Carregado porssuser405a251
37 visualizações

31_Dias_Para_o_CCNA.pdf

O documento descreve os principais componentes de rede, incluindo dispositivos, mídia, topologias e modelos de rede. Ele explica o propósito e as características de hubs, switches, roteadores e outros dispositivos, bem como os tipos de mídia de rede comuns. Além disso, discute topologias físicas e lógicas, o modelo de rede hierárquica e a arquitetura corporativa Cisco.

Incorporar apresentação

Baixar para ler offline
1 / 398
2 / 398
3 / 398
4 / 398
5 / 398
6 / 398
7 / 398
8 / 398
9 / 398
10 / 398
11 / 398
12 / 398
13 / 398
14 / 398
15 / 398
16 / 398
17 / 398
18 / 398
19 / 398
20 / 398
21 / 398
22 / 398
23 / 398
24 / 398
25 / 398
26 / 398
27 / 398
28 / 398
29 / 398
30 / 398
31 / 398
32 / 398
33 / 398
34 / 398
35 / 398
36 / 398
37 / 398
38 / 398
39 / 398
40 / 398
41 / 398
42 / 398
43 / 398
44 / 398
45 / 398
46 / 398
47 / 398
48 / 398
49 / 398
50 / 398
51 / 398
52 / 398
53 / 398
54 / 398
55 / 398
56 / 398
57 / 398
58 / 398
59 / 398
60 / 398
61 / 398
62 / 398
63 / 398
64 / 398
65 / 398
66 / 398
67 / 398
68 / 398
69 / 398
70 / 398
71 / 398
72 / 398
73 / 398
74 / 398
75 / 398
76 / 398
77 / 398
78 / 398
79 / 398
80 / 398
81 / 398
82 / 398
83 / 398
84 / 398
85 / 398
86 / 398
87 / 398
88 / 398
89 / 398
90 / 398
91 / 398
92 / 398
93 / 398
94 / 398
95 / 398
96 / 398
97 / 398
98 / 398
99 / 398
100 / 398
101 / 398
102 / 398
103 / 398
104 / 398
105 / 398
106 / 398
107 / 398
108 / 398
109 / 398
110 / 398
111 / 398
112 / 398
113 / 398
114 / 398
115 / 398
116 / 398
117 / 398
118 / 398
119 / 398
120 / 398
121 / 398
122 / 398
123 / 398
124 / 398
125 / 398
126 / 398
127 / 398
128 / 398
129 / 398
130 / 398
131 / 398
132 / 398
133 / 398
134 / 398
135 / 398
136 / 398
137 / 398
138 / 398
139 / 398
140 / 398
141 / 398
142 / 398
143 / 398
144 / 398
145 / 398
146 / 398
147 / 398
148 / 398
149 / 398
150 / 398
151 / 398
152 / 398
153 / 398
154 / 398
155 / 398
156 / 398
157 / 398
158 / 398
159 / 398
160 / 398
161 / 398
162 / 398
163 / 398
164 / 398
165 / 398
166 / 398
167 / 398
168 / 398
169 / 398
170 / 398
171 / 398
172 / 398
173 / 398
174 / 398
175 / 398
176 / 398
177 / 398
178 / 398
179 / 398
180 / 398
181 / 398
182 / 398
183 / 398
184 / 398
185 / 398
186 / 398
187 / 398
188 / 398
189 / 398
190 / 398
191 / 398
192 / 398
193 / 398
194 / 398
195 / 398
196 / 398
197 / 398
198 / 398
199 / 398
200 / 398
201 / 398
202 / 398
203 / 398
204 / 398
205 / 398
206 / 398
207 / 398
208 / 398
209 / 398
210 / 398
211 / 398
212 / 398
213 / 398
214 / 398
215 / 398
216 / 398
217 / 398
218 / 398
219 / 398
220 / 398
221 / 398
222 / 398
223 / 398
224 / 398
225 / 398
226 / 398
227 / 398
228 / 398
229 / 398
230 / 398
231 / 398
232 / 398
233 / 398
234 / 398
235 / 398
236 / 398
237 / 398
238 / 398
239 / 398
240 / 398
241 / 398
242 / 398
243 / 398
244 / 398
245 / 398
246 / 398
247 / 398
248 / 398
249 / 398
250 / 398
251 / 398
252 / 398
253 / 398
254 / 398
255 / 398
256 / 398
257 / 398
258 / 398
259 / 398
260 / 398
261 / 398
262 / 398
263 / 398
264 / 398
265 / 398
266 / 398
267 / 398
268 / 398
269 / 398
270 / 398
271 / 398
272 / 398
273 / 398
274 / 398
275 / 398
276 / 398
277 / 398
278 / 398
279 / 398
280 / 398
281 / 398
282 / 398
283 / 398
284 / 398
285 / 398
286 / 398
287 / 398
288 / 398
289 / 398
290 / 398
291 / 398
292 / 398
293 / 398
294 / 398
295 / 398
296 / 398
297 / 398
298 / 398
299 / 398
300 / 398
301 / 398
302 / 398
303 / 398
304 / 398
305 / 398
306 / 398
307 / 398
308 / 398
309 / 398
310 / 398
311 / 398
312 / 398
313 / 398
314 / 398
315 / 398
316 / 398
317 / 398
318 / 398
319 / 398
320 / 398
321 / 398
322 / 398
323 / 398
324 / 398
325 / 398
326 / 398
327 / 398
328 / 398
329 / 398
330 / 398
331 / 398
332 / 398
333 / 398
334 / 398
335 / 398
336 / 398
337 / 398
338 / 398
339 / 398
340 / 398
341 / 398
342 / 398
343 / 398
344 / 398
345 / 398
346 / 398
347 / 398
348 / 398
349 / 398
350 / 398
351 / 398
352 / 398
353 / 398
354 / 398
355 / 398
356 / 398
357 / 398
358 / 398
359 / 398
360 / 398
361 / 398
362 / 398
363 / 398
364 / 398
365 / 398
366 / 398
367 / 398
368 / 398
369 / 398
370 / 398
371 / 398
372 / 398
373 / 398
374 / 398
375 / 398
376 / 398
377 / 398
378 / 398
379 / 398
380 / 398
381 / 398
382 / 398
383 / 398
384 / 398
385 / 398
386 / 398
387 / 398
388 / 398
389 / 398
390 / 398
391 / 398
392 / 398
393 / 398
394 / 398
395 / 398
396 / 398
397 / 398
398 / 398
Dispositivos de rede, Componentes e Diagramas Exame CCNA 640-802 Tópicos ■ Descrever o propósito e as funções de vários dispositivos de rede. ■ Selecionar os componentes necessários para atender a uma especificação de rede. ■ Descrever os componentes necessários para comunicações de rede e Internet. ■ Interpretar diagramas de rede. ■ Diferenciar entre LAN / WAN operação e características. Pontos-chave Em seu nível mais fundamental, uma rede pode ser dividido em quatro elementos: ■ As regras ■ As mensagens ■ Os meios de comunicação ■ Os dispositivos Tópicos para hoje? S exame, vamos nos concentrar nos dispositivos usados hoje em dia? S redes, os meios utilizados para
interligar os dispositivos e os diferentes tipos de topologias de rede. Dispositivos Hubs e switches são usados para conectar dispositivos fim a uma única rede local. A seguir descreve quando usar um hub e quando usar um switch: ■ Hubs são tipicamente escolhido como um dispositivo intermediário dentro de uma LAN muito pequenos, onde a largura de banda uso não é uma questão de custos ou limitações existem. Hoje em dia? S redes, hubs estão sendo substituídos por switches. ■ Switches têm preferência sobre hubs como uma rede de área local (LAN) dispositivo intermediário, pois um switch pode domínios de colisão segmento e proporcionar maior segurança. Switches Ao escolher um switch, os principais fatores a considerar são os seguintes: ■ Custo: Determinado pelo número e tipo de portas, capacidade de gerenciamento de rede, embutidas tecnologias de segurança, e opcionais avançadas tecnologias de comutação. ■ características Interface: Número suficiente de portas para agora, assim como a expansão futura; velocidades de uplink; mistura de UTP e fibra; modularidade. ■ camada de rede hierárquica: Muda na camada de acesso têm necessidades diferentes do que muda a distribuição ou camadas do núcleo. Camada de acesso Switches Interruptores camada de acesso a facilitar a conexão de dispositivos final para a rede. Características de acesso interruptores camada incluem o seguinte: ■ Porta de segurança ■ VLANs ■ Fast Ethernet / Gigabit Ethernet ■ Power over Ethernet (PoE) ■ A agregação de link ■ Qualidade de serviço (QoS) Switches da camada de acesso do Cisco incluem o Catalyst Express 500, Catalyst 2960, Catalyst 3560, e Catalyst 3750 linhas de produtos Catalyst. Camada de switches de distribuição Interruptores camada de distribuição receber os dados dos switches camada de acesso e encaminhar os dados para a camada de núcleo switches. Características dos switches camada de distribuição incluem o seguinte: ■ Layer 3 apoio ■ taxa de transmissão de alta ■ Gigabit Ethernet Gigabit Ethernet/10 ■ componentes redundantes ■ As políticas de segurança / controle de acesso listas ■ A agregação de link
■ Qualidade de serviço (QoS) Cisco switches da camada de distribuição incluem o Catalyst 4500, Catalyst 4900 e Catalyst 6500 produto linhas. Camada de switches core Camada de núcleo interruptores formam a espinha dorsal e são responsáveis pela manipulação de a maioria dos dados sobre uma LAN comutada. Características dos switches camada do núcleo incluem o seguinte: ■ Layer 3 apoio ■ taxa de transmissão muito alta ■ Gigabit Ethernet Gigabit Ethernet/10 ■ componentes redundantes ■ A agregação de link ■ Qualidade de serviço (QoS) O Catalyst linha de produtos 6500 é ideal para switches core dedicado em ambientes de rede muito grande. Observação: Você não é obrigado a conhecer a linha de produtos Cisco Catalyst para o exame CCNA. Questões do exame são plataforma neutra. Exemplos dados aqui são apenas para fins informativos. Roteadores Roteadores são os dispositivos primários utilizados para interconectar redes? LANs, WANs, e WLANs. Quando você escolher um roteador, os principais fatores a considerar são os seguintes: ■ Expansibilidade: Fornece flexibilidade para adicionar novos módulos conforme as necessidades. ■ Media: Determina o tipo de interfaces do roteador precisa suportar a várias conexões de rede. ■ recursos do sistema operacional: Determina a versão do IOS carregado no router. IOS diferentes versões suporte conjuntos de recursos diferentes. Características a considerar incluem a segurança, QoS, VoIP, roteamento complexidade, e outros serviços. Mídia Mensagens são codificadas e então colocados na mídia. Codificação é o processo de conversão de dados em padrões de energia elétrica, luz ou eletromagnéticas para que ele possa ser realizado na mídia. Tabela 31-1 resume as três meios de rede mais comum em uso hoje. Mídia tabela 31-1 Networking Exemplo de codificação de mídia De cobre de par trançado cabo normalmente usado como tensões LAN media Elétrica Fibra de vidro ou fibras ópticas de plástico em um revestimento de vinil normalmente usado ondas eletromagnéticas para corridas longas em uma LAN e como um tronco Sem fio conecta os usuários locais através das ondas eletromagnéticas do ar Cada tipo de mídia tem suas vantagens e desvantagens. Quando você escolhe
a mídia, considerar cada das seguintes opções: ■ Comprimento do cabo: Será que o cabo precisa abranger toda uma sala ou de prédio em prédio? ■ Custo: Será que o orçamento permitir o uso de um tipo de mídia mais caro? ■ Largura de banda: Será que a tecnologia usada com a mídia fornecer largura de banda é adequada? ■ Facilidade de instalação: A equipe de implementação têm a capacidade de instalar o cabo, ou é um fornecedor exigido? ■ Suscetível a EMI / RFI: É o ambiente local vai interferir com o sinal? Dia 31 5 Tabela 31-2 resume padrões de mídia para cabeamento LAN. Tabela 31-2 mídia padrão, comprimento do cabo, e largura de banda Tipo de Ethernet de banda cabo Distância Máxima Tipo 10BASE-T 10 Mbps Cat3/Cat5 UTP 100 m 100BASE-TX 100 Mbps Cat5 UTP 100 m 100BASE-TX 200 Mbps Cat5 UTP 100 m 100BASE-FX multimodo de fibra 100 Mbps 400 m 100BASE-FX multimodo de fibra 200 Mbps 2 km 1000BASE-T 1 Gbps Cat5e UTP 100 m 1000BASE-TX UTP Cat6 1 Gbps 100 m 1000BASE-SX 1 Gbps de fibra multimodo 550 m 1000BASE-LX 1 Gbps A fibra monomodo 2 km 10GBASE-T 10 Gbps Cat6a/Cat7 UTP 100 m 10GBASE-SX4 10 Gbps de fibra multimodo 550 m 10GBASE-LX4 10 Gbps A fibra monomodo 2 km Dispositivos finais são aqueles equipamentos que são ou fonte original ou o destino final de uma mensagem. Dispositivos intermediários conectar dispositivos final à rede para auxiliar na obtenção de um mensagem do dispositivo final de origem para o destino final do dispositivo. Dispositivos de conexão em uma LAN é normalmente feito com cabeamento de par trançado não blindado (UTP). Embora muitos dispositivos mais novos têm uma característica de cruzamento automático que permite que você conecte ou um straight-through ou crossover, a maioria dos dispositivos atualmente exigem o uso de um ou outras. Use cabos straight-through para as seguintes conexões: ■ Mudar para router Ethernet ■ Computer para alternar ■ Computador para hub Use cabo crossover para as seguintes conexões: ■ Alternar para alternar ■ Mudar para hub ■ Hub para hub ■ Router para router (portas Ethernet) ■ computador para computador
■ Computador para router Ethernet 6 31 dias antes de seu exame CCNA LANs e WANs Uma rede de área local (LAN) é uma rede de computadores e outros componentes localizados relativamente juntos em uma área limitada. LANs podem variar muito de tamanho de um computador em um escritório em casa para centenas de computadores em um escritório corporativo, no entanto, em geral, uma LAN abrange uma área geográfica limitada área. Os componentes fundamentais de uma LAN incluem o seguinte: ■ Computadores ■ Interligações (NICs e os meios de comunicação) ■ Os dispositivos de rede (hubs, switches e roteadores) ■ Protocolos (Ethernet, IP, ARP, DHCP, DNS e assim por diante) Uma rede de área ampla (WAN) geralmente se conecta redes locais que estão geograficamente separados. Uma coleção de LANs ligadas por um ou mais WANs é chamado de internetwork-assim, temos a Internet. A intranet termo é usado frequentemente para se referir a uma conexão privada de LANs e WANs. Dependendo do tipo de serviço, a conexão com a WAN é normalmente feito em uma das quatro maneiras: ■ conexão RJ-11 para uma conexão discada ou modem DSL ■ conexão coaxial cabo a um modem a cabo ■ conexão 60 pinos de série para um CSU / DSU ■ Ligação Controlador RJ-45 para um T1 CSU / DSU Com o crescente número de teletrabalhadores, as empresas têm uma necessidade crescente de seguro, confiável e de baixo custo maneiras de conectar pessoas que trabalham em pequenos escritórios ou escritórios domésticos (SOHO) ou outros locais remotos aos recursos em sites corporativos. Tecnologias de conexão remota para apoiar teletrabalhadores são os seguintes: ■ tradicional privada tecnologias WAN, incluindo Frame Relay, ATM, e de linhas alugadas ■ IPsec redes privadas virtuais (VPNs) ■ de acesso remoto VPN segura através de uma conexão de banda larga através da Internet pública Componentes necessários para teletrabalhador conectividade incluem o seguinte: ■ Início componentes de escritório: Computador, acesso de banda larga (cabo ou DSL), e um roteador VPN ou VPN software cliente instalado no computador. ■ componentes Corporativa: VPN-capaz roteadores, concentradores de VPN, multifunções de segurança aparelhos, autenticação e dispositivos de gerenciamento central para a agregação resiliente e rescisão das conexões VPN. Ícones de redes
Antes de poder interpretar diagramas de rede ou topologias, você primeiro deve entender os símbolos ou ícones usados para representar diferentes dispositivos de rede e mídia. Os ícones mostrados na Figura 31-1 são os símbolos de rede mais comum para estudos de CCNA. Dia 31 7 Figura 31-1 Ícones Networking 8 31 dias antes de seu exame CCNA área de trabalho computador LAN mídia WAN mídia sem fio mídia router laptop servidor Telefone IP Switch LAN sem fio router firewall cubo (suplente) sem fio Ponto de Acesso Físicas e topologias lógicas Diagramas de rede são mais frequentemente referida como topologias. A
topologia apresenta graficamente os métodos de interconexão entre dispositivos usados. Topologias físicas se referem ao layout físico de dispositivos e como eles são por cabo. há sete topologias físicas básicas, como mostrado na Figura 31-2. Figura 31-2 Física Topologias Ponto-a-Ponto bus malha full mash malha parcial partion mash anel estrela Estrela estendida Topologias lógicas se referem à forma de um sinal viaja de um ponto da rede para outro e são em grande parte determinado pelo método de acesso determinístico ou não determinístico. Ethernet é um não-determinístico método de acesso. Logicamente, Ethernet opera como uma topologia de barramento. No entanto, Ethernet redes são quase sempre fisicamente concebido como uma estrela ou em estrela estendida. Outros métodos de acesso usar um método de acesso determinístico. Token Ring e Fiber Distributed Data Interface (FDDI), tanto logicamente operar como anel, passando os dados de uma estação para a outra. Embora essas redes podem ser concebidas como um anel físico, como Ethernet, são muitas vezes concebido como uma estrela ou estrela estendida. Mas, logicamente, eles operam como um anel. O modelo de rede hierárquica Projeto de rede hierárquica envolve dividir a rede em camadas discretas. Cada camada fornece funções específicas que definem o seu papel dentro da rede global. Ao separar
as várias funções que existem em uma rede, o projeto da rede torna-se modular, o que facilita a escalabilidade e desempenho. O modelo de design hierárquico é dividida em três camadas da seguinte forma: ■ camada de Acesso: Permite o acesso de usuários locais e remotos ■ camada de Distribuição: Controla o fluxo de dados entre o acesso e as camadas de núcleo ■ Núcleo camada: backbone de alta velocidade redundantes Figura 31-3 mostra um exemplo de modelo hierárquico. Figura 31-3 O Modelo Hierárquico Dia 31 9 WAN Internet Telefone Rede Núcleo Distribuição Acesso Acesso
A Enterprise Architecture A Cisco Enterprise Architecture é projetada para fornecer os planejadores de rede com um roteiro para a rede crescimento como o negócio se move através de estágios diferentes. Seguindo o roteiro sugerido, os gerentes de TI pode planejar para futuras atualizações da rede que vai integrar perfeitamente na actual rede e suporte a necessidade cada vez maior de serviços. A Cisco Enterprise Architecture consiste dos seguintes módulos: ■ Arquitetura Campus Enterprise: Refere-se a um grupo de edifícios que contêm muitos LANs. ■ Arquitetura Borda Enterprise: Oferece conectividade para voz, vídeo e dados de e para o serviço prestadores de serviços. ■ Arquitetura Branch Enterprise: Estende a aplicações e serviços dentro do campus para vários locais remotos. ■ Enterprise Data Center Arquitetura: Gerencia e mantém sistemas de dados da empresa (Tais como fazendas de seu servidor). ■ Empresa Teleworker Arquitetura: Conecta escritórios empregado em casa e "guerreiros de estrada" para os recursos de rede da empresa. Figura 31-4 mostra uma representação gráfica do Enterprise Architecture Cisco e como cada
módulo de interconexões. Figura 31-4 Módulos da Arquitetura Corporativa 10 31 Dias antes de seu exame CCNA Construção de acesso Campus da empresa Borda da empresa A Enterprise Architecture Distribuição de construção Campus Núcleo Server Farm e Data Center Rede Gestão E-Commerce Internet Conectividade WAN e MAN Site a site VPN Acesso Remoto e VPN WAN e Internet Filial da empresa Dados da empresa Centro Empresa Teletrabalhador Quadro Relay, ATM, Homem .... PSTN A ISP ISP B Figura 31-5 mostra um diagrama de rede representando a maioria dos módulos do Enterprise Architecture em um exemplo de implementação do Enterprise Architecture-the Enterprise Data Center é excluída. Observe como as três camadas do modelo hierárquico (acesso, distribuição e núcleo) são integrados para a Arquitetura Enterprise.
