Introdução À Rede Ipê

Introduo
Rede Ip
Gustavo Batista
A RNP Rede Nacional de Ensino e Pesquisa qualificada como uma Organizao Social (OS), sendo ligada ao Ministrio da Cincia, Tecnologia e Inovao (MCTI) e responsvel pelo Programa Interministerial RNP, que conta com a participao dos ministrios da Educao (MEC), da Sade (MS) e da Cultura (MinC). Pioneira no acesso Internet no Brasil, a RNP planeja e mantm a rede Ip, a rede ptica nacional acadmica de alto desempenho. Com Pontos de Presena nas 27 unidades da federao, a rede tem mais de 800 instituies conectadas. So aproximadamente 3,5 milhes de usurios usufruindo de uma infraestrutura de redes avanadas para comunicao, computao e experimentao, que contribui para a integrao entre o sistema de Cincia e Tecnologia, Educao Superior, Sade e Cultura.
Ministrio da Cultura Ministrio da Sade Ministrio da Educao Ministrio da Cincia, Tecnologia e Inovao
Introduo
Rede Ip
Gustavo Batista
Introduo
Rede Ip
Gustavo Batista
Rio de Janeiro Escola Superior de Redes 2013
Copyright 2013 Rede Nacional de Ensino e Pesquisa RNP Rua Lauro Mller, 116 sala 1103 22290-906 Rio de Janeiro, RJ
Diretor Geral Nelson Simes Diretor de Servios e Solues Jos Luiz Ribeiro Filho
Escola Superior de Redes

Coordenao Luiz Coelho Edio Pedro Sangirardi Coordenao Acadmica de Redes Luiz Carlos Lobato Equipe ESR Celia Maciel, Cristiane Oliveira, Derlina Miranda, Edson Kowask, Elimria Barbosa, Evellyn Feitosa, Felipe Nascimento, Lourdes Soncin, Luciana Batista, Renato Duarte, Sergio Ricardo de Souza e Yve Abel Marcial Capa, projeto visual e diagramao Tecnodesign Verso 1.1.0 Este material didtico foi elaborado com fins educacionais. Solicitamos que qualquer erro encontrado ou dvida com relao ao material ou seu uso seja enviado para a equipe de elaborao de contedo da Escola Superior de Redes, no e-mail info@esr.rnp.br. A Rede Nacional de Ensino e Pesquisa e os autores no assumem qualquer responsabilidade por eventuais danos ou perdas, a pessoas ou bens, originados do uso deste material. As marcas registradas mencionadas neste material pertencem aos respectivos titulares. Distribuio
Rua Lauro Mller, 116 sala 1103 22290-906 Rio de Janeiro, RJ http://esr.rnp.br info@esr.rnp.br
Dados Internacionais de Catalogao na Publicao (CIP) B333i Batista, Gustavo Introduo rede Ip / Gustavo Batista, Sidney Lucena; Colaborao de Beatriz Zoss. Rio de Janeiro: RNP/ESR, 2013. 293 p. : il. ; 28 cm. Bibliografia: p. 275. ISBN 978-85-63630-33-9
1. Redes de computadores protocolos conexo. 2. Rede Ip. I. Lucena, Sidney. II. Zoss, Beatriz. III.Ttulo. CDD 004.62
Sumrio
A metodologia da ESRxi Sobre o curso xii A quem se destinaxii Organizao do livroxii Convenes utilizadas neste livroxiii Permisses de usoxiv Reconhecimentosxiv Sobre os autoresxiv Prefcioxvi
1. Operao da rede Ip
Impacto da conexo na organizao da instituio1 Servios IP fundamentais da RNP2 Servios de trfego da RNP2 Trnsito Nacional3 Trnsito Internacional3 Trnsito Acadmico de Colaborao3 Trnsito de Peering3 Outros servios da RNP4 Servios de comunicao e colaborao6 Conferncia Web 6 fone@RNP 6
iii
Videoconferncia 8 Telepresena 8 Servios de disponibilizao de contedos digitais 9 Videoaula@RNP 9 Vdeo sob Demanda 10 Transmisso de sinal de TV 11 Transmisso de Vdeo ao Vivo 11 Servios de Gesto de Identidade 12 Comunidade Acadmica Federada (CAFe)12 eduroam12 Infraestrutura de Chaves Pblicas para Ensino e Pesquisa (ICPEdu)13 Servio de Hospedagem Estratgica 13 Apoio a servios14 Consideraes de uso14 Condies de uso16 Como fazer quando o link cai16 Procedimento para checar conexo local16 Verificar condies bsicas de roteamento18 Procedimento para entrar em contato com o PoP visando abertura de chamado20 Acompanhamento dos chamados abertos20 Acompanhamento de problemas relacionados ao backbone21 Roteiro de Atividades 125 Atividade 1.1 Panorama do trfego25 Atividade 1.2 Falha de conectividade da organizao usuria25
2. Segurana na rede Ip
Centro de Atendimento a Incidentes de Segurana (CAIS)27 Como fazer quando ocorre um problema de segurana28 O que o atendimento a incidentes?28 O trabalho do CAIS29 Recomendaes Organizao Usuria30 A ajuda do CAIS30 Passos para a segurana de sua instituio30
3. Infraestrutura de rede
Conexo da organizao usuria ao PoP da RNP33 iv
Uso e especificao de switches e roteadores36 Especificao de racks37 Fontes redundantes38 Topologia da rede39 Identificao de cabos41 Infraestrutura para abrigar os equipamentos e mant-los42 Localizao e dimenses da sala42 Equipamentos de apoio42 Refrigerao43 Instalao eltrica43 Aterramento43 Espao para cabeamento e conexes43
4. Switches e roteadores
Switches L245 Switches L346 Comutao L249 Empilhamento50 Subdiviso da rede em VLANs de distribuio51 Roteadores52 Roteador de borda56 Troubleshooting bsico56 Estudo de caso59 Roteiro de Atividades 261 Atividade 2.1 Endereamento IP61 Atividade 2.2 Identificao de solues61 Atividade 2.3 Planejando VLANs62 Atividade 2.4 Distribuio das sub-redes63
5. Servios e gerenciamento da rede da instituio

Servios de rede67 DNS67 MX70 Web70 SFTP71 v
E-mail71 Repositrio de arquivos72 Firewall, DMZ e NAT73 Procedimento de solicitao de bloco IP75 Adequao do tamanho do bloco s necessidades da IFES75 DNS reverso 75 Procedimento para cadastro de reverso76 Gerenciamento da rede da instituio77 Ferramentas de monitoramento78
6. Instalao do roteador da RNP

Requisitos de instalao do roteador81 Requisitos fsicos81 Requisitos de ventilao82 Requisitos de ambiente82 Requisitos eltricos e planejamento de fora82 Manuseio de placas83 Descarga eletrosttica84 Aterramento84 Componentes bsicos do roteador J235085 Componentes bsicos do roteador J232086
7. Fundamentos de Junos
Software modular89 Separao entre planos de Controle e de Encaminhamento90 Routine Engine (RE)91 Packet Forwarding Engine92 Processamento de trfego92 Trfego de trnsito92 Trfego de exceo93
8. Opes de acesso ao Junos

A interface de usurio95 A CLI do Junos96 Modos de acesso96 Ajuda97
vi
Help Topic97 Help Reference98 Completando comandos99 Teclas de edio EMACS99 Usando o caractere pipe100 Roteiro de Atividades 3103 Atividade 3.1 Acessar o Juniper via console serial103 Atividade 3.2 Opes da interface de usurio106 Modo de operao107 Modo de configurao108 Configurao exclusiva110 Configurao privada110 Hierarquia do Modo de Configurao111 Movendo entre nveis no Modo de Configurao112 Alterando linhas da Configurao Candidata115 Ativando e desativando configuraes117 Verificando a Configurao Candidata118 Salvando a Configurao Candidata119 Checando alteraes antes de salvar122 Restaurando configuraes122 Salvando a configurao em arquivo ASCII123 Carregando arquivo de configurao124 Comando run124 Interface J-Web GUI125 Processo de login na J-Web126 Roteiro de Atividades 4131 Atividade 4.1 Opes de acesso ao Junos131
9. Configuraes do roteador
Configurao default de fbrica133 Configuraes iniciais135 Entrando no Modo de Configurao136 Definindo parmetros de acesso138 Definindo parmetros de gerncia138 Configurao de resgate139 Configurao de interface 140 Nomeando interfaces141 vii
Mltiplos endereos142 Propriedades fsicas de interfaces143 Propriedades lgicas de interfaces143 Verificando o estado das interfaces145 Roteiro de Atividades 5147 Atividade 5.1 Configurao bsica (parte 1)147 Atividade 5.2 Configurao bsica (parte 2)149 Configuraes de Usurio e Autenticao151 Ordem da autenticao151 Componentes da autenticao155 Logs do sistema158 Interpretando mensagens de log159 Investigando problemas com traceoptions160 Visualizando arquivos de log e trace162 Monitorando arquivos de log e trace162 Network Time Protocol (NTP)163 Monitorando o NTP164 Simple Network Management Protocol (SNMP)164 MIBs SNMP165 Configurando SNMP165 Monitorando a operao do SNMP167 Roteiro de Atividades 6169 Atividade 6.1 Configuraes posteriores169
10. Operao, manuteno e monitorao

Monitorando a plataforma e operando as interfaces179 Monitorando a operao geral do sistema179 Monitorando o chassi180 Verificando o estado das interfaces181 Estado das interfaces: informao extensiva182 Monitorando interfaces183 Utilitrios de rede184 Ping e Traceroute184 Monitor traffic185 Clientes de Telnet, SSH e FTP187 viii
Mantendo o Junos 188 Conveno de nomes de pacotes de Junos188 Recuperao de senha189 Instalao e upgrade do Junos190 Boas prticas de upgrade191 Roteiro de Atividades 7193 Atividade 7.1 Instalao do Junos (parte 1)193 Atividade 7.2 Instalao do Junos (parte 2)194 Atividade 7.3 Upgrade do Junos197
11. Fundamentos de roteamento

Conceitos de roteamento201 Componentes do roteamento202 Rotas diretamente conectadas203 Tabela de rotas203 Mltiplas tabelas de rotas204 Preferncia de rotas: selecionando a rota ativa204 Verificando a tabela de rotas207 Forwarding Table (FT)208 Determinando o Next Hop209 Instncias de roteamento210 Trabalhando com Instncias de Roteamento213 Roteamento esttico214 Roteiro de Atividades 8219 Atividade 8.1 Configurando rota esttica219
12. Filtros de firewall

Viso geral223 Diagrama de bloco de um filtro de firewall224 Condies Match225 Aes do filtro de firewall226 Definindo um filtro de firewall227 Filtrando trfego local229
ix
Implementando policing com filtros de firewall230 Estudo de caso: filtros de firewall234 Monitorando os resultados de um filtro237 Verificao de RPF Unicast238 Problemas com a verificao RPF239 Filtros de fail240 Roteiro de Atividades 9243 Atividade 9.1 Configurando filtro de firewall243 Atividade 9.2 Configurando polices de firewall244
13. Troubleshooting em interfaces

Desativando e desabilitando interfaces247 Exemplos de configurao de interfaces249 Troubleshooting genrico de interfaces250 Verificando erros na interface254 Monitorando interface255 Teste de loop256 Tipos de teste de loop257 Configurando testes de loop258 Protocolos L2 e testes de loop259 Ping e testes de loop260 Troubleshooting especfico de interfaces serial e ethernet262 Interfaces de LAN e conveno de nomes262 Interfaces E3263 Verificando o funcionamento fsico da porta263 Checando compatibilidade com equipamento remoto263 Verificando alarmes ativos em interfaces E3/T3264 Interfaces E1265 Alarmes e mdia E1266 Interfaces Sonet/SDH268 Monitorando interfaces Sonet/SDH268 Verificando o estado da interface Sonet/SDH269 Entendendo a rede Sonet/SDH270
Bibliografia 275

A Escola Superior de Redes (ESR) a unidade da Rede Nacional de Ensino e Pesquisa (RNP) responsvel pela disseminao do conhecimento em Tecnologias da Informao e Comunicao (TIC). A ESR nasce com a proposta de ser a formadora e disseminadora de competncias em TIC para o corpo tcnico-administrativo das universidades federais, escolas tcnicas e unidades federais de pesquisa. Sua misso fundamental realizar a capacitao tcnica do corpo funcional das organizaes usurias da RNP, para o exerccio de competncias aplicveis ao uso eficaz e eficiente das TIC. A ESR oferece dezenas de cursos distribudos nas reas temticas: Administrao e Projeto de Redes, Administrao de Sistemas, Segurana, Mdias de Suporte Colaborao Digital e Governana de TI. A ESR tambm participa de diversos projetos de interesse pblico, como a elaborao e execuo de planos de capacitao para formao de multiplicadores para projetos educacionais como: formao no uso da conferncia web para a Universidade Aberta do Brasil (UAB), formao do suporte tcnico de laboratrios do Proinfo e criao de um conjunto de cartilhas sobre redes sem fio para o programa Um Computador por Aluno (UCA).
A metodologia da ESR
A filosofia pedaggica e a metodologia que orientam os cursos da ESR so baseadas na aprendizagem como construo do conhecimento por meio da resoluo de problemas tpicos da realidade do profissional em formao. Os resultados obtidos nos cursos de natureza terico-prtica so otimizados, pois o instrutor, auxiliado pelo material didtico, atua no apenas como expositor de conceitos e informaes, mas principalmente como orientador do aluno na execuo de atividades contextualizadas nas situaes do cotidiano profissional. A aprendizagem entendida como a resposta do aluno ao desafio de situaes-problema semelhantes s encontradas na prtica profissional, que so superadas por meio de anlise, sntese, julgamento, pensamento crtico e construo de hipteses para a resoluo do pro blema, em abordagem orientada ao desenvolvimento de competncias. Dessa forma, o instrutor tem participao ativa e dialgica como orientador do aluno para as atividades em laboratrio. At mesmo a apresentao da teoria no incio da sesso de aprendizagem no considerada uma simples exposio de conceitos e informaes. O instrutor busca incentivar a participao dos alunos continuamente.
xi
As sesses de aprendizagem onde se do a apresentao dos contedos e a realizao das atividades prticas tm formato presencial e essencialmente prtico, utilizando tcnicas de estudo dirigido individual, trabalho em equipe e prticas orientadas para o contexto de atuao do futuro especialista que se pretende formar. As sesses de aprendizagem desenvolvem-se em trs etapas, com predominncia de tempo para as atividades prticas, conforme descrio a seguir: Primeira etapa: apresentao da teoria e esclarecimento de dvidas (de 60 a 90 minutos). O instrutor apresenta, de maneira sinttica, os conceitos tericos correspondentes ao tema da sesso de aprendizagem, com auxlio de slides em formato PowerPoint. O instrutor levanta questes sobre o contedo dos slides em vez de apenas apresent-los, convidando a turma reflexo e participao. Isso evita que as apresentaes sejam montonas e que o aluno se coloque em posio de passividade, o que reduziria a aprendizagem. Segunda etapa: atividades prticas de aprendizagem (de 120 a 150 minutos). Esta etapa a essncia dos cursos da ESR. A maioria das atividades dos cursos assncrona e realizada em duplas de alunos, que acompanham o ritmo do roteiro de atividades proposto no livro de apoio. Instrutor e monitor circulam entre as duplas para solucionar dvidas e oferecer explicaes complementares. Terceira etapa: discusso das atividades realizadas (30 minutos). O instrutor comenta cada atividade, apresentando uma das solues possveis para resolv-la, devendo ater-se quelas que geram maior dificuldade e polmica. Os alunos so convidados a comentar as solues encontradas e o instrutor retoma tpicos que tenham gerado dvidas, estimulando a participao dos alunos. O instrutor sempre estimula os alunos a encontrarem solues alternativas s sugeridas por ele e pelos colegas e, caso existam, a coment-las.
Sobre o curso
A ESR elaborou este material com o objetivo de auxiliar na capacitao dos tcnicos das novas instituies usurias em sua conexo ao backbone da RNP, uma vez que a configurao dos equipamentos e da infraestrutura necessria de responsabilidade da instituio usuria. O curso descreve a RNP, a estrutura do seu backbone, seus Pontos de Presena (PoPs), os procedimentos de manuteno e o impacto da conexo RNP nas novas instituies usurias. So abordados aspectos tcnicos da infraestrutura fsica, de conexo e de TI, o uso de switches e roteadores, a infraestrutura de TI da organizao e a solicitao de blocos IP. Ainda sero descritos em detalhes a configurao, manuseio, manuteno e pro blemas de interface do roteador Juniper da RNP, alm de conceitos bsicos de roteamento e utilizao de filtros de firewall.
A quem se destina
O curso destinado aos tcnicos de suporte e gerentes de infraestrutura de TI das organizaes usurias da rede RNP.
Organizao do livro
O livro est organizado em partes bem definidas para facilitar o acesso ao contedo que o leitor desejar. O Captulo 1 apresenta a operao da RNP, os procedimentos de manuteno e o impacto da conexo rede da RNP nas novas instituies usurias. So propostas tambm ativida des prticas para fixao do contedo. xii
O Captulo 2 descreve os procedimentos de segurana, as funes e as atividades exe cutadas pelo Centro de Atendimento a Incidentes de Segurana (CAIS) e como tratar um problema de segurana. Os Captulos 3, 4 e 5 descrevem a infraestrutura de rede recomendada para as instituies usurias, a estrutura necessria para instalar os equipamentos da RNP, os conhecimen tos tcnicos desejveis para a equipe de TI relativos a equipamentos, tais como switches e roteadores e suas funcionalidades. Descrevem tambm os servios de rede local desejveis, e recomendam procedimentos de gerenciamento da rede da instituio usuria. So propostas atividades prticas e estudos de caso para fixao dos conhecimentos tcnicos apresentados. Os Captulos de 6 a 13 tratam especificamente do roteador da RNP, sua instalao, caractersticas do sistema operacional Junos, configuraes bsicas e avanadas do roteador, procedimentos de operao e manuteno, configurao de rotas estticas e utilizao de filtros de firewall. Finalmente, so apresentados procedimentos bsicos de resoluo de problemas em interfaces do roteador. Esta ltima parte do livro vem acompanhada de atividades prticas realizadas em laboratrio com roteadores idnticos aos que as instituies usurias recebero da RNP, permitindo que os seus tcnicos possam tirar o maior proveito da interligao com a rede da RNP. Todas as atividades so acompanhadas das respectivas solues, para que os tcnicos possam, a qualquer momento, reproduzir essas atividades em seus locais de trabalho.
Convenes utilizadas neste livro

As seguintes convenes tipogrficas so usadas neste livro: Itlico Indica nomes de arquivos e referncias bibliogrficas relacionadas ao longo do texto.
Largura constante
Indica comandos e suas opes, variveis e atributos, contedo de arquivos e resultado da sada de comandos. Comandos que sero digitados pelo usurio so grifados em negrito e possuem o prefixo do ambiente em uso (no Linux normalmente # ou $, enquanto no Windows C:\).
Contedo de slide
Indica o contedo dos slides referentes ao curso apresentados em sala de aula.
Smbolo
Indica referncia complementar disponvel em site ou pgina na internet.
Smbolo
Indica um documento como referncia complementar.
Smbolo
Indica um vdeo como referncia complementar.
Smbolo
Indica um arquivo de adio como referncia complementar.
xiii
Smbolo
Indica um aviso ou precauo a ser considerada.
Smbolo
Indica questionamentos que estimulam a reflexo ou apresenta contedo de apoio ao entendimento do tema em questo.
Smbolo
Indica notas e informaes complementares como dicas, sugestes de leitura adicional ou mesmo uma observao.
Permisses de uso
Todos os direitos reservados RNP. Agradecemos sempre citar esta fonte quando incluir parte deste livro em outra obra. Exemplo de citao: Batista, Gustavo. Introduo rede Ip. Rio de Janeiro: Escola Superior de Redes, RNP, 2013.
Comentrios e perguntas
Para enviar comentrios e perguntas sobre esta publicao: Escola Superior de Redes RNP Endereo: Av. Lauro Mller 116 sala 1103 Botafogo Rio de Janeiro RJ 22290-906 E-mail: info@esr.rnp.br
Reconhecimentos
Esta publicao no teria sido possvel sem a colaborao da rea de Engenharia de Redes e Operaes da RNP. Agradecemos ao Centro de Atendimento a Incidentes de Segurana (CAIS) e a Gesto de Servios da RNP pela sua contribuio; a Juniper Networks por ter gentilmente cedido os manuais tcnicos que foram fundamentais para a elaborao deste contedo; a Sidney Lucena, ex-Coordenador Acadmico de Redes da ESR, que organizou a primeira verso desse curso; e, finalmente, nosso muito obrigado a Beatriz Zoss, a Bia, gerente de relacionamento da RNP que identificou a necessidade e props a elaborao deste curso.
Sobre os autores
Gustavo Batista graduou-se em Engenharia de Telecomunicaes pela Universidade Federal Fluminense em 2003. Trabalhou durante 3 anos em operadora de telefonia celular com sistemas de gerncia de rede telefnica, administrando sistemas Unix, Linux e Windows e executando projetos de integrao de sistemas de gerncia de diferentes fabricantes em uma plataforma nica. Trabalhou no Centro de Engenharia e Operaes da RNP (CEO) como analista de redes. Hoje atua na rea de operaes da rede multisservios de uma empresa nacional de porte, onde tambm participa de projetos nas reas de QoS em redes IP e desempenho de rede.
xiv
Luiz Carlos Lobato formado em Engenharia Eletrnica pelo ITA, com ps-graduao em Negcios e Servios de Telecomunicaes pelo CEFET-RJ. Possui certificao de redes CiscoCCNA. Gerente da Diviso de Suporte Tcnico da Telebrs at a privatizao das telecomunicaes, sendo responsvel pela operao e gerncia da rede de dados do Sistema Telebrs. Aps a privatizao atuou como Coordenador de Cursos de Tecnologia de Redes (Graduao Superior) em diversas faculdades. colaborador da Escola Superior de Redes desde 2008, tendo elaborado material de treinamento e lecionado diversos cursos na rea de Redes. Atualmente Coordenador Acadmico de Redes da ESR.
xv
Prefcio
Lembro com nitidez do dia em que, juntamente com Bia Zoss e Luiz Coelho, decidimos pela elaborao de um curso para o qual este livro se destina. Foi no ano de 2008, quando dois grandes desafios nos foram colocados: a conexo de centenas de novos campi de universidades e de institutos federais fruto da poltica de expanso do ensino do Governo Federal e a mudana do fornecedor dos equipamentos roteadores usados para a conexo com a Internet das nossas instituies clientes. Assim, alm de capacit-los a recepcionar o enlace de dados da sua instituio, detectamos que seria importante tambm fazer uma apre sentao da prpria RNP. Nessa ocasio, a despeito de todas as dificuldades e dos riscos envolvidos, optamos pela estratgia de ensinar a pescar. O desafio de criar um material para dar conta dessas duas questes e ser apresentado em um curso de 20 horas foi dado a Gustavo Batista, um ex-colaborador da RNP que, com sua sada, alm de causar um srio desfalque na equipe, deixou o seu gestor com um zumbido nos ouvidos que ele conserva at os dias atuais. E, conforme vocs vero, Gustavo no decepcionou: preparou um excelente material que deve ser usado no apenas na sala de aula, mas no dia a dia do seu trabalho. Uma isca de primeira qualidade para a sua pescaria.
Ari Frazo Jr. Gestor de engenharia e operaes da RNP
xvi
1
Operao da rede Ip
objetivos
Orientar a instituio sobre os procedimentos adequados para se conectar ao backbone da RNP e tratamento dos problemas de conexo.
conceitos
Impacto da conexo na organizao, servios fundamentais da RNP, consideraes de uso, procedimentos de abertura de chamado, acompanhamento de problemas.
Impacto da conexo na organizao da instituio

Sistema autnomo Provedor de rede formalizado como parte integrante da internet mundial. A formalizao se d atravs de um identificador chamado Autonomous System Number (ASN), nico em todo o planeta.
11 A organizao usuria dos servios da RNP passa a fazer parte do sistema autnomo da RNP. 11 A partir de ento, todos os pontos da internet mundial passaro a enxergar a instituio como um cliente da RNP. 11 Os endereos IP usados na rede da instituio sero cedidos pela RNP. 11 Todos os equipamentos da rede local que precisarem do servio da rede Ip devero, necessariamente, usar endereo IP da RNP. 22 proibido o uso dos servios da RNP sem o atendimento a esse requisito. 11 Caso a instituio deseje manter os servios de outro provedor alm da RNP, os equipamentos servidos pelo outro provedor no podero usar endereos IP da RNP. 11 Da mesma forma, os equipamentos endereados com IPs cedidos pela RNP no podero usar o servio de outro provedor sob nenhuma hiptese. 11 Assim, essas duas redes devero ser segmentadas; do contrrio, podem ocorrer srios problemas de roteamento.
cenrio proibido:
Captulo 1 - Operao da rede Ip
Embora o cenrio descrito seja permitido, no aconselhvel. A figura a seguir ilustra um
Provedor comercial
RNP
LAN organizao usuria
Hosts com IP da RNP

A figura a seguir ilustra um cenrio permitido caso se deseje manter a conexo de outro provedor depois de se tornar cliente da RNP. O cenrio ilustrado, embora permitido, no recomendado.
Figura 1.1 Hosts com IP RNP no podem usar servio de outro provedor, e viceversa.
Provedor comercial
RNP
Organizao usuria
Figura 1.2 Cenrio permitido em instituio com dois provedores.
Hosts com IP de terceiro
Hosts com IP da RNP
Servios IP fundamentais da RNP

Servios de trfego da RNP
11 As instituies primrias e secundrias podero cursar todo o seu trfego pela RNP.
Introduo rede Ip
11 Elas esto aptas a utilizar em sua totalidade os servios IP fundamentais da RNP, a saber: 22 Trnsito Nacional. 22 Trnsito Internacional. 22 Trnsito Acadmico de Colaborao. 22 Trnsito de Peering. A definio de cada um desses servios ilustrada a seguir.
Trnsito Nacional
definido como a facilidade de servio que permite ao cliente da RNP acessar pessoas, recursos e sistemas localizados em algum ponto do pas conectado rede Ip, direta ou indiretamente atravs de uma rede regional.
Cliente Internet Commodity Nacional
PoP
BACKBONE
Figura 1.3 Exemplo de Trnsito Nacional.
Trnsito Internacional
definido como a facilidade de servio que permite ao cliente da RNP acessar pessoas, recursos e sistemas localizados em algum ponto fora do pas atravs da internet global.
Cliente Internet Commodity Internacional

Figura 1.4 Exemplo de Trnsito Internacional.
PoP
BACKBONE
Trnsito Acadmico de Colaborao

definido como a facilidade de servio que permite ao cliente da RNP acessar pessoas, recursos e sistemas localizados em algum ponto nas redes acadmicas no Brasil e em outros pases.
Cliente Internet Acadmica Internacional

Figura 1.5 Exemplo de Trnsito Acadmico de Colaborao.
PoP
BACKBONE
Trnsito de Peering
definido como a facilidade de servio que permite ao cliente da RNP acessar pessoas, recursos e sistemas localizados em redes comerciais nacionais ou internacionais, redes corporativas e redes federais autnomas atravs de acordos de troca de trfego estabe lecidos entre a rede Ip e essas redes.
PTT
Cliente Empresa Privada
PoP
BACKBONE
Figura 1.6 Exemplo de Trnsito de Peering.
A figura seguinte resume os servios fundamentais aos quais o cliente da RNP tem acesso: Cliente B Cliente A RedeComep
Empresa Privada
PoP
PTT
Rede Acadmica Estadual
2
BACKBONE
Provedor Internet Commodity Nacional
Internet Acadmica Internacional
Provedor Internet Commodity Internacional

Figura 1.7 Servios fundamentais RNP.
Os nmeros das setas esto associados aos servios da seguinte maneira: 11 Trnsito Nacional: seta 1; 11 Trnsito Internacional: seta 2; 11 Trnsito Acadmico: setas 3; 11 Trnsito de Peering: seta 4.
Introduo rede Ip
Outros servios da RNP

11 Servios de comunicao e colaborao: 22 Conferncia web. 22 fone@RNP. 22 Videoconferncia. 22 Telepresena.
11 Servios de Disponibilizao de Contedos Digitais: 22 Videoaula@RNP. 22 Vdeo sob Demanda. 22 Transmisso de Sinal de TV. 22 Transmisso de Vdeo ao Vivo. 11 Servios de Gesto de Identidade: 22 Comunidade Acadmica Federada (CAFe). 22 eduroam. 22 Infraestrutura de Chaves Pblicas para Ensino e Pesquisa (ICPEdu). 11 Servios de Hospedagem Estratgica: 22 Internet Data Center (IDC). 11 Apoio aos servios: 22 Service Desk. Os servios disponibilizados pela RNP s suas organizaes usurias so resultados de pro -
cessos de inovao e prospeco, de acordo com as necessidades dos clientes, em atividades de anlise de cenrios e tendncias com parceiros como a academia, o setor empresarial e as principais redes acadmicas mundiais. Os principais benefcios dos servios da RNP so facilitar e promover a comunicao, a colaborao distncia e a disseminao de conhecimento. As informaes sobre os servios disponibilizados pela RNP para suas organizaes usurias e comunidades de clientes especiais e estratgicos encontram-se consolidadas no Catlogo de Servios, estando os servios classificados da seguinte forma: 11 Servios de Comunicao e Colaborao: 22 Conferncia web. 22 fone@RNP. 22 Videoconferncia. 22 Telepresena. 11 Servios de Disponibilizao de Contedos Digitais: 22 Videoaula@RNP. 22 Vdeo sob Demanda. 22 Transmisso de Sinal de TV. 22 Transmisso de Vdeo ao Vivo. 11 Servios de Gesto de Identidade:
22 Comunidade Acadmica Federada (CAFe). 22 eduroam. 22 Infraestrutura de Chaves Pblicas para Ensino e Pesquisa (ICPEdu). 11 Servios de Hospedagem Estratgica: 22 Internet Data Center (IDC).
Servios de comunicao e colaborao

A RNP oferece aos seus clientes os seguintes servios de comunicao e colaborao: 11 Conferncia web. 11 fone@RNP. 11 Videoconferncia. 11 Telepresena.
Conferncia Web
O objetivo principal do servio realizar reunies virtuais entre participantes remotos com a utilizao de recursos de udio, vdeo, texto, quadro de notas, chat e imagens, alm do compartilhamento da tela do computador ou de aplicativos especficos. Ele se destaca pela facilidade de uso e mobilidade, aliada a um investimento de baixo custo para as instituies clientes. Voltado para clientes que demandam uma soluo de menor custo para reunies virtuais, treinamentos e palestras distncia, o servio tambm se destaca pela facilidade de uso. Para utilizar toda a integrao e a interatividade disponibilizadas pela conferncia web, basta um computador, celular ou tablet conectado internet, um navegador (browser) e um conjunto de microfone e fone de ouvido, sem necessidade adicional de hardware ou software. Alm desses recursos, o servio possui a funcionalidade de gravar reunies, que podem ser disponibilizadas para visualizao ou baixadas para armazenamento.
Figura 1.8 Conferncia Web.
Introduo rede Ip
Mais informaes sobre o servio em: http://portal.rnp.br/web/servicos/conferencia-web
fone@RNP
Servio que permite a interconexo VoIP (Voz sobre IP) entre diferentes organizaes. Com isso, os clientes deste servio conseguem oferecer a seus usurios a possibilidade de rea lizar chamadas telefnicas gratuitas para outras instituies distantes geograficamente no Brasil ou no exterior, dentro ou fora da rede VoIP da RNP.
O benefcio das ligaes gratuitas para o usurio final se estende atravs da capilaridade do fone@RNP, com presena em todos os estados brasileiros, e das conexes VoIP com a rede pblica de telefonia de algumas instituies clientes, o que propicia ao usurio final ligar para um nmero telefnico comum a partir de um ramal VoIP. Destaque tambm para a interconexo da rede VoIP da RNP com outras redes VoIP dentro e fora do pas. Atualmente, o fone@RNP rene mais de cem instituies clientes distribudas pelo territrio nacional, com mais de 40 organizaes que completam ligaes para a rede pblica de telefonia. Conta tambm com acordos de troca de trfego com outras redes VoIP do governo brasileiro e de instituies de ensino e pesquisa da Argentina, Austrlia, Blgica, Crocia, Eslovnia, Espanha, Grcia, Holanda, Hungria, Itlia, Letnia, Litunia, Mxico, Portugal, Srvia e Sua. Os acordos com esses pases foram possibilitados pela integrao do servio iniciativa internacional do NreNum.net, da Terena (Associao de Redes de Educao e Pesquisa Transeuropeia). Alm das ligaes telefnicas gratuitas, as instituies clientes podem acessar um sistema centralizado de estatsticas, que propicia ao gestor da infraestrutura local dispor de dados sobre como o servio tem sido utilizado na sua instituio ou em outras que integram o fone@RNP. Mais informaes sobre o servio em: http://portal.rnp.br/web/servicos/fone-rnp
Sistema de estatsticas do fone@RNP

11 O sistema de estatsticas do fone@RNP (http://estatisticasfone.rnp.br/) visa proporcionar uma viso detalhada do uso e da economia que o servio traz para suas instituies clientes. 11 Dado o acesso aberto ao sistema, as organizaes podem obter informaes que subsidiem decises locais relacionadas disseminao do uso institucional, com base na demonstrao da economia obtida. 11 A adeso ao sistema feita como parte da homologao da instituio no servio.
Figura 1.9 Estatsticas do fone@RNP.
Videoconferncia
Fornecer salas virtuais para viabilizar a realizao de videoconferncias multiponto para as instituies clientes sem que estas precisem arcar com o nus de adquirir uma soluo local para isso. O servio tambm oferece recursos de gravao, streaming e integrao com sistemas de videoconferncia que utilizem ISDN, alm de alta definio (Hd) e novas funcionalidades que podem surgir em decorrncia de melhorias e investimentos contnuos na ampliao da infraestrutura da videoconferncia.
Figura 1.10 Videoconferncia.
Mais informaes sobre o servio em: http://portal.rnp.br/web/servicos/videoconferencia
Telepresena
Participantes em diferentes locais interagindo como se estivessem frente a frente na mesma mesa de reunio; essa experincia imersiva a proposta do servio de telepresena. Verdadeiro estado da arte na tecnologia de videoconferncia, o servio oferece recursos tecno lgicos de ponta em salas fsicas planejadas e ambientadas especificamente para ampliar a sensao de realismo na colaborao entre participantes remotos. Com udio e vdeo de alta qualidade, atualmente so oferecidas aos clientes do servio seis salas, distribudas por cinco estados do pas. Cada uma delas est equipada com cmeras de alta definio posicionadas para a melhor cobertura do espao assim que o sistema for iniciado, sem que os participantes precisem se preocupar com os ajustes dos equipamentos durante as reunies. A telepresena pode ser usada de forma integrada com outros servios da RNP, como a vide Introduo rede Ip
oconferncia e o fone@RNP, e tambm pode ser realizada por meio da conexo entre duas salas (ponto a ponto) ou mais ambientes (multiponto).
Figura 1.11 Telepresena.
Mais informaes sobre o servio em: http://portal.rnp.br/web/servicos/telepresenca1
Servios de disponibilizao de contedos digitais

11 Videoaula@RNP. 11 Vdeo sob Demanda. 11 Transmisso de Sinal de TV. 11 Transmisso de Vdeo ao Vivo.
A RNP oferece aos seus clientes os servios descritos a seguir, voltados para a disponibilizao de contedos digitais.
Videoaula@RNP
Servio integrado para elaborao, armazenamento e disponibilizao pela web de videoaulas produzidas pelas instituies clientes. Tais organizaes passam a ter, por meio desse servio, um meio para acesso e armazenamento de um amplo e interessante material didtico formado por mltiplas mdias (vdeo, udio, animaes, roteiro e arquivos de apoio), que pode ser utilizado como apoio ao ensino distncia ou presencial. O upload das videoaulas digitais feito em um sistema com redundncia e alta disponibilidade, resultando em um acesso rpido e fcil a partir de um simples navegador (browser).
Figura 1.12 Videoaula@RNP.
Mais informaes sobre o servio em: http://portal.rnp.br/web/servicos/videoaula-rnp
Vdeo sob Demanda

Vdeo Sob Demanda o ambiente para disponibilizao e armazenamento de contedo audiovisual, a partir de um portal web (video.rnp.br) que contm vdeos pblicos ou restritos, que podem ser postados por integrantes das organizaes clientes da RNP e assistidos potencialmente por qualquer usurio da internet. Mais do que um portal para upload e visualizao de vdeos com interface amigvel, e infra estrutura de servidores distribudos que otimiza o acesso e a distribuio do seu contedo pelo territrio nacional, este servio se diferencia dos outros portais de vdeo da internet pela procedncia do material disponvel. Afinal, o contedo oferecido pela comunidade brasileira de ensino e pesquisa e pelas demais organizaes vinculadas aos ministrios e instituies com os quais a RNP desenvolve parcerias. Beneficia-se tambm da rede de vdeo digital (RVD), uma rede de disponibilizao de contedos (CDN) estruturada a partir de equipamentos, denominados refletores, distribudos por 27 Pontos de Presena (PoPs) interligados pela rede Ip. Os refletores permitem que os vdeos solicitados fiquem temporariamente armazenados, agilizando o acesso regional ao contedo.
10
Introduo rede Ip
Figura 1.13 Vdeo sob demanda.
Mais informaes sobre o servio em: http://portal.rnp.br/web/servicos/video-sob-demanda
Transmisso de sinal de TV
Transmisso, pela internet, do sinal de emissoras de TV a partir de uma infraestrutura de servidores distribudos em todos os estados brasileiros. As principais vantagens so a economia de banda e a reduo do tempo de acesso, j que o cliente no precisa de equipa mentos de grande porte para suportar um elevado nmero de pedidos. Este servio disponibiliza, para a internet, o sinal de TV de emissoras que tm participao ou parceria com a RNP e uma programao relevante comunidade acadmica, como TV escola, TV Brasil e Canal Sade, dentre outras. Mais informaes sobre este servio esto disponveis em: http://portal.rnp.br/web/servicos/transmissao-de-sinal-de-tv
Transmisso de Vdeo ao Vivo

O objetivo do servio de transmisso de vdeo ao vivo prover uma infraestrutura de servidores distribudos ao longo de todo o territrio nacional, para propiciar uma distribuio on-line e otimizada de vdeos para as instituies clientes. Com isso, os clientes que desejam transmitir ao vivo um evento realizado em sua organizao no precisam ter um servidor robusto ou uma grande capacidade de banda para dar conta dos inmeros acessos simultneos de usurios e espectadores. A otimizao realizada atravs de uma conexo desse todo o territrio nacional conforme a demanda de acesso dos usurios. Mais informaes sobre o servio em: http://portal.rnp.br/web/servicos/transmissoes-de-video-ao-vivo
servidor local com a rede de vdeo digital (RVD), infraestrutura que distribui o vdeo para
11
Servios de Gesto de Identidade

A RNP oferece aos seus clientes os seguintes servios para a gesto de identidade: 11 Comunidade Acadmica Federada (CAFe). 11 eduroam. 11 Infraestrutura de Chaves Pblicas para Ensino e Pesquisa (ICPEdu).
Comunidade Acadmica Federada (CAFe)

A comunidade acadmica federada (CAFe) rene instituies de ensino e pesquisa brasileiras que podem atuar como provedores de identidade (responsveis pela autenticao das informaes dos usurios) e de servio (oferta de recursos e ferramentas). Com isso, a CAFe propicia que os usurios acessem diferentes servios da rede utilizando o login e a senha que possuem na instituio de origem. Alm disso, devido s exigncias do processo de adeso ao servio, as instituies clientes da CAFe passam a desfrutar tambm da vantagem de propiciar acesso facilitado aos servios locais atravs de um login nico (single sign on) para seus usurios. Alm de atender a um nmero crescente de instituies de ensino e pesquisa brasileiras, a CAFe faz parte de iniciativas internacionais, como a REFEDS (Research and Education Federations), gerenciada pela Terena, que articula as necessidades de federaes de identidade para edu cao e pesquisa em todo o mundo; e o servio edugain, da Gant, que rene em uma rede de confiana outras federaes anlogas CAFe espalhadas por todo o mundo, alm de um nmero significativo de servios oferecidos a essas federaes, que podem ser potencial mente compartilhados na CAFe. Mais informaes sobre o servio em: http://portal.rnp.br/web/servicos/cafe
Figura 1.14 CAFe.

Introduo rede Ip
eduroam
O eduroam (education roaming) um servio de acesso sem fio seguro, desenvolvido para a comunidade internacional de educao e pesquisa. A iniciativa permite que estudantes, pesquisadores e equipes das instituies participantes obtenham conectividade internet, atravs de conexo sem fio (Wi-Fi) dentro de seus campi e em qualquer localidade que oferea esta facilidade como provedora de servio.
12
Lanada no Brasil em 2012, a iniciativa internacional j rene instituies de aproximada mente 60 pases, unindo diversos usurios na troca de experincias e conhecimento de forma simples, rpida e segura a partir da internet. O eduroam oferece acesso seguro e sem fio internet para estudantes e pesquisadores nas universidades cadastradas, sem necessidade de mltiplos logins e senhas. Aps efetuar o registro na base do servio, seguido da configurao do computador do usurio para conexo com a rede, possvel acessar a web em qualquer provedor de servio do mundo. Mais detalhes sobre a adeso ao servio e sua utilizao em: http://portal.rnp.br/web/servicos/eduroam
Infraestrutura de Chaves Pblicas para Ensino e Pesquisa (ICPEdu)

A Infraestrutura de Chaves Pblicas para Ensino e Pesquisa (ICPedu) consiste na implantao de uma estrutura para criao de certificados digitais e chaves de segurana aplicados em autenticao, assinatura digital e sigilo dentro do ambiente das instituies federais de ensino superior (IFES), Unidades de Pesquisa (UPs) e demais instituies de ensino. Assim, as instituies clientes podem emitir gratuitamente os prprios certificados digitais, que funcionam como assinaturas eletrnicas para pessoas e servios. Consequentemente, passam a ter mais credibilidade em seus processos administrativos, alm de ganhar em efi cincia, economizando tempo e recursos financeiros e garantindo a identidade do portador de documentos eletrnicos especficos utilizados nesses processos. Mais detalhes sobre o servio em: http://portal.rnp.br/web/servicos/icpedu
Figura 1.15 ICPEdu.
Servio de Hospedagem Estratgica

Servio da RNP planejado para fornecer um alto nvel de infraestrutura e gerenciamento de ambiente de tecnologia da informao e comunicao, atendendo a demanda do cliente com garantia de alta disponibilidade, segurana e operao ininterrupta.
O IDC garante monitoramento de banda por usurio, relatrios via web em tempo real e contato permanente com a equipe especializada do centro de operaes. Alm disso, quin zenalmente, o Centro de Atendimento a Incidentes de Segurana (CAIS) envia uma anlise detalhada que indica eventuais correes de segurana necessrias. A RNP oferece toda a infraestrutura fsica, eltrica e lgica para abrigar as mquinas, abrindo uma porta de acesso rede ip. O IDC ocupa um espao com controle de acesso, vigilncia com cmeras, climatizao ininterrupta, redundncia e sistemas de segurana, deteco e combate a incndios. Encontra-se estrategicamente localizado em Braslia (DF), abrigando em suas instalaes o Ponto de Presena da RNP no Distrito Federal (PoP-DF), diretamente conectado ao backbone de educao e pesquisa multigigabit da rede Ip.
13
Mais detalhes sobre o Internet Data Center da RNP podem obtidos em: http://portal.rnp.br/web/servicos/internet-data-center
Apoio a servios
O Service Desk tem como objetivo principal o atendimento de primeiro nvel aos servios da RNP, ou seja, o atendimento aos clientes que desejam aderir, agendar, reclamar ou demandar o uso dos servios oferecidos pela RNP s suas instituies usurias. O Service Desk no tem a finalidade de substituir o suporte local das instituies clientes, que continua sendo fornecido pelas equipes de suporte local ou pelo responsvel tcnico do servio. A atuao do Service Desk comea, portanto, quando estes grupos locais ou pessoas autorizadas precisam demandar ou reclamar dos servios ofertados pela RNP. Assim, o escopo de ao do Service Desk est circunscrito ao suporte remoto dos clientes da RNP, ou seja, quelas instituies usurias qualificadas para fazer uso dos seus servios e que possuem uma estrutura de suporte local para seus usurios finais. Alm disso, o Service Desk realiza atividades proativas relacionadas ao monitoramento do uso dos servios, gerando estatsticas para fins gerenciais e de prestao de contas aos clientes. Mais detalhes sobre a atuao do Service Desk em: http://portal.rnp.br/web/servicos/service-desk
Consideraes de uso
A rede Ip um dos sistemas autnomos (ASs) que compem a internet, operando sob o nmero de sistema autnomo 1916. Trata-se de uma infraestrutura de rede formada por um conjunto de equipamentos e enlaces de dados sob a administrao de uma mesma entidade. Essa infraestrutura possui um Autonomous System Number (ASN) que a identifica e a formaliza como uma unidade que compe a Internet Global. 11 A infraestrutura da rede Ip permitir atender s aplicaes de ensino superior e pesquisa de forma eficiente. 11 Quando necessrio, sero usados mecanismos de segregao de trfego ou reserva de banda para priorizar as aplicaes de ensino superior e pesquisa diante das demais aplicaes em curso na rede. 11 As organizaes usurias j devidamente qualificadas pelo CG-RNP podem se conectar RNP apenas atravs de um PoP, direta ou indiretamente (via rede acad mica regional ou Redecomep). Instituies usurias classificadas como temporrias somente podero cursar na rede o trfego referente ao projeto executado em parceria com uma instituio primria ou secundria. Caso a instituio possua campi ou filiais remotos, a conexo rede Ip desses atores poder ocorrer de duas maneiras: 11 Conexo fsica e lgica das filiais rede Ip se d diretamente via PoP RNP.
Introduo rede Ip
11 Conexo fsica das filiais via PoP, mas a conexo lgica com a sede.
14
As duas categorias de conexo so exibidas nas figuras seguintes:
Figura 1.16 Conexo da filial diretamente com o PoP.
A figura anterior exibe a primeira forma de se conectar uma filial RNP. Nesse modelo a filial tratada como se fosse outro cliente. As setas exibem o trfego trocado entre a filial e a rede Ip.
Figura 1.17 Conexo lgica da filial com a sede.
A figura anterior exibe a segunda forma de se conectar uma filial RNP. As setas cinzas exibem o trfego saindo da filial para a rede Ip. As setas pretas mostram o trfego gerado na rede Ip com destino filial. 11 Nesse modelo, a filial conectada fisicamente ao PoP, mas uma conexo lgica construda de modo que todo o trfego da filial seja forado a passar pela sede.
11 Essa categoria de conexo adequada quando se deseja que a filial esteja submetida s mesmas polticas de roteamento e de segurana da sede, mas a filial no tem os equipamentos necessrios para a aplicao dessas polticas (firewalls, web sense etc.). Existem vrias tecnologias que podero ser usadas para implementar esse tipo de conexo lgica (Tnel GRE, tnel IPSec, roteamento esttico etc.). importante frisar que essa categoria de conexo aumenta a carga do enlace de dados da instituio-sede com a RNP.
15
Condies de uso
Na execuo de suas atividades de ensino e pesquisa, as organizaes usurias podem usar os servios fundamentais de trnsito nacional, internacional, acadmico e de peering, bem como os servios avanados, que sero descritos no decorrer do curso. O uso desses servios no ser permitido nas seguintes condies: 11 Transmisso de materiais considerados ilegais por caracterizarem: 22 Transgresso de direitos autorais. 22 Agresso criana e ao meio ambiente. 22 Atentado privacidade ou discriminao racial ou religiosa. 22 Disseminao de propaganda comercial, poltica ou religiosa. 22 Transmisso de material de propaganda no solicitado pelo destinatrio (spam). 22 Atividades estritamente comerciais. 22 Atividades que contribuam para o esgotamento excessivo dos recursos da rede, sejam computacionais, comunicacionais ou humanas. 22 Promoo de corrupo ou destruio de dados de usurios. 22 Atividades prejudiciais utilizao dos servios de rede por outros usurios. 22 Interligao ou abrigo em seu espao de endereamento de uma terceira instituio, no qualificada para usar servios da RNP.
Figura 1.18 Interligao proibida de instituio no qualificada.
Como fazer quando o link cai

Procedimento para checar conexo local
Introduo rede Ip
Ao perceber perda de servio e/ou reclamaes de usurios, o primeiro passo verificar a conexo com a RNP. Este tpico exibe algumas aes sugeridas para checar a conexo local antes de acionamento do PoP da RNP. A execuo das aes que sero sugeridas facilitar as aes do PoP, caso este seja acionado. Alm das sugestes descritas importante que o contato tcnico da instituio verifique junto ao seu PoP as aes que aquele ator recomenda. Cada PoP dispe de diferentes recursos para prover essa verificao.
16
Figura 1.19 Interligao tpica entre organizao usuria e Pop.
A figura anterior mostra uma conexo tpica entre a organizao usuria e o PoP. Podemos chamar as interfaces de onde saem as setas de: 11 Uplink da organizao usuria (seta na parte inferior da figura);
Telnet Protocolo da camada de aplicao que permite a um usurio iniciar uma sesso remota em um equipamento de rede ou qualquer mquina que possua um servidor do servio Telnet. Atravs da sesso possvel enviar comandos ao equipamento. Porta console Interface de equipamento de rede atravs da qual possvel conectar um PC ou notebook e, utilizando aplicao adequada, iniciar uma sesso local no equipamento. Atravs da sesso possvel enviar comandos ao equipamento.
11 Downlink da organizao usuria (seta na parte superior da figura). Em geral essas duas interfaces fazem parte de uma sub-rede IP com dois endereos (rede /30). Um dos endereos associado ao downlink e o outro associado ao uplink. 11 O primeiro procedimento a ser executado para verificao da sade da conexo local a verificao do estado do roteador Juniper da instituio e da interface de uplink. 11 Para tal deve-se proceder com as seguintes verificaes: 22 Verificar se o roteador est ligado e operacional. 22 Se o roteador estiver desligado e no for possvel reativ-lo atravs do boto Power, deve-se abrir um chamado no PoP. 22 Verificar as condies gerais de hardware, software e interfaces de produo (uplink e de LAN).
q q
Estando o equipamento ligado, pode estar ocorrendo uma falha no sistema operacional, em componente de software ou hardware, a qual promove a perda do servio de roteamento. 11 Nesse caso, pode-se conectar ao roteador (atravs de telnet para o IP da interface LAN ou de porta console) e verificar as mensagens de erro com o comando show log messages. 11 H algum erro explcito de hardware e/ou software? Deve-se abrir um chamado no PoP detalhando o ocorrido. 11 Deve-se verificar as condies operacionais das interfaces de uplink e de LAN do roteador. 22 Isso pode ser feito no equipamento Juniper com o comando show interfaces terse.
17
user@Merlot> show interfaces terse Interface fe-0/0/0 fe-0/0/0.100 fe-0/0/0.200 fe-0/0/1 fe-0/0/1.0 fe-0/0/2 fe-0/0/3 Admin Link Proto Local up up up up up up up up up up up up down down inet 10.0.31.1/24 ccc ccc
11 As interfaces de produo devem estar no estado up up. 11 Se a interface de uplink no estiver no estado up up, deve-se abrir um chamado no PoP, detalhando o fato. 11 Nesse caso, pode-se passar tambm alguma mensagem de erro explcita que tenha sido percebida ao se executar o show log messages. 11 Se a interface de uplink est no estado up up mas a interface de LAN no est, deve-se verificar o estado do equipamento de distribuio de rede que se conecta a essa interface. 11 Nesse caso no h ao do PoP. A atividade corretiva de responsabilidade da instituio usuria.
Verificar condies bsicas de roteamento

Se a anlise mostrar todas as interfaces de produo no estado correto e nenhuma falha em componentes de hardware e software do roteador, deve-se analisar as condies bsicas de roteamento. Normalmente, a interface de uplink da instituio se conecta ao PoP atravs de uma rede IP de dois endereos (rede /30), onde um endereo do PoP e o outro da interface de uplink. 11 Um teste bsico de roteamento consiste em executar o comando ping alterando o IP de origem para o endereo de LAN do roteador. 11 Com esse procedimento possvel testar se o roteador do PoP ainda sabe rotear pacotes para a rede da organizao usuria. As figuras a seguir exibem a diferena de um ping simples para o ping com IP de origem alterado. Comando ping simples:
Introduo rede Ip
11 No Juniper, faz-se simplesmente ping <IP Destino>.
18
Figura 1.20 Ping simples no Juniper: comando ping 10.1.1.1.
Comando ping endereado pela LAN: 11 No Juniper, faz-se ping <IP Destino> from <IP LAN>.
Figura 1.21 Ping com origem na LAN no Juniper: comando ping 10.1.1.1 from 192.168.1.1.
19
Se o equipamento do PoP responder corretamente, fica caracterizado o bom funcionamento do roteamento entre PoP e organizao usuria. Nesse caso, pode existir um problema no backbone da RNP. Deve-se, ento, abrir um chamado no PoP, repassando o resultado do teste de ping executado.
Procedimento para entrar em contato com o PoP visando abertura de chamado

Todos os testes do tpico anterior foram citados para agilizar o trabalho de suporte da equipe tcnica do PoP. No entanto, no foi explicitado como fazer o acionamento ao PoP. 11 Um chamado no PoP pode ser aberto de trs maneiras: 22 Via e-mail. 22 Via trouble-ticket (boa parte dos PoPs j suportam essa modalidade de acionamento). 22 Via telefone. 11 Em casos graves (indisponibilidade total de servio ou grande problema repentino de performance) recomendado que o acionamento se d por telefone, para o nmero de suporte disponibilizado pelo PoP. 22 Nesses casos, deve-se informar ao profissional do PoP todos os testes j execu tados. 22 esperado que o profissional do PoP registre o problema e inicie a sua investigao. 11 Em casos menos graves pode-se abrir o chamado por e-mail. 22 Alguns PoPs disponibilizam o sistema de trouble-ticket, atravs do qual se envia um e-mail para um endereo eletrnico definido pelo PoP e, em seguida, se recebe o nmero do chamado aberto por e-mail automaticamente. Outros PoPs ainda no disponibilizam esse sistema. Nesse caso, envia-se o e-mail reportando a falha e os testes executados para o endereo eletrnico disponibilizado pelo PoP. O registro do chamado executado manualmente pelo PoP a posteriori. importante que esse acionamento seja executado pelo contato tcnico da instituio, ou pelo profissional a quem essa tarefa especfica foi delegada. Caso a tarefa tenha sido dele gada, importante que a pessoa que far o acionamento tambm conhea a infraestrutura de rede da instituio. Caso seja necessrio acionar uma operadora de telecomunicaes, essa ao ser feita pelo PoP da RNP.
Acompanhamento dos chamados abertos

