Introdução Ao TCP

Introduo ao TCP/IP
Segunda Edio

Autor: Jlio Battisti
site: www.j uliobattisti.com.br
e- mail: webmaster@j uliobattisti.com.br

Introduo ao TCP/IP 2 Edio Autor: Jlio Battisti

Autor: J lio Battisti Site: www.juliobattisti.com.br e-mail: webmaster@juliobattisti.com.br

proibido usar este material em treinamento ou em sala de aula. Pgi na 2

Nota sobre direitos autorais:

Este ebook de autoria de J lio Battisti, sendo comercializado diretamente atravs do
site www.juliobattisti.com.br ou atravs do site de leiles Mercado Livre:
www.mercadolivre.com.br. O meu nome de usurio no Mercado Livre GROZA
Nenhum outro usurio est autorizado a vender este ebook.

Ao adquirir este ebook voc tem o direito de l-lo na tela do seu computador e de
imprimir quantas cpias desejar. vetada a distribuio deste arquivo, mediante cpia
ou qualquer outro meio de reproduo, para outras pessoas. Se voc recebeu este ebook
atravs do e-mail ou via ftp de algum site da Internet, ou atravs de um CD de Revista,
saiba que voc est com uma cpia pirata, no autorizada, o que crime de Violao de
Direitos Autorais, sujeito a pena de priso e multa. O valor cobrado por este arquivo
praticamente simblico pelas horas e horas de trabalho que ele representa. Novos cursos
somente podem ser desenvolvidos pela honestidade de pessoas que adquirem o arquivo
do curso e no o distribuem livremente para outras pessoas. Se voc recebeu uma cpia
deste arquivo sem t-la adquirido diretamente com o autor, seja honesto, entre em
contato com o autor, atravs do e-mail webmaster@juliobattisti.com.br, para regularizar
esta cpia.

Ao regularizar a sua cpia voc estar remunerando, mediante uma pequena quantia, o
trabalho do autor e incentivando que novos trabalhos sejam disponibilizados. Eu
agradeo por seu carter e por sua honestidade.

Se voc tiver sugestes sobre novos cursos que gostaria de ver disponibilizados, entre
em contato pelo e-mail: webmaster@juliobattisti.com.br.

Visite periodicamente o site www.juliobattisti.com.br para ficar por dentro das
novidades:

Cursos de informtica.
Artigos e dicas sobre Certificaes da Microsoft.
Artigos sobre Carreira e Trabalho.
Dicas de livros e sites sobre diversos assuntos.
Simulados gratuitos, em portugus, para os exames da Microsoft.




ESTE E-BOOK NO PODE SER FORNECIDO
EM UM CD OU DVD DE NENHUMA REVISTA.
SE VOC OBTEVE UMA CPIA DESTE E-BOOK
ATRAVS DO E-MULE, KAZAA, MORPHEUS,
BIT-TORRENT OU OUTRO PROGRAMA DE
COMPARTILHAMENTO P2P, SAIBA QUE VOC
EST COM UMA CPIA ILEGAL, NO
AUTORIZADA.
QUEM COLOCOU O ARQUIVO PARA CPIA
ATRAVS DESTE PROGRAMAS, COMETEU
CRIME DE VIOLAO DE DIREITOS
AUTORAIS.
QUEM COPIOU O ARQUIVO E, MESMO TENDO
ESTE AVISO, CONTINUOU USANDO, TAMBM
COMETEU CRIME DE VIOLAO DE DIREITO
AUTORAL.
USAR UMA CPIA NO AUTORIZADA
CRIME DE VIOLAO DE DIREITOS
AUTORAIS, COM PENA PREVISTA DE CADEIA
VOC S PODE USAR ESTE E-BOOK SE VOC
COMPROU ELE DIRETAMENTE COM O AUTOR:
JLIO BATTISTI




PIRATARIA CRIME, COM PENA DE CADEIA. EU AGRADEO
PELA SUA HONESTIDADE.

SE VOC COMPROU UMA CPIA DESTE CURSO,
DIRETAMENTE EM WWW.JULIOBATTISTI.COM.BR OU
DIRETAMENTE COM O AUTOR, NO DISTRIBUA CPIAS
PARA OUTRAS PESSOAS.

SE VOC BAIXOU UMA CPIA DESTE ARQUIVO USANDO
UM SOFTWARE TAL COMO O E-MULE, MORPHEUS, BIT-
TORRENT OU O KAZAA, SAIBA QUE VOC EST COM UMA
CPIA PIRATA, ILEGAL.

USAR UMA CPIA ILEGAL CRIME DE VIOLAO DE
DIREITOS AUTORAIS.

ESTE ARQUIVO NO PODE SER DISTRIBUIDO GRAVADO
EM UM CD OU DVD DE REVISTA OU LIVRO. A NICA
MANEIRA DE OBTER ESTE ARQUIVO COMPRANDO
DIRETAMENTE COM O AUTOR OU ATRAVS DO SITE
WWW.JULIOBATTISTI.COM.BR OU ATRAVS DO SITE
MERCADO LIVRE, COM O VENDEDOR GROZA (ESTOU
CADASTRADO NO MERCADO LIVRE COM O APELIDO DE
GROZA)

SE VOC RECEBEU UMA CPIA ILEGAL DESTE ARQUIVO,
NO ADQUIRIDA DIRETAMENTE PELOS MEIOS DESCRITOS
NO INCIO DA PGINA, ENTRE EM CONTATO E
REGULARIZE A SUA CPIA.




Algumas palavras do autor:

Este curso foi criado com o objetivo de ajud-lo a entender os princpios bsicos do
protocolo TCP/IP e dos servios a ele associados em uma rede Windows: DNS,
DHCP, WINS, RRAS, IPSec, Certificados Digitais, NAT, ICS e assim por diante. Este
o primeiro de uma srie de cursos sobre TCP/IP. Para novidades e anncios de
disponibilidade de novos cursos, consulte o site: http://www.juliobattisti.com.br/

Um bom estudo a todos e espero, sinceramente, que este curso possa ajud-los a
entender os princpios e conceitos bsicos do protocolo TCP/IP.

Atenciosamente,

Jlio Battisti,

MVP, MCP, MCP+I, MCSE NT 4, MCSE 2000, MCSE 2003, MCDBA, MCSD, MCSA
2000 e MCSA 2003

0-xx-(55)9957-2041 - Santa Maria - RS

http:://www.juliobattisti.com.br
http:://www.certificacoes.com.br




NDICE DO CURSO

Tutorial de TCP/IP Parte 1......................................................................................................... 9
Introduo................................................................................................................................. 9
Um viso geral do protocolo TCP/IP......................................................................................... 9
Questo de exemplo para os exames de Certificao........................................................... 17
Concluso............................................................................................................................... 18
Tutorial de TCP/IP Parte 2....................................................................................................... 19
Introduo............................................................................................................................... 19
Sistema de Numerao Binrio.............................................................................................. 19
Como Converter de Decimal para Binrio.............................................................................. 21
O Operador E.......................................................................................................................... 22
Como o TCP/IP usa a mscara de sub-rede:......................................................................... 23
Como o TCP/IP usa a mscara de sub-rede e o roteador: .................................................... 24
Concluso............................................................................................................................... 26
Introduo............................................................................................................................... 27
Endereamento IP Classes de Endereos.......................................................................... 27
Redes Classe A ...................................................................................................................... 27
Redes Classe B ...................................................................................................................... 28
Redes Classe D...................................................................................................................... 30
Redes Classe E ...................................................................................................................... 31
Quadro resumo das Classes de Endereo IP ........................................................................ 31
Endereos Especiais............................................................................................................... 31
Concluso............................................................................................................................... 32
Introduo............................................................................................................................... 33
O papel do Roteador em uma rede de computadores ........................................................... 33
Como Verificar o Default Gateway no Windows 2000/Windos XP ou Windows Server 2003?
................................................................................................................................................ 34
Verificando as configuraes do TCP/IP usando o comando ipconfig................................... 36
Explicando Roteamento um exemplo prtico...................................................................... 37
Como feita a interligao entre as duas redes .................................................................... 38
Concluso............................................................................................................................... 40
TCP/IP - Parte 5 - Exemplos de Roteamento............................................................................. 41
Introduo............................................................................................................................... 41
Mais um exemplo de roteamento............................................................................................ 41
Algumas consideraes sobre roteamento: ........................................................................... 45
Concluso............................................................................................................................... 46
TCP/IP - Parte 6 Tabelas de Roteamento ............................................................................... 47
Introduo............................................................................................................................... 47
Tabelas de roteamento........................................................................................................... 47
Campos de uma tabela de roteamento................................................................................... 48
Analise da tabela de Roteamento........................................................................................... 49
Rota padro ............................................................................................................................ 50
Endereo da rede local ........................................................................................................... 50
Local host (endereo local)..................................................................................................... 51
Network broadcast (Broadcast de rede)................................................................................. 51
Rede/endereo de loopback................................................................................................... 51
Multicast address (endereo de Multicast): ............................................................................ 52
Limited Broadcast (Broadcast Limitado)................................................................................. 52
Concluso............................................................................................................................... 52
TCP/IP - Parte 7 Subnetting diviso em sub-redes .............................................................. 53
Introduo............................................................................................................................... 53
Alterando o nmero de bits da mscara de sub-rede............................................................. 55
Quantos bits devem ser utilizados para a mscara de sub-rede? ......................................... 55
Nmero de redes e nmero de hosts em cada rede.............................................................. 56
Como listar as faixas de endereos dentro de cada sub-rede............................................... 60



Concluso............................................................................................................................... 65
Tutorial de TCP/IP Parte 8 Uma introduo ao DNS............................................................ 66
Introduo............................................................................................................................... 66
Definindo DNS ........................................................................................................................ 66
Entendendo os elementos que compem o DNS................................................................... 67
Entendendo como funcionam as pesquisas do DNS ............................................................. 70
Consideraes e tipos especiais de resolues..................................................................... 76
Como funciona o processo de interao................................................................................ 78
Como funciona o cache nos servidores DNS......................................................................... 78
Concluso............................................................................................................................... 79
Tutorial de TCP/IP Parte 9 Uma introduo ao DHCP ......................................................... 80
Introduo............................................................................................................................... 80
Definindo DHCP...................................................................................................................... 80
Introduo ao DHCP............................................................................................................... 80
O que o DHCP - Dynamic Host Configuration Protocol?..................................................... 81
Termos utilizados no DHCP.................................................................................................... 83
Como o DHCP funciona.......................................................................................................... 85
Clientes suportados pelo DHCP ............................................................................................. 85
Um recurso de nome esquisito APIPA.................................................................................... 87
Configurao automtica do cliente........................................................................................ 88
Concluso............................................................................................................................... 89
Tutorial de TCP/IP Parte 10 Uma introduo ao WINS.......................................................... 90
Introduo............................................................................................................................... 90
Entendendo o que e como funciona o WINS....................................................................... 90
Algumas caractersticas do WINS .......................................................................................... 91
Como saber se ainda devo utilizar o WINS? .......................................................................... 92
Clientes suportados pelo WINS.............................................................................................. 93
Como funciona o WINS .......................................................................................................... 94
Concluso............................................................................................................................... 95
Tutorial de TCP/IP Parte 11 TCP UDP e Portas de Comunicao ................................... 96
Introduo: .............................................................................................................................. 96
Um pouco sobre Pacotes e sobre os protocolos de Transporte ............................................ 96
TCP Uma Viso Geral ......................................................................................................... 97
Funcionamento do TCP .......................................................................................................... 98
O conceito de Portas TCP ...................................................................................................... 99
O que uma Porta TCP? ....................................................................................................... 99
UDP Uma Viso Geral ....................................................................................................... 100
Portas UDP ........................................................................................................................... 101
Comparando UDP e TCP: .................................................................................................... 102
Concluso............................................................................................................................. 102
Tutorial de TCP/IP Parte 12 Portas de Comunicao na Prtica........................................ 103
Introduo: ............................................................................................................................ 103
Exemplos de utilizao de portas......................................................................................... 103
O comando netstat exibindo informaes sobre portas .................................................... 106
Concluso............................................................................................................................. 109
Tutorial de TCP/IP Parte 13 Instalao e Configurao..................................................... 110
Introduo............................................................................................................................. 110
Instalao e configurao do protocolo TCP/IP ................................................................... 110
Concluso............................................................................................................................. 119
Tutorial de TCP/IP Parte 14 Protocolos de Roteamento Dinmico - RIP........................... 120
Introduo: ............................................................................................................................ 120
Introduo............................................................................................................................. 120
RIP Routing Internet Protocol ............................................................................................ 121
Como funcionam os protocolos de roteamento dinmico..................................................... 122
RIP - Routing Information Protocol ....................................................................................... 122
Uma introduo ao RIP......................................................................................................... 122
O problema do Count-to-infinity:........................................................................................... 124
Um estudo comparativo entre RIP v1 e RIP v2.................................................................... 125



Concluso............................................................................................................................. 128
Tutorial de TCP/IP Parte 15 Protocolos de Roteamento Dinmico.................................... 129
Introduo: ............................................................................................................................ 129
OSPF Open Shorted Path First: ........................................................................................ 130
Uma introduo ao OSPF..................................................................................................... 130
Vantages do OSPF em relao ao RIP:............................................................................... 132
Operao do protocolo OSPF............................................................................................... 132
Concluso............................................................................................................................. 134
Tutorial de TCP/IP Parte 16 Compartilhando a Conexo Internet...................................... 135
Introduo: ............................................................................................................................ 135
Internet Connection Sharing (ICS)........................................................................................ 136
Mudanas que so efetuadas quando o ICS habilitado.................................................... 137
Configurando os clientes da rede interna, para usar o ICS.................................................. 139
Mais algumas observaes importantes sobre o ICS .......................................................... 139
Comparando ICS e NAT....................................................................................................... 141
Habilitando o ICS no computador conectado Internet:...................................................... 143
Configurando os clientes da rede para utilizar o ICS: .......................................................... 146
Concluso............................................................................................................................. 147
Tutorial de TCP/IP Parte 17 IFC Internet Firewall Connection (Windows XP) ................ 148
Introduo............................................................................................................................. 148
Firewall de Conexo com a Internet ICF ........................................................................... 149
Funo do Firewall................................................................................................................ 150
Como ativar/desativar o Firewall de Conexo com a Internet.............................................. 152
Como ativar/desativar o log de Segurana do ICF............................................................... 154
Habilitando servios que sero aceitos pelo ICF.................................................................. 158
Novidades do Firewall do Windows XP SP2........................................................................ 163
Concluso............................................................................................................................. 168
Tutorial de TCP/IP Parte 18 Introduo ao IPSec.............................................................. 169
Introduo............................................................................................................................. 169
O protocolo IPSec................................................................................................................. 169
Uma introduo ao protocolo IPSec..................................................................................... 170
Configurao baseada em diretivas de segurana.............................................................. 171
Uma maneira mais simples de fornecer proteo dos dados .............................................. 172
Caractersticas e componentes do protocolo IPSec............................................................. 172
Concluso............................................................................................................................. 174
Tutorial de TCP/IP Parte 19 Certificados Digitais e Segurana.......................................... 175
Introduo............................................................................................................................. 175
Microsoft Certificate Services e PKI...................................................................................... 176
Uma introduo sobre Certificados e PKI Public Key Infrastructure................................. 176
Um pouco sobre Certificados Digitais................................................................................... 179
Certificados e Autoridades de Certificao........................................................................... 180
Os diferentes tipos de Autoridades Certificadores ............................................................... 182
Autoridades de certificao corporativas.............................................................................. 183
Autoridades de certificao autnomas................................................................................ 184
Concluso............................................................................................................................. 186
Tutorial de TCP/IP Parte 20 NAT Network Address Translation..................................... 187
Introduo............................................................................................................................. 187
Entendendo como funciona o NAT....................................................................................... 188
Os componentes do NAT...................................................................................................... 190
Um pouco de planejamento antes de habilitar o NAT.......................................................... 191
Concluso............................................................................................................................. 194




Tutorial de TCP/IP Parte 1
Por: J lio Cesar Fabris Battisti

Introduo

Esta a primeira parte de um total de 100 partes, deste tutorial de TCP/IP. Este
curso de Introduo ao TCP/IP formado pelas partes de 01 a 20. O objetivo da
Parte 1 apresentar o protocolo TCP/IP e os seus aspectos bsicos de utilizao em
redes baseadas no Windows 2000 (Server e Professional) ou Windows Server 2003
e no Windows XP e Windows Vista. Nesta primeira parte faremos uma apresentao
do protocolo TCP/IP, de tal maneira que o leitor possa entender exatamente o que
o conjunto de protocolos genericamente conhecido como TCP/IP e como
configurada uma rede baseada neste protocolo. Nas demais partes deste tutorial
abordaremos uma srie de assuntos, tais como:

O Sistema Binrio de Numerao
Converso de Binrio para Decimal
Endereos IP e Mscara de sub-rede
Configuraes do TCP/IP no Windows 2000 e no Windows XP
Endereamento no protocolo IP
Roteamento
DNS
DHCP
WINS
RRAS
IPSec
Firewall
NAT
O conceito de sub-redes e exemplos prticos
Comandos disponveis no Windows 2000
Comandos disponveis no Windows XP

Um viso geral do protocolo TCP/IP

Para que os computadores de uma rede possam trocar informaes entre si
necessrio que todos os computadores adotem as mesmas regras para o envio e o
recebimento de informaes. Este conjunto de regras conhecido como Protocolo
de comunicao. Falando de outra maneira podemos afirmar: Para que os
computadores de uma rede possam trocar informaes entre si necessrio que
todos estejam utilizando o mesmo protocolo de comunicao. No protocolo de
comunicao esto definidas todas as regras necessrias para que o computador de
destino, entenda as informaes no formato que foram enviadas pelo computador
de origem. Dois computadores com diferentes protocolos instalados, no sero
capazes de estabelecer uma comunicao e nem sero capazes de trocar
informaes.

Antes da popularizao da Internet existiam diferentes protocolos sendo utilizados
nas redes das empresas. Os mais utilizados eram os seguintes:

TCP/IP
NETBEUI
IPX/SPX
Apple Talk




Se colocarmos dois computadores ligados em rede, um com um protocolo, por
exemplo o TCP/IP e o outro com um protocolo diferente, por exemplo NETBEUI,
estes dois computadores no sero capazes de estabelecer comunicao e trocar
informaes entre si. Por exemplo, o computador com o protocolo NETBEUI
instalado, no ser capaz de acessar uma pasta ou uma Impressora compartilhada
no computador com o protocolo TCP/IP instalado.

medida que a Internet comeou, a cada dia, tornar-se mais popular, com o
aumento exponencial do nmero de usurios, o protocolo TCP/IP passou a tornar-
se um padro de fato, utilizando no s na Internet, como tambm nas redes
internas das empresas, redes estas que comeavam a ser conectadas Internet.
Como as redes internas precisavam conectar-se Internet, tinham que usar o
mesmo protocolo da Internet, ou seja: TCP/IP.

Dos principais Sistemas Operacionais do mercado, o UNIX sempre utilizou o
protocolo TCP/IP como padro. O Windows d suporte ao protocolo TCP/IP desde as
primeiras verses, porm, para o Windows, o TCP/IP somente tornou-se o
protocolo padro a partir do Windows 2000. Ser o protocolo padro significa que o
TCP/IP ser instalado, automaticamente, durante a instalao do Sistema
Operacional, se for detectada a presena de uma placa de rede. At mesmo o
Sistema Operacional Novell, que sempre foi baseado no protocolo IPX/SPX como
protocolo padro, passou a adotar o TCP/IP como padro a partir da verso 5.0.

O que temos hoje, na prtica, a utilizao do protocolo TCP/IP na esmagadora
maioria das redes. Sendo a sua adoo cada vez maior. Como no poderia deixar
de ser, o TCP/IP o protocolo padro do Windows 2000, Windows Server 2003,
Windows XP e tambm do Windows Vista (a ser lanado em Fevereiro de 2007) e
do Windows Longhorn Server (com lanamento previsto para o final de 2007). Se
durante a instalao, o Windows detectar a presena de uma placa de rede,
automaticamente ser sugerida a instalao do protocolo TCP/IP.

Nota: Para pequenas redes, no conectadas Internet, recomendada a adoo
do protocolo NETBEUI, devido a sua simplicidade de configurao. Porm esta
uma situao muito rara, pois dificilmente teremos uma rede isolada, sem conexo
com a Internet ou com parceiros de negcios, como clientes e fornecedores.

Agora passaremos a estudar algumas caractersticas do protocolo TCP/IP. Veremos
que cada equipamento que faz parte de uma rede baseada no TCP/IP tem alguns
parmetros de configurao que devem ser definidos, para que o equipamento
possa comunicar-se com sucesso na rede e trocar informaes com os demais
equipamentos da rede.

Configuraes do protocolo TCP/IP para um computador em rede

Quando utilizamos o protocolo TCP/IP como protocolo de comunicao em uma
rede de computadores, temos alguns parmetros que devem ser configurados em
todos os equipamentos que fazem parte da rede (computadores, servidores, hubs,
switchs, impressoras de rede, etc). Na Figura a seguir temos uma viso geral de
uma pequena rede baseada no protocolo TCP/IP:



Figura - Uma rede baseada no protocolo TCP/IP.

No exemplo da Figura 1 temos uma rede local para uma pequena empresa. Esta
rede local no est conectada a outras redes ou Internet. Neste caso cada
computador da rede precisa de, pelo menos, dois parmetros configurados:

Nmero IP
Mscara de sub-rede

O Nmero IP um nmero no seguinte formato:

x.y.z.w

ou seja, so quatro nmeros separados por ponto. No podem existir duas
mquinas, com o mesmo nmero IP, dentro da mesma rede. Caso eu configure um
novo equipamento com o mesmo nmero IP de uma mquina j existente, ser
gerado um conflito de Nmero IP e um dos equipamentos, muito provavelmente o
novo equipamento que est sendo configurado, no conseguir se comunicar com a
rede. O valor mximo para cada um dos nmeros (x, y, z ou w) 255.

Uma parte do Nmero IP (1, 2 ou 3 dos 4 nmeros) a identificao da rede, a
outra parte a identificao da mquina dentro da rede. O que define quantos dos
quatro nmeros fazem parte da identificao da rede e quantos fazem parte da
identificao da mquina a mscara de sub-rede (subnet mask). Vamos
considerar o exemplo de um dos computadores da rede da Figura 1:

Nmero IP: 10.200.150.1
Mscara de Sub-rede: 255.255.255.0

As trs primeiras partes da mscara de sub-rede (subnet) iguais a 255 indicam que
os trs primeiros nmeros representam a identificao da rede e o ltimo nmero
a identificao do equipamento dentro da rede. Para o nosso exemplo teramos a
rede: 10.200.150, ou seja, todos os equipamentos do nosso exemplo fazem parte



da rede 10.200.150 ou, em outras palavras, o nmero IP de todos os equipamentos
da rede comeam com 10.200.150.
Neste exemplo, onde estamos utilizando os trs primeiros nmeros para identificar
a rede e somente o quarto nmero para identificar o equipamento, temos um limite
de 254 equipamentos que podem ser ligados neste rede. Observe que so 254 e
no 256, pois o primeiro nmero 10.200.150.0 e o ltimo nmero
10.200.250.255 no podem ser utilizados como nmeros IP de equipamentos de
rede. O primeiro o prprio nmero da rede: 10.200.150.0 e o ltimo o
endereo de Broadcast: 10.200.150.255. Ao enviar uma mensagem para o
endereo de Broadcast, todas as mquinas da rede recebero a mensagem. Nas
prximas partes deste tutorial, falaremos um pouco mais sobre Broadcast.
Com base no exposto podemos apresentar a seguinte definio:
Para se comunicar em uma rede baseada no protocolo TCP/IP, todo
equipamento deve ter, pelo menos, um nmero IP e uma mscara de
sub-rede, sendo que todos os equipamentos da rede devem ter a
mesma mscara de sub-rede.
Nota: Existem configuraes mais avanadas onde podemos subdividir uma rede
TCP/IP em sub-redes menores. O conceito de sub-redes ser tratado, em detalhes,
na Parte 7 deste tutorial.
No exemplo da figura anterior observe que o computador com o IP 10.200.150.7
est com uma mscara de sub-rede diferente da mscara de sub-rede dos demais
computadores da rede. Este computador est com a mscara: 255.255.0.0 e os
demais computadores da rede esto com a mscara de sub-rede 255.255.255.0.
Neste caso como se o computador com o IP 10.200.150.7 pertencesse a outra
rede. Na prtica o que ir acontecer que este computador no conseguir se
comunicar com os demais computadores da rede, por ter uma mscara de sub-rede
diferente dos demais. Este um dos erros de configurao mais comuns. Se a
mscara de sub-rede estiver incorreta, ou seja, diferente da mscara dos demais
computadores da rede, o computador com a mscara de sub-rede incorreta no
conseguir comunicar-se na rede.
Na Tabela a seguir temos alguns exemplos de mscaras de sub-rede e do nmero
mximo de equipamentos em cada uma das respectivas redes.
Tabela: Exemplos de mscara de sub-rede.
Mscara Nmero de equipamentos na rede
255.255.255.0 254
255.255.0.0 65.534
255.0.0.0 16.777.214

Quando a rede est isolada, ou seja, no est conectada Internet ou a outras
redes externas, atravs de links de comunicao de dados, apenas o nmero IP e a
mscara de sub-rede so suficientes para que os computadores possam se
comunicar e trocar informaes.




A conexo da rede local com outras redes feita atravs de links de comunicao
de dados. Para que essa comunicao seja possvel necessrio um equipamento
capaz de enviar informaes para outras redes e receber informaes destas redes.
O equipamento utilizado para este fim o Roteador. Todo pacote de informaes
que deve ser enviado para outras redes deve, obrigatoriamente, passar pelo
Roteador. Todo pacote de informao que vem de outras redes tambm deve,
obrigatoriamente, passar pelo Roteador. Como o Roteador um equipamento de
rede, este tambm ter um nmero IP. O nmero IP do roteador deve ser
informado em todos os demais equipamentos que fazem parte da rede, para que
estes equipamentos possam se comunicar com os redes externas. O nmero IP do
Roteador informado no parmetro conhecido como Default Gateway. Na prtica
quando configuramos o parmetro Default Gateway, estamos informando o nmero
IP do Roteador.

Quando um computador da rede tenta se comunicar com outros
computadores/servidores, o protocolo TCP/IP faz alguns clculos utilizando o
nmero IP do computador de origem, a mscara de sub-rede e o nmero IP do
computador de destino (veremos estes clculos em detalhes nas prximas lies
deste curso). Se, aps feitas as contas, for concludo que os dois computadores
fazem parte da mesma rede, os pacotes de informao so enviados para o
barramento da rede local e o computador de destino captura e processa as
informaes que lhe foram enviadas. Se, aps feitas as contas, for concludo que o
computador de origem e o computador de destino, fazem parte de redes diferentes,
os pacotes de informao so enviados para o Roteador (nmero IP configurado
como Default Gateway) e o Roteador o responsvel por achar o caminho (a rota)
para a rede de destino.

Com isso, para equipamentos que fazem parte de uma rede, baseada no protocolo
TCP/IP e conectada a outras redes ou a Internet, devemos configurar, no mnimo,
os seguintes parmetros:

Nmero IP
Mscara de sub-rede
Default Gateway

Em redes empresarias existem outros parmetros que precisam ser configurados.
Um dos parmetros que deve ser informado o nmero IP de um ou mais
servidores DNS Domain Name System. O DNS o servio responsvel pela
resoluo de nomes. Toda a comunicao, em redes baseadas no protocolo TCP/IP
feita atravs do nmero IP. Por exemplo, quando vamos acessar o meu site:
http://www.juliobattisti.com.br/, tem que haver uma maneira de encontrar o
nmero IP do servidor onde fica hospedado o site. O servio que localiza o nmero
IP associado a um nome conhecido como Servidor DNS. Por isso a necessidade de
informarmos o nmero IP de pelo menos um servidor DNS, pois sem este servio
de resoluo de nomes, muitos recursos da rede estaro indisponveis, inclusive o
acesso Internet.

Existem aplicativos antigos que so baseados em um outro servio de resoluo de
nomes conhecido como WINS Windows Internet Name System. O Windows NT
Server 4.0 utilizava intensamente o servio WINS para a resoluo de nomes. Com
o Windows 2000 o servio utilizado o DNS, porm podem existir aplicaes que
ainda dependam do WINS. Nestes casos voc ter que instalar e configurar um
servidor WINS na sua rede e configurar o IP deste servidor em todos os
equipamentos da rede.




Dica Importante: Em redes baseadas onde ainda existem clientes baseados em
verses antigas do Windows, tais como o Windows 95, Windows 98 ou Windows
Me, o WINS ainda necessrio. Sem o WINS, poder haver erro no acesso a aos
principais recursos da rede, tais como pastas e impressoras compartilhadas.

As configuraes do protocolo TCP/IP podem ser definidas manualmente, isto ,
configurando cada um dos equipamentos necessrios com as informaes do
protocolo, como por exemplo o Nmero IP, Mscara de sub-rede, nmero IP do
Default Gateway, nmero IP de um ou mais servidores DNS e assim por diante.
Esta uma soluo razovel para pequenas redes, porm pode ser um problema
para redes maiores, com um grande nmero de equipamentos conectados. Para
redes maiores recomendado o uso do servio DHCP Dynamic Host Configuration
Protocol. O servio DHCP pode ser instalado em um servidor com o Windows NT
Server 4.0, Windows 2000 Server, Windows Server 2003 ou Windows Longhorn
Server. Uma vez disponvel e configurado, o servio DHCP fornece,
automaticamente, todos os parmetros de configurao do protocolo TCP/IP para
os equipamentos conectados rede. Os parmetros so fornecidos quando o
equipamento inicializado e podem ser renovados em perodos definidos pelo
Administrador. Com o uso do DHCP uma srie de procedimentos de configurao
podem ser automatizados, o que facilita a vida do Administrador e elimina uma
srie de erros.

Dica Importante: Servios tais como um Servidor DNS e um Servidor DHCP, s
podem ser instalados em computadores com uma verso de Servidor do Windows,
tais como o Windows NT Server 4.0, Windows 2000 Server, Windows Server 2003
ou Windows Longhorn Server. Estes servios no esto disponveis em verses
Clientes do Windows, tais como o Windows 95/98/Me, Windows 2000 Professional,
Windows XP Professional ou Windows Vista.

O uso do DHCP tambm muito vantajoso quando so necessrias alteraes no
nmero IP dos servidores DNS ou WINS. Vamos imaginar uma rede com 1000
computadores e que no utiliza o DHCP, ou seja, os diversos parmetros do
protocolo TCP/IP so configurados manualmente em cada computador. Agora
vamos imaginar que o nmero IP do servidor DNS foi alterado. Neste caso o
Administrador e a sua equipe tcnica tero que fazer a alterao do nmero IP do
servidor DNS em todas as estaes de trabalho da rede. Um servio e tanto. Se
esta mesma rede estiver utilizando o servio DHCP, bastar alterar o nmero do
servidor DNS, nas configuraes do servidor DHCP. O novo nmero ser fornecido
para todas as estaes da rede, automaticamente, na prxima vez que a estao
for reinicializada. Muito mais simples e prtico e, principalmente, com menor
probabilidade de erros.

Voc pode verificar, facilmente, as configuraes do protocolo TCP/IP que esto
definidas para o seu computador (Windows 2000, Windows XP ou Windows Vista).
Para isso siga os seguintes passos:

1. Faa o logon com uma conta com permisso de Administrador.

2. Abra o Prompt de comando: Iniciar -> Programas -> Acessrios -> Prompt
de comando.

3. Na janela do Prompt de comando digite o seguinte comando:
ipconfig/all



e pressione Enter.

4. Sero exibidas as diversas configuraes do protocolo TCP/IP, conforme
indicado a seguir, no exemplo obtido a partir de um dos meus computadores que
eu uso na rede da minha casa:

O comando ipconfig exibe informaes para as diversas interfaces de rede
instaladas placa de rede, modem, etc. No exemplo anterior temos uma nica
interface de rede instalada, a qual relacionada com uma placa de rede Realtek
RTL8139 Family PCI Fast Ethernet NIC. Observe que temos o nmero IP para dois
servidores DNS e para um servidor WINS. Outra informao importante o
Endereo fsico, mais conhecido como MAC-Address ou endereo da placa. O MAC-
Address um nmero que identifica a placa de rede. Os seis primeiros
nmeros/letras so uma identificao do fabricante da placa e os seis ltimos uma
identificao da placa. No existem duas placas com o mesmo MAC-Address, ou
seja, este endereo nico para cada placa de rede.

No exemplo da listagem a seguir, temos um computador com duas interfaces de
rede. Uma das interfaces ligada a placa de rede (Realtek RTL8029(AS) PCI
Ethernet Adapter), a qual conecta o computador a rede local. A outra interface
ligada ao fax-modem (WAN (PPP/SLIP) Interface), o qual conecta o computador
Internet. Para o protocolo TCP/IP a conexo via Fax modem aparece como se fosse
mais uma interface de rede, conforme pode ser conferido na listagem a seguir:




Bem, estes so os aspectos bsicos do protocolo TCP/IP. Nos endereos a seguir,
voc encontra tutoriais, em portugus, onde voc poder aprofundar os seus
estudos sobre o protocolo TCP/IP:
http://www.juliobattisti.com.br/tcpip.asp
http://www.guiadohardware.info/tutoriais/enderecamento_ip/index.asp
http://www.guiadohardware.info/curso/redes_guia_completo/22.asp
http://www.vanquish.com.br/site/020608
http://unsekurity.virtualave.net/texto1/texto_tcpip_basico.txt
http://unsekurity.virtualave.net/texto1/tcpipI.txt
http://www.rota67.hpg.ig.com.br/tutorial/protocolos/amfhp_tcpip_basico001.htm



http://www.rota67.hpg.ig.com.br/tutorial/protocolos/amfhp_tcpip_av001.htm
http://www.geocities.com/ResearchTriangle/Thinktank/4203/doc/tcpip.zip
Questo de exemplo para os exames de Certificao

A seguir coloco um exemplo de questo, relacionada ao TCP/IP, que pode aparecer
nos exames de Certificao da Microsoft, onde so cobrados conhecimentos bsicos
do protocolo TCP/IP. Esta questo faz parte dos simulados gratuitos, disponveis
aqui no site.

Questo 01 A seguir esto as configuraes bsicos do TCP/IP de trs
estaes de trabalho: micro01, micro02 e micro03.

Configuraes do micro01:

Nmero IP: 100.100.100.3
Mscara de sub-rede: 255.255.255.0
Gateway: 100.100.100.1


Nmero IP: 100.100.100.4
Gateway: 100.100.100.1


Nmero IP: 100.100.100.5
Gateway: 100.100.100.2

O micro 02 no est conseguindo comunicar com os demais
computadores da rede. J o micro03 consegue comunicar-se na
rede local, porm no consegue se comunicar com nenhum
recurso de outras redes, como por exemplo a Internet. Quais
alteraes voc deve fazer para que todos os computadores
possam se comunicar normalmente, tanto na rede local quanto
com as redes externas?
a)
Altere a mscara de sub-rede do micro02 para 255.255.255.0
Altere o Gateway do micro03 para 100.100.100.1
b)
c)
d) Altere o Gateway do micro03 para 100.100.100.1
e) Altere a mscara de sub-rede do micro02 para 255.255.255.0

Resposta certa: a

Comentrios: Pelo enunciado o computador micro02 no consegue comunicar



com nenhum outro computador da rede. Este um sintoma tpico
de problema na mscara de sub-rede. exatamente o caso, o
micro02 est com uma mscara de sub-rede 255.255.240.0,
diferente da mscara dos demais computadores. Por isso ele est
isolado e no consegue se comunicar com os demais
computadores da rede. J o micro03 no consegue comunicar-se
com outras redes, mas consegue comunicar-se na rede local.
Este um sintoma de que a configurao do Gateway est
incorreta. Por isso a necessidade de alterar a configurao do
Gateway do micro03, para que este utilize a mesma configurao
dos demais computadores da rede. Observe como esta questo
testa apenas conhecimentos bsicos do TCP/IP, tais como
Mscara de sub-rede e Default Gateway.

Concluso

Na prxima lio falarei sobre o sistema de numerao binrio, sobre como
converter de decimal para binrio e vice-versa e como o protocolo TCP/IP usa
clculos binrios, com base na mscara de sub-rede, para definir se dois
computadores pertencem a mesma rede ou a redes diferentes.

Aproveite para ir aprimorando os seus conhecimentos sobre TCP/IP, com os links
indicados no endereo: http://www.juliobattisti.com.br/tcpip.asp, pois estes
conhecimentos sero muito importantes para os exames de Certificao do
Windows 2000 Server, Windows Server 2003 e Windows Longhorn Server

Em caso de dvidas, sobre o contedo deste tutorial ou para enviar sugestes
sobre novos tutoriais que voc gostaria de ver publicados neste site, entre com
contato atravs do e-mail: webmaster@juliobattisti.com.br





Introduo

Na Primeira Parte deste curso eu apresentei o protocolo TCP/IP e qual o seu papel
em uma rede de computadores. Nesta segunda parte apresentarei os princpios
bsicos do sistema de numerao binrio. Tambm mostrarei como realizar clculos
simples e converses de Binrio para Decimal e vice-versa. Feita a apresentao
das operaes bsicas com nmeros binrios, veremos como o TCP/IP atravs de
clculos binrios e, com base na mscara de sub-rede (subnet mask), determina se
dois computadores esto na mesma rede ou fazem parte de redes diferentes.

Sistema de Numerao Binrio

Vou iniciar falando do sistema de numerao decimal, para depois fazer uma
analogia ao apresentar o sistema de numerao binrio.Todos nos conhecemos o
sistema de numerao decimal, no qual so baseados os nmeros que usamos no
nosso dia-a-dia, como por exemplo: 100, 259, 1450 e assim por diante. Voc j
parou para pensar porque este sistema de numerao chamado de sistema de
numerao decimal? No? Bem, a resposta bastante simples: este sistema
baseado em dez dgitos diferentes, por isso chamado de sistema de numerao
decimal. Todos os nmeros do sistema de numerao decimal so escritos usando-
se uma combinao dos seguintes dez dgitos:

0 1 2 3 4 5 6 7 8 9

Dez dgitos -> Sistema de numerao decimal.

Vamos analisar como determinado o valor de um nmero do sistema de
numerao decimal. Por exemplo, considere o seguinte nmero:

4538

O valor deste nmero formado, multiplicando-se os dgitos do nmero, de trs
para frente, por potncias de 10, comeando com 10. O ltimo dgito (bem
direita) multiplicado por 10, o penltimo por 10
1
, o prximo por 10
2
e assim por
diante. O valor real do nmero a soma dos resultados destas multiplicaes.
Observe o esquema a seguir que ser bem mais fcil de entender:

4 5 3 8
Multiplica por: 10
3
10
2
10
1
10
ou sej a: 1000 100 10 1
Resul t ado: 4x1000 5x100 3x10 8x1
I gual a: 4000 500 30 8
Somando tudo: 4000+500+30+8
igual a: 4538




Observe que 4538 significa exatamente:

4 milhares (10
3
)
+ 5 centenas (10
2
)
+ 3 dezenas (10
1
)
+ 8 unidades (10
0
)

E assim para nmeros maiores, com mais dgitos, teramos potncias de 10
4
, 10
5
e
assim por diante. Observe que multiplicando cada dgito por potncias de 10,
obtemos o nmero original. Este princpio aplicado ao sistema de numerao
decimal vlido para qualquer sistema de numerao. Se for o sistema de
numerao Octal (baseado em 8 dgitos), multiplica-se por potncias de 8: 8, 8
1
,
8
2
e assim por diante. Se for o sistema Hexadecimal (baseado em 10 dgitos e 6
letras) multiplica-se por potncias de 16, s que a letra A equivale a 10, j que no
tem sentido multiplicar por uma letra, a letra B equivale a 11 e assim por diante.

Bem, por analogia, se o sistema decimal baseado em dez dgitos, ento o sistema
binrio deve ser baseado em dois dgitos? Exatamente. Os nmeros no sistema
binrios so escritos usando-se apenas os dois seguintes dgitos:

0 1

Isso mesmo, nmeros no sistema binrio so escritos usando-se apenas zeros e
uns, como nos exemplos a seguir:

01011100
11011110
00011111

Tambm por analogia, se, no sistema decimal, para obter o valor do nmero,
multiplicamos os seus dgitos, de trs para frente, por potncias de 10, no sistema
binrio fizemos esta mesma operao, s que baseada em potncias de 2, ou seja:
2
0
, 2
1
, 2
2
, 2
3
, 2
4
e assim por diante.

Vamos considerar alguns exemplos prticos. Como fao para saber o valor decimal
do seguinte nmero binrio: 11001110

Vamos utilizar a tabelinha a seguir para facilitar os nossos clculos:

1 1 0 0 1 1 1 0
Multiplica por: 2
7
2
6
2
5
2
4
2
3
2
2
2
1
2
0

equivale a: 128 64 32 16 8 4 2 1
Multiplicao: 1x128 1x64 0x32 0x16 1x8 1x4 1x2 0x1
Resulta em: 128 64 0 0 8 4 2 0
Somando tudo: 128+64+0+0+8+4+2+0
Resulta em: 206

Ou seja, o nmero binrio 11001110 equivale ao decimal 206. Observe que onde
temos um a respectiva potncia de 2 somada e onde temos o zero a respectiva
potncia de 2 anulada por ser multiplicada por zero. Apenas para fixar um pouco



mais este conceito, vamos fazer mais um exemplo de converso de binrio para
decimal. Converter o nmero 11100010 para decimal:

1 1 1 0 0 0 1 0
Multiplica por: 2
7
2
6
2
5
2
4
2
3
2
2
2
1
2
0

equivale a: 128 64 32 16 8 4 2 1
Resulta em: 128 64 32 0 0 0 2 0
Somando tudo: 128+64+32+0+0+0+2+0
Resulta em: 226

Como Converter de Decimal para Binrio

Bem, e se tivssemos que fazer o contrrio, converter o nmero 234 de decimal
para binrio, qual seria o binrio equivalente??

Nota: Nos exemplos deste tutorial vou trabalhar com valores decimais de, no
mximo, 255, que so valores que podem ser representados por 8 dgitos binrios,
ou na linguagem do computador 8 bits, o que equivale exatamente a um byte. Por
isso que cada um dos quatro nmeros que fazem parte do nmero IP, somente
podem ter um valor mximo de 255, que um valor que cabe em um byte, ou
seja, 8 bits.

Existem muitas regras para fazer esta converso, eu prefiro utilizar uma bem
simples, que descreverei a seguir e que serve perfeitamente para o propsito deste
tutorial.

Vamos voltar ao nosso exemplo, como converter 234 para um binrio de 8 dgitos?

Eu comeo o raciocnio assim. Primeiro vamos lembrar o valor decimal
correspondente a cada um dos oito dgitos binrios:

128 64 32 16 8 4 2 1

Lembrando que estes nmeros representam potncias de 2, comeando, de trs
para frente, com 2
0
, 2
1
, 2
2
e assim por diante, conforme indicado logo a seguir:

128 64 32 16 8 4 2 1
2
7
2
6
2
5
2
4
2
3
2
2
2
1
2
0

Pergunto: 128 cabe em 234? Sim, ento o primeiro dgito 1. Somando 64 a 128
passa de 234? No, d 192, ento o segundo dgito tambm 1. Somando 32 a
192 passa de 234? No, d 224, ento o terceiro dgito tambm 1. Somando 16 a
224 passa de 234? Passa, ento o quarto dgito zero. Somando 8 a 224 passa de
234? No, da 232, ento o quinto dgito 1. Somando 4 a 232 passa de 234?
Passa, ento o sexto dgito zero. Somando 2 a 232 passa de 234? No, d
exatamente 234, ento o stimo dgito 1. J cheguei ao valor desejado, ento
todos os demais dgitos so zero. Com isso, o valor 234 em binrio igual a:

11101010




Para exercitar vamos converter mais um nmero de decimal para binrio. Vamos
converter o nmero 144 para decimal.

Pergunto: 128 cabe em 144? Sim, ento o primeiro dgito 1. Somando 64 a 128
passa de 144? Sim, d 192, ento o segundo dgito 0. Somando 32 a 128 passa
de 144? Sim, d 160, ento o terceiro dgito tambm 0. Somando 16 a 128 passa
de 144? No, d exatamente 144, ento o quarto dgito 1. J cheguei ao valor
desejado, ento todos os demais dgitos so zero. Com isso, o valor 144 em binrio
igual a:

10010000

Bem, agora que voc j sabe como converter de decimal para binrio, est em
condies de aprender sobre o operador E e como o TCP/IP usa a mscara de
sub-rede (subnet mask) e uma operao E, para verificar se duas mquinas esto
na mesma rede ou em redes diferentes.

O Operador E

Existem diversas operaes lgicas que podem ser feitas entre dois dgitos binrios,
sendo as mais conhecidas as seguintes: E, OU, XOR e NOT.

Para o nosso estudo interessa o operador E. Quando realizamos um E entre dois
bits, o resultado somente ser 1, se os dois bits forem iguais a 1. Se pelo menos
um dos bits for igual a zero, o resultado ser zero. Na tabela a seguir temos todos
os valores possveis da operao E entre dois bits:

bit-1 bit-2 (bit-1) E (bit-2)
1 1 1
1 0 0
0 1 0
0 0 0




Como o TCP/IP usa a mscara de sub-rede:

Considere a figura a seguir, onde temos a representao de uma rede local, ligada
a outras redes da empresa, atravs de um roteador.

Temos uma rede que usa como mscara de sub-rede 255.255.255.0 (uma rede
classe C, mas ainda no abordamos as classes de redes, o que ser feito na Parte 3
deste curso). A rede a 10.200.150.0, ou seja, todos os equipamentos da rede tem
os trs primeiras partes do nmero IP como sendo: 10.200.150. Veja que existe
uma relao direta entre a mscara de sub-rede a quantas das partes do nmero IP
so fixas, ou seja, que definem a rede, conforme foi descrito na Parte 1 deste
curso.

A rede da figura anterior uma rede das mais comumente encontradas hoje em
dia, onde existe um roteador ligado rede e o roteador est conectado a um
Modem, atravs do qual feita a conexo da rede local com a rede WAN da
empresa, atravs de uma linha de dados (tambm conhecido como link de
comunicao). Nas prximas partes lies vou detalhar a funo do roteador e
mostrarei como funciona o roteamento entre redes.




Como o TCP/IP usa a mscara de sub-rede e o roteador:

Quando dois computadores tentam trocar informaes em uma rede, o TCP/IP
precisa, primeiro, determinar se os dois computadores pertencem a mesma rede ou
a redes diferentes. Neste caso podemos ter duas situaes distintas:

Situao 1: Os dois computadores pertencem a mesma rede: Neste caso o
TCP/IP envia o pacote para o barramento local da rede. Todos os computadores
recebem o pacote, mas somente o computador que o destinatrio do pacote
que o captura e passa para processamento pelo Windows e pelo programa de
destino. Como que o computador sabe se ele ou no o destinatrio do pacote?
Muito simples, no pacote de informaes est contido o endereo IP do computador
destinatrio. Em cada computador, o TCP/IP compara o IP de destinatrio do
pacote com o IP do computador, para saber se o pacote ou no para o respectivo
computador.

Situao 2: Os dois computadores no pertencem a mesma rede: Neste caso
o TCP/IP envia o pacote para o Roteador (endereo do Default Gateway configurado
nas propriedades do TCP/IP) e o Roteador se encarrega de fazer o pacote chegar ao
seu destino. Em uma das partes deste tutorial veremos detalhes sobre como o
Roteador capaz de rotear pacotes de informaes at redes distantes.

Agora a pergunta que tem a ver com este tpico:

Como que o TCP/IP faz para saber se o computador de origem e o
computador de destino pertencem a mesma rede?

Vamos usar alguns exemplos prticos para explicar como o TCP/IP faz isso:

Exemplo 1: Com base na figura anterior, suponha que o computador cujo IP
10.200.150.5 (origem) queira enviar um pacote de informaes para o computador
cujo IP 10.200.150.8 (destino), ambos com mscara de sub-rede igual a
255.255.255.0.

O primeiro passo converter o nmero IP das duas mquinas e da mscara de sub-
rede para binrio. Com base nas regras que vimos anteriormente, teramos a
seguinte converso:

Computador de origem:

10 200 150 5
00001010 11001000 10010110 00000101

Computador de destino:

10 200 150 8
00001010 11001000 10010110 00001000

Mscara de sub-rede:

255 255 255 0
11111111 11111111 11111111 00000000

Feitas as converses para binrio, vamos ver que tipo de clculos o TCP/IP faz,
para determinar se o computador de origem e o computador de destino esto na
mesma rede.



Em primeiro lugar feita uma operao E, bit a bit, entre o Nmero IP e a
mscara de Sub-rede do computador de origem, conforme indicado na tabela a
seguir:

10.200.150.5 00001010 11001000 10010110 00000101
255.255.255.0 11111111 11111111 11111111 00000000
E
10.200.150.0 00001010 11001000 10010110 00000000 Resultado

Agora feita uma operao E, bit a bit, entre o Nmero IP e a mscara de sub-
rede do computador de destino, conforme indicado na tabela a seguir:

10.200.150.8 00001010 11001000 10010110 00001000
255.255.255.0 11111111 11111111 11111111 00000000
E
10.200.150.0 00001010 11001000 10010110 00000000 Resultado

Agora o TCP/IP compara os resultados das duas operaes. Se os dois resultados
forem iguais, aos dois computadores, origem e destino, pertencem a mesma rede
local. Neste caso o TCP/IP envia o pacote para o barramento da rede local. Todos
os computadores recebem o pacote, mas somente o destinatrio do pacote que o
captura e passa para processamento pelo Windows e pelo programa de destino.
Como que o computador sabe se ele ou no o destinatrio do pacote? Muito
simples, no pacote de informaes est contido o endereo IP do destinatrio. Em
cada computador, o TCP/IP compara o IP de destinatrio do pacote com o IP do
computador, para saber se o pacote ou no para o respectivo computador.

o que acontece neste exemplo, pois o resultado das duas operaes E igual:
10.200.150.0, ou seja, os dois computadores pertencem a rede: 10.200.150.0

Como voc j deve ter adivinhado, agora vamos a um exemplo, onde os dois
computadores no pertencem a mesma rede, pelo menos devido s configuraes
do TCP/IP.

Exemplo 2: Suponha que o computador cujo IP 10.200.150.5 (origem) queira
enviar um pacote de informaes para o computador cujo IP 10.204.150.8
(destino), ambos com mscara de sub-rede igual a 255.255.255.0.

O primeiro passo converter o nmero IP das duas mquinas e da mscara de sub-
rede para binrio. Com base nas regras que vimos anteriormente, teramos a
seguinte converso:

Computador de origem:

10 200 150 5
00001010 11001000 10010110 00000101

Computador de destino:

10 204 150 8
00001010 11001100 10010110 00001000

Mscara de sub-rede:

255 255 255 0
11111111 11111111 11111111 00000000



Feitas as converses para binrio, vamos ver que tipo de clculos o TCP/IP faz,
para determinar se o computador de origem e o computador de destino esto na
mesma rede. Em primeiro lugar feita uma operao E, bit a bit, entre o Nmero
IP e a mscara de Sub-rede do computador de origem, conforme indicado na tabela
a seguir:

10.200.150.5 00001010 11001000 10010110 00000101
255.255.255.0 11111111 11111111 11111111 00000000
E
10.200.150.0 00001010 11001000 10010110 00000000 Resultado

Agora feita uma operao E, bit a bit, entre o Nmero IP e a mscara de sub-
rede do computador de destino, conforme indicado na tabela a seguir:

10.204.150.8 00001010 11001100 10010110 00001000
255.255.255.0 11111111 11111111 11111111 00000000
E
10.204.150.0 00001010 11001100 10010110 00000000 Resultado

Agora o TCP/IP compara os resultados das duas operaes. Neste exemplo, os dois
resultados so diferentes: 10.200.150.0 e 10.204.150.0. Nesta situao o TCP/IP
envia o pacote para o Roteador (endereo do Default Gateway configurado nas
propriedades do TCP/IP) e o Roteador se encarrega de fazer o pacote chegar a rede
do computador de destino. Em outras palavras o Roteador sabe entregar o pacote
para a rede 10.204.150.0 ou sabe para quem enviar (um outro roteador), para que
este prximo roteador possa encaminhar o pacote. Este processo continua at que
o pacote seja entregue na rede de destino ou seja descartado, por no ter sido
encontrada uma rota para a rede de destino.

Observe que, na figura anterior, temos dois computadores que, apesar de estarem
fisicamente na mesma rede, no conseguiro se comunicar devido a um erro de
configurao na mscara de sub-rede de um dos computadores. o caso do
computador 10.200.150.4 (com mscara de sub-rede 255.255.250.0). Como este
computador est com uma mscara de sub-rede diferente dos demais
computadores da rede (255.255.255.0), ao fazer os clculos, o TCP/IP chega a
concluso que este computador pertence a uma rede diferente, o que faz com que
ele no consiga se comunicar com os demais computadores da rede local.

Concluso

Neste segunda lio do curso, apresentei aspectos relacionados com nmeros
binrios e aritmtica binria bsica. Tambm mostrei como o protocolo TCP/IP usa
os correspondentes binrios do Nmero IP e da mscara de sub-rede, juntamente
com uma operao E, para determinar se dois computadores esto na mesma
rede ou no. Com base nestes clculos, o TCP/IP encaminha os pacotes de
informao de maneiras diferentes.