Documentação de rede Documentação para a sua rede deve incluir, no mínimo, as seguintes categorias principais: ■ Router e documentação switch: Inclui tipo de dispositivo, a imagem IOS, localização, hostname,
endereços e outras informações importantes. ■ Fim do sistema de documentação: Inclui nomes de dispositivo, sistema operacional, detalhes de endereçamento, impacto na rede (tais como o uso da banda). ■ diagrama de topologia de rede: Inclui todos os dispositivos e mostra as conexões, bem como a designações de interface e esquema de endereçamento. Mais frequentemente do que não, a documentação de uma rede é menor do que completa. Para completar a documentação, você pode ter que recolher informação directamente a partir dos dispositivos. Comandos que são úteis para esse processo incluem o seguinte: ■ ping: Testes de conectividade direta entre dois dispositivos ■ telnet: Testes de acesso remoto, bem como Layer 7 funcionalidade ■ show interface ip breve: Verifica status da interface ■ show ip route: Verifica operações de roteamento ■ mostrar detalhes vizinho cdp: Reúne informações úteis sobre Cisco conectados diretamente dispositivos Recursos estudo Para os temas de hoje do exame, consulte os seguintes recursos para mais estudo. Recurso Tópico Capítulo Onde Encontrá-las Recursos fundacional CCNA Exploration Capítulo 1, "Viver em uma Rede como um Seção 3.2 Curriculum on-line: Network Centric-World Plataforma " Fundamentos de rede Capítulo 2, a plataforma para as secções "Comunicar sobre Comunicações 2.1.3-2.1.6 a Rede "LANs, WANs e Internetworks Seção 2.2 Capítulo 10, "Planejamento de LANs: Fazendo o ponto 10.1 Redes e Cabeamento Connection "Physical LAN e WAN: Getting Seção 10.2.1 Conectado CCNA Exploration Capítulo 1, "Viver em uma Rede como Plataforma pp 10-16 Fundamentos de rede Rede Centric-World " Companion Guia Capítulo 2, "Comunicando A Plataforma de Comunicações pp. 37-40 Através da Rede "LANs, WANs e Internetworks pp. 41-44 Capítulo 10, "Planejamento e LANs: Fazendo o pp. 368-373 Redes de cabeamento de conexão "Physical LAN e WAN: Getting pp. 374-388 Connected CCNA Exploration Capítulo 1, "LAN Design" Switched LAN Seção 1.1 Curriculum on-line: Arquitetura LAN Switching Switches Matching a Seção 1.2 e Wireless LAN Funções Específicas CCNA Exploration LAN Capítulo 1, "LAN Design" Switched LAN Arquitetura pp 2-15 Switching e Wireless Switches Correspondência para
Companion Guia de Funções específicas LAN pp 15-39 CCNA Exploration Capítulo 1, "Introdução Fornecer Seção Integrada 1,1 Curriculum on-line: a WANs "Serviços às Empresas Acessando a WAN Capítulo 6, "Negócio Teleworker Seção Requisitos 6,1 Serviços "para Teleworker Serviços Capítulo 8, Rede "Estabelecer a Seção de Rede 8,1 Linha de Base de Desempenho solução de problemas " CCNA Exploration Capítulo 1, "Introdução Fornecer pp Integrada 17/03 Acessando a WAN para WANs "Serviços à Empresa Companion Guia Capítulo 6, "Requisitos de Negócio para Teleworker pp. 379- 384 Serviços "Teleworker Serviços Capítulo 8, "Estabelecendo a Rede pp. 526-541 Rede Linha de Base de Desempenho solução de problemas " ICND1 Exame Oficial Capítulo 1, "Introdução Todos os temas dentro do capítulo pp 5-15 Guia de certificação para Redes de Computadores Conceitos " ICND1 Autorizado Capítulo 1, "A construção de uma Explorando as Funções pp 3-21 Self-Study Guia de Rede Simples "da Rede Suplementar Recursos CCNA ICND1 e Flash Cards, Seção 1 Construir uma rede simples pp 4-36 Pacote Practice Exam
Dia 30 Modelos de rede e aplicativos Exame CCNA 640-802 Tópicos ■ Descrever aplicações comuns de rede, incluindo aplicações web. ■ Descrever a finalidade e funcionamento básico dos protocolos nos modelos OSI e TCP. ■ Descrever o impacto de aplicações (Voz sobre IP e Vídeo sobre IP) em uma rede. Pontos-chave
Como um novo aluno ao trabalho em rede, um dos temas primeiro você provavelmente aprendeu foi a camadas de o OSI e TCP / IP modelos. Agora que você já completou seus estudos e estão revendo para o Exame CCNA, você mais do que provavelmente pode ver a vantagem de usar esses modelos. Cada ajuda o nosso entendimento de redes em seu próprio caminho. Hoje fazemos uma revisão da OSI e TCP / IP modelos, bem como a aplicações e protocolos que são comumente usados em redes. O OSI e TCP / IP Modelos Para entender como a comunicação ocorre através da rede, usamos modelos em camadas como uma estrutura para representar e explicar conceitos e tecnologias de rede. Modelos de rede fornecer uma variedade de benefícios: ■ Reduza a complexidade ■ Padronizar as interfaces ■ Assist compreensão ■ Promover o rápido desenvolvimento de produto ■ Suporte a interoperabilidade ■ Facilitar engenharia modular Inicialmente, as redes foram construídas em padrões proprietários e hardware. Modelos em camadas, como o TCP / IP e os modelos OSI, interoperabilidade entre as linhas de produtos concorrentes do fornecedor. O desenvolvimento do modelo OSI começou na década de 1970 com o objetivo de fornecer uma suíte baseada em padrões de protocolos que permitem a comunicação entre todos os sistemas de computador. Embora o governo dos EUA necessário o uso de produtos OSI na década de 1980 e 1990, o Defense Advanced Research Agência de Projetos (DARPA) com o Departamento de Defesa e com a ajuda de pesquisadores da várias universidades, tinha desenhado o modelo de concorrentes TCP / IP. Por várias razões, incluindo a popularidade do TCP / IP, em 1983 a ARPANET tinha escolhido o TCP / IP como seu protocolo de terno princípio. Por 1994, todas as agências do governo dos EUA foram obrigados a mudar ao longo do OSI para protocolos TCP / IP. Hoje, usamos o modelo OSI principalmente como uma ferramenta para explicar conceitos de rede. No entanto, os protocolos da suíte TCP / IP são as regras pelas quais as redes operam agora. Porque ambos os modelos são importantes, você deve ser bem versado em camadas de cada modelo assim como os modelos de mapa
uns aos outros. Figura 30-1 resume os dois modelos. Figura 30-1 O OSI e TCP / IP Modelos 14 31 Dias antes de seu exame CCNA Modelo OSI Aplicação Apresentação Sessão Transporte Rede Data Link Físico Modelo TCP / IP Aplicação Transporte Internet Acesso à Rede Ela pode ser confuso utilizando dois modelos. No entanto, esta regra simples
pode ajudar. Ao discutir as camadas de um modelo, que são geralmente referindo-se ao modelo OSI. Ao discutir protocolos, que são normalmente referindo-se ao modelo TCP / IP. Então, vamos rever rapidamente as camadas OSI e os protocolos TCP / IP. Camadas OSI Tabela 30-1 resume as camadas do modelo OSI e fornece uma breve descrição funcional. A tabela 30-1 OSI Camadas Modelo e Funções Camada Descrição Funcional Aplicação (7) Refere-se às interfaces entre a rede eo software de aplicação. Inclui também a autenticação serviços. Apresentação (6) Define o formato e organização de dados. Inclui criptografia. Sessão (5) Estabelece e mantém ponta a ponta-flows bidirecional entre endpoints. Inclui gestão dos fluxos de transações. Transporte (4) Fornece uma variedade de serviços entre dois computadores host, incluindo o estabelecimento de conexão e terminação, controle de fluxo, recuperação de erros, e segmentação de dados de grande porte blocos em partes menores para a transmissão. Rede (3) Refere-se a abordar lógica, roteamento e determinação do caminho. De enlace de dados (2) Formatos de dados em quadros apropriados para a transmissão em algum meio físico. Define regras para quando o meio pode ser usado. Define meio pelo qual a reconhecer erros de transmissão. Física (1) Define os conectores elétricos, ópticos, cabos, e os detalhes processuais exigidos para bits de transmissão, representado por alguma forma de energia que passa através de um meio físico. A frase mnemônica a seguir, onde a primeira letra representa a camada ("A" representa a "Aplicação") pode ser útil para memorizar o nome ea ordem das camadas de cima para baixo. Todas as pessoas parecem precisar de Processamento de Dados Camadas TCP / IP e protocolos O modelo TCP / IP define quatro categorias de funções que devem ocorrer para que as comunicações sejam bem sucedida. A maioria dos modelos de protocolo descrever um fornecedor específico pilha de protocolo. No entanto, porque a TCP / IP modelo é um padrão aberto, uma empresa não tem controle sobre a definição do modelo. Tabela 30-2 resume as camadas TCP / IP, suas funções, e os protocolos mais comuns. Tabela 30-2 As funções TCP / IP Camada
TCP / IP Protocolos de Camada Exemplo Função Representa a aplicação de dados para o usuário e DNS, Telnet, SMTP, POP3, IMAP, controles de diálogo. DHCP, HTTP, FTP, SNMP Transporte Suporta a comunicação entre os diversos TCP, UDP dispositivos através de redes diferentes. Internet Determina o melhor caminho através da rede. IP, ARP, ICMP Controla o acesso à rede os dispositivos de hardware e mídia que Ethernet, Frame Relay compõem a rede. Nos próximos dias, vamos rever esses protocolos em mais detalhes. Por agora, uma breve descrição do principais protocolos TCP / IP segue: ■ Domain Name System (DNS): Fornece o endereço IP de um nome de site ou domínio para um host pode se conectar a ele. ■ Telnet: Permite aos administradores efetuar login em um host de um local remoto. ■ Simple Mail Transfer Protocol (SMTP), Post Office Protocol (POP3) e Internet Message Access Protocol (IMAP): Usado para enviar mensagens de e-mail entre clientes e servidores. ■ Dynamic Host Configuration Protocol (DHCP): Atribui endereçamento IP para solicitar clientes. ■ Hypertext Transfer Protocol (HTTP): Utilizado para transferência de informações entre clientes e web servidores web. ■ File Transfer Protocol (FTP): Permite que o download e upload de arquivos entre um servidor FTP cliente e servidor FTP. ■ Simple Network Management Protocol (SNMP): Usado por sistemas de gerenciamento de rede para dispositivos monitor conectado à rede. ■ Transmission Control Protocol (TCP): Permite conexões virtuais entre os hosts da rede para fornecer uma entrega confiável de dados. ■ User Datagram Protocol (UDP): Permite mais rápido, a entrega confiável de dados que seja leve ou sensíveis ao tempo. Internet Protocol (IP): Fornece um endereço único global para os computadores para se comunicar através da rede. ■ Address Resolution Protocol (ARP): Localiza uma série de endereços de hardware, quando apenas o IP endereço é conhecido. ■ Internet Control Message Protocol (ICMP): Usado para enviar mensagens de erro e controle incluindo a acessibilidade para outro host e disponibilidade dos serviços. ■ Ethernet: O mais popular padrão de LAN para a formulação e preparação de
dados para transmissão para a mídia. ■ Frame Relay: Também um padrão de enquadramento, uma das tecnologias mais cost-effective WAN usado para conectar LANs. Unidades de protocolo de dados e encapsulamento Como os dados do aplicativo é transmitido a pilha de protocolos sobre a sua maneira de ser transmitidos através da rede meios de comunicação, vários protocolos adicionar informações a ele em cada nível. Isto é comumente conhecido como o processo de encapsulamento. A estrutura de dados em qualquer camada é chamada de um protocolo dados unidade (PDU). Tabela 30-3 lista as PDUs em cada camada do modelo OSI. Tabela 30-3 PDUs em cada camada do modelo OSI OSI Layer PDU Dados de Aplicativos apresentação dos dados Dados da sessão Segmento de transporte Packet rede Ligação de dados de quadro Bits física O processo de comunicação de qualquer origem para qualquer destino pode ser resumida com as seguintes passos: 1. Criação de dados na camada de aplicação do dispositivo fonte de origem final 2. Segmentação e encapsulamento de dados à medida que passa para baixo da pilha de protocolos na fonte dispositivo final 3. Geração dos dados para a mídia na camada de acesso de rede da pilha 4. Transporte dos dados através da rede, que consiste em meios de comunicação e qualquer intermediário dispositivos
5. Recepção dos dados na camada de acesso de rede do dispositivo de destino final 6. Decapsulation e remontagem dos dados à medida que passa a pilha no dispositivo de destino 7. Passar esses dados para a aplicação de destino na camada de aplicação do destino final dispositivo Crescimento de aplicações baseadas em rede Além de todas as aplicações comuns em redes discutimos estudos, programadores e empreendedores aplicações são continuamente em desenvolvimento para tirar proveito dos recursos de rede e os Internet. Hoje, as pessoas a criar, armazenar e acessar informações, bem como comunicar com os outros em a rede usando uma variedade de aplicações. Além do tradicional e-mail e navegador web aplicações, as pessoas estão usando cada vez mais novas formas de comunicação, incluindo mensagens instantâneas, blogs, podcasting, compartilhamento de arquivos peer-to-peer, wikis e ferramentas de colaboração que permitem a visualização e trabalhar em documentos simultaneamente. A indústria de jogos on-line tem crescido exponencialmente ao longo dos últimos anos. Todas estas aplicações e experiências on-line colocam demandas grande no infra-estrutura de rede e recursos. Uma maneira de lidar com o grande volume de dados é a classificação de pacotes com base na qualidade do serviço que o aplicativo de origem necessidades, especialmente considerando o maior utilização da rede em geral, e do recente aumento de voz e vídeo aplicações que têm uma tolerância muito baixa para o atraso e jitter. Qualidade de Serviço A prioridade e nível de serviço garantida para o fluxo de dados através da rede é cada vez mais importante quanto as novas aplicações lugar maiores exigências sobre a capacidade de processamento e largura de banda do redes que usamos. Quando colocamos uma chamada por um telefone IP, queremos, pelo menos, como um serviço bom como nós receber em uma linha de terra tradicional. Portanto, as redes precisam usar a qualidade de serviço (QoS) mecanismos assegurar que os recursos de rede limitada são priorizados com base no conteúdo do tráfego. Sem QoS implementação, uma mensagem de e-mail ou solicitação de página web cruzar um switch ou um roteador terá a mesma prioridade que o tráfego de voz ou vídeo. Cada tipo de aplicação pode ser analisado em termos de seus requisitos de QoS na rede, então se o rede atende a esses requisitos, o aplicativo irá funcionar bem. Uso da Rede aumento
Aplicações tendem a aumentar a necessidade de mais largura de banda, enquanto exigindo menor atraso. Aqui estão alguns dos tipos de aplicações de dados que entraram no mercado e seu impacto na rede: ■ Gráficos com capacidade de terminais e impressoras: Aumentou os bytes necessários para a mesma interação como os terminais antigos baseados em texto e impressoras. ■ transferências de arquivos: Introduzida volumes muito maiores de dados, mas sem tempo de resposta significativa requisitos. ■ servidores de arquivos: Permite aos usuários armazenar arquivos em um servidor, que pode exigir um grande volume de transferência de dados, mas com um muito menor requisito de tempo de resposta do usuário final. ■ maturação da tecnologia de banco de dados: Fazendo uma vasta quantidade de dados disponíveis para casuais usuários, aumentando tremendamente o número de usuários que querem acesso aos dados. ■ A migração de aplicações comuns aos navegadores web: Incentiva mais usuários para acesso a dados. ■ O crescimento do e-mail: A aceitação geral de ambas as comunicações de e- mail como uma pessoal e empresarial serviço aumentou consideravelmente a quantidade de tráfego de e-mail. ■ A comercialização rápida da Internet: permitindo que as empresas para oferecer os dados diretamente para seus clientes através da rede de dados em vez de através de telefonemas. Dia 30 17 Avaliar O Impacto da Voz e Vídeo na Rede Atualmente, voz e vídeo estão no meio de uma migração dos tradicionais redes de dados IP. antes o final dos anos 1990, voz e vídeo usados instalações de redes separadas. A maioria das empresas hoje são , migrando ou pretende migrar para telefones IP, que passam dados de voz através da rede de dados dentro de pacotes IP utilizando protocolos de aplicação geralmente referidos como voz sobre IP (VoIP). Figura 30-2 mostra alguns detalhes de como VoIP funciona a partir de uma conexão de Internet em casa de alta velocidade, com um adaptador de voz genéricos (VA) converter o sinal analógico de um telefone normal a um IP pacote. Figura 30-2 Conversão de Som para pacotes com um VA
VoIP não coloca uma demanda na rede para capacidade adicional. Uma chamada de voz geralmente consome menos de 30 kbps de largura de banda. No entanto, VoIP é sensível ao jitter, atraso, e perda de pacotes: ■ atraso Low: VoIP requer um atraso muito baixa entre o telefone envio e recebimento telefone normalmente menos de 200 milissegundos (0,2 segundo). Isso é um atraso muito menor do que o que é exigido por aplicações típicas de dados. ■ jitter Baixa: Jitter é a variação de atraso. VoIP requer jitter muito baixos, bem como, enquanto os dados aplicações podem tolerar jitter muito maior. Por exemplo, o jitter para os pacotes consecutivos VoIP não deve exceder 30 milisegundos (0,03 segundo) ou a qualidade se degrada. ■ Perda: Se um pacote VoIP é perdida em trânsito devido a erro, porque um router não tem espaço para armazenar o pacote enquanto espera para enviá-la, a perda de pacotes de VoIP não é retransmitido através da rede. Pacotes perdidos pode soar como uma pausa no som da chamada VoIP. Vídeo sobre IP tem o mesmo desempenho que as questões de voz. No entanto, o vídeo requer largura de banda muito mais em qualquer lugar a partir de 300 kbps a 10 Mbps, dependendo da qualidade exigida. Para suportar os requisitos de QoS de voz, vídeo e outros de qualidade ou de aplicações sensíveis ao tempo, roteadores e switches podem ser configurados com uma variedade de ferramentas de QoS. Essas configurações são além do escopo dos tópicos do exame CCNA.
Dia 29 Fluxo de dados de rede de ponta a ponta Exame CCNA 640-802 Tópicos ■ Use o OSI e TCP / IP modelos e seus protocolos associados para explicar como os dados fluem em um rede. ■ Determinar o caminho entre dois hosts em uma rede. ■ Identificar e corrigir problemas comuns de rede nas camadas 1, 2, 3 e 7 usando um modelo em camadas abordagem. Pontos-chave Os tópicos do exame para o dia de hoje cobrem uma vasta gama de conteúdo. Grande parte da revisão de hoje é uma rápida resumo das camadas TCP / IP e suas operações como os dados são enviados da origem para o destino. Muitos dos pontos-chave serão desenvolvidos de forma mais completa nos próximos dias. No entanto, este é o único dia iremos discutir o funcionamento da camada de transporte. Então, vamos gastar um pouco de tempo na Transmission Control Protocol (TCP) eo User Datagram Protocol (UDP). Vamos também rever metodologias básicas solução de problemas. A camada de aplicação TCP / IP A camada de aplicação do modelo TCP / IP fornece uma interface entre software, como uma teia browser, e da própria rede. O processo de solicitação e recebimento de uma página web funciona como o seguinte: 1. HTTP requisição enviada, incluindo uma instrução para "pegar" um arquivo, que é muitas vezes em casa de um Web site página. 2. Resposta HTTP enviado do servidor web com um código no cabeçalho, geralmente ou 200 (Solicitação de sucesso e as informações são retornadas em resposta) ou 404 (página não encontrada). A solicitação HTTP ea resposta HTTP são encapsulados em cabeçalhos. O conteúdo dos cabeçalhos permite que as camadas de aplicação em cada dispositivo final para se comunicar. Independentemente da aplicação camada de protocolo (HTTP, FTP, DNS e assim por diante), todos usam o mesmo processo geral de comunicação entre as camadas de aplicação nos dispositivos finais. A Camada de Transporte TCP / IP A camada de transporte, através de TCP, oferece um mecanismo para garantir a entrega de dados através da rede. TCP suporta a recuperação de erro para a camada de aplicação através do uso de reconhecimento básico lógica. Somando-se o processo para solicitar uma página web, a operação TCP funciona assim:
1. Cliente da Web envia uma solicitação HTTP para um servidor web específico para a camada de transporte. 2. TCP encapsula a solicitação HTTP com um cabeçalho TCP. 3. Camadas inferiores do processo e enviar a solicitação para o servidor web. 4. Servidor web recebe pedidos HTTP e envia uma confirmação TCP volta ao solicitante cliente web. 5. Servidor Web envia a resposta HTTP para a camada de transporte. 6. TCP encapsula os dados HTTP com um cabeçalho TCP. 7. Camadas inferiores do processo e enviar a resposta para o cliente web requerente. 8. Solicitando cliente da Web envia confirmação de volta para o servidor web. Se os dados são perdidos a qualquer momento durante esse processo, é trabalho de TCP para recuperar os dados. HTTP na camada de aplicação não se envolve na recuperação de erros. Além de TCP, a camada de transporte fornece UDP-um protocolo sem conexão, não confiável para envio de dados que não requer nem necessidade de recuperação de erros. Tabela 29-1 lista as principais características suportadas pelos protocolos de transporte. O primeiro item é suportado pelo TCP e UDP. Os restantes itens são suportados apenas pelo TCP. Tabela 29-1 TCP / IP Camada de Transporte Features Descrição da função Multiplexação usando as portas Função que permite que os hosts receber a escolher a correta aplicação de qual os dados são destinados, com base no número de porta de destino. Processo de recuperação de erro (confiabilidade) de numeração e reconhecer dados com seqüência e Campos de cabeçalho do reconhecimento. Controle de fluxo usando o processo que usa um tamanho de janela deslizante que é dinamicamente concordou janelas pelos dois dispositivos finais em vários pontos durante a conexão virtual. O tamanho da janela, representada em bytes, é a quantidade máxima de dados a fonte irá enviar antes de receber uma confirmação do destino. Processo de criação de conexão usada para inicializar os números de porta, Seqüência e Reconhecimento e terminação campos. Ordenou a transferência de dados e fluxo contínuo de bytes de um processo da camada superior que é segmentação de dados "segmentada" para a transmissão e entregue à camada superior de processos na dispositivo de recepção, com os bytes na mesma ordem. TCP Header TCP fornece a recuperação de erro, mas a fazê-lo, ele consome mais largura de banda e usa mais processamento ciclos de UDP. TCP e UDP depende de IP para o fim-de-final de entrega. TCP está preocupado com o fornecimento de
serviços para as aplicações do envio e recebimento de computadores. Para fornecer todos estes serviços, TCP utiliza uma variedade de campos em seu cabeçalho. Figura 29-1 mostra os campos do cabeçalho TCP. 22 31 Dias antes de seu exame CCNA Números de porta Os dois primeiros campos do cabeçalho TCP-fonte e destino portas também são parte do cabeçalho UDP mostrado mais adiante na Figura 29-6. Números de porta TCP fornecer (e UDP) uma forma de aplicações múltiplas multiplex no mesmo computador. Navegadores Web agora suportam múltiplas abas ou páginas. Cada vez que você abrir um nova guia e solicitar outra página web, TCP atribui um número de porta fonte diferente e às vezes múltiplos números de porta. Por exemplo, você pode ter cinco páginas web abertas. TCP quase sempre atribuir destino a porta 80 para todas as cinco sessões. No entanto, a porta de origem para cada um será diferente. Isto é como TCP (e UDP) multiplexes a conversa para que o navegador web sabe em qual guia para mostrar os dados. Portas de origem são geralmente atribuídos dinamicamente pelo TCP e UDP a partir do intervalo de partida de 1024. porto Números abaixo de 1024 são reservados para aplicações bem conhecidas. Tabela 29-2 listas de várias aplicações populares e seus números de porta bem conhecidos. Tabela 29-2 aplicações populares e seus números Well-Known Porto
Recuperação de erro Também conhecido como confiabilidade, o TCP fornece a recuperação de erro durante as sessões de transferência de dados entre dois end dispositivos que estabeleceram uma conexão. A seqüência e os campos de reconhecimento no TCP cabeçalho são usados para monitorar cada byte de transferência de dados e garantir que os bytes faltando são retransmitidos. Na Figura 29-2, o campo de confirmação enviado pelo cliente web (4000) implica o próximo byte a ser recebidos; isso é chamado de reconhecimento para a frente. Figura 29-2 Reconhecimento TCP sem erros 24 31 Dias antes de seu exame CCNA Figura 29-3 mostra o mesmo cenário, só que agora temos alguns erros. O segmento TCP segunda foi perdida na transmissão. Portanto, as respostas do cliente web com um campo de ACK definido para 2000. o servidor web irá agora reenviar os dados a partir de segmento de 2000. Desta forma, os dados perdidos são recuperados.
Embora não seja mostrado, o servidor web também define um timer de retransmissão, aguardando reconhecimento, apenas no caso de o reconhecimento for perdido ou todos os segmentos transmitidos são perdidos. Se esse tempo expirar, o servidor web envia todos os segmentos de novo. Controle de Fluxo Controle de fluxo é tratado pelo TCP através de um processo chamado de janelas. Os dois dispositivos final negociar o tamanho da janela quando inicialmente estabelecer a ligação, então eles dinamicamente renegociar tamanho da janela durante a vida da conexão, aumentando seu tamanho até que atinja o máximo tamanho da janela de 65.535 bytes ou até que os erros ocorrem. Tamanho da janela é especificado no campo da janela o cabeçalho TCP. Depois de enviar a quantidade de dados especificados no tamanho da janela, a fonte deve receber uma confirmação antes de enviar o tamanho da janela seguinte de dados. Estabelecimento de conexão e Terminação Estabelecimento da conexão é o processo de seqüência de inicialização e campos de reconhecimento e concordando em números de porta e tamanho da janela. As três vias fase de estabelecimento da conexão mostrado na Figura 29-4 deve ocorrer antes que a transferência de dados pode prosseguir.
Na figura, dport e SPORT são o destino e portas de origem. SEQ é o número de seqüência. Em negrito são SYN e ACK, que representam cada uma bandeira 1-bit no cabeçalho TCP usado para sinalizar estabelecimento da conexão. TCP inicializa o número de seqüência e número de Reconhecimento campos para qualquer número que se encaixa nos campos de 4 bytes. Após a transferência de dados estiver concluída, um quatro-way seqüência de terminação ocorre que usa um adicional bandeira, chamado o bit FIN, como mostrado na Figura 29-5. UDP TCP estabelece e termina as conexões entre os terminais, enquanto que o UDP não. portanto, UDP é chamado de um protocolo sem conexão. Não fornece confiabilidade, sem janelas, sem reordenamento das os dados, e não segmentação de grandes blocos de dados no tamanho certo para a transmissão. No entanto, UDP não fornece transferência de dados e números de porta usando multiplexação, e fá-lo com menos bytes de overhead de processamento e menos do que o TCP. Aplicativos que usam UDP são aqueles que podem negociar a possibilidade de alguma perda de dados por menos de atraso, como VoIP. Figura 29-6 compara os dois cabeçalhos.
A camada de Internet TCP / IP A camada Internet do modelo TCP / IP e seu Protocolo de Internet (IP) define os endereços de modo que cada computador host pode ter um endereço IP diferente. Além disso, a camada de Internet define o processo de roteamento de modo que os roteadores podem determinar o melhor caminho para enviar pacotes para o destino. Continuando com o exemplo da página web, endereços IP os dados à medida que passa da camada de transporte para o Camada de Internet: 1. Cliente da Web envia uma solicitação HTTP. 2. TCP encapsula a requisição HTTP. 3. IP encapsula o segmento de transporte em um pacote, acrescentando endereços de origem e destino. 4. Camadas inferiores do processo e enviar a solicitação para o servidor web. 5. Servidor web recebe pedidos HTTP e envia uma confirmação TCP volta ao solicitante cliente web. 6. Servidor Web envia a resposta HTTP para a camada de transporte. 7. TCP encapsula os dados HTTP. 8. IP encapsula o segmento de transporte em um pacote, acrescentando endereços de origem e destino. 9. Camadas inferiores do processo e enviar a resposta para o cliente web requerente. 10. Solicitando cliente da Web envia confirmação de volta para o servidor web. A operação de IP inclui não só tratar, mas também o processo de roteamento os dados do origem para o destino. IP vai ser discutido e revisto nos próximos dias. O TCP / IP Camada de Acesso à Rede IP depende da camada de acesso à rede para entregar pacotes IP através de uma rede física. Portanto, a camada de acesso de rede define os protocolos e hardware necessários para entregar os dados através de alguns rede física, especificando exatamente como conectar fisicamente um dispositivo de rede para o físico
mídia sobre os quais dados podem ser transmitidos. A camada de acesso de rede inclui um grande número de protocolos para lidar com os diferentes tipos de media que os dados podem cruzar no seu caminho de dispositivo de origem para dispositivo de destino. Por exemplo, dados Talvez seja necessário primeira viagem em um link Ethernet, então atravessar um Ponto a Ponto-link (PPP), em seguida, um quadro Ligação de revezamento, em seguida, um Asynchronous Transfer Mode (ATM) link, e, finalmente, uma ligação Ethernet para o destino. Em cada transição de um tipo de mídia para outra, a camada de acesso a rede fornece os protocolos, padrões de cabeamento, cabeçalhos e trailers para enviar dados através da rede física. Muitas vezes, um endereço link local é necessária para transferir dados de um salto para o outro. Por exemplo, em uma LAN Ethernet, Media Access Control (MAC) são usados entre o dispositivo de envio e seu roteador gateway local. Às portas do roteador, dependendo das necessidades da interface de saída o cabeçalho Ethernet pode ser substituído com um cabeçalho Frame Relay, que incluirá os dados-link de conexão identificador (DLCI) endereços. No Frame Relay, endereços DLCI têm a mesma finalidade como MAC endereços Ethernet para obter os dados através do link de um hop para o próximo fim de que os dados podem continuar a sua viagem para o destino. Alguns protocolos, como Point-to-Point Protocol (PPP), não precisa de um endereço do link, porque apenas um outro dispositivo está no link que pode receber os dados. Com a camada de acesso à rede, agora podemos finalizar o nosso exemplo de página web. A seguir bastante simplifica e resume o processo de solicitação e envio de uma página web: 1. Cliente da Web envia uma solicitação HTTP. 2. TCP encapsula a requisição HTTP. 3. IP encapsula o segmento de transporte em um pacote, acrescentando endereços de origem e destino. 4. Camada de rede encapsula o acesso de pacote em um quadro, abordá-lo para a ligação local. 5. Camada de rede de acesso envia o quadro para fora como bits na mídia. 6. Dispositivos intermediários processo de bits no acesso à rede e as camadas de Internet, e depois para a frente os dados para o destino. 7. Web servidor recebe os bits na interface física e envia-se através da rede camadas de acesso e Internet. 8. Servidor web envia uma confirmação TCP volta para o cliente web requerente. 9. Servidor Web envia a resposta HTTP para a camada de transporte. 10. TCP encapsula os dados HTTP. 11. IP encapsula o segmento de transporte em um pacote, acrescentando endereços de origem e destino.
12. Camada de rede encapsula o acesso de pacote em um quadro, abordá-lo para a ligação local. 13. Camada de rede de acesso envia o quadro para fora como bits na mídia. 14. Camadas inferiores do processo e enviar a resposta para o cliente web requerente. 15. Resposta viaja de volta para a fonte através de links de dados múltiplos. Dia 29 27 16. Solicitando cliente web recebe resposta sobre a interface física e envia os dados até através do acesso à rede e camadas Internet. 17. Solicitando cliente da Web envia uma confirmação de TCP para o servidor web. 18. Página da Web é exibida no navegador solicitando dispositivo. Resumo dos dados de encapsulamento Cada camada do modelo TCP / IP adiciona seu próprio cabeçalho de informações. Como os dados viajam para baixo através as camadas, é encapsulado com um novo cabeçalho. Na camada de acesso à rede, um reboque também é adicionado. Este processo de encapsulamento pode ser descrito em cinco passos: Passo 1 Crie e encapsular os dados do aplicativo com qualquer cabeçalhos da camada de aplicação requerida. Por exemplo, a mensagem HTTP OK pode ser devolvido em um cabeçalho HTTP, seguido por parte do conteúdo de uma página web. Passo 2 Encapsular os dados fornecidos pela camada de aplicação dentro de um cabeçalho da camada de transporte. Para aplicativos de usuário final, um cabeçalho TCP ou UDP é tipicamente usado. Passo 3 Encapsular os dados fornecidos pela camada de transporte dentro de uma camada de Internet (IP) de cabeçalho. IP é o protocolo disponível somente no modelo de rede TCP / IP. Passo 4 Encapsular os dados fornecidos pela camada de Internet dentro de um cabeçalho da camada de rede de acesso e trailer. Esta é a única camada que usa o cabeçalho e um trailer. Passo 5 Transmitir o bits. A camada física codifica um sinal para o meio para transmitir os frame. Os números da Figura 29-7 correspondem às cinco etapas na lista, mostrando graficamente o mesmo processo de encapsulamento. Figura 29 -
Usando Layers para solucionar problemas Você já deve ter problemas na rede extensa experiência problemas-se em um ambiente de trabalho real, em um ambiente de laboratório, ou uma combinação de ambos. Até agora, você tem desenvolvido sua metodologia de solução de problemas próprios. Talvez você gostaria de verificar a camada física primeiro. É o cabeamento correto? São todas as luzes de status de interface verde? Talvez você gosta de ping tudo para coletar informações sobre onde a conectividade é inexistente. Então você usa os resultados de sua conectividade testes para isolar os problemas e drill down mais profundo. Talvez você só intuitivamente busca de soluções, utilizando sua experiência passada para orientar. Independentemente do seu método, uma metodologia de resolução de problemas sistemática pode ajudar a solucionar problemas de forma mais eficiente e com melhor sucesso. Existem três métodos principais para solução de problemas redes usando as camadas do modelo OSI: ■ de baixo para cima: Comece com os componentes físicos e mover-se através das camadas até que a problema é isolado. Usar essa abordagem quando o problema é suspeito de ser um físico um. A maioria dos problemas de rede reside nos níveis mais baixos, de modo a implementação de baixo para cima abordagem geralmente resulta em resultados efetivos.