11 O acompanhamento dos chamados se d atravs do contato com a equipe tcnica do PoP, via nmero de telefone disponibilizado pelo PoP (em casos graves) ou via e-mail. 11 Em casos de acionamento de operadoras, o PoP contatar os representantes daquele rgo periodicamente e manter a instituio informada de toda e qualquer novidade.
Introduo rede Ip
11 recomendvel que a prpria instituio entre em contato com o PoP para cobrar uma posio da operadora sempre que for necessrio obter informaes mais detalhadas sobre o caso.
20
Acompanhamento de problemas relacionados ao backbone

11 Se a conexo local est funcionando, mas ocorre falha no uso do servio, provvel que a falha esteja fora da alada do PoP da RNP. 11 Nesses casos, o PoP entra em contato com a equipe de operaes da GO/RNP e mantm contato permanente at a soluo do caso. 11 A GO/RNP a entidade responsvel pela manuteno da rede Ip. A instituio usuria pode, sempre que precisar, solicitar ao PoP as ltimas informaes sobre o diagnstico e a soluo do problema. 11 A GO disponibiliza na web page da RNP o Panorama do Trfego. 11 Esta ferramenta informa, entre outras coisas, a sade dos enlaces do backbone da RNP. 11 Este recurso est disponvel, on-line, a qualquer hora. 11 O Panorama do Trfego: 22 Mostra o nvel de utilizao de todos os enlaces de dados que compem o backbone. 22 atualizado a cada cinco minutos. 11 Os enlaces possuem as seguintes situaes: 22 ADEQUADO (nvel de utilizao adequado). 22 ACIMA (nvel de utilizao acima do adequado, mas ainda no saturado). 22 SATURADO (enlace de dados com excesso de uso. J atingiu a saturao). 22 INDISPONVEL (enlace de dados indisponvel no momento). A figura seguinte mostra uma foto da ferramenta:
Figura 1.22 Panorama do Trfego da rede Ip.
No momento em que a ferramenta foi acessada, quando se extraiu a imagem acima, o enlace de dados que liga os PoPs do Cear (CE) e Maranho (MA) estava indisponvel.
21
Pelo desenho da rede possvel verificar que essa falha no acarreta perda de servio, pois o enlace defeituoso parte de um anel que ainda conta com outros enlaces. Os clientes da RNP do Maranho ainda conseguem acessar o PoP do Cear fazendo o caminho:
MA->PA->PI->PE->PB(CGE)->PB(JPA)->RN->CE
No entanto, essa falha pode justificar um aumento na latncia de determinadas aplicaes. Por exemplo, uma instituio cliente do PoP do Par (PA) que possui uma aplicao que consulta uma base de dados em uma instituio parceira que est conectada ao PoP-CE normalmente percorre o caminho:
Latncia Tempo passado desde a sada de um pacote de dados de sua origem at a chegada em seu destino.
PA->MA->CE
Com a falha do link da figura, o caminho ser:
PA->PI->PE->PB(CGE)->PB(JPA)->RN->CE
Apesar de a largura de banda em todos esses enlaces ser alta, as aplicaes vo perceber um inevitvel aumento de latncia. Se esse for um parmetro crtico para o funcionamento de uma aplicao, impactos podem ser percebidos. Outra informao til do Panorama do Trfego que pode ajudar no entendimento de problemas o nvel de uso dos enlaces de dados. Por exemplo: na Figura 1.23 percebe-se que o enlace de dados que atende ao PoP-AP est amarelo. Ao posicionar o cursor no link daquele PoP verifica-se o volume do trfego no enlace, vide a figura seguinte:
Introduo rede Ip
A Figura 1.23 mostra que, em alguns horrios, o trfego entrante no Amap chega a 51,14 Mbps, que corresponde a 75,20% da capacidade total desse enlace. Embora esse fato justi fique bem alguma percepo de lentido por parte de uma instituio atendida pelo PoP-AP, ele pode indicar ateno, pois um maior uso do canal poder rapidamente deteriorar a qualidade da comunicao de todos os clientes desse PoP.
Figura 1.23 Panorama do trfego: trfego de enlace de dados.
22
O Panorama do Trfego constitui, portanto, uma ferramenta til de acompanhamento no s de problemas do backbone, como da evoluo natural do trfego de um PoP de interesse. A consulta a essa ferramenta complementa as informaes sobre falhas de backbone que podem ser obtidas diretamente com o PoP.
23
24
Introduo rede Ip
Roteiro de Atividades 1
Atividade 1.1 Panorama do trfego
Uma organizao usuria comeou a perceber certa lentido no acesso a um determinado site da internet. Proativamente, o administrador da rede resolveu acessar a ferramenta Panorama do Trfego, disponvel em http://www.rnp.br/ceo/trafego/panorama.php. Ao faz-lo, o administrador concluiu que o problema, no momento, provavelmente afeta tambm outros clientes. Resolveu ento ligar para o PoP da RNP para verificar se algo pode ser feito. A figura seguinte retrata o panorama que foi visto pelo administrador de rede no momento de seu acesso. Considerada a figura, onde deve estar localizado o site com o qual o cliente quer se comunicar?
Figura 1.24 Panorama da Atividade 1.1.
Atividade 1.2 Falha de conectividade da organizao usuria

que a conexo com a internet estaria indisponvel. A partir desse evento, a RNP recomenda uma metodologia de troubleshooting preliminar, a fim de facilitar a atuao do PoP/RNP, quando solicitado. Cite a ordem recomendada para as aes abaixo e, quando houver necessidade de executar algum comando, cite os comandos que devem ser usados.
Captulo 1 - Roteiro de atividade 1
O administrador de rede da organizao usuria recebeu vrias reclamaes dando conta
25
Aes: ( ) Executar um ping para o roteador do PoP utilizando IP origem da LAN, para testar se h falha de roteamento na comunicao PoP-Organizao. Ordem: Comandos: ( ) Verificar se o roteador da organizao est ligado e operacional. Ordem: Comandos: ( ) Verificar as condies gerais de hardware, software e interfaces de produo no roteador da organizao com os comandos show log messages e show interfaces terse. Ordem: Comandos:
26
Introduo rede Ip
2
Segurana na rede Ip
objetivos
Orientar a instituio sobre os procedimentos adequados para tratar os incidentes de segurana e como se relacionar com o CAIS.
conceitos
CAIS, servios do CAIS, segurana.
Centro de Atendimento a Incidentes de Segurana (CAIS)

11 Compreende uma equipe tcnica fortemente qualificada na rea de segurana de redes. 11 Nacional e internacionalmente reconhecido por sua atuao na deteco, resoluo e preveno de incidentes de segurana. 11 Elabora, promove e dissemina prticas de segurana em redes. 11 Participa largamente de organismos internacionais na rea de segurana. 11 Interage com equipes de resposta a incidentes de segurana de diversos pases. 22 Essas equipes so conhecidas pela sigla CSIRT (Computer Security Incident Response Team). 22 No Brasil, vrias instituies acadmicas j contam com seu prprio CSIRT. 11 Na rea internacional, o CAIS ainda coordena o grupo de trabalho de segurana da rede acadmica CLARA. 11 No Brasil, presta diversos servios comunidade acadmica. 11 Organiza o Dia Internacional de Segurana em Informtica (DISI).
O Centro de Atendimento a Incidentes de Segurana da RNP foi criado em 1997. Hoje o CAIS compreende uma equipe tcnica com notvel reputao na rea de segurana de redes,
Captulo 2 - Segurana na rede Ip
equipe que se reporta Diretoria de Servios e Solues (DSS) da RNP. O CAIS internacionalmente reconhecido por sua atuao na deteco, resoluo e pre veno de incidentes de segurana na rede acadmica brasileira e por sua forte presena na Amrica Latina, promovendo a cultura de segurana. O CAIS elabora, promove e dissemina prticas de segurana em redes. Entre os rgos internacionais que contam com a participao do CAIS esto o Forum of Incident Response and Security Teams (FIRST www.first.org ) e o Anti-Phishing Working Group (APGW www.antiphishing.org ).
27
O contato com diversas instituies internacionais permite ao CAIS interagir com equipes de resposta a incidentes de segurana de diversos pases e setores. Essas equipes so conhecidas como Computer Security Incident Response Team (CSIRT). No Brasil, o CAIS presta servios comunidade acadmica e organiza anualmente o Dia Internacional de Segurana em Informtica (DISI), evento voltado para a conscientizao do usurio final no uso da internet e outros ambientes. Os servios tpicos prestados pelo CAIS se materializam em: 11 Tratamento de incidentes. 11 Disseminao da cultura de segurana. 11 Infraestrutura de segurana. 11 Gesto de segurana da informao. 11 O CAIS trata incidentes de segurana que envolvam o backbone da RNP, trocando informaes com os PoPs, CSIRTs no Brasil e provedores de servio. 11 Incidentes podem ser comunicados ao CAIS atravs do e-mail: cais@cais.rnp.br.
Como fazer quando ocorre um problema de segurana

A RNP atua na resoluo, deteco e preveno de incidentes de segurana. Normalmente um incidente de segurana objetiva: 11 Destruio, corrupo ou roubo de dados. 11 Reduo de performance ou indisponibilidade da rede de uma instituio. 11 Ao se deparar com um ataque que produza impactos imediatos, como indisponibilidade ou lentido de servio, a instituio dever contatar imediatamente o PoP, descrevendo os sintomas experimentados. 11 Os PoPs e a gerncia de operaes da RNP possuem ferramental adequado para caracterizar o tipo de ataque ocorrido. 11 A partir do ataque reportado, a gerncia de operaes da RNP e o PoP atuaro juntos na sua investigao. 11 O PoP manter contato com a instituio. Uma vez sanado ou atenuado o ataque, o evento ser reportado ao CAIS, que investigar suas caractersticas e poder gerar aes recomendadas para evitar um novo ataque. 11 Caso o ataque identificado no gere impacto imediato (ou j tenha sido sanado), a instituio dever report-lo diretamente ao CAIS, atravs do servio de atendimento a incidentes de segurana. Para contatos de emergncia com a equipe do CAIS/RNP: 11 Telefone: (61) 3243-4400 a ligao pode ser feita inclusive fora do horrio comercial. Contatos no emergenciais podem ser feitos via e-mail: cais@cais.rnp.br, ou atravs de um for Introduo rede Ip
mulrio especfico disponvel no portal do CAIS em: http://www.rnp.br/cais/atendimento.html
O que o atendimento a incidentes?

11 um servio oferecido pelo CAIS s instituies usurias, que auxilia na identificao, notificao e soluo de problemas em sistemas computacionais que atinjam as instituies, ou mesmo a RNP.
28
11 Qualquer incidente de segurana pode ser reportado ao CAIS. 11 Por incidente de segurana entenda-se qualquer evento que promova a quebra da poltica de uso da RNP. 11 A poltica estabelece que as organizaes usurias da RNP, para a promoo de suas atividades de ensino e pesquisa, podem: 22 Utilizar os servios de rede disponveis, suas facilidades de trnsito nacional e internacional. 22 Usufruir de acordos de interconexo existentes entre a RNP e outras redes. Exceto quando esse uso se reflete em: 1. Produo ou transmisso de dados ou materiais considerados ilegais, entre outros, por caracterizarem: transgresso dos direitos do autor, de proteo criana e ao meio ambiente, atentado privacidade ou promoo discriminao racial ou religiosa. 2. Veiculao de propaganda comercial, poltica ou religiosa. 3. Transmisso de mensagens ou material de propaganda no solicitado pelo destinatrio. 4. Uso em atividades estritamente comerciais. 5. Atividades que contribuam para a ineficincia ou esgotamento dos recursos na rede, sejam eles computacionais, comunicacionais ou humanos. 6. Atividades que promovam a corrupo ou destruio de dados de usurios. 7. Atividades que interrompam ou prejudiquem a utilizao dos servios de rede por outros usurios. 8. Interligao ou abrigo em seu espao de endereamento de uma terceira instituio sem qualificao obtida atravs desta Poltica de Uso. Um evento que fere os itens 3 ou 7 no configura um incidente de segurana. Um evento que fere quaisquer dos outros itens da poltica dado como um incidente de segurana. 11 Caso ocorram incidentes de segurana dentro da instituio, ela deve se preocupar em corrigir o problema, sob pena de deixar de usufruir dos servios de rede disponveis. 11 Algumas consequncias indiretas tambm podem ocorrer, como: 22 Bloqueio, por parte de terceiros, da entrega de e-mails enviados a partir da instituio. 22 Enquadramento em leis internacionais de proteo propriedade intelectual. 22 Comprometimento da imagem da instituio ou mesmo da RNP.
11 Os incidentes de segurana mais comuns tratados pelo CAIS so: 22 Envio de mensagens de e-mail no solicitadas (spam). 22 Ataques a sistemas (procura por vulnerabilidades e invaso). 22 Golpes de fraudes bancrias, cartes de crdito (phishing). 22 Troca de pginas web. 22 Download de material protegido por copyright (P2P e outros). 22 Disseminao de malware.
O trabalho do CAIS
29
11 Os incidentes de segurana mais srios (e menos frequentes) tratados pelo CAIS so: 22 Pedofilia. 22 Difamao. 22 Solicitaes judiciais.
Recomendaes Organizao Usuria

11 A organizao usuria tambm tem seu papel no tratamento dos incidentes de segurana. 11 recomendado que a instituio mantenha uma equipe ou profissional responsvel pela segurana de suas redes e sistemas. 11 Caber a essa entidade investigar as ocorrncias registradas em sua instituio e corrigir os problemas de segurana em sua alada. 11 recomendado que essa entidade notifique o CAIS em relao aos ataques rece bidos, bem como os responsveis pelas redes atacantes, solicitando providncias (nesse caso, sempre copiando o CAIS nas mensagens). 11 A equipe/profissional responsvel pela segurana das redes da instituio dever tambm adotar prticas de preveno: 22 Executar a gerncia de redes e sistemas. 22 Manter os sistemas atualizados, originais e protegidos por antivrus. 22 Permitir somente o envio de e-mails atravs de servidores especficos. 22 Identificar e bloquear abusos na rede (P2P). 22 Definir uma topologia de rede que facilite a gerncia e controle, utilizando DMZ e firewall. 22 Ter cuidados especiais com senhas de servidores. 22 Acompanhar listas de segurana e vulnerabilidades em produtos instalados (roteadores, servidores web, apache, php, mysql).
A ajuda do CAIS
Na prtica, o CAIS oferece os seguintes servios: 11 Notificao s instituies clientes sobre quaisquer incidentes de segurana que cheguem ao conhecimento da comunidade acadmica nacional de segurana. 11 Auxlio na resoluo dos incidentes, seja esclarecendo dvidas, orientando sobre boas prticas ou fazendo interface com outros grupos de segurana. 11 Manuteno e disponibilizao de dados estatsticos sobre o atendimento a incidentes na RNP. 11 Acesso direto equipe do CAIS atravs de ferramenta de dilogo IRC, facilitando a comunicao para resoluo de incidentes.
Introduo rede Ip
Passos para a segurana de sua instituio

11 Estabelea um ponto de contato nico como contato de segurana: abuse@, seguranca@ ou security@. 11 Informe esse contato RNP e ao CAIS. 11 Repasse as mensagens recebidas nestes e-mails aos responsveis pelas questes de segurana.
30
11 Mantenha a data e hora de seus sistemas ajustados por NTP, para garantir a preciso do horrio nos logs de eventuais ataques. 11 Caso a instituio tenha sofrido algum incidente de segurana: 22 Colete todos os dados relacionados ao incidente. 22 Certifique-se de incluir data, hora e fuso horrio. 22 Notifique o atacante, com cpia ao CAIS. 22 Caso a instituio tenha sido origem de um incidente de segurana: 33 Trate o caso com responsabilidade. 33 Busque identificar o problema, resolv-lo, e responder ao solicitante, copiando o CAIS na resposta.
31
32
Introduo rede Ip
3
Infraestrutura de rede
objetivos
Orientar a instituio sobre os tipos de conexo rede da RNP, a infraestrutura de rede, equipamentos, cabeamento e infraestrutura fsica.
conceitos
Conexo da organizao usuria ao PoP da RNP, uso e especificao de switches e roteadores, topologia da rede, infraestrutura de cabeamento e infraestrutura fsica.
Conexo da organizao usuria ao PoP da RNP

11 Tipicamente a organizao usuria se ligar ao PoP RNP atravs de um enlace de dados provido por uma operadora de telecomunicaes. 11 Esse ator alugar um meio fsico para prover o contato da instituio com a rede Ip. 11 Esse meio ser implementado por uma dentre diversas tecnologias. 22 O que ocorre usualmente que o meio fsico uma fibra ptica, um cabo de cobre ou um radioenlace (sem fio). 11 Em alguns casos, dependendo da geografia da instituio a ser conectada, esse enlace de dados poder ser implantado via um link de satlite. As figuras abaixo exibem cada um dos casos:
Figura 3.1 Ligao de instituio via fibra ptica.
Organizao usuria
PoP RNP
A Figura 3.1 mostra uma conexo de fibra ptica entre uma organizao usuria e o PoP da RNP. O enlace exibido reporta a conexo lgica. Fisicamente no existe um cabo ptico conectando os dois pontos. A operadora constri esse circuito dentro da sua infraestru tura. Ou seja, em termos prticos, o link implementado passando por uma ou mais esta es da operadora em questo.
Captulo 3 - Infraestrutura de rede
RNP
33
RNP
Organizao usuria
PoP RNP
Figura 3.2 Ligao de instituio via rdio.
A Figura 3.2 exibe uma instituio que foi conectada rede Ip via rdio. Essa uma opo utilizada principalmente em locais onde no existe infraestrutura de cabeamento pronta para uso. Dependendo da situao, a conexo rdio pode ser implementada exatamente como na Figura 3.2, com uma antena no PoP da RNP e outra no cliente. Porm, o que ocorre cotidianamente que o link rdio liga a organizao usuria a um ponto de presena da operadora, e esse ponto conectado ao PoP RNP via rede cabeada. Ou seja, de fato tem-se um enlace que parte sem fio e parte cabeado.
PoP Operadora
RNP
Figura 3.3 Ligao de instituio via satlite.
Introduo rede Ip
Organizao usuria
PoP RNP
A Figura 3.3 exibe uma instituio conectada rede Ip via satlite. Essa opo usada em casos onde a organizao usuria encontra-se em um lugar remoto onde no se pode usar cabos ou um rdio diretivo por falta de visibilidade entre a instituio e o ponto de presena da operadora mais prximo. Um exemplo tpico so as instituies localizadas em reas de selva nos estados amaznicos.
34
11 Nos casos exibidos o enlace de dados contratado pela RNP junto a uma operadora de telecomunicaes. 11 O contrato firmado entre essas duas partes estabelece parmetros de qualidade que devero ser atendidos, como: 22 Largura de banda disponvel, tempo de resposta, taxa de erro de bit (BER) etc. 11 Cabe RNP executar a gesto desse contrato, garantindo o seu cumprimento e aplicando as punies necessrias quando os itens acordados no forem atendidos. 11 Em qualquer dos casos, invariavelmente, a organizao usuria receber, em suas dependncias, alguma infraestrutura de equipamentos da operadora. 11 A organizao ter que zelar pelo bom funcionamento desses equipamentos, mantendo-os em condies recomendadas. 11 No caso mais simples, de organizao usuria atendida por rede cabeada, a opera dora instala um modem nas dependncias da organizao. A conexo se apresenta como no esquema da Figura 3.4.
Rede Operadora
Modem
Cabo serial
Figura 3.4 Conexo instituio: operadora.
Roteador RNP
Todos os equipamentos detalhados na figura ficaro nas dependncias da organizao usuria. Na Figura 3.4 o roteador fornecido pela RNP e seu objetivo receber a conexo da operadora e rotear pacotes de dados da rede da instituio para fora. O modem da figura pertence operadora de telecomunicaes. A infraestrutura adequada para abrigar esses dispositivos ser apresentada adiante. 11 A conexo entre o roteador e o modem quase sempre se d via interface serial do roteador. 11 Existe uma grande variedade de conectores que podem compor o cabo que faz essa conexo. 11 O conector V.35 um dos mais populares.
35
A Figura 3.5 mostra, alm do V.35, outros conectores que so usados cotidianamente.
EIA/TIA-232
EIA/TIA-449
V-35
X21
EIA-530
Figura 3.5 Cabos seriais.
Na figura, a parte superior dos cabos corresponde ao conector que se liga porta serial do roteador da RNP. A parte inferior do cabo se liga ao modem da operadora. Esse cabo, via de regra, fornecido pela operadora de telecomunicaes provedora do circuito de dados. Para os casos em que a instituio conectada via rede sem fio, a infraestrutura instalada pela operadora um pouco mais complexa. O equipamento da RNP sempre o mesmo: um roteador. Alm da antena, que deve ficar no telhado ou em uma torre para prover visibili dade com a antena que fica no ponto de presena da operadora, necessria a instalao de uma infraestrutura especfica. Para trazer o sinal da antena para dentro da instituio instalado um cabeamento de RF. Esse cabeamento termina em um transceiver, o qual se conectar ao roteador. A operadora instala isoladores no cabeamento, perto da antena, para proteger os equipamentos de rede da instituio de descargas eltricas que porventura tentem se propagar via cabeamento da antena para dentro da instituio. Para o caso da conexo via satlite a infraestrutura similar ao cenrio da rede sem fio, porm nesse caso temos o roteador ligado a um modem satlite, que adapta o sinal do rote ador ao meio fsico do enlace satelital. Em todos os cenrios apresentados o enlace da operadora sempre acaba no roteador da RNP. Esse equipamento define o ponto de delimitao entre a responsabilidade da opera dora e da organizao usuria. O roteador tem como objetivo principal prover o trnsito de pacotes de dados da rede da instituio para o PoP e vice-versa. O equipamento suporta ainda outras funcionalidades que podero ou no ser usadas, como protocolos de roteamento, VPN, firewall, segmentao de rede em VLANs e NAT, entre outras. Mais detalhes sobre o equipamento que ser usado pela instituio sero apresentados mais frente neste curso.
Uso e especificao de switches e roteadores

Introduo rede Ip
Os equipamentos de rede mais usados em redes profissionais so os roteadores e os switches. Em redes mais antigas ou em ambientes no corporativos hubs tambm podem ser usados. Esse curso no tratar de hubs, pois o uso deles j no recomendado por diversos motivos.
36
Os fabricantes de rede dividem a linha de equipamentos em: 11 Produtos para escritrio (Office). 11 Produtos para empresa (Enterprise). 11 Produtos para provedor de servio (Provider). O nome comercial varia entre fabricantes. Em alguns casos a linha pode ser subdividida em
mais segmentos. As trs linhas citadas so a referncia de mercado. Alguns fabricantes definem ainda uma linha adicional de produtos para centro de processamento de dados (Data Center). Essa linha adicional se destina especificamente s empresas que administram grandes infraestruturas de processamento de dados. A complexidade, os protocolos particulares e o gigantesco volume de dados que ali existem implicam otimizaes especficas na arquitetura dos equipamentos dessa linha.
Especificao de racks
Os equipamentos de infraestrutura de redes e de servios podem ser classificados quanto a sua disposio fsica em duas grandes famlias: 11 Equipamentos de mesa; 11 Equipamentos de rack. Dentre os equipamentos de mesa esto os servidores de torre e os PCs (que constantemente abrigam servios).
Figura 3.6 Equipamentos de mesa (Fonte: www.sevenl.net).
Em algumas empresas, os equipamentos de mesa so rejeitados, porque no possvel organiz-los em racks. Constantemente os equipamentos de mesa ocupam espaos importantes de CPDs de maneira difcil de organizar. 11 Os racks so armrios prprios para receber equipamentos de telecomunicaes. 11 Proveem infraestrutura especfica para passagem de cabos, acomodao de fontes extras, ventiladores, barra de aterramento e rguas de energia. 11 Os racks de 19 so os preferidos da indstria de telecomunicaes e grande parte dos equipamentos do mercado fabricada de modo a encaixar perfeitamente nesses racks. 11 Normalmente um equipamento ocupa toda a largura do rack e parte de sua altura. 11 O espao de altura dos racks dividido em RUs (rack units). 11 Ao comprar um equipamento deve-se atentar para a informao de espao fsico necessrio em rack. 37
Figura 3.7 Rack de 19para telecomunicaes.
Alguns tamanhos tpicos de rack so 8, 12 e 16 RUs. O equipamento Juniper J2350, por exemplo, possui 1,5 RU.
40 RUs
Figura 3.8 Diviso de rack em RUs.
1,5 RU
Fontes redundantes
Quase todo equipamento moderno de redes ou de telecomunicaes possui uma verso com fontes redundantes. A fonte de um equipamento, assim como ocorre com um compu tador pessoal, responsvel pelo fornecimento de energia para todos os componentes do hardware. Uma falha de fonte provoca a parada imediata do equipamento. A fonte redun dante capaz de resolver o problema. Na grande maioria dos casos o equipamento possui tecnologia para promover a comutao automtica para a fonte backup em caso de falha na fonte principal. 11 Os equipamentos tambm possuem a tecnologia de hot swap, que permite trocar uma fonte queimada sem parada do equipamento.
Introduo rede Ip
11 Um dos perigos da fonte redundante a sua gerncia. muito comum no mundo corporativo ocorrerem falhas de fonte sem que o administrador do equipamento tome conhecimento. 11 Nesses casos a fonte backup assume, mas no haver backup para ela. 11 Se esse componente falhar, haver parada de servio. 11 Concluso: no adianta ter fontes redundantes enquanto no se intervm na fonte defeituosa.
38
fundamental um eficiente ferramental de gerncia de hardware. Tipicamente o protocolo SNMP o responsvel pelo reporte de uma falha dessa magnitude, sendo suportado por praticamente todo tipo de equipamento de redes e de telecomunicaes.
Topologia da rede
O objetivo maior da gerncia de redes garantir o maior tempo de disponibilidade possvel para os recursos e servios da instituio. Para ajudar a alcanar esse objetivo existem vrias outras boas prticas alm da atividade de gerncia. Uma dessas atividades o desenho racional da topologia da rede. 11 Existem trs desenhos bsicos: barramento, anel e estrela. 11 A maioria das topologias de rede possui uma dessas trs configuraes ou uma com binao delas.
Figura 3.9 Topologia barramento.
Figura 3.10 Topologia anel.
39
Figura 3.11 Topologia estrela.
11 Ao definir a topologia da rede dois conceitos ajudam a melhorar a robustez dela: redundncia e hierarquia. 11 O conceito de redundncia fica claro na topologia em anel. Uma topologia preocu pada com a redundncia evita que as VLANs (ou redes) dependam de um nico link para se manterem disponveis. 11 A ideia de hierarquia define equipamentos com funes bem definidas na rede, evitando mistura de papis entre eles.
Cada tipo de equipamento tem uma tarefa bem definida, e por isso sua especificao tcnica particular e direcionada tarefa para a qual ser designado. A figura seguinte exibe um modelo de referncia que assume os conceitos de redundncia e hierarquia.
Ncleo
Distribuio
Acesso
Figura 3.12 Modelo de referncia: rede redundante e hierarquizada.
Introduo rede Ip
Nesse modelo de referncia os equipamentos foram divididos em camadas. 11 Cada camada prov servio para todas as camadas mais abaixo. 11 A camada de acesso conecta os usurios rede e prov comutao de frames entre usurios da mesma VLAN.
40
11 A camada de distribuio concentra os equipamentos de acesso e segmenta diferentes grupos de trabalho. 22 Um bom arranjo dessa camada ajuda a isolar problemas de rede. 22 Essa camada tambm pode implementar polticas de segurana. 11 A camada de ncleo constitui a espinha dorsal da rede, constituda de links de alta velocidade, normalmente na faixa dos gigabits por segundo. 22 Essa camada concentra os equipamentos de distribuio. 22 Sua funo rotear pacotes entre os equipamentos de distribuio e as redes externas o mais rpido possvel. 11 No modelo, cada equipamento possui duas conexes com a camada imediatamente acima, por questes de redundncia. O esquema representado na figura acima apenas uma referncia. No mundo real nem
sempre possvel obter-se um modelo de rede perfeitamente hierarquizado e redundante, principalmente por questes financeiras. De toda forma, quanto mais perto do modelo de referncia for a rede, melhor o seu desempenho geral.
Identificao de cabos
11 Uma prtica muito simples que ajuda enormemente a tarefa de manter a rede organizada e documentada a identificao de cabos. 11 Uma rede que se estende por um espao fsico muito extenso e que possua muitos cabos rapidamente se transforma em um caos completo.
A identificao de cabos permite saber de imediato que equipamentos esto conectados entre si e qual cabo prov essa conexo, agilizando todo tipo de aprovisionamento, desapro visionamento ou troubleshooting da infraestrutura fsica de cabeamento.
Figura 3.13 Exemplo de ambiente catico (Fonte: www. bernabauer.com)
41
Figura 3.14 Cabo identificado (Fonte: www. midiasolucao.com.br).
Obviamente, para garantir a organizao do ambiente no basta identificar os cabos, preciso manter as etiquetas atualizadas toda vez que uma mudana for feita, ou seja, reco mendado estabelecer um processo de mudana das conexes da rede.
Infraestrutura para abrigar os equipamentos e mant-los

11 No existem padres para a infraestrutura que abrigar os equipamentos da RNP. 11 A orientao que a instituio se preocupe com a documentao tcnica dos equipamentos que receber em suas dependncias. 11 Esses documentos especificaro as condies ideais que permitiro aos equipa mentos uma vida til tima. A seguir veremos os pontos que devem ser verificados.
Localizao e dimenses da sala

11 A localizao da sala deve ser tal que evite a propagao de rudo dos equipamentos ao restante do ambiente, evitando prejuzo para a populao da instituio. 11 A dimenso da sala deve ser tal que permita ao equipamento de ar-condicionado que a atende refriger-la com eficincia. 22 Salas grandes so mais difceis de refrigerar. 22 Temperatura um dos itens mais importantes para o bom funcionamento de equipamentos de redes e telecomunicaes. recomendvel que o acesso sala seja restrito aos profissionais capacitados a operar os
equipamentos ali presentes. A segurana fsica dos equipamentos deve ser verificada antes que qualquer poltica de segurana lgica seja elaborada.
Introduo rede Ip
Equipamentos de apoio
11 Alguns equipamentos de apoio ajudam a aumentar a disponibilidade dos equipamentos. 22 Exemplos: nobreaks e geradores. 11 Os nobreaks protegem os equipamentos contra picos de luz, cobrindo o fornecimento de energia durante falhas curtas de fornecimento eltrico.
42
11 Dependendo da criticidade das aplicaes da rede a instituio pode lanar mo de um gerador, que permite a manuteno de energia eltrica mesmo durante longas falhas da concessionria de energia. 11 Existem vrios tipos de geradores, dos mais robustos e caros aos mais simples e baratos. Um erro comum ignorar a necessidade de manuteno dos equipamentos de apoio.
muito comum ocorrerem casos de falhas de energia onde o gerador no assume porque, por exemplo, est sem carga.
Refrigerao
11 Todo equipamento instalado na sala de equipamentos traz em sua documentao tcnica a quantidade de BTUs que ser consumida. 11 importante fazer a gerncia da capacidade de refrigerao da sala, de modo a garantir que o consumo de refrigerao dos equipamentos da sala no ultrapassar a capacidade de refrigerao do equipamento de ar-condicionado.
Instalao eltrica
Todo equipamento instalado na sala de equipamentos (ou CPD) traz em sua documentao tcnica a potncia mdia dissipada, bem como a capacidade mxima de sua(s) fonte(s). importante fazer a gerncia da infraestrutura eltrica da sala de equipamentos para evitar que a capacidade dos componentes (quadros de energia, disjuntores etc.) seja ferida.
Aterramento
11 Todo equipamento de redes e de telecomunicaes deve ser aterrado em infraestrutura adequada. 11 fortemente indicado que a instituio que abrigar equipamentos em suas dependncias providencie uma malha de terra adequada. 11 comum instituies e residncias ignorarem essa questo, que pode evitar a queima dos equipamentos em situaes de descargas eltricas.
Espao para cabeamento e conexes

11 A sade e vida til do cabeamento utilizado nas redes dependem significativamente da disposio fsica utilizada. 11 Os cabos devem ser instalados de modo a evitar tenso no corpo dos cabos e nos conectores. 11 Deve-se evitar dobrar o cabo em ngulos muito pequenos. 11 Para atender a esses objetivos importante alocar espao adequado dentro dos racks para acomodao de sobras de cabeamento. Veja no destaque da figura seguinte as dobras com ngulos diferentes.
43
Figura 3.15 Boas prticas de cabeamento (Fonte: taquara.olx.com.br).
44
Introduo rede Ip
4
Switches e roteadores
objetivos
Descrever o uso de switches de camada 2 e de camada 3, o uso de roteadores na rede da instituio, a conexo com a rede da RNP e as vantagens de utilizar VLANs.
conceitos
Switches L2 e L3, comutao L2, empilhamento, subdiviso da rede em VLANs, roteadores.
Switches L2
11 Os switches L2 tm a funo de distribuir e segmentar os pontos de rede e as LANs do ambiente. 11 A funo fundamental desses elementos receber um frame, avaliar o campo ende reo MAC destino e tomar a deciso de encaminhamento. 11 O switch L2 no faz o servio de roteamento de pacotes; se um frame chega para ele, ocorre que tipicamente algum roteador j tomou a deciso de roteamento, ou seja, a rede onde o destinatrio do pacote reside j foi descoberta. 11 Cabe ao switch apenas avaliar em qual ponto de rede est o destinatrio do frame.
Captulo 4 - Switches e roteadores
45
Pacote
Default Gateway Rede L2 (comutao) Em qual porta fsica est o destino?
Roteamento L3
Destino
Figura 4.1 Roteamento L3 versus encaminhamento L2.
Em qual porta fsica est o destino?

O dimensionamento de um switch depende principalmente: 11 Da quantidade de interfaces requeridas; 11 Da velocidade dessas interfaces; 11 Da quantidade de LANs (VLANs) que trafegaro dados pelo equipamento; 11 Da necessidade de redundncia de hardware (fontes, CPUs, backplanes etc); 11 Da necessidade de ter servios L2 e L3 no mesmo equipamento. A exemplo do que ocorre com os roteadores, o porte de um switch pode variar tremen damente dependendo de sua aplicao. Para referncia, o peso dos switches usados pelo mercado pode variar de 1,5 a 300 kg. Seu preo pode sair da ordem de centenas de reais at centenas de milhares de dlares. Um switch de rede local popular possui 24 portas fast ethernet (100 Mbps). Um switch de um centro de processamento de dados de um grande provedor de contedo de internet possui mais de 200 portas com capacidade de 10Gbps cada uma. A diferena de capacidade de processamento entre os equipamentos desse exemplo justifica a grande diferena de preo entre eles.
Introduo rede Ip
Switches L3
11 Os switches L3 podem fazer as funes de L3 e/ou de L2. 11 Cabe ao administrador de rede fazer essa definio. 11 Em algumas situaes, o switch L3 pode substituir o uso do roteador e do switch L2, de modo que as funes L2 e L3 estejam no mesmo equipamento. 11 Em outras aplicaes, o switch L3 pode fazer a funo L2 para algumas VLANs e a funo de L3 para outras, dependendo da convenincia do administrador.
46
Algumas aplicaes do switch L3 so mostradas a seguir. A figura seguinte exibe uma rede local tpica, um roteador fazendo o papel de default gateway da LAN e um switch fazendo o papel de distribuio dos pontos de rede. Embora haja apenas um nico switch no esquema da figura, poderiam existir vrios outros, operando em diferentes hierarquias.
Default gateway das VLANs A, B e C
Funo L3
Funo L2
Figura 4.2 Interao L2-L3 tradicional com switch e roteador.
VLAN A
VLAN B
VLAN C
A figura seguinte mostra a mesma LAN, mas o roteador e o switch foram substitudos por um nico equipamento, um switch L3.
Default gateway das VLANs A, B e C
Funes L3 e L2
Figura 4.3 Switch L3 faz o papel de default gateway de vrias redes/sub-redes/ VLANs.
VLAN A
VLAN B
VLAN C
Uma aplicao tpica do switch L3 no mundo real pode ser vista nas prximas figuras. 11 Os servidores das VLANs 10 e 20 no acessam a internet nem a rede Ip, no entanto essas duas VLANs trocam grande volume de trfego entre si. 11 A VLAN 30 usa a rede Ip intensamente, acessando servidores das VLANs 10 e 20 eventualmente. O administrador de rede recebeu vrias reclamaes de lentido de usurios da VLAN 30. Na figura abaixo as setas pretas exibem o trfego entre as VLANs 10 e 20. As setas cinzas mostram o trfego da VLAN 30.
q
47
Rede Ip
Default Gateway das VLANs 10, 20 e 30
Link saturado
VLAN 30
VLAN 20
VLAN 10
Figura 4.4 Usurios da VLAN 30 reclamam de lentido.
Aps uma investigao, foi percebido que o link entre o switch L2 e o roteador apresentava descarte de pacotes, sinal de saturao. 11 O administrador de rede dispunha de um switch L3 que sobrou de um projeto no terminado e resolveu trocar o switch L2 pelo L3. 11 O switch L3 se tornou o default gateway das VLANs 10 e 20. 11 O trfego entre as VLANs 10 e 20 no compete mais com o trfego entre VLAN 30 e rede Ip.
48
Introduo rede Ip
Rede Ip
Default Gateway da VLAN 30
Link OK
Default Gateway das VLANs 10 e 20
Figura 4.5 Switch L3 elimina o problema.
VLAN 30
VLAN 20
VLAN 10
No mundo real poderamos pensar em fundir as VLANs 10 e 20 em uma mesma VLAN. Dessa forma o trfego entre os hosts das duas redes no mais competiria com o trfego da VLAN 30. No entanto, existem situaes em que essa fuso no possvel, por motivos tcnicos ou polticos. Seria possvel ainda pensar em substituir tambm o roteador. Na figura optou-se por manter o roteador ativo. Essa deciso pode ser correta em casos onde o roteador presta outros servios alm do roteamento tradicional, como NAT, firewall e VPN, entre outros. Dessa forma, evita-se que o switch L3 fique com seus recursos de hardware saturados, mantendo nesse equipamento apenas os servios tradicionais de roteamento e switching. Da mesma forma, h economia de recursos do roteador com a reduo do trfego que ele precisa tratar. O dimensionamento dos switches L3 definido quase pelos mesmos parmetros dos switches L2.
Comutao L2
11 Os switches L2 tambm executam protocolos para otimizar o servio de encaminhamento. 22 Exemplo: protocolo spanning-tree. 11 Os switches se utilizam desse protocolo para evitar que ocorram loops de encaminha mento na rede. 11 Um loop de encaminhamento tem o poder de parar completamente uma rede, e isso efetivamente ocorre no mundo real.
49
11 Em ambientes onde existe mais de um caminho possvel para se chegar a um host fundamental a presena do spanning-tree, tanto que todos os fabricantes de equipa mentos de rede j deixam esse protocolo habilitado de fbrica. 11 Um switch normalmente executa uma instncia de spanning-tree para cada VLAN existente. Tem-se a um ponto de limitao para o dimensionamento do nmero de VLANs que um switch pode suportar. Root Bridge
Links operando Links bloqueados
Figura 4.6 Spanning-tree: evita loops de rede.
A operao do spanning-tree no ser detalhada neste curso. Em resumo, seu objetivo fazer com que s exista um caminho vlido entre dois pontos quaisquer de uma rede L2.
q q
Empilhamento
11 Quando o nmero de usurios de uma rede local aumenta muito, necessrio lanar mo de outros recursos para fazer a rede escalar. 11 Os esquemas de expanso de portas no podem ajudar neste caso especfico. Nesse cenrio a soluo mesmo aumentar o nmero de portas fsicas. 11 Quando um switch no tem mais portas fsicas disponveis possvel empilhar mais de um switch para aumentar a densidade de portas. 11 O empilhamento consiste em criar um nico equipamento lgico a partir de dois ou mais switches fsicos. 11 A comunicao entre os switches pode se dar via porta Ethernet ou via cabeamento
Introduo rede Ip
especfico para o fim de empilhamento. A ideia simples. O administrador de redes empilha dois switches de 24 portas cada e obtm um nico switch lgico, que possui 48 portas. Os demais equipamentos de rede nunca sabero que ali existem dois switches, pois ambos respondem pelos mesmos ende reos IPs e pelo mesmo hostname.
50
Figura 4.7 Switches empilhados (Fonte: www. kathmann.com).
Subdiviso da rede em VLANs de distribuio

A diviso da rede em VLANs uma das boas prticas em rede local. H vrios motivos para realiz-la. Aqui citaremos cinco: 11 Aumento da confidencialidade dos dados das diferentes redes. 11 Economia de recursos dos elementos de rede e de links. 11 Economia de recursos dos hosts atravs da reduo dos domnios de broadcast. 11 Flexibilidade para configurao de polticas de roteamento e segurana. 11 Flexibilidade para distribuio fsica dos pontos de redes.
Neste texto os termos VLAN e sub-rede so usados de maneira intercambivel, pois em uma rede dividida em VLANs os termos tm exatamente o mesmo significado. A figura seguinte ilustra um esquema onde os diferentes departamentos de uma instituio esto separados em VLANs.
R1
R2
SW1
SW2
200.1.1.64/26
200.1.1.0/26
200.1.1.128/25
Figura 4.8 Diviso da rede em VLANs.
Depto. nanceiro (VLAN 10)
Depto. de docentes (VLAN 20)
Laboratrio de alunos (VLAN 30)
51
11 A boa prtica diz que os hosts com maior interesse de trfego devem ficar na mesma VLAN (rede). 11 Dessa forma o trfego entre esses hosts no competir pelos recursos de rede com outros hosts. 11 O trfego de uma VLAN fica isolado do trfego das demais. 11 O isolamento de trfego das VLANs, alm de salvar recursos da rede, promove um maior grau de segurana. Um capturador de trfego que deseje capturar dados de um determinado departamento
ter que usar um ponto de rede na VLAN do departamento a ser vitimado. Outros pontos de rede no enxergaro esse trfego. O processamento dos hosts da rede tambm tende a cair com a reduo do domnio de broadcast consequente da subdiviso em VLANs. Quando os hosts esto todos na mesma rede (ou VLAN) um broadcast gerado por qualquer host recebido por todos os outros. A maioria dos hosts no usar a mensagem de broadcast. Com a rede dividida em sub-redes somente os pontos da VLAN onde foi gerado o broadcast recebem a mensagem, e recursos de rede e de hosts so economizados.
A rede dividida tambm facilita a configurao de polticas de roteamento e segurana.
Na Figura 4.8 o roteador R1 o default gateway das VLANs 10 e 20, e o roteador R2 o default gateway da VLAN 30. Imagine que os dados do departamento financeiro so estritamente confidenciais e no devem trafegar por nenhuma outra VLAN. Para implementar essa condio em uma rede dividida em VLANs, basta criar uma regra, ou lista de acesso, impedindo que pacotes com IP origem que no estejam na rede 200.1.1.64/26 possam ser destinados a pacotes desse alcance. Essa regra poderia ser configurada na sada da interface de R1, que conecta ao switch SW1. Se todos os hosts estivessem misturados em uma grande rede, a configurao dessa poltica seria complicada. Analogamente, a configurao de polticas de roteamento tambm simplificada. Ainda na Figura 4.8, tem-se que o laboratrio dos alunos no pode ser capaz de acessar os websites hospedados no departamento de docentes. Pode-se configurar uma poltica de roteamento no roteador R1 de modo que a rede 200.1.1.0/26 no seja anunciada ao roteador R2. Dessa forma, caso R2 no tenha uma rota default para o R1, os alunos no conseguiro acesso aos sistemas da VLAN dos docentes. Observe que a soluo do problema do pargrafo acima tambm poderia ser a criao de uma regra de segurana, mas uma vez que a rede da figura no possui firewalls, o administrador da rede pode usar o roteador apenas para a tarefa de roteamento. O problema foi ento resolvido com a manipulao de uma poltica de roteamento. Se os websites do departamento de docentes estivessem misturados na mesma VLAN do laboratrio dos
Introduo rede Ip
alunos, a configurao dessa poltica seria complicada.
Roteadores
11 Os roteadores so os protagonistas das redes baseadas em arquitetura TCP/IP ou IP/MPLS. 11 A funo fundamental desses elementos receber os pacotes IP, interpretar o campo IP destino e decidir como encaminhar o pacote.
52
11 Essa deciso a chave para o bom desempenho da rede e das aplicaes que dela se utilizam. 11 O uso de roteadores mandatrio em ambientes que tenham mais de uma rede, sub-rede ou VLAN.
Um ambiente de rede que possui apenas uma nica rede/sub-rede/VLAN no necessita de um roteador. Toda rede/sub-rede/VLAN, para ter seus pacotes chegando em outras redes, precisa de pelo menos um roteador. O roteador que roteia os pacotes da rede chamado default gateway da rede/sub-rede/VLAN. A figura seguinte exemplifica um ambiente de rede onde todos os hosts esto na mesma rede, ou seja, esto sobre o mesmo espao de endereamento IP. Nesse esquema um switch de rede (que no faz a tarefa de roteamento) fica diretamente conectado a um modem fornecido pelo provedor de servio, cenrio que dispensa a necessidade de um roteador.
Internet Provedor de servio Cliente com rede nica
10.1.1.0/24
Figura 4.9 Ambiente de rede com uma nica rede/sub-rede/ VLAN.
10.1.1.14
10.1.1.19
10.1.1.12
11 Quando os roteadores da rede fazem uso de um protocolo de roteamento, diz-se que o roteamento ali dinmico. 11 O roteamento dinmico se caracteriza por recalcular automaticamente as rotas quando ocorrem alteraes na topologia da rede (quando ocorre uma falha, por exemplo). 11 Em redes complexas, onde existem vrias possibilidades de encaminhamento, o uso do roteamento dinmico salutar.
q
53
Vrios caminhos levam do ponto A ou B
Figura 4.10 Vrios caminhos disponveis: roteamento dinmico.
11 O roteamento esttico tambm utilizado na rede Ip, para executar o servio de encaminhamento de pacotes em partes da rede onde no h deciso de encaminhamento a ser feita. 11 O roteamento esttico, diferente do dinmico, no caracteriza troca de informaes entre roteadores. 11 A informao de roteamento inserida manualmente no roteador por um administrador de rede.
H um nico caminho possvel do ponto A ou B
Figura 4.11 Apenas um caminho disponvel: roteamento esttico.
A comunicao entre o roteador da instituio e a rede IP se d tipicamente atravs de roteamento esttico, pois h apenas um caminho possvel entre as duas entidades. A van Introduo rede Ip
tagem de se usar essa modalidade de roteamento a economia de recursos. O roteamento esttico usa muito pouco de memria e CPU do roteador, enquanto que os protocolos de roteamento dinmico, dependendo do tamanho da rede, podem requerer roteadores de grande porte, que so equipamentos caros. Fazendo referncia arquitetura de referncia OSI, diz-se que os roteadores atuam na camada 3 (layer 3) da arquitetura, chamada camada de inter-rede; na arquitetura TCP/IP essa camada se chama simplesmente camada de rede. Da a expresso equipamento L3.
54
O dimensionamento de um roteador depende: 11 Do volume de trfego que ser cursado em suas interfaces; 11 Da quantidade de interfaces que o roteador pode suportar; 11 Da necessidade de redundncia de hardware (fontes, CPUs, backplanes); 11 Da capacidade do seu backplane (hardware de encaminhamento interno por onde passar o trfego de todas as interfaces); 11 Dos protocolos que sero usados e do tamanho da rede envolvida. O backplane do hardware est intrinsecamente ligado soma das capacidades das interfaces que funcionaro no equipamento. Um roteador com backplane de baixa capacidade no pode ter, por exemplo, dezenas de interfaces de 10Gbps, pois todo esse trfego passar pelo backplane. Em algumas situaes, as placas de rede possuem alguma capacidade de processamento, fazendo com que parte da deciso de encaminhamento seja definida na prpria interface de rede, que acaba por otimizar recursos do backplane e da CPU principal da mquina, evitando que a sua capacidade precise ser maior que a soma das capacidades das interfaces. Em arquiteturas mais novas, o backplane subdividido em estruturas menores, de modo que cada estrutura fica responsvel por um conjunto de interfaces. O porte de um roteador pode variar muito dependendo do seu uso. Por exemplo, o peso de um roteador pode variar de 6 (default gateway de algumas redes locais) a 180 kg (roteador de um provedor de porte nacional). Seu preo pode variar de pouco milhares de reais at centenas de milhares de dlares.
Figura 4.12 Roteador Juniper Srie J: pequeno porte (Fonte: www.juniper.net).
Para tomar a deciso de encaminhamento da forma mais eficiente os roteadores podem fazer uso de um protocolo de roteamento dinmico. Atravs dele os diferentes roteadores que compem a rede trocam informaes uns com os outros e, baseando-se nas informa es recebidas dos vizinhos, concluem qual o melhor caminho para se direcionar cada um dos pacotes IP recebidos. 11 Os principais protocolos de roteamento dinmico executados na rede Ip e em vrios outros provedores comerciais so OSPF e BGP. 11 Em redes de organizaes menores pode-se utilizar outros protocolos mais simples que consomem menos recursos de hardware (e consequentemente requerem equipamentos mais baratos). 11 Um exemplo de protocolo de roteamento simples o RIP. 11 Exemplos de outros protocolos menos populares, mas no menos eficientes que os citados: 22 IS-IS. 22 EIGRP. 55
q
O funcionamento detalhado de cada um desses protocolos de roteamento no tema deste curso.
Roteador de borda
11 O roteador de borda prov a comunicao de todas as VLANs da rede local com a internet. 11 Esse elemento candidato natural a receber a configurao das polticas de rotea mento da instituio, tais como restries de acesso a sites no autorizados. 11 Problemas de lentido ou indisponibilidade de servios de internet podem ter ligao direta com a boa sade desse roteador e do seu link com a internet, normalmente chamado de uplink da instituio. 11 Quando a conexo da instituio no tiver um enlace de backup, esse roteador execu tar roteamento esttico, o mais recomendado para esse cenrio. 11 Se houver mais de um enlace atravs do qual se possa chegar internet, esse ele mento dever executar um protocolo de roteamento dinmico.
Internet
Rede local
Roteador de borda
VLAN 21
VLAN 22
VLAN 23
Figura 4.13 Roteador de borda.
Troubleshooting bsico
Gerncia e documentao de rede, planejamento de topologia, controle da alocao de IPs e da distribuio das sub-redes e identificao de cabos. Todas essas prticas apresentadas configuram diferentes recursos para atingir um mesmo fim: manter a maior disponibilidade possvel dos servios de rede. s vezes, mesmo com todos esses cuidados, os problemas ocorrem.
Introduo rede Ip
O troubleshoot de falhas pode ser simples ou complexo, dependendo dos recursos disponveis. Todas as prticas apresentadas no pargrafo anterior ajudam significativamente a acelerar o processo de soluo. O ltimo recurso uma metodologia bsica de ataque a problemas. Uma metodologia que funciona com frequncia a seguinte: 1. Predizer o comportamento normal da rede e comparar o cenrio correto com o sintoma percebido.
56
2. Isolar o problema: investigar a conectividade de camada 3 de cada hop. 3. Ao encontrar o hop cuja conectividade de camada 3 no funciona, verificar nesse hop a sade das camadas 2 e 1. Para executar esse processo aparentemente simples, faz-se uso de uma srie de conhecimentos e recursos. O exemplo seguinte ilustra a aplicao do mtodo de forma didtica e demorada. Na prtica, vrias das etapas da investigao que ser apresentada podem ser executadas de maneira simplificada com o comando traceroute ou com uma breve entrevista junto ao usurio reclamante.
2 R1 f0/1 6 f0/0 Sw1 1 Sw2 f0/1 R2 f0/2 3 5
PC 3 Sw4
Sw3
4 Servidor Web PC 1 10.0.1.1/24

Figura 4.14 Cenrio de problema.
PC 2 10.0.1.2/24
10.0.0.1/24
O usurio do PC1 reclamou que no consegue mais acessar http://webserver.com/relatorio, uma pgina web que est hospedada no servidor web da figura. Um usurio do PC3 acessa normalmente o site, sugerindo que no h problema com o servidor. A Figura 4.14 ilustra todos os passos da conectividade de camada 3 entre PC1 e o servidor em uma situao normal. Os nmeros ao lado das setas identificam a ordem dos acontecimentos. As setas pretas ilustram a viagem dos dados de PC1 at o servidor. As setas cinzas mostram o caminho da resposta do servidor at PC1.
Como o servidor est funcionando, o administrador da rede orientou o usurio a fazer um ping para o IP do servidor. O ping no teve sucesso. Dessa forma, a prxima etapa verificar qual dos 6 passos no est ocorrendo. Para cada passo investigado, caso a conectividade de camada 3 funcione, no se far necessrio verificar as camadas 2 e 1 do hop. Investigando o passo 1, foi verificado se o pacote est realmente saindo de PC1 e chegando ao R1. O primeiro passo foi investigar se o browser utilizado no PC1 est conseguindo tra duzir o nome do servidor para o IP correto, 10.0.0.1. Isso pde ser verificado executando-se no PC1 o comando nslookup webserver.com.
57
O prximo passo foi verificar se a configurao de default gateway do PC1 est correta. O comando ipconfig /all mostrou o IP da interface f0/0 do R1 como o default gateway. A configurao do PC1 estava correta. Foi executado um ping do PC1 para o IP do seu default gateway, no caso, o IP da interface f0/0 de R1. O ping funcionou. O passo 1 da figura est funcionando. Em seguida o passo 2 foi investigado. Analisando a tabela de rotas de R1 foi verificado se ele conhece a rede 10.0.0.0/24, onde est o servidor. Verificou-se que a rota conhecida e que aponta para R2, o que correto. Por fim, a partir de R1 foi feito um ping para a interface f0/1 de R2, que funciona. O passo 2 corretamente verificado. Em seguida o passo 3 foi investigado. Analisando a tabela de rotas de R2 foi verificado se ele conhece a rede 10.0.0.0/24, onde est o servidor. Verificou-se que a rota conhecida. Em seguida o administrador tentou um ping do R2 para o IP do servidor web, que funcionou. Passo 3 corretamente verificado. Os pargrafos acima mostram que um pacote saindo do PC1 chega ao servidor. Agora, o administrador avalia o trfego de retorno. Como o ping do passo 3 funcionou, o administrador concluiu de imediato que o servidor consegue fazer um ping para o seu default gateway, logo, o passo 4 funciona. Isso j poderia ser concludo apenas pelo fato de o PC3 conseguir acessar o servio. Em seguida o passo 5 foi investigado. Analisando a tabela de rotas de R2 foi verificado se ele conhece a rede 10.0.1.0/24, onde est o PC1. A rota desconhecida. A partir de R2 foi feito um ping para o IP de PC1. O ping no funcionou! O passo 5 no est funcionando. A partir daqui a investigao se concentra nesse hop. Nesse caso, existe uma clara falha na camada 3. Assim, por ora, no ser necessrio descer s camadas 2 e 1. Foi verificado que a vizinhana OSPF entre R1 e R2 estava estabelecida. No entanto, por algum motivo, R1 deixou de anunciar a rota 10.0.1.0/24 para R2. Foi verificado que algum editou um filtro de rotas de maneira incorreta em R1, o que provocou a falha. O administrador corrigiu o filtro e o passo 5 passou a funcionar. Fazendo uma nova tentativa o usurio conseguiu acesso ao servidor. Se aps a alterao no protocolo de roteamento o passo 5 continuasse a falhar, o prximo passo seria investigar a camada 2 nesse passo, ou seja, as configuraes do switch SW2.
58
Introduo rede Ip
Estudo de caso
Solicitao, atribuio e administrao de blocos IP
RNP / Internet
R1
fe-0/0/2 fe-0/0/2 fe-0/0/0 fe-0/0/1 fe-0/0/1
R2
fe-0/0/0
SW1
SW2
SW3
SW4
Figura 4.15 Cenrio do estudo de caso.
VLANs 10 e 20
VLAN 30
VLAN 40
VLAN 50
Dados da rede
VLANs PCs administrao Laboratrios Infraestrutura Servios PCs professores Intervalo 200.33.1.128/25 200.33.1.32/28 200.33.1.16/29 200.33.1.64/27 200.33.1.96/27 Total de IPs 126 14 6 30 30 IPs em uso 112 4 3 11 5 Crescimento estimado 126 6 3 12 20
Descrio das VLANs

