificada aparece entre chaves ({ }). As linhas de configurao da hierarquia aparecem finalizadas por um ponto e vrgula (;). Essa formatao a mesma que a CLI usa para armazenar as configuraes setadas pelo usurio. 11 Opcionalmente, possvel ver a configurao de uma determinada hierarquia no formato de comandos set. 11 Dessa forma, o usurio tem acesso aos comandos que foram efetivamente utilizados para fazer as configuraes presentes no arquivo. 11 Para visualizar uma poro de configurao nessa formatao descrita, utiliza-se o comando show com a opo display set. Comando show com opo display set:
[edit] user@host# show system services | display set set system services ssh set system services web-management http port 8080
q
Captulo 8 - Roteiro de Atividades 3
119
[edit] user@host# commit check [edit interfaces ge-0/0/10 unit 0] family When ethernet-switching family is configured on an interface, no other family type can be configured on the same interface. error: configuration check-out failed
Ao executar determinadas mudanas na configurao do equipamento, a partir de um ponto remoto, existe o risco de perda do acesso a ele. Por exemplo, ao alterar uma configu rao de roteamento incorretamente, possvel que haja perda de conectividade entre o ponto onde est o computador do usurio e o roteador. No mundo real essa situao ocorre com certa frequncia. Normalmente quando isso acontece, a nica soluo levar um notebook at a sala onde est o roteador, conectar o notebook porta console e corrigir o problema. Se o usurio que est fazendo a configurao no est no prdio onde est o roteador, pode estar caracteri zado um problema srio. O Junos apresenta uma proposta para essa situao: o comando commit confirmed. Antes de salvar a configurao candidata com o comando commit, o usurio tem a opo de executar o commit confirmed <time>, onde <time> um nmero expresso em minutos. Esse comando faz com que o roteador efetive a configurao candidata durante alguns minutos. Se aps essa quantidade de minutos especificada o usurio no se pronunciar, o roteador volta com a configurao anterior (rollback1 !). Se o usurio quiser confirmar a efetivao da configurao candidata, ele deve executar um commit. Comando commit confirmed:
[edit]
Introduo rede Ip
user@host# commit confirmed commit confirmed will be automatically rolled back in 10 minutes unless confirmed commit complete
120
Repare que, caso o usurio tenha cometido um erro de configurao que comprometa a conectividade do equipamento, esse procedimento evita que o usurio perca acesso total ao equipamento durante muito tempo, caso esteja fazendo uma alterao de configurao remotamente. Se o comando executado sem que seja especificado um valor de tempo, o valor assumido de 10 minutos. O Junos tambm permite que um usurio agende um commit. Para tal utiliza-se o commit at. Comando commit at:
[edit] user@host# commit at 21:00:00 configuration check succeeds commit at will be executed at 2009-05-11 21:00:00 UTC Exiting configuration mode
11 Para checar se h um commit agendado no roteador utilize o comando show system commit no modo de operao. 11 Para abortar um agendamento de commit utilize o comando clear system commit no modo de operao. Comandos show system commit e clear system commit:
user@host> show system commit commit requested by user via cli at 2009-05-11 21:00:00 UTC 0 ... user@host> clear system commit Pending commit cleared
Outra possibilidade deixar um log registrado do commit que ser executado. Para tal utiliza-se o comando commit comment. Dessa forma, o commit ficar registrado na sada do comando de verificao show system commit, que deve ser executado no modo de operao. Comandos commit comment e show system commit:
user@host> show system commit 0 2009-05-11 15:32:42 UTC by User via cli Changed OSPF configuration
Por fim, o Junos permite executar o commit e deixar o modo de configurao de uma s vez. Para tal utiliza-se o comando commit and-quit.
121
[edit system services] user@host# show | compare [edit system services] + ftp; - telnet;
O uso desse comando sempre recomendvel. Analogamente, possvel comparar o contedo da configurao candidata com outras con figuraes passadas. Para tal utiliza-se, no modo de operao, o comando show configura tion | compare rollback <n>, onde <n> denota o ndice da configurao passada; ndice zero se refere configurao corrente; ndice 1 se refere ltima configurao; ndice 2 se refere penltima configurao... O Junos tambm permite comparar outros arquivos, que no so necessariamente os arquivos de configurao. Para executar tal ao, execute file compare files <arquivo1> <arquivo2>.
Restaurando configuraes
11 O Junos pode guardar automaticamente as ltimas 50 verses de arquivos de configurao. 11 Para restaurar qualquer um desses arquivos utiliza-se, no modo de configurao, o comando rollback <n>, onde <n> denota o ndice da configurao a recuperar. Nesse caso <n> varia de 0 a 49. 11 O comando rollback reescreve um arquivo de configurao antigo na configurao candidata. 11 Para confirmar a restaurao da configurao no roteador, o usurio precisa executar ainda o comando commit. 11 Para alterar a quantidade de configuraes salvas automaticamente pelo Junos utiliza-se o seguinte comando no modo de configurao: set max-configurations-on-flash <max>
122
Introduo rede Ip
Congurao Candidata
configure rollback n
Congurao Ativa
...
49
Ba lde d e b its
q
Captulo 8 - Roteiro de Atividades 3
123
Comando run
Introduo rede Ip
11 O run permite ao usurio executar comandos do modo de operao a partir do modo de configurao. 11 Esse comando similar ao comando do dos equipamentos de outros fabricantes.
124
[edit interfaces ge-0/0/l2] user@host# set unit 0 family inet address 10.250.0.141/16
[edit
interfaces ge-0/0/l2]
user@host# run ping 10.250.0.149 count 1 PING 10.250.0.149 (10.250.0.149): 56 data bytes 64 bytes from 10.250.0.149: icmp seq=O ttl=255 time=0.967 ms
--- 10.250.0.149 ping statistics --1 packets transmitted, 1 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.967/0.967/0.967/0.000 ms
11 A aba Dashboard prov uma viso geral do status do sistema, das portas, dos alarmes ativos e informaes de utilizao.
Captulo 8 - Roteiro de Atividades 3
11 A aba Configure d ao usurio a chance de configurar o sistema atravs de cliques de mouse ou via acesso direto configurao em formato texto. Um Help fica disponvel em um cone ?, o qual pode ser clicado. 11 A aba Troubleshoot prov acesso a ferramentas simples de rede como ping e traceroute. 11 A aba Maintain permite ao usurio executar upgrades de software e manuteno no sistema de arquivos.
125
A viso default que aparece para o usurio ao executar o login traz a aba Monitor. Nesse
Introduo rede Ip
local o usurio tem acesso s estatsticas em tempo real das interfaces e de outros parme tros do sistema. A opo Chassis mostra a tela da prxima figura.
126
127
Introduo rede Ip
128
Dentro da aba Monitor/Interfaces podemos selecionar uma determinada interface, conforme mostrado na figura seguinte.
Na aba Manage/Files o usurio gerencia o sistema de arquivos. As aes disponveis nessa seo esto associadas manuteno do sistema.
129
Nessa seo possvel gerenciar e manter os arquivos de configurao, fazer download de arquivos de log, arquivos de dump ou outros arquivos temporrios. Tambm possvel remover arquivos para liberar espao na memria flash do equipamento. Essa aba permite ainda outras operaes: 11 Recuperar arquivos de configurao histricos e compar-los; 11 Fazer upgrade ou downgrade do Junos; 11 Adicionar e verificar licenas; 11 Agendar reboots do sistema; 11 Recuperar informaes de suporte para reporte ao servio de assistncia tcnica da Juniper. Por fim, a aba Diagnose prov utilitrios para a investigao de problemas. Pode-se fazer troubleshoot de portas individuais atravs de comandos como ping e traceroute. Tambm possvel capturar pacotes.
130
Introduo rede Ip
Roteiro de Atividades 4
Atividade 4.1 Opes de acesso ao Junos
1. Entrando no modo configurao do Junos; Para entrar no modo configurao digite o comando configure.
root> configure Entering configuration mode Users currently editing the configuration: root terminal d0 (pid 1062) on since 2010-12-23 23:21:41 UTC, idle 3w5d 01:20 [edit] The configuration has been changed but not committed [edit]
2. Navegando pela rvore de configurao do Junos; Ao entrar no modo configurao voc estar no topo da rvore de configurao do Junos, como se estivesse navegando no Windows Explorer, onde para alterar um arquivo que est numa pasta chamada relatrios, dentro de meus documentos, voc dever percorrer partindo de C:\Documents and Settings\glenio.lima\Meus documentos\relatorio. Para descer a rvore do arquivo de configurao do Junos, deve-se utilizar o comando edit.
root# edit interfaces [edit interfaces] root# edit ge-0/0/0 [edit interfaces ge-0/0/0] root# edit unit 0 [edit interfaces ge-0/0/0 unit 0]
Para subir a rvore do arquivo de configurao do Junos, voc deve utilizar o comando up.
Captulo 8 - Roteiro de Atividades 4
131
O Junos oferece um comando para voc ir ao topo do arquivo de configurao, indepen dente de onde voc estiver localizado. Esse comando o top.
root# show root-authentication { encrypted-password $1$GwoPLZZp$8HKb9z7J55MJHFt7/tErn.; ## SECRET-DATA } services { ssh; telnet; web-management { http { interface ge-0/0/1.0; } } } syslog { file messages { any any; } }
4. Conhecendo o comando set;
Introduo rede Ip
132
9
Configuraes do roteador
objetivos
Descrever as configuraes do roteador, interfaces e usurio, apresentar os logs do sistema e os procedimentos de uso e descrever os protocolos NTP e SNMP.
conceitos
Configurao default de fbrica, configurao inicial, configurao de interface, nomeao de interfaces, configuraes de usurio e autenticao, logs do sistema, Network Time Protocol (NTP) e Simple Network Management Protocol (SNMP).
Para exemplificar a ideia, podemos pensar na famlia EX de switches, que projetada para executar funes L2. Essa famlia vem com todas as interfaces habilitadas com o Rapid Spanning Tree (RSPT). Outras plataformas no necessitam desse recurso.
A configurao default traz o log de sistema habilitado, o qual captura eventos do Junos e os escreve nos chamados arquivos de log, pr-definidos. A figura seguinte traz um exemplo tpico de uma configurao de log que vem habilitada no sistema.
133
[edit] user@host# show system syslog user * { any emergency; } file messages { any any; authorization info; } file interactive-commands { interactive-commands any; }
Sob certas circunstncias, pode ser necessrio voltar configurao original de fbrica. possvel copiar essa configurao para a configurao candidata. Para tal utiliza-se o comando load factory-default. Aps copiar a configurao de fbrica para a configurao candidata necessrio executar um commit para efetiv-la. Abaixo vemos que s possvel executar o comando aps configurar a senha do root, que no vem criada por default. Carregando a configurao de fbrica:
[edit] user@host# set system root-authentication plain-text-password New password: Retype new password:
[edit]
Introduo rede Ip
134
Configuraes iniciais
Ligando, desligando e reiniciando o Junos: 11 Uma vez que um equipamento Juniper ligado, se a fora for perdida por qualquer motivo, e retornar em seguida, o hardware ligar automaticamente, sem necessidade de interveno manual. Como todo sistema operacional moderno, o Junos multitarefa. Para garantir a integridade do sistema de arquivos importante, sempre que possvel, desligar o sistema utilizando o procedimento convencional de shutdown. Embora impro -
vvel, um reboot revelia poder prejudicar a sade do sistema, dificultando at mesmo o prximo reboot. Para desligar o sistema pelo mtodo convencional usa-se o comando request system halt:
user@host> request system halt? Possible completions: Execute this command Time at which to perform the operation Number of minutes to delay before operation Boot media for next boot Message to display to all users Pipe through a command
Este comando prov opes que permitem ao usurio: 11 Agendar um shutdown para um momento futuro, que pode ser especificado em quantidade de minutos ou em um horrio exato. 11 Especificar a mdia a partir da qual um reboot ser feito. 11 Registrar a mensagem de reboot em um arquivo de mensagens ou no terminal de console.
Para plataformas Junos que oferecem REs redundantes, o usurio pode reiniciar ambas REs simultaneamente, utilizando request system halt both-routing-engines. 11 Uma vez desembalado e ligado, o equipamento Juniper est pronto para receber as primeiras configuraes. 11 Antes de fazer qualquer alterao, o administrador obrigado a configurar uma senha para o usurio root. 11 As senhas do sistema no podem ter menos que 6 (seis) caracteres e precisam incluir uma mudana de caixa (letras maisculas e minsculas), dgitos ou metacaracteres. Adicionando a senha de root:
Captulo 9 - Configuraes do roteador
135
error: minimum password length is 6 error: require change of case, digits or punctuation
O exemplo mostra a senha sendo configurada como texto plano. Ao contrrio dos demais sistemas do mercado, o Juniper nunca exibe a senha digitada como texto plano. As senhas sempre aparecem encriptadas, conforme abaixo:
login: root
136
root@%
[edit] root#
[edit system] root# run set date 200905120900.00 Tue May 12 09:00:00 UTC 2009
137
11 Alm da data e hora, deve-se confirmar o timezone da regio pertinente. 11 O timezone configurado de fbrica o UTC (GMT). 11 Uma vez definido o timezone local, a hora do sistema ser ajustada de acordo com a diferena entre o timezone configurado manualmente e o default. 11 aconselhvel configurar o horrio do sistema depois de acertar o timezone. 11 Ao invs de definir o horrio local, existe a opo de configurar o roteador para sin cronizar o seu horrio com um servidor de Network Time Protocol (NTP). Essa possibilidade ser abordada mais adiante.
[edit system] [root# top [edit] [root# set interfaces interface name unit 0 family inet address 10.0.1.131/27
Introduo rede Ip
138
Se a instituio tiver um protocolo de roteamento dinmico configurado na sua LAN, esse tambm poder ser usado para divulgar o endereo IP de gerncia do roteador e aprender o endereo da rede de gerncia. Algumas literaturas consideram boa prtica manter o roteamento esttico para a rede de gerncia, para o caso de falha em um protocolo de rotea No Junos, as rotas estticas somente estaro disponveis quando o rpd (Routing mento. Protocol Process) estiver rodando.
Verificando as configuraes
Aps realizar toda a configurao inicial, as alteraes executadas podem ser verificadas com o comando show configuration. Esse comando exibe a configurao ativa com o seu formato original, com as diferentes hierarquias separadas com chaves ({ }). Verificando as configuraes:
root@host> show configuration ## Last commit: 2009-05-11 21:00:46 UTC by root version 9.5R1.8; system { host-name host; time-zone America/Los_Angeles; root-authentication { encrypted-password $1$e/FUEOVo$JF6NiAZxuufGFxDs10MAr/; ## SECRET-DATA } services { ssh; telnet; } syslog { ...
Configurao de resgate
11 O Junos possui o recurso da configurao de resgate. 11 Trata-se de um arquivo de configurao extra, definido pelo usurio, que fica guardado no sistema e pode ser solicitado em situaes de emergncia. 11 recomendvel que a configurao de emergncia possua os elementos mnimos necessrios para restaurar a conectividade fundamental de rede. 11 Por segurana, a configurao de resgate deve incluir uma senha de root. Por default, nenhuma configurao de resgate definida. Os comandos para definio, remoo e efetivao da configurao de resgate so mostrados a seguir:
139
[edit] root@host# rollback rescue load complete [edit] root@host# commit commit complete
Configurao de interface
O uso mais primrio de uma interface a conexo entre diferentes dispositivos de rede. No entanto, no Junos, algumas interfaces so definidas para exercer outras funes. Os tipos de interfaces presentes no Junos so listadas a seguir: 11 Interface de gerncia: 22 Usada para conectar o roteador Juniper uma rede de gerncia. 22 A designao desse tipo de interface varia de acordo com a plataforma. 22 Alguns exemplos so fxp0 e me0. 11 Interfaces internas: 22 Usadas para conectar os planos de controle e de encaminhamento. 22 A designao desse tipo de interface varia de acordo com a plataforma. 22 Alguns exemplos so fxp1 e em0. 11 Interfaces de rede: 22 Usadas para prover conectividade de rede atravs de uma mdia especfica. 22 Alguns exemplos de mdia so Ethernet, Sonet, ATM e T1. 11 Interface de loopback: 22 Interface lgica fixada no roteador, com diversas aplicaes. 11 Interfaces de servios: 22 Usadas para prover um ou mais servios: encriptao, tuneling, NAT etc. 22 Podem ser implementadas via hardware, atravs de um carto especfico que pode ser comprado e adicionado caixa, ou via software. 11 Alguns exemplos de interfaces de servio e suas respectivas designaes:
Introduo rede Ip
22 es: Interface de encriptao. 22 gr: Interface de Tnel GRE (Generic Rout Encapsulation Tunnel Interface). 22 ip: Interface de Tnel IP sobre IP. 11 ls: Interface de link de servio. 22 ml: Interface Multilink. 22 mo: Interface de Monitoramento Passivo.
140
22 mt: Interface de Tnel Multicast. 22 sp: Interface de Servios Adaptativos. 22 vt: Interface virtual de loopback.
Nomeando interfaces
A figura a seguir apresenta os novos atores introduzidos: Interface, PIC (ou PIM) e FPC.
Tipo de mdia da interface (ge, so, at, e assim por diante) Nmero do slot do carto de linha (FPC) Nmero do slot do carto de interface (PIC) Nmero da porta
Enquanto diferentes plataformas usam nomes diferentes para os cartes de linha e os cartes de interface, o CLI quase sempre usa FPC e PIC.
Exemplo de nome de interface: ge-0/2/3 = porta 3 de um PIC gigabit Ethernet no slot 2 do FPC 0
PIC
11 A interface a porta de rede propriamente dita, onde ser conectado um cabo que ligar o equipamento a outro n da rede. 11 A PIC (Physical Interface Card) ou PIM (Physical Interface Module) um carto instalado no roteador, que contm um nmero determinado de interfaces. 11 A FPC (Flexible PIC Concentrator) compreende a poro do hardware do roteador onde as PICs so instaladas. 11 As interfaces no Junos recebem nomes padronizados pelo sistema. 11 Os nomes so atribudos com base no tipo de mdia da interface, no nmero do slot da caixa onde a FPC est encaixada, no nmero do slot da FPC onde a PIC est insta lada, e na posio da interface na PIC.
Em alguns modelos Juniper, tipicamente nos equipamentos de entrada, o termo PIC subsde uma PIC. As diferenas no sero abordadas aqui, de modo que, para os objetivos desse curso, os termos podero ser intercambiveis. Tipicamente, o nmero do slot (seja da FPC ou da PIC) comea em zero. Analogamente, a primeira interface de uma PIC a interface zero. Esse nmero incrementado de acordo com a configurao do hardware. A figura anterior exibe a nomeao de uma interface no Junos. A interface ge-0/2/3 a quarta interface de sua PIC. A PIC onde a interface se encontra a terceira de sua FPC. A FPC onde est a PIC, e a primeira do roteador. Finalmente, a mdia da interface gigabit ethernet. Juntando todas essas informaes tem-se o nome da interface: ge-0/2/3.
Captulo 9 - Configuraes do roteador
titudo por PIM (Physical Interface Module). A funo de uma PIM basicamente a mesma
141
Interfaces que no so fsicas no seguem essa conveno. Normalmente elas seguem uma sequncia simples como: 0, 1, 2... 11 Cada interface fsica pode possuir uma ou mais interfaces lgicas (subinterfaces). 11 Criar subinterfaces til em ambientes onde se deseja criar conexes L2 como circuitos virtuais ou 802.1q. 11 Redes Frame Relay e ATM so exemplos de tecnologias que fazem uso de subinterfaces. 11 Algumas tecnologias de encapsulamento suportam apenas uma nica unidade lgica, como PPP e HDLC. No Junos essas tecnologias utilizam o descritor zero. 11 O texto abaixo exibe um nome de uma subinterface da interface fsica ge-0/0/14.
ge-0/0/14.51
Em uma interface que utiliza a tecnologia de encapsulamento PPP, por exemplo, haveria apenas uma nica interface, e seu identificador seria .0. 11 O identificador da subinterface e o identificador do circuito virtual L2 no precisam ser iguais. 11 Por exemplo, uma interface ge-1/1/1 poderia ter, por exemplo, dois DLCIs Frame Relay definidos (DLCI 8 e 9) e implementados nas interfaces ge-1/1/1.20 e ge-1/1/1.21. Repare que os identificadores do exemplo no casam. No entanto, boa prtica usar o mesmo nmero identificador da subinterface e do circuito L2. Essa prtica ajuda no troubleshooting e na melhor compreenso da rede.
Mltiplos endereos
11 A plataforma Junos permite que uma interface, fsica ou lgica, tenha mais de um endereo IP. 11 Para tal, basta executar dois comandos set de configurao de endereo. 11 Diferente do que se poderia pensar, ao executar um segundo comando set para o mesmo item de uma hierarquia de configurao, tipicamente o primeiro set no desconsiderado, mas os dois comandos passam a valer. 11 Essa regra vale, por exemplo, para a configurao do endereo IP na interface. 11 Se o usurio associa um endereo IP a uma interface (utilizando o comando set), e percebe que o endereo est errado e decide troc-lo, pode usar o comando rename, e no um segundo comando set. O exemplo aqui descrito ilustrado abaixo (comando rename):
[edit interfaces ge-0/0/1 unit 0] user@host# set family inet address 10.1.1.1
Introduo rede Ip
[edit interfaces ge-0/0/1 unit 0] user@host# show family inet { address 10.1.1.1/32;
142
} [edit interfaces ge-0/0/1 unit 0] user@host# rename family inet address 10.1.1.1/32 to address 10.1.1.1/24
[edit interfaces ge-0/0/1 unit 0] user@host# show family inet { address 10.1.1.1/24; }
Outra opo seria retirar o endereo com um delete e em seguida colocar o novo IP com o comando set (no necessariamente nessa ordem).
143
} } }
logical-properties; [...]
Todas as interfaces tm esta mesma organizao hierrquica. 11 O Junos organiza todas as propriedades fsicas debaixo do nome da interface. 11 O nmero de unit representa uma interface lgica (ou subinterface) particular. 11 O Junos organiza todas as configuraes lgicas da interface debaixo da subinterface (unit) correspondente.