■ cima para baixo: Comece com a aplicação do usuário final e mover para baixo através das camadas até o problema é isolado. Usar essa abordagem para os problemas mais simples ou quando você acha que o problema é com um pedaço de software. ■ Dividir para conquistar: Comece por recolher a experiência do usuário, documentando os sintomas, e, em seguida, usar essas informações, dar um palpite informado em qual camada OSI para começar sua investigação. Depois de verificar que uma camada está funcionando corretamente, suponha que o camadas abaixo dela estão funcionando, e trabalhar até as camadas OSI. Se uma camada OSI não está funcionando corretamente, trabalhar sua maneira para baixo o modelo de camada OSI. Para efetivamente solucionar problemas de rede, o tempo necessário para selecionar a rede mais eficaz solução de problemas método. Hoje estamos apenas a revisão dos métodos gerais usados para solucionar problemas problemas de rede. Nos próximos dias, vamos discutir solução de problemas em mais detalhes à medida que exploramos aplicação específica em situações de comutação e roteamento tecnologias. Recursos estudo Para os temas de hoje do exame, consulte os seguintes recursos para mais estudo.
parte II Conceitos de comutação e configuração Dia 28: Switches Ethernet Conexão e Tecnologia Dia 27: Segmentação de Rede e Conceitos de comutação Dia 26: A configuração básica de switch e Segurança Portuária Dia 25: Verificação e solução de problemas básica de um switch configurações Dia 24: Switching Tecnologias e Conceitos de VLAN Dia 23: VLAN Trunking e configuração e Solução de problemas Dia 22: VTP e InterVLAN Roteamento de configuração e Solução de problemas Switches Ethernet e conexão tecnologia Exame CCNA 640-802 Tópicos ■ Explicar a tecnologia e mídia método de controle de acesso para redes Ethernet. ■ Selecione a mídia apropriada, cabos, portas e conectores para conectar switches para outra rede dispositivos e hosts. Tópicos-chave Ethernet tem continuado a evoluir a partir do sabor 10BASE2 capaz de atingir velocidades até 185 Mbps para o mais novo 10GigE (10 Gigabit Ethernet) capaz de atingir velocidades até 10 Gbps. Desde 1985, o IEEE continuou a melhorar a 802,3 padrões para fornecer velocidades mais rápidas, sem alterar a base estrutura de quadros. Esse recurso, entre outros, fez a escolha Ethernet LAN para implementações em todo o mundo. Hoje fazemos uma revisão tecnologias Ethernet e operação em ambos os dados da ligação e camada física. Resumo Ethernet 802.3 é o padrão IEEE para Ethernet, e ambos os termos são comumente usados como sinônimos. o termos Ethernet e 802.3 ambas se referem a uma família de padrões que juntas definem o físico e camadas de dados ligação da tecnologia LAN definitiva. Figura 28-1 mostra uma comparação de Ethernet padrões para o modelo OSI. Figura 28-1 Padrões Ethernet eo Modelo OSI
Ethernet separa as funções da camada de enlace em duas subcamadas distintas: ■ Logical Link Control subcamada (LLC): definido no padrão 802.2. ■ Media Access Control (MAC) subcamada: definido no padrão 802.3. A subcamada LLC manipula a comunicação entre a camada de rede e da subcamada MAC. em geral, LLC fornece uma maneira para identificar o protocolo que é passada da camada de enlace de dados para o camada de rede. Desta forma, os campos da subcamada MAC não são preenchidas com o tipo de protocolo informação, como foi o caso na anterior implementações Ethernet. A subcamada MAC tem duas responsabilidades principais: ■ encapsulamento de dados: inclui a montagem de quadros antes da transmissão, análise sobre a estrutura recepção de um frame, camada de enlace de dados de endereçamento MAC, e detecção de erros. ■ Media Access Control: Porque Ethernet é uma mídia compartilhada e todos os dispositivos podem transmitir a qualquer momento, acesso à mídia é controlada por um método chamado Carrier Sense Multiple Access com Detecção de Colisão (CSMA / CD). Na camada física, Ethernet especifica e implementa esquemas de codificação e decodificação que permitir que pedaços de quadro para ser realizado como sinais em ambas as par trançado não blindado (UTP) de cabos de cobre e os cabos de fibra óptica. Em implementações cedo, Ethernet utilizado cabeamento coaxial.
Legado Ethernet Technologies Ethernet é melhor entendida pela primeira considerando os dois primeiros especificações Ethernet-10BASE5 e 10BASE2. Com estas duas especificações, o engenheiro de rede instala uma série de coaxial cabos de ligação de cada dispositivo na rede Ethernet, conforme mostrado na Figura 28-2. Figura 28-2 Ethernet Topology Bus Físico e Lógico A série de cabos cria um circuito elétrico, chamado de ônibus, que é compartilhada entre todos os dispositivos em da Ethernet. Quando um computador deseja enviar alguma bits para outro computador no ônibus, ele envia uma sinal elétrico, ea eletricidade se propaga para todos os dispositivos na Ethernet. Com a mudança de mídia para UTP e da introdução do primeiro hubs, Ethernet topologias físicas migraram para uma estrela, como mostrado na Figura 28-3. Independentemente da mudança na topologia física de um ônibus para uma estrela, hubs operam logicamente similares para uma topologia de barramento tradicionais e requerem o uso de CSMA / CD.
CSMA / CD Porque é uma Ethernet de mídia compartilhada, onde cada dispositivo tem o direito de enviar a qualquer momento, ele também define uma especificação para como garantir que apenas um dispositivo envia o tráfego de cada vez. o CSMA / CD algoritmo define como o ônibus Ethernet lógica é acessado. CSMA / CD lógica ajuda a evitar colisões e também define como agir quando uma colisão ocorre. O algoritmo CSMA / CD funciona da seguinte forma: 1. Um dispositivo com um quadro para enviar escuta até que a Ethernet não está ocupado. 2. Quando a Ethernet não está ocupado, o remetente (s) começar (s) de enviar o quadro. 3. O remetente (s) listen (s) para se certificar de que nenhuma colisão ocorreu. 4. Se uma colisão ocorre, os dispositivos que havia sido o envio de um quadro de cada um enviar um sinal de interferência para garantir que todas as estações de reconhecer a colisão. 5. Após o bloqueio é completo, cada remetente randomizes um temporizador e espera que, muito antes tentando reenviar o quadro colidiram. 6. Quando cada um temporizador aleatório expira, o processo começa de novo desde o início. Quando CSMA / CD está em vigor, isso também significa que o cartão de um dispositivo de interface de rede (NIC) está operando em modo half-duplex-enviando ou recebendo frames. CSMA / CD é desativada quando uma NIC detectará automaticamente que ele pode operar em ou é manualmente configurado para operar em modo full-duplex. em modo full duplex, uma placa de rede pode enviar e receber simultaneamente. Resumo legado Ethernet Hoje, você pode ocasionalmente usar hubs LAN, mas você vai switches usam mais provável, em vez de hubs. No entanto, tenha em mente os seguintes pontos-chave sobre a história da Ethernet: ■ O original Ethernet LANs criado um ônibus elétrico para que todos os dispositivos conectados. Repetidores ■ 10BASE2 e 10BASE5 estendeu o comprimento de LANs limpando o elétrica sinal e repeti-lo-a Layer 1-função, mas sem interpretar o significado da elétrica sinal. ■ Hubs são repetidores que fornecem um ponto de conexão central para cabeamento UTP, mas eles ainda criar um único ônibus elétricos, compartilhada por vários dispositivos, assim como 10Base5 e 10Base2. ■ Como as colisões podem ocorrer em qualquer desses casos, Ethernet define o algoritmo CSMA / CD, que conta como ambos os dispositivos de evitar colisões e agir quando colisões ocorrer. Atual Ethernet Technologies
Consulte novamente a Figura 28-1 e observe os diferentes padrões de 802,3. Cada padrão nova camada física do IEEE requer muitas diferenças na camada física. No entanto, cada um destes física padrões camada usa o cabeçalho 802,3 mesmo, e cada um usa a subcamada LLC superior também. Tabela 28-1 listas de hoje mais comumente utilizados padrões IEEE Ethernet de camada física. Cabeamento UTP Os três padrões mais comuns usados hoje Ethernet-10BASE-T (Ethernet), 100BASE-TX (Fast Ethernet, ou FE), e 1000BASE-T (Gigabit Ethernet, ou GE), use cabeamento UTP. alguns dos principais diferenças existem, particularmente com o número de pares de fios necessários em cada caso e no tipo (categoria) de cabeamento. O cabeamento UTP utilizado pelos padrões populares Ethernet incluem dois ou quatro pares de fios. o extremidades do cabo normalmente usa um conector RJ-45. O conector RJ-45 tem oito locais físicos específicos em que os oito fios do cabo pode ser inserido, chamado posições pino ou, simplesmente, pinos. O Telecommunications Industry Association (TIA) e da Electronics Industry Alliance (EIA) definir normas para cabeamento UTP, código de cores para fios e pinagem padrão nos cabos. Figura 28-4 mostra dois padrões TIA / EIA pinout, com a codificação de cores e números pares listados.
Para o exame, você deve estar bem preparado para escolher qual tipo de cabo (straight-through ou crossover) é necessária em cada parte da rede. Em suma, os dispositivos em extremidades opostas de um cabo que use o mesmo par de pinos para transmitir precisa de um cabo crossover. Dispositivos que usam um par oposto de pinos para transmitir precisa de um cabo straight-through. Dispositivos tabela 28-2 listas típicas e os pares de pinos eles usam, assumindo que eles usam 10BASE-T e 100BASE-TX. Tabela 28-2 10BASE-T e 100BASE-TX Pairs Pin Usado Dispositivos que transmitem em 1,2 e 3,6 de recebimento em dispositivos que transmitem em 3,6 e 1,2 de recebimento em NICs Hubs PC Switches roteadores Ponto de acesso sem fio (Ethernet interface) N / A Impressoras de rede (impressoras que se conectam diretamente à rede local) N / A 1000BASE-T requer quatro pares de fios porque Gigabit Ethernet transmite e recebe em cada uma das os quatro pares de fios simultaneamente. No entanto, Gigabit Ethernet tem um conceito de cabos straight-through e crossover, com um pequena diferença nos cabos crossover. A pinagem de um cabo straight- through são os mesmos- pino 1 ao pino 1, o pino 2 ao pino 2, e assim por diante. O cabo crossover atravessa a par de dois fios mesmo que o cabo crossover para os outros tipos de Ethernet-o par de pinos 1,2 e 3,6, bem como cruzamento os dois outros pares (o par de pinos de 4,5 com o par de pinos de 7,8). Benefícios do Uso de Switches Um domínio de colisão é um conjunto de dispositivos cuja frames poderia colidir. Todos os dispositivos em um 10BASE2, 10BASE5, ou qualquer rede usando um hub de risco de colisões entre os quadros que eles enviam, para que todos os dispositivos em um desses tipos de redes Ethernet estão no mesmo domínio de colisão e usar
CSMA / CD para detectar e resolver conflitos. Switches LAN reduzir significativamente, ou até mesmo eliminar, o número de colisões em uma LAN. ao contrário hubs, switches não criar um único barramento compartilhado. Em vez disso, switches faça o seguinte: Switches ■ interpretar os bits do quadro recebido para que possam normalmente enviar o quadro para fora a porta de um necessário, ao invés de todas as outras portas. ■ Se um parâmetro necessidades de transmitir vários quadros com a mesma porta, o switch armazena os frames na memória, o envio de um de cada vez, evitando colisões. Além disso, switches com apenas um dispositivo por cabo para cada porta do switch permite o uso de FullDuplex operação. Full-duplex significa que a NIC pode enviar e receber ao mesmo tempo, de forma eficaz duplicando a largura de banda de um link de 100 Mbps até 200 Mbps-100 Mbps para enviar e 100 Mbps para receber. Estas características chave aparentemente simples proporcionar melhorias significativas de desempenho em comparação com o uso de hubs. Em especial: ■ Se apenas um dispositivo esteja conectado a cada porta de um switch, sem colisões podem ocorrer. ■ dispositivos conectados a uma porta do switch não compartilham de sua largura de banda com os dispositivos conectados a outra porta do switch. Cada um tem a sua própria largura de banda separado, o que significa que um interruptor com 100 Portas Mbps tem 100 Mbps de largura de banda por porta. Ethernet Endereçamento O IEEE define o formato ea atribuição de endereços LAN. Para garantir um único endereço MAC, a primeira metade do endereço identifica o fabricante da placa. Este código é chamado de organizacionalmente identificador único (OUI). Cada fabricante atribui um endereço MAC com os seus próprios OUI a primeira metade do endereço. A segunda metade do endereço é atribuído pelo fabricante e é nunca usado em outra placa ou interface de rede com a mesma OUI. Figura 28-5 mostra a estrutura de um endereço Ethernet unicast. Figura 28-5 Estrutura da Unicast Endereço Ethernet
Ethernet também tem endereços do grupo, que identificam mais de uma NIC ou interface de rede. o IEEE define duas categorias gerais de endereços de grupo para Ethernet: ■ endereços Broadcast: O endereço de broadcast implica que todos os dispositivos na LAN devem processo do quadro e tem um valor de FFFF.FFFF.FFFF. ■ endereços Multicast: endereços Multicast são utilizadas para permitir um subconjunto de dispositivos em uma LAN para comunicar. Quando multicasts IP sobre uma rede Ethernet, o MAC multicast endereços utilizados por IP seguir este formato: 0100.5exx.xxxx, onde qualquer valor pode ser usado na última metade do endereço. Framing Ethernet A camada física ajuda a obter uma seqüência de bits de um dispositivo para outro. O enquadramento do os bits permite que o dispositivo de recepção para interpretar os bits. O enquadramento refere-se à definição de os campos a ser assumida em dados que são recebidos. Enquadramento define o significado dos bits transmitidos e recebidos em uma rede. O enquadramento usado para Ethernet mudou um par de vezes ao longo dos anos. Cada iteração do Ethernet é mostrado na Figura 28-6, com a versão atual mostrado na parte inferior. Figura 28-6 Quadro Formatos Ethernet
O Papel da Camada Física Nós já discutimos o cabeamento mais popular usado em LANs-UTP. Mas para entender completamente o funcionamento da rede, você deve conhecer alguns conceitos básicos adicionais da física camada. A camada OSI física aceita um quadro completo da camada de enlace de dados e codifica-lo como uma série de sinais que são transmitidos para a mídia local. A entrega de quadros através da mídia local exige os seguintes elementos de camada física: ■ A mídia física e conectores associados ■ Uma representação de bits na mídia ■ Codificação de dados e informações de controle ■ transmissor e receptor de circuito sobre os dispositivos de rede Há três formas básicas de mídia de rede em que os dados são representados: ■ O cabo de cobre ■ Fiber ■ Wireless (IEEE 802.11)
Bits são representados na mídia por mudar uma ou mais das seguintes características de um sinal: ■ Amplitude ■ Frequency Fase ■ A natureza dos sinais reais que representam os bits na mídia vai depender da sinalização método em uso. Alguns métodos podem usar um atributo de um sinal para representar um único 0 e usar outro atributo de um sinal para representar um 1 single. O método actual de sinalização e as suas minuciosas operação não são importantes para sua preparação para o exame CCNA.
Segmentação de rede e Conceitos de comutação Exame CCNA 640-802 Tópicos ■ Explicar a segmentação da rede e conceitos básicos de gestão de tráfego. ■ Explicar os conceitos básicos de comutação e operação de switches Cisco. Tópicos-chave Hoje nós revemos os conceitos por trás de comutação, incluindo a história do desenvolvimento da comutação, como a mudança realmente funciona, bem como a variedade de recursos switch. Também revisamos como acessar dispositivos Cisco, o IOS comandos básicos para navegar pela interface de linha de comando (CLI) e os detalhes de como os arquivos de configuração são gerenciados. Evolução para Switching LANs de hoje quase que exclusivamente usam switches para interligar dispositivos final, no entanto, isso não foi sempre o caso. Inicialmente, os dispositivos foram conectados a um barramento físico executar um longo da espinha dorsal coaxial cabeamento. Com a introdução do 10BASE-T cabeamento UTP e, o centro ganhou popularidade como um mais barato, maneira mais fácil para conectar dispositivos. Mas mesmo 10BASE-T com hubs tinha as seguintes limitações: ■ Um quadro que está sendo enviado de um dispositivo pode colidir com um quadro enviado por um outro dispositivo conectado a esse segmento LAN. Dispositivos estavam no mesmo domínio de colisão partilha a largura de banda. ■ Transmissões enviadas por um dispositivo foram ouvidos por e processado por, todos os outros dispositivos na LAN. Dispositivos estavam no mesmo domínio de broadcast. Semelhante ao hubs, switches frente transmissão frames para fora todas as portas exceto a porta de entrada. As portas do switch pode ser configurado em vários VLANs, que segmentá-los em domínios de broadcast. Ethernet pontes foram desenvolvidos em breve para resolver alguns dos problemas inerentes a uma LAN compartilhada. A ponte basicamente segmentada LAN um em dois domínios de colisão que ■ Reduziu o número de colisões que ocorreram em um segmento de LAN ■ Aumento da largura de banda disponível Quando muda chegaram ao local, estes dispositivos previstos os mesmos benefícios de pontes, bem como as seguintes: ■ Um número maior de interfaces para quebrar o domínio de colisão em segmentos mais ■ baseado em hardware de comutação em vez de usar software para tomar a decisão Em uma LAN onde todos os nós estão conectados diretamente ao switch, o throughput da rede aumenta dramaticamente. Com cada computador conectado a uma porta separada no comutador, cada um está em um
domínio de colisão separado e tem seu próprio segmento dedicado. As três principais razões para este aumento são as seguintes: ■ largura de banda dedicada para cada porta ■ ambiente livre de colisão ■ Operação Full-duplex Comutação de lógica Switches Ethernet seletivamente frente quadros individuais de uma porta de recepção para a porta onde o nó de destino está conectado. Durante esse instante, o switch cria uma banda completa, lógica ponto-a-ponto de conexão entre os dois nós. Switches criar esta conexão lógica com base na origem e destino de Controle de Acesso de Mídia (MAC) no cabeçalho Ethernet. Especificamente, o trabalho principal de um switch LAN é receber quadros Ethernet e depois tomar uma decisão: ou a frente do quadro ou ignorar o quadro. Para realizar isto, o switch executa três ações: 1. Decide quando a frente de um quadro ou quando para filtrar (não para a frente) uma moldura, com base no destino Endereço MAC 2. Aprende os endereços MAC, examinando o endereço MAC de origem de cada quadro recebido por a ponte 3. Cria um (Layer 2) o ambiente livre de laço com outras pontes usando Spanning Tree Protocol (STP) Para tomar a decisão para a frente ou de filtro, o switch utiliza uma tabela de endereços MAC dinamicamente construída armazenadas na memória RAM. Ao comparar o quadro de destino endereço MAC com os campos na tabela, o interruptor decide como encaminhar e / ou filtrar a frame. Por exemplo, na Figura 27-1 o switch recebe um quadro do Host A com o MAC de destino Endereço OC. O interruptor olha em sua tabela MAC e encontra uma entrada para o endereço MAC e encaminha o quadro de porta de saída 6. O switch também filtra o quadro por não encaminhá-lo para fora de qualquer outro portuárias, incluindo a porta na qual o quadro foi recebido. Além de encaminhamento e filtragem de quadros, a mudança irá também atualizar o timestamp para o endereço MAC de origem do quadro. Na Figura 27-1, o endereço MAC para o Host A, OA, já está em tabela MAC. Assim, o interruptor atualiza a entrada. Entradas que não são atualizados serão eventualmente removida (após 300 segundos no Cisco IOS). Continuando o exemplo na Figura 27-1, assume outro dispositivo, E Host, é ligado à porta 10. Host B envia um quadro para o novo host E. A chave ainda não sabe onde E é
anfitrião localizado. Então, ele encaminha o frame para todas as portas ativas, exceto para a porta na qual o quadro foi recebido. E o novo host irá receber o frame. Quando se respostas para o Host B, o switch vai aprender Endereço do host E do MAC ea porta pela primeira vez e armazená-lo na tabela de endereços MAC. Quadros subseqüentes destinados Anfitrião E só será enviado pela porta 10 Finalmente, switches LAN deve ter um método para a criação de um caminho livre de laço para quadros de tomar dentro a LAN. STP oferece prevenção de loop em redes Ethernet redundantes, onde existem ligações físicas. Dia 24, "Tecnologias e Conceitos de comutação VLAN," opiniões STP em mais detalhes. Domínios de Colisão e Broadcast Um domínio de colisão é o conjunto de interfaces LAN cujos quadros poderia colidir uns com os outros. todos ambientes compartilhados de mídia, como aqueles criados usando hubs, são domínios de colisão. quando um host é conectado a uma porta do switch, o switch cria uma conexão dedicada eliminando assim a potencial de uma colisão. Switches reduzir colisões e melhorar o uso da largura de banda em segmentos de rede porque eles fornecem a largura de banda dedicada para cada segmento de rede. No entanto, fora da caixa, um interruptor não pode fornecer alívio de tráfego de broadcast. Uma coleção de conectados interruptores forma um domínio de broadcast de grande porte. Se um quadro com o endereço de destino FFFF.FFFF.FFFF atravessa uma porta do switch, que o interruptor deve, então, inundar o quadro para fora todos os outros ativos portos. Cada dispositivo conectado processo deve, então, o quadro de transmissão, pelo menos, até a camada de rede. Roteadores e VLANs são utilizadas para os domínios de broadcast segmento. Dia 24 opiniões o uso de VLANs para transmissão domínios segmento. Encaminhamento de quadros Switches operam em várias maneiras de transmitir frames. Eles podem diferir em métodos de encaminhamento, a porta velocidades, o buffer de memória, e as camadas OSI utilizado para tomar a decisão de encaminhamento. as seções que seguem discutir esses conceitos com mais detalhes. Mudar métodos de encaminhamento No passado, switches utilizado um dos métodos a seguir para o encaminhamento de comutação de dados entre portas de rede: ■ Store-and-forward: O switch armazena recebeu quadros em seus buffers, análises
cada quadro para obter informações sobre o destino, e avalia a integridade dos dados usando o verificação de redundância cíclica (CRC) no trailer frame. Todo o quadro é armazenado e CRC calculado antes de qualquer quadro é encaminhado. Se o CRC passes, o quadro é encaminhado para o destino. ■ Cut-through switching: O interruptor de buffers apenas o suficiente do quadro de ler o destino Endereço MAC para que ele possa determinar a qual porta de transmitir os dados. Após o interruptor determina se há uma correspondência entre o endereço MAC de destino e uma entrada no Tabela de endereços MAC, o quadro é encaminhado para a porta apropriada (s). Isto acontece como o resto do quadro inicial ainda está sendo recebida. O switch não executa nenhuma verificação de erros na armação. Comutação simétrica e assimétrica Comutação simétrica fornece conexões comutadas entre portas com a mesma largura de banda, tais como todos os 100 Mbps portas ou todas as portas 1000 Mbps. Um switch LAN assimétrica fornece conexões comutadas entre os portos de largura de banda, ao contrário, como uma combinação de 10 Mbps, 100 Mbps, e Portas 1000 Mbps. Buffering memória Switches frames loja por um tempo breve em um buffer de memória. Existem dois métodos de memória buffering: ■ memória Port-based: Frames são armazenadas em filas que estão ligados a portas de entrada. ■ A memória compartilhada: Os quadros são depositados em um buffer de memória comum, que todas as portas no interruptor partes. Layer 2 e Layer 3 Switching A Layer 2 switch LAN switching e realiza a filtragem baseada somente em endereços MAC. A camada 2 interruptor é completamente transparente para os protocolos de rede e aplicativos do usuário. Um switch de camada 3 funciona de forma semelhante a um switch Layer 2. Mas em vez de usar apenas o Layer 2 informações de endereço MAC para as decisões de encaminhamento, um switch de camada 3 também pode usar informações de endereço IP. Layer 3 interruptores são também capazes de executar funções de roteamento Layer 3, reduzindo a necessidade de dedicados roteadores em uma LAN. Porque Layer 3 switches possuem hardware de comutação especializadas, que podem tipicamente encaminhar os dados tão rapidamente quanto eles podem mudar de dados. Como acessar e navegar Cisco IOS
Até agora, você estão muito familiarizados com a conexão de dispositivos Cisco e configurá-los usando o de linha de comando interface (CLI). Aqui, nós rever rapidamente os métodos para acessar e navegar CLI. Conectando-se a dispositivos Cisco Você pode acessar um dispositivo direta ou de um local remoto. Figura 27-2 mostra as muitas maneiras que você pode se conectar a dispositivos Cisco. 46 31 Dias antes de seu exame CCNA As duas maneiras de configurar dispositivos Cisco são as seguintes: ■ Console terminal: Use um conector RJ-45 para RJ-45 cabo rollover e um computador com o terminal software de comunicação (como Prazo, HyperTerminal Tera, e assim por diante) para estabelecer uma relação directa conexão. ■ terminal remoto: Use um modem externo conectado à porta auxiliar-routers apenas para configurar remotamente o dispositivo. Uma vez configurado, você pode acessar o dispositivo usando três métodos adicionais: ■ Estabelecer um terminal sessão (vty) usando Telnet. ■ Configurar o dispositivo através da conexão atual (console ou auxiliar), ou baixar um escrito anteriormente arquivo startup-config de um Trivial File Transfer Protocol (TFTP) em da rede. ■ Baixe um arquivo de configuração usando um software de gerenciamento de
rede, tais como CiscoWorks. Sessões CLI EXEC Cisco IOS separa a sessão EXEC em dois níveis de acesso básicos: ■ modo EXEC Usuário: Acesso a apenas um número limitado de monitoramento e solução de problemas básicos comandos, como show e ping. ■ Modo EXEC privilegiado: o acesso total a todos os comandos do dispositivo, incluindo configuração e de gestão. Usando o recurso de Ajuda Cisco IOS tem uma extensa linha de comando recursos de entrada de ajuda, incluindo ajuda sensível ao contexto. o a seguir resume os dois tipos de ajuda disponíveis: ■ a ajuda do Word: Digite uma seqüência de caracteres de um comando incompleto imediatamente seguido por um ponto de interrogação (sh?) para obter uma lista de comandos disponíveis que começam com a seqüência de caracteres. ■ ajudar a sintaxe de comando: Digite o? comando para obter ajuda para a sintaxe de comando para ver todas as argumentos disponíveis para completar um comando (show?). IOS em seguida, exibe uma lista de disponíveis argumentos Como parte do mecanismo de ajuda, IOS exibe mensagens de erro do console quando sintaxe de comando incorreto é inserido. Tabela 27-1 mostra mensagens de erro da amostra, o que significam, e como obter ajuda quando eles são exibidos. Tabela 27-1 Mensagens de erro do Console Erro Significado Exemplo Como obter ajuda mensagem switch # cl Você não inseriu suficiente Redigite o comando seguido por um Personagens ambíguos% para o dispositivo de ponto de interrogação (?), Sem um espaço comando: "cl" reconhecer o comando. entre o comando ea questão marca. As palavras-chave possíveis que você pode entrar com o comando são exibidos. switch # clock Você não inseriu todos os Redigite a do comando seguido de um Comando% incompleto. palavras-chave ou valores necessários ponto de interrogação (?), com um espaço entre por este comando. o comando eo ponto de interrogação. switch # ste relógio Você digitou o comando Enter um ponto de interrogação (?) para exibir todos ^ Incorretamente. O acento circunflexo (^) os comandos disponíveis ou parâmetros. Input% inválido detectado marca o ponto do erro. em '^' marcador.