Na parte 3 deste tutorial falarei sobre os aspectos bsicos do endereamento IP,
tais como a diviso em classes de endereos e o conceito de roteamento.Aproveite
para ir aprimorando os seus conhecimentos sobre TCP/IP, com os links indicados no
endereo: http://www.juliobattisti.com.br/tcpip.asp, pois estes conhecimentos
sero muito importantes para os exames de Certificao do Windows 2000 Server,
Windows Server 2003 e Windows Longhorn Server.





Introduo

Na Parte 1 deste curso apresentei o protocolo TCP/IP e qual o seu papel em uma
rede de computadores. Na Parte 2 apresentei os princpios bsicos do sistema de
numerao binrio. Tambm mostrei como realizar clculos simples e converses
de Binrio para Decimal e vice-versa. Feita a apresentao das operaes bsicas
com nmeros binrios, mostrei como o TCP/IP, atravs de clculos binrios e, com
base na mscara de sub-rede (subnet mask), determina se dois computadores
esto na mesma rede ou fazem parte de redes diferentes. Nesta Parte vou falar
sobre o endereamento IP. Mostrarei que, inicialmente, foram definidas classes de
endereos IP. Porm, devido a uma possvel falta de endereos, por causa do
grande crescimento da Internet, novas alternativas tiveram que ser buscadas.

Endereamento IP Classes de Endereos

Nos vimos, na Parte 2, que a mscara de sub-rede utilizada para determinar qual
parte do endereo IP representa o nmero da Rede e qual parte representa o
nmero da mquina dentro da rede. A mscara de sub-rede tambm foi utilizada
na definio original das classes de endereo IP. Em cada classe existe um
determinado nmero de redes possveis e, em cada rede, um nmero mximo de
mquinas.

Inicialmente foram definidas cinco classes de endereos, identificadas pelas letras:
A, B, C, D e E. Vou iniciar com uma descrio detalhada de cada Classe de
Endereos e, em seguida apresento um quadro resumo.

Redes Classe A

Esta classe foi definida com tendo o primeiro bit do nmero IP como sendo igual a
zero. Com isso o primeiro nmero IP somente poder variar de 1 at 126 (na
prtica at 127, mas o nmero 127 um nmero reservado, conforme detalharei
mais adiante). Observe, no esquema a seguir, explicado na Parte 2, que o primeiro
bit sendo 0, o valor mximo (quando todos os demais bits so iguais a 1) a que se
chega de 127:

0 1 1 1 1 1 1 1
Multiplica por: 2
7
2
6
2
5
2
4
2
3
2
2
2
1
2
0

equivale a: 128 64 32 16 8 4 2 1
Resulta em: 0 64 32 16 8 4 2 1
Somando tudo: 0+64+32+16+8+4+2+1
Resulta em: 127

O nmero 127 no utilizado como rede Classe A, pois um nmero especial,
reservado para fazer referncia ao prprio computador. O nmero 127.0.0.1 um
nmero especial, conhecido como localhost. Ou seja, sempre que um programa



fizer referncia a localhost ou ao nmero 127.0.0.1, estar fazendo referncia ao
computador onde o programa est sendo executado.
Por padro, para a Classe A, foi definida a seguinte mscara de sub-rede:
255.0.0.0. Com esta mscara de sub-rede observe que temos 8 bits para o
endereo da rede e 24 bits para o endereo da mquina dentro da rede. Com base
no nmero de bits para a rede e para as mquinas, podemos determinar quantas
redes Classe A podem existir e qual o nmero mximo de mquinas por rede. Para
isso utilizamos a frmula a seguir:

2
n
- 2

,onde n representa o nmero de bits utilizado para a rede ou para a identificao
da mquina dentro da rede. Vamos aos clculos:

Nmero de redes Classe A

Nmero de bits para a rede: 7. Como o primeiro bit sempre zero, este no varia.
Por isso sobram 7 bits (8-1) para formar diferentes redes:

2
7
-2 -> 128-2 -> 126 redes Classe A

Nmero de mquinas (hosts) em uma rede Classe A

Nmero de bits para identificar a mquina: 24

2
24
-2 -> 16777216 - 2 -> 16777214 mquinas em cada rede classe A.

Na Classe A temos apenas um pequeno nmero de redes disponveis, porm um
grande nmero de mquinas em cada rede.

J podemos concluir que este nmero de mquinas, na prtica, jamais ser
instalado em uma nica rede. Com isso observe que, com este esquema de
endereamento, teramos poucas redes Classe A (apenas 126) e com um nmero
muito grande de mquinas em cada rede. Isso causaria desperdcio de endereos
IP, pois se o endereo de uma rede Classe A fosse disponibilizado para um
empresa, esta utilizaria apenas uma pequena parcela dos endereos disponveis e
todos os demais endereos ficariam sem uso. Para resolver esta questo que
passou-se a utilizar a diviso em sub-redes, assunto este que ser visto na Parte 5
destes curso.

Redes Classe B

Esta classe foi definida com tendo os dois primeiros bits do nmero IP como sendo
sempre iguais a 1 e 0. Com isso o primeiro nmero do endereo IP somente poder
variar de 128 at 191. Como o segundo bit sempre 0, o valor do segundo bit que
64 nunca somado para o primeiro nmero IP, com isso o valor mximo fica em:
255-64, que o 191. Observe, no esquema a seguir, explicado na Parte 2 deste
curso, que o primeiro bit sendo 1 e o segundo sendo 0, o valor mximo (quando
todos os demais bits so iguais a 1) a que se chega de 191:




1 0 1 1 1 1 1 1
Multiplica por: 2
7
2
6
2
5
2
4
2
3
2
2
2
1
2
0

equivale a: 128 64 32 16 8 4 2 1
Resulta em: 128 0 32 16 8 4 2 1
Somando tudo: 128+0+32+16+8+4+2+1
Resulta em: 191

Por padro, para a Classe B, foi definida a seguinte mscara de sub-rede:
endereo da rede e 16 bits para o endereo da mquina dentro da rede. Com base
no nmero de bits para a rede e para as mquinas, podemos determinar quantas
redes Classe B podem existir e qual o nmero mximo de mquinas por rede. Para
isso utilizamos a frmula a seguir:

2
n
- 2


Nmero de redes Classe B

Nmero de bits para a rede: 14. Como o primeiro e o segundo bit so sempre 10,
fixos, no variam, sobram 14 bits (16-2) para formar diferentes redes:

2
14
-2 -> 16384-2 -> 16382 redes Classe B

Nmero de mquinas (hosts) em uma rede Classe B


2
16
-2 -> 65536-2 -> 65534 mquinas em cada rede classe B

Na Classe B temos um nmero razovel de redes Classe B, com um bom nmero
de mquinas em cada rede.

O nmero mximo de mquinas, por rede Classe B j est mais prximo da
realidade para as redes de algumas grandes empresas tais como Microsoft, IBM,
HP, GM, etc. Mesmo assim, para muitas empresas menores, a utilizao de um
endereo Classe B, representa um grande desperdcio de nmeros IP. Conforme
veremos na Parte 7 deste tutorial possvel usar um nmero diferentes de bits
para a mscara de sub-rede, ao invs dos 16 bits definidos por padro para a
Classe B (o que tambm possvel com Classe A e Classe C). Com isso posso
dividir uma rede classe B em vrias sub-redes menores, com um nmero menor de
mquinas em cada sub-rede. Mas isso assunto para a Parte 7 deste tutorial.

Redes Classe C

Esta classe foi definida com tendo os trs primeiros bits do nmero IP como sendo
sempre iguais a 1, 1 e 0. Com isso o primeiro nmero do endereo IP somente
poder variar de 192 at 223. Como o terceiro bit sempre 0, o valor do terceiro



bit que 32 nunca somado para o primeiro nmero IP, com isso o valor mximo
fica em: 255-32, que 223. Observe, no esquema a seguir, explicado na Parte 2
deste tutorial, que o primeiro bit sendo 1, o segundo bit sendo 1 e o terceiro bit
sendo 0, o valor mximo (quando todos os demais bits so iguais a 1) a que se
chega de 223:

1 1 0 1 1 1 1 1
Multiplica por: 2
7
2
6
2
5
2
4
2
3
2
2
2
1
2
0

equivale a: 128 64 32 16 8 4 2 1
Resulta em: 128 64 0 16 8 4 2 1
Somando tudo: 128+64+0+16+8+4+2+1
Resulta em: 223

Por padro, para a Classe C, foi definida a seguinte mscara de sub-rede:
endereo da rede e apenas 8 bits para o endereo da mquina dentro da rede. Com
base no nmero de bits para a rede e para as mquinas, podemos determinar
quantas redes Classe C podem existir e qual o nmero mximo de mquinas por
rede. Para isso utilizamos a frmula a seguir:

2
n
- 2


Nmero de redes Classe C

Nmero de bits para a rede: 21. Como o primeiro, o segundo e o terceiro bit so
sempre 110, ou seja:fixos, no variam, sobram 21 bits (24-3) para formar
diferentes redes:

2
21
-2 -> 2.097.152-2 -> 2.097.150 redes Classe C

Nmero de mquinas (hosts) em uma rede Classe C:


2
8
-2 -> 256-2 -> 254 mquinas em cada rede classe C

Observe que na Classe C temos um grande nmero de redes disponveis, com, no
mximo, 254 mquinas em cada rede. o ideal para empresas de pequeno porte.
Mesmo com a Classe C, existe um grande desperdcio de endereos. Imagine uma
pequena empresa com apenas 20 mquinas em rede. Usando um endereo Classe
C, estariam sendo desperdiados 234 endereos. Conforme j descrito
anteriormente, esta questo do desperdcio de endereos IP pode ser resolvida
atravs da utilizao de sub-redes.

Redes Classe D




Esta classe foi definida com tendo os quatro primeiros bits do nmero IP como
sendo sempre iguais a 1, 1, 1 e 0. A classe D uma classe especial, reservada
para os chamados endereos de Multicast. Falaremos sobre Multicast, Unicast e
Broadcast em uma das prximas partes deste tutorial.

Redes Classe E

Esta classe foi definida com tendo os quatro primeiros bits do nmero IP como
sendo sempre iguais a 1, 1, 1 e 1. A classe E uma classe especial e est
reservada para uso futuro.

Quadro resumo das Classes de Endereo IP

A seguir apresento uma tabela com as principais caractersticas de cada Classe de
Endereos IP:

Classe Primeiros bits Nmero de redes Nmero de hosts Mscara padro
A 0 126 16.777.214 255.0.0.0
B 10 16.382 65.534 255.255.0.0
C 110 2.097.150 254 255.255.255.0
D 1110 Utilizado para trfego Multicast
E 1111 Reservado para uso futuro

Endereos Especiais

Existem alguns endereos IP especiais, reservados para funes especficas e que
no podem ser utilizados como endereos de uma mquina da rede. A seguir
descrevo estes endereos.

Endereos da rede 127.0.0.0: So utilizados como um alis (apelido),
para fazer referncia a prpria mquina. Normalmente utilizado o
endereo 127.0.0.1, o qual associado ao nome localhost. Esta associao
feita atravs do arquivo hosts. No Windows 95/98/Me o arquivo hosts est
na pasta onde o Windows foi instalado e no Windows 2000/XP/Vista/2003, o
arquivo hosts est no seguinte caminho: system32/drivers/etc, sendo que
este caminho fica dentro da pasta onde o Windows foi instalado.

Endereo com todos os bits destinados identificao da
mquina, iguais a 0: Um endereo com zeros em todos os bits de
identificao da mquina, representa o endereo da rede. Por exemplo,
vamos supor que voc tenha uma rede Classe C. A mquina a seguir uma
mquina desta rede: 200.220.150.3. Neste caso o endereo da rede :
200.220.150.0, ou seja, zero na parte destinada a identificao da mquina.
Sendo uma rede classe C, a mscara de sub-rede 255.255.255.0.

Endereo com todos os bits destinados identificao da
mquina, iguais a 1: Um endereo com valor 1 em todos os bits de
identificao da mquina, representa o endereo de broadcast. Por exemplo,
vamos supor que voc tenha uma rede Classe C. A mquina a seguir uma
mquina desta rede: 200.220.150.3. Neste caso o endereo de broadcast
desta rede o seguinte: 200.220.150.255, ou seja, todos os bits da parte
destinada identificao da mquina, iguais a 1. Sendo uma rede classe C,
a mscara de sub-rede 255.255.255.0. Ao enviar uma mensagem para o



endereo do broadcast, a mensagem endereada para todos as mquinas
da rede.

Concluso

Nesta terceira parte do tutorial de TCP/IP, apresentei uma introduo ao conceito
de Endereamento IP e s classes de endereamento padro. Na Parte 4 falarei
sobre a maneira como feito o roteamento IP entre redes diferentes, atravs do
uso de roteadores.

No esquea de consultar os endereos a seguir para aprofundar os estudos de
TCP/IP:

http://www.aprendaemcasa.com.br/tcpip1.htm
http://www.aprendaemcasa.com.br/tcpip2.htm (estes endereos vo at o
tcpip48.htm, sendo um curso gratuito OnLine sobre TCP/IP no Windows 2000).
http://www.rota67.hpg.ig.com.br/tutorial/protocolos/amfhp_tcpip_basico001.htm

conhecimentos sero muito importantes para os exames de Certificao do
Windows 2000 Server e do Active Directory 70-216.





Introduo

Na Parte 1 apresentei o protocolo TCP/IP e qual o seu papel em uma rede de
computadores. Na Parte 2 apresentei os princpios bsicos do sistema de
numerao binrio. Tambm mostrei como realizar clculos simples e converses
de Binrio para Decimal e vice-versa. Feita a apresentao das operaes bsicas
com nmeros binrios, vimos como o protocolo TCP/IP, atravs de clculos binrios
e, com base na mscara de sub-rede (subnet mask), determina se dois
computadores esto na mesma rede ou fazem parte de redes diferentes. Na Parte 3
falei sobre o endereamento IP. Mostrei que, inicialmente, foram definidas classes
de endereos IP. Porm, devido a uma possvel falta de endereos, por causa do
grande crescimento da Internet, novas alternativas tiveram que ser buscadas.
Nesta parte vou iniciar a abordagem sobre Roteamento. Falarei sobre o papel dos
roteadores na ligao entre redes locais (LANs) para formar uma WAN. Mostrarei
alguns exemplos bsicos de roteamento. Na Parte 5 vou aprofundar um pouco mais
a discusso sobre Roteamento.

O papel do Roteador em uma rede de computadores

Nos vimos, na Parte 2, que a mscara de sub-rede utilizada para determinar qual
parte do endereo IP representa o nmero da Rede e qual parte representa o
nmero da mquina dentro da rede. A mscara de sub-rede tambm foi utilizada
na definio original das classes de endereo IP. Em cada classe existe um
determinado nmero de redes possveis e, em cada rede, um nmero mximo de
mquinas (veja Parte 3). Com base na mscara de sub-rede o protocolo TCP/IP
determina se o computador de origem e o de destino esto na mesma rede local.
Com base em clculos binrios, o TCP/IP pode chegar a dois resultados distintos:

O computador de origem e o computador de destino esto na mesma
rede local: Neste caso os dados so enviados para o barramento da rede
local. Todos os computadores da rede recebem os dados. Ao receber os
dados cada computador analisa o campo Nmero IP do destinatrio. Se o IP
do destinatrio for igual ao IP do computador, os dados so capturados e
processados pelo sistema, caso contrrio so simplesmente descartados.
Observe que com este procedimento, apenas o computador de destino que
efetivamente processa os dados para ele enviados, os demais computadores
simplesmente descartam os dados.

O computador de origem e de destino no esto na mesma rede
local: Neste caso os dados so enviados o equipamento com o nmero IP
configurado no parmetro Default Gateway (Gateway Padro). Ou seja, se
aps os clculos baseados na mscara de sub-rede, o TCP/IP chegar a
concluso que o computador de destino e o computador de origem no
fazem parte da mesma rede local, os dados so enviados para o Default
Gateway, o qual ser encarregado de encontrar um caminho para enviar os
dados at o computador de destino. Esse encontrar o caminho
tecnicamente conhecido como Rotear os dados at o destino (ou melhor,
rotear os dados at a rede do computador de destino). O responsvel por
Rotear os dados o equipamento que atua como Default Gateway o qual
conhecido como Roteador. Com isso fica fcil entender o papel do Roteador:




O Roteador o responsvel por encontrar um caminho entre
a rede onde est o computador que enviou os dados
(computador de origem) e a rede onde est o computador que
ir receber os dados (computador de destino).

Quando ocorre um problema com o Roteador, tornando-o indisponvel, voc
consegue se comunicar normalmente com os demais computadores da sua rede
local, porm no conseguir comunicao com outras redes de computadores,
como por exemplo a Internet.

Como Verificar o Default Gateway no Windows 2000/Windos
XP ou Windows Server 2003?

Voc pode verificar as configuraes do TCP/IP de um computador com o Windows
2000, Windows Server 2003 ou Windows XP de duas maneiras distintas: Acessando
as propriedades da interface de rede ou com o comando ipconfig. A seguir descrevo
estas duas maneiras:

Verificando as configuraes do TCP/IP usando a interface grfica:

1. Clique com o boto direito do mouse no cone Meus locais de rede, na rea
de trabalho.

2. No menu que exibido clique na opo Propriedades.

3. Ser exibida a janela Conexes dial-up e de rede. Nessa janela exibido um
cone para cada conexo disponvel. Por exemplo, se o seu computador estiver
conectado a uma rede local e tambm tiver uma conexo via Modem, ser exibido
um cone para cada conexo. Nesta janela tambm est disponvel o cone Fazer
nova conexo. Com esse cone voc pode criar novas conexes. Na figura a seguir
temos um exemplo onde est disponvel apenas uma conexo de rede local:

4. Clique com o boto direito do mouse no cone Conexo de rede local. No
menu de opes que exibido clique em Propriedades.

5. Ser exibida a janela de Propriedades da conexo de rede local, conforme
indicado na figura a seguir:



6. Clique na opo Protocolo Internet (TCP/IP) e depois clique no boto
Propriedades.

7. A janela de propriedades do TCP/IP ser exibida, conforme indicado na
prxima figura. Nesta janela so exibidas informaes sobre o nmero IP do
computador, a mscara de sub-rede, o Gateway padro e o nmero IP dos
servidores DNS primrio e secundrio. Se a opo obter um endereo IP
automaticamente estiver marcada, o computador tentar obter todas estas
configuraes a partir de um servidor DHCP, durante a inicializao do Windows.
Neste caso as informaes sobre as configuraes TCP/IP, inclusive o nmero IP do
Roteador (Gateway Padro), somente podero ser obtidas atravs do comando
ipconfig, conforme descrevo logo a seguir.

8. Clique em OK para fechar a janela de Propriedades do protocolo TCP/IP.

9. Voc estar de volta a janela de Propriedades da conexo de rede local.
Clique em OK para fech-la.

10. Voc estar de volta janela Conexes dial-up e de rede. Feche-a.




Verificando as configuraes do TCP/IP usando o comando
ipconfig

Para verificar as configuraes do TCP/IP, utilizando o comando ipconfig, siga os
seguintes passos:

1. Abra o Prompt de comando: Iniciar -> Programas -> Acessrios -> Prompt
de comando.

2. Digite o comando ipconfig/all

3. Sero listadas as configuraes do TCP/IP, conforme exemplo da listagem a
seguir, onde uma das informaes exibidas o nmero IP do Gateway Padro
(Default Gateway):

Configurao de IP do Windows 2000

Nome do host . . . . . . . . . . . : MICRO080
Sufixo DNS primrio. . . . . . . . : abc.com.br
Tipo de n . . . . . . . . . . . . : Hbrida
Roteamento de IP ativado . . . . . : No
Proxy WINS ativado . . . . . . . . : No
Lista de pesquisa de sufixo DNS. . : abc.com.br
vendas.abc.com.br
finan.abc.com.br




Ethernet adaptador Conexo de rede local:

Sufixo DNS especfico de conexo . : abc.com.br
Descrio. . . . . . . . . . . . . : 3COM - AX 25
Endereo fsico. . . . . . . . . . : 04-02-B3-92-82-CA
DHCP ativado . . . . . . . . . . . : Sim
Configurao automtica ativada. . : Sim
Endereo IP. . . . . . . . . . . . : 10.10.10.222
Mscara de sub-rede. . . . . . . . : 255.255.0.0
Gateway padro . . . . . . . . . . : 10.10.10.1
Servidor DHCP. . . . . . . . . . . : 10.10.10.2
Servidores DNS . . . . . . . . . . : 10.10.10.2
Servidor WINS primrio . . . . . . : 10.10.10.2

Explicando Roteamento um exemplo prtico

Vou iniciar a explicao sobre como o roteamento funciona, atravs da anlise de
um exemplos simples. Vamos imaginar a situao de uma empresa que tem a
matriz em SP e uma filial no RJ. O objetivo conectar a rede local da matriz em SP
com a rede local da filial no RJ, para permitir a troca de mensagens e documentos
entre os dois escritrios. Nesta situao o primeiro passo contratar um link de
comunicao entre os dois escritrios. Em cada escritrio deve ser instalado um
Roteador. E finalmente os roteadores devem ser configurados para que seja
possvel a troca de informaes entre as duas redes. Na figura a seguir temos a
ilustrao desta pequena rede de longa distncia (WAN). Em seguida vamos
explicar como funciona o roteamento entre as duas redes:

SP-01
10.10.10.5
Rede Local - So Paulo Rede Local - Rio de Janeiro
SP-02
10.10.10.6
RJ-01
10.10.20.11
RJ-02
10.10.20.12
Modem Modem
Linha de comunicao - 512 Kbps
Roteador- SP Roteador - RJ
10.10.10.1 10.10.20.1
10.10.30.1 10.10.30.2




Nesta pequena rede temos um exemplo simples de roteamento, mas muito a
explicar. Ento vamos ao trabalho.

Como est configurado o endereamento das redes locais e dos
roteadores?

Rede de SP: Esta rede utiliza um esquema de endereamento 10.10.10.0,
com mscara de sub-rede 255.255.255.0. Observe que embora,
teoricamente, seria uma rede Classe A, estamos utilizando uma mscara de
sub-rede classe C. Na prtica, uma rede Classe C, pois, na prtica,
consideramos a Mscara de Sub-rede como critrio para definir a classe de
rede e no as faixas tericas, apresentadas na Parte 3. Veja a parte 3 para
detalhes sobre Classes de Endereos IP.

Rede de RJ: Esta rede utiliza um esquema de endereamento 10.10.20.0,
com mscara de sub-rede 255.255.255.0. Observe que embora,
teoricamente, seria uma rede Classe A, estamos utilizando uma mscara de
sub-rede classe C. Veja a Parte 3 para detalhes sobre Classes de Endereos
IP.

Roteadores: Cada roteador possui duas interfaces. Uma a chamada
interface de LAN (rede local), a qual conecta o roteador com a rede local. A
outra a interface de WAN (rede de longa distncia), a qual conecta o
roteador com o link de dados. Na interface de rede local, o roteador deve ter
um endereo IP da rede interna. No roteador de SP, o endereo
10.10.10.1. No obrigatrio, mas um padro normalmente adotado,
utilizar o primeiro endereo da rede para o Roteador. No roteador do RJ, o
endereo 10.10.20.1

Rede dos roteadores: Para que as interfaces externas dos roteadores
possam se comunicar, eles devem fazer parte de uma mesma rede, isto ,
devem compartilhar um esquema de endereamento comum. As interfaces
externas dos roteadores (interfaces WAN), fazem parte da rede 10.10.30.0,
com mscara de sub-rede 255.255.255.0.

Na verdade - 3 redes: Com isso temos, na prtica trs redes, conforme
resumido a seguir:

o SP: 10.10.10.0/255.255.255.0
o RJ: 10.10.20.0/255.255.255.0
o Interfaces WAN dos Roteadores: 10.10.30.0/255.255.255.0

Na prtica como se a rede 10.10.30.0 fosse uma ponte entre as duas
outras redes.

Como feita a interligao entre as duas redes

Vou utilizar um exemplo prtico, para mostrar como feito o roteamento entre as
duas redes.

Exemplo: Vamos analisar como feito o roteamento, quando um computador da
rede em SP, precisa acessar informaes de um computador da rede no RJ. O
computador SP-01 (10.10.10.5), precisa acessar um arquivo que est em uma
pasta compartilhada do computador RJ-02 (10.10.20.12). Como feito o



roteamento, de tal maneira que estes dois computadores possam trocar
informaes? Acompanhe os passos descritos a seguir:

1. O computador SP-01 o computador de origem e o computador RJ-02 o
computador de destino. A primeira ao do TCP/IP fazer os clculos para verificar
se os dois computadores esto na mesma rede (veja como so feitos estes clculos
na Parte 2). Os seguintes dados so utilizados para realizao destes clculos:

SP-01: 10.10.10.5/255.255.255.0
RJ-02: 10.10.20.12/255.255.255.0

2. Feitos os clculos, o TCP/IP chega a concluso de que os dois computadores
pertencem a redes diferentes: SP-01 pertence a rede 10.10.10.0 e RJ-02 pertence
a rede 10.10.20.0.

3. Como os computadores pertencem a redes diferentes, os dados devem ser
enviados para o Roteador.

4. No roteador de SP chega o pacote de informaes com o IP de destino:
10.10.20.12. O roteador precisa consultar a sua tabela de roteamento (assunto da
Parte 5) e verificar se ele conhece um caminho para a rede 10.10.20.0.

5. O roteador de SP tem, em sua tabela de roteamento, a informao de que
pacotes para a rede 10.10.20.0 devem ser encaminhados pela interface
10.10.30.1. isso que ele faz, ou seja, encaminha os pacotes atravs da interface
de WAN: 10.10.30.1.

6. Os pacotes de dados chegam na interface 10.10.30.1 e so enviados,
atravs do link de comunicao, para a interface 10.10.30.2, do roteador do RJ.

7. No roteador do RJ chega o pacote de informaes com o IP de destino:
10.10.20.12. O roteador precisa consultar a sua tabela de roteamento (assunto da
Parte 5) e verificar se ele conhece um caminho para a rede 10.10.20.0.

8. O roteador do RJ tem, em sua tabela de roteamento, a informao de que
pacotes para a rede 10.10.20.0 devem ser encaminhados pela interface de LAN
10.10.20.1, que a interface que conecta o roteador a rede local 10.10.20.1. O
pacote enviado, atravs da interface 10.10.20.1, para o barramento da rede
local. Todos os computadores recebem os pacotes de dados e os descartam, com
exceo do computador 10.10.20.12 que o computador de destino.

9. Para que a resposta possa ir do computador RJ-02 de volta para o
computador SP-01, um caminho precisa ser encontrado, para que os pacotes de
dados possam ser roteados do RJ para SP. Para tal todo o processo executado
novamente, at que a resposta chegue ao computador SP-01.

10. A chave toda para o processo de roteamento o software presente nos
roteadores, o qual atua com base em tabelas de roteamento, as quais sero
descritas na Parte 5.




Concluso

Nesta quarta parte do tutorial de TCP/IP, apresentei uma introduo sobre como
funciona o Roteamento IP entre redes locais conectadas remotamente, atravs de
links de WAN. Na Parte 5 vou aprofundar um pouco mais essa discusso, onde
falarei sobre as tabelas de roteamento. No esquea de consultar os endereos a
seguir para aprofundar os estudos de TCP/IP:

http://www.aprendaemcasa.com.br/tcpip1.htm
http://www.aprendaemcasa.com.br/tcpip2.htm (estes endereos vo at o
tcpip48.htm, sendo um curso gratuito OnLine sobre TCP/IP no Windows 2000).
http://www.rota67.hpg.ig.com.br/tutorial/protocolos/amfhp_tcpip_basico001.ht
m

conhecimentos sero muito importantes para os exames de Certificao da
Microsoft.




TCP/IP - Parte 5 - Exemplos de Roteamento

Introduo

Esta a quinta parte do Tutorial de TCP/IP. Na Parte 1 tratei dos aspectos bsicos
do protocolo TCP/IP. Na Parte 2 falei sobre clculos binrios, um importante tpico
para entender sobre redes, mscara de sub-rede e roteamento. Na Parte 3 falei
sobre Classes de endereos e na Parte 4 fiz uma introduo ao roteamento. Agora
falarei mais um pouco sobre roteamento.

Mais um exemplo de roteamento

Neste item vou analisar mais alguns exemplos de roteamento e falar sobre tabela
de roteamento.

Exemplo 01: Considere a rede indicada no diagrama da Figura a seguir:

Primeiro alguns comentrios sobre a WAN apresentada na Figura:

1. A WAN formada pela conexo de quatro redes locais, com as seguintes
caractersticas:

Rede Nmero da rede Mscara de sub-rede
01 10.10.10.0 255.255.255.0
02 10.10.20.0 255.255.255.0
03 10.10.30.0 255.255.255.0
04 10.10.40.0 255.255.255.0

2. Existe uma quinta rede que a rede formada pelas interfaces de WAN dos
roteadores. Este rede apresenta as seguintes caractersticas:




Rede Nmero da rede Mscara de sub-rede
Roteadores 10.10.5.0 255.255.255.0

3. Existem trs roteadores fazendo a conexo das quatro redes existentes. Com as
configuraes apresentadas, qualquer rede capaz de se comunicar com qualquer
outra rede da WAN.

4. Existem pontos nicos de falha. Por exemplo, se o Roteador 03 apresentar
problemas, a Rede 03 ficar completamente isolada das demais redes. Se o
Roteador 02 apresentar problemas, as Redes 02 e 04 ficaro isoladas das demais
redes e tambm isoladas entre si.

5. As redes 02 e 04 esto diretamente conectadas ao Roteador 02. Cada rede em
uma interface do roteador. Este pode ser um exemplo de um prdio com duas
redes locais, as quais so conectadas atravs do roteador. Neste caso, o papel do
Roteador 02 conectar as redes 02 e 04 entre si e estas redes com o restante da
WAN.

6. A interface de conexo do roteador com a rede local utiliza sempre o primeiro
nmero IP da faixa disponvel (10.10.10.1, 10.10.20.1 e assim por diante). No
obrigatrio reservar o primeiro IP para a interface de LAN do roteador (nmero este
que ser configurado como Default Gateway nas estaes de trabalho da respectiva
rede, conforme descrito anteriormente). Embora no seja obrigatrio uma
conveno comumente utilizada.

Agora que apresentei alguns comentrios sobre a rede da figura anterior, vamos
analisar como ser feito o roteamento entre as diferentes redes.

Primeira anlise: Analisar como feito o roteamento, quando um computador da
Rede 01, precisa acessar informaes de um computador da Rede 03. Por exemplo,
o computador 10.10.10.25 da Rede 01, precisa acessar um arquivo que est em
uma pasta compartilhada do computador 10.10.30.144 da Rede 03. Neste caso a
rede de origem a rede 10.10.10.0 e a rede de destino 10.10.30.0. Como feito
o roteamento, de tal maneira que estes dois computadores possam trocar
informaes?

Acompanhe os passos descritos a seguir:

1. O computador 10.10.10.25 o computador de origem e o computador
10.10.30.144 o computador de destino. A primeira ao do TCP/IP fazer os
clculos para verificar se os dois computadores esto na mesma rede, conforme
explicado no Captulo 2. Os seguintes dados so utilizados para realizao destes
clculos:
Computador na Rede 01: 10.10.10.25/255.255.255.0
2. Feitos os clculos, o protocolo TCP/IP "chega a concluso" de que os dois
computadores pertencem a redes diferentes: O computador 10.10.10.25 pertence a
rede 10.10.10.0 e o computador 10.10.30.144 pertence a rede 10.10.30.0.



Nota: Para detalhes sobre estes clculos consulte a Parte 2 deste tutorial.
enviados para o Roteador da rede 10.10.10.0, que a rede do computador de
origem.

4. O pacote enviado para o roteador da rede 10.10.10.0, que est conectado
atravs da interface 10.10.10.1. Neste roteador, pela interface 10.10.10.1, chega o
pacote de informaes com o IP de destino: 10.10.30.144. O roteador precisa
consultar a sua tabela de roteamento e verificar se ele conhece um caminho para a
rede 10.10.30.0, ou seja, se ele sabe para quem enviar um pacote de informaes,
destinado a rede 10.10.30.0.

5. O Roteador 01 tem, em sua tabela de roteamento, a informao de que pacotes
para a rede 10.10.30.0 devem ser encaminhados pela interface de WAN 10.10.5.1.
isso que ele faz, ou seja, encaminha os pacotes atravs da interface de WAN:
10.10.5.1.

6. Os pacotes de dados chegam na interface de WAN 10.10.5.1 e so enviados,
atravs do link de comunicao, para a interface de WAN 10.10.5.2, do roteador da
Rede 03.

7. No Roteador 03 chega o pacote de informaes com o IP de destino:
10.10.30.144. O roteador precisa consultar a sua tabela de roteamento e verificar
se ele conhece um caminho para a rede 10.10.30.0.

8. O Roteador 03 tem, em sua tabela de roteamento, a informao de que pacotes
para a rede 10.10.30.0 devem ser encaminhados pela interface de LAN 10.10.30.1,
que a interface que conecta o Roteador 03 rede local 10.10.30.0. O pacote
enviado, atravs da interface 10.10.30.1, para o barramento da rede local. Todos
os computadores recebem os pacotes de dados e os descartam, com exceo do
computador 10.10.30.144 que o computador de destino.

9. Para que a resposta possa retornar do computador 10.10.30.144 para o
computador 10.10.10.25, um caminho precisa ser encontrado, para que os pacotes
de dados possam ser roteados da Rede 03 para a Rede 01 (o caminho de volta no
nosso exemplo). Para tal todo o processo executado novamente, at que a
resposta chegue ao computador 10.10.10.25.

10. A chave toda para o processo de roteamento o software presente nos
roteadores, o qual atua com base em tabelas de roteamento.

Segunda anlise: Analisar como feito o roteamento, quando um computador da
Rede 03, precisa acessar informaes de um computador da Rede 02. Por exemplo,
o computador 10.10.30.25 da Rede 03, precisa acessar uma impressora que est
compartilhada do computador 10.10.20.144 da Rede 02. Neste caso a rede de
origem a rede 10.10.30.0 e a rede de destino 10.10.20.0. Como feito o
roteamento, de tal maneira que estes dois computadores possam trocar
informaes?

Acompanhe os passos descritos a seguir:

1. O computador 10.10.30.25 o computador de origem e o computador
10.10.20.144 o computador de destino. A primeira ao do TCP/IP fazer os
clculos para verificar se os dois computadores esto na mesma rede, conforme



explicado no Captulo 2. Os seguintes dados so utilizados para realizao destes
clculos:
2. Feitos os clculos, o protocolo TCP/IP "chega a concluso" de que os dois
computadores pertencem a redes diferentes: O computador 10.10.30.25 pertence a
rede 10.10.30.0 e o computador 10.10.20.144 pertence a rede 10.10.20.0.

Nota: Para detalhes sobre estes clculos consulte a Parte 2 deste tutorial.

enviados para o Roteador da rede 10.10.30.0, que a rede do computador de
origem.

4. O pacote enviado para o roteador da rede 10.10.30.0, que est conectado
atravs da interface de LAN 10.10.30.1. Neste roteador, pela interface 10.10.30.1,
chega o pacote de informaes com o IP de destino: 10.10.20.144. O roteador
precisa consultar a sua tabela de roteamento e verificar se ele conhece um caminho
direto para a rede 10.10.20.0, ou seja, se ele sabe para quem enviar um pacote de
informaes, destinado a rede 10.10.20.0.

5. No existe um caminho direto para a rede 10.10.20.0. Tudo o que o roteador
pode fazer saber para quem enviar o pacote, quando o destino for a rede
10.10.20.0. Neste caso ele enviar o pacote para outro roteador e no diretamente
para a rede 10.10.20.0. O Roteador 03 tem, em sua tabela de roteamento, a
informao de que pacotes destinados rede 10.10.20.0 devem ser encaminhados
pela interface de WAN 10.10.5.2. isso que ele faz, ou seja, encaminha os pacotes
atravs da interface de WAN: 10.10.5.2.

6. Os pacotes de dados chegam na interface de WAN 10.10.5.2 e so enviados,
atravs do link de comunicao, para a interface de WAN 10.10.5.1, do Roteador
01.

7. No Roteador 01 chega o pacote de informaes com o IP de destino:
10.10.20.144. O roteador precisa consultar a sua tabela de roteamento e verificar
se ele conhece um caminho para a rede 10.10.20.0.

8. Na tabela de roteamento do Roteador 01, consta a informao que pacotes para
a rede 10.10.20.0, devem ser enviados para a interface de WAN 10.10.5.3, do
Roteador 02. isso que ele faz, ou seja, roteia (encaminha) o pacote para a
interface de WAN 10.10.5.3.

9. O pacote chega interface de WAN do Roteador 02. O Roteador 02 tem, em sua
tabela de roteamento, a informao de que pacotes para a rede 10.10.20.0 devem
ser encaminhados pela interface de LAN 10.10.20.1, que a interface que conecta
o Roteador 02 rede local 10.10.20.0. O pacote enviado, atravs da interface
10.10.20.1, para o barramento da rede local. Todos os computadores recebem os
pacotes de dados e os descartam, com exceo do computador 10.10.20.144 que
o computador de destino.

10. Para que a resposta possa retornar do computador 10.10.20.144 para o
computador 10.10.30.25, um caminho precisa ser encontrado, para que os pacotes
de dados possam ser roteados da Rede 02 para a Rede 03 (o caminho de volta no



nosso exemplo). Para tal todo o processo executado novamente, at que a
resposta chegue ao computador 10.10.30.25.

Algumas consideraes sobre roteamento:

A chave toda para o processo de roteamento o software presente nos roteadores,
o qual atua com base em tabelas de roteamento (assunto da Parte 6). Ou o
roteador sabe entregar o pacote diretamente para a rede de destino ou sabe para
qual roteador enviar. Esse processo continua, at que seja possvel alcanar a rede
de destino. Claro que em redes mais complexas pode haver mais de um caminho
entre origem e destino. Por exemplo, na Internet, pode haver dois ou mais
caminhos possveis entre o computador de origem e o computador de destino.
Quando um arquivo transmitido entre os computadores de origem e destino, pode
acontecer de alguns pacotes de informao serem enviados por um caminho e
outros pacotes por caminhos diferentes. Os pacotes podem, inclusive, chegar fora
de ordem no destino. O protocolo TCP/IP o responsvel por identificar cada
pacote e coloc-los na seqncia correta.

Existem tambm um nmero mximo de roteadores pelos quais um pacote pode
passar, antes de ser descartado. Normalmente este nmero de 16 roteadores. No
exemplo da segunda anlise, cada pacote passa por dois roteadores, at sair de um
computador na Rede 03 e chegar ao computador de destino, na Rede 02. Este
passar por dois roteadores tecnicamente conhecido como "ter um caminho de 2
hopes". Um hope significa que passou por um roteador. Diz-se, com isso, que o
caminho mximo de um pacote de 16 hopes. Isso feito para evitar que pacotes
fiquem circulando indefinidamente na rede e congestionem os links de WAN,
podendo at chegar a paralisar a rede.

Uma situao que poderia acontecer, por erro nas tabelas de roteamento, um
roteador x mandar um pacote para o y, o roteador y mandar de volta para o x, o
roteador x de volta para y e assim indefinidamente. Esta situao ocorreria por
erros nas tabelas de roteamento. Para evitar que estes pacotes ficassem circulando
indefinidamente na rede, que foi definido o limite de 16 hopes.

Outro conceito que pode ser encontrado, em relao a roteamento, o de entrega
direta ou entrega indireta. Vamos ainda utilizar o exemplo da rede da Figura 16.2.
Quando dois computadores da mesma rede (por exemplo a rede 10.10.10.0)
trocam informaes entre si, as informaes so enviadas para o barramento da
rede local e o computador de destino captura e processa os dados. Dizemos que
este um caso de entrega direta. Quando computadores de redes diferentes
tentam se comunicar (por exemplo, um computador da rede 10.10.10.0 e um da
rede 10.10.20.0), os pacotes de informao so enviados atravs dos roteadores
da rede, at chegar ao destino. Depois a resposta percorre o caminho inverso. Este
processo conhecido como entrega indireta.




Concluso

Na prxima parte voc ir aprender mais alguns detalhes sobre tabelas de roteamento e
analisar uma pequena tabela de roteamento que existe em cada computadores com o NT
4.0, Windows 2000, Windows XP ou Windows Server 2003 e com o protocolo TCP/IP
instalado. Confira as dicas de livros de TCP/IP, no link a seguir:

DICAS DE LIVROS DE TCP/IP (http://www.juliobattisti.com.br/livrosdetcpip.asp)

Entre em contato atravs do email batisti@hotmail.com ou diretamente atravs do
site www.juliobattisti.com.br, para enviar os seus comentrios, crticas e sugestes.




TCP/IP - Parte 6 Tabelas de Roteamento

Introduo

Esta a sexta parte do Tutorial de TCP/IP. Na Parte 1 tratei dos aspectos bsicos
sobre Classes de endereos IP, na Parte 4 fiz uma introduo ao roteamento e na
Parte 5 apresentei mais alguns exemplos e anlises de como funciona o
roteamento. Agora falarei mais um pouco sobre roteamento.

Tabelas de roteamento

Falei na Parte 5 que toda a funcionalidade do Roteador baseada em tabelas de
roteamento. Quando um pacote chega em uma das interfaces do roteador, ele
analisa a sua tabela de roteamento, para verificar se na tabela de roteamento,
existe uma rota para a rede de destino. Pode ser uma rota direta ou ento para
qual roteador o pacote deve ser enviado. Este processo continua at que o pacote
seja entregue na rede de destino, ou at que o limite de 16 hopes (para simplificar
imagine um hope como sendo um roteador da rede) tenha sido atingido.

Na Figura a seguir apresento um exemplo de uma "mini-tabela" de roteamento:

Cada linha uma entrada da tabela. Por exemplo, a linha a seguir que define o
Default Gateway da ser utilizado:
0.0.0.0 0.0.0.0 200.175.106.54 200.175.106.54 1




Neste tpico voc aprender sobre os campos que compem uma entrada da tabela
de roteamento e o significado de cada campo. Tambm aprender a interpretar a
tabela de roteamento que existe em um computador com o Windows 2000,
Windows XP ou Windows Server 2003.

Campos de uma tabela de roteamento

Uma entrada da tabela de roteamento possui os campos indicados no esquema a
seguir e explicados logo em seguida:

Network ID: Este o endereo de destino. Pode ser o endereo de uma
rede (por exemplo: 10.10.10.0), o endereo de um equipamento da rede, o
endereo de uma sub-rede (veja detalhes sobre sub-redes na Parte 7) ou o
endereo da rota padro (0.0.0.0). A rota padro significa: "a rota que ser
utilizada, caso no tenha sido encontrada uma rota especfica para o
destino". Por exemplo, se for definida que a rota padro deve ser envida
pela interface com IP 10.10.5.2 de um determinado roteador, sempre que
chegar um pacote, para o qual no existe uma rota especfica para o destino
do pacote, este ser enviado pela rota padro, que no exemplo seria a
interface 10.10.5.2. Falando de um jeito mais simples: Se no souber para
onde mandar, manda para a rota padro.

Network Mask: A mscara de sub-rede utilizada para a rede de destino.

Next Hop: Endereo IP da interface para a qual o pacote deve ser enviado.
Considere o exemplo a seguir, como sendo uma entrada de um roteador,
com uma interface de WAN configurada com o IP nmero 10.200.200.4:

Esta entrada indica que pacotes enviados para a rede definida pelos
parmetros 10.100.100.0/255.255.255.0, deve ser enviada para o gateway
10.200.200.1 e para chegar a este gateway, os pacotes de informao
devem ser enviados pela interface 10.200.200.120. Neste exemplo, esta
entrada est contida na tabela interna de roteamento de um computador
com o Windows Server 2003, cujo nmero IP 10.200.200.120 e o default
gateway configurado 10.200.200.1. Neste caso, quando este computador
quiser se comunicar com um computador da rede 10.100.100.0, ser usada
a entrada de roteamento descrita neste item. Nesta entrada est
especificado que pacotes para a rede 10.100.100.0, com mscara
255.255.255.0, devem ser enviados para o default gateway 10.200.200.1 e
que este envio deve ser feito atravs da interface de rede 10.200.200.120,
que no nosso exemplo a placa de rede do computador. Uma vez que o
pacote chegou no default gateway (na interface de LAN do roteador), o
processo de roteamento, at a rede de destino (rede 10.100.100.0) o
processo descrito nas anlises anteriores.




Interface: a interface atravs da qual o pacote deve ser enviado. Por
exemplo, se voc estiver analisando a tabela de roteamento interna, de um
computador com o Windows Server 2003, o nmero IP do campo interface,
ser sempre o nmero IP da placa de rede, a no ser que voc tenha mais
de uma placa de rede instalada.

Metric: A mtrica um indicativo da distncia da rota, entre destino e
origem, em termos de hopes. Conforme descrito anteriormente, pode haver
mais de um roteador entre origem e destino. Tambm pode haver mais de
um caminho entre origem e destino. Se for encontrada duas rotas para um
mesmo destino, o roteamento ser feito pela rota de menor valor no campo
Metric. Um valor menor indica, normalmente, um nmero menor de hopes
(roteadores) entre origem e destino.

Analise da tabela de Roteamento

Agora que voc j conhece os conceitos de tabelas de roteamento e tambm
conhece os campos que formam uma entrada em uma tabela de roteamento,
hora de analisar as entradas de uma tabela de roteamento em um computador com
o Windows Server 2003 instalado. No Windows Server 2003, o protocolo TCP/IP
instalado automaticamente e no pode ser desinstalado (esta uma das novidades
do Windows Server 2003). Ao instalar e configurar o protocolo TCP/IP, o Windows
Server 2003 cria, na memria do servidor, uma tabela de roteamento. Esta tabela
criada, dinamicamente, toda vez que o servidor inicializado. Ao desligar o servidor
o contedo desta tabela ser descartado, para ser novamente recriado durante a
prxima inicializao. A tabela de roteamento criada com base nas configuraes
do protocolo TCP/IP. Existem tambm a possibilidade de adicionar entradas
estticas. Uma entrada esttica fica gravada no HD do computador e ser
adicionada tabela de roteamento durante a inicializao do sistema. Ou seja,
alm das entradas criadas automaticamente, com base nas configuraes do
TCP/IP, tambm podem ser acrescentadas rotas estticas, criadas com o comando
route, o qual descreverei mais adiante.

Para exibir a tabela de roteamento de um computador com o Windows Server 2003
(ou com o Windows 2000, ou Windows XP), abra um Prompt de comando (Iniciar -
> Programas -> Acessrios -> Prompt de comando), digite o comando indicado a
seguir e pressione Enter:
route print
Ser exibida uma tabela de roteamento, semelhante a indicada na Figura a seguir,
onde exibida a tabela de roteamento para um servidor com o nmero IP:
10.204.200.50:




Vamos analisar cada uma destas entradas e explicar a funo de cada entrada,
para que voc possa entender melhor os conceitos de roteamento.

Rota padro

Esta rota indicada por uma identificao de rede 0.0.0.0 com uma mscara de
sub-rede 0.0.0.0. Quando o TCP/IP tenta encontrar uma rota para um determinado
destino, ele percorre todas as entradas da tabela de roteamento em busca de uma
rota especfica para a rede de destino. Caso no seja encontrada uma rota para a
rede de destino, ser utilizada a rota padro. Em outras palavras, se no houver
uma rota especfica, mande atravs da rota padro. Observe que a rota padro
justamente o default gateway da rede (10.204.200.1), ou seja, a interface de LAN
do roteador da rede. O parmetro Interface (10.204.200.50) o nmero IP da
placa de rede do prprio servidor. Em outras palavras: Se no houver uma rota
especfica manda para a rota padro, onde o prximo hope da rede o
10.204.200.1 e o envio para este hope feito atravs da interface 10.204.200.50
(ou seja, a prprio placa de rede do servidor).

Endereo da rede local

Esta rota conhecida como Rota da Rede Local. Ele basicamente diz o seguinte:
"Quando o endereo IP de destino for um endereo da minha rede local, envie as
informaes atravs da minha placa de rede (observe que tanto o parmetro
Gateway como o parmetro Interface esto configurados com o nmero IP do



prprio servidor). Ou seja, se for para uma das mquinas da minha rede local,
manda atravs da placa de rede, no precisa enviar para o roteador.

Local host (endereo local)

Este endereo faz referncia ao prprio computador. Observe que 10.204.200.50
o nmero IP do servidor que est sendo analisado (no qual executei o comando
route print). Esta rota diz que os programas do prprio computador, que enviarem
pacotes para o destino 10.204.200.50 (ou seja, enviarem pacotes para si mesmo,
como no exemplo de dois servios trocando informaes entre si), devem usar
como Gateway o endereo de loopback 127.0.0.1, atravs da interface de loopback
127.0.0.1. Esta rota utilizada para agilizar as comunicaes que ocorrem entre os
componentes do prprio Windows Server 2003, dentro do mesmo servidor. Ao usar
a interface de loopback, toda a comunicao ocorre a nvel de software, ou seja,
no necessrio enviar o pacote atravs das diversas camadas do protocolo
TCP/IP, at que o pacote chegue na camada de enlace (ou seja, a placa de rede),
para depois voltar. Ao invs disso utilizada a interface de loopback para direcionar
os pacotes corretamente. Observe que esta entrada tem como mscara de sub-
rede o nmero 255.255.255.255. Esta mscara indica que a entrada uma rota
para um endereo IP especfico (no caso o prprio IP do servidor) e no uma rota
para um endereo de rede.

Network broadcast (Broadcast de rede)

Esta rota define o endereo de broadcast da rede. Broadcast significa enviar para
todos os computadores da rede. Quando utilizado o endereo de broadcast, todos
os computadores da rede recebem o pacote e processam o pacote. O broadcast
utilizado por uma srie de servios, como por exemplo o WINS, para fazer
verificaes peridicas de nomes, para enviar uma mensagem para todos os
computadores da rede, para obter informaes de todos os computadores e assim
por diante. Observe que o gateway o nmero IP da placa de rede do servidor e a
Interface este mesmo nmero, ou seja, para enviar um broadcast para a rede,
envie atravs da placa de rede do servidor, no h necessidade de utilizar o
roteador. Um detalhe interessante que, por padro, a maioria dos roteadores
bloqueia o trfego de broadcast, para evitar congestionamentos nos links de WAN.

Rede/endereo de loopback

Comentei anteriormente que os endereos da rede 127.0.0.0 so endereos
especiais, reservados para fazer referncia a si mesmo. Ou seja, quando fao uma
referncia a 127.0.0.1 estou me referindo ao servidor no qual estou trabalhando.
Esta roda indica, em palavras simples, que para se comunicar com a rede de
loopback (127.0.0.0/255.0.0.0), utilize "eu mesmo" (127.0.0.1).




Multicast address (endereo de Multicast):

O trfego IP, de uma maneira simples, pode ser de trs tipos: Unicast o trfego
direcionado para um nmero IP definido, ou seja, para um destinatrio, definido
por um nmero IP. Broadcast o trfego dirigido para todos os computadores de
uma ou mais redes. E trfego Multicast um trfego direcionado para um grupo de
computadores, os quais esto configurados e "inscritos" para receber o trfego
multicast. Um exemplo prtico de utilizao do multicast para uma transmisso
de vdeo atravs da rede. Vamos supor que de uma rede de 1000 computadores,
apenas 30 devam receber um determinado arquivo de vdeo com um treinamento
especfico. Se for usado trfego unicast, sero transmitidas 30 cpias do arquivo de
vdeo (o qual j um arquivo grande), uma cpia para cada destinatrio. Com o
uso do Multicast, uma nica cpia transmitida atravs do link de WAN e o trfego
multicast (com base no protocolo IGMP), entrega uma cpia do arquivo apenas
para os 30 computadores devidamente configurados para receber o trfego
multicast. Esta rota define que o trfego multicast deve ser enviado atravs da
interface de rede, que o nmero IP da placa de rede do servidor. Lembrando da
Parte 3, quando falei sobre classes de endereos, a classe D reservada para
trfego multicast, com IPs iniciando (o primeiro nmero) a partir de 224.

Limited Broadcast (Broadcast Limitado)

Esta a rota utilizada para o envio de broadcast limitado. O endereo de broadcast
limitado formato por todos os 32 bits do endereo IP sendo iguais a 1
(255.255.255.255). Este endereo utilizado quando o computador tem que fazer
o envio de um broadcast na rede local (envio do tipo um para todos na rede),
porm o computador no conhece a nmero da rede local (network ID). Voc pode
perguntar: Mas em que situao o computador no conhecer a identificao da
rede local? Por exemplo, quando voc inicializa um computador, configurado para
obter as configuraes do TCP/IP a partir de um servidor DHCP, a primeira coisa
que este computador precisa fazer localizar um servidor DHCP na rede e
requisitar as configuraes do TCP/IP. Ou seja, antes de receber as configuraes
do DHCP, o computador ainda no tem endereo IP e nem mscara de sub-rede,
mas tem que se comunicar com um servidor DHCP. Esta comunicao feita via
broadcast limitado, onde o computador envia um pacote de formato especfico
(chamado de DHCP Discovery), para tentar descobrir um servidor DHCP na rede.
Este pacote enviado para todos os computadores. Aquele que for um servidor
DHCP ir responder a requisio do cliente. A o processo de configurao do DHCP
continua, at que o computador esteja com as configuraes do TCP/IP definidas,
configuraes estas obtidas a partir do servidor DHCP.

Concluso

Na prxima parte deste tutorial, voc ir aprender sobre a diviso de uma rede em
sub-redes, assunto conhecido como subnetting.

DICAS DE LIVROS DE TCP/IP (http://www.juliobattisti.com.br/livrosdetcpip.asp)

Entre em contato atravs do email batisti@hotmail.com ou diretamente atravs do site
www.juliobattisti.com.br, para enviar os seus comentrios, crticas e sugestes.