[edit] user@host# show interfaces ge-0/0/2 { unit 0 { family inet { address 172.19.102.1/24; address 172.19.102.2/24 {
address 3001::1/64;
primary; } }
144
} }
Observe no cdigo que uma unit pode suportar mltiplas famlias de protocolo, o que equivale a dizer que uma subinterface (lgica) suporta vrios protocolos de rede, como IPv4 e IPv6. O cdigo tambm mostra o uso dos comandos preferred e primary. A opo preferred usada quando h mltiplos IPs de uma mesma sub-rede na mesma subinterface. Essa opo permite ao usurio selecionar o endereo que ser usado como endereo de origem nos pacotes gerados pelo sistema para hosts locais na mesma sub-rede. Por default, se nada definido pelo usurio, o sistema assume que o endereo com o menor valor ser o prefe rido. No exemplo anterior, se o comando preferred no fosse usado, o endereo preferido seria o 172.19.102.1. Mas o comando sobrescreveu o comportamento default do roteador, e elegeu o 172.19.102.2 como o preferido. O endereo primrio de uma interface, definido pelo comando primary, o endereo usado por default como o origem de broadcasts e multicasts que precisam ser enviados por aquela interface. Por default o endereo primrio da interface aquele com o menor nmero de endereos. No cdigo anterior, o endereo primrio default da interface lo.0 seria 192.168.100.1, mas o comando primary sobrescreveu o comportamento default e elegeu 192.168.200.1 como endereo primrio. Verificando endereos Primrio e Preferido:
user@host> show interfaces ge-0/0/2.0 | find addresses Addresses, Flags: Is-Primary Destination: 172.19.102/24, Local: 172.19.102.1, Broadcast: 172.19.102.255 Addresses, Flags: Preferred Is-Preferred Destination: 172.19.102/24, Local: 172.19.102.2, Broadcast: 172.19.102.255 Protocol inet6, MTU: 1500 Flags: Is-Primary Addresses, Flags: Is-Default Is-Preferred Is-Primary Destination: 3001::/64, Local: 3001::1 Addresses, Flags: Is-Preferred Destination: fe80::/64, Local: fe80::217:cbff:fe4e:ab02
Captulo 9 - Configuraes do roteador
145
user@host> show interfaces terse ge-O/O/2 interface ge-O/O/2 ge-0/0/2.0 fe80::217:cbff:fe4e:a282/64 Admin Link Proto Local up up up up inet 10.15.173.1/28 172.19.102.1/24 inet6 3001::1/64 Remote
146
Introduo rede Ip
Roteiro de Atividades 5
Atividade 5.1 Configurao bsica (parte 1)
1. Alterar o hostname; Para se alterar o nome do roteador voc dever utilizar o comando hostname. Ele deve ser executado a partir do [edit system] da rvore do arquivo de configurao Junos, ou como alternativa pode-se chamar o comando set a partir do [edit], no topo da rvore do arquivo de configurao.
[edit]
Outro recurso interessante do comando commit a utilizao do parmetro comment. Seguida desse parmetro, pode-se inserir uma descrio do que ser comitado a partir de agora.
147
root@bancadaX# run show system commit 0 2011-01-19 12:27:36 UTC by root via cli alteracao do ip da interface ge-0/0/0 conforme chamado 7001 1 2 3 4 5 6 7 8 9 2011-01-19 11:32:18 UTC by root via cli 2011-01-19 02:40:15 UTC by root via cli 2011-01-19 02:37:17 UTC by root via cli 2011-01-05 20:39:27 UTC by root via cli 2010-12-23 23:27:10 UTC by root via cli 2010-12-23 23:26:14 UTC by root via cli 2010-12-23 23:25:11 UTC by root via cli 2010-12-23 23:19:18 UTC by root via cli 2010-12-18 01:01:36 UTC by root via button
Com a informao dos commits realizados no seu sistema, pode-se restaur-lo a partir do modo de configurao com o comando rollback seguido do ID do commit que se deseja restaurar. O ID 0 representa a configurao atual do seu sistema. J o ID 1 representa a penltima configurao vlida do seu sistema.
root@bancadaX# rollback ? Possible completions: <[Enter]> 0 1 2 3 4 Execute this command 2011-01-19 12:27:36 UTC by root via cli 2011-01-19 11:32:18 UTC by root via cli 2011-01-19 02:40:15 UTC by root via cli 2011-01-19 02:37:17 UTC by root via cli 2011-01-05 20:39:27 UTC by root via cli
Aps executar o comando rollback, deve-se executar o comando commit para que as configuraes restauradas tenham efeito.
148
root@bancadaX> show interfaces terse | match ge-0/0/0 ge-0/0/0 ge-0/0/0.0 up up down down inet 192.168.1.1/30
Neste exemplo, filtramos somente o status da interface ge-0/0/0. 2. Trocando a senha de root; Quando se utiliza o comando set, estamos atualizando um arquivo chamado de candidate configuration ou configurao candidata. Portanto, essas atualizaes no surtiro efeito antes de se executar o comando commit, que ser explanado na prxima atividade. Uma premissa para se executar o comando commit definir uma senha para o usurio root, j que ela no definida quando o equipamento vem com as configuraes de fbrica. Para se definir uma senha para o usurio root, basta digitar o comando:
149
% cli glenio@bancadaX>
150
Introduo rede Ip
Quando se usa autenticao local, as senhas e nomes de usurio so criadas e armazenadas em um banco de dados do prprio sistema Junos. As seguintes condies so impostas pelo sistema: 11 As senhas precisam ter um mnimo de 6 caracteres; 11 As senhas precisam conter pelo menos um metacaractere ou letra maiscula. Quando um usurio criado no Junos, automaticamente gerado um diretrio home para ele, como ocorre para os sistemas Unix. Esse diretrio serve como um diretrio default de trabalho para cada usurio localmente definido. O diretrio local de trabalho pode ser modificado durante uma sesso usando o comando de modo de operao set cli directory <nome do diretrio>. A opo de autenticao centralizada no Junos pode ser implementada utilizando solues de RADIUS ou TACACS+. Ambos definem uma aplicao cliente-servidor onde os usurios e senhas so definidos no servidor. Softwares clientes de RADIUS ou TACACS+ so executados no Junos, enquanto o servidor executado em um hardware remoto da rede. Essa soluo de autenticao remota permite que mltiplos usurios definidos no RADIUS ou no TACACS+ sejam mapeados para um template de conta de usurio definido localmente.
Captulo 9 - Roteiro de Atividades 5
Ordem da autenticao
O Junos pode ser configurado para ser um cliente de RADIUS e de TACACS+. A diferena entre esses mtodos no ser tratada neste curso. possvel priorizar a ordem que o software usar para tentar autenticar o usurio. Dessa forma, para cada tentativa de login, o Junos tentar mais de um mtodo de autenticao na ordem especificada, at que a autenticao possa ser efetuada. O mtodo seguinte ser tentado sempre que o mtodo anterior falhar ou rejeitar o acesso do usurio. S no caso de nenhum dos mtodos funcionar, o acesso do usurio ser negado.
151
Se nenhum dos mtodos de acesso responder (com aceite ou rejeio), o Junos tentar como ltimo recurso autenticar o usurio utilizando a base local. Para verificar a ordem dos mtodos de autenticao no modo de configurao, use o comando:
St
2 ep
b (la Ste
b , la
78
9) T
E 3R
JEC
Step 4 (lab, lab789) Step 5 REJECT Ste p6 (la b, lab Ste 78 p7 9) AC CE PT TACACS+server Username = lab Password = lab456
Local authentication database Username = lab Password = lab789 A configurao da ordem de autenticao pode ser feita com o comando a seguir na raiz da hierarquia do modo de configurao:
Figura 9.4 Ordem de autenticao.
O parmetro secret define um valor usado pelo RADIUS para validar a identidade do rote ador. Para verificar a configurao de RADIUS usa-se o comando show system radius-server:
152
[edit system] user@host# show login user lab class super-user; authentication { encrypted-password $1$dJ3NA9BW$nZGLZAp9kpiG52kru34IT.; ## SECRETDATA }
A seguir um exemplo de mudana de ordem do mtodo de autenticao. O administrador do sistema no quer mais que a base de usurios locais seja usada. Para tal, a opo password foi retirada do comando set system authentication-order [...].
153
St
2 ep
b (la Ste
b , la
R p3
EJE
Step 4 (lab, lab789) Step 5 REJECT TACACS+server Username = lab Password = lab456
Local authentication database Username = lab Password = lab789 Na figura anterior o usurio tentou fazer login no sistema usando a senha lab789, que difere das senhas definidas no RADIUS e no TACACS+. O sistema tenta fazer autenticao via RADIUS, sem sucesso. Em seguida tenta autenticao via TACACS+, sem sucesso novamente. Nesse caso o sistema no consultar a base local como ltimo recurso, pois essa opo foi excluda da lista de recursos de autenticao, e pelo menos um dos recursos listados respondeu (se a conexo com o RADIUS e com o TACACS+ tivesse falhado, a base local seria usada como ltimo recurso). O acesso do usurio negado. A prxima figura mostra o equipamento com a mesma ordem de autenticao configu rada no exemplo anterior. No entanto, o servidor RADIUS est desligado, e o TACACS+ est inacessvel devido a um problema de rede. Ao tentar consultar cada um desses recursos o sistema aguardar a expirao de um perodo de time-out. Passado esse tempo o sistema remoto ser considerado inacessvel.
Figura 9.5 Ordem de autenticao sem opo password.
154
Introduo rede Ip
Ste
lab 2(
, la
9) 78
Ste Ste
p4
(la b CE
p5
, la
b7
AC
89 )
PT
Repare que no exemplo, como nenhum dos recursos listados no parmetro authetication-order respondeu, a base local ser usada. Esse comportamento evita a situao indesejvel de um equipamento ficar inacessvel quando ocorre uma falha dos servidores centralizados de autenticao.
Componentes da autenticao
11 Cada comando do modo de operao e do modo de configurao est sujeito aprovao pelo processo de autenticao do sistema. 11 O mesmo vale para os recursos da interface J-Web. 11 Todos os usurios esto sujeitos s vontades desse processo, exceo do usurio root, que tem poder incondicional. O perfil de acesso do usurio root no pode ser modificado. Por esse motivo funda mental proteger a senha desse usurio.
A figura seguinte introduz as entidades lgicas usadas no processo de autenticao de cada comando aplicado por um usurio. Cada um desses atores explicado a seguir.
Captulo 9 - Roteiro de Atividades 5
user
Class
Permissions
deny-commands deny-configuration
allow-commands allow-configuration
Authorized or Denied
User
Um usurio (user) um membro de uma classe (class).
Ao utilizar autenticao remota possvel mapear mltiplos logins do TACACS a um mesmo user do Junos.
155
Class
11 Uma classe (class) define um conjunto de flags de permisso. 11 possvel configurar ou customizar classes. 11 O sistema traz quatro classes pr-definidas que podem contemplar a maioria das situaes desejadas. 11 Essas classes e suas respectivas flags de permisso esto listadas a seguir: 22 super-user: permisso total. 22 unauthorized: nenhuma permisso. 22operator: clear, network, reset, trace e view. 22 read-only: view.
Permission
Uma permisso (permission) uma flag associada a um privilgio. Pode-se entender uma permission como um conjunto de comandos pertinentes a uma determinada tarefa. Algumas das permisses que j vm configuradas no sistema so listadas a seguir: 11 access: permite ver as configuraes de acesso. 11 access-control: permite modificar as configuraes de acesso. 11 admin: permite ver configuraes de contas de usurio. 11 admin-control: permite modificar configuraes de contas de usurio. 11 all: permisso total. 11 clear: permite limpar informaes aprendidas da rede. 11 configure: permite acesso ao modo de configurao. 11 control: permite modificar qualquer configurao. 11 field: reservada para o suporte Juniper. 11 firewall: permite ver as configuraes de firewall. 11 firewall-control: permite alterar as configuraes de firewall. 11 floppy: permite ler e escrever informaes no drive de floppy. 11 interfaces: permite ver as configuraes de interface. 11 interface-control: permite modificar as configuraes de interface. 11 rollback: permite a execuo do comando rollback <n> com n > 0. 11 reset: permite fazer reset em interfaces e processos do sistema. 11 view: permite ver estatsticas do sistema. 11 view-configuration: permite ver toda a configurao do sistema.
156
[edit system login] root@host# show class noc-admin { permissions [ clear network reset view ] ; allow-commands (configure private) ; deny-commands (file) ; allow-configuration (interfaces) | (firewall); deny-configuration (groups); } user nancy { uid 2002; class noc-admin; authentication { encrypted-password SlSKQXKa/VQSijv77wxLnyf7XRI.1IbTqO; ## SECRET-DATA } }
11 No exemplo acima o administrador definiu que a usuria Nancy estar associada classe noc-admin. 11 As permisses clear, network, reset e view foram associadas a esta classe. 11 Adicionalmente o administrador gostaria que os usurios da classe noc-admin fossem capazes de ver as configuraes, mas apenas de interface e de firewall. 11 Para tal, o primeiro passo foi liberar o comando (avulso) configure private. 11 Esse comando foi adicionado lista de tarefas que o usurio pode fazer. Essa configurao foi adicionada com o allow-commands, aplicado sob a hierarquia de configurao da class, ou seja, [edit system login class noc-admin]. 11 Em seguida o administrador usou, sob a mesma hierarquia de configurao, o comando allow-configuration, o qual adiciona ao usurio os privilgios associados s permisses interfaces e firewall. 11 A partir de ento, a usuria Nancy poder entrar no modo de configurao e ver as configuraes das hierarquias [edit interfaces] e [edit firewall]. 11 Alm disso, o administrador prefere garantir que os usurios da classe noc-admin no sero capazes de manipular arquivos. 11 Para tal, o comando file foi excludo da lista de comandos permitidos. Essa ao foi feita com o comando deny-commands, aplicado hierarquia de configurao da classe.
Captulo 9 - Roteiro de Atividades 5
157
Finalmente, o administrador usou o comando deny-configuration para garantir que os usu rios da classe em questo no tero acesso aos privilgios da permisso groups, e dessa forma no podero ver as configuraes da hierarquia [edit groups].
Logs do sistema
O sistema de log do Junos usa os mesmos princpios do mecanismo de log usado pelos sistemas Unix. 11 Esse sistema grava mensagens gerais sobre a operao do Junos, tais como interfaces que saem de operao ou usurios que tentam fazer login e no conseguem. 11 O Junos grava as mensagens de log em arquivos que ficam armazenados no diretrio /var/log. 11 O arquivo de log primrio, definido pela configurao que vem de fbrica, o /var/ log/messages. 11 As mensagens de log podem trazer uma grande variedade de eventos. 11 Cada evento possui alguns parmetros que o caracterizam. 11 Por exemplo: severidade (severity) e facilidade (facility). 11 A facilidade listada na frente do evento, e define a classe da mensagem. 11 A severidade vem em seguida, e determina a gravidade do evento reportado. 11 As mensagens de log podem ser gravadas em arquivo (/var/log/messages) ou em um servidor remoto (servidor de syslogs), o que recomendado dado o perigo de se perder o arquivo local em um grande evento de falha. Observamos a seguir exemplos de configurao de syslogs:
[edit system syslog] user@host# show user * } (*) host 10.210.14.174 { any notice; authorization info; } file messages { any any; authorization info;
Introduo rede Ip
} file interactive-commands { interactive-commands any; } file config-changes { #Registra mudanas na configurao #Registra todos os comandos CLI (*)
158
As configuraes de syslogs ficam na hierarquia [edit system syslog] e em [edit routing-options options syslog]. Algumas opes de syslog: 11 host <nome> ou host <IP>: especifica o servidor de syslog para o qual devero ser enviadas as mensagens de log. 11 archive: especifica a poltica de armazenamento dos arquivos de log. O default manter 10 arquivos com tamanho mximo de 128 KB. 11 console: seleciona alguns tipos de mensagem para mostrar no terminal de console do sistema. 11 facility: mostra a classe das mensagens. 11 severity: mostra o nvel de gravidade das mensagens de log. 11 file <nome>: especifica o nome do arquivo de log. 11 files <nmero>: especifica o nmero mximo de arquivos que sero mantidos.
Jul 27 10:48:37 host mgd[4350]: UI_DBASE_LOGOUT_EVENT: User user exiting configuration mode
Esse formato traz: 11 timestamp: horrio do evento. 11 hostname: nome do sistema. 11 process name: nome do processo que gerou a mensagem. 11 message code: identifica a natureza e o propsito da mensagem. No exemplo o cdigo da mensagem UI_DBASE_LOGOUT_EVENT. 11 message-text: prov informaes adicionais sobre o cdigo da mensagem. A opo explicit-priority nas configuraes de syslog altera o formato default das mensa gens de log, que passam a exibir um valor numrico que representa a gravidade do evento. Na escala de severidade do Junos, o valor zero representa os eventos mais graves, ao passo que o valor 7 (sete) indica as mensagens informativas (menos graves). Em qualquer tipo de equipamento, de qualquer fabricante, nem sempre tarefa simples interpretar os campos das mensagens de log. Pensando nisso, os desenvolvedores do Junos disponibilizaram um help local, que ajuda a entender os eventos reportados. Abaixo um exemplo de uso do comando de modo de operao help syslog <message code>:
Captulo 9 - Roteiro de Atividades 5
159
User <username> exiting configuration mode User exited configuration mode The indicated user exited configuration mode (logged
out of the configuration database). Type: Severity: Event: This message reports an event, not an error notice
Pela descrio da mensagem acima, percebe-se que o usurio user deixou o modo de configurao. Trata-se de uma mensagem informativa.
traceoptions { file ospf-trace replace size 128k files 10 no-stamp no-worldreadable; flag event detail;
160
A amostra de configurao exibida reflete um exemplo tpico de investigao da operao do protocolo OSPF. No exemplo, o administrador solicitou informaes de erros e de eventos. No foi usada a opo all. Ao invs disso, foi usada a opo detail, bastante fun cional em casos de troubleshooting. Abaixo seguem alguns parmetros que podem ser configurados quando se faz uso de traceoptions. 11 file <nome>: especifica o nome do arquivo que armazenar as informaes. 11 size <tamanho>: determina o tamanho mximo de cada arquivo gerado em kilobytes, megabytes ou gigabytes. Quando um arquivo nomeado ospf-trace atinge esse tamanho, ele renomeado para ospf-trace.0, e as informaes mais recentes passam a ser registradas no novo arquivo ospf-trace. Quando o novo arquivo ospf-trace atinge seu tamanho mximo, ele renomeado para ospf-trace.0, ao passo que o ospf-trace.0 renomeado para ospf-trace.1. E um novo arquivo ospf-trace gerado... 11 files <nmero>: especifica o nmero mximo de arquivos de trace que podem existir. 11 no-stamp: previne que o timestamp das mensagens seja colocado no incio de cada registro, como ocorre no comportamento default do equipamento. 11 replace: troca um arquivo de trace existente, caso um arquivo de trace com o nome especificado j exista. Por default, se essa opo no usada, as novas informaes sero apendadas no arquivo existente. 11 readable: permite que qualquer usurio veja o arquivo. 11 no-world-readable: permite que o arquivo gerado seja lido apenas pelo usurio que programou a sua gerao. Por default, se a opo readable no usada, essa opo estar habilitada. 11 Alm de investigar protocolos, as traceoptions permitem investigar recursos do sistema. 11 Por exemplo, o comando traceoptions poderia ser utilizado abaixo da hierarquia [edit interfaces <nome da interface>]. Nesse caso, os eventos ou erros referentes a uma determinada interface da caixa seriam armazenados no arquivo de trace. 11 Analogamente, possvel investigar os erros e eventos relacionados a determinados processos do sistema. 11 Se ningum remove ou desabilita as flags de trace, a atividade continua ocorrendo em background, e os arquivos de trace continuam sendo gerados.
Captulo 9 - Roteiro de Atividades 5
11 Os arquivos continuam no disco indefinidamente at que sejam removidos ou sobrescritos por algum usurio. 11 Para desabilitar todas as traceoptions de uma hierarquia particular, executa-se o comando delete traceoptions sob a hierarquia desejada. 11 Para apagar um arquivo de trace criado, utilize o comando do modo de operao: file delete <nome>.
161
H ainda outras operaes que podem ser feitas nos arquivos com os comandos (autoexplicativos): 11 file compare 11 file copy 11 file list 11 file rename
May 31 23:49:16 host mgd[2711J: %INTERACT-6-UI_CMDLINE_READ_LINE: User user, command request support information
vrios pedaos. Dessa forma, possvel, por exemplo, filtrar uma sada que j foi filtrada. Esse cascateamento permite combinar a busca com lgica AND e OR, conforme mostrado.
162
11 possvel monitorar o incremento de vrios arquivos diferentes executando o monitor start vrias vezes e variando o parmetro <nome do arquivo monitorado>. 11 O Junos mostrar na tela as linhas novas que aparecerem nos arquivos monitorados, em tempo real.
Cada linha exibida na tela trar o nome do arquivo monitorado, para que se possa diferen ciar as mensagens. Para verificar os arquivos que esto sendo monitorados utilizado o comando do modo de operao monitor list. Para usar o comando monitor start em um arquivo, o usurio precisa ter permisso de leitura ao arquivo especificado. Em muitas situaes o usurio est interessado em monitorar em tempo real apenas algum tipo particular de mensagem. 11 Pode-se utilizar a opo match para filtrar as mensagens apresentadas durante a monitorao. 11 Abaixo observamos uma situao na qual o usurio deseja ver em tempo real apenas as mensagens de log que contenham a string fail. user@host> monitor start messages | match fail 11 Para encerrar a monitorao utiliza-se o comando monitor stop. 11 Este comando, quando usado sem nenhuma opo, faz cessar todas as monitoraes correntes. 11 Para certificar-se de que o trmino da monitorao realmente ocorreu, sempre utilize o monitor list.
instituio, no necessrio obter a informao de tempo junto ao Stratum1. Tipicamente a instituio utiliza um servidor Unix ou Windows que serve como a referncia de tempo para os demais equipamentos. Em relao ao protocolo NTP, o Junos suporta os modos assimtrico, cliente e servidor, e autenticao, para evitar que um atacante malicioso no comprometa a sincronizao dos sistemas. A seguir uma configurao tpica de NTP no Junos:
Captulo 9 - Roteiro de Atividades 5
tambm pode suportar broadcast e autenticao. uma boa prtica de segurana utilizar a
163
11 Duas mquinas podem se sincronizar apenas quando seus relgios esto relativamente prximos. 11 Por default, se a diferena de horrio entre o equipamento local e o servidor de NTP maior que 128 milisegundos, os relgios so gradualmente sincronizados. Se a dife rena maior que 1000 segundos, os relgios no so sincronizados. 11 A opo de boot server (usada no exemplo anterior) pode ser usada para configurar o horrio do sistema no momento do boot.