Seta para a direita ou Ctrl-F Isso move o cursor para a frente no comando exibido atualmente sem exclusão de caracteres. (A F está para a frente.) Guia Conclui uma entrada de nome parcial de comando. Backspace Isso move o cursor para trás no comando exibido atualmente, a exclusão caracteres. Ctrl-A Isso move o cursor diretamente para o primeiro caractere do atualmente exibido comando. Ctrl-E Isso move o cursor diretamente para o final do comando exibido no momento. Ctrl-R Este exibe novamente a linha de comando com todos os personagens. É útil quando as mensagens a desordem da tela. Ctrl-D Isso exclui um único personagem. Esc-B Isso move uma palavra para trás. Esc-F Este avança uma palavra. No-More - Prompt Tecla Enter Exibe a próxima linha. Espaço Bar Exibe a próxima tela. Quaisquer outros alfanumérico Devoluções chave para o prompt EXEC. Chaves quebra Ctrl-C Quando estiver em modo de configuração, este termina o modo de configuração e retorna ao modo EXEC privilegiado. Quando em modo de configuração, aborta volta para o prompt de comando. Ctrl-Z Quando, em qualquer modo de configuração, este termina o modo de configuração e retorna ao modo EXEC privilegiado. Quando em modo de usuário ou EXEC privilegiado, faz o logout do roteador.
Ctrl-Shift-6 seqüência de quebrar todos os fins. Use para pesquisas abortar DNS, traceroutes, pings. Seta um parágrafo Direita OU Ctrl-F move cursor de Isso o Pará a Frente não commando exibido atualmente SEM Exclusão de Caracteres. (A F está offline Pará a Frente.) Guia Conclui UMA Entrada de nomo parcial de commando. Backspace mover o cursor de Isso parágrafo Trás exibido atualmente no comando, a Exclusão Caracteres. Ctrl-Um movimento de Isso o cursor Treatement parágrafo O Primeiro Caractere fazer atualmente exibido commando. Ctrl-E mover o cursor de Isso Treatement o parágrafo final, do commando exibido no Momento. Ctrl-R Este exibe Novamente uma Linha de comando com de Todos os Personagens. Útil quando e como Mensagens uma Desordem da Tela. Ctrl-D de Isso exclui hum Único Personagem. Esc-B move de Isso UMA Palavra parágrafo Trás. Esc-F Este Avança UMA Palavra. No-More - Prompt Tecla Enter Exibe uma Linha Proxima. Espaço Bar Exibe uma Tela Proxima. Quaisquer Outros alfanumérico Devoluções chave par o prompt de EXEC. Chaves quebra Ctrl-C Quando estiver los MoDo de configuração, this terminação o MoDo de configuração e retorna AO MoDo EXEC privilegiado. Quando los MoDo de configuração, aborta Volta par o prompt de comando de. Ctrl-Z Quando, EM QUALQUÉR MoDo de configuração, this terminação o MoDo de configuração e retorna AO MoDo EXEC privilegiado. Quando los MoDo de Usuário OU EXEC privilegiado, FAZ o sair do Roteador. Ctrl- Shift-6 sequencia de quebrar barbatanas Todos os. Use parágrafo Pesquisas abortar DNS, traceroutes, pings. mudar tamanho do histórico terminal 50 # Configura o tamanho do histórico terminal. A história terminal pode manter 0 até 256 linhas de comando. switch # terminal sem história tamanho Redefine o tamanho do histórico terminal para o valor padrão de 10 linhas de comando. switch # terminal sem história Desativa história terminal. Exame Comandos IOS Para verificar e solucionar problemas de operação de rede, você pode usar comandos de show. Figura 27-3 delineia a comandos show diferente, como se segue: ■ Se eles são aplicáveis a IOS (armazenada na memória RAM) ■ Se elas se aplicam ao arquivo de configuração de backup armazenadas em NVRAM ■ Se eles se aplicam a flash ou interfaces específicas Figura 27-3 Comandos show típico e as informações fornecidas
Modos Subconfiguration Para entrar no modo de configuração global, digite o comando configure terminal. Do global modo de configuração, IOS proporciona uma infinidade de modos subconfiguration. Tabela 27-4 resume os modos mais comuns subconfiguration pertinentes para o exame CCNA. Armazenar e apagar arquivos de configuração Quando você configurar um dispositivo Cisco, ele precisa ser capaz de manter a configuração na memória caso mudar o router ou perde poder. Dispositivos Cisco tem quatro tipos principais de memória. Figura 27-4 mostra esses tipos de memória e quatro a função principal de cada um. Figura 27-4 Memória Cisco tipos de dispositivos Dispositivos Cisco usar dois arquivos, um arquivo de configuração usado quando o dispositivo está ligado, e outro arquivo para o ativo, de configuração usados atualmente em execução na RAM. Tabela 27-5 lista os nomes desses arquivos, seu propósito, e onde eles são armazenados na memória.
Tabela 27-5 Nomes e Finalidades dos dois principais Cisco IOS arquivos de configuração Finalidade configuração Nome do arquivo onde é armazenado Startup-config armazena a configuração inicial usado NVRAM qualquer momento o interruptor recarrega Cisco IOS. Executando-config armazena os comandos de configuração usados atualmente. RAM Este arquivo muda dinamicamente quando alguém entra em modo de comandos de configuração. Arquivos de configuração também podem ser armazenadas em um servidor TFTP. Os arquivos de configuração pode ser copiado entre a RAM, NVRAM, e um servidor TFTP usando os comandos copiar, como mostrado na Figura 27-5. Figura 27-5 Configuração Comandos de cópia de arquivo e locais de armazenamento Você pode usar três comandos para apagar o conteúdo da NVRAM. O apagar escrever e apagar startup- comandos de configuração são mais velhos, enquanto que a nvram apagar: comando é o mais recente, e recomendou, comando. Todos os três comandos apagar o conteúdo do arquivo de configuração NVRAM.
Dia 26 Configuração básica de switch e Porto Segurança Exame CCNA 640-802 Tópicos ■ Executar, salvar e verificar as tarefas de configuração opção inicial, incluindo a gestão de acesso remoto. ■ Implementar e verificar a segurança básica de switch (incluindo a segurança portuária, os portos não atribuído, tronco acesso, e assim por diante). Tópicos-chave Hoje nós revemos os comandos necessários para realizar uma configuração básica inicial de um switch. Para segurança básica de switch, revisamos mudança virtual padrão redes locais (VLANs), Secure
Shell configuração (SSH), e de segurança portuária. Comandos de Configuração Básica de um Switch Tabela 26-1 opiniões comandos básicos de configuração switch. Tabela 26-1 Comandos de Configuração Básica de um Switch Comando Sintaxe do Comando Descrição Entrar no modo de configuração global. Switch # configure terminal Configure um nome para o dispositivo. Switch (config) # hostname S1 Entrar na interface de configuração do modo S1 (config) # interface vlan 123 para a interface de 123 VLAN. Configurar o endereço IP da interface. S1 endereço (config-if) # ip 172.17.99.11 255.255.255.0 Permitir a interface. S1 (config-if) # no shutdown Retornar ao modo de configuração global. S1 (config-if) # exit Entrar na interface para atribuir o VLAN. S1 (config) # interface FastEthernet 0 / 6 Definir o modo de participação na VLAN para a porta. S1 (config-if) # access modo switchport Atribuir a porta a uma VLAN. S1 (config-if) # switchport acesso vlan 123 Configurar o modo duplex interface para ativar auto (config-if) # S1 duplex Configuração duplex AUTO. Configure a velocidade duplex interface e habilitar auto (config-if) # S1 velocidade Configuração de velocidade AUTO. continua Retornar ao modo de configuração global. S1 (config-if) # exit Configure o gateway default no switch. S1 (config) # ip default-gateway 172.17.50.1 Configurar o servidor HTTP para autenticação usando S1 (config) # ip de autenticação http permitir a senha de ativação, que é o método padrão de HTTP de autenticação do usuário do servidor. Habilitar o servidor HTTP. S1 (config) # ip do servidor http Alternar entre o modo de configuração global para a linha S1 (config) # line do console 0 modo de configuração para o console 0. Definir cisco como a senha para o console de linha 0 sobre o switch. S1 (config-line) # password cisco Definir a linha do console para exigir a senha para ser S1 (config-line) # login entrou antes que o acesso é concedido. Retornar ao modo de configuração global. S1 (config-if) # exit Alternar entre o modo de configuração global para a linha S1 (config) # line vty 0 4 modo de configuração para os terminais vty 0 a 4. Definir cisco como a senha para as linhas vty no interruptor. S1 (config-line) # password cisco Definir a linha de vty para exigir a senha a S1 (config-line) # login ser introduzido antes que o acesso é concedido. Retornar ao modo de configuração global. S1 (config-line) # exit Configurar cisco como a senha de ativação S1 (config) # enable password
cisco para entrar no modo EXEC privilegiado. Configure classe como a enable secret password S1 (config) # enable secret class para entrar no modo EXEC privilegiado. Criptografa todas as senhas do sistema que são armazenadas em texto claro. S1 (config) # serviço senha de criptografia Configurar um banner login. O caractere # delimita S1 (config) login bandeira # # Autorizado início e no final do banner. Somente pessoal! # Configurar um banner de login MOTD. # O personagem S1 (config) # motd bandeira # Dispositivo delimita o início eo fim do banner. manutenção estarão ocorrendo na sexta- feira! # Voltar ao modo EXEC privilegiado. S1 (config) # final Salvar a configuração atual S1 # copy running-config startup-config a opção de configuração de arranque. Em referência aos comandos na Tabela 26-1, tenha em mente o seguinte: ■ O padrão VLAN para todas as portas é a VLAN 1. Porque é uma prática recomendada para usar uma outra VLAN que o padrão VLAN 1 como o gerenciamento de VLAN, o comando na tabela usa VLAN 123. ■ Por padrão, a VLAN nativa atribuído a troncos também é 802.1Q VLAN 1. É uma melhor segurança prática para definir uma VLAN dummy como o nativo VLAN-a VLAN que é diferente de todos os outras VLANs. Discutimos trunking configuração no dia 23, "e VLAN Trunking Configuração e resolução de problemas. " 54 31 Dias antes de seu exame CCNA Tabela 26-1 Comandos Configuração básica Mudar continuou Comando Sintaxe do Comando Descrição ■ Embora o comando enable password é mostrada na tabela para a completude, este comando é substituído pelo comando enable secret. Se ambos estão inseridos, ignora o IOS permitir comando de senha. ■ Para configurar várias portas com o mesmo comando, use o comando da escala interface. para exemplo, para configurar as portas de 6 a 10 como portas de acesso pertencentes à VLAN 10, você digite o seguinte: Switch (config) # interface gama FastEthernet 0 / 6-10 Switch (config-if-range) # access modo switchport Switch (config-if-range) # access switchport vlan 10 Configurando Acesso SSH Figura 26-1 mostra graficamente as etapas para configurar um switch (ou
roteador) para dar suporte SSH. Figura 26-1 Etapas de configuração SSH A seguir detalha a descrição das etapas mostrado na figura: Passo 1 Alterar as linhas vty de usar nomes de usuários, quer com nomes de usuários localmente configurado ou um autenticação, autorização e contabilidade servidor (AAA). Na Figura 26-1, o login locais subcomando define o uso de nomes de usuário local, substituindo o login subcomando vty no modo de configuração. Etapa 2 Configurar o interruptor para aceitar conexões tanto Telnet e SSH com o transporte input telnet ssh vty subcomando. (O padrão é telnet de entrada de transporte, omitindo a ssh parâmetro.) Passo 3 Adicione uma ou mais nome nome senha pass valor comandos de configuração global para configurar usuário / senha pares. Etapa 4 Configurar um nome de domínio DNS com a configuração de ip nome de nome de domínio mundial comando. Este comando é necessário somente se você quiser usar um nome de domínio em vez de um endereço IP. Etapa 5 Configure a chave para gerar um pareado chaves pública e privada, bem como uma compartilhada chave de criptografia, usando a chave de criptografia gerar rsa comando de configuração global. Passo 6 Apesar de não mudar os comandos são necessários, cada cliente SSH precisa de uma cópia do interruptor de chave pública antes de o cliente pode se conectar. Configurando Segurança Porta Se você sabe quais dispositivos devem ser conectados e ligados a interfaces
em particular em um switch, você pode usar a segurança do porto para restringir a interface de modo que apenas os dispositivos previstos podem usá-lo. Este reduz a exposição a alguns tipos de ataques em que o atacante se conecta um laptop à tomada de parede ou usa o cabo ligado a outro dispositivo fim de obter acesso à rede. Porta de configuração de segurança envolve várias etapas. Basicamente, você precisa fazer a porta de acesso porto, o que significa que a porta não está fazendo qualquer trunking VLAN. Então você precisa para ativar a porta segurança e, em seguida, configurar o real Media Access Control (MAC) dos dispositivos permissão para usar essa porta. A lista a seguir descreve as etapas, incluindo os comandos de configuração utilizados: Etapa 1 Configurar a interface para o modo de acesso usando a interface de acesso switchport modo subcomando. Passo 2 Habilitar a segurança do porto usando o switchport porta de segurança de interface subcomando. Passo 3 (Opcional) Especifique o número máximo de endereços MAC permitidos associados a interface com o switchport número máximo de porta de segurança de interface subcomando. (O padrão é um endereço MAC). Passo 4 (Opcional) Defina a ação a tomar quando um frame é recebido de um endereço MAC que não os endereços definidos usando o switchport violação de segurança do porto-{proteger | Restringir | shutdown} interface do subcomando. (A ação padrão é para desligar o porta.) 5A passo Especifique o endereço MAC (es) permissão para enviar quadros para esta interface usando o switchport porta de segurança mac-address comando mac-address. Use o comando várias vezes para definir mais de um endereço MAC. 5B passo Alternativamente, em vez de 5A Step, configurar a interface para aprender dinamicamente e configurar os endereços MAC dos hosts conectados no momento, configurando o switchport porta de segurança endereço mac da interface adesiva subcomando. Quando um dispositivo não autorizado tenta enviar quadros para a interface do switch, o switch pode emitir mensagens informativas, frames descartar a partir desse dispositivo, ou até mesmo descartar quadros de todos os dispositivos por efetivamente desligar o interface. Exatamente a ação que leva a porta do switch depende a opção de configurar no comando violação switchport porta de segurança. Tabela 26-2 listas
ações que a mudança terá com base no fato de configurar a opção proteger, restringir, ou desligamento (Padrão). 56 31 Dias antes de seu exame CCNA Tabela 26-2 Ações Ao Porto Violação de segurança Ocorre Opção no switchport Proteja Restringir Shutdown porta de segurança Comando violação Descarta ofender tráfego Sim Sim Sim Envia log e mensagens SNMP Não Sim Sim Desativa a interface, descartando todo o tráfego Não Não Sim Exemplo 26-1 mostra uma configuração de segurança do porto, onde cada interface de acesso é permitido um máximo de três endereços MAC. Se um quarto MAC é detectado, somente o tráfego do dispositivo infractor será ser descartado. Se a opção de violação não é explicitamente configurado, o tráfego para dispositivos que estão permitido na porta também seria descartado porque a porta seria desligado por padrão.
Desligando e Protegendo não utilizados Interfaces Interfaces do roteador, como você sabe, deve ser ativada com o comando no shutdown antes que eles se tornar operacional. O exato oposto é verdade para os switches Cisco Catalyst. Para fornecer out-deA- funcionalidade caixa, a Cisco escolheu uma configuração padrão que incluía interfaces que iria trabalhar sem qualquer configuração, incluindo automaticamente negociação de velocidade e duplex. Além disso, todos interfaces são atribuídos ao padrão VLAN 1. Essa configuração padrão expõe muda para algumas ameaças de segurança. As melhores práticas de segurança para interfaces não utilizadas são as seguintes: ■ Administrativamente desativar a interface com o desligamento da interface subcomando. ■ Evite VLAN trunking e VTP, tornando a porta de uma interface nontrunking usando o switchport acessar o modo de interface do subcomando. ■ Atribuir a porta a uma VLAN não utilizados usando o switchport número de acesso da interface vlan subcomando.
Dia 25 Verificação e solução de problemas básicos Configurações de chave Exame CCNA 640-802 Tópicos ■ Verifique o estado da rede ea operação do switch usando utilitários básicos (incluindo ping, traceroute, telnet, SSH, ARP, ipconfig), show e e comandos de depuração. ■ Identificar, prescrever e resolver problemas comuns de rede comutada por meios de comunicação, problemas de configuração, autonegociação e falhas de hardware switch. ■ Interpretar a saída de mostrar vários e depurar comandos para verificar o status operacional de uma Cisco rede comutada. Pontos-chave Nos dias que virão, vamos analisar a configuração, verificação e solução de problemas associados tarefas com VLANs, trunking, VLAN Trunking Protocol (VTP), Spanning Tree Protocol (STP) e inter-VLAN routing. Hoje vamos nos concentrar em habilidades solução de problemas associados com configuração básica de switch incluindo a verificação de conectividade de rede, interpretação de comandos que exibem o status de interfaces, e usando o Cisco Discovery Protocol (CDP). Metodologia solução de problemas Dia 29,? Fluxo de dados de rede de ponta a ponta,? discutiu a três abordagens para a resolução de problemas sua rede com base nas camadas do modelo OSI: de baixo para cima, de cima para baixo, e dividir e conquistar. Independentemente do método que você usa, aqui estão algumas sugestões gerais para tornar a sua solução de problemas mais eficaz: ■ Entenda a operação da chave normal: Nenhuma quantidade de estudo pode substituir a experiência prática. Com sorte, você já passou muitas horas a configuração muda, pelo menos em um laboratório ambiente ou em um simulador. Os guias de configuração em Cisco.com ajudará a preencher em qualquer lacunas em sua experiência. ■ Criar mapas precisos física e lógica: Porque um interruptor pode criar diferentes segmentos através da implementação de VLANs, as conexões físicas por si só não contam toda a história. Você deve saber como os interruptores estão configurados para determinar quais segmentos (VLANs) existem e como eles são logicamente conectados. ■ Tenha um plano: Antes de tirar conclusões precipitadas, tente verificar de uma forma estruturada que está funcionando eo que não é. Como as redes podem ser complexas, é útil para isolar possíveis problemas domínios. Por exemplo, pode todos os dispositivos na mesma rede local pingar
um ao outro? Assumindo que o interruptor está configurado corretamente, muitos dos problemas que você encontrar estará relacionada com questões físicas camada (portas físicas e cabeamento). Layer 2 questões poderiam ser o problema como bem, no entanto. O ponto é ter um plano para por onde começar-Layer 1 ou Layer 2 e, em seguida, resolver todos os problemas em que a camada antes de prosseguir. ■ Assumir nada: Não assuma componentes básicos estão funcionando corretamente sem testes -las primeiro. Ele normalmente leva apenas um minuto para verificar o básico (por exemplo, que as portas estão conectado corretamente e ativa), e você pode economizar tempo valioso. As seguintes etapas descrevem um método geral solução de problemas que podem ser usados com qualquer problema em da rede. Este é o método usado nos livros de Wendell Odom no Exame CCNA Oficial Biblioteca de certificação, Terceira Edição: Analisando passo 1 / prever o funcionamento normal. Prever os detalhes do que deve acontecer se a rede está funcionando corretamente, com base em documentação, configuração, e show e saída do comando debug. Passo 2 Problema de isolamento. Determinar o quão longe no caminho esperado do quadro / pacote vai antes que ele não pode ser encaminhados mais longe, novamente com base em documentação, mostrar configuração e e depuração saída do comando. Passo 3 de análise de causa raiz. Identificar as causas subjacentes dos problemas identificados no passo anterior, especificamente, as causas que têm uma ação específica com a qual o problema pode ser corrigido. Na sequência deste processo requer uma variedade de habilidades aprendidas. Você precisa se lembrar da teoria da como as redes devem funcionar, bem como a forma de interpretar a saída do comando mostram que confirma como os dispositivos estão se comportando. Este processo requer o uso de ferramentas de teste, tais como ping e traceroute, para isolar o problema. Finalmente, esta abordagem exige a capacidade de pensar amplamente sobre tudo o que poderia afetar um único componente. Para os nossos propósitos hoje, vamos assumir que todos os problemas potenciais Layer 3 foram descartada para que possamos concentrar em Camada 2 e Camada 1 questões. Em uma LAN comutada, você provavelmente irá necessidade de determinar alguns ou todos os seguintes: ■ endereços MAC de dispositivos envolvidos (PCs e interfaces de router) ■ interfaces de Alterne que estão em uso
■ Estado de interfaces chave ■ comportamento esperado da origem ao destino Verificando a conectividade de rede Usar e interpretar a saída de ferramentas de teste diferentes é muitas vezes o primeiro passo para isolar o causa de um problema de conectividade de rede. O comando ping pode ser usado para testar a conectividade sistematicamente da seguinte forma: ■ Pode um dispositivo de final de ping-se? ■ Pode um dispositivo de final de ping seu gateway padrão? ■ Pode um dispositivo final ping no destino? 62 31 Dias antes de seu exame CCNA Usando o comando ping nesta seqüência ordenada, você pode isolar problemas mais rapidamente. Se a conectividade local não é um problema, em outras palavras, o dispositivo final pode ping com êxito o seu default gateway- usando o utilitário traceroute pode ajudar a isolar em que ponto do caminho da origem ao destino que o trânsito pára. Como um primeiro passo na seqüência de testes, verificar o funcionamento da pilha TCP / IP no host local ping o endereço de loopback, 127.0.0.1, como demonstrado no Exemplo 25-1. Porque este teste deve ter sucesso, independentemente de o host está conectado à rede, uma falha indica um problema de software ou hardware na máquina em si. Tanto a interface de rede não é funcionando corretamente, ou possivelmente o suporte para a pilha TCP / IP foi removida inadvertidamente o sistema operacional. Em seguida, verificar a conectividade para o gateway default. Determine o endereço de gateway padrão usando ipconfig e em seguida, tentar ping-lo, como demonstrado no Exemplo 25-2. Exemplo 25-2 Conectividade Teste para o Default Gateway em um PC Windows
Falha aqui pode indicar vários problemas, cada um dos quais terá de ser verificado em uma sistemática seqüência. Uma ordem possível pode ser o seguinte: 1. É o cabeamento do PC para a opção correta? São luzes de link estão acesas? 2. É a configuração do PC correta de acordo com o mapa lógico da rede? 3. São as interfaces afetadas no interruptor a causa do problema? Existe um duplex ou velocidade de incompatibilidade? VLAN configurações erradas? 4. É o cabeamento do switch ao roteador correto? São luzes de link estão acesas? 5. É a configuração na interface do roteador correta de acordo com o mapa lógico da rede? É a interface ativa? Por fim, verifique a conectividade com o destino de ping-lo. Suponha que estamos tentando chegar a um servidor em 192.168.3.100. Exemplo 25-3 mostra um teste de ping foi bem sucedido para o destino.