11 20 Laboratrios: PCs e outros equipamentos IP usados nas aulas prticas. 11 30 Dois servidores de backup (B1 e B2) e um servidor de repositrios de arquivos (A1), onde professores gravam e recuperam material de aulas. O servidor B1 faz backup somente dos servios da VLAN 40. O servidor B2 faz backup de todos os PCs (professores e administrao) e ainda do servidor de repositrio A1. 11 40 Servios: base de dados de matrculas e dados dos alunos, servidor de FTP, servidor de e-mail, DNS e outros. 11 50 Desktops das salas dos respectivos professores.
11 10 Desktops administrativos: mquinas de diretores, secretrias e da rea financeira.
59
Descrio do cenrio
Uma instituio de ensino mantm a rede cujo esboo do diagrama de rede encontra-se na figura. Na poca da qualificao junto RNP foi concedido organizao o intervalo de endereos 200.33.1.0/24. poca, a demanda da rede era de 100 endereos. O administrador de rede dividiu ento o intervalo /24 em dois intervalos /25. 11 Intervalo 1: 200.33.1.0/25; 11 Intervalo 2: 200.33.1.128/25. O administrador usou o segundo intervalo para compor uma VLAN de PCs da administrao, a VLAN 10 (a nica rede existente poca) e guardou o primeiro intervalo para demandas futuras. Um ano depois, toda a equipe de administradores de rede mudou e no havia muita docu mentao. Vrias demandas de novas VLANs surgiram. Os novos administradores foram alocando novos intervalos de IP sem muito planejamento. Nesse perodo foram criadas mais 4 VLANs: 20, 30, 40 e 50. Alm disso, o nmero de usu rios da VLAN 10 cresceu mais. Os dados atuais das 5 VLANs da instituio so encontrados logo abaixo da figura. Voc foi contratado para ajudar os administradores de rede da instituio a resolver vrios problemas da rede. O primeiro problema o atendimento a uma demanda por uma nova VLAN, nmero 60, que ser usada por notebooks de alunos durante as aulas. Estima-se que essa nova VLAN precisa de pelo menos 40 IPs.
60
Introduo rede Ip
Atividade 2.1 Endereamento IP
Qual o tamanho de mscara mximo necessrio para uma sub-rede comportar essa nova VLAN?
Dada a utilizao atual da rede 200.33.1.0/24 na instituio, exemplifique uma sub-rede daquele intervalo de IPs que poderia ser usada para abrigar a nova VLAN?
Aps a anlise do item anterior, um dos integrantes da equipe de administradores sugeriu solicitar um novo bloco IP RNP. Ao analisar a situao, qual posio voc acha que a equipe da RNP responsvel tomar? Por qu?
Atividade 2.2 Identificao de solues

A ideia de solicitar um novo bloco no foi adiante. Dessa forma, sua ajuda foi requisitada para resolver o problema de rearranjo de endereos para implementar uma nova VLAN, com previso de 40 endereos. Porm, outros problemas foram expostos, e voc ter que propor solues para todos eles. Para tal, utilize as informaes contidas na rea Descrio das VLANs. Os problemas so os seguintes: 1. Organizar a distribuio de endereos da rede de modo que uma nova sub-rede possa ser definida para abrigar a nova VLAN 60, e ainda atender expectativa de crescimento das demais VLANs (a demanda de crescimento encontra-se na rea Dados da rede). 2. Professores do turno da noite reclamam de lentido ao acessar o servidor de repositrio. sabido que os backups ocorrem durante a noite. Os servidores de backup esto na VLAN 30, e realizam o backup dos hosts das VLANs Servios e PCs administrao, alm do prprio servidor de repositrio de arquivos. 3. Os hosts da VLAN Servios possuem licenas de software associadas a seus endereos IP, e no podem ter seus endereos trocados sob nenhuma hiptese. 4. Para manter a simplicidade, foi definido pela equipe de administradores que a topologia bsica da rede no mudar. Ou seja, as conexes entre switches e roteadores no pode ser modificada. Dados os problemas 1 e 2 e as premissas 3 e 4, indique a seguir propostas de melhoria. Pode ser usada toda e qualquer ao que respeite as duas premissas estabelecidas.
Captulo 4 - Roteiro de Atividades 2
61
Atividade 2.3 Planejando VLANs

Agora que seu grupo j possui um conjunto de solues formuladas, faa um esboo de como ficaria a distribuio das VLANs e dos elementos chave dentro da rede. Nesse desenho, destaque as VLANs utilizando figuras de nuvens, e, se desejar, destaque os servidores (de backup e/ou de repositrio de arquivos) com as letras B1, B2 e A1, de acordo com o nome do servidor. No desenho, considere j a implantao da nova VLAN 60 para os PCs de alunos, j a posicionando no switch que lhe parecer mais conveniente.
62
Introduo rede Ip
Atividade 2.4 Distribuio das sub-redes

Considerado o desenho esboado, hora de definir a distribuio das sub-redes dentro do endereamento 200.33.1.0/24. Cabe lembrar nesse momento a necessidade de atendimento premissa 3, estabelecida no incio da atividade, e a demanda de crescimento de cada VLAN, citada na rea Dados da rede. Tome o cuidado de utilizar uma soluo que valorize os seguintes parmetros (nessa ordem): 11 Soluo mais adequada s demandas de crescimento de cada VLAN; 11 Soluo que se traduza na menor quantidade de mudanas, tornando a ao o mais simples possvel. Depois de avaliar a tabela de endereamento, possvel que voc tenha que readequar sua soluo de desenho da rede (Atividade 2.3) ou mesmo pensar em novas solues (alm das citadas na Atividade 2.2) para liberar mais endereos.
A tabela seguinte mostra uma possvel distribuio: Nmero da VLAN 10 20 30 40 50 60 Nome PCs administrao Laboratrios Infraestrutura Servios PCs professores PCs alunos Prefixo/ mscara 200.33.1.128/25 200.33.1.80/29 200.33.1.88/29 200.33.1.64/28 200.33.1.96/27 200.33.1.0/26 Total de IPs 126 6 6 14 30 62 IPs em uso 112 4 3 11 5 40 Demanda 126 6 3 12 20 40
A metodologia para se chegar a essa soluo a seguinte: 11 A sub-rede da VLAN 40 tem que ser 200.33.1.64 (condio do enunciado). Como o enun ciado tambm pede que se use a soluo mais adequada s demandas de crescimento de cada VLAN, a mscara dessa rede dever ser /28. 11 Para as demais VLANs: aloca-se o endereo da maior VLAN para a menor, sempre verifi cando se possvel manter o mesmo range de IPs da rede original. Dessa forma, a primeira premissa estabelecida para a soluo : Soluo mais adequada s demandas de crescimento de cada VLAN. Assim, o menor tamanho possvel para cada VLAN : Nome da VLAN VLAN 10 VLAN 20 VLAN 30 Mscara /25 /29 /29 Quantidade de IPs 126 IPs 6 IPs 6 IPs Observaes Dependendo da soluo usada pelo aluno, essa VLAN pode nem existir mais.
63
Nome da VLAN VLAN 40 VLAN 50 VLAN 60
Mscara /28 /27 /26
Quantidade de IPs 14 IPs 30 IPs 62 IPs
Observaes O endereo IP dos servidores dessa VLAN no pode mudar, mas a mscara pode. -
O primeiro ponto a se observar que os hosts da VLAN 40 no podem ter seus IPs alte rados, logo, o prefixo dessa VLAN no pode mudar, apenas a mscara. O segundo ponto que a maior VLAN (nmero 10) consome um /25 inteiro. Um dos obje tivos traados pelo enunciado obter uma soluo que se traduza na menor quantidade de mudanas, tornando a ao o mais simples possvel. Para se chegar a esse objetivo razovel pensar em manter intocveis os IPs da VLAN 10. Dessa forma, nada menos que 112 hosts ficaro inalterados. Dessa forma, o primeiro ponto fechar a sub-rede das VLANs 10 e 40, que ficam assim: VLAN 10 40 Nome PCs administrao Servios Prefixo 200.33.1.128/25 200.33.1.64/28 Total de IPs 126 14 IPs em uso 112 11 Demanda 126 12
A segunda maior sub-rede ser a nova VLAN 60, a qual precisar ser pelo menos um /26. A definio das VLANs 10 e 40 deixa apenas uma rede /26 livre: 200.33.1.0/26. Com isso, a definio evolui para: VLAN 10 40 60 Nome PCs administrao Servios PCs alunos Prefixo 200.33.1.128/25 200.33.1.64/28 200.33.1.0/26 Total de IPs 126 14 62 IPs em uso 112 11 xxx Demanda 126 12 40
Nesse ponto, se dividirmos a rede da instituio em sub-redes /26, temos as 4 redes: a 200.33.1.0/26 b 200.33.1.64/26 c 200.33.1.128/26 d 200.33.1.192/26. Juntas, as VLANs 10 e 60, que j definimos, consomem por inteiro as sub-redes a, c e d. A sub-rede b, que resta, pode ser dividida em duas sub-redes /27, que chamaremos redes d e e. /26 /27
Introduo rede Ip
_________________________________________________________________________
64
b - 200.33.1.64/26 == 200.33.1.01 000000 == ==
d - 200.33.1.010 00000 e - 200.33.1.011 00000
-----------------------------------------------------------------------------------------------------------------------
Metade da rede d (um /28) j foi consumida pela VLAN 40. A rede e permanece disponvel. Nesse ponto, temos ento disposio uma rede /27 inteira (a rede e) e uma rede /28 inteira. Resta definir os endereos das VLANs 20, 30 e 50. A maior delas a VLAN 50. Como o obje tivo buscar a ao o mais simples possvel, vamos verificar se possvel manter os hosts dessa VLAN com seus IPs inalterados. O range atual um /27: 200.33.1.96/27 Esse range corresponde rede e, que est disponvel. Ento, alocamos a rede para a VLAN 50. VLAN 10 40 50 60 Nome PCs administrao Servios PCs professores PCs alunos Prefixo 200.33.1.128/25 200.33.1.64/28 200.33.1.96/27 200.33.1.0/26 Total de IPs 126 14 30 62 IPs em uso 112 11 5 xxx Demanda 126 12 20 40
Resta alocar endereos para as VLANs 20 e 30. Ambas as redes so /29. Nesse momento, ainda nos resta uma rede /28, que pode ser dividida em duas redes /29. A VLAN 20 originalmente usava o range 200.33.1.32/28, o qual j est em uso nesse momento. Ento, usamos uma rede /29 que ainda est disponvel. Usamos a rede 200.33.1.80/29, por exemplo. Para a VLAN 30, resta a rede 200.33.1.88/29. Dependendo das decises que o grupo tomou, esta VLAN 30 pode nem ser necessria.
65
66
Introduo rede Ip
5
Servios e gerenciamento da rede da instituio
objetivos
Descrever os principais servios de rede da instituio, os procedimentos para obteno de blocos de endereos IP e as principais ferramentas de gerenciamento de rede.
conceitos
Servios DNS, registro MX, web, SFTP, e-mail, repositrio de arquivos, firewall, DMZ, NAT.
Servios de rede
O objetivo maior de uma rede local prover servios a seus usurios. Pode-se dizer que esses servios so o que os clientes realmente enxergam. Do ponto de vista do administrador de redes comum receber uma descrio de reclamao do tipo rede lenta, quando na verdade h um nico servio que apresenta lentido. Muitas vezes todos os outros servios esto funcionando a contento. 11 Os servios podem ser hospedados na prpria rede local ou em redes remotas, que pertencem a terceiros. 11 A vantagem de se manter servios na rede de terceiros a simplificao da tarefa de 11 Nesse caso, a responsabilidade pela manuteno da boa sade dos servidores fica com os administradores da rede remota. 11 A grande desvantagem que a qualidade do servio prestado na rede local fica merc da capacidade daquela equipe remota. 11 A desvantagem descrita faz com que os administradores da rede local sejam levados a manter alguns servios fundamentais na prpria rede local. 11 Sero feitas sugestes de servios que devem ser mantidos em rede local.
Captulo 5 - Servios e gerenciamento da rede da instituio
sua administrao.
DNS
O servio de DNS pode ser tema de um curso inteiro. Os detalhes do funcionamento do servio no sero explorados aqui, de modo que faremos apenas uma anlise suficiente para os objetivos deste curso. 11 O DNS pode ser descrito como uma grande e importante base de dados distribuda pela internet.
67
11 Essa base responsvel por um dos servios mais importantes da internet contempornea: a traduo de nomes para endereos IP.
Os usurios da internet no conhecem o endereo IP de nenhum servio, mas conhecem o seu nome. O PC desses usurios, por sua vez, precisa do endereo IP para acessar o servio. Dessa forma, uma traduo nome-IP dever ocorrer. Quando o usurio digita no seu browser o URL www.rnp.br, o servio de DNS dever ser acionado para que o browser efetivamente consiga buscar o IP do stio da RNP. Existem diferentes tipos de servidores DNS, bem como diferentes mtodos de consulta. 11 Alm de usado para consultas a nomes de servios remotos, o DNS tambm usado para descobrir o IP de servios de rede local. 11 Quando se tenta, por exemplo, mapear uma pasta de rede chamada \\servidor_arquivos1.esr.rnp.br\curso, o PC precisa saber o IP da mquina servidor_arquivos1, que fica no domnio esr.rnp.br. O DNS dar essa resposta. 11 O servidor de DNS tem importncia particular para instituies que possuem nome de domnio registrado junto ao Nic.br. 22 Nic.br o rgo responsvel pelo registro de domnios no Brasil, administrado pelo Comit Gestor da Internet no Brasil (CGI.br). 11 Todo domnio com final .br deve ser conhecido pelos servidores DNS do Nic.br, ou seja, deve estar registrado junto ao rgo.
11 Todo domnio precisa de pelo menos um servidor DNS autoritativo. 11 Aos clientes da RNP sugerido um mnimo de dois servidores para esse fim (por segurana). 11 Quando uma instituio registra um domnio, ela informa ao Nic.br quem (so) o(s)
Introduo rede Ip
Figura 5.1 Organograma Nic.br.
servidor(es) DNS autoritativo(s) daquele domnio. 22 O servidor autoritativo aquele que responde pelo domnio. Na Figura 5.2, o domnio rnp.br est registrado no Nic.br. O servidor DNS autoritativo do domnio est hospedado na rede local da RNP. O Nic.br sabe quem esse servidor. Dessa forma, quando um usurio da internet acessa o servio www.rnp.br, uma consulta DNS gerada ao servidor de DNS que atende a esse usurio. Normalmente esse servidor est hospedado no provedor de internet do usurio.
68
Esse servidor vai consultar recursivamente quantos servidores so necessrios para chegar ao servidor autoritativo da RNP, que conseguir indicar o IP da mquina www do domnio esr.rnp.br.
.br
Servidor DNS domnio .br
rnp.br
Servidor DNS domnio rnp.br
rn
Ins tituio
ua lo
IP
Qual o IP de www.rnp.br ?
Figura 5.2 Consulta recursiva para localizar www.esr.rnp.br.
6
O IP Y.Y.Y.Y !
de
p.
br
Servidor DNS instituio
w w w .rn
IP
p. br ?
ao
Y.
Y.
Y.
3
Q
Pe
rg
un
te
! r?
11 Vantagens de uma instituio em manter o servidor DNS autoritativo do seu domnio sob sua prpria administrao: 22 Flexibilidade na administrao do servio. 22 Responsabilidade pela manuteno do servio.
se pode garantir que o servio de nomes do domnio estar no ar o tempo todo. 11 Outro problema pode ser gerado toda vez que um servio do domnio precisar mudar de endereo IP. 11 Quando uma instituio passa a fazer parte do sistema autnomo da RNP, comum que seus endereos IP sejam migrados para o espao de endereamento da RNP. Se a instituio tem a administrao do servidor DNS, ela mesma ter a oportunidade de realizar a migrao do endereo, alterando tambm a configurao do servidor DNS respon svel pelos seus domnios. Se a administrao desse servidor fica a cargo de uma entidade remota, a tarefa de migrao fica muito mais complicada. A migrao de endereo IP de servios juntamente com a reconfigurao do DNS autoritativo uma tarefa grande, que no ser aqui detalhada.
11 Quando o servidor autoritativo est sob administrao de uma entidade externa, no
lo ua IP de .rn w w w b p.
69
MX
O servio de DNS descrito prov acesso aos registros do tipo A (address). 11 Alm do acesso aos registros A, o servidor autoritativo de um domnio tambm pode prover consultas ao registro MX, usado na execuo do servio de e-mail. 11 Exemplo: 22 Um usurio da internet, proprietrio da conta de e-mail huguinho@cartoons. com, deseja enviar uma mensagem de e-mail para zezinho@rnp.br. 22 O servidor de e-mail do domnio cartoons.com receber a mensagem e tentar descobrir o IP de um servidor de e-mail do domnio rnp.br, que poder receber a mensagem e pass-la para o usurio Zezinho. 22 Assim, ser gerada uma consulta DNS do tipo MX. O endereo IP ser provido pelo servio de DNS, atravs do registro MX. Assim, o servidor autoritativo responsvel pelo domnio rnp.br ser consultado. O servidor verificar o valor configurado na entrada MX e responder. Descoberto o endereo do servidor de e-mail do domnio do destinatrio da mensagem, o servidor de e-mail de cartoons.com se comunicar via protocolo SMTP com o servidor de e-mail de rnp.br, e a mensagem ser transferida.
Rede Local
Servidor DNS Local
DNS
Qual IP do servio de correio de rnp.br ?
3 4
Qual IP do servio de correio de rnp.br ? O IP X.X.X.X O IP X.X.X.X
Servio DNS Internet
5 2
Servidor de Correio local 6

e-mail para zezinho@rnp.br
Servidor de Correio rnp.br
Legenda: DNS SMTP POP3
Figura 5.3 Consulta ao registro MX para envio de e-mail.
Introduo rede Ip
Web
11 Esse servio o mais popular da internet. 11 Praticamente todas as instituies com um domnio registrado possuem um servidor web que hospeda seu stio e servios on-line. 11 Deixar esse servio sob a hospedagem de terceiros significa entregar a entidades externas a responsabilidade pela disponibilidade e manuteno dos servios web da instituio.
70
Existe uma grande tendncia de migrao de servios para o ambiente web, o que torna a importncia desse servio ainda maior. Alguns especialistas preveem que na internet do futuro (no muito distante) o usurio de PC ter apenas um nico programa instalado em sua mquina: um web browser, que prover acesso a qualquer tipo de servio: web, e-mail, edio de textos e planilhas, acesso remoto, home-banking, home-office, videoconferncia, videochamada, videomedicina, monitorao remota de ambientes etc.
SFTP
11 Prov as mesmas funcionalidades do servidor de FTP, porm aplicando criptografia, para garantir a confidencialidade e integridade dos dados transferidos. 11 Esse servio possibilita transferir e armazenar arquivos na rede local. 11 A aplicabilidade desse servio na rede local vasta. 11 Dentre as vrias aplicaes, o uso desse servio evita que usurios da rede transfiram grandes quantidades de dados via e-mail, o que nem sempre possvel por limitaes do servio. 11 O servio de SFTP o mais adequado para prover transferncia de arquivos com tamanho da ordem de megabytes ou gigabytes.
E-mail
11 O servidor de e-mail o responsvel por receber todas as mensagens destinadas aos usurios da rede local, bem como transmitir para os servidores de e-mail remotos todas as mensagens de e-mail desses mesmos usurios. 11 Esse servio utiliza dois tipos de protocolo: 22 Um para a comunicao entre servidores de e-mail. 22 Outro para comunicao entre servidor de e-mail e cliente. 11 Os diferentes servidores se comunicam via protocolo SMTP. 11 A comunicao entre os softwares clientes e seus servidores pode se dar via proto colos IMAP ou POP3 para a recepo de mensagens. 11 Para o envio de mensagens usado tambm o SMTP.
pais diferenas entre esses protocolos que o Post Office Protocol version 3 (POP3) usado em situaes onde se espera que um nico cliente precise se conectar a uma caixa postal. O Internet Message Access Protocol (IMAP) permite que vrios clientes possam se conectar mesma caixa postal. O IMAP adequado para situaes onde uma caixa postal utilizada por mais de um usurio.
Existem outros protocolos menos conhecidos para prover essa interao. Uma das princi-
71
Servidor de Correio remetente
Servidor de Correio destinatrio
SMTP
POP3 ou IMAP SMTP
Remetente
Destinatrio
Figura 5.4 Servio de e-mail: servidores e clientes de e-mail.
11 Muitas instituies no possuem mo de obra adequada para administrar um servidor de e-mail. 11 Nesses casos pode-se fazer uso de um servio de e-mail comercial, administrado por uma entidade externa. 11 Nesse caso cabe instituio cuidar apenas da comunicao entre os softwares clientes de e-mail e esses servidores externos (usando SMTP e POP3 ou IMAP). 11 Quando o servio de e-mail fica hospedado em um ambiente externo, a sua disponibilidade e qualidade ficam a cargo de terceiros.
Internet
Servidor de correio externo
Servidor de correio destinatrio
Rede local
SMTP
POP3 ou IMAP SMTP
Remetente
Destinatrio
Figura 5.5 Servio de e-mail hospedado remotamente.
Introduo rede Ip
Repositrio de arquivos
11 Esse servio provido atravs dos ditos HDs virtuais, servio largamente oferecido na internet de graa. 11 Sua utilidade grande, pois permite a usurios da instituio compartilhar arquivos e documentos com qualquer usurio da internet ou com usurios da prpria instituio que estejam trabalhando remotamente.
72
11 O compartilhamento feito sem que o usurio remoto necessite de qualquer recurso especial, basta uma conexo internet. 11 importante que esse servio seja usado apenas como repositrio e nunca como ponto oficial de armazenamento de dados relevantes. O motivo trivial: a disponibilidade de arquivos e documentos importantes da instituio no pode ficar sob a dependncia de entidades externas.
Firewall, DMZ e NAT

11 Esses trs recursos so largamente utilizados na borda da rede local. 11 Normalmente o firewall o elemento que protagoniza a implementao da rede DMZ e tambm do NAT, embora o NAT possa ser feito normalmente por um rote ador ou switch L3.
Internet
Rede DMZ
Figura 5.6 Rede corporativa e DMZ: firewall.
Rede corporativa
A figura anterior explicita o uso clssico do firewall. 11 Os servios hospedados na rede DMZ (zona desmilitarizada) devem estar acessveis a partir da internet. 11 Os servios e hosts da rede corporativa no podem ser acessados por entidades na internet.
11 A operao bsica dos firewalls comparar todos os pacotes que passam pelas suas interfaces com regras configuradas manualmente pelo administrador de redes. 11 Se o pacote estiver contemplado nas regras de permisso ele receber servio. Do contrrio, ser descartado. 11 Em muitas redes os firewalls tambm fazem a tarefa de NAT e PAT. As figuras seguintes definem a operao de NAT e PAT.
11 Esses objetivos so alcanados atravs de regras construdas no firewall.
73
10.0.1.1 10.0.1.1 10.0.1.2 10.0.1.3
200.1.1.1 200.1.1.2 200.1.1.3
10.0.1.2
Internet
10.0.1.3
Figura 5.7 Operao do NAT: converso de endereos.
10.0.1.1:8811 10.0.1.1 10.0.1.2:9112 10.0.1.3:8811
200.1.1.1:8811 200.1.1.1:9112 200.1.1.1:13532
10.0.1.2
Internet
10.0.1.3
Figura 5.8 Operao do PAT: converso de endereo e porta.
11 Nos dias atuais, o PAT muito mais usado que o NAT, porque efetivamente economiza o uso de endereos IP, dado que todos os elementos de uma rede so enxergados na internet sob um nico endereo. 22 O efeito prtico que apenas um endereo IP vlido consumido. 22 Todos os demais endereos IP so privados e no sero enxergados na internet.
Introduo rede Ip
11 NAT e PAT tambm podem ser implementados em roteadores, embora alguns autores defendam que essa tarefa deve ser realizada no firewall. 11 O argumento principal que os recursos de hardware do roteador devem ser usados para a tarefa de rotear, ao passo que a arquitetura do hardware do firewall conce bida de modo a torn-lo adequado a essa tarefa. 11 O modelo Juniper J2350 fornecido s organizaes usurias suporta NAT e PAT.
74
Procedimento de solicitao de bloco IP

11 Uma vez qualificada pelo CG-RNP para ser cliente da rede Ip, a organizao usuria ter direito a um bloco IP fornecido pela RNP. 11 A solicitao desse bloco feita pelo contato tcnico da organizao e constitui uma das etapas do processo de qualificao da organizao usuria. 11 O contato tcnico ganhar um acesso extranet da RNP e ter que preencher um questionrio fornecendo vrias informaes, incluindo o nmero de hosts endereveis de sua rede e a perspectiva de crescimento desse nmero para os prximos anos. 22 Nesse mesmo questionrio solicitado um bloco IP. 11 A solicitao de bloco tambm pode ocorrer posteriormente ao processo de qualificao. 11 Depois de algum tempo, caso haja perspectiva de crescimento da rede, a instituio poder solicitar um bloco adicional atravs de seu contato tcnico. 22 Nesse caso, o pedido ser feito por e-mail. 22 Uma mensagem com o nmero de IPs adicionais necessrios e a justificativa do pedido dever ser enviada para registro@rnp.br. 22 O solicitante receber uma resposta automtica do sistema de trouble-ticket da GO e dever aguardar um retorno. 22 A GO avaliar a justificativa do pedido, que poder ser atendido integral ou parcial mente, ou ser negado. Em caso de dvidas em relao ao procedimento, a instituio poder ainda entrar em contato com o seu PoP, que poder buscar informaes junto GO, se necessrio. A solicitao de endereos IPv6 feita atravs do mesmo procedimento.
Adequao do tamanho do bloco s necessidades da IFES

11 Endereos IPv4 so recursos escassos e devem acabar nos prximos anos. Por isso, no s a RNP, mas todos os sistemas autnomos que compem a internet mundial usam certo critrio ao alocar os blocos IP. 11 A instituio no poder escolher o bloco IP que usar, mas o tamanho do seu bloco. 11 Os nmeros IP propriamente ditos sero definidos pela RNP de acordo com a sua convenincia. 11 A solicitao do tamanho do bloco deriva da quantidade de hosts que precisam de endereos e da perspectiva de escalabilidade da rede. 11 Caso julgue que o tamanho do bloco solicitado pela instituio no proporcional realidade da infraestrutura dela, a RNP poder questionar a real necessidade do bloco e sugerir um novo bloco.
DNS reverso
11 O servio de DNS reverso, como o nome sugere, executa uma tarefa oposta ao DNS tradicional, mas de modo similar. 11 Em determinadas situaes importante para uma aplicao descobrir um nome a partir do endereo IP, e no o contrrio. 22 Isso particularmente interessante quando se quer garantir que o hostname da mquina que enviou uma mensagem realmente possui o endereo IP que se encontra no pacote da mensagem.
75
11 O servio de DNS tradicional utiliza os registros do tipo A (address). O DNS reverso funciona atravs de consultas aos registros PTR dos servidores de DNS. 11 Uma das aplicaes mais latentes do DNS reverso atualmente est ligada ao servio de e-mail. 22 Ao enviar um e-mail, o software cliente tem total liberdade para editar os campos do remetente, data, hora e destinatrio da mensagem. 22 Esses dados no so questionados pelo protocolo que far a transmisso do e-mail, o SMTP. 22 Dessa forma, nada impede que um software malicioso envie um e-mail preen chendo o campo do remetente com um valor falso. 11 comum para qualquer usurio da internet receber e-mails aparentemente remetidos por seus amigos com mensagens de anncios comerciais, um tipo de spam mais elaborado. 11 O problema do spam se tornou to macio que praticamente todos os servidores de e-mail importantes, ao receberem um e-mail, fazem a consulta de reverso para averi guar se o endereo IP do remetente coincide com a informao contida no servio de DNS reverso. 11 O exemplo a seguir ilustra a utilidade do DNS reverso para o servio de e-mail: 22 O servidor de e-mail do domnio rnp.br recebeu um e-mail de luizinho@cartoons. com para huguinho@rnp.br. 22 Antes de repassar o e-mail para o usurio Huguinho, o servidor de e-mail pergunta ao DNS o hostname do servidor de e-mail cujo IP 200.1.1.1 (IP origem que chegou na mensagem de e-mail). 11 O DNS comea uma busca recursiva at chegar ao servidor DNS, que responde por consultas de reverso para o range 200.1.1.0/24. 11 Esse servidor responder que o hostname procurado mail.cartoons.com. Com isso, a autenticidade da mensagem reconhecida. 11 Se o administrador do domnio cartoons.com no tivesse configurado o DNS reverso corretamente a procura falharia e o servidor em rnp.br teria dvidas sobre a real identidade do remetente. 11 Dependendo da configurao do servidor destino, a mensagem poder ser entregue, descartada ou movida para uma pasta de spam. 11 O resultado prtico que se o DNS reverso de uma instituio no est registrado corretamente, vrios e-mails enviados por usurios daquela instituio no sero entregues. 22 A entrega depender da configurao do servidor do domnio destino. A configurao de DNS reverso similar ao DNS tradicional. A instituio deve informar ao seu provedor (RNP) quais so os servidores autoritativos que respondem pelo servio de DNS reverso para seus IPs. A RNP difundir a informao para os root servers da internet. Dessa forma, toda vez que um servidor DNS qualquer da internet receber uma consulta
Introduo rede Ip
de DNS reverso para um IP da instituio, a consulta ser direcionada para o servidor DNS registrado, que poder responder consulta.
Procedimento para cadastro de reverso

11 O cliente da RNP precisar configurar entre 2 e 5 servidores autoritativos para responder pelo seu domnio.
76
11 Em seguida, dever enviar um e-mail para registro@rnp.br informando os hostnames dos servidores e a faixa de IP pelas quais eles respondem. 11 Dvidas sobre a configurao do servidor DNS propriamente dito podero ser escla recidas junto ao PoP da RNP. 11 A configurao do DNS reverso no servidor da instituio no atribuio do PoP, mas da instituio.
Gerenciamento da rede da instituio

11 A gerncia da rede uma das tarefas mais importantes do dia a dia da administrao de redes. 11 Essa atividade permite ao administrador conhecer o nvel de utilizao dos recursos e servios da rede, de modo que quando ocorrem variaes dos nveis considerados cotidianos a equipe tcnica ter condies de perceber a mudana mais rapidamente. 11 Ocorre assim menor tempo de reao a problemas ou a potenciais problemas. 11 Alguns recursos tipicamente monitorados so: 22 Utilizao de CPU e memria de servidores, roteadores e switches. 22 Conectividade IP de servidores, roteadores e switches. 22 Processos especficos de servidores. 22 Utilizao do enlace de dados do roteador de borda. 22 Status de componentes de hardware de servidores, roteadores e switches, como fontes, ventiladores e processador. 11 O PoP da RNP executa a monitorao do enlace de dados que conecta a organizao usuria rede Ip. 11 Grande parte dos PoPs j disponibiliza essa informao on-line em seu website. 11 A gerncia dos recursos e servios nas redes locais da instituio no atribuio da RNP nem de seus PoPs.
Servios que devem ser gerenciados

11 Todo servio que agregue valor atividade da instituio ou que suporte suas atividades candidato potencial a ser gerenciado. 11 Isso inclui os servios de e-mail, DNS, portais web, SAP e outras plataformas de servio. 11 A atividade de gerncia de rede pode abranger a monitorao de componentes de hardware e/ou software que sejam fundamentais disponibilidade dos servios gerenciados.
q
Documentao
11 A documentao da rede um dos maiores desafios que acompanham a atividade de administrao de rede. 11 Embora seja uma tarefa simples, raramente existe uma equipe exclusivamente designada para esse fim, o que quase sempre provoca a existncia de documentao desatualizada. Estudos mostram que o ambiente de rede bem documentado tem menor tempo de dispo-
nibilidade que ambientes desorganizados. Esse dado facilmente justificado. Um bom pro cesso de documentao recomendvel e contribui para o bom desempenho dos servios e para reduo do downtime, simplificando troubleshooting e aprovisionamentos.
77
De posse da descrio de um problema e da documentao da topologia, do cabeamento e das VLANs da rede, pode-se avaliar com facilidade os pontos da rede com maiores chances de provocar a falha. Em alguns casos pode-se diagnosticar o problema sem sequer conectar-se a um equipamento de rede. A definio de um bom processo de documentao juntamente com uma ferramenta adequada recomendvel para o bom desempenho dos servios que dependem do bom funcionamento da rede de dados de uma instituio.
Ferramentas de monitoramento
11 Existem diversas ferramentas projetadas para realizar o gerenciamento de redes. 11 H boas opes de solues proprietrias bem como competentes ferramentas de software livre. 11 As ferramentas proprietrias tm a desvantagem de serem caras. 11 O software livre grtis e em muitos casos pode oferecer servios to adequados s necessidades da instituio quanto as solues de mercado.
No entanto, o bom desempenho das ferramentas livres depende fortemente da dedicao de mo de obra tcnica para customiz-las para as necessidades da instituio, o que requer tempo e dedicao. Feito isso seu desempenho ser satisfatrio. A seguir sero apresentadas algumas ferramentas de gerncia implementadas em software livre. Cacti 11 Ferramenta totalmente grfica baseada em consultas SNMP. 11 Praticamente qualquer recurso de rede compatvel com o protocolo SNMP (popular no mercado de tecnologia) pode ter um grfico plotado. 11 Inclui interfaces de rede, utilizao de CPU, memria, rea de swap de servidores etc. 11 Os grficos so armazenados em base de dados do tipo RRD.
Introduo rede Ip
Figura 5.9 Cacti.
78
MRTG 11 Ferramenta totalmente grfica com a mesma proposta do Cacti, mas possui menos recursos. 11 Tambm utiliza o protocolo SNMP como principal recurso.
Figura 5.10 MRTG.
NFSen 11 Ferramenta grfica que recebe e processa mensagens de flow dos equipamentos de rede. 11 Permite traar o grfico de utilizao de interfaces de rede com um diferencial: discernir as aplicaes que esto usando os recursos. 11 As ferramentas baseadas em SNMP permitem definir, por exemplo, que uma interface de determinado roteador tem uso de 8Mbps em um determinado horrio. 11 J as ferramentas baseadas em flow, como o NFSen, permitem saber adicionalmente que desse total: 22 1Mbps vem do servidor de e-mail, 2Mbps so de aplicaes de backup e 5Mbps de trfego de internet.
Figura 5.11 NFSen.
79
Muitas outras ferramentas esto disponveis. As equipes da GO e dos PoPs utilizam diversas ferramentas de gerncia para administrar a rede Ip. A experincia dessas equipes com as ferramentas de gerncia utilizadas compartilhada em eventos peridicos, como o WRNP. Os clientes da RNP so motivados a participar dos minicursos disponveis nesse evento. O WRNP tem ainda outras propostas.
l Para mais informaes

sobre o evento: http:// www.rnp.br/wrnp/
80
Introduo rede Ip
6
Instalao do roteador da RNP
objetivos
Descrever os requisitos de instalao fsica do roteador Juniper.
conceitos
Componentes bsicos dos roteadores J2350 e J2320.
Requisitos de instalao do roteador

11 A organizao usuria cliente da RNP receber em suas dependncias um roteador da RNP. 22 Esse equipamento ser um modelo Juniper 2350. 22 Ele far a interface entre a rede da instituio e a rede de acesso do PoP RNP. 11 Cada plataforma Juniper possui um guia de hardware que prov as instrues deta lhadas de instalao. Esse captulo comentar detalhes do planejamento de instalao da plataforma da srie J. O detalhamento de cada tarefa que compe o procedimento de instalao pode ser verifi cado no documento J Series Services Routers Hardware Guide.
Requisitos fsicos
11 O roteador da srie J preparado para ser instalado em um rack. 11 Para abrigar o equipamento, um rack deve atender aos requisitos: 22 Rack de 19 polegadas, como definido pelo documento EIA-310-D, publicado pela 11 Racks populares do mercado contemplam esse padro. O espao horizontal entre os suportes de um rack que satisfaz um dos padres citados normalmente um pouco maior que o espao entre as presilhas de montagem do roteador, que mede 19 polegadas (48,2 cm).
q
Captulo 6 - Instalao do roteador da RNP
European Telecommunications Standards (ETSI).
Caso o espao entre os suportes do rack seja configurvel, dever ser arranjado de modo a acomodar as dimenses externas do chassi. Alm disso, deve-se verificar se a especificao do rack permite que o peso do roteador seja adicionado carga total existente. O modelo J2320 possui as seguintes dimenses: 11 4,45 cm de altura, 38,35 cm de comprimento e 44,48 cm de largura.
81
11 O equipamento consome 1 RU do rack. 11 Seu peso varia de 6,8 a 7,6 Kg, dependendo da quantidade de placas instaladas. O modelo J2350 possui as seguintes dimenses: 11 6,63 cm de altura, 38,35 cm de comprimento e 44,48 cm de largura. 11 O equipamento consome 1,5 RU do rack. 11 Seu peso varia de 7,4 a 8,3 Kg, dependendo da quantidade de placas instaladas. Em racks com mltiplos equipamentos deve-se certificar que os mais pesados esto na parte de baixo. Caso o rack tenha apenas um nico equipamento (o roteador RNP) recomendado coloc-lo na parte inferior.
Requisitos de ventilao
O sistema de cooling dos roteadores J2350/J2320 funciona gerando o fluxo de ar de uma lateral do equipamento (no lado esquerdo) at a outra (no lado direito).
Assim, para que o sistema de cooling funcione adequadamente, necessrio que os lados do equipamento tenham um espao livre. Dessa forma, recomendado que as paredes laterais do rack sejam vazadas. Alm disso, recomenda-se que essas laterais tenham um espao livre de pelo menos 15 cm. O roteador tem cinco ventiladores que enviam ar do lado esquerdo do roteador para o direito. Esse fluxo de ar mantm o equipamento em temperatura adequada. 11 A velocidade dos ventiladores ajustada automaticamente dependendo da temperatura corrente. 11 As entradas de ar que abastecem os ventiladores devem ser limpas periodicamente. 11 A poeira reduz a capacidade de ventilao do sistema de cooling.
Requisitos de ambiente
A tabela seguinte exibe as condies de ambiente consideradas timas para a operao normal do roteador Juniper. Descrio Umidade relativa Temperatura Consumo de calor
Introduo rede Ip
Figura 6.1 Roteador J2350: ventilao lateral (Fonte: http:www. juniper.net)
Valor 5% a 90% sem condensao 0% a 40% J2350 1195 BTU/h (350 W) J2320 1091 BTU/h (320 W)
Tabela 6.1 Requisitos de ambiente.
Consumo de calor
Requisitos eltricos e planejamento de fora

O modelo J2320 compatvel com potncia AC. Da srie J, apenas os modelos J2350, J4350 e J6350 esto disponveis em DC. A tabela a seguir ilustra as especificaes eltricas do equipamento.
82
Descrio Voltagem AC Frequncia AC

Tabela 6.2 Especificaes eltricas.
Valor 100 240 V 50 a 60 Hz J2350 3,5 A a 1,5 A J2320 3,2 A a 1,3 A
Corrente AC Corrente AC
Os cabos de fora apropriados so disponibilizados junto com o equipamento. O conector fmea do cabo deve ser conectado tomada macho do roteador, que levar a energia at a fonte AC. O plug macho disponvel no cabo, o qual se ligar fonte de energia do prdio, ser compatvel com a localizao geogrfica do usurio. importante que o ambiente seja pensado de tal forma que o cabo de fora no atravesse o mesmo caminho que ser usado pelas pessoas. 11 Antes de adicionar novas PIMs (Physical Interface Module) ao chassi, preciso verificar se a combinao de PIMs e mdulos no exceder a capacidade de fora e calor do equipamento. 11 Se a funcionalidade de J Series Power Management estiver habilitada, PIMs e mdulos que excederem a capacidade de fora e de calor permanecero desligadas quando o chassi for ligado.
Manuseio de placas
Placas da Juniper (PIMs ou outras) so dispositivos caros e sensveis. A seguir exemplos de como NO se deve fazer o translado de uma placa.
Figura 6.2 Como NO transportar uma placa.
As placas devero ser transportadas com as duas mos apoiando a parte inferior do hardware.
83
Figura 6.3 Como transportar uma placa.
Descarga eletrosttica
11 Placas que so retiradas do equipamento contm partes sensveis descarga eletrosttica. 11 Placas PIMs (ou outras) podem sofrer danos sob voltagens da ordem de 30 V. 11 Uma pessoa pode facilmente gerar uma energia esttica dessa magnitude quando manuseia um material plstico ou uma embalagem de espuma, por exemplo. 11 Para evitar prejuzos desnecessrios, deve-se observar as precaues contra descarga eletrosttica: 22 Sempre use uma pulseira (ou tira) eletrosttica ao manusear placas do roteador. 22 Certifique-se de que a pele est em contato com a pulseira. 11 Se possvel, verifique periodicamente a resistncia do material usado. Esse valor deve sempre estar entre 1 e 10 mega ohms.
11 Ao manusear um componente do hardware, certifique-se de que o fio da pulseira eletrosttica est em contato com um dos pontos de descarga eletrosttica do chassi. 11 Evite o contato do hardware com a sua roupa. Ela tambm pode emitir voltagem sufi ciente para danificar o equipamento. 11 Ao remover um componente do hardware do roteador, sempre o coloque em um local de modo que os componentes eletrnicos fiquem em contato com uma superfcie eletrosttica.
Aterramento
recomendvel que a infraestrutura fsica que abrigar o roteador da RNP possua recursos para dissipao de energia, tal qual uma malha de terra. Para proteger o equipamento de descargas, deve-se aterr-lo antes de ligar. O equipamento traz na sua parte traseira um pino prprio para a conexo do aterramento. Alm do pino terra, uma rosca, um parafuso e uma arruela so fornecidos para acoplar o fio de terra ao roteador.
Introduo rede Ip
84
Ponto de aterramento de proteo em chassis Parafuso com arruela prisioneira Terminal de aterramento
Figura 6.4 Aterramento.
Componentes bsicos do roteador J2350
POWER LED
CONFIG LED
Auxiliary port
Phisical Interface Module (PIM)
PIN blanks
STATUS LED ALARM LED HA LED Power RESET Console button CONFIG port button LAN ports USB ports ESD point
Figura 6.5 Juniper J2350.
O roteador J2350 um equipamento da srie J. O hardware tem as seguintes caractersticas principais: 11 Ocupa 1,5 RU de rack. 11 512 MB de DRAM (expansvel at 1GB). 11 512 MB de compact flash disc (expansvel at 1GB). 11 400 Mbps de vazo. O roteador possui: 11 Duas portas USB, que permitem que um drive USB seja usado como unidade de armaze namento secundria; 11 4 portas Ethernet 10/100/1000 Mbps fixas; 11 5 Slots para PIMs (h grande variedade de PIMs disponveis).
85
Componentes bsicos do roteador J2320
POWER LED
CONFIG LED
Console port
Phisical Interface Module (PIM)
PIN blanks
STATUS LED ALARM LED HA LED Power RESET Auxiliary button CONFIG port button LAN USB ports ports ESD point
O roteador J2320 o equipamento de entrada da srie J. O hardware tem as seguintes caractersticas principais: 11 Ocupa 1 RU de rack. 11 256 MB de DRAM (expansvel at 1GB). 11 256 MB de compact flash disc (expansvel at 1GB). 11 Possui uma porta USB, que permite que um drive USB seja usado como unidade de armazenamento secundria. 11 400 Mbps de vazo. 11 4 portas Ethernet 10/100/1000 Mbps fixas. 11 3 slots para PIMs (h grande variedade de PIMs disponveis). Os demais componentes da srie J2300 so descritos a seguir: 11 Ponto ESD (eletrostatic discharge): usado para conectar uma pulseira eletrosttica; 11 LED Alarm: se aceso, indica que h um alarme ativo. Pode ser um alarme crtico, majoritrio ou minoritrio. Para mais detalhes ser necessrio se conectar ao sistema; 11 LED Power: se aceso, indica que o equipamento est ligado; 11 Boto Power: se pressionado e solto em seguida, ligar o roteador. Com o equipamento ligado, se o boto pressionado e solto rapidamente, provoca o processo de desligamento educado (no abrupto). Se o boto pressionado por mais de 5 segundos provoca o desligamento imediato do roteador. 11 Boto Reset Config: se pressionado e solto em seguida provoca o carregamento e o commit da rescue configuration. Se pressionado durante 15 segundos provoca a deleo de todas as configuraes, carrega a configurao de fbrica e faz commit dela;
Introduo rede Ip
Figura 6.6 Juniper J2320.
11 LED Configuration: pisca verde durante o carregamento da rescue configuration ou da configurao de fbrica. Pisca vermelho enquanto as configuraes esto sendo dele tadas e a configurao de fbrica est sendo carregada; 11 Porta Console: a porta prov um terminal (RS-232) com um conector RJ-45. usada para acessar a CLI do roteador;
86
11 Porta Auxiliar: a porta prov um terminal (RS-232) remoto com um conector RJ-45. usada para acessar a CLI do roteador remotamente; 11 Portas USB: aceitam a conexo de um drive USB que ser usado como um meio de armazenamento; 11 Portas LAN: recebem conexes de rede do padro 10/100/1000 Base-TX Gigabit Ethernet; 11 Terminal de aterramento: o ponto de contato definido para conexo do fio de terra; 11 Drive Compact Flash Externo: prov um meio de armazenamento secundrio para arquivos de log, de configurao e imagens de sistema operacional; 11 Tomada de fora: o ponto de conexo do cabo de fora AC que alimentar o equipamento; 11 Ventiladores (fans) da fonte: proveem resfriamento automtico da fonte de alimentao.
87
88
Introduo rede Ip
7
Fundamentos de Junos
objetivos
Descrever as caractersticas bsicas do sistema operacional Junos.
conceitos
Caractersticas do Junos, plano de controle, plano de encaminhamento e processamento de trfego.
Software modular
11 O sistema operacional da Juniper o Junos. 11 Foi desenvolvido a partir do cdigo aberto do Free BSD e tornou-se uma referncia no mercado de redes por sua estabilidade e modularidade. 11 Alguns grandes fabricantes do mercado esto partindo para a mesma proposta, de customizar software livre de modo a adequ-lo s necessidades de seus equipamentos. 11 As funcionalidades do Junos so alocadas em mltiplos processos de software. 22 Cada processo possui uma funo especfica e roda em seu prprio espao (prote gido) de memria, garantindo que um processo no sofra com falta de recursos e no interfira nos recursos de outros. 11 A modularidade ajuda a manter problemas isolados. 11 Quando um processo falha, o sistema como um todo continua funcionando, perde-se apenas a funcionalidade pela qual o processo responsvel. 11 A arquitetura do Junos tambm favorece a insero de novas funcionalidades. 11 Em outros sistemas comum trocar-se toda a imagem do sistema operacional para adicionar novas funcionalidades.
Ao adicionar novas funcionalidades no Junos, no se corre o risco de perder outras.
Captulo 7 - Fundamentos de Junos
11 No Junos essa operao mais simples e consequentemente traz menos riscos de falha.
89
Figura 7.1 Modularidade Juniper.
11 Todas as plataformas que utilizam o Junos usam o mesmo cdigo-fonte em imagens especficas. 11 Esse design garante que as funcionalidades do software funcionam de maneira similar em todas as plataformas que utilizam o Junos OS. 11 Esse fator faz com que a configurao e a operao das diferentes plataformas fun cionem exatamente da mesma maneira.
Separao entre planos de Controle e de Encaminhamento

11 Toda plataforma Juniper tem a mesma filosofia de trabalho: manter uma separao bem definida entre as tarefas de controle e de encaminhamento. 11 Dessa forma, as plataformas definem uma entidade especfica para cada uma dessas funes: o plano de controle e o plano de encaminhamento.
Routing Engine
RT
Control Plane Forwarding Plane
FT
JUNOS Software
Internal link
Frames/ Packets in
FT
Packet Forwarding Engine
Frames/ Packets out
Figura 7.2 Separao entre planos de Controle e de Encaminhamento.
O esquema mostrado na figura exibe a separao mantida entre o plano de controle (Control Plane) e o plano de encaminhamento (Forwarding Plane). Os processos responsveis pelo encaminhamento dos pacotes ficam totalmente separados dos demais, que cuidam dos protocolos de roteamento e tarefas administrativas da caixa. Esse design permite ao usurio do equipamento ajustar cada processo conforme sua necessidade. 11 O plano de controle executado pela Routing Engine (RE), enquanto o plano de enca minhamento implementado pela Packet Forwarding Engine (PFE). 11 A RE se comunica com a PFE atravs de um canal de comunicao interno exclusivo para esse fim. Atravs desse canal a PFE recebe a Forwarding Table (FT) atualizada. 90
Introduo rede Ip
11 As mensagens de atualizao da FT tm alta prioridade do kernel do Junos. 11 Enquanto a RE prov a inteligncia do sistema, a PFE pode simplesmente executar o encaminhamento dos pacotes com alto grau de confiabilidade e performance. Embora todas as plataformas Juniper utilizem o mesmo conceito de separao entre con -
trole e encaminhamento, a implementao dos componentes que definem a RE e a PFE varia de modelo para modelo. Nos equipamentos das sries M e T (mais robustos), a RE e a PFE compreendem diferentes hardwares. A PFE executada em circuitos integrados exclusivos (ASICs) enquanto a RE implementada por um processador. Nos equipamentos da srie J a PFE implementada em software e conta com recursos exclusivos de memria e ciclos de CPU, fazendo com que a PFE tenha o mesmo grau de esta bilidade dos modelos maiores. A RE ainda implementada em um processador. Alm disso, processadores de rede em cada interface fsica (PIM) executam servios de rede especficos, de forma a economizar recursos do hardware da RE principal da caixa.
Routine Engine (RE)

A RE o crebro da plataforma, responsvel por: 11 Gerenciar o sistema. 11 Processar e propagar anncios dos protocolos de roteamento. 11 Manter a tabela de rotas (routing table). 11 Calcular e manter a tabela de encaminhamento (forwarding table). 11 Atualizar as informaes de encaminhamento junto PFE.
Routing Engine
RT
Figura 7.3 Routing engine.
FT
JUNOS Software

A RE tambm executa os processos de todos os protocolos executados na caixa, bem como todos os demais softwares que controlam as interfaces de rede, os componentes do chassi e a superviso do sistema. Esses softwares so executados pelo kernel do Junos, que interage com a PFE. 11 A RE prov a interface de linha comando (Command Line Interface CLI) e a interface J-Web GUI, atravs das quais o usurio acessa e controla o roteador. 11 Por fim, a RE controla as aes da PFE atravs de informaes de encaminhamento atualizadas que so passadas quela entidade. 11 Os processos que residem no microcdigo da PFE tambm so gerenciados pela RE. 11 A PFE envia mensagens de status para a RE, que agir caso alguma mensagem reporte uma situao inadequada.
91