TCP/IP - Parte 7 Subnetting diviso em sub-redes

Esta a stima parte do Tutorial de TCP/IP. Na Parte 1 tratei dos aspectos bsicos
sobre Classes de endereos, na Parte 4 fiz uma introduo ao roteamento e na
Parte 5 apresentei mais alguns exemplos e anlises de como funciona o roteamento
e na Parte 6 falei sobre a Tabela de Roteamento. Nesta stima parte eu abordarei
um dos tpicos que mais geram dvidas em relao ao TCP/IP: Subnetting, ou
seja, como fazer a diviso de uma rede em sub-redes.

Introduo

At agora, nas demais partes deste tutorial, sempre utilizei as mscaras de sub-
rede padro para cada classe de endereos, onde so utilizados oito, dezesseis ou
vinte e quatro bits para a mscara de rede, conforme descrito a seguir:

Nmero de bits Mscara de sub-rede
08 255.0..0.0
16 255.255.0.0
24 255.255.255.0

Por isso que existe uma outra notao, onde a mscara de sub-rede indicada
simplesmente pelo nmero de bits utilizados na mscara de sub-rede, conforme
exemplos a seguir:

Definio da rede Mscara de sub-rede
10.10.10.0/16 255.255.0.0
10.10.10.0/24 255.255.255.0
10.200.100.0/8 255.0.0.0

Porm com este esquema de endereamento, baseado apenas nas mscaras de
sub-rede padro para cada classe (oito, dezesseis ou vinte e quatro bits), haveria
um grande desperdcio de nmeros IP. Por exemplo, que empresa no mundo
precisaria da faixa completa de uma rede classe A, na qual esto disponveis mais
de 16 milhes de endereos IP?

Vamos, agora, analisar o outro extremo desta questo. Imagine, por exemplo, uma
empresa de porte mdio, que tem a matriz em So Paulo e mais cinco filiais em
outras cidades do Brasil. Agora imagine que em nenhuma das localidades, a rede
tem mais do que 30 computadores. Se for usado as mscaras de sub-rede padro,
teria que ser definida uma rede Classe C (at 254 computadores, conforme descrito
na Parte 4 dest tutorial), para cada localidade. Observe que estamos reservando
254 nmeros IP para cada localidade (uma rede classe C com mscara
255.255.255.0), quando na verdade, no mximo, 30 nmeros sero utilizados em
cada localidade. Na prtica, um belo desperdcio de endereos IP, mesmo em um
empresa de porte mdio ou pequeno.

Observe que neste exemplo, uma nica rede Classe C seria suficiente. J que so
seis localidades (a matriz mais seis filiais), com um mximo de 30 endereos por
localidade, um total de 254 endereos de uma rede Classe C seria mais do que
suficiente. Ainda haveria desperdcio, mas agora bem menor.




A boa notcia que possvel dividir uma rede (qualquer rede) em sub-redes,
onde cada sub-rede fica apenas com uma faixa de nmeros IP de toda a faixa
original. Por exemplo, a rede Classe C 10.100.100.0/255.255.255.0, com 256
nmeros IPs disponveis (na prtica so 254 nmeros que podem ser utilizados,
descontando o primeiro que o nmero da prpria rede e o ltimo que o endereo
de broadcast, conforme descrito na Parte 4 deste tutorial), poderia ser dividida em
8 sub-redes, com 32 nmeros IP em cada sub-rede. O esquema a seguir ilustra
este conceito:

Rede original: 256 endereos IP disponveis: 10.100.100.0 -> 10.100.100.255

Diviso da rede em 8 sub-redes, onde cada sub-rede fica com 32 endereos IP:

Sub-rede 01: 10.100.100.0 -> 10.100.100.31
Sub-rede 02: 10.100.100.32 -> 10.100.100.63
Sub-rede 03: 10.100.100.64 -> 10.100.100.95
Sub-rede 04: 10.100.100.96 -> 10.100.100.127
Sub-rede 05: 10.100.100.128 -> 10.100.100.159
Sub-rede 06: 10.100.100.160 -> 10.100.100.191
Sub-rede 07: 10.100.100.192 -> 10.100.100.223
Sub-rede 08: 10.100.100.224 -> 10.100.100.255

Para o exemplo da empresa com seis localidades (matriz mais cinco filiais), onde,
no mximo, so necessrios trinta endereos IP por localidade, a utilizao de uma
nica rede classe C, dividida em 8 sub-redes seria a soluo ideal. Na prtica a
primeira e a ltima sub-rede so descartadas, pois o primeiro IP da primeira sub-
rede representa o endereo de rede e o ltimo IP da ltima sub-rede representa o
endereo de broadcast. Com isso restariam, ainda, seis sub-redes. Exatamente a
quantia necessria para o exemplo proposto. Observe que ao invs de seis redes
classe C, bastou uma nica rede Classe C, subdividida em seis sub-redes. Uma bela
economia de endereos. Claro que se um dos escritrios, ou a matriz, precisasse de
mais de 32 endereos IP, um esquema diferente de diviso teria que ser criado.

Entendido o conceito terico de diviso em sub-redes, resta o trabalho prtico, ou
seja:

O que tem que ser alterado para fazer a diviso em sub-redes (sub netting)?
Como calcular o nmero de sub-redes e o nmero de nmeros IP dentro de
cada sub-rede?
Como listar as faixas de endereos dentro de cada sub-rede?
Exemplos prticos

Voc aprender estas etapas atravs de exemplos prticos. Vou inicialmente
mostrar o que tem que ser alterado para fazer a diviso de uma rede padro (com
mscara de 8, 16 ou 24 bits) em uma ou mais sub-redes. Em seguida, apresento
alguns exemplos de diviso de uma rede em sub-redes. Mos a obra.




Alterando o nmero de bits da mscara de sub-rede

Por padro so utilizadas mscaras de sub-rede de 8, 16 ou 24 bits, conforme
indicado no esquema a seguir:

Nmero de bits Mscara de sub-rede
08 255.0.0.0
16 255.255.0.0
24 255.255.255.0

Uma mscara de 8 bits significa que todos os bits do primeiro octeto so iguais a 1;
uma mscara de 16 bits significa que todos os bits do primeiro e do segundo octeto
so iguais a 1 e uma mscara de 24 bits significa que todos os bits dos trs
primeiros octetos so iguais a 1. Este conceito est ilustrado na tabela a seguir:

Mscaras de rede com 8, 16 e 24 bits

No exemplo da rede com matriz em So Paulo e mais cinco escritrios, vamos
utilizar uma rede classe C, que ser subdividida em seis sub-redes (na prtica 8,
mas a primeira e a ltima no so utilizadas). Para fazer esta subdiviso, voc deve
alterar o nmero de bits iguais a 1 na mscara de sub-rede. Por exemplo, ao invs
de 24 bits, voc ter que utilizar 25, 26, 27 ou um nmero a ser definido. Bem, j
avanamos mais um pouco:

Para fazer a diviso de uma rede em sub- redes, preciso aumentar o
nmero de bits iguais a 1, alterando com isso a mscara de sub- rede.

Quantos bits devem ser utilizados para a mscara de sub-
rede?

Agora, naturalmente, surge uma nova questo: Quantos bits?. Ou de uma
outra maneira (j procurando induzir o seu raciocnio): O que define o nmero de
bits a ser utilizados a mais?

Bem, esta uma questo bem mais simples do que pode parecer. Vamos a ela. No
exemplo proposto, precisamos dividir a rede em seis sub-redes. Ou seja, o nmero
de sub-redes deve ser, pelo menos, seis. Sempre lembrando que a primeira e a
ltima sub-rede no so utilizadas. O nmero de sub-redes proporcional ao
nmero de bits que vamos adicionar mscara de sub-rede j existente. O nmero
de rede dado pela frmula a seguir, onde n o nmero de bits a mais a serem
utilizados para a mscara de sub-rede:

Nm. de sub-redes = 2
n
-2

No nosso exemplo esto disponveis at 8 bits do ltimo octeto para serem tambm
utilizados na mscara de sub-rede. Claro que na prtica no podemos usar os 8
bits, seno ficaramos com o endereo de broadcast: 255.255.255.255, como
mscara de rede. Alm disso, quanto mais bits eu pegar para a mscara de sub-
rede, menos sobraro para os nmeros IP da rede. Por exemplo, se eu adicionar



mais um bit a mscara j existente, ficarei com 25 bits para a mscara e 7 para
nmeros IP, se eu adicionar mais dois bits mscara original de 24 bits, ficarei
com 26 bits para a mscara e somente 6 para nmeros IP e assim por diante. O
nmero de bits que restam para os nmeros IP, definem quantos nmeros IP
podem haver em cada sub-rede. A frmula para determinar o nmero de endereos
IP dentro de cada sub-rede, indicado a seguir, onde n o nmeo de bits
destinados a parte de host do endereo (32 bits usados para a mscara):

Nm. de end. IP dentro de cada sub-rede = 2
n
-2

Na tabela a seguir, apresento clculos para a diviso de sub-redes que ser feita no
nosso exemplo. Observe que quanto mais bits eu adiciono mscara de sub-rede,
mais sub-redes possvel obter, porm com um menor nmero de mquinas em
cada sub-rede. Lembrando que o nosso exemplo estamos subdividindo uma rede
classe C - 10.100.100.0/255.255.255.0, ou seja, uma rede com 24 bits para a
mscara de sub-rede original.

Nmero de redes e nmero de hosts em cada rede

Claro que algumas situaes no se aplicam na prtica. Por exemplo, usando
apenas um bit a mais para a mscara de sub-rede, isto , 25 bits ao invs de 24.
Neste caso teremos 0 sub-redes disponveis. Pois com 1 bit possvel criar apenas
duas sub-redes, como a primeira e a ltima so descartadas, conforme descrito
anteriormente, na prtica as duas sub-redes geradas no podero ser utilizadas. A
mesma situao ocorre com o uso de 7 bits a mais para a mscara de sub-rede, ou
seja, 31 ao invs de 24. Nesta situao sobra apenas um bit para os endereos IP.
Com 1 bit posso ter apenas dois endereos IP, descontanto o primeiro e o ltimo
que no so utilizados, no sobra nenhum endereo IP. As situaes intermedirias
que so mais realistas. No nosso exemplo, precisamos dividir a rede Classe C -
10.100.100.0/255.255.255.0, em seis sub-redes. De acordo com a tabela da Figura
16.6, precisamos utilizar 3 bits a mais para obter as seis sub-redes desejadas.

Observe que utilizando trs bits a mais, ao invs de 24 bits (mscara original),
vamos utilizar 27 bits para a mscara de sub-rede. Com isso sobra cinco bits para
os nmeros IPs dentro de cada sub-rede, o que d um total de 30 nmeros IP por
sub-rede. Exatamente o que precisamos.




A prxima questo que pode surgir como que fica a mscara de sub-rede, agora
que ao invs de 24 bits, estou utilizando 27 bits, conforme ilustrado na tabela a
seguir:

Figura - Mscara de sub-rede com 27 bits.

Para determinar a nova mscara temos que revisar o valor de cada bit, o que foi
visto na Parte 2. Da esquerda para a direita, cada bit representa o seguinte valor,
respectivamente:

128 64 32 16 8 4 2 1

Como os trs primeiros bits do ltimo octeto foram tambm utilizados para a
mscara, estes trs bits soman para o valor do ltimo octeto. No nosso exemplo, o
ltimo octeto da mscara ter o seguinte valor: 128+64+32 = 224. Com isso a
nova mscara de sub-rede, mscara esta que ser utilizada pelas seis sub-redes,
a seguinte: 255.255.255.224. Observe que ao adicionarmos bits mscara de sub-
rede, fazemos isso a partir do bit de maior valor, ou seja, o bit mais da esquerda,
com o valor de 128, depois usamos o prximo bit com valor 64 e assim por diante.
Na tabela a seguir, apresento a ilustrao de como fica a nova mscara de sub-
rede:

Figura - Como fica a nova mscara de sub-rede.

Com o uso de trs bits adicionais para a mscara de rede, teremos seis sub-redes
disponveis (uma para cada escritrio) com um nmero mximo de 30 nmeros IP
por sub-rede. Exatamente o que precisamos para o exemplo proposto.

A idia bsica de subnetting bastante simples. Utiliza-se bits adicionais para a
mscara de sub-rede. Com isso tenho uma diviso da rede original (classe A, classe
B ou classe C) em vrias sub-redes, sendo que o nmero de endereos IP em cada
sub-rede reduzido (por termos utilizados bits adicionais para a mscara de sub-
rede, bits estes que originalmente eram destinados aos endereos IP). Esta diviso
pode ser feita em redes de qualquer uma das classes padro A, B ou C. Por
exemplo, por padro, na Classe A so utilizados 8 bits para a mscara de sub-rede
e 24 bits para hosts. Voc pode utilizar, por exemplo, 12 bits para a mscara de
sub-rede, restando com isso 20 bits para endereos de host.

Na tabela a seguir, apresento os clculos para o nmero de sub-redes e o nmero
de hosts dentro de cada sub-rede, apenas para os casos que podem ser utilizados
na prtica, ou seja, duas ou mais sub-redes e dois ou mais endereos vlidos em
cada sub-rede, quando for feita a sub-diviso de uma rede Classe C, com mscara
original igual a 255.255.255.0..




Nmero de redes e nmero de hosts em cada rede divso de uma rede
Classe C.

Lembrando que a frmula para calcular o nmero de sub-redes :

n
-2

onde n o nmero de bits a mais utilizados para a mscara de sub-rede

E a frmula para calcular o nmero de endereos IP dentro de cada sub-rede :

2
n
-2

onde n o nmero de bits restantes, isto , no utilizados pela mscara de sub-
rede.

At aqui trabalhei com um exemplo de uma rede Classe C, que est sendo
subdividida em vrias sub-redes. Porm tambm possvel subdividir redes Classe
A e redes Classe B. Lembrando que redes classe A utilizam, por padro, apenas 8
bits para o endereo de rede, j redes classe B, utilizam, por padro, 16 bits. Na
tabela a seguir, apresento um resumo do nmero de bits utilizados para a mscara
de sub-rede, por padro, nas classes A, B e C:

Figura - Mscara padro para as classes A, B e C

Para subdividir uma rede classe A em sub-redes, basta usar bits adicionais para a
mscara de sub-rede. Por padro so utilizados 8 bits. Se voc utilizar 10, 12 ou
mais bits, estar criando sub-redes. O mesmo raciocnio vlido para as redes
classe B, as quais utilizam, por padro, 16 bits para a mscara de sub-rede. Se
voc utilizar 18, 20 ou mais bits para a mscara de sub-rede, estar subdividindo a
rede classe B em vrias sub-redes.

As frmulas para clculo do nmero de sub-redes e do nmero de hosts em cada
sub-rede so as mesmas apresentadas anteriormente, independentemente da
classe da rede que est sendo dividida em sub-redes.

A seguir apresento uma tabela com o nmero de sub-redes e o nmero de hosts
em cada sub-rede, dependendo do nmero de bits adicionais (alm do padro
definido para a classe) utilizados para a mscara de sub-rede, para a diviso de
uma rede Classe B:




Tabela - Nmero de redes e nmero de hosts em cada rede Classe B.

Observe como o entendimento dos clculos binrios realizados pelo TCP/IP facilita o
entendimento de vrios assuntos relacionados ao TCP/IP, inclusive o conceito de
subnetting (Veja Parte 2 para detalhes sobre Clculos Binrios). Por padro a classe
B utiliza 16 bits para a mscara de sub-rede, ou seja, uma mscara padro:
255.255..0.0. Agora se utilizarmos oito bits adicionais (todo o terceiro octeto) para
a mscara, teremos todos os bits do terceiro octeto como sendo iguais a 1, com
isso a mscara passa a ser: 255.255.255.0. Este resultado est coerente com a
tabela da Figura 16.11. Agora vamos avanar um pouco mais. Ao invs de 8 bits
adicionais, vamos utilizar 9. Ou seja, todo o terceiro octeto (8 bits) mais o primeiro
bit do quarto octeto. O primeiro bit, o bit bem esquerda o bit de valor mais alto,
ou seja, o que vale 128. Ao usar este bit tambm para a mscara de sub-rede,
obtemos a seguinte mscara: 255.255.255.128. Tambm fecha com a tabela
anterior. Com isso voc pode concluir que o entendimento da aritemtica e da
representao binria, facilita muito o estudo do protocolo TCP/IP e de assuntos
relacionados, tais como subnetting e roteamento.

A seguir apresento uma tabela com o nmero de sub-redes e o nmero de hosts
em cada sub-rede, dependendo do nmero de bits adicionais (alm do padro
definido para a classe) utilizados para a mscara de sub-rede, para a diviso de
uma rede Classe A:




Tabela - Nmero de redes e nmero de hosts em cada rede Classe A.

Um fato importante, que eu gostaria de destacar novamente que todas as sub-
redes (resultantes da diviso de uma rede), utilizam o msmo nmero para a
mscara de sub-rede. Por exemplo, na quarta linha da tabela indicada na Figura
16.12, estou utilizando 5 bits adicionais para a mscara de sub-rede, o que resulta
em 30 sub-redes diferentes, porm todas utilizando como mscara de sub-rede o
seguinte nmero: 255.248.0.0.

Muito bem, entendido o conceito de diviso em sub-redes e de determinao do
nmero de sub-redes, do nmero de hosts em cada sub-rede e de como formada
a nova mscara de sub-rede, a prxima questo que pode surgir a seguinte:

Como listar as faixas de endereos para cada sub-rede? Este exatamente o
assunto que vem a seguir.

Como listar as faixas de endereos dentro de cada sub-rede

Vamos entender esta questo atravs de exemplos prticos.

Exemplo 01: Dividir a seguinte rede classe C: 129.45.32.0/255.255.255.0. So
necessrias, pelo menos, 10 sub-redes. Determinar o seguinte:

a) Quantos bits sero necessrios para fazer a diviso e obter pelo menos 10 sub-
redes?
b) Quantos nmeros IP (hosts) estaro disponveis em cada sub-rede?
c) Qual a nova mscara de sub-rede?
d) Listar a faixa de endereos de cada sub-rede.

Vamos ao trabalho. Para responder a questo da letra a, voc deve lembrar da
frmula:



n
-2

Voc pode ir substituindo n por valores sucessivos, at atingir ou superar o valor de
10. Por exemplo, para n=2, a frmula resulta em 2, para n=3, a frmula resulta
em 6, para n=4 a frmula resulta em 14. Bem, est respondida a questo da letra
a, temos que utilizar quatro bits do quarto octeto para fazer parte da mscara de
sub-rede.

a) Quantos bits sero necessrios para fazer a diviso e obter pelo menos
10 sub-redes?

R: 4 bits.

Como utilizei quatro bits do ltimo octeto (alm dos 24 bits dos trs primeiros
octetos, os quais j faziam parte da mscara original), sobraram apenas 4 bits para
os endereos IP, ou seja, para os endereos de hosts em cada sub-rede. Tenho que
lembrar da seguinte frmula:

Nm. de end. IP dentro de cada sub-rede = 2
n
-2

substituindo n por 4, vou obter um valor de 14. Com isso j estou em condies de
responder a alternativa b.

R: 14.

Como utilizei quatro bits do quarto octeto para fazer a diviso em sub-redes, os
quatro primeiros bits foram definidos iguais a 1. Basta somar os respectivos
valores, ou seja: 128+64+32+16 = 240. Ou seja, com os quatro primeiros bits do
quarto octeto sendo iguais a 1, o valor do quarto octeto passa para 240, com isso
j temos condies de responder a alternativa c.

R: 255.255.255.240

importante lembrar, mais uma vez, que esta ser a mscara de sub-rede utilizada
por todas as 14 sub-redes.


Esta a novidade deste item. Como saber de que nmero at que nmero vai cada
endereo IP. Esta tambm fcil, embora seja novidade. Observe o ltimo bit
definido para a mscara. No nosso exemplo o quarto bit do quarto octeto. Qual o
valor decimal do quarto bit? 16 (o primeiro 128, o segundo 64, o terceiro 32 e
assim por diante, conforme explicado na Parte 2). O valor do ltimo bit um
indicativo das faixas de variao para este exemplo. Ou seja, na prtica temos 16
hosts em cada sub-rede, embora o primeiro e o ltimo no devam ser utilizados,
pois o primeiro o endereo da prpria sub-rede e o ltimo o endereo de
broadcast da sub-rede. Por isso que ficam 14 hosts por sub-rede, devido ao -2 na
frmula, o -2 significa: - o primeiro o ltimo. Ao listar as faixas, consideramos
os 16 hosts, apenas importante salienar que o primeiro e o ltimo no so
utilizados. Com isso a primeira sub-rede vai do host 0 at o 15, a segunda sub-rede



do 16 at o 31, a terceira do 32 at o 47 e assim por diante, conforme indicado no
esquema a seguir:

Diviso da rede em 14 sub-redes, onde cada sub-rede fica com 16 endereos IP,
sendo que a primeira e a ltima sub-rede no so utilizadas e o primeiro e o ltimo
nmero IP, dentro de cada sub-rede, tambm no so utilizados:

Sub-rede 01 129.45.32.0 -> 129.45.32.15
Sub-rede 02 129.45.32.16 -> 129.45.32.31
Sub-rede 03 129.45.32.32 -> 129.45.32.47
Sub-rede 04 129.45.32.48 -> 129.45.32.63
Sub-rede 05 129.45.32.64 -> 129.45.32.79
Sub-rede 06 129.45.32.80 -> 129.45.32.95
Sub-rede 07 129.45.32.96 -> 129.45.32.111
Sub-rede 08 129.45.32.112 -> 129.45.32.127
Sub-rede 09 129.45.32.128 -> 129.45.32.143
Sub-rede 10 129.45.32.144 -> 129.45.32.159
Sub-rede 11 129.45.32.160 -> 129.45.32.175
Sub-rede 12 129.45.32.176 -> 129.45.32.191
Sub-rede 13 129.45.32.192 -> 129.45.32.207
Sub-rede 14 129.45.32.208 -> 129.45.32.223
Sub-rede 15 129.45.32.224 -> 129.45.32.239
Sub-rede 16 129.45.32.240 -> 129.45.32.255

Vamos a mais um exemplo prtico, agora usando uma rede classe B, que tem
inicialmente, uma mscara de sub-rede: 255.255.0.0

Exemplo 02: Dividir a seguinte rede classe B: 150.100.0.0/255.255.0.0. So
necessrias, pelo menos, 20 sub-redes. Determinar o seguinte:

redes?

Vamos ao trabalho. Para responder a questo da letra a, voc deve lembrar da
frmula:

n
-2

Voc pode ir substituindo n por valores sucessivos, at atingir ou superar o valor de
10. Por exemplo, para n=2, a frmula resulta em 2, para n=3, a frmula resulta
em 6, para n=4 a frmula resulta em 14 e para n=5 a frmula resulta em 30. Bem,
est respondida a questo da letra a, temos que utilizar cinco bits do terceiro octeto
para fazer parte da mscara de sub-rede. Pois se utilizarmos apenas 4 bits,
obteremos somente 14 sub-redes e usando mais de 5 bits, obteremos um nmero
de sub-redes bem maior do que o necessrio.

redes?
R: 5 bits.




Como utilizei cinco bits do terceiro octeto (alm dos 16 bits dos dois primeiros
octetos, os quais j faziam parte da mscara original)., sobraram apenas 11 bits
(os trs restantes do terceiro octeto mais os 8 bits do quarto octeto) para os
endereos IP, ou seja, para os endereos de hosts em cada sub-rede. Tenho que
lembrar da seguinte frmula:

Nm. de endereos IP dentro de cada sub-rede = 2
n
-2

substituindo n por 11 (nmero de bits que restarama para a parte de host), vou
obter um valor de 2046, j descontando o primeiro e o ltimo nmero, os quais no
podem ser utilizados, conforme j descrito anteriormente. Com isso j estou em
condies de responder a alternativa b.

R: 2046.

Como utilizei cinco bits do terceiro octeto para fazer a diviso em sub-redes, os
cinco primeiros bits foram definidos iguais a 1. Basta somar os respectivos valores,
ou seja: 128+64+32+16+8 = 248. Ou seja, com os quatro primeiros bits do quarto
octeto sendo iguais a 1, o valor do quarto octeto passa para 248, com isso j temos
condies de responder a alternativa c.

R: 255.255.248.0

importante lembrar, mais uma vez, que esta ser a mscara de sub-rede utilizada
por todas as 30 sub-redes.


Como saber de que nmero at que nmero vai cada endereo IP. Esta tambm
fcil e o raciocnio o mesmo utilizado para o exemplo anterior, onde foi feita uma
diviso de uma rede classe C. Observe o ltimo bit definido para a mscara. No
nosso exemplo o quinto bit do terceiro octeto. Qual o valor decimal do quinto bit
(de qualque octeto)? 8 (o primeiro 128, o segundo 64, o terceiro 32, o quarto
16 e o quinto 8, conforme explicado na Parte 2). O valor do ltimo bit um
indicativo das faixas de variao para este exemplo. Ou seja, na prtica temos
2048 hosts em cada sub-rede, embora o primeiro e o ltimo no devam ser
utilizados, pois o primeiro o endereo da prpria sub-rede e o ltimo o endereo
de broadcast da sub-rede. Por isso que ficam 2046 hosts por sub-rede, devido ao -
2 na frmula, o -2 significa: - o primeiro o ltimo. Ao listar as faixas,
consideramos o valor do ltimo bit da mscara. No nosso exemplo o 8. A primeira
faixa vai do zero at um nmero anterior ao valor do ltimo bit, no caso do 0 ao 7.
A seguir indico a faixa de endereos da primeira sub-rede (sub-rede que no ser
utilizada na prtica, pois descarta-se a primeira e a ltima):

Sub-rede 01 150.100.0.1 -> 150.100.7.254

Com isso todo endereo IP que tiver o terceiro nmero na faixa entre 0 e 7, ser
um nmero IP da primeira sub-rede, conforme os exemplos a seguir:

150.100.0.25
150.100.3.20
150.100.5.0



150.100.6.244

Importante: Observe que os valores de 0 a 7 so definidos no terceiro octeto, que
onde estamos utilizando cinco bits a mais para fazer a diviso em sub-redes.

Qual seria a faixa de endereos IP da prxima sub-rede. Aqui vale o mesmo
reciocnio. O ltimo bit da mscara equivale ao valor 8. Esta a variao da
terceira parte do nmero IP, que onde esta sendo feita a diviso em sub-redes.
Ento, se a primeira foi de 0 at 7, a segunda sub-rede ter valores de 8 a 15 no
terceiro octeto, a terceira sub-rede ter valores de 16 a 23 e assim por diante.

Diviso da rede em 32 sub-redes, onde cada sub-rede fica com 2048 endereos IP,
sendo que a primeira e a ltima sub-rede no so utilizadas e o primeiro e o ltimo
nmero IP, dentro de cada sub-rede, tambm no so utilizados:

Sub-rede Primeiro IP ltimo IP End. de broadcast Nmero
150.100.0.0 150.100.0.1 150.100.7.254 150.100.7.255 01
150.100.8.0 150.100.8.1 150.100.15.254 150.100.15.255 02
150.100.16.0 150.100.16.1 150.100.23.254 150.100.23.255 03
150.100.24.0 150.100.24.1 150.100.31.254 150.100.31.255 04
150.100.32.0 150.100.32.1 150.100.39.254 150.100.39.255 05
150.100.40.0 150.100.40.1 150.100.47.254 150.100.47.255 06
150.100.48.0 150.100.48.1 150.100.55.254 150.100.55.255 07
150.100.56.0 150.100.56.1 150.100.63.254 150.100.63.255 08
150.100.64.0 150.100.64.1 150.100.71.254 150.100.71.255 09
150.100.72.0 150.100.72.1 150.100.79.254 150.100.79.255 10
150.100.80.0 150.100.80.1 150.100.87.254 150.100.87.255 11
150.100.88.0 150.100.88.1 150.100.95.254 150.100.95.255 12
150.100.96.0 150.100.96.1 150.100.103.254 150.100.103.255 13
150.100.104.0 150.100.104.1 150.100.111.254 150.100.111.255 14
150.100.112.0 150.100.112.1 150.100.119.254 150.100.119.255 15
150.100.120.0 150.100.120.1 150.100.127.254 150.100.127.255 16
150.100.128.0 150.100.128.1 150.100.135.254 150.100.135.255 17
150.100.136.0 150.100.136.1 150.100.143.254 150.100.143.255 18
150.100.144.0 150.100.144.1 150.100.151.254 150.100.151.255 19
150.100.152.0 150.100.152.1 150.100.159.254 150.100.159.255 20
150.100.160.0 150.100.160.1 150.100.167.254 150.100.167.255 21
150.100.168.0 150.100.168.1 150.100.175.254 150.100.175.255 22
150.100.176.0 150.100.176.1 150.100.183.254 150.100.183.255 23
150.100.184.0 150.100.184.1 150.100.191.254 150.100.191.255 24
150.100.192.0 150.100.192.1 150.100.199.254 150.100.199.255 25
150.100.200.0 150.100.200.1 150.100.207.254 150.100.207.255 26
150.100.208.0 150.100.208.1 150.100.215.254 150.100.215.255 27
150.100.216.0 150.100.216.1 150.100.223.254 150.100.223.255 28
150.100.224.0 150.100.224.1 150.100.231.254 150.100.231.255 29
150.100.232.0 150.100.232.1 150.100.239.254 150.100.239.255 30
150.100.240.0 150.100.240.1 150.100.247.254 150.100.247.255 31
150.100.248.0 150.100.248.1 150.100.255.254 150.100.255.255 32

Com base na tabela apresentada, fica fcil responder em que sub-rede est contido
um determinado nmero IP. Por exemplo, considere o nmero IP
1500.100.130.222. Primeiro voc observa o terceiro octeto do nmero IP (o
terceiro, porque neste octeto que esto os ltimos bits que foram utilizados para
a mscara de sub-rede). Consultando a tabela anterior, voc observa o valor de
130 para o terceiro octeto corresponde a sub-rede 17, na qual o terceiro octeto
varia entre 128 e 135, conforme indicado a seguir:

150.100.128.0 150.100.128.1 150.100.135.254 150.100.135.255 17




Bem, com isso concluo o nosso estudo sobre dois princpios fundamentais do
protocolo TCP/IP:

Roteamento
Subnetting (diviso de uma rede em sub-redes).

Concluso

Nesta parte do tutorial, abordei um dos assuntos que mais geram dvidas: a
diviso de uma rede em sub-redes. Nas prximas partes deste tutorial, falarei
sobre servios do Windows 2000 Server e do Windows Server 2003, diretamente
ligados ao TCP/IP, tais como o DNS, DHCP, WINS e RRAS.

Confira sempre novos artigos, dicas e tutoriais diretamente no meu site pessoal:
www.juliobattisti.com.br. Fique vontade para entrar em contato atravs do email
webmaster@juliobattisti.com.br




Tutorial de TCP/IP Parte 8 Uma introduo ao DNS

Introduo

Esta a oitava parte do Tutorial de TCP/IP. Na Parte 1 tratei dos aspectos bsicos
e na Parte 6 falei sobre a Tabela de Roteamento. Na Parte 7 tratei sobre a diviso
de uma rede em sub-redes, conceito conhecido como subnetting. Nesta parte farei
uma apresentao de um dos servios mais utilizados pelo TCP/IP, que o Domain
Name System (DNS). O DNS o servio de resoluo de nomes usado em todas as
redes TCP/IP, inclusive pela Internet que, sem dvidas, a maior rede TCP/IP
existente.

Definindo DNS

DNS a abreviatura de Domain Name System. O DNS um servio de resoluo de
nomes. Toda comunicao entre os computadores e demais equipamentos de uma
rede baseada no protocolo TCP/IP (e qual rede no baseada no protocolo
TCP/IP?) feita atravs do nmero IP. Nmero IP do computador de origem e
nmero IP do computador de destino. Porm no seria nada produtivo se os
usurios tivessem que decorar, ou mais realisticamente, consultar uma tabela de
nmeros IP toda vez que tivessem que acessar um recurso da rede. Por exemplo,
voc digita http://www.microsoft.com/brasil, para acessar o site da Microsoft no
Brasil, sem ter que se preocupar e nem saber qual o nmero IP do servidor onde
est hospedado o site da Microsoft Brasil. Mas algum tem que fazer este servio,
pois quando voc digita http://www.microsoft.com/brasil, o protocolo TCP/IP
precisa descobrir (o termo tcnico resolver o nome) qual o nmero IP est
associado com o endereo digitado. Se no for possvel descobrir o nmero IP
associado ao nome, no ser possvel acessar o recurso desejado.

O papel do DNS exatamente este, descobrir, ou usando o termo tcnico,
resolver um determinado nome, como por exemplo http://www.microsoft.com
Resolver um nome significa, descobrir e retornar o nmero IP associado com o
nome. Em palavras mais simples, o DNS um servio de resoluo de nomes, ou
seja, quando o usurio tenta acessar um determinado recurso da rede usando o
nome de um determinado servidor, o DNS o responsvel por localizar e retornar o
nmero IP associado com o nome utilizado. O DNS , na verdade, um grande banco
de dados distribudo em milhares de servidores DNS no mundo inteiro. Ele possui
vrias caractersticas, as quais descreverei nesta parte do tutorial de TCP/IP.

O DNS passou a ser o servio de resoluo de nomes padro a partir do Windows
2000 Server. Anteriormente, com o NT Server 4.0 e verses anteriores do
Windows, o servio padro para resoluo de nomes era o WINS Windows
Internet Name Service (WINS o assunto da Parte 9 deste tutorial). Verses mais
antigas dos clientes Windows, tais como Windows 95, Windows 98 e Windows Me
ainda so dependentes do WINS, para a realizao de determinadas tarefas. O fato
de existir dois servios de resoluo de nomes, pode deixar o administrador da rede
e os usurios confusos.




Cada computador com o Windows instalado (qualquer verso), tem dois nomes: um
host name (que ligado ao DNS) e um NetBios name (que ligado ao WINS). Por
padro estes nomes devem ser iguais, ou seja, aconselhvel que voc utilize o
mesmo nome para o host name e para o NetBios name do computador.

O DNS um sistema para nomeao de computadores e equipamentos de rede em
geral (tais como roteadores,hubs, switchs). Os nomes DNS so organizados de uma
maneira hierrquica atravs da diviso da rede em domnios DNS.

O DNS , na verdade, um grande banco de dados distribudo em vios servidoress
DNS e um conjunto de servios e funcionalidades, que permitem a pesquisa neste
banco de dados. Por exemplo, quando o usurio digita www.abc.com.br na barra de
endereos do seu navegador, o DNS tem que fazer o trabalho de localizar e
retornar para o navegador do usurio, o nmero IP associado com o endereo
www.abc.com.br Quando voc tenta acessar uma pasta compartilhada chamada
docs, em um servidor chamado srv-files01.abc.com.br, usando o caminho \\srv-
files01.abc.com.br\docs, o DNS precisa encontrar o nmero IP associado com o
nome srv-files01.abc.com.br. Se esta etapa falhar, a comunicao no ser
estabelecida e voc no poder acessar a pasta compartilhada docs.

Ao tentar acessar um determinado recurso, usando o nome de um servidor, como
se o programa que voc est utilizando perguntasse ao DNS:

DNS, voc sabe qual o endereo IP associado com o nome tal?

O DNS pesquisa na sua base de dados ou envia a pesquisa para outros servidores
DNS (dependendo de como foram feitas as configuraes do servidor DNS,
conforme descreverei mais adiante). Uma vez encontrado o nmero IP, o DNS
retorna o nmero IP para o cliente:

Este o nmero IP associado com o nome tal.

Nota: O DNS implementado no Windows 2000 Server e tambm no Windows
Server 2003 baseado em padres definidos por entidades de padronizao da
Internet, tais como o IETF. Estes documentos so conhecidos como RFCs Request
for Comments. Voc encontra, na Internet, facilmente a lista de RFCs disponveis e
o assunto relacionada com cada uma. So milhares de RFCs (literalmente
milhares).

Entendendo os elementos que compem o DNS

O DNS baseado em conceitos tais como espao de nomes e rvore de domnios.
Por exemplo, o espao de nomes da Internet um espao de nomes hierrquico,
baseado no DNS. Para entender melhor estes conceitos, observe o diagrama da
Figura a seguir:




Ethernet
net com
edu mil
gov
int org
br fr uk
abc
www ftp
abc.com.br

Figura - Estrutura hierrquica do DNS

Nesta Figura apresentada uma viso abrevida da estrutura do DNS definida para
a Internet. O principal domnio, o domnio root, o domnio de mais alto nvel foi
nomeado como sendo um ponto (.). No segundo nvel foram definidos os chamados
Top-level-domains. Estes domnios so bastante conhecidos, sendo os principais
descritos na Tabela a seguir:

Top-level-domains:

Top-level-domain Descrio
com Organizaes comerciais
gov Organizaes governamentais
edu Instituies educacionais
org Organizaes no comerciais
net Diversos
mil Instituies militares

Em seguida, a estrutura hierrquica continua aumentando. Por exemplo, dentro do
domnio .com, so criadas sub domnios para cada pas. Por exemplo: br para o
Brasil (.com.br), .fr para a frana (.com.fr), uk para a Inglaterra (.com.uk) e assim
por diante. Observe que o nome completo de um domnio o nome do prprio
domnio e mais os nomes dos domnios acima dele, no caminho at chegar ao



domnio root que o ponto. Nos normalmente no escrevemos o ponto, mas no
est errado utiliz-lo. Por exemplo, voc pode utilizar www.microsoft.com ou
www.microsoft.com. (com ponto no final mesmo).

No diagrama da Figura anterior, representei at o domnio de uma empresa
chamada abc (abc...), que foi registrada no subdomnio (.com.br), ou seja:
abc.com.br. Este o domnio DNS desta nossa empresa de exemplo.

Nota: Para registrar um domnio .br, utilize o seguinte endereo: www.registro.br

Todos os equipamentos da rede da empresa abc.com.br, faro parte deste domnio.
Por exemplo, considere o servidor configurado com o nome de host www. O nome
completo deste servidor ser www.abc.com.br, ou seja, com este nome que ele
poder ser localizado na Internet. O nome completo do servidor com nome de host
ftp ser: ftp.abc.com.br, ou seja, com este nome que ele poder ser acessado
atravs da Internet. No banco de dados do DNS que ficar gravada a informao
de qual o endereo IP est associado com www.abc.com.br, qual o endereo IP est
associado com ftp.abc.com.br e assim por diante. Mais adiante voc ver, passo-a-
passo, como feita a resoluo de nomes atravs do DNS.

O nome completo de um computador da rede conhecido como FQDN Full
Qualifided Domain Name. Por exemplo ftp.abc.com.br um FQDN. ftp (a primeira
parte do nome) o nome de host e o restante representa o domnio DNS no qual
est o computador. A unio do nome de host com o nome de domnio que forma
o FQDN.

Internamente, a empresa abc.com.br poderia criar subdomnios, como por
exemplo: vendas.abc.com.br, suporte.abc.com.br, pesquisa.abc.com.br e assim por
diante. Dentro de cada um destes subdominios poderia haver servidores e
computadores, como por exemplo: srv01.vendas.abc.com.br, srv-
pr01.suporte.abc.com.br. Observe que sempre, um nome de domnio mais baixo,
contm o nome completo dos objetos de nvel mais alto. Por exemplo, todos os
subdomnios de abc.com.br, obrigatoriamente, contm abc.com.br:
vendas.abc.com.br, suporte.abc.com.br, pesquisa.abc.com.br. Isso o que define
um espao de nomes contnio.

Dentro de um mesmo nvel, os nomes DNS devem ser nicos. Por exemplo, no
possvel registrar dois domnios abc.com.br. Porm possvel registrar um domnio
abc.com.br e outro abc.net.br. Dentro do domnio abc.com.br pode haver um
servidor chamado srv01. Tambm pode haver um servidor srv01 dentro do domnio
abc.net.br. O que distingue um do outro o nome completo (FQDN), neste caso:
srv01.abc.com.br e o outro srv01.abc.net.br.

Nota: Um mtodo antigo, utilizado inicalmente para resoluo de nomes era o
arquivo hosts. Este arquivo um arquivo de texto e contm entradas como as dos
exemplos a seguir, uma em cada linha:

10.200.200.3 www.abc.com.br
10.200.200.4 ftp.abc.com.br
10.200.200.18 srv01.abc.com.br srv-files

O arquivo hosts individual para cada computador da rede e fica gravado (no
Windows NT, Windows 2000, Windows Server 2003 ou Windows XP), na pasta
system32\drivers\etc, dentro da pasta onde o Windows est instalado. Este arquivo
um arquivo de texto e pode ser alterado com o bloco de Notas.



O DNS formado por uma srie de componentes e servios, os quais atuando em
conjunto, tornam possvel a tarefa de fazer a resoluo de nomes em toda a
Internet ou na rede interna da empresa. Os componentes do DNS so os seguintes:

O espao de nomes DNS: Um espao de nomes hierrquico e contnuo.
Pode ser o espao de nomes da Internet ou o espao de nomes DNS interno,
da sua empresa. Pode ser utilizado um espao de nomes DNS interno,
diferente do nome DNS de Internet da empresa ou pode ser utilizado o
mesmo espao de nomes. Cada uma das abordagens tem vantagens e
desvantagens.

Servidores DNS: Os servidores DNS contm o banco de dados do DNS com
o mapeamento entre os nomes DNS e o respectivo nmero IP. Os servidores
DNS tambm so responsveis por responder s consultas de nomes
envidas por um ou mais clientes da rede. Voc aprender mais adiante que
existem diferentes tipos de servidores DNS e diferentes mtodos de
resoluo de nomes.

Registros do DNS (Resource Records): Os registros so as entradas do
banco de dados do DNS. Em cada entrada existe um mapeamento entre um
determinado nome e uma informao associada ao nome. Pode ser desde
um simples mapeamento entre um nome e o respectivo endereo IP, at
registros mais sofisticados para a localizao de DCs (controladores de
domnio do Windows 2000 ou Windows Server 2003) e servidores de email
do domnio.

Clientes DNS: So tambm conhecidos como resolvers. Por exemplo, uma
estao de trabalho da rede, com o Windows 2000 Professional, com o
Windows XP professional ou com o Windows Vista tem um resolver
instalado. Este componente de software responsvel por detectar sempre
que um programa precisa de resoluo de um nome e repassar esta
consulta para um servidor DNS. O servidor DNS retorna o resultado da
consulta, o resultado retornado para o resolver, o qual repassa o resultado
da consulta para o programa que originou a consulta.

Entendendo como funcionam as pesquisas do DNS

Imagine um usurio, na sua estao de trabalho, navegando na Internet. Ele tenta
acessar o site www.juliobattisti.com.br O usurio digita este endereo e tecla Enter.
O resolver (cliente do DNS instalado na estao de trabalho do usurio) detecta que
existe a necessidade da resoluo do nome www.juliobattisti.com.br, para descobrir
o nmero IP associado com este nome. O resolver envia a pesquisa para o servidor
DNS configurado como DNS primrio, nas propriedades do TCP/IP da estao de
trabalho (ou para o DNS informado pelo DHCP, caso a estao de trabalho esteja
obtendo as configuraes do TCP/IP, automaticamente, a partir de um servidor
DHCP assunto da Parte 10 deste tutorial). A mensagem envida pelo resolver, para
o servidor DNS, contm trs partes de informao, conforme descrito a seguir:

O nome a ser resolvido. No nosso exemplo: www.juliobattisti.com.br

O tipo de pesquisa a ser realizado. Normalmente uma pesquisa do tipo
resource record, ou seja, um registro associado a um nome, para retornar
o respectivo endereo IP. No nosso exemplo, a pesquisa seria por um
registro do tipo A, na qual o resultado da consulta o nmero IP associado
com o nome que est sendo pesquisado. como se o cliente perguntasse



para o sevidor DNS: Voc conhece o nmero IP associado com o nome
www.juliobattisti.com.br? E o servidor responde: Sim, conheo. O nmero
IP associado com o nome www.juliobattisti.com.br o seguinte... Tambm
podem ser consultas especializadas, como por exemplo, para localizar um
DC (controlador de domnio) no domnio ou um servidor de autenticao
baseado no protocolo Kerberos.

Uma classe associada com o nome DNS. Para os servidores DNS
baseados no Windows 2000 Server e Windows Server 2003, a classe ser
sempre uma classe de Internet (IN), mesmo que o nome seja referente a
um servidor da Intranet da empresa.

Existem diferentes maneiras como uma consulta pode ser resolvida. Por exemplo, a
primeira vez que um nome resolvido, o nome e o respetivo nmero IP so
armazenados em memria, no que conhecido como Cache do cliente DNS, na
estao de trabalho que fez a consulta. Na prxima vez que o nome for utilizado,
primeiro o Windows procura no Cache DNS do prprio computador, para ver se no
existe uma resoluo anterior para o nome em questo. Somente se no houver
uma resoluo no Cache local do DNS, que ser envida uma consulta para o
servidor DNS.

Chegando a consulta ao servidor, primeiro o servidor DNS consulta o cache do
servidor DNS. No cache do servidor DNS ficam, por um determinado perodo de
tempo, as consultas que foram resolvidas anteriormente pelo servidor DNS. Esse
processo agiliza a resoluo de nomes, evitando repetidas resolues do mesmo
nome. Se no for encontrada uma resposta no cache do servidor DNS, o servidor
pode tentar resolver a consulta usando as informaes da sua base de dados ou
pode enviar a consulta para outros servidores DNS, at que uma resposta seja
obtida. A seguir descreverei detalhes deste procsso de enviar uma consulta para
outros servidores, processo este chamado de recurso.

Em resumo, o processo de resoluo de um nome DNS composto de duas
etapas:

1. A consulta inicia no cliente e passada para o resolver na estao de
trabalho do cliente. Primeiro o resolver tenta responder a consulta localmente,
usando recursos tais como o cache local do DNS e o arquivo hosts.

2. Se a consulta no puder ser resolvida localmente, o resolver envia a
consulta para o servidor DNS, o qual pode utilizar diferentes mtodos (descritos
mais adiante), para a resoluo da consulta.

A seguir vou descrever as etapas envolvidas nas diferentes maneiras que o DNS
utiliza para responder a uma consulta enviada por um cliente.

Nota: Vou utilizar algumas figuras da ajuda do Windows 2000 Server para explicar
a maneira como o DNS resolve consultas localmente (resolver) e os diferentes
mtodos de resoluo utilizados pelo servidor DNS.

Inicialmente considere o diagrama da Figura a seguir, contido na Ajuda do DNS, no
Windows 2000 Server, diagrama este que apresenta uma viso geral do processo
de resoluo de nomes do DNS.




Figura - O processo de resoluo de nomes do DNS.

No exemplo desta figura, o cliente est em sua estao de trabalho e tenta acessar
o site da Microsoft: www.microsoft.com. Ao digitar este endereo no seu navegador
e pressionar Enter, o processo de resoluo do nome www.microsoft.com
iniciado. Uma srie de etapas so executadas, at que a resolua acontea com
sucesso ou falhe em definitivo, ou seja, o DNS no consegue resolver o nome, isto
, no consegue encontrar o nmero IP associado ao endereo www.microsoft.com

Primeira etapa: O DNS tenta resolver o nome, usando o resolver local:

Ao digitar o endereo www.microsoft.com e pressionar Enter, o processo de
resoluo iniciado. Inicialmente o endereo passado para o cliente DNS, na
estao de trabalho do usurio. O cliente DNS conhecido como resolver, conforme
j descrito anteriormente, nome este que utilizarei a partir de agora. O cliente tenta
resolver o nome utilizando um dos seguintes recursos:

O cache DNS local: Sempre que um nome resolvido com sucesso, o
nome e a informao associada ao nome (normalmente o endereo IP), so
mantidos na memria, o que conhecido como cache local do DNS da
estao de trabalho do cliente. Quando um nome precisa ser resolvido, a
primeira coisa que o resolver faz procurar no cache local. Encontrando no
cache local, as informaes do cache so utilizadas e a resoluo est
completa. O cache local torna a resoluo mais rpida, uma vez que nomes
j resolvidos podem ser consultados diretamente no cache, ao invs de
terem que passar por todo o processo de resoluo via servidor DNS
novamente, processo este que voc aprender logo a seguir. Pode acontecer
situaes onde informaes incorretas foram gravadas no Cache Local e o
Resolver est utilizando estas informaes. Voc pode limpar o Cache local,
usando o comando ipconfig /flushdns Abra um prompt de Comando, digite o
comando ipconfig /flushdns e pressione Enter. Isso ir limpar o Cache local.

O arquivo hosts: Se no for encontrada a resposta no cache local do DNS,
o resolver consulta as entradas do arquivos hosts, o qual um arquivo de
texto e fica na pasta onde o Windows Server foi instalado, dentro do
seguinte caminho: \system32\drivers\etc (para o Windows NT 4, Windows
2000, Windows Server 2003 e Windos XP). O hosts um arquivo de texto e
pode ser editado com o bloco de notas. Este arquivo possui entradas no
formato indicado a seguir, com um nmeo IP por linha, podendo haver um
ou mais nomes associados com o mesmo nmero IP:




10.200.200.3 www.abc.com.br intranet.abc.com.br
10.200.200.4 ftp.abc.com.br arquivos.abc.com.br
10.200.200.18 srv01.abc.com.br pastas.abc.com.br pastas

Se mesmo assim a consulta no for respondida, o resolver envia a consulta para o
servidor DNS configurado nas propriedades do TCP/IP como servidor DNS primrio
ou configurado via DHCP, como servidor DNS primrio.

Segunda etapa: Pesquisa no servidor DNS.

Uma vez que a consulta no pode ser resolvida localmente pelo resolver, esta
enviada para o servidor DNS. Quando a consulta chega no servidor DNS, a primeira
coisa que o servidor DNS faz consultar as zonas para as quais ele uma
autoridade (para uma descrio completa sobre zonas e domnios e a criao de
zonas e domnios no DNS consulte o Captulo 3 do meu livro Manual de Estudos
para o Exame 70-216, 712 pginas, o qual est esgotado em formato impresso,
mas est a venda em formato de E-book, em PDF. Todos os detalhes em:
http://www.juliobattisti.com.br/cursos/70216/default.asp).

Por exemplo, vamos supor que o servidor DNS seja o servidor DNS primrio para a
zona vendas.abc.com.br (diz-se que ele a autoridade para esta zona) e o nome a
ser pesquisado srv01.vendas.abc.com.br. Neste caso o servidor DNS ir pesquisar
nas informaes da zona vendas.abc.com.br (para a qual ele a autoridade) e
responder a consulta para o cliente. Diz-se que o servidor DNS respondeu com
autoridade (authoritatively).

No nosso exemplo (Figura anterior) no este o caso, uma vez que o nome
pesquisado www.microsoft.com e o servidor DNS no a autoridade, ou seja, no
o servidor DNS primrio para o domno microsoft.com. Neste caso, o servidor
DNS ir pesquisar o cache do servidor DNS (no confundir com o cache local do
DNS no cliente).

medida que o servidor DNS vai resolvendo nomes, ele vai mantendo estas
informaes em um cache no servidor DNS. As entradas so mantidas em cache
por um tempo que pode ser configurado pelo administrador do DNS. O cache do
servidor DNS tem a mesma funo do cache local do resolver, ou seja, agilizar a
consulta a nomes que j foram resolvidos previamente. Se for encontrada uma
entrada no cache do servidor DNS, esta entrada ser utilizada pelo servidor DNS
para responder a consulta enviada pelo cliente. e o processo de consulta est
completo.

Caso o servidor DNS no possa responder usando informaes de uma zona local
do DNS e nem informaes contidas no cache do servidor DNS, o processo de
pesquisa continua, usando um processo conhecido como recurso (recursion), para
resolver o nome. Agora o servidor DNS far consultas a outros servidores para
tentar responder a consulta enviada pelo cliente. O processo de recurso ilustrado
na Figura a seguir, da ajuda do DNS. Em seguida comentarei os passos envolvidos
no processo de recurso.




Figura - Resoluo de nomes usando recurso

O servidor DNS ir iniciar o processo de recurso com o auxlio de servidores DNS
da Internet. Para localizar estes servidores, o servidor DNS utiliza as configuraes
conhecidas como root hints. Root hints nada mais do que uma lista de
servidores DNS e os respectivos endereos IP, dos servidores para o domnio root
(representado pelo ponto .) e para os domnios top-level (.com, .net, gov e assim
por diante). Esta lista criada automaticamente quando o DNS instalado e pode
ser acessada atravs das propriedades do servidor DNS. Na Figura a seguir
exibida uma lista de root hints configuradas por padro, em um servidor DNS,
baseado no Windows 2000 Server:

Figura - Lista de root hints do servidor DNS.




Com o uso da lista de servidores root hints, o servidor DNS consege localizar
(teoricamente), os servidores DNS responsveis por quaisquer domnio registrado.

Vamos novamente considerar um exemplo, para entender como o processo de
recurso funciona. Imagine que a consulta enviada pelo cliente para descobrir o
endereo IP associado ao nome srv01.vendas.abc.com. O cliente que fez esta
consulta est usando um computador da rede xyz.com, o qual est configurado
para usar, como DNS primrio, o DNS da empresa xyz.com.

Primeiro vamos assumir que o nome no pode ser resolvido localmente no cliente
(usando o cache DNS local e o arquivo hosts) e foi enviado para o servidor DNS
primrio da empresa xyz.com. Este DNS dono, autoridade apenas para o
domnio xyz.com e no para vendas.abc.com (lembrando sempre que a primeira
parte do nome o nome da mquina, conhecido como nome de host). Com isso o
servidor DNS primrio da empresa xyz.com.br ir pesquisar no cache do servidor
DNS. No encontrando a resposta no cache, iniciado o processo de recurso, com
os passos descritos a seguir:

1. O servidor DNS retira apenas a parte correspondente ao domnio (o nome
todo, menos a primeira parte. No nosso exemplo seria vendas.abc.com, srv01 o
nome de host). Usando a lista de servidores DNS configurados como root hints, o
servidor DNS localiza um servidor que seja o dono, a autoridade para o domnio
root da Internet, representado pelo ponto (o processo assim mesmo, de trs para
frente).