A nota do motivo da falha nos saltos 3, 4 e 5 do Exemplo 25-4 pode ser que esses roteadores são configurados para não enviar mensagens ICMP de volta para a fonte. O último salto de sucesso no caminho para o destino era 192.168.2.2. Se você tem administrador direitos de 192.168.2.2, você pode continuar sua pesquisa por acessar remotamente a linha de comando em 192.168.2.2 e investigando por que o tráfego não será ir mais longe. Além disso, entre outros dispositivos 192.168.2.2 e 192.168.3.100 poderia ser a fonte do problema. O ponto é, você quer usar seu ping e tracert testes, bem como a documentação da rede para prosseguir na seqüência lógica da origem ao destino. Independentemente de quão simples ou complexa rede da sua é, usando ping e tracert da fonte para o destino é um simples, mas poderosa maneira, de forma sistemática e testar a conectividade localizar quebras em um caminho de uma fonte para um destino. Status da interface e da configuração do comutador Porque hoje estamos nos concentrando na solução de problemas switch, vamos olhar para os comandos mostram que são úteis na solução de sua configuração básica. Códigos de status de interface Em geral, as interfaces são ou "para cima" ou "para baixo". No entanto, quando uma interface é "baixo" e você não sabe por que, o código no comando show interfaces fornece mais informações para ajudar a determinar a razão. Tabela 25-1 lista as combinações de códigos e algumas possíveis causas para o estado indicado .. Descompasso duplex e velocidade Um dos problemas mais comuns são as questões com a velocidade e / ou desencontros duplex. em switches e roteadores, a velocidade {10 | 100 | 1000} interface do subcomando ea meia duplex {|} completa da interface subcomando definir esses valores. Note que a configuração de velocidade e
duplex em um interface do switch desativa o processo de auto-negociação IEEE-padrão em que interface. O show de status interfaces e interfaces de mostrar lista de comandos a velocidade eo duplex configurações em uma interface, como mostrado no Exemplo 25-5. Note-se que ambos os comandos irá mostrar as definições de duplex e velocidade da interface. No entanto, o comando show status da interface é o preferido para solucionar
incompatibilidades duplex ou velocidade porque ele mostra exatamente como o interruptor determinou o duplex e velocidade da interface. no coluna duplex, um full-significa que o switch autonegotiated full duplex. O meio cheio ou meio ambiente que o interruptor foi configurado nessa configuração duplex. Autonegociação foi desativado. no coluna de velocidade, uma de 100 significa que o switch 100 Mbps autonegotiated como a velocidade. A configuração de 10 ou 100 significa que o interruptor foi configurado com essa definição velocidade. Encontrar uma incompatibilidade duplex pode ser muito mais difícil do que encontrar uma incompatibilidade de velocidade, porque se as configurações de duplex não correspondem nas extremidades de um segmento de Ethernet, a interface do switch ainda estar em um estado de conexão (para cima / para cima). Neste caso, a interface funciona, mas a rede pode funcionar mal, com hosts experimentar um mau desempenho e problemas de comunicação intermitente. para identificar problemas de incompatibilidade duplex, verifique a configuração duplex em cada extremidade do link, e ver para incrementar colisão e contadores de colisão tardia. Problemas comuns Layer 1 On "Up" Interfaces Quando uma interface do switch é "para cima", não significa necessariamente que a interface está operando em um estado ideal. Por esta razão, IOS irá monitorar contadores certas para ajudar a identificar problemas que podem ocorrer mesmo que a interface está em um estado de conexão. Esses contadores são destaque na saída no Exemplo 25-5. Tabela 25-2 resume três tipos gerais de problemas da camada 1 interface que pode ocorrer enquanto uma interface está na "up", estado conectado. Tabela 25-2 Common Camada LAN 1 Indicadores Problema Tipo de valores do contador Problema indicando que este problema comum Causas Raiz Excesso de ruído Muitos erros de entrada, algumas colisões categoria cabo errado (Cat 5, 5E, 6); cabos danificados; EMI Colisões Mais de aproximadamente 0,1% de todos os quadros são colisões incompatibilidade Duplex (visto na halfduplex lado); jabber; ataque DoS Colisões tarde Aumentar domínio de colisão final colisões ou único cabo muito tempo; duplex incompatibilidade
CDP como Ferramenta de Resolução de Problemas CDP descobre informações básicas sobre roteadores conectados diretamente e switches Cisco, enviando CDP mensagens. Exemplo 25-6 mostra a saída de um interruptor que está diretamente ligado a um roteador Cisco. Exemplo de Saída 25-6 Comandos do show cdp
informação útil: ■ ID do dispositivo: Normalmente o nome do host ■ endereço de entrada (es): endereços de rede e de enlace de dados ■ Plataforma: O modelo e nível de sistema operacional em execução no dispositivo ■ Capacidades: Informações sobre que tipo de dispositivo é (por exemplo, um roteador ou switch) ■ Interface: A interface do roteador ou switch de emitir o comando show cdp com o qual o vizinho foi descoberto ■ Porto ID: Texto que identifica a porta usada pelo dispositivo vizinhos para enviar mensagens CDP para o dispositivo local
Também aviso no comando show interface cdp que cada interface do switch é o envio de CDP mensagens a cada 60 segundos. CDP é habilitado por padrão e, assim, cria um problema de segurança porque CDP mensagens podem ser interceptadas e informações sobre a rede descoberta. CDP pode ser facilmente desabilitado tanto a nível global para todo o dispositivo (sem executar cdp) ou individualmente por interface (não permitir cdp). Comutação Technologies e VLAN Conceitos Exame CCNA 640-802 Tópicos ■ Descrever avançadas Tecnologias de comutação (VTP, RSTP, VLAN, PVSTP, 802.1Q). ■ Como Descrever como as VLANs CRIAM Redes separadas logicamente eA necessidade de roteamento empreendedorismo -Los. ■ Configurar, VerificAR e solucionar Problemas de Operação RSTP. Pontos-chave Redes virtuais LOCAIS (VLANs) São UMA Tecnologia de comutação Utilizados par melhorar o Desempenho da Rede separando SO Área de domínio de transmissão Grandes los Menores. Troncos VLAN fornecer UMA MANEIRA parágrafo hum Interface Física parágrafo Transportar varias VLANs. O Protocolo IEEE 802.1Q e trunking o recomendado
Método de Marcação de Quadros parágrafo OSU los ligações tronco. Em Redes Maiores, Onde HÁ muitos muda parágrafo gerenciar, VLAN Trunking Protocol (VTP) fornece UMA MANEIRA de atualizar automaticamente com muda de Novas Informações OU Modificado VLAN. Spanning Tree Protocol (STP) e SUAS Variantes redundantes permitem Redes comutadas SEM SE preocupar com uma loops Mudança. Embora STP PoDE serviços alguns com tweaked comandos, e executado Por Padrão, nao precisando de nenhum ajuste los Tudo. Conceitos VLAN Apesar de hum switch "out of the box" e configurado par ter apenas UMA VLAN, normalmente hum interruptor vai serviços configurado par ter Duas OU VLANs Mais. Fazer ISSO CRIA Vários Área de domínio de broadcast, Colocando interfaces de ALGUMAS los UMA interfaces de VLAN e Outras los Outras VLANs. Razões parágrafo USAR VLANs incluem o seguinte: ■ Agrupamento usuarios Por departamento, EM Vez Por Localização de Física ■ segmentares Dispositivos los LANs Menores parágrafo reduzir uma sobrecarga de Processamento para Todos OS Dispositivos da LAN ■ Reduzir uma Carga de Trabalho da STP, limitando UMA VLAN hum uma chave de Acesso Único ■ Fazer cumprir UMA Melhor Segurança, isolando OS Dados sensíveis VLANs separadas parágrafo ■ Separar o Tráfego de Voz IP de Tráfego de Dados Benefícios do OSU de VLANs incluem o seguinte: ■ Segurança: Os Dados confidenciais podem serviços Isolados parágrafo UMA VLAN, separando-o do resto do Rede. ■ upgrades de rede e mais caro uso eficiente da largura de banda existente e uplinks. ■ Maior desempenho: Dividindo camada plana duas redes de transmissão em lógicas múltiplas domínios reduz o tráfego desnecessário na rede e aumenta a performance. ■ tempestade Transmissão de mitigação: VLAN segmentação evita que uma tempestade de broadcast de propagação toda a rede. ■ Facilidade de gestão e solução de problemas: Um esquema de endereçamento de rede hierárquica grupos endereços de forma contígua. Porque um esquema de endereçamento hierárquico IP torna problema componentes mais fáceis de localizar, de gerenciamento de rede e resolução de problemas são mais eficientes. Tipos de tráfego Um fator-chave para VLAN implantação é entender os padrões de tráfego eo tráfego de vários tipos na organização. Tabela 24-1 mostra os tipos comuns de tráfego de rede
que você deve avaliar antes de colocar dispositivos e configuração de VLANs. Tipos de Tabela 24-1 Tráfego Descrição Tipo de tráfego Muitos tipos de rede de tráfego de gerenciamento de rede pode estar presente na rede. Para fazer solução de problemas de gerenciamento de rede mais fácil, alguns designers atribuir uma VLAN separada para realizar certas tipos de tráfego de gerenciamento de rede. Telefonia IP Há dois tipos de tráfego de telefonia IP: informações de sinalização entre os dispositivos final e os pacotes de dados da conversa de voz. Designers muitas vezes os dados para configurar e dos telefones IP em uma VLAN separada designada para o tráfego de voz, para que possam aplicar medidas de qualidade de serviço para dar prioridade ao tráfego de voz. IP multicast tráfego Multicast pode produzir uma grande quantidade de fluxo de dados através da rede. Interruptores devem ser configurados para manter esse tráfego de inundações para dispositivos que não tenham solicitado, e os roteadores devem ser configurados para garantir que o tráfego multicast é encaminhado para as áreas de rede onde é solicitado. De dados normais o tráfego de dados é normal o tráfego de aplicações típicas que está relacionado com serviços de arquivo e impressão, e-mail, navegação na Internet, acesso a banco de dados e outras aplicações de rede compartilhada. Scavenger Scavenger classe classe inclui todo o tráfego com os protocolos ou padrões que excedem as suas normais fluxos de dados. Aplicativos atribuídos a essa classe tem pouca ou nenhuma contribuição para a organização objetivos da empresa e são tipicamente entretenimento orientados na natureza. Tipos de VLANs Alguns tipos de VLAN são definidos pelo tipo de tráfego que eles suportam, outros são definidos pelo funções específicas que desempenham. Os principais tipos de VLAN e suas descrições a seguir: ■ Dados VLAN: Configurado para transportar o tráfego gerado pelo usuário apenas, assegurando que a voz e gestão tráfego é separado do tráfego de dados. ■ Padrão VLAN: Todas as portas em um switch são membros da VLAN default quando o interruptor é redefinir os padrões de fábrica. A VLAN default para switches Cisco é a VLAN 1. VLAN 1 tem todas as características de qualquer VLAN, exceto que você não pode renomeá-lo e você não pode excluí-lo. É um melhores práticas de segurança para restringir VLAN 1 para servir como um canal só para a camada de controle de tráfego 2 (Por exemplo, CDP ou VTP), apoiando nenhum outro tráfego. 72 31 Dias antes de seu exame CCNA
Buraco negro VLAN: A melhor prática de segurança é definir um buraco negro VLAN a ser um manequim VLAN distinta de todas as outras VLANs definidas na LAN comutada. Todas as portas não utilizadas são atribuído ao buraco negro VLAN de forma que qualquer dispositivo não autorizado se conectar a um não utilizados porta do switch será impedido de se comunicar além do switch ao qual está conectado. ■ Native VLAN: Este tipo de VLAN serve como um identificador comum em lados opostos de um tronco link. A melhor prática de segurança é definir uma VLAN nativa para ser um boneco VLAN distintos Todas as outras VLANs definidas na LAN comutada. A VLAN nativa não é usado para qualquer tipo de tráfego em a rede comutada, a menos que o legado dispositivos ponte estar presentes na rede, ou um interconexão multiaccess existe entre switches unidos por um hub. ■ Gerenciamento de VLAN: A VLAN definida pelo administrador da rede como um meio para acessar o capacidades de gestão de um interruptor. Por padrão, VLAN 1 é a VLAN de gerenciamento. É uma segurança melhores práticas para definir a VLAN de gestão a uma VLAN diferente de todas as outras VLANs definido na LAN comutada. Fazê-lo, configurando e ativando uma interface nova VLAN. ■ VLANs Voz: A voz característica VLAN permite que portas do switch para transportar tráfego de voz IP de um Telefone IP. O administrador de rede configura uma VLAN de voz e atribui-lo para acessar as portas. Então, quando um telefone IP está conectado à porta do switch, o switch envia mensagens de CDP que instruir o telefone IP conectado para enviar tráfego de voz marcado com o VLAN ID voz. Exemplo VLAN de voz Figura 24-1 mostra um exemplo do uso de uma porta de um switch para ligar de telefone IP de um usuário e PC. A porta do switch está configurado para transportar o tráfego de dados na VLAN 20 tráfego de voz e na VLAN 150. O Cisco IP Phone contém um sistema integrado de três portas 10/100 para fornecer os seguintes dedicados conexões: ■ Porta 1 conecta ao switch ou dispositivo VoIP outros. ■ Porta 2 é uma interface 10/100 interna que carrega o tráfego de telefone IP. ■ Port 3 (acesso ao porto) se conecta a um PC ou outro dispositivo. Figura 24-1 Telefone IP Cisco comutação de tráfego de voz e dados
O tráfego do PC5 ligado ao telefone IP passa através do Telefone IP não identificado. o link entre S2 eo ato de telefone IP como um tronco modificadas para transportar tanto o tráfego de voz com a tag e os untagged tráfego de dados. VLANs trunking Um tronco de VLAN é um link ponto-a-ponto entre uma interface Ethernet switch Ethernet e um Interface ethernet em outro dispositivo de rede, como um roteador ou switch, transportando o tráfego de várias VLANs através do link singular. Um tronco de VLAN permite que você estenda a toda a VLANs uma rede inteira. Um tronco de VLAN não pertencem a uma VLAN específica, mas sim, ele serve como um canal de VLANs entre switches. Figura 24-2 mostra uma pequena rede comutada com um link tronco entre S1 e S2 transportar tráfego VLAN múltiplos.
Quando um frame é colocado em um link tronco, informações sobre a VLAN a que pertence devem ser adicionados ao do quadro. Isto é conseguido usando IEEE 802.1Q tagging quadro. Quando um switch recebe um quadro em uma porta configurada no modo de acesso e destinados a um dispositivo remoto através de um link tronco, o switch tem além do quadro e insere uma tag VLAN, recalcula a seqüência de verificação de quadro (FCS), e envia o tag frame para a porta do tronco. Figura 24-3 mostra a tag 802.1Q inserido em um quadro Ethernet. O campo tag VLAN consiste em um campo Tipo de 16 bits chamado de campo EtherType e um controle de Tag campo de informação. O campo EtherType está definido para o valor hexadecimal de 0x8100. Este valor é chamado tag protocolo ID (TPID) valor. Com o campo EtherType definido para o valor TPID, o interruptor recebe o quadro sabe procurar a informação no campo da informação Tag controle. o Tag campo de informação de controle contém o seguinte: ■ 3 bits de prioridade do usuário: Usado para prover a transmissão acelerada de frames Layer 2, como tráfego de voz. ■ bit 1 da Canonical Identificador Format (CFI): Permite que os frames Token Ring a ser realizadas em toda Ligações Ethernet facilmente. ■ 12 bits de VLAN ID (VID): números de identificação de VLAN.
Embora 802.1Q é o método recomendado para quadros de marcação, você deve estar ciente da Cisco protocolo legado chamado trunking Mudar Inter-link (ISL). Você deve especificar o protocolo de trunking usada em interfaces de tronco em todos os interruptores de Cisco Catalyst, exceto a série 29xx. Dynamic Trunking Protocol Dynamic Trunking Protocol (DTP) é um protocolo proprietário da Cisco que negocia, o estado de portas de tronco, bem como o encapsulamento tronco de portas de tronco. DTP gerencia a negociação só tronco se a porta no outro switch é configurado em um modo de tronco que suporta DTP. A porta do switch em um Cisco Catalyst switch suporta um número de modos de trunking. O modo de trunking define como o porta negocia com DTP para configurar uma ligação do tronco com o seu porto de pares. O seguinte é uma breve descrição de cada modo de trunking: ■ Se o interruptor está configurado com o comando tronco switchport modo, a porta do switch periodicamente envia mensagens de DTP à publicidade porta remota que está em um incondicional trunking estado. ■ Se o interruptor está configurado com o modo de comando tronco auto switchport dinâmico, o porta do switch locais anuncia para a porta do switch remoto que é capaz de tronco, mas não pedido para ir para o estado de trunking. Após uma negociação DTP, a porta local acaba em trunking Estado somente se o modo de tronco porta remota foi configurado para que o estado está ligado ou desejável. Se ambas as portas nos switches estão definidos para auto, eles não negociam para estar em um entroncamento Estado. Eles negociam a estar no estado modo de acesso.
■ Se o interruptor está configurado com o comando de modo switchport dinâmica desejável, o local porta do switch anuncia para a porta do switch remoto que é capaz de tronco e pede que o controle remoto porta do switch para ir para o estado de trunking. Se o porto local detecta que o controle remoto foi configurado como sobre, desejável, ou modo automático, a porta local acaba em trunking estado. Se o controle remoto porta do switch está no modo nonegotiate, a porta do switch local permanece como uma porta nontrunking. ■ Se o interruptor está configurado com o switchport nonegotiate comando, a porta local é então considerado em um estado trunking incondicional. Use esse recurso quando você precisa configurar um tronco com um interruptor de outro fornecedor switch. Tabela 24-2 resume os resultados das negociações DTP com base na configuração DTP diferentes comandos. Conceitos VTP O nome de propriedade da Cisco VLAN Trunking Protocol (VTP) pode ser confuso. VTP não fornecer um método para trunking entre dispositivos. Em vez disso, VTP é um protocolo de camada 2 mensagens que mantém a consistência VLAN configuração, gerenciando as adições, exclusões e nome mudanças de VLANs através de redes. VTP ajuda com VLAN de gerenciamento e embora faça a configuração e solução de problemas de VLANs mais fácil, não é necessário. Os benefícios da VTP incluem o seguinte: ■ consistência configuração de VLAN em toda a rede ■ rastreamento preciso e monitoramento de VLANs
■ relatórios dinâmica de VLANs adicionados através de uma rede Figura 24-4 mostra um exemplo de como as mensagens VTP pode ser enviada entre o servidor VTP e Clientes VTP. Figura 24-4 servidor VTP envia atualizações aos Clientes VTP 76 31 Dias antes de seu exame CCNA 802.1Q tronco VTP cliente VTP cliente VTP Cliente cliente VTP 802.1Q tronco Observe na figura que a área sombreada é chamado de domínio VTP CCNA. Um domínio VTP é um switch ou vários comutadores interconectados que compartilham anúncios VTP. Um switch pode estar apenas em um domínio VTP. Um roteador ou switch de camada 3 define o limite de cada domínio. Modos de VTP VTP opera em um de três modos: ■ Servidor: O servidor é onde VLANs podem ser criadas, excluídas ou renomeadas para o domínio. VTP servidores anunciar informações VLAN para outros switches no domínio VTP mesmo e armazenar o VLAN informações em NVRAM. ■ Cliente: Você não pode criar, alterar ou excluir VLANs em um cliente VTP. Uma redefinição exclui chave as informações da VLAN. Você deve configurar um switch para mudar seu modo VTP para o cliente. ■ Transparente: o modo transparente VTP muda a frente anúncios VTP para os clientes VTP VTP e servidores, mas não se originam ou de outra forma implementar anúncios VTP. VLANs que são criados, renomeados ou excluídos em um interruptor de modo VTP transparente são locais para essa opção somente. Operação VTP
Anúncios VTP são enviados pelo servidor a cada cinco minutos sobre o padrão VLAN usando um multicast frame. Um número de revisão de configuração incluídos no quadro é usado por todos os clientes VTP e servidores para determinar se houve uma mudança no banco de dados VLAN. Figura 24-5 ilustra VTP operação. Figura 24-5 começa com todos os interruptores com o mesmo número de revisão VLAN configuração, o que significa que eles têm a mesma configuração de banco de dados VLAN, isso significa que todos os interruptores saber sobre o mesmo número de VLAN e nomes de VLAN. O processo começa com cada switch sabendo que o número de revisão configuração atual é 3. Os passos mostrados na Figura 24-5 são as seguintes: 1. Alguém configura uma nova VLAN no servidor VTP. 2. O servidor VTP atualiza seu banco de dados VLAN número de revisão 3-4. 3. O servidor envia mensagens de atualização VTP fora interfaces de seu tronco, afirmando número de revisão 4. 4. Os dois switches cliente VTP notar que as atualizações de lista um número maior de revisão (4) do que seus atuais números de revisão (3). 5. Os dois switches cliente atualizar seus bancos de dados VLAN com base em atualizações VTP do servidor. VTP define três tipos de mensagens: ■ anúncio Resumo: Enviados a cada 5 minutos pelo servidor, que lista o número de revisão, nome de domínio, e outras informações, mas nenhuma informação VLAN. ■ anúncio Subconjunto: Segue uma propaganda de resumo se algo mudou na VLAN banco de dados, indicado por um novo número de revisão maior. ■ mensagem de solicitação Anúncio: Permite que um switch para solicitar imediatamente mensagens VTP a partir de um interruptor de vizinhos, logo que um tronco vem à tona. poda VTP Por padrão, uma conexão de tronco carrega o tráfego para todas as VLANs no domínio da gestão VTP, no entanto,
cada opção pode não ter portas atribuídas a cada VLAN. Poda VTP usa anúncios VLAN para determinar quando uma conexão de tronco está inundando o tráfego de VLAN desnecessariamente. Poda significa que as interfaces de tronco apropriado mudar não enche quadros em que VLAN. Figura 24-6 mostra um exemplo, com os retângulos de linha tracejada indicando os troncos a partir da qual VLAN 10 foi automaticamente podadas. Conceitos STP e Operação Uma das principais características de uma rede de comunicações bem construído é que ela é resistente. este significa que a rede precisa ser capaz de lidar com um dispositivo ou falha de ligação através de redundância. A topologia redundante pode eliminar um ponto único de falha, usando vários links, vários dispositivos, ou ambos. Spanning Tree Protocol (STP) é usado para prevenir loops em uma rede redundante comutada. Sem STP, a redundância na rede comutada iria introduzir as seguintes questões: ■ tempestades Broadcast: Cada transmissões inundações mudar incessantemente, chamada de tempestade de broadcast. ■ transmissão de quadros múltiplos: Várias cópias de quadros unicast podem ser entregues para o destino causando erros irrecuperáveis. ■ instabilidade do banco de dados MAC: Instabilidade no conteúdo dos resultados endereço MAC da tabela cópias do mesmo quadro sendo recebida em vários portos do interruptor. STP é um comitê IEEE padrão definido como 802.1d. STP lugares certos portos no bloqueio estado para que eles não ouvir, encaminhar ou quadros de dados de inundação. STP cria uma árvore que garante só há um caminho para cada segmento de rede a qualquer momento. Então,
se qualquer segmento experiências uma interrupção na conectividade, STP reconstrói uma nova árvore, ativando os inactivos anteriormente, mas caminho, redundante. O algoritmo usado pelo STP escolhe as interfaces que devem ser colocados em um estado de encaminhamento. Para todas as interfaces não escolheu estar em um estado de encaminhamento, a STP coloca a interfaces em Bloqueio de Estado. Switches de troca de configuração STP mensagens a cada 2 segundos por padrão usando um multicast quadro chamado de ponte protocolo dados unidade (BPDU). Uma das peças de informação incluída no o BPDU é o ID ponte (BID). O BID é único para cada parâmetro e é composto por um valor de prioridade (2 bytes) e da ponte MAC address (6 bytes). A prioridade padrão é 32.768. A ponte de raiz é a ponte com o menor BID. Portanto, se o valor de prioridade padrão não é alterado, o switch com o menor MAC endereço vai se tornar root. Para iniciar o processo, o algoritmo STP elege um comutador raiz e coloca todas as interfaces de trabalho sobre o interruptor de raiz no estado de encaminhamento. Então, cada switch nonroot considera uma de suas portas para ter o menor custo administrativo entre si mesmo eo root switch. STP coloca este menos raiz de custo interface, chamada de porta do switch que é raiz (RP), no estado de encaminhamento. Finalmente, muitos switches podem anexar ao mesmo segmento Ethernet. Dessa forma o switch com o menor custo administrativo de si mesmo para a ponte raiz, em comparação com os outros switches ligados ao mesmo segmento, é colocado em Encaminhamento de Estado. O interruptor de menor custo em cada segmento é chamada de bridge designada, e que interface de ponte, ligado a esse segmento, é chamado a porta designada (DP). Interruptores que são pontes não têm seus portos designados nondesignated colocado em bloqueio Estado. Tabela 24-3 resume as razões STP colocar um porto em Forwarding ou Bloqueio de Estado. Tabela 24-4 STP: Razões para Forwarding ou Bloqueio Caracterização de Descrição do Porto Estado STP Todas as portas do comutador raiz Forwarding O switch raiz é sempre o interruptor designado em todos conectados segmentos. Cada switch não-raiz do Forwarding A porta pela qual o switch tem o menor custo para porta raiz alcançar o interruptor raiz. Cada LAN é designado Forwarding O interruptor de encaminhamento do BPDU de menor custo para a
segmento é a chave da porta designada para esse segmento. Todas as outras portas que trabalham bloqueando a porta não é usado para encaminhamento de quadros, nem quaisquer quadros recebeu nessas interfaces considerado para encaminhamento. Largura de banda porta é usada para determinar o custo para atingir a ponte raiz. Tabela 24-4 lista o padrão custos portuários definido pelo IEEE, que teve que ser revisto com o advento de 10 Gbps. Dia 24 79 Um quinto estado, condicionada, ocorre ou quando um administrador de rede manualmente desativa a porta ou um violação de segurança desativa a porta. Conceitos RSTP e Operação IEEE melhorou o desempenho convergência de STP de 50 segundos para menos de 10 segundos com sua definição do Rapid STP (RSTP) na 802.1w padrão. RSTP é idêntica à STP nos seguintes maneiras: ■ Ele elege o root switch usando os mesmos parâmetros e critérios de desempate.
■ Ele elege o porta raiz em switches não-raiz com as mesmas regras. ■ Elege portos designados em cada segmento LAN com as mesmas regras. ■ Ele coloca cada porta em qualquer encaminhamento ou Bloqueio de Estado, embora RSTP chama de bloqueio Estado do Estado Discarding. As principais alterações com RSTP pode ser visto quando ocorrem alterações na rede. RSTP age de forma diferente em algumas interfaces com base no que está ligado à interface. ■ Comportamento Borda-Type e PortFast: RSTP melhora de convergência para borda-tipo conexões colocando imediatamente a porta no estado de encaminhamento quando a ligação é fisicamente ativo. ■ ligação Type-Compartilhada: RSTP não faz nada diferente do STP no link do tipo compartilhada links. No entanto, porque a maioria das ligações entre switches de hoje não são compartilhadas, mas são tipicamente full-duplex ponto-a-ponto links, não importa. ■ ligação Type-Point-to-Point: RSTP melhora a convergência mais full-duplex ligações entre switches. RSTP reconhece a perda do caminho para a ponte raiz, através da porta de raiz, em 3 vezes que o timer Olá, ou 6 segundos com um valor de timer padrão Olá de 2 segundos. Então RSTP reconhece um caminho perdido para a raiz muito mais rapidamente. RSTP usa terminologia diferente para descrever porta estados. Tabela 24-5 lista os estados de porta para RSTP e STP. RSTP elimina a necessidade de escuta do Estado e reduz o tempo necessário para o estado de aprendizagem por ativamente descobrir novo estado da rede. STP passivamente espera por nova BPDUs e reage a Os Estados-los durante o Ouvir e Aprender. Com RSTP, os interruptores negociar com vizinhos interruptores, enviando mensagens RSTP. As mensagens de permitir que os switches para determinar rapidamente se uma interface pode ser imediatamente transferida para um Estado Forwarding. Em muitos casos, o processo leva apenas um ou dois segundos para o domínio RSTP inteiro. RSTP também adiciona mais três papéis de porta à porta de raiz e os papéis
definidos na porta designada STP. Tabela 24-6 listas e define as funções de porta. Tabela 24-6 RSTP e funções STP Porto Tradução do inglês para português Configurando e Verificando STP Por padrão, todos os switches Cisco uso STP sem nenhuma configuração pelo administrador da rede. No entanto, devido STP é executado em uma base per-VLAN, cria uma instância de spanning-tree em separado para cada VLAN, você pode tirar vantagem de várias opções para equilibrar a carga de tráfego através de ligações redundantes. PVST +, PVRST e MIST 802.1d não suporta uma instância de spanning-tree para cada VLAN VLANs porque não existia quando a norma foi introduzida pela primeira vez. Switches Cisco incluem uma funcionalidade proprietária chamada Per- VLAN Spanning Tree Plus (PVST), que cria uma instância separada do STP para cada VLAN. Novamente, quando introduziu IEEE 802.1w, ainda havia nenhum suporte para várias instâncias de STP. assim Cisco implementada uma outra solução proprietária chamada ou árvore-Per VLAN Rapid Spanning (RPVST) ou Per-Rapid Spanning Tree VLAN (PVRST). Mais tarde, criou o padrão IEEE 802.1s chamado de várias instâncias de Spanning Tree (MIST). Tabela 24-7 resume essas três opções para usando várias árvores que medem a carga de tráfego equilíbrio. Configurando e Verificando o BID Independentemente do que per-VLAN Spanning Tree é usada, duas opções de configuração principal pode ser utilizados para alcançar balanceamento de carga da ponte-ID e porta manipulação de custos. ID da ponte influências a escolha de root switch e pode ser configurado por VLAN. Cada interface é (per-VLAN) custo STP para atingir a raiz influencia a escolha da porta designada em cada segmento LAN. porque PVST exige que uma instância separada do spanning tree executado para cada
VLAN, o campo BID é necessária para realizar VLAN ID informações (VID). Isto é conseguido através da reutilização de uma parte do campo Prioridade como a identificação do sistema estendido para transportar um VID. Tabela 24-8 resume as configurações padrão para ambos BID e custos portuários. Figura 24-8 mostra um simples interruptor de três STP topologia. Observação Esses comandos alterados os valores de prioridade somente para a VLAN 1. comandos adicionais deve ser inserido para cada VLAN para aproveitar o balanceamento de carga. Para verificar a corrente spanning-tree instâncias e pontes root, use o show spanning-tree comando como mostrado no Exemplo 24-1. Exemplo 24-1 Verificando Spanning Tree-Configurations
Porque um sistema alargado ID é usado no BID, o valor da prioridade inclui a adição ID da VLAN. Assim, uma prioridade de 24576, mais uma VLAN de 1 resulta em uma produção de 24.577 prioridade. PortFast Para acelerar a convergência para as portas de acesso quando eles se tornam ativos, você pode usar de propriedade da Cisco Tecnologia PortFast. Depois PortFast está configurado e uma porta é ativado, a porta imediatamente transições do estado de bloqueio para o estado de encaminhamento. Exemplo 24-2 mostra o comando de interface para configurar PortFast. Alternativamente, você pode configurar o comando global spanning-tree padrão portfast, que permite PortFast por padrão em todas as portas de acesso. Configurando RSTP Lembre-se, STP é a operação padrão dos switches Cisco. Para mudar para RSTP e PVRST, use um comando global única em todos os switches: spanning-tree modo rápido PVST.