11 A PFE o componente central do plano de encaminhamento. 11 Sua funo despachar os pacotes recebidos com a maior velocidade possvel. 11 Essa tarefa baseada na informao de uma FT local da PFE. 11 A manuteno dessa tabela local evita que a PFE tenha que consultar as tabelas da RE para tomar a deciso de encaminhamento de cada pacote. 11 Esse design permite que o encaminhamento de pacotes continue funcionando em cenrios de falha do plano de controle.
Routing Engine
Frames/ Packets in
FT
Frames/ Packets out
Figura 7.4 Forwarding Engine.
A FT local da PFE sincronizada com as informaes de encaminhamento providas pela RE. Alm de encaminhar pacotes, a PFE tambm executa outros servios avanados como: limitador de trfego (Policer), filtros de firewall e CoS (Class of Service). Outros servios podem ser oferecidos atravs de cartes de servio especficos que podem ser adicionados caixa, como gerao de flows.
Processamento de trfego
Trfego de trnsito
11 Consiste em todo trfego que entra por uma interface de rede fsica, tem par metros comparados com a tabela de encaminhamento e deixa o chassi por uma interface de sada. 11 Para que o encaminhamento do pacote seja feito com sucesso, precisa haver uma entrada na FT da PFE. 11 O trfego de trnsito passa somente pelo plano de encaminhamento e nunca processado pela RE diretamente, ou seja, o plano de controle no tratar os pacotes referentes ao trfego de trnsito. 11 Mantendo o processamento do trfego de trnsito confinado ao plano de encaminha mento, as plataformas que executam o Junos conseguem otimizar seus recursos de hardware para as tarefas especficas de controle e de processamento de trfego. 11 Trfegos unicast e multicast so ambos classificados como trfego de trnsito, sendo
Introduo rede Ip
processados pela PFE e no pela RE.
92
Routing Engine
CPU
Figura 7.5 Trfego de trnsito.
Frames/ Packets in
FT
Frames/ Packets out
O trfego unicast chegar ao roteador por uma interface de entrada e sair por apenas uma interface de sada. O trfego multicast entrar por uma interface de entrada e poder sair por vrias interfaces de sada, dependendo do nmero e da localizao dos receptores multicast presentes na rede.
Trfego de exceo
O outro tipo de trfego processado pelo roteador o trfego de exceo. Diferente do trfego de trnsito, tratado mecanicamente pela PFE, o trfego de exceo requer alguma forma de processamento especial. Alguns exemplos de trfego de exceo: 11 Pacotes endereados ao prprio chassi, como atualizaes de protocolos de rotea mento, sesses telnet, pings, traceroutes e respostas a sesses iniciadas pela RE. 11 Pacotes IP com o campo IP options preenchidos (raramente esse tipo de pacote gerado e a PFE no foi desenvolvida para tratar esse caso). 22 Pacotes com o campo IP options marcado precisam ser enviados para apreciao da RE. 22 Um exemplo de aplicao que utiliza o campo IP options o acelerador de trfego. 11 Trfego que requer a gerao de mensagens ICMP. Mensagens ICMP so criadas para enviar ao originador de um trfego alguma condio de erro ou para responder mensagens de ping. Um exemplo de erro ICMP a mensagem Destination unreachable, gerada quando no h uma entrada na FT que atenda ao servio do pacote ou quando o parmetro TTL tenha expirado.
93
Routing Engine
CPU
Frames / Packets in
?
Frames / Packets out
Figura 7.6 Trfego de exceo
11 Todo trfego de exceo remetido RE atravs de um link interno que conecta os planos de controle e de encaminhamento. 11 O Junos limita a quantidade de trfego de exceo nesse link interno para proteger a RE de ataques de DoS (Denial of Service).
Durante congestionamentos, Junos d preferncia ao trfego local de controle, que desem penha as tarefas fundamentais para o bom funcionamento do roteador.
Routing Engine
CPU
Control Plane Forwarding Plane Built-in Rate Limiting
Figura 7.7 Limitador de trfego no link interno.
Frames/ Packets in
Por segurana, o limitador de trfego do link interno no configurvel.
94
Introduo rede Ip
8
Opes de acesso ao Junos
objetivos
Descrever as interfaces do usurio, os diversos modos de configurao, os procedimentos de gravao e restaurao das configuraes.
conceitos
Acesso do usurio, CLI do Junos, modos de acesso, Ajuda, Help Topic, Help Reference, completando comandos, teclas de edio EMACS, caractere pipe, modos de operao e configurao, interface J-Web GUI.
A interface de usurio
11 O Junos oferece duas formas de acesso de usurio: linha de comando ou interface J-Web (http). 11 A interface de linha de comando do Junos (CLI Command Line Interface) pode ser acessada de duas maneiras. 22 A primeira via porta console out of band (OoB). 33 Para tal acesso deve-se utilizar um cabo console para conectar a porta console do roteador a um notebook (ou mesmo um PC). 33 Esse notebook dever ter instalado um programa emulador de terminal (exemplo: Tera Term). 22 A outra forma de acesso interface de linha de comando via interface de rede (in band), utilizando um protocolo de acesso como telnet ou SSH.
Diferentemente do acesso via console, para acessar a caixa via protocolo de acesso necessrio executar uma configurao prvia em alguma interface de rede (a interface precisa ter IP configurado, por exemplo). Muitas plataformas da Juniper oferecem ainda uma porta ethernet dedicada apenas para gerncia. Essa interface, a exemplo da porta console, tambm oferece acesso out of band. Essa porta no oferece servio ao trfego de trnsito, e no existe no equipamento J2320. 11 O acesso do usurio ao sistema tambm se d via uma interface web que vem habili tada de fbrica. A Juniper chama essa interface de J-Web. 11 J-Web uma interface grfica (GUI) que um usurio pode acessar utilizando protocolo http (Hypertext Transfer Protocol) ou https (http over Secure Sockets Layer). Web browsers populares como o Windows Internet Explorer ou o Mozilla Firefox so capazes de prover esse acesso.
Captulo 8 - Opes de acesso ao Junos
95
Essa interface web permite que o usurio configure parmetros mais comuns do roteador atravs de janelas do tipo wizard. Para configuraes mais elaboradas, a J-Web permite edio direta do arquivo de configurao da caixa, que um arquivo texto.
A CLI do Junos
Fazendo login
11 O primeiro passo para acessar a interface CLI fazer o processo de login. 11 O Junos requer username e password para prover acesso ao sistema. 11 O administrador do sistema cria contas de usurios e as associa a um perfil de acesso. 11 Toda plataforma Junos possui a conta do usurio root configurada de fbrica, sem senha. 11 recomendado que a senha seja configurada logo no primeiro acesso. Ao se conectar ao equipamento, o usurio recebe um prompt que mostra o nome do usurio e hostname do roteador (caso haja um configurado). Processo de login: host (ttyu0) 11 login: user 11 Password: --- JUNOS 9.5R1.8 built 2009-04-13 20:03:09 UTC 11 user@host> 22 O usurio root tem acesso completo a todas as funes do roteador. 11 Quando se faz o login utilizando o usurio root, tem-se acesso a um shell de Unix. 22 Para iniciar a CLI do Junos utiliza-se o comando cli. 22 Para terminar a sesso usa-se o comando exit. 11 Todos os demais usurios (no root) ao se conectarem no sistema j recebem a CLI do Junos, sem necessidade do comando cli. 11 Para que um usurio no root tenha acesso a um shell, deve-se digitar o comando: # start shell
Modos de acesso
A CLI do Junos permite duas modalidades de acesso: 11 Modo de operao: 22 A CLI usada basicamente para monitorao e troubleshooting do roteador. 22 Comandos tpicos disponveis nesse modo: show, monitor, ping e traceroute. 33 Esses comandos permitem exibir informaes do sistema e executar testes,
Introduo rede Ip
mas no permitem alterar a configurao da caixa. 11 Modo de configurao: 22 O usurio pode configurar todos os parmetros do sistema incluindo interfaces, protocolos, nvel de acesso de contas de usurio e propriedades do hardware.
96
Ajuda
11 A CLI do Junos prov acesso a um minimanual (help) em qualquer ponto da linha de comando. 11 O help informa as opes disponveis no ponto do comando onde a ajuda foi solicitada, fornecendo uma breve explicao de cada opo. 11 A ajuda pode ser invocada atravs do comando ?. 11 No necessrio confirmar o comando com enter; basta simplesmente digitar ?. Quando o ponto de interrogao digitado na linha de comando, o Junos lista todos os comandos e/ou opes disponveis. Invocando ajuda:
user@host> ? Possible completions: clear configure file help Clear information in the system Manipulate software configuration information Perform file operations Provide help information
user@host> clear ? Possible completions: arp bfd bgp dhcp Clear address resolution information Clear Bidirectional Forwarding Detection information Clear Border Gateway Protocol information
Clear DHCP information
No exemplo acima, na parte superior, o usurio solicitou ajuda na CLI em branco. O Junos ento listou todos os comandos disponveis. Na parte inferior, o usurio solicitou ajuda aps digitar o comando clear. A CLI informou todas as opes que podem ser usadas para completar esse comando. Se o ponto de interrogao digitado no meio da string de um comando, o Junos mostrar exemplo acima o usurio tivesse digitado clear a?, o sistema teria mostrado todas as opes do comando clear que comeam com a letra a.
todas as opes disponveis que comeam com a string em questo. Por exemplo, se no
Help Topic
O comando help topic fornece um manual mais completo sobre um determinado tpico do sistema.
No exemplo a seguir, o usurio solicitou informaes sobre o tpico interfaces address. Na sada do comando, a CLI explica como aplicar um endereo interface e as situaes em que esse procedimento necessrio.
97
Help topic:
user@host> help topic Possible completions:
interfaces
accept-data accept-source-mac accounting classes
Accept packets Policers for
destined specific
for source
virtual address MAC addresses source
Packet counts
for destination and
accounting-profile Accounting profile acknowledge-timer Maximum time to wait for link
acknowledgment message address Interface address and destination prefix
user@host> help topic interfaces address Configuring the Interface Address
You assign an address to an interface by specifying the address when configuring the protocol family. For the inet family, configure the interfaces IP address. For the iso family, configure one or more addresses for the loopback interface. For the ccc, tcc, mpls, tnp, and vpls families, you never configure an address.
Help Reference
O comando help reference apresenta um manual sumarizado, um pouco mais prtico e menos terico, sobre um determinado tpico do sistema.
O exemplo seguinte exibe a aplicao do help reference sobre o mesmo tpico de sistema do exemplo anterior. O sistema explica as opes de configurao disponveis para o tpico e a sintaxe a ser utilizada, assemelhando-se ao comando man dos sistemas Unix.
user@host> help reference interfaces address address Syntax

Introduo rede Ip
address address { <publish>; ... broadcast address; arp ip-address (mac | multicast-mac) mac-address
98
Hierarchy Level [edit interfaces interface-name unit logical-unit-number family family], [edit logical-routers logical-router-name interfaces interfacename unit logical-unit-number family family] ...
Existem ainda outras variedades de uso do comando help menos populares, que podero ser exploradas ao longo da experincia dos alunos junto plataforma.
Completando comandos
11 O Junos permite a utilizao de teclas de completamento de comandos para evitar que o usurio precise executar um comando completo. 11 Utilizando a tecla de espao, o Junos completa o comando que est sendo digitado, simplificando a operao do sistema.
Se a tecla de espao usada em um ponto onde existe ambiguidade de comandos disponveis, um beep gerado pelo sistema e o comando no completado. Outra forma de completar o comando usar a tecla Tab. Essa tecla tem basicamente a mesma utilidade da tecla de espao. Se acionada no meio da digitao de um comando o Tab, completa a string do comando. A diferena de uso entre o Tab e a tecla de espao que quando existe ambiguidade de comandos disponveis, o Tab exibe os comandos ambguos disponveis.
Teclas de edio EMACS

O Junos permite ao usurio agilizar a tarefa de digitao com o uso de teclas de edio EMACS, que permitem mover o cursor em uma linha de comando para adicionar ou remover caracteres especficos.
user@host> show interfaces 1Ctrl+b user@host> show interfaces Sequncia do teclado 1Ctrl+a user@host> show interfaces 1Ctrl+f user@host> show interfaces
Figura 8.1 Edio EMACS.
Posio do cursor
1Ctrl+e user@host> show interfaces
99
As seguintes sequncias so suportadas: 11 Ctrl + b: move o cursor um caractere para a esquerda. 11 Ctrl + a: move o cursor para o incio da linha de comando. 11 Ctrl + f: move o cursor um caractere para a direita. 11 Ctrl + e: move o cursor para o final da linha de comando. 11 delete + backspace: remove o caractere antes do cursor. 11 Ctrl + d: remove todos os caracteres do incio da linha at o ponto onde est o cursor. 11 Ctrl + k: remove todos os caracteres entre o cursor e o final da linha de comando. 11 Ctrl + u: remove todos os caracteres e nega o comando corrente. 11 Ctrl + w: remove a palavra esquerda do cursor. 11 Ctrl + l: repete a linha corrente. 11 Ctrl + p: repete o comando anterior do histrico de comandos. 11 Ctrl + n: avana para o comando seguinte no histrico de comandos.
Usando o caractere pipe

11 O caractere | (pipe) executa a mesma funo que possui nos sistemas baseados em Unix. 11 Esse comando permite que a sada de um comando seja recebida e processada por um segundo comando. 11 Utilizando esse conceito pode-se, por exemplo, filtrar a sada de um comando. Os comandos disponveis aps o caractere | so listados: 11 compare: disponvel no modo de configurao, apenas quando se est usando um
comando de show. Compara mudanas feitas na sesso de configurao corrente com o contedo do arquivo de configurao do roteador. 11 count: exibe o nmero de linhas existentes na sada do comando antes do pipe. 11 display changed: disponvel apenas no modo de configurao. Exibe mudanas de confi gurao feitas na sesso corrente (para visualizao do arquivo em XML). 11 display detailed: disponvel apenas no modo de configurao. Exibe informaes adicio nais sobre o contedo da configurao. 11 display inheritance: disponvel apenas no modo de configurao. Exibe configurao herdada. 11 display omit: disponvel apenas no modo de configurao. Exibe linhas da configurao da opo omit. 11 display set: disponvel apenas no modo de configurao. Exibe os comandos set que geraram as linhas de configurao. 11 display xml: exibe a sada do comando anterior ao pipe no formato JUNOScript XML.
Introduo rede Ip
11 except <regular expression>: exibe a sada do comando anterior sem a expresso especificada. 11 find <regular expression>: exibe a sada do comando anterior comeando da linha que contm a expresso regular especificada. 11 hold: exibe a sada do comando anterior ao pipe tela a tela (como faz o comando more do Unix).
100
11 last: exibe a ltima tela da sada do comando anterior ao pipe. 11 match <regular expression>: exibe a sada do comando anterior ao pipe, incluindo apenas as linhas que contm a expresso regular especificada. 11 no-more: exibe a sada do comando anterior ao pipe toda de uma vez, sem pausa entre diferentes telas. 11 request message: exibe a sada para mltiplos usurios. 11 resolve: converte endereos IP em nomes do DNS. 11 save <filename>: salva o output do comando anterior ao pipe para o arquivo especificado. 11 trim: especifica o nmero de colunas a partir da linha inicial da sada do comando ante rior ao pipe. possvel cascatear mltiplos pipes para processar uma sada de comando j processada por um pipe.
101
102
Introduo rede Ip
Atividade 3.1 Acessar o Juniper via console serial
1. Uma das maneiras de se acessar o roteador via cabo de console serial. Esse cabo fornecido junto com o equipamento e possui um conector RJ45 em uma das pontas, que voc dever conectar na porta de console do roteador e o outro conector DB9 em outra ponta, que voc dever conectar na porta serial do computador. Ao conectar corretamente os cabos, voc precisar utilizar um software que ir propiciar o acesso CLI do Junos. Esse software pode ser o HyperTerminal do Windows ou o software livre PuTTY.
Figura 8.2 Tela de configurao do software PuTTY.
Aps alterar o connection type tipo de conexo para serial, clique em open; vai apa recer uma tela preta, onde voc dever digitar a tecla enter. Feito isso, voc entrar na tela de login solicitando um usurio. O usurio root. Aps informar o usurio o sistema solicitar uma senha. Essa senha vem em branco de fbrica.
103
2. Entrando no modo operao; Quando voc acessa o Junos com o usurio root, recebe um Shell Linux que fornece a maioria dos comando bsicos do Unix. Para acessar o console do Junos, voc dever digitar o comando cli (isso ocorre somente com o usurio root).
root@% cli
Aps o comando cli voc perceber que o prompt foi alterado, identificando que voc est no modo operao.
root>
3. Utilizando as opes de help do Junos; O Junos oferece algumas opes de ajuda, que auxiliaro na administrao do sistema ope racional. A primeira opo o sinal ?, logo aps cada comando.
root# set system host-name ? Possible completions: <host-name> [edit system] root# set services ? Possible completions: <[Enter]> + apply-groups + apply-groups-except groups > dhcp > finger > ftp > netconf > outbound-ssh > service-deployment management application > ssh > telnet
Introduo rede Ip
Hostname for this router
Execute this command Groups from which to inherit configuration data Dont inherit configuration data from these
Configure DHCP server Allow finger requests from remote systems Allow FTP file transfers Allow NETCONF connections Initiate outbound SSH connection Configuration for Service Deployment (SDXD)
Allow ssh access Allow telnet login Web management configuration Allow clear text-based JUNOScript connections Allow SSL-based JUNOScript connections Pipe through a command
> web-management > xnm-clear-text > xnm-ssl | [edit system]
104
Outra opo de ajuda que o Junos oferece com o comando help topic, que junto ao sinal de interrogao fornece uma ajuda mais detalhada sobre uma configurao desejada.
root# help topic system host-name Configuring the Routers Hostname To configure the routers name, include the host-name statement at the [edit system] hierarchy level: [edit system] host-name hostname; The routers name value must be less than 256 characters. Related Topics * Configuring the Basic Router Properties * Example: Configuring a Router?s Name, IP Address, and System ID [edit]
Outra opo de ajuda que o Junos oferece com o comando help reference, que junto o sinal de interrogao, fornece informaes mais detalhadas sobre uma configurao desejada.
root# help reference system host-name host-name Syntax host-name hostname; Hierarchy Level [edit system] Release Information Statement introduced before JUNOS Release 7.4. Description Set the hostname of the router. Options
hostname--Name of the router. Usage Guidelines See Configuring the Router?s Hostname. Required Privilege Level system--To view this statement in the configuration. system-control--To add this statement to the configuration. [edit]
105
Atividade 3.2 Opes da interface de usurio

Parte 1: Obtendo ajuda no Junos
Verifique as possveis opes do comando clear. R.:5 clear ? Verifique as possveis opes do comando show system. R.:5 show system ? Verifique todas as opes do comando show system que comecem com a letra a. R.:5 show system a? Consulte o manual do sistema sobre endereos de interfaces. R.:5 help topic interfaces address Cheque outros temas referentes a interfaces para os quais seja possvel solicitar o manual de informaes. R.:5 help topic interfaces ? Cheque outros temas para os quais seja possvel solicitar o manual de informaes. R.:5 help topic ? Utilize o comando help reference para verificar instrues de como aplicar um endereo a uma interface. R.:5 help reference interfaces address
Parte 2: Familiarizando-se com a CLI do Junos

11 Pratique o completamento automtico de comando com as teclas Tab e Space. Exemplo 1: Digite show system up<Tab> Exemplo 2: Digite show system up<Space> Exemplo 3: Digite show system x<Tab> Exemplo 4: Digite show system x<Space> 11 Aps aplicar os exemplos acima, explique a diferena entre Tab e Space:
11 Verifique o histrico de comandos antigos executando recursivamente a tecla seta pra cima ou Ctrl+p.
Introduo rede Ip
11 Avance para os comandos mais recentes do histrico executando recursivamente a tecla seta pra baixo ou Ctrl+n. 11 Digite o comando pow interfaces fe-0/0/0 e tecle <Enter> (isso gerar um erro). 11 Corrija o comando anterior digitando seguidamente:
106
Ctrl+p Ctrl+a Troque P por sh. Tecle <Enter>.
Modo de operao
11 Ao fazer login no Junos, o usurio tpico ganha acesso ao modo de operao, utilizado para tarefas de monitorao e controle da plataforma. 11 Os comandos do modo de operao seguem uma determinada hierarquia. O comando show, exemplificado na figura seguinte, exibe vrios tipos de informao
sobre o sistema e seu ambiente. A figura mostra uma das possveis opes da hierarquia do comando show: a opo ospf, que mostra informao sobre o protocolo de roteamento dinmico OSPF. Especificando a subopo interface dentro da opo ospf, obtemos informaes sobre as configuraes de OSPF de uma ou mais interfaces. O comando final fica show ospf interface.
Exemple: user@host> show ospf interface

Less Specic
clear
configure
help
monitor
set
show
...
arp
Figura 8.3 Hierarquia do Modo de Operao.
configuration
ospf
version
...
database
More Specic
interface
neighbor
...
possvel executar comandos do modo de operao, como o show, a partir do modo de configurao. Para tal basta usar o comando run. Assim, para verificar as configuraes de OSPF das interfaces da caixa a partir do modo de operao, por exemplo, utiliza-se o show ospf interface. Para executar o mesmo comando a partir do modo de configurao, usa-se o run show ospf interface. Algumas tarefas tpicas executadas de dentro do modo de operao: 11 Monitoramento e verificao do sistema (com comandos de show, por exemplo);
11 Troubleshooting; 11 Conexo a outros sistemas (com Telnet ou SSH); 11 Cpia ou criao de arquivos; 11 Reincio de processos; 11 Entrada no modo de configurao; 11 Trmino de sesso no equipamento.
107
Comandos do Modo de Operao:
user@host> ? possible completions: clear configure file help monitor mtrace op ping quit request restart cet show cch start telnet test Clear information in the system Manipulate software configuration information Perform file operations Provide help information Show real-time debugging information Trace multicast path from source to receiver Invoke an operation script Ping remote target Exit the management seSSlon Make system-level requests Restart software process Set CLI properties, date/time, craft interface message Show system information Start secure shell on another host Start shell Telnet to another host Perform diagnostic debugging
trace route Trace route to remote host
Modo de configurao
11 Esse modo permite a um usurio alterar o arquivo de configurao do sistema. 11 Diferente da maioria dos fabricantes, os equipamentos Juniper no efetivam as alte raes de configurao no exato momento em que os comandos de configurao so executados. 11 Todas as alteraes que um usurio faz so acumuladas em um arquivo, temporariamente. 11 O Junos trabalha com os conceitos de Configurao Candidata e Configurao Ativa. 22 Configurao Ativa: 33 Presente no arquivo de configurao que est efetivamente valendo para o
Introduo rede Ip
roteador. 33 Configurao que o sistema carrega durante o processo de boot do equipamento. 22 Configurao Candidata: 33 Fica em um arquivo temporrio e poder tornar-se a configurao ativa, caso o usurio queira. 33 Quando o usurio entra no modo de configurao do Junos, o software cria uma configurao candidata a partir de uma cpia da configurao ativa.
108
Se o usurio executa algum comando de configurao, altera a configurao candidata. Uma vez que o usurio tem certeza que a sua modificao pode ser efetivada, ele executa o comando commit. Essa ao faz com que a configurao candidata seja copiada em cima da configurao ativa. Nesse momento a configurao ativa alterada efetivamente.
commit
Congurao Candidata
configure rollback n
Congurao Ativa
...
49
Figura 8.4 Configurao Candidata e Configurao Ativa.
Ba lde d e b its
11 Para entrar no modo de configurao e inaugurar a criao de um arquivo de configu rao candidata deve ser utilizado o comando configure. A partir desse momento o usurio pode comear a configurar o Junos. 11 Aps executar todos os comandos de configurao desejados, executa-se o commit. 11 Nesse momento, o Junos checar toda a configurao candidata procurando por possveis problemas de sintaxe. 11 No encontrando problemas, a configurao candidata copiada para a configu rao ativa. 11 As alteraes passam a ser vlidas. Se a sintaxe no est correta, o sistema gera uma mensagem de erro e a configurao candidata no efetivada at que o erro seja corrigido. 11 Caso o usurio mude de ideia quanto configurao recm aplicada, pode-se retornar configurao anterior atravs do comando rollback no modo de configurao. 11 Na verdade, o Junos capaz de salvar os ltimos 50 arquivos de configurao.
Iniciando o Modo de Configurao

11 Para entrar no modo de configurao, executa-se o comando configure a partir da CLI do modo de operao. 11 Se um usurio entra no modo de configurao e outro usurio j est nesse modo, o sistema gera uma mensagem indicando o usurio que est editando a configurao candidata e a poro da configurao que est sendo editada. 11 Uma vez no modo de configurao, o prompt da CLI muda do > para o #.
109
Esse nmero inclui o arquivo de configurao ativo correntemente.
11 Alm disso, surge no prompt um par de parnteses ([ ]), indicando em qual ponto da hierarquia do arquivo de configurao o usurio est. 11 Ao entrar no modo de configurao o usurio sempre entrar no nvel [edit].
Configurao exclusiva
11 Por default, mltiplos usurios podem entrar no modo de configurao e executar commit. 11 Utilizando o comando configure exclusive, o usurio tem acesso ao modo de confi gurao e impede que outros usurios possam entrar nesse modo. 11 Ou seja, o usurio tem a garantia de que somente ele est editando a configurao candidata. Configurao exclusiva x Configurao tradicional: user@host> configure Entering configuration mode [edit] user@host# user@host> configure exclusive warning: uncommitted changes will be discarded on exit Entering configuration mode [edit] user@host# 11 Quando se usa o configure exclusive para editar a configurao candidata, caso o usurio saia do modo de configurao sem executar um commit, todas as mudanas so descartadas, ao contrrio do que ocorre quando se usa o comando configure, em que as mudanas no salvas com o commit ficam retidas na configurao candidata. 11 Na prxima vez que se entrar no modo de configurao, a configurao candidata estar l, intocada. 11 Sempre que possvel o uso do configure exclusive recomendado.
Configurao privada
Outra forma de entrar no modo de configurao fazendo uso do comando configure private. Esse comando permite que mltiplos usurios editem a configurao. Nesse caso, ao fazer commit, os usurios salvam na configurao ativa apenas as linhas de configu rao que cada um editou. Se um usurio que entrou no modo de configurao atravs de um configure private (fazendo um commit) muda de ideia e executa um rollback 0, apenas as linhas que ele
Introduo rede Ip
mesmo alterou so revistas. Se dois usurios esto no modo de configurao privada e ambos fazem a mesma modifi cao, o segundo commit vai falhar, e ser exibida mensagem de erro para evitar conflito de configurao. Se o usurio que executou o segundo commit insiste e executa um novo commit, a configurao salva corretamente.
110
Em alguns cenrios, o administrador do sistema pode querer definir que todas as edies da configurao sejam feitas com configure private e nunca com configure. Ao criar contas de usurios possvel limitar os comandos disponveis. Pode-se ento excluir a permisso para executar o configure, permitindo, por exemplo, o configure private. Se um usurio adentra o modo de configurao e altera a configurao candidata, outros usurios no podem entrar no modo de configurao usando as opes exclusive ou private. As mudanas feitas pelo primeiro usurio precisam ser confirmadas com um commit ou descartadas para que outros usurios possam entrar nos modos exclusivo ou privado.
Hierarquia do Modo de Configurao

11 No modo de configurao, o usurio se movimenta atravs de uma hierarquia de pores da configurao. 11 Para alterar um parmetro, o usurio se movimenta at o ponto correto da hierarquia e faz a alterao.
[edit] user@host# edit protocols ospf area 51 stub [edit protocols ospf area 0.0.0.51 stub] user@host#
Less Specic
[edit] chassis interfaces bgp isis protocols services system ... pim rip rsvp vrrp ... ...
mpls ospf
area area_id graceful-restart overload traffic-engineering

Figura 8.5 Hierarquia de configurao.
More Specic
area-range area_range
interface
nssa
stub
...
A hierarquia do arquivo de configurao nada tem a ver com a hierarquia de comandos do modo de operao. De maneira anloga, os comandos disponveis no modo de configurao nada tm a ver com os disponveis no modo de operao. Por exemplo, na CLI do modo de operao disponibiliza o comando show para mostrar informaes especficas do sistema, enquanto que no modo de configurao tambm h um comando show, mas para exibir uma poro especfica do arquivo de configurao. Os dois comandos de show no tm qualquer relao. O Junos organiza a hierarquia de comandos de configurao em uma estrutura de rvore, similar estrutura de diretrios do Unix e do Windows. Nesse modelo as configuraes relacionadas ficam agrupadas em um mesmo ponto da rvore. 11 Para modificar uma linha qualquer da configurao candidata utiliza-se sempre o comando set. 11 O comando show exibe a configurao candidata ou parte dela.
111
Comandos set e show no Modo de Configurao: [edit system] user@host# set services web-management http port 8080 [edit system] user@host# show services web-management { http { port 8080;
} }
11 As diferentes pores do arquivo de configurao (candidata ou ativa) so hierarquizadas atravs de chaves ({ }). As chaves facilitam a leitura da estrutura de rvore. 11 O final de cada linha de configurao termina sempre com um ponto e vrgula (;), assemelhando o formato do arquivo a um cdigo de linguagem de programao estruturada. 11 Nos comandos de set, que efetivamente alteram o arquivo de configurao, no necessrio incluir nem colchetes nem ponto e vrgula.
Movendo entre nveis no Modo de Configurao

11 Ao entrar no modo de configurao, o usurio encontra-se na raiz da hierarquia. Esse nvel chamado edit. Nesse momento o prompt de comando assinala a string [edit]. 11 Para mover-se para os nveis mais baixos da hierarquia utiliza-se o comando edit, especificando o nvel ao qual se deseja chegar.
Aps mudar de nvel, o prompt muda para indicar o novo nvel onde o usurio est posicionado.
[edit] user@host# edit protocols ospf area 51 stub [edit protocols ospf area 0.0.0.51 stub] user@host# [edit]
chassis
interfaces protocols
services system
...
bgp
isis
mpls
ospf
pim
rip
rsvp
vrrp
...
area
Introduo rede Ip
area_id
graceful-restart
overload
traffic-engineering
...
area-range
area_range
interface
nssa
stub
...
Figura 8.6 Comandos edit: movendo-se na Hierarquia de Configurao.
Para mover-se de volta um nvel na hierarquia de configurao utiliza-se o comando up:
112
[edit protocols ospf area 0.0.0.51 stub] user@host# up [edit protocols ospf area 0.0.0.51] user@host# [edit]
chassis
services
system
...
bgp
isis
mpls
ospf
pim rip
rsvp
vrrp
...
area
Figura 8.7 Comando up.
area_id
graceful-restart
overload
traffic-engineering
...
area-range
area_range
interface
nssa
stub
...
Para mover-se de volta n nveis na hierarquia de configurao utiliza-se o comando up <n>.
[edit protocols ospf area 0.0.0.51] user@host# up 2 [edit protocols] user@host# [edit]
chassis
services
system
...
bgp isis
mpls
ospf
pim
rip rsvp
vrrp
...
area
Figura 8.8 Comando up <n>.
area_id
graceful-restart
overload
traffic-engineering
...
area-range
area_range
interface
nssa
stub
...
Para retornar para o nvel raiz da hierarquia de configurao utiliza-se o comando top.
113
[edit protocols ospf area 0.0.0.51 stub] user@host# top [edit] user@host# [edit]
chassis
services
system
...
bgp isis
mpls
ospf
pim rip
rsvp
vrrp
...
area
area_id
graceful-restart
overload
traffic-engineering
...
Figura 8.9 Comando top.
area-range
area_range
interface
nssa
stub
...
11 O comando top pode ser combinado com o comando edit para se mover de um determinado nvel da hierarquia para outro nvel completamente diferente, com apenas um comando. 11 Comando top combinado com edit: avano rpido entre nveis.
[edit protocols ospf area 0.0.0.0 interface ge-0/0/0.0] user@host# top edit system login [edit system login]
user@host# top show system services ftp; ssh;

11 O comando exit retorna para o nvel da hierarquia de configurao que o usurio estava antes do nvel corrente. 11 Se o usurio estiver na raiz (nvel edit) o comando exit sai do modo de configurao. 11 O comando exit configuration-mode sai do modo de configurao independente do nvel de hierarquia onde o usurio est.
114
Introduo rede Ip
[edit protocols ospf] user@host# edit area 51 stub [edit protocols ospf area 0.0.0.51 stub] user@host# exit [edit protocols ospf] user@host# [edit] chassis interfaces protocols services system ...
bgp isis
mpls
ospf
pim rip
rsvp
vrrp
...
Figura 8.10 Comando exit: retorno ao nvel anterior.
area
area_id
graceful-restart
overload
traffic-engineering
...
area-range
area_range
interface
nssa
stub
...
Resumo dos comandos para navegao entre os diferentes nveis da hierarquia de configurao: 11 edit: direciona o usurio para um ponto da hierarquia de configurao. 11 up: move o usurio um nvel acima na hierarquia. 11 up <n>: move o usurio n nveis acima na hierarquia. 11 top: move o usurio para a raiz da hierarquia. 11 exit: move o usurio para o nvel anterior.
Alterando linhas da Configurao Candidata

Uma vez posicionado no nvel desejado da hierarquia que se quer modificar, o comando set altera/adiciona uma linha da/na configurao candidata. Comando set:
[edit system services] user@host# show ssh ; telnet;

[edit system services] user@host# set ftp -> FTP service added
[edit system services] user@host# show
115
ftp; ssh; telnet;

No exemplo anterior, o comando set adicionou o comando ftp no nvel [edit system services]. possvel executar o mesmo comando sem a necessidade de se mover para o ponto da hierarquia a ser alterado. Para tal, poderia ter sido executado o comando set system services ftp a partir do nvel [edit]. Ou ainda, poderia ter sido usado o comando set services ftp a partir do nvel [edit system]. 11 Para desfazer uma ao executada por um comando set, utiliza-se o comando delete. 11 Esse comando remove uma linha de configurao e todas as linhas relacionadas. Comando delete:
[edit system services] use r@host# show ftp ; ssh; telnet;
[edit system services] user@host# delete telnet
[edit system services] user@host# show ftp ; ssh;

Dependendo do uso que se deseja fazer do comando delete, possvel usar o wildcard delete. Esse comando til quando se deseja remover vrias configuraes semelhantes. O prximo exemplo exibe a utilidade desse recurso. Comando wildcard delete:
[edit] user@host# wildcard delete interfaces ge-1/*

Introduo rede Ip
matched: ge-1/0/0 matched: ge-1/0/1 Delete 2 objects? [yes, no] (no) yes
[edit]
116
user@host#
Ativando e desativando configuraes

11 O Junos permite que um usurio desative uma determinada configurao sem remov-la. 11 Uma linha de configurao desativada continua presente no arquivo de configurao da caixa, mas o roteador ir ignor-la. 11 O comando deactivate desativa uma poro da configurao, a qual poder ser reativada com o comando activate. Comandos activate e deactivate:
[edit] user@host# deactivate interfaces ge-0/0/0 [edit] user@host# commit commit complete [edit] user@host# show interfaces ge-0/0/0 ## ## inactive: interfaces ge-0/0/0 ## unit 0 { family inet { address 10.210.11.177/28; } family inet6; } [edit] user@host# activate interfaces ge-0/0/0 [edit] user@host# commit commit complete [edit] user@host# show interfaces ge-0/0/0 unit 0 { family inet {
117
address 10.210.11.177/28; } family inet6; }
Outros comandos auxiliares do Modo de Configurao

H ainda alguns comandos teis que facilitam a operao do Junos no modo de configurao. So eles: 11 rename: altera o nome de uma configurao. 11 replace: altera um padro em uma linha de configurao. 11 copy: copia um padro de linha de configurao para outra linha. 11 insert: insere uma linha de configurao em um ponto desejado do arquivo de configurao. Esses comandos sero trabalhados nas atividades de laboratrio.
Verificando a Configurao Candidata

11 No modo de configurao utiliza-se o comando show para verificar as linhas da configurao candidata. 11 Esse comando exibe a configurao de todo o arquivo da configurao candidata ou de uma poro da hierarquia corrente. 11 O comando show | compare compara a configurao candidata com a ativa. O exemplo seguinte mostra duas formas de exibir a configurao da hierarquia [edit system services]. Comando show:
[edit] user@host# show system services ssh; web-management { http { port 8080; } }
Introduo rede Ip
[edit] user@host# edit system services
[edit system services]

118
user@host# show ssh;
web-management { http { port 8080; } }
Hint To view the set commands used to build the configuration use the show | display set command.
Utilizando o comando show, a configurao da hierarquia especificada aparece entre chaves ({ }). As linhas de configurao da hierarquia aparecem finalizadas por um ponto e vrgula (;). Essa formatao a mesma que a CLI usa para armazenar as configuraes setadas pelo usurio. 11 Opcionalmente, possvel ver a configurao de uma determinada hierarquia no formato de comandos set. 11 Dessa forma, o usurio tem acesso aos comandos que foram efetivamente utilizados para fazer as configuraes presentes no arquivo. 11 Para visualizar uma poro de configurao nessa formatao descrita, utiliza-se o comando show com a opo display set. Comando show com opo display set:
[edit] user@host# show system services | display set set system services ssh set system services web-management http port 8080
Salvando a Configurao Candidata

11 Uma vez editada a configurao candidata com os vrios comandos disponveis no modo de configurao, hora de salvar as alteraes. 11 A forma mais simples e usual de executar essa tarefa j foi apresentada: commit. 11 Aps executar o commit, a mensagem commit complete confirma que as altera es foram executadas corretamente. 11 Caso haja erros de sintaxe, uma mensagem de erro ser gerada e a configurao no ser salva. Comando commit:
q
119
[edit] user@host# commit commit complete

Uma forma de verificar de antemo se a configurao est sem erros de sintaxe atravs do comando commit check. Esse comando verifica se a configurao candidata est correta, mas no salva essa configurao. Comando commit check:
[edit] user@host# commit check [edit interfaces ge-0/0/10 unit 0] family When ethernet-switching family is configured on an interface, no other family type can be configured on the same interface. error: configuration check-out failed
Ao executar determinadas mudanas na configurao do equipamento, a partir de um ponto remoto, existe o risco de perda do acesso a ele. Por exemplo, ao alterar uma configu rao de roteamento incorretamente, possvel que haja perda de conectividade entre o ponto onde est o computador do usurio e o roteador. No mundo real essa situao ocorre com certa frequncia. Normalmente quando isso acontece, a nica soluo levar um notebook at a sala onde est o roteador, conectar o notebook porta console e corrigir o problema. Se o usurio que est fazendo a configurao no est no prdio onde est o roteador, pode estar caracteri zado um problema srio. O Junos apresenta uma proposta para essa situao: o comando commit confirmed. Antes de salvar a configurao candidata com o comando commit, o usurio tem a opo de executar o commit confirmed <time>, onde <time> um nmero expresso em minutos. Esse comando faz com que o roteador efetive a configurao candidata durante alguns minutos. Se aps essa quantidade de minutos especificada o usurio no se pronunciar, o roteador volta com a configurao anterior (rollback1 !). Se o usurio quiser confirmar a efetivao da configurao candidata, ele deve executar um commit. Comando commit confirmed:
[edit]
Introduo rede Ip
user@host# commit confirmed commit confirmed will be automatically rolled back in 10 minutes unless confirmed commit complete
120
Repare que, caso o usurio tenha cometido um erro de configurao que comprometa a conectividade do equipamento, esse procedimento evita que o usurio perca acesso total ao equipamento durante muito tempo, caso esteja fazendo uma alterao de configurao remotamente. Se o comando executado sem que seja especificado um valor de tempo, o valor assumido de 10 minutos. O Junos tambm permite que um usurio agende um commit. Para tal utiliza-se o commit at. Comando commit at:
[edit] user@host# commit at 21:00:00 configuration check succeeds commit at will be executed at 2009-05-11 21:00:00 UTC Exiting configuration mode
11 Para checar se h um commit agendado no roteador utilize o comando show system commit no modo de operao. 11 Para abortar um agendamento de commit utilize o comando clear system commit no modo de operao. Comandos show system commit e clear system commit:
user@host> show system commit commit requested by user via cli at 2009-05-11 21:00:00 UTC 0 ... user@host> clear system commit Pending commit cleared
Outra possibilidade deixar um log registrado do commit que ser executado. Para tal utiliza-se o comando commit comment. Dessa forma, o commit ficar registrado na sada do comando de verificao show system commit, que deve ser executado no modo de operao. Comandos commit comment e show system commit:
2009-05-11 15:32:42 UTC by user via cli
[edit] user@host# commit comment Changed OSPF configuration commit complete

user@host> show system commit 0 2009-05-11 15:32:42 UTC by User via cli Changed OSPF configuration
Por fim, o Junos permite executar o commit e deixar o modo de configurao de uma s vez. Para tal utiliza-se o comando commit and-quit.
121
Checando alteraes antes de salvar

11 Um usurio fez dezenas de mudanas na configurao candidata. Antes de executar o commit, precisa ter certeza de que tudo foi feito. 11 A diferena entre a configurao candidata corrente e a configurao ativa pode ser verificada com o comando show | compare no modo de configurao. Comando show | compare:
[edit system services] user@host# show | compare [edit system services] + ftp; - telnet;
O uso desse comando sempre recomendvel. Analogamente, possvel comparar o contedo da configurao candidata com outras con figuraes passadas. Para tal utiliza-se, no modo de operao, o comando show configura tion | compare rollback <n>, onde <n> denota o ndice da configurao passada; ndice zero se refere configurao corrente; ndice 1 se refere ltima configurao; ndice 2 se refere penltima configurao... O Junos tambm permite comparar outros arquivos, que no so necessariamente os arquivos de configurao. Para executar tal ao, execute file compare files <arquivo1> <arquivo2>.
Restaurando configuraes
11 O Junos pode guardar automaticamente as ltimas 50 verses de arquivos de configurao. 11 Para restaurar qualquer um desses arquivos utiliza-se, no modo de configurao, o comando rollback <n>, onde <n> denota o ndice da configurao a recuperar. Nesse caso <n> varia de 0 a 49. 11 O comando rollback reescreve um arquivo de configurao antigo na configurao candidata. 11 Para confirmar a restaurao da configurao no roteador, o usurio precisa executar ainda o comando commit. 11 Para alterar a quantidade de configuraes salvas automaticamente pelo Junos utiliza-se o seguinte comando no modo de configurao: set max-configurations-on-flash <max>
122
Introduo rede Ip
Dessa forma, a vida de um arquivo de configurao retratada na figura a seguir.
Congurao Candidata
configure rollback n
Congurao Ativa
...
49
Figura 8.11 Vida do arquivo de Configurao.
Ba lde d e b its
Salvando a configurao em arquivo ASCII

11 O Junos salva configuraes automaticamente, as quais podem ser restauradas com o comando rollback. 11 s vezes interessante salvar a configurao do equipamento em um arquivo ASCII, ou ainda, pode ser til salvar apenas parte da configurao em um arquivo ASCII. 11 Essas operaes podem ser executadas com o comando save. Comando save:
[edit] user@host# save filename Wrote 101 lines of configuration to filename

Este comando salva as linhas da configurao candidata em um arquivo cujo nome foi especificado. As linhas que sero salvas no arquivo ASCII so as linhas da hierarquia onde se estava ao executar o comando. 11 Para salvar toda a configurao candidata necessrio estar no nvel [edit]. 11 Para salvar as configuraes referentes aos servios do sistema deve-se executar o save no nvel: [edit system services]. 11 Se o diretrio do arquivo destino no especificado, o arquivo salvo no diretrio home do usurio: /var/home/<login>. A seguir podemos conferir formas alternativas para selecionar o destino do arquivo que ser salvo.
q
123
Selecionando destino do arquivo:
[edit] user@host# save path/filename [edit] user@host# save ftp://user:password@host/path/filename
[edit] user@host# save scp://user@host/path/filename

A segunda opo exibida faz com que o roteador salve o arquivo em um diretrio de um servidor de FTP remoto, utilizando o login user e a senha password. A terceira opo mostra o arquivo sendo salvo em um servidor remoto host, atravs de um security copy, utilizando o login user. Nesse caso o sistema remoto solicitar a senha atravs de um prompt.
Carregando arquivo de configurao

O comando rollback recupera um arquivo de configurao dentre os arquivos automaticamente salvos pelo sistema. Alm disso, possvel carregar a configurao de um arquivo ASCII do usurio. Para tal utiliza-se o comando load. O load pode carregar a configurao completa ou parcial contida em um arquivo ASCII local, de um arquivo em um servidor remoto ou do buffer de um programa de emulao de terminal. O comando load permite vrios argumentos: 11 factory-default: troca o arquivo de configurao corrente pela configurao default de fbrica. 11 merge: combina a configurao corrente com a configurao carregada. 11 override: sobrescreve completamente a configurao corrente com a configurao carregada. 11 replace: procura pela tag replace no arquivo de configurao que est sendo carre gado. O software troca as linhas existentes com o mesmo nome daquelas marcadas com replace no arquivo carregado. 11 set: permite que o usurio carregue um arquivo de configurao formatado como um conjunto de comandos set (uma das formas mais usadas da operao load). Em todas as modalidades do comando load, o arquivo repositrio carregado na configu rao candidata. Para efetivar as alteraes necessrio usar o comando commit.
Comando run
Introduo rede Ip
11 O run permite ao usurio executar comandos do modo de operao a partir do modo de configurao. 11 Esse comando similar ao comando do dos equipamentos de outros fabricantes.
124
Uso do comando run:
[edit interfaces ge-0/0/l2] user@host# set unit 0 family inet address 10.250.0.141/16
[edit interfaces ge-0/0/l2] user @host# commit commit complete
[edit
interfaces ge-0/0/l2]
user@host# run ping 10.250.0.149 count 1 PING 10.250.0.149 (10.250.0.149): 56 data bytes 64 bytes from 10.250.0.149: icmp seq=O ttl=255 time=0.967 ms
--- 10.250.0.149 ping statistics --1 packets transmitted, 1 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.967/0.967/0.967/0.000 ms
Interface J-Web GUI

11 Alm da linha de comando, possvel interagir com o equipamento Juniper atravs de uma interface web, a J-Web. 11 Essa interface vem habilitada de fbrica. 11 Para acess-la, pode-se usar um web browser qualquer. 11 A J-Web ideal para configurao inicial do equipamento. 11 Tambm possvel executar tarefas de monitorao e manuteno atravs dessa interface, que dispe de menos recursos que a linha de comando. Ao conectar na J-Web, o usurio se depara com uma srie de abas:
11 A aba Dashboard prov uma viso geral do status do sistema, das portas, dos alarmes ativos e informaes de utilizao.
11 A aba Configure d ao usurio a chance de configurar o sistema atravs de cliques de mouse ou via acesso direto configurao em formato texto. Um Help fica disponvel em um cone ?, o qual pode ser clicado. 11 A aba Troubleshoot prov acesso a ferramentas simples de rede como ping e traceroute. 11 A aba Maintain permite ao usurio executar upgrades de software e manuteno no sistema de arquivos.
125
Processo de login na J-Web

Para que seja possvel o acesso ao sistema atravs da J-Web, necessrio que o comando http ou https esteja configurado na hierarquia [edit system services web-management]. J-Web habilitado:
[edit system] user@host# show services ssh; telnet; web-management { http; }

Se for utilizado o https ser necessrio gerar e instalar um certificado local para segurana da pgina.
A viso default que aparece para o usurio ao executar o login traz a aba Monitor. Nesse
Introduo rede Ip
local o usurio tem acesso s estatsticas em tempo real das interfaces e de outros parme tros do sistema. A opo Chassis mostra a tela da prxima figura.
Figura 8.12 Login na J-Web.
126
Figura 8.13 Aba Monitor/ Chassis.
A opo Interfaces mostra informaes sobre as interfaces do roteador.
127
Introduo rede Ip
Figura 8.14 Aba Monitor/ Interfaces.
128
Dentro da aba Monitor/Interfaces podemos selecionar uma determinada interface, conforme mostrado na figura seguinte.
Figura 8.15 Aba Monitor/ Interfaces/ ge-0/0/0.0.
Na aba Manage/Files o usurio gerencia o sistema de arquivos. As aes disponveis nessa seo esto associadas manuteno do sistema.
Figura 8.16 Aba Manage/Files.
129
Nessa seo possvel gerenciar e manter os arquivos de configurao, fazer download de arquivos de log, arquivos de dump ou outros arquivos temporrios. Tambm possvel remover arquivos para liberar espao na memria flash do equipamento. Essa aba permite ainda outras operaes: 11 Recuperar arquivos de configurao histricos e compar-los; 11 Fazer upgrade ou downgrade do Junos; 11 Adicionar e verificar licenas; 11 Agendar reboots do sistema; 11 Recuperar informaes de suporte para reporte ao servio de assistncia tcnica da Juniper. Por fim, a aba Diagnose prov utilitrios para a investigao de problemas. Pode-se fazer troubleshoot de portas individuais atravs de comandos como ping e traceroute. Tambm possvel capturar pacotes.
Figura 8.17 Aba Diagnose/ Ping Host.
130
Introduo rede Ip
Atividade 4.1 Opes de acesso ao Junos
1. Entrando no modo configurao do Junos; Para entrar no modo configurao digite o comando configure.
root> configure Entering configuration mode Users currently editing the configuration: root terminal d0 (pid 1062) on since 2010-12-23 23:21:41 UTC, idle 3w5d 01:20 [edit] The configuration has been changed but not committed [edit]
2. Navegando pela rvore de configurao do Junos; Ao entrar no modo configurao voc estar no topo da rvore de configurao do Junos, como se estivesse navegando no Windows Explorer, onde para alterar um arquivo que est numa pasta chamada relatrios, dentro de meus documentos, voc dever percorrer partindo de C:\Documents and Settings\glenio.lima\Meus documentos\relatorio. Para descer a rvore do arquivo de configurao do Junos, deve-se utilizar o comando edit.
root# edit interfaces [edit interfaces] root# edit ge-0/0/0 [edit interfaces ge-0/0/0] root# edit unit 0 [edit interfaces ge-0/0/0 unit 0]
Para subir a rvore do arquivo de configurao do Junos, voc deve utilizar o comando up.
root# up [edit interfaces ge-0/0/0] root# up [edit interfaces] root# up [edit]
131
O Junos oferece um comando para voc ir ao topo do arquivo de configurao, indepen dente de onde voc estiver localizado. Esse comando o top.
root# [edit interfaces ge-0/0/0 unit 0] root# top [edit]

3. Conhecendo o comando show; Ao navegar pelo arquivo de configurao do Junos voc pode verificar a configurao com o comando show.
root# show root-authentication { encrypted-password $1$GwoPLZZp$8HKb9z7J55MJHFt7/tErn.; ## SECRET-DATA } services { ssh; telnet; web-management { http { interface ge-0/0/1.0; } } } syslog { file messages { any any; } }
4. Conhecendo o comando set;
Introduo rede Ip
root# set system host-name teste

5. Conhecendo o comando delete; Para excluir alguma configurao na rvore do Junos, voc deve fazer a exemplo do comando set, porm utilizando o comando delete.
root# delete system host-name teste
132
9
Configuraes do roteador
objetivos
Descrever as configuraes do roteador, interfaces e usurio, apresentar os logs do sistema e os procedimentos de uso e descrever os protocolos NTP e SNMP.
conceitos
Configurao default de fbrica, configurao inicial, configurao de interface, nomeao de interfaces, configuraes de usurio e autenticao, logs do sistema, Network Time Protocol (NTP) e Simple Network Management Protocol (SNMP).
Configurao default de fbrica

11 Toda a plataforma que roda o Junos vendida com uma configurao default de fbrica. 11 O acesso ao sistema com essa configurao feito somente atravs da conta do usurio root, que vem de fbrica sem senha configurada. 11 necessrio definir uma senha de root antes que qualquer mudana seja feita no sistema. A configurao que vem de fbrica pode variar de uma famlia de modelo para outra, ou mesmo entre diferentes modelos da mesma famlia. As diferentes plataformas so projetadas para executar papis especficos em uma rede, e a configurao de fbrica criada sob esse conceito.
Para exemplificar a ideia, podemos pensar na famlia EX de switches, que projetada para executar funes L2. Essa famlia vem com todas as interfaces habilitadas com o Rapid Spanning Tree (RSPT). Outras plataformas no necessitam desse recurso.
Figura 9.1 Configurao default de fbrica.
Congurao Y default de fbrica
A configurao default traz o log de sistema habilitado, o qual captura eventos do Junos e os escreve nos chamados arquivos de log, pr-definidos. A figura seguinte traz um exemplo tpico de uma configurao de log que vem habilitada no sistema.
133
Captulo 9 - Configuraes do roteador
Congurao X default de fbrica
Configurao de log default:
[edit] user@host# show system syslog user * { any emergency; } file messages { any any; authorization info; } file interactive-commands { interactive-commands any; }
Sob certas circunstncias, pode ser necessrio voltar configurao original de fbrica. possvel copiar essa configurao para a configurao candidata. Para tal utiliza-se o comando load factory-default. Aps copiar a configurao de fbrica para a configurao candidata necessrio executar um commit para efetiv-la. Abaixo vemos que s possvel executar o comando aps configurar a senha do root, que no vem criada por default. Carregando a configurao de fbrica:
[edit] user@host# load factory-default warning: activating factory configuration
[edit] user@host# set system root-authentication plain-text-password New password: Retype new password:
[edit]
Introduo rede Ip
user@host# commit commit complete
134
Configuraes iniciais
Ligando, desligando e reiniciando o Junos: 11 Uma vez que um equipamento Juniper ligado, se a fora for perdida por qualquer motivo, e retornar em seguida, o hardware ligar automaticamente, sem necessidade de interveno manual. Como todo sistema operacional moderno, o Junos multitarefa. Para garantir a integridade do sistema de arquivos importante, sempre que possvel, desligar o sistema utilizando o procedimento convencional de shutdown. Embora impro -
vvel, um reboot revelia poder prejudicar a sade do sistema, dificultando at mesmo o prximo reboot. Para desligar o sistema pelo mtodo convencional usa-se o comando request system halt:
user@host> request system halt? Possible completions: Execute this command Time at which to perform the operation Number of minutes to delay before operation Boot media for next boot Message to display to all users Pipe through a command
<[Enter]> at in media message |
Este comando prov opes que permitem ao usurio: 11 Agendar um shutdown para um momento futuro, que pode ser especificado em quantidade de minutos ou em um horrio exato. 11 Especificar a mdia a partir da qual um reboot ser feito. 11 Registrar a mensagem de reboot em um arquivo de mensagens ou no terminal de console.
Para plataformas Junos que oferecem REs redundantes, o usurio pode reiniciar ambas REs simultaneamente, utilizando request system halt both-routing-engines. 11 Uma vez desembalado e ligado, o equipamento Juniper est pronto para receber as primeiras configuraes. 11 Antes de fazer qualquer alterao, o administrador obrigado a configurar uma senha para o usurio root. 11 As senhas do sistema no podem ter menos que 6 (seis) caracteres e precisam incluir uma mudana de caixa (letras maisculas e minsculas), dgitos ou metacaracteres. Adicionando a senha de root:
[edit] user@host# set system root-authentication plain-text-password New password: ***
135
error: minimum password length is 6 error: require change of case, digits or punctuation
O exemplo mostra a senha sendo configurada como texto plano. Ao contrrio dos demais sistemas do mercado, o Juniper nunca exibe a senha digitada como texto plano. As senhas sempre aparecem encriptadas, conforme abaixo:
[edit system] root# show root-authentication encrypted-password $1$ti58nUSg$8xnQtTJeA0dA/ .eUjjZOq1; ## SECRET-DATA

Acima est a hierarquia do arquivo de configurao onde aparece a senha do usurio. Alm desse item, tambm recomendvel que os seguintes itens sejam configurados: 11 Hostname do equipamento. 11 Horrio do sistema. 11 Servios para acesso remoto (Telnet, SSH). 11 Interface de gerncia e rota esttica para o trfego de gerncia.
Login como root

A primeira conexo CLI precisa ser via porta console. Alm disso, no primeiro acesso o login com a conta de root obrigatrio, e o usurio no ser solicitado a inserir uma senha. Uma vez conectado ao equipamento, o prompt mostrar o nome do usurio (root). Como no haver um hostname configurado, o sistema usar o seu default: Amnesiac. O equipamento Juniper possui dois tipos de CLI: 11 CLI com shell de Unix, que permite acesso a uma srie de utilitrios do Unix. 11 CLI com a interface de comandos Junos, a partir da qual so feitas as configuraes das funcionalidades do roteador. Ao fazer login como root, o usurio ter acesso CLI de Unix. 11 Para acessar a CLI do Junos usado o comando cli. 11 Para retornar CLI de Unix usado o comando exit.
Entrando no Modo de Configurao

11 Depois de iniciar a CLI do Junos, o usurio pode entrar no modo de configurao da caixa, onde as alteraes de configurao podem ser efetivamente realizadas. 11 Para tal usado o comando configure no modo de operao da CLI do Junos.
Amnesiac (ttyu0)- Amnesiac prompt indicates a factory-default configuration

Introduo rede Ip
login: root
--- JUNOS 9.5R1.8 built 2009-04-13 20:03:09 UTC
136
root@%
root@% c1i - UNIX shell prompt root> - Operational mode prompt
root> configure Entering configuration mode
[edit] root#
Definindo parmetros de identificao

A seguir exemplo de como fazer a configurao de hostname:
[edit] root# edit system
[edit system] root# set host-name host
[edit system] root# set root-authentication plain-text-password
New password: Retype new password:
Definindo parmetros de hora

A seguir as configuraes de data e hora no Junos:
[edit system] root# set time-zone America/Los_Angeles
[edit system] root# run set date 200905120900.00 Tue May 12 09:00:00 UTC 2009
137
11 Alm da data e hora, deve-se confirmar o timezone da regio pertinente. 11 O timezone configurado de fbrica o UTC (GMT). 11 Uma vez definido o timezone local, a hora do sistema ser ajustada de acordo com a diferena entre o timezone configurado manualmente e o default. 11 aconselhvel configurar o horrio do sistema depois de acertar o timezone. 11 Ao invs de definir o horrio local, existe a opo de configurar o roteador para sin cronizar o seu horrio com um servidor de Network Time Protocol (NTP). Essa possibilidade ser abordada mais adiante.
Definindo parmetros de acesso