2. Localizado o servidor responsvel pelo domnio root, o servidor DNS da
empresa xyz.com envia uma consulta interativa para o servidor DNS responsvel
pelo domnio root, perguntando: Voc sabe quem o servidor DNS
responsvel pelo domnio .com?. O servidor DNS root responde com o
endereo IP de um dos servidores DNS responsveis pelo domnio .com. Ou seja, o
servidor DNS root no sabe responder diretamente o nome que est sendo
resolvido, mas sabe para quem enviar, sabe a quem recorrer. Talvez da venha o
nome do processo recurso.

3. O servidor DNS do domnio xyz.com recebe a resposta informando qual o
servidor DNS responsvel pelo domnio .com.

4. O servidor DNS do domnio xyz.com envia uma consulta para o servidor DNS
responsvel pelo .com (informado no passo 3), perguntando: Voc a
autoridade para abc.com ou saberia informar quem a autoridade para
abc.com?

5. O servidor DNS responsvel pelo domnio .com no a autoridade para
abc.com, mas sabe informar quem a autoridade deste domnio. O servidor DNS
resonsvel pelo .com retorna para o servidor DNS do domnio xyz.com, o nmero
IP do servidor DNS responsvel pelo domnio abc.com.

6. O servidor DNS do domnio xyz.com recebe a resposta informando o nmero
IP do servidor responsvel pelo domnio abc.com.

responsvel pelo abc.com (informado no passo 6), perguntando: Voc a
autoridade para vendas.abc.com ou saberia informar quem a autoridade
para vendas.abc.com?




8. O servidor DNS responsvel pelo abc.com no a autoridade para
vendas.abc.com, mas sabe informar quem a autoridade deste domnio. O servidor
DNS resonsvel pelo abc.com retorna para o servidor DNS do domnio xyz.com, o
nmero IP do servidor DNS responsvel pelo domnio vendas.abc.com.

9. O servidor DNS do domnio xyz.com recebe a resposta informando o nmero
IP do servidor responsvel pelo domnio vendas.abc.com.

responsvel pelo vendas.abc.com (informado no passo 9), perguntando: Voc a
autoridade para vendas.abc.com ou saberia informar quem a autoridade
para vendas.abc.com?

11. O servidor DNS para vendas.abc.com recebe a consulta para resolver o
nome srv01.vendas.abc.com. Como este servidor a autoridade para o domnio,
ele pesquisa a zona vendas.abc.com, encontra o registro para o endereo
serv01.vendas.abc.com e retornar esta inforamao para o servidor DNS do
domnio xyz.com.

12. O servidor DNS do domnio xyz.com recebe a resposta da consulta, faz uma
cpia desta resposta no cache do servidor DNS e retornar o resultado para o cliente
que originou a consulta.

13, No cliente o resolver recebe o resultado da consulta, repassa este resultado
para o programa que gerou a consulta e grava uma cpia dos dados no cache local
do DNS.

Evidentemente que a descrio do processo demora muito mais tempo do que o
DNS realmente leva para resolver um nome usando este mtodo. Claro que a
resoluo rpida, seno ficaria praticamente impossvel usar a Internet. Alm
disso, este mtodo traz algumas vantagens. Durante esta espcie de pingue-
pongue entre o servidor DNS e os servidores DNS da Internet, o servidor DNS da
empresa vai obtendo informaes sobre os servidores DNS da Internet e grava
estas informaes no cache local do servidor DNS. Isso agiliza futuras consultas e
reduz, significativamente, o tempo para a resoluo de nomes usando o processo
de recurso. Estas informaes so mantidas na memria do servidor e com o
passar do tempo podem ocupar um espao considervel da memria. Toda vez que
o servio DNS for parado e iniciado novamente, estas informaes sero excludas
da memria e o processo de cache inicia novamente.

Consideraes e tipos especiais de resolues

O processo descrito anteriormente, termina com o servidor DNS (aps ter
consultado vrios outros servidores) retornando uma resposta positiva para o
cliente, isto , conseguindo resolver o nome e retornando a informao associada
(normalmente o nmero IP associado ao nome) para o cliente. Mas nem sempre a
resposta positiva, muitos outros tipos de resultados podem ocorrer em resposta a
uma consulta, tais como:

An authoritative answer (resposta com autoridade): Este tipo de
resposta obtido quando o nome resolvido diretamente pelo servidor DNS
que a autoridade para o domnio pesquisado. Por exemplo, um usurio da
Intranet da sua empresa (abc.com.br), tenta acessar uma pgina da
intranet da empresa, por exemplo: rh.abc.com.br. Neste caso a consulta
ser enviada para o servidor DNS da empresa, o qual a autoridade para a



zona abc.com.br, com isso o servidor DNS da empresa, responde
diretamente consulta, informando o nmero IP do servidor rh.abc.com.br.
tambm uma resposta positiva s que com autoridade, ou seja,
respondida diretamente pelo servidor DNS que a autoridade para o
domnio pesquisado, sem a necessidade de usar recurso.

A positive answer (resposta positiva): uma resposta com o resultado
para o nome pesquisado, isto , o nome pde ser resolvido e uma ou mais
informaes associadas ao nome so retornadas para o cliente.

A referral answer (uma referncia): Este tipo de resposta no contm a
resoluo do nome pesquisado, mas sim informaes e referncia a recursos
ou outros servidores DNS que podem ser utilizados para a resoluo do
nome. Este tipo de resposta ser retornado para o cliente, se o servidor DNS
no suportar o mtodo de recurso, descrito anteriormente. As informaes
retornadas por uma resposta deste tipo so utilizadas pelo cliente para
continuar a pesquisa, usando um processo conhecido como interao (o qual
ser descrito mais adiante). O cliente faz a pesquisa em um servidor DNS e
recebe, como resposta, uma referncia a outro recurso ou servidor DNS.
Agora o cliente ir interagir com o novo recurso ou servidor DNS, tentando
resolver o nome. Este processo pode continuar at que o nome seja
resolvido ou at que uma resposta negativa seja retornada, indicando que o
nome no pode ser resolvido. O processo de interao ser descrito mais
adiante.

A negative answer (uma resposta negativa): Esta resposta pode indicar
que um dos seguintes resultados foi obtido em resposta consulta: Um
servidor DNS que autoridade para o domnio pesquisado, informou que o
nome pesquisado no existe neste domnio ou um servidor DNS que
autoridade para o domnio pesquisado, informou que o nome pesquisado
exsite, mas o tipo de registro no confere.

Uma vez retornada a resposta, o resolver interpreta o resultado da resposta (seja
ela positiva ou negativa) e repassa a resposta para o programa que fez a solicitao
para resoluo de nome. O resolver armazena o resultado da consulta no cache
local do DNS.

Dica Importante: O administrador do DNS pode desabilitar o recurso de recurso
em um servidor DNS em situaes onde os usurios devem estar limitados a utilizar
apenas o servidor DNS da Intranet da empresa.

O servidor DNS tambm define tempos mximos para determinadas operaes.
Uma vez atingido o tempo mximo, sem obter uma resposta consulta, o servidor
DNS ir retornar uma resposta negativa:

Intervalo de reenvio de uma consulta recursiva 3 segundos: Este
o tempo que o DNS espera antes de enviar novamente uma consulta (caso
no tenha recebido uma resposta) feita a um servidor DNS externo, duranto
um processo recursivo.

Intervalo de time-out para um consulta recursiva 15 segundos:
Este o tempo que o DNS espera antes de determinar que uma consulta
recursiva, que foi reenviada falhou.

Estes parmetros podem ser alterados pelo Administrador do DNS.



Como funciona o processo de interao

O processo de interao utilizado entre o cliente DNS (resolver) e um ou mais
servidores DNS, quando ocorrerem as condies indicadas a seguir:

O cliente tenta utilizar o processo de recurso, discutido anteriormente, mas
a recurso est desabilitada no servidor DNS.

O cliente no solicita o uso de recurso, ao pesquisar o servidor DNS.

O cliente faz uma consulta ao servidor DNS, informando que esperada a
melhor resposta que o servidor DNS puder fornecer imediatamente, sem
consultar outros servidores DNS.

Quando o processo de interao utilizado, o servidor DNS responde consulta do
cliente com base nas informaes que o servidor DNS tem sobre o domnio
pesquisado. Por exemplo, o servidor DNS da sua rede interna pode receber uma
consulta de um cliente tentando resolver o nome www.abc.com. Se este nome
estiver no cache do servidor DNS ele responde positivamente para o cliente. Se o
nome no estiver no cache do servidor DNS, o servidor DNS responde com uma
lista de servidores de referncia, que uma lista de registros do tipo NS e A (voc
aprender sobre os tipos de registro na parte prtica), registros estes que apontam
para outros servidores DNS, capazes de resolver o nome pesquisado. Ou seja, o
cliente recebe uma lista de servidores DNS para os quais ele deve enviar a
consulta. Observem a diferena bsica entre o processo de recurso e o processo
de interao. Na recurso, o servidor DNS que entra em contato com outros
servidores (root hints), at conseguir resolver o nome pesquisado. Uma vez
resolvido o nome, ele retorna a resposta para o cliente. J no processo de
interao, se o servidor DNS no consegue resolver o nome, ele retorna uma lista
de outros servidores DNS que talvez possam resolver o nome pesquisado. O cliente
recebe esta lista e envia a consulta para os servidores DNS informados. Este
processo (esta interao) continua at que o nome seja resolvido ou que uma
resposta negativa seja recebida pelo cliente, informando que o nome no pode ser
resolvido. Ou seja, no processo de interao, a cada etapa do processo, o servidor
DNS retorna para o cliente, uma lista de servidores DNS a serem pesquisados, at
que um dos servidores responde positivamente (ou negativamente) consulta feita
pelo cliente.

Como funciona o cache nos servidores DNS

O trabalho bsico do servidor DNS responder s consultas enviadas pelos clientes,
quer seja utilizando recurso ou interao. A medida que os nomes vo sendo
resolvidos, esta informao fica armazenada no cache do servidor DNS. Com o uso
do cache, futuras consultas nomes j resolvidos, podem ser respondidas
diretamente a partir do cache do servidor DNS, sem ter que utilizar recurso ou
interao. O uso do cache agiliza o processo de resoluo de nomes e tambm
reduz o trfego de rede gerado pelo DNS.

Quando as informaes so gravadas no cache do servidor DNS, um parmetro
chamado Time-To-Live (TTL) associado com cada informao. Este parmetro
determina quanto tempo a informao ser mantida no cache at ser descartada. O
parmetro TTL utilizado para que as informaes do cache no se tornem
desatualizadas e para minimizar a possibilidade de envio de informaes
desatualizadas em resposta s consultas dos clientes. O valor padro do parmetro
TTL 3600 segundos (uma hora). Este parmetro pode ser configurado pelo



administrador do DNS, conforme ser mostrado na parte prtica, nas partes de 21
a 50, as quais constituem o Mdulo 2 deste curso.

Aviso Importante: Por padro o Servidor DNS utiliza um arquivo chamado
Cache.dns, o qual fica gravado na pasta systemroot\System32\Dns, onde
systemroot representa a pasta onde o Windows 2000 Server ou Windows Server
2003 est instalado. Este arquivo no tem a ver com o Cache de nomes do servidor
DNS. Neste arquivo est contida a lista de servidores root hints (descritos
anteriormente). O contedo deste arquivo carregado na memria do servidor,
durante a inicializao do servio do DNS e utilizado para localizar os servidores
root hints da Internet, servidores estes utilizados durante o processo de recurso,
descrito anteriormente.

Concluso

Nesta parte do tutorial fiz a apresentao do servio mais utilizado pelo TCP/IP:
DNS. Nas prximas partes deste tutorial, falareis sobre os demais servios do
Windows 2000 Server e do Windows Server 2003, diretamente ligados ao TCP/IP,
tais como o DHCP, WINS e RRAS, IPSEC, RIP, etc.




Tutorial de TCP/IP Parte 9 Uma introduo ao DHCP

Introduo

Esta a nona parte do Tutorial de TCP/IP. Na Parte 1 tratei dos aspectos bsicos do
protocolo TCP/IP. Na Parte 2 falei sobre clculos binrios, um importante tpico
Parte 5 apresentei mais alguns exemplos e anlises de como funciona o
roteamento. Na Parte 6 falei sobre a Tabela de Roteamento. Na Parte 7 tratei sobre
a diviso de uma rede em sub-redes, conceito conhecido como subnetting. Na Parte
8 fiz uma apresentao de um dos servios mais utilizados pelo TCP/IP, que o
Domain Name System: DNS. O DNS o servio de resoluo de nomes usado em
todas as redes TCP/IP, inclusive pela Internet que, sem dvidas, a maior rede
TCP/IP existente. Nesta nona parte farei uma introduo ao servio Dynamic Host
Configuration Protocol DHCP.

Definindo DHCP

O DHCP a abreviatura de Dynamic Host Configuration Protocol. O DHCP um
servio utilizado para automatizar as configuraes do protocolo TCP/IP nos
dispositivos de rede (computadores, impressoras, hubs, switchs, ou seja, qualquer
dispositivo conectado rede e que esteja utilizando o protocolo TCP/IP).

Sem o uso do DHCP, o administrador da rede e a sua equipe teriam que configurar,
manualmente, as propriedades do protocolo TCP/IP em cada dispositivo de rede
(genericamente denominados hosts). Com o uso do DHCP esta tarefa pode ser
completamente automatizada. O uso do DHCP traz diversos benefcios, dentro os
quais podemos destacar os seguintes:

Automao do processo de configurao do protocolo TCP/IP nos
dispositivos da rede.

Facilidade de alterao de parmetros tais como Default Gateway, Servidor
DNS e assim por diante, em todos os dispositivos da rede, atravs de uma
simples alterao no servidor DHCP.

Eliminao de erros de configurao, tais como digitao incorreta de uma
mscara de sub-rede ou utilizao do mesmo nmeor IP em dois
dispositivos diferentes, gerando um conflito de endereo IP.

Introduo ao DHCP

Neste tpico apresentarei uma srie de conceitos tericos sobre o funcionamento
do DHCP. Voc aprender como funciona o processo de concesso de endereos IP
(tambm conhecido como lease), aprender sobre os conceitos de escopo,
superescopo, reserva de endereo, ativao do servidor DHCP no Active Directory e
demais conceitos relacionados ao DHCP.




O que o DHCP - Dynamic Host Configuration Protocol?

Voc aprendeu, nas primeiras partes deste tutorial, sobre os fundamentos do
protocolo TCP/IP, que um equipamente de rede, que utiliza o protocolo TCP/IP
precisa que sejam configurados uma srie de parmetros. Os principais parmetros
que devem ser configurados para que o protocolo TCP/IP funcione corretamente
so os seguintes:

Nmero IP
Mscara de sub-rede
Default Gateway (Gateway Padro)
Nmero IP de um ou mais servidores DNS
Nmero IP de um ou mais servidores WINS
Sufixos de pesquisa do DNS

Em uma rede com centenas ou at mesmo milhares de estaes de trabalho,
configurar o TCP/IP manualmente, em cada estao de trabalho uma tarefa
bastante trabalhosa, que envolve tempo e exige uma equipe tcnica para executar
este trabalho. Alm disso, sempre que houver mudanas em algum dos parmetros
de configurao (como por exemplo uma mudana no nmero IP do servidor DNS),
a reconfigurao ter que ser feita manualmente em todas as estaes de trabalho
da rede. Por exemplo, imagine que o nmero IP do Default Gateway teve que ser
alterado devido a uma reestruturao da rede. Neste caso a equipe de suporte teria
que ir de computador em computador, alterando as propriedades do protocolo
TCP/IP, para informar o novo nmero IP do Default Gateway, isto , alterando o
nmero IP antigo do Default Gateway para o novo nmero. Um trabalho e tanto.

Alm disso, com a configurao manual, sempre podem haver erros de
configurao. Por exemplo, basta que o tcnico que est configurando uma estao
de trabalho, digite um valor incorreto para a mscara de sub-rede, para que a
estao de trabalho no consiga mais se comunicar com a rede. E problemas como
este podem ser difceis de detectar. Muitas vezes o tcnico pode achar que o
problema com a placa de rede, com o driver da placa ou com outras
configuraes. At descobrir que o problema um simples erro na mscara de sub-
rede pode ter sido consumido um bom tempo: do tcnico e do funcionrio que
utiliza o computador, o qual ficou sem poder acessar a rede. E hoje em dia sem
acesso rede significa, na prtica, sem poder trabalhar.

Bem, descrevo estas situaes apenas para ilustrar o quanto difcil e oneroso
manter a configurao do protocolo TCP/IP manualmente, quando temos um
grande nmero de estaes de trabalho em rede. Pode at nem ser to grande
este nmero, com redes a partir da 30 ou 50 estaes de trabalho j comea a ficar
difcil a configurao manual do protocolo TCP/IP.

Para resolver esta questo e facilitar a configurao e administrao do protocolo
TCP/IP que foi criado o DHCP. DHPC a abreviatura de: Dynamic Host
Configuration Protocol (Protocolo de configurao dinmica de hosts). Voc pode
instalar um ou mais servidores DHCP em sua rede e fazer com que os
computadores e demais dispositivos que precisem de configuraes do TCP/IP,
obtenham estas configuraes, automaticamente, a partir do servidor DHCP.




Por exemplo, considere uma estao de trabalho configurada para utilizar o DHCP.
Durante a inicializao, esta estao de trabalho entra em um processo de
descobrir um servidor DHCP na rede (mais adiante detalharei como este
processo de descoberta do servidor DHCP). Uma vez que a estao de trabalho
consegue se comunicar com o servidor DHCP, ela recebe todas as configuraes do
protocolo TCP/IP, diretamente do servidor DHCP. Ou seja, com o uso do DHCP, o
administrador pode automatizar as configuraes do protocolo TCP/IP em todas os
computadores da rede.

Com o uso do DHCP, a distribuio de endereos IP e demais configuraes do
protocolo TCP/IP (mscara de sub-rede, default gateway, nmero IP do servidor
DNS e assim por diante) automatizada e centralizadamente gerenciada. O
administrador cria faixas de endereos IP que sero distribudas pelo servidor DHCP
(faixas estas chamadas de escopos) e associa outras configuraes com cada faixa
de endereos, tais como um nmero IP do Default Gateway, a mscara de sub-
rede, o nmero IP de um ou mais servidores DNS, o nmero IP de um ou mais
servidores WINS e assim por diante.

Todo o trabalho de configurao do protocolo TCP/IP que teria que ser feito
manualmente, agora pode ser automatizado com o uso do DHCP. Imagine somente
uma simples situao, mas que serve para ilustrar o quanto o DHCP til. Vamos
supor que voc o administrador de uma rede com 3000 estaes de trabalho.
Todas as estaes de trabalho esto configuradas com o protocolo TCP/IP. As
configuraes so feitas manualmente, no utilizado um servidor DHCP na rede.
Voc utiliza um nico servidor externo, do seu provedor de Internet, com servidor
DNS. O nmero IP deste servidor DNS est configurado em todas as estaes de
trabalho da rede. O seu Provedor de Internet sofreu uma reestruturao e teve que
alterar o nmero IP do servidor DNS (veja que uma situao que est fora do
controle do administrador da rede, j que a alterao foi no servidor DNS do
provedor). Como voc configura o TCP/IP manulamente nos computadores da rede,
s resta uma soluo: pr a sua equipe em ao para visitar as 3000 estaes de
trabalho da rede, alterando o nmero IP do servidor DNS em cada uma delas. Em
cada estao de trabalho o tcnico ter que acessar as propriedades do protocolo
TCP/IP e alterar o endereo IP do servidor DNS para o novo endereo. Um trabalho
e tanto, sem contar que podem haver erros durante este processo.

Agora imagine esta mesma situao, s que ao invs de configurar o TCP/IP
manualmente voc est utilizando o DHCP para fazer as configuraes do TCP/IP
automaticamente. Nesta situao, quando houve a alterao do nmero IP do
servidor DNS, bastaria alterar esta opo nas propriedades do escopo de endereos
IP no servidor DHCP e pronto. Na prxima reinicializao, os computadores da rede
j receberiam o novo nmero IP do servidor DNS, sem que voc ou um nico
membro da sua equipe tivesse que reconfigurar uma nica estao de trabalho.
Bem mais simples, mais produtivo e menos propenso a erros.

Isso o DHCP, um servio para configurao automtica do protocolo
TCP/IP nos computadores e demais dispositivos da rede que utilizam o
protocolo TCP/IP. Configurao feita de maneira automtica e centralizada. Em
redes baseadas em TCP/IP, o DHCP reduz a complexidade e a quantidade de
trabalho administrativo envolvido na configurao e reconfigurao do protocolo
TCP/IP.




Nota: A implementao do DHCP no Windows 2000 Server e no Windows Server
2003 baseada em padres definidos pelo IETF. Estes padres so definidos em
documentos conhecidos como RFCs (Request for Comments). As RFCs que definem
os padres do DHCP so as seguintes:

RFC 2131: Dynamic Host Configuration Protocol (substitui a RFC 1541)
RFC 2132: DHCP Options and BOOTP Vendor Extensions

As RFCs a seguir tambm podem ser teis para compreender como o DHCP usado
com outros servios na rede:

RFC 0951: The Bootstrap Protocol (BOOTP)
RFC 1534: Interoperation Between DHCP and BOOTP
RFC 1542: Clarifications and Extensions for the Bootstrap Protocol
RFC 2136: Dynamic Updates in the Domain Name System (DNS UPDATE)
RFC 2241: DHCP Options for Novell Directory Services
RFC 2242: Netware/IP Domain Name and Information

O site oficial, a partir da qual voc pode copiar o contedo integral das RFCs
disponveis o seguinte:

http://www.rfc-editor.org/

Termos utilizados no DHCP

O DHCP composto de diverses elementos. O servidor DHCP e os clientes DHCP.
No servidor DHCP so criados escopos e definidas as configuraes que os clientes
DHCP iro receber. A seguir apresento uma srie de termos relacionados ao DHCP.
Estes termos sero explicados em detalhes at o final desta lio.

Termos utilizados no DHCP:

Servidor DHCP: um servidor com o Windows 2000 Server ou com o
Windows Server 2003, onde foi instalado e configurado o servio DHCP.
Aps a instalao de um servidor DHCP ele tem que ser autorizado no Active
Directory, antes que ele possa, efetivamente, atender a requisies de
clientes. O procedimento de autorizao no Active Directory uma medida
de segurana, para evitar que servidores DHCP sejam introduzidos na rede
sem o conhecimento do administrador. O servidor DHCP no pode ser
instalado em um computador com o Windows 2000 Professional, Windows
XP Professional ou Windows Vista.

Cliente DHCP: qualquer dispositivo de rede capaz de obter as
configuraes do TCP/IP a partir de um servidor DHCP. Por exemplo, uma
estao de trabalho com o Windows 95/98/Me, Windows NT Workstation
4.0, Windows 2000 Professional, Windows XP, Windows Vista, uma
impressora com placa de rede habilitada ao DHCP e assim por diante.

Escopo: Um escopo o intervalo consecutivo completo des endereos IP
possveis para uma rede (por exemplo, a faixa de 10.10.10.100 a
10.10.10.150, na rede 10.10.10.0/255.255.255.0). Em geral, os escopos
definem uma nica sub-rede fsica, na rede na qual sero oferecidos
servios DHCP. Os escopos tambm fornecem o mtodo principal para que o
servidor gerencie a distribuio e atribuio de endereos IP e outros



parmetros de configurao para clientes na rede, tais como o Default
Gateway, Servidor DNS e assim por diante..

Superescopo: Um superescopo um agrupamento administrativo de
escopos que pode ser usado para oferecer suporte a vrias sub-redes IP
lgicas na mesma sub-rede fsica. Os superescopos contm somente uma
lista de escopos associados ou escopos filho que podem ser ativados em
cojunto. Os superescopos no so usados para configurar outros detalhes
sobre o uso de escopo. Para configurar a maioria das propriedades usadas
em um superescopo, voc precisa configurar propriedades de cada escopo
associado, individualmente. Por exemplo, se todos os computadores devem
receber o mesmo nmero IP de Default Gateway, este nmero tem que ser
configurado em cada escopo, individualmente. No tem como fazer esta
configurao no Superescopo e todos os escopos (que compem o
Superescopo), herdarem estas configuraes.

Intervalo de excluso: Um intervalo de excluso uma seqncia
limitada de endereos IP dentro de um escopo, excludo dos endereos que
so fornecidos pelo DHCP. Os intervalos de excluso asseguram que
quaisquer endereos nesses intervalos no so oferecidos pelo servidor para
clientes DHCP na sua rede. Por exemplo, dentro da faixa 10.10.10.100 a
10.10.10.150, na rede 10.10.10.0/255.255.255.0 de um determinado
escopo, voc pode criar uma faixa de excluso de 10.10.10.120 a
10.10.10.130. Os endereos da faixa de excluso no sero utilizados pelo
servidor DHCP para configurar os clientes DHCP.

Pool de endereos: Aps definir um escopo DHCP e aplicar intervalos de
excluso, os endereos remanescentes formam o pool de endereos
disponveis dentro do escopo. Endereos em pool so qualificados para
atribuio dinmica pelo servidor para clientes DHCP na sua rede. No nosso
exemplo, onde temos o escopo com a faixa 10.10.10.100 a 10.10.10.150,
com uma faixa de excluso de 10.10.10.120 a 10.10.10.130, o nosso pool
de endereos formado pelos endereos de 10.10.10.100 a 10.10.10.119,
mais os endereos de 10.10.10.131 a 10.10.10.150.

Concesso: Uma concesso um perodo de tempo especificado por um
servidor DHCP durante o qual um computador cliente pode usar um
endereo IP que ele recebeu do servidor DHCP (diz-se atribudo pelo
servidor DHCP). Uma concesso est ativa quando ela est sendo utilizada
pelo cliente. Geralmente, o cliente precisa renovar sua atribuio de
concesso de endereo com o servidor antes que ela expire. Uma concesso
torna-se inativa quando ela expira ou excluda no servidor. A durao de
uma concesso determina quando ela ir expirar e com que freqncia o
cliente precisa renov-la no servidor.

Reserva: Voc usa uma reserva para criar uma concesso de endereo
permanente pelo servidor DHCP. As reservas asseguram que um dispositivo
de hardware especificado na sub-rede sempre pode usar o mesmo endereo
IP. A reserva criada associada ao endereo de Hardware da placa de rede,
conhecido como MAC-Address. No servidor DHCP voc cria uma reserva,
associando um endereo IP com um endereo MAC. Quando o computador
(com o endereo MAC para o qual existe uma reserva) inicializado, ele
entre em contato com o servidor DHCP. O servidor DHCP verifica que existe
uma reserva para aquele MAC-Address e configura o computador com o
endereo IP associado ao Mac-address. Caso haja algum problema na placa



de rede do computador e a placa tenha que ser substituda, mudar o MAC-
Address e a reserva anterior ter que ser excluda e uma nova reserva ter
que ser criada, utilzando, agora, o novo Mac-Address.

Tipos de opo: Tipos de opo so outros parmetros de configurao do
cliente que um servidor DHCP pode atribuir aos clientes. Por exemplo,
algumas opes usadas com freqncia incluem endereos IP para gateways
padro (roteadores), servidores WINS (Windows Internet Name System) e
servidores DNS (Domain Name System). Geralmente, esses tipos de opo
so ativados e configurados para cada escopo. O console de Administrao
do servio DHCP tambm permite a voc configurar tipos de opo padro
que so usados por todos os escopos adicionados e configurados no
servidor. A maioria das opo predefinida atravs da RFC 2132, mas voc
pode usar o console DHCP para definir e adicionar tipos de opo
personalizados, se necessrio.

Como o DHCP funciona

O DHCP utiliza um modelo cliente/servidor. O administrador da rede instala e
configura um ou mais servidores DHCP. As informaes de configurao escopos
de endereos IP, reservas e outras opes de configurao so mantidas no
banco de dados dos servidores DHCP. O banco de dados do servidor inclui os
seguintes itens:

Parmetros de configurao vlidos para todos os cliente na rede (nmero
IP do Default Gateway, nmero IP de um ou mais servidores DNS e assim
por diante). Estas configuraes podem ser diferentes para cada escopo.

Endereos IP vlidos mantidos em um pool para serem atribudos aos
clientes alm de reservas de endereos IP.

Durao das concesses oferecidas pelo servidor. A concesso define o
perodo de tempo durante o qual o endereo IP atribudo pode ser utilizado
pelo cliente. Conforme mostrarei mais adiante, o cliente tenta renovar esta
concesso em perodos definidos, antes que a concesso expire.

Com um servidor DHCP instalado e configurado na rede, os clientes com DHCP
podem obter os endereos IP e os parmetros de configurao relacionados,
dinamicamente, sempre que forem inicializados. Os servidores DHCP fornecem essa
configurao na forma de uma oferta de concesso de endereo para os clientes
solicitantes.

Clientes suportados pelo DHCP

O termo Cliente utilizado para descrever um computador ligado rede e que
obtm as configuraes do protocolo TCP/IP a partir de um servidor DHCP.
Qualquer computador com o Windows (qualquer verso) instalado ou outros
dispositivos, capazes de se comunicar com o servidor DHCP e obter as
configuraes do TCP/IP a partir do servidor DHCP, considerado um cliente DHCP.

Os clientes DHCP podem ser quaisquer clientes baseados no Microsoft Windows ou
outros clientes que oferecem suporte e so compatveis com o comportamento do
cliente descrito no documento padro de DHCP, que a RFC 2132, publicado pela
Internet Engineering Task Force - IETF.




Exemplo prtico: Configurando um cliente baseado no Windows para que seja um cliente
do DHCP: Para configurar um computador com o Windows 2000 para ser um cliente DHCP,
siga os passos indicados a seguir:

1. Faa o logon com a conta de Administrador ou com uma conta com
permisso de administrador.

2. Abra o Painel de controle: Iniciar -> Configuraes -> Painel de controle.

3. Abra a opo Conexes dial-up e de rede.

4. Clique com o boto direito do mouse na conexo de rede local a ser
configurada. No menu de opes que exibido clique em Propriedades.

5. Ser exibida a janela de propriedades da conexo de rede local.

6. Clique na opo Protocolo Internet (TCP/IP) para selecion-la. Clique no
boto Propriedades, para abrir a janela de propriedades do protocolo TCP/IP.

7. Nesta janela voc pode configurar o endereo IP, a mscara de sub-rede e o
Gateway padro, manualmente. Para isso basta marcar a opo Utilizar o seguinte
endereo IP e informar os endereos desejados.

8. Para configurar o computador para utilizar um servidor DHCP, para obter as
configuraes do TCP/IP automaticamente, marque a opo Obter um endereo
IP automaticamente, conforme indicado na Figura a seguir. Marque tambm a
opo Obter o endereo dos servidores DNS automaticamente, para obter o
endereo IP do servidor DNS a partir das configuraes fornecidas pelo DHCP.

Figura - Configurando o cliente para usar o DHCP.



9. Clique em OK para fechar a janela de propriedades do TCP/IP.

10. Voc estar de volta janela de propriedades da conexo de rede local.

11. Clique em OK para fech-la e aplicar as alteraes efetudas. Ao clicar em
OK, o cliente DHCP j tentar se conectar com um servidor DHCP e obter as
configuraes do protocolo TCP/IP, a partir do servidor DHCP.

O servidor DHCP d suporte as seguintes verses do Windows (e do MS- DOS) com
clientes DHCP:

Windows Longhorn Server
Windows Vista
Windows Server 2003 (todas as edies)
Windows 2000 Server (todas as edies)
Windows XP Home e Professional
Windows NT (todas as verses lanadas)
Windows Me
Windows 98
Windows 95
Windows for Workgroups verso 3.11 (com o Microsoft 32 bit TCP/IP VxD
instalado)
Microsoft-Network Client verso 3.0 para MS-DOS (com o driver TCP/IP de
modo real instalado)
LAN Manager verso 2.2c

Um recurso de nome esquisito APIPA

APIPA a abreviatura de Automatic Private IP Addressing. Esta uma nova
funcionalidade que foi introduzida no Windows 98, est presente no Windows 2000,
Windows XP, Windows Vista, Longhorn Server e no Windows Server 2003. Imagine
um cliente com o protocolo TCP/IP instalado e configurado para obter as
configuraes do protocolo TCP/IP a partir de um servidor DHCP. O cliente
inicializado, porm no consegue se comunicar com um servidor DHCP. Neste
situao, o Windows, usa o recurso APIPA, e automaticamente atribui um endereo
IP da rede 169.254.0.0/255.255.0.0. Este um dos endereos especiais,
reservados para uso em redes internas, ou seja, este no seria um endereo de
rede, vlido na Internet. A seguir descrevo mais detalhes sobre a funcionalidade
APIPA.

No esquea: O nmero de rede usado pelo recurso APIPA o seguinte:
169.254.0.0/255.255.0.0

Nota: O recurso APIPA especialmente til para o caso de uma pequena rede, com
4 ou 5 computadores, onde no existe um servidor disponvel. Neste caso voc
pode configurar todos os computadores para usarem o DHCP. Ao inicializar, os
clientes no conseguiro localizar um servidor DHCP (j que no existe nenhum
servidor DHCP nesta rede do nosso exemplo). Neste caso o recurso APIPA atribuir
endereos da rede 169.254.0.0/255.255.0.0 para todos os computadores da rede.
O resultado final que todos ficam configurados com endereos IP da mesma rede
e podero se comunicar, compartilhando recursos entre si. uma boa soluo para
um rede domstica ou de um pequeno escritrio.




Configurao automtica do cliente

Se os clientes estiverem configurados para usar um servidor DHCP (em vez de
serem configurados manualmente com um endereo IP e outros parmetros), o
servio do cliente DHCP entrar em funcionamento a cada vez que o computador
for inicializado. O servio do cliente DHCP usa um processo de trs etapas para
configurar o cliente com um endereo IP e outras informaes de configurao.

O cliente DHCP tenta localizar um servidor DHCP e obter as configuraes do
protocolo TCP/IP, a partir desse servidor.

Se um servidor DHCP no puder ser encontrado, o cliente DHCP configura
automaticamente seu endereo IP e mscara de sub-rede usando um
endereo selecionado da rede classe B reservada, 169.254.0.0, com a
mscara de sub-rede, 255.255.0.0 (recurso APIPA). O cliente DHCP ir fazer
uma verificao na rede, para ver se o endereo que ele est se auto-
atribuindo (usando o recurso APIPA) j no est em uso na rede. Se o
endereo j estiver em uso ser caracterizado um conflito de endereos. Se
um conflito for encontrado, o cliente selecionar outro endereo IP. A cada
conflito de endereo, o cliente ir tentar novamente a configurao
automtica aps 10 tentativas ou at que seja utilizado um endereo que
no gere conflito.

Depois de selecionar um endereo no intervalo de rede 169.254.0.0 que no
est em uso, o cliente DHCP ir configurar a interface com esse endereo. O
cliente continua a verificar se um servidor DHCP no est disponvel. Esta
verificao feita a cada cinco minutos. Se um servidor DHCP for
encontrado, o cliente abandonar as informaes configuradas
automaticamente (endereo da rede 169.254.0.0/255.255.0.0). Em seguida,
o cliente DHCP usar um endereo oferecido pelo servidor DHCP (e
quaisquer outras informaes de opes de DHCP fornecidas) para atualizar
as definies de configurao IP.

Caso o cliente DHCP j tenha obtido previamente uma concesso de um servidor
DHCP (durante uma inicializao anterior) e esta concesso ainda no tenha
expirado, ocorrer a seguinte seqncia modificada de eventos, em relao a
situao anterior:

Se a concesso de cliente ainda estiver vlida (no expirada) no momento
da inicializao, o cliente ir tentar renovar a concesso com o servidor
DHCP.

Se durante a tentativa de renovao o cliente no conseguir localizar
qualquer servidor DHCP, ele ir tentar efetuar o ping no gateway padro que
ele recebeu do servidor DHCP anteriormente. Dependendo do sucesso ou
falha do ping, o cliente DHCP proceder conforme o seguinte:

1. Se um ping para o gateway padro for bem-sucedido, o cliente
DHCP presumir que ainda est localizado na mesma rede em que
obteve a concesso atual e continuar a usar a concesso. Por
padro, o cliente ir tentar renovar a concesso quando 50 por cento
do tempo de concesso tiver expirado.




2. Se uma solicitao de ping do gateway padro falhar, o cliente
presumir que foi movido para uma rede em que no esto
disponveis servidores DHCP, como uma rede domstica ou uma rede
de uma pequena empresa, onde no est disponvel servidor DHCP
(pode ser o exemplo de um vendedor conectando um notebook em
um ponto da rede de um pequeno cliente).

O cliente ir configurar automaticamente o endereo IP conforme descrito
anteriormente. Uma vez que configurado automaticamente, o cliente continua a
tentar localizar um servidor DHCP a cada cinco minutos e obter uma nova
concesso de endereo IP e de demais configuraes.

No esquea: APIPA isso. A sigla mais complicada do que a funcionalidade. Se
voc est se preparando para os exames de Certificao do Windows 2000 Server,
fique atento a esta funcinalidade. Normalmente aparecem questes envolvendo
conhecimentos desta funcionalidade.

Concluso

Nesta parte do tutorial fiz a apresentao do servio de configurao automtica de
hosts TCP/IP: DHCP. Nas prximas partes deste tutorial, falarei sobre os demais
servios do Windows 2000 Server e do Windows Server 2003, diretamente ligados
ao TCP/IP, tais como o WINS e RRAS.




Tutorial de TCP/IP Parte 10 Uma introduo ao WINS

Introduo

Esta a dcima parte do Tutorial de TCP/IP. Na Parte 1 tratei dos aspectos bsicos
de uma rede em sub-redes, conceito conhecido como subnetting. Na Parte 8 fiz
Name System: DNS. O DNS o servio de resoluo de nomes usado em todas as
existente. Na Parte 9 fiz uma apresentao do servio Dynamic Host Configuration
Protocol DHCP. Nesta dcima parte falarei sobre mais um servio de rede do
Windows 2000 Server e Windows Server 2003: WINS

O WINS a abreviatura de Windows Internet Name Services. um servio de
resoluo de nomes. Mais um? O DNS j no um servio de resoluo de nomes?
Sim para as duas questes. O WINS mais um servio de resoluo de nomes, que
mantido por questes de compatibilidade com verses anteriores do Windows
(95, 98, Me, 3.11) e de compatibilidade com aplicaes mais antigas, que ainda
dependam da resoluo de nomes NetBios, a qual feita pelo WINS.

Todo computador tem dois nomes: um chamado nome de hosts e um nome
NetBios. Claro que estes nomes devem ser iguais. Por exemplo, o computador
micro01.abc.com.br tem um nome de host micro01 e, por coerncia, o nome
NetBios tambm deve ser micro01. Eu digo deve ser, porque em clientes mais
antigos, tais como o Windows 95, Windows 98 ou Windows Me, o nome de host e o
nome NetBios so configurados em diferentes opes do Windows e podem ser
diferentes, embora no seja nada coerente configurar nomes diferentes.

O WINS um servio que permite que os clientes faam o registro do nome
NetBios, dinamicamente durante a inicializao. O cliente registra o seu nome
NetBios e o respectivo endereo IP. Com isso o WINS vai criando uma base de
nomes NetBios e os respectivos endereos IP, podendo fornecer o servio de
resoluo de nomes NetBios na rede.

Conforme voc ver nesta introduo, o WINS apresenta um espao de nomes
chamado plano (flat), sem domnio e sem nenhuma hierarquia (muito diferente do
que acontece no DNS, onde temos um espao denomes hierrquico, conforme
descrito na Parte 9 deste tutorial).

Entendendo o que e como funciona o WINS

O Windows Internet Name Service WINS um servio para resoluo de nomes.
Mais um, pode perguntar o amigo leitor. Sim, alm do DNS o Windows 2000 Server
(a exemplo do Windows Server 2003 e do NT Server 4.0) tambm fornece mais um
servio para resoluo de nomes WINS.

O WINS tem muitas diferenas em relao ao DNS. A primeira e fundamental delas
que o WINS no forma um espao de nomes hierrquico como o DNS. O espao
de nomes do WINS plano (flat).



Em uma base de dados WINS fica registrado apenas o nome NetBios do
computador e o respectivo nmero IP. Poderamos at dizer que o WINS est para
a resoluo de nomes NetBios, assim como o DNS est para a resoluo de nomes
FQDN (descritos na Parte 9).

A grande questo que continua : Porque dois servios diferentes para a resoluo
de nomes?? O que acontece que at o NT Server 4.0, o WINS era o servio de
resoluo de nomes mais utilizado e o suporte ao DNS s er obrigatrio se aglum
servio dependesse do DNS. Na poca do NT Server 4.0, com a maioria dos clientes
baseados em Windows 95/98 (ou at mesmo Windows 3.11), o WINS era o servio
de nomes mais utilizado. Porm a partir do Windows 2000 Server, com o Active
Directory, o DNS passou a ser o servio preferencial para a resoluo de nomes (e
obrigatrio para o caso do Active Directory).

Porm da mudana do WINS para o DNS, obviamente que existe um perodo de
transio. exatamente este perodo que estamos vivendo, ou seja, com clientes
(Windows 95/98/Me) e aplicativos que ainda dependem do WINS. Por isso que,
muito provavelmente, voc ainda precsar do WINS para dar suporte a estes
clientes e aplicativos mais antigos, ainda dependentes do WINS.

Com o WINS, sempre que um cliente configurado para utilizar um servidor WINS,
inicializado, o cliente, automaticamente, registra o seu nome NetBios e o respectivo
endereo IP, na base de dados do servidor configurado como Wins Primrio, nas
propriedades do TCP/IP do cliente. Os nomes NetBios podem ter at 15 caracteres.
Na verdade so 16 caracteres, mas o dcimo sexto reservado para uso do
sistema operacional. O Windows 2000 Server registra, para um mesmo
computador, o nome NetBios mais de uma vez, apenas mudando o dcimo sexto
caractere. Este caractere indica um servio especfico no computador. Falarei mais
sobre estes nomes logo adiante.

Algumas caractersticas do WINS

O WINS apresenta as seguintes caractersticas:

Um banco de dados dinmico de nomes NetBios para endereo IP, o qual
fornece o suporte para resoluo e registro do nome NetBios dos
computadores da rede. O servio WINS instalado em um ou mais
servidores da rede. O nmero IP do servidor WINS deve ser informado nos
clientes, quer seja configurando manualmente as propriedades do protocolo
TCP/IP do cliente, quer seja atravs do uso do DHCP para efetuar estas
configuraes.

Gerenciamento centralizado do banco de dados de nome para endereo,
minorando a necessidade de gerenciamento de arquivos Lmhosts. O arquivo
Lmhosts um arquivo de texto, na qual podem ser criadas entradas para
resoluo de nomes NetBios. O arquivo Lmhosts fica na pasta
systemroot\system32\drivers\etc, onde systemroot representa a pasta onde
est instalado o Windows 2000 Server, Windows XP ou Windows Server
2003. Podemos dizer que o Lmhosts representa para o WINS, o mesmo que
o arquivo hosts representa para o DNS. Na verdade, na pasta indicada
anteriormente, gravado, por padro, um arquivo chamado Lmhosts.sam.
O administrador, caso necessite utilizar um arquivo Lmhosts, pode renomear
este arquivo (de Lmhosts.sam para Lmhosts) e criar as entradas
necessrias.



O uso do WINS fornece Reduo de trfego de broadcast, gerado para a
reosluo de nome NetBios. Se os clientes dependentes do WINS, no
estiverem configurados com o nmero IP de pelo menos um servidor WINS,
eles iro gerar trfego de Broadcast na rede local, para tentar resolver
nomes. Por padro os roteadores bloqueiam trfego de broadcast. Com isso,
sem o uso do WINS, para clientes que dependem do WINS, no haveria
como fazer a resoluo de nomes de servidores que esto em outras redes
(redes remotas, ligadas atravs de links de WAN e roteadores). Atravs do
mecanismo de replicao, possvel manter vrios servidores WINS, em
diferentes redes, com o mesmo banco de dados, com informaes de todos
os computadores da rede, mediante o uso de replicao.

possvel integrar o WINS com o DNS, para que o WINS possa respodner
consultas s quais o DNS no conseguiu responder.

Como saber se ainda devo utilizar o WINS?

Pode parecer que o WINS tem muitas vantagens, ento deve realmente ser
utilizado. No bem assim. S justificado o uso do WINS se houver verses
antigas do Windows (Windows 3.11, Windows 95, Windows 98 ou Windows Me) ou
aplicaes que dependam do WINS. Neste tem vou detalhar um pouco mais sobre
em que situaes voc ainda ter que utilizar o WINS.

Antes de mostrar quando voc deve utilizar, vou descrever algumas situaes em
que, com certeza, voc no precisar utilizar o WINS:

A sua rede baseada apenas em servidores como Windows 2000 Server ou
Windows Server 2003 e os clientes so baseados no Windows 2000
Professional, Windows XP Professional ou Windows Vista. Com uma rede
nesta situao, com certeza o DNS est instalado e funcionando. Nesta
situao no existe nenhuma dependncia do WINS para a resoluo de
nomes, uma vez que o DNS atende perfeitamente a necessidade de
resoluo de nomes no cenrio proposto.

Se voc tem uma pequena rede, com at 20 computadores, localizados em
um nico escritrio, e a rede utilizada para compartilhamento de arquivos,
impressoras e para aplicaes, no necessrio o uso do WINS. Mesmo que
alguns clientes ou aplicaes necessitem de resoluo de nome NetBios,
podero faz-lo, sem problemas, usando broadcast. Devido ao pequeno
nmero de computadores, o trfego de broadcast, devido resoluo de
nomes NetBios no representar um problema.

Ao decidir se precisa usar o WINS, voc deve primeiro considerar as seguintes
questes:

Tenho computadores na rede que exigem o uso de nomes de NetBIOS?
Lembre que todos os computadores em rede que estiverem sendo
executados com um sistema operacional da Microsoft antigo, como as
verses do MS-DOS, Windows 95/98 ou Windows NT 3.51/4.0, exigem
suporte a nomes de NetBIOS. O Windows 2000 o primeiro sistema
operacional da Microsoft que no requer mais a nomeao de NetBIOS.
Portanto, os nomes de NetBIOS ainda podem ser exigidos na rede para
fornecer servios de compartilhamento de arquivo e impresso bsicos e
para oferecer suporte a diversas aplicaes existentes, as quais ainda
dependam da resoluo de nomes NetBios. Por exemplo, um cliente baseado



no Windows 95, depende do nome NetBios do servidor, para poder acessar
uma pasta compartilhada no servidor. Voc no conseguir usar o nome
DNS do sevidor, como por exemplo: \\srv01.abc.com\documentos, em
clientes com verses antigas do Windows, conforme as descritas no incio
deste pargrafo. Nestes clientes voc tem que usar o nome NetBios do
servidor, como por exemplo: \\srv01\documentos.

Todos os computadores na rede esto configurados e so capazes de
oferecer suporte ao uso de outro tipo de nomeao de rede, como por
exemplo o DNS (Domain Name System, sistema de nomes de domnios)? A
nomeao de rede um servio vital para a localizao de computadores e
recursos por toda a rede, mesmo quando os nomes NetBIOS no sejam
exigidos. Antes de decidir eliminar o suporte a nomes de NetBIOS ou WINS,
certifique-se de que todos os computadores e programas na rede so
capazes de funcionar usando outro servio de nomes, como o DNS. Nesta
etapa muito importante que voc tenha um inventrio de software
atualizado. Com o inventrio de software voc tem condio de saber quais
programas ainda dependem da resoluo de nomes NetBios.

Os clientes WINS que estejam executando sob o Windows 2000, Windows Server
2003 ou Windows XP Professional, so configurados por padro para usar primeiro
o DNS para resolver nomes com mais de 15 caracteres ou que utilizem pontos (".")
dentro do nome. Para nomes com menos de 15 caracteres e que no utilizem
pontos, o Windows primeira tenta resolver o nome usando WINS (se este estiver
configurado), caso o WINS venha a falhar, o DNS ser utilizado na tentativa de
resolver o nome.

Clientes suportados pelo WINS

O WINS suportado por uma grande variedade de clientes, conforme descrito na
lista a seguir:

Windows Server 2003
Windows 2000
Windows NT 3.5 ou superior
Windows 95/98/Me
Windows for Workgroups 3.11
MS-DOS com Cliente de Rede Microsoft verso 3
MS-DOS com LAN Manager verso 2.2c
Clientes Linux e UNIX, rodando o servo Samba

Nota: possvel criar entradas estticas no WINS (criadas manualmente), para
clientes no suportados pelo WINS. Porm esta no uma prtica recomendada e
somente deve ser utilizada quando for absolutamente necessria.

No esquea: Fique atento a este ponto, ou seja, criao de entradas estticas.
Por exemplo, se voc tem clientes antigos, como o Windows 95 ou Windows 98,
que precisam acessar recursos em um servidor UNIX ou Linux, o qual no pode ser
cliente do WINS, ou seja, no capaz de registrar seu nome no WINS, o que fazer?
Neste caso voc deve criar uma entrada esttica no WINS, para o nome do servidor
UNIX ou Linux e o respectivo endereo IP. Com isso, os clientes mais antigos
podero acessar os recursos do servidor UNIX.




Como funciona o WINS

Os servidores WINS mantm uma base de dados com nomes dos clientes
configurados para utilizar o WINS e os respectivos endereos IP. Quando uma
estao de trabalho configurada para utilizar o WINS inicializada, ela registra o
seu nome NetBios e o seu endereo IP no banco de dados do servidor WINS. A
estao de trabalho utiliza o servidor WINS, cujo endereo IP est configurado
como WINS Primrio, nas propriedades do protocolo TCP/IP (quer estas
configuraes tenham sido feitas manualmente ou via DHCP. Para informaes
detalhadas sobre o DHCP, consulte a Parte 9 deste tutorial). Quando o cliente
desligado, o registro do nome e do endereo IP liberado no servidor WINS. Com
isso a base de dados do WINS criada e mantida, dinamicamente.

Os nomes NetBios podem ter, no mximo 15 caracteres. Um 16 caractere
registrado pelo servio WINS. Este caractere adicional utilizado para indicar um
determinado tipo de servio. Por exemplo, um servidor pode ter o seu nome
registrado no WINS vrias vezes. O que diferencia um registro do outro o 16
caractere, o qual indica diferentes servios. O 16 caractere est no formato de
nmero Hexadecimal. A seguir, a ttulo de exemplo, alguns dos valores possveis
para o 16 caractere e o respectivo significado:

nome_de_domnio[1Bh]: Registrado por cada controlador de domnio do
Windows NT Server 4.0 que esteja executando como PDC (Primary Domain
Controller) do respectivo domnio. Esse registro de nome usado para
permitir a procura remota de domnios. Quando um servidor WINS
consultado para obteno desse nome, ele retorna o endereo IP do
computador que registrou o nome.

nome_de_computador[1Fh]: Registrado pelo servio Network Dynamic Data
Exchange (NetDDE, intercmbio dinmico de dados de rede). Ele aparecer
somente se os servios NetDDE forem iniciados no computador.

Voc pode exibir a lista de nomes (na verdade o mesmo nome, apenas
diferenciando o 16 caractere) registrados para um determinado computador,
utilizando o seguinte comando:

nbtstat a nome_do_computador

Por exemplo, o comando a seguir retorna a lista de nomes registrados no WINS,
pelo computador chamado servidor:

nbtstat a servidor

Este comando retorna o resultado indicado a seguir:

C:\>nbtstat -a servidor

Local Area Connection:
Node IpAddress: [10.10.20.50] Scope Id: []

NetBIOS Remote Machine Name Table

Name Type Status
-------------------------------------------
SERVIDOR <00> UNIQUE Registered



GROZA <00> GROUP Registered
GROZA <1C> GROUP Registered
GROZA <1B> UNIQUE Registered
GROZA <1E> GROUP Registered
GROZA <1D> UNIQUE Registered
..__MSBROWSE__. <01> GROUP Registered
INet~Services <1C> GROUP Registered
IS~SERVIDOR.... <00> UNIQUE Registered
ADMINISTRADOR <03> UNIQUE Registered

MAC Address = 00-00-21-CE-01-11

Para que as estaes de trabalho da rede possam utilizar o servidor WINS, basta
informar o nmero IP do servidor WINS nas propriedades avanadas do protocolo
TCP/IP da estao de trabalho. Uma vez configurado com o nmero IP do servidor
WINS, o cliente, durante a inicializao, registra o seu nome NetBios,
automaticamente com o servidor WINS.

O cliente WINS utiliza diferentes mtodos para a resoluo de nomes NetBios. Estes
diferentes mtodos so identificados como: b-node, p-node, m-node e h-node. A
seguir descrevo a diferena entre estes mtodos:

b-node: Um cliente configurado com este mtodo de resoluo utiliza
somente broadcast para a resoluo de nomes NetBios. Se no houver um
servidor WINS na rede ou o servidor WINS no estiver configurado nas
propriedades avanadas do TCP/IP, este o mtodo padro utilizado.

p-node: Utiliza somente o servidor WINS. Se o WINS falhar em resolver o
nome, o cliente no tentar outro mtodo.

m-node: Utiliza primeiro broadcast, se no conseguir resolver o nome
usando broadcast, ento utiliza o servidor WINS.

h-node: Primeiro utiliza o servidor WINS, somente se o WINS falhar que
ser tentado o broadcast. Este mtodo reduz o trfego de broadcast na
rede. o mtodo padro para clientes configurados para utilizar um servidor
WINS.