Solução de problemas STP STP é executado por padrão em switches e raramente causa problemas em pequenas e médias redes. No entanto, você pode encontrar problemas STP solução de problemas no exame. Use o seguinte passos para analisar um problema de STP: Passo 1 Determine a chave raiz. Passo 2 Para cada switch não-raiz, determino a sua porta de raiz um (RP) e custo para atingir a raiz interruptor através desse RP. Passo 3 Para cada segmento, determine a porta designada (DP) e os custos anunciados pelo DP para esse segmento. As informações solicitadas em cada um dos of the steps can be obtained from variations of the show spanning-tree command.
VTP e InterVLAN Routing Configuração e resolução de problemas Exame CCNA 640-802 Tópicos ■ Configurar, verificar e solucionar problemas de VTP. ■ Configurar, verificar e solucionar problemas de inter-VLAN routing. Pontos-chave Hoje nós revemos os comandos e tarefas necessárias para configurar, verificar e resolver problemas VLAN Protocolo de trunking (VTP). Além disso, fazemos uma revisão inter-VLAN routing e comandos de um router routeron- um pau-de implementação. VTP Configuração e Verificação VTP é uma camada de protocolo de mensagens 2, que mantém a consistência VLAN configuração, gestão as adições, exclusões e alterações de nome de VLANs através de redes. Esta seção usa o topologia exemplo na Figura 22-1, que é a mesma topologia usada para o dia 23. Você deve construir e configurar esta topologia como parte de sua revisão para o exame CCNA. Depois de escolher qual opção será o servidor e que muda serão os clientes, use o seguinte passos para configurar o VTP: Etapa 1 Configurar o modo VTP usando o modo VTP server {|} cliente de configuração global comando. Passo 2 (Opcional, mas recomendado) Em ambos os clientes e servidores, configure o mesmo case-sensitive senha usando o vtp password valor de comando de configuração global. Etapa 3 Configurar os VTP nome de domínio (caso-sensível), utilizando o domínio VTP nome de domínio
comando de configuração global. Passo 4 (Opcional) Configure poda VTP nos servidores VTP usando a poda vtp mundial comando de configuração. Passo 5 (Opcional) Ativar versão VTP 2 com a versão 2 vtp comando de configuração global. Passo 6 Abra troncos entre os switches. Antes de configurar o VTP, olhar para o estado VTP padrão de S1. Para fazer isso, use o comando show vtp status como mostrado no Exemplo 22-1. Exemplo 22-1 Configuração VTP padrão em S1 98 31 Dias antes de seu exame CCNA Observe o número de revisão de configuração é 0 e que o número de VLANs existentes é de 5 a cinco VLANs padrão que sempre existe no switch. Notar também que S1 já é um servidor VTP. Os comandos no Exemplo 22-2 S1 configurar como o servidor usando cisco como a senha VTP e CCNA como o nome de domínio VTP. Porque S2 e S3 compartilhar todas as VLANs mesmo, não estamos configurando VTP poda (habilitado globalmente com a poda vtp de comando). Vamos também deixar VTP na versão padrão de um modo (habilitado globalmente com a versão do comando vtp 2). S1 # Observe o número de revisão de configuração é 0 e que o número de VLANs existentes é de 5 a cinco VLANs padrão que sempre existe no switch. Notar também que S1 já é um servidor VTP. Os comandos no Exemplo 22-2 S1 configurar como o servidor usando cisco como a senha VTP e CCNA como o nome de domínio VTP. Porque S2 e S3 compartilhar todas as VLANs mesmo, não estamos configurando VTP poda (habilitado globalmente com a poda vtp de comando). Vamos também deixar VTP
na versão padrão de um modo (habilitado globalmente com a versão do comando vtp 2). Observação configurado a senha VTP antes do nome de domínio VTP por uma razão específica. Assim que o nome de domínio VTP está configurado, S1 começará o envio de mensagens VTP em todos os links tronco que estão ativos. Se liga a outra extremidade do tronco está usando o VTP padrão de configuração (modo de servidor, nulo como o nome de domínio, e sem senha), eles vai começar a usar o nome de domínio enviadas nas mensagens VTP. Isto pode causar banco de dados VLAN corrupção se o interruptor de recepção tem um número maior do que a revisão da configuração configurado servidor. O interruptor de recepção é também um servidor VTP e enviar seu banco de dados VLAN para o servidor VTP configurado. Ao configurar a senha primeiro, evitar o potencial de que isso aconteça. Após as chaves na outra extremidade dos troncos são configurados como clientes, seu número de revisão de configuração é reposto a 0. Então, quando o nome do domínio e senha são configurados, atualizações VTP será solicitado do servidor VTP. Nós explicitamente configurado S1 como um servidor VTP ao invés de assumir que está no servidor VTP default modo. Exemplo 22-3 mostra os comandos utilizados para verificar a configuração.
Exemplo 22-4 mostra os comandos para configurar S2 como um cliente com a mesma senha e nome de domínio como S1. Repita os mesmos comandos em S3. Exemplo 22-4 configurar os clientes VTP Novamente, verifique a configuração com o status vtp show e mostrar comandos senha vtp. Neste ponto, configure as VLANs no servidor VTP, S1. Você não será capaz de criar VLANs em S2 ou S3. Se você tentar, você vai receber a mensagem de console a seguir: S3 (config) # vlan 10 VTP VLAN configuração não é permitida quando o dispositivo está no modo CLIENT. S3 (config) # Lembre-se, no entanto, que nos interruptores cliente que você ainda será capaz de atribuir portas do switch para específicos VLANs. Depois de configurar as VLANs, observe que o número de revisão de configuração é incrementado para
cada modificação no banco de dados VLAN. Se você não fez erros em sua configuração, a configuração do número de revisão deve ser de 8, como mostrado no Exemplo 22-5 e um incremento para cada vez que você adicionado um dos quatro VLANs e um incremento para cada vez que você nomeada uma das VLANs. Há agora um total de nove VLANs no servidor. Exemplo 22-5 Verificando a configuração de VLAN no servidor VTP S1 # S2 e S3 não receberam as VLANs ainda porque os troncos não estão ativos entre os switches e S1. Neste caso, configure as interfaces apropriadas S1 ao tronco e atribuir VLAN 99 como o nativa VLAN. Em alguns casos, DTP irá negociação automática os links tronco
em S2 e S3. agora, tanto interruptores cliente deve ter recebido VTP anunciar para S1. Como mostrado no Exemplo 22-6, tanto S2 e S3 têm bases de dados sincronizadas VLAN. Exemplo 22-6 Verificando S2 e S3 agora tem sincronizado bancos de dados VLAN Nota Embora a configuração da VTP faz ajudar a gerenciar a configuração de VLAN em suas redes, não é necessário para criar VLANs. Além disso, VTP não atribui VLANs para alternar portos. Você deve atribuir manualmente VLANs para mudar portas em cada switch. Para evitar o uso VTP de um switch, configurá-lo para usar o modo transparente: Switch (config) # vtp modo transparente A mudança não irá atualizar seu banco de dados VLAN a partir de mensagens VTP, mas vai ainda encaminhar o VTP mensagens para fora interfaces de tronco. Além disso, você pode configurar VLANs em um switch locais em VTP modo transparente.
Solução de problemas VTP Embora VTP oferece um nível de eficiência para a sua rede de comutação, permitindo que você configure seu banco de dados VLAN em um servidor VTP, VTP também tem o potencial de causar sérios problemas. Para combater o mau uso do VTP nas redes de produção, a Cisco criou o tutorial seguinte formação em Cisco.com, que você deve rever como parte de sua preparação para o exame CCNA: http://www.cisco.com/warp/public/473/vtp_flash/ Os passos seguintes são uma forma sistemática de determinar por que VTP não está actualmente a trabalhar como esperado. Passo 1 Verifique os nomes switch, topologia (incluindo quais interfaces que conectar switches), e alternar entre os modos VTP. Passo 2 Identificar conjuntos de dois switches vizinhos que devem ser clientes ou servidores VTP cujas bases de dados VLAN diferem com o comando vlan show. Passo 3 Em cada par de dois switches vizinhos cujas bases de dados diferentes, verifique o seguinte: a. Pelo menos um tronco operacional deve existir entre as duas chaves (use o show interfaces de comando tronco, switchport interfaces de show, ou mostrar vizinhos cdp~ b. Os interruptores devem ter o mesmo nome de domínio (case-sensitive) VTP (show vtp status). c. Se configurado, os interruptores devem ter o mesmo (caso-sensível) senha VTP (Show senha vtp). d. Embora poda VTP deve ser ativado ou desativado em todos os servidores na mesma domínio, tendo dois servidores configurados com as definições de poda oposto não impede o processo de sincronização. Passo 4 Para cada par de chaves identificadas no Passo 3, resolver o problema por qualquer solução de problemas o problema trunking ou reconfigurar uma opção para corresponder corretamente o nome de domínio ou senha. Para evitar o potencial de problemas VTP, implementar as seguintes práticas recomendadas. ■ Repor o número de revisão de configuração antes de instalar uma nova opção. Isto pode ser feito em uma das seguintes formas: - Mude o interruptor para VTP modo transparente. - Alterar o nome de domínio para algo diferente do nome de domínio existentes. - Apague o arquivo vlan.dat e recarregar o switch.
■ Se você não pretende usar VTP em tudo, configurar cada switch para usar o modo transparente. ■ Se você estiver usando servidor VTP ou modo de cliente, use sempre uma senha VTP. ■ Evite ataques VTP pela desativação do potencial para a negociação dinâmica trunking em todas as interfaces exceto troncos conhecidos quer com o modo de acesso switchport ou switchport nonegotiate comandos. Inter-VLAN roteamento de configuração e Verificação Cisco apoio interruptores dois protocolos de trunking: Inter-Switch Link (ISL) e IEEE 802.1Q. Cisco ISL criado muitos anos antes da IEEE criou o padrão de protocolo 802.1Q VLAN trunking. Porque é proprietário da Cisco ISL, ele pode ser usado apenas entre dois switches Cisco que suportam ISL. ISL encapsula totalmente cada quadro Ethernet original em um cabeçalho ISL e trailer. Anos após a Cisco criou ISL, o IEEE completou trabalhar no padrão 802.1Q, que define uma maneira diferente de fazer trunking. Hoje, 802.1Q tornou-se o protocolo de trunking mais popular, com Cisco nem mesmo apoiando ISL em alguns de seus modelos mais recentes de switches LAN, incluindo o 2960 parâmetros utilizados nos exemplos neste livro. 802.1Q na verdade não encapsular o original quadro em outro cabeçalho Ethernet e trailer. Em vez disso, insere 802.1Q um extra de 4-byte cabeçalho VLAN para o cabeçalho do quadro original de Ethernet. Para mais detalhes sobre as diferenças e semelhanças entre ISL e 802.1Q, ver os recursos do seu estudo. Configurando o roteamento inter-VLAN é bastante simples. Consulte o exemplo mostrado na topologia Figura 22-2 para rever os comandos.
Este router-on-a-stick topologia é configurado usando as seguintes etapas no roteador: Passo 1 Ative a interface física que está trunking com a chave usando o shutdown comando. Passo 2 Entre no modo de configuração subinterface para a VLAN primeiro que precisa de encaminhamento. uma convenção é usar o número VLAN como o número subinterface. Por exemplo, o comando interface de fa0/1.10 entra no modo de configuração para subinterface VLAN 10. Etapa 3 Configurar o tipo de encapsulamento trunking usando o comando de configuração subinterface encapsulamento {dot1q | isl} vlan-número [nativa]. Definir o encapsulamento dot1q-quer isl ou para o tipo usado pelo switch. Em alguns roteadores, o nativo palavra chave opcional deve ser configurado para a VLAN nativa antes do roteador irá encaminhar a VLAN nativa. Etapa 4 Configurar o endereço IP e máscara de sub-rede. Repita o passo 5 Passos 2 a 4 para cada VLAN adicionais que necessita de encaminhamento. Presumindo que a opção já está configurado com VLANs e trunking, Exemplo 22-7 mostra a comandos para configurar R1 para fornecer roteamento entre VLAN 10 e VLAN 30.
Para verificar a configuração, utilize o show ip route e mostrar comandos ip interface brief para fazer certeza de que as novas redes estão na tabela de roteamento e os subinterfaces são "up" e "up" como mostra a Exemplo 22-8. Exemplo 22-8 Verificando o Inter-VLAN configuração de roteamento. Supondo-se que o interruptor e PCs estão configurados corretamente, os dois PCs deve agora ser capaz de pingar um ao outro. R1 irá rotear o tráfego entre 10 e VLAN VLAN 30. Solução de problemas Inter-VLAN Routing Para solucionar problemas com inter-VLAN routing que estão diretamente relacionados à configuração do roteador, confirme o seguinte: ■ É o cabeamento físico para a opção correta? ■ É a interface física ativado? ■ O encapsulamento definido para o tipo certo?
■ O endereçamento IP correto? Se você responder "não" a qualquer destas perguntas, isolar e corrigir o problema.
Day 21 Dia 21 IPv4 Endereço Subnetting Exame CCNA 640-802 Tópicos ■ Calcular e aplicar um esquema de endereçamento, incluindo a concepção VLSM endereçamento IP a uma rede. ■ Determinar o esquema de endereçamento sem classe apropriado usando VLSM e sumarização de satisfazer os requisitos de endereçamento em um ambiente de LAN / WAN. ■ Descrever a operação e os benefícios do uso de IP privado e público de endereçamento. Tópicos-chave Até agora, você deve ser capaz de sub-rede muito rapidamente. Por exemplo, você deve ser capaz de rapidamente responder a uma pergunta como: Se você receber um / 16 da rede, o que máscara você usaria que
seria maximizar o número total de sub-redes enquanto continua a fornecer endereços suficientes para o maior sub-rede com 500 hosts? A resposta seria 255.255.254.0 ou / 23. Isto lhe daria 128 sub-redes com 510 hosts utilizáveis por subnet. Você deve ser capaz de calcular esta informação em muito curto espaço de tempo. O exame CCNA promete contêm grande quantidade de sub-redes e sub- perguntas relacionadas. Hoje enfocamos essa habilidade necessárias, bem como projetar esquemas de endereçamento usando de comprimento variável mascaramento de sub-rede (VLSM) e sumarização para otimizar o tráfego de roteamento da rede. Nós também rever a diferença entre público e privado de endereçamento. Endereçamento IPv4 Embora IPv6 está rapidamente sendo implantado no backbone da Internet, e todas as redes do governo dos EUA eram obrigados a ser compatíveis com IPv6 até 30 de junho de 2008, a migração longe de IPv4 vai demorar anos para ser concluído. Mesmo que as redes do governo dos EUA estão agora IPv6 capaz, isso não significa que eles estão executando IPv6. Então IPv4 e sua habilidade em seu uso ainda está em demanda. Formato do cabeçalho Para facilitar o encaminhamento de pacotes através de uma rede, o conjunto de protocolos TCP / IP usa uma lógica de 32 bits endereço conhecido como um endereço IP. Este endereço deve ser único para cada dispositivo na internetwork. Figura 21-1 mostra o layout do cabeçalho IPv4. Note-se que cada pacote IP transporta este cabeçalho, que inclui um endereço IP de origem e IP de destino endereço Nota hoje o seu ISP lhe atribui um bloco de endereços que não tem nenhuma relação com o original classes. Baseado em suas necessidades, você poderia ser atribuído um ou mais endereços. mas com o uso de NAT e endereços privados dentro da sua rede, raramente você vai precisar de mais do que um punhado de endereços IP públicos. Em um esquema de classes de endereço, os dispositivos que operam na camada 3 pode determinar a classe de endereço do um endereço IP a partir do formato dos primeiros bits no primeiro octeto. Inicialmente, isso foi importante para que um dispositivo de rede poderia aplicar a máscara de sub-rede padrão para o endereço e determinar a endereço de host. Tabela 21-1 resume como os endereços são divididos em classes, a sub-rede padrão máscara, o número de redes por classe, eo número de hosts por endereço de rede classful.
Nota hoje o seu ISP lhe atribui um bloco de endereços que não tem nenhuma relação com o original classes. Baseado em suas necessidades, você poderia ser atribuído um ou mais endereços. mas com o uso de NAT e endereços privados dentro da sua rede, raramente você vai precisar de mais do que um punhado de endereços IP públicos. Em um esquema de classes de endereço, os dispositivos que operam na camada 3 pode determinar a classe de endereço do um endereço IP a partir do formato dos primeiros bits no primeiro octeto. Inicialmente, isso foi importante para que um dispositivo de rede poderia aplicar a máscara de sub-rede padrão para o endereço e determinar a endereço de host. Tabela 21-1 resume como os endereços são divididos em classes, a sub-rede padrão
máscara, o número de redes por classe, eo número de hosts por endereço de rede classful. Na última coluna, o "menos 2" para hosts por rede é a conta para a rede reservada e endereços de broadcast para cada rede. Estes dois endereços não podem ser atribuídos a hosts. Nota Não estamos revendo o processo de conversão entre binário e decimal. neste ponto em seus estudos, você deve estar se movendo muito confortável entre a numeração dois sistemas. Se não, tome algum tempo para praticar esta habilidade necessária. Referem-se ao estudo " Recursos secção ". Você também pode pesquisar na Internet para conversão de binário truques, dicas e jogos para ajudá-lo a prática. Propósito da Máscara Máscaras de sub-rede são sempre uma série de bits um seguidos por uma série de zero bits. O limite onde as mudanças de série para os zeros é a fronteira entre a rede e host. Isto é como um dispositivo que opera na camada 3 determina o endereço de rede para um pacote por encontrar o bit limite onde a série de bits de um termina ea série de bits zero começa. O limite de bits para máscaras de sub-quebra na fronteira octeto. Determinar o endereço de rede para um endereço IP que
usa uma máscara padrão é fácil. Por exemplo, um roteador recebe um pacote destinado a 192.168.1.51. Por "AND" o endereço IP ea máscara de sub-rede, o roteador determina o endereço de rede para o pacote. Pelo "AND" regras, um e um é igual a um. Todas as outras possibilidades iguais a zero. Tabela 21-2 mostra os resultados do "AND" operação. Observe que os bits de host no último octeto são ignorados. Tabela 21-2 "AND" um endereço IP e máscara de sub-rede para encontrar o endereço de rede Sub-redes em quatro etapas Todo mundo tem um método preferido de subnetting. Cada professor irá utilizar uma estratégia um pouco diferente ajudar os alunos a dominar esta habilidade crucial. Cada um dos sugerido "Resources Study" tem um pouco forma diferente de abordar este assunto. O método que eu prefiro pode ser dividido em quatro etapas: Passo 1 Determine quantos bits para emprestar com base nos requisitos de rede. Passo 2 Determine a nova máscara. Passo 3 Determine o multiplicador de sub-rede. Passo 4 Lista as sub-redes sub-rede, incluindo endereço, gama de hospedeiros, e endereço de broadcast. A melhor maneira de demonstrar este método é usar um exemplo. Vamos supor que você tem a rede endereço 192.168.1.0 com a sub-rede 255.255.255.0 máscara padrão. O endereço de rede e
máscara de sub-rede pode ser escrita como 192.168.1.0/24. A "barra 24" representa a máscara de sub-rede em um menor notação e significa o primeiro 24 bits são bits de rede. Vamos assumir que você precisa de 30 hosts por rede e deseja criar sub-redes como muitos, para determinado espaço de endereçamento possível. Com estes requisitos de rede, vamos sub-rede do espaço de endereço. Determine quantos bits to Borrow Para determinar o número de bits você pode tomar emprestado, primeiro você deve saber quantos bits de host você tem que começar. Porque os primeiros 24 bits são bits de rede no nosso exemplo, os restantes 8 bits são bits de host. Porque a nossa exigência especifica 30 endereços de hosts por sub-rede, é preciso primeiro determinar a número mínimo de bits de host para sair. Os bits restantes podem ser emprestados: Bits Host = Bits Borrowed + Bits Esquerda Para fornecer espaço de endereço suficiente para 30 hosts, precisamos deixar 5 bits. Use a seguinte fórmula: 2BL - 2 = número de endereços de host onde o expoente é BL pedaços deixados na parte do host. Lembre-se, o "menos 2" é a conta para os endereços de rede e broadcast que não podem ser atribuídos a hosts. Neste exemplo, deixando 5 bits na parte do host irá fornecer a quantidade certa de endereço de host: 25-2 = 30. Porque temos 3 bits restantes na parte do host original, tomamos emprestado todos esses bits para satisfazer a exigência de "criar sub-redes como possível." Para determinar quantas sub- redes podemos criar, utilizar a seguinte fórmula: 2BB = número de sub-redes onde o expoente é BB bits emprestados da parte do host. Neste exemplo, o empréstimo de 3 bits da parte do host vai criar 8 sub-redes: 23 = 8. Como mostrado na Tabela 21-4, os 3 bits são tomados emprestados dos bits mais à esquerda na parte do host. o bits de destaque na tabela mostram todas as combinações possíveis de manipular a 8 bits emprestados para criar as sub-redes. Binary tabela 21-4 e valor decimal do octeto Subnetted
Determinar a máscara de sub-Novo Observe na Tabela 21-4 que os bits de rede agora inclui os 3 bits de host emprestado no último octeto. Adicione estes 3 bits para o 24 bits na máscara de sub-rede original e você tem uma nova máscara / 27. em formato decimal, ligar o 128, de 64, e 32 bits do último octeto para um valor de 224. Assim, a nova máscara de sub-rede é 255.255.255.224. Determine o multiplicador de sub-rede Observe na Tabela 21-4 que o último octeto incrementos de valor decimal por 32, com cada número de sub-rede. O número 32 é o multiplicador de sub-rede. Você pode encontrar rapidamente o multiplicador de sub-rede usando um dos dois métodos: ■ Método 1: Subtrair o último octeto zero da máscara de sub-rede de 256. Neste exemplo, o octeto zero último é 224. Assim, o multiplicador de sub-rede é 256-224 = 32. ■ Método 2: O valor decimal do último bit emprestado é o multiplicador de sub- rede. Neste exemplo, contraímos um empréstimo em 128 bits, o bit 64, e os de 32 bits. O bit 32 é o último bit nós emprestamos e é, portanto, o multiplicador de sub-rede. Usando o multiplicador de sub-rede, você não precisa mais converter os bits de sub-rede binário para decimal. A lista de sub-redes, Ranges Host e Endereços de Difusão Listagem das sub-redes, intervalos de host e endereço de broadcast ajuda você a ver o fluxo de endereços dentro um espaço de endereço. Tabela 21-5 documentos esquema de sub-rede a nossa abordagem para a 192.168.1.0/24 espaço de endereço.
Exemplo 3 sub-redes Sub-rede do espaço de endereço 172.16.10.0/23 para fornecer pelo menos 60 endereços de hosts por sub-rede durante a criação de como sub-redes possíveis. 1. Há 9 bits de host. Deixe 6 bits para endereços de host (26-2 = 62 endereços de hosts por sub-rede). Emprestado os primeiros 3 bits de host para criar sub-redes o maior número possível (23 = 8 sub-redes). 2. A máscara de sub-rede original é / 23 ou 255.255.254.0. Ligue os próximos 3 bits começando com o último bit do segundo octeto para uma nova máscara de / 26 ou 255.255.255.192. 3. O multiplicador de sub-rede é de 64, que pode ser encontrado como 256-192 = 64 ou porque o bit 64 é o último bit emprestado.