Monitorando o NTP
A seguir a sada do comando show ntp associations, que exibe o status corrente da sincro nizao:
refid
10.210.8.73
u 63
64
377 0.268
-24.258
11 O smbolo exibido perto do hostname indica o estado dos equipamentos envolvidos no processo de sincronizao. 11 O smbolo asterisco (*) indica que o elemento ao lado foi selecionado para sincronizao. 11 Outros smbolos podem aparecer na sada para indicar outros estados. O smbolo que deve aparecer em situao normal o asterisco. 11 Outros detalhes da sincronizao ficam disponveis na sada do comando show ntp status.
Dispositivos executando o Junos podem agir como um agente SNMP. Um agente SNMP troca informaes de gerncia de rede com um SNMP manager, executado em um equipamento remoto, chamado Network Management System (NMS).
Introduo rede Ip
NMS
Poll
Response
164
O agente responde a solicitaes de informao geradas pelo manager. Um agente se comunica com o manager usando os seguintes tipos de mensagem: 11 Get, Getbulk e Getnext: o manager SNMP requisita informaes do agente, que responde com um get response. 11 Set: o manager SNMP altera valores da MIB SNMP (Management Information Base) do agente. O agente confirma a operao com uma mensagem de set response. 11 Trap: o agente SNMP envia mensagens (traps) de notificao ao manager, que no foram previamente solicitadas pelo manager. Elas so geradas proativamente pelo agente para reportar informaes que considera importantes. A atividade de solicitar informaes aos agentes SNMP, que executada pelo NMS da rede, chama-se polling SNMP.
MIBs SNMP
Uma MIB uma coleo de objetos mantidos pelo agente SNMP em uma base de dados hierrquica. O manager SNMP consegue visualizar ou mesmo alterar (em alguns casos) objetos da estrutura da MIB do agente. Parte das MIBs de todos os equipamentos padronizada pela Internet Engineering Task Force (IETF). Isso significa que alguns objetos podem existir em qualquer dispositivo, inde pendente do fabricante. Existe, porm, uma poro da MIB chamada enterprise. Nessa poro cada fabricante est livre para criar seus prprios objetos. Cada objeto identificado dentro da MIB atravs de um Object Identifier (OID). Durante a atividade de gerncia de rede, o NMS pode executar pollings em OIDs especficos do agente, visando obter informaes sobre algum recurso da mquina onde esse agente executado. Para tal, o NMS dever conhecer a estrutura da MIB dos agentes para saber os OIDs disponveis. As MIBs proprietrias da Juniper esto disponveis para download em: http://www.juniper.net/techpubs. O Junos oferece suporte para SNMP verses, 1, 2 e 3. A verso a implementao inicial do protocolo e at hoje uma das mais usadas devido sua simplicidade. A verso 2 adicionou algumas funcionalidades ao protocolo, mas no ganhou tanta popularidade. O SNMP v3 a verso mais atual. Ela funciona exatamente da mesma forma que a verso 1, mas adiciona recursos de segurana e criptografia. A verso 3 a nica que garante a integridade, autenticidade e confidencialidade das informaes de SNMP. Ao consultar dados de SNMP do agente, o NMS precisa formalizar um pedido. Nesse pedido o NMS precisa mostrar que conhece a community SNMP do agente. Essa community funciona como uma senha de acesso. Apenas os NMS que a conhecem podem solicitar informaes. Na verso 1 as informaes de pacote no so criptografadas, o que permite a um mecanismos de proteo para esses dados.
Captulo 9 - Roteiro de Atividades 5
capturador de trfego obter o valor da community e dos OIDs facilmente. A verso 3 prov
Configurando SNMP
A seguir um exemplo de configurao de SNMP no Junos:
165
location BSU East Campus Closet - Rack 4; contact Jim Davis - x1865; community cardinals { authorization read-only; clients { 10.210.14.0/24; - SNMP request limited to 10.210.14/24 subnet; can also restrict to an interface } } trap-group my-trap-group { version v2; categories { chassis; link; } targets { 10.210.14.173; } }
As configuraes so feitas na hierarquia [edit snmp]. Alguns parmetros SNMP configurveis: 11 SNMP description: prov informao de identificao do agente em questo. 11 SNMP location: prov informaes de localizao do agente (importante em redes grandes). 11 SNMP Contact: prov informaes sobre a equipe que deve ser contatada para o caso de falha do agente. Debaixo da hierarquia [edit snmp] tambm so criadas sub hierarquias com as communities. Um agente pode ter inmeras communities configuradas. Para cada community, o administrador do Junos define os NMSs que podem fazer consulta usando-a, e o nvel de acesso: 11 read-only: para leitura do valor dos OIDs; 11 read-write: leitura ou alterao do valor dos OIDs. Por fim, o exemplo mostra uma configurao de trap-group. Atravs dessa definio o
Introduo rede Ip
administrador define que o Junos no s aceitar consultas SNMP do NMS como tambm enviar determinadas informaes ao NMS de maneira proativa. Na configurao o administrador define a verso de SNMP que as traps seguiro, o endereo IP da entidade que receber as traps e as categorias de mensagem que sero enviadas (no exemplo sero enviadas traps referentes chassi e link).
166
user@host> show snmp mib walk jnxOperatingDescr jnxoperatingDescr.1.1.0.0 = midplane jnxoperatingDescr.2.1.1.0 = Power Supply 0 jnxoperatingDescr.2.1.2.0 = Power Supply 1 jnxoperatingDescr.4.1.1 1 = FAN 0 jnxoperatingDescr.7.1.0.0 = FPC: EX3200-24T, 8 POE @ 0/*/ * jnxoperatingDescr.8.1.1.0 = PIC: 24x 10/100/1000 Base-T @ O/O/* jnxOperatingDescr.8.1.2.0 = PIC: 4x GE SFP @ 0/1/ * jnxOperatingDescr.9.1.0.0 = RE-EX3200-24-T
No uso desse comando, as OIDs podem ser especificadas pelo nome ou pela hierarquia de nmeros do SNMP. Esse curso no tratar do detalhamento da nomenclatura usada nessa hierarquia.
167
168
Introduo rede Ip
Roteiro de Atividades 6
Atividade 6.1 Configuraes posteriores
1. Configurando interfaces; 2. Para configurar uma interface de rede GigaEthernet, basta proceder como no exemplo seguinte. Vale ressaltar que o Junos trabalha somente com interface virtual, ento voc deve definir a interface virtual (unit) que deseja configurar.
# set interfaces ge-0/0/1 description Rede LAN 1 # set interfaces ge-0/0/1 unit 0 description LAN 10.0.10.254 # set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.254/24 # set interfaces ge-0/0/2 description Rede LAN 2
# set interfaces ge-0/0/2 unit 0 description LAN 10.0.20.254 # set interfaces ge-0/0/2 unit 0 family inet address 10.0.20.254/24
Nessa mesma atividade coloque o IP da estao Windows 7 com o primeiro IP vlido do seu Range de IPs. Este exemplo para o roteador A da primeira bancada. Os demais roteadores sero confi gurados conforme os endereos descritos na figura a seguir.
169
Mesa do Instrutor
ROT D
ROT C
ROT B
ROT A
0/1
0/1
0/1
0/1
ROT D
ROT C
ROT B
ROT A
0/1
0/1
0/1
0/1
16
15
14
13
12
11
10
ROT D
ROT C
ROT B
ROT A
0/1
0/1
0/1
0/1
24
23
22
21
20
19
18
17
3. Verificando o status das interfaces; Para verificar o status de uma interface Giga Ethernet e descobrir se ela est up ou down, e se possui algum erro de pacotes, basta proceder como no exemplo seguinte.
Local
up up up up up
170
lt-0/0/0 mt-0/0/0 pd-0/0/0 pe-0/0/0 ge-0/0/1 ge-0/0/1.0 ge-0/0/1.0 ge-0/0/2 ge-0/0/3 se-3/0/0 se-3/0/1 dsc gre ipip lo0 lo0.0 lo0.16384 0/0 lo0.16385 0/0
up up up up up up up up up up up up up up up up up
up up up up up up up down down down down up up up up up up inet inet 192.168.0.1/30 127.0.0.1 --> inet inet 10.0.10.254/24 10.0.20.254/24
up
up
inet
10.0.0.1
-->
10.0.0.16 0/0 128.0.0.1 0/0 128.0.1.16 0/0 inet6 lo0.32768 lsi mtun pimd pime pp0 st0 up up up up up up up up up up up up up up
-->
-->
-->
fe80::205:86ff:fe71:e000
171
tap vlan
Outro exemplo:
up up
up up
root@bancadaX> show interfaces brief ge-0/0/0 Physical interface: ge-0/0/0, Enabled, Physical link is Down Description: Rede Wan Link-level type: Ethernet, MTU: 1514, Speed: 1000mbps, Loopback: Disabled, Source filtering: Disabled, Flow control: Enabled, Autonegotiation: Enabled, Remote fault: Online Device flags : Present Running Down
Logical interface ge-0/0/0.0 Description: WAN - 192.168.1.1 Flags: Device-Down SNMP-Traps Encapsulation: ENET2 Security: Zone: trust Allowed host-inbound traffic : any-service bfd bgp dlsw dvmrp igmp ldp msdp nhrp ospf pgm pim rip router-discovery rsvp sap vrrp inet 192.168.1.1/30
Outro exemplo:
Physical interface: ge-0/0/0, Enabled, Physical link is Down Interface index: 131, SNMP ifIndex: 133, Generation: 134 Description: Rede Wan Link-level type: Ethernet, MTU: 1514, Link-mode: Full-duplex, Speed: 1000mbps, BPDU Error: None, MAC-REWRITE Error: None, Loopback: Disabled, Source filtering: Disabled, Flow control: Enabled, Autonegotiation: Enabled, Remote fault: Online Device flags
Introduo rede Ip
Interface flags: Hardware-Down SNMP-Traps Internal: 0x4000 Link flags CoS queues Hold-times : None : 8 supported, 8 maximum usable queues : Up 0 ms, Down 0 ms
Statistics last cleared: Never Traffic statistics: Input bytes : : 18302503 4628007 136047 51686 0 bps 0 bps 0 pps 0 pps
packets:
Output packets:
Egress queues: 8 supported, 4 in use Queue counters: Dropped packets 0 best-effort 1 expedited-fo 2 assured-forw 3 network-cont Active alarms : LINK 51686 0 0 0 51686 0 0 0 0 0 0 0 Queued packets Transmitted packets
Active defects : LINK Logical interface ge-0/0/0.0 (Index 69) (SNMP ifIndex 134) (Generation 134) Description: WAN - 192.168.1.1 Flags: Device-Down SNMP-Traps Encapsulation: ENET2 Traffic statistics: Input bytes : : 18302503 4628007 136047 51686
packets:
packets:
6667571 4588401
0 bps 0 bps
Output bytes
173
Input
packets:
63016 50743
0 pps 0 pps
Output packets:
4. Executando comando do modo operao no modo configurao; Os comandos que o Junos oferece nos modos de operao e configurao so totalmente diferentes. Porm, existe uma alternativa de se executar comandos do modo operao mesmo estando no modo configurao. O comando run oferece essa alternativa.
root# ping unknown command. [edit] root# run ping 10.0.30.254 PING 10.0.30.254 (10.0.30.254): 56 data bytes 64 bytes from 10.0.30.254: icmp_seq=0 ttl=59 time=66.907 ms 64 bytes from 10.0.30.254: icmp_seq=1 ttl=59 time=55.016 ms 64 bytes from 10.0.30.254: icmp_seq=2 ttl=59 time=67.916 ms 64 bytes from 10.0.30.254: icmp_seq=3 ttl=59 time=72.131 ms ^C --- 10.0.30.254 ping statistics --4 packets transmitted, 4 packets received, 0% packet loss round-trip min/avg/max/stddev = 55.016/68.285/76.322/5.945 ms root# show interfaces terse invalid interface type in terse. [edit] root# run show interfaces terse Interface Admin Link Proto Local Remote
Configure dois logins no roteador. Um ser usado pelo(s) aluno(s) do PC A da bancada e o outro pelo(s) aluno(s) no PC B. Os dois logins tero controle total do roteador. Os alunos da bancada 1 criaro os logins:
174
set system login user <nome_do_login> class super-user set system login user <nome_do_login> authentication plain-textpassword<Enter>
A senha ser solicitada duas vezes. Verifique os servios ativos no roteador com o comando:
175
Em seguida, entre com login e senha. Repita o procedimento duas vezes, de modo a testar os dois logins recm criados. A partir desse momento desconecte o cabo console e entregue-o ao seu instrutor. Nos prximos passos, os alunos dos PCs A e B da bancada acessaro o roteador a partir de uma sesso telnet aberta de um dos PCs. 6. Habilitando e verificando logs do Junos; Verifique as configuraes de log do sistema. Entre no modo de configurao com configure private e execute show system syslog. Repare que o Junos, por default, j registra todo tipo de mensagem (keyword any) em um arquivo chamado messages. Execute o comando run show log messages para verificar o contedo do arquivo messages. Para as prximas tarefas, verifique a indicao abaixo: Aluno(s) do PC A da Bancada 1 usaro <logFile> = PCA_Banc1_logFile e <bkpFile> = PCA_ Banc1_BkpFile Aluno(s) do PC B da Bancada 1 usaro <logFile> = PCB_Banc1_ logFile e <bkpFile> = PCA_ Banc1_BkpFile Aluno(s) do PC A da Bancada 2 usaro <logFile> = PCA_Banc2_ logFile e <bkpFile> = PCA_ Banc1_BkpFile Aluno(s) do PC B da Bancada 2 usaro <logFile> = PCB_Banc1_ logFile e <bkpFile> = PCA_ Banc1_BkpFile Baseando-se na configurao do arquivo messages, crie um arquivo de log chamado <logFile>, que vai registrar apenas mensagens sobre comandos executados na CLI do Junos. Para tal, utilize a facilidade interactive-commands e a severidade any...
Verifique as mensagens que apareceram na sesso onde ficou ligada a monitorao. Observe que os comandos executados pelo(s) seu(s) colega(s) de bancada tambm aparecem.
176
Execute o comando monitor list no modo de configurao para checar as monitoraes correntemente ligadas. Finalize a monitorao com monitor stop <logFile>. Verifique o arquivo de log <logFile> que voc definiu. Execute file list /var/log/? Configure o contedo que foi registrado nesse arquivo. Execute file show /var/log/<logFile>. 7. Configurando SNMP; O protocolo SNMP um protocolo bastante utilizado no gerenciamento de ativos de rede, principalmente quando se tem definido um SLA bastante exigente, que no permite grandes perodos de indisponibilidade. Para configurar o Junos a aceitar consultar SNMP basta seguir como o exemplo abaixo:
root@teste# set snmp community rnpesr authorization read-only [edit] root@teste# set snmp community rnpesr clients 200.130.26.5 [edit]
8. Configurar o cliente NTP; Servidores NTP so extremamente necessrios em redes corporativas que exigem uma auditoria mais efetiva. Quando se pensa em auditoria, uma das primeiras configuraes que devemos fazer nos ativos de rede a sincronizao do time do sistema. Para configurar o Junos para sincronizar seu time de sistema com um servidor de hora NTP (Network Time Protocol) devemos alterar as configuraes de NTP a partir da rvore de configurao [edit system ntp] ou executando o comando abaixo a partir do topo [edit].
root@bancadaX# run show ntp associations remote offset jitter refid st t when poll reach delay
177
178
Introduo rede Ip
10
Operao, manuteno e monitorao
objetivos
Conhecer as funcionalidades de monitorao da CLI do Junos e outros recursos oferecidos pelo sistema, dominar os procedimentos bsicos de manuteno do Junos.
conceitos
Monitoramento da plataforma, operao de interfaces, utilitrios de rede, manuteno do Junos OS, recuperao de senha, instalao e upgrade do Junos.
LEDs
J-Web
LCDs
11 A ferramenta de monitorao primria do Junos a CLI. 11 Atravs de seus comandos de show e monitor possvel executar a maior parte das tarefas de monitorao do equipamento, bem como obter os subsdios para diagnosticar problemas. Adicionalmente CLI, h um nmero de ferramentas de monitorao secundrias: a interface J-Web, o SNMP, os LEDs de hardware e o painel frontal da caixa. Em relao a esses
q
Captulo 10 - Operao, manuteno e monitorao
ltimos existem particularidades em cada uma das diferentes plataformas Juniper, as quais podem ser detalhadas em: http://www.juniper.net/techpubs/
179
11 boot-messages: mostra mensagens geradas durante o ltimo processo de boot do sistema. 11 connections: exibe o estado das conexes TCP e UDP locais. 11 statistics: mostra estatsticas de protocolos utilizados na caixa. 11 storage: exibe o estado do espao disponvel no disco do sistema. Opes do comando show system:
user@host> show system ? possible completions: alarms audit Show system alarm status Show file system MD5 hash and permissions
boot-messages Show boot time messages buffers certificate commit history configuration Show configuration information connections core-dumps Show system connection activity Show system core files Show local directory information Show buffer statistics Show installed X509 certificates Show pending commit requests (if any) and commit
Show initial setup information Show feature licenses information Show system process table Show any pending halt or reboot requests Show rolled back configuration
Monitorando o chassi
A operao do chassi feita usando-se os comandos do modo de operao show chassis <argumento>. A lista abaixo exibe alguns dos valores mais populares que o <argumento> pode tomar: 11 alarms: exibe alarmes ativos referentes ao chassi, que saem da lista automaticamente quando o problema sanado. 11 environment: exibe o estado da velocidade do sistema de cooling e de outros recursos de ambiente.
Introduo rede Ip
11 hardware: exibe um inventrio dos componentes de hardware instalados e seus respectivos nmeros de srie. 11 routing-engine: mostra o estado operacional e detalhes da utilizao da RE. Opes do comando show chassis:
180
Possible completions: Alarms Environment system speeds Fpc Hardware Lcd Location mac-addresses pic Show Flexible PIC Concentrator status Show installed hardware components Show LCD display Show physical location of chassis Show media access control addresses Show physical Interface Card Show alarm status Show component status and temperature, cooling
state, type, and uptime routing-engine Show Routing Engine status temperature-thresholds Show chassis temperature threshold settings
O primeiro comando fornece informaes sobre a operao de uma determinada interface. O comando seguinte exibe as mesmas informaes, mas adicionando novos detalhes. O terceiro comando exibe um relatrio ainda maior em relao informao reportada pelos dois comandos anteriores. O ltimo comando exibe um resumo do status das interfaces. O exemplo seguinte exibe ainda outras opes que podem ser utilizadas como argumento
Captulo 10 - Operao, manuteno e monitorao
user@host> show interfaces ge-0/0/0 ? Possible completions: <[Enter]> Brief descriptions detail extensive media routing-instance Execute this command Display brief output Display interface description strings Display detailed output Display extensive output Display media information Name of routing instance
181
SNMP index of interface Display statistics and detailed output Display terse output Pipe through a command
Um comando popular que prov informao resumida sobre o estado de todas as interfaces do roteador o show interfaces terse, cuja sada mostrada abaixo:
user@host> show interfaces terse Interface ge-O/O/O ge-O/O/O.O ge-O/O/1 ge-O/O/1.O Admin Link Proto up up up up up up up up inet6 fd73:5d2a:f03b:15eO::1/64 fe80::217:cbff:fe4e:a281/64 ge-O/O/2 ge-O/O/2.0 up up inet iso mpls ge-O/O/3 ge-0/0/3.0 down up up down inet 172.19.25.1/28 inet 172.18.36.1/24 Local Remote
down up
Esse comando ideal para fornecer uma ideia geral do funcionamento de todas as conexes presentes. Repare que todas as famlias de protocolos de rede so exibidas, bem como todas as interfaces e subinterfaces. O exemplo anterior mostra os estados administrativos e operacionais de cada um desses recursos.
user@host> show interfaces ge-O/O/O extensive Physical interface : ge-O/O/O, Enabled, Physical link is Up
Link-level type : Ethernet, MTU: 1514, Speed: 100mbps, Loopback: Disabled, Source filtering negotiation: Enabled, : Disabled, Flow control: Enabled, Auto-
182
Interface flags : SNMP-Traps Internal: Ox4000 Link flags CoS queues Hold-times : None : 8 supported, 8 maximum usable queues : Up 0 ms, Down 0 ms
Current address : 00:17:cb:4e:a2:80, Hardware address: 00:17:cb:4e:a2:80 Last flapped : 2008-10-03 20:46:59 UTC (8w6d 07:27 ago)
statistics last cleared: 2008-10-15 21:16:11 UTC (7w1d 06:58 ago) Traffic statistics: ...
Entre outras informaes, esse comando traz informaes sobre erros de CRC, estatsticas e propriedades fsicas e lgicas da interface. Caso a interface tenha sido configurada com QoS, estatsticas das filas de QoS tambm sero mostradas. Dada a quantidade de detalhes exibidos, o comando torna-se um grande aliado da tarefa de depurao de problemas.