A seguir podemos conferir a configurao de acesso remoto (servios Telnet e SSH):
[edit system] root# set services telnet
[edit sy stem] root# set services ssh

11 Outro protocolo de acesso que pode ser configurado de modo similar o http, que permite ao usurio acessar o equipamento atravs da interface J-Web. 11 Ao acessar o roteador atravs de um desses recursos de acesso remoto, pode-se utilizar os mesmos logins criados na hierarquia [edit system login], os quais tambm so vlidos para acesso via porta console.
Definindo parmetros de gerncia

A seguir est exibida a configurao de endereo IP em uma interface que ser usada para gerncia:
[edit system] [root# top [edit] [root# set interfaces interface name unit 0 family inet address 10.0.1.131/27
Introduo rede Ip
[edit] [root# set routing-options static route 10.0.1.0/24 next-hop 10.0.1.129

Repare que tambm foi configurada uma rota esttica para uma rede de gerncia. Por rede de gerncia entenda-se a infraestrutura onde estaro as mquinas que precisaro fazer acesso remoto (via telnet ou SSH) ao roteador, e que recebero traps SNMP dele.
138
Se a instituio tiver um protocolo de roteamento dinmico configurado na sua LAN, esse tambm poder ser usado para divulgar o endereo IP de gerncia do roteador e aprender o endereo da rede de gerncia. Algumas literaturas consideram boa prtica manter o roteamento esttico para a rede de gerncia, para o caso de falha em um protocolo de rotea No Junos, as rotas estticas somente estaro disponveis quando o rpd (Routing mento. Protocol Process) estiver rodando.
Verificando as configuraes
Aps realizar toda a configurao inicial, as alteraes executadas podem ser verificadas com o comando show configuration. Esse comando exibe a configurao ativa com o seu formato original, com as diferentes hierarquias separadas com chaves ({ }). Verificando as configuraes:
root@host> show configuration ## Last commit: 2009-05-11 21:00:46 UTC by root version 9.5R1.8; system { host-name host; time-zone America/Los_Angeles; root-authentication { encrypted-password $1$e/FUEOVo$JF6NiAZxuufGFxDs10MAr/; ## SECRET-DATA } services { ssh; telnet; } syslog { ...
Configurao de resgate
11 O Junos possui o recurso da configurao de resgate. 11 Trata-se de um arquivo de configurao extra, definido pelo usurio, que fica guardado no sistema e pode ser solicitado em situaes de emergncia. 11 recomendvel que a configurao de emergncia possua os elementos mnimos necessrios para restaurar a conectividade fundamental de rede. 11 Por segurana, a configurao de resgate deve incluir uma senha de root. Por default, nenhuma configurao de resgate definida. Os comandos para definio, remoo e efetivao da configurao de resgate so mostrados a seguir:
root@host> request system configuration rescue save
139
root@host> request system configuration rescue delete
[edit] root@host# rollback rescue load complete [edit] root@host# commit commit complete
Configurao de interface
O uso mais primrio de uma interface a conexo entre diferentes dispositivos de rede. No entanto, no Junos, algumas interfaces so definidas para exercer outras funes. Os tipos de interfaces presentes no Junos so listadas a seguir: 11 Interface de gerncia: 22 Usada para conectar o roteador Juniper uma rede de gerncia. 22 A designao desse tipo de interface varia de acordo com a plataforma. 22 Alguns exemplos so fxp0 e me0. 11 Interfaces internas: 22 Usadas para conectar os planos de controle e de encaminhamento. 22 A designao desse tipo de interface varia de acordo com a plataforma. 22 Alguns exemplos so fxp1 e em0. 11 Interfaces de rede: 22 Usadas para prover conectividade de rede atravs de uma mdia especfica. 22 Alguns exemplos de mdia so Ethernet, Sonet, ATM e T1. 11 Interface de loopback: 22 Interface lgica fixada no roteador, com diversas aplicaes. 11 Interfaces de servios: 22 Usadas para prover um ou mais servios: encriptao, tuneling, NAT etc. 22 Podem ser implementadas via hardware, atravs de um carto especfico que pode ser comprado e adicionado caixa, ou via software. 11 Alguns exemplos de interfaces de servio e suas respectivas designaes:
Introduo rede Ip
22 es: Interface de encriptao. 22 gr: Interface de Tnel GRE (Generic Rout Encapsulation Tunnel Interface). 22 ip: Interface de Tnel IP sobre IP. 11 ls: Interface de link de servio. 22 ml: Interface Multilink. 22 mo: Interface de Monitoramento Passivo.
140
22 mt: Interface de Tnel Multicast. 22 sp: Interface de Servios Adaptativos. 22 vt: Interface virtual de loopback.
Nomeando interfaces
A figura a seguir apresenta os novos atores introduzidos: Interface, PIC (ou PIM) e FPC.
Tipo de mdia da interface (ge, so, at, e assim por diante) Nmero do slot do carto de linha (FPC) Nmero do slot do carto de interface (PIC) Nmero da porta
Enquanto diferentes plataformas usam nomes diferentes para os cartes de linha e os cartes de interface, o CLI quase sempre usa FPC e PIC.
Exemplo de nome de interface: ge-0/2/3 = porta 3 de um PIC gigabit Ethernet no slot 2 do FPC 0
Interface card PIC PIC PIC
A numerao da porta e do slot inicia em zero, ao invs de um (1).
Line card FPC
PIC
Figura 9.2 Interface, PIC e FPC.
11 A interface a porta de rede propriamente dita, onde ser conectado um cabo que ligar o equipamento a outro n da rede. 11 A PIC (Physical Interface Card) ou PIM (Physical Interface Module) um carto instalado no roteador, que contm um nmero determinado de interfaces. 11 A FPC (Flexible PIC Concentrator) compreende a poro do hardware do roteador onde as PICs so instaladas. 11 As interfaces no Junos recebem nomes padronizados pelo sistema. 11 Os nomes so atribudos com base no tipo de mdia da interface, no nmero do slot da caixa onde a FPC est encaixada, no nmero do slot da FPC onde a PIC est insta lada, e na posio da interface na PIC.
Em alguns modelos Juniper, tipicamente nos equipamentos de entrada, o termo PIC subsde uma PIC. As diferenas no sero abordadas aqui, de modo que, para os objetivos desse curso, os termos podero ser intercambiveis. Tipicamente, o nmero do slot (seja da FPC ou da PIC) comea em zero. Analogamente, a primeira interface de uma PIC a interface zero. Esse nmero incrementado de acordo com a configurao do hardware. A figura anterior exibe a nomeao de uma interface no Junos. A interface ge-0/2/3 a quarta interface de sua PIC. A PIC onde a interface se encontra a terceira de sua FPC. A FPC onde est a PIC, e a primeira do roteador. Finalmente, a mdia da interface gigabit ethernet. Juntando todas essas informaes tem-se o nome da interface: ge-0/2/3.
titudo por PIM (Physical Interface Module). A funo de uma PIM basicamente a mesma
141
Interfaces que no so fsicas no seguem essa conveno. Normalmente elas seguem uma sequncia simples como: 0, 1, 2... 11 Cada interface fsica pode possuir uma ou mais interfaces lgicas (subinterfaces). 11 Criar subinterfaces til em ambientes onde se deseja criar conexes L2 como circuitos virtuais ou 802.1q. 11 Redes Frame Relay e ATM so exemplos de tecnologias que fazem uso de subinterfaces. 11 Algumas tecnologias de encapsulamento suportam apenas uma nica unidade lgica, como PPP e HDLC. No Junos essas tecnologias utilizam o descritor zero. 11 O texto abaixo exibe um nome de uma subinterface da interface fsica ge-0/0/14.
ge-0/0/14.51
Em uma interface que utiliza a tecnologia de encapsulamento PPP, por exemplo, haveria apenas uma nica interface, e seu identificador seria .0. 11 O identificador da subinterface e o identificador do circuito virtual L2 no precisam ser iguais. 11 Por exemplo, uma interface ge-1/1/1 poderia ter, por exemplo, dois DLCIs Frame Relay definidos (DLCI 8 e 9) e implementados nas interfaces ge-1/1/1.20 e ge-1/1/1.21. Repare que os identificadores do exemplo no casam. No entanto, boa prtica usar o mesmo nmero identificador da subinterface e do circuito L2. Essa prtica ajuda no troubleshooting e na melhor compreenso da rede.
Mltiplos endereos
11 A plataforma Junos permite que uma interface, fsica ou lgica, tenha mais de um endereo IP. 11 Para tal, basta executar dois comandos set de configurao de endereo. 11 Diferente do que se poderia pensar, ao executar um segundo comando set para o mesmo item de uma hierarquia de configurao, tipicamente o primeiro set no desconsiderado, mas os dois comandos passam a valer. 11 Essa regra vale, por exemplo, para a configurao do endereo IP na interface. 11 Se o usurio associa um endereo IP a uma interface (utilizando o comando set), e percebe que o endereo est errado e decide troc-lo, pode usar o comando rename, e no um segundo comando set. O exemplo aqui descrito ilustrado abaixo (comando rename):
[edit interfaces ge-0/0/1 unit 0] user@host# set family inet address 10.1.1.1
Introduo rede Ip
[edit interfaces ge-0/0/1 unit 0] user@host# show family inet { address 10.1.1.1/32;
142
} [edit interfaces ge-0/0/1 unit 0] user@host# rename family inet address 10.1.1.1/32 to address 10.1.1.1/24
[edit interfaces ge-0/0/1 unit 0] user@host# show family inet { address 10.1.1.1/24; }
Outra opo seria retirar o endereo com um delete e em seguida colocar o novo IP com o comando set (no necessariamente nessa ordem).
Propriedades fsicas de interfaces

A lista seguinte mostra as diferentes configuraes fsicas que podem ser feitas nas interfaces: 11 Protocolo de encapsulamento L2: pode ser, por exemplo, PPP, HDLC e Frame Relay, entre outros. 11 Modo: em interfaces ethernet pode-se escolher entre modo duplex ou half duplex. 11 Velocidade: configurvel em certos tipos de mdia. 11 MTU: o Maximum Transmission Unit pode variar o tamanho entre 256 e 9192 bytes. 11 Clock. 11 Scrambling: se refere ao embaralhamento do payload dos pacotes (esta funcionalidade pode estar ligada ou desligada). 11 FCS: o Frame Check Sequence pode ser modificado para 32 bits (o default 16).
Propriedades lgicas de interfaces

A lista seguinte mostra as propriedades lgicas configurveis nas interfaces: 11 Famlia de protocolo: pode ser inet (para IPv4), inet6 (para IPv6), mpls (para MPLS) etc. 11 Endereo: cada famlia configurada na interface tem um ou mais endereos lgicos. 11 Identificador de circuito virtual: para links Frame Relay, ATM ou tag de VLAN.
A hierarquia das configuraes organizada no arquivo de configurao:
interfaces { interface-name { physical-properties; [...] unit unit-number {
143
11 Outros: ARP inverso, traps SNMP, exportao de flows, QoS etc.
} } }
logical-properties; [...]
Todas as interfaces tm esta mesma organizao hierrquica. 11 O Junos organiza todas as propriedades fsicas debaixo do nome da interface. 11 O nmero de unit representa uma interface lgica (ou subinterface) particular. 11 O Junos organiza todas as configuraes lgicas da interface debaixo da subinterface (unit) correspondente.
[edit] user@host# show interfaces ge-0/0/2 { unit 0 { family inet { address 172.19.102.1/24; address 172.19.102.2/24 {
preferred; } family inet6 { } } } lo0 { unit 0 { family inet {

Introduo rede Ip
address 3001::1/64;
address 192.168.100.1/32; address 192.168.200.1/32; {
primary; } }
144
} }
Observe no cdigo que uma unit pode suportar mltiplas famlias de protocolo, o que equivale a dizer que uma subinterface (lgica) suporta vrios protocolos de rede, como IPv4 e IPv6. O cdigo tambm mostra o uso dos comandos preferred e primary. A opo preferred usada quando h mltiplos IPs de uma mesma sub-rede na mesma subinterface. Essa opo permite ao usurio selecionar o endereo que ser usado como endereo de origem nos pacotes gerados pelo sistema para hosts locais na mesma sub-rede. Por default, se nada definido pelo usurio, o sistema assume que o endereo com o menor valor ser o prefe rido. No exemplo anterior, se o comando preferred no fosse usado, o endereo preferido seria o 172.19.102.1. Mas o comando sobrescreveu o comportamento default do roteador, e elegeu o 172.19.102.2 como o preferido. O endereo primrio de uma interface, definido pelo comando primary, o endereo usado por default como o origem de broadcasts e multicasts que precisam ser enviados por aquela interface. Por default o endereo primrio da interface aquele com o menor nmero de endereos. No cdigo anterior, o endereo primrio default da interface lo.0 seria 192.168.100.1, mas o comando primary sobrescreveu o comportamento default e elegeu 192.168.200.1 como endereo primrio. Verificando endereos Primrio e Preferido:
user@host> show interfaces ge-0/0/2.0 | find addresses Addresses, Flags: Is-Primary Destination: 172.19.102/24, Local: 172.19.102.1, Broadcast: 172.19.102.255 Addresses, Flags: Preferred Is-Preferred Destination: 172.19.102/24, Local: 172.19.102.2, Broadcast: 172.19.102.255 Protocol inet6, MTU: 1500 Flags: Is-Primary Addresses, Flags: Is-Default Is-Preferred Is-Primary Destination: 3001::/64, Local: 3001::1 Addresses, Flags: Is-Preferred Destination: fe80::/64, Local: fe80::217:cbff:fe4e:ab02
Verificando o estado das interfaces

11 Para verificar o estado das interfaces do roteador de forma rpida, utiliza-se o comando show interfaces terse. 11 Para verificar o estado de uma nica interface particular, pode-se passar o nome da interface desejada como parmetro para o comando.
145
user@host> show interfaces terse ge-O/O/2 interface ge-O/O/2 ge-0/0/2.0 fe80::217:cbff:fe4e:a282/64 Admin Link Proto Local up up up up inet 10.15.173.1/28 172.19.102.1/24 inet6 3001::1/64 Remote
146
Introduo rede Ip
Atividade 5.1 Configurao bsica (parte 1)
1. Alterar o hostname; Para se alterar o nome do roteador voc dever utilizar o comando hostname. Ele deve ser executado a partir do [edit system] da rvore do arquivo de configurao Junos, ou como alternativa pode-se chamar o comando set a partir do [edit], no topo da rvore do arquivo de configurao.
root# set system host-name ROTX [edit]

2. O comando commit: Uma vez definida a senha de root, basta executar o comando commit. Ao executar esse comando, toda a configurao definida pelo comando set e que se encontra no arquivo de configurao candidata ser aplicada para o modo de execuo, ou seja, essa configurao valer a partir deste momento. Mas antes de aplicar essa configurao, o Junos faz uma verificao prvia no intuito de encontrar erros de sintaxe. Um recurso bastante utilizado o comando compare em conjunto com o comando show. Com estes dois comandos associados, pode-se fazer uma anlise entre o que configurao candidata e o que configurao atual. A linha que inicia com o sinal - indica a configurao que ser deletada aps o commit. J a linha que inicia com o sinal + indica as configuraes que sero aplicadas aps o commit.
root@bancadaX# show | compare [edit system] + host-name bancadaX; host-name teste;
[edit]
Outro recurso interessante do comando commit a utilizao do parmetro comment. Seguida desse parmetro, pode-se inserir uma descrio do que ser comitado a partir de agora.
root@bancadaX# commit comment alteracao do ip da interface ge0/0/0 conforme chamado 7001

3. O comando rollback Outro recurso interessante do Junos a possibilidade de fazer rollback de configuraes. Este recurso pode auxiliar o administrador caso ele tenha efetuado alguma configurao errada, ou at mesmo caso seja necessrio restaurar uma configurao de uma data especfica. O Junos pode guardar at 50 configuraes aplicadas com o comando commit.
147
4. Para verificar os commits realizados no seu sistema basta digitar o comando:
root@bancadaX# run show system commit 0 2011-01-19 12:27:36 UTC by root via cli alteracao do ip da interface ge-0/0/0 conforme chamado 7001 1 2 3 4 5 6 7 8 9 2011-01-19 11:32:18 UTC by root via cli 2011-01-19 02:40:15 UTC by root via cli 2011-01-19 02:37:17 UTC by root via cli 2011-01-05 20:39:27 UTC by root via cli 2010-12-23 23:27:10 UTC by root via cli 2010-12-23 23:26:14 UTC by root via cli 2010-12-23 23:25:11 UTC by root via cli 2010-12-23 23:19:18 UTC by root via cli 2010-12-18 01:01:36 UTC by root via button
Com a informao dos commits realizados no seu sistema, pode-se restaur-lo a partir do modo de configurao com o comando rollback seguido do ID do commit que se deseja restaurar. O ID 0 representa a configurao atual do seu sistema. J o ID 1 representa a penltima configurao vlida do seu sistema.
root@bancadaX# rollback ? Possible completions: <[Enter]> 0 1 2 3 4 Execute this command 2011-01-19 12:27:36 UTC by root via cli 2011-01-19 11:32:18 UTC by root via cli 2011-01-19 02:40:15 UTC by root via cli 2011-01-19 02:37:17 UTC by root via cli 2011-01-05 20:39:27 UTC by root via cli
root@bancadaX# rollback 1 load complete [edit]

Introduo rede Ip
Aps executar o comando rollback, deve-se executar o comando commit para que as configuraes restauradas tenham efeito.
root@bancadaX# commit commit complete [edit]
148
Atividade 5.2 Configurao bsica (parte 2)

1. Trabalhando com o redirecionador PIPE; Um recurso interessante do Junos o redirecionar PIPE. Com ele pode-se redirecionar a sada padro de um comando para a entrada padro de outro comando, a exemplo dos sistemas Unix. Numa circunstncia em que se precise filtrar a sada padro do comando show interfaces terse, por exemplo, basta usar o respectivo comando com o redirecionador PIPE seguido do comando match, como exibido abaixo.
root@bancadaX> show interfaces terse | match ge-0/0/0 ge-0/0/0 ge-0/0/0.0 up up down down inet 192.168.1.1/30
Neste exemplo, filtramos somente o status da interface ge-0/0/0. 2. Trocando a senha de root; Quando se utiliza o comando set, estamos atualizando um arquivo chamado de candidate configuration ou configurao candidata. Portanto, essas atualizaes no surtiro efeito antes de se executar o comando commit, que ser explanado na prxima atividade. Uma premissa para se executar o comando commit definir uma senha para o usurio root, j que ela no definida quando o equipamento vem com as configuraes de fbrica. Para se definir uma senha para o usurio root, basta digitar o comando:
root@bancadaX# set system root-authentication plain-text-password New password:

Nesse momento o Junos solicitar o fornecimento da senha e sua confirmao. 3. Manipulando arquivos e diretrios no Junos; O Junos possibilita a manipulao de arquivos e diretrios armazenados na flash do equipamento Juniper. Para manipular arquivos e diretrios basta utilizar o comando file a partir do modo de operao. Uma informao muito til para manipulao de arquivos e diretrios saber o caminho que se encontra na estrutura de diretrio do sistema de arquivos (filesystem). Para saber o caminho que se encontra na estrutura de diretrio do filesystem, basta executar o comando show cli directory a partir do modo operao. Com a informao do caminho em que se encontra, possvel listar os arquivos e diretrios com o comando file list.
root@bancadaX> file list /cf/root/: .cshrc .history .login .profile
149
.ssh/ backup.txt conf_17-12-2010 conf_display_set novo snmp teste.txt ttyp1

Para verificar o contedo do arquivo .login, que se encontra no diretrio /cf/root, basta utilizar o comando:
root@bancadaX> file show .login

4. Saindo do modo de configurao do Junos; Para sair do modo configurao, basta digitar o comando exit:
glenio@bancadaX# exit Exiting configuration mode

5. Entrando no modo Shell no Junos; No Junos, cada usurio de sistema pode ter acesso ao shell do Unix, onde est disponvel a maioria dos comandos j conhecidos no mundo Unix. Para ter acesso ao shell, basta chamar o comando start shell, a partir do modo operao.
root@bancadaX> start shell %

Se o comando tiver sido realizado com sucesso, o prompt de comando mudar, indicando assim que voc est no shell do Unix. 6. Verificando comandos do Unix; Agora pode-se verificar alguns comandos do Unix, como, pwd, ls, top, cd. Caso seja necessrio voltar para o modo de operao do Junos, basta utilizar o comando cli.
% cli glenio@bancadaX>
150
Introduo rede Ip
Configuraes de Usurio e Autenticao

H duas opes de configuraes para acesso de usurio: autenticao local ou autenticao centralizada (usando soluo de RADIUS ou TACACS+).
Local authentication database
RADIUS or TACACS+ server
Figura 9.3 Autenticao de Usurio Junos.
Quando se usa autenticao local, as senhas e nomes de usurio so criadas e armazenadas em um banco de dados do prprio sistema Junos. As seguintes condies so impostas pelo sistema: 11 As senhas precisam ter um mnimo de 6 caracteres; 11 As senhas precisam conter pelo menos um metacaractere ou letra maiscula. Quando um usurio criado no Junos, automaticamente gerado um diretrio home para ele, como ocorre para os sistemas Unix. Esse diretrio serve como um diretrio default de trabalho para cada usurio localmente definido. O diretrio local de trabalho pode ser modificado durante uma sesso usando o comando de modo de operao set cli directory <nome do diretrio>. A opo de autenticao centralizada no Junos pode ser implementada utilizando solues de RADIUS ou TACACS+. Ambos definem uma aplicao cliente-servidor onde os usurios e senhas so definidos no servidor. Softwares clientes de RADIUS ou TACACS+ so executados no Junos, enquanto o servidor executado em um hardware remoto da rede. Essa soluo de autenticao remota permite que mltiplos usurios definidos no RADIUS ou no TACACS+ sejam mapeados para um template de conta de usurio definido localmente.
Ordem da autenticao
O Junos pode ser configurado para ser um cliente de RADIUS e de TACACS+. A diferena entre esses mtodos no ser tratada neste curso. possvel priorizar a ordem que o software usar para tentar autenticar o usurio. Dessa forma, para cada tentativa de login, o Junos tentar mais de um mtodo de autenticao na ordem especificada, at que a autenticao possa ser efetuada. O mtodo seguinte ser tentado sempre que o mtodo anterior falhar ou rejeitar o acesso do usurio. S no caso de nenhum dos mtodos funcionar, o acesso do usurio ser negado.
151
Se nenhum dos mtodos de acesso responder (com aceite ou rejeio), o Junos tentar como ltimo recurso autenticar o usurio utilizando a base local. Para verificar a ordem dos mtodos de autenticao no modo de configurao, use o comando:
show system authentication-order

A seguir observamos um exemplo do processo de autenticao e a execuo desse comando a partir da raiz da hierarquia de configurao do sistema [edit].
St
2 ep
b (la Ste
b , la
78
9) T
E 3R
JEC
RADIUS server Username = lab Password = lab123
Step 1 (lab, lab789) Step 8 ACCEPT
Step 4 (lab, lab789) Step 5 REJECT Ste p6 (la b, lab Ste 78 p7 9) AC CE PT TACACS+server Username = lab Password = lab456
Local authentication database Username = lab Password = lab789 A configurao da ordem de autenticao pode ser feita com o comando a seguir na raiz da hierarquia do modo de configurao:
Figura 9.4 Ordem de autenticao.
set system authentication-order [...]

Dentro dos colchetes devem ser colocadas as palavras-chave na ordem desejada. Exemplo:
set system authentication-order [radius password]

Para configurar um sistema RADIUS remoto, utilize o comando a seguir na raiz da hierarquia do modo de configurao:
set system radius-server <IP do RADIUS> secret <senha>

Introduo rede Ip
O parmetro secret define um valor usado pelo RADIUS para validar a identidade do rote ador. Para verificar a configurao de RADIUS usa-se o comando show system radius-server:
[edit system] user@host# show radius-server
152
172.18.102.13 secret $9$9ZKntpBvMX7Nb1RcleW-dbs2gaU; ## SECRET-DATA

A configurao do TACACS+ anloga. Para tal use o comando a seguir na raiz da hierarquia do modo de configurao:
set system tacplus-server <IP do TACACS> secret <senha>

O parmetro secret permite que o TACACS+ possa validar a identidade do roteador. Para verificar a configurao de TACACS+ usa-se o comando show system tacplus-server:
[edit system] user@host# show tacplus-server 172.17.32.14 secret $9$m5T31Icyrvn/A0ORlevWLXNb; ## SECRET-DATA

O usurio lab, utilizado no primeiro exemplo desse tpico, est definido tambm no banco de dados local de usurios. A seguir uma forma de verificar a existncia desse usurio local:
[edit system] user@host# show login user lab class super-user; authentication { encrypted-password $1$dJ3NA9BW$nZGLZAp9kpiG52kru34IT.; ## SECRETDATA }
A seguir um exemplo de mudana de ordem do mtodo de autenticao. O administrador do sistema no quer mais que a base de usurios locais seja usada. Para tal, a opo password foi retirada do comando set system authentication-order [...].
[edit] user@host# show system authentication-order authentication-order [ radius tacplus ];
153
[edit] user@host# show system authentication-order authentication-order [ radius tacplus ];

78 9) CT
St
2 ep
b (la Ste
b , la
R p3
EJE
Step 1 (lab, lab789) Step 6 REJECT
Step 4 (lab, lab789) Step 5 REJECT TACACS+server Username = lab Password = lab456
Local authentication database Username = lab Password = lab789 Na figura anterior o usurio tentou fazer login no sistema usando a senha lab789, que difere das senhas definidas no RADIUS e no TACACS+. O sistema tenta fazer autenticao via RADIUS, sem sucesso. Em seguida tenta autenticao via TACACS+, sem sucesso novamente. Nesse caso o sistema no consultar a base local como ltimo recurso, pois essa opo foi excluda da lista de recursos de autenticao, e pelo menos um dos recursos listados respondeu (se a conexo com o RADIUS e com o TACACS+ tivesse falhado, a base local seria usada como ltimo recurso). O acesso do usurio negado. A prxima figura mostra o equipamento com a mesma ordem de autenticao configu rada no exemplo anterior. No entanto, o servidor RADIUS est desligado, e o TACACS+ est inacessvel devido a um problema de rede. Ao tentar consultar cada um desses recursos o sistema aguardar a expirao de um perodo de time-out. Passado esse tempo o sistema remoto ser considerado inacessvel.
Figura 9.5 Ordem de autenticao sem opo password.
154
Introduo rede Ip
Ste
lab 2(
, la
9) 78
Step 1 (lab, lab789) Step 6 ACCEPT
Step 3 (lab, lab789) TACACS+server Username = lab Password = lab456
Ste Ste
p4
(la b CE
p5
, la
b7
AC
89 )
PT
Local authentication database Username = lab Password = lab789

Figura 9.6 Ordem de autenticao: servidores de autenticao indisponveis.
Repare que no exemplo, como nenhum dos recursos listados no parmetro authetication-order respondeu, a base local ser usada. Esse comportamento evita a situao indesejvel de um equipamento ficar inacessvel quando ocorre uma falha dos servidores centralizados de autenticao.
Componentes da autenticao
11 Cada comando do modo de operao e do modo de configurao est sujeito aprovao pelo processo de autenticao do sistema. 11 O mesmo vale para os recursos da interface J-Web. 11 Todos os usurios esto sujeitos s vontades desse processo, exceo do usurio root, que tem poder incondicional. O perfil de acesso do usurio root no pode ser modificado. Por esse motivo funda mental proteger a senha desse usurio.
A figura seguinte introduz as entidades lgicas usadas no processo de autenticao de cada comando aplicado por um usurio. Cada um desses atores explicado a seguir.
user
Class
Permissions
deny-commands deny-configuration
allow-commands allow-configuration
Authorized or Denied
Figura 9.7 Entidades lgicas envolvidas no processo de autenticao.
User
Um usurio (user) um membro de uma classe (class).
Ao utilizar autenticao remota possvel mapear mltiplos logins do TACACS a um mesmo user do Junos.
155
Class
11 Uma classe (class) define um conjunto de flags de permisso. 11 possvel configurar ou customizar classes. 11 O sistema traz quatro classes pr-definidas que podem contemplar a maioria das situaes desejadas. 11 Essas classes e suas respectivas flags de permisso esto listadas a seguir: 22 super-user: permisso total. 22 unauthorized: nenhuma permisso. 22operator: clear, network, reset, trace e view. 22 read-only: view.
Permission
Uma permisso (permission) uma flag associada a um privilgio. Pode-se entender uma permission como um conjunto de comandos pertinentes a uma determinada tarefa. Algumas das permisses que j vm configuradas no sistema so listadas a seguir: 11 access: permite ver as configuraes de acesso. 11 access-control: permite modificar as configuraes de acesso. 11 admin: permite ver configuraes de contas de usurio. 11 admin-control: permite modificar configuraes de contas de usurio. 11 all: permisso total. 11 clear: permite limpar informaes aprendidas da rede. 11 configure: permite acesso ao modo de configurao. 11 control: permite modificar qualquer configurao. 11 field: reservada para o suporte Juniper. 11 firewall: permite ver as configuraes de firewall. 11 firewall-control: permite alterar as configuraes de firewall. 11 floppy: permite ler e escrever informaes no drive de floppy. 11 interfaces: permite ver as configuraes de interface. 11 interface-control: permite modificar as configuraes de interface. 11 rollback: permite a execuo do comando rollback <n> com n > 0. 11 reset: permite fazer reset em interfaces e processos do sistema. 11 view: permite ver estatsticas do sistema. 11 view-configuration: permite ver toda a configurao do sistema.
Algumas permisses so configurveis. A lista de permisses que o usurio pode customizar

Introduo rede Ip
varia de plataforma para plataforma.
Comandos extras Allow e Deny

Alm de associar um user a uma class, possvel incluir uma ordem especfica para o sistema permitir ou negar um determinado comando de maneira avulsa, independente do que dizem as flags presentes nas permissions da class. A configurao seguinte mostra um exemplo desse tipo de opo.
156
[edit system login] root@host# show class noc-admin { permissions [ clear network reset view ] ; allow-commands (configure private) ; deny-commands (file) ; allow-configuration (interfaces) | (firewall); deny-configuration (groups); } user nancy { uid 2002; class noc-admin; authentication { encrypted-password SlSKQXKa/VQSijv77wxLnyf7XRI.1IbTqO; ## SECRET-DATA } }
11 No exemplo acima o administrador definiu que a usuria Nancy estar associada classe noc-admin. 11 As permisses clear, network, reset e view foram associadas a esta classe. 11 Adicionalmente o administrador gostaria que os usurios da classe noc-admin fossem capazes de ver as configuraes, mas apenas de interface e de firewall. 11 Para tal, o primeiro passo foi liberar o comando (avulso) configure private. 11 Esse comando foi adicionado lista de tarefas que o usurio pode fazer. Essa configurao foi adicionada com o allow-commands, aplicado sob a hierarquia de configurao da class, ou seja, [edit system login class noc-admin]. 11 Em seguida o administrador usou, sob a mesma hierarquia de configurao, o comando allow-configuration, o qual adiciona ao usurio os privilgios associados s permisses interfaces e firewall. 11 A partir de ento, a usuria Nancy poder entrar no modo de configurao e ver as configuraes das hierarquias [edit interfaces] e [edit firewall]. 11 Alm disso, o administrador prefere garantir que os usurios da classe noc-admin no sero capazes de manipular arquivos. 11 Para tal, o comando file foi excludo da lista de comandos permitidos. Essa ao foi feita com o comando deny-commands, aplicado hierarquia de configurao da classe.
157
Finalmente, o administrador usou o comando deny-configuration para garantir que os usu rios da classe em questo no tero acesso aos privilgios da permisso groups, e dessa forma no podero ver as configuraes da hierarquia [edit groups].
Logs do sistema
O sistema de log do Junos usa os mesmos princpios do mecanismo de log usado pelos sistemas Unix. 11 Esse sistema grava mensagens gerais sobre a operao do Junos, tais como interfaces que saem de operao ou usurios que tentam fazer login e no conseguem. 11 O Junos grava as mensagens de log em arquivos que ficam armazenados no diretrio /var/log. 11 O arquivo de log primrio, definido pela configurao que vem de fbrica, o /var/ log/messages. 11 As mensagens de log podem trazer uma grande variedade de eventos. 11 Cada evento possui alguns parmetros que o caracterizam. 11 Por exemplo: severidade (severity) e facilidade (facility). 11 A facilidade listada na frente do evento, e define a classe da mensagem. 11 A severidade vem em seguida, e determina a gravidade do evento reportado. 11 As mensagens de log podem ser gravadas em arquivo (/var/log/messages) ou em um servidor remoto (servidor de syslogs), o que recomendado dado o perigo de se perder o arquivo local em um grande evento de falha. Observamos a seguir exemplos de configurao de syslogs:
[edit system syslog] user@host# show user * } (*) host 10.210.14.174 { any notice; authorization info; } file messages { any any; authorization info;
Introduo rede Ip
#Mensagens de emergncia para todos usurios logados
#Registra em um host remoto
#Arquivo primrio syslog (*)
} file interactive-commands { interactive-commands any; } file config-changes { #Registra mudanas na configurao #Registra todos os comandos CLI (*)
158
change-log info; } (*)indica a configurao padro de fbrica
As configuraes de syslogs ficam na hierarquia [edit system syslog] e em [edit routing-options options syslog]. Algumas opes de syslog: 11 host <nome> ou host <IP>: especifica o servidor de syslog para o qual devero ser enviadas as mensagens de log. 11 archive: especifica a poltica de armazenamento dos arquivos de log. O default manter 10 arquivos com tamanho mximo de 128 KB. 11 console: seleciona alguns tipos de mensagem para mostrar no terminal de console do sistema. 11 facility: mostra a classe das mensagens. 11 severity: mostra o nvel de gravidade das mensagens de log. 11 file <nome>: especifica o nome do arquivo de log. 11 files <nmero>: especifica o nmero mximo de arquivos que sero mantidos.
Interpretando mensagens de log

Se o usurio utiliza o formato default de fbrica, as mensagens de log so registradas como no exemplo abaixo:
Jul 27 10:48:37 host mgd[4350]: UI_DBASE_LOGOUT_EVENT: User user exiting configuration mode
Esse formato traz: 11 timestamp: horrio do evento. 11 hostname: nome do sistema. 11 process name: nome do processo que gerou a mensagem. 11 message code: identifica a natureza e o propsito da mensagem. No exemplo o cdigo da mensagem UI_DBASE_LOGOUT_EVENT. 11 message-text: prov informaes adicionais sobre o cdigo da mensagem. A opo explicit-priority nas configuraes de syslog altera o formato default das mensa gens de log, que passam a exibir um valor numrico que representa a gravidade do evento. Na escala de severidade do Junos, o valor zero representa os eventos mais graves, ao passo que o valor 7 (sete) indica as mensagens informativas (menos graves). Em qualquer tipo de equipamento, de qualquer fabricante, nem sempre tarefa simples interpretar os campos das mensagens de log. Pensando nisso, os desenvolvedores do Junos disponibilizaram um help local, que ajuda a entender os eventos reportados. Abaixo um exemplo de uso do comando de modo de operao help syslog <message code>:
user@host> help syslog UI_DBASE_LOGOUT_EVENT Name: UI_DBASE_LOGOUT_EVENT
159
Message: Help: Description:
User <username> exiting configuration mode User exited configuration mode The indicated user exited configuration mode (logged
out of the configuration database). Type: Severity: Event: This message reports an event, not an error notice
Pela descrio da mensagem acima, percebe-se que o usurio user deixou o modo de configurao. Trata-se de uma mensagem informativa.
Investigando problemas com traceoptions

11 Traceoptions o termo que a Juniper usa para o recurso que outros fabricantes chamam de debug. 11 Na maioria dos casos, quando se habilita uma traceoption, um arquivo de trace criado para armazenar informaes sobre um protocolo ou operao especfica. 11 O Junos enviar os resultados da operao de trace para o arquivo criado para esse fim. 11 Esse arquivo ficar guardado no diretrio /var/log, como os arquivos de log, ou ser enviado para um servidor remoto. Para especificar um servidor de syslog remoto para receber as mensagens de tracing, deve-se configurar o seu endereo IP na hierarquia: [edit system tracing]. A seguir um exemplo dessa configurao de servidor para receber arquivos de tracing:
[edit system tracing] user@host# show destination-override syslog host 1.1.1.1;

Diferente de outros sistemas, devido ao design do Junos, possvel habilitar traceoptions com grande nvel de detalhamento em uma rede de produo sem impacto significante na performance do sistema. Apesar disso, recomendvel sempre desabilitar as traceoptions assim que seu uso no for mais necessrio. Para investigar a operao de um determinado protocolo utilizando traceoptions, deve-se utilizar o comando traceoptions na hierarquia [edit protocols <nome do protocolo>]. Na maioria dos casos o administrador ser seletivo, pois habilitando todo tipo de mensa gens, um volume muito grande de informaes gerado. Para habilitar todo tipo de informao utiliza-se a palavra-chave all.
[edit protocols ospf] user@host# show

Introduo rede Ip
traceoptions { file ospf-trace replace size 128k files 10 no-stamp no-worldreadable; flag event detail;
160
flag error detail; }
A amostra de configurao exibida reflete um exemplo tpico de investigao da operao do protocolo OSPF. No exemplo, o administrador solicitou informaes de erros e de eventos. No foi usada a opo all. Ao invs disso, foi usada a opo detail, bastante fun cional em casos de troubleshooting. Abaixo seguem alguns parmetros que podem ser configurados quando se faz uso de traceoptions. 11 file <nome>: especifica o nome do arquivo que armazenar as informaes. 11 size <tamanho>: determina o tamanho mximo de cada arquivo gerado em kilobytes, megabytes ou gigabytes. Quando um arquivo nomeado ospf-trace atinge esse tamanho, ele renomeado para ospf-trace.0, e as informaes mais recentes passam a ser registradas no novo arquivo ospf-trace. Quando o novo arquivo ospf-trace atinge seu tamanho mximo, ele renomeado para ospf-trace.0, ao passo que o ospf-trace.0 renomeado para ospf-trace.1. E um novo arquivo ospf-trace gerado... 11 files <nmero>: especifica o nmero mximo de arquivos de trace que podem existir. 11 no-stamp: previne que o timestamp das mensagens seja colocado no incio de cada registro, como ocorre no comportamento default do equipamento. 11 replace: troca um arquivo de trace existente, caso um arquivo de trace com o nome especificado j exista. Por default, se essa opo no usada, as novas informaes sero apendadas no arquivo existente. 11 readable: permite que qualquer usurio veja o arquivo. 11 no-world-readable: permite que o arquivo gerado seja lido apenas pelo usurio que programou a sua gerao. Por default, se a opo readable no usada, essa opo estar habilitada. 11 Alm de investigar protocolos, as traceoptions permitem investigar recursos do sistema. 11 Por exemplo, o comando traceoptions poderia ser utilizado abaixo da hierarquia [edit interfaces <nome da interface>]. Nesse caso, os eventos ou erros referentes a uma determinada interface da caixa seriam armazenados no arquivo de trace. 11 Analogamente, possvel investigar os erros e eventos relacionados a determinados processos do sistema. 11 Se ningum remove ou desabilita as flags de trace, a atividade continua ocorrendo em background, e os arquivos de trace continuam sendo gerados.
11 Os arquivos continuam no disco indefinidamente at que sejam removidos ou sobrescritos por algum usurio. 11 Para desabilitar todas as traceoptions de uma hierarquia particular, executa-se o comando delete traceoptions sob a hierarquia desejada. 11 Para apagar um arquivo de trace criado, utilize o comando do modo de operao: file delete <nome>.
161
H ainda outras operaes que podem ser feitas nos arquivos com os comandos (autoexplicativos): 11 file compare 11 file copy 11 file list 11 file rename
Visualizando arquivos de log e trace

Para ver, via CLI, as informaes armazenadas nos arquivos de log do Junos (no o shell de Unix) utiliza-se o comando show log. A seguir exemplos de utilizao do comando com opes de filtragem:
user@host> show log messages | match support info
May 31 23:49:16 host mgd[2711J: %INTERACT-6-UI_CMDLINE_READ_LINE: User user, command request support information
Use multiple instances to evoke a logical AND search:
user@host> show log messages | find Apr 1 09: | match error
Use quotes to evoke a logical OR search:
user @host> show log messages | match error|kernel|panic

Assim como ocorre nos sistemas Unix, os comandos cuja sada consomem mais de uma tela so apresentados de maneira pausada. 11 O caractere | (pipe) utilizado da mesma forma que nos sistemas Unix. 11 Esse comando permite que a sada de um comando possa ser usada como entrada de um segundo comando. No exemplo, o comando match <string> exibe as linhas da sada do comando anterior, que contm a string especificada. Esse recurso particularmente importante no dia a dia, quando se deseja procurar por um tipo de mensagem especfica no meio dos registros do sistema. Conforme mostra o exemplo, os comandos separados por | podem ser cascateados em
Introduo rede Ip
vrios pedaos. Dessa forma, possvel, por exemplo, filtrar uma sada que j foi filtrada. Esse cascateamento permite combinar a busca com lgica AND e OR, conforme mostrado.
Monitorando arquivos de log e trace

11 Para acompanhar as mensagens que esto sendo escritas nos arquivos de log ou de trace, usa-se o comando do modo de operao monitor start <nome do arquivo monitorado>. 11 Esse comando funciona de maneira anloga ao tail -f dos sistemas Unix.
162
11 possvel monitorar o incremento de vrios arquivos diferentes executando o monitor start vrias vezes e variando o parmetro <nome do arquivo monitorado>. 11 O Junos mostrar na tela as linhas novas que aparecerem nos arquivos monitorados, em tempo real.
Cada linha exibida na tela trar o nome do arquivo monitorado, para que se possa diferen ciar as mensagens. Para verificar os arquivos que esto sendo monitorados utilizado o comando do modo de operao monitor list. Para usar o comando monitor start em um arquivo, o usurio precisa ter permisso de leitura ao arquivo especificado. Em muitas situaes o usurio est interessado em monitorar em tempo real apenas algum tipo particular de mensagem. 11 Pode-se utilizar a opo match para filtrar as mensagens apresentadas durante a monitorao. 11 Abaixo observamos uma situao na qual o usurio deseja ver em tempo real apenas as mensagens de log que contenham a string fail. user@host> monitor start messages | match fail 11 Para encerrar a monitorao utiliza-se o comando monitor stop. 11 Este comando, quando usado sem nenhuma opo, faz cessar todas as monitoraes correntes. 11 Para certificar-se de que o trmino da monitorao realmente ocorreu, sempre utilize o monitor list.
Network Time Protocol (NTP)

11 Usa-se o NTP para sincronizar o horrio de equipamentos de rede com uma fonte. 11 Um servidor de NTP. Essa operao til para se garantir que os timestamps dos arquivos de log dos diferentes equipamentos esto com a mesma referncia de horrio, beneficiando as atividades de investigao de problemas. O NTP baseado em uma srie de hierarquias de servidores de informao de tempo. O servidor Stratum1, que marca hora com um relgio atmico, a fonte de relgio que est no topo da cadeia. Se a informao de horrio no crtica para as aplicaes da
instituio, no necessrio obter a informao de tempo junto ao Stratum1. Tipicamente a instituio utiliza um servidor Unix ou Windows que serve como a referncia de tempo para os demais equipamentos. Em relao ao protocolo NTP, o Junos suporta os modos assimtrico, cliente e servidor, e autenticao, para evitar que um atacante malicioso no comprometa a sincronizao dos sistemas. A seguir uma configurao tpica de NTP no Junos:
tambm pode suportar broadcast e autenticao. uma boa prtica de segurana utilizar a
[edit system ntp] user@host# show boot-server 10.210.14.173; server 10.210.14.173;
163
11 Duas mquinas podem se sincronizar apenas quando seus relgios esto relativamente prximos. 11 Por default, se a diferena de horrio entre o equipamento local e o servidor de NTP maior que 128 milisegundos, os relgios so gradualmente sincronizados. Se a dife rena maior que 1000 segundos, os relgios no so sincronizados. 11 A opo de boot server (usada no exemplo anterior) pode ser usada para configurar o horrio do sistema no momento do boot.
Monitorando o NTP
A seguir a sada do comando show ntp associations, que exibe o status corrente da sincro nizao:
[edit] user@host# run show ntp associations
remote jitter *10.210.14.173 7.290
refid
st t when poll reach delay offset
10.210.8.73
u 63
64
377 0.268
-24.258
11 O smbolo exibido perto do hostname indica o estado dos equipamentos envolvidos no processo de sincronizao. 11 O smbolo asterisco (*) indica que o elemento ao lado foi selecionado para sincronizao. 11 Outros smbolos podem aparecer na sada para indicar outros estados. O smbolo que deve aparecer em situao normal o asterisco. 11 Outros detalhes da sincronizao ficam disponveis na sada do comando show ntp status.
Simple Network Management Protocol (SNMP)

11 Protocolo de gerenciamento padro da arquitetura TCP/IP, que tem como objetivo gerenciar equipamentos de rede. 11 Cada equipamento gerenciado roda um software agente. 11 A Central de Gerenciamento roda o software gerente, e o agente envia informaes para a central. 11 O agente tambm responde a solicitaes de informao geradas pela central.
Dispositivos executando o Junos podem agir como um agente SNMP. Um agente SNMP troca informaes de gerncia de rede com um SNMP manager, executado em um equipamento remoto, chamado Network Management System (NMS).
Introduo rede Ip
NMS
Poll
Agent (device running JUNOS Software)
Response
Figura 9.8 SNMP: Manager e Agente.
164
O agente responde a solicitaes de informao geradas pelo manager. Um agente se comunica com o manager usando os seguintes tipos de mensagem: 11 Get, Getbulk e Getnext: o manager SNMP requisita informaes do agente, que responde com um get response. 11 Set: o manager SNMP altera valores da MIB SNMP (Management Information Base) do agente. O agente confirma a operao com uma mensagem de set response. 11 Trap: o agente SNMP envia mensagens (traps) de notificao ao manager, que no foram previamente solicitadas pelo manager. Elas so geradas proativamente pelo agente para reportar informaes que considera importantes. A atividade de solicitar informaes aos agentes SNMP, que executada pelo NMS da rede, chama-se polling SNMP.
MIBs SNMP
Uma MIB uma coleo de objetos mantidos pelo agente SNMP em uma base de dados hierrquica. O manager SNMP consegue visualizar ou mesmo alterar (em alguns casos) objetos da estrutura da MIB do agente. Parte das MIBs de todos os equipamentos padronizada pela Internet Engineering Task Force (IETF). Isso significa que alguns objetos podem existir em qualquer dispositivo, inde pendente do fabricante. Existe, porm, uma poro da MIB chamada enterprise. Nessa poro cada fabricante est livre para criar seus prprios objetos. Cada objeto identificado dentro da MIB atravs de um Object Identifier (OID). Durante a atividade de gerncia de rede, o NMS pode executar pollings em OIDs especficos do agente, visando obter informaes sobre algum recurso da mquina onde esse agente executado. Para tal, o NMS dever conhecer a estrutura da MIB dos agentes para saber os OIDs disponveis. As MIBs proprietrias da Juniper esto disponveis para download em: http://www.juniper.net/techpubs. O Junos oferece suporte para SNMP verses, 1, 2 e 3. A verso a implementao inicial do protocolo e at hoje uma das mais usadas devido sua simplicidade. A verso 2 adicionou algumas funcionalidades ao protocolo, mas no ganhou tanta popularidade. O SNMP v3 a verso mais atual. Ela funciona exatamente da mesma forma que a verso 1, mas adiciona recursos de segurana e criptografia. A verso 3 a nica que garante a integridade, autenticidade e confidencialidade das informaes de SNMP. Ao consultar dados de SNMP do agente, o NMS precisa formalizar um pedido. Nesse pedido o NMS precisa mostrar que conhece a community SNMP do agente. Essa community funciona como uma senha de acesso. Apenas os NMS que a conhecem podem solicitar informaes. Na verso 1 as informaes de pacote no so criptografadas, o que permite a um mecanismos de proteo para esses dados.
capturador de trfego obter o valor da community e dos OIDs facilmente. A verso 3 prov
Configurando SNMP
A seguir um exemplo de configurao de SNMP no Junos:
[edit snmp] user@host# show description My JUNOS Device;
165
location BSU East Campus Closet - Rack 4; contact Jim Davis - x1865; community cardinals { authorization read-only; clients { 10.210.14.0/24; - SNMP request limited to 10.210.14/24 subnet; can also restrict to an interface } } trap-group my-trap-group { version v2; categories { chassis; link; } targets { 10.210.14.173; } }
As configuraes so feitas na hierarquia [edit snmp]. Alguns parmetros SNMP configurveis: 11 SNMP description: prov informao de identificao do agente em questo. 11 SNMP location: prov informaes de localizao do agente (importante em redes grandes). 11 SNMP Contact: prov informaes sobre a equipe que deve ser contatada para o caso de falha do agente. Debaixo da hierarquia [edit snmp] tambm so criadas sub hierarquias com as communities. Um agente pode ter inmeras communities configuradas. Para cada community, o administrador do Junos define os NMSs que podem fazer consulta usando-a, e o nvel de acesso: 11 read-only: para leitura do valor dos OIDs; 11 read-write: leitura ou alterao do valor dos OIDs. Por fim, o exemplo mostra uma configurao de trap-group. Atravs dessa definio o
Introduo rede Ip
administrador define que o Junos no s aceitar consultas SNMP do NMS como tambm enviar determinadas informaes ao NMS de maneira proativa. Na configurao o administrador define a verso de SNMP que as traps seguiro, o endereo IP da entidade que receber as traps e as categorias de mensagem que sero enviadas (no exemplo sero enviadas traps referentes chassi e link).
166
Monitorando a operao do SNMP

Um NMS prov a interface para a maioria das tarefas de monitorao do SNMP. Para verificar a operao desse protocolo, diretamente no Junos que est trabalhando como agente SNMP, podem ser usadas traceoptions dentro da hierarquia [edit snmp]. Alm disso, existem vrios comandos show snmp que auxiliam a tarefa. possvel consultar os valores de determinados OIDs do sistema, atravs do comando de modo de operao show snmp mib walk <hierarquia da MIB SNMP>. 11 No exemplo seguinte de operao de snmpwalk no Junos, o usurio solicitou informa es sobre as OIDs abaixo da hierarquia jnxOperatingDescr. 11 Essas OIDs guardam a descrio de vrios recursos de hardware do sistema, tais como as FPCs e PICs.
user@host> show snmp mib walk jnxOperatingDescr jnxoperatingDescr.1.1.0.0 = midplane jnxoperatingDescr.2.1.1.0 = Power Supply 0 jnxoperatingDescr.2.1.2.0 = Power Supply 1 jnxoperatingDescr.4.1.1 1 = FAN 0 jnxoperatingDescr.7.1.0.0 = FPC: EX3200-24T, 8 POE @ 0/*/ * jnxoperatingDescr.8.1.1.0 = PIC: 24x 10/100/1000 Base-T @ O/O/* jnxOperatingDescr.8.1.2.0 = PIC: 4x GE SFP @ 0/1/ * jnxOperatingDescr.9.1.0.0 = RE-EX3200-24-T
No uso desse comando, as OIDs podem ser especificadas pelo nome ou pela hierarquia de nmeros do SNMP. Esse curso no tratar do detalhamento da nomenclatura usada nessa hierarquia.
167
168
Introduo rede Ip
Atividade 6.1 Configuraes posteriores
1. Configurando interfaces; 2. Para configurar uma interface de rede GigaEthernet, basta proceder como no exemplo seguinte. Vale ressaltar que o Junos trabalha somente com interface virtual, ento voc deve definir a interface virtual (unit) que deseja configurar.
# set interfaces ge-0/0/1 description Rede LAN 1 # set interfaces ge-0/0/1 unit 0 description LAN 10.0.10.254 # set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.254/24 # set interfaces ge-0/0/2 description Rede LAN 2
# set interfaces ge-0/0/2 unit 0 description LAN 10.0.20.254 # set interfaces ge-0/0/2 unit 0 family inet address 10.0.20.254/24
Nessa mesma atividade coloque o IP da estao Windows 7 com o primeiro IP vlido do seu Range de IPs. Este exemplo para o roteador A da primeira bancada. Os demais roteadores sero confi gurados conforme os endereos descritos na figura a seguir.
169
Mesa do Instrutor
ROT D
ROT C
ROT B
ROT A
0/1
0/1
0/1
0/1
10.0.80.254/24 10.0.70.254/24 10.0.60.254/24 10.0.50.254/24 10.0.40.254/24 10.0.30.254/24 10.0.20.254/24 10.0.10.254/24
ROT D
ROT C
ROT B
ROT A
0/1
0/1
0/1
0/1
10.0.160.254/24 10.0.150.254/24 10.0.140.254/24 10.0.130.254/24 10.0.120.254/24 10.0.110.254/24 10.0.100.254/24 10.0.90.254/24
16
15
14
13
12
11
10
ROT D
ROT C
ROT B
ROT A
0/1
0/1
0/1
0/1
10.0.240.254/24 10.0.230.254/24 10.0.220.254/24 10.0.210.254/24 10.0.200.254/24 10.0.190.254/24 10.0.180.254/24 10.0.170.254/24
24
23
22
21
20
19
18
17
3. Verificando o status das interfaces; Para verificar o status de uma interface Giga Ethernet e descobrir se ela est up ou down, e se possui algum erro de pacotes, basta proceder como no exemplo seguinte.
root@bancadaX> show interfaces terse Interface Remote

Introduo rede Ip
Admin Link Proto
Local
ge-0/0/0 ge-0/0/0.0 gr-0/0/0 ip-0/0/0 ls-0/0/0
up up up up up
down down inet up up up 192.168.1.1/30
170
lt-0/0/0 mt-0/0/0 pd-0/0/0 pe-0/0/0 ge-0/0/1 ge-0/0/1.0 ge-0/0/1.0 ge-0/0/2 ge-0/0/3 se-3/0/0 se-3/0/1 dsc gre ipip lo0 lo0.0 lo0.16384 0/0 lo0.16385 0/0
up up up up up up up up up up up up up up up up up
up up up up up up up down down down down up up up up up up inet inet 192.168.0.1/30 127.0.0.1 --> inet inet 10.0.10.254/24 10.0.20.254/24
up
up
inet
10.0.0.1
-->
10.0.0.16 0/0 128.0.0.1 0/0 128.0.1.16 0/0 inet6 lo0.32768 lsi mtun pimd pime pp0 st0 up up up up up up up up up up up up up up
-->
-->
-->
fe80::205:86ff:fe71:e000
171
tap vlan
Outro exemplo:
up up
up up
root@bancadaX> show interfaces brief ge-0/0/0 Physical interface: ge-0/0/0, Enabled, Physical link is Down Description: Rede Wan Link-level type: Ethernet, MTU: 1514, Speed: 1000mbps, Loopback: Disabled, Source filtering: Disabled, Flow control: Enabled, Autonegotiation: Enabled, Remote fault: Online Device flags : Present Running Down
Interface flags: Hardware-Down SNMP-Traps Internal: 0x4000 Link flags : None
Logical interface ge-0/0/0.0 Description: WAN - 192.168.1.1 Flags: Device-Down SNMP-Traps Encapsulation: ENET2 Security: Zone: trust Allowed host-inbound traffic : any-service bfd bgp dlsw dvmrp igmp ldp msdp nhrp ospf pgm pim rip router-discovery rsvp sap vrrp inet 192.168.1.1/30
Outro exemplo:
Physical interface: ge-0/0/0, Enabled, Physical link is Down Interface index: 131, SNMP ifIndex: 133, Generation: 134 Description: Rede Wan Link-level type: Ethernet, MTU: 1514, Link-mode: Full-duplex, Speed: 1000mbps, BPDU Error: None, MAC-REWRITE Error: None, Loopback: Disabled, Source filtering: Disabled, Flow control: Enabled, Autonegotiation: Enabled, Remote fault: Online Device flags
Introduo rede Ip
: Present Running Down
Interface flags: Hardware-Down SNMP-Traps Internal: 0x4000 Link flags CoS queues Hold-times : None : 8 supported, 8 maximum usable queues : Up 0 ms, Down 0 ms
Current address: 00:24:dc:18:6f:00, Hardware address:

172
00:24:dc:18:6f:00 Last flapped : 2011-01-04 23:17:46 UTC (2w2d 15:46 ago)
Statistics last cleared: Never Traffic statistics: Input bytes : : 18302503 4628007 136047 51686 0 bps 0 bps 0 pps 0 pps
Output bytes Input
packets:
Output packets:
Egress queues: 8 supported, 4 in use Queue counters: Dropped packets 0 best-effort 1 expedited-fo 2 assured-forw 3 network-cont Active alarms : LINK 51686 0 0 0 51686 0 0 0 0 0 0 0 Queued packets Transmitted packets
Active defects : LINK Logical interface ge-0/0/0.0 (Index 69) (SNMP ifIndex 134) (Generation 134) Description: WAN - 192.168.1.1 Flags: Device-Down SNMP-Traps Encapsulation: ENET2 Traffic statistics: Input bytes : : 18302503 4628007 136047 51686
Output bytes Input
packets:
Output packets: Local statistics: Input bytes : :
11634932 39606 73031 943
Output bytes Input
packets:
Output packets: Transit statistics: Input bytes : :
6667571 4588401
0 bps 0 bps
Output bytes
173
Input
packets:
63016 50743
0 pps 0 pps
Output packets:
4. Executando comando do modo operao no modo configurao; Os comandos que o Junos oferece nos modos de operao e configurao so totalmente diferentes. Porm, existe uma alternativa de se executar comandos do modo operao mesmo estando no modo configurao. O comando run oferece essa alternativa.
root# ping unknown command. [edit] root# run ping 10.0.30.254 PING 10.0.30.254 (10.0.30.254): 56 data bytes 64 bytes from 10.0.30.254: icmp_seq=0 ttl=59 time=66.907 ms 64 bytes from 10.0.30.254: icmp_seq=1 ttl=59 time=55.016 ms 64 bytes from 10.0.30.254: icmp_seq=2 ttl=59 time=67.916 ms 64 bytes from 10.0.30.254: icmp_seq=3 ttl=59 time=72.131 ms ^C --- 10.0.30.254 ping statistics --4 packets transmitted, 4 packets received, 0% packet loss round-trip min/avg/max/stddev = 55.016/68.285/76.322/5.945 ms root# show interfaces terse invalid interface type in terse. [edit] root# run show interfaces terse Interface Admin Link Proto Local Remote
ge-0/0/0 up down ge-0/0/0.0 up down inet 192.168.1.1/30

5. Criando usurios de administrao do Junos;
Introduo rede Ip
Configure dois logins no roteador. Um ser usado pelo(s) aluno(s) do PC A da bancada e o outro pelo(s) aluno(s) no PC B. Os dois logins tero controle total do roteador. Os alunos da bancada 1 criaro os logins:
login: aluno1_pca senha: esr1
174
login: aluno1_pcb senha: esr1

Os alunos da bancada 2 criaro os logins:
login: aluno2_pca senha: esr1
login: aluno2_pcb senha: esr1

E assim por diante para as demais bancadas. Para efetuar a criao dos logins, entre no modo de configurao com configure e execute:
set system login user <nome_do_login> class super-user set system login user <nome_do_login> authentication plain-textpassword<Enter>
A senha ser solicitada duas vezes. Verifique os servios ativos no roteador com o comando:
#show system service

Caso o SSH no esteja ativo, digite:
# set system service ssh

Abra o Putty e tente fazer um acesso ao roteador pelo protocolo SSH.
175
Em seguida, entre com login e senha. Repita o procedimento duas vezes, de modo a testar os dois logins recm criados. A partir desse momento desconecte o cabo console e entregue-o ao seu instrutor. Nos prximos passos, os alunos dos PCs A e B da bancada acessaro o roteador a partir de uma sesso telnet aberta de um dos PCs. 6. Habilitando e verificando logs do Junos; Verifique as configuraes de log do sistema. Entre no modo de configurao com configure private e execute show system syslog. Repare que o Junos, por default, j registra todo tipo de mensagem (keyword any) em um arquivo chamado messages. Execute o comando run show log messages para verificar o contedo do arquivo messages. Para as prximas tarefas, verifique a indicao abaixo: Aluno(s) do PC A da Bancada 1 usaro <logFile> = PCA_Banc1_logFile e <bkpFile> = PCA_ Banc1_BkpFile Aluno(s) do PC B da Bancada 1 usaro <logFile> = PCB_Banc1_ logFile e <bkpFile> = PCA_ Banc1_BkpFile Aluno(s) do PC A da Bancada 2 usaro <logFile> = PCA_Banc2_ logFile e <bkpFile> = PCA_ Banc1_BkpFile Aluno(s) do PC B da Bancada 2 usaro <logFile> = PCB_Banc1_ logFile e <bkpFile> = PCA_ Banc1_BkpFile Baseando-se na configurao do arquivo messages, crie um arquivo de log chamado <logFile>, que vai registrar apenas mensagens sobre comandos executados na CLI do Junos. Para tal, utilize a facilidade interactive-commands e a severidade any...
set system syslog file <logFile> interactive-commands any

em seguida execute show system syslog e verifique a configurao adicionada. Execute show | compare para verificar suas alteraes. Se estiverem certas, execute commit. Inicie uma monitorao dos logs do arquivo recm criado.
monitor start <logFile>

Deixe a sesso parada para verificar as mensagens que surgem na tela. Abra outra sesso telnet para o roteador, em paralelo, usando o mesmo login e senha. Nessa nova sesso execute os seguintes comandos:
show system uptime show interfaces configure private show routing-options

Introduo rede Ip
exit configuration-mode exit (finaliza a sesso)
Verifique as mensagens que apareceram na sesso onde ficou ligada a monitorao. Observe que os comandos executados pelo(s) seu(s) colega(s) de bancada tambm aparecem.
176
Execute o comando monitor list no modo de configurao para checar as monitoraes correntemente ligadas. Finalize a monitorao com monitor stop <logFile>. Verifique o arquivo de log <logFile> que voc definiu. Execute file list /var/log/? Configure o contedo que foi registrado nesse arquivo. Execute file show /var/log/<logFile>. 7. Configurando SNMP; O protocolo SNMP um protocolo bastante utilizado no gerenciamento de ativos de rede, principalmente quando se tem definido um SLA bastante exigente, que no permite grandes perodos de indisponibilidade. Para configurar o Junos a aceitar consultar SNMP basta seguir como o exemplo abaixo:
root@teste# set snmp community rnpesr authorization read-only [edit] root@teste# set snmp community rnpesr clients 200.130.26.5 [edit]
8. Configurar o cliente NTP; Servidores NTP so extremamente necessrios em redes corporativas que exigem uma auditoria mais efetiva. Quando se pensa em auditoria, uma das primeiras configuraes que devemos fazer nos ativos de rede a sincronizao do time do sistema. Para configurar o Junos para sincronizar seu time de sistema com um servidor de hora NTP (Network Time Protocol) devemos alterar as configuraes de NTP a partir da rvore de configurao [edit system ntp] ou executando o comando abaixo a partir do topo [edit].
root@bancadaX# set system ntp server 200.144.121.33 [edit]

Para verificar se o roteador est sincronizado com o servidor NTP basta executar o comando run show ntp associations no modo configurao.
root@bancadaX# run show ntp associations remote offset jitter refid st t when poll reach delay
=========================================================== 200.144.121.33 -284920 [edit] 0.244 193.204.114.232 2 1 64 1 21.849

177
178
Introduo rede Ip
10
Operao, manuteno e monitorao
objetivos
Conhecer as funcionalidades de monitorao da CLI do Junos e outros recursos oferecidos pelo sistema, dominar os procedimentos bsicos de manuteno do Junos.
conceitos
Monitoramento da plataforma, operao de interfaces, utilitrios de rede, manuteno do Junos OS, recuperao de senha, instalao e upgrade do Junos.
Monitorando a plataforma e operando as interfaces

JUNOS CLI SNMP
Figura 10.1 Ferramentas de monitorao.
LEDs
J-Web
LCDs
11 A ferramenta de monitorao primria do Junos a CLI. 11 Atravs de seus comandos de show e monitor possvel executar a maior parte das tarefas de monitorao do equipamento, bem como obter os subsdios para diagnosticar problemas. Adicionalmente CLI, h um nmero de ferramentas de monitorao secundrias: a interface J-Web, o SNMP, os LEDs de hardware e o painel frontal da caixa. Em relao a esses
q
Captulo 10 - Operao, manuteno e monitorao
ltimos existem particularidades em cada uma das diferentes plataformas Juniper, as quais podem ser detalhadas em: http://www.juniper.net/techpubs/
Monitorando a operao geral do sistema

Grande parte das informaes do sistema obtida atravs dos comandos do modo de operao show system <argumento>. Onde o <argumento> pode tomar vrios valores. Entre os mais comuns esto: 11 alarms: exibe alarmes ativos no sistemas (esses alarmes saem da lista automaticamente quando o problema sanado).
179
11 boot-messages: mostra mensagens geradas durante o ltimo processo de boot do sistema. 11 connections: exibe o estado das conexes TCP e UDP locais. 11 statistics: mostra estatsticas de protocolos utilizados na caixa. 11 storage: exibe o estado do espao disponvel no disco do sistema. Opes do comando show system:
user@host> show system ? possible completions: alarms audit Show system alarm status Show file system MD5 hash and permissions
boot-messages Show boot time messages buffers certificate commit history configuration Show configuration information connections core-dumps Show system connection activity Show system core files Show local directory information Show buffer statistics Show installed X509 certificates Show pending commit requests (if any) and commit
directory-usage initia15etup license processes reboot rollback
Show initial setup information Show feature licenses information Show system process table Show any pending halt or reboot requests Show rolled back configuration
Monitorando o chassi
A operao do chassi feita usando-se os comandos do modo de operao show chassis <argumento>. A lista abaixo exibe alguns dos valores mais populares que o <argumento> pode tomar: 11 alarms: exibe alarmes ativos referentes ao chassi, que saem da lista automaticamente quando o problema sanado. 11 environment: exibe o estado da velocidade do sistema de cooling e de outros recursos de ambiente.
Introduo rede Ip
11 hardware: exibe um inventrio dos componentes de hardware instalados e seus respectivos nmeros de srie. 11 routing-engine: mostra o estado operacional e detalhes da utilizao da RE. Opes do comando show chassis:
user@host> show chassis ?
180
Possible completions: Alarms Environment system speeds Fpc Hardware Lcd Location mac-addresses pic Show Flexible PIC Concentrator status Show installed hardware components Show LCD display Show physical location of chassis Show media access control addresses Show physical Interface Card Show alarm status Show component status and temperature, cooling
state, type, and uptime routing-engine Show Routing Engine status temperature-thresholds Show chassis temperature threshold settings
Verificando o estado das interfaces

A famlia de comandos de modo de operao show interfaces <opes> prov vrios detalhes sobre a operao das diferentes interfaces da caixa. Alguns dos comandos mais populares so: 11 show interfaces <nome da interface> 11 show interfaces <nome da interface> detail 11 show interfaces <nome da interface> extensive 11 show interfaces <nome da interface> terse
O primeiro comando fornece informaes sobre a operao de uma determinada interface. O comando seguinte exibe as mesmas informaes, mas adicionando novos detalhes. O terceiro comando exibe um relatrio ainda maior em relao informao reportada pelos dois comandos anteriores. O ltimo comando exibe um resumo do status das interfaces. O exemplo seguinte exibe ainda outras opes que podem ser utilizadas como argumento
do comando show interfaces:
user@host> show interfaces ge-0/0/0 ? Possible completions: <[Enter]> Brief descriptions detail extensive media routing-instance Execute this command Display brief output Display interface description strings Display detailed output Display extensive output Display media information Name of routing instance
181
snmp-index statistics terse |
SNMP index of interface Display statistics and detailed output Display terse output Pipe through a command
Um comando popular que prov informao resumida sobre o estado de todas as interfaces do roteador o show interfaces terse, cuja sada mostrada abaixo:
user@host> show interfaces terse Interface ge-O/O/O ge-O/O/O.O ge-O/O/1 ge-O/O/1.O Admin Link Proto up up up up up up up up inet6 fd73:5d2a:f03b:15eO::1/64 fe80::217:cbff:fe4e:a281/64 ge-O/O/2 ge-O/O/2.0 up up inet iso mpls ge-O/O/3 ge-0/0/3.0 down up up down inet 172.19.25.1/28 inet 172.18.36.1/24 Local Remote
down up
Esse comando ideal para fornecer uma ideia geral do funcionamento de todas as conexes presentes. Repare que todas as famlias de protocolos de rede so exibidas, bem como todas as interfaces e subinterfaces. O exemplo anterior mostra os estados administrativos e operacionais de cada um desses recursos.
Estado das interfaces: informao extensiva

O comando show interfaces <nome da interface> extensive mostra as informaes mais detalhadas sobre uma determinada interface. O exemplo seguinte mostra apenas uma poro da sada do comando:
user@host> show interfaces ge-O/O/O extensive Physical interface : ge-O/O/O, Enabled, Physical link is Up
Interface index : 129, SNMP ifIndex: 32, Generation: 130

Introduo rede Ip
Link-level type : Ethernet, MTU: 1514, Speed: 100mbps, Loopback: Disabled, Source filtering negotiation: Enabled, : Disabled, Flow control: Enabled, Auto-
182
Remote fault Device flags
: Online : Present Running
Interface flags : SNMP-Traps Internal: Ox4000 Link flags CoS queues Hold-times : None : 8 supported, 8 maximum usable queues : Up 0 ms, Down 0 ms
Current address : 00:17:cb:4e:a2:80, Hardware address: 00:17:cb:4e:a2:80 Last flapped : 2008-10-03 20:46:59 UTC (8w6d 07:27 ago)
statistics last cleared: 2008-10-15 21:16:11 UTC (7w1d 06:58 ago) Traffic statistics: ...
Entre outras informaes, esse comando traz informaes sobre erros de CRC, estatsticas e propriedades fsicas e lgicas da interface. Caso a interface tenha sido configurada com QoS, estatsticas das filas de QoS tambm sero mostradas. Dada a quantidade de detalhes exibidos, o comando torna-se um grande aliado da tarefa de depurao de problemas.
Monitorando interfaces
O comando do modo de operao monitor interface <nome da interface> exibe, em tempo real, estatsticas sobre o uso de uma interface especfica, tais como: volume de dados rece bidos e enviados, erros de CRC e outros, quantidade de pacotes recebidos e enviados, taxa de transmisso e recepo etc. Abaixo apenas uma poro da sada do comando:
host Seconds: 23 Time : 06:11:08 Delay: 0/0/2
Interface: Flags:
ge-O/O/O.0, Enabled,
Link is Up
SNMP-Traps
Encapsulation: ENET2 Local statistics: Input bytes: Output bytes: Input packets: Output packets: 2383 313 Current [13768] [14327] [185] [70] delta
146945 33911
183
Remote statistics: Input bytes: Output bytes: Input packets: Output packets: Traffic statistics: Input byte5: 146993 Output byte5: , [0] 48 (4824 bps) [0] [0] [7] [0]
240 (0 bps) 11 4
(0 pps) (0 pps)
Next=n, Quit=q or ESC, Freeze=f, Thaw=t, C1ear=c, Interface=i

Para obter informaes similares (porm mais resumidas) de todas as interfaces, pode-se usar o comando do modo de operao show interface traffic. A seguir uma poro da sada desse comando:
user@host> monitor interface traffic host Seconds: 27 Time: 04:47:57
Interface Link Input packets (pps) Output packets (pps) ge-0/0/0 Up 22763 (581) ... Bytes=b, Clear=c, Delta=d, Packets=p, Quit=q or ESC, Rate=r, Up=^U, Down=^D 21275 (581)
Utilitrios de rede
Ping e Traceroute
11 Junos prov utilitrios populares para avaliao da rede, como ping e traceroute. 11 Estas ferramentas determinam condies gerais de alcance na rede e o caminho dos pacotes para chegar a um determinado destino. Os comandos ping e traceroute no Junos suportam vrios argumentos, tais como IP origem e tamanho dos pacotes gerados.
user@host> ping 10.210.14.173 PING 10.210.14.173 (10.210.14.173): 56 data bytes 64 bytes from 10.210.14.173: icmp seq=O ttl=64 time=O.345 ms
Introduo rede Ip
64 bytes from 10.210.14.173: icmp seq=1 ttl=64 time=O.292 ms ^C --- 10.210.14.173 ping statistics -- 2 packets transmitted, 2 packets received, 0% packet loss
184
round-trip min/avg/max/stddev = 0.218/0.281/0.345/0.046 ms
user@host> traceroute 10.210.14.173 traceroute to 10.210.14.173 (10.210.14.173), 30 hops max, 40 byte pkts 1 10.210.14.173 (10.210.14.173) 2.872 ms 0.203 ms 0.150 ms
Por default, o ping envia um fluxo contnuo de echo requests ICMP a um determinado destino. Para parar o fluxo, o usurio precisa teclar Ctrl + C, conforme mostrado a seguir. Alternativamente, pode-se usar o argumento count <n>, que faz com que sejam gerados apenas <n> echo requests ICMP.
user@host> ping 10.210.11.177 count 5 PING 10.210.11.177 (10.210.11.177): 56 data bytes 64 bytes from 10.210.11.177: icmp_seq=0 ttl=64 time=0.071 ms 64 bytes from 10.210.11.177: icmp_seq=1 ttl=64 time=0.060 ms 64 bytes from 10.210.11.177: icmp_seq=2 ttl=64 time=0.125 ms 64 bytes from 10.210.11.177: icmp_seq=3 ttl=64 time=0.128 ms 64 bytes from 10.210.11.177: icmp_seq=4 ttl=64 time=0.080 ms --- 10.210.11.177 ping statistics --5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.060/0.093/0.128/0.028 ms
Monitor traffic
11 O comando monitor traffic executa a mesma funo do software Unix tcpdump. 11 Essa ferramenta monitora o trfego de uma determinada interface, que originado ou que termina na RE local do roteador. 11 Se nenhuma interface for especificada, a interface de gerncia ser monitorada.
user@host> monitor traffic ? Possible completions: <[Enter]> detail extensive interface layer2-headers matching Execute this command Display detailed output Display extensive output Name of interface Display link-level header on each receive dump line Expression for headers of receive packets to match
185
11 Problemas de camada 2 podem ser depurados usando o argumento layer2-headers. 11 A opo matching permite filtrar a massa de dados capturada usando critrios base ados nos campos do pacote do protocolo IP. 22 Trata-se de uma das opes mais funcionais para o comando. 11 A opo write-file fica escondida (no aparece quando se executa o comando ?), mas est disponvel e consiste em um recurso bastante til. 22 Essa opo permite salvar o contedo capturado em um arquivo no formato .cap. 22 Esse arquivo poder ser aberto posteriormente em um software de decodificao de dados, como o Wireshark (antigo Ethereal). A opo write-file deve ser usada com bastante cuidado. Dependendo do volume de dados capturado, o arquivo de sada pode formar um volume absurdamente grande e estourar o tamanho do disco do sistema, o que comprometeria grande parte das funes do roteador (por esse motivo o comando fica escondido). Ao usar a opo write-file, sempre utilize a opo matching em conjunto, para evitar que muitos pacotes sejam registrados. Essa prtica ajuda a evitar a gerao de um grande volume.
Exemplo de captura de pacotes:
user@host> monitor traffic interface ge-0/0/2 layer2-headers no-resolve verbose output suppressed, use <detail> or <extensive> for full protocol decode Address resolution is OFF. Listening on ge-0/0/2, capture size 96 bytes
06:19:35.121217 In 0:1b:c0:5e:53:a2 > 0:19:e2:50:3f:e3, ethertype IPv4 (Ox0800), length 98: 10.100.200.1 > 10.100.200.2: ICMP echo request, id 5153, seq 222, length 64 06:19:35.121269 Out 0:19:e2:50:3f:e3 > 0:1b:c0:5e:53:a2, ethertype IPv4 (Ox0800), length 98: 10.100.200.2 > 10.100.200.1: ICMP echo reply, id 5153, seq 222, length 64 ^C ----- Ctrl+c 10 packets received by filter
Introduo rede Ip
o packets dropped by kernel
O exemplo mostra o capturador de pacotes do Junos em ao. Para parar uma captura necessrio teclar Ctrl + C.
186
Clientes de Telnet, SSH e FTP

11 O Junos traz previamente instalados clientes de Telnet, SSH e FTP. 11 Esses softwares permitem acessar equipamentos remotos a partir da CLI do Junos.
user@host> telnet ? Possible completions: <host> 8bit bypass-routing inet inet6 interface logical-router no-resolve port routing-instance source Hostname or address or remote host Use 8-bit data path Bypass routing table, use specified interface Force telnet to IPv4 destination Force telnet to IPv6 destination Name of interface for outgoing traffic Name of logical router Dont attempt to print addresses symbolically Port number or service name on remote host Name of routing instance for telnet session Source address to use in telnet connection
user@host> telnet 127.0.0.1 Trying 127.0.0.1... Connected to 127.0.0.1. Escape character is ^].
host (ttyp0)
login: user Password: ...

Para transferir arquivos do Junos para um sistema remoto utilizando o cliente FTP, usa-se o comando file copy conforme abaixo:
user@host> file copy ftp://ftp:ftp@10.210.11.189/junos-jseriesdomestic.tgz / var/tmp/junos-jseries-domestic.tgz /var/tmp// ...transferring.file.........Ri4PRe/100% of 41 MB 4071 kBps 00m00s
187
Mantendo o Junos
Para verificar detalhes sobre a verso de Junos que est sendo executada na caixa, utiliza-se o comando do modo de operao show version. Pode-se adicionar a esse comando a opo detail para obter informaes adicionais sobre os pacotes e processos includos na verso do sistema operacional.
user@host> show version Hostname: host Model: mx480 JUNOS Base OS boot [9.5Rl.8] JUNOS Base OS Software Suite [9.5R1.8] JUNOS Kernel Software Suite [9.5R1.8] JUNOS Crypto Software Suite [9.5R1.8] JUNOS Packet Forwarding Engine Support (M/T Common) [9.5R1.8] JUNOS Packet Forwarding Engine Support (MX Common) [9.5R1.8] JUNOS Online Documentation [9.5Rl.8] JUNOS Routing Software suite [9.5R1.8]
Alguns pacotes tpicos que compem o sistema: 11 jkernel: compreende o kernel e o pacote de ferramentas de rede. Contm os arquivos bsicos de sistema. 11 jroute: compreende o pacote da routing engine. Contm o software executado na RE. 11 jpfe: contm o software executado na Packet Forwarding Engine (PFE). 11 jdocs: contm as documentaes do sistema. 11 jcrypto: pacote de encriptao, contm o software de segurana.
Conveno de nomes de pacotes de Junos

A conveno usada para nomear os pacotes do Junos segue uma padronizao package-release-edition, onde: 11 Package: a descrio do contedo do pacote; alguns exemplos: jinstall, jkernel e junos-srx. 11 Release: descreve a verso do Junos considerando vrios subcomponentes. O release consiste em dois nmeros inteiros e uma letra maiscula (que indica o tipo de software). A letra mais comum R, que indica Release. Empresas que se propem a serem testa doras de novos softwares se confrontam com frequncia com a letra B, que indica Beta software, ou com a letra I, que indica Internal.
Introduo rede Ip
Mais dois nmeros fecham o nome do pacote. O nmero da build e do spin do cdigo. Assim, o pacote jinstall-9.5R1.8-domestic.tgz indica: Software Junos verso 9.5, build 1, spin 8. 11 Edition: tipicamente ser domestic ou export. Verses domestic suportam algoritmo de encriptao forte, enquanto as verses export no suportam.
188
H ainda uma terceira e rara possibilidade: a FIPS. Essa verso prov servios avanados de segurana de redes para clientes que precisam adequar suas operaes ao padro da Federal Information Processing Standards 140-2. Todo software Junos fornecido em pacotes assinados, que contm assinaturas digitais que usam o algoritmo SHA-1 (Secure Hash Algorithm 1). Um pacote s pode ser instalado se um procedimento de verificao do pacote executado pelo hardware retorna um resultado esperado. Do contrrio a instalao falhar. O resultado esperado ser retornado sempre que a assinatura digital for verificada corretamente.
Recuperao de senha
A perda da senha de root do sistema um perigo sempre presente. Quando isso ocorre, pode-se recuper-la usando o procedimento descrito a seguir. Como precauo de segurana, o procedimento de recuperao de senha pode ocorrer apenas atravs de uma sesso criada a partir da porta console. No possvel faz-lo via sesso de telnet ou de SSH. Passos para a recuperao de senha: 11 Obtenha acesso via console e faa um reboot no sistema. 11 Durante o processo de boot tecle a barra de espao continuamente. 11 Quando o sistema apresentar o prompt loader> (ou um prompt OK, dependendo da plataforma), execute boot -s para iniciar o sistema no modo single-user.
...TRIMMED... Hit [Enter] to boot immediately, or space bar for command prompt. <user presses Spacebar>
Type ? for a list of commands, help for more detailed help. loader> boot -s
Terminado o processo de boot em modo single-user, o sistema perguntar se o usurio deseja operar o equipamento atravs de um shell ou se deseja recuperar a senha de root.
Nesse ponto, deve-se executar o comando recovery:
...TRIMMED... Enter full pathname of shell or recovery for root password recovery or RETURN for /bin/sh: recovery
11 Depois de uma srie de mensagens a CLI inicia e apresenta o prompt do modo de operao. 11 Nesse ponto pode-se executar um reset da senha de root com o comando set system root-authentication plain-text-password. 11 Em seguida, necessrio efetivar o comando com o commit.
189
[edit] root# set system root-authentication plain-text-password New password: Retype new password:
[edit] root# commit commit complete

O prximo passo deixar o modo de configurao. Nesse momento o sistema perguntar se o usurio deseja executar um reboot. Escolhendo a opo Y (Yes) o sistema reiniciar. Com o reboot completo, j ser possvel se conectar com a nova senha de root.
[edit] root# exit Exiting configuration mode
root> exit Reboot the system? [y/n] y
Instalao e upgrade do Junos

A instalao de uma nova verso de Junos depende de dois passos: fazer o download da imagem a ser instalada e executar a instalao. O download da imagem do Junos pode ser feito em um portal prprio mantido pela Juniper: http://www.juniper.net/support/ O download pode ser executado atravs de um browser web ou de um cliente de FTP. Para baixar uma imagem de Junos utilizando um cliente de FTP, aponta-se o software cliente para o endereo ftp.juniper.net. Independentemente do mtodo que ser usado, para fazer o download necessrio ter um contrato de suporte vlido com o fabricante e uma conta de acesso ao portal. Cada imagem individual de Junos designada para uma plataforma especfica. Ao fazer o download da imagem deve-se atentar para o tipo de plataforma para o qual a imagem designada. A RNP um grande cliente da Juniper e possui contrato de suporte para vrios de seus equipamentos.
Introduo rede Ip
Uma vez executado o download, a imagem deve ser gravada no disco do roteador, em um diretrio qualquer. Para proceder com o upgrade, o usurio utiliza o comando do modo de operao:
request system software add <diretrio/imagem>

Caso a imagem esteja em um servidor de FTP remoto possvel usar o mesmo comando, passando como argumento os nomes do diretrio e do arquivo remotos, IP, senha e usurio do servidor de FTP. Procedendo dessa forma, o sistema far a instalao a partir do arquivo remoto.
190
Para ativar o novo software necessrio proceder com o reboot do sistema. Esse reboot pode ser executado em um passo posterior ou automaticamente, usando a opo reboot como argumento do comando request system software add.
user@host> request system software add /var/tmp<image-name> reboot Verified jinstall-9.5R1.8-domestc.tgz signed by PackageProduction_9_5_0 Adding jinstall... Verified manifest signed by PackageProduction_9_5_0
WARNING: This package will load JUNOS 9.5R1.8 software. WARNING: It will save JUNOS configuration files, and SSH keys WARNING: (if configured), but erase all other files and information WARNING: stored on this machine. It will attempt to preserve dumps WARNING: and log files, but this can not be guaranteed. This is the WARNING: pre-instalation stage and all the software is loaded when WARNING: you reboot the system. Saving the config files... ...
Uma vez que o novo Junos instalado, o usurio notificado de que o sistema far um novo reboot para completar o processo de upgrade. Nesse ponto o usurio pode usar o terminal de console para acompanhar as mensagens geradas, prestando particular ateno para mensagens de erro que venham a ocorrer. Opcionalmente, pode-se verificar as mensagens geradas durante o boot em um momento posterior, atravs do comando de modo de operao:
show system boot-messages

Dispositivos que rodam o Junos executam cdigos binrios fornecidos pela Juniper. Cada imagem de Junos possui executveis assinados digitalmente, que so registrados pelo sistema somente se a assinatura validada. O Junos no executar nenhum binrio sem o devido registro. Esse recurso existe para proteger o hardware contra softwares no autorizados e atividades que poderiam comprometer a atividade do equipamento.
Boas prticas de upgrade

Durante o processo de upgrade existem boas prticas aconselhveis. A primeira delas o uso do diretrio /var/tmp para local temporrio de armazenamento de imagens. Os arquivos de imagem que j foram instalados e permaneceram gravados ali podem ser removidos atravs do processo de clean up. Esse processo executado pelo sistema quando o usurio executa o comando de modo de operao request system storage cleanup.
191
Para determinar os arquivos candidatos a serem removidos, utiliza-se o comando de modo de operao:
request system storage cleanup dry-run

Normalmente o espao de armazenamento do roteador tem bastante espao, porm, aconselhvel checar a quantidade de espao disponvel antes de fazer um download de uma nova imagem. Pode-se verificar o espao disponvel na compact-flash do equipamento com o comando do modo de operao:
show system storage
192
Introduo rede Ip
Atividade 7.1 Instalao do Junos (parte 1)
1. Verificando alarmes do Junos; O equipamento j2350 da Juniper possui um led chamado Alarm, que indica se h alguma coisa errada com o equipamento. Para verificar o motivo do alarme caso o led esteja aceso, basta utilizar os comandos abaixo a partir do modo operao. Verifique se existe algum alarme ativado com o comando:
root@bancadaX> show system alarms 1 alarms currently active Alarm time 2011-01-21 15:11:06 UTC Class Minor Description Rescue configuration is not set
root@teste> show chassis alarms No alarms currently active

Para simular um alarme, digite o comando abaixo para apagar o arquivo rescue:
> request system configuration rescue delete > commit

Reinicie o roteador:
>request system reboot

Quando o roteador reiniciar, acender uma luz laranja de alarme; para verificar o alarme usa-se o comando:
> show system alarms

Para resolver o alarme basta criar um arquivo de rescue:
> request system configuration rescue save > commit

A luz do alarme dever apagar. 2. Habilitando e desabilitando servios; O Junos fornece alguns servios de acesso remoto, quer via protocolo Telnet, SSH, interface grfica com algumas opes de configurao e at mesmo servios DHCP e FTP. Para habilitar esses servios, basta proceder como no exemplo seguinte:
root@bancadaX# set system services ssh root@bancadaX# set system services web-management http interface ge-0/0/1.0
193
3. Configurando o modo RESCUE; Como se viu no exemplo anterior, a sada exibida pelo comando show system alarms informa que existe um alarme devido configurao de rescue no estar habilitada. Essa mais uma funcionalidade do Junos que auxilia o administrador em casos de recuperao em desastres. Quando se define uma configurao de rescue, salva-se uma cpia da configu rao atual em um arquivo na flash do equipamento. Para aplicar essa configurao salva, basta apertar ligeiramente uma vez o boto config do equipamento. Essa atividade visa simular uma situao de desastre. Para isso execute o seguinte comando a partir do modo configurao para habilitar a configurao de rescue.
root@teste# run request system configuration rescue save [edit]

Em seguida, execute o comando commit para que as configuraes tenham efeito.
root@teste# commit commit complete [edit]

Feito isso, perceba que o boto alarm do equipamento no est mais com o led aceso. Agora vamos excluir as configuraes da interface ge-0/0/0 com os seguintes comandos:
root@teste# delete interfaces ge-0/0/0 [edit] root@teste# commit commit complete [edit]
Nesse momento deve-se experimentar uma perda de conexo remota ao equipamento. Para retornar para a configurao anterior, basta apertar ligeiramente e somente uma vez o boto config do equipamento. Perceba que as configuraes da interface ge-0/0/0 entraro em vigor novamente, possibilitando o acesso remoto ao roteador.
Atividade 7.2 Instalao do Junos (parte 2)

1. Backup e restore Uma questo muito importante em sistemas corporativos relativa a backup e restore. Junos fornece alguns comandos e opes que facilitam o backup e restore de todo o seu sistema. Para salvar toda a configurao ativa do seu sistema em um arquivo texto, deve-se utilizar o comando show a partir do [edit], topo da rvore de configurao do Junos, junto com o
Introduo rede Ip
comando display set, que exibir na tela os comandos que geraram a configurao atual, como exibido a seguir.
194
root@bancadaX# show | display set set version 9.5R4.3 set system host-name teste set system root-authentication encrypted-password $1$GwoPLZZp$8HKb9z7J55MJHFt7/ tErn. set system login user glenio uid 2007 set system login user glenio class super-user set system login user glenio authentication encrypted-password $1$GlS0hWjY$wwKM hlH6.gv2RAo9IHwcR/ set system login user zacaron uid 2006 set system login user zacaron class super-user set system login user zacaron authentication encrypted-password $1$W.X4RTGh$CG2 Rw5JXXBOpSo7WXGuYd1 set system services ssh set system services telnet set system services web-management http interface ge-0/0/1.0 set system syslog file messages any any set system syslog file auditoria.txt interactive-commands any set system syslog file auditoria1.txt interactive-commands any set system ntp boot-server 200.144.121.33 set system ntp server 200.144.121.33 set interfaces ge-0/0/0 description Rede Wan set interfaces ge-0/0/0 unit 0 description WAN - 192.168.1.1 set interfaces ge-0/0/0 unit 0 family inet address 192.168.1.1/30 set interfaces ge-0/0/1 description Rede Lan set interfaces ge-0/0/1 unit 0 description LAN - 10.0.40.254 set interfaces ge-0/0/1 unit 0 family inet address 200.130.26.4/24 set interfaces lo0 unit 0 family inet address 192.168.0.1/30 set routing-options static route 0.0.0.0/0 next-hop 200.130.26.254
195
Com esses comandos em mos, basta salvar em um arquivo com o comando save, conforme a seguir:
root@bancadaX# show | save backup_19012011.txt Wrote 54 lines of output to backup_19012011.txt [edit]

Agora, com todas as configuraes salvas em um arquivo, pode-se utilizar o cliente scp do Unix para copiar o arquivo para uma mquina remota, ou at mesmo copiar de uma mquina remota o arquivo que se encontra na flash do Juniper, j que o Junos possui um servidor de Shell seguro (SSH) para estabelecer conexes remotas. Exemplo: Para entrar no Shell do Unix, digite o seguinte comando a partir do modo operao:
root@bancadaX> start Shell

Digite o comando pwd para verificar a localizao no sistema de arquivos:
root@bancadaX% pwd /cf/root

Digite o comando ls -lah para listar os arquivos nesse diretrio /cf/root:
root@bancadaX% ls -lah total 70 drwxr-xr-x drwxr-xr-x -rw-r--r--rw-------rw-r--r--rw-r--r-drwx------rw-r--r--rw-r--r--rw-r--r--rw-r--r--rw-r--r--rw-r--r- Introduo rede Ip
3 root 11 root 1 root 1 root 1 root 1 root 2 root 1 root 1 root 1 root 1 root 1 root 1 root 1 root 1 root
wheel wheel wheel wheel wheel wheel wheel wheel wheel wheel wheel wheel wheel wheel wheel
512B Jan 19 18:13 . 512B Dec 17 21:12 .. 361B Feb 16 2010 .cshrc
1.3K Jan 19 16:40 .history 1.1K Feb 16 215B Feb 16 2010 .login 2010 .profile
512B Dec 15 00:28 .ssh 2.6K Dec 15 00:34 backup.txt 2.5K Jan 19 18:13 backup_19012011.txt 3.9K Dec 18 00:47 conf_17-12-2010 3.7K Dec 18 00:47 conf_display_set 2.4K Dec 18 01:03 novo 4.5K Dec 15 02:25 snmp 2.5K Dec 28 20:52 teste.txt 6B Dec 14 21:57 ttyp1
-rw-r--r--rw-r--r--
196
Se o arquivo for encontrado, basta utilizar o cliente scp para copiar o arquivo para uma mquina remota:
root@bancadaX% scp backup_19012011.txt root@200.130.26.5:/cf/root root@200.130.26.5s password: backup_19012011.txt 100% 2550 2.5KB/s 00:00
O sistema operacional remoto pedir a senha para o usurio root; se informada corretamente, copiar o arquivo de maneira segura. Para recuperar um backup efetuado em um arquivo de configurao tipo ASCII, deve-se utilizar o comando load. Sempre que utilizar esse comando recomendado fazer um backup da configurao atual, pois aps execut-lo e em seguida o comando commit, toda a configurao que se encontra no arquivo de configurao ser aplicada e valer a partir desse instante. A seguir um exemplo de utilizao do comando load. O Junos guarda alguns modelos de configurao que podem auxiliar na configurao do roteador quando ele vem de fbrica. Esses arquivos esto localizados no diretrio /etc/config/.
root@bancadaX# load override backup_19012011.txt

Feito isso, basta executar o comando commit para que as configuraes passem a ter efeito.
Atividade 7.3 Upgrade do Junos

1. Recuperando a senha de root; Obtenha acesso via console e faa um reboot no sistema. Durante o processo de boot tecle a barra de espao continuamente, at que o sistema apresente o prompt loader> (ou um prompt OK, dependendo da plataforma). Nesse momento execute boot -s para iniciar o sistema no modo single-user.
. . . TRIMMED . . . Hit [ENTER] to boot immediately, or space bar for command prompt. <user presses Spacebar> Type ? for a list of commands, help for more detailed help. loader> boot -s
Terminado o processo de boot em modo single-user, o sistema perguntar se o usurio deseja operar o equipamento atravs de um shell ou se deseja recuperar a senha de root. Neste ponto, deve-se executar o comando recovery:
. . .
TRIMMED . . .
Enter full pathname of shell or recovery for root password recovery or RETURN for /bin/sh: recovery
Depois de uma srie de mensagens, a CLI inicia e apresenta o prompt do modo de operao. Nesse ponto pode-se executar um reset da senha de root com o comando:
set system root-authentication plain-text-password

197
Em seguida necessrio efetivar o comando com commit:
[edit] Root# set system root-authentication plain-text-password New password: Retype new password:
[edit] Root# commit commit complete

O prximo passo deixar o modo de configurao. Nesse momento o sistema perguntar se o usurio deseja executar um reboot. Escolhendo a opo Y (Yes), o sistema ser reiniciado. Uma vez que o reboot est completo, j ser possvel se conectar com a nova senha de root.
[edit] root# exit Exiting configuration mode root> exit Reboot the system? [y/n] y
2. Fazendo o upgrade do Junos; Copie o arquivo da pasta junos para /var/tmp/. Execute o seguinte comando:
request system software add no-validate /var/tmp/<imagem do Junos>

Aps a execuo deste comando, se tudo correu bem, o sistema solicitar um reboot. 3. Acessando a interface grfica; Usar a sequncia de comandos descrita no Captulo 11 , pginas 27 a 33, ttulo: Processo de login na J-Web.
198
Introduo rede Ip
4. Acessando via SSH; Para acessar o roteador remotamente com o protocolo SSH, basta utilizar o software livre PuTTY, informando o IP do roteador remoto, bem como usurio e senha.
Figura 10.2 Configurao PuTTY.
199
200
Introduo rede Ip
11
Fundamentos de roteamento
objetivos
Descrever o processo de roteamento de camada 3 e conceituar roteamento esttico e sua configurao no roteador.
conceitos
Fundamentos de roteamento, roteamento esttico.
Conceitos de roteamento
Roteamento, na sua forma mais bsica, o processo de mover dados entre redes de camada 3. A figura seguinte exibe um exemplo de topologia de rede contendo vrios equipamentos L3 (roteadores). Entre esses equipamentos esto as chamadas redes L3.
Server A Internet
Server B
User A
Captulo 11 - Fundamentos de roteamento
User B
Figura 11.1 Redes L3.
Data center
11 Apesar dos roteadores serem os equipamentos mais populares para a tarefa de roteamento, outros dispositivos podem realizar essa funo, como switches e firewalls. 11 At mesmo alguns modems, utilizados em conexes ADSL de pequenos escritrios ou residncias, so capazes de rotear pacotes L3. 11 A internet pode ser definida como um amplo conjunto de redes L3 interligadas.
201
Componentes do roteamento
Os componentes do roteamento podem ser divididos em dois grupos: 1. Os recursos que garantem um ou mais caminhos fim a fim entre os destinos. 2. Os recursos que garantem a inteligncia para usar o caminho mais adequado para a comunicao. O processo de roteamento dos equipamentos de rede implementa o segundo item.
Internet
User A
User B Data center

Figura 11.2 Componentes do roteamento.
No exemplo da figura existe um caminho fsico entre as duas redes destacadas e a internet. Uma vez que esse caminho fsico est configurado e opera corretamente, o primeiro recurso est garantido. Para implementar o segundo recurso, todos os dispositivos de camada 3 que participam do caminho fsico precisam ter as informaes de roteamento pertinentes. Alm disso, os PCs e servidores dentro da rede de usurios e do datacenter precisam configurar o parmetro default gateway adequadamente (o default gateway ser o roteador que atende a cada uma dessas redes, ou seja, o primeiro elemento de camada 3 do caminho fsico entre os usurios de cada rede local e o restante do mundo). O default gateway de cada rede local precisa determinar o prximo hop apropriado para cada pacote de trfego de trnsito que chega em suas interfaces. Os equipamentos que executam o Junos usam os dados armazenados na Forwarding Table (FT) para tomar essa deciso. A FT contm um subconjunto das informaes contidas na tabela de rotas.
202
Introduo rede Ip
Rotas diretamente conectadas

Internet
User A .1 .1
User B Data center

Figura 11.3 Exemplo de roteamento.
10.2.2.0/24 10.1.1.0/24 A figura apresenta um cenrio de roteamento simples, onde os usurios da rede local da esquerda desejam acessar dados na rede do datacenter. Para que um dispositivo consiga trocar dados com um equipamento fora da sua prpria rede local, a figura do default gateway se faz necessria, e a configurao desse ator deve estar corretamente executada. No cenrio da figura, o usurio A precisa configurar o parmetro default gateway de sua mquina com o endereo IP do roteador na sua LAN (10.1.1.1). Da mesma forma, os equipamentos na LAN do datacenter devem configurar seu default gateway com o endereo 10.2.2.1. O roteador, que funciona como gateway das redes locais da figura, requer a informao de roteamento suficiente para determinar o prximo hop que conseguir encontrar a rede de destino, referente ao trfego entre as duas redes locais. Nesse exemplo, o roteador aprendeu essa informao atravs da prpria configurao de endereo IP de suas interfaces. Uma vez que o equipamento tem um IP na rede 10.2.2.0\24 e outro na rede 10.1.1.0\24, ao receber um pacote endereado para qualquer uma dessas redes, ele j saber por qual interface o pacote deve sair. Portanto, para a comunicao entre as duas redes locais do exemplo, no necessria a configurao de nenhum protocolo de roteamento. Dessa forma, ao configurar um endereo IP e uma mscara em uma interface do roteador, automaticamente a rota para a rede correspondente passa a popular a tabela de rotas e tambm a FT, sem necessidade de nenhum protocolo de roteamento. Esse tipo de rota aparece na tabela de rotas como rota diretamente conectada.
Tabela de rotas
Routing protocol databases OSPF OSPF OSPF Routing table Dire Static Forwarding table
Figura 11.4 Tabela de rotas.
Other routing information sources
203
A tabela de rotas do Junos consolida a informao de rotas recebidas de mltiplas fontes de roteamento, incluindo os vrios protocolos de roteamento que podem estar em execuo na mquina, as rotas estticas (adicionadas manualmente pelo administrador do roteador) e as rotas diretamente conectadas. 11 Quando o equipamento recebe mltiplas informaes de rotas para um dado prefixo preciso selecionar dentre as vrias informaes recebidas a que ser efetivamente usada. 11 Essa rota ser a rota ativa para o prefixo. 11 Opcionalmente pode-se fazer com que o Junos considere mais de uma rota para ser ativada, balanceando trfego entre duas ou mais rotas. 11 Cada rota ativa para cada prefixo popula a Forwarding Table. 11 A FT determina a interface de sada e a operao de encapsulamento L2, que dever ser usada para cada pacote que sai de uma interface.
Mltiplas tabelas de rotas

11 Equipamentos que rodam o Junos podem acomodar vrias tabelas de rotas. 11 A tabela primria se chama inet.0, e armazena as rotas unicast de IP verso 4. 11 Outras tabelas podem existir. Um exemplo a inet6.0, que o Junos cria quando usada configurao de IP verso 6. A seguir uma lista das diferentes tabelas de rotas que podem ser criadas pelo Junos quando necessrio: 11 inet.0: usada para armazenar rotas unicast de IP verso 4. 11 inet.1: usada para cache de rotas multicast. 11 inet.2: usada para armazenar rotas MBGP para checagem de Reverse Path Forwarding (RPF). 11 inet.3: usada para informao de encaminhamento de MPLS. 11 inet.4: usada para armazenar rotas MSDP. 11 inet.6.0: usada para armazenar rotas unicast IP verso 6. 11 mpls.0: usada para armazenar informaes de prximo hop do protocolo MPLS.
Preferncia de rotas: selecionando a rota ativa

11 Junos utiliza o recurso de route preference para diferenciar rotas recebidas por diferentes protocolos de roteamento. 11 Route preference equivalente distncia administrativa usada em equipamentos de outros fabricantes. 11 A tabela abaixo mostra a route preference default das fontes mais populares de informao de rotas.
Introduo rede Ip
204
Routing information source Direct Local Static OSPF internal RIP

Tabela 11.1 Preferncia de rotas.
Default preference 0 0 5 10 100 150 170
OSPF AS external BGP (EBGP e IBGP)
Quanto menor o valor da route preference, mais prefervel a rota. O valor da route preference o primeiro critrio utilizado pelo Junos para escolher entre rotas de diferentes fontes recebidas para um mesmo prefixo. A tabela abaixo exibe a lista completa do valor de route preference para todas as fontes de informao de roteamento com as quais o Junos trabalha. Direct Local System routes 4 Static and Static LSPs RSVP-signaled LSPs RSVP-signaled LSPs OSPF internal IS-IS Level 1 internal IS-IS Level 2 internal
Tabela 11.2 Tabela completa route preference.
0 0 4 5 7 9 10 15 18 30 40
SNMP Router discovery RIP RIPng DVMRP Aggregate OSPF AS external IS-IS Level 1 external IS-IS Level 2 external BGP (internal and external) MSDP
50 55 100 100 110 130 150 160 165 170 175
Redirects Kernel
Os valores podem variar entre 0 e 4.294.967.295. Os comandos a seguir demonstram que uma rota esttica com route preference de 5 preferida em relao rota OSPF internal, passada FT.
que tem valor 10. O caractere asterisco (*) detalha a rota escolhida para ativao, e que foi
user@host> show route 192.168.36.1 exact
inet.0: 5 destinations, 6 routes (5 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both
192.168.36.1/32
*[Static/5] 00:00:31 > to 10.1.1.2 via ge-0/0/10.0
205
[OSPF/10] 00:02:21, metric 1 > to 10.1.1.2 via ge-0/0/10.0

No exemplo de preferncia de rotas, as rotas esttica e OSPF esto com seus valores de route preference default. possvel mudar esses valores para uma determinada fonte de informao, com a inteno de fazer dessa fonte, por exemplo, a mais prefervel (ou a menos prefervel) em uma situao onde ela no o seria. A exceo so as rotas diretamente conectadas e rotas locais que sero sempre preferidas, independente do valor de route preference das outras fontes de informao. 11 Quando o roteador recebe a mesma rota (para um mesmo prefixo), com o mesmo custo, de um mesmo protocolo fonte (de modo que o route preference fica empatado), o route protocol process (rpd) ativar mais de uma rota e selecionar aleatoriamente um dos caminhos a ser usado por cada pacote que destinado ou prefixo em questo. 11 Essa abordagem prover distribuio de carga entre as diferentes rotas. A sada do comando seguinte ilustra essa situao:
user@host> show route 10.1.0.0/16
10.1.1.0/24
*[Static/5] 00:00:25 to 172.20.66.2 via ge-0/0/2.0 > to 172.20.77.2 via ge-0/0/3.0
10.1.2.0/24
*[Static/5] 00:00:25 > to 172.20.66.2 via ge-0/0/2.0 to 172.20.77.2 via ge-0/0/3.0
10.1.3.0/24
*[Static/5] 00:00:25 to 172.20.66.2 via ge-0/0/2.0 > to 172.20.77.2 via ge-0/0/3.0
10.1.4.0/24
*[Static/5] 00:00:25 > to 172.20.66.2 via ge-0/0/2.0 to 172.20.77.2 via ge-0/0/3.0
Introduo rede Ip
Nesse cenrio, se desejado, pode-se habilitar o balanceamento de trfego atravs das mltiplas rotas com base em fluxo de dados. Por definio, o balanceamento seria por pacote. O detalhamento das configuraes de roteamento est fora do escopo desse curso.
206
Verificando a tabela de rotas

O comando show route exibe a tabela de rotas:
user@host> show route inet.0: 6 destinations, 7 routes (6 active, 0 holddown, 0 hidden) ----- Route table name + = Active Route, = Last Active, * = Both
10.1.1.0/24 *[Static/5] 00:10:24 ------ Route source and preference > to 172.29.30.253 via ge-0/0/10.0 [OSPF/10] 00:03:38, metric 2 > to 172.18.25.2 via ge-0/0/13.0 172.18.25.0/30 *[Direct/0] 00:11:05
> via ge-0/0/13.0 172.18.25.1/32 *[Local/0] 00:11:05
Local via ge-0/0/13.0 *[Direct/0] 00:11:05
172.29.30.0/24
> via ge-0/0/10.0 172.29.30.1/32 *[Local/0] 00:11:05
Local via ge-0/0/10.0 ----- Asterisk (*) indicates that he
route is selected as active
...
Sem usar nenhum argumento, o comando anterior exibe o contedo completo de todas as tabelas de rotas da caixa. Est destacado que todas as rotas ativas ficam marcadas com um asterisco (*). Cada entrada da tabela de rotas mostra a fonte atravs da qual o equipamento aprendeu a informao, bem como a sua route preference.
11 O comando show route mostra um sumrio das rotas ativas, em holddown e escon didas. 11 As rotas ativas so aquelas efetivamente usadas para o encaminhamento do trfego. 11 Rotas em holddown esto no estado pendente, e futuramente podero ser usadas, se necessrio. 11 Rotas escondidas so aquelas que o sistema no pode usar por alguma razo, tal como parmetro prximo hop invlido ou uma route policy impede que ela possa ser usada. possvel filtrar a sada do comando por prefixo de interesse, tipo de protocolo e outros atributos. O exemplo seguinte exibe uma forma filtrada do comando, que traz apenas rotas aprendidas via protocolo de roteamento OSPF.
207
user@host> show route protocol ospf inet.0: 6 destinations, 7 routes (6 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both
10.1.1.0/24
[OSPF/10] 04:57:41, metric 2 > to 172.18.25.2 via ge-0/0/13.0
224.0.0.5/32
*[OSPF/10] 05:00:58, metric 1 MultiRecv
Repare que apesar do comando retornar apenas duas rotas, o contador de rotas continua trazendo o valor total presente na tabela.
Forwarding Table (FT)

Routing protocol databases OSPF OSPF OSPF Routing table Dire Static Forwarding table
Figura 11.5 Forwarding Table.
Other routing information sources
A FT armazena um subconjunto da tabela de rotas. Dentro da FT, pode-se encontrar deta lhes usados pelo equipamento que executa o Junos para encaminhar pacotes, como os prefixos de destino e suas respectivas interfaces de sada associadas. O comando show route forwarding-table fornece acesso s informaes da FT:
user@host> show route forwarding-table Routing table: inet Internet: Destination Netif default 0/0/0.0 default
Introduo rede Ip
Type RtRef Next hop
Type Index NhRef
user
0 0:17:cb:4e:ae:81
ucst
520
3 ge-
perm perm user
0 0 0 200.1.4.100
rjct dscd ucst
36 34 535
1 1 3 ge-
0.0.0.0/32 172.19.0.0/16 0/0/3.0 172.19.52.0/24 0/0/1.0 172.19.52.16/28
user
0 200.1.2.100
ucst
529
3 ge-
user
0 200.1.3.100
ucst
534
3 ge-
208
0/0/2.0
O exemplo mostra que o kernel do Junos adiciona algumas entradas nessa tabela e as mantm permanentemente. Um exemplo a entrada com o destino default, que con templa todos os pacotes que no so contemplados por nenhuma outra entrada. Quando um pacote contemplado pela entrada default, descartado, e uma mensagem ICMP de destination unreachable enviada ao remetente do pacote. Quando o administrador configura uma rota default na tabela de rotas (apontando para o destino 0.0.0.0\0), a tabela FT passa a usar essa rota ao invs da entrada default. Cada entrada na FT mostrada no exemplo possui um tipo (type). A lista abaixo detalha route types comuns encontradas na FT: 11 intf: instaladas como resultado da configurao de endereo IP em uma interface. 11 perm: instaladas pelo kernel quando a tabela de rotas se inicia. 11 user: instaladas por um protocolo de roteamento como resultado de uma configurao. Cada entrada na FT mostrada tambm possui um tipo de next hop. A lista abaixo detalha next hop types comuns encontrados na FT: 11 bcst: o next hop um endereo broadcast. 11 rjct: descarta o pacote e envia mensagem ICMP de unreachable para o remetente. 11 ucst: next hop do tipo unicast. 11 ulst: h mais de um next hop (est sendo usado balanceamento). 11 dscd: descarta o pacote silenciosamente. 11 hold: o next hop ainda ser calculado. 11 locl: endereo de uma interface local. 11 mcst: o next hop um endereo multicast. 11 mdsc: pacotes de multicast para serem descartados. 11 recv: next hop do tipo receive.
Determinando o Next Hop