4. Tabela 21-7 enumera os primeiros três sub-redes, intervalos de host e endereço de broadcast. VLSM Você deve ter notado que o espaço de endereço a partir de Subnetting Exemplo 3 não é um todo endereço classful. Na verdade, é sub-rede de 5 Subnetting Exemplo 2. Assim, em sub-redes Exemplo 3, nós "subnetted uma sub-rede." Isso é o que é VLSM em poucas palavras- subnetting uma sub-rede. Com VLSM, é possível personalizar o seu sub-redes para caber sua rede. Subnetting funciona da mesma maneira. Você apenas tem que fazê-lo mais de uma vez para completar o seu esquema de endereçamento. Para evitar a sobreposição espaços de endereço, comece com sua exigência maior host, criar uma sub- rede para ele, e depois continuar com a exigência de receber o maior seguinte. Vamos usar um pequeno exemplo. Dado o espaço de endereços 172.30.4.0/22 e os requisitos de rede mostrado na Figura 21-3, aplicar um esquema de endereçamento que conserva a maior quantidade de endereços para o crescimento futuro. Figura 21-3 Exemplo de Topologia VLSM. Precisamos de cinco sub-redes: quatro sub-redes LAN e uma sub-rede WAN. Começando com o maior anfitrião exigência de LAN 3, começam subnetting o espaço de endereço. Para satisfazer a exigência de 250 hosts, deixamos 8 bits hosts (28-2 = 252 hosts por sub-rede). porque temos 10 total do hospedeiro bits, tomamos emprestado 2 bits para criar a
primeira rodada de sub-redes (22 = 4 sub-redes). A máscara de sub-rede de partida é / 22 ou 255.255.252.0. Ligamos os próximos dois bits na máscara de sub-rede para obter / 24 ou 255.255.255.0. O multiplicador é 1. As quatro sub-redes são os seguintes: ■ sub-rede 0: 172.30.4.0/24 ■ Subnet 1: 172.30.5.0/24 ■ Sub-rede 2: 172.30.6.0/24 ■ sub-rede 3: 172.30.7.0/24 Atribuição de sub-rede 0 a LAN 3, ficamos com três / 24 sub-redes. Continuando a maior nos próximos exigência de host na LAN 4, tomamos uma sub-rede, 172.30.5.0/24 e sub-rede ainda mais. Para satisfazer a exigência de 100 hosts, deixamos 7 bits (27-2 = 128 hosts por sub-rede). Porque nós tem 8 bits de host total, podemos tomar emprestado apenas 1 bit para criar as sub-redes (21 = 2 sub-redes). O ponto de partida máscara de sub-rede é / 24 ou 255.255.255.0. Ligamos o próximo bit na máscara de sub-rede para get / 25 ou 255.255.255.128. O multiplicador é de 128. As duas sub-redes são os seguintes: ■ sub-rede 0: 172.30.4.0/25 ■ Subnet 1: 172.30.4.128/25 Atribuição de sub-rede 0 a LAN 4, ficamos com um / 25 e duas sub-rede / 24 sub-redes. Continuando à exigência de receber o maior seguinte em uma LAN, tomamos uma sub-rede, 172.30.4.128/24 e sub-rede que ainda mais. Para satisfazer a exigência de 60 hosts, deixamos 6 bits (26-2 = 62 hosts por sub-rede). Porque nós tem 7 bits de host total, tomamos emprestado um pouco para criar as sub- redes (21 = 2 sub-redes). A sub-rede de partida máscara é / 25 ou 255.255.255.128. Ligamos o próximo bit na máscara de sub- rede para get / 26 ou 255.255.255.192. O multiplicador é 64. As duas sub-redes são os seguintes: ■ sub-rede 0: 172.30.4.128/26 ■ Subnet 1: 172.30.4.192/26 Atribuição de sub-rede 0 a LAN 1, ficamos com um / 26 e duas sub-rede / 24 sub-redes. Terminando o nosso LAN subnetting com LAN 2, tomamos uma sub-rede, 172.30.4.192/26 e sub- rede ainda mais. Para satisfazer a exigência de 10 hosts, deixamos 4 bits (24-2 = 14 hosts por sub-rede). Porque nós tem 6 bits de host total, tomamos emprestado 2 bits para criar as sub-redes (22 = 4 sub-redes). A sub-rede de partida máscara é / 26 ou 255.255.255.192. Ligamos os próximos dois bits na máscara de sub-rede para obter / 28 ou 255.255.255.240. O multiplicador é 16. As quatro sub-redes são os seguintes: ■ sub-rede 0: 172.30.4.192/28
■ Subnet 1: 172.30.4.208/28 ■ Sub-rede 2: 172.30.4.224/28 ■ sub-rede 3: 172.30.4.240/28 Atribuição de sub-rede 0 a LAN 2, ficamos com três / 28 sub-redes e dois / 24 sub-redes. Para finalizar nosso esquema de endereçamento, é preciso criar uma sub-rede apenas para o link WAN, que necessita apenas de host 2 endereços. Tomamos uma sub-rede, 172.30.4.208/28 e sub-rede ainda mais. Para satisfazer a exigência host 2, deixamos 2 bits (22-2 = 2 hosts por sub- rede). Porque nós temos quatro bits de host total, tomamos emprestado 2 bits para criar as sub-redes (22 = 4 sub-redes). A máscara de sub-rede de partida é / 28 ou 255.255.255.240. Ligamos os próximos dois bits na máscara de sub- rede para obter / 30 ou 255.255.255.252. O multiplicador é 4. As quatro sub-redes são os seguintes: Dia 21 117 ■ sub-rede 0: 172.30.4.208/30 ■ Subnet 1: 172.30.4.212/30 ■ Sub-rede 2: 172.30.4.216/30 ■ sub-rede 3: 172.30.4.220/30 Nós atribuímos de sub-rede 0 para o link WAN. Ficamos com três / 30 sub- redes, dois / 28 sub-redes, e dois / 24 sub-redes. Resumindo endereços de sub-rede Quando um esquema de endereçamento de rede está desenhada de forma hierárquica, endereços resumindo a roteadores upstream roteamento torna muito mais eficiente. Em vez de enviar uma coleção de vários sub-redes, um roteador de borda pode enviar uma rota de síntese para o próximo roteador. Se você estiver usando roteamento estático ou configurar uma rota de síntese para EIGRP, pode ser necessário para calcular o prefixo de rede direita e máscara. Referindo-se a Figura 21-4, o que seria rota de síntese R1 enviar para o roteador upstream, BBR (Router Backbone) para os quatro sub-redes? Figura 21-4 sub-redes Resumindo: Exemplo 1
Use as seguintes etapas para calcular uma rota de síntese: Etapa 1 Escreva as redes que você deseja resumir em binário, como mostra a Etapa 4 seguintes. Passo 2 Para encontrar a máscara de sub-rede para a sumarização, comece com o bit mais à esquerda. Passo 3 Trabalhe seu caminho para a direita, encontrando todos os bits que correspondem consecutivamente. Passo 4 Quando você encontrar uma coluna de bits que não correspondem, pare. Você está no limite resumo. 11000000.10101000.00000001.00000000 11000000.10101000.00000001.00100000 11000000.10101000.00000001.01000000 11000000.10101000.00000001.01100000 Passo 5 Contar o número de bits mais à esquerda de correspondência, que neste exemplo é 25. este número torna-se sua máscara de sub-rede para a rota resumida, / 25 ou 255.255.255.128. Passo 6 Para encontrar o endereço de rede para sumarização, cópia da correspondência 25 bits e adicionar todos os 0 bits para o fim de fazer 32 bits. Neste exemplo, o endereço de rede é 192.168.1.0. Nas redes de produção, as sub-redes para ser resumido muito provavelmente não terá a mesma sub-rede máscara. Por exemplo, as sub-redes na Figura 21-5 está usando três máscaras de sub-rede diferente. que sumário rota seria R1 enviar para o BBR para as quatro sub-redes? Figura 21-5 sub-redes Resumindo: Exemplo 2
IP privado e público Addressing RFC 1918, "atribuição de endereços internet Privada", facilitou a procura de endereços IP reservando os seguintes endereços para uso em redes privadas. ■ Classe A: 10.0.0.0 / 8 (10.0.0.0 a 10.255.255.255) ■ Classe B: 172.16.0.0/12 (172.16.0.0 a 172.31.255.255) ■ Classe C: 192.168.0.0/16 (192.168.0.0 a 192.168.255.255) Se você está dirigindo uma intranet não públicas, esses endereços privados podem ser usados em vez de globalmente únicos endereços públicos. Isso proporciona flexibilidade em seu projeto de endereçamento. Qualquer organização pode tirar o máximo proveito de toda uma classe de endereços A (10.0.0.0 / 8). Encaminhamento de tráfego para o público Internet requer tradução para um endereço público usando Network Address Translation (NAT). Mas sobrecarregando um endereço de Internet roteáveis com muitos endereços privados, uma empresa precisa de apenas um punhado de endereços públicos. Dia 5, "Conceitos de NAT, Configuração e Solução de Problemas", comentários NAT operação e configuração em maior detalhe. Recursos estudo Para os temas de hoje do exame, consulte os seguintes recursos para mais estudo.
Dia 20 Dirigindo-anfitrião, DHCP, DNS e Exame CCNA 640-802 Tópicos ■ Implementar estáticos e dinâmicos serviços de endereçamento para hosts em um ambiente de LAN. ■ Identificar e corrigir problemas comuns associados com endereçamento IP e configurações de host. ■ Explicar o funcionamento e benefícios do uso DHCP e DNS. ■ Configurar, verificar e solucionar problemas de DHCP e DNS operação em um roteador (CLI / SDM). Tópicos-chave Hoje fazemos uma revisão IP estático e dinâmico de endereçamento para dispositivos finais, bem como os protocolos em torno host-to-host comunicações, incluindo Address Resolution Protocol (ARP), Domínio Name System (DNS) e Dynamic Host Configuration Protocol (DHCP). Porque um roteador Cisco também pode ser um servidor de DHCP, vamos rever esses comandos. Além disso, como um endereçamento IP implementação não é sempre perfeita, revisamos as ferramentas de teste à sua disposição para rastrear
e resolver problemas de conectividade relacionados para hospedar endereçamento. Dispositivos de endereçamento Endereços na rede podem ser atribuídos a hosts estática ou dinâmica. Endereços estáticos têm algumas vantagens sobre endereços dinâmicos. Por exemplo, se os anfitriões normalmente acessar um servidor, uma impressora, ou outros dispositivos em um determinado endereço IP, pode causar problemas se o endereço mudou. Além disso, a atribuição estática de informações de endereçamento pode fornecer controle maior da rede recursos. No entanto, pode ser demorado para inserir as informações em cada host, e porque um endereço duplicado afeta a operação de acolhimento, o cuidado deve ser tomado para não reutilizar um endereço. Para configurar um endereço estático em um PC executando o Windows XP, acessar o Internet Protocol (TCP / IP) Caixa de diálogo Propriedades, conforme mostrado na Figura 20-1 e digite todas as informações de configuração necessárias IP. Por causa dos desafios associados ao gerenciamento de endereço estático, dispositivos de usuário final, muitas vezes têm endereços atribuídos dinamicamente, usando DHCP. Para configurar um PC Windows para usar DHCP, acessar o Internet Protocol (TCP / IP) caixa de diálogo Propriedades caixa como mostrado na Figura 20-2 e clique em ambos os botões de rádio para a obtenção de informações de endereçamento automaticamente.
ARP Para a comunicação IP sobre Ethernet-redes conectadas a ter lugar, o endereço (IP) lógica precisa ser ligado ao endereço físico (MAC) de seu destino. Este processo é realizado usando ARP. Figura 20-3 mostra um exemplo de mapeamento de um endereço de Layer 2 para um endereço de camada 3.
Para enviar dados para um destino, um host em uma rede Ethernet deve saber o físico (MAC) endereço do destino. ARP fornece o serviço essencial de endereços IP para o mapeamento físico endereços em uma rede. Os mapeamentos resultantes ou endereço ligações são mantidos em uma tabela e, dependendo da operação sistema pode estar em qualquer lugar 2-20 minutos, ou até mais, antes da entrada expire. cada rede dispositivo que envia pacotes IP em um segmento de rede Ethernet mantém uma tabela ARP em memória semelhante à tabela mostrada no Exemplo 20-1. Exemplo 20-1 Tabela ARP para um PC Windows
Independentemente do formato da saída, a tabela ARP mostra o IP ligados a um endereço MAC. ARP ajuda dispositivos finais se comunicar na mesma rede local. Mas o que acontece quando o dispositivo um fim quer se comunicar com outro dispositivo em uma LAN remota? Se o host de destino não esteja na rede local, a fonte envia o quadro para o roteador local. para fazer isso, a fonte irá usar o endereço do gateway padrão do MAC no quadro. O gateway padrão (o roteador local), irá cuidar de roteamento o pacote para o próximo salto. DNS Pacotes IP de destino e exigem endereços IP de origem. Mas a maioria dos seres humanos teria um tempo difícil lembrando todos os endereços IP para seus destinos favoritos. Por isso, o Domain Name System (DNS) foi criado para converter nomes reconhecíveis em endereços IP para que os dispositivos final pode, então, encapsular um pacote com as informações necessárias de endereçamento. O servidor DNS age como o livro de telefone para a Internet: Ele traduz legível computador hostnames, por exemplo, http://www.cisco.com-into os endereços IP que o equipamento de rede necessidades de informação de entrega. Para ver esta "lista telefônica" em ação em uma máquina Windows, insira o comando nslookup, como mostrado no Exemplo 20-3. Em seguida, insira o nome de um site. Exemplo 20-3 Usando nslookup para encontrar um endereço IP Observe que o servidor DNS, que está localizado no endereço IP 64.102.6.247, voltou o endereço IP 198.133.219.25 para www.cisco.com. DNS usa um sistema hierárquico para criar um banco de dados nome para fornecer resolução de nomes. No topo da hierarquia, os servidores raiz manter registros sobre como alcançar os
servidores domínio de nível superior, que por sua vez têm registros que apontam para os servidores de nível secundário de domínio, e assim por diante. Os diferentes domínios de nível superior representam qualquer tipo de organização ou país de origem. Os seguintes são exemplos de domínios de nível superior: . ■ au: Austrália . ■ co: Colômbia ■ com:. A empresa ou indústria . ■ jp: Japão ■ org:. A organização sem fins lucrativos DHCP DHCP permite que um host para obter um endereço IP dinamicamente quando ele se conecta à rede. o DHCP servidor é contactado através do envio de um pedido, e um endereço IP é solicitado. O servidor DHCP escolhe um endereço de um intervalo configurado de endereços chamado de piscina e atribui-lo para o host cliente por um determinado período. Figura 20-4 mostra graficamente o processo de como um servidor DHCP aloca Endereçamento IP informações a um cliente DHCP. Figura 20-4 Informação Alocando o endereçamento IP com o DHCP Dia 20 127 Quando um DHCP configurado o dispositivo é inicializado ou se conecta à rede, o cliente envia um DHCPDISCOVER pacote para identificar quaisquer servidores DHCP disponível na rede. Um servidor DHCP responde com um DHCPOFFER, que é uma mensagem de oferta de concessão com um endereço IP atribuído, de sub-rede máscara, servidor DNS e as informações de gateway padrão, bem como a duração do contrato de locação. O cliente pode receber pacotes DHCPOFFER múltiplas se a rede local tem mais de um Servidor DHCP. O cliente deve escolher entre eles e transmitir um pacote que DHCPREQUEST identifica a oferta de servidores e de arrendamento explícito que ele está
aceitando. Assumindo que o endereço IP ainda é válido, o servidor escolhido retorna um DHCPACK (reconhecimento) mensagem de finalização do contrato. Se a oferta não é mais válido, por algum motivo, o servidor escolhido responde ao cliente com uma mensagem DHCPNAK (confirmação negativa). Depois que ele é locado, o cliente renovar antes da expiração da concessão através de outro DHCPREQUEST. Se o cliente estiver desligado ou retirado da rede, o endereço é retornado para o pool para reutilização. Configurar em um roteador Cisco como um DHCP servidor Observação: Devido às limitações de espaço, apenas o método CLI para a configuração DHCP é revisto aqui. No entanto, porque o tópico exame inclui tanto o CLI e Gerenciador de Dispositivos de Segurança (SDM) métodos, rever o método SDM, consultando os recursos do seu estudo. As etapas para configurar um roteador como um servidor DHCP são as seguintes: Passo 1 Use o ip dhcp excluídos endereço endereço de baixa [endereço de alta] comando para identificar um endereço ou intervalo de endereços para excluir do pool de DHCP. Por exemplo: R1 (config) # ip dhcp excluídos endereço 192.168.10.1 192.168.10.9 R1 (config) # ip dhcp excluídos endereço 192.168.10.254 Passo 2 Crie o pool DHCP usando o ip dhcp pool de comando pool-name, que depois colocá-lo em modo DHCP config, como demonstrado aqui: R1 (config) # ip dhcp pool de LAN-POOL-10 R1 (dhcp-config) # Passo 3 Finalmente, configure o parâmetro de endereçamento IP que você precisa para atribuir automaticamente para clientes solicitantes. Tabela 20-1 lista os comandos necessários.
Para liberar a configuração DHCP em um cliente baseado no Windows, digite o comando ipconfig / release. Para renovar a configuração DHCP, digite o comando ipconfig / renew. Em uma complexa rede, os servidores DHCP são geralmente contido em um farm de servidores. Portanto, os clientes normalmente não estão na mesma sub-rede que o servidor DHCP, como mostrado no exemplo anterior. para garantir transmitido DHCPDISCOVER mensagens são enviadas para o servidor DHCP remoto, use o ip helper-address endereço de comando. Por exemplo, na Figura 20-6 o servidor DHCP está localizado na LAN 192.168.11.0/24 e está cumprindo Informações de endereçamento IP para ambas as LANs. Sem o comando ip helper-address, R1 iria descartar qualquer transmissões de PC1 solicitando Serviços de DHCP. Para configurar R1 para retransmitir DHCPDISCOVER mensagens, digite o seguinte comando: R1 (config) # interface FastEthernet 0 / 0 R1 (config-if) # ip helper-address 192.168.11.5 Observe o comando é inserido na interface que irá receber transmissões de DHCP. R1 em seguida, encaminha DHCP transmitir mensagens como unicast para 192.168.11.5. O comando ip helper-address
por padrão para a frente os seguintes oito serviços UDP: ■ Porta 37: Tempo ■ Porta 49: TACACS ■ Porta 53: DNS ■ Porta 67: DHCP / BOOTP cliente Para especificar portas adicionais, use o comando global ip forward-protocol udp [número de porta-| protocol]. Para desativar as transmissões de um protocolo particular, use o formulário não do comando. Testes de rede Ferramentas Camada O ping e tracert (traceroute para Cisco IOS) são comumente usados para testar a conectividade e identificar problemas com host de endereçamento. Sibilo Para o teste de ponta a ponta-de conectividade entre hosts, use o comando ping. Se o ping tiver êxito, como mostrado nos exemplos 20-7 e 20-8, você sabe que pelo menos um caminho existe para rotear o tráfego entre a origem eo destino. Exemplo de saída do Ping 20-7 em um PC Windows C: > ping 192.168.10.1 Ping 192.168.10.1
Observe que o primeiro ping falhou (.). Provavelmente, isso foi devido a um timeout enquanto R1 iniciou um ARP pedido para 192.168.10.10. Depois R1 tinha o endereço MAC para 192.168.10.10, ele poderia, então, enviar os pedidos ICMP. Os próximos quatro pings sucesso (!). Se o teste de ping falhar para o fim-a-extremo, você pode querer de volta até a máquina local para testar sua pilha TCP / IP usando o ping para o 127.0.0.1 endereço. Se este ping tiver êxito, testar a sua conectividade com o gateway padrão. Se esse ping falhar, verifique seus conectividade física e configuração de IP. Se o ping tiver êxito para o gateway padrão, use traceroute para encontrar onde há falhas. Traceroute (tracert) permite que você observe o caminho entre esses hosts. O traço gera uma lista de saltos que foram sucesso alcançado ao longo do caminho, como mostrado no Exemplo 20-9. Esta lista pode fornecê-lo com a verificação e informações importantes solução de problemas.
O tracert para www.cisco.com mostra as respostas dos roteadores ao longo do caminho. O host local envia um pacote para o endereço designação de 198.133.219.2. A primeira resposta é uma resposta do gateway host padrão, 10.20.0.94. Quando o destino final é atingido, o host responde com um ICMP Port Unreachable mensagem ou uma mensagem de resposta ICMP Echo. No caso do Exemplo 20-8, o asterisco (*) indica o ICMP Time Exceeded mensagem de que não houve resposta do destino.
Conceitos básicos IPv6 Exame CCNA 640-802 Tópicos ■ Descrever os endereços IPv6. ■ Descrever os requisitos tecnológicos para IPv6 executando em conjunto com IPv4 (incluindo protocolos, pilha dupla, tunelamento). Tópicos-chave No início de 1990, o Internet Engineering Task Force (IETF) cresceu preocupada com a exaustão do IPv4 endereços de rede e começou a procurar um substituto para este protocolo. este atividade levou ao desenvolvimento do que hoje é conhecido como IPv6. Revisão de hoje centra-se na rápida substituição emergentes para IPv4. O estudo nota detalhes IPv6 recursos básicos de endereçamento e configuração de roteamento. Apesar de interessante para ler e prática no equipamento real, de configuração IPv6 não é um Objetivo CCNA. Portanto, não será uma parte de nossa Principais temas. No entanto, praticando tarefas de configuração, você também será reforçar os conceitos básicos de IPv6. Visão geral do IPv6 A capacidade de escala de redes para demandas futuras requer uma fonte ilimitada de endereços IP e melhoria da mobilidade que privada de endereçamento e NAT sozinho não pode atender. IPv6 satisfaz as cada vez mais necessidades complexas de endereçamento hierárquico que o IPv4 não fornece. Tabela 19-1 compara as representações binárias e alfanuméricos de endereços IPv4 e IPv6.
Um endereço IPv6 é um valor binário de 128 bits, que podem ser apresentados até 32 dígitos hexadecimais. IPv6 deve fornecer endereços suficiente para as necessidades futuras Internet crescimento para os anos vindouros. IPv6 é um acessório poderoso para IPv4. Vários recursos no IPv6 oferecer melhorias funcionais. ■ maior espaço de endereçamento: maior espaço de endereçamento inclui várias melhorias: - Melhoria da acessibilidade global e flexibilidade - A agregação de prefixos que são anunciados em tabelas de roteamento - Multihoming para vários provedores - Autoconfiguration que pode incluir dados-link camada de endereços no espaço de endereço - Plug-and-play opções - Público-to-end privada readdressing ao fim, sem tradução de endereços - Mecanismos simplificados para o endereço de renumeração e alteração ■ Simpler cabeçalho: A mais simples de cabeçalho oferece diversas vantagens sobre IPv4: - Melhor eficiência para o desempenho de roteamento e encaminhamento de taxa de escalabilidade - Sem transmissões e, portanto, nenhuma ameaça potencial de tempestades de difusão - Não há necessidade de somas de verificação de processamento - Mecanismos de cabeçalho mais simples e mais eficiente de extensão - Etiquetas de fluxo para o fluxo por tratamento sem necessidade de abrir o pacote de transporte interno para identificar os vários fluxos de tráfego ■ Mobilidade e segurança: Mobilidade e ajudar a garantir a conformidade com a segurança IP móveis e IPsec funcionalidade padrões. Mobilidade permite que as pessoas com a rede de dispositivos móveis-muitos com conectividade sem fio para se movimentar em redes: - IPv4 não habilita automaticamente dispositivos móveis para mover-se sem interrupções no estabelecido conexões de rede.
- Em IPv6, a mobilidade é embutido, o que significa que qualquer nó IPv6 pode usar mobilidade quando necessário. - IPsec é ativado em cada nó IPv6 e está disponível para uso, tornando a Internet IPv6 mais seguro. ■ estratégias de Transição: Você pode incorporar capacidades existentes IPv4 com as características adicionadas de IPv6 de várias maneiras: - Você pode implementar um método dual-stack, com IPv4 e IPv6 configurado no interface de um dispositivo de rede. - Você pode usar tunelamento, que se tornam mais proeminentes como a adoção de IPv6 cresce. - Cisco IOS Release 12,3 Software (2) T e, posteriormente, incluem-Tradução de Endereços de Rede Protocolo Translation (NAT-PT) entre IPv4 e IPv6. 138 31 dias antes de seu exame CCNA Estrutura de endereços IPv6 Você sabe o endereço IPv4 de 32 bits como uma série de quatro campos de 8 bits, separados por pontos. No entanto, maiores 128-bit endereços IPv6 precisam de uma representação diferente por causa de seu tamanho. Convenções para escrever os endereços IPv6 Convenções IPv6 utilizar 32 números hexadecimais, organizados em oito quartetos de 4 dígitos hexadecimais separados por dois pontos, para representar um endereço IPv6 de 128 bits. Por exemplo: 2340:1111: AAAA: 0001:1234:5678:9 ABC Para tornar as coisas um pouco mais fácil, duas convenções permitem encurtar o que deve ser digitado para um Endereço IPv6: ■ Omitir os 0s líder em qualquer quarteto de dado. ■ Representar um ou mais quartetos seguidos de todos os 0s hex com um (::), dois pontos duplos, mas apenas para um tal ocorrência em um determinado endereço. Nota O quarteto termo vem do Exame livro Wendell Odom Oficial CCNA ICND2 Edição de certificação Guia Segundo. Para o IPv6, um quarteto é um conjunto de quatro dígitos hexadecimais. Oito quartetos estão em cada endereço IPv6. Por exemplo, considere o seguinte endereço. Os dígitos em negrito representam dígitos no qual o endereço pode ser abreviado. FE00: 0000:0000:0001:0000:0000:0000:0056 Este endereço possui dois locais em que um ou mais quartetos têm quatro 0s hex, então dois principais opções existem para abreviar este endereço, usando o:: abreviatura em um ou outro local. Duas opções a seguir mostram o mais breve duas abreviaturas válidas:
■ FE00:: 1:0:0:0:56 ■ FE00: 0:0:1:: 56 No primeiro exemplo, os quartetos segundo e terceiro anteriores 0001 foram substituídas por::. No segundo exemplo, os quartetos quinto, sexto e sétimo foram substituídos por::. Em particular, note que o :: Abreviatura, que significa "um ou mais quartetos de todos os 0s," não pode ser usado duas vezes, porque isso ser ambíguo. Assim, a abreviação FE00:: 1:: 56 não seria válida. Convenções para escrever prefixos IPv6 Prefixos IPv6 representam uma faixa ou bloco de endereços IPv6 consecutivos. O número que representa o intervalo de endereços, chamada de prefixo, é geralmente visto em tabelas de roteamento IP, assim como você vê sub-rede IP números em tabelas de roteamento IPv4. Tal como acontece com IPv4, ao escrever ou digitar um prefixo no IPv6, os bits após o final do comprimento do prefixo são todos os 0s binários. O seguinte endereço IPv6 é um exemplo de um endereço atribuído a um host: 2000:1234:5678:9 ABC: 1234:5678:9 ABC: 1111-1164 O prefixo em que reside neste endereço seria o seguinte: 2000:1234:5678:9 ABC: 0000:0000:0000:0000 / 64 Dia 19 139 Quando abreviado, este seria 2000:1234:5678:9 ABC:: / 64 Se o comprimento do prefixo não cai em um limite de quarteto (não é um múltiplo de 16), o valor do prefixo deve listar todos os valores no último quarteto. Por exemplo, suponha que o comprimento de prefixo nos últimos exemplo é / 56. Então, por convenção, o resto do quarteto quarto deve ser escrito, depois de ser definido para 0s binários, como segue: 2000:1234:5678:9 A00:: / 56 A lista a seguir resume alguns pontos-chave sobre como escrever prefixos IPv6: ■ O prefixo tem o mesmo valor que os endereços IP no grupo para o primeiro número de bits, como definida pelo comprimento de prefixo. ■ Qualquer bits depois o número do prefixo comprimento de bits são 0s binários. ■ O prefixo pode ser abreviado com as mesmas regras que os endereços IPv6. ■ Se o comprimento do prefixo não está em um limite de quarteto, anote o valor para o quarteto inteiro. Tabela 19-2 mostra vários exemplos de prefixos, o seu formato, e uma breve explicação.