Monitorando interfaces
O comando do modo de operao monitor interface <nome da interface> exibe, em tempo real, estatsticas sobre o uso de uma interface especfica, tais como: volume de dados rece bidos e enviados, erros de CRC e outros, quantidade de pacotes recebidos e enviados, taxa de transmisso e recepo etc. Abaixo apenas uma poro da sada do comando:
Interface: Flags:
ge-O/O/O.0, Enabled,
Link is Up
Captulo 10 - Operao, manuteno e monitorao
SNMP-Traps
Encapsulation: ENET2 Local statistics: Input bytes: Output bytes: Input packets: Output packets: 2383 313 Current [13768] [14327] [185] [70] delta
146945 33911
183
Remote statistics: Input bytes: Output bytes: Input packets: Output packets: Traffic statistics: Input byte5: 146993 Output byte5: , [0] 48 (4824 bps) [0] [0] [7] [0]
240 (0 bps) 11 4
(0 pps) (0 pps)
Interface Link Input packets (pps) Output packets (pps) ge-0/0/0 Up 22763 (581) ... Bytes=b, Clear=c, Delta=d, Packets=p, Quit=q or ESC, Rate=r, Up=^U, Down=^D 21275 (581)
Utilitrios de rede
Ping e Traceroute
11 Junos prov utilitrios populares para avaliao da rede, como ping e traceroute. 11 Estas ferramentas determinam condies gerais de alcance na rede e o caminho dos pacotes para chegar a um determinado destino. Os comandos ping e traceroute no Junos suportam vrios argumentos, tais como IP origem e tamanho dos pacotes gerados.
user@host> ping 10.210.14.173 PING 10.210.14.173 (10.210.14.173): 56 data bytes 64 bytes from 10.210.14.173: icmp seq=O ttl=64 time=O.345 ms
Introduo rede Ip
64 bytes from 10.210.14.173: icmp seq=1 ttl=64 time=O.292 ms ^C --- 10.210.14.173 ping statistics -- 2 packets transmitted, 2 packets received, 0% packet loss
184
user@host> traceroute 10.210.14.173 traceroute to 10.210.14.173 (10.210.14.173), 30 hops max, 40 byte pkts 1 10.210.14.173 (10.210.14.173) 2.872 ms 0.203 ms 0.150 ms
Por default, o ping envia um fluxo contnuo de echo requests ICMP a um determinado destino. Para parar o fluxo, o usurio precisa teclar Ctrl + C, conforme mostrado a seguir. Alternativamente, pode-se usar o argumento count <n>, que faz com que sejam gerados apenas <n> echo requests ICMP.
user@host> ping 10.210.11.177 count 5 PING 10.210.11.177 (10.210.11.177): 56 data bytes 64 bytes from 10.210.11.177: icmp_seq=0 ttl=64 time=0.071 ms 64 bytes from 10.210.11.177: icmp_seq=1 ttl=64 time=0.060 ms 64 bytes from 10.210.11.177: icmp_seq=2 ttl=64 time=0.125 ms 64 bytes from 10.210.11.177: icmp_seq=3 ttl=64 time=0.128 ms 64 bytes from 10.210.11.177: icmp_seq=4 ttl=64 time=0.080 ms --- 10.210.11.177 ping statistics --5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.060/0.093/0.128/0.028 ms
Monitor traffic
11 O comando monitor traffic executa a mesma funo do software Unix tcpdump. 11 Essa ferramenta monitora o trfego de uma determinada interface, que originado ou que termina na RE local do roteador. 11 Se nenhuma interface for especificada, a interface de gerncia ser monitorada.
user@host> monitor traffic ? Possible completions: <[Enter]> detail extensive interface layer2-headers matching Execute this command Display detailed output Display extensive output Name of interface Display link-level header on each receive dump line Expression for headers of receive packets to match
Captulo 10 - Operao, manuteno e monitorao
185
11 Problemas de camada 2 podem ser depurados usando o argumento layer2-headers. 11 A opo matching permite filtrar a massa de dados capturada usando critrios base ados nos campos do pacote do protocolo IP. 22 Trata-se de uma das opes mais funcionais para o comando. 11 A opo write-file fica escondida (no aparece quando se executa o comando ?), mas est disponvel e consiste em um recurso bastante til. 22 Essa opo permite salvar o contedo capturado em um arquivo no formato .cap. 22 Esse arquivo poder ser aberto posteriormente em um software de decodificao de dados, como o Wireshark (antigo Ethereal). A opo write-file deve ser usada com bastante cuidado. Dependendo do volume de dados capturado, o arquivo de sada pode formar um volume absurdamente grande e estourar o tamanho do disco do sistema, o que comprometeria grande parte das funes do roteador (por esse motivo o comando fica escondido). Ao usar a opo write-file, sempre utilize a opo matching em conjunto, para evitar que muitos pacotes sejam registrados. Essa prtica ajuda a evitar a gerao de um grande volume.
user@host> monitor traffic interface ge-0/0/2 layer2-headers no-resolve verbose output suppressed, use <detail> or <extensive> for full protocol decode Address resolution is OFF. Listening on ge-0/0/2, capture size 96 bytes
06:19:35.121217 In 0:1b:c0:5e:53:a2 > 0:19:e2:50:3f:e3, ethertype IPv4 (Ox0800), length 98: 10.100.200.1 > 10.100.200.2: ICMP echo request, id 5153, seq 222, length 64 06:19:35.121269 Out 0:19:e2:50:3f:e3 > 0:1b:c0:5e:53:a2, ethertype IPv4 (Ox0800), length 98: 10.100.200.2 > 10.100.200.1: ICMP echo reply, id 5153, seq 222, length 64 ^C ----- Ctrl+c 10 packets received by filter
Introduo rede Ip
O exemplo mostra o capturador de pacotes do Junos em ao. Para parar uma captura necessrio teclar Ctrl + C.
186
user@host> telnet ? Possible completions: <host> 8bit bypass-routing inet inet6 interface logical-router no-resolve port routing-instance source Hostname or address or remote host Use 8-bit data path Bypass routing table, use specified interface Force telnet to IPv4 destination Force telnet to IPv6 destination Name of interface for outgoing traffic Name of logical router Dont attempt to print addresses symbolically Port number or service name on remote host Name of routing instance for telnet session Source address to use in telnet connection
user@host> telnet 127.0.0.1 Trying 127.0.0.1... Connected to 127.0.0.1. Escape character is ^].
host (ttyp0)
Captulo 10 - Operao, manuteno e monitorao
user@host> file copy ftp://ftp:ftp@10.210.11.189/junos-jseriesdomestic.tgz / var/tmp/junos-jseries-domestic.tgz /var/tmp// ...transferring.file.........Ri4PRe/100% of 41 MB 4071 kBps 00m00s
187
Mantendo o Junos
Para verificar detalhes sobre a verso de Junos que est sendo executada na caixa, utiliza-se o comando do modo de operao show version. Pode-se adicionar a esse comando a opo detail para obter informaes adicionais sobre os pacotes e processos includos na verso do sistema operacional.
user@host> show version Hostname: host Model: mx480 JUNOS Base OS boot [9.5Rl.8] JUNOS Base OS Software Suite [9.5R1.8] JUNOS Kernel Software Suite [9.5R1.8] JUNOS Crypto Software Suite [9.5R1.8] JUNOS Packet Forwarding Engine Support (M/T Common) [9.5R1.8] JUNOS Packet Forwarding Engine Support (MX Common) [9.5R1.8] JUNOS Online Documentation [9.5Rl.8] JUNOS Routing Software suite [9.5R1.8]
Alguns pacotes tpicos que compem o sistema: 11 jkernel: compreende o kernel e o pacote de ferramentas de rede. Contm os arquivos bsicos de sistema. 11 jroute: compreende o pacote da routing engine. Contm o software executado na RE. 11 jpfe: contm o software executado na Packet Forwarding Engine (PFE). 11 jdocs: contm as documentaes do sistema. 11 jcrypto: pacote de encriptao, contm o software de segurana.
Mais dois nmeros fecham o nome do pacote. O nmero da build e do spin do cdigo. Assim, o pacote jinstall-9.5R1.8-domestic.tgz indica: Software Junos verso 9.5, build 1, spin 8. 11 Edition: tipicamente ser domestic ou export. Verses domestic suportam algoritmo de encriptao forte, enquanto as verses export no suportam.
188
H ainda uma terceira e rara possibilidade: a FIPS. Essa verso prov servios avanados de segurana de redes para clientes que precisam adequar suas operaes ao padro da Federal Information Processing Standards 140-2. Todo software Junos fornecido em pacotes assinados, que contm assinaturas digitais que usam o algoritmo SHA-1 (Secure Hash Algorithm 1). Um pacote s pode ser instalado se um procedimento de verificao do pacote executado pelo hardware retorna um resultado esperado. Do contrrio a instalao falhar. O resultado esperado ser retornado sempre que a assinatura digital for verificada corretamente.
Recuperao de senha
A perda da senha de root do sistema um perigo sempre presente. Quando isso ocorre, pode-se recuper-la usando o procedimento descrito a seguir. Como precauo de segurana, o procedimento de recuperao de senha pode ocorrer apenas atravs de uma sesso criada a partir da porta console. No possvel faz-lo via sesso de telnet ou de SSH. Passos para a recuperao de senha: 11 Obtenha acesso via console e faa um reboot no sistema. 11 Durante o processo de boot tecle a barra de espao continuamente. 11 Quando o sistema apresentar o prompt loader> (ou um prompt OK, dependendo da plataforma), execute boot -s para iniciar o sistema no modo single-user.
...TRIMMED... Hit [Enter] to boot immediately, or space bar for command prompt. <user presses Spacebar>
Type ? for a list of commands, help for more detailed help. loader> boot -s
Terminado o processo de boot em modo single-user, o sistema perguntar se o usurio deseja operar o equipamento atravs de um shell ou se deseja recuperar a senha de root.
Captulo 10 - Operao, manuteno e monitorao
...TRIMMED... Enter full pathname of shell or recovery for root password recovery or RETURN for /bin/sh: recovery
11 Depois de uma srie de mensagens a CLI inicia e apresenta o prompt do modo de operao. 11 Nesse ponto pode-se executar um reset da senha de root com o comando set system root-authentication plain-text-password. 11 Em seguida, necessrio efetivar o comando com o commit.
189
[edit] root# set system root-authentication plain-text-password New password: Retype new password:
Uma vez executado o download, a imagem deve ser gravada no disco do roteador, em um diretrio qualquer. Para proceder com o upgrade, o usurio utiliza o comando do modo de operao:
190
Para ativar o novo software necessrio proceder com o reboot do sistema. Esse reboot pode ser executado em um passo posterior ou automaticamente, usando a opo reboot como argumento do comando request system software add.
user@host> request system software add /var/tmp<image-name> reboot Verified jinstall-9.5R1.8-domestc.tgz signed by PackageProduction_9_5_0 Adding jinstall... Verified manifest signed by PackageProduction_9_5_0
WARNING: This package will load JUNOS 9.5R1.8 software. WARNING: It will save JUNOS configuration files, and SSH keys WARNING: (if configured), but erase all other files and information WARNING: stored on this machine. It will attempt to preserve dumps WARNING: and log files, but this can not be guaranteed. This is the WARNING: pre-instalation stage and all the software is loaded when WARNING: you reboot the system. Saving the config files... ...
Uma vez que o novo Junos instalado, o usurio notificado de que o sistema far um novo reboot para completar o processo de upgrade. Nesse ponto o usurio pode usar o terminal de console para acompanhar as mensagens geradas, prestando particular ateno para mensagens de erro que venham a ocorrer. Opcionalmente, pode-se verificar as mensagens geradas durante o boot em um momento posterior, atravs do comando de modo de operao:
191
Para determinar os arquivos candidatos a serem removidos, utiliza-se o comando de modo de operao:
192
Introduo rede Ip
Roteiro de Atividades 7
Atividade 7.1 Instalao do Junos (parte 1)
1. Verificando alarmes do Junos; O equipamento j2350 da Juniper possui um led chamado Alarm, que indica se h alguma coisa errada com o equipamento. Para verificar o motivo do alarme caso o led esteja aceso, basta utilizar os comandos abaixo a partir do modo operao. Verifique se existe algum alarme ativado com o comando:
root@bancadaX> show system alarms 1 alarms currently active Alarm time 2011-01-21 15:11:06 UTC Class Minor Description Rescue configuration is not set
root@bancadaX# set system services ssh root@bancadaX# set system services web-management http interface ge-0/0/1.0
193
3. Configurando o modo RESCUE; Como se viu no exemplo anterior, a sada exibida pelo comando show system alarms informa que existe um alarme devido configurao de rescue no estar habilitada. Essa mais uma funcionalidade do Junos que auxilia o administrador em casos de recuperao em desastres. Quando se define uma configurao de rescue, salva-se uma cpia da configu rao atual em um arquivo na flash do equipamento. Para aplicar essa configurao salva, basta apertar ligeiramente uma vez o boto config do equipamento. Essa atividade visa simular uma situao de desastre. Para isso execute o seguinte comando a partir do modo configurao para habilitar a configurao de rescue.
root@teste# delete interfaces ge-0/0/0 [edit] root@teste# commit commit complete [edit]
Nesse momento deve-se experimentar uma perda de conexo remota ao equipamento. Para retornar para a configurao anterior, basta apertar ligeiramente e somente uma vez o boto config do equipamento. Perceba que as configuraes da interface ge-0/0/0 entraro em vigor novamente, possibilitando o acesso remoto ao roteador.
comando display set, que exibir na tela os comandos que geraram a configurao atual, como exibido a seguir.
194
root@bancadaX# show | display set set version 9.5R4.3 set system host-name teste set system root-authentication encrypted-password $1$GwoPLZZp$8HKb9z7J55MJHFt7/ tErn. set system login user glenio uid 2007 set system login user glenio class super-user set system login user glenio authentication encrypted-password $1$GlS0hWjY$wwKM hlH6.gv2RAo9IHwcR/ set system login user zacaron uid 2006 set system login user zacaron class super-user set system login user zacaron authentication encrypted-password $1$W.X4RTGh$CG2 Rw5JXXBOpSo7WXGuYd1 set system services ssh set system services telnet set system services web-management http interface ge-0/0/1.0 set system syslog file messages any any set system syslog file auditoria.txt interactive-commands any set system syslog file auditoria1.txt interactive-commands any set system ntp boot-server 200.144.121.33 set system ntp server 200.144.121.33 set interfaces ge-0/0/0 description Rede Wan set interfaces ge-0/0/0 unit 0 description WAN - 192.168.1.1 set interfaces ge-0/0/0 unit 0 family inet address 192.168.1.1/30 set interfaces ge-0/0/1 description Rede Lan set interfaces ge-0/0/1 unit 0 description LAN - 10.0.40.254 set interfaces ge-0/0/1 unit 0 family inet address 200.130.26.4/24 set interfaces lo0 unit 0 family inet address 192.168.0.1/30 set routing-options static route 0.0.0.0/0 next-hop 200.130.26.254
Captulo 10 - Roteiro de Atividades 7
195
Com esses comandos em mos, basta salvar em um arquivo com o comando save, conforme a seguir:
3 root 11 root 1 root 1 root 1 root 1 root 2 root 1 root 1 root 1 root 1 root 1 root 1 root 1 root 1 root
wheel wheel wheel wheel wheel wheel wheel wheel wheel wheel wheel wheel wheel wheel wheel
512B Jan 19 18:13 . 512B Dec 17 21:12 .. 361B Feb 16 2010 .cshrc
1.3K Jan 19 16:40 .history 1.1K Feb 16 215B Feb 16 2010 .login 2010 .profile
512B Dec 15 00:28 .ssh 2.6K Dec 15 00:34 backup.txt 2.5K Jan 19 18:13 backup_19012011.txt 3.9K Dec 18 00:47 conf_17-12-2010 3.7K Dec 18 00:47 conf_display_set 2.4K Dec 18 01:03 novo 4.5K Dec 15 02:25 snmp 2.5K Dec 28 20:52 teste.txt 6B Dec 14 21:57 ttyp1
-rw-r--r--rw-r--r--
196
Se o arquivo for encontrado, basta utilizar o cliente scp para copiar o arquivo para uma mquina remota:
root@bancadaX% scp backup_19012011.txt root@200.130.26.5:/cf/root root@200.130.26.5s password: backup_19012011.txt 100% 2550 2.5KB/s 00:00
O sistema operacional remoto pedir a senha para o usurio root; se informada corretamente, copiar o arquivo de maneira segura. Para recuperar um backup efetuado em um arquivo de configurao tipo ASCII, deve-se utilizar o comando load. Sempre que utilizar esse comando recomendado fazer um backup da configurao atual, pois aps execut-lo e em seguida o comando commit, toda a configurao que se encontra no arquivo de configurao ser aplicada e valer a partir desse instante. A seguir um exemplo de utilizao do comando load. O Junos guarda alguns modelos de configurao que podem auxiliar na configurao do roteador quando ele vem de fbrica. Esses arquivos esto localizados no diretrio /etc/config/.
. . . TRIMMED . . . Hit [ENTER] to boot immediately, or space bar for command prompt. <user presses Spacebar> Type ? for a list of commands, help for more detailed help. loader> boot -s
Captulo 10 - Roteiro de Atividades 7
Terminado o processo de boot em modo single-user, o sistema perguntar se o usurio deseja operar o equipamento atravs de um shell ou se deseja recuperar a senha de root. Neste ponto, deve-se executar o comando recovery:
. . .
TRIMMED . . .
Enter full pathname of shell or recovery for root password recovery or RETURN for /bin/sh: recovery
Depois de uma srie de mensagens, a CLI inicia e apresenta o prompt do modo de operao. Nesse ponto pode-se executar um reset da senha de root com o comando:
[edit] Root# set system root-authentication plain-text-password New password: Retype new password:
[edit] root# exit Exiting configuration mode root> exit Reboot the system? [y/n] y
2. Fazendo o upgrade do Junos; Copie o arquivo da pasta junos para /var/tmp/. Execute o seguinte comando:
198
Introduo rede Ip
4. Acessando via SSH; Para acessar o roteador remotamente com o protocolo SSH, basta utilizar o software livre PuTTY, informando o IP do roteador remoto, bem como usurio e senha.
199
200
Introduo rede Ip
11
Fundamentos de roteamento
objetivos
Descrever o processo de roteamento de camada 3 e conceituar roteamento esttico e sua configurao no roteador.
conceitos
Conceitos de roteamento
Roteamento, na sua forma mais bsica, o processo de mover dados entre redes de camada 3. A figura seguinte exibe um exemplo de topologia de rede contendo vrios equipamentos L3 (roteadores). Entre esses equipamentos esto as chamadas redes L3.
Server A Internet
Server B
User A
Captulo 11 - Fundamentos de roteamento
User B
Figura 11.1 Redes L3.
Data center
11 Apesar dos roteadores serem os equipamentos mais populares para a tarefa de roteamento, outros dispositivos podem realizar essa funo, como switches e firewalls. 11 At mesmo alguns modems, utilizados em conexes ADSL de pequenos escritrios ou residncias, so capazes de rotear pacotes L3. 11 A internet pode ser definida como um amplo conjunto de redes L3 interligadas.
201
Componentes do roteamento
Os componentes do roteamento podem ser divididos em dois grupos: 1. Os recursos que garantem um ou mais caminhos fim a fim entre os destinos. 2. Os recursos que garantem a inteligncia para usar o caminho mais adequado para a comunicao. O processo de roteamento dos equipamentos de rede implementa o segundo item.
Internet
User A
No exemplo da figura existe um caminho fsico entre as duas redes destacadas e a internet. Uma vez que esse caminho fsico est configurado e opera corretamente, o primeiro recurso est garantido. Para implementar o segundo recurso, todos os dispositivos de camada 3 que participam do caminho fsico precisam ter as informaes de roteamento pertinentes. Alm disso, os PCs e servidores dentro da rede de usurios e do datacenter precisam configurar o parmetro default gateway adequadamente (o default gateway ser o roteador que atende a cada uma dessas redes, ou seja, o primeiro elemento de camada 3 do caminho fsico entre os usurios de cada rede local e o restante do mundo). O default gateway de cada rede local precisa determinar o prximo hop apropriado para cada pacote de trfego de trnsito que chega em suas interfaces. Os equipamentos que executam o Junos usam os dados armazenados na Forwarding Table (FT) para tomar essa deciso. A FT contm um subconjunto das informaes contidas na tabela de rotas.
202
Introduo rede Ip
User A .1 .1
10.2.2.0/24 10.1.1.0/24 A figura apresenta um cenrio de roteamento simples, onde os usurios da rede local da esquerda desejam acessar dados na rede do datacenter. Para que um dispositivo consiga trocar dados com um equipamento fora da sua prpria rede local, a figura do default gateway se faz necessria, e a configurao desse ator deve estar corretamente executada. No cenrio da figura, o usurio A precisa configurar o parmetro default gateway de sua mquina com o endereo IP do roteador na sua LAN (10.1.1.1). Da mesma forma, os equipamentos na LAN do datacenter devem configurar seu default gateway com o endereo 10.2.2.1. O roteador, que funciona como gateway das redes locais da figura, requer a informao de roteamento suficiente para determinar o prximo hop que conseguir encontrar a rede de destino, referente ao trfego entre as duas redes locais. Nesse exemplo, o roteador aprendeu essa informao atravs da prpria configurao de endereo IP de suas interfaces. Uma vez que o equipamento tem um IP na rede 10.2.2.0\24 e outro na rede 10.1.1.0\24, ao receber um pacote endereado para qualquer uma dessas redes, ele j saber por qual interface o pacote deve sair. Portanto, para a comunicao entre as duas redes locais do exemplo, no necessria a configurao de nenhum protocolo de roteamento. Dessa forma, ao configurar um endereo IP e uma mscara em uma interface do roteador, automaticamente a rota para a rede correspondente passa a popular a tabela de rotas e tambm a FT, sem necessidade de nenhum protocolo de roteamento. Esse tipo de rota aparece na tabela de rotas como rota diretamente conectada.
Tabela de rotas
Routing protocol databases OSPF OSPF OSPF Routing table Dire Static Forwarding table
203
A tabela de rotas do Junos consolida a informao de rotas recebidas de mltiplas fontes de roteamento, incluindo os vrios protocolos de roteamento que podem estar em execuo na mquina, as rotas estticas (adicionadas manualmente pelo administrador do roteador) e as rotas diretamente conectadas. 11 Quando o equipamento recebe mltiplas informaes de rotas para um dado prefixo preciso selecionar dentre as vrias informaes recebidas a que ser efetivamente usada. 11 Essa rota ser a rota ativa para o prefixo. 11 Opcionalmente pode-se fazer com que o Junos considere mais de uma rota para ser ativada, balanceando trfego entre duas ou mais rotas. 11 Cada rota ativa para cada prefixo popula a Forwarding Table. 11 A FT determina a interface de sada e a operao de encapsulamento L2, que dever ser usada para cada pacote que sai de uma interface.
204
Quanto menor o valor da route preference, mais prefervel a rota. O valor da route preference o primeiro critrio utilizado pelo Junos para escolher entre rotas de diferentes fontes recebidas para um mesmo prefixo. A tabela abaixo exibe a lista completa do valor de route preference para todas as fontes de informao de roteamento com as quais o Junos trabalha. Direct Local System routes 4 Static and Static LSPs RSVP-signaled LSPs RSVP-signaled LSPs OSPF internal IS-IS Level 1 internal IS-IS Level 2 internal
Tabela 11.2 Tabela completa route preference.
0 0 4 5 7 9 10 15 18 30 40
SNMP Router discovery RIP RIPng DVMRP Aggregate OSPF AS external IS-IS Level 1 external IS-IS Level 2 external BGP (internal and external) MSDP
Redirects Kernel
Os valores podem variar entre 0 e 4.294.967.295. Os comandos a seguir demonstram que uma rota esttica com route preference de 5 preferida em relao rota OSPF internal, passada FT.