Concluso

Nesta parte do tutorial fiz a apresentao do servio WINS. Nas prximas partes
deste tutorial, falarei sobre os demais servios do Windows 2000 Server e do
Windows Server 2003, diretamente ligados ao TCP/IP, tais como o RRAS e IPSec.




Tutorial de TCP/IP Parte 11 TCP UDP e Portas de
Comunicao

Introduo:

Esta a dcima primeira parte do Tutorial de TCP/IP. Na Parte 1 tratei dos aspectos
bsicos do protocolo TCP/IP. Na Parte 2 falei sobre clculos binrios, um importante
tpico para entender sobre redes, mscara de sub-rede e roteamento. Na Parte 3
falei sobre Classes de endereos, na Parte 4 fiz uma introduo ao roteamento e na
existente. Na Parte 9 fiz uma introduo ao servio Dynamic Host Configuration
Protocol DHCP. Na Parte 10 fiz uma introduo ao servio Windows Internet
Name Services WINS. Nesta dcima primeira parte falarei sobre o conceito de
portas de comunicao.

Um pouco sobre Pacotes e sobre os protocolos de Transporte

O TCP/IP, na verdade, formado por um grande conjunto de diferentes protocolos
e servios de rede. O nome TCP/IP deriva dos dois protocolos mais importantes e
mais utilizados, que so os seguintes:

IP: um protocolo de endereamento, um protocolo de rede. Eu me
arriscaria a afirmar que as principais funes do protocolo IP so
endereamento e roteamento, ou de uma maneira mais simples, fornecer
uma maneira para identificar unicamente cada mquina da rede (endereo
IP) e uma maneira de encontrar um caminho entre a origem e o destino
(Roteamento).

TCP: O TCP um protocolo de transporte e executa importantes funes
para garantir que os dados sejam entregues de uma maneira confivel, ou
seja, sem que os dados sejam corrompidos ou alterados.

Vamos imaginar uma situao prtica, onde voc deseja enviar um arquivo com
cerca de 10 MB de um computador de origem para um computador de destino.
Uma das primeiras coisas que tem que ser feitas encontrar uma rota, um
caminho entre a origem e o destino. Este o papel do protocolo IP, mais
especificamente da funo de roteamento. Uma vez encontrado o caminho, o
prximo passo dividir o arquivo de 10 MB em pacotes de tamanhos menores, os
quais possam ser enviados pelos equipamentos da rede. Alm da diviso em
pacotes menores, o TCP/IP tem que garantir que os pacotes sejam entregues sem
erros e sem alteraes. Pode tambm acontecer de os pacotes chegarem fora de
ordem. O TCP/IP tem que ser capaz de identificar a ordem correta e entregar os
pacotes para o programa de destino, na ordem correta. Por exemplo, pode
acontecer de o pacote nmero 10 chegar antes do pacote nmero 9. Neste caso o
TCP tem que aguardar a chegada do pacote nmero 9 e entreg-los na ordem
correta. Pode tambm acontecer de serem perdidos pacotes durante o transporte.
Neste caso, o TCP tem que informar origem de que determinado pacote no foi
recebido no tempo esperado e solicitar que este seja retransmitido. Todas estas



funes garantir a integridade, a seqcia correta e solicitar retransmisso so
exercidas pelo protocolo TCP Transmission Control Protocol. Alm do TCP existe
tambm o UDP, o qual no faz todas estas verificae e utilizado por
determinados servios. A seguir apresento uma descrio dos protocolos TCP e UDP
e um estudo comparativo.

TCP Uma Viso Geral

O Transmission Control Protocol (TCP) , sem dvidas, um dos mais importantes
protocolos da famlia TCP/IP. um padro definido na RFC 793, "Transmission
Control Protocol (TCP)", que fornece um servio de entrega de pacotes confivel e
orientado por conexo. Ser orientado por conexo, significa que todos os
aplicativos baseados em TCP como protocolo de transporte, antes de iniciar a troca
de dados, precisam estabelecer uma conexo. Na conexo so fornecidas,
normalmente, informaes de logon, as quais identificam o usurio que est
tentando estabelecer a conexo. Um exemplo tpico so os aplicativos de FTP (Cute
FTP, ES-FTP e assim por diante). Para que voc acesse um servidor de FTP, voc
deve fornecer um nome de usurio e senha. Estes dados so utilizados para
identificar e autenticar o usurio. Aps a identificao e autenticao, ser
estabelecida uma sesso entre o cliente de FTP e o servidor de FTP.

Algumas caractersticas do TCP:

Garante a entrega de datagramas IP: Esta talvez seja a principal funo
do TCP, ou seja, garantir que os pacotes sejam entregues sem alteraes,
sem terem sido corrompidos e na ordem correta. O TCP tem uma srie de
mecanismos para garantir esta entrega.

Executa a segmentao e reagrupamento de grandes blocos de
dados enviados pelos programas e Garante o seqenciamento
adequado e entrega ordenada de dados segmentados: Esta
caracterstica refere-se a funo de dividir grandes arquivos em pacotes
menores e transmitir cada pacote separadamente. Os pacotes podem ser
enviados por caminhos diferentes e chegar fora de ordem. O TCP tem
mecanismos para garantir que, no destino, os pacotes sejam ordenados
corretamente, antes de serem entregues ao programa de destino.

Verifica a integridade dos dados transmitidos usando clculos de
soma de verificao: O TCP faz verificaes para garantir que os dados
no foram alterados ou corrompidos durante o transporte entre a origem e o
destino.

Envia mensagens positivas dependendo do recebimento bem-
sucedido dos dados. Ao usar confirmaes seletivas, tambm so
enviadas confirmaes negativas para os dados que no foram
recebidos: No destino, o TCP recebe os pacotes, verifica se esto OK e, em
caso afirmativo, envia uma mensagem para a origem, confirmando cada
pacote que foi recebido corretamente. Caso um pacote no tenha sido
recebido ou tenha sido recebido com problemas, o TCP envia uma
mensagem ao computador de origem, solicitando uma retransmisso do
pacote. Com esse mecanismo, apenas pacotes com problemas tero que ser
reenviados, o que reduz o trfego na rede e agiliza o envio dos pacotes.




Oferece um mtodo preferencial de transporte de programas que
devem usar transmisso confivel de dados baseada em sesses,
como bancos de dados cliente/servidor e programas de correio
eletrnico: Ou seja, o TCP muito mais confivel do que o UDP (conforme
mostrarei mais adiante) e indicado para programas e servios que
dependam de uma entrega confivel de dados.

Funcionamento do TCP

O TCP baseia-se na comunicao ponto a ponto entre dois hosts de rede. O TCP
recebe os dados de programas e processa esses dados como um fluxo de bytes. Os
bytes so agrupados em segmentos que o TCP numera e seqncia para entrega.
Estes segmentos so mais conhecidos como Pacotes.

Antes que dois hosts TCP possam trocar dados, devem primeiro estabelecer uma
sesso entre si. Uma sesso TCP inicializada atravs de um processo conhecido
como um tree-way handshake (algo como Um Aperto de Mo Triplo). Esse processo
sincroniza os nmeros de seqncia e oferece informaes de controle necessrias
para estabelecer uma conexo virtual entre os dois hosts.

De uma maneira simplificada, o processo de tree-way handshake, pode ser descrito
atravs dos seguintes passos:

O computador de origem solicita o estabelecimento de uma sesso
com o computador de origem: Por exemplo, voc utiliza um programa de
FTP (origem) para estabelecer uma sesso com um servidor de FTP
(destino).

O computador de destino recebe a requisio, verifica as credenciais
enviadas (tais como as informaes de logon e senha) e envia de volta para
o cliente, informaes que sero utilizadas pelo cliente, para estabelecer
efetivamente a sesso. As informaes enviadas nesta etapa so
importantes, pois atravs destas informaes que o servidor ir identificar
o cliente e liberar ou no o acesso.

O computador de origem recebe as informaes de confirmao enviadas
pelo servidor e envia estas confirmaes de volta ao servidor. O servidor
recebe as informaes, verifica que elas esto corretas e estabelece a
sesso. A partir deste momento, origem e destino esto autenticados e
aptos a trocar informaes usando o protocolo TCP. Se por algum motivo, as
informaes enviadas pela origem no estiverem corretas, a sesso no ser
estabelecida e uma mensagem de erro ser enviada de volta ao computador
de origem.

Depois de concludo o tree-way handshake inicial, os segmentos so enviados e
confirmados de forma seqencial entre os hosts remetente e destinatrio. Um
processo de handshake semelhante usado pelo TCP antes de fechar a conexo
para verificar se os dois hosts acabaram de enviar e receber todos os dados.

Os segmentos TCP so encapsulados e enviados em datagramas IP, conforme
apresentado na figura a seguir, obtida na ajuda do Windows 2000 Server:




O conceito de Portas TCP

Os programas TCP usam nmeros de porta reservados ou conhecidos, conforme
apresentado na seguinte ilustrao, da ajuda do Windows 2000 Server:

O que uma Porta TCP?

Bem, sem entrar em detalhes tcnicos do TCP/IP, vou explicar, atravs de um
exemplo prtico, o conceito de porta. Vamos imaginar um usurio, utilizando um
computador com conexo Internet. Este usurio, pode, ao mesmo tempo, acessar
um ou mais sites da Internet, usar o Outlook Express para ler suas mensagens de
email, estar conectado a um servidor de FTP, usando um programa como o WS-
FTP, para fazer download de um ou mais arquivos, estar jogando DOOM atravs da
Internet e assim por diante.

Todas as informaes que este usurio recebe esto chegando atravs de pacotes
que chegam at a placa de Modem ou at o Modem ADSL, no caso de uma conexo
rpida. A pergunta que naturalmente surge :

Como o sistema sabe para qual dos programas se destina cada um dos
pacotes que esto chegando no computador?

Por exemplo, chega um determinado pacote. Este pacote para uma das janelas
do Navegador, para o cliente de FTP, um comando do DOOM, referente a uma
mensagem de email ou quem o destinatrio deste pacote? A resposta para esta
questo o mecanismo de portas utilizado pelo TCP/IP. Cada programa trabalha
com um protocolo/servio especfico, ao qual est associado um nmero de porta.
Por exemplo, o servio de FTP, normalmente opera na porta 21 (na verdade usa
duas portas, uma para controle e outra para o envio de dados). Todo pacote que
for enviado do servidor FTP para o cliente, ter, alm dos dados que esto sendo
enviados, uma srie de dados de controle, tais como o nmero do pacote, cdigo
de validao dos dados e tambm o nmero da porta. Quando o pacote chega no
seu computador, o sistema l no pacote o nmero da porta e sabe para quem



encaminhar o pacote. Por exemplo, se voc est utilizando um cliente de FTP para
fazer um download, os pacotes que chegarem, com informao de Porta = 21,
sero encaminhados para o cliente de FTP, o qual ir ler o pacote e dar o destino
apropriado. Outro exemplo, o protocolo HTTP, utilizado para o transporte de
informaes de um servidor Web at o seu navegador, opera, por padro, na porta
80. Os pacotes que chegarem, destinados porta 80, sero encaminhados para o
navegador. Se houver mais de uma janela do navegador aberta, cada uma
acessando diferentes pginas, o sistema inclui informaes, alm da porta, capazes
de identificar cada janela individualmente. Com isso, quando chega um pacote para
a porta 80, o sistema identifica para qual das janelas do navegador se destina o
referido pacote.

Em resumo: O uso do conceito de portas, permite que vrios programas estejam
em funcionamento, ao mesmo tempo, no mesmo computador, trocando
informaes com um ou mais servios/servidores.

O lado do servidor de cada programa que usa portas TCP escuta as mensagens que
chegam no seu nmero de porta conhecido. Todos os nmeros de porta de servidor
TCP menores que 1.024 (e alguns nmeros mais altos) so reservados e
registrados pela Internet Assigned Numbers Authority (IANA, autoridade de
nmeros atribudos da Internet). Por exemplo, o servio HTTP (servidor Web),
instalado em um servidor, fica sempre escutando os pacotes que chegam ao
servidor. Os pacotes destinados a porta 80, sero encaminhados pelo sistema
operacional para processamento do servidor Web.

A tabela a seguir uma lista parcial de algumas portas de servidor TCP conhecidas
usadas por programas baseados em TCP padro.

Nmero de porta TCP Descrio
20 Servidor FTP (File Transfer Protocol, protocolo de
transferncia de arquivo) (canal de dados)
21 Servidor FTP (canal de controle)
23 Servidor Telnet
53 Transferncias de zona DNS (Domain Name System,
sistema de nomes de domnios)
80 Servidor da Web (HTTP, Hypertext Transfer Protocol,
protocolo de transferncia de hipertexto)
139 Servio de sesso de NetBIOS

Para obter uma lista atualizada e completa de todas as portas TCP conhecidas e
registradas atualmente, consulte o seguinte endereo:

http://www.iana.org/assignments/port-numbers

UDP Uma Viso Geral

O User Datagram Protocol (UDP) um padro TCP/IP e est definido pela RFC 768,
"User Datagram Protocol (UDP)." O UDP usado por alguns programas em vez de
TCP para o transporte rpido de dados entre hosts TCP/IP. Porm o UDP no
fornece garantia de entrega e nem verificao de dados. De uma maneira simples,
dizemos que o protocolo UDP manda os dados para o destino; se vai chegar ou se
vai chegar corretamente, sem erros, s Deus sabe. Pode parecer estranho esta
caracterstica do UPD, porm voc ver que em determinadas situaes, o fato de o
UDP ser muito mais rpido do que o TCP (por no fazer verificaes e por no
estabelecer sesses), o uso do UDP recomendado.



O protocolo UDP fornece um servio de pacotes sem conexo que oferece entrega
com base no melhor esforo, ou seja, UDP no garante a entrega ou verifica o
seqenciamento para qualquer pacote. Um host de origem que precise de
comunicao confivel deve usar TCP ou um programa que oferea seus prprios
servios de seqenciamento e confirmao.

As mensagens UDP so encapsuladas e enviadas em datagramas IP, conforme
apresentado na seguinte ilustrao, da ajuda do Windows 2000 Server:

Portas UDP

O conceito de porta UDP idntico ao conceito de portas TCP, embora
tecnicamente, existam diferenas na maneira como as portas so utilizadas em
cada protocolo. A idia a mesma, por exemplo, se um usurio estiver utilizando
vrios programas baseados em UDP, ao mesmo tempo, no seu computador,
atravs do uso de portas, que o sistema operacional sabe a qual programa se
destina cada pacote UDP que chega.

O lado do servidor de cada programa que usa UDP escuta as mensagens que
chegam no seu nmero de porta conhecido. Todos os nmeros de porta de servidor
UDP menores que 1.024 (e alguns nmeros mais altos) so reservados e
registrados pela Internet Assigned Numbers Authority (IANA, autoridade de
nmeros atribudos da Internet).

Cada porta de servidor UDP identificada por um nmero de porta reservado ou
conhecido. A tabela a seguir mostra uma lista parcial de algumas portas de servidor
UDP conhecidas usadas por programas baseados em UDP padro.

Nmero de porta UDP Descrio
53 Consultas de nomes DNS (Domain Name System, sistema de
nomes de domnios)
69 Trivial File Transfer Protocol (TFTP)
137 Servio de nomes de NetBIOS
138 Servio de datagrama de NetBIOS
161 Simple Network Management Protocol (SNMP)
520 Routing Information Protocol (RIP, protocolo de informaes
de roteamento)

Para obter uma lista atualizada e completa de todas as portas TCP conhecidas e
registradas atualmente, consulte o seguinte endereo:

http://www.iana.org/assignments/port-numbers




Comparando UDP e TCP:

Geralmente, as diferenas na maneira como UDP e TCP entregam os dados
assemelham-se s diferenas entre um telefonema e um carto postal. O TCP
funciona como um telefonema, verificando se o destino est disponvel e pronto
para a comunicao. O UDP funciona como um carto postal as mensagens so
pequenas e a entrega provvel, mas nem sempre garantida.

UDP geralmente usado por programas que transmitem pequenas quantidades de
dados ao mesmo tempo ou tm necessidades em tempo real. Nessas situaes, a
baixa sobrecarga do UDP (pois este no faz as verificaes que so feitas pela TCP)
e as capacidades de broadcast do UDP (por exemplo, um datagrama, vrios
destinatrios) so mais adequadas do que o TCP.

O UDP contrasta diretamente com os servios e recursos oferecidos por TCP. A
tabela a seguir compara as diferenas em como a comunicao TCP/IP tratada
dependendo do uso de UDP ou TCP para o transporte de dados.

UDP TCP
Servio sem conexo; nenhuma sesso
estabelecida entre os hosts.
Servio orientado por conexo; uma sesso
estabelecida entre os hosts.
UDP no garante ou confirma a entrega ou
seqncia os dados.
TCP garante a entrega atravs do uso de
confirmaes e entrega seqenciada dos
dados.
Os programas que usam UDP so
responsveis por oferecer a confiabilidade
necessria ao transporte de dados.
Os programas que usam TCP tm garantia
de transporte confivel de dados.
UDP rpido, necessita de baixa
sobrecarga e pode oferecer suporte
comunicao ponto a ponto e ponto a
vrios pontos.
TCP mais lento, necessita de maior
sobrecarga e pode oferecer suporte apenas
comunicao ponto a ponto.

Tanto UDP quanto TCP usam portas para identificar as comunicaes para cada
programa TCP/IP, conforme descrito anteriormente.

Concluso

Nesta parte do tutorial fiz uma apresentao dos protocolos TCP e UDP, os quais
so responsveis pelo transporte de pacotes em redes baseadas no TCP/IP. Voc
tambm aprendeu sobre as diferenas entre os protocolos TCP e UDP e sobre o
conceito de porta de comunicao.




Tutorial de TCP/IP Parte 12 Portas de Comunicao
na Prtica

Introduo:

Esta a dcima segunda parte do Tutorial de TCP/IP. Na Parte 1 tratei dos
aspectos bsicos do protocolo TCP/IP. Na Parte 2 falei sobre clculos binrios, um
importante tpico para entender sobre redes, mscara de sub-rede e roteamento.
Na Parte 3 falei sobre Classes de endereos, na Parte 4 fiz uma introduo ao
roteamento e na Parte 5 apresentei mais alguns exemplos e anlises de como
funciona o roteamento. Na Parte 6 falei sobre a Tabela de Roteamento. Na Parte 7
tratei sobre a diviso de uma rede em sub-redes, conceito conhecido como
subnetting. Na Parte 8 fiz uma apresentao de um dos servios mais utilizados
pelo TCP/IP, que o Domain Name System: DNS. O DNS o servio de resoluo
de nomes usado em todas as redes TCP/IP, inclusive pela Internet que, sem
dvidas, a maior rede TCP/IP existente. Na Parte 9 fiz uma introduo ao servio
Dynamic Host Configuration Protocol DHCP. Na Parte 10 fiz uma introduo ao
servio Windows Internet Name Services WINS. Na Parte 11 falei sobre os
protocolos TCP, UDP e sobre portas de comunicao. Nesta dcima segunda parte,
mostrarei como so efetuadas as configuraes de portas em diversos aplicativos
que voc utiliza e os comandos do Windows 2000/XP/2003 utilizados para exibir
informaes sobre portas de comunicao.

Exemplos de utilizao de portas

Embora provavelmente voc nunca tenha notado, voc utiliza portas de
comunicao diversas vezes, como por exemplo ao acessar o seu email, ao fazer
um download de um arquivo ou ao acessar uma pgina na Internet.

Quando voc acessa um site na Internet, como por exemplo
www.juliobattisti.com.br ou www.certificacoes.com.br ou www.uol.com.br, o
navegador que voc est utilizando se comunica com a porta 80 no servidor HTTP,
do site que est sendo acessado. Voc nem fica sabendo que est sendo utilizada a
porta 80, pois esta a porta padro de comunicao, para o protocolo HTTP
(Hypertext Transfer Protocol). Um detalhe interessante que no obrigatrio que
seja utilizada a porta padro nmero 80, para a comunicao do HTTP. Por
exemplo, o Administrador do IIS Internet Information Services, que o servidor
Web da Microsoft, pode configurar um site para responder em uma porta
diferente da Porta 80, conforme exemplo da Figura a seguir, onde o site foi
configurado para responder na porta 470:




Quando for utilizada uma porta diferente da porta padro 80, o nmero da porta
deve ser informada aps o endereo, colocando o sinal de dois pontos (:) aps o
endereo e o nmero da porta aps o sinal de dois pontos, como no exemplo a
seguir:

http://www.abc.com.br:470

Um outro exemplo do dia-a-dia, onde utilizamos o conceito de portas de
comunicao, quando voc utiliza um cliente de FTP para se conectar a um
servidor de FTP e fazer o download de um ou mais arquivos. Ao criar uma nova
conexo de FTP, voc deve informar o nome do servidor (ftp.abc.com.br,
ftp.123.com.br, ftp.juliobattisti.com.br e assim por diante) e definir a porta de
comunicao. Os principais clientes de FTP, j sugerem como padro a porta 21, a
qual utilizada pelo protocolo FTP. No exemplo da figura a seguir, mostro uma tela
do cliente de FTP Cute FTP, o qual um dos mais utilizados. Nesta figura, mostro
as configuraes para conexo com o meu servidor de ftp, onde utilizada a porta
21:

Outro uso muito comum nas redes da sua empresa a criao de sesses de
programas emuladores de terminal com sistemas que rodam no Mainframe da
empresa. Apesar de terem anunciado a morte do Mainframe h algum tempo atrs,
o fato que o Mainframe continua mais vivo do que nunca e com grande parte dos
sistemas empresariais ainda rodando no Mainframe.

A prxima figura descreve, resumidamente, como funciona a criao de sees,
usando um software emulador de terminal, para acessar sistemas no Mainframe.
Nas estaes de trabalho da rede da empresa, instalado um programa emulador
de terminal. Estes progrmas, na maioria das vezes, emulam terminais no padro
TN23270. Este um padro da IBM muito utilizado para acesso aplicaes que
esto no Mainframe. O programa emulador de terminal faz a conexo com o
Mainframe, o usurio informa o seu logon e senha e, de acordo com as permisses
atribudas ao logon do usurio, so disponibilizados um ou mais sistemas. Quando o
usurio vai criar uma sesso com o Mainframe, ele precisa informar o nome ou o
nmero IP do Mainframe. Normalmente estas sees so feitas com base no servio



de Telnet (Terminal Emulator Link Over Network), o qual baseado na porta de
comunicao 23.

Mainframe
Multiplexer
Modem
Terminal "burro"
Terminal "burro"
Terminal "burro"
Terminal "burro"
Linha de
dados

Na Figura a seguir, mostro o uso de um software emulador de terminal, no
momento emque est sendo configurada uma nova seo, a qual ser estabelecida
via Telnet, utilizando a porta 23:

Estas so apenas trs situaes bastante comuns acessar a Internet, fazer
download de arquivos a partir de um servidor FTP e criar uma sesso com o
Mainframe, - utilizados diariamente por usurios das redes de empresas de todo o
mundo, onde so utilizados, na prtica, o conceito de Portas de Comunicao, do
TCP/IP, conceito este que foi discutido na Parte 11 deste tutorial. A seguir
apresentarei alguns comandos do Windows 2000/XP/2003, os quais exibem
informaes sobre as portas de comunicao que esto sendo utilizadas no seu
computador. Se voc no est conectado rede de uma empresa, poder utilizar



estes comandos quando voc estiver conectado Internet, situao onde,
certamente, estaro sendo utilizadas portas de comunicao.

O comando netstat exibindo informaes sobre portas

O comando netstat est disponvel no Windows 2000, Windows XP e Windows
Server 2003. Este comando exibe estatsticas do protocolo TCP/IP e as conexes
atuais da rede TCP/IP. O comando netstat somente est disponvel se o protocolo
TCP/IP estiver instalado. A seguir apresento alguns exemplos de utilizao do
comando netstat e das opes de linha de comando disponveis.

netstat a: O comando netstat com a opo a Exibe todas as portas de
conexes e de escuta. Conexes de servidor normalmente no so
mostradas. Ou seja, o comando mostra as portas de comunicao que esto
na escuta, isto , que esto aptas a se comunicar. Na listagem a seguir
mostro um exemplo do resultado da execuo do comando netstat a, em
um computador com o nome micro01. O estado LISTENING significa,
esperando, na escuta, ou seja, aceitando conexes na referida porta. O
estado ESTABLISHED significa que existe uma conexo ativa na respectiva
porta:

Conexes ativas

Proto Endereo local Endereo externo Estado
TCP MICRO01:epmap MICRO01.abc.com:0 LISTENING
TCP MICRO01:microsoft-ds MICRO01.abc.com:0 LISTENING
TCP MICRO01:1046 MICRO01.abc.com:0 LISTENING
TCP MICRO01:netbios-ssn MICRO01.abc.com:0 LISTENING
TCP MICRO01:microsoft-ds MICRO02:1352 ESTABLISHED
TCP MICRO01:1595 SERVIDOR02:microsoft-ds ESTABLISHED
TCP MICRO01:2694 SERVIDOR02:microsoft-ds ESTABLISHED
TCP MICRO01:2706 SERVIDOR03:1352 ESTABLISHED
TCP MICRO01:3236 SERVFILES01:microsoft-ds ESTABLISHED
TCP MICRO01:3279 EMAILSERVER:microsoft-ds ESTABLISHED
TCP MICRO01:3323 DRFSTMSRV22:1352 TIME_WAIT
TCP MICRO01:3335 66.139.77.16:http CLOSE_WAIT
TCP MICRO01:3336 66.139.77.16:http CLOSE_WAIT
TCP MICRO01:3691 SRV01:microsoft-ds ESTABLISHED



TCP MICRO01:4829 a209-249-123-216.deploy.akamaitechnologies.com:https CLOSE_WAIT
UDP MICRO01:microsoft-ds *:*
UDP MICRO01:1027 *:*
UDP MICRO01:38037 *:*
UDP MICRO01:38293 *:*
UDP MICRO01:netbios-ns *:*
UDP MICRO01:netbios-dgm *:*
UDP MICRO01:isakmp *:*
UDP MICRO01:42508 *:*

netstat e: Esta opo exibe estatsticas sobre a interface Ethernet do
computador. A interface Ethernet , normalmente, a placa de rede local, que
conecta o computador a rede da empresa. Esta opo pode ser combinada
com a opo s, que ser descrita mais adiante. A seguir um exemplo da
execuo do comando netstat e:

netstat n: Exibe endereos e nmeros de porta em forma numrica (em
vez de tentar pesquisar o nome). A seguir um exemplo da execuo do
comando netstat n:

netstat s: Exibe estatstica por protocolo. Por padro, so mostradas
estatsticas para TCP, UDP, ICMP (Internet Control Message Protocol,
protocolo de acesso s mensagens de Internet) e IP. A opo -p pode ser
utilizada para especificar um ou mais protocolos para os quais devem ser
exibidas estatsticas. A seguir um exemplo da execuo do comando netstat
n:

Estatsticas de IP



Pacotes recebidos = 1847793
Erros de cabealho recebidos = 0
Erros de endereo recebidos = 772
Datagramas encaminhados = 0
Protocolos desconhecidos recebidos = 0
Pacotes recebidos descartados = 0
Pacotes recebidos entregues = 1847244
Solicitaes de sada = 2702298
Descartes de roteamento = 0
Pacotes de sada descartados = 0
Pacote de sada sem rota = 0
Reagrupamento necess rio = 82
Reagrupamento bem-sucedido = 41
Falhas de reagrupamento = 0
Datagramas fragmentados c/xito = 15
Falhas/ fragmentao de datagramas = 0
Fragmentos criados = 30

Estatsticas de ICMP

Recebidos Enviados
Mensagens 2767 4037
Erros 0 0
Destino inatingvel 18 1280
Tempo excedido 0 0
Problemas de parmetro 0 0
Retardamentos de origem 4 0
Redirecionamentos 0 0
Echos 1134 1623
Respostas de eco 1611 1134
Carimbos de data/hora 0 0
Respostas de carimbos de data/hora 0 0
M scaras de endereo 0 0
Respostas m scaras end. 0 0

Estatsticas de TCP

Abertos ativos = 14052
Abertos passivos = 175
Falha em tentativas de conexo = 493
Conexes redefinidas = 3563
Conexes atuais = 5
Segmentos recebidos = 1679289
Segmentos enviados = 2576364
Segmentos retransmitidos = 2841

Estatsticas de UDP

Datagramas recebidos = 159044
Nenhuma porta = 7777
Erros de recebimento = 0
Datagramas enviados = 119031




netstat p: Mostra conexes para o protocolo especificado por protocolo,
que pode ser tcp ou udp. Se utilizado com a opo -s para exibir estatsticas
por protocolo, protocolo pode ser tcp, udp, icmp ou ip. . A seguir um
exemplo da execuo do comando netstat p, onde so exibidas
informaes somente sobre o protocolo ip: netstat s p ip:

netstat r: Exibe o contedo da tabela de roteamento do computador.
Exibe os mesmos resultados do comando route print, discutido em uma das
primeiras partes deste tutorial.

A opo intervalo: Voc pode definir um intervalo, dentro do qual as
estatsticas geradas pelo comando netstat sero atualizadas. Por exemplo,
voc pode definir que sejam exibidas as estatsticas do protocolo ICMP e que
estas sejam atualizadas de cinco em cinco segundos. Ao especificar um
intervalo, o comando ficar executando, indefinidamente e atualizando as
estatsticas, dentro do intervalo definido. Para suspender a execuo do
comando, basta pressionar Ctrl+C. O comando a seguir ir exibir as
estatsticas do protocolo IP e ir atualiz-las a cada 10 segundos:

netstat s p ip 10

Concluso

Na Parte 11 do tutorial fiz uma apresentao dos protocolos TCP e UDP, os quais
conceito de porta de comunicao.

Nesta parte do tutorial mostrei como o conceito de portas utilizado, na prtica,
em diversas atividades do dia-a-dia, tais como o acesso a sites da Internet,
conexo com um servidor de FTP e conexo com um servidor de Telnet. Na
segunda parte do tutorial, voc aprendeu sobre o comando netstat.




Tutorial de TCP/IP Parte 13 Instalao e
Configurao

Introduo

Esta a dcima terceira parte do Tutorial de TCP/IP. Na Parte 1 tratei dos aspectos
Name Services WINS. Na Parte 11 falei sobre os protocolos TCP, UDP e sobre
portas de comunicao. Na Parte 12, mostrei como so efetuadas as configuraes
de portas em diversos aplicativos que voc utiliza e os comandos do Windows
2000/XP/2003 utilizados para exibir informaes sobre portas de comunicao.

Nesta dcima terceira parte voc aprender sobre a instalao e configurao do
protocolo TCP/IP no Windows 2000 Professional ou Windows 2000 Server.
Apresentarei, em detalhes, a configurao do protocolo TCP/IP no Windows 2000.
Mostrarei como fazer as configuraes do protocolo TCP/IP, desde as configuraes
bsicas de nmero IP e mscara de sub-rede (em computadores que usaro IP fixo,
ao invs de obter as configuraes a partir de um servidor DHCP), at
configuraes mais avanadas, tais como definir filtros para o protocolo TCP/IP.

Instalao e configurao do protocolo TCP/IP

muito pouco provvel que voc no tenha instalado o TCP/IP em seu computador,
principalmente se ele faz parte da rede da empresa ou de uma rede domstica. Mas
pode acontecer de o TCP/IP, por algum motivo, no ter sido instalado. O TCP/IP o
protocolo padro no Windows 2000 e instalado durante a prpria instalao do
Sistema Operacional. J no Windows Server 2003 o TCP/IP instalado,
obrigatoriamente, e no pode ser desinstalado. Mas se por algum motivo, o TCP/IP
tiver sido desinstalado no Windows 2000 ou no tiver sido instalado durante a
instalao do Windows 2000, voc poder instal-lo quando for necessrio.

Neste tpico apresentarei diversos exemplos de configurao do protocolo TCP/IP.
Em todos eles, voc ter que acessar as propriedades da interface de rede, na qual
o TCP/IP ser configurado. importante salientar que voc pode ter mais de uma
placa de rede instalada no Windows 2000. Neste caso, as configuraes do
protocolo TCP/IP so separadas e individualizadas para cada placa e interface de
rede. Voc deve utilizar um nmero IP diferente em cada interface. A seguir
descrevo os passos para acessar as propriedades da interface de rede a ser
configurada. Estes passos sero necessrios nos diversos exemplos deste tpico.
Nos prximos exemplos, no repetirei todos os passos para acessar as
propriedades da interface de rede a ser configurada. Ao invs disso, utilizarei
somente a expresso: Acesse as propriedades de rede da interface a ser
configurada. Muito bem, vamos aos exemplos prticos.



Exemplo: Para acessar as propriedades da interface de rede a ser configurada,
siga os passos indicados a seguir:

1. Faa o logon como Administrador ou com uma conta com permisso de
administrador.


3. D um clique duplo na opo Conexes dial-up e de rede.

4. Ser exibida uma janela com todas as conexes disponveis. Clique com o
boto direito do mouse na conexo a ser configurada e, no menu de opes que
exibido, clique em Propriedades.

5. Pronto, ser exibida a janela de propriedades da conexo, na qual voc
poder fazer diversas configuraes.

No prximo exemplo mostrarei como instalar o protocolo TCP/IP, caso este tenha
sido desinstalado ou no tenha sido instalado durante a instalao do Windows
2000.

Exemplo: Para instalar o protocolo TCP/IP, siga os passos indicados a seguir:

1. Acesse as propriedades de rede da interface a ser configurada.

2. Na janela de propriedades da conexo d um clique em Instalar...

3. Ser aberta a janela para que voc selecione o tipo de componente de rede
a ser instalado. Selecione a opo Protocolo, conforme indicado na Figura a seguir:

Selecionando o tipo de componente a ser instalado.

4. Aps ter selecionado a opo Protocolo clique em Adicionar...

5. Em poucos instantes ser exibida a lista de protocolos disponveis.

6. Marque a opo TCP/IP e clique em OK.




7. O TCP/IP ser instalado e voc estar de volta guia Geral de configuraes
da interface de rede. Observe que o TCP/IP j exibido na lista de componentes
instalados. Clique em OK para fechar a janela de propriedades da interface de rede.

O prximo passo configurar o protocolo TCP/IP. No exemplo a seguir, mostrarei
como configurar as diversas opes do protocolo TCP/IP. importante lembrar que,
se voc tiver mais de uma placa de rede instalada, as configuraes do TCP/IP
sero separadas para cada placa (diz-se cada interface).

Nota: Para uma descrio detalhada das opes de configurao, tais como
nmero IP, mscara de sub-rede, servidor DNS, servidor WINS, Default Gateway e
assim por diante, consulte a Parte 2.

Exemplo: Para configurar o protocolo TCP/IP, siga os passos indicados a seguir:

1. Acesse as propriedades de rede da interface a ser configurada.
2. Na janela de propriedades da conexo d um clique em Protocolo Internet
(TCP/IP) para selecion-lo.

3. Clique em Propriedades. Nesta janela voc deve informar se as
configuraes do TCP/IP sero obtidas a partir de um servidor DHCP (Obter um
endereo IP automaticamente) ou se estas configuraes sero informadas
manualmente (Usar o seguinte endereo IP). Ao marcar a opo Usar o seguinte
endereo IP, voc dever informar um nmero IP a ser utilizado, a mscara de sub-
rede, o nmero IP do Gateway padro e o nmero IP de um ou dois servidores
DNS, conforme exemplo da Figura a seguir:

Configurando o TCP/IP manualmente.



4. Alm das configuraes bsicas, da tela da Figura anterior, voc pode
configurar uma srie de opes avanadas do protocolo TCP/IP. Para acessar a
janela de configuraes avanadas, clique em Avanado... Ser aberta a janela de
configuraes avanadas, com a guia Configuraes IP selecionada por padro,
conforme indicado na Figura a seguir:

Janela para cofiguraes IP.

5. possvel ter mais de um endereo IP associado com a mesma placa de
rede. O que no permitido ter o mesmo nmero IP, associado a duas ou mais
placas de rede. Para adicionar um novo nmero IP, clique em Adicionar..., abaixo
da lista de endereos IP configurados. Ser aberta a janela Endereo TCP/IP (muito
mal traduzida por sinal). Para adicionar um novo endereo basta digit-lo no campo
IP, digite a respectiva mscara de sub-rede e clique em Adicionar. Voc estar de
volta janela de configuraes avanadas do TCP/IP e o novo endereo IP j ser
exibido na lista. A partir de agora, a nova interface est com dois endereos IP.
Voc pode adicionar mais endereos IP, utilizando o boto Adicionar... e
preenchendo as informaes necessrias.

6. Voc tambm pode ter mais de um default gateway configurado. Neste caso,
quando o primeiro default gateway da lista estiver indisponvel, o TCP/IP tenta
utilizar o segundo e assim por diante. Para adicionar mais um default gateway,
clique em Adicionar..., abaixo da lista de default gateways configurados. Ser
aberta a janela para que voc informo o nmero IP do novo default gateway e o
respectivo custo, em nmero de hopes. Se voc quer que um default gateway seja
utilizado somente como contingncia, no caso de nenhum outro gateway estar



disponvel, configure-o com um valor elevado para o custo. Digite as informaes
do novo gateway e clique em OK. Pronto, o novo nmero j ser exibido na guia de
Configuraes IP.

7. Clique na guia DNS. Sero exibidas as opes indicadas na Figura a seguir:

A guia para configurao do DNS.

8. Nesta guia voc informa o endereo IP de um ou mais servidores DNS. Para
acrescentar novos servidores, basta utilizar o boto Adicionar... Voc pode alterar a
ordem dos servidores DNS na lista, clicando nos botes com o desenho de uma
flecha para cima ou para baixo. importante descrever como o Windows utiliza a
lista de servidores DNS. As consultas so enviadas para o primeiro servidor da lista.
Se este servidor no conseguir responder a consulta, esta no ser enviada para os
demais servidores da lista. O segundo servidor da lista somente ser pesquisado se
o primeiro servidor estiver off-line e no estiver respondendo; o terceiro servidor
da lista somente ser pesquisado se o primeiro e o segundo servidor DNS
estiverem off-line e no estiverem respondendo e assim por diante. Nesta guia
voc tambm pode configurar as seguintes opes:

Acrescentar sufixo DNS primrio e especficos de cada conexo: O
sufixo DNS configurado na guia Identificao de rede, das propriedades do
meu Computador. Por exemplo, um computador com o nome
micro01.abc.com, tem como sufixo DNS abc.com. Esta opo especifica que
a resoluo de nomes no qualificados (por exemplo micro01.abc.com um
FQDN, ou seja, um nome completamente qualificado, j micro01 um nome



no qualificado, ou seja, sem o domnio como sufixo) usados neste
computador seja limitada aos sufixos do domnio do sufixo primrio e todos
os sufixos especficos da conexo. Os sufixos especficos da conexo so
configurados em Sufixo DNS para esta conexo. O sufixo DNS primrio
configurado clicando em Propriedades, na guia Identificao de rede
(disponvel em Sistema, no Painel de controle). Por exemplo, se o sufixo do
seu domnio primrio for abc.com e voc digitar ping xyz em um prompt de
comando, o Windows 2000 consultar xyz.abc.com. Se voc tambm
configurar um nome de domnio especfico de conexo em uma das suas
conexes para vendas.abc.com, o Windows 2000 consultar xyz.abc.com e
xyz.vendas.abc.com. A lista de domnios que ser pesquisada, quando voc
digita um nome no qualificado, tambm definida nesta guia, conforme
ser explicado logo a seguir.

Acrescentar sufixos pai do sufixo DNS primrio: Especifica se a
resoluo de nomes no qualificados usados neste computador inclui os
sufixos pai do sufixo DNS primrio e o domnio de segundo nvel. O sufixo
DNS primrio configurado clicando em Propriedades na guia Identificao
de rede (disponvel na opo Sistema do Painel de controle). Por exemplo,
se o sufixo DNS primrio for vendas. abc.com e voc digitar ping xyz no
prompt de comando, o Windows 2000 tambm consultar vendas.abc.com e
abc.com.

Acrescentar estes sufixos DNS (em ordem): Especifica que a resoluo
de nomes no qualificados usados neste computador seja limitada aos
sufixos do domnio listados no campo Acrescentar estes sufixos DNS. Os
sufixos DNS especficos da conexo e primrios no sero usados para
resoluo de nomes no qualificados. Ao marcar esta opo, voc deve
especificar uma lista de sufixos que dever ser utilizada, para a tentativa de
resoluo de nomes no qualificados. Por exemplo, se nesta lista voc
acrescentar os seguintes sufixos: sul.vendas.abc.com, vendas.abc.com e
abc.com, nesta ordem, ao digitar ping xyz, o Windows tentar localizar este
host, utilizando os seguintes nomes: xyz.sul.vendas.abc.com,
xyz.vendas.abc.com e xyz.abc.com. Para acrescentar um novo sufixo basta
marcar esta opo e utilizar o boto Adicionar. Voc tambm pode alterar a
ordem dos sufixos clicando nos botes com a seta para cima e seta para
baixo. Para remover um sufixo basta selecion-lo na lista e clicar em
Remover.

Registrar endereos desta conexo no DNS: Especifica que o
computador tente o registro dinmico no DNS, dos endereos IP desta
conexo com o nome completo deste computador, como especificado na
guia Identificao de rede (disponvel em Sistema no Painel de Controle).

Usar o sufixo DNS desta conexo no registro do DNS: Especifica se a
atualizao dinmica do DNS ser usada para registrar os endereos IP e o
nome de domnio especfico desta conexo. O nome DNS especfico desta
conexo a concatenao do nome do computador (que o primeiro rtulo
do nome completo do computador) e o sufixo DNS desta conexo. O nome
completo do computador especificado na guia Identificao de rede
(disponvel em Sistema, no Painel de controle). Se a caixa de seleo
Registrar os endereos desta conexo no DNS estiver selecionada, o registro
uma adio ao registro do DNS do nome completo do computador.




8. Defina as configuraes desejadas e clique na guia WINS. Sero exibidas as
opes indicadas na Figura a seguir:

A guia para configurao do WINS.

9. Nesta guia voc informa o endereo IP de um ou mais servidores WINS.
Para acrescentar novos servidores, basta utilizar o boto Adicionar... Voc pode
alterar a ordem dos servidores WINS na lista, clicando nos botes com o desenho
de uma flecha para cima ou para baixo. importante descrever como o Windows
utiliza a lista de servidores WINS. As consultas so enviadas para o primeiro
servidor da lista. Se este servidor no conseguir responder a consulta, esta no
ser enviada para os demais servidores da lista. O segundo servidor da lista
somente ser pesquisado se o primeiro servidor estiver off-line e no estiver
respondendo; o terceiro servidor da lista somente ser pesquisado se o primeiro e
o segundo servidor WINS estiverem off-line e no estiverem respondendo e assim
por diante. Nesta guia voc tambm pode configurar as seguintes opes:

Ativar exame de LMHOSTS: Especifica se ser usado um arquivo Lmhosts
para a resoluo de nomes NetBIOS. O arquivo Lmhosts ser usado para
resolver os nomes de NetBIOS de computadores remotos para um endereo
IP. Clique em Importar LMHOSTS para importar um arquivo para o arquivo
Lmhosts.

Ativar NetBios sobre TCP/IP: Especifica que esta conexo de rede usa o
NetBIOS sobre TCP/IP (NetBT) e o WINS. Quando um endereo IP
configurado manualmente, esta opo selecionada por padro para ativar



o NetBIOS e o uso do WINS para este computador. Essa configurao ser
necessria se este computador se comunicar pelo nome com computadores
que usam verses anteriores do Windows (Windows 95/98, NT 4.0, etc.).
Antes de alterar esta opo, verifique se no necessrio usar nomes de
NetBIOS para esta conexo de rede. Por exemplo, se voc se comunicar
somente com outros computadores que estejam executando o
Windows 2000 ou computadores na Internet que usam o DNS.

Desativar NetBios sobre TCP/IP: Desativa o uso de NetBios sobre
TCP/IP. Pode ser utilizada em uma rede baseada apenas em verses do
Windows tais como Windows 2000, Windows XP e Windows Server 2003.

Usar a configurao NetBios do servidor DHCP: Especifica que esta
conexo de rede obtenha suas configuraes de NetBIOS sobre TCP/IP
(NetBT) e de WINS, a partir de um servidor DHCP.

Quando um endereo IP obtido automaticamente, esta opo fica selecionada por
padro de forma que o computador use as definies de configurao do NetBT
conforme elas forem sendo fornecidas opcionalmente pelo servidor DHCP quando
ele obtiver um endereo IP usando o DHCP. Voc deve selecionar esta opo
somente se o servidor DHCP estiver configurado para fornecer todas as opes de
configurao de WINS para os clientes.

10. Defina as configuraes desejadas e clique na guia Opes. Sero exibidas
as opes indicadas na Figura a seguir:

A guia para configurao Opes.

11. Nesta janela voc pode configurar se a interface que est sendo configurada
deve ou no utilizar uma das diretivas de IPSec habilitadas (caso haja alguma
diretiva habilitada) e tambm pode definir filtros com base no protocolo e na porta
de comunicao. Para habilitar o uso de uma das diretivas do IPSec, clique em
Segurana de IP para marcar esta opo e em seguida clique em Propriedades.

12. Ser aberta a janela Segurana de IP. Para habilitar o IPSec clique em Usar
esta diretiva de segurana IP e, na lista de diretivas, selecione a diretiva a ser



aplicada, conforme exemplo da Figura a seguir e clique em OK. Voc estar e volta
janela de propriedades Avanadas do TCP/IP.

Selecionando uma direitva de IPSec.

13. Para definir um filtro clique em Filtragem de TCP/IP e em seguida no boto
Propriedades. Ser exibida a janela para definio de filtros. Nesta janela voc tem
as seguintes opes:

Ativar filtragem de TCP/IP (todos os adaptadores): Ao marcar esta
opo voc especifica se a filtragem de TCP/IP ser ativada para todos os
adaptadores. A filtragem de TCP/IP especifica os tipos de trfego de entrada
destinados para este computador que sero permitidos. Para configurar a
filtragem de TCP/IP, selecione esta caixa de seleo e especifique os tipos
de trfego TCP/IP permitidos para todos os adaptadores neste computador
em termos de protocolos IP, portas TCP e portas UDP. Voc deve ter cuidado
ao usar os filtros, para no desabilitar portas que sejam necessrias para os
servios bsicos de rede, tais como DNS, DHCP, compartilhamento de pastas
e impressoras e assim por diante.

14. Vamos aplicar um exemplo de filtro. O FTP usa o protocolo TCP na porta 21.
Para o nosso exemplo, para as portas TCP, vamos permitir apenas o uso do FTP na
porta 21. Marque a opo Ativar filtragem de TCP/IP (todos os adaptadores). Em
seguida marque a opo Permitir somente nas portas TCP. Clique em Adicionar...
Ser exibida a janela adicionar filtro, para que voc adicione o nmero da porta.
Digite 21, conforme indicado na Figura a seguir e clique em OK.

Informando o nmero da porta.




15. Voc estar de volta janela Filtragem de TCP/IP, com a porta TCP/21 j
adicionada, conforme indicado na Figura a seguir:

A janela Filtragem de TCP/IP.

16. Clique em OK. Voc estar de volta a janela de configuraes avanadas do
TCP/IP. Clique em OK para fech-la.

17. Voc estar de volta janela de configuraes da interface de rede. Clique
em Fechar para fech-la.

Muito bem, voc acabou de ver um exemplo de como configurar o protocolo
TCP/IP.

Concluso

Na Parte 11 do tutorial fiz uma apresentao dos protocolos TCP e UDP, os quais
conceito de porta de comunicao. Na Parte 12 mostrei alguns exemplos prticos
de utilizao de portas e o comando netstat e suas vrias opes.

Nesta parte do tutorial mostrei como instalar e configurar o protocolo TCP/IP. Voc
aprendeu desde as configuraes bsicas, at configuraes avanadas, tais como
WINS, DNHS, IPSec e Filtros IP.




Tutorial de TCP/IP Parte 14 Protocolos de
Roteamento Dinmico - RIP

Introduo:

Esta a dcima quarta parte do Tutorial de TCP/IP. Na Parte 1 tratei dos aspectos
portas de comunicao. Parte 12, mostrei como so efetuadas as configuraes de
portas em diversos aplicativos que voc utiliza e os comandos do Windows
2000/XP/2003 utilizados para exibir informaes sobre portas de comunicao. Na
Parte 13 voc aprendeu sobre a instalao e configurao do protocolo TCP/IP no
Windows 2000 Professional ou Server. Apresentei, em detalhes, a configurao do
protocolo TCP/IP no Windows 2000. Mostrei como fazer as configuraes do
protocolo TCP/IP, desde as configuraes bsicas de nmero IP e mscara de sub-
rede (em computadores que usaro IP fixo, ao invs de obter as configuraes a
partir de um servidor DHCP), at configuraes mais avanadas, tais como definir
filtros para o protocolo TCP/IP.

Introduo

Nas Partes 4, 5 e 6 falei sobre Roteamento e sobre como todo o processo de
roteamento baseado em Tabelas de Roteamento, existentes em cada roteador da
rede. As tabelas de roteamento podem ser criadas e atualizadas manualmente,
onde o administrador de cada roteador executa comandos para criar cada uma das
rotas necessrias. Essa abordagem s possvel para redes extremamente
pequenas, com um nmero de rotas pequeno e quando as rotas no mudam muito
freqentemente. Para redes maiores, a nica abordagem possvel o uso dos
chamados protocolos de Roteamento dinmico. Estes protocolos, uma vez
instalados e configurados nos roteadores, permitem que os roteadores troquem
informaes entre si, periodicamente e que montem as tabelas de roteamento,
dinamicamente, com base nestas informaes. Esta abordagem bem mais
indicada para grandes redes, pois os prprios protocolos de roteamento dinmicos,
se encarregam de manter as tabelas de roteamento sempre atualizadas, alterando
rotas quando necessrio e excluindo rotas que apresentam problemas, tais como
rotas onde o link de comunicao est fora do ar. Nesta parte do tutorial de TCP/IP,
iniciarei a apresentao dos protocolos de roteamento dinmico, sendo que iremos
concentrar nossos estudos, nos dois principais protocolos:
RIP Routing Internet Protocol
OSPF Open Shorted Path First



Vou apresentar os conceitos bsicos de cada protocolo, para que o amigo leitor
possa ter uma boa idia de como o funcionamento de cada um destes protocolos.


Existem diferentes maneiras para criar as tabelas de roteamento. A primeira
maneira criar as tabelas manualmente. O administrador utiliza comandos (como o
comando route add no Windows 2000 Server) para adicionar cada rota
manualmente, em cada roteador da rede. Este mtodo somente indicado para
pequenas redes, onde existe um pequeno nmero de roteadores, com poucas rotas
e rotas que no so alteradas freqentemente.

Para redes maiores, com muitas rotas e muitos roteadores, este mtodo
simplesmente impraticvel. A simples adio de uma nova rota, exigiria a alterao
das tabelas de roteamento em todos os roteadores da rede.

Outro problema com a criao manual das tabelas de roteamento, que no existe
a deteco automtica de perda de rotas quando um roteador fica indisponvel ou
quando um link para uma determinada rota, est com problemas. Nestas situaes,
os demais roteadores da rede continuaro a encaminhar pacotes para o roteador
com problemas ou atravs do link que est fora do ar, porque a tabela de
roteamento est configurada para enviar pacotes para a referida rota, quer ela
esteja disponvel ou no. Nesta caso uma simples indisponibilidade de um roteador
exigiria uma reconfigurao manual em todas as tabelas de roteamento, de todos
os roteadores da rede. Quando o roteador voltar a estar disponvel, uma nova
reconfigurao das tabelas de roteamento teria que ser feita. Com estes exemplos
possvel ver que a configurao manual das tabelas de roteamento um mtodo
que somente se aplica a pequenas redes, com um nmero reduzido de roteadores e
de rotas.

Outra maneira de criar as tabelas de roteamento dinamicamente. Com este
mtodo, os roteadores trocam informaes entre si, periodicamente e atualizam
suas tabelas de roteamento, com base nestas informaes trocadas entre os
roteadores. O mtodo dinmico exige bem menos manuteno (interveno manual
dos administradores da rede) e pode ser utilizado em grandes redes, como por
exemplo a Internet. A atualizao dinmica das tabelas de roteamento possvel
graas a utilizao de protocolos de roteamento dinmicos. Os protocolos mais
conhecidos, para a criao automtica de tabelas de roteamento so os seguintes:

Routing Information Protocol (RIP)
Open Shortest Path First (OSPF)

Nota: Se voc encontrar estes protocolos traduzidos, em algum livro ou revista, no
mnimo, faa um biquinho para quem traduziu. Eu j vi uma maravilha de
traduo para OSPF: Abrindo primeiro o caminho mais curto. Deus nos ajude. Tudo
a ver com roteamento.

Com o uso dos protocolos de roteamento dinmico, os roteadores trocam
informaes entre si, periodicamente e aprendem sobre a rede e sobre
as rotas disponveis.

Ou seja, os roteadores vo descobrindo as rotas existentes e gravando estas
rotas em suas tabelas de roteamento. Se um roteador ficar off-line, em pouco
tempo os demais roteadores sabero que este roteador est off-line e atualizaro,



automaticamente, suas tabelas de roteamento. Com isso cada roteador aprende
novos caminhos, j considerando a indisponibilidade do roteador com problemas, e
repassam estas informaes para os demais roteadores. Esta possibilidade no
existe quando as tabelas so criadas manualmente, conforme descrito
anteriormente.

Evidentemente que para redes maiores, a nica alternativa vivel o uso de um
dos protocolos de roteamento dinmico, ou at mesmo uma combinao de ambos,
conforme descreverei mais adiante.