Quando um pacote chega por uma interface, o roteador compara o campo IP destino com as entradas dentro da FT, a fim de determinar o next hop para o qual o pacote ser repassado. Se o pacote destinado ao equipamento local, o Junos ir process-lo. Se o pacote transmitir o pacote ao next hop atravs da interface definida pela FT.
destinado a outro dispositivo e existe uma entrada vlida na FT que o contempla, o Junos
Forwarding plane
Figura 11.6 Determinando o next hop.
Packets in
FT
Packets out
Quando mltiplos prefixos contemplam o IP destino do pacote, o Junos utiliza aquele que o mais especfico (com a maior mscara), como faz o equipamento de qualquer outro fabricante.
209
user@host> show route forwarding-table Routing table: inet Internet: Destination Netif default 0/0/0.0 default 0.0.0.0/32 172.19.0.0/16 0/0/3.0 172.19.52.0/24 0/0/1.0 172.19.52.16/28 user 0/0/2.0 ...
O exemplo acima exibe uma amostra da FT de um equipamento Juniper. Se um pacote destinado ao IP 172.19.52.101 chega por uma interface, ele ser contemplado por mais de uma entrada da FT: a rota default definida pelo usurio, a rota 172.19.0.0\16 e a rota 172.19.52.0\24. Como essa ltima possui o prefixo mais especfico, ser usada para o enca minhamento. Assim, o pacote ser repassado ao next hop 200.1.2.100. Analogamente, se um pacote endereado a 172.25.100.27 chega ao roteador, apenas uma entrada o contemplar: a rota default definida pelo usurio. Assim, o pacote ser encaminhado para a interface de sada ge-0/0/0 e ser encapsulado no endereo L2 00:17:cb:4e:ae:81. Em situaes onde nenhuma entrada da FT contempla o IP destino do pacote, o Junos descarta o pacote e envia uma mensagem ICMP de destination unreachable.
Type RtRef
Next hop
Type Index NhRef
user
0:17:cb:4e:ae:81 ucst
520
ge-
perm perm user
0 0 0 200.1.4.100
rjct dscd ucst
36 34 535 3
1 1 ge-
user
200.1.2.100
ucst
529
ge-
200.1.3.100
ucst
534
ge-
Instncias de roteamento
O equipamento Juniper agrupa diferentes tabelas de rotas, interfaces e protocolos de roteamento em instncias de roteamento lgica (routing instances). O roteador mantm a informao de roteamento em uma instncia de roteamento separada da informao de todas as outras instncias. O uso de instncias de roteamento introduz o conceito de um nico dispositivo simulando a
Introduo rede Ip
operao de mltiplos roteadores.
210
Device Running JUNOS software Routing instance (master) inet.0 inet6.0 ge-0/0/0.0
Tabela 11.3 Viso geral de instncias de roteamento.
Routing instance (cust-A) cust-A.inet.0 cust-A.inet6.0 ge-0/0/3.0 ge-0/0/4.0 lo0.1 Default route OSPF
Routing instance (cust-B) cust-B.inet.0 cust-B.inet6.0 ge-1/0/0.0 ge-1/0/1.0 lo0.2 Default route OSPF
ge-0/0/1.0 lo0.0 Default route OSPF
O roteador Juniper cria automaticamente uma instncia de roteamento default chamada master routing instance. Por definio, a instncia master inclui a tabela inet.0, usada para rotear todo o trfego unicast de IPv4.
user@host> show route instance Instance Type master Primary RIB forwarding inet.0 Active/holddown/hidden 3/0/1
Acima observamos a sada do comando show route instance. O Junos tambm cria outras instncias de roteamento privadas, que so usadas para comunicao interna entre componentes do hardware. O usurio pode ignorar a existncia dessas entidades lgicas. O exemplo seguinte exibe todas as instncias de roteamento criadas por default pelo Junos.
user@host> show route instance Instance Type Primary RIB Active/holddown/hidden
_ _juniper_private1_ _ forwarding _ _juniper_private1_ _.inet.0 _ _juniper_private1_ _.inet6.0 _ _juniper_private2_ _ forwarding _ _juniper_private2_ _.inet.0 _ _master.anon_ _ master inet.0 forwarding
2/0/2 1/0/0
0/0/1
forwarding 7/0/0
Alm das instncias de fbrica, o Junos permite que o usurio configure instncias de rote amento adicionais atravs da hierarquia [edit routing-instances]. Instncias definidas pelo usurio podem ser usadas para uma variedade de propsitos e prov aos administradores de rede mais flexibilidade para lidar com o seu ambiente de rede. Algumas aplicaes tpicas de instncias de roteamento incluem: VPN, virtualizao e Filter Based Forwarding (FBF). A seguir visualizamos os tipos de instncias que podem ser criadas.
[edit routing-instances <instance-name>] user@host# set instance-type ?
211
Possible completions: forwarding l2vpn no-forwarding Forwarding instance Layer 2 VPN routing instance Nonforwarding instance
virtual-router virtual routing instance vpls vrf VPLS routing instance virtual routing forwarding instance
A lista seguinte detalha os tipos de instncias: 11 forwarding: usada para implementar FBF para aplicaes. 11 l2vpn: usada em implementaes de VPN de camada 2. 11 no-forwarding: usada para separar grandes redes em entidades administrativas menores. 11 virtual-router: usada para aplicaes com virtualizao do sistema. 11 vpls: usada em implementaes de LAN ponto-multiponto em um conjunto de sites de uma VPN. 11 vrf: usada em implementaes de VPN de camada 3. Os tipos de instncias de roteamento variam entre diferentes plataformas que rodam o Junos. Nem todos os tipos so suportados em todas as plataformas. A seguir um exemplo de configurao de instncia de roteamento.
[edit routing-instances new-instance] ----- Routing instance name is user-defined user@host# show instance-type virtual-router; ----- Routing instance type interface ge-0/0/0.0; ----- Define interfaces under [edit interfaces] hierarchy and reference them under the routing instance interface ge-0/0/1.0; interface lo0.1; routing-options { static { route 0.0.0.0/0 next-hop 172.26.25.1; } }
Introduo rede Ip
protocols { ospf { area 0.0.0.0 {
212
interface ge-0/O/0.0; interface ge-0/0/1.0;
interface 100.1;
} } }
Trabalhando com Instncias de Roteamento

Uma vez que uma nova instncia de roteamento tenha sido configurada e o roteador tenha aprendido informaes de rotas dentro da instncia, o Junos automaticamente gerar uma tabela de rotas. Se o roteador est trabalhando com roteamento IPv4, o software criar uma tabela de rotas unicast de IPv4. O nome dessa tabela ter o formato <nome da instncia>.inet.0, onde <nome da instncia> o nome que o usurio definiu para sua instncia de roteamento. Se o usurio usa IPv6 dentro da mesma instncia, o software criar uma tabela unicast de IPv6, cujo nome ter o formato <nome da instncia>.inet.6.0. Abaixo temos o contedo da tabela de rotas unicast IPv4 da instncia de roteamento new-instance, que foi criada pelo usurio do sistema.
user@host> show route table new-instace.inet.0 new-instace.inet.0: 7 destinations, 7 routes (7 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 0.0.0.0/0 *[Static/5] 02:06:18 > to 172.26.25.1 via ge-0/0/0.0 172.25.182.0/24 *[Direct/0] 02:06:18 > via ge-0/0/1.0 172.25.182.5/32 *[Local/0] 02:06:18 Local via ge-0/0/1.0 172.26.25.0/24 *[Direct/0] 02:06:18 > via ge-0/0/0.0 172.26.25.5/32 *[Local/0] 02:06:18 Local via ge-0/0/0.0
213
192.168.100.52/32 *[Direct]0] 02:06:18 > via lo0.1

O comando o mesmo show route j conhecido, mas com o argumento table <nome da tabela desejada>. Adicionalmente, o comando j conhecido show interfaces terse pode ser alterado de modo a exibir apenas as interfaces que fazem parte de uma determinada instncia de roteamento. O exemplo abaixo ilustra a sada do comando.
user@host> show interfaces terse routing-instance new-instance Interface ge-0/0/0.0 ge-0/0/1.0 lo0.1 Admin up up up Link up up up Proto inet inet inet Local Remote
172.26.25.5/24 172.25.182.5/24 192.168.100.52 --> 0/0
Adicionalmente os comandos ping e traceroute podem ser executados a partir de uma instncia de roteamento especfica.
user@host> ping 172.26.25.1 rapid count 25 routing-instance newinstance PING 172.26.25.1 (172.26.25.1): 56 data bytes !!!!!!!!!!!!!!!!!!!!!!!! --- 172.26.25.1 ping statistics --25 packets transmitted, 25 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.014/1.875/2.073/0.285 ms
user@host> traceroute 192.168.100.25 routing-instance new-instance traceroute to 192.168.100.25 (192.168.100.25), 30 hops max, 40 byte packets 1 192.168.100.25 (192.168.100.25) 4.536 ms 4.503 ms 2.209 ms
Roteamento esttico
Rotas estticas so usadas em um ambiente de rede para se atingir uma variedade de objetivos. So popularmente usadas em duas situaes: 11 S h um nico caminho para se atingir um determinado prefixo.
Introduo rede Ip
11 H mltiplos caminhos para se chegar a um prefixo, mas se quer forar a rede a enca minhar o trfego sempre pelo mesmo caminho (exceto em caso de falhas).
214
Figura 11.7 Exemplo de rota default esttica.
Network A 172.29.100.0/24
ge-0/0/1 .1 .2 .1 172.30.25.0/30
Internet 192.168.63.14
A figura anterior ilustra uma situao onde a rede 172.29.100.0\24 est ligada internet por um nico caminho. Nesse caso no h motivo para usar um protocolo de roteamento dinmico para acessar a internet. Ao invs disso, o usurio configurou uma rota default esttica (para o destino 0.0.0.0\0), que aponta para a interface ge-0/0/1. Dessa forma, ao executar o comando show route 192.168.63.14, o sistema calculou dentre as entradas da tabela de rotas que a entrada mais especfica que contempla esse destino a rota para 0.0.0.0\0. 11 A configurao de rotas estticas sempre feita na hierarquia [edit routing-options]. 11 Ao configurar uma rota esttica necessrio definir um next hop vlido. 22 Normalmente esse parmetro definido atravs do endereo IP de um roteador vizinho que fica na direo do prefixo em questo. 11 Em interfaces ponto a ponto (e apenas nessa situao) pode-se especificar o nome da interface de sada como o next hop, ao invs de usar o IP do equipamento vizinho. 11 Outra possibilidade o next hop tomar os valores reject ou discard. 22 Um pacote cujo IP destino contemplado por uma entrada cujo next hop reject ou discard ser descartado. 11 A diferena entre essas opes a ao que o Junos toma aps o descarte. 22 Se a opo usada o reject, o sistema envia uma mensagem ICMP de destination unreachable para o remetente. 22 Se a opo usada discard, o sistema descartar o pacote silenciosamente. O endereo IP especificado no next hop de uma rota esttica deve ser alcanvel usando uma rota diretamente conectada. Diferente do software de outros fabricantes, o Junos, por default, no executa buscas recursivas de next hop quando se trata de rotas estticas. Uma rota esttica sempre estar na tabela de rotas at que o usurio a remova ou at que ela se torne inativa. Uma rota esttica se torna inativa quando o IP do seu next hop se torna inacessvel (por uma falha na rede, por exemplo).
Configurando Rotas Estticas

A seguir um exemplo de configurao de roteamento esttico:
[edit routing-options] user@host# show rib inet6.0 { static { route 0::/0 next-hop 3001::1; ----- IPv6 default static route } }
215
static { route 0.0.0.0/0 next-hop 172.30.25.1; ----- 1Pv4 default static route route 172.28.102.0/24 { next-hop 10.210.11.190; no-readvertise; } }
Alm dos parmetros j discutidos, destaca-se o uso da opo no-readvertise, que, no Junos, probe que a rota especificada seja redistribuda em um protocolo de roteamento dinmico. Dessa forma, a rota no ser propagada por nenhum protocolo de roteamento.
Monitorando Rotas Estticas

A seguir uma variao do comando show route, que exibe apenas as rotas provenientes de configurao manual de rotas estticas. Para tal foi usado o complemento protocol static.
user@host> show route protocol static
0.0.0.0/0
*[Static/5] 00: 41 :59
> to 17 2.30. 25. 1 Vla ge-0/0/ 1 .0
----- Default static route ... user@host> ping 192.168.63.14 rapid count 25 PING 192.168.63.14 (192.168.63.14): 56 data bytes !!!!!!!!!!!!!!!!!!!!!!!! --- 192.168.63.14 ping statistics --25 packets transmitted, 25 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.027/0.057/0.145/0.032 ms
Introduo rede Ip
Uma vez instaladas as rotas estticas devidas, a conectividade entre as redes pode ser verifi cada atravs do comando ping, exemplificado acima.
Resolvendo Next Hops indiretos

Por definio, diferente dos equipamentos de outros fabricantes, o Junos precisa que o endereo IP do next hop de uma rota esttica esteja diretamente acessvel via um link ponto a ponto ou via uma LAN. Ou seja, o Junos no executa buscas recursivas de next hops indiretos.
216
Host A
Figura 11.8 Resolvendo next hop indireto.
Host B .1 172.25.1.0/30 .2 .5 172.25.1.4/30 .6
Host C .1 172.20.3.0/24
[edit routing-option] user@Host-A# show static { route 172.20.3.0/24 { next-hop 172.25.1.6; resolve; } }
Conforme ilustrado acima, possvel alterar esse comportamento default do Junos e fazer com que as buscas recursivas sejam usadas. Para isso deve-se usar a opo resolve na rota esttica em questo. A figura anterior mostra uma rota esttica que define um roteador remoto, 172.25.1.6, que no est conectado diretamente ao Host A, como o next hop da rede 172.20.3.0\24. Nesse caso, ao receber um pacote IP destinado ao prefixo remoto 172.20.3.0\24, o roteador no saber, num primeiro momento, em qual interface est o next hop 172.25.1.6. Uma busca recursiva ser necessria, ou seja, o roteador dever achar na tabela de rotas uma rota que contemple o IP 172.25.1.6. Essa rota tambm ser usada para encaminhar o pacote para o 172.20.3.0\24. Dessa forma, o pacote ser entregue. Normalmente, o roteamento que usa buscas recursivas funciona bem em ambientes onde h um protocolo de roteamento dinmico que anuncia as redes /30 que endeream as interfaces dos links ponto a ponto. Ou seja, ainda se referindo ao ltimo exemplo, a rota para o IP do next hop remoto 172.25.1.6 ser, tipicamente, uma rota obtida atravs de protocolo dinmico. Se no fosse assim, o usurio deveria configurar manualmente outra rota esttica para contemplar o IP do next hop, o que no algo escalvel.
Qualified Next Hop

Ao definir uma rota esttica possvel utilizar a opo qualified-next-hop para definir uma configurao e o conceito desse tipo de rota.
rota alternativa independente das rotas previamente definidas. A figura seguinte exibe a
172.30.25.0/30
ge-0/0/1 .2 .1 .6 ge-1/0/0 primary secondary .1 Internet .5
Network A 172.29.100.0/24
Figura 11.9 Qualified Next Hop.
172.30.25.4/30
217
[edit routing-options] user@host# show static { route 0.0.0.0/0 { next-hop 172.30.25.1; qualified-next-hop 172.30.25.5 } } }
Na figura, o next hop 172.30.25.1 assume o trfego destinado rota esttica default, com route preference igual a 5 (valor default para rotas estticas). Em paralelo, o usurio definiu uma rota esttica qualified para o next hop 172.30.25.5, definindo para ela a route preference 7. Dessa forma, todo o trfego a ser encaminhado pela rota default usar o next hop 172.30.25.1. Em um cenrio onde esse n falha, a rota qualified ser ento uti lizada. Outros fabricantes chamam esse tipo de implementao de rota esttica flutuante.
preference 7;
218
Introduo rede Ip
Atividade 8.1 Configurando rota esttica
Para esta atividade usaremos a topologia descrita na figura a seguir.
Mesa do Instrutor
0/0 - 172.16.2.2 0/0 - 172.16.2.1
0/0 - 172.16.2.2 0/0 - 172.16.2.1
ROT D
0/2 - 172.16.1.2 0/2 - 172.16.1.1
ROT C
ROT B
0/2 - 172.16.1.2 0/2 - 172.16.1.1
ROT A
0/1
0/1
0/1
0/1
10.0.80.254/24 10.0.70.254/24 10.0.60.254/24 10.0.50.254/24 10.0.40.254/24 10.0.30.254/24 10.0.20.254/24 10.0.10.254/24
0/0 - 172.16.2.2 0/0 - 172.16.2.1
0/0 - 172.16.2.2 0/0 - 172.16.2.1
ROT D
0/2 - 172.16.1.2 0/2 - 172.16.1.1
ROT C
ROT B
0/2 - 172.16.1.2 0/2 - 172.16.1.1
ROT A
0/1
0/1
0/1
0/1
10.0.160.254/24 10.0.150.254/24 10.0.140.254/24 10.0.130.254/24 10.0.120.254/24 10.0.110.254/24 10.0.100.254/24 10.0.90.254/24
16
15
14
13
12
11
10
0/0 - 172.16.2.2 0/0 - 172.16.2.1
0/0 - 172.16.2.2 0/0 - 172.16.2.1
ROT D
0/2 - 172.16.1.2 0/2 - 172.16.1.1
ROT C
ROT B
0/2 - 172.16.1.2 0/2 - 172.16.1.1
ROT A
0/1
0/1
0/1
0/1
10.0.240.254/24 10.0.230.254/24 10.0.220.254/24 10.0.210.254/24 10.0.200.254/24 10.0.190.254/24 10.0.180.254/24 10.0.170.254/24
24
23
Figura 11.10 Topologia da Atividade 8.1.
22
21
20
19
18
17
Aps efetuar as ligaes dos cabos conforme descrito para cada bancada, execute os comandos de configurao a seguir.
219
Utilizar a ge-0/0/1, ge-0/0/2 e a E1-1/0/0 no exerccio. Comandos roteador A:
set interfaces ge-0/0/0 unit 0 family inet address 172.16.2.1/24 set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.254/24 set interfaces ge-0/0/2 unit 0 family inet address 10.0.20.254/24
Verifique se a interface E1-1/0/0 j possui IP configurado:
#show interfaces e1-1/0/0 unit 0 family inet address

Delete a configurao de IP da interface e1:
# delete interfaces e1-1/0/0 unit 0 family inet address <ip j existente / mascara> # commit # set interfaces e1-1/0/0 unit 0 family inet address <novo ip / mascara> # commit
Comandos roteador B:
set interfaces ge-0/0/0 unit 0 family inet address 172.16.2.2/24 set interfaces ge-0/0/1 unit 0 family inet address 10.0.30.254/24 set interfaces ge-0/0/2 unit 0 family inet address 10.0.40.254/24
11 Para os roteadores c e d mude os endereos de acordo com a sua bancada. Os endereos acima so para as bancadas da frente; para as demais bancadas siga o desenho da figura. 11 Verifique a conectividade com o PC remoto do outro roteador:
ping <IP do PC remoto do outro roteador>

11 H conectividade? Por qu?
11 Execute show route <IP do PC remoto do outro roteador>. Voc deve perceber que no existe rota para o endereo IP remoto. 11 Entre no modo de configurao com configure private, e crie as rotas para o PC remoto com os seguintes comandos: Comandos roteador A:
set routing-options static route 10.0.30.0/24 next-hop 172.16.1.2

Introduo rede Ip
set routing-options static route 10.0.30.0/24 next-hop 172.16.2.2 set routing-options static route 10.0.40.0/24 next-hop 172.16.1.2 set routing-options static route 10.0.40.0/24 next-hop 172.16.2.2
220
Comandos roteador B:
set routing-options static route 10.0.10.0/24 next-hop 172.16.1.1 set routing-options static route 10.0.10.0/24 next-hop 172.16.2.1 set routing-options static route 10.0.20.0/24 next-hop 172.16.1.1 set routing-options static route 10.0.20.0/24 next-hop 172.16.2.1
11 Para os roteadores c e d mude os endereos de acordo com a sua bancada. Os endereos acima so para as bancadas da frente; para as demais bancadas siga o desenho da figura. 11 Em seguida verifique a conectividade com run ping <IP do PC remoto do outro roteador. H conectividade? Por qu?
11 Execute o comando show | compare para checar a diferena entre a configurao can didata e a configurao ativa. 11 Execute o comando commit e saia do modo de configurao. Em seguida teste nova mente a conectividade com o PC remoto do outro roteador. H conectividade?
11 Entre no modo de configurao com configure private e remova a rota esttica criada com delete routing-options static route <prefixo> next-hop <NH>. 11 Execute show | compare e em seguida commit. 11 Teste a conectividade com o PC remoto do outro roteador com run ping <IP do PC remoto do outro roteador >. H conectividade?
11 Retorne a ltima alterao. 11 Execute rollback 1 e em seguida show | compare. Os comandos adicionados configu rao candidata com o rollback retornam a rota recm removida?
11 Se sim, execute commit, teste a conectividade e saia do modo de configurao. 11 Execute show route para verificar as rotas recm adicionadas na tabela de rotas. Qual a route preference e a mtrica/custo da rota que voc adicionou?
11 Altere a mtrica e a distncia administrativa da rota que voc instalou.

set routing-options static route <prefixo> metric 33 set routing-options static route <prefixo> preference 26
11 Execute show route para verificar as alteraes. 11 Entre no modo de configurao com configure private, acesse a hierarquia [edit routing-options] e execute show para verificar os comandos gerados no arquivo de configurao.
221
222
Introduo rede Ip
12
Filtros de firewall
objetivos
Descrever o filtro de firewall do Juniper e introduzir os procedimentos de configurao do firewall.
conceitos
Filtros de firewall, RPF Unicast.
Viso geral
11 O conceito de filtro de firewall no Junos se assemelha ao que o mercado de redes chama de lista de acesso. 11 Esse recurso utilizado para controlar o trfego que passa atravs de um equipamento Juniper (saindo ou entrando). 11 Cada pacote examinado individualmente.
Figura 12.1 Filtro de firewall.
Diferente de um firewall statefull, que enxerga as diferentes conexes e permite ao usurio escolher uma ao sobre todos os pacotes de um determinado fluxo. O filtro de firewall do Junos no enxerga fluxos, comportamento definido como firewall stateless. 11 Graas natureza stateless do firewall do Junos, o usurio precisa configurar explicitamente qual ser o comportamento do filtro de firewall em ambas as direes do trfego para cada conexo.
223
Captulo 12 - Filtros de firewall
11 Em contraste, o firewall statefull requer apenas que o usurio determine a ao a ser tomada em um dado tipo de conexo. 11 Feito isso, todos os pacotes dessa conexo, em ambas as direes do trfego, sofrero a mesma ao (bloquear ou permitir). Os filtros de firewall no Junos tm duas utilidades clssicas: 11 O bloqueio de certos tipos de trfego de entrada ou sada de uma interface; 11 A monitorao de determinado trfego.
Diagrama de bloco de um filtro de firewall

11 O bloco fundamental de um filtro de firewall uma entidade lgica chamada term (termo). 11 Um filtro contm um ou mais termos. 11 O termo define condies e aes.
A execuo das aes definidas no termo ser feita sobre todos os pacotes que satisfizeram as condies do termo. O termo pode definir zero ou mais aes. Alm disso, pode ter zero ou mais condies. A partir da, a operao simples: se todas as condies (match) do termo so verdadeiras, o Junos executar as aes especificadas dentro do termo. Se o termo no possui nenhuma condio definida, apenas aes, o Junos considera que todos os pacotes devero provocar a execuo das aes do termo. Filtros de rewall consistem de um ou mais termos; o software avalia os termos sequencialmente at que encontre uma ao de terminao.
my-filter
Nomes de termos e ltros denidos pelo usurio.
term firstterm from

match no match
then then
from
Comandos descrevem as condies de comparao (match).
term secondterm from

match no match
then
Comandos descrevem as aes que devem ser tomadas se ocorrer uma comparao com o comando from
term Default discard

Introduo rede Ip
Ao default para os pacotes no permitidos explicitamente.
Conforme mostrado na figura, a entidade lgica que agrupa os vrios termos chamada filter (filtro).
Figura 12.2 Filtro de firewall: diagrama de blocos.
224
11 Ao definir o filtro, o usurio deve escolher com critrio a ordem dos termos, pois ela influenciar na operao do filtro. 11 Todo filtro no Junos requer a definio de pelo menos um termo.
A figura revela ainda que os filtros no Junos sempre incluem um termo default, ainda que o usurio no o tenha definido. Esse termo diz ao Junos o que fazer com um pacote que no satisfaz as condies de nenhum dos outros termos. Esse termo default informa ao Junos que o pacote deve ser descartado. Assim, o administrador do sistema deve ter sempre em mente que caso um pacote no atenda a nenhum dos matchs do filtro, ser descartado.
Condies Match
11 Geralmente uma condio match cai dentro de uma dentre trs categorias: compa rao numrica, comparao de endereo ou comparao de bit. 11 As condies de um termo so definidas atravs da opo from. 11 Os critrios avaliados pelo match podem ser valores em campos do cabealho dos pacotes IP. Mas nem todos os campos desse cabealho estaro disponveis. 11 Quando o usurio especifica o campo do pacote IP que ser avaliado, o Junos procura em cada pacote, no campo determinado, um valor para verificar se o critrio match definido atendido.
from
Figura 12.3 Filtro de firewall: diagrama de blocos.
term firstterm from

match
Comandos descrevem as condies de comparao (match).
then
O Junos no verifica se o tal campo faz sentido no pacote que est sendo avaliado. Por exemplo, o usurio pode definir que o Junos deve tomar uma ao baseado na existncia da flag ACK no pacote TCP. Dessa forma, o Junos ir procurar pelo bit que define o ACK, na posio do pacote onde esse bit est sempre presente. No entanto, o Junos no verificar se o pacote TCP. Se o pacote que passa pela interface for UDP, que no tem o conceito de ACK, ocorrer um problema semntico da anlise do filtro. Assim, cabe ao usurio ter cincia desse comportamento do sistema e cuidar para que as anlises sejam coesas. No exemplo anterior, o usurio deveria utilizar dois matches: o primeiro informando que o pacote tem que ser TCP, e um segundo dizendo que o bit ACK deve estar configurado. 11 Alguns problemas semnticos tambm podem ocorrer quando h pacotes fragmentados. 11 Quando um pacote fragmentado, todos os seus fragmentos so transmitidos e tratados separadamente pelo filtro do Junos. 11 Nem todos os fragmentos contm os mesmos campos de camada 4. 11 Alguns campos s esto presentes no primeiro fragmento. 11 Ao definir um match baseado em um campo de camada 4, o Junos tentar encontrar esse campo no pacote, mesmo que ele no exista.
225
11 Esse comportamento pode trazer resultados imprevisveis quando se est utilizando um firewall stateless como o do Junos. 11 Muito cuidado deve ser tomado ao se definir filtros baseados em determinados campos de camada 4.
Aes do filtro de firewall

11 O administrador especifica as aes de um termo com a opo then. 11 Em geral, as aes de um termo podem ser aes terminadoras ou aes modificadoras. Pensando em um filtro que tenha vrios termos, uma ao terminadora faz com que a anlise de todos os termos subsequentes seja cancelada. Ao verificar dentro de um termo uma ao terminadora, o sistema executa a ao e no se faz necessrio verificar o con tedo dos demais termos. As aes terminadoras so: accept, reject e discard.
term firstterm from

match
then
then
Comandos descrevem as aes que devem ser tomadas se ocorrer uma comparao com o comando from
11 A ao accept faz com que o sistema permita que o pacote avaliado seja processado normalmente. 11 A ao discard faz com que o pacote avaliado seja descartado silenciosamente. 11 A ao reject faz com que o sistema seja descartado e uma mensagem de ICMP seja enviada ao remetente informando sobre o descarte. A ao reject admite argumentos opcionais que permitem ao usurio enviar uma men sagem ICMP (destination unreachable) diferente para o remetente ou mesmo enviar um TCP reset ao invs da mensagem ICMP. A ao reject tcp-reset executa essa ao. Alm das trs aes terminadoras, o usurio tem a opo de usar uma ao modificadora. As aes modificadoras so: count, log, syslog, forwarding-class, loss-priority e policer. Diferente das aes terminadoras, quando o sistema encontra uma ao modificadora, ela executada e o processamento dos termos subsequentes do filtro acontece
Figura 12.4 Clusula Then: Ao!
normalmente. Esse processamento somente ser interrompido por uma ao terminadora. 11 Vale lembrar que se aps processar todos os termos de um filtro o sistema no encontra nenhuma ao terminadora, o pacote ser encaminhado para o termo default criado pelo sistema, e o pacote em anlise ser descartado. 11 boa prtica definir um termo final sem condies e com uma ao terminadora.
Introduo rede Ip
11 As aes count, log e syslog servem para gravar informaes sobre os pacotes processados pelo filtro. 11 As aes forwarding-class e loss-priority so usadas quando se est trabalhando com diferentes classes de servio (CoS). 11 A ao policer permite invocar um traffic policer, que ser apresentado mais tarde nesse curso.
226
Definindo um filtro de firewall

O uso de um filtro de firewall inclui dois passos: definir um filtro e aplicar o filtro em uma interface. Os filtros de firewall so definidos na hierarquia [edit firewall]. O Junos separa os diferentes
protocolos de rede em famlias. Ao definir um filtro necessrio especificar para qual famlia de protocolo o filtro vlido. Em geral, o filtro de firewall atuar em pacotes IP verso 4, que correspondem famlia inet. Para definir um filtro de IPv4 utiliza-se a hierarquia [edit firewall inet]. O exemplo seguinte ilustra a estrutura bsica de um filtro.
my-filter
term firstterm from

match no match
then
term secondterm from

match no match
then
term Default discard

Figura 12.5 Estrutura do filtro.
11 Aps definir o filtro, necessrio aplic-lo em uma interface. 11 Um filtro pode ser aplicado nas direes in ou out (para processar pacotes entrando ou saindo de uma interface). Input Filtros de rewall de sada (Output) controlam o trfego saindo da interface.
Filtros de rewall de entrada (Input) controlam o trfego entrando na interface.
Output
Output
Input
aplicado na interface de loopback do equipamento para filtrar trfego destinado ao sistema. Um filtro aplicado em uma interface atravs da hierarquia (considerando filtro para protocolo IPv4):
[edit interfaces <nome da interface> unit <n> family inet filter]

Para aplicar o filtro a uma interface dentro da hierarquia acima, utiliza-se: 11 set input <nome do filtro> (para definir o filtro atuando nos pacotes entrantes da interface) ou; 11 set output <nome do filtro> (para pacotes saindo da interface).
227
Figura 12.6 Aplicando filtro nas interfaces.
Um filtro pode ser aplicado em mais de uma interface. O mesmo filtro tambm pode ser aplicado nas duas direes (in e out) de uma interface. Um filtro tambm pode ser
Um filtro definido para um determinado protocolo de rede s pode ser utilizado em units desse mesmo protocolo. Ou seja, no possvel, por exemplo, aplicar um filtro de IPv6 em uma unit que no seja IPv4. Se um filtro definido sob a hierarquia [edit firewall inet6], no ser possvel aplic-lo em uma hierarquia [ edit interfaces <nome> unit <n> family inet ] (unit IPv4). Ou seja, a family do filtro precisa casar com a family da interface. Ao adicionar um filtro a uma interface atravs de uma sesso remota (Telnet ou SSH) sempre uma boa prtica utilizar a opo commit confirmed. comum o administrador, por um erro de configurao, perder acesso a uma interface aps aplicar um filtro.
Para pensar
O uso do commit confirmed pode economizar muitas horas de trabalho e deslocamentos desnecessrios.
Exemplo de filtro
Definindo um bloqueio do protocolo ICMP. Nome do filtro: bloqueios.
set firewall filter bloqueios term block_icmp from address 10.0.0.0/24 set firewall filter bloqueios term block_icmp from protocol icmp set firewall filter bloqueios term block_icmp then discard set firewall filter bloqueios term permit then accept
A seguir, outro exemplo, desta vez com o protocolo http.
MYNET
.100
R1 .1 ge-0/0/1.0 .2 .1 Internet
Figura 12.7 Exemplo de filtro (parte I).
172.27.102.0/24
172.30.25.0/30
Na figura anterior, o usurio deseja filtrar todo o trfego de protocolo http que entra pela interface ge0/0/1.0, exceto o trfego destinado ao servidor da figura. A configurao seguinte exibe um exemplo de filtro que pode fazer essa tarefa.
MYNET
Introduo rede Ip
.100
R1 .1 ge-0/0/1.0 .2
Figura 12.8 Exemplo de filtro (parte II).
172.27.102.0/24
228
O filtro criado possui dois termos. No primeiro a condio que o trfego seja http e o destino seja o servidor. Se essas duas condies forem contempladas, o trfego ser permitido e o processamento termina (na ao terminadora accept). Se alguma das condies no for aceita, o processamento seguir para o segundo termo. O segundo termo diz que se o trfego for http, deve ser descartado (ao terminadora discard). Se a condio do segundo termo tambm no contemplada, o pacote entra no termo default, que no aparece explicitado na configurao. Trata-se de um termo que automa ticamente considerado pelo sistema. O termo default descartar o trfego por definio (com a ao terminadora discard). Repare que nesse exemplo especfico o nico trfego permitido http para o IP do servidor. Qualquer outro trfego ser bloqueado (o que pode no ser o desejo do administrador). Sempre que necessrio evitar o termo default (que descarta todos os pacotes por default), utilize um ltimo termo sem condies e com a ao accept.
Filtrando trfego local

O filtro exibido no exemplo anterior chamado filtro de trfego. Esse filtro protege uma rede de acessos no autorizados. Mas um filtro tambm pode ser usado para proteger o acesso ao roteador. Esse chamado filtro de acesso local. Esse tipo de filtro tem a mesma estrutura do filtro de trfego, mas aplicado interface lo0 (Loopback 0). A figura seguinte ilustra o ponto de atuao do filtro de acesso local quando aplicado interface lo0.
Routing Engine
CPU
Figura 12.9 Filtrando trfego local.
Io0
Frames and Packets in

Os filtros de trfego local so aplicados de modo a proteger a RE. A PFE aplica esse filtro antes de passar o trfego ao plano de controle. Ao aplicar um filtro de trfego local importante considerar o trfego provindo dos pro tocolos de roteamento e outros trfegos de controle. Essa observao ganha importncia
graas ao comportamento do termo default, inserido automaticamente pelo sistema. Ao aplicar um filtro de trfego local fundamental o uso do commit confirmed. comum ocorrerem problemas graves aps uma configurao equivocada de um filtro de trfego local. A seguir um exemplo de filtro de trfego local que limita o trfego SSH RE.
229
Definition filter limit-ssh-access { term ssh-accept { from { source-prefix-list {
Application lo0 { unit 0 { family inet { filter {
trusted; } protocol tcp; destination-port ssh; } then { discard; } } term else-accept { then accept; } }
input limit-ssh-access; } address 10.255.71.48/32; } } }
O primeiro termo define que os endereos IP presentes na lista de prefixos chamada trusted tm permisso para entrar na RE. O segundo termo bloqueia qualquer outro trfego de SSH. O terceiro termo permite acesso a qualquer outro trfego. Repare que se o termo else-accept no fosse includo, o software descartaria todo o trfego de controle e gerncia que no foi especificado explicitamente. Isso inclui os anncios de rotas OSPF, BGP e de outros protocolos provindas de roteadores vizinhos, bem como mensagens SNMP ou NTP de plataformas de gerncia. Um srio distrbio poderia ser causado. Para completar a configurao, a seguir vemos a criao de uma prefix-list, definio feita na hierarquia [edit policy-options].
[edit policy-options] user@host# show prefix-list trusted { 172.27.102.0/24; }
Implementando policing com filtros de firewall

11 Alm de aceitar ou descartar pacotes, os filtros de firewall podem ser usados para limitar determinados padres de trfego. 22 Essa tarefa chamada de policing.
Introduo rede Ip
11 Para executar a tarefa de policing no Junos necessrio criar um policer e us-lo em conjunto com um filtro de firewall. 11 O policer criado na hierarquia [edit firewall], sendo preciso aplic-lo a uma interface.
230
Figura 12.10 Policer em ao.
Ba l d e d e b it
O filtro usado para a tarefa de policing tem a mesma estrutura dos demais filtros. Ele consiste em um conjunto de termos, os quais definem condies e aes relacionadas. A diferena que normalmente se usa a opo policer no(s) primeiro(s) termo(s). Para melhor entendimento, a seguir vemos o uso de um policer associado a um filtro de firewall.
[edit firewall] user@host# show policer p1 { if-exceeding { bandwidth-limit 400k; burst-size-limit lOOk; } then discard; } family inet { filter rate-limit-subnet { term match-subnet { from {
source-address { 192.100.1.0/24;
} } then {
policer p1; } }
231
term else-accept { } } }
No exemplo anterior, um policer foi definido de modo a limitar um determinado padro de trfego a uma largura de banda mdia de 400 Kbps, com direito a 100 Kbytes de burst. 11 O parmetro burst-size-limit pode ser entendido como um pico que pode exceder a velocidade mdia assinalada. 11 Uma forma recomendada para se calcular o burst multiplicar a largura de banda mxima que se quer permitir (valor de pico do trfego) pela quantidade de tempo de durao do pico. 11 Por exemplo, imagine uma interface com capacidade para 1 Gbps. 22 O administrador quer permitir que determinado padro de trfego use apenas 10 Mbps. 22 No entanto, o administrador admite que a aplicao possa gerar picos de 100 Mbps com durao de 5 milisegundos. Assim, teremos o clculo do burst-size-limit: 33 burst-size-limit = (100.000.000 bits /segundo) x (5/1000 segundos) = 500.000 bits 22 Convertendo o valor acima em bytes: 33 burst-size-limit = 500.000 / 8 = 62500 bytes Dessa forma, para o administrador executar o policer como definido no exemplo, a configurao ficaria:
then accept;
firewall { policer class-example { if-exceeding { bandwidth-limit 10m; burst-size-limit 62500; } then forwarding-class best-effort; } family inet { filter example1 {
Introduo rede Ip
term policer-example { from { protocol tcp; } then {
232
policer class-example; forwarding-class assured-forwarding; accept; } } } } }

Para o restante dos conceitos, ser considerado o exemplo a seguir:
[edit firewall user@host # show policer pl if-exceeding { bandwidth-limit 400k; burst-size-limit 100k; } then discard; } family inet { filter rate -limit-subnet { term match-subnet { from { source-address { 192.100.1.0/24; } } then { policer pl: } } term else-accept { then accept; }
233
} }
11 Acima h um policer chamado p1, que descarta trfego que exceda o consumo de uma largura de banda mdia de 400 Kbps com picos de 100 Kbytes. 11 Ao definir os limites do policer, pode-se usar as letras k, m e g para indicar milhares, milhes e bilhes de bytes (ou bits/segundo). 11 Uma vez definido o policer, possvel invoc-lo a partir de um termo de filtro de firewall. 11 Esse termo definir o padro de trfego que estar sujeito ao do policer. No exemplo acima, o filtro rate-limit-subnet submete todo o trfego originado pela rede 192.100.1.0\24 ao policer definido previamente. Ser descartado o volume de trfego daquela sub-rede que demandar mais recursos do que os definidos pelo policer. Todos os demais trfegos, originados de outras redes, sero aceitos normalmente e podero usar toda a largura de banda da interface onde o filtro for aplicado.
Estudo de caso: filtros de firewall

A prxima figura exibe a topologia de um estudo de caso.
MYNET
R1
.1 ge-0/0/1.0 .2 .1 Internet
Figura 12.11 Estudo de caso (parte I).
172.27.102.0/24
172.30.25.0/30
Os seguintes objetivos devero ser contemplados: Para o trfego saindo da interface ge-0/0/1.0: 11 Todo o trfego de qualquer fonte que no seja da rede 172.27.102.0\24 deve ser descartado e registrado em arquivo de log; 11 Todo o trfego restante deve incrementar um contador e ser permitido. Para o trfego entrando na interface ge-0/0/1.0: 11 Todo trfego com IP origem da rede 172.27.102.0\24 deve ser descartado e registrado. 11 Todo trfego da internet respondendo a conexes TCP iniciadas do servidor MyNET deve ser atendido. 11 Todo trfego ICMP dos tipos echo-reply, time-exceeded e destination unreachable
Introduo rede Ip
deve ser permitido. 11 Qualquer outro trfego deve incrementar um contador e ser descartado. Para alcanar os objetivos traados, o filtro seguinte foi definido para ser aplicado na sada da interface.
[edit firewall family inet filter output-ff] user@R1# show
234
term deny-spoofed { from { source-address { } } then{ log; discard; } } term else-accept { then ( count outbound-accepted; accept; } }
O exemplo seguinte define o filtro a ser aplicado na interface de entrada:
0.0.0.0/0; 172.27.102.0/24 except; ----- Excludes specified prefix
[edit firewall family inet filter input-ff] user@Rl# show term deny-spoofed { from { source-prefix-list { } then { log; discard; } } term allow--established-sessions
235
internal-prefixes; }
from { protocol tcp; tcp-established; } then accept; } term allow-some-icmp { from { protocol icmp; icmp-type [ echo-reply time-exceeded unreachable ]; } then accept; } term else-discard then { count inbound-discarded; discard; } } [edit policy-options] user@Rl# show prefix-list internal-prefixes { 172.27.102.0/24; }
Na configurao aplicada foram usadas as opes count e log. O count mantm um contador cumulativo de pacotes e de bytes. Para cada contador de um filtro o sistema mantm um nico conjunto de estatsticas. Assim, se um mesmo filtro aplicado em mltiplas interfaces, todos os pacotes contemplados pelo count incrementaro um mesmo contador. O prximo passo aplicar os filtros definidos nas direes de entrada e sada da interface.
Introduo rede Ip
[edit interfaces ge-0/0/1] user@R1# show unit 0 { family inet { filter {
236
} }
input input-ff; output output-ff; } address 172.30.25.2/30;
MYNET Filtros de rewall de sada (Output) controlam o trfego saindo da interface. Filtros de rewall de entrada (Input) controlam o trfego entrando na interface.
R1
.1
Output
172.27.102.0/24
Figura 12.12 Estudo de caso (parte II).
Input
Os contadores de um filtro, definidos pela opo count, podem ser zerados com o comando clear firewall filter <nome do filtro>. Opcionalmente, pode-se zerar apenas um nico contador do filtro com o comando:
clear firewall <nome do filtro> counter <nome do contador>
Monitorando os resultados de um filtro

11 Alguns comandos podem ser utilizados para monitorar a atuao dos filtros aplicados. 11 Os comandos de monitorao comeam sempre com show firewall. Conforme exibido a seguir, possvel verificar os pacotes descartados e registrados com a opo log. Para isso, utiliza-se o comando show firewall log:
user@R1> show firewall log Log : Time Filter Action Interface Protocol ge-0/0/1.0 ge-0/0/1.0 ge-0/0/1.0 ge-0/0/3.0 ge-0/0/3.0 ge-0/0/3.0 TCP TCP TCP ICMP ICMP ICMP Src Addr Dest Addr 172.27.102.100 172.27.102.100
07:23:16 pfe D 07:23:13 pfe D 07:23:10 pfe D 07:19:38 pfe D 07:19:38 pfe D 07:19:37 pfe D ...
172.27.102.10 172.27.102.10 172.27.102.10 192.168.100.2 192.168.100.2 192.168.100.2
172.27.102.100 192.168.24.1 192.168.24.1 192.168.24.1
237
O comando show firewall counter, conforme mostrado a seguir, verifica o valor dos conta dores do filtro aplicado (definidos pela opo count).
user@R1> show firewall counter filter input-ff inbound-discarded
Filter: input-ff Counters: Name inbound-discarded Bytes 1296 Packets 23
user@R1> show firewall counter filter output-ff outbound-accepted
Filter: output-ff Counters: Name outbound-accepted Bytes 1694502 Packets 20256
Repare no exemplo que o nome do filtro pode ser passado como argumento do comando, caso se deseje verificar os contadores de um nico filtro.
Verificao de RPF Unicast

11 Reverse-Path-Forwarding (RPF) um recurso utilizado por operadoras de telecomu nicaes e administradores de rede para evitar a prtica do IP spoofing, uma das formas mais comuns de ataque. 22 Como outros tipos de pragas virtuais, o IP spoofing um ataque em que o ata cante envia um grande volume de pacotes contra a vtima. 22 Os pacotes desse volume de dados so gerados com um endereo de IP origem falso, para evitar a identificao do atacante. 11 Quando um administrador habilita a verificao de RPF em uma interface, o rote ador sempre checar a tabela de rotas antes de dar servio a um pacote que entrou pela interface. 22 Essa checagem visa garantir que o pacote realmente deveria vir de onde veio. 11 O exemplo a seguir define como funciona o recurso: 22 Um roteador est com a verificao RPF habilitada na interface ge-0/0/1.0. 22 Esse equipamento recebe um pacote com IP origem 10.10.10.10 nessa interface.
Introduo rede Ip
22 O roteador se far a seguinte pergunta: 33 Se eu tivesse que encaminhar um pacote para o 10.10.10.10, por onde eu enviaria? 22 Para responder a essa pergunta, o roteador analisar a tabela de rotas. 33 Se a resposta for interface ge-0/0/1.0, o pacote receber servio normalmente. 33 Se a resposta for outra, o pacote ser descartado, pois ficar caracterizada uma potencial ocorrncia de IP spoofing.
238
Passou RPF Falhou RPF Tabela de rotas

Figura 12.13 Verificao RPF.
Ba l d e d e b it
Uma mesma interface pode ter a verificao RPF configurada juntamente com um filtro de firewall, sem problemas.
Problemas com a verificao RPF

Para que a verificao RPF funcione a contento, fundamental que ela seja habilitada apenas em interfaces que no possuem redundncia. Interfaces que possuem redundncia admitem assimetria de trfego, ou seja, possvel que os pacotes saiam por uma interface e entrem por outra, dependendo da convenincia dos protocolos de roteamento em uso. Dessa forma, s vezes a checagem RPF pode descartar um pacote legtimo apenas porque ele no est entrando pela interface pela qual sai. A figura seguinte ilustra o problema.
R2
Internet
R1
R4
172.30.17.0/24
Caminho ativo Caminho factvel

Figura 12.14 RPF em interfaces redundantes.
R3
O problema pode ser corrigido com o uso da opo feasible-paths, conforme mostrado no exemplo de configurao seguinte.
R1
Figura 12.15 RPF com feasible-paths habilitado.
239
O uso dessa opo faz com que o sistema considere todas as rotas recebidas pelo roteador para fazer a verificao, e no s a rota ativa na tabela de rotas. Normalmente, em topolo gias redundantes, o roteador ter duas ou mais rotas para entregar o pacote, mas s uma estar ativa. 11 Apesar da possibilidade de uso do recurso feasible-paths, o uso de verificao RPF recomendado apenas nas periferias da rede, onde se tem certeza que h um nico caminho para se atingir uma rede. 11 Considerando a figura da topologia do exemplo anterior, um bom lugar para a verifi cao RPF seria a interface de R4, que conecta na LAN 172.30.17.0\24, e a interface de R1, que se liga internet. 11 Existem outras opes de configurao de RPF que variam de acordo com a plataforma.
Filtros de fail
11 Quando um pacote no passa na verificao de RPF, descartado por default. 11 Opcionalmente pode-se definir um filtro de fail. 11 Dessa forma, todos os pacotes que forem reprovados no teste de RPF sero subme tidos s aes contidas no filtro de fail. 11 Essas aes podem inclusive ser um accept, para liberar o trfego, ou um policer, para limitar a sua taxa de dados. 11 Esse filtro tem a mesma estrutura e as mesmas possibilidades de um filtro de firewall. A seguir um filtro de fail configurado para permitir trfego reprovado no teste de RPF apenas quando este for proveniente de um servidor DHCP ou Bootstrap (BOOTP).
firewall { family inet { filter rpf-dhcp { term dhcp {
from { source-address{ 0.0.0.0/32; ----- Must permit traffic
with a source address of 0.0.0.0/32 and a destination address of 255.255.255.255/32 for DHCP or BOOTP traffic } destination-address { 255.255.255.25!V32
Introduo rede Ip
} } then accept; } }
240
} }
Repare que esse filtro libera apenas trfego com IP origem 0.0.0.0\32 e destino 255.255.255.255\32. Esses parmetros so usados pelos protocolos DHCP e BOOTP. A seguir est ilustrado um exemplo de configurao de RPF de um equipamento.
ge-0/0/1 { unit 0 { family inet { rpf-check; ----- Enables RPF check on interface filter {
input input-ff; output output-ff } } } ge-0/0/2 { unit 0 { family inet { rpf-check fail-filter rpf-dhcp; ----- RPF fail-filter } address 172.30.25.2/30;
application (definition shown on previous slide) } } } ge-0/0/3 {

address 172.19.2.1/30;
unit 0 { family inet { } } } rpf-check fail filter rpf-dhcp; address 172.27.102.1/24;
241
O exemplo mostra a verificao de RPF no seu modo mais simples, sendo aplicada na interface ge-0/0/1.0. Nas interfaces ge-0/0/2.0 e ge-0/0/3.0, a verificao foi habilitada em conjunto com um filtro de fail nomeado rpf-dhcp.
242
Introduo rede Ip
Atividade 9.1 Configurando filtro de firewall
Alunos dos PCs do roteador A devem fazer um firewall filter que permita que IPs que esto nos PCs do roteador B possam fazer SSH para a interface ge-0/0/1, mas no possam fazer telnet ou ping. Qualquer outro IP que tente acessar a interface ge-0/0/1, usando qualquer pro tocolo, deve conseguir. Depois de criado, esse filtro deve ser aplicado na interface ge-0/0/1. Idem para os PCs dos roteadores C e D e para as demais bancadas. 1. Criando firewall filter: set firewall family inet filter bloqueios term block_icmp from address 10.0.30.0/24 set firewall family inet filter bloqueios term block_icmp from address 10.0.40.0/24 set firewall family inet filter bloqueios term block_icmp from protocol icmp set firewall family inet filter bloqueios term block_icmp then reject set firewall family inet filter bloqueios term block_telnet from address 10.0.30.0/24 set firewall family inet filter bloqueios term block_telnet from address 10.0.40.0/24 set firewall family inet filter bloqueios term block_telnet from port telnet set firewall family inet filter bloqueios term block_telnet then reject set firewall family inet filter bloqueios term permitindo then accept 2. Aplicando filtro na interface ge-0/0/1:
set interfaces ge-0/0/1 unit 0 family inet filter input bloqueios

Para verificar se o filtro est corretamente configurado, aps o comando commit, o arquivo de configurao dever ser semelhante ao mostrado a seguir.
root@ROTA# show firewall family inet { filter bloqueios { term block_icmp { from { address {
10.0.30.0/24; 10.0.40.0/24; } protocol icmp; } then { reject;
243
} } term block_telnet { from { address { 10.0.40.0/24; 10.0.30.0/24; } port telnet; } then { reject; } } term permitindo { then accept; } } }
[edit]
Atividade 9.2 Configurando polices de firewall

Voc dever elaborar um firewall filter que permita aos PCs do outro roteador da sua bancada fazer ping para IPs da sua LAN, mas permitindo que esse trfego fique apenas com uso mdio que no ultrapasse 20 Kbps e picos de 60 Kbps que durem no mximo 100msec. 1. Calculando burst-size: (60000 bits) x (0,1 seg) = 6000 bits = 750 bytes 2. Criando policer:
top
Introduo rede Ip
set firewall policer Limit_Traffic if-exceeding bandwidth-limit 20k set firewall policer Limit_Traffic if-exceeding burst-size-limit 750 set firewall policer Limit_Traffic then discard
244
3. Criando firewall filter:
set firewall family inet filter ICMP_Limit term Limite_de_Trafego from source-address 10.0.30.0/24 set firewall family inet filter ICMP_Limit term Limite_de_Trafego from source-address 10.0.40.0/24 set firewall family inet filter ICMP_Limit term Limite_de_Trafego from protocol icmp set firewall family inet filter ICMP_Limit term Limite_de_Trafego then policer Limit_Traffic
set firewall family inet filter ICMP_Limit term else then accept
245
246
Introduo rede Ip
13
Troubleshooting em interfaces
objetivos
Descrever os procedimentos de resoluo de problemas em interfaces seriais e Ethernet, e apresentar as principais interfaces WAN usadas pelas operadoras de telecomunicaes.
conceitos
Troubleshooting genrico de interfaces, troubleshooting especfico de interfaces serial e Ethernet, interfaces E1, E3 e Sonet/SDH.
Desativando e desabilitando interfaces

Em se tratando de interfaces, o Junos permite duas operaes que tiram a interface de ao, mas com abordagens diferentes: a desativao e a desabilitao de interface. Como j apresentado, possvel desativar um comando da configurao de modo que ele
seja desconsiderado no momento em que executado um commit. A tag inactive: identifica um comando presente no arquivo de configurao, mas que est desativado. 11 Para desativar um comando ou identificador utiliza-se o comando deactivate no modo de configurao. 11 Para reativar um comando ou identificador utiliza-se o comando activate no modo de configurao. Como qualquer outra linha do arquivo de configurao, uma interface tambm pode ser desativada. Abaixo est ilustrado um exemplo de desativao de interface:
[edit] user@host# run show interfaces so-2/0/0 terse Interface Admin Link so-2/0/0 so-2/0/0.0 up up up Proto up inet 10.2.1.21/30 Local Remote
Captulo 13 - Troubleshooting em interfaces
[edit] user@host# deactivate interfaces so-2/0/0 [edit]
247
user@host# show interfaces ... inactive: so-2/0/0 { ... [edit] user@host# run show interfaces se-2/0/0 terse Intertace Admin Link Proto Local Remote
so-2/0/0 up up
11 O exemplo anterior mostra que uma interface desativada tem todas as suas unidades (interfaces lgicas) excludas da lista de interfaces presentes. 11 como se elas no mais existissem; o Junos ignora todos os comandos do arquivo de configurao que estejam com a tag Inactive. 11 Para reativar a interface, bastaria executar o comando activate interfaces so-2/0/0. 11 Opcionalmente uma interface pode ser desabilitada com o comando disable, que deve ser colocado na hierarquia [edit interfaces <nome da interface>]. 11 Quando se utiliza o comando disable na linha do arquivo de configurao que define uma interface, o Junos mantm a interface ativa ao executar o commit, mas o software a trata como estando no estado down ou administrativamente desabilitada. O exemplo a seguir exibe a situao:
[edit] user@host# run show interfaces so-2/0/0 terse Interface Admin Link Proto Local Remote so-2/0/0 up up
so-2/0/0.0 up up inet 10.2.1.21/30
[edit] ps@cartman-re0# set interfaces so-2/0/0 disable [edit] user@host# show interfaces so-2/0/0 disable; unit 0 {
Introduo rede Ip
family inet { address 10.2.1.21/30; } }
248
[edit] user@host# run show interfaces so-2/0/0 terse Interface Admin Link Proto Local Remote so-2/0/0 down up
so-2/0/0.0 up down inet 10.2.1.21/30
Exemplos de configurao de interfaces