Captulo 11 - Fundamentos de roteamento
que tem valor 10. O caractere asterisco (*) detalha a rota escolhida para ativao, e que foi
inet.0: 5 destinations, 6 routes (5 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both
192.168.36.1/32
205
inet.0: 10 destinations, 10 routes (10 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both
10.1.1.0/24
10.1.2.0/24
10.1.3.0/24
10.1.4.0/24
Introduo rede Ip
Nesse cenrio, se desejado, pode-se habilitar o balanceamento de trfego atravs das mltiplas rotas com base em fluxo de dados. Por definio, o balanceamento seria por pacote. O detalhamento das configuraes de roteamento est fora do escopo desse curso.
206
user@host> show route inet.0: 6 destinations, 7 routes (6 active, 0 holddown, 0 hidden) ----- Route table name + = Active Route, = Last Active, * = Both
10.1.1.0/24 *[Static/5] 00:10:24 ------ Route source and preference > to 172.29.30.253 via ge-0/0/10.0 [OSPF/10] 00:03:38, metric 2 > to 172.18.25.2 via ge-0/0/13.0 172.18.25.0/30 *[Direct/0] 00:11:05
172.29.30.0/24
...
Sem usar nenhum argumento, o comando anterior exibe o contedo completo de todas as tabelas de rotas da caixa. Est destacado que todas as rotas ativas ficam marcadas com um asterisco (*). Cada entrada da tabela de rotas mostra a fonte atravs da qual o equipamento aprendeu a informao, bem como a sua route preference.
Captulo 11 - Fundamentos de roteamento
11 O comando show route mostra um sumrio das rotas ativas, em holddown e escon didas. 11 As rotas ativas so aquelas efetivamente usadas para o encaminhamento do trfego. 11 Rotas em holddown esto no estado pendente, e futuramente podero ser usadas, se necessrio. 11 Rotas escondidas so aquelas que o sistema no pode usar por alguma razo, tal como parmetro prximo hop invlido ou uma route policy impede que ela possa ser usada. possvel filtrar a sada do comando por prefixo de interesse, tipo de protocolo e outros atributos. O exemplo seguinte exibe uma forma filtrada do comando, que traz apenas rotas aprendidas via protocolo de roteamento OSPF.
207
user@host> show route protocol ospf inet.0: 6 destinations, 7 routes (6 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both
10.1.1.0/24
224.0.0.5/32
Repare que apesar do comando retornar apenas duas rotas, o contador de rotas continua trazendo o valor total presente na tabela.
A FT armazena um subconjunto da tabela de rotas. Dentro da FT, pode-se encontrar deta lhes usados pelo equipamento que executa o Junos para encaminhar pacotes, como os prefixos de destino e suas respectivas interfaces de sada associadas. O comando show route forwarding-table fornece acesso s informaes da FT:
user@host> show route forwarding-table Routing table: inet Internet: Destination Netif default 0/0/0.0 default
Introduo rede Ip
user
0 0:17:cb:4e:ae:81
ucst
520
3 ge-
0 0 0 200.1.4.100
36 34 535
1 1 3 ge-
user
0 200.1.2.100
ucst
529
3 ge-
user
0 200.1.3.100
ucst
534
3 ge-
208
0/0/2.0
O exemplo mostra que o kernel do Junos adiciona algumas entradas nessa tabela e as mantm permanentemente. Um exemplo a entrada com o destino default, que con templa todos os pacotes que no so contemplados por nenhuma outra entrada. Quando um pacote contemplado pela entrada default, descartado, e uma mensagem ICMP de destination unreachable enviada ao remetente do pacote. Quando o administrador configura uma rota default na tabela de rotas (apontando para o destino 0.0.0.0\0), a tabela FT passa a usar essa rota ao invs da entrada default. Cada entrada na FT mostrada no exemplo possui um tipo (type). A lista abaixo detalha route types comuns encontradas na FT: 11 intf: instaladas como resultado da configurao de endereo IP em uma interface. 11 perm: instaladas pelo kernel quando a tabela de rotas se inicia. 11 user: instaladas por um protocolo de roteamento como resultado de uma configurao. Cada entrada na FT mostrada tambm possui um tipo de next hop. A lista abaixo detalha next hop types comuns encontrados na FT: 11 bcst: o next hop um endereo broadcast. 11 rjct: descarta o pacote e envia mensagem ICMP de unreachable para o remetente. 11 ucst: next hop do tipo unicast. 11 ulst: h mais de um next hop (est sendo usado balanceamento). 11 dscd: descarta o pacote silenciosamente. 11 hold: o next hop ainda ser calculado. 11 locl: endereo de uma interface local. 11 mcst: o next hop um endereo multicast. 11 mdsc: pacotes de multicast para serem descartados. 11 recv: next hop do tipo receive.
destinado a outro dispositivo e existe uma entrada vlida na FT que o contempla, o Junos
Forwarding plane
Figura 11.6 Determinando o next hop.
Packets in
FT
Packets out
Quando mltiplos prefixos contemplam o IP destino do pacote, o Junos utiliza aquele que o mais especfico (com a maior mscara), como faz o equipamento de qualquer outro fabricante.
209
user@host> show route forwarding-table Routing table: inet Internet: Destination Netif default 0/0/0.0 default 0.0.0.0/32 172.19.0.0/16 0/0/3.0 172.19.52.0/24 0/0/1.0 172.19.52.16/28 user 0/0/2.0 ...
O exemplo acima exibe uma amostra da FT de um equipamento Juniper. Se um pacote destinado ao IP 172.19.52.101 chega por uma interface, ele ser contemplado por mais de uma entrada da FT: a rota default definida pelo usurio, a rota 172.19.0.0\16 e a rota 172.19.52.0\24. Como essa ltima possui o prefixo mais especfico, ser usada para o enca minhamento. Assim, o pacote ser repassado ao next hop 200.1.2.100. Analogamente, se um pacote endereado a 172.25.100.27 chega ao roteador, apenas uma entrada o contemplar: a rota default definida pelo usurio. Assim, o pacote ser encaminhado para a interface de sada ge-0/0/0 e ser encapsulado no endereo L2 00:17:cb:4e:ae:81. Em situaes onde nenhuma entrada da FT contempla o IP destino do pacote, o Junos descarta o pacote e envia uma mensagem ICMP de destination unreachable.
Type RtRef
Next hop
user
0:17:cb:4e:ae:81 ucst
520
ge-
0 0 0 200.1.4.100
36 34 535 3
1 1 ge-
user
200.1.2.100
ucst
529
ge-
200.1.3.100
ucst
534
ge-
Instncias de roteamento
O equipamento Juniper agrupa diferentes tabelas de rotas, interfaces e protocolos de roteamento em instncias de roteamento lgica (routing instances). O roteador mantm a informao de roteamento em uma instncia de roteamento separada da informao de todas as outras instncias. O uso de instncias de roteamento introduz o conceito de um nico dispositivo simulando a
Introduo rede Ip
210
Device Running JUNOS software Routing instance (master) inet.0 inet6.0 ge-0/0/0.0
Tabela 11.3 Viso geral de instncias de roteamento.
Routing instance (cust-A) cust-A.inet.0 cust-A.inet6.0 ge-0/0/3.0 ge-0/0/4.0 lo0.1 Default route OSPF
Routing instance (cust-B) cust-B.inet.0 cust-B.inet6.0 ge-1/0/0.0 ge-1/0/1.0 lo0.2 Default route OSPF
O roteador Juniper cria automaticamente uma instncia de roteamento default chamada master routing instance. Por definio, a instncia master inclui a tabela inet.0, usada para rotear todo o trfego unicast de IPv4.
user@host> show route instance Instance Type master Primary RIB forwarding inet.0 Active/holddown/hidden 3/0/1
Acima observamos a sada do comando show route instance. O Junos tambm cria outras instncias de roteamento privadas, que so usadas para comunicao interna entre componentes do hardware. O usurio pode ignorar a existncia dessas entidades lgicas. O exemplo seguinte exibe todas as instncias de roteamento criadas por default pelo Junos.
_ _juniper_private1_ _ forwarding _ _juniper_private1_ _.inet.0 _ _juniper_private1_ _.inet6.0 _ _juniper_private2_ _ forwarding _ _juniper_private2_ _.inet.0 _ _master.anon_ _ master inet.0 forwarding
Captulo 11 - Fundamentos de roteamento
2/0/2 1/0/0
0/0/1
forwarding 7/0/0
Alm das instncias de fbrica, o Junos permite que o usurio configure instncias de rote amento adicionais atravs da hierarquia [edit routing-instances]. Instncias definidas pelo usurio podem ser usadas para uma variedade de propsitos e prov aos administradores de rede mais flexibilidade para lidar com o seu ambiente de rede. Algumas aplicaes tpicas de instncias de roteamento incluem: VPN, virtualizao e Filter Based Forwarding (FBF). A seguir visualizamos os tipos de instncias que podem ser criadas.
211
Possible completions: forwarding l2vpn no-forwarding Forwarding instance Layer 2 VPN routing instance Nonforwarding instance
virtual-router virtual routing instance vpls vrf VPLS routing instance virtual routing forwarding instance
A lista seguinte detalha os tipos de instncias: 11 forwarding: usada para implementar FBF para aplicaes. 11 l2vpn: usada em implementaes de VPN de camada 2. 11 no-forwarding: usada para separar grandes redes em entidades administrativas menores. 11 virtual-router: usada para aplicaes com virtualizao do sistema. 11 vpls: usada em implementaes de LAN ponto-multiponto em um conjunto de sites de uma VPN. 11 vrf: usada em implementaes de VPN de camada 3. Os tipos de instncias de roteamento variam entre diferentes plataformas que rodam o Junos. Nem todos os tipos so suportados em todas as plataformas. A seguir um exemplo de configurao de instncia de roteamento.
[edit routing-instances new-instance] ----- Routing instance name is user-defined user@host# show instance-type virtual-router; ----- Routing instance type interface ge-0/0/0.0; ----- Define interfaces under [edit interfaces] hierarchy and reference them under the routing instance interface ge-0/0/1.0; interface lo0.1; routing-options { static { route 0.0.0.0/0 next-hop 172.26.25.1; } }
Introduo rede Ip
212
interface 100.1;
} } }
user@host> show route table new-instace.inet.0 new-instace.inet.0: 7 destinations, 7 routes (7 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 0.0.0.0/0 *[Static/5] 02:06:18 > to 172.26.25.1 via ge-0/0/0.0 172.25.182.0/24 *[Direct/0] 02:06:18 > via ge-0/0/1.0 172.25.182.5/32 *[Local/0] 02:06:18 Local via ge-0/0/1.0 172.26.25.0/24 *[Direct/0] 02:06:18 > via ge-0/0/0.0 172.26.25.5/32 *[Local/0] 02:06:18 Local via ge-0/0/0.0
Captulo 11 - Fundamentos de roteamento
213
user@host> show interfaces terse routing-instance new-instance Interface ge-0/0/0.0 ge-0/0/1.0 lo0.1 Admin up up up Link up up up Proto inet inet inet Local Remote
Adicionalmente os comandos ping e traceroute podem ser executados a partir de uma instncia de roteamento especfica.
user@host> ping 172.26.25.1 rapid count 25 routing-instance newinstance PING 172.26.25.1 (172.26.25.1): 56 data bytes !!!!!!!!!!!!!!!!!!!!!!!! --- 172.26.25.1 ping statistics --25 packets transmitted, 25 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.014/1.875/2.073/0.285 ms
user@host> traceroute 192.168.100.25 routing-instance new-instance traceroute to 192.168.100.25 (192.168.100.25), 30 hops max, 40 byte packets 1 192.168.100.25 (192.168.100.25) 4.536 ms 4.503 ms 2.209 ms
Roteamento esttico
Rotas estticas so usadas em um ambiente de rede para se atingir uma variedade de objetivos. So popularmente usadas em duas situaes: 11 S h um nico caminho para se atingir um determinado prefixo.
Introduo rede Ip
11 H mltiplos caminhos para se chegar a um prefixo, mas se quer forar a rede a enca minhar o trfego sempre pelo mesmo caminho (exceto em caso de falhas).
214
Network A 172.29.100.0/24
ge-0/0/1 .1 .2 .1 172.30.25.0/30
Internet 192.168.63.14
A figura anterior ilustra uma situao onde a rede 172.29.100.0\24 est ligada internet por um nico caminho. Nesse caso no h motivo para usar um protocolo de roteamento dinmico para acessar a internet. Ao invs disso, o usurio configurou uma rota default esttica (para o destino 0.0.0.0\0), que aponta para a interface ge-0/0/1. Dessa forma, ao executar o comando show route 192.168.63.14, o sistema calculou dentre as entradas da tabela de rotas que a entrada mais especfica que contempla esse destino a rota para 0.0.0.0\0. 11 A configurao de rotas estticas sempre feita na hierarquia [edit routing-options]. 11 Ao configurar uma rota esttica necessrio definir um next hop vlido. 22 Normalmente esse parmetro definido atravs do endereo IP de um roteador vizinho que fica na direo do prefixo em questo. 11 Em interfaces ponto a ponto (e apenas nessa situao) pode-se especificar o nome da interface de sada como o next hop, ao invs de usar o IP do equipamento vizinho. 11 Outra possibilidade o next hop tomar os valores reject ou discard. 22 Um pacote cujo IP destino contemplado por uma entrada cujo next hop reject ou discard ser descartado. 11 A diferena entre essas opes a ao que o Junos toma aps o descarte. 22 Se a opo usada o reject, o sistema envia uma mensagem ICMP de destination unreachable para o remetente. 22 Se a opo usada discard, o sistema descartar o pacote silenciosamente. O endereo IP especificado no next hop de uma rota esttica deve ser alcanvel usando uma rota diretamente conectada. Diferente do software de outros fabricantes, o Junos, por default, no executa buscas recursivas de next hop quando se trata de rotas estticas. Uma rota esttica sempre estar na tabela de rotas at que o usurio a remova ou at que ela se torne inativa. Uma rota esttica se torna inativa quando o IP do seu next hop se torna inacessvel (por uma falha na rede, por exemplo).
[edit routing-options] user@host# show rib inet6.0 { static { route 0::/0 next-hop 3001::1; ----- IPv6 default static route } }
215
static { route 0.0.0.0/0 next-hop 172.30.25.1; ----- 1Pv4 default static route route 172.28.102.0/24 { next-hop 10.210.11.190; no-readvertise; } }
Alm dos parmetros j discutidos, destaca-se o uso da opo no-readvertise, que, no Junos, probe que a rota especificada seja redistribuda em um protocolo de roteamento dinmico. Dessa forma, a rota no ser propagada por nenhum protocolo de roteamento.
inet.0: 4 destinations, 4 routes (4 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both
0.0.0.0/0
----- Default static route ... user@host> ping 192.168.63.14 rapid count 25 PING 192.168.63.14 (192.168.63.14): 56 data bytes !!!!!!!!!!!!!!!!!!!!!!!! --- 192.168.63.14 ping statistics --25 packets transmitted, 25 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.027/0.057/0.145/0.032 ms
Introduo rede Ip
Uma vez instaladas as rotas estticas devidas, a conectividade entre as redes pode ser verifi cada atravs do comando ping, exemplificado acima.
216
Host A
Figura 11.8 Resolvendo next hop indireto.
Host C .1 172.20.3.0/24
[edit routing-option] user@Host-A# show static { route 172.20.3.0/24 { next-hop 172.25.1.6; resolve; } }
Conforme ilustrado acima, possvel alterar esse comportamento default do Junos e fazer com que as buscas recursivas sejam usadas. Para isso deve-se usar a opo resolve na rota esttica em questo. A figura anterior mostra uma rota esttica que define um roteador remoto, 172.25.1.6, que no est conectado diretamente ao Host A, como o next hop da rede 172.20.3.0\24. Nesse caso, ao receber um pacote IP destinado ao prefixo remoto 172.20.3.0\24, o roteador no saber, num primeiro momento, em qual interface est o next hop 172.25.1.6. Uma busca recursiva ser necessria, ou seja, o roteador dever achar na tabela de rotas uma rota que contemple o IP 172.25.1.6. Essa rota tambm ser usada para encaminhar o pacote para o 172.20.3.0\24. Dessa forma, o pacote ser entregue. Normalmente, o roteamento que usa buscas recursivas funciona bem em ambientes onde h um protocolo de roteamento dinmico que anuncia as redes /30 que endeream as interfaces dos links ponto a ponto. Ou seja, ainda se referindo ao ltimo exemplo, a rota para o IP do next hop remoto 172.25.1.6 ser, tipicamente, uma rota obtida atravs de protocolo dinmico. Se no fosse assim, o usurio deveria configurar manualmente outra rota esttica para contemplar o IP do next hop, o que no algo escalvel.
rota alternativa independente das rotas previamente definidas. A figura seguinte exibe a
172.30.25.0/30
ge-0/0/1 .2 .1 .6 ge-1/0/0 primary secondary .1 Internet .5
Network A 172.29.100.0/24
Figura 11.9 Qualified Next Hop.
172.30.25.4/30
217
[edit routing-options] user@host# show static { route 0.0.0.0/0 { next-hop 172.30.25.1; qualified-next-hop 172.30.25.5 } } }
Na figura, o next hop 172.30.25.1 assume o trfego destinado rota esttica default, com route preference igual a 5 (valor default para rotas estticas). Em paralelo, o usurio definiu uma rota esttica qualified para o next hop 172.30.25.5, definindo para ela a route preference 7. Dessa forma, todo o trfego a ser encaminhado pela rota default usar o next hop 172.30.25.1. Em um cenrio onde esse n falha, a rota qualified ser ento uti lizada. Outros fabricantes chamam esse tipo de implementao de rota esttica flutuante.
preference 7;
218
Introduo rede Ip
Roteiro de Atividades 8
Atividade 8.1 Configurando rota esttica
Para esta atividade usaremos a topologia descrita na figura a seguir.
Mesa do Instrutor
ROT D
0/2 - 172.16.1.2 0/2 - 172.16.1.1
ROT C
ROT B
0/2 - 172.16.1.2 0/2 - 172.16.1.1
ROT A
0/1
0/1
0/1
0/1
ROT D
0/2 - 172.16.1.2 0/2 - 172.16.1.1
ROT C
ROT B
0/2 - 172.16.1.2 0/2 - 172.16.1.1
ROT A
0/1
0/1
0/1
0/1
16
15
14
13
12
11
10
ROT D
0/2 - 172.16.1.2 0/2 - 172.16.1.1
ROT C
ROT B
0/2 - 172.16.1.2 0/2 - 172.16.1.1
ROT A
Captulo 11 - Roteiro de Atividades 8
0/1
0/1
0/1
0/1
24
23
Figura 11.10 Topologia da Atividade 8.1.
22
21
20
19
18
17
Aps efetuar as ligaes dos cabos conforme descrito para cada bancada, execute os comandos de configurao a seguir.
219
set interfaces ge-0/0/0 unit 0 family inet address 172.16.2.1/24 set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.254/24 set interfaces ge-0/0/2 unit 0 family inet address 10.0.20.254/24
Verifique se a interface E1-1/0/0 j possui IP configurado:
# delete interfaces e1-1/0/0 unit 0 family inet address <ip j existente / mascara> # commit # set interfaces e1-1/0/0 unit 0 family inet address <novo ip / mascara> # commit
Comandos roteador B:
set interfaces ge-0/0/0 unit 0 family inet address 172.16.2.2/24 set interfaces ge-0/0/1 unit 0 family inet address 10.0.30.254/24 set interfaces ge-0/0/2 unit 0 family inet address 10.0.40.254/24
11 Para os roteadores c e d mude os endereos de acordo com a sua bancada. Os endereos acima so para as bancadas da frente; para as demais bancadas siga o desenho da figura. 11 Verifique a conectividade com o PC remoto do outro roteador:
11 Execute show route <IP do PC remoto do outro roteador>. Voc deve perceber que no existe rota para o endereo IP remoto. 11 Entre no modo de configurao com configure private, e crie as rotas para o PC remoto com os seguintes comandos: Comandos roteador A:
set routing-options static route 10.0.30.0/24 next-hop 172.16.2.2 set routing-options static route 10.0.40.0/24 next-hop 172.16.1.2 set routing-options static route 10.0.40.0/24 next-hop 172.16.2.2
220
Comandos roteador B:
set routing-options static route 10.0.10.0/24 next-hop 172.16.1.1 set routing-options static route 10.0.10.0/24 next-hop 172.16.2.1 set routing-options static route 10.0.20.0/24 next-hop 172.16.1.1 set routing-options static route 10.0.20.0/24 next-hop 172.16.2.1
11 Para os roteadores c e d mude os endereos de acordo com a sua bancada. Os endereos acima so para as bancadas da frente; para as demais bancadas siga o desenho da figura. 11 Em seguida verifique a conectividade com run ping <IP do PC remoto do outro roteador. H conectividade? Por qu?
11 Execute o comando show | compare para checar a diferena entre a configurao can didata e a configurao ativa. 11 Execute o comando commit e saia do modo de configurao. Em seguida teste nova mente a conectividade com o PC remoto do outro roteador. H conectividade?
11 Entre no modo de configurao com configure private e remova a rota esttica criada com delete routing-options static route <prefixo> next-hop <NH>. 11 Execute show | compare e em seguida commit. 11 Teste a conectividade com o PC remoto do outro roteador com run ping <IP do PC remoto do outro roteador >. H conectividade?
11 Retorne a ltima alterao. 11 Execute rollback 1 e em seguida show | compare. Os comandos adicionados configu rao candidata com o rollback retornam a rota recm removida?
11 Se sim, execute commit, teste a conectividade e saia do modo de configurao. 11 Execute show route para verificar as rotas recm adicionadas na tabela de rotas. Qual a route preference e a mtrica/custo da rota que voc adicionou?
set routing-options static route <prefixo> metric 33 set routing-options static route <prefixo> preference 26
11 Execute show route para verificar as alteraes. 11 Entre no modo de configurao com configure private, acesse a hierarquia [edit routing-options] e execute show para verificar os comandos gerados no arquivo de configurao.
221
222
Introduo rede Ip
12
Filtros de firewall
objetivos
Descrever o filtro de firewall do Juniper e introduzir os procedimentos de configurao do firewall.
conceitos
Viso geral
11 O conceito de filtro de firewall no Junos se assemelha ao que o mercado de redes chama de lista de acesso. 11 Esse recurso utilizado para controlar o trfego que passa atravs de um equipamento Juniper (saindo ou entrando). 11 Cada pacote examinado individualmente.
Diferente de um firewall statefull, que enxerga as diferentes conexes e permite ao usurio escolher uma ao sobre todos os pacotes de um determinado fluxo. O filtro de firewall do Junos no enxerga fluxos, comportamento definido como firewall stateless. 11 Graas natureza stateless do firewall do Junos, o usurio precisa configurar explicitamente qual ser o comportamento do filtro de firewall em ambas as direes do trfego para cada conexo.