Como funcionam os protocolos de roteamento dinmico

O protocolo RIP baseado em uma algoritmo conhecido como distance-vector
(distncia vetorial). Este algoritmo baseado na distncia entre dois roteadores,
sendo que esta distncia medida em termos do nmero de roteadores
existentes no caminho entre os dois roteadores tambm conhecido como hopes.
J o protocolo OSPF utiliza um algoritmo baseado em propagao de rotas entre
roteadores denominados como adjacentes (veja o conceito de formao de
adjacncias na Parte 15), conforme descreverei mais adiante. As principais
diferenas entre os protocolos RIP e OSPF so referentes as seguintes
caractersticas:
Quais informaes sobre rotas so compartilhadas entre os
roteadores. Quando um roteador apresenta problemas, a rede deve
ser capaz de reconfigurar-se, para definir novas rotas, j baseadas
na nova topologia da rede, sem o roteador com problemas. O tempo
que a rede leva para reconfigurar-se conhecido como convergncia.
Um dos principais problemas do protocolo RIP o alto tempo de
convergncia em relao ao OSPF, que tem um tempo de
convergncia bem menor.
Como as informaes sobre rotas e sobre a topologia da rede so
compartilhadas entre os roteadores: Este aspecto tambm influencia
o tempo de convergncia da rede e apresenta diferenas
significativas no RIP e no OSPF.
A seguir apresento mais detalhes sobre o protocolo RIP. O protocolo OSPF ser
abordado na Parte 15

RIP - Routing Information Protocol

Neste tpico voc entender como funciona o RIP, como as informaes so
trocadas entre os roteadores que usam RIP, quais as diferenas entre RIP verso 1
(RIP v1) e RIP verso 2 (RIP v2) e como configurar o RIP no RRAS.

Uma introduo ao RIP

O protocolo RIP baseado em uma troca de mensagens entre os roteadores que
utilizam o protocolo RIP. Cada mensagem do RIP contm uma srie de informaes
sobre as rotas que o roteador conhece (com base na sua tabela de roteamento
atual) e a distncia do roteador para cada uma das rotas. O roteador que recebe as
mensagens, com base na sua distncia para o roteador que enviou a mensagem,
calcula a distncia para as demais redes e grava estas informaes em sua tabela
de roteamento. importante salientar que distncia significa hope, ou melhor, o



nmero de roteadores existentes em um determinado caminho, em uma
determinada rota.

As informaes entre roteadores so trocadas quando o roteador inicializado,
quando o roteador recebe atualizaes em sua tabela de roteamento e tambm em
intervalos regulares. Aqui a primeira desvantagem do RIP. Mesmo que no exista
nenhuma alterao nas rotas da rede, os roteadores baseados em RIP, continuaro
a trocar mensagens de atualizao em intervalos regulares, por padro a cada 30
segundos.

Dentre outros, este um dos motivos pelos quais o RIP no indicado para redes
maiores, pois nestas situaes o volume de trfego gerado pelo RIP, poderia
consumir boa parte da banda disponvel. O RIP projetado para intercambiar
informaes de roteamento em uma rede de tamanho pequeno para mdio. Alm
disso, cada mensagem do protocolo RIP comporta, no mximo, informaes sobre
25 rotas diferentes, o que para grandes redes, faria com que fosse necessria a
troca de vrias mensagens, entre dois roteadores, para atualizar suas respectivas
tabelas, com um grande nmero de rotas. Ao receber atualizaes, o roteador
atualiza a sua tabela de roteamento e envia estas atualizaes para todos os
roteadores diretamente conectados, ou seja, a um hope de distncia.

A maior vantagem do RIP que ele extremamente simples para configurar e
implementar em uma rede. Sua maior desvantagem a incapacidade de ser
ampliado para interconexes de redes de tamanho grande a muito grande.

A contagem mxima de hopes usada pelos roteadores RIP 15. As redes que
estejam a 16 hopes ou mais de distncia, sero consideradas inacessveis.
medida que as redes crescem em tamanho, os anncios peridicos de cada
roteador RIP podem causar trfego excessivo nos links de WAN.

Outra desvantagem do RIP o seu longo tempo de convergncia. Quando a
topologia de interconexo da rede alterada (por queda em um link ou por falha
em um roteador, dentre outros motivos), podem ser necessrios vrios minutos
para que os roteadores RIP se reconfigurem, para refletir a nova topologia de
interconexo da rede. Embora a rede seja capaz de fazer a sua prpria
reconfigurao, podem ser formados loops de roteamento que resultem em dados
perdidos ou sem condies de entrega.

Inicialmente, a tabela de roteamento de cada roteador inclui apenas as redes que
esto fisicamente conectadas. Um roteador RIP envia periodicamente anncios
contendo suas entradas de tabela de roteamento para informar aos outros
roteadores RIP locais, quais as redes que ele pode acessar.

Os roteadores RIP tambm podem comunicar informaes de roteamento atravs
de disparo de atualizaes. Os disparos de atualizaes ocorrem quando a topologia
da rede alterada e informaes de roteamento atualizadas so enviadas de forma
a refletir essas alteraes. Com os disparos de atualizaes, a atualizao enviada
imediatamente em vez de aguardar o prximo anncio peridico. Por exemplo,
quando um roteador detecta uma falha em um link ou roteador, ele atualiza sua
prpria tabela de roteamento e envia rotas atualizadas imediatamente. Cada
roteador que recebe as atualizaes por disparo, modifica sua prpria tabela de
roteamento e propaga a alterao imediatamente.

Conforme j salientado anteriormente, uma das principais desvantagens do
algoritmo distance-vector do RIP o alto tempo de convergncia. Ou seja, quando



um link ou um roteador fica indisponvel, demora alguns minutos at que as
atualizaes de rotas sejam passadas para todos os roteadores. Durante este
perodo pode acontecer de roteadores enviarem pacotes para rotas que no
estejam disponveis. Este um dos principais motivos pelos quais o RIP no pode
ser utilizado em redes de grande porte.

O problema do Count-to-infinity:

Outro problema do protocolo RIP a situao descrita como count-to-infinity
(contar at o infinito). Para entender este problema vamos imaginar dois
roteadores conectados atravs de um link de WAN. Vamos cham-los de roteador A
e B, conectando as redes 1, 2 e 3, conforme diagrama da Figura a seguir:

Figura 8.1 O problema count-to-infinity.

Agora imagine que o link entre o roteador A e a Rede 1 apresente problemas. Com
isso o roteador A sabe que no possvel alcanar a Rede 1 (devido a falha no
link). Porm o Roteador B continua anunciando para o restante da rede, que ele
encontra-se a dois hopes da rede A (isso porque o Roteador B ainda no teve sua
tabela de roteamento atualizada com a informao de que o link para a Rede 1 est
indisponvel). O Roteador B manda este anncio, inclusive para o roteador A.

O roteador A recebe esta atualizao e considera que ele (o Roteador A) est agora
a 3 hopes da Rede 1 (um hope de distncia at o Roteador B + dois hopes de
distncia do roteador B at a rede 1. Ele no sabe que o caminho do Roteador B
para a rede 1, passa por ele mesmo, ou seja, pelo Roteador A). Com isso volta a
informao para o Roteador B dizendo que o Roteador A est a 3 hopes de
distncia. O Roteador B atualiza a sua tabela, considerando agora que ele est a 4
hopes da Rede 1 (um hope at o roteador A + 3 hopes que o roteador A est da
rede 1, segundo o ltimo anncio). E este processo continua at que o limite de 16
hopes seja atingido. Observe que mesmo com um link com problema, o protocolo
RIP no convergiu e continuou anunciando rotas incorretamente, at atingir uma
contagem de 16 hopes (que em termos do RIP significa o infinito, inalcanvel).

O problema do count-to-infinity um dos mais graves com o uso do RIP Verso 1,
conhecido apenas como RIP v1. O Windows 200 Server e o Windows Server 2003
do suporte tambm ao RIP v2, o qual apresenta algumas modificaes no
protocolo, as quais evitam, ou pelo menos minimizam problemas como o loops de
roteamento e count-to-infinity:

Split horizon (horizonte dividido): Com esta tcnica o roteador
registra a interface atravs da qual recebeu informaes sobre uma rota e
no difunde informaes sobre esta rota, atravs desta mesma interface.
No nosso exemplo, o Roteador B receberia informaes sobre a rota para a



rede 1, a partir do Roteador B, logo o Roteador A no iria enviar
informaes sobre Rotas para a rede 1, de volta para o Roteador B. Com
isso j seria evitado o problema do count-to-infinity. Em outras palavras,
esta caracterstica pode ser resumida assim: Eu aprendi sobre uma rota
para a rede X atravs de voc, logo voc no pode aprender sobre uma
rota para a rede X, atravs de minhas informaes.

Split horizon with poison reverse (Inverso danificada):
Nesta tcnica, quando um roteador aprende o caminho para uma
determinada rede, ele anuncia o seu caminho, de volta para esta
rede, com um hope de 16. No exemplo da Figura anterior, o
Roteador B, recebe a informao do Roteador A, que a rede 1 est a
1 hope de distncia. O Roteador B anuncia para o roteador A, que a
rede 1 est a 16 hope de distncia. Com isso, jamais o Roteador A
vai tentar achar um caminha para a rede 1, atravs do Roteador B,
o que faz sentido, j que o Roteador A est diretamente conectado
rede 1.
Triggered updates (Atualizaes instantneas): Com esta
tcnica os roteadores podem anunciar mudanas na mtrica de uma
rota imediatamente, sem esperar o prximo perodo de anuncio.
Neste caso, redes que se tornem indisponveis, podem ser
anunciadas imediatamente com um hope de 16, ou seja,
indisponvel. Esta tcnica utilizada em combinao com a tcnica
de inverso danificada, para tentar diminuir o tempo de
convergncia da rede, em situaes onde houve indisponibilidade de
um roteador ou de um link. Esta tcnica diminui o tempo necessrio
para convergncia da rede, porm gera mais trfego na rede.
Um estudo comparativo entre RIP v1 e RIP v2

O protocolo RIP v1 apresenta diversos problemas, sendo que os principais so os
destacados a seguir:
O protocolo RIP v1 usa broadcast para fazer anncios na
rede: Com isto, todos os hosts da rede recebero os pacotes RIP e
no somente os hosts habilitados ao RIP. Uma contrapartida do uso
do Broadcast pelo protocolo RIP v1, que isso torna possvel o uso
dos chamados hosts de RIP Silencioso (Silent RIP). Um computador
configurado para ser um Silent RIP, processa os anncios do
protocolo RIP (ou seja, reconhece os pacotes enviados pelo RIP e
capaz de process-los), mas no anuncia suas prprias rotas. Esta
funcionalidade pode ser habilitada em um computador que no
esteja configurado como roteador, para produzir uma tabela de
roteamento detalhada da rede, a partir das informaes obtidas
pelo processamento dos pacotes do RIP. Com estas informaes
detalhadas, o computador configurado como Salient RIP pode tomar
melhores decises de roteamento, para os programas e servios
nele instalados. No exemplo a seguir, mostro como habilitar uma
estao de trabalho com o Windows 2000 Professional instalado, a
tornar-se um Salient RIP.



Exemplo: Para configurar uma estao de trabalho com o Windows 2000
Professional instalado, como Salient RIP, siga os passos indicados a seguir:

1. Faa o logon como Administrador.


3. Abra a opo Adicionar ou remover programas.

4. No painel da esquerda, clique em Adicionar ou remover componentes do
Windows.

5. Clique na opo Servios de rede para marc-la (sem selecionar a caixa de
seleo ao lado desta opo, seno todos os servios de rede sero instalados).

6. Clique no boto Detalhes...

7. Nas opes que so exibidas marque a opo RIP Listener.

8. Clique em OK. Voc estar de volta a janela de componentes do Windows.

9. Clique em Avanar para concluir a instalao.
A mscara de sub-rede no anunciada juntamente com
as rotas: Isso porque o protocolo RIP v1 foi projetado em 1988,
para trabalhar com redes baseadas nas classes padro A, B e C, ou
seja, pelo nmero IP da rota, deduzia-as a respectiva classe. Com o
uso da Internet e o uso de um nmero varivel de bits para a
mscara de sub-rede (nmero diferente do nmero de bits padro
para cada classe, conforme descrito na Parte 7), esta fato tornou-se
um problema srio do protocolo RIP v1. Com isso, o protocolo RIP
v1, utiliza a seguinte lgica, para inferir qual a mscara de sub-rede
associada com determinada rota:
1. Se a identificao de rede coincide com uma das classes padro A, B ou C,
assumida a mscara de sub-rede padro da respectiva classe.

2. Se a identificao de rede no coincide com uma das classes padro, duas
situaes podem acontecer:
2.1 Se a identificao de rede coincide com a identificao de rede da
interface na qual o anncio foi recebido, a mscara de sub-rede da
interface na qual o anncio foi recebido, ser assumida.
2.2 Se a identificao de rede no coincide com a identificao de
rede da interface na qual o anncio foi recebido, o destino ser
considerado um host (e no uma rede) e a mscara de sub-rede
255.255.255.255, ser assumida.
Esta abordagem gera problemas graves. Por exemplo, quando for utilizado o
recurso de supernetting, para juntar vrias redes classe C em uma nica rede
lgica, o RIP v1 ir interpretar como se fossem realmente vrias redes lgicas e
tentar montar uma tabela de roteamento, como se as redes estivessem separadas
fisicamente e ligadas por links de WAN.



Sem proteo contra roteadores no autorizados: O
protocolo RIP v1 no apresenta nenhum mecanismo de autenticao
e proteo, para evitar que roteadores no autorizados possam ser
inseridos na rede e passar a anunciar vrias rotas falsas. Ou seja,
qualquer usurio poder instalar um roteador com RIP v1 e
adicionar vrias rotas falsas, que o RIP v1 se encarregar de
repassar estas rotas para os demais roteadores da rede.
O protocolo RIP v2, oferece diversas melhorias em relao ao RIP v1,
dentre as quais vamos destacar as seguintes:

Os anncios do protocolo RIP v2 so baseados em trfego
multicast e no mais broadcast como no caso do protocolo
RIP v1: O protocolo RIP v2 utiliza o endereo de multicast
224.0.0.9. Com isso os roteadores habilitados ao RIP atuam como
se fossem (na verdade ) um grupo multicast, registrado para
escutar os anncios do protocolo RIP v2. Outros hosts da rede,
no habilitados ao RIP v2, no sero importunados pelos pacotes
do RIP v2. Por questes de compatibilidade (em casos onde parte
da rede ainda usa o RIP v1), possvel utilizar broadcast com
roteadores baseados em RIP v2. Mas esta soluo somente deve ser
adotada durante um perodo de migrao, assim que possvel, todos
os roteadores devem ser migrados para o RIP v2 e o anncio via
broadcast deve ser desabilitado.

Informaes sobre a mscara de sub-rede so enviadas
nos anncios do protocolo RIP v2: Com isso o RIP v2 pode ser
utilizado, sem problemas, em redes que utilizam subnetting,
supernetting e assim por diante, uma vez que cada rede fica
perfeitamente definida pelo nmero da rede e pela respectiva
mscara de sub-rede.

Segurana, autenticao e proteo contra a utilizao de
roteadores no autorizados: Com o RIP v2 possvel
implementar um mecanismo de autenticao, de tal maneira que os
roteadores somente aceitem os anncios de roteadores
autenticados, isto , identificados. A autenticao pode ser
configurada atravs da definio de uma senha ou de mecanismos
mais sofisticados como o MD5 (Message Digest 5). Por exemplo,
com a autenticao por senha, quando um roteador envia um
anncio, ele envia juntamente a senha de autenticao. Outros
roteadores da rede, que recebem o anncio, verificam se a senha
est OK e somente depois da verificao, alimentam suas tabelas de
roteamento com as informaes recebidas.

importante salientar que tanto redes baseadas no RIP v1 quanto no RIP v2 so
redes chamadas planas (flat). Ou seja, no possvel formar uma hierarquia de
roteamento, baseada no protocolo RIP. Por isso que o RIP no utilizado em
grandes redes. A tendncia natural do RIP, que todos os roteadores sejam
alimentados com todas as rotas possveis (isto um espao plano, sem hierarquia
de roteadores). Imagine como seria utilizar o RIP em uma rede como a Internet,
com milhes e milhes de rotas possveis, com links caindo e voltando a todo
momento? Impossvel. Por isso que o uso do RIP (v1 ou v2) somente indicado
para pequenas redes.




Concluso

rede. As tabelas de roteamento podem ser criadas manualmente, onde o
administrador de cada roteador executa comandos para criar cada uma das rotas
necessrias. Essa abordagem s possvel para redes extremamente pequenas,
com um nmero de rotas pequeno e quando as rotas no mudam muito
chamados protocolos de Roteamento dinmico.

Estes protocolos, uma vez instalados e configurados nos roteadores, permitem que
os roteadores troquem informaes entre si, periodicamente e que montem as
tabelas de roteamento, dinamicamente, com base nestas informaes. Esta
abordagem bem mais indicada para grandes redes, pois os prprios protocolos de
roteamento dinmicos, se encarregam de manter as tabelas de roteamento sempre
atualizadas, alterando rotas quando necessrio e excluindo rotas que apresentam
problemas, tais como rotas onde o link de comunicao est fora do ar. Nesta parte
do tutorial de TCP/IP, iniciei a apresentao dos protocolos de roteamento
dinmico, sendo que nesta e nas prximas partes do tutorial, iremos concentrar
nossos estudos, nos dois principais protocolos:
OSPF Open Shorted Path First




Tutorial de TCP/IP Parte 15 Protocolos de
Roteamento Dinmico

Introduo:

Esta a dcima quinta parte do tutorial de TCP/IP. Na Parte 1 tratei dos aspectos
Parte 13 voc aprendeu sobre a instalao e configurao do protocolo TCP/IP no
Windows 2000 Professional ou Server. Apresentei, em detalhes, a configurao do
protocolo TCP/IP no Windows 2000. Mostrei como fazer as configuraes do
protocolo TCP/IP, desde as configuraes bsicas de nmero IP e mscara de sub-
rede (em computadores que usaro IP fixo, ao invs de obter as configuraes a
partir de um servidor DHCP), at configuraes mais avanadas, tais como definir
filtros para o protocolo TCP/IP.

chamados protocolos de Roteamento dinmico. Estes protocolos, uma vez
instalados e configurados nos roteadores, permitem que os roteadores troquem
informaes entre si, periodicamente e que montem as tabelas de roteamento,
dinamicamente, com base nestas informaes. Esta abordagem bem mais
indicada para grandes redes, pois os prprios protocolos de roteamento dinmicos,
se encarregam de manter as tabelas de roteamento sempre atualizadas, alterando
rotas quando necessrio e excluindo rotas que apresentam problemas, tais como
rotas onde o link de comunicao est fora do ar. Na Parte 14, fiz uma
apresentao do protocolo RIP, das suas caractersticas, usos e principais
problemas. Nesta dcima quinta parte ser a vez de apresentar o protocolo OSPF e
o conceito de roteamento baseada em reas, roteadores de borda e outros ligados
ao OSPF.




OSPF Open Shorted Path First:

Nesta parte do tutorial voc aprender sobre o OSPF, suas vantagens em relao
ao RIP, o seu uso para roteamento em grandes redes, sobre os conceitos de
sistemas autnomos, adjacncias e assim por diante.

Uma introduo ao OSPF

O protocolo OSPF - Open Shortest Path First (OSPF, uma traduo, digamos, muito
forada, seria: abrir primeiro o caminho mais curto) a alternativa para redes de
grande porte, onde o protocolo RIP no pode ser utilizado, devido a suas
caractersticas e limitaes, conforme descrito na Parte 14 deste tutorial.

O OSPF permite a diviso de uma rede em reas e torna possvel o roteamento
dentro de cada rea e entre as diferentes reas, usando os chamados roteadores
de borda. Com isso, usando o OSPF, possvel criar redes hierrquicas de grande
porte, sem que seja necessrio que cada roteador tenha uma tabela de roteamento
gigantesca, com rotas para todas as redes, como seria necessrio no caso do RIP.
O OSPF projetado para intercambiar informaes de roteamento em uma
interconexo de rede de tamanho grande ou muito grande, como por exemplo a
Internet.

A maior vantagem do OSPF que ele eficiente em vrios pontos: requer
pouqussima sobrecarga de rede mesmo em interconexes de redes muito grandes,
pois os roteadores que usam OSPF trocam informaes somente sobre as rotas que
sofreram alteraes e no toda a tabela de roteamento, como feito com o uso do
RIP. Sua maior desvantagem a complexidade: requer planejamento adequado e
mais difcil de configurar e administrar do que o protocolo RIP.

O OSPF usa um algoritmo conhecido como Shortest Path First (SPF, primeiro
caminho mais curto) para calcular as rotas na tabela de roteamento. O algoritmo
SPF calcula o caminho mais curto (menor custo) entre o roteador e todas as redes
da interconexo de redes. As rotas calculadas pelo SPF so sempre livres de loops
(laos). O OSPF usa um algoritmo de roteamento conhecido como link-state
(estado de ligao). Lembre que o RIP usava um algoritmo baseado em distncia
vetorial. O OSPF aprende as rotas dinamicamente, atravs de interao com os
roteadores denominados como seus vizinhos.

Em vez de intercambiar as entradas de tabela de roteamento como os roteadores
RIP (Router Information Protocol, protocolo de informaes do roteador), os
roteadores OSPF mantm um mapa da interconexo de redes que atualizado aps
qualquer alterao feita na topologia da rede ( importante salientar novamente
que somente informaes sobre as mudanas so trocadas entre os roteadores
usando OSPF e no toda a tabela de roteamento, como acontece com o uso do
RIP). Esse mapa, denominado banco de dados do estado de vnculo ou estado de
ligao, sincronizado entre todos os roteadores OSPF e usado para calcular as
rotas na tabela de roteamento. Os roteadores OSPF vizinhos (neghboring) formam
uma adjacncia, que um relacionamento lgico entre roteadores para sincronizar
o banco de dados com os estados de vnculo.

As alteraes feitas na topologia de interconexo de redes so eficientemente
distribudas por toda a rede para garantir que o banco de dados do estado de
vnculo em cada roteador esteja sincronizado e preciso o tempo todo. Ao receber as
alteraes feitas no banco de dados do estado de vnculo, a tabela de roteamento
recalculada.



medida que o tamanho do banco de dados do estado de vnculo aumenta, os
requisitos de memria e o tempo de clculo do roteamento tambm aumentam.
Para resolver esse problema, principalmente para grandes redes, o OSPF divide a
rede em reas (conjuntos de redes contguas) que so conectadas umas s outras
atravs de uma rea de backbone. Cada roteador mantm um banco de dados
do estado de vnculo apenas para aquelas reas que a ele esto
conectadas. Os ABRs (Area Border Routers, roteadores de borda de rea)
conectam a rea de backbone a outras reas.

Esta diviso em reas e a conexo das reas atravs de uma rede de backbone
ilustrada na Figura a seguir, obtida na Ajuda do Windows 2000 Server:

Diviso em reas e conexo atravs de um backbone.

Cada anncio de um roteador OSPF contm informaes apenas sobre os estados
de ligao dos roteadores vizinhos, isto , dentro da rea do roteador. Com isso a
quantidade de informao transmitida na rede, pelo protocolo OSPF, bem menor
do que a quantidade de informao transmitida quando usado o protocolo RIP.
Outra vantagem que os roteadores OSPF param de enviar anncios, quando a
rede atinge um estado de convergncia, ou seja, quando no existem mais
alteraes a serem anunciadas. O RIP, ao contrrio, continua enviando anncios
periodicamente, mesmo que nenhuma alterao tenha sido feita na topologia da
rede (tal como um link ou roteador que tenha falhado).

Nota: Na Internet existe a diviso nos chamados Sistemas Autnomos. Um sistema
autnomo, por exemplo, pode representar a rede de um grande provedor. Neste
caso, o prprio sistema autnomo pode ser dividido em uma ou mais reas usando
OSPF e estas reas so conectadas por um backbone central. O roteamento dentro
de cada sistema autnomo feito usando os chamados protocolos de roteamento
interno (IGP Interior Gateway Protocol). O OSPF um protocolo IGP, ou seja,
para roteamento dentro dos sistemas autnomos. O roteamento entre os diversos
sistemas autnomos feito por protocolos de roteamento externos (EGP
Exterior Gateway Protocol) e pelos chamados protocolos de roteamento de
borda (BGP Border Gateway Protocol).

Importante: Podem ocorrer situaes em que uma nova rea que conectada a
rede, no pode ter acesso fsico direto ao backbone OSPF. Nestas situaes, a
conexo da nova rea com o backbone OSPF feita atravs da criao de um link
virtual (virtual link). O link virtual fornece uma caminho lgico entre a rea
fisicamente separada do backbone e o backbone OSPF. Criar o link virtual significa
criar uma rota entre a rea que no est fisicamente conectada ao backbone e o
backbone, mesmo que este link passe por dois ou mais roteadores OSPF, at



chegar ao backbone. Para um exemplo passo-a-passo de criao de links virtuais,
consulte o Captulo 8 do livro de minha autoria:Manual de Estudos Para o Exame
70-216, 712 pginas, publicado pela editora Axcel Books (www.axcel.com.br).

Vantages do OSPF em relao ao RIP:

As rotas calculadas pelo algoritmo SPF so sempre livres de loops.

O OSPF pode ser dimensionado para interconexes de redes grandes ou
muito grandes.

A reconfigurao para as alteraes da topologia de rede muito rpida, ou
seja, o tempo de convergncia da rede, aps alteraes na topologia muito
menor do que o tempo de convergncia do protocolo RIP.

O trfego de informaes do protocolo OSPF muito menor do que o do
protocolo RIP.

O OSPF permite a utilizao de diferentes mecanismos de autenticao entre
os roteadores que utilizam OSPF.

O OSPF envia informaes somente quando houver alteraes na rede e no
periodicamente.

A implementao OSPF como parte dos servios de roteamento do RRAS Routing
em Remote Access Services, do Windows 2000 Server e no Windows Server 2003,
tem os seguintes recursos:

Filtros de roteamento para controlar a interao com outros protocolos de
roteamento.
Reconfigurao dinmica de todas as configuraes OSPF.
Coexistncia com o RIP.
Adio e excluso dinmica de interfaces.

Importante: O Windows 2000 Server no oferece suporte ao uso do OSPF em
uma interface de discagem por demanda (demand-dial) que usa vnculos dial-up
temporrios.

Dica: Se voc est usando vrios protocolos de roteamento IP, configure apenas
um nico protocolo de roteamento por interface.

Operao do protocolo OSPF

O protocolo OSPF baseado em um algoritmo conhecido com SPF Short Path
First. Depois que um roteador (ou um servidor com o Windows 2000 Server ou
Windows Server 2003, configurado como roteador e usando o OSPF) inicializado e
feita a verificao para detectar se as interfaces de rede esto OK, utilizado o
protocolo OSPF Hello para identificar quem so os vizinhos do roteador.

O roteador envia pacotes no formato do protocolo Hello, para os seus vizinhos e
recebe os pacotes Hello enviados pelos seus vizinhos.




Conforme descrito anteriormente, uma rede baseada em OSPF dividia em reas e
as diversas reas so conectadas atravs de um backbone comum a todas as
reas. O algoritmo SPF baseado na sincronizao do banco de dados de estados
de ligao entre os roteadores OSPF dentro de uma mesma rea. Porm, ao invs
de cada roteador fazer a sincronizao com todos os demais roteadores OSPF da
sua rea, cada roteador faz a sincronizao apenas com seus vizinhos
(neghboring routers). A relao entre roteadores OSPF vizinhos, com o objetivo
de sincronizar suas bases de dados conhecida como Adjacncia. O termo mais
comum formar uma adjacncia.

Porm, mesmo com o uso de adjacncias, em uma rede com vrios roteadores
dentro da mesma rea, um grande nmero de adjacncias poder ser formado, o
que implicaria em um grande volume de troca de informaes de roteamento. Por
exemplo, imagine uma rede com seis roteadores OSPF dentro da mesma rea.
Neste caso, cada roteador poderia formar uma adjacncia com os outros cinco
roteadores da rea, o que resultaria em um total de 15 adjacncias. O nmero de
adjacncias calculado usando a seguinte frmula, onde n representa o nmero de
roteadores:

Nmero de adjacncias = n*(n-1)/2

Com um grande nmero de adjacncias, o trfego gerado pela sincronizao do
OSPF seria muito elevado. Para resolver esta questo utilizado o conceito de
Designated Router (Roteador designado). Um roteador designado um roteador
que ser considerado vizinho de todos os demais roteadores da rede. Com isso
formada uma adjacncia entre cada roteador da rede e o roteador designado. No
nosso exemplo, da rede com 6 roteadores OSPF, dentro da mesma rea, seriam
formadas apenas cinco adjacncias. Uma entre cada um dos cinco roteadores,
diretamente com o sexto roteador, o qual foi configurado como roteador designado.
Neste caso, cada roteador da rede troca informaes com o roteador designado.
Como o roteador designado recebe informaes de todos os roteadores da rea, ele
fica com uma base completa e repassa esta base para cada um dos roteadores da
mesma rea. Observe que com o uso de um roteador designado, obtm-se uma
sincronizao da base completa dos roteadores e com o uso de um nmero bem
menor de adjacncias, o que reduz consideravelmente o trfego de pacotes do
OSPF.

Por questes de contingncia, tambm criado um Designated Backup Router
(Roteador designado de backup), o qual assumir o papel de roteador designado,
no caso de falha do roteador designado principal. A eleio de qual ser o roteador
designado feita automaticamente pelo OSPF, mediante uma troca de pacotes
Hello, de acordo com as regras contidas no protocolo, um dos roteadores ser
eleito como roteador designado e um segundo como roteador designado backup.




Concluso

chamados protocolos de Roteamento dinmico.

Estes protocolos, uma vez instalados e configurados nos roteadores, permitem que
os roteadores troquem informaes entre si, periodicamente e que montem as
tabelas de roteamento, dinamicamente, com base nestas informaes. Esta
abordagem bem mais indicada para grandes redes, pois os prprios protocolos de
roteamento dinmico, se encarregam de manter as tabelas de roteamento sempre
atualizadas, alterando rotas quando necessrio e excluindo rotas que apresentam
problemas, tais como rotas onde o link de comunicao est fora do ar. Na Parte 14
fiz uma apresentao do protocolo RIP. Nesta parte foi a vez do protocolo OSPF, o
qual baseado na diviso de uma rede em reas conectadas atravs de backbones
de roteamento. Voc pode conferir que o protocolo OSPF tem inmeras vantagens
em relao ao protocolo RIP.




Tutorial de TCP/IP Parte 16 Compartilhando a
Conexo Internet

Introduo:

Esta a dcima sexta parte do Tutorial de TCP/IP. Na Parte 1 tratei dos aspectos
portas de comunicao. Parte 12, mostrei como so efetuadas as configuraes de
portas em diversos aplicativos que voc utiliza e os comandos do Windows
Parte 13 falei sobre a instalao e a configurao do protocolo TCP/IP. Na Parte 14
fiz uma introduo sobre o protocolo de roteamento dinmico RIP e na Parte 15 foi
a vez de fazer a introduo a um outro protocolo de roteamento dinmico, o OSPF.
Nesta dcima sexta parte voc aprender sobre um recurso bem til do Windows:
O compartilhamento da conexo Internet, oficialmente conhecida como ICS
Internet Connection Sharing. Este recurso til quando voc tem uma pequena
rede, no mais do que cinco mquinas, conectadas em rede, todas com o protocolo
TCP/IP instalado e uma das mquinas tem conexo com a Internet. Voc pode
habilitar o ICS no computador que tem a conexo com a Internet. Com isso os
demais computadores da rede tambm passaro a ter acesso Internet, conforme
ilustrado na Figura a seguir:

Hub
INTERNET
Modem
Computador conectado Internet e
com o ICS habilitado.
Ao habilitar o ICS neste computador,
os demais computadores da rede
passam a ter acesso Internet




Internet Connection Sharing (ICS)

Vamos inicialmente entender exatamente qual a funo do ICS e em que situaes
ele indicado. O recurso de compartilhamento da conexo com a Internet
indicado para conectar uma rede domstica ou uma pequena rede (eu diria no
mais do que 10 computadores) Internet. Imagine a rede de uma pequena
empresa, onde esto instalados 10 computadores e um servidor com o Windows
2000 Server. Est disponvel uma nica conexo com a Internet. A conexo um
conexo discada, via linha telefnica comum. A questo : Com o uso do recurso
de compartilhamento da conexo com a Internet, possvel que todos os
computadores desta pequena rede, tenham acesso Internet?

A resposta sim. Com o uso do ICS possvel fazer com que todos os
computadores da rede tenham acesso Internet, atravs de uma conexo
compartilhada no servidor Windows 2000 Server ou at mesmo Windows 2000
Professional. Aps ter sido habilitado o compartilhamento da conexo Internet, os
demais computadores da rede utilizam a Internet como se estivessem diretamente
conectados. Ou seja, para os usurios o uso da conexo compartilhada
transparente.

Para que o ICS possa funcionar so necessrias duas conexes de rede, no
computador onde o ICS ser habilitado. Uma conexo normalmente a placa de
rede que liga o computador rede local e conhecida como conexo interna. A
outra conexo, conhecida como conexo Externa, faz a conexo do computador
com a Internet. Normalmente uma conexo do tipo ADSL, ISDN, A Cabo ou at
mesmo uma conexo discada, via telefone comum. O diagrama da Figura a seguir,
ilustra a funcionalidade do ICS. No computador onde o ICS foi habilitado, a conexo
via placa de rede, a conexo interna. A conexo via Modem, que faz a conexo
com a Internet, dita conexo externa ou pblica.




Mudanas que so efetuadas quando o ICS habilitado

Quando voc habilita o ICS no computador conectado Internet, algumas
alteraes so efetuadas neste computador. muito importante entender estas
alteraes, porque pode acontecer de alguns servios de rede, tais como
compartilhamento de pastas e impressoras, deixarem de funcionar aps a
habilitao do ICS. Sabendo quais as mudanas efetuadas pelo ICS, voc poder
reconfigurar a sua rede, para que todos os servios voltem a funcionar
normalmente.

Importante: Devido as diversas mudanas que so introduzidas ao habilitar o ICS,
que no recomendado o uso do ICS em um ambiente onde est configurado um
domnio do Windows 2000 Server, baseado no Active Directory. O uso do ICS
realmente recomendado para pequenas redes baseadas em um modelo de
Workgroup. Alm disso, se voc tiver uma rede maior, baseada em um domnio e
no Active Directory, muito provvel que voc j tenha uma conexo da rede local
com a Internet, atravs do uso de roteadores e outros equipamentos de rede.

A primeira mudana a ser ressaltada que o computador no qual o ICS foi
habilitado, automaticamente, configurado como um mini servidor DHCP (digamos
um mini DHCP), o qual passa a fornecer endereos IP para os demais
computadores da rede.




Outra mudana que efetuada no nmero IP da interface interna. Este nmero
alterado para: 192.168.0.1 com uma mscara de sub-rede: 255.255.255.0. Esta
uma das mudanas para as quais voc deve estar atento. Pois se antes de
habilitar o ICS voc utiliza um esquema de endereamento, por exemplo:
10.10.10.0/255.255.255.0 ou qualquer outro esquema de endereamento, este
esquema ser alterado, para um esquema 192.168.0.0/255.255.255.0,
obrigatoriamente, no tem como alterar isso. Com isso pode ser necessrio
reconfigurar alguns mapeamentos de drives de rede e de impressoras, para que
estes recursos possam funcionar, sem problemas, aps a habilitao do ICS.

Muito importante: Quando o ICS habilitado, atribudo o endereo IP
192.168.0.1 para a interface interna do computador onde o ICS foi habilitado. Com
isso, se houver compartilhamentos no servidor onde foi habilitado o ICS, estes
deixaro de estar acessveis para os demais computadores da rede, pois os demais
computadores continuaro utilizando o esquema de endereamento IP padro da
rede, o qual provavelmente seja diferente do esquema utilizado pelo ICS. Isso at
que os demais clientes da rede sejam configurados como clientes DHCP e obter um
endereo da rede 192.168.0.0/255.255.255.0, automaticamente, a partir do
computador onde o ICS foi habilitado.

A funcionalidade de discagem sob demanda habilitada na conexo Internet, do
computador onde o ICS foi habilitado. Com isso quando qualquer um dos
computadores da rede tentar acessar a Internet, se a conexo no estiver
disponvel, ser inicializada automaticamente uma discagem (se for uma conexo
discada) para estabelecer a conexo.

Nota: Aps a habilitao do ICS, o servio do ICS ser configurado para inicializar
automaticamente, de tal maneira que as funcionalidades do ICS possam ser
utilizadas.

Alm de transformar o computador com o ICS habilitado, em um servidor DHCP,
ser criado o seguinte escopo: 192.168.0.2 -> 192.168.0.254, com mscara de
sub-rede 255.255.255.0.

Importante: A funcionalidade de DNS Proxy habilitada no computador com o
ICS habilitado. Isso significa que este computador recebe as requisies de
resoluo DNS dos clientes da rede, repassa estes pedidos para o servidor DNS do
provedor de Internet, recebe a resposta e passa a resposta de volta para o cliente
que fez a requisio para a resoluo do nome. O resultado prtico que os
clientes tem acesso ao servio DNS, sendo que todas as requisies passam pelo
ICS, que est atuando como um DNS Proxy.

Importante: Voc no tem como alterar as configuraes padro do ICS. Por
exemplo, voc no pode desabilitar a funcionalidade de servidor DHCP do
computador onde foi habilitado o ICS e nem pode definir um esquema de
endereamento diferente do que definido por padro e tambm no tem como
desabilitar a funo de DNS Proxy. Para que voc possa personalizar estas
funcionalidades voc precisa utilizar o recurso de NAT, ao invs do ICS. O recurso
de NAT ser descrito em uma das prximas partes do tutorial.




Configurando os clientes da rede interna, para usar o ICS

Muito bem, voc habilitou o ICS no computador com a conexo com a Internet
(voc aprender a parte prtica mais adiante) e agora voc quer que os
computadores da rede local possam acessar a Internet, usando a configurao
compartilhada, no computador onde o ICS foi habilitado.

Conforme descrito no Parte 1 deste tutorial, para que os computadores de uma
rede baseada no TCP/IP possam se comunicar, preciso que todos faam parte da
mesma rede (ou estejam ligados atravs de roteadores, para redes ligadas atravs
de links de WAN). Quando voc habilita o ICS, todos os computadores da rede
devem utilizar o esquema de endereamento padro definido pelo ICS, ou seja:
192.168.0.0/255.255.255.0. Com o ICS no possvel utilizar outro esquema de
endereamento que no o definido pelo ICS. O endereo 192.168.0.1 atribudo a
interface de rede interna do computador onde o ICS habilitado. Os demais
computadores da rede devem ser configurados para usar o DHCP e como Default
Gateway deve ser configurado o IP 192.168.0.1, que nmero IP da interface
interna do computador com o ICS habilitado (estou repetindo de propsito, para
que fique gravado o esquema de endereamento que habilitado pelo ICS e devido
a importncia deste detalhe).

Dependendo da verso do Windows, diferentes configuraes tero que ser
efetuadas. Quando o ICS habilitado em um computador rodando o Windows XP,
Windows Server 2003 Standard Edition ou Windows Server 2003 Enterprise Edition,
voc poder adicionar como clientes, computadores rodando uma das seguintes
verses do Windows:

Windows 98
Windows 98 Segunda Edio
Windows Me
Windows XP
Windows 2000
Windows Server 2003 Standard Edition
Windows Server 2003 Enterprise Edition

Na parte prtica, mais adiante, mostrarei os passos para habilitar os clientes da
rede a utilizar o ICS.

Mais algumas observaes importantes sobre o ICS

Neste item apresentarei mais algumas observaes importantes sobre o ICS. A
primeira delas que o esquema de endereamento utilizado pelo ICS um dos
chamados endereos Internos ou endereos Privados. As faixas de endereos
definidas como endereos privados so endereos que no so vlidos na Internet,
ou seja, pacotes endereados para um endereo de uma destas faixas, sero
descartados pelos roteadores. Os endereos Privados foram reservados para uso
interno na Intranet das empresas. Ou seja, na rede interna, qualquer empresa,
pode utilizar qualquer uma das faixas de endereos Privados. Existem trs faixas de
endereos definidos como Privados. Estas faixas esto definidas na RFC 1597. Os
endereos definidos como privados so os seguintes:

10.0.0.0 -> 10.255.255.255
172.16.0.0 -> 172.31.255.255
192.168.0.0 -> 192.168.255.255



Observe que a faixa de endereos usada pelo ICS (192.168.0.1 -> 192.168.0.254)
uma faixa de endereos Privados. Por isso, o ICS tambm tem que executar o
papel de traduzir os endereos privados, os quais no so vlidos na Internet,
para o endereo vlido, da interface pblica do servidor com o ICS (normalmente
um modem para conexo discada ou um modem ADSL) Vamos a uma explicao
mais detalhada deste ponto.

Imagine que voc tem cinco computadores na rede, todos usando o ICS. Os
computadores esto utilizando os seguintes endereos:

192.168.0.10
192.168.0.11
192.168.0.12
192.168.0.13
192.168.0.14

O computador com o ICS habilitado tem as seguintes configuraes:

IP da interface interna: 192.168.0.1
IP da interface externa: Um endereo vlido na Internet, obtido a
partir da conexo com o provedor de Internet.

Quando um cliente acessa a Internet, no pacote de informao est registrado o
endereo IP da rede interna, por exemplo: 192.168.0.10. Porm este pacote no
pode ser enviado pelo ICS para a Internet, com este endereo IP como endereo de
origem, seno no primeiro roteador este pacote ser descartado, j que o endereo
192.168.0.10 no um endereo vlido na Internet (pois um endereo que
pertence a uma das faixas de endereos privados, conforme descrito
anteriormente). Para que este pacote possa ser enviado para a Internet, o ICS
substitui o endereo IP de origem pelo endereo IP da interface externa do ICS
(endereo fornecido pelo provedor de Internet e, portanto, vlido na Internet).
Quando a resposta retorna, o ICS repassa a resposta para o cliente que originou o
pedido. Mas voc pode estar fazendo as seguintes perguntas:

1. Se houver mais de um cliente acessando a Internet e o ICS possui apenas
um endereo IP vlido, como possvel a comunicao de mais de um cliente, ao
mesmo tempo, com a Internet?

2. Quando a resposta retorna, como o ICS sabe para qual dos clientes da rede
interna a resposta se destina, se houver mais de um cliente acessando a Internet?

A resposta para estas duas questes a mesma. O ICS executa uma funo de
NAT Network Address Translation (que ser o assunto de uma das prximas
partes do tutorial). A traduo de endereos funciona assim:

1. Quando um cliente interno tenta se comunicar com a Internet, o ICS
substitui o endereo interno do cliente como endereo de origem, por um endereo
vlido na Internet. Mas alm do endereo tambm associada uma porta de
comunicao ( o conceito de portas do protocolo TCP/IP, visto na Parte 12 deste
tutorial). O ICS mantm uma tabelinha interna onde fica registrado que, a
comunicao atravs da porta tal est relacionada com o cliente tal (ou seja,
com o IP interno tal).

2. Quando a resposta retorna, pela identificao da porta, o ICS consulta a sua
tabela interna e sabe para qual cliente da rede interna deve ser enviada a referida



resposta (para qual IP da rede interna), uma vez que a porta de identificao est
associada com um endereo IP da rede interna.

Com isso, vrios computadores da rede interna, podem acessar a Internet ao
mesmo tempo, usando um nico endereo IP. A diferenciao feita atravs de
uma atribuio de porta de comunicao diferente, associada com cada IP da rede
interna. Este o princpio bsico do NAT Network Address Translation (Traduo
de Endereos IP). Mas importante no confundir este mini-NAT embutido no
ICS, com a funcionalidade de NAT que ser descrita em uma das prximas partes
deste tutorial. Existem grandes diferenas entre o ICS e o NAT e o uso de cada um
indicado em situaes especficas. O ICS tem suas limitaes, as quais so
diferentes das limitaes do NAT.

Uma das principais limitaes do ICS no ser possvel alterar as configuraes
definidas ao habilitar o ICS, tais como a faixa de endereos a ser utilizada e o
nmero IP da interface interna (interface que liga o computador com o ICS rede
local).

Comparando ICS e NAT

Neste tpico apresento mais alguns detalhes sobre as diferenas entre o ICS e o
NAT. Existem algumas funcionalidades que so fornecidas por ambos, tais como a
traduo de endereos Privados para endereos vlidos na Internet, enquanto
outras so exclusivas de cada um dos servios.

Para conectar uma rede residencial ou de um pequeno escritrio, Internet, voc
pode usar duas abordagens diferentes:

Conexo roteada: Neste caso, voc instala o RRAS no computador
conectado Internet e configura o RRAS para fazer o papel de um
roteador. Esta abordagem exige conhecimentos avanados do
protocolo TCP/IP, para configurar o RRAS como um roteador. Esta
abordagem tem a vantagem de permitir qualquer tipo de trfego
entre a rede local e a Internet (com a desvantagem de que esse pode
ser um problema srio de segurana se o roteamento no for
configurado adequadamente) e tem a desvantagem da complexidade
na configurao.

Conexes com traduo de endereos: Neste caso, voc instala o
RRAS no computador conectado Internet e configura a
funcionalidade de NAT neste computador. A vantagem deste mtodo
que voc pode utilizar, na rede Interna, endereos privados. Vrias
mquinas da rede interna podem se conectar Internet usando um
nico endereo IP vlido, o endereo IP da interface externa do
servidor com o RRAS. Outra vantagem do NAT, em relao ao
roteamento, que o NAT bem mais simples para configurar. A
desvantagem que determinados tipos de trfegos sero bloqueados
pelo NAT, impedindo que determinadas aplicaes possam ser
executadas.

Uma conexo com traduo de endereos pode ser configurada usando dois
mtodos diferentes:




Voc pode utilizar o ICS (objeto de estudo deste tpico) no Windows
2000, Windows XP, Windows Server 2003 Standard Edition ou
Windows Server 2003 Enterprise Edition.

Voc pode utilizar a funcionalidade de NAT do servidor RRAS, em
servidores executando o Windows 2000 Server com o RRAS
habilitado (lembre que o RRAS instalado automaticamente, porm,
por padro, est desabilitado. Para detalhes sobre a habilitao e
configurao do RRAS, consulte o Captulo 6 do meu livro: Manual de
Estudos Para o Exame 70-216, 712 pginas, publicado pela Editora
Axcel Books).

Importante: As duas solues ICS ou NAT fornecem as funcionalidades de
traduo de endereos e resoluo de nomes, porm existem mais diferenas do
que semelhanas, conforme descreverei logo a seguir.

O Internet Connection Sharing (ICS) foi projetado para fornecer as configuraes
mais simplificadas possveis. Conforme voc ver na parte prtica, habilitar o ICS
uma simples questo de marcar uma caixa de opo, todo o restante feito
automaticamente pelo Windows 2000. Porm uma vez habilitado, o ICS no
permite que sejam feitas alteraes nas configuraes que so definidas por
padro. O ICS foi projetado para obter um nico endereo IP a partir do provedor
de Internet. Isso no pode ser alterado. Ele configurado como um servidor DHCP
e fornece endereos na faixa 192.168.0.0/255.255.255.0. Isso tambm no pode
ser mudado. Em poucas palavras: O ICS fcil de habilitar mas no permite
alteraes nas suas configuraes padro. o ideal para pequenos escritrios que
precisam de acesso Internet, a todos os computadores da rede, porm no
dispem de um tcnico qualificado para fazer as configuraes mais sofisticadas
exigidas pelo NAT e pelo RRAS.

Por sua vez, o NAT foi projetado para oferecer o mximo de flexibilidade em relao
as suas configuraes no servidor RRAS. As funes principais do NAT so a
traduo de endereos (conforme descrito anteriormente) e a proteo da rede
interna contra trfego no autorizado, vindo da Internet. O uso do NAT requer mais
etapas de configurao do que o ICS, contudo em cada etapa da configurao voc
pode personalizar diversas opes do NAT. Por exemplo, o NAT permita que seja
obtida uma faixa de endereos IP a partir do provedor de Internet (ao contrrio do
ICS, que recebe um nico endereo IP do provedor de Internet) e tambm permite
que seja definida a faixa de endereos IP a ser utilizada para os clientes da rede
interna.

Na tabela da Figura a seguir, voc encontra uma comparao entre NAT e ICS.




Importante: Nunca demais salientar que O ICS projetado para conectar uma
rede domstica ou uma rede pequena (com no mais do que 10 computadores)
com a Internet. O protocolo NAT foi projetado para conectar redes de porte
pequeno para mdio, com a Internet (eu diria entre 11 e 100 computadores).
Porm, nenhum deles foi projetado para ser utilizado nas seguintes situaes:

Fazer a conexo entre redes locais
Conectar redes para formar uma Intranet
Conectar as redes dos escritrios regionais com a rede da sede da
empresa
Conectar as redes dos escritrios regionais com a rede da sede da
empresa, usando como meio a Internet, ou seja, criao de uma VPN

Muito bem, a seguir apresentarei os passos prticos para habilitar o ICS no
computador conectado Internet e para configurar os clientes da rede, para que
passem a utilizar o ICS.

Habilitando o ICS no computador conectado Internet:

O ICS, conforme descrito anteriormente, deve ser habilitado no computador com
conexo com a Internet. O ICS habilitado na interface externa, ou seja, na
interface que faz a conexo com a Internet.

Para habilitar o ICS, siga os passos indicados a seguir:

1. Faa o logon no computador conectado Internet, com a conta de
Administrador ou com uma conta com permisso de administrador.


3. Abra a opo Conexes dial-up e de rede.

4. Clique com o boto direito do mouse na conexo com a Internet e, no menu
de opes que exibido, clique em Propriedades.

5. Ser exibida a janela de propriedades da conexo com a Internet. Clique na
guia Compartilhamento. Sero exibidas as opes indicadas na Figura a seguir:




6. Marque a opo Ativar o compartilhamento da conexo c/ Internet p/
conexo. Ao marcar esta opo tambm ser habilitada a opo para fazer a
discagem sob demanda Ativar discagem por demanda. Se voc marcar esta
opo, quando um usurio da rede tentar acessar a Internet, ser iniciada uma
discagem, caso a conexo no esteja ativa.

Nota: Se voc estiver configurando o ICS em um computador que possui mais de
uma placa de rede instalada, estar disponvel uma lista para que voc selecione
qual a placa de rede que faz a conexo com a rede local, ou seja, com a rede para
a qual estar habilitada a conexo compartilhada com a Internet.

7. Voc pode fazer algumas configuraes adicionais no ICS, usando o boto
Configuraes... Clique neste boto.

8. Ser exibida a janela de configuraes do compartilhamento com a guia
Aplicativos selecionada por padro. Na guia Aplicativos voc pode definir
configuraes especficas para habilitar um ou mais aplicativos de rede. Clique na
guia Servios. Nesta janela voc pode habilitar os servios da sua rede, que estaro
disponveis para usurios da Internet, , conforme indicado na Figura a seguir. Em
outras palavras, servios nos computadores da sua rede, os quais estaro
disponveis para acesso atravs da Internet. Por exemplo, se voc quiser montar
um servidor de FTP (File Transfer Protocol Protocolo de Transferncia de
Arquivos), para fornecer o servio de cpias de arquivo, voc ter que habilitar o
servio FTP Server. Ao habilitar este servio, voc ter que informar o nome ou o
nmero IP do computador da rede interna, no qual est disponvel o servio de FTP.
Vamos fazer um exemplo prtico de habilitao de servio.




9. Clique na opo Servidor FTP para marc-la. Ser aberta a janela para
configurao deste servio. Nesta janela, o nome do servio e a porta na qual ele
trabalha, j vem preenchidos e no podem ser alterados. O protocolo de transporte
utilizado pelo servio (TCP ou UDP) tambm j vem assinalado e no pode ser
alterado. A nica informao que voc preenche o nome ou o nmero IP do
computador da rede interna, onde o servio est disponvel, conforme exemplo da
Figura a seguir, onde informado o nmero IP do computador da rede interna,
onde o servio de FTP est disponvel:




10. Informe o nome ou o nmero IP e clique em OK. Voc estar de volta
janela de configuraes do compartilhamento. Clique em OK para fecha-la.

11. Voc estar de volta guia Compartilhamento, da janela de propriedades da
conexo que est sendo compartilhada. Clique em OK para fechar esta janela e
para habilitar o compartilhamento da conexo Internet. Observe que ao ser
habilitado o compartilhamento, o cone indicado na Figura a seguir, passa a ser
exibido junto conexo que foi compartilhada:

A seguir listo as portas utilizadas pelos principais servios da Internet:

Servio Porta utilizada
Servidor Web http (WWW) 80
Servidor de FTP 21
POP3 110
Telnet 23
SSL (https) 443

Importante: Conhea bem as portas indicadas na listagem anterior. Para uma lista
completa de todas as portas utilizadas pelos protocolos TCP e UDP, consulte o
seguinte endereo: http://www.iana.org/numbers.htm

Pronto, habilitar e configurar o ICS apenas isso. A seguir mostrarei como
configurar os clientes da rede, para que passem a usar o ICS e, com isso, ter
acesso Internet.

Configurando os clientes da rede para utilizar o ICS:

Para que os clientes possam utilizar o ICS, os seguintes tpicos devem ser
verificados:

1. Os clientes devem estar conectados em rede, na mesma rede local onde
est conectada a interface interna do servidor com o ICS habilitado. Esta etapa
provavelmente j esteja OK, uma vez que voc certamente habilitou o ICS para
fornecer acesso Internet, para os computadores da sua rede interna, a qual
suponho j estivesse configurada e funcionando.