A seguir trs exemplos tpicos de configurao de interfaces: uma interface ATM, uma Gigabit Ethernet e uma Sonet/Frame Relay.
ATM interface with multiple units [edit interfaces] user@host# show at-0/2/1 description SY to HK and DE; atm-options { vpi 0 {
maximum-vcs 200; } } unit 0 { description to HK; vci 100; family inet { } }

address 10.0.15.1/24;
unit 101 { description to DE; vci 101; family inet {
address 172.16.0.1/24; } }
Gigabit Ethernet with inet and mpls support

249
[edit interfaces] user@host# show ge-0/0/2 unit 0 { family inet { address 10.0.13.1/24; } family mpls; }
SONET interface running Frame Relay with keepalives (LMI) disabled [edit interfaces] user@host# show so-0/1/3 no-keepalives;
Cada exemplo acima faz uso de pelo menos uma interface lgica (unit), na qual configu rada uma famlia de protocolo L3 (family), que define o tipo de pacotes L3 que podero trafegar por ali. Outras propriedades lgicas das interfaces so configuradas na hierarquia unit das interfaces. Para verificar os comandos set que foram usados para configurar uma interface, pode-se usar o artifcio do | display set. A seguir est ilustrada a utilidade deste recurso:
[edit interfaces] user@host# show at-0/2/1 | display set set interfaces at-0/2/1 description SY to HK and DE set interfaces at-0/2/1 atm-options vpi 0 maximum-vcs 200 set interfaces at-0/2/1 unit 0 description to HK set interfaces at-0/2/1 unit 0 vci 100 set interfaces at-0/2/1 unit 0 family inet address 10.0.15.1/24 set interfaces at-0/2/1 unit 101 description to DE set interfaces at-0/2/1 unit 101 vci 101 set interfaces at-0/2/1 unit 101 family inet address 172.16.0.1/24
Introduo rede Ip
Troubleshooting genrico de interfaces

Veremos alguns comandos teis para tarefas preliminares de troubleshooting de interfaces, que tipicamente sero comandos show. 11 O primeiro recurso a se conhecer desta famlia de comandos o show interfaces terse. 11 Esse comando exibe a lista de todas as interfaces instaladas no dispositivo e seus respectivos estados administrativos e operacionais.
250
user@host> show interfaces so* terse Interface so-1/1/0 so-1/1/0.0 Admin Link Proto Local down up up Remote
----- Administratively disabled
down inet 1.1.1.1/30 iso
so-1/1/1 so-1/1/1.0
up up
down
----- Data link Layer down
down inet 2.2.2.2/30 iso
so-1/1/2 so-1/1/2.0 ...
up up
up up
----- Data link layer up inet 3.3.3.3/30
11 O wildcard asterisco (*) um recurso que pode ser usado para filtrar a sada do comando. 11 No exemplo, o usurio solicitou apenas as interfaces com nome comeando com a string so. 11 O cdigo exibe ainda o significado de algumas combinaes de estado de interfaces que no esto operando. 11 Uma interface fsica que foi desabilitada aparece com os estados administrativo e operacional respectivamente down e up, e suas respectivas interfaces lgicas como admin up e link status down. 11 A interface fsica fica com link status up porque o enlace fsico est saudvel (no tem alarmes). 11 As interfaces lgicas mantm link status down, porque a interface L2 no consegue estabelecer comunicao com o equipamento na outra ponta. 11 Quando uma interface no foi desabilitada e o encapsulamento L2 entre o dispositivo local e o dispositivo remoto no est funcionando, a interface fsica fica em admin up e link status up e a sua interface lgica fica em admin up e link status down. 11 Novamente, a interface fsica mantm link status up, porque o enlace fsico est 11 A interface lgica fica com link status down porque a comunicao de camada 2 est quebrada. 11 Em uma situao de funcionamento normal da interface, tanto a interface fsica quanto a lgica ficam em admin up e link state up. 11 O prximo comando para auxiliar a tarefa de troubleshooting o show interfaces <nome da interface>. 11 Esse comando exibe informaes genricas sobre uma interface especificada ou sobre todas as interfaces. A seguir um exemplo do comando. A interface ilustrada uma Sonet OC-3.
lab@host> show interfaces so-0/1/2

251
funcionando.
Physical interface: so-0/1/2, Enabled, Physical link is Up Interface index: 134, SNMP ifIndex: 28 ----- Physical de. ice indexes Link-level type: PPP , MTU: 4474, Clocking: Internal, SONET mode, Speed: OC3, Loopback: None, FCS: 16, Payload scrambler: Enabled Device flags : Present Running
Interface flags : Point-To-Point SNMP-Traps Internal: 0x4000 ----Device configuration and operational flags Link flags : Keepalives
Keepalive settings: Interval 10 seconds, Up-count 1, Down-count 3 Keepalive: Input 90939 (00:00:07 ago), Output: 90879 (00:00:04 ago) LCP state: Opened NCP state: inet: Opened, inet6: Not-configured, iso: Not-configured, mpls: Not-configured CHAP state: Closed CoS queues: Last flapped : 4 supported, 4 maximum usable queues
: 2009-02-17 03:13:49 UTC (1w3d 11:12 ago) ----- Trafic
load and alarm status Input rate Output rate SONET alarms : None : 0 bps (0 pps) : 280 bps (0 pps)
SONET defects : None Logical interface so-0/1/2.0 (index 67) (SNMP ifIndex 75) ----- Logical device indexes Flags: Point-To-Point SNMP-Traps Ox4000 Encapsulation: PPP Protocol inet, MTU: 4470 Flags: None Addresses, Flags: Is-Preferred Is-Primary ----- Logical device settings
Introduo rede Ip
Destination: 10.0.31/24, Local: 10.0.31.2, Broadcast: 10.0.31.255

O exemplo ilustrado destaca as diferentes partes do relatrio gerado pelo comando, inclu sive uma parte dedicada s interfaces lgicas que porventura estiverem definidas. 11 No Junos, cada interface fsica e lgica referenciada por dois ndices. 11 Esses ndices so associados s interfaces no momento do boot do sistema e dependem da ordem na qual as interfaces so ativadas pelo Junos.
252
11 O ndice SNMP ifIndex usado para identificar a interface junto aos softwares que fazem consultas via SNMP. 11 O outro ndice usado pelo prprio Junos para fazer referncia s interfaces quando esto executando tarefas internas.
O ndice de identificao interna das interfaces fsicas chamado ifd, ao passo que o ndice que identifica uma interface lgica o ifl. importante verificar que o ifIndex associado a interfaces lgicas diferente do associado interface fsica. Sempre que possvel, o ifIndex conservado mesmo aps vrios reboots do sistema ou aps eventos de adies ou remoes de novas PICs ou FPCs. Esse comportamento evita que as plataformas de gerncia precisem ser reconfiguradas devido a mudanas no valor do ndice. Uma vez em operao, as interfaces apresentam algumas flags que proveem informaes sobre as condies de sua operao. A lista abaixo exibe algumas das possveis flags e seus significados: 11 Down: a interface no est operando. 11 Up: interface est habilitada e operacional. 11 Hear-Own-Xmit: a interface est escutando suas prprias transmisses (h loop em algum ponto). 11 Link-Layer-Down: a comunicao do protocolo L2 com a outra ponta do link no ocorre. 11 Loopback: interface est na condio de loopback fsico. 11 Loop-Detected: a camada L2 est recebendo os frames por ela transmitidos e suspeita de loop. 11 No-Carrier: indica que o sinal de carrier no est presente (em mdias que suportam reconhecimento de carrier). 11 No-Multicast: a interface no suporta trfego multicast. 11 Present: a interface est presente e reconhecida. 11 Promiscuos: interface est no modo promscuo e admite frames enviados para outros destinos. 11 Quench: interface enfrenta saturao no seu buffer de sada. 11 Recv-All-Multicasts: no h filtro de multicast na interface. 11 Running: a interface est ativada e habilitada. 11 Admin-Test: interface est no modo de teste.
11 Disabled: interface foi desabilitada. 11 Hardware-Down: interface no est funcional ou encontra-se incorretamente conectada. 11 Point-To-Point: interface ponto a ponto. 11 SNMP-Traps: o envio de traps SNMP pela interface est habilitado. 11 Give-Up: aps repetidas falhas o protocolo L2 parou de tentar conexo. 11 Keepalives: mensagens de keepalive esto habilitadas no protocolo L2. 11 Loose-LCP: protocolo PPP no est usando o Link Control Protocol para indicar a sade da conexo PPP. 11 Loose-LMI: protocolo Frame Relay no est usando Local Management Interface para indicar a sade da conexo Frame Relay.
253
11 Loose-NCP: protocolo PPP no usa o Network Control Protocol para indicar se o dispositivo est up. 11 No-Keepalives: mensagens de keepalive esto desabilitadas na interface. A sada do comando tambm sumariza o nvel de carga na interface, exibido em bits e pacotes por segundo, bem como qualquer alarme que esteja ativo. A poro final do reporte do comando exibe a configurao e o estado de cada interface lgica definida.
Verificando erros na interface

O comando show interfaces <nome da interface> extensive mostra todo o relatrio dos comandos show interfaces anteriores e mais um grande conjunto de informaes, dentre elas a informao de diferentes contadores de erros na interface. A seguir est ilustrada parte da sada do comando:
user@host> show interfaces so-0/l/l extensive Physical interface: so-0/1/1, Enabled, Physical link is Up Interface index: 133, SNMP ifIndex: 25, Generation: 16 ... Statistics last cleared: Never ----- When counters were last cleared ... Input errors ----- Input errors Errors: 0, Drops: 0, Framing errors: 0, Runts: 0, Giants: 0, Bucket drops: 0, Policed discards: 0, L3 incompletes: 0, L2 channel errors: 0, L2 mismatch timeouts: 0, HS link CRC errors: 0, HS link FIFO overflows: 0 Output errors: Carrier transitions: 1, Errors: 0, Drops: 0, Aged packets: 0, ---- Output errors HS link FIFO underflows: 0, MTU errors: 0 ... SONET alarms : None
SONET defects : None

Introduo rede Ip
SONET PHY
Seconds
Count State
Media errors
PLL Lock 0 0 OK SEF 143 157 OK Note: Policed discards count the receipt of unrecognized protocol types (for example, CDP or STP)
254
11 Os contadores exibidos no comando podem ser zerados a qualquer momento com o comando clear interfaces statistics <nome da interface>. 11 Se nenhum nome de interface especificado, todas as interfaces tero seus conta dores zerados. A lista a seguir exibe e explica alguns dos contadores de erro das interfaces no Junos:
11 Errors: exibe o nmero de frames entrantes na interface que chegaram com erro de FCS. 11 Policed Discards: exibe o nmero de frames entrantes que foram descartados porque o cdigo do protocolo L3 no foi reconhecido ou no de interesse. Um exemplo clssico de descarte nesta situao so os pacotes do protocolo Cisco CDP, que no so vlidos no equipamento Juniper. 11 L3 Incompletes: exibe o nmero de pacotes entrantes cujo cabealho L3 no foi aprovado no teste de verificao executado pelo Junos. Um causador desse problema pode ser, por exemplo, um pacote que chega com menos de 20 bytes no seu cabealho IP. 11 L2 Channel Errors: exibe o nmero de frames entrantes considerados errados porque no foi possvel encontrar uma interface lgica para trat-los. Esse contador pode incrementar, por exemplo, quando um frame PPP chega em uma interface fsica que s tem interfaces lgicas HDLC. 11 L2 Mismatch Timeouts: exibe o nmero de frames entrantes descartados porque estavam mal formados (por exemplo, muito pequenos) e foram classificados como ilegveis. 11 SRAM Errors: esse contador incrementado quando um erro de hardware ocorre na memria RAM da PIC. Esse valor deve sempre ser zero. Se ele incrementa a PIC no est funcionando adequadamente. 11 Carrier Transitions: exibe o nmero de vezes que a interface saiu do estado down para up. Esse nmero no deve ser incrementado rapidamente, apenas quando o cabo da interface desconectado ou quando o sistema remoto desligado. Se esse contador incrementa rapidamente (mais de uma vez a cada 30 segundos), fica caracterizada uma falha na linha de transmisso, no sistema remoto ou na PIC local. 11 Drops: exibe o nmero de pacotes descartados na fila de sada da interface. Esse con tador incrementado normalmente em situaes de saturao ou uso de policer. 11 Aged Packets: exibe a quantidade de pacotes que permaneceram muito tempo na SDRAM compartilhada. Esse contador no deveria ser incrementado nunca. Se incrementado, fica caracterizado um bug de software ou um mau funcionamento do hardware.
11 O comando monitor interface <nome da interface> um dos mais teis no tratamento de problemas. 11 Ele prov o acompanhamento em tempo real de vrios contadores da interface, como bytes entrando, bytes saindo, erros de entrada e de sada, aged packets, policed discards, L3 incompletes etc. A seguir est exibida a sada deste comando:
user@router
Seconds: 55
Time: 19:12:00
Delay: 0/0/66
Interface: ge-0/2/0, Enabled, Link is Down Encapsulation: Ethernet, Speed: 1000 mbps
255
Monitorando interface
Traffic statistics: Input bytes: Output bytes: Input packets: Output packets: Error statistics: 0 0 0 14355 261 0 156 2 0 0 0 : LINK
Current Delta 17707053 (0 bps) 10369709 (0 bps) 292046 (0 pps) 147886 (0 pps) [0] [0] [312] [0]
Input errors: Input drops: Input framing errors: Policed discards: L3 incompletes: L2 channel errors: L2 mismatch timeouts Carrier transitions: Output errors: Output drops Aged packets: Active alarms
[0] [0] [0] [0] [0] [0] [0] [1] [0] [0] [0]
Active defects : LINK Input MAC/Filter statistics: Unicact packets Broadcast packets Multicast packets 104547 40494 67917 [0] [0] [0]
Teste de loop
O caminho fsico que implementa o enlace de dados de uma organizao usuria at o PoP da RNP normalmente composto de um certo nmero de segmentos de cabo (spams) interconectados por dispositivos que regeneram e repetem o sinal adiante. Quando uma falha ocorre no enlace possvel localizar a fonte do problema atravs de testes em cada segmento e testes fim a fim.
Introduo rede Ip
11 O teste de loop o processo atravs do qual o fornecedor de um enlace de dados identifica o trecho do enlace que protagoniza uma falha. 11 O teste de loop consiste em conectar a interface de transmisso na interface de recepo em qualquer um dos dispositivos que interliga os diferentes segmentos do enlace. 11 Quando um loop executado no caminho, o roteador Juniper detectar a situao, pois perceber que os seus pacotes de keepalive transmitidos esto sendo recebidos na sua prpria recepo.
256
Loop detected!
TX RX
RX
Figura 13.1 Teste de loop.
Telco sets loopback
TX
Normalmente, um teste de loop executado recursivamente em cada um dos dispositivos que compem o circuito de dados. Se um loop configurado em um determinado segmento do enlace e o roteador na ponta do circuito no verifica a presena de sinal na recepo, fica caracterizado o isolamento do problema entre o roteador da ponta do enlace e o ponto onde foi executado o loop. 11 Normalmente a operadora de telecomunicaes que prov o enlace pode testar todos os segmentos do circuito que so internos sua rede, antes de visitar as depen dncias do cliente. 11 Se os testes de loop apontam que o problema no ltimo segmento (que liga o cliente ao primeiro ponto da rede da operadora) o cliente passa a ser envolvido, e uma visita s suas dependncias pode ser necessria. 11 Os testes de loop tambm podem ser utilizados para localizar segmentos do enlace que protagonizam a apario de taxas de erro de CRC na recepo do roteador.
Tipos de teste de loop

11 A maioria das PICs aceitas pelo Junos suportam testes de loop local interno, onde o sistema internamente copia o trfego de transmisso na recepo. 11 Quando possvel, sempre melhor executar o teste de loop local externo, utilizando um plug externo. 11 A interface de transmisso conectada externamente na interface de recepo atravs desse plug. 22 Esse esquema permite testar os circuitos fsicos de transmisso e a recepo da PIC. 11 O plug externo poder executar a atenuao necessria para evitar a queima do receptor. Interfaces ponto a ponto (tecnologias de no broadcast como Sonet, SDH e E1) tambm
suportam testes de loop remoto. A figura a seguir ilustra a diferena dos loops local e remoto.
257
O circuito pode entrar em loop em qualquer lugar do caminho

Loopback local
Porta est OK (internamente)
Loopback remoto
Porta e circuito esto OK
A configurao do loop remoto na interface do equipamento faz com que o equipamento remoto receba tudo que enviado ao roteador. Nenhuma sinalizao gerada para o equipamento remoto para dizer que o loop est ocorrendo. Por isso, normalmente esse tipo de teste executado em conjunto com tcnicos da operadora de telecomunicaes, que deseja testar o circuito. Para o teste de loop local, o parmetro clocking da PIC de transmisso deve ser configu rado para internal, que a opo default.
Figura 13.2 Loop Local e Remoto.
Configurando testes de loop

Quase todo teste de loop requer configurao para a maioria dos tipos de PIC. Essa configu rao apenas no ser necessria no teste de loop local externo (com um plug externo) e no teste onde a operadora executa o loop na rede dela. A seguir um exemplo de configurao de um loop local interno. O comando show interfaces confirma que a interface opera em condio de loop local.
[edit interfaces so-0/1/1] user@Tokyo# show no-keepalives; encapsulation frame-relay; sonet options { loopback local; } unit 100 { dlci 100;
Introduo rede Ip
family inet { address 10.0.22.1/24; } }
258
[edit interfaces so-0/1/1] user@Tokyo# run show interfaces so-0/1/1 | match loop Link-level type: Frame-Relay, MTU: 4474, Clocking: Internal , SONET mode, Speed: OC3, Loopback: Local,
11 Quando o loop realizado na interface de algum equipamento da operadora, no h nenhuma indicao, no roteador, de que um loop est ocorrendo, salvo quando o protocolo de camada 2 em uso possui recurso de deteco de loop, como por exemplo o PPP. 11 A interface usada no exemplo anterior utiliza Frame Relay com recurso de keepalives (LMI) desligado. 11 Dessa forma, um loop na infraestrutura da operadora no ser detectado automaticamente.
Protocolos L2 e testes de loop

Muitos protocolos de camada 2 fazem uso de mecanismo de keepalive que, dentre outras tarefas, pode detectar a presena de um teste de loop. Independente de loop local ou remoto, a deteco de um loop resulta na declarao de interface down na camada 2. Quando isso ocorre, as rotas referentes interface em questo so removidas da tabela de rotas, inclusive a rota diretamente conectada referente ao endereo IP da interface. Esse comportamento previne testes de ping via essa interface (o teste de ping em interfaces com loop ser tratado a seguir). Na maioria das vezes, o comportamento acima descrito pode ser evitado atravs da confi gurao do comando no-keepalives, mas, como mostrado a seguir, essa opo pode ser usada apenas em interfaces com protocolo de enlace: Frame Relay, ATM e HDLC. O protocolo PPP, mesmo com a opo de keepalive desabilitada, consegue detectar um loop automaticamente devido a algumas negociaes que ocorrem no nvel 3. A nica forma de evitar que a interface fique down em links com PPP mudar a configurao de encapsulamento L2 durante o teste de loop. A tecnologia de Ethernet no possui conceito de keepalive e no suporta o conceito de loop remoto. Esse conceito vlido apenas em mdias no broadcast.
[edit interfaces so-0/1/1] user@London# run show interfaces so-0/1/1 Physical link is Up ... Link-leve1 type: PPP, MTU: 4474, Clocking: Internal, SONET mode, Speed: OC3, Loopback None, FCS: 16, Payload scrambler: Enabled
259
Device flags: Present Running Loop-Detected ... Logical interface so-0/1/1.0 (Index 70) (SNMP if Index 26) ... Protocol inet, MTU: 4470 Flags: Protocol-Down [edit interfaces so-0/1/1] user@London# show no keepalives; unit 0 { family inet { address 10.0.22.2/24; } }
Ping e testes de loop

11 Em equipamentos de outros fabricantes, uma vez configurado o loop remoto, a execuo de um ping no IP da interface local far com que todo o circuito loopado seja testado. 11 O ping sair da interface de transmisso em direo rede da operadora e ser devolvido pelo loop da operadora at a interface de recepo local. 10.0.10.1 Loopback
Figura 13.3 Comportamento de loop em equipamentos de outros fabricantes.
11 Plataformas Junos no tm esse comportamento. 11 Um ping enviado ao IP do equipamento local no deixa a interface, e assim no pode ser usado para testar o estado operacional da linha. 10.0.10.1 Loopback
q
Figura 13.4 Comportamento de loop em equipamentos Juniper.
Introduo rede Ip
O exemplo seguinte mostra como a linha com loop pode ser testada no Junos.lab@router> ping 10.0.10.2
PING 10.0.10.2 (10.0.10.2): 56 data bytes 36 bytes from 10.0.10.1: Time to live exceeded
260
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 211b 0 0000 01 01 708c 10.0.10.1 10.0.10.2
JUNOS Device
10.0.10.1 Loopback
Figura 13.5 Teste de linha com ping no Junos.
Ping to remote IP 10.0.10.2 11 Ao utilizar o equipamento Juniper com um loop externo na linha (loop local externo, loop remoto em equipamento da operadora ou um loop remoto da interface local) deve-se fazer um ping para um IP remoto que normalmente atendido pela interface local. 11 No exemplo, esse endereo o 10.0.10.2. 11 Se a linha estiver saudvel, o pacote de ping retornar interface local e novamente ser enviado rede da operadora, mas sofrer um decremento no campo TTL (Time To Live). 11 Esse processo se repetir continuamente at que o campo TTL atinja o valor zero. Se a linha estiver saudvel, um erro de Time To Live exceeded ser gerado. 11 Se a linha tiver uma indisponibilidade fsica no trecho testado, os pings sero perdidos. Se o trecho testado sofrer com taxas de erro, uma parte dos pacotes de ping gerar o erro de TTL Exceeded; a outra parte no retornar o erro. No caso de linha com taxas de erro, o tamanho dos pacotes de ping e o uso da opo rapid no comando de ping podem afetar o resultado. Pacotes maiores e enviados em intervalos pequenos tm menor probabilidade de completar o percurso em caso de linha com erro. Outro fator que pode ser variado durante os testes o TTL. No ping do Juniper, o valor de TTL default 255. Dessa forma, um erro de TTL expirado indica que houve 255 transmisses e recepes executadas com sucesso. Configurar o valor de TTL para um valor menor pode ser til ao tentar caracterizar a qualidade da linha.
261
Troubleshooting especfico de interfaces serial e ethernet

Interfaces de LAN e conveno de nomes
Plataformas Junos suportam vrios tipos de tecnologia ethernet. As mdias ethernet suportadas e as respectivas convenes de nomes utilizadas so: 11 Fast Ethernet: fe-F/P/P. 11 Gigabit Ethernet: ge-F/P/P. 11 10-Gigabit Ethernet: xe-F/P/P. 11 Management Ethernet: fxp0 (10, 100 ou 1000 Mbps). As interfaces Fast Ethernet podem operar nos modos half duplex ou full duplex. As interfaces Gigabit funcionam apenas no modo full-duplex. Abaixo esto os comandos mais comuns utilizados no ataque a problemas com interfaces de tecnologia ethernet, comandos de troubleshooting para interfaces ethernet (exceto loopback). Cada um destes comandos detalhado a seguir: 11 ping 11 loopback (local) 11 show interfaces extensive 11 show interfaces media 11 show arp 11 monitor traffic 11 monitor interface 11 clear statistics 11 request ... 11 restart ...
Comando ping
Usado largamente para verificar a conectividade de elementos na LAN. A recepo de um echo reply de um elemento da LAN valida o bom funcionamento das camadas 1, 2 e 3 dos segmentos de rede que ligam o roteador ao host em questo.
Comando show arp

O show arp no-resolve exibe as entradas da tabela ARP do roteador. O uso da opo no-resolve garante que o roteador no tentar traduzir os IPs da tabela em nomes. O contedo da tabela ARP permite verificar alguns problemas de LAN como, por exemplo, dois hosts usando um mesmo endereo MAC.
Comandos de monitorao de interface

Introduo rede Ip
Alguns comandos de show j mostrados tambm ajudam na investigao de problemas de interfaces ethernet. Alguns deles so listados abaixo: 11 show interfaces extensive: verifica o estado geral da interface, de seus contadores de performance e de suas flags. Um problema tpico que pode ocorrer em interfaces Ethernet so erros na interface de entrada devido a cabo com tamanho alm do mximo permitido pelo padro ou equipamento remoto com configurao de duplex em
262
autoconfiguration. Em ambos os casos, os contadores de erro sofrero incrementos, e este comando permitir o diagnstico. 11 monitor interface: exibe estatsticas em tempo real de uma interface fsica. A sada se atualiza a cada um segundo. Dentre outras coisas, esse comando acompanha a evoluo de vrios contadores de erro, como frames mal formados, ou com erro de CRC. 11 monitor traffic: verso resumida do monitor interface.
Interfaces E3
Verificando o funcionamento fsico da porta
Para verificar o bom funcionamento da porta E3, pode-se fazer um loop fsico entre as portas de transmisso e recepo. Ao fazer essa operao, deve-se tomar o cuidado de usar um atenuador para evitar uma alta potncia na porta de recepo do roteador. Uma vez que a porta de transmisso est conectada na porta de recepo (loop), o usurio deve verificar a presena da flag Loop-Detected na interface em questo. Essa flag dever ser vista na sada dos diferentes comandos show interfaces. Alm disso, a sada do monitor interface dever mostrar o contador de input packet count igual ao contador output packet count. Se esses comportamentos esperados ocorrerem, pode-se afirmar que a transmisso e a recepo da interface esto ocorrendo a contento. Ainda, se o protocolo de nvel 2 HDLC estiver em uso na interface, o contador de input keepalive packet dever ser igual ao contador de output keepalive packet. Se algum dos itens destacados nos dois pargrafos acima no ocorre, a PIC pode estar com problemas. Para isolar o problema, preciso trocar as configuraes e o cabeamento para outra porta E3 e executar novo teste. Para mover a configurao de uma porta para outra de maneira rpida, o comando rename pode ser usado conforme o exemplo abaixo:
[edit interfaces] user@host# rename t3-1/0/0 to t3-1/0/1
Checando compatibilidade com equipamento remoto

Um enlace E3 possui certos parmetros que precisam estar configurados nos dois equipa mentos que terminam o enlace. Se a configurao alterada em uma das duas pontas, o link pode deixar de funcionar. A lista abaixo exibe alguns desses casos:
11 Frame Checksum: o enlace E3 usa um campo de 16 bits para a tarefa de cheksum. possvel configurar esse campo para utilizar 32 bits, o que torna a verificao mais confivel. Porm, alguns equipamentos antigos suportam apenas o campo de 16 bits. Um descasa mento dessa configurao implicar um problema na conectividade fsica. 11 HDLC Scrambling: ao usar encapsulamento HDLC possvel usar a opo de embaralha mento (scrambling). Essa opo fica desabilitada por default. Se ativada, a funcionalidade prov mais estabilidade para o enlace. Porm, se a configurao dessa opo (ativada ou desativada) no est igual em ambos os equipamentos, o enlace no funcionar. 11 Line buildout: para fazer com que o sinal chegue a um destino que esteja a mais de 70 metros do roteador, utiliza-se a opo long-buildout na hierarquia [edit interfaces <nome da interface> t3-options.
263
Verificando alarmes ativos em interfaces E3/T3

A seguir vemos a sada do comando show interfaces para uma interface T3. A sada do comando para uma interface E3 similar.
user@router> show interfaces t3-1/0/0 Physical interface: t3-1/0/0, Enabled, Physical link is Down Interface index: 9, SNMP ifIndex: 10 Link-level type: Cisco-HDLC, MTU: 4474, Clocking: Internal Speed: T3, Loopback: None, CRC: 16, Mode: C/Bit parity Device flags : Presente Running Down
Interface flags: Hardware-Down Link-Layer-Down Point-To-Point SNMP-Traps Link flags : Keepalive5 Output: 185 (00:00:02 ago)
Keepalive Input: 116 (00:02:32 ago), Input rate Active alarms : 0 bps
(0 pps), Output rate: 0 bps (0 pps)
: LOF, LOS
Active defects : LOF, LOS Logical interface t3-1/0/0.0 (Index 12) (SNMP ifIndex 32) Flags: Device-down Point-To-Point SNMP-Traps, Encapsulation: Cisco-HDLC Protocol inet, MTU: 4470 Addresses, Flags: Dest-route-down Is-Preferred Is-Primary Destination: 2.2.2.0/30, Local: 2.2.2.2
A parte superior da sada exibe o estado da conectividade fsica da interface. A parte em destaque no meio exibe configurao de camada 2, a qual deve casar com as configuraes na outra ponta do enlace. Finalmente, a parte inferior mostra alarmes ativos e os defeitos ativos na camada fsica. Em uma interface saudvel, no se esperam alarmes ativos. A lista abaixo mostra alguns dos alarmes mais populares e seus significados. Quase todos implicaro em acionamento do provedor do enlace de dados. 11 AIS (Alarm Indication Signal): mostra um problema com o equipamento conectado interface E3. O proprietrio desse equipamento (tipicamente uma operadora de teleco Introduo rede Ip
municaes) dever ser envolvido. 11 LoF (Loss of Frame): indica perdas de bit(s) dos frames recebidos. Pode estar ocorrendo um problema de sincronismo na linha ou incompatibilidade na configurao da forma tao de frames. 11 LoS (Loss of Signal): indica que o sinal est fraco ou no pode ser identificado na interface E3. Pode-se verificar os cabos para checar sua integridade. Tipicamente esse problema implicar em acionamento da operadora de telecomunicaes que prov o enlace.
264
11 IDLE: esse alarme indica que a linha ainda no foi provisionada para o servio. 11 Yellow: indica que o equipamento detectou um problema com o sinal que est sendo recebido do equipamento remoto. Alm dos alarmes, alguns eventos de erro fsico podem ser registrados: 11 BPV (Bipolar Violation): ocorrncia de erro fsico, como um pulso com a mesma polaridade do pulso anterior (com codificao B3ZS bipolar 3 zero substitution). 11 EXZ (excessive zeros): indica a ocorrncia de uma sequncia muito grande de zeros. 11 LCV (Line Code Violation): contador que registra a ocorrncia dos erros BPV e EXZ de forma cumulativa. 11 PCV (p-bit code violation): o bit de verificao P no frame DS-3 no casa com o cdigo calculado localmente. 11 CCV (c-bit code violation): conta as violaes de cdigo reportadas atravs do bit de verifi cao C do frame DS-3.
Verificando performance da camada 3 Comando ping

O comando ping pode ser usado para testar a disponibilidade e a performance de um circuito de dados E3. O comando permite que se altere o padro dos bits transmitidos para verificar a reao do circuito a diferentes tipos de dados. A opo size o primeiro recurso disponvel no comando ping, que pode ser usado em casos de problemas de performance. Essa opo altera o tamanho dos pacotes do ping e permite ao usurio conhecer a reao da rede a pacotes grandes e pequenos. Em alguns casos possvel verificar, por exemplo, que pacotes grandes esto sofrendo taxas de descarte elevadas, ao passo que pacotes pequenos esto recebendo servio normalmente. A opo pattern permite a gerao de pacotes de ping com um padro de bits particularmente especificado. Em alguns casos possvel verificar que o circuito apresenta performance normal para pacotes com muitos bits 1 e baixa performance para pacotes com muitos bits 0. A seguir vemos a execuo do comando ping fazendo uso das opes size e pattern. Esse procedimento til para verificar a performance de circuitos E3 ou E1.
All 1s pattern is maximum density on T1/DS1 ping 10.0.2.1 pattern ffff count 10000 rapid size 1500 All zeros pattern is minimum density on Ti/DS1 interface ping 10.0.2.1 pattern 0000 count 10000 rapid size 1500
Repeat with Ox5555, Ox8080, and Ox1111
Interfaces E1
11 A investigao de problemas em interfaces E1 bastante similar ao procedimento utilizado para interfaces E3. 11 Os recursos de loop e ping podem ser usados para avaliar o bom funcionamento da PIC fsica e da rede do provedor do enlace de dados.
265
11 Alm disso, em problemas de indisponibilidade de link, deve-se verificar se as configu raes fsicas das interfaces E1 nos equipamentos das duas pontas do enlace utilizam os mesmos parmetros.
Sero apresentadas as similaridades e diferenas da investigao nesses dois tipos de interfaces. Antes de apresentar os itens de verificao usados para investigao das interfaces E1, apre sentaremos algumas particularidades da sua configurao. O feixe de dados E1 um padro da hierarquia digital PDH, que opera na taxa de 2048 Mbps. O feixe implementa um dos esquemas mais bsicos de multiplexao por diviso de tempo dentre os utilizados em telecomunicaes. 11 O feixe composto por 32 canais de 64 Kbps cada, divididos no tempo (32 x 64 = 2048). 11 Na interface Juniper as caractersticas fsicas especficas da interface E1 so configuradas sob a hierarquia de configurao [edit interfaces <nome da interface> e1-options]. 11 Por default, as interfaces E1 no Junos utilizam o modo de framed definido pelo padro G.704. 11 Opcionalmente pode-se utilizar o modo unframed. 22 Quando utilizado o modo unframed, os 32 canais do feixe E1 so usados para transferncia de dados. 11 No modo framed dois canais so utilizados para sinalizao e reporte de alarmes e os outros 30 canais so utilizados para dados. 11 Ou seja, apenas 1984 Kbps so efetivamente usados para a transmisso de dados teis. O Junos se refere ao primeiro canal do feixe como slot 1. Outros fabricantes se referem a esse recurso como slot 0.
Alarmes e mdia E1
11 Alarmes e defeitos podem causar a inutilizao da interface e justificar problemas de performance. 11 Dependendo da idade do defeito, ele pode ser promovido a alarme. 11 Um alarme E1 pode receber a classificao vermelha (red) ou amarela (yellow), depen dendo da sua gravidade. 11 A seguir vemos a sada do comando show interfaces media <nome da interface>, que mostra as caractersticas de camada 1 e 2 da interface, alm de contadores de erro, alarmes e defeitos ativos.
user@host> show interfaces media e1-1/1/0 Physical interface : e1-1/1/0, Enabled, Physical link is Up Interface index: 30, SNMP ifIndex: 130
Introduo rede Ip
Llnk level type: PPP, MTU: 4474, Clocking: Internal Speed: E1, Loopback: None, CRC: 16, Framing: G704 Device flags: Present Running Interface flags: Point-To-Point SNMP-Traps
266
Link flags
: Keepalives
Input rate : 0 bps (0 pps), Output rate: 0 bps (0 pps) Active alarms Active defects E1 errors: BPV: 2, EXZ: 1, LCV: 2, PCV: 7, CS: 0, FEBE: 561
11 A lista seguinte destaca alguns alarmes populares das interfaces E1, que existem tambm nas interfaces E3: 22 LOS: Loss of Signal. 22 LOF: Loss of Frame. 22 AIS: Alarm Indication Signal. 22 YLW: Yellow. 11 Abaixo seguem os contadores de erros tpicos que podem ocorrer na camada fsica. Alguns deles so definidos tambm para as interfaces E3 (no sero novamente definidos). 22 BPV: Bipolar Violation. 22 EXZ: Excessive Zeros. 22 LCS: Line Code Violation. 22 PCV: P-bit Code Violation. 22 CS (Controlled Slip Error): reporta a replicao ou perda de parte do payload do frame E1. 33 Esse erro pode ocorrer, por exemplo, quando h falta de sincronismo entre o relgio dos equipamentos transmissor e receptor. 22 OOF (Out of Frame Defect): conta a ocorrncia de uma densidade particular de erros de frame. 33 Ocorre nas interfaces E1 da Juniper quando o equipamento detecta trs frames consecutivos com erro.
: None : None
Verificando performance da Camada 3 Comando ping

Assim como ocorre com as interfaces E3, o comando ping pode ser usado para testar a disponibilidade e a performance de um circuito de dados E1. O comando permite alterar o padro dos bits transmitidos para verificar a reao do circuito a diferentes tipos de dados.
A opo size o primeiro recurso disponvel no comando ping, que pode ser usada em casos de problemas de performance. Essa opo altera o tamanho dos pacotes do ping e permite ao usurio conhecer a reao da rede a pacotes grandes e pequenos. Em alguns casos possvel verificar, por exemplo, que pacotes grandes esto sofrendo taxas de descarte elevadas, ao passo que pacotes pequenos esto recebendo servio normalmente. A opo pattern permite a gerao de pacotes de ping com um padro de bits particularmente especificado. Em alguns casos possvel verificar que o circuito apresenta performance normal para pacotes com muitos bits 1 e baixa performance para pacotes com muitos bits 0.
267
A seguir a execuo do comando ping fazendo uso das opes size e pattern (mesmo exemplo utilizado na avaliao da interface E3).
All 1s pattern is maximum density on T1/DS1 ping 10.0.2.1 pattern ffff count 10000 rapid size 1500 All zeros pattern is minimum density on Ti/DS1 interface ping 10.0.2.1 pattern 0000 count 10000 rapid size 1500 Repeat with Ox5555, Ox8080, and Ox1111
Interfaces Sonet/SDH
A hierarquia de transmisso digital Sonet/SDH incorpora uma grande variedade de funcio nalidades de manuteno e operao, que facilitam a investigao de problemas nesse tipo de linha. A interpretao dos erros Sonet/SDH til para determinar a fonte de problemas na rede SDH. Alm disso, os valores contidos nos vrios contadores so informativos quando corretamente interpretados, e ajudam na localizao do problema. Esse tpico cobre os comandos disponveis para as interfaces Sonet/SDH. A conexo SDH caracteriza a configurao de framing sdh sob a hierarquia [edit chassis].
chassis { fpc 0 { pic 0 { framing sdh; } } }

As interfaces Sonet/SDH dos roteadores Juniper funcionam como PTEs (Path Terminating Equipment), e possuem visibilidade fim a fim do enlace de dados. Ao perceber problemas, o equipamento reporta alarmes e erros, que podem ser verificados com comandos ade quados. Os alarmes e erros indicam a natureza dos problemas.
Monitorando interfaces Sonet/SDH

O comando monitor interface tambm pode ser usado para a investigao das condies das interfaces Sonet/SDH.
user@host> monitor interface so-l/l/l enterprise

Introduo rede Ip
Seconds: 168
Time: 15:48:50 Interface: so-1/1/1, Enabled, Link is Down Encapsulation: Cisco-HDLC, Keepalives, Speed: OC3 Traffic statistics: Input bytes: 375527568 (0 bps) Current Delta
268
Output bytes: Input packets: Output packets: Encapsulation statistics: Input keepalives: Output keepalives: Error statistics: Input errors: Input drops: Input framing errors: Policed discards: L3 incompletes: L2 channel errors: L2 mismatch timeouts: Carrier transitions: Output errors: Output drops: F2 : 0x00 Z3
6612857 (0 bps) 224001 (0 pps 102090 (0 pps)
[0] [475] [0]
0 176
[0] [17]
0 0 179 47 0 0 0 1 0 0 : 0x00 Z4
[0] [0] [17] [0] [0] [0] [0] [0] [0] [0] : 0x00
Interface warnings: . Received keepalive count is zero . Framing errors are increasing, check FCS configuration and link
As estatsticas mostradas na segunda coluna so cumulativas desde o ltimo boot da mquina ou desde a ltima vez que o administrador zerou os contadores da interface. Para limpar esses contadores, pode-se a qualquer momento usar o comando clear interfaces statistics. As estatsticas da terceira coluna so cumulativas, desde a execuo do comando monitor interface. Se as diferentes estatsticas de erro so incrementadas, pode-se verificar se as configuraes de FCS (Frame Checksum) e scrambling esto casadas nos equipamentos da interface e acionar o provedor do enlace de dados para a verificao de possveis pro blemas fsicos na linha de transmisso.
das duas pontas do enlace. Se a configurao est correta, deve-se verificar o cabeamento
Verificando o estado da interface Sonet/SDH

Os comandos show interfaces <nome da interface> e show interfaces <nome da interface> extensive podem ser usados para a verificao do estado geral da interface. Em condies normais, a primeira linha deve exibir a mensagem Physical Link is Up. Do contrrio, a interface no est apta a transferir e receber dados.
269
O show interfaces permite verificar os alarmes e defeitos ativos para a interface. Alm disso, as configuraes das camadas 1 e 2 so verificadas, bem como flags da interface.
user@host> show interfaces so-1/1/1 Physical interface: so-1/1/1, Enabled, Physical link is Down Interface index: 17 , SNMP ifIndex: 16 Description: router-02 pos 4/0 Link-level type: Cisco-HDLC, MTU: 4474, Clocking: Internal, SONET mode Speed: OC3, Loopback: None, CRC: 32, Payload scrambler: Enabled Device flgas : Presente Running Down
Interface flags : Hardware-Down Link-Layer-Down Point-To-Point SNMPTraps Link flags : Keepalives
Keepalive Input : 621 (00:02:57 ago), Output: 889 (00:00:05 ago) Input rate : 0 bps (0 pps), Output rate: 0 bps (0 pps)
Active alarms : LOL, LOF , LOS, SEF , AIS-L, AIS-P , PLM-p Logical interface so-1/1/1.0 (Index 18) (SNMP ifIndex 30) Description: router-02 pos 4/0 Flags: Device-down Point-To-Point SNMP-Traps, Encapsulation: Cisco-HDLC Protocol inet, MTU: 4470 Addresses, Flags: Dest-route-down Is-Preferred Is-Primary Destination: 10.10.10.48/30, Local: 10.10.10.50
Protocol iso, MTU: 4469
Entendendo a rede Sonet/SDH

A tecnologia Sonet/SDH define uma hierarquia digital para agregao de feixes de dados. Os feixes populares definidos pela hierarquia SDH (padro europeu) so: 11 STM-1: 155 Mbps (pode ser composto por diversos frames PDH, como E1s e E3s). 11 STM-4: 622 Mbps (4 x STM-1). 11 STM-16: 2,5 Gbps (4 x STM-4). 11 STM-64: 10 Gbps (4 x STM-16). 11 O padro de hierarquia digital americano difere um pouco do SDH, mas sua essncia
Introduo rede Ip
a mesma. As diferenas tcnicas no so tema deste curso. 11 Os feixes populares definidos pela hierarquia Sonet (nome dado ao padro americano) so: 22 OC-3: 155 Mbps (pode ser composto por diversos frames PDH, como E1s e E3s) 22 OC-12: 622 Mbps (4 x OC-3) 22 OC-48: 2,5 Gbps (4 x OC-12) 22 OC-192: 10 Gbps (4 x OC-48)
270
PTE
STE
LTE
STE
STE
LTE
PTE
JUNOS Platform
Regenerator Section Line
ADM
Regenerator Regenerator Section Section Line Path Section
ADM Section Line
JUNOS Platform
Section
Regenerator = Repeater ADM = Add/drop multiplexer STE = Section-terminating equipment LTE = Line-Terminating equipment JUNOS platforms are PTE = Path-Terminating equipment
Figura 13.6 Esquema da rede SDH.
A rede Sonet/SDH tpica composta pelos equipamentos terminais, chamados PTE (Path Terminating Equipment), pelos equipamentos terminais de seo, chamados STE (Section Terminating Equipment) e pelos multiplexadores add/drop. Os regeneradores so considerados STEs, sendo responsveis por uma determinada seo de uma rota Sonet/SDH. Sua funo simplesmente regenerar o sinal recebido e copi-lo, j regenerado, na direo do prximo span. Um STE verifica se o sinal que chega do equipamento anterior est saudvel. Para tal, um cabealho especfico do frame Sonet/SDH utilizado, chamado RSOH regenerator section overhead. O STE avalia e utiliza apenas essa parcela do cabealho do frame. O STE capaz ainda de rescrever alguns bytes do cabealho caso um alarme seja gerado. Os multiplexadores add/drop so considerados elementos LTE (Line Terminating Equipment). Os LTEs tm mais inteligncia que os STEs, mas eles ainda no fazem o processamento final do payload do frame Sonet/SDH (embora sejam capazes de adicionar e remover payloads do feixe). O caminho entre dois LTEs chamado line span. Os LTEs avaliam apenas os bytes do cabealho Sonet/SDH referentes sua atuao. Essa parcela do cabealho Sonet/SDH,
usada pelo LTE, chamada MSOH multiplex section overhead. A interface Sonet/SDH da plataforma Junos faz o papel de PTE. Basicamente os PTEs fazem o papel de terminais do caminho. Ou seja, o PTE o destino final do frame. ali que o payload ser interpretado e processado. O caminho entre dois PTEs dentro da rede SDH chamado path. Alm do payload, o PTE dedica ateno ao POH path overhead, a parte do cabealho dedicada a informaes sobre o caminho atravessado pelo frame. A figura seguinte (fonte: http://www.teleco.com.br/tutoriais/tutorialrsdh/pagina_2.asp) registra a estrutura do frame STM-1, o feixe de mais baixa hierarquia do padro SDH.
271
1 1 2 3 4 5 6 7 8 9
10
270
RSOH POH MSOH

Figura 13.7 Estrutura do frame STM-1.
Cabealho
Informao til
O PTE tambm executa algumas funes do STE e do LTE. Antes de processar o payload, o PTE precisa garantir a sade do frame. Para tal, ele observa a mesma parte do cabealho que avaliada pelo STE para concluir se o frame est ntegro. O PTE tambm utiliza o line overhead para determinadas tarefas. O LTE tambm avalia o section overhead para garantir a sade dos frames que recebem. Toda a tarefa de troubleshooting executada sob a perspectiva do PTE (plataforma Junos). Embora existam situaes onde no possvel identificar a exata fonte do problema a partir do PTE, ser sempre possvel dizer se o problema local ou de rede. Os comandos bsicos usados para verificar problemas no path Sonet/SDH so os j conhecidos: 11 monitor interfaces <nome da interface> 11 show interfaces <nome da interface> extensive Exemplo: rompimento de fibra ptica:
Active alarms: LOL, PLL, LOS Active defects: LOL, PLL, LOF, LOS, SEF, AIS-L, AIS-P, PLM-P SONET PHY: PLL Lock PHY Light Seconds 51 51 Count 0 0 State PLL Lock Error Light Missing
LOL and LOS

Platform A ADM A RA RB RC ADM B Platform B
Section
Introduo rede Ip
Section
Section Line Path
Section
Section
Section
Figura 13.8 Exemplo LOS e LOL.
272
Quando ocorre uma interrupo de fibra ptica entre o roteador B e o multiplexador add/ drop B, vide figura, os seguintes alarmes sero gerados na rede: 11 LOL (Loss of Light): indica ausncia de luz na conexo fsica da porta de recepo do STE que recebe um frame. Esse alarme causa uma cascata de outros alarmes, tal como LOS, LOF e outros descritos abaixo. 11 LOS (Loss of Signal): indica ausncia de sinal na interface fsica de recepo do PTE. 11 LOF (Loss of Frame): indica a deteco de erros verificados nos bytes A1 e A2 do cabe alho dos frames recebidos pelo PTE. 11 AIS: o Junos envia um alarme AIS para a rede SDH para sinalizar uma condio de erro. Um AIS-L indica que ocorreu um LOF ou LOS em algum STE do caminho upstream. Um AIS-P indica que um LOS ou LOF detectado em um LTE do caminho upstream. Nesses casos necessrio interagir com o responsvel pela rede SDH para identificar o elemento que gerou os alarmes. 11 RDI: o Junos envia uma mensagem de remote defect indicator para sinalizar uma con dio de erro. No padro Sonet/SDH, um RDI-L enviado de um LTE para outro quando um deles detecta um AIS-L, LOS ou LOF. Um RDI-P enviado de um PTE para outro quando um deles detecta um AIS-P, AIS-L, LOS ou LOF. 11 REI: o Junos envia um remote error indicator para sinalizar uma condio de erro. Um REI-L enviado ao LTE quando um erro detectado no byte B2. Um REI-P enviado ao PTE remoto quando um erro detectado no byte B3.
RDI-P RDI-L
LOS
Platform A RA ADM A ADM B RB
AIS
Platform B
AIS-L
AIS-P
Section Line
Figura 13.9 Exemplo de sinalizao RDI.
Section
Section Line Path
Section Line
Section
A presena dos alarmes citados requer interao com o responsvel pela rede Sonet/SDH. As razes pelas quais um simples cabo interrompido produz um alarme de LOL ou de LOS so explicveis pelos prprios nomes dos alarmes, podendo gerar alguma confuso o fato de outros contadores incrementarem (como o AIS) na linha e no path Sonet/SDH. Esses contadores so usados para ajudar a localizar os pontos de falha. Este curso no detalhar as especificidades de cada um dos contadores de erro da hierarquia Sonet/SDH. Para os casos prticos, sempre que o provedor da rede Sonet/SDH precisar ser acionado, til informar os contadores que esto incrementando na interface do Junos.
273
274
Introduo rede Ip
Bibliografia
11 COMER, Douglas E. Internetworking with TCP/IP Volume I: Principles, Protocols and Architecture. Fourth Edition, Prentice Hall, 2000. 11 Comit Gestor RNP. Red Ip: Poltica de Uso. Outubro de 2007. Disponvel em http://www.rnp.br/_arquivo/conexao/doc0108d.pdf 11 FAUSTINO, Jean Carlo. O servio nacional de VoIP da RNP. VIII International Information and Telecommunication Technologies Symposium. 11 Juniper Networks. J Series Services Routers Hardware Guide Release 9.6. Disponvel em http://www.juniper.ie/techpubs/hardware/junos-jseries/ junos-jseries96/ 11 Juniper Networks. Troubleshooting Junos Platforms 9.a - Student Guide. 11 Juniper Networks. Junos Routing Essentials 9.a - Student Guide. 11 Juniper Networks. Introduction to Junos Software 9.a - Student Guide. 11 Juniper Networks, J2300, J4300, and J6300 Services Router, Getting Started Guide, Release 8.5 11 STEVENS, W. Richard. TCP/IP Illustrated Volume 1: The Protocols. Addison Wesley, 1994. 11 ALBITZ, P.; LIU, C. DNS and Bind. OReilly & Associates, 1993. 11 LOPES, Raquel V.; SAUV, Jacques P.; NICOLLETTI, Pedro S. Melhores prticas para gerncia de redes de computadores. Campus, 1 ed., 2003. 11 STALLINGS, William. SNMP, SNMPv2, SNMPv3 e RMON 1 e 2 . Addison-Wesley, 3 ed., 1999. 11 FEIT, Sidnie. SNMP: A guide to Network Management . McGraw-Hill, 1 ed., 1995.
275
Bibliografia
276
Introduo rede Ip
Gustavo Batista graduou-se em Engenharia de Telecomunicaes pela Universidade Federal Fluminense em 2003. Trabalhou durante 3 anos em operadora de telefonia celular com sistemas de gerncia de rede telefnica, administrando sistemas Unix, Linux e Windows e executando projetos de integrao de sistemas de gerncia de diferentes fabricantes em uma plataforma nica. Trabalhou no Centro de Engenharia e Operaes da RNP (CEO) como analista de redes. Hoje atua na rea de operaes da rede multisservios de uma empresa nacional de porte, onde tambm participa de projetos nas reas de QoS em redes IP e desempenho de rede.
LIVRO DE APOIO AO CURSO
O curso descreve a RNP, a estrutura do seu backbone, seus Pontos de Presena (PoPs), os procedimentos de manuteno e o impacto da conexo RNP nas novas instituies usurias. So abordados aspectos tcnicos da infraestrutura fsica, de conexo e de TI, o uso de switches e roteadores, a infraestrutura de TI da organizao e a solicitao de blocos IP. Ainda sero descritos e problemas de interface do roteador Juniper da RNP, alm de conceitos bsicos de roteamento e utilizao
ISBN 978-85-63630-33-9
9 788563 630339

Introdução À Rede Ipê

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Introdução À Rede Ipê

Hochgeladen von

Copyright:

Introduo

Rio de Janeiro Escola Superior de Redes 2013

Escola Superior de Redes

Escola Superior de Redes

5. Servios e gerenciamento da rede da instituio

6. Instalao do roteador da RNP

8. Opes de acesso ao Junos

10. Operao, manuteno e monitorao

11. Fundamentos de roteamento

12. Filtros de firewall

13. Troubleshooting em interfaces

Escola Superior de Redes

Convenes utilizadas neste livro

Ari Frazo Jr. Gestor de engenharia e operaes da RNP

Impacto da conexo na organizao da instituio

Captulo 1 - Operao da rede Ip

Embora o cenrio descrito seja permitido, no aconselhvel. A figura a seguir ilustra um

LAN organizao usuria

Hosts com IP da RNP

Figura 1.2 Cenrio permitido em instituio com dois provedores.

Hosts com IP de terceiro

Hosts com IP da RNP

Servios IP fundamentais da RNP

Cliente Internet Commodity Nacional

Figura 1.3 Exemplo de Trnsito Nacional.

Cliente Internet Commodity Internacional

Trnsito Acadmico de Colaborao

Cliente Internet Acadmica Internacional

Captulo 1 - Operao da rede Ip

Cliente Empresa Privada

Figura 1.6 Exemplo de Trnsito de Peering.

Rede Acadmica Estadual

Provedor Internet Commodity Nacional

Internet Acadmica Internacional

Provedor Internet Commodity Internacional

Outros servios da RNP

Servios de comunicao e colaborao

Figura 1.8 Conferncia Web.

Mais informaes sobre o servio em: http://portal.rnp.br/web/servicos/conferencia-web

Sistema de estatsticas do fone@RNP

Figura 1.9 Estatsticas do fone@RNP.

Captulo 1 - Operao da rede Ip

Figura 1.10 Videoconferncia.

Mais informaes sobre o servio em: http://portal.rnp.br/web/servicos/videoconferencia

Figura 1.11 Telepresena.

Mais informaes sobre o servio em: http://portal.rnp.br/web/servicos/telepresenca1

Servios de disponibilizao de contedos digitais

Captulo 1 - Operao da rede Ip

Figura 1.12 Videoaula@RNP.

Mais informaes sobre o servio em: http://portal.rnp.br/web/servicos/videoaula-rnp

Vdeo sob Demanda

Figura 1.13 Vdeo sob demanda.

Mais informaes sobre o servio em: http://portal.rnp.br/web/servicos/video-sob-demanda

Transmisso de Vdeo ao Vivo

Servios de Gesto de Identidade

Comunidade Acadmica Federada (CAFe)

Figura 1.14 CAFe.

Infraestrutura de Chaves Pblicas para Ensino e Pesquisa (ICPEdu)

Figura 1.15 ICPEdu.

Servio de Hospedagem Estratgica

As duas categorias de conexo so exibidas nas figuras seguintes:

Figura 1.16 Conexo da filial diretamente com o PoP.

Figura 1.17 Conexo lgica da filial com a sede.

Figura 1.18 Interligao proibida de instituio no qualificada.

Como fazer quando o link cai

Figura 1.19 Interligao tpica entre organizao usuria e Pop.