223
11 Em contraste, o firewall statefull requer apenas que o usurio determine a ao a ser tomada em um dado tipo de conexo. 11 Feito isso, todos os pacotes dessa conexo, em ambas as direes do trfego, sofrero a mesma ao (bloquear ou permitir). Os filtros de firewall no Junos tm duas utilidades clssicas: 11 O bloqueio de certos tipos de trfego de entrada ou sada de uma interface; 11 A monitorao de determinado trfego.
A execuo das aes definidas no termo ser feita sobre todos os pacotes que satisfizeram as condies do termo. O termo pode definir zero ou mais aes. Alm disso, pode ter zero ou mais condies. A partir da, a operao simples: se todas as condies (match) do termo so verdadeiras, o Junos executar as aes especificadas dentro do termo. Se o termo no possui nenhuma condio definida, apenas aes, o Junos considera que todos os pacotes devero provocar a execuo das aes do termo. Filtros de rewall consistem de um ou mais termos; o software avalia os termos sequencialmente at que encontre uma ao de terminao.
my-filter
Nomes de termos e ltros denidos pelo usurio.
then then
from
then
Comandos descrevem as aes que devem ser tomadas se ocorrer uma comparao com o comando from
Conforme mostrado na figura, a entidade lgica que agrupa os vrios termos chamada filter (filtro).
224
11 Ao definir o filtro, o usurio deve escolher com critrio a ordem dos termos, pois ela influenciar na operao do filtro. 11 Todo filtro no Junos requer a definio de pelo menos um termo.
A figura revela ainda que os filtros no Junos sempre incluem um termo default, ainda que o usurio no o tenha definido. Esse termo diz ao Junos o que fazer com um pacote que no satisfaz as condies de nenhum dos outros termos. Esse termo default informa ao Junos que o pacote deve ser descartado. Assim, o administrador do sistema deve ter sempre em mente que caso um pacote no atenda a nenhum dos matchs do filtro, ser descartado.
Condies Match
11 Geralmente uma condio match cai dentro de uma dentre trs categorias: compa rao numrica, comparao de endereo ou comparao de bit. 11 As condies de um termo so definidas atravs da opo from. 11 Os critrios avaliados pelo match podem ser valores em campos do cabealho dos pacotes IP. Mas nem todos os campos desse cabealho estaro disponveis. 11 Quando o usurio especifica o campo do pacote IP que ser avaliado, o Junos procura em cada pacote, no campo determinado, um valor para verificar se o critrio match definido atendido.
from
Figura 12.3 Filtro de firewall: diagrama de blocos.
then
O Junos no verifica se o tal campo faz sentido no pacote que est sendo avaliado. Por exemplo, o usurio pode definir que o Junos deve tomar uma ao baseado na existncia da flag ACK no pacote TCP. Dessa forma, o Junos ir procurar pelo bit que define o ACK, na posio do pacote onde esse bit est sempre presente. No entanto, o Junos no verificar se o pacote TCP. Se o pacote que passa pela interface for UDP, que no tem o conceito de ACK, ocorrer um problema semntico da anlise do filtro. Assim, cabe ao usurio ter cincia desse comportamento do sistema e cuidar para que as anlises sejam coesas. No exemplo anterior, o usurio deveria utilizar dois matches: o primeiro informando que o pacote tem que ser TCP, e um segundo dizendo que o bit ACK deve estar configurado. 11 Alguns problemas semnticos tambm podem ocorrer quando h pacotes fragmentados. 11 Quando um pacote fragmentado, todos os seus fragmentos so transmitidos e tratados separadamente pelo filtro do Junos. 11 Nem todos os fragmentos contm os mesmos campos de camada 4. 11 Alguns campos s esto presentes no primeiro fragmento. 11 Ao definir um match baseado em um campo de camada 4, o Junos tentar encontrar esse campo no pacote, mesmo que ele no exista.
Captulo 12 - Filtros de firewall
225
11 Esse comportamento pode trazer resultados imprevisveis quando se est utilizando um firewall stateless como o do Junos. 11 Muito cuidado deve ser tomado ao se definir filtros baseados em determinados campos de camada 4.
then
then
Comandos descrevem as aes que devem ser tomadas se ocorrer uma comparao com o comando from
11 A ao accept faz com que o sistema permita que o pacote avaliado seja processado normalmente. 11 A ao discard faz com que o pacote avaliado seja descartado silenciosamente. 11 A ao reject faz com que o sistema seja descartado e uma mensagem de ICMP seja enviada ao remetente informando sobre o descarte. A ao reject admite argumentos opcionais que permitem ao usurio enviar uma men sagem ICMP (destination unreachable) diferente para o remetente ou mesmo enviar um TCP reset ao invs da mensagem ICMP. A ao reject tcp-reset executa essa ao. Alm das trs aes terminadoras, o usurio tem a opo de usar uma ao modificadora. As aes modificadoras so: count, log, syslog, forwarding-class, loss-priority e policer. Diferente das aes terminadoras, quando o sistema encontra uma ao modificadora, ela executada e o processamento dos termos subsequentes do filtro acontece
normalmente. Esse processamento somente ser interrompido por uma ao terminadora. 11 Vale lembrar que se aps processar todos os termos de um filtro o sistema no encontra nenhuma ao terminadora, o pacote ser encaminhado para o termo default criado pelo sistema, e o pacote em anlise ser descartado. 11 boa prtica definir um termo final sem condies e com uma ao terminadora.
Introduo rede Ip
11 As aes count, log e syslog servem para gravar informaes sobre os pacotes processados pelo filtro. 11 As aes forwarding-class e loss-priority so usadas quando se est trabalhando com diferentes classes de servio (CoS). 11 A ao policer permite invocar um traffic policer, que ser apresentado mais tarde nesse curso.
226
protocolos de rede em famlias. Ao definir um filtro necessrio especificar para qual famlia de protocolo o filtro vlido. Em geral, o filtro de firewall atuar em pacotes IP verso 4, que correspondem famlia inet. Para definir um filtro de IPv4 utiliza-se a hierarquia [edit firewall inet]. O exemplo seguinte ilustra a estrutura bsica de um filtro.
my-filter
then
then
11 Aps definir o filtro, necessrio aplic-lo em uma interface. 11 Um filtro pode ser aplicado nas direes in ou out (para processar pacotes entrando ou saindo de uma interface). Input Filtros de rewall de sada (Output) controlam o trfego saindo da interface.
Output
Output
Input
aplicado na interface de loopback do equipamento para filtrar trfego destinado ao sistema. Um filtro aplicado em uma interface atravs da hierarquia (considerando filtro para protocolo IPv4):
227
Um filtro pode ser aplicado em mais de uma interface. O mesmo filtro tambm pode ser aplicado nas duas direes (in e out) de uma interface. Um filtro tambm pode ser
Um filtro definido para um determinado protocolo de rede s pode ser utilizado em units desse mesmo protocolo. Ou seja, no possvel, por exemplo, aplicar um filtro de IPv6 em uma unit que no seja IPv4. Se um filtro definido sob a hierarquia [edit firewall inet6], no ser possvel aplic-lo em uma hierarquia [ edit interfaces <nome> unit <n> family inet ] (unit IPv4). Ou seja, a family do filtro precisa casar com a family da interface. Ao adicionar um filtro a uma interface atravs de uma sesso remota (Telnet ou SSH) sempre uma boa prtica utilizar a opo commit confirmed. comum o administrador, por um erro de configurao, perder acesso a uma interface aps aplicar um filtro.
Para pensar
O uso do commit confirmed pode economizar muitas horas de trabalho e deslocamentos desnecessrios.
Exemplo de filtro
Definindo um bloqueio do protocolo ICMP. Nome do filtro: bloqueios.
set firewall filter bloqueios term block_icmp from address 10.0.0.0/24 set firewall filter bloqueios term block_icmp from protocol icmp set firewall filter bloqueios term block_icmp then discard set firewall filter bloqueios term permit then accept
A seguir, outro exemplo, desta vez com o protocolo http.
MYNET
.100
R1 .1 ge-0/0/1.0 .2 .1 Internet
Figura 12.7 Exemplo de filtro (parte I).
172.27.102.0/24
172.30.25.0/30
Na figura anterior, o usurio deseja filtrar todo o trfego de protocolo http que entra pela interface ge0/0/1.0, exceto o trfego destinado ao servidor da figura. A configurao seguinte exibe um exemplo de filtro que pode fazer essa tarefa.
MYNET
Introduo rede Ip
.100
R1 .1 ge-0/0/1.0 .2
Figura 12.8 Exemplo de filtro (parte II).
172.27.102.0/24
228
O filtro criado possui dois termos. No primeiro a condio que o trfego seja http e o destino seja o servidor. Se essas duas condies forem contempladas, o trfego ser permitido e o processamento termina (na ao terminadora accept). Se alguma das condies no for aceita, o processamento seguir para o segundo termo. O segundo termo diz que se o trfego for http, deve ser descartado (ao terminadora discard). Se a condio do segundo termo tambm no contemplada, o pacote entra no termo default, que no aparece explicitado na configurao. Trata-se de um termo que automa ticamente considerado pelo sistema. O termo default descartar o trfego por definio (com a ao terminadora discard). Repare que nesse exemplo especfico o nico trfego permitido http para o IP do servidor. Qualquer outro trfego ser bloqueado (o que pode no ser o desejo do administrador). Sempre que necessrio evitar o termo default (que descarta todos os pacotes por default), utilize um ltimo termo sem condies e com a ao accept.
Routing Engine
CPU
Control Plane Forwarding Plane
Figura 12.9 Filtrando trfego local.
Io0
graas ao comportamento do termo default, inserido automaticamente pelo sistema. Ao aplicar um filtro de trfego local fundamental o uso do commit confirmed. comum ocorrerem problemas graves aps uma configurao equivocada de um filtro de trfego local. A seguir um exemplo de filtro de trfego local que limita o trfego SSH RE.
229
trusted; } protocol tcp; destination-port ssh; } then { discard; } } term else-accept { then accept; } }
O primeiro termo define que os endereos IP presentes na lista de prefixos chamada trusted tm permisso para entrar na RE. O segundo termo bloqueia qualquer outro trfego de SSH. O terceiro termo permite acesso a qualquer outro trfego. Repare que se o termo else-accept no fosse includo, o software descartaria todo o trfego de controle e gerncia que no foi especificado explicitamente. Isso inclui os anncios de rotas OSPF, BGP e de outros protocolos provindas de roteadores vizinhos, bem como mensagens SNMP ou NTP de plataformas de gerncia. Um srio distrbio poderia ser causado. Para completar a configurao, a seguir vemos a criao de uma prefix-list, definio feita na hierarquia [edit policy-options].
11 Para executar a tarefa de policing no Junos necessrio criar um policer e us-lo em conjunto com um filtro de firewall. 11 O policer criado na hierarquia [edit firewall], sendo preciso aplic-lo a uma interface.
230
Ba l d e d e b it
O filtro usado para a tarefa de policing tem a mesma estrutura dos demais filtros. Ele consiste em um conjunto de termos, os quais definem condies e aes relacionadas. A diferena que normalmente se usa a opo policer no(s) primeiro(s) termo(s). Para melhor entendimento, a seguir vemos o uso de um policer associado a um filtro de firewall.
[edit firewall] user@host# show policer p1 { if-exceeding { bandwidth-limit 400k; burst-size-limit lOOk; } then discard; } family inet { filter rate-limit-subnet { term match-subnet { from {
source-address { 192.100.1.0/24;
Captulo 12 - Filtros de firewall
} } then {
policer p1; } }
231
term else-accept { } } }
No exemplo anterior, um policer foi definido de modo a limitar um determinado padro de trfego a uma largura de banda mdia de 400 Kbps, com direito a 100 Kbytes de burst. 11 O parmetro burst-size-limit pode ser entendido como um pico que pode exceder a velocidade mdia assinalada. 11 Uma forma recomendada para se calcular o burst multiplicar a largura de banda mxima que se quer permitir (valor de pico do trfego) pela quantidade de tempo de durao do pico. 11 Por exemplo, imagine uma interface com capacidade para 1 Gbps. 22 O administrador quer permitir que determinado padro de trfego use apenas 10 Mbps. 22 No entanto, o administrador admite que a aplicao possa gerar picos de 100 Mbps com durao de 5 milisegundos. Assim, teremos o clculo do burst-size-limit: 33 burst-size-limit = (100.000.000 bits /segundo) x (5/1000 segundos) = 500.000 bits 22 Convertendo o valor acima em bytes: 33 burst-size-limit = 500.000 / 8 = 62500 bytes Dessa forma, para o administrador executar o policer como definido no exemplo, a configurao ficaria:
then accept;
firewall { policer class-example { if-exceeding { bandwidth-limit 10m; burst-size-limit 62500; } then forwarding-class best-effort; } family inet { filter example1 {
Introduo rede Ip
232
[edit firewall user@host # show policer pl if-exceeding { bandwidth-limit 400k; burst-size-limit 100k; } then discard; } family inet { filter rate -limit-subnet { term match-subnet { from { source-address { 192.100.1.0/24; } } then { policer pl: } } term else-accept { then accept; }
233
Captulo 12 - Filtros de firewall
} }
11 Acima h um policer chamado p1, que descarta trfego que exceda o consumo de uma largura de banda mdia de 400 Kbps com picos de 100 Kbytes. 11 Ao definir os limites do policer, pode-se usar as letras k, m e g para indicar milhares, milhes e bilhes de bytes (ou bits/segundo). 11 Uma vez definido o policer, possvel invoc-lo a partir de um termo de filtro de firewall. 11 Esse termo definir o padro de trfego que estar sujeito ao do policer. No exemplo acima, o filtro rate-limit-subnet submete todo o trfego originado pela rede 192.100.1.0\24 ao policer definido previamente. Ser descartado o volume de trfego daquela sub-rede que demandar mais recursos do que os definidos pelo policer. Todos os demais trfegos, originados de outras redes, sero aceitos normalmente e podero usar toda a largura de banda da interface onde o filtro for aplicado.
MYNET
R1
.1 ge-0/0/1.0 .2 .1 Internet
Figura 12.11 Estudo de caso (parte I).
172.27.102.0/24
172.30.25.0/30
Os seguintes objetivos devero ser contemplados: Para o trfego saindo da interface ge-0/0/1.0: 11 Todo o trfego de qualquer fonte que no seja da rede 172.27.102.0\24 deve ser descartado e registrado em arquivo de log; 11 Todo o trfego restante deve incrementar um contador e ser permitido. Para o trfego entrando na interface ge-0/0/1.0: 11 Todo trfego com IP origem da rede 172.27.102.0\24 deve ser descartado e registrado. 11 Todo trfego da internet respondendo a conexes TCP iniciadas do servidor MyNET deve ser atendido. 11 Todo trfego ICMP dos tipos echo-reply, time-exceeded e destination unreachable
Introduo rede Ip
deve ser permitido. 11 Qualquer outro trfego deve incrementar um contador e ser descartado. Para alcanar os objetivos traados, o filtro seguinte foi definido para ser aplicado na sada da interface.
234
term deny-spoofed { from { source-address { } } then{ log; discard; } } term else-accept { then ( count outbound-accepted; accept; } }
O exemplo seguinte define o filtro a ser aplicado na interface de entrada:
[edit firewall family inet filter input-ff] user@Rl# show term deny-spoofed { from { source-prefix-list { } then { log; discard; } } term allow--established-sessions
235
Captulo 12 - Filtros de firewall
internal-prefixes; }
from { protocol tcp; tcp-established; } then accept; } term allow-some-icmp { from { protocol icmp; icmp-type [ echo-reply time-exceeded unreachable ]; } then accept; } term else-discard then { count inbound-discarded; discard; } } [edit policy-options] user@Rl# show prefix-list internal-prefixes { 172.27.102.0/24; }
Na configurao aplicada foram usadas as opes count e log. O count mantm um contador cumulativo de pacotes e de bytes. Para cada contador de um filtro o sistema mantm um nico conjunto de estatsticas. Assim, se um mesmo filtro aplicado em mltiplas interfaces, todos os pacotes contemplados pelo count incrementaro um mesmo contador. O prximo passo aplicar os filtros definidos nas direes de entrada e sada da interface.
Introduo rede Ip
236
} }
MYNET Filtros de rewall de sada (Output) controlam o trfego saindo da interface. Filtros de rewall de entrada (Input) controlam o trfego entrando na interface.
R1
.1
Output
172.27.102.0/24
Figura 12.12 Estudo de caso (parte II).
Input
Os contadores de um filtro, definidos pela opo count, podem ser zerados com o comando clear firewall filter <nome do filtro>. Opcionalmente, pode-se zerar apenas um nico contador do filtro com o comando:
user@R1> show firewall log Log : Time Filter Action Interface Protocol ge-0/0/1.0 ge-0/0/1.0 ge-0/0/1.0 ge-0/0/3.0 ge-0/0/3.0 ge-0/0/3.0 TCP TCP TCP ICMP ICMP ICMP Src Addr Dest Addr 172.27.102.100 172.27.102.100
Captulo 12 - Filtros de firewall
07:23:16 pfe D 07:23:13 pfe D 07:23:10 pfe D 07:19:38 pfe D 07:19:38 pfe D 07:19:37 pfe D ...
237
O comando show firewall counter, conforme mostrado a seguir, verifica o valor dos conta dores do filtro aplicado (definidos pela opo count).
Repare no exemplo que o nome do filtro pode ser passado como argumento do comando, caso se deseje verificar os contadores de um nico filtro.
22 O roteador se far a seguinte pergunta: 33 Se eu tivesse que encaminhar um pacote para o 10.10.10.10, por onde eu enviaria? 22 Para responder a essa pergunta, o roteador analisar a tabela de rotas. 33 Se a resposta for interface ge-0/0/1.0, o pacote receber servio normalmente. 33 Se a resposta for outra, o pacote ser descartado, pois ficar caracterizada uma potencial ocorrncia de IP spoofing.
238
Ba l d e d e b it
Uma mesma interface pode ter a verificao RPF configurada juntamente com um filtro de firewall, sem problemas.
R2
Internet
R1
R4
172.30.17.0/24
R3
O problema pode ser corrigido com o uso da opo feasible-paths, conforme mostrado no exemplo de configurao seguinte.
R1
Figura 12.15 RPF com feasible-paths habilitado.
239
O uso dessa opo faz com que o sistema considere todas as rotas recebidas pelo roteador para fazer a verificao, e no s a rota ativa na tabela de rotas. Normalmente, em topolo gias redundantes, o roteador ter duas ou mais rotas para entregar o pacote, mas s uma estar ativa. 11 Apesar da possibilidade de uso do recurso feasible-paths, o uso de verificao RPF recomendado apenas nas periferias da rede, onde se tem certeza que h um nico caminho para se atingir uma rede. 11 Considerando a figura da topologia do exemplo anterior, um bom lugar para a verifi cao RPF seria a interface de R4, que conecta na LAN 172.30.17.0\24, e a interface de R1, que se liga internet. 11 Existem outras opes de configurao de RPF que variam de acordo com a plataforma.
Filtros de fail
11 Quando um pacote no passa na verificao de RPF, descartado por default. 11 Opcionalmente pode-se definir um filtro de fail. 11 Dessa forma, todos os pacotes que forem reprovados no teste de RPF sero subme tidos s aes contidas no filtro de fail. 11 Essas aes podem inclusive ser um accept, para liberar o trfego, ou um policer, para limitar a sua taxa de dados. 11 Esse filtro tem a mesma estrutura e as mesmas possibilidades de um filtro de firewall. A seguir um filtro de fail configurado para permitir trfego reprovado no teste de RPF apenas quando este for proveniente de um servidor DHCP ou Bootstrap (BOOTP).
with a source address of 0.0.0.0/32 and a destination address of 255.255.255.255/32 for DHCP or BOOTP traffic } destination-address { 255.255.255.25!V32
Introduo rede Ip
} } then accept; } }
240
} }
Repare que esse filtro libera apenas trfego com IP origem 0.0.0.0\32 e destino 255.255.255.255\32. Esses parmetros so usados pelos protocolos DHCP e BOOTP. A seguir est ilustrado um exemplo de configurao de RPF de um equipamento.
ge-0/0/1 { unit 0 { family inet { rpf-check; ----- Enables RPF check on interface filter {
input input-ff; output output-ff } } } ge-0/0/2 { unit 0 { family inet { rpf-check fail-filter rpf-dhcp; ----- RPF fail-filter } address 172.30.25.2/30;
address 172.19.2.1/30;
241
O exemplo mostra a verificao de RPF no seu modo mais simples, sendo aplicada na interface ge-0/0/1.0. Nas interfaces ge-0/0/2.0 e ge-0/0/3.0, a verificao foi habilitada em conjunto com um filtro de fail nomeado rpf-dhcp.