2. Os computadores da rede interna devem estar com o protocolo TCP/IP
instalado e configurados para usar um servidor DHCP. No caso do ICS, o
computador onde o ICS foi habilitado passa a atuar como um servidor DHCP,
oferecendo endereos na faixa: 192.168.0.2 -> 192.168.0.254. Ou seja, basta
acessar as propriedades do protocolo TCP/IP, conforme descrito na Parte 13 do
tutorial e habilitar a opo Obter um endereo IP automaticamente.

Nota: Para usurios que no tenham muita experincia com as configuraes de
rede e do protocolo TCP/IP, pode ser utilizado o utilitrio netsetup.exe, o qual est
disponvel no CD de instalao do Windows 2000 Server, na pasta:
D:\SUPPORT\TOOLS.




Concluso

Nesta parte do tutorial mostrei como funciona o servio de compartilhamento da
conexo Internet, conhecido como ICS Internet Conecton Sharing. Voc aprendeu
sobre o funcionamento e as limitaes do ICS. Tambm aprendeu a habilitar o ICS
e a configurar os demais computadores da rede, para que possam utilizar o ICS.




Tutorial de TCP/IP Parte 17 IFC Internet Firewall
Connection (Windows XP)

Introduo

Esta a dcima stima parte do Tutorial de TCP/IP. Na Parte 1 tratei dos aspectos
Na Parte 16 voc aprendeu sobre um recurso bem til: O compartilhamento da
conexo Internet, oficialmente conhecida como ICS Internet Connection Sharing.
Este recurso til quando voc tem uma pequena rede, no mais do que cinco
mquinas, conectadas em rede, todas com o protocolo TCP/IP instalado e uma das
mquinas tem conexo com a Internet. Voc pode habilitar o ICS no computador
que tem a conexo com a Internet. Com isso os demais computadores da rede
tambm passaro a ter acesso Internet.

Nesta dcima stima parte, aprenderemos a utilizar o IFC Internet Firewall
Connection (Firewall de Conexo com a Internet). O IFC faz parte do Windows XP e
do Windows Server 2003, no estando disponvel no Windows 2000. O IFC tem
como objetivo proteger o acesso do usurio contra ataques e perigos
vindos da Internet. Vou abordar a verso do Firewall baseada no Windows
XP com o Service Pack 2 instalado. Caso voc ainda no tenha instalado o
SP2, recomendo faz-lo com a maior brevidade possvel, pois, em termos
de segurana, o SP2 indispensvel. Se voc est usando o Windows XP
sem o SP2, poder haver diferenas nos passos prticos, descritos neste
tutorial, o qual baseado no Windows XP cm o SP2 instalado.




Introduo

Ao nos conectarmos com a Internet estamos em contato com o mundo; e o mundo
em contato conosco. A Internet uma via de mo dupla, ou seja, podemos
acessar recursos em servidores do mundo inteiro, porm o nosso computador
tambm pode ser acessado por pessoas do mundo inteiro, se no tomarmos alguns
cuidados bsicos com segurana.

Regra nmero 1: Sempre utilize um bom programa de anti-vrus. Escolha o
programa de sua preferncia, existem muitos, instale e utilize. inadmissvel no
utilizar um programa anti-vrus. Os custos so muito baixos, existindo inclusive
programas gratuitos, em comparao com os riscos que se corre em no usar um
anti-vrus. Mensagens contendo anexos com vrus, sites com contedo dinmico
que podem causar danos, etc, so muitas as ameaas e o anti-vrus capaz de nos
proteger de grande parte delas. No site www.invasao.com.br, voc encontra uma
anlise comparativa, sobre os principais anti-vrus do mercado.

Regra nmero 2: Informao. Procure estar sempre atualizado sobre novos tipos
de vrus, novos tipos de ataques e perigos que possam comprometer a segurana
do seu computador. Para informaes sobre segurana da informao consulte
regularmente o seguinte site: www.invasao.com.br e www.terra.com.br/tecnologia,
bem como a minha coluna semanal em http://www.juliobattisti.com.br/coluna

Regra nmero 3: Se voc usa o Windows XP ou o Windows Server 2003, aprenda
a utilizar e configurar o IFC (justamente o assunto desta parte do tutorial). o que
voc aprender nesta parte do tutorial. Mostrarei o que o IFC, quais as suas
funes e como configur-lo para proteger o computador que voc utiliza, para
acessar a Internet.

Firewall de Conexo com a Internet ICF

Se fssemos traduzir firewall literalmente, seria uma parede corta-foga. Esta
denominao pode parecer sem sentido prtico, mas veremos que a funo
exatamente esta. O firewall como se fosse uma parede, um proteo, colocada
entre o seu computador e a Internet. O fogo neste caso seriam os ataques e
demais perigos vindos da Internet. A funo do Firewall bloquear (cortar) estes
perigos (fogo). Um Firewall pode fazer mais do que isso, ele tambm pode ser
utilizado para bloquear determinados tipos de trfegos a partir do seu computador
para a Internet. Esta utilizao mais comum em redes de grandes empresas,
onde existe um Firewall entre a rede da empresa e a Internet. Todo acesso
Internet passa, obrigatoriamente, pelo Firewall. Atravs de configuraes
adeqadas possvel bloquear determinados tipos de informaes que no tem a
ver com o trabalho dos funcionrios. Por exemplo, podemos, atravs do Firewal,
impedir o acesso a arquivos de vdeo e udio. Mas este no o caso do uso do ICF,
o qual mais indicado para um computador conectado diretamente Internet ou
para uma pequena rede na qual um dos computadores tem acesso Internet e
compartilha esta conexo com os demais computadores (para detalhes sobre o
compartilhamento de conexo, consulte a Parte 16). Na Figura a seguir temos um
diagrama que ilustra a funo de um Firewall:



Funo do Firewall

A utilizao do ICF depende da configurao que estamos utilizando, ou seja, se
temos um nico computador, uma pequena rede ou uma rede empresarial. Vamos
considerar estas trs situaes distintas:

Um nico computador conectado Internet, quer seja via uma
conexo dial-up ou via uma conexo de acesso rpido: Para esta
situao configuramos o ICF no computador que est conectado Internet. O
ICF protejer o computador de uma srie de ataques originados na Internet.

Uma pequena rede onde somente um computador tem conexo com
Internet: Nestas situaes comum o computador que tem acesso
Internet, compartilhar esta conexo com os demais computadores da rede
(veja a Parte 16 deste tutorial). Neste caso, quando o computador que tem
acesso Internet estiver conectado, todos os demais passaro a ter acesso
Internet. Ou seja, existe um nico ponto de acesso Internet que o
computador no qual existe uma conexo, quer seja dial-up ou de acesso
rpido. Nesta situao temos que proteger o computador que est conectado
Internet, com isso protegeremos tambm os demais computadores da
rede. Nesta configurao, configuramos o computador com acesso Internet
para usar o ICF.

Uma rede empresarial com um grande nmero de computadores
ligados em rede: Nestes casos tambm comum existir um nico ponto de
acesso Internet, o qual compartilhado para todos os computadores da
rede. Porm para grandes redes empresariais exigido um alto nvel de
sofisticao, capacidade de bloqueio e filtragem e proteo que somente
produtos especficos so capazes de fornecer. Nestas situaes comum
existir um conjunto de equipamentos e programas que atua como um
Firewall para toda a rede da empresa. Obviamente que nestas situaes no
indicado o uso do ICF do Windows XP.




O ICF considerada uma firewall "de estado". Ela monitora todos os aspectos
das comunicaes que cruzam seu caminho e inspeciona o endereo de origem e
de destino de cada mensagem com a qual ele lida. Para evitar que o trfego no
solicitado da parte pblica da conexo (a Internet) entre na parte privada da
rede (o seu computador conectado Internet), o ICF mantm uma tabela de
todas as comunicaes que se originaram do computador no qual est
configurado o ICF.

No caso de um nico computador, o ICF acompanha o trfego originado do
computador. Quando usado com o compartilhamento de conexo, no caso de
uma pequena rede com o Windows XP, o ICF acompanha todo o trfego
originado no computador com o ICF habilitado e nos demais computadores da
rede. Todo o trfego de entrada da Internet comparado s entradas na tabela
e s tem permisso para alcanar os computadores na sua rede quando houver
uma entrada correspondente na tabela mostrando que a troca de comunicao
foi iniciada na rede domstica.

Na prtica o que acontece o seguinte: quando voc acessa um recurso da
Internet, por exemplo acessa o endereo de um site, o computador que voc
est usando, envia para a Internet uma requisio, solicitando que a pgina seja
carregada no seu Navegador, por exemplo. Assim pode acontecer com todos os
computadores da rede, cada um enviando as suas requisies. O ICF faz uma
tabela com todas as requisies enviadas para a Internet. Cada informao que
chega no ICF, vinda da Internet verificada. Se esta informao uma resposta
a uma das requisies que encontra-se na tabela de requisies, significa que
esta informao pode ser enviada para o computador que fez a requisio. Se a
informao que est chegando, no corresponde a uma resposta de uma das
requisies pendentes, significa que pode ser um ataque vindo da Internet, ou
seja, algum tentando acessar o seu computador ou a sua rede local. Este tipo
de informao bloqueada pelo ICF. Vejam que desta forma o ICF est
protejando o seu computador, evitando que informaes no solicitadas (no
correspondentes a respostas para requisies enviadas) possam chegar at o
seu computador ou a sua rede, neste caso o ICF est cortando o fogo vindo da
Internet.

Podemos configurar o ICF para simplesmente bloquear este tipo de informao
no solicitada ou, para alm de bloquear, gerar um log de registro, com
informaes sobre estas tentativas. Aprenderemos a fazer estas configuraes
nos prximos tpicos.

Tambm podemos configurar o ICF para permitir a entrada de informaes que
correspondem a determinados servios. Por exemplo, se voc tem uma conexo
24 horas e utilzia o seu computador como um servidor Web, no qual est
disponvel um site pessoal, voc deve configurar o ICF para aceitar requisies
HTTP, caso contrrio, o seu computador no poder atuar como um servidor
Web e todas as requisies dos usurios sero bloqueadas pelo ICF. Tambm
aprenderemos a fazer estas configuraes nos prximos tpicos.

Ao ativar o ICF, toda a comunicao de entrada, vinda da Internet, ser
examindada. Alguns programas, principalmente os de email, podem apresentar
um comportamento diferente quando o ICF estiver ativado. Alguns programas de
email pesquisam periodicamente o servidor de email para verificar se h novas
mensagens, enquanto alguns deles aguardam notificao do servidor de email.
As notificaes vindas do servidor no tero requisies correspondentes na
tabela de requisies e com isso sero bloqueadas. Neste caso o cliente de email



deixaria de receber as notificaes do servidor.

O Outlook Express, por exemplo, procura automaticamente novas mensagens
em intervalos regulares, conforme configurao do Outlook. Quando h novas
mensagens, o Outlook Express envia ao usurio uma notificao. A ICF no
afetar o comportamento desse programa, porque a solicitao de notificao de
novas mensagens originada dentro do firewall, pelo prprio Outlook. O firewall
cria uma entrada em uma tabela indicando a comunicao de sada. Quando a
resposta nova mensagem for confirmada pelo servidor de email, o firewall
procurar e encontrar uma entrada associada na tabela e permitir que a
comunicao se estabelea. O usurio, em seguida, ser notificado sobre a
chegada de uma nova mensagem.

Nota: No entanto, o Outlook do Office 2000, conectado a um servidor
Microsoft Exchange que utiliza uma chamada de procedimento remoto (RPC)
para enviar notificaes de novos emails aos clientes. Ele no procura novas
mensagens automaticamente quando est conectado a um servidor Exchange.
Esse servidor o notifica quando chegam novos emails. Como a notificao RPC
iniciada no servidor Exchange fora da firewall, no no Outlook do Office 2000,
que est dentro da firewall, o ICF no encontra a entrada correspondente na
tabela e no permite que as mensagens RPC passem da Internet para a rede
domstica. A mensagem de notificao de RPC ignorada. Os usurios podem
enviar e receber mensagens, mas precisam verificar a presena de novas
mensagens manualmente, ou seja, a verificao de novas mensagens tem que
partir do cliente.

Como ativar/desativar o Firewall de Conexo com a Internet

Para ativar/desativar o Firewall de Conexo com a Internet, siga os passos
indicados a seguir (Windows XP Professional):

1. Abra o Painel de controle: Iniciar -> Painel de controle.

2. Se voc estiver no modo de exibio por Categoria d um clique no link
Alternar para o modo de exibio clssico. Se voc j estiver no modo de
exibio clssico v para o prximo passo.

3. Todas as configuraes do Firewall de Conexo so feitas atravs da opo
Firewall do Windows, do Painel de Controle. D um clique duplo na opo
Firewall do Windows.

4. Ser aberta a janela Firewall do Windows. Se voc tiver mais de uma
conexo de rede (por exemplo, uma conexo de rede local e uma conexo via
Modem), voc poder habilitar ou desabilitar o IFC, individualmente, em cada
conexo. Na janela Firewall do Windows, d um clique na guia Avanado. Ser
exibida a janela indicada na Figura a seguir. No nosso exemplo, temos duas
conexes de Rede local (Conexo local e Conexo local 2) e o Firewall est
habilitado nas duas conexes. Para habilitar o Firewall, basta marcar a caixa de
seleo ao lado da respectiva conexo. Para desabilitar o Firewall em um ou
mais conexes, basta desmarcar a caixa de seleo, ao lado da respectiva
conexo.




A guia Avanado das propriedades da conexo Internet

5. A recomendao de sempre manter o IFC ativado, em todas as conexes
de rede que voc tiver. Com isso voc ir garantir um nvel maior de proteo,
contra uma srie de ameaas, vindas da Internet.

6. Aps ter feito as configuraes desejadas, clique em OK, para aplic-las e
fechar a janela Firewall do Windows.

Nota: Para ativar/desativar o ICF voc deve ter feito o logon como Administrador
ou como um usurio com permisses de Administrador. Para todos os detalhes
sobre a criao e administrao de usurios no Windows XP, consulte o Captulo 6
do meu livro: Windows XP Home & Professional Para Usurios e Administradores
Segunda Edio.




Como ativar/desativar o log de Segurana do ICF

O log de segurana da Firewall de conexo com a Internet (ICF) permite que
voc escolha quais as informaes sero registradas no log. Com o uso do
Log de Segurana possvel:

Registrar em log os pacotes eliminados, isto , pacotes que foram
bloqueados pelo Firewall. Essa opo registrar no log todos os
pacotes ignorados que se originarem da rede domstica ou de
pequena empresa ou da Internet.

Registrar em log as conexes bem-sucedidas, isto , pacotes que no
foram bloqueados. Essa opo registrar no log todas as conexes
bem-sucedidas que se originarem da rede domstica ou de pequena
empresa ou da Internet.

Quando voc marca a caixa de seleo Registrar em log os pacotes
eliminados (veremos como fazer isso no prximo tpico), as informaes
so coletadas a cada tentativa de trfego pela firewall a qual tenha sido
detectada e negada/bloqueada pelo ICF. Por exemplo, se as
configuraes do protocolo ICMP no estiverem definidas para permitir
solicitaes de entrada, como as enviadas pelos comandos Ping e Tracert,
e uma solicitao deste tipo, for recebida de fora da rede, ela ser
ignorada/bloqueada e ser feito um registro no log. Os comandos ping e
tracert so utilizados para verificar se computadores de uma rede esto
conectados a rede. Estes comandos so baseados em um protocolo
chamado ICMP Internet Control Message Protocol. O ICF pode ser
configurado para no aceitar este protocolo (aprenderemos a fazer estas
configuraes mais adiante). Neste caso, toda vez que utilizarmos os
comandos ping ou tracert, ser feita uma tentativa de trafegar
informaes usando o protocolo ICMP, o que ser bloqueado pelo Firewall
e ficar registrado no log de segurana.

Quando voc marca a caixa de seleo Listar conexes de sada bem-
sucedidas, so coletadas informaes sobre cada conexo bem-sucedida
que passe pela firewall. Por exemplo, quando algum da rede se conecta
com xito a um site da Web usando o Internet Explorer, gerada uma
entrada no log. Devemos ter cuidado com esta opo, pois dependendo
do quanto usamos a Internet, ao marcar esta opo ser gerado um
grande nmero de entradas no log de segurana do ICF, embora seja
possvel limitar o tamanho mximo do arquivo no qual so gravadas as
entradas do log, conforme aprenderemos mais adiante.

O log de segurana produzido com o formato de arquivo de log estendido no
padro W3C, que um formato padro definido pela entidade que define padres
para a internet, o W3. Maiores informaes no site: www.w3.org. O arquivo no qual
est o log de segurana um arquivo de texto comum, o qual pode ser lido
utilizando um editor de textos como o Bloco de notas.




Como configurar o log de segurana do IFC:

Por padro, ao ativarmos o ICF, o log de segurana no ativado. Para ativ-lo, de
tal maneira que passem a ser registrados eventos no log de segurana, siga os
passos indicados a seguir (Windows XP):

1. Abra o Painel de controle: Iniciar -> Painel de controle.

Alternar para o modo de exibio clssico. Se voc j estiver no modo de exibio
clssico v para o prximo passo.

Firewall do Windows, do Painel de Controle. D um clique duplo na opo Firewall
do Windows.

4. Ser aberta a janela Firewall do Windows. Na janela Firewall do Windows, d
um clique na guia Avanado. Ser exibida a guia de Configuraes Avanadas.

5. Na guia Avanado, d um clique no boto Configuraes..., ao lado da opo
Log de segurana.

6. Ser exibida a janela Configuraes de log, com as opes indicadas na
Figura a seguir:

Configurando opes do log de segurana do ICF

Nesta guia temos as seguintes opes:

Registrar em logo os pacotes eliminados: Marque esta opo
para que todos os pacotes ignorados/bloqueados que se
originaram da rede privada ou da Internet, sejam registrados no
log de segurana do ICF.




Registrar em log as conexes bem-sucedidas: Marque esta
opo para que todas as conexes bem-sucedidas que se
originaram da sua rede local ou da Internet sero registradas no
log de segurana.

Campo Nome: Neste campo definimos o nome do arquivo onde
sero gravadas as entradas do log de segurana. Por padro
sugerido o seguinte caminho: C:\Windows\pfirewall.log. Substitua
C:\Windows pela pasta onde est instalado o Windows XP, caso
este tenha sido instalado em outra pasta.

Limite de tamanho: Define o tamanho mximo para o arquivo do
log de segurana. O tamanho mximo admitido para o arquivo de
log 32.767 quilobytes (KB). Quando o tamanho mximo for
atingido, as entradas de log mais antigas sero descartadas.

7. Marque a opo Registrar em log os pacotes eliminados.

8. Marque a opo Registrar em log as conexes bem sucedidas.

9. D um clique no boto OK para aplicar as novas configuraes.

10. Voc estar de volta guia Avanado da janela de Configuraes do
Firewall. D um clique no boto OK para fechar esta janela.

11. Faa uma conexo com a Internet e acesse alguns sites, abra o Outlook e
envie algumas mensagens. Isto para gerar trfego atravs do Firewall, para que
sejam geradas entradas no log de segurana.

Agora vamos abrir o arquivo e ver os eventos que foram gravados no log de
seguranao.

12. Abra o bloco de Notas.

13. Abra o arquivo definido como aqruivo de log, que por padro o arquivo
C:\Windows\pfirewall.log. Caso voc tenha alterado esta opo, abra o respectivo
arquivo.

Na Figura a seguir temos uma viso de algumas entradas que foram gravadas no
arquivo de log:




O arquivo do log de segurana.

Observe que cada entrada segue um padro definido, como por exemplo:

2002-03-18 23:07:57 DROP UDP 200.176.2.10 200.176.165.149 53 3013
379 - - - - - - -

Data Hora Ao Prot. End. IP origem End. IP Destino po pd
tamanho.

Onde:

Prot. = Protocolo utilizado para comunicao.
po = Porta de origem.
pd = Porta de destino.

Nota: Estas informaes so especialmente teis para tcnicos em
segurana de redes, os quais conhecem bem o protocolo TCP/IP, para
que eles possam analisar a origem de possveis ataques. Para mais
detalhes sobre Portas no Protocolo TCP/IP, consulte a Parte 12 deste
tutorial.

14. Feche o arquivo de log.

Nota: Para desabilitar o log de segurana, repita os passos de 1 a 6 e desmarque
as opes desejadas. Por exemplo, se voc no deseja registrar um log das
conexes bem sucedidas, as quais no representam perigo de ataque, desmarque a
opo Registrar em log as conexes bem sucedidas.




Habilitando servios que sero aceitos pelo ICF

Se voc tem uma conexo permatente com a Internet e quer utilizar o seu
computador com Windows XP como um servidor Web (disponibilizando pginas),
um servidor ftp (disponibilizando arquivos para Download) ou outro tipo de servio
da Internet, voc ter que configurar o ICF para aceitar requisies para tais
servios. Lembre que, por padro, o ICF bloqueia todo trfego vindo da Internet,
que no seja resposta a uma requisio da rede interna, enviada pelo usurio. Se
voc vai utilizar o seu computador como um Servidor, o trfego vindo de fora
corresponder as requisio dos usurios, requisies estas que tero que passar
pelo ICF para chegarem at o servidor e ser respondidas.

Por padro nenhum dos servios est habilitado, o que garante uma maior
segurana. Para habilitar os servios necessrios, siga os seguintes passos:

1. Faa o logon com uma conta com Permisso de Administrador e abra o
Painel de controle: Iniciar -> Painel de controle.


do Windows.

Modem), voc poder fazer as configuraes de servios, individualmente, em cada
conexo. Na janela Firewall do Windows, d um clique na guia Avanado. No nosso
exemplo, temos duas conexes de Rede local (Conexo local e Conexo local 2) e o
Firewall est habilitado nas duas conexes. Para configurar os servios de uma das
conexes, clique na respectiva conexo para marc-la e d um clique no boto
Configuraes...,ao lado da lista de conexes

5. Ser exibida a janela Configuraes avanadas. D um clique na guia
Servios, ser exibida a janela indicada na Figura a seguir:




Habilitando/desabilitando servios para o ICF.

Para habilitar um determinado servio, basta marcar a caixa de seleo ao lado do
respectivo servio. Ao clicar em um determinado servio, ser aberta,
automaticamente, uma janela Configuraes de servio. Esta janela vem com o
valor padro para os parmetros de configurao do respectivo servio. Somente
altere estes valores se voc souber exatamente o que cada parmetro significa,
pois ao informar parmetros incorretamente, o servio deixar de funcionar.

Voc tambm pode utilizar o boto Adicionar..., para adicionar novos servios, no
constantes na lista.

6. Aps ter habilitados os servios necessrios, d um clique no boto OK para
aplicar as alteraes.

7. Voc estar de volta janela Propriedades da conexo. D um clique no
boto OK para fech-la.




Configuraes do protocolo ICMP para o Firewall

Conforme descrito anteriormente, o protocolo ICMP utilizado por uma srie de
utilitrios de rede, utilitrios estes que so usados pelo Administrador da rede para
fazer testes de conexes e monitorar equipamentos e linhas de comunicao. Por
padro o ICF bloqueia o trfego ICMP. Ns podemos personalizar a maneira como o
trfego ICMP ser tratado pelo ICF. Podemos liberar todo o trfego ICMP ou apenas
determinados tipos de uso, para funes especficas.

Para configurar o padro de trfego ICMP atravs do Firewall, siga os passos
indicados a seguir:

1. Faa o logon com uma conta com Permisso de Administrador e abra o
Painel de controle: Iniciar -> Painel de controle.


do Windows.

Modem), voc poder fazer as configuraes do protocolo ICMP, individualmente,
em cada conexo. Na janela Firewall do Windows, d um clique na guia Avanado.
No nosso exemplo, temos duas conexes de Rede local (Conexo local e Conexo
local 2) e o Firewall est habilitado nas duas conexes. Para configurar as opes
do protocolo ICMP de uma das conexes, clique na respectiva conexo para marc-
la e d um clique no boto Configuraes...,ao lado da lista de conexes

5. Ser exibida a janela Configuraes avanadas. D um clique na guia ICMP,
ser exibida a janela indicada na Figura a seguir:




Configurando o trfego ICMP atravs do Firewall.

Na guia ICMP podemos marcar/desmarcar as seguintes opes:

Permitir solicitao de eco na entrada: Se esta opo estiver
marcada, as mensagens enviadas para este computador sero repetidas
para o remetente. Por exemplo, se algum de fora der um ping para este
computador, uma resposta ser enviada. Se esta opo estiver
desmarcada o computador no responder a comandos como pint e
tracert.

Permitir solicitao de carimbo de data/hora de entrada: Os dados
enviados para o computador podem ser confirmados por uma mensagem
indicando quando foram recebidos.

Permitir solicitao de mscara de entrada: A mscara de entrada
um parmetro de configurao do protocolo TCP/IP, parmetro este que
utilizado pelo protocolo para definir se duas mquinas que esto
tentando se comunicar, pertencem a mesma rede ou a redes diferentes
(veja todos os detalhes na Parte 2). Se este parmetro estiver marcado,
o computador ser capaz de fornecer diversas informaes sobre a rede
a qual ele est conectado. Esta opo importante quando estamos
utilizando programas de gerenciamento de rede que, utilizam o protocolo
ICMP para obter informaes sobre os equipamentos da rede.




Permitir solicitao de roteador de entrada: Se esta opo estiver
marcada o computador ser capaz de responder s solicitaes sobre
quais rotas ele conhece.

Permitir destino de sada inacessvel: Os dados enviados pela
Internet, tendo como destino este computador e, que no conseguiram
chegar at ele devido a algum erro sero descartados e ser exibida
uma mensagem explicando o erro e informando que o destino est
inacessvel. A mensagem ser exibida no computador de origem, o qual
tentou enviar dados para este computador, dados estes que no
conseguiram chegar.

Permitir retardamento de origem de sada: Quando a capacidade de
processamento de dados de entrada do computador no for compatvel
com a taxa de transmisso dos dados que esto chegando, os dados
sero descartados e ser solicitado ao remetente que diminua a
velocidade de transmisso.

Permitir problema no parmetro de sada: Se este computador
descartar dados devido a um problema no cabealho dos pacotes de
dados, ele enviar ao remetente uma mensagem de erro informando que
h um cabealho invlido.

Permitir hora de sada ultrapassada: Se o computador descartar uma
transmisso de dados por precisar de mais tempo para conclu-la, ele
enviar ao remetente uma mensagem informando que o tempo expirou.

Permitir redirecionamento: Os dados enviados pelo computador
seguiro uma rota alternativa, se uma estiver disponvel, caso o caminho
(rota) padro tenha sido alterado.

6. Marque as opes que forem necessrias, de acordo com as funes que
estiver desempenhando o comuptador.

7. Aps ter marcado as opes necessrias, d um clique no boto OK para
aplicar as alteraes.

8. Voc estar de volta janela Propriedades do Firewall. D um clique no
boto OK para fech-la.




Novidades do Firewall do Windows XP SP2

A primeira novidade que o prprio nome mudou. Antes do SP2, o Firewall era
referenciado como ICF. A partir do SP2, passamos a utilizar a denominao Firewall
do Windows. Com o SP2 foram introduzidas uma srie de modificaes, bastante
significativas, as quais trouxeram muitas melhorias e uma maior segurana.

Novidade 01 - O Firewall do Windows Ativado por padro: Nas
verses anteriores, antes do SP2, o Firewall vinha desativado por padro. O
usurio que tinha que ativar o Firewall, manualmente, usando os passos
descritos anteriormente. Com o SP2, o Firewall do Windows ativado por
padro, o que oferece uma maior proteo, por padro, contra ataques e
invases vindas da Internet. Isso tambm ajuda a proteger qualquer
conexo de rede que seja adicionada ao sistema, pois o Firewall ser
ativado, por padro, para qualquer nova conexo de rede que for
adicionada.

Novidade 02 - Maior segurana no momento da inicializao: Antes
do SP2, quando o Windows XP era inicializado, havia um pequeno espao de
tempo entre os servios de rede serem inicializados e o firewall ser ativado,
pequeno perodo este, durante o qual o computador ficava vulnervel (sem
a proteo do Firewall). Com o SP2, durante a inicializao e o
desligamento, o driver do firewall usa uma regra chamada filtro de
inicializao para evitar ataques durante esses breves perodos de tempo.
Uma vez ligado e em execuo, o Firewall do Windows carrega as
configuraes personalizadas pelo usurio e remove os filtros de
inicializao. Isso torna o computador menos vulnervel a ataques durante
as operaes de inicializao e desligamento.

Novidade 03 - Lista de excees do Firewall do Windows: Talvez voc
veja um alerta de segurana ao executar um programa que exija conexo e
comunicao bidirecional (enviar e receber dados), atravs de uma rede ou
da Internet. Por exemplo, muitos jogos multi-usurios da Internet, usam
portas de comunicao que so bloqueadas pelo Firewall do Windows, por
padro. Geralmente, so as mesmas portas usadas por vrus, trojans e pelos
crackers para tentar invadir e acessar indevidamente o computador do
usurio. Para abrir uma porta para um jogo, voc pode adicion-lo lista de
excees do Firewall do Windows. A porta ser aberta somente quando o
jogo estiver em andamento e ser fechada assim que ele terminar. Com
isso, as portas utilizadas por estes jogos e programas, somente ficaro
abertas enquanto o jogo estiver em execuo. Este bloqueio garante um
elevado grau de segurana contra ataques de crackers, contra o seu
computador.

Para adicionar um programa lista de Excees do Firewall do Windows, siga os
passos indicados a seguir:

Administrador.

2. Abra o Painel de Controle: Iniciar -> Painel de Controle.

3. Abra a opo Firewall do Windows.




4. Na guia Geral, voc tem a opo No permitir excees. Se voc marcar
esta opo, nenhuma exceo ser permitida. Para o nosso exemplo, mantenha
esta opo desmarcada.

5. Clique na guia Excees. Observe que, por padro, j vem algumas
excees ativadas, conforme indicado na Figura a seguir:

Figura Configurando Excees no Firewall do Windows.

6. Para adicionar um novo programa, lista de excees, clique no boto
Adicionar programa. Ser exibida a janela Adicionar um programa, com a lista de
programas instalados no seu computador. Clique no programa a ser adicionado e
clique em OK. Voc estar de volta guia Excees, com o novo programa j
adicionado.

7. Voc pode habilitar ou desabilitar as excees, para os programas
adicionados lista de excees. Para isso, basta marcar ou desmarcar a caixa de
seleo, ao lado do nome do programa.

8. Para remover um programa da lista de Excees, clique no programa para
selecion-lo e depois clique no boto Excluir. Ser exibida uma mensagem de



confirmao. Clique em Sim, para confirmar a excluso do programa, da lista de
excees.

9. Voc pode clicar em um programa da lista para marc-lo e depois clicar no
boto Editar. Por exemplo, clique no item Compartilhamento de Arquivo e
Impressora, para marc-lo e depois clique no boto Editar. Ser aberta a janela
Editar um servio, indicada na Figura a seguir, onde so exibidas as portas
utilizadas pelo programa (no caso o Servio de Compartilhamento de Arquivo e
Impressora). Se necessrio, voc pode desabilitar uma ou mais das portas
utilizadas por um programa/servio. S desabilite uma porta, se voc tiver certeza
do que est fazendo, com base na documentao do programa, pois ao desabilitar
uma ou mais portas, determinadas funcionalidades do programa em questo,
podero deixar de funcionar corretamente.

Figura Editando as portas de um programa/servio.

10. Aps ter feito as alteraes desejadas, clique em OK para fechar a janela
Editar um Servio. Voc estar de volta guia Excees.

11. Voc pode usar o boto Adicionar porta..., para adicionar uma porta
especfica (tanto UDP quanto TCP), lista de excees do Firewall. Por exemplo, se
voc tem um programa que precisa utilizar a porte TCP 2500, voc pode usar o
boto Adicionar porta..., para adicionar esta porta lista de excees do Firewall do
Windows. Com isso, o programa que utiliza a porta TCP 2500, poder funcionar,
normalmente, mesmo com o Firewall ativado. Observe que com isso, o Firewall do
Windows nos oferece, ao mesmo tempo, segurana e flexibilidade.

12. Aps ter configurado as excees desejadas, clique em OK para fechar a
janela de configuraes do Firewall do Windows.

Novidade 04 - Modo operacional Ativado sem excees: Este
recurso permite desativar facilmente todas as excees na lista de excees
do Firewall do Windows. Embora voc precise delas para usar determinados
programas, s vezes recomendvel desativar todas as excees para obter
segurana mxima. Por exemplo, se voc usar seu computador no ponto de
acesso de um aeroporto ou em um cyber caf, ele estar vulnervel a vrus
e outras ameaas segurana. Configurando o Firewall do Windows para



Ativado sem excees sempre que usar o computador em um local pblico,
voc reduzir os riscos Quando voltar a usar o computador em uma
configurao mais segura, voc poder habilitar a lista de excees
novamente sem problemas.

Para habilitar o modo operacional Ativado sem excees, siga os passos indicados
a seguir:

Administrador.



4. Na guia Geral, marque a opo No permitir excees e clique em OK.

5. Para desativar o modo operacional Ativado sem excees, siga os passos
de 1 a 3 novamente e, na guia Geral, desmarque a opo No permitir excees e
clique em OK

Novidade 05 - Restaurar padres: Com o tempo, ao adicionar programas
ou portas lista de excees do Firewall do Windows, possvel que ele seja
configurado indevidamente para aceitar trfego de entrada no solicitado,
comprometendo a segurana do computador. Nas verses anteriores do
Firewall do Windows (chamado anteriormente de firewall de conexo com a
Internet ou ICF), no havia uma maneira prtica e rpida de reverter para
as configuraes e padres originais. Esta opo permite restaurar o Firewall
do Windows a suas configuraes padro. Alm disso, esses padres podem
ser modificados para oferecer opes de configurao personalizadas.

Para restaurar as configuraes Padro do Firewall do Windows, siga os passos
indicados a seguir:

Administrador.



4. Clique na guia Avanado. Na guia Avanado, clique no boto Restaurar
padres, indicado na Figura a seguir:




Figura A opo Restaurar padres.

5. Ser exibida uma mensagem de confirmao. Clique em Sim para restaurar
as configuraes padro do Firewall do Windows.

6. Voc estar de volta janela de configuraes do Firewall. Clique em OK
para fech-la.




Concluso

Nesta parte do tutorial mostrei como funciona o servio firewall do Windows XP,
conhecido como ICF Internet Connection Firewall. O ICF apresenta
funcionalidades bsicas e um nvel de proteo satisfatrio para usurios
domsticos e de pequenas redes. Para redes empresarias, sem nenhuma dvida,
faz-se necessria a utilizao de produtos projetados especificamente para proteo
e desempenho. Um destes produtos o Internet Security and Acceleration Server
ISA Server. Maiores detalhes no seguinte endereo:
http://www.microsoft.com/isaserver

Ao fazer uma conexo com a Internet estamos em contato com o mundo; e o
mundo em contato conosco. A Internet uma via de mo dupla, ou seja,
podemos acessar recursos em servidores do mundo inteiro, porm o nosso
computador tambm pode ser acessado por pessoas do mundo inteiro, se no
tomarmos alguns cuidados bsicos com segurana.

Para nos proteger contra estes perigos digitais, aprendemos a habilitar e
configurar o ICF Internet Connector Firewall. Aprendemos sobre o conceito de
Firewall e como configurar o ICF.




Tutorial de TCP/IP Parte 18 Introduo ao IPSec

Introduo

Esta a dcima oitava parte do Tutorial de TCP/IP. Na Parte 1 tratei dos aspectos
tambm passaro a ter acesso Internet.. Na Parte 17, voc aprendeu a utilizar o
IFC Internet Firewall Connection (Firewall de Conexo com a Internet). O IFC faz
parte do Windows XP e do Windows Server 2003, no estando disponvel no
Windows 2000. O IFC tem como objetivo proteger o acesso do usurio
contra ataques e perigos vindos da Internet

Nesta dcima oitava parte, farei uma apresentao sobre o protocolo IPSec. O
IPSec faz parte do Windows 2000, Windows XP, Windows Server 2003, Windows
Vista e Longhorn Server. O IPSec pode ser utilizado para criar um canal de
comunicao seguro, onde todos os dados que so trocados entre os computaodres
habilitados ao IPSec, so criptografados.

O protocolo IPSec

O IPSec um conjunto de padres utilizados para garantir uma comunicao
segura entre dois computadores, mesmo que as informaes estejam sendo
enviadas atravs de um meio no seguro, como por exemplo a Internet. Observe
que esta definio parecida com a definio de VPN Virtual Private Network. Por
isso que a combinao L2TP/IPSec uma das opes mais indicadas para a criao
de conexes do tipo VPN.

Por exemplo, vamos imaginar uma rede local de uma empresa, onde voc quer
garantir a segurana das informaes que so trocadas entre a estao de trabalho
do Presidente da empresa e as estaes de trabalho da diretoria. Ou seja, se um



dos diretores acessar um arquivo em uma pasta compartilhada, no computador do
Presidente da empresa, voc quer garantir que todos os dados enviados atravs da
rede sejam criptografados, para garantir um nvel adicional de segurana. Este
um exemplo tpico onde a utilizao do protocolo IPSec recomendada. Ou seja,
voc pode configurar o computador do Presidente e os computadores dos diretores,
para que somente aceitem comunicao via IPSec. Com isso estes computadores
podero trocar informaes entre si, mas outros usurios, que no estejam
habilitados ao IPSec, no podero se comunicar com os computadores com IPSec
habilitado.

Uma introduo ao protocolo IPSec

O IPSec baseado em um modelo ponto-a-ponto, no qual dois computadores, para
trocar informaes de maneira segura, usando IPSec, devem concordar com um
conjunto comum de regras e definies do IPSec. Com o uso do IPSEc e das
tecnologias associadas, os dois computadores so capazes de se autenticar
mutuamente e manter uma comunicao segura, com dados criptografados,
mesmo usando um meio no seguro, como a Internet.

O uso do protocolo IPSec apresenta funcionalidades importantes, quando existe
uma necessidade de grande segurana na comunicao entre dois computadores. A
seguir apresento as principais destas caractersticas:

Uma proteo agressiva contra ataques rede privada e
Internet mantendo a facilidade de uso. Ao mesmo tempo que fornece
uma proteo efetiva contra ataques e tentativas de captura dos dados, o
IPSec fcil de configurar, com o uso de polticas de segurana.

Um conjunto de servios de proteo baseados em criptografia e
protocolos de segurana. A criptografia um dos elementos principais
do IPSec, para garantir que os dados no possam ser acessados por
pessoas no autorizadas. Neste ponto importante salientar que existem
diferentes formas de uso do IPSec com o Windows 2000. Uma delas
usando o IPSec padro, conforme definido pelos padres do IETF. Este uso
conhecido como uso do IPSec no modo de tnel. J uma implementao
especfica da Microsoft, usa o IPSec em conjunto com o protocolo L2TP,
sendo, nesta implementao, o protocolo L2TP o responsvel pela
criptografia dos dados. Este modo conhecido como modo de transporte.
No modo de tnel somente possvel usar o IPSec em redes baseadas em
IP. J no modo de transporte, o L2TP um protocolo de nvel de
transporte, por isso possvel usar IPSec/L2TP para transportar no
apenas pacotes IP, mas tambm IPX, NetBEUI e assim por diante.

Segurana do comeo ao fim. Os nicos computadores na
comunicao que devem saber sobre a proteo de IPSec so o remetente
e o receptor, ou seja, o meio atravs do qual os pacotes so enviados no
precisa estar habilitado ao IPSec. Observem que este o conceito de
enviar informaes de uma maneira segura, usando um meio no seguro.
O exemplo tpico a criao de VPNs, usando a Internet. A Internet em si,
baseada apenas no protocolo TCP/IP no um meio seguro, uma vez que,
por padro, os dados no so criptografados. Porm adicionando tcnicas
de criptografia e tunelamento, disponveis com o uso do IPSec com o L2TP,
podemos criar tneis seguros, atravs de um meio no seguro. o
conceito de VPN em sua essncia.




A capacidade de proteger a comunicao entre grupos de
trabalho, computadores de rede local, clientes e servidores de domnio,
escritrios de filiais que podem ser fisicamente remotos, extranets, clientes
mveis e administrao remota de computadores.

Configurao baseada em diretivas de segurana

Os mtodos de segurana mais fortes que so baseados em criptografia tm a
capacidade de aumentar muito a sobrecarga administrativa. A implementao do
IPSec no Windows 2000 Server e no Windows Server 2003 evita esse problema
implementando a administrao do IPSec com base em diretivas de segurana,
configuradas via GPOs.

Nota: Para detalhes completos sobre Group Policy Objects (GPOs), consulte o livro:
Windows Server 2003 Curso Completo, 1568 pginas, de minha autoria,
publicado pela Axcel Books. Para comprar este livro com um excelente desconto e
ainda ganhar cursos de brinde, acesse o seguinte endereo:
http://www.juliobattisti.com.br/clube.htm

Em vez de aplicativos ou sistemas operacionais, voc usa as diretivas para
configurar o IPSec. Como as configuraes so aplicadas via GPOs, o Administrador
pode aplicar as configuraes de IPSec a todos os computadores de um domnio,
site ou unidade organizacional. O Windows 2000 e o Windows Server 2003
fornecem um console de gerenciamento central, o Gerenciamento de diretivas de
segurana IP, para definir e gerenciar as diretivas de IPSec. As diretivas podem ser
configuradas para fornecer nveis variveis de proteo para a maioria dos tipos de
trfego na maioria das redes existentes, com a aplicao de filtros e regras
personalizadas.

Existe um conjunto de diretivas bsicas, para habilitar o IPSec, que determinam
como ser efetuada a comunicao entre os computadores com o IPSec habilitado.
A seguir descrevo, resumidamente, estas diretivas padro, disponveis no Windows
2000 Server e no Windows Server 2003:

Server (Request Security): Ao habilitar esta diretiva, tambm sero
aceitas comunicaes no seguras, porm para estabelecer uma conexo
segura, os clientes devem utilizar um mtodo de autenticao aceito pelo
servidor. Com esta poltica sero aceitas comunicaes no seguras (no
utilizando IPSec), se o outro lado no suportar o uso do IPSec. Ou seja,
quando o cliente tenta se comunicar com o servidor, o Servidor tenta
estabelecer uma comunicao usando IPSec. Se o cliente no estiver
configurado para utilizar o IPSec, a comunicao ser estabelecida mesmo
assim, sem a utilizao de IPSec.

Client (Respond only): Esta poltica indicada para computadores da
rede interna, da Intranet da empresa. Ao iniciar a comunicao com outros
computadores, no ser utilizado o IPSec. Contudo se o outro computador
exigir o uso do IPSec, a comunicao via IPSec ser estabelecida.

Security Server (Request Security): Aceita um incio de
comunicao no seguro, mas requer que os clientes estabeleam uma
comunicao segura, usando IPSec e um dos mtodos aceitos pelo
servidor. Se o cliente no puder atender estas condies, a comunicao
no ser estabelecida.




Uma maneira mais simples de fornecer proteo dos dados

A implementao da IPSec no nvel de transporte IP (Camada de rede, nvel 3)
permite um alto nvel de proteo com pouca sobrecarga. A implementao do
IPSec no requer nenhuma alterao nos aplicativos ou sistemas
operacionais existentes, basta a configurao das diretivas de segurana,
para que o computador passe a usar o IPSec. Automaticamente, todos os
programas instalados no computador, passaro a utilizar o IPSec para
troca de informaes com outros computadores tambm habilitados ao
IPSec. Isso bem mais fcil de implementar e de administrar do que ter
que configurar a criptografia e segurana em cada aplicativo ou servio.

Outros mecanismos de segurana que operam sobre a camada de rede 3, como
Secure Sockets Layer (SSL), s fornecem segurana a aplicativos habilitados ao
SSL, como os navegadores da Web. Voc deve modificar todos os outros aplicativos
para proteger as comunicaes com SSL, ou seja, os programas tem que ser
alterados para poderem utilizar o SSL. Os mecanismos de segurana que operam
abaixo da camada de rede 3, como criptografia de camada de vnculo, s protegem
o link, mas no necessariamente todos os links ao longo do caminho de dados. Isso
torna a criptografia da camada de links inadequada para proteo de dados do
princpio ao fim na Internet ou na Intranet da empresa.

A implementao do IPSec na Camada de rede 3 fornece proteo para todos os
protocolos IP e de camada superior no conjunto de protocolos TCP/IP, como TCP,
UDP, ICMP, etc. A principal vantagem de informaes seguras nessa camada que
todos os aplicativos e servios que usam IP para transporte de dados podem ser
protegidos com IPSec, sem nenhuma modificao nos aplicativos ou servios (para
proteger protocolos diferentes de IP, os pacotes devem ser encapsulados por IP).

Caractersticas e componentes do protocolo IPSec

Quando o IPSec habilitado e dois computadores passam a se comunicar usando
IPSec, algumas modificaes so efetuadas na maneira como feita a troca de
informaes entre estes computadores.

A primeira mudana que o protocolo IPSec adiciona um cabealho (Header) em
todos os pacotes. Este cabealho tecnicamente conhecido como AH
(Authentication header). Este cabealho desempenha trs importantes funes:

utilizado para a autenticao entre os computadores que se
comunicaro usando IPSec.

utilizado para verificar a integridade dos dados, ou seja, para verificar
se os dados no foram alterados ou corrompidos durante o transporte.

Impede ataques do tipo repetio, onde pacotes IPSec so capturados e
em seguida reenviados ao destino, em uma tentativa de ter acesso ao
computador de destino. O cabealho de autenticao impede este tipo de
ataque, pois contm informaes que permitem ao destinatrio identificar
se um pacote j foi entregue ou no. No cabealho AH esto, dentre
outras, as seguintes informaes: A identificao do prximo cabealho, o
tamanho do cabealho, parmetros de segurana, nmero de seqncia e
autenticao de dados (contm informaes para a verificao da
integridade de dados).




Um detalhe importante a salientar que o cabealho de identificao no
criptografado e no utilizado para criptografar dados. Conforme o nome sugere
ele contm informaes para a autenticao e para verificao da integridade dos
dados.

Mas alm da autenticao mtua e da verificao da integridade dos dados
preciso garantir a confidencialidade dos dados, ou seja, se os pacotes forem
capturados importante que no possam ser lidos a no ser pelo destinatrio. A
confidencialidade garante que os dados somente sejam revelados para os
verdadeiros destinatrios.

Para garantir a confidencialidade, o IPSec usa pacotes no formato Encapsulating
Security Payload (ESP). Os dados do pacote so criptografados antes da
transmisso, garantindo que os dados no possam ser lidos durante a transmisso
mesmo que o pacote seja monitorado ou interceptado por um invasor. Apenas o
computador com a chave de criptografia compartilhada ser capaz de interpretar ou
modificar os dados. Os algoritmos United States Data Encryption Standard (DES
padro dos Estados Unidos), DES (Data Encryption Standard) e 3DES (Triple Data
Encryption Standard) so usados para oferecer a confidencialidade da negociao
de segurana e do intercmbio de dados de aplicativo. O Cipher Block Chaining
(CBC) usado para ocultar padres de blocos de dados idnticos dentro de um
pacote sem aumentar o tamanho dos dados aps a criptografia. Os padres
repetidos podem comprometer a segurana fornecendo uma pista que um invasor
pode usar para tentar descobrir a chave de criptografia. Um vetor de inicializao
(um nmero inicial aleatrio) usado como o primeiro bloco aleatrio para
criptografar e descriptografar um bloco de dados. Diferentes blocos aleatrios so
usados junto com a chave secreta para criptografar cada bloco. Isso garante que
conjuntos idnticos de dados no protegidos sejam transformados em conjuntos
exclusivos de dados criptografados.

Usando as tecnologias descritas, o protocolo IPSec apresenta as seguintes
caractersticas e funcionalidades:

A configurao e habilitao do IPSec baseada no uso de
Polices: No existe outra maneira de criar, configurar e habilitar o IPSec a
no ser com o uso de uma GPO. Isso facilita a configurao e aplicao do
IPSec a grupos de computadores, como por exemplo, todos os
computadores do domnio ou de um site ou de uma unidade
organizacional.

Quando dois computadores vo trocar dados usando IPSec, a primeira
etapa fazer a autenticao mtua entre os dois computadores. Nenhuma
troca de dados efetuada, at que a autenticao mtua tenha sido
efetuada com sucesso.

O IPSec utiliza o protocolo Kerberos para autenticao dos usurios.

Quando dois computadores vo se comunicar via IPSec, criada uma
SA (Securtiy Association associao de segurana) entre os
computadores. Na SA esto definidas as regras de comunicao, os filtros a
serem aplicados e o conjunto de chaves que ser utilizado para criptografia
e autenticao.




O protocolo IPSec pode utilizar certificados de chave pblica para
confiar em computadores que utilizam outros sistemas operacionais, como
por exemplo o Linux.

O IPSec fornece suporte ao pr-compartilhamento de uma chave de
segurana (preshared key support). Em situaes onde no est disponvel
o uso do protocolo Kerberos, uma chave, como por exemplo a definio de
uma senha, pode ser configurada ao criar a sesso IPSec. Esta chave tem
que ser informada em todos os computadores que iro trocar dados de
forma segura, usando IPSec.

Conforme descrito anteriormente, o uso do IPSec absolutamente
transparente para os usurios e aplicaes. O computador que
configurado para usar o IPSec. Os programas instalados neste computador
passam a usar o IPSec, sem que nenhuma modificao tenha que ser
efetuada. Os dados so interceptados pelo sistema operacional e a
comunicao feita usando IPSec, sem que os usurios tenha que fazer
quaisquer configuraes adicionais.

Concluso

Nesta parte do tutorial fiz uma breve apresentao do protocolo IPSec, o qual j
parte integrante do Windows 2000, Windows XP e Windows Server 2003.
Inicialmente apresentei a fundamentao terica sobre IPSec, para que o leitor
possa entender exatamente o que o IPSec e quando utiliz-lo. Mostrei que este
protocolo configurado e habilitado atravs do uso de polticas de segurana e que
existem diferentes modelos de polticas de segurana disponveis no Windows 2000
Server e/ou Windows Server 2003.

O IPSec um conjunto de padres utilizados para garantir uma comunicao
segura entre dois computadores, mesmo que as informaes estejam sendo
enviadas atravs de um meio no seguro, como por exemplo a Internet. Observe
que esta definio parecida com a definio de VPN. Por isso que a combinao
L2TP/IPSec uma das opes para a criao de conexes do tipo VPN.

O IPSec baseado em um modelo ponto-a-ponto, no qual dois computadores, para
trocar informaes de maneira segura, usando IPSec, devem concordar com um
conjunto comum de regras e definies do IPSec. Com o uso do IPSEc e das
tecnologias associadas, os dois computadores so capazes de se autenticar
mutuamente e manter uma comunicao segura, com dados criptografados,
mesmo usando um meio no seguro, como a Internet.




Tutorial de TCP/IP Parte 19 Certificados Digitais e
Segurana

Introduo

Esta a dcima nona parte do Tutorial de TCP/IP. Na Parte 1 tratei dos aspectos
contra ataques e perigos vindos da Internet. Na Parte 18 fiz uma
apresentao sobre o protocolo IPSec. O IPSec faz parte do Windows 2000,
Windows XP e Windows Server 2003. O IPSec pode ser utilizado para criar um canal
de comunicao seguro, onde todos os dados que so trocados entre os
computaodres habilitados ao IPSec, so criptografados

Nesta dcima nona parte, farei uma apresentao sobre o conceito de PKI Public
Key Infrastructure e Certificados Digitais. O Windows 2000 Server e tambm o
Windows Server 2003 disponibilizam servios para a emisso, gerenciamento e
revogao de Certificados Digitais. Voc tambm entender o papel dos Certificados
Digitais em relao segurana das informaes.

Apresentarei o conceito de PKI - Public Key Infrastructure (Infraestrutura de chave
pblica). Voc ver que uma Public Key Infrastructure (Infraestrutura de chave
pblica), abreviada simplesmente como PKI, nada mais do que uma
infraestrutura de segurana baseada em certificados digitais, em autoridades
certificadores (CA Certificate Authorities - que emitem e revogam os certificados)
e autoridades de registro, as quais fazem a verificao da autenticidade de todas as
estruturas envolvidas em uma PKI.




Nesta parte do tutorial voc entender o que vem a ser uma PKI, aprender sobre
os conceitos bsicos de uso de um par de chaves para fazer a criptografia e
proteo dos dados. Tambm mostrarei qual o papel do Microsoft Certification
Service, que o servidor da Microsoft para a emisso e controle de certificados
digitais, servio este disponvel no Windows 2000 Server e tambm no Windows
Server 2003. Com o uso do Microsoft Certificate Services, a empresa pode montar
a sua prpria infraestrutura de certificados digitais, sem depender de uma
autoridade certificadora externa.

Nota: Para aprender a instalar, configurar e a administrar o Microsoft Certificate
Services, consulte o Captulo 7 do meu livro: Manual de Estudos Para o Exame 70-
216, 712 pginas.

O uso de Certificados e uma infra-estrutura de chave pblica uma alternativa de
baixo custo, para ambientes que precisam de nveis de segurana elevados, como
por exemplo departamentos de pesquisa de novos produtos e tecnologias, ou
rgos governamentais estratgicos, como os rgos de defesa e de segurana.
Com o uso do Microsoft Certificate Services possvel criar a administrar uma
estrutura de segurana baseada em Certificados Digitais.

Microsoft Certificate Services e PKI

Neste tpico apresentarei o conceito de PKI e de criptografia baseada em um par
de chaves de criptografia: uma chave pblica e uma chave privada. Voc ver que
os Certificados digitais tem papel fundamental em uma estrutura de PKI. Neste
tpico voc tambm aprender a instalar e a configurar o Microsoft Certificate
Services.