242
Introduo rede Ip
Roteiro de Atividades 9
Atividade 9.1 Configurando filtro de firewall
Alunos dos PCs do roteador A devem fazer um firewall filter que permita que IPs que esto nos PCs do roteador B possam fazer SSH para a interface ge-0/0/1, mas no possam fazer telnet ou ping. Qualquer outro IP que tente acessar a interface ge-0/0/1, usando qualquer pro tocolo, deve conseguir. Depois de criado, esse filtro deve ser aplicado na interface ge-0/0/1. Idem para os PCs dos roteadores C e D e para as demais bancadas. 1. Criando firewall filter: set firewall family inet filter bloqueios term block_icmp from address 10.0.30.0/24 set firewall family inet filter bloqueios term block_icmp from address 10.0.40.0/24 set firewall family inet filter bloqueios term block_icmp from protocol icmp set firewall family inet filter bloqueios term block_icmp then reject set firewall family inet filter bloqueios term block_telnet from address 10.0.30.0/24 set firewall family inet filter bloqueios term block_telnet from address 10.0.40.0/24 set firewall family inet filter bloqueios term block_telnet from port telnet set firewall family inet filter bloqueios term block_telnet then reject set firewall family inet filter bloqueios term permitindo then accept 2. Aplicando filtro na interface ge-0/0/1:
root@ROTA# show firewall family inet { filter bloqueios { term block_icmp { from { address {
Captulo 12 - Roteiro de Atividades 7
243
} } term block_telnet { from { address { 10.0.40.0/24; 10.0.30.0/24; } port telnet; } then { reject; } } term permitindo { then accept; } } }
[edit]
top
Introduo rede Ip
set firewall policer Limit_Traffic if-exceeding bandwidth-limit 20k set firewall policer Limit_Traffic if-exceeding burst-size-limit 750 set firewall policer Limit_Traffic then discard
244
set firewall family inet filter ICMP_Limit term Limite_de_Trafego from source-address 10.0.30.0/24 set firewall family inet filter ICMP_Limit term Limite_de_Trafego from source-address 10.0.40.0/24 set firewall family inet filter ICMP_Limit term Limite_de_Trafego from protocol icmp set firewall family inet filter ICMP_Limit term Limite_de_Trafego then policer Limit_Traffic
set firewall family inet filter ICMP_Limit term else then accept
245
246
Introduo rede Ip
13
Troubleshooting em interfaces
objetivos
Descrever os procedimentos de resoluo de problemas em interfaces seriais e Ethernet, e apresentar as principais interfaces WAN usadas pelas operadoras de telecomunicaes.
conceitos
Troubleshooting genrico de interfaces, troubleshooting especfico de interfaces serial e Ethernet, interfaces E1, E3 e Sonet/SDH.
seja desconsiderado no momento em que executado um commit. A tag inactive: identifica um comando presente no arquivo de configurao, mas que est desativado. 11 Para desativar um comando ou identificador utiliza-se o comando deactivate no modo de configurao. 11 Para reativar um comando ou identificador utiliza-se o comando activate no modo de configurao. Como qualquer outra linha do arquivo de configurao, uma interface tambm pode ser desativada. Abaixo est ilustrado um exemplo de desativao de interface:
[edit] user@host# run show interfaces so-2/0/0 terse Interface Admin Link so-2/0/0 so-2/0/0.0 up up up Proto up inet 10.2.1.21/30 Local Remote
Captulo 13 - Troubleshooting em interfaces
247
user@host# show interfaces ... inactive: so-2/0/0 { ... [edit] user@host# run show interfaces se-2/0/0 terse Intertace Admin Link Proto Local Remote
so-2/0/0 up up
11 O exemplo anterior mostra que uma interface desativada tem todas as suas unidades (interfaces lgicas) excludas da lista de interfaces presentes. 11 como se elas no mais existissem; o Junos ignora todos os comandos do arquivo de configurao que estejam com a tag Inactive. 11 Para reativar a interface, bastaria executar o comando activate interfaces so-2/0/0. 11 Opcionalmente uma interface pode ser desabilitada com o comando disable, que deve ser colocado na hierarquia [edit interfaces <nome da interface>]. 11 Quando se utiliza o comando disable na linha do arquivo de configurao que define uma interface, o Junos mantm a interface ativa ao executar o commit, mas o software a trata como estando no estado down ou administrativamente desabilitada. O exemplo a seguir exibe a situao:
[edit] user@host# run show interfaces so-2/0/0 terse Interface Admin Link Proto Local Remote so-2/0/0 up up
[edit] ps@cartman-re0# set interfaces so-2/0/0 disable [edit] user@host# show interfaces so-2/0/0 disable; unit 0 {
Introduo rede Ip
248
[edit] user@host# run show interfaces so-2/0/0 terse Interface Admin Link Proto Local Remote so-2/0/0 down up
ATM interface with multiple units [edit interfaces] user@host# show at-0/2/1 description SY to HK and DE; atm-options { vpi 0 {
address 10.0.15.1/24;
address 172.16.0.1/24; } }
[edit interfaces] user@host# show ge-0/0/2 unit 0 { family inet { address 10.0.13.1/24; } family mpls; }
SONET interface running Frame Relay with keepalives (LMI) disabled [edit interfaces] user@host# show so-0/1/3 no-keepalives;
Cada exemplo acima faz uso de pelo menos uma interface lgica (unit), na qual configu rada uma famlia de protocolo L3 (family), que define o tipo de pacotes L3 que podero trafegar por ali. Outras propriedades lgicas das interfaces so configuradas na hierarquia unit das interfaces. Para verificar os comandos set que foram usados para configurar uma interface, pode-se usar o artifcio do | display set. A seguir est ilustrada a utilidade deste recurso:
[edit interfaces] user@host# show at-0/2/1 | display set set interfaces at-0/2/1 description SY to HK and DE set interfaces at-0/2/1 atm-options vpi 0 maximum-vcs 200 set interfaces at-0/2/1 unit 0 description to HK set interfaces at-0/2/1 unit 0 vci 100 set interfaces at-0/2/1 unit 0 family inet address 10.0.15.1/24 set interfaces at-0/2/1 unit 101 description to DE set interfaces at-0/2/1 unit 101 vci 101 set interfaces at-0/2/1 unit 101 family inet address 172.16.0.1/24
Introduo rede Ip
250
user@host> show interfaces so* terse Interface so-1/1/0 so-1/1/0.0 Admin Link Proto Local down up up Remote
so-1/1/1 so-1/1/1.0
up up
down
up up
up up
11 O wildcard asterisco (*) um recurso que pode ser usado para filtrar a sada do comando. 11 No exemplo, o usurio solicitou apenas as interfaces com nome comeando com a string so. 11 O cdigo exibe ainda o significado de algumas combinaes de estado de interfaces que no esto operando. 11 Uma interface fsica que foi desabilitada aparece com os estados administrativo e operacional respectivamente down e up, e suas respectivas interfaces lgicas como admin up e link status down. 11 A interface fsica fica com link status up porque o enlace fsico est saudvel (no tem alarmes). 11 As interfaces lgicas mantm link status down, porque a interface L2 no consegue estabelecer comunicao com o equipamento na outra ponta. 11 Quando uma interface no foi desabilitada e o encapsulamento L2 entre o dispositivo local e o dispositivo remoto no est funcionando, a interface fsica fica em admin up e link status up e a sua interface lgica fica em admin up e link status down. 11 Novamente, a interface fsica mantm link status up, porque o enlace fsico est 11 A interface lgica fica com link status down porque a comunicao de camada 2 est quebrada. 11 Em uma situao de funcionamento normal da interface, tanto a interface fsica quanto a lgica ficam em admin up e link state up. 11 O prximo comando para auxiliar a tarefa de troubleshooting o show interfaces <nome da interface>. 11 Esse comando exibe informaes genricas sobre uma interface especificada ou sobre todas as interfaces. A seguir um exemplo do comando. A interface ilustrada uma Sonet OC-3.
funcionando.
Physical interface: so-0/1/2, Enabled, Physical link is Up Interface index: 134, SNMP ifIndex: 28 ----- Physical de. ice indexes Link-level type: PPP , MTU: 4474, Clocking: Internal, SONET mode, Speed: OC3, Loopback: None, FCS: 16, Payload scrambler: Enabled Device flags : Present Running
Interface flags : Point-To-Point SNMP-Traps Internal: 0x4000 ----Device configuration and operational flags Link flags : Keepalives
Keepalive settings: Interval 10 seconds, Up-count 1, Down-count 3 Keepalive: Input 90939 (00:00:07 ago), Output: 90879 (00:00:04 ago) LCP state: Opened NCP state: inet: Opened, inet6: Not-configured, iso: Not-configured, mpls: Not-configured CHAP state: Closed CoS queues: Last flapped : 4 supported, 4 maximum usable queues
load and alarm status Input rate Output rate SONET alarms : None : 0 bps (0 pps) : 280 bps (0 pps)
SONET defects : None Logical interface so-0/1/2.0 (index 67) (SNMP ifIndex 75) ----- Logical device indexes Flags: Point-To-Point SNMP-Traps Ox4000 Encapsulation: PPP Protocol inet, MTU: 4470 Flags: None Addresses, Flags: Is-Preferred Is-Primary ----- Logical device settings
Introduo rede Ip
252
11 O ndice SNMP ifIndex usado para identificar a interface junto aos softwares que fazem consultas via SNMP. 11 O outro ndice usado pelo prprio Junos para fazer referncia s interfaces quando esto executando tarefas internas.
O ndice de identificao interna das interfaces fsicas chamado ifd, ao passo que o ndice que identifica uma interface lgica o ifl. importante verificar que o ifIndex associado a interfaces lgicas diferente do associado interface fsica. Sempre que possvel, o ifIndex conservado mesmo aps vrios reboots do sistema ou aps eventos de adies ou remoes de novas PICs ou FPCs. Esse comportamento evita que as plataformas de gerncia precisem ser reconfiguradas devido a mudanas no valor do ndice. Uma vez em operao, as interfaces apresentam algumas flags que proveem informaes sobre as condies de sua operao. A lista abaixo exibe algumas das possveis flags e seus significados: 11 Down: a interface no est operando. 11 Up: interface est habilitada e operacional. 11 Hear-Own-Xmit: a interface est escutando suas prprias transmisses (h loop em algum ponto). 11 Link-Layer-Down: a comunicao do protocolo L2 com a outra ponta do link no ocorre. 11 Loopback: interface est na condio de loopback fsico. 11 Loop-Detected: a camada L2 est recebendo os frames por ela transmitidos e suspeita de loop. 11 No-Carrier: indica que o sinal de carrier no est presente (em mdias que suportam reconhecimento de carrier). 11 No-Multicast: a interface no suporta trfego multicast. 11 Present: a interface est presente e reconhecida. 11 Promiscuos: interface est no modo promscuo e admite frames enviados para outros destinos. 11 Quench: interface enfrenta saturao no seu buffer de sada. 11 Recv-All-Multicasts: no h filtro de multicast na interface. 11 Running: a interface est ativada e habilitada. 11 Admin-Test: interface est no modo de teste.
Captulo 13 - Troubleshooting em interfaces
11 Disabled: interface foi desabilitada. 11 Hardware-Down: interface no est funcional ou encontra-se incorretamente conectada. 11 Point-To-Point: interface ponto a ponto. 11 SNMP-Traps: o envio de traps SNMP pela interface est habilitado. 11 Give-Up: aps repetidas falhas o protocolo L2 parou de tentar conexo. 11 Keepalives: mensagens de keepalive esto habilitadas no protocolo L2. 11 Loose-LCP: protocolo PPP no est usando o Link Control Protocol para indicar a sade da conexo PPP. 11 Loose-LMI: protocolo Frame Relay no est usando Local Management Interface para indicar a sade da conexo Frame Relay.
253
11 Loose-NCP: protocolo PPP no usa o Network Control Protocol para indicar se o dispositivo est up. 11 No-Keepalives: mensagens de keepalive esto desabilitadas na interface. A sada do comando tambm sumariza o nvel de carga na interface, exibido em bits e pacotes por segundo, bem como qualquer alarme que esteja ativo. A poro final do reporte do comando exibe a configurao e o estado de cada interface lgica definida.
user@host> show interfaces so-0/l/l extensive Physical interface: so-0/1/1, Enabled, Physical link is Up Interface index: 133, SNMP ifIndex: 25, Generation: 16 ... Statistics last cleared: Never ----- When counters were last cleared ... Input errors ----- Input errors Errors: 0, Drops: 0, Framing errors: 0, Runts: 0, Giants: 0, Bucket drops: 0, Policed discards: 0, L3 incompletes: 0, L2 channel errors: 0, L2 mismatch timeouts: 0, HS link CRC errors: 0, HS link FIFO overflows: 0 Output errors: Carrier transitions: 1, Errors: 0, Drops: 0, Aged packets: 0, ---- Output errors HS link FIFO underflows: 0, MTU errors: 0 ... SONET alarms : None
SONET PHY
Seconds
Count State
Media errors
PLL Lock 0 0 OK SEF 143 157 OK Note: Policed discards count the receipt of unrecognized protocol types (for example, CDP or STP)
254
11 Os contadores exibidos no comando podem ser zerados a qualquer momento com o comando clear interfaces statistics <nome da interface>. 11 Se nenhum nome de interface especificado, todas as interfaces tero seus conta dores zerados. A lista a seguir exibe e explica alguns dos contadores de erro das interfaces no Junos:
11 Errors: exibe o nmero de frames entrantes na interface que chegaram com erro de FCS. 11 Policed Discards: exibe o nmero de frames entrantes que foram descartados porque o cdigo do protocolo L3 no foi reconhecido ou no de interesse. Um exemplo clssico de descarte nesta situao so os pacotes do protocolo Cisco CDP, que no so vlidos no equipamento Juniper. 11 L3 Incompletes: exibe o nmero de pacotes entrantes cujo cabealho L3 no foi aprovado no teste de verificao executado pelo Junos. Um causador desse problema pode ser, por exemplo, um pacote que chega com menos de 20 bytes no seu cabealho IP. 11 L2 Channel Errors: exibe o nmero de frames entrantes considerados errados porque no foi possvel encontrar uma interface lgica para trat-los. Esse contador pode incrementar, por exemplo, quando um frame PPP chega em uma interface fsica que s tem interfaces lgicas HDLC. 11 L2 Mismatch Timeouts: exibe o nmero de frames entrantes descartados porque estavam mal formados (por exemplo, muito pequenos) e foram classificados como ilegveis. 11 SRAM Errors: esse contador incrementado quando um erro de hardware ocorre na memria RAM da PIC. Esse valor deve sempre ser zero. Se ele incrementa a PIC no est funcionando adequadamente. 11 Carrier Transitions: exibe o nmero de vezes que a interface saiu do estado down para up. Esse nmero no deve ser incrementado rapidamente, apenas quando o cabo da interface desconectado ou quando o sistema remoto desligado. Se esse contador incrementa rapidamente (mais de uma vez a cada 30 segundos), fica caracterizada uma falha na linha de transmisso, no sistema remoto ou na PIC local. 11 Drops: exibe o nmero de pacotes descartados na fila de sada da interface. Esse con tador incrementado normalmente em situaes de saturao ou uso de policer. 11 Aged Packets: exibe a quantidade de pacotes que permaneceram muito tempo na SDRAM compartilhada. Esse contador no deveria ser incrementado nunca. Se incrementado, fica caracterizado um bug de software ou um mau funcionamento do hardware.
11 O comando monitor interface <nome da interface> um dos mais teis no tratamento de problemas. 11 Ele prov o acompanhamento em tempo real de vrios contadores da interface, como bytes entrando, bytes saindo, erros de entrada e de sada, aged packets, policed discards, L3 incompletes etc. A seguir est exibida a sada deste comando:
user@router
Seconds: 55
Time: 19:12:00
Delay: 0/0/66
Interface: ge-0/2/0, Enabled, Link is Down Encapsulation: Ethernet, Speed: 1000 mbps
255
Monitorando interface
Traffic statistics: Input bytes: Output bytes: Input packets: Output packets: Error statistics: 0 0 0 14355 261 0 156 2 0 0 0 : LINK
Current Delta 17707053 (0 bps) 10369709 (0 bps) 292046 (0 pps) 147886 (0 pps) [0] [0] [312] [0]
Input errors: Input drops: Input framing errors: Policed discards: L3 incompletes: L2 channel errors: L2 mismatch timeouts Carrier transitions: Output errors: Output drops Aged packets: Active alarms
[0] [0] [0] [0] [0] [0] [0] [1] [0] [0] [0]
Active defects : LINK Input MAC/Filter statistics: Unicact packets Broadcast packets Multicast packets 104547 40494 67917 [0] [0] [0]
Teste de loop
O caminho fsico que implementa o enlace de dados de uma organizao usuria at o PoP da RNP normalmente composto de um certo nmero de segmentos de cabo (spams) interconectados por dispositivos que regeneram e repetem o sinal adiante. Quando uma falha ocorre no enlace possvel localizar a fonte do problema atravs de testes em cada segmento e testes fim a fim.
Introduo rede Ip
11 O teste de loop o processo atravs do qual o fornecedor de um enlace de dados identifica o trecho do enlace que protagoniza uma falha. 11 O teste de loop consiste em conectar a interface de transmisso na interface de recepo em qualquer um dos dispositivos que interliga os diferentes segmentos do enlace. 11 Quando um loop executado no caminho, o roteador Juniper detectar a situao, pois perceber que os seus pacotes de keepalive transmitidos esto sendo recebidos na sua prpria recepo.
256
Loop detected!
TX RX
RX
Figura 13.1 Teste de loop.
TX
Normalmente, um teste de loop executado recursivamente em cada um dos dispositivos que compem o circuito de dados. Se um loop configurado em um determinado segmento do enlace e o roteador na ponta do circuito no verifica a presena de sinal na recepo, fica caracterizado o isolamento do problema entre o roteador da ponta do enlace e o ponto onde foi executado o loop. 11 Normalmente a operadora de telecomunicaes que prov o enlace pode testar todos os segmentos do circuito que so internos sua rede, antes de visitar as depen dncias do cliente. 11 Se os testes de loop apontam que o problema no ltimo segmento (que liga o cliente ao primeiro ponto da rede da operadora) o cliente passa a ser envolvido, e uma visita s suas dependncias pode ser necessria. 11 Os testes de loop tambm podem ser utilizados para localizar segmentos do enlace que protagonizam a apario de taxas de erro de CRC na recepo do roteador.
suportam testes de loop remoto. A figura a seguir ilustra a diferena dos loops local e remoto.
257
Loopback remoto
A configurao do loop remoto na interface do equipamento faz com que o equipamento remoto receba tudo que enviado ao roteador. Nenhuma sinalizao gerada para o equipamento remoto para dizer que o loop est ocorrendo. Por isso, normalmente esse tipo de teste executado em conjunto com tcnicos da operadora de telecomunicaes, que deseja testar o circuito. Para o teste de loop local, o parmetro clocking da PIC de transmisso deve ser configu rado para internal, que a opo default.
[edit interfaces so-0/1/1] user@Tokyo# show no-keepalives; encapsulation frame-relay; sonet options { loopback local; } unit 100 { dlci 100;
Introduo rede Ip
258
[edit interfaces so-0/1/1] user@Tokyo# run show interfaces so-0/1/1 | match loop Link-level type: Frame-Relay, MTU: 4474, Clocking: Internal , SONET mode, Speed: OC3, Loopback: Local,
11 Quando o loop realizado na interface de algum equipamento da operadora, no h nenhuma indicao, no roteador, de que um loop est ocorrendo, salvo quando o protocolo de camada 2 em uso possui recurso de deteco de loop, como por exemplo o PPP. 11 A interface usada no exemplo anterior utiliza Frame Relay com recurso de keepalives (LMI) desligado. 11 Dessa forma, um loop na infraestrutura da operadora no ser detectado automaticamente.
[edit interfaces so-0/1/1] user@London# run show interfaces so-0/1/1 Physical link is Up ... Link-leve1 type: PPP, MTU: 4474, Clocking: Internal, SONET mode, Speed: OC3, Loopback None, FCS: 16, Payload scrambler: Enabled
259
Device flags: Present Running Loop-Detected ... Logical interface so-0/1/1.0 (Index 70) (SNMP if Index 26) ... Protocol inet, MTU: 4470 Flags: Protocol-Down [edit interfaces so-0/1/1] user@London# show no keepalives; unit 0 { family inet { address 10.0.22.2/24; } }
11 Plataformas Junos no tm esse comportamento. 11 Um ping enviado ao IP do equipamento local no deixa a interface, e assim no pode ser usado para testar o estado operacional da linha. 10.0.10.1 Loopback
q
Figura 13.4 Comportamento de loop em equipamentos Juniper.
Introduo rede Ip
O exemplo seguinte mostra como a linha com loop pode ser testada no Junos.lab@router> ping 10.0.10.2
PING 10.0.10.2 (10.0.10.2): 56 data bytes 36 bytes from 10.0.10.1: Time to live exceeded
260
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 211b 0 0000 01 01 708c 10.0.10.1 10.0.10.2
JUNOS Device
10.0.10.1 Loopback
Ping to remote IP 10.0.10.2 11 Ao utilizar o equipamento Juniper com um loop externo na linha (loop local externo, loop remoto em equipamento da operadora ou um loop remoto da interface local) deve-se fazer um ping para um IP remoto que normalmente atendido pela interface local. 11 No exemplo, esse endereo o 10.0.10.2. 11 Se a linha estiver saudvel, o pacote de ping retornar interface local e novamente ser enviado rede da operadora, mas sofrer um decremento no campo TTL (Time To Live). 11 Esse processo se repetir continuamente at que o campo TTL atinja o valor zero. Se a linha estiver saudvel, um erro de Time To Live exceeded ser gerado. 11 Se a linha tiver uma indisponibilidade fsica no trecho testado, os pings sero perdidos. Se o trecho testado sofrer com taxas de erro, uma parte dos pacotes de ping gerar o erro de TTL Exceeded; a outra parte no retornar o erro. No caso de linha com taxas de erro, o tamanho dos pacotes de ping e o uso da opo rapid no comando de ping podem afetar o resultado. Pacotes maiores e enviados em intervalos pequenos tm menor probabilidade de completar o percurso em caso de linha com erro. Outro fator que pode ser variado durante os testes o TTL. No ping do Juniper, o valor de TTL default 255. Dessa forma, um erro de TTL expirado indica que houve 255 transmisses e recepes executadas com sucesso. Configurar o valor de TTL para um valor menor pode ser til ao tentar caracterizar a qualidade da linha.
261
Comando ping
Usado largamente para verificar a conectividade de elementos na LAN. A recepo de um echo reply de um elemento da LAN valida o bom funcionamento das camadas 1, 2 e 3 dos segmentos de rede que ligam o roteador ao host em questo.
Alguns comandos de show j mostrados tambm ajudam na investigao de problemas de interfaces ethernet. Alguns deles so listados abaixo: 11 show interfaces extensive: verifica o estado geral da interface, de seus contadores de performance e de suas flags. Um problema tpico que pode ocorrer em interfaces Ethernet so erros na interface de entrada devido a cabo com tamanho alm do mximo permitido pelo padro ou equipamento remoto com configurao de duplex em
262
autoconfiguration. Em ambos os casos, os contadores de erro sofrero incrementos, e este comando permitir o diagnstico. 11 monitor interface: exibe estatsticas em tempo real de uma interface fsica. A sada se atualiza a cada um segundo. Dentre outras coisas, esse comando acompanha a evoluo de vrios contadores de erro, como frames mal formados, ou com erro de CRC. 11 monitor traffic: verso resumida do monitor interface.
Interfaces E3
Verificando o funcionamento fsico da porta
Para verificar o bom funcionamento da porta E3, pode-se fazer um loop fsico entre as portas de transmisso e recepo. Ao fazer essa operao, deve-se tomar o cuidado de usar um atenuador para evitar uma alta potncia na porta de recepo do roteador. Uma vez que a porta de transmisso est conectada na porta de recepo (loop), o usurio deve verificar a presena da flag Loop-Detected na interface em questo. Essa flag dever ser vista na sada dos diferentes comandos show interfaces. Alm disso, a sada do monitor interface dever mostrar o contador de input packet count igual ao contador output packet count. Se esses comportamentos esperados ocorrerem, pode-se afirmar que a transmisso e a recepo da interface esto ocorrendo a contento. Ainda, se o protocolo de nvel 2 HDLC estiver em uso na interface, o contador de input keepalive packet dever ser igual ao contador de output keepalive packet. Se algum dos itens destacados nos dois pargrafos acima no ocorre, a PIC pode estar com problemas. Para isolar o problema, preciso trocar as configuraes e o cabeamento para outra porta E3 e executar novo teste. Para mover a configurao de uma porta para outra de maneira rpida, o comando rename pode ser usado conforme o exemplo abaixo:
11 Frame Checksum: o enlace E3 usa um campo de 16 bits para a tarefa de cheksum. possvel configurar esse campo para utilizar 32 bits, o que torna a verificao mais confivel. Porm, alguns equipamentos antigos suportam apenas o campo de 16 bits. Um descasa mento dessa configurao implicar um problema na conectividade fsica. 11 HDLC Scrambling: ao usar encapsulamento HDLC possvel usar a opo de embaralha mento (scrambling). Essa opo fica desabilitada por default. Se ativada, a funcionalidade prov mais estabilidade para o enlace. Porm, se a configurao dessa opo (ativada ou desativada) no est igual em ambos os equipamentos, o enlace no funcionar. 11 Line buildout: para fazer com que o sinal chegue a um destino que esteja a mais de 70 metros do roteador, utiliza-se a opo long-buildout na hierarquia [edit interfaces <nome da interface> t3-options.
263
user@router> show interfaces t3-1/0/0 Physical interface: t3-1/0/0, Enabled, Physical link is Down Interface index: 9, SNMP ifIndex: 10 Link-level type: Cisco-HDLC, MTU: 4474, Clocking: Internal Speed: T3, Loopback: None, CRC: 16, Mode: C/Bit parity Device flags : Presente Running Down
Interface flags: Hardware-Down Link-Layer-Down Point-To-Point SNMP-Traps Link flags : Keepalive5 Output: 185 (00:00:02 ago)
Keepalive Input: 116 (00:02:32 ago), Input rate Active alarms : 0 bps
: LOF, LOS
Active defects : LOF, LOS Logical interface t3-1/0/0.0 (Index 12) (SNMP ifIndex 32) Flags: Device-down Point-To-Point SNMP-Traps, Encapsulation: Cisco-HDLC Protocol inet, MTU: 4470 Addresses, Flags: Dest-route-down Is-Preferred Is-Primary Destination: 2.2.2.0/30, Local: 2.2.2.2
A parte superior da sada exibe o estado da conectividade fsica da interface. A parte em destaque no meio exibe configurao de camada 2, a qual deve casar com as configuraes na outra ponta do enlace. Finalmente, a parte inferior mostra alarmes ativos e os defeitos ativos na camada fsica. Em uma interface saudvel, no se esperam alarmes ativos. A lista abaixo mostra alguns dos alarmes mais populares e seus significados. Quase todos implicaro em acionamento do provedor do enlace de dados. 11 AIS (Alarm Indication Signal): mostra um problema com o equipamento conectado interface E3. O proprietrio desse equipamento (tipicamente uma operadora de teleco Introduo rede Ip
municaes) dever ser envolvido. 11 LoF (Loss of Frame): indica perdas de bit(s) dos frames recebidos. Pode estar ocorrendo um problema de sincronismo na linha ou incompatibilidade na configurao da forma tao de frames. 11 LoS (Loss of Signal): indica que o sinal est fraco ou no pode ser identificado na interface E3. Pode-se verificar os cabos para checar sua integridade. Tipicamente esse problema implicar em acionamento da operadora de telecomunicaes que prov o enlace.
264
11 IDLE: esse alarme indica que a linha ainda no foi provisionada para o servio. 11 Yellow: indica que o equipamento detectou um problema com o sinal que est sendo recebido do equipamento remoto. Alm dos alarmes, alguns eventos de erro fsico podem ser registrados: 11 BPV (Bipolar Violation): ocorrncia de erro fsico, como um pulso com a mesma polaridade do pulso anterior (com codificao B3ZS bipolar 3 zero substitution). 11 EXZ (excessive zeros): indica a ocorrncia de uma sequncia muito grande de zeros. 11 LCV (Line Code Violation): contador que registra a ocorrncia dos erros BPV e EXZ de forma cumulativa. 11 PCV (p-bit code violation): o bit de verificao P no frame DS-3 no casa com o cdigo calculado localmente. 11 CCV (c-bit code violation): conta as violaes de cdigo reportadas atravs do bit de verifi cao C do frame DS-3.
All 1s pattern is maximum density on T1/DS1 ping 10.0.2.1 pattern ffff count 10000 rapid size 1500 All zeros pattern is minimum density on Ti/DS1 interface ping 10.0.2.1 pattern 0000 count 10000 rapid size 1500
Captulo 13 - Roteiro de Atividades 1
Interfaces E1
11 A investigao de problemas em interfaces E1 bastante similar ao procedimento utilizado para interfaces E3. 11 Os recursos de loop e ping podem ser usados para avaliar o bom funcionamento da PIC fsica e da rede do provedor do enlace de dados.
265
11 Alm disso, em problemas de indisponibilidade de link, deve-se verificar se as configu raes fsicas das interfaces E1 nos equipamentos das duas pontas do enlace utilizam os mesmos parmetros.
Sero apresentadas as similaridades e diferenas da investigao nesses dois tipos de interfaces. Antes de apresentar os itens de verificao usados para investigao das interfaces E1, apre sentaremos algumas particularidades da sua configurao. O feixe de dados E1 um padro da hierarquia digital PDH, que opera na taxa de 2048 Mbps. O feixe implementa um dos esquemas mais bsicos de multiplexao por diviso de tempo dentre os utilizados em telecomunicaes. 11 O feixe composto por 32 canais de 64 Kbps cada, divididos no tempo (32 x 64 = 2048). 11 Na interface Juniper as caractersticas fsicas especficas da interface E1 so configuradas sob a hierarquia de configurao [edit interfaces <nome da interface> e1-options]. 11 Por default, as interfaces E1 no Junos utilizam o modo de framed definido pelo padro G.704. 11 Opcionalmente pode-se utilizar o modo unframed. 22 Quando utilizado o modo unframed, os 32 canais do feixe E1 so usados para transferncia de dados. 11 No modo framed dois canais so utilizados para sinalizao e reporte de alarmes e os outros 30 canais so utilizados para dados. 11 Ou seja, apenas 1984 Kbps so efetivamente usados para a transmisso de dados teis. O Junos se refere ao primeiro canal do feixe como slot 1. Outros fabricantes se referem a esse recurso como slot 0.
Alarmes e mdia E1
11 Alarmes e defeitos podem causar a inutilizao da interface e justificar problemas de performance. 11 Dependendo da idade do defeito, ele pode ser promovido a alarme. 11 Um alarme E1 pode receber a classificao vermelha (red) ou amarela (yellow), depen dendo da sua gravidade. 11 A seguir vemos a sada do comando show interfaces media <nome da interface>, que mostra as caractersticas de camada 1 e 2 da interface, alm de contadores de erro, alarmes e defeitos ativos.
user@host> show interfaces media e1-1/1/0 Physical interface : e1-1/1/0, Enabled, Physical link is Up Interface index: 30, SNMP ifIndex: 130
Introduo rede Ip
Llnk level type: PPP, MTU: 4474, Clocking: Internal Speed: E1, Loopback: None, CRC: 16, Framing: G704 Device flags: Present Running Interface flags: Point-To-Point SNMP-Traps
266
Link flags
: Keepalives
Input rate : 0 bps (0 pps), Output rate: 0 bps (0 pps) Active alarms Active defects E1 errors: BPV: 2, EXZ: 1, LCV: 2, PCV: 7, CS: 0, FEBE: 561
11 A lista seguinte destaca alguns alarmes populares das interfaces E1, que existem tambm nas interfaces E3: 22 LOS: Loss of Signal. 22 LOF: Loss of Frame. 22 AIS: Alarm Indication Signal. 22 YLW: Yellow. 11 Abaixo seguem os contadores de erros tpicos que podem ocorrer na camada fsica. Alguns deles so definidos tambm para as interfaces E3 (no sero novamente definidos). 22 BPV: Bipolar Violation. 22 EXZ: Excessive Zeros. 22 LCS: Line Code Violation. 22 PCV: P-bit Code Violation. 22 CS (Controlled Slip Error): reporta a replicao ou perda de parte do payload do frame E1. 33 Esse erro pode ocorrer, por exemplo, quando h falta de sincronismo entre o relgio dos equipamentos transmissor e receptor. 22 OOF (Out of Frame Defect): conta a ocorrncia de uma densidade particular de erros de frame. 33 Ocorre nas interfaces E1 da Juniper quando o equipamento detecta trs frames consecutivos com erro.
: None : None
A opo size o primeiro recurso disponvel no comando ping, que pode ser usada em casos de problemas de performance. Essa opo altera o tamanho dos pacotes do ping e permite ao usurio conhecer a reao da rede a pacotes grandes e pequenos. Em alguns casos possvel verificar, por exemplo, que pacotes grandes esto sofrendo taxas de descarte elevadas, ao passo que pacotes pequenos esto recebendo servio normalmente. A opo pattern permite a gerao de pacotes de ping com um padro de bits particularmente especificado. Em alguns casos possvel verificar que o circuito apresenta performance normal para pacotes com muitos bits 1 e baixa performance para pacotes com muitos bits 0.
267
A seguir a execuo do comando ping fazendo uso das opes size e pattern (mesmo exemplo utilizado na avaliao da interface E3).
All 1s pattern is maximum density on T1/DS1 ping 10.0.2.1 pattern ffff count 10000 rapid size 1500 All zeros pattern is minimum density on Ti/DS1 interface ping 10.0.2.1 pattern 0000 count 10000 rapid size 1500 Repeat with Ox5555, Ox8080, and Ox1111
Interfaces Sonet/SDH
A hierarquia de transmisso digital Sonet/SDH incorpora uma grande variedade de funcio nalidades de manuteno e operao, que facilitam a investigao de problemas nesse tipo de linha. A interpretao dos erros Sonet/SDH til para determinar a fonte de problemas na rede SDH. Alm disso, os valores contidos nos vrios contadores so informativos quando corretamente interpretados, e ajudam na localizao do problema. Esse tpico cobre os comandos disponveis para as interfaces Sonet/SDH. A conexo SDH caracteriza a configurao de framing sdh sob a hierarquia [edit chassis].
Seconds: 168
Time: 15:48:50 Interface: so-1/1/1, Enabled, Link is Down Encapsulation: Cisco-HDLC, Keepalives, Speed: OC3 Traffic statistics: Input bytes: 375527568 (0 bps) Current Delta
268
Output bytes: Input packets: Output packets: Encapsulation statistics: Input keepalives: Output keepalives: Error statistics: Input errors: Input drops: Input framing errors: Policed discards: L3 incompletes: L2 channel errors: L2 mismatch timeouts: Carrier transitions: Output errors: Output drops: F2 : 0x00 Z3
0 176
[0] [17]
0 0 179 47 0 0 0 1 0 0 : 0x00 Z4
[0] [0] [17] [0] [0] [0] [0] [0] [0] [0] : 0x00
Interface warnings: . Received keepalive count is zero . Framing errors are increasing, check FCS configuration and link
As estatsticas mostradas na segunda coluna so cumulativas desde o ltimo boot da mquina ou desde a ltima vez que o administrador zerou os contadores da interface. Para limpar esses contadores, pode-se a qualquer momento usar o comando clear interfaces statistics. As estatsticas da terceira coluna so cumulativas, desde a execuo do comando monitor interface. Se as diferentes estatsticas de erro so incrementadas, pode-se verificar se as configuraes de FCS (Frame Checksum) e scrambling esto casadas nos equipamentos da interface e acionar o provedor do enlace de dados para a verificao de possveis pro blemas fsicos na linha de transmisso.
Captulo 13 - Roteiro de Atividades 1
das duas pontas do enlace. Se a configurao est correta, deve-se verificar o cabeamento
269
O show interfaces permite verificar os alarmes e defeitos ativos para a interface. Alm disso, as configuraes das camadas 1 e 2 so verificadas, bem como flags da interface.
user@host> show interfaces so-1/1/1 Physical interface: so-1/1/1, Enabled, Physical link is Down Interface index: 17 , SNMP ifIndex: 16 Description: router-02 pos 4/0 Link-level type: Cisco-HDLC, MTU: 4474, Clocking: Internal, SONET mode Speed: OC3, Loopback: None, CRC: 32, Payload scrambler: Enabled Device flgas : Presente Running Down
Keepalive Input : 621 (00:02:57 ago), Output: 889 (00:00:05 ago) Input rate : 0 bps (0 pps), Output rate: 0 bps (0 pps)
Active alarms : LOL, LOF , LOS, SEF , AIS-L, AIS-P , PLM-p Logical interface so-1/1/1.0 (Index 18) (SNMP ifIndex 30) Description: router-02 pos 4/0 Flags: Device-down Point-To-Point SNMP-Traps, Encapsulation: Cisco-HDLC Protocol inet, MTU: 4470 Addresses, Flags: Dest-route-down Is-Preferred Is-Primary Destination: 10.10.10.48/30, Local: 10.10.10.50
a mesma. As diferenas tcnicas no so tema deste curso. 11 Os feixes populares definidos pela hierarquia Sonet (nome dado ao padro americano) so: 22 OC-3: 155 Mbps (pode ser composto por diversos frames PDH, como E1s e E3s) 22 OC-12: 622 Mbps (4 x OC-3) 22 OC-48: 2,5 Gbps (4 x OC-12) 22 OC-192: 10 Gbps (4 x OC-48)
270
PTE
STE
LTE
STE
STE
LTE
PTE
JUNOS Platform
ADM
JUNOS Platform
Section
Regenerator = Repeater ADM = Add/drop multiplexer STE = Section-terminating equipment LTE = Line-Terminating equipment JUNOS platforms are PTE = Path-Terminating equipment
A rede Sonet/SDH tpica composta pelos equipamentos terminais, chamados PTE (Path Terminating Equipment), pelos equipamentos terminais de seo, chamados STE (Section Terminating Equipment) e pelos multiplexadores add/drop. Os regeneradores so considerados STEs, sendo responsveis por uma determinada seo de uma rota Sonet/SDH. Sua funo simplesmente regenerar o sinal recebido e copi-lo, j regenerado, na direo do prximo span. Um STE verifica se o sinal que chega do equipamento anterior est saudvel. Para tal, um cabealho especfico do frame Sonet/SDH utilizado, chamado RSOH regenerator section overhead. O STE avalia e utiliza apenas essa parcela do cabealho do frame. O STE capaz ainda de rescrever alguns bytes do cabealho caso um alarme seja gerado. Os multiplexadores add/drop so considerados elementos LTE (Line Terminating Equipment). Os LTEs tm mais inteligncia que os STEs, mas eles ainda no fazem o processamento final do payload do frame Sonet/SDH (embora sejam capazes de adicionar e remover payloads do feixe). O caminho entre dois LTEs chamado line span. Os LTEs avaliam apenas os bytes do cabealho Sonet/SDH referentes sua atuao. Essa parcela do cabealho Sonet/SDH,
Captulo 13 - Roteiro de Atividades 1
usada pelo LTE, chamada MSOH multiplex section overhead. A interface Sonet/SDH da plataforma Junos faz o papel de PTE. Basicamente os PTEs fazem o papel de terminais do caminho. Ou seja, o PTE o destino final do frame. ali que o payload ser interpretado e processado. O caminho entre dois PTEs dentro da rede SDH chamado path. Alm do payload, o PTE dedica ateno ao POH path overhead, a parte do cabealho dedicada a informaes sobre o caminho atravessado pelo frame. A figura seguinte (fonte: http://www.teleco.com.br/tutoriais/tutorialrsdh/pagina_2.asp) registra a estrutura do frame STM-1, o feixe de mais baixa hierarquia do padro SDH.
271
1 1 2 3 4 5 6 7 8 9
10
270
Cabealho
Informao til
O PTE tambm executa algumas funes do STE e do LTE. Antes de processar o payload, o PTE precisa garantir a sade do frame. Para tal, ele observa a mesma parte do cabealho que avaliada pelo STE para concluir se o frame est ntegro. O PTE tambm utiliza o line overhead para determinadas tarefas. O LTE tambm avalia o section overhead para garantir a sade dos frames que recebem. Toda a tarefa de troubleshooting executada sob a perspectiva do PTE (plataforma Junos). Embora existam situaes onde no possvel identificar a exata fonte do problema a partir do PTE, ser sempre possvel dizer se o problema local ou de rede. Os comandos bsicos usados para verificar problemas no path Sonet/SDH so os j conhecidos: 11 monitor interfaces <nome da interface> 11 show interfaces <nome da interface> extensive Exemplo: rompimento de fibra ptica:
Active alarms: LOL, PLL, LOS Active defects: LOL, PLL, LOF, LOS, SEF, AIS-L, AIS-P, PLM-P SONET PHY: PLL Lock PHY Light Seconds 51 51 Count 0 0 State PLL Lock Error Light Missing
Section
Introduo rede Ip
Section
Section
Section
Section
272
Quando ocorre uma interrupo de fibra ptica entre o roteador B e o multiplexador add/ drop B, vide figura, os seguintes alarmes sero gerados na rede: 11 LOL (Loss of Light): indica ausncia de luz na conexo fsica da porta de recepo do STE que recebe um frame. Esse alarme causa uma cascata de outros alarmes, tal como LOS, LOF e outros descritos abaixo. 11 LOS (Loss of Signal): indica ausncia de sinal na interface fsica de recepo do PTE. 11 LOF (Loss of Frame): indica a deteco de erros verificados nos bytes A1 e A2 do cabe alho dos frames recebidos pelo PTE. 11 AIS: o Junos envia um alarme AIS para a rede SDH para sinalizar uma condio de erro. Um AIS-L indica que ocorreu um LOF ou LOS em algum STE do caminho upstream. Um AIS-P indica que um LOS ou LOF detectado em um LTE do caminho upstream. Nesses casos necessrio interagir com o responsvel pela rede SDH para identificar o elemento que gerou os alarmes. 11 RDI: o Junos envia uma mensagem de remote defect indicator para sinalizar uma con dio de erro. No padro Sonet/SDH, um RDI-L enviado de um LTE para outro quando um deles detecta um AIS-L, LOS ou LOF. Um RDI-P enviado de um PTE para outro quando um deles detecta um AIS-P, AIS-L, LOS ou LOF. 11 REI: o Junos envia um remote error indicator para sinalizar uma condio de erro. Um REI-L enviado ao LTE quando um erro detectado no byte B2. Um REI-P enviado ao PTE remoto quando um erro detectado no byte B3.
RDI-P RDI-L
LOS
Platform A RA ADM A ADM B RB
AIS
Platform B
AIS-L
AIS-P
Section Line
Figura 13.9 Exemplo de sinalizao RDI.
Section
Section Line
Section
A presena dos alarmes citados requer interao com o responsvel pela rede Sonet/SDH. As razes pelas quais um simples cabo interrompido produz um alarme de LOL ou de LOS so explicveis pelos prprios nomes dos alarmes, podendo gerar alguma confuso o fato de outros contadores incrementarem (como o AIS) na linha e no path Sonet/SDH. Esses contadores so usados para ajudar a localizar os pontos de falha. Este curso no detalhar as especificidades de cada um dos contadores de erro da hierarquia Sonet/SDH. Para os casos prticos, sempre que o provedor da rede Sonet/SDH precisar ser acionado, til informar os contadores que esto incrementando na interface do Junos.
273
274
Introduo rede Ip
Bibliografia
11 COMER, Douglas E. Internetworking with TCP/IP Volume I: Principles, Protocols and Architecture. Fourth Edition, Prentice Hall, 2000. 11 Comit Gestor RNP. Red Ip: Poltica de Uso. Outubro de 2007. Disponvel em http://www.rnp.br/_arquivo/conexao/doc0108d.pdf 11 FAUSTINO, Jean Carlo. O servio nacional de VoIP da RNP. VIII International Information and Telecommunication Technologies Symposium. 11 Juniper Networks. J Series Services Routers Hardware Guide Release 9.6. Disponvel em http://www.juniper.ie/techpubs/hardware/junos-jseries/ junos-jseries96/ 11 Juniper Networks. Troubleshooting Junos Platforms 9.a - Student Guide. 11 Juniper Networks. Junos Routing Essentials 9.a - Student Guide. 11 Juniper Networks. Introduction to Junos Software 9.a - Student Guide. 11 Juniper Networks, J2300, J4300, and J6300 Services Router, Getting Started Guide, Release 8.5 11 STEVENS, W. Richard. TCP/IP Illustrated Volume 1: The Protocols. Addison Wesley, 1994. 11 ALBITZ, P.; LIU, C. DNS and Bind. OReilly & Associates, 1993. 11 LOPES, Raquel V.; SAUV, Jacques P.; NICOLLETTI, Pedro S. Melhores prticas para gerncia de redes de computadores. Campus, 1 ed., 2003. 11 STALLINGS, William. SNMP, SNMPv2, SNMPv3 e RMON 1 e 2 . Addison-Wesley, 3 ed., 1999. 11 FEIT, Sidnie. SNMP: A guide to Network Management . McGraw-Hill, 1 ed., 1995.
275
Bibliografia
276
Introduo rede Ip
Gustavo Batista graduou-se em Engenharia de Telecomunicaes pela Universidade Federal Fluminense em 2003. Trabalhou durante 3 anos em operadora de telefonia celular com sistemas de gerncia de rede telefnica, administrando sistemas Unix, Linux e Windows e executando projetos de integrao de sistemas de gerncia de diferentes fabricantes em uma plataforma nica. Trabalhou no Centro de Engenharia e Operaes da RNP (CEO) como analista de redes. Hoje atua na rea de operaes da rede multisservios de uma empresa nacional de porte, onde tambm participa de projetos nas reas de QoS em redes IP e desempenho de rede.
O curso descreve a RNP, a estrutura do seu backbone, seus Pontos de Presena (PoPs), os procedimentos de manuteno e o impacto da conexo RNP nas novas instituies usurias. So abordados aspectos tcnicos da infraestrutura fsica, de conexo e de TI, o uso de switches e roteadores, a infraestrutura de TI da organizao e a solicitao de blocos IP. Ainda sero descritos e problemas de interface do roteador Juniper da RNP, alm de conceitos bsicos de roteamento e utilizao
ISBN 978-85-63630-33-9
9 788563 630339