Uma introduo sobre Certificados e PKI Public Key
Infrastructure

Segurana mais do que nunca um assunto sempre em pauta. De tempos em
tempos um novo vrus causa pnico na Internet, novos tipos de ataques so
notificados, sites ficam indisponveis devido a ataques de hackers, problemas com a
segurana no acesso a dados que facilitam a vida de fraudadores e por a vai.

No Windows 2000, Windows XP e no Windows Server 2003 existem diversas
maneiras de proteger seus dados: permisses NTFS, criptografia, uso do NAT para
acesso Internet, uso de Group Policy Objects, uso de diretivas de segurana,
direitos de usurios e por a vai. Neste tpico, abordarei mais um assunto
relacionado com segurana: Certificados Digitais.

Uma pergunta que o amigo leitor poderia fazer a seguinte: Por que existem
tantos ataques de segurana e por que os hackers parecem conhecer to bem os
sistemas das empresas?.

Um dos motivos porque hoje o mundo inteiro (literalmente) utiliza o mesmo
protocolo para comunicao e troca de dados: TCP/IP. Como o TCP/IP
amplamente conhecido e documentado, esta informao tambm utilizada por
hackers, para tentar descobrir falhas no prprio protocolo, falhas estas que
permitam quebra de segurana dos sistemas informatizados das empresas.
Evidentemente que, na maioria das vezes, os ataques so bem sucedidos, porque
os programas foram instalados com as opes padro (out of the Box como



saram da caixa (a traduo por minha conta e risco)), sem se preocupar em
ajustar devidamente as configuraes de segurana.

Nota: Um dos pontos onde o Windows Server 2003 melhorou, e muito, em relao
ao Windows 2000 Server foi nas configuraes de segurana out of the Box. Ou
seja, as configuraes padro de segurana do Windows Server 2003, so bem
mais severas, restringem bem mais o acesso do que as configuraes padro de
segurana do Windows 2000 Server. A idia simples mas muito eficiente. Por
padro, o nvel mnimo de acesso, necessrio ao funcionamento do recurso. Se
houver necessidade de modificaes nas configuraes de segurana, estas
podero ser feitas pelo administrador.

Com o uso do TCP/IP como protocolo de comunicao, os dados no so protegidos
por padro, isto , no so criptografados. Ou seja, se um hacker interceptar uma
transmisso, ter acesso aos dados sem maiores problemas, uma vez que no
usada criptografia, por padro. Claro que para muitas situaes, a criptografia e
outros recursos de segurana so perfeitamente dispensveis. Por exemplo, quando
voc acessa o site de uma empresa para obter informaes gerais sobre a empresa.
Estas informaes so de domnio pblico (afinal esto no site da empresa) e no
h necessidade de criptograf-las. Agora quando voc faz uma compra pela
Internet, usando o seu carto de crdito, ou quando voc faz transaes bancrias
usando o site do seu Banco, a coisa muda completamente de figura. Ou seja, voc
quer o mximo de segurana possvel. De maneira alguma voc gostaria que
algum pudesse interceptar o seu nmero de conta, agncia e senha.

Inicialmente criou-se um mtodo de criptografia, onde os dados eram
criptografados usando uma determinada chave de criptografia. A chave um
cdigo com um determinado nmero de bits. Usa-se este cdigo, juntamente com
operaes lgicas, para embaralhar, ou seja, criptografar os dados. A seqncia
de operaes lgicas que realizada com os dados, usando a chave de criptografia,
definida pelo algoritmo de criptografia. Em seguida os dados e a chave de
criptografia so enviados para o destinatrio. O destinatrio recebe os dados e a
chave de criptografia e utiliza esta chave para descriptografar os dados. Um
mtodo bem seguro, no?

No. Este mtodo tem dois problemas principais, os quais so descritos a
seguir:

1. A chave de criptografia enviada junto com os dados: Com isso, se
um hacker interceptar os dados, ter tambm acesso a chave de criptografia.
Usando a chave (os algoritmos de criptografia so de domnio pblico, a segurana
baseada normalmente no tamanho da chave. Usam-se chaves com um grande
nmero de bits, para que seja difcil descobrir a chave que est sendo utilizada) o
hacker poder descriptografar os dados e ter acesso ao contedo da mensagem.
Pior, o hacker poderia alterar a mensagem e envi-la, alterada, para o destinatrio,
o qual no teria como saber que a mensagem foi alterada.

2. No final do pargrafo anterior eu descrevo o segundo problema com este
mtodo: ele no permite a verificao da identidade de quem envio a
mensagem. Ou seja, um hacker interceptou a mensagem, usou a chave para
descriptograf-la, alterou a mensagem e a enviou para o destinatrio. O
destinatrio recebe a mensagem e no tem como verificar se a mensagem veio do
emissor verdadeiro ou veio de um hacker. Com este mtodo no possvel verificar
e garantir que o emissor seja quem ele diz ser. No h como verificar a identidade
do emissor.



Vejam que somente o uso da criptografia, baseada em uma chave privada (chave
enviada junto com a mensagem), no to seguro como pode parecer. Para
solucionar esta questo que surgiram os Certificados Digitais, com os quais
possvel implementar uma infra-estrutura conhecida como PKI - Public Key
Infrastructure (Infraestrutura de chave pblica). Esta infra-estrutura baseada no
uso de certificados digitais e de um par de chaves: uma chave pblica e uma chave
privada. A seguir descrevo os princpios bsicos de um infra-estrutura baseada em
chaves pblica e privada, para que voc possa entender como esta infra-estrutura
resolve os dois problemas apontados no mtodo anterior.

Em uma rede que usa PKI, um Certificado Digital criado para cada usurio. O
Certificado Digital fica associado com a conta do usurio no Active Directory. Para
cada usurio criado um par de chaves: uma chave pblica e uma chave privada.
A chave pblica fica disponvel no Active Directory e a chave privada fica com o
usurio. O mais comum a chave privada ficar gravada no Certificado Digital do
usurio, em um disquete que fica com o usurio ou, mais comum ainda, em um
Smart Card. Agora vamos entender como funciona a criptografia baseada em um
par de chaves: uma pblica e outra privada.

Dados que so criptografados com uma das chaves, somente podero ser
descriptografados com a outra chave. Por exemplo, se voc criptografar dados com
a chave pblica do usurio jsilva, estes dados somente podero ser
descriptografados com a chave privada do usurio jsilva.

Vamos imaginar que o usurio jsilva precisa enviar dados para o usurio maria. Os
dados so criptografados com a chave pblica do usurio Maria chave pblica do
destinatrio. Com a infraestrutura de PKI, as chaves pblicas ficam disponveis para
serem acessadas por quaisquer usurio. A chave pblica fica gravada no Certificado
Digital do usurio e a lista de Certificados Digitais fica publicada para acesso em um
servidor de certificados digitais (este o papel do Microsoft Certificate Services, ou
seja, emitir, publicar, dar acesso a e revogar certificados digitais para os usurios).

A chave pblica do usurio maria utilizada pelo usurio jsilva para criptografar os
dados, antes de envi-los para o usurio maria. Como os dados foram
criptografados com a chave pblica do usurio maria, a pergunta : qual a nica
chave que poder descriptografar estes dados? A chave privada do usurio
maria, a qual somente o usurio maria tem acesso. Com este mtodo, quando
o usurio maria recebe os dados, ele utilizar a sua chave privada para
descriptograf-los. Se um hacker interceptar os dados, ele no conseguir
descriptograf-los, pois no tem acesso a chave privada do usurio maria. Observe
que com este mtodo, a chave que ser utilizada para descriptografar os dados,
no enviada junto com a mensagem. Alm disso, a mensagem criptografada de
tal maneira que somente o destinatrio capaz de descriptograf-la, ou melhor, a
chave privada do destinatrio. Como a mensagem criptografada com a chave
pblica do destinatrio, somente o prprio destinatrio (que quem tem acesso a
sua chave privada), ser capaz de descriptografar a mensagem.

Observe que com este mtodo solucionado o problema de ter que enviar a chave
de criptografia junto com a mensagem. O problema de verificao da identidade, de
ter certeza que o remetente quem diz realmente ser, solucionado com o uso de
Certificados digitais. De uma maneira simples, podemos resumir uma PKI como
sendo uma infra-estrutura de segurana, baseada no uso de um par de chaves
(uma pblica e uma privada) e de Certificados Digitais.




Um pouco sobre Certificados Digitais

De uma maneira simples, o Certificado Digital a verso eletrnica da sua
identificao de usurio na rede (usurio e senha). O Certificado Digital como
se fosse a carteira de identidade do usurio na rede. No Windows 2000
Server e no Windows Server 2003, o certificado digital do usurio tambm
conhecido (na documentao oficial), como um Certificado de chave pblica, uma
vez que uma das informaes gravadas no certificado digital do usurio
justamente a sua chave pblica.

Um certificado de chave pblica, geralmente chamado somente de certificado,
uma declarao assinada digitalmente que vincula o valor de uma chave pblica
identidade da pessoa (conta do usurio no Active Directory), dispositivo ou servio
que contm a chave privada correspondente.

Os Certificados Digitais podem ser emitidos para uma srie de funes, tais como
autenticao de usurio na Internet, autenticao de um servidor Web, correio
eletrnico seguro (S/MIME), IPSec, para utilizao com o protocolo Transaction
Layer Security (TLS, segurana de camada de transao) e assinatura de cdigos
(por exemplo, todos os programas desenvolvidos pela Microsoft so assinados,
digitalmente, com o Certificado digital da Microsoft. O Windows 2000 Server pode
ser configurado para no instalar drives ou programas que no estejam assinados
digitalmente ou cujos certificados com os quis foram assinados, no possam ser
verificados quanto a sua autenticidade).

Os certificados digitais tem que ser emitidos por uma Autoridade Certificadora (CA
Certificate Authority). Uma opo usar uma autoridade certificadora externa,
como por exemplo a Veri Sign, que uma empresa especializada em segurana e
em certificao digital (www.verisign.com). Com o Windows 2000 Server (e
tambm com o Windows Server 2003), est disponvel o Microsoft Certificate
Services, que um servidor que permite criar uma autoridade certificadora na
prpria rede da empresa, sem ter que fazer uso de uma entidade certificadora
externa. Ao utilizar o Certificate Services para a emisso e gerenciamento de
certificados, os certificados digitais podero ser utilizados pelos usurios, para fazer
o logon na rede. Os certificados tambm so emitidos de uma autoridade de
certificao para outra a fim de estabelecer uma hierarquia de certificao. Usando
o Certificate Services voc poder criar uma hierarquia de certificao na rede da
empresa.

A maioria dos certificados em uso hoje em dia so baseados no padro X.509. Esta
a tecnologia fundamental usada na public key infrastructure (PKI) do Windows
2000 e do Windows Server 2003.

Normalmente, os certificados contm as seguintes informaes:

Chave pblica do usurio
Informaes da identificao do usurio (como o nome e o endereo de
correio eletrnico)
Perodo de validade (o perodo de tempo em que o certificado
considerado vlido)
Informaes sobre a identificao do emissor do certificado.
A assinatura digital do emissor, que atesta a validade da ligao entre a
chave pblica do usurio e as informaes de identificao do usurio.




Um certificado s vlido pelo perodo de tempo nele especificado, ou seja, o
certificado tem prazo de validade e tem que ser renovado periodicamente. Esta
uma medida importante para aumentar o nvel de segurana, pois a cada
renovao, um novo par de chaves gerado. Cada certificado contm datas Vlido
de e Vlido at, que limitam o perodo de validade. Depois que o perodo de
validade de um certificado terminar, um novo certificado deve ser solicitado pelo
usurio do agora expirado certificado.

Em situaes em que seja necessrio desabilitar um certificado, este pode ser
revogado pelo emissor. Cada emissor mantm uma lista de certificados revogados
(CRL Certification Revocation List), a qual usada pelos programas quando a
validade de um determinado certificado est sendo verificada. Por exemplo,
programas que usam certificados para autenticao, ao receberem uma tentativa
de acesso, primeiro entram em contato com a autoridade certificadora (no caso do
Windows 2000 Server um servidor com o Microsoft Certificate Services) para
verificar se o certificado que est sendo apresentado para logon, no est na lista
dos certificados revogados CRL. Se o certificado estiver na CRL, o logon ser
negado.

Certificados e Autoridades de Certificao

Todo certificado emitido por uma Autoridade de Certificao (CA Certificate
Authority). A autoridade de certificao, a partir de agora denominada apenas CA,
responsvel pela verificao sobre a veracidade dos dados do usurio que est
requisitando o certificado. Por exemplo, qualquer usurio pode solicitar um
certificado para utilizar na Internet. Para obter o certificado ele precisa utilizar os
servios de uma CA, como por exemplo a VeriSign (www.verisign.com).

Uma autoridade de certificao uma entidade encarregada de emitir certificados
para indivduos, computadores ou organizaes, sendo que os certificados que
confirmam a identidade e outros atributos do usurio do certificado, para outras
entidades. Uma autoridade de certificao aceita uma solicitao de certificado,
verifica as informaes do solicitador (incluindo a uma srie de documentos e
comprovantes, os quais devem ser apresentados pelo solicitante do certificado) e,
em seguida, usa sua chave privada para aplicar a assinatura digital no certificado. A
autoridade de certificao emite ento o certificado para que o usurio do
certificado o use como uma credencial de segurana dentro de uma infra-estrutura
de chave pblica (PKI). Uma autoridade de certificao tambm responsvel por
revogar certificados e publicar uma lista de certificados revogados (CRL).

Uma autoridade de certificao pode ser uma empresa que presta o servio de
autoridade certificadora, como o VeriSign, ou pode ser uma autoridade de
certificao que voc cria para ser usada por sua prpria organizao, instalando os
Servios de certificados do Windows 2000 Server ou do Windows Server 2003.
Cada autoridade de certificao pode ter requisitos diferentes de prova de
identidade, como uma conta de domnio do Active Directory, crach de empregado,
carteira de motorista, solicitao autenticada ou endereo fsico. Verificaes de
identificao como essa geralmente asseguram uma autoridade de certificao no
local, de tal modo que as organizaes possam validar seus prprios empregados
ou membros.

As autoridades de certificao corporativas do Windows 2000 Server usam as
credenciais da conta de usurio do Active Directory de uma pessoa, como prova de
identidade. Em outras palavras, se voc tiver efetuado logon em um domnio do
Windows 2000 Server e solicitar um certificado de uma autoridade de certificao



corporativa, a autoridade de certificao saber que voc quem o Active Directory
diz que voc .

Todas as autoridades de certificao tm um certificado para confirmar sua prpria
identidade, emitido por outra autoridade de certificao confivel ou, no caso de
autoridades de certificao raiz, emitido por elas mesmas. importante lembrar
que qualquer pessoa pode criar uma autoridade de certificao. A questo real se
voc, como um usurio ou um administrador, confia naquela autoridade de
certificao e, por extenso, nas diretivas e procedimentos que ela emprega para
confirmar a identidade dos certificados emitidos para entidades por essa autoridade
de certificao.

Em uma rede baseada no Windows 2000 Server (ou no Windows Server 2003), o
administrador tambm pode utilizar uma CA externa. Porm, com o uso do
Microsoft Certificate Services, o administrador pode criar sua prpria autoridade
certificadora. O Certificate Services da Microsoft permite a criao de sofisticados
ambientes de certificao, com a criao de uma hierarquia de CAs. Com o uso do
Certificate Services podem ser criadas os seguintes tipos de autoridades
certificadoras, os quais sero descritos mais adiante:

Enterprise Root CA.
Enterprise Subordinate CA.
Standalone Root CA.
Standalone Subordinate CA

Ao criar uma estrutura interna para criao e gerenciamento de certificados
digitais, voc deve definir os procedimentos que sero utilizados para verificar a
veracidade dos dados dos usurios que esto solicitando certificados. Por exemplo,
voc pode utilizar as informaes do Active Directory, como sendo as informaes
oficiais de cada funcionrio, porm o funcionrio tem acesso a alterar as
informaes da sua conta no Active Directory. Com isso voc ter que montar uma
metodologia formal de verificao (um pouco de burocracia as vezes se faz
necessria). Por exemplo, voc pode solicitar que o chefe imediato do funcionrio
confirme os dados em um formulrio na Intranet da empresa (formulrio de papel
tambm j seria demais).

A existncia de uma autoridade certificadora significa que voc tem confiana de
que a autoridade de certificao possui as diretivas corretas no local correto e ao
avaliar as solicitaes de certificado, ir negar certificados para qualquer entidade
que no atender a essas diretivas. Esta uma questo fundamental para garantir a
identidade dos usurios. Ao fazer uma verificao rigorosa dos dados informados,
antes de emitir um certificado para um usurio, servidor ou computador, a CA
garante que quem obtm o certificado realmente quem diz ser prova de
identidade. Por isso a importncia fundamental de definir uma metodologia clara,
simples e de fcil execuo, para a verificao dos dados, antes de emitir os
certificados.

Alm disso, voc confia que a autoridade de certificao ir revogar certificados que
no devem mais ser considerados vlidos, atravs da publicao de uma lista de
certificados revogados, sempre atualizada (CRL Certificate Revocation List). As
listas de certificados revogados so consideradas vlidas at expirarem. Logo,
mesmo que a CA publique uma nova lista de certificados revogados com os
certificados recm revogados listados, todos os clientes que possurem uma lista de
revogao de certificados antiga no iro procurar nem recuperar a lista nova at
que a antiga expire ou seja excluda. Os clientes podem usar uma pgina Web da



CA para recuperar manualmente a lista de certificados revogados mais atual, caso
seja necessrio.

Para servios, computadores e usurios do Windows 2000 Server, a confiana em
uma autoridade de certificao estabelecida quando voc possui uma cpia do
certificado raiz no armazenamento das autoridades de certificao raiz confiveis e
tem um caminho de certificao vlido, significando que nenhum dos certificados no
caminho de certificao foi revogado ou que seus perodos de validade expiraram.
O caminho de certificao inclui todos os certificados emitidos para cada CA na
hierarquia da certificao de uma CA subordinada para a CA raiz. Por exemplo, para
uma CA raiz, o caminho de certificao um certificado, seu prprio certificado
auto-assinado. Para uma CA subordinada, abaixo da CA raiz na hierarquia, seu
caminho de certificao inclui 2 certificados, seu prprio certificado e o certificado
da CA raiz.

Caso sua empresa esteja usando o Active Directory, a confiana nas autoridades de
certificao da organizao ser estabelecida automaticamente, baseada nas
decises e configuraes realizadas pelo administrador do sistema e nas relaes
de confiana criadas automaticamente pelo Active Directory.

Os diferentes tipos de Autoridades Certificadores

Conforme descrito anteriormente, podem ser criados diferentes tipos de
autoridades certificadoras. Pode ser uma autoridade certificadora corporativa
(Enterprise) ou Autnoma (Standalone). Cada um destes tipos pode ser uma
autoridade certificadora root ou subordinada. Com isso ficamos com os quatro tipos
possveis de autoridades certificadores:

Corporativa root CA
Corporativa subordinada CA
Autnoma root CA
Autnoma subordinada CA

Uma autoridade de certificao raiz, mais conhecida como autoridade root,
encarada como o tipo mais confivel de autoridade de certificao na PKI de uma
organizao. Geralmente, tanto a segurana fsica como a diretiva de emisso de
certificados de uma autoridade de certificao raiz so mais rigorosas do que as de
autoridades de certificao subordinadas.

Se a autoridade de certificao raiz estiver comprometida ou emitir um
certificado para uma entidade no autorizada, toda a segurana baseada
em certificados, da sua organizao, estar vulnervel e no ser mais
confivel. Enquanto as autoridades de certificao raiz podem ser usadas para
emitir certificados para usurios finais em tarefas como enviar correio eletrnico
seguro, na maioria das organizaes elas so usadas apenas para emitir
certificados para outras autoridades de certificao, chamadas de subordinadas.

Uma autoridade de certificao subordinada uma autoridade de
certificao que foi certificada por outra autoridade de certificao de sua
organizao, ou seja, est subordinada a uma outra entidade certificadora.
Se a entidade principal deixar de ser confivel, todas as entidades subordinadas
tambm o deixaro de ser. Geralmente, uma autoridade de certificao
subordinada emitir certificados para usos especficos, como correio eletrnico
seguro, autenticao baseada na Web ou autenticao de cartes inteligentes.
Autoridades de certificao subordinadas tambm podem emitir certificados para



outras autoridades de certificao subordinadas em um nvel abaixo delas. Com
isso possvel criar uma hierarquia de entidades certificadores. Juntas, a
autoridade de certificao raiz, as autoridades de certificao subordinadas
certificadas pela raiz e as autoridades de certificao subordinadas que foram
certificadas por outras autoridades de certificao subordinadas formam uma
hierarquia de certificao.

Autoridades de certificao corporativas

Voc pode instalar o Microsoft Certificate Services para criar uma autoridade de
certificao corporativa, na Intranet da empresa. Autoridades de certificao
corporativas podem emitir certificados para vrias finalidades, tais como
assinaturas digitais, correio eletrnico seguro usando S/MIME (extenses
multipropsito do Internet Mail protegidas), autenticao para um servidor Web
seguro usando Secure Sockets Layer (SSL, camada de soquetes de segurana) ou
segurana da camada de transporte (TLS) e logon em um domnio do Windows
2000 Server ou Windows Server 2003, usando um carto inteligente (smart card).

Uma autoridade de certificao corporativa apresenta as seguintes caractersticas e
exigncias:

Uma autoridade de certificao corporativa exige o Active Directory.

Quando voc instala uma autoridade de certificao corporativa raiz,
ela automaticamente adicionada ao armazenamento de certificados das
Autoridades de certificao raiz confiveis, para todos os usurios e
computadores do domnio. Voc precisa ser administrador de domnio ou
administrador com direito de gravao no Active Directory para instalar
uma autoridade de certificao corporativa raiz.

Todas as solicitaes de certificados enviadas para a autoridade de
certificao corporativa sero atendidas ou negadas com base no conjunto
de diretivas e permisses de segurana do tipo de certificado solicitado.
Autoridades de certificao corporativas nunca definem uma solicitao de
certificado como pendente. Elas imediatamente emitem o certificado ou
negam a solicitao.

Os certificados podem ser emitidos para efetuar logon em um domnio
do Windows 2000 Server ou Windows Server 2003, usando cartes
inteligentes (smart cards).

O mdulo de sada corporativo publica certificados de usurios e a lista
de certificados revogados (CRL), no Active Directory. Para publicar
certificados no Active Directory, o servidor em que a autoridade de
certificao est instalada deve ser membro do grupo de Certificates
Publishers (Publicadores de certificados). Isso automtico para o domnio
em que o servidor est, mas a autoridade de certificao precisar receber
as permisses de segurana corretas para publicar certificados em outros
domnios.

Uma autoridade de certificao corporativa usa tipos de certificados, que so
baseados em um modelo de certificado. A seguinte funcionalidade possvel devido
ao uso de modelos de certificado:




As autoridades de certificao corporativas aplicam verificaes de
credenciais aos usurios durante o registro de certificados. Cada modelo de
certificado tem uma permisso de segurana definida no Active Directory
que determina se quem est solicitando o certificado est autorizado a
receber o tipo de certificado solicitado.

O nome do usurio do certificado automaticamente gerado.

O mdulo de diretiva adiciona uma lista predefinida de extenses de
certificados ao certificado emitido a partir do modelo do certificado. Isso
reduz a quantidade de informaes que a pessoa que solicita o certificado
precisa fornecer sobre o certificado e sobre o uso pretendido.

Os servidores que desempenham o papel de autoridades certificadoras
corporativas, desempenham um papel fundamental na estrutura de segurana da
empresa. Por isso importante que voc implemente polticas de backup e de
segurana bem rigorosas em relao a estes servidores.

Alm da segurana lgica, no acesso aos dados, muito importante cuidar tambm
da segurana fsica, controlando quem tem acesso ao servidor configurado como
servidor corporativo root.

Autoridades de certificao autnomas

Voc pode instalar os servios de certificados para criar uma autoridade de
certificao autnoma. Autoridades de certificao autnomas podem emitir
certificados para finalidades diversas, tais como assinaturas digitais, correio
eletrnico seguro usando S/MIME (extenses multipropsito do Internet Mail
protegidas) e autenticao para um servidor Web seguro usando camada de
soquetes de segurana (SSL) ou segurana da camada de transporte (TLS).

Uma autoridade de certificao autnoma tem as seguintes caractersticas:

Diferentemente de uma autoridade de certificao corporativa, uma
autoridade de certificao autnoma no exige o uso do Active Directory.
Autoridades de certificao autnomas se destinam principalmente a serem
usadas quando extranets e a Internet esto envolvidas. Por exemplo, se
parceiros de negcios precisam se conectar a rede da empresa para
acessar determinados sistemas, voc pode criar uma autoridade
certificadora autnoma, para emitir certificados para os parceiros de
negcio. Estes, por sua vez, usaro estes certificados para se identificar e
ter acesso a rede da empresa. Alm disso, se desejar usar um mdulo de
diretiva personalizado para uma autoridade de certificao, voc deve,
primeiramente, instalar os servios de certificados usando diretiva
autnoma e, em seguida, substituir a diretiva autnoma pela sua diretiva
personalizada.

Ao submeter uma solicitao de certificado a uma autoridade de
certificao autnoma, o solicitador do certificado deve fornecer,
explicitamente, todas as informaes de identificao sobre si mesmo e
sobre o tipo de certificado desejado na solicitao do certificado. (No
necessrio fazer isso ao submeter uma solicitao a uma autoridade de
certificao corporativa, uma vez que as informaes do usurio
corporativo j esto no Active Directory e o tipo do certificado descrito
por um modelo de certificado).



Por padro, todas as solicitaes de certificados enviadas para a autoridade de
certificao autnoma so definidas como pendentes at que o administrador da
autoridade de certificao autnoma verifique a identidade do solicitador e d OK
para a solicitao. Isso feito por razes de segurana, porque as credenciais do
solicitador do certificado no so verificadas pela autoridade de certificao
autnoma.

No so usados modelos de certificados, a exemplo do que acontece
com as autoridades certificadores corporativas.

Nenhum certificado pode ser emitido para efetuar logon em um domnio
do Windows 2000 Server ou do Windows Server 2003 usando cartes
inteligentes, mas outros tipos de certificados podem ser emitidos e
armazenados em um carto inteligente.

O administrador tem que distribuir, explicitamente, o certificado da
autoridade de certificao autnoma para o armazenamento de raiz
confivel dos usurios do domnio, ou os usurios devem executar essa
tarefa sozinhos.

Quando uma autoridade de certificao autnoma usa o Active Directory, ela tem
esses recursos adicionais:

Se um membro do grupo de administradores de domnio ou um
administrador com direito de gravao no Active Directory instalar uma
autoridade de certificao raiz autnoma, ela ser automaticamente
adicionada ao armazenamento de certificados das autoridades de
certificao raiz confiveis, para todos os usurios e computadores do
domnio. Por essa razo, ao instalar uma autoridade de certificao raiz
autnoma em um domnio do Active Directory, voc no dever alterar a
ao padro da autoridade de certificao at receber solicitaes de
certificados (o que marca as solicitaes como pendentes). Caso contrrio,
voc ter uma autoridade de certificao raiz confivel que
automaticamente emite certificados sem verificar a identidade do
solicitador.

Se uma autoridade de certificao autnoma for instalada por um
membro do grupo de administradores de domnio do domnio pai de uma
rvore na empresa, ou por um administrador com direito de gravao no
Active Directory, a autoridade de certificao autnoma publicar os
certificados e a lista de certificados revogados (CRL) no Active Directory.

No esquea: Conhea bem as diferenas entre os diferentes tipos de autoridades
certificadores. Lembre-se que autoridades certificadoras corporativas so
integradas com o Active Directory, utilizam modelos de certificados para a criao
de novos certificados. J as autoridades certificadoras autnomas no dependem do
Active Directory e no utilizam modelos de certificados. A seguir um pequeno
resumo sobre cada um dos quatro tipos, para voc fixar bem sobre a funo e as
caractersticas de cada um dos tipos de autoridades certificadores:

1. Enterprise root CA Autoridade certificadora corporativa root: Um
nico servidor pode ser configurado como Enterprise root CA em uma floresta de
domnios de uma empresa. Este servidor ocupa o topo da hierarquia de autoridades
certificadoras. Normalmente no utilizado para emitir certificados para usurios



ou computadores, mas sim para autoridades certificadores corporativas
subordinadas. Os certificados para usurios e computadores so emitidos pelas
autoridades subordinadas. Com isso voc pode criar uma hierarquia de autoridades
certificadoras, de tal maneira que a emisso de certificados seja efetuada por um
servidor do prprio domnio do usurio. Outro detalhe importante que a
autoridade certificadora root responsvel por assinar o seu prprio certificado
(afinal no h nenhuma autoridade acima dela). Isso que caracteriza esta
autoridade como uma autoridade certificadora root.

2. Enterprise subordinate CA Autoridade certificadora Corporativa
subordinada: Para instalar uma autoridade certificadora corporativa subordinada,
voc deve ter acesso ao certificado da autoridade certificadora corporativa root. O
uso deste certificado que liga a autoridade certificadora que est sendo instalada,
como um autoridade subordinada a autoridade certificadora root, formando uma
hierarquia de entidades certificadoras. Este tipo de autoridade pode emitir
certificados para usurios e computadores do Active Directory ou para outras
autoridades certificadores subordinadas de nveis mais baixo, aumentando desta
maneira, o nmero de nveis da hierarquia de autoridades certificadoras.

3. Stand-alone root CA Autoridade certificadora autnoma root: Este
tipo de autoridade certificadora no depende do Active Directory. Pode ser utilizado,
por exemplo, para emitir certificados para parceiros de negcio e prestadores de
servio, que precisam de certificados digitais para acessar determinadas reas da
Intranet ou da Extranet da empresa. Uma vantagem adicional que um servidor
configurado como autoridade certificadora autnoma root, pode ser desconectado
da rede, como uma garantia adicional de segurana. Este tipo de autoridade
certificadora tambm responsvel por emitir os certificados de registro das
autoridades certificadoras autnomas subordinadas.

4. Stand-alone subordinate CA - Autoridade Certificadora Autnoma
Subordinada: Este tipo de autoridade certificadora est subordinada a uma
autoridade certificadora autnoma root. O processo normalmente o mesmo
utilizado para o caso das autoridades certificadoras corporativas, ou seja, a
autoridade certificadora autnoma root no utilizada para emisso de certificados
para usurios e computadores, mas sim para a emisso de certificados para as
autoridades certificadoras autnomas subordinadas. As autoridades certificadoras
autnomas subordinadas que so responsveis pela emisso dos certificados para
usurios e computadores.

Concluso

Nesta parte do tutorial fiz uma breve apresentao sobre PKI, Certificados Digitais
e Autoridades Certificadores. Voc tambm aprendeu sobre a criptografia baseada
no uso de um par de chaves: pblica e privada e como utilizar o Microsoft
Certificate Services para criar uma autoridade certificadora na prpria rede da
empresa.




Tutorial de TCP/IP Parte 20 NAT Network Address
Translation

Introduo

Prezados leitores, esta a vigsima e ltima parte, desta primeira etapa dos
tutoriais de TCP/IP. As partes de 01 a 20, constituem o mdulo que eu classifiquei
como Introduo ao TCP/IP. O objetivo deste mdulo foi apresentar o TCP/IP,
mostrar como o funcionamento dos servios bsicos, tais como endereamento IP
e Roteamento e fazer uma apresentao dos servios relacionados ao TCP/IP, tais
como DNS, DHCP, WINS, RRAS, IPSec, Certificados Digitais, ICS, compartilhamento
da conexo Internet e NAT (assunto desta parte, ou seja Parte 20 do tutorial).

Esta a vigsima parte do Tutorial de TCP/IP. Na Parte 1 tratei dos aspectos
contra ataques e perigos vindos da Internet. Na Parte 18 fiz uma
apresentao sobre o protocolo IPSec. O IPSec faz parte do Windows 2000,
Windows XP e Windows Server 2003. O IPSec pode ser utilizado para criar um canal
de comunicao seguro, onde todos os dados que so trocados entre os
computaodres habilitados ao IPSec, so criptografados. Na Parte 19, fiz uma
apresentao sobre o conceito de PKI Public Key Infrastructure e Certificados
Digitais. O Windows 2000 Server e tambm o Windows Server 2003 disponibilizam
servios para a emisso, gerenciamento e revogao de Certificados Digitais. Falei
sobre o papel dos Certificados Digitais em relao segurana das informaes.




Nesta vigsima parte ser a vez de falar um pouco mais sobre o servio (ou
protocolo como preferem alguns) NAT Network Address Transaltion. Voc
entender o que o NAT e qual a sua funo na conexo de uma rede com a
Internet.

Nota: Para aprender a instalar, configurar e a administrar os servioes
relacionados ao TCP/IP, no Windows 2000 Server, tais como o DNS, DHCP, WINS,
RRAS, Ipsec, NAT e assim por diante, o livro de minha autoria: Manual de Estudos
Para o Exame 70-216, 712 pginas.

Entendendo como funciona o NAT

Vamos inicialmente entender exatamente qual a funo do NAT e em que situaes
ele indicado. O NAT surgiu como uma alternativa real para o problema de falta de
endereos IP v4 na Internet. Conforme descrito na Parte 1, cada computador que
acessa a Internet deve ter o protocolo TCP/IP corretamente instalado e
configurado. Para isso, cada computador da rede interna, precisaria de um
endereo IP vlido na Internet. No haveria endereos IP v4 suficientes. A criao
do NAT veio para solucionar esta questo.(ou pelo menos fornecer uma alternativa
at que o IP v6 esteja em uso na maioria dos sistemas da Internet). Com o uso do
NAT, os computadores da rede Interna, utilizam os chamados endereos Privados.
Os endereos privados no so vlidos na Internet, isto , pacotes que tenham
como origem ou como destino, um endereo na faixa dos endereos privados, no
sero encaminhados, sero descartados pelos roteadores. O software dos
roteadores est configurado para descartar pacotes com origem ou destino dentro
das faixas de endereos IP privados. As faixas de endereos privados so definidas
na RFC 1597 e esto indicados a seguir:

10.0.0.0 -> 10.255.255.255
172.16.0.0 -> 172.31.255.255
192.168.0.0 -> 192.168.255.255

Existem algumas questes que devem estar surgindo na cabea do amigo leitor.
Como por exemplo: Qual a vantagem do uso dos endereos privados? O que
isso tem a ver com o NAT? Muito bem, vamos esclarecer estas questes.

Pelo fato de os endereos privados no poderem ser utilizados diretamente na
Internet, isso permite que vrias empresas utilizem a mesma faixa de endereos
privados, como esquema de endereamento da sua rede interna. Ou seja, qualquer
empresa pode utilizar endereos na faixa 10.0.0.0 -> 10.255.255.255 ou na faixa
172.16.0.0 -> 72.31.255.255 ou na faixa 192.168.0.0 -> 192.168.255.255.

Com o uso do NAT, a empresa fornece acesso Internet para um grande
nmero de computadores da rede interna, usando um nmero bem menor
de endereos IP, vlidos na Internet.

Por exemplo, uma rede com 100 computadores, usando um esquema de
endereamento 10.10.0.0/255.255.0.0, poder ter acesso Internet, usando o
NAT, usando um nico endereo IP vlido: o endereo IP da interface externa do
NAT. Observe que com isso temos uma grande economia de endereos IP: No
nosso exemplo temos 100 computadores acessando a Internet (configurados com
endereos IP privados), os quais utilizam um nico endereo IP vlido, que o
endereo IP da interface externa do servidor configurado como NAT.




Muito bem, respondi as questes anteriores mas agora devem ter surgido novas
questes na cabea do amigo leitor, como por exemplo:

1. Se houver mais de um cliente acessando a Internet ao mesmo tempo e o
NAT possui apenas um endereo IP vlido (ou em outras situaes, se houver um
nmero maior de clientes internos acessando a Internet, do que o nmero de
endereos IP disponveis no NAT. E o nmero de endereos IP, disponveis no NAT
sempre ser menor do que o nmero de computadores da rede interna, uma vez
que um dos principais objetivos do uso do NAT reduzir a quantidade de nmeros
IP vlidos), como possvel a comunicao de mais de um cliente, ao mesmo
tempo, com a Internet?

2. Quando a resposta retorna, como o NAT sabe para qual cliente da rede
interna ela se destina, se houver mais de um cliente acessando a Internet?

Inicialmente vamos observar que o esquema de endereamento utilizado pela
empresa do nosso exemplo (10.10.0.0/255.255.0.0) est dentro de uma faixa de
endereos Privados. Aqui est a principal funo do NAT, que o papel de
traduzir os endereos privados, os quais no so vlidos na Internet,
para o endereo vlido, da interface pblica do servidor com o NAT.

Para entender exatamente o funcionamento do NAT, vamos considerar um exemplo
prtico. Imagine que voc tem cinco computadores na rede, todos usando o NAT.
Os computadores esto utilizando os seguintes endereos:

10.10.0.10
10.10.0.11
10.10.0.12
10.10.0.13
10.10.0.14

O computador com o NAT habilitado tem as seguintes configuraes:

IP da interface interna: 10.10.0.1
IP da interface externa: Um ou mais endereos vlidos na Internet,
obtidos a partir da conexo com o provedor de Internet, mas sempre em
nmero bem menor do que a quantidade de computadores da rede interna.

Quando um cliente acessa a Internet, no pacote de informaes enviado por este
cliente, est registrado o endereo IP da rede interna, por exemplo: 10.10.0.10.
Porm este pacote no pode ser enviado pelo NAT para a Internet, com este
endereo IP como endereo de origem, se no no primeiro roteador este pacote
ser descartado, j que o endereo 10.10.0.10 no um endereo vlido na
Internet (pois um endereo que pertence a uma das faixas de endereos
privados, conforme descrito anteriormente). Para que este pacote possa ser
enviado para a Internet, o NAT substitui o endereo IP de origem por um dos
endereos IP da interface externa do NAT (endereo fornecido pelo provedor de
Internet e, portanto, vlido na Internet). Este processo que chamado de traduo
de endereos, ou seja, traduzir de um endereo IP interno, no vlido na Internet,
para um endereo IP externo, vlido na Internet. Quando a resposta retorna, o NAT
repassa a resposta para o cliente que originou o pedido.

Mas ainda fica a questo de como o NAT sabe para qual cliente interno a
resposta, se os pacotes de dois ou mais clientes podem ter sido traduzidos para o
mesmo endereo IP externo. A resposta para estas questo a mesma. O NAT ao



executar a funo de traduo de endereos, associa um nmero de porta, que
nico, com cada um dos computadores da rede interna. A traduo de endereos
funciona assim:

1. Quando um cliente interno tenta se comunicar com a Internet, o NAT
substitui o endereo interno do cliente como endereo de origem, por um endereo
vlido na Internet. Mas alm do endereo tambm associada uma porta de
comunicao. Por exemplo, vamos supor que o computador 10.10.0.12 tenta
acessar a Internet. O NAT substitui o endereo 10.10.0.12 por um endereo vlido
na Internet, vou chutar um: 144.72.3.21. Mas alm do nmero IP tambm
associada uma porta, como por exemplo: 144.72.3.21:6555. O NAT mantm uma
tabela interna onde fica registrado que, comunicao atravs da porta tal est
relacionada com o cliente tal. Por exemplo, a tabela do NAT, em um determinado
momento, poderia ter o seguinte contedo:

144.72.3.21:6555 10.10.0.10
144.72.3.21:6556 10.10.0.11
144.72.3.21:6557 10.10.0.12
144.72.3.21:6558 10.10.0.13
144.72.3.21:6559 10.10.0.14

Observe que todos os endereos da rede interna so traduzidos para o mesmo
endereo externo, porm com um nmero diferente de porta para cada cliente da
rede interna.

2. Quando a resposta retorna, o NAT consulta a sua tabela interna e, pela
identificao da porta, ele sabe para qual computador da rede interna deve ser
enviado o pacote de informaes, uma vez que a porta de identificao est
associada com um endereo IP da rede interna. Por exemplo, se chegar um pacote
endereado a 144.72.3.21:6557, ele sabe que este pacote deve ser enviado para o
seguinte computador da rede interna: 10.10.0.12, conforme exemplo da tabela
anterior. O NAT obtm esta informao a partir da tabela interna, descrita
anteriormente.

Com isso, vrios computadores da rede interna, podem acessar a Internet, ao
mesmo tempo, usando um nico endereo IP ou um nmero de endereos IP bem
menor do que o nmero de computadores da rede interna. A diferenciao feita
atravs de uma atribuio de porta de comunicao diferente, associada com cada
IP da rede interna. Este o princpio bsico do NAT Network Address Translation
(Traduo de Endereos IP).

Agora que voc j sabe o princpio bsico do funcionamento do NAT, vamos
entender quais os componentes deste servio no Windows 2000 Server e no
Windows Server 2003.

Os componentes do NAT

O servio NAT composto, basicamente, pelos seguintes elementos:

Componente de traduo de endereos: O NAT faz parte do
servidor RRAS. Ou seja, para que voc possa utilizar o servidor NAT, para
fornecer conexo Internet para a rede da sua empresa, voc deve ter um
servidor com o RRAS instalado e habilitado (veja o Captulo 6 do livro
Manual de Estudos Para o Exame 70-216, de minha autoria, para detalhes
sobre a habilitao do RRAS). O servidor onde est o RRAS deve ser o



servidor conectado Internet. O componente de traduo de endereos faz
parte da funcionalidade do NAT e ser habilitado, assim que o NAT for
configurado no RRAS.

Componente de endereamento: Este componente atua como um
servidor DHCP simplificado, o qual utilizado para concesso de endereos
IP para os computadores da rede interna. Alm do endereo IP, o servidor
DHCP simplificado capaz de configurar os clientes com informaes tais
como a mscara de sub-rede, o nmero IP do gateway padro (default
gateway) e o nmero IP do servidor DNS. Os clientes da rede interna
devem ser configurados como clientes DHCP, ou seja, nas propriedades do
TCP/IP, voc deve habilitar a opo para que o cliente obtenha um
endereo IP automaticamente. Computadores executando o Windows
Server 2003 (qualquer edio), Windows XP, Windows 2000, Windows NT,
Windows Me, Windows 98 ou Windows 95, so automaticamente
configurados como clientes DHCP. Caso um destes clientes tenha sido
configurado para usar um IP fixo, dever ser reconfigurado para cliente
DHCP, para que ele possa utilizar o NAT.

Componente de resoluo de nomes: O computador no qual o NAT
habilitado, tambm desempenha o papel de um servidor DNS, o qual
utilizado pelos computadores da rede interna. Quando uma consulta para
resoluo de nomes enviada por um cliente interno, para o computador
com o NAT habilitado, o computador com o NAT repassa esta consulta para
um servidor DNS da Internet (normalmente o servidor DNS do provedor de
Internet) e retorna a resposta obtida para o cliente. Esta funcionalidade
idntica ao papel de DNS Proxy, fornecida pelo ICS, conforme descrita na
Parte 16.

Importante: Como o NAT inclui as funcionalidades de endereamento e resoluo
de nomes, voc ter as seguintes limitaes para o uso de outros servios, no
mesmo servidor onde o NAT foi habilitado:

Voc no poder executar o servidor DHCP ou o DHCP Relay Agent no
servidor NAT.

Voc no poder executar o servidor DNS no servidor NAT.

Um pouco de planejamento antes de habilitar o NAT

Antes de habilitar o NAT no servidor RRAS, para fornecer conexo Internet para
os demais computadores da rede, existem alguns fatores que voc deve levar em
considerao. Neste item descrevo as consideraes que devem ser feitas, antes da
habilitao do NAT. Estes fatos ajudam a evitar futuros problemas e necessidade de
reconfiguraes no NAT.

1. Utilize endereos privados para os computadores da rede interna.

Esta a primeira e bvia recomendao. Para o esquema de endereamento da
rede interna, voc deve utilizar uma faixa de endereos, dentro de uma das faixas
de endereos privados: 10.0.0.0/255.0.0.0, 172.16.0.0/255.240.0.0 ou
192.168.0.0/255.255.0.0. Voc pode utilizar diferentes mscaras de sub-rede, de
acordo com as necessidades da sua rede. Por exemplo, se voc tiver uma rede com
100 mquinas, pode utilizar um esquema de endereamento:
10.10.10.0/255.255.255.0, o qual disponibiliza at 254 endereos. Por padro, o



NAT utiliza o esquema de endereamento 192.168.0.0/255.255.255.0. Porm
possvel alterar este esquema de endereamento, nas configuraes do NAT.
Lembre-se que, uma vez habilitado o NAT, este passa a atuar como um servidor
DHCP para a rede interna, fornecendo as configuraes do TCP/IP para os clientes
da rede interna. Com isso, nas configuraes do NAT (para todos os detalhes sobre
as configuraes do NAT, consulte o Captulo 7 do livro Manual de Estudos Para o
Exame 70-216, de minha autoria), voc define o escopo de endereos que ser
fornecido para os clientes da rede.

Nota: Voc tambm poderia configurar a sua rede interna com uma faixa de
endereos IP vlidos, porm no alocados diretamente para a sua empresa. Ou
seja, voc estaria utilizando na rede interna, um esquema de endereamento que
foi reservado para uso de outra empresa. Esta no uma configurao
recomendada e conhecida como: illegal or overlapping IP addressing. O
resultado prtico que, mesmo assim, voc conseguir usar o NAT para acessar a
Internet, porm no conseguir acessar os recursos da rede para o qual o esquema
de endereamento foi oficialmente alocado. Por exemplo, se voc resolveu usar o
esquema de endereamento 1.0.0.0/255.0.0.0, sem se preocupar em saber para
quem esta faixa de endereos foi reservado. Mesmo assim voc conseguir acessar
a Internet usando o NAT, voc apenas no conseguir acessar os recursos e
servidores da empresa que usa, oficialmente, o esquema de endereamento
1.0.0.0/255.0.0.0, que voc resolveu utilizar para a rede interna da sua empresa.

Ao configurar o NAT, o administrador poder excluir faixas de endereos que no
devem ser fornecidas para os clientes. Por exemplo, se voc tiver alguns
equipamentos da rede interna (impressoras, hubs, switchs, etc) que devam ter um
nmero IP fixo, voc pode excluir uma faixa de endereos IP no servidor NAT e
utilizar estes endereos para configurar os equipamentos que, por algum motivo,
precisam de um IP fixo.

2. Usar um ou mais endereos IP pblicos.

Se voc estiver utilizando um nico endereo IP, fornecido pelo provedor de
Internet, no sero necessrias configuraes adicionais no NAT. Porm se voc
obtm dois ou mais endereos IP pblicos, voc ter que configurar a interface
externa do NAT (interface ligada a Internet), com a faixa de endereos pblicos,
fornecidos pelo provedor de Internet. A faixa informada no formato padro:
Nmero IP/Mscara de sub-rede. Pode existir situaes em que nem todos os
nmeros fornecidos pelo provedor possam ser informados usando esta
representao. Nestas situaes pode acontecer de voc no poder utilizar todos os
endereos disponibilizados pelo provedor de Internet, a no ser que voc utilize a
representao por faixas, conforme descrito mais adiante.

Se o nmero de endereos fornecido for uma potncia de 2 (2, 4, 8, 16, 32, 64 e
assim por diante), mais provvel que voc consiga representar a faixa de
endereos no formato Nmero IP/Mscara de sub-rede. Por exemplo, se voc
recebeu quatro endereos IP pblicos: 206.73.118.212, 206.73.118.213,
206.73.118.214 e 206.73.118.215. Esta faixa pode ser representada da seguinte
maneira: 206.73.118.212/255.255.255.252.

Nota: Para maiores detalhes sobre a representao de faixas de endereos IP e
mscaras de sub-rede, consulte as seguintes partes deste tutorial: Parte 1, Parte 2,
Parte 3 e Parte 4.



Caso no seja possvel fazer a representao no formato Nmero IP/Mscara de
sub-rede, voc pode informar os endereos pblicos como uma srie de faixas de
endereos, conforme exemplo a seguir:

206.73.118.213 -> 206.73.118.218
206.73.118.222 -> 206.73.118.240

3. Permitir conexes da Internet para a rede interna da empresa

O funcionamento normal do NAT, permite que sejam feitas conexes da rede
privada para recursos na Internet. Por exemplo, um cliente da rede acessando um
servidor de ftp na Internet. Neste caso, o cliente executando um programa cliente
de ftp, faz a conexo com um servidor ftp da Internet. Quando os pacotes de
resposta chegam no NAT, eles podem ser repassados ao cliente, pois representam
a resposta a uma conexo iniciada internamente e no uma tentativa de acesso
vinda da Internet.

Voc pode querer fornecer acesso a um servidor da rede interna, para usurios da
Internet. Por exemplo, voc pode configurar um servidor da rede interna com o IIS
e instalar neste servidor o site da empresa. Em seguida voc ter que configurar o
NAT, para que os usurios da Internet possam acessar este servidor da rede
interna. Observe que nesta situao, chegaro pacotes da Internet, os quais no
representaro respostas a requisies dos clientes da rede interna, mas sim
requisies de acesso dos usurios da Internet, a um servidor da rede interna. Por
padro este trfego ser bloqueado no NAT. Porm o administrador pode
configurar o NAT para aceitar requisies vindas de clientes da Internet, para um
servidor da rede interna. Para fazer estas configuraes voc deve seguir os
seguintes passos:

Para permitir que usurios da Internet, acessem recursos na sua rede interna, siga
os passos indicados a seguir:

O servidor da rede interna, que dever ser acessado atravs da
Internet, deve ser configurado com um nmero IP fixo (nmero que faa
parte da faixa de endereos fornecidos pelo NAT, para uso da rede interna)
e com o nmero IP do default gateway e do servidor DNS (o nmero IP da
interface interna do computador com o NAT habilitado).

Excluir o endereo IP utilizado pelo servidor da rede Interna (servidor
que estar acessvel para clientes da Internet) da faixa de endereos
fornecidos pelo NAT, para que este endereo no seja alocado
dinamicamente para um outro computador da rede, o que iria gerar um
conflito de endereos IP na rede interna.

Configurar uma porta especial no NAT. Uma porta especial um
mapeamento esttico de um endereo pblico e um nmero de porta, para
um endereo privado e um nmero de porta. Esta porta especial faz o
mapeamento das conexes chegadas da Internet para um endereo
especfico da rede interna. Com o uso de portas especiais, por exemplo,
voc pode criar um servidor HTTP ou FTP na rede interna e torn-lo
acessvel a partir da Internet.

Nota: Para aprender os passos prticos para a criao de portas especiais no NAT,
consulte o Captulo 7 do livro: Manual de Estudos Para o Exame 70-216, de minha
autoria.



4. Configurando aplicaes e servios.

Algumas aplicaes podem exigir configuraes especiais no NAT, normalmente
com a habilitao de determinadas portas. Por exemplo, vamos supor que voc
est usando o NAT para conectar 10 computadores de uma loja de jogos, com a
Internet. Pode ser necessria a habilitao das portas utilizadas por determinados
jogos, para que estes possam ser executados atravs do NAT. Se estas
configuraes no forem feitas, o NAT ir bloquear pacotes que utilizem estas
portas e os respectivos jogos no podero ser acessados.

5. Conexes VPN iniciadas a partir da rede interna.

No Windows 2000 Server no possvel criar conexes VPN L2TP/IPSec, a partir de
uma rede que utilize o NAT. Esta limitao foi superada no Windows Server 2003.

Muito bem, de teoria sobre NAT isso.

Concluso

Nesta parte do tutorial fiz uma breve apresentao sobre o servio de traduo de
endereos NAT Network Address Translation. Esta foi a vigsima e ltima parte,
desta primeira etapa dos tutoriais de TCP/IP. As partes de 01 a 20, constituem o
mdulo que eu classifiquei como Introduo ao TCP/IP. O objetivo deste mdulo foi
apresentar o TCP/IP, mostrar como o funcionamento dos servios bsicos, tais
como endereamento IP e Roteamento e fazer uma apresentao dos servios
relacionados ao TCP/IP, tais como DNS, DHCP, WINS, RRAS, IPSec, Certificados
Digitais, ICS, compartilhamento da conexo Internet e NAT (assunto desta parte,
ou seja Parte 20 do tutorial).




Concluses finais:

Este foi o primeiro de uma srie de mdulos sobre o TCP/IP em redes baseadas no
Windows Windows 2000, Windows XP ou Windows Server 2003. Agradeo por
voc ter adquirido uma cpia deste mdulo, pois graa a honestidade de pessoas
como voc que possvel ao autor continuar a escrever e a disponibilizar novos
cursos a preos praticamente simblicos.

Em breve novos mdulos estaro disponveis. Visite periodicamente o meu site
www.juliobattisti.com.br, para saber das novidades. Semanalmente so publicados
tutoriais, artigos, dicas, notcias e simulados. Consulte tambm a rea de fruns do
site www.juliobattisti.com.br/forum, onde voc poder compartilhar
conhecimentos com milhares de colegas de todo o Brasil.

Entre em contato atravs do email webmaster@juliobattisti.com.br ou atravs do
telefone: 0-xx-55-9957-2041 (Santa Maria RS).

Se por acaso voc teve acesso a uma cpia deste mdulo sem t-la adquirido
diretamente com o autor (por exemplo, repassada por um amigo ou em um CD de
revista), lembre-se de que voc est com uma cpia pirata, no autorizada, o que
constitui Crime de Violao de Direitos Autorais.

PIRATARIA CRIME, COM PENA DE CADEIA. SE VOC
RECEBEU UMA CPIA ILEGAL DESTE ARQUIVO, NO
ADQUIRIDA DIRETAMENTE COM O AUTOR JLIO
BATTISTI, ENTRE EM CONTATO E REGULARIZE A SUA
CPIA. SEJA HONESTO, COLABORE!!!

Introdução Ao TCP

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Introdução Ao TCP

Hochgeladen von

Copyright:

Verfügbare Formate

Introduo ao TCP/IP

Das könnte Ihnen auch gefallen