Endereço IPv6 Unicast Globais IPv6 tem um formato de endereço que permite a agregação de cima, eventualmente, para o ISP. Um IPv6 global endereço unicast é globalmente exclusivo. Semelhante a um endereço IPv4 público, ele pode ser encaminhado na Internet sem qualquer modificação. Um endereço unicast IPv6 global consiste em um prefixo de roteamento global de 48-bit e um ID de sub-rede de 16 bits, como mostrado na Figura 19-1. O endereço unicast global atual, que é atribuído pelo IANA usa o intervalo de endereços que começar com valor binário 001 (2000:: / 3), que é um oitavo do espaço de endereços IPv6 e é o maior bloco de endereços atribuído. Endereços reservados, Private e Loopback As reservas IETF uma porção do espaço de endereços IPv6 para vários usos, presente e futuro. Endereços reservados representam 1 / 256 do espaço de endereços IPv6. Alguns dos outros tipos de Endereços IPv6 vem este bloco. Um bloco de endereços IPv6 é reservado para endereços privados, assim como é feito em IPv4. Estes privada endereços são locais apenas para um determinado link ou site e, portanto, nunca são encaminhados fora de um determinado rede da empresa. Endereços privados têm um valor primeiro octeto de FE em notação hexadecimal, com o dígito hexadecimal sendo um valor próximo de 8 a F. Esses endereços são divididos em dois tipos, com base no seu escopo:
■ Site-local endereços: Estes são para um site inteiro ou organização. No entanto, o uso de sitelocal endereços é problemático e está sendo substituído a partir de 2003 por RFC 3879. Em hexadecimal, endereços de sites locais começam com FE e C para F para o terceiro dígito hexadecimal. Assim, estes endereços começam com FEC, FED, FEE, ou FEF. ■ Link-local endereços: Estes têm um menor âmbito de endereços de sites locais, pois eles se referem a apenas uma ligação física particular (rede física). Roteadores não encaminham datagramas usando linklocal endereços, nem mesmo dentro da organização, eles servem apenas para comunicação local em um segmento particular da rede física. Eles são usados para comunicações link como automático configuração de endereços, descoberta de vizinhos, e a descoberta de roteador. Muitos protocolos de roteamento IPv6 também usar link-local endereços. Link-local endereços começam com FE e depois ter um valor de 8 a B para o terceiro dígito hexadecimal. Assim, estes endereços começar com FE8, FE9, FEA, ou Fevereiro Assim como no IPv4, uma provisão foi feita para um endereço IPv6 loopback especiais para testes. O endereço de loopback é 0:0:0:0:0:0:0:1, que normalmente é expressa usando compressão zero como: 1. O ID de interface IPv6 e EUI-64 Format Figura 19-1 mostra o formato de um endereço IPv6 unicast globais, com a segunda metade do endereço chamado de host ou ID interface. O valor da parcela ID interface de um unicast global endereço pode ser definido como qualquer valor, contanto que nenhuma outra máquina na mesma sub-rede tenta usar o mesmo valor. No entanto, o tamanho do ID de interface foi escolhido para permitir a configuração automática fácil de IP endereços, ligando o endereço MAC de uma placa de rede no campo ID de interface em uma IPv6 endereço. Os endereços MAC são 6 bytes (48 bits) de comprimento. Então, para completar o ID de interface de 64 bits, o IPv6 preenche Mais 2 bytes, separando o endereço MAC em duas metades de 3 bytes. Em seguida, FFFE hex inserções em entre as metades e define o sétimo bit do primeiro byte para binário 1 para formar o ID de interface de campo. Figura 19-2 mostra neste formato, chamado o formato EUI-64 (EUI significa único Extended Identificador). Dia 19 141
Gerenciamento de endereços IPv6 Existem duas opções para a configuração do endereço IPv6 estático para ambos os roteadores e hosts: ■ configuração estática do endereço completo ■ configuração estática de um prefixo / 64 com o anfitrião calcular o seu ID de interface EUI-64 para completar o endereço IP. IPv6 suporta dois métodos de configuração dinâmica de endereços IPv6: ■ DHCPv6: Funciona da mesma conceitualmente como DHCP no IPv4. ■ autoconfiguração stateless: Um host dinamicamente aprende o / 64 através do prefixo IPv6 Neighbor Discovery Protocol (NDP) e calcula o resto do seu endereço usando um EUI-64 ID de interface com base na sua placa de rede (NIC) de endereço MAC. A transição para IPv6 A transição de IPv4 para IPv6 não requer upgrades em todos os nós ao mesmo tempo. muitos mecanismos de transição permitir uma integração harmoniosa de IPv4 e IPv6. Outros mecanismos que permitem IPv4 nós para se comunicar com nós IPv6 estão disponíveis. Diferentes
situações exigem diferentes estratégias. Mecanismos de transição diferentes incluem o seguinte: ■ duplo empilhamento: Um método de integração no qual um nó tem implementação e conectividade para tanto uma rede IPv4 e IPv6. Esta é a opção recomendada e envolve a execução IPv4 IPv6 e, ao mesmo tempo. ■ Tunneling: Várias técnicas de tunelamento estão disponíveis: ■ túneis manualmente configurado (MCT): Um pacote IPv6 é encapsulado dentro do IPv4 protocolo. Este método requer dual-stack roteadores. ■ dinâmico túneis 6to4: Este termo refere-se a um tipo específico de túnel criados dinamicamente, tipicamente feito na Internet IPv4, em que os endereços IPv4 das extremidades do túnel pode ser encontrada de forma dinâmica com base no endereço de destino IPv6. ■ Intrasite Protocolo de endereçamento de encapsulamento automático (ISATAP): Outra dinâmica de tunelamento método, normalmente utilizado dentro de uma empresa. Ao contrário de túneis 6to4, túneis ISATAP fazer não funciona se IPv4 NAT é usado entre as extremidades do túnel. ■ Teredo tunelamento: Este método permite dual-stack hosts para criar um túnel para outro host, com o anfitrião-se tanto a criação do pacote IPv6 e encapsular o pacote dentro de um cabeçalho IPv4. ■ NAT-Protocol Translation (NAT-PT): Esta opção permite a comunicação direta de transição entre IPv4-only hosts IPv6 e somente hosts. Estas traduções são mais complexas do IPv4 NAT. Neste momento, esta técnica de tradução é a opção menos favorável e deve ser usado como último recurso. Lembre-se este conselho: "pilha dupla, onde pode; túnel onde você deve." Estes dois métodos são as técnicas mais comuns para a transição de IPv4 para IPv6. Tabela 19-3 resume as opções de transição para IPv6.
Dia 18 Conceitos básicos de roteamento ■ Descrever conceitos básicos de roteamento (incluindo o encaminhamento de pacotes, o processo de pesquisa roteador). ■ Comparar e contrastar os métodos de roteamento e protocolos de roteamento. Tópicos-chave Hoje nós revemos conceitos básicos de roteamento, incluindo exatamente como um pacote é processado pelo intermediário dispositivos (roteadores) a caminho da origem para decisão. Nós então rever os métodos básicos de roteamento, incluindo conectado, rotas estáticas e dinâmicas. Porque roteamento dinâmico
é como um grande CCNA área de tópico, passamos algum tempo discutindo classificações, bem como as características básicas da distância vector e link-state protocolos de roteamento. Nota O material CCNA Exploration para hoje? Tópicos do exame s é bastante extensa. Na maioria dos casos, o material leva o caminho do estudante para além do âmbito do CCNA. Em particular, Capítulo 8, A tabela de roteamento: Um olhar mais atento,? não deve ser uma prioridade para o seu comentário hoje. No entanto, se você estiver usando material de Exploração para rever, verificar todos os capítulos pertinentes e concentrar-se nos temas que são fracos dentro Encaminhamento de pacotes Encaminhamento de pacotes por roteadores é realizada através de determinação do caminho e as funções de comutação. A função de determinação do caminho é o processo de como o roteador determina qual o caminho para usar quando encaminhamento de um pacote. Para determinar o melhor caminho, o roteador procura sua tabela de roteamento para uma rede endereço que corresponde ao pacote? endereço IP de destino. Uma das três determinações caminho resultados desta pesquisa: ■ Directamente ligado rede: Se o endereço IP de destino do pacote pertence a um dispositivo em uma rede que está diretamente ligado a um dos router interfaces? s, que pacote é transmitido diretamente para esse dispositivo. Isto significa que o endereço IP de destino do pacote é um host endereço na mesma rede que esta interface s router?. ■ de rede remota: Se o endereço IP de destino do pacote pertence a uma rede remota, a pacote é encaminhado para outro roteador. Redes remotas pode ser alcançado somente por encaminhamento pacotes para outro roteador. ■ Nenhuma rota determinada: Se o endereço IP de destino do pacote não pertence a qualquer um conectado ou rede remota, eo roteador não tem uma rota default, o pacote é descartado. O roteador envia uma Internet Control Message Protocol (ICMP) mensagem de inacessível para o endereço IP de origem do pacote. Nos dois primeiros resultados, o roteador conclui o processo de comutação por pacote com a interface correta. Ele faz isso reencapsulating o pacote IP para o formato apropriado Camada frame 2 de enlace de dados para a interface de saída. O tipo de encapsulamento da camada 2 é determinada pelo tipo de interface. Para exemplo, se a interface de saída é Fast Ethernet, o pacote é encapsulado em um quadro Ethernet. Se o
interface de saída é uma interface serial configurada para PPP, o pacote IP é encapsulado em um quadro PPP. Determinação caminho e Exemplo de Função de comutação A maioria dos recursos de estudo têm exemplos detalhados com excelentes gráficos que explicam a determinação do caminho e comutação de funções desempenhadas pelos roteadores como um pacote de viagens da origem ao destino. Embora não temos uma abundância de espaço aqui para repetir os gráficos, podemos textualmente revisão um exemplo usando um gráfico, mostrado na Figura 18-1. Figura 18-1 Exemplo de Topologia Packet Forwarding Para resumir, apenas os dois últimos octetos do endereço MAC é mostrado na figura. 1. PC1 tem um pacote a ser enviado para PC2. E usando a operação em endereço IP de destino ea máscara de sub-rede PC1, o PC1 tem determinou que o IP de origem e destino endereços IP estão em redes diferentes. Portanto, PC1 verifica sua tabela Address Resolution Protocol (ARP) para o endereço IP do gateway padrão e seu endereço MAC associado. Em seguida, ele encapsula o pacote em um Ethernet cabeçalho e encaminha para R1. 2. Roteador R1 recebe o quadro Ethernet. Roteador R1 examina o endereço MAC de destino, o que corresponde ao endereço MAC do interface de recepção, FastEthernet 0 / 0. R1, portanto, copiar o quadro em seu buffer. R1 decapsulates o quadro Ethernet e lê o endereço IP de destino. Porque não corresponde a nenhuma das redes diretamente conectadas R1, o roteador consulta sua tabela de roteamento para rotear este pacote. R1 procura na tabela de roteamento para um endereço de rede e máscara de sub-rede que iria incluir esse endereço IP de destino do pacote como um endereço de host na rede. A entrada com o maior jogo (prefixo mais longo) é selecionado. R1, em seguida, encapsula o pacote no quadro apropriado formato para a interface de saída e muda o quadro para a interface (FastEthernet 0 / 1 em nosso exemplo). A interface, em seguida, encaminha para o próximo salto.
3. Pacote chega ao roteador R2. R2 executa as mesmas funções que R1, só que desta vez a interface de saída é uma interface serial- não Ethernet. Portanto, R2 encapsula o pacote no formato de quadro apropriado usado por a interface serial e envia para R3. Para o nosso exemplo, suponha que a interface está usando alta Nível Data Link Control (HDLC), que usa o endereço 0x8F link de dados. Lembre-se, há não são endereços MAC em interfaces seriais. 4. Pacote chega ao R3. R3 decapsulates o quadro HDLC link de dados. A busca dos resultados da tabela de roteamento em uma rede que é uma das redes diretamente conectadas R3. Porque a interface de saída é uma diretamente conectados de rede Ethernet, as necessidades R3 para resolver o endereço IP de destino do pacote com um endereço MAC de destino. Buscas R3 para o pacote do endereço IP de destino 192.168.4.10 em seu cache ARP. Se o entrada não estiver no cache ARP, R3 envia uma solicitação ARP a sua FastEthernet 0 / 0 interface. Classificar protocolos de roteamento dinâmico Figura 18-2 mostra um cronograma de protocolos de roteamento IP, juntamente com um gráfico que irá ajudá-lo a memorizar as várias maneiras de classificar os protocolos de roteamento. Evolução figura 18-2 Protocolos de Roteamento e Classificação 150
Os protocolos de roteamento em destaque na figura são o foco do exame CCNA. Protocolos de roteamento podem ser classificados em diferentes grupos de acordo com suas características: ■ IGP ou EGP ■ vector distância ou link-state ■ Classful ou sem classes IGP e EGP Um sistema autônomo (AS) é um conjunto de roteadores sob uma administração comum, que apresenta comum, política de roteamento claramente definida para a Internet. Exemplos típicos são um grande rede interna da empresa e uma rede ISP. A maioria das redes da empresa não são autônomos sistemas, apenas uma rede dentro de seu sistema de ISP autónoma. Porque a Internet é baseada sobre o conceito de sistema autônomo, dois tipos de protocolos de roteamento são necessários: ■ Interior Gateway Protocols (IGP): Utilizado para roteamento intra-AS, isto é, roteamento dentro de um AS ■ Exterior Gateway Protocols (EGP): Utilizado para roteamento inter-AS, isto é, roteamento entre sistemas autônomos Distance Vector Routing Protocols Vetor de distância significa que as rotas são anunciadas como vetores de
distância e direção. distância é definida em termos de tal métrica como contagem de saltos, ea direção é o next-hop roteador ou interface de saída. Protocolos vetor de distância normalmente usam o algoritmo de Bellman-Ford para a rota melhor caminho- determinação. Alguns protocolos vetor de distância enviar periodicamente completa tabelas de roteamento para todos os vizinhos conectados. Em grandes redes, essas atualizações de roteamento pode tornar-se enorme, fazendo com que o tráfego significativo sobre os links. Embora o algoritmo de Bellman-Ford, eventualmente, acumula conhecimento suficiente para manter uma banco de dados de redes alcançáveis, o algoritmo não permite que um roteador para conhecer a topologia exata de uma internetwork. O roteador conhece apenas as informações de roteamento recebidas de seus vizinhos. Protocolos vetor de distância usam roteadores como indicadores ao longo do caminho até o destino final. A única informações de um roteador sabe sobre uma rede remota é a distância ou métrica para chegar a essa rede e qual o caminho ou interface que usará para chegar lá. Protocolos de roteamento vetor de distância não tem uma mapa real da topologia da rede. Protocolos de vetor distância funcionam melhor em situações onde ■ A rede é simples e plana e não exige um projeto hierárquico. ■ Os administradores não têm conhecimento suficiente para configurar e solucionar problemas de link-state protocolos. ■ tipos específicos de redes, tais como hub-and-spoke redes, estão sendo implementadas. ■ vezes pior caso de convergência em uma rede não são uma preocupação. Link State-Protocolos de Roteamento Em contraste com a operação de vetor de distância protocolo de roteamento, um roteador configurado com um roteamento link-state protocolo pode criar uma "vista completa", ou topologia, da rede de coleta de informações de todos os outros roteadores. Pense em um protocolo de roteamento link-state como tendo um mapa completo da topologia da rede. As placas de sinalização ao longo do caminho da origem ao destino não são necessários, porque todos os roteadores link-state está usando um "mapa" idêntico da rede. Um roteador usa link-state as informações do link state-para criar um mapa da topologia e selecionar o melhor caminho para todas as redes de destino na topologia. Com alguns protocolos de roteamento vetor de distância, os roteadores enviam
atualizações periódicas de suas informações de roteamento aos seus vizinhos. Protocolos de roteamento link-state não usar atualizações periódicas. Depois que a rede convergiu, uma atualização de link-state é enviado somente quando há uma mudança na topologia. Link-state protocolos funcionam melhor em situações onde ■ O projeto de rede é hierárquica, geralmente ocorrendo em grandes redes. ■ Os administradores têm um bom conhecimento do protocolo de roteamento implementado link-state. ■ rápida convergência da rede é crucial. Classful Protocolos de Roteamento Classful protocolos de roteamento não envie informações máscara em atualizações de roteamento. O primeiro protocolos de roteamento, como o Routing Information Protocol (RIP), foram classful. Isto foi em um momento quando os endereços de rede foram alocados com base em classes: Classe A, B, ou C. Um protocolo de roteamento que não precisa incluir a máscara de sub-rede na atualização de roteamento, pois a máscara de rede poderia ser determinado com base no primeiro octeto do endereço de rede. Dia 18 151 1 (RIPv1) e Interior Gateway Routing Protocol (IGRP). Protocolos de Roteamento Classless Protocolos de roteamento sem classes incluem a máscara de sub-rede com o endereço de rede em atualizações de roteamento. Redes de hoje já não são alocados com base em classes, ea máscara de sub- rede não pode ser determinado pelo valor do primeiro octeto. Classless protocolos de roteamento são necessários na maioria das redes hoje por causa de seu apoio para VLSM e descontínua redes e supernets. Sem classes protocolos de roteamento são Routing Information Protocol versão 2 (RIPv2), Enhanced IGRP (EIGRP), Open Shortest Path First (OSPF), System Intermediate System-to-Intermediate (IS-IS) e Border Gateway Protocol (BGP). Métricas de roteamento dinâmico Há casos em que um protocolo de roteamento aprende de mais de uma rota para o mesmo destino a partir da fonte de roteamento mesmo. Para selecionar o melhor caminho, o protocolo de roteamento deve ser capaz de avaliar e diferenciar entre os caminhos disponíveis. A métrica é usada para esta
finalidade. Dois roteamento diferentes protocolos podem escolher caminhos diferentes para o mesmo destino por causa do uso de métricas diferentes. Métricas usadas em protocolos de roteamento IP incluem o seguinte: ■ RIP-Hop count: Melhor caminho é escolhido por a rota com o menor número de saltos. ■ IGRP e EIGRP largura de banda, confiabilidade atraso, e de carga: Melhor caminho é escolhido pelo percurso com o menor valor composto métrica calculada a partir desses parâmetros múltiplos. Por largura de banda padrão, apenas e atraso são usados. ■ IS-IS e OSPF Custo: O melhor caminho é escolhido pelo percurso com o menor custo. A Cisco implementação de OSPF usa a largura de banda para determinar o custo. A métrica associada a uma determinada rota pode ser melhor visualizado utilizando o comando show ip route. O valor da métrica é o segundo valor entre parênteses, por uma entrada na tabela de roteamento. No Exemplo 18-1, R2 tem uma rota para a rede 192.168.8.0/24, que é de dois saltos de distância. Exemplo 18-1 tabela de roteamento para R2 152 31 dias antes de seu exame CCNA R2 # show ip route <saida omitted> Gateway de último recurso não está definido R 192.168.1.0/24 [120 / 1] via 192.168.2.1, 00:00:24, Serial0/0/0
Observe na saída que uma rede, 192.168.6.0/24, tem duas rotas. RIP vai balancear a carga entre estas vias de igual custo. Todos os outros protocolos de roteamento são capazes de automaticamente loadbalancing tráfego para até quatro igual custo rotas por padrão. EIGRP também é capaz de balanceamento de carga em custos desiguais caminhos. Distância administrativa Pode haver momentos em que um roteador aprende uma rota para uma rede remota de mais de um roteamento fonte. Por exemplo, uma rota estática pode ter sido configurado para a máscara de rede / sub-rede mesmo que foi aprendido de forma dinâmica através de um protocolo de roteamento dinâmico, como o RIP. O roteador deve escolher qual a rota para instalar. Embora menos comum, mais do que um protocolo de roteamento dinâmico podem ser implantados na mesma rede. Em algumas situações, pode ser necessário para rotear o mesmo endereço de rede usando vários protocolos de roteamento tais como RIP e OSPF. Porque diferentes protocolos de roteamento utilizam diferentes métricas-RIP usa hop contagem e OSPF usa largura de banda não é possível comparar métricas para determinar o melhor caminho. Distância administrativa (AD) define a preferência de uma fonte de roteamento. Cada fonte, incluindo o roteamento protocolos específicos de roteamento, rotas estáticas, e até mesmo diretamente ligado redes é prioridade na ordem de mais para o menos preferível usando um valor de AD. Roteadores Cisco usar o recurso de AD para escolher o melhor caminho quando aprendem sobre a rede mesmo destino de dois ou mais diferentes fontes de roteamento. O valor AD é um valor inteiro de 0 a 255. Quanto menor o valor, o mais preferido a rota fonte. Uma distância administrativa de 0 é o mais preferido. Apenas uma rede diretamente conectada tem uma AD de 0, que não pode ser alterado. Um AD de 255 significa que o roteador não vai acreditar o fonte dessa rota, e não vai ser instalado na tabela de roteamento. Na tabela de roteamento mostrada no Exemplo 18-1, o valor AD é o primeiro valor listado na colchetes. Você pode ver que o valor AD para as rotas RIP é de 120. Você também pode verificar o valor com o AD comando show ip protocolos como demonstrado no Exemplo 18-2. Exemplo 18-2 Verificando o valor AD com o comando show ip protocols
IGP Resumo Comparação Tabela 18-3 compara várias características do IGPs atualmente mais popular:
RIPv2, OSPF, e EIGRP. Roteamento loop Prevenção Sem medidas preventivas, protocolos de encaminhamento vector distância pode causar graves loops de roteamento em da rede. Um loop de roteamento é uma condição na qual um pacote é transmitido de forma contínua dentro de um série de roteadores sem nunca chegar a sua rede de destino. Um loop de roteamento pode ocorrer quando dois ou mais roteadores têm imprecisas informações de roteamento para uma rede de destino. Um número de mecanismos disponíveis para eliminar loops de roteamento, principalmente com vetor de distância protocolos de roteamento. Estes mecanismos incluem o seguinte: ■ Definir uma métrica máximo, para evitar contagem ao infinito: Para finalmente parar o incremento de uma métrica durante um loop de roteamento, "infinito" é definida pela configuração de uma métrica máxima valor. Por exemplo, RIP define infinito como 16 saltos-uma métrica "inacessível". Quando o routers "contagem ao infinito", que marca a rota como inacessível. ■ Mantenha-down timers: Usado para instruir roteadores para realizar quaisquer mudanças que possam afetar rotas para um período de tempo especificado. Se uma rota é identificada como, possivelmente, para baixo ou para baixo, qualquer outra informação para aquela rota contendo o mesmo status, ou pior, é ignorado para uma quantidade predeterminada de tempo (o período de hold-down) para que a rede tenha tempo para convergir. ■ horizonte Split: Usado para evitar um loop de roteamento, não permitindo que os anúncios para ser enviado de volta através da interface que originou. A regra de dividir horizonte pára um roteador
de incremento uma métrica e depois enviar a rota de volta à sua fonte. ■ envenenamento Route ou reverter veneno: Usado para marcar a rota como inacessível em um roteamento atualização que é enviado para outros roteadores. Inacessível é interpretado como uma métrica que é definido para o máxima. ■ atualizações Triggered: Uma atualização de tabela de roteamento que é enviado imediatamente em resposta a um encaminhamento mudar. Atualizações desencadeada não espere por temporizadores atualização para expirar. O roteador detectar imediatamente envia uma mensagem de atualização para os roteadores adjacentes. ■ campo TTL no cabeçalho IP: O objetivo do Time to Live (TTL) de campo é para evitar uma situação em que um pacote undeliverable continua circulando na rede indefinidamente. Com TTL, o campo de 8 bits é definida com um valor pelo dispositivo de origem do pacote. O TTL é diminuído 1 por cada roteador na rota para seu destino. Se o campo TTL chega a 0 antes de o pacote chega ao seu destino, o pacote é descartado eo roteador envia uma mensagem de erro ICMP de volta para a origem do pacote IP. Link State-Routing Protocol Features Como protocolos de vetor de distância que enviam atualizações de roteamento para seus vizinhos, link-state protocolos envie o link state-atualidades routers vizinhos, que por sua vez transmite essa informação aos seus vizinhos, e assim por diante. Ao final do processo, como protocolos de vetor de distância, os roteadores que usam link-state protocolos de adicionar as melhores rotas para suas tabelas de roteamento, com base em métricas. No entanto, para além este nível de explicação, esses dois tipos de algoritmos de protocolo de roteamento têm pouco em comum. Construção do LSDB Link-state routers informações detalhadas sobre o dilúvio internetwork a todos os outros roteadores para que cada roteador tem as mesmas informações sobre a rede. Os roteadores usam esta base de dados link-state (LSDB) para calcular as melhores rotas, actualmente, para cada sub-rede. OSPF, o mais popular link-state protocolo de roteamento IP, anuncia informações em roteamento de atualização mensagens de vários tipos, com as atualizações contendo propagandas informações chamado link-state (LSAs). Figura 18-3 mostra a idéia geral do processo de inundação, com a criação de R8 e inundações sua router LSA. Note que a Figura 18-3 mostra apenas um subconjunto das
informações no router R8 da LSA. LSAs Figura 18-3 Inundações Usando um Link State Routing Protocol- Figura 18-3 mostra o processo de inundação, em vez de base, com R8 enviar o LSA original para si, e os outros roteadores inundando o LSA, enviando-lhe até que cada roteador tem uma cópia. Após o LSA foi inundado, mesmo se o LSAs não mudam, link-state protocolos exigem reflooding periódica dos LSAs por padrão a cada 30 minutos. No entanto, se uma mudança LSA, o inundações router imediatamente a LSA mudou. Por exemplo, se LAN Router R8 da interface falhou, R8 precisaria reflood o LSA R8, afirmando que a interface é agora para baixo. Cálculo do algoritmo de Dijkstra O processo de inundação por si só não causa um roteador para saber o que as rotas para adicionar ao roteamento IP mesa. Link-state protocolos deve, então, encontrar e adicionar rotas à tabela de roteamento IP usando o Dijkstra Algoritmo Shortest Path First (SPF). O algoritmo SPF é executado na LSDB para criar a árvore SPF. O LSDB contém todas as informações sobre todos os routers possível e links. Cada roteador deve ver-se como o ponto de partida, e cada sub-rede como o destino, e usa o algoritmo SPF para construir sua própria árvore SPF para escolher o melhor rota para cada sub-rede. Figura 18-4 mostra uma visualização gráfica dos resultados do algoritmo SPF executado pelo roteador R1 ao tentar para encontrar a melhor rota para chegar a sub-rede 172.16.3.0/24 (com base
na Figura 18-3). Figura 18-4 árvore SPF encontrar Route R1 para 172.16.3.0/24 Para escolher a melhor rota, o algoritmo de um roteador SPF acrescenta o custo associado a cada ligação entre em si e da sub-rede de destino, em cada rota possível. Figura 18-4 mostra os custos associados com cada rota ao lado dos links, com as linhas tracejadas mostram as três rotas R1 encontra entre si mesmo e de sub-rede X (172.16.3.0/24). Tabela 18-4 lista as três rotas mostrado na Figura 18-4, com os respectivos custos acumulados, mostrando que Melhor rota R1 para 172.16.3.0/24 começa por passar por R5. Como resultado da análise do algoritmo SPF é do LSDB, R1 adiciona uma rota para 172.16.3.0/24 sub-rede para sua tabela de roteamento, com o roteador next-hop de R5. Convergência com ligação Estado-Protocolos Lembre-se, quando uma mudança LSA, link-state protocolos de reagir rapidamente, convergindo a rede e
utilizando as melhores rotas atualmente o mais rápido possível. Por exemplo, imagine que a ligação entre R5 e R6 falha na internetwork de Figuras 18-3 e 18-4. A lista a seguir explica a processo de R1 usa para mudar para uma rota diferente. 1. R5 e R6 LSAs inundação que afirmam que suas interfaces estão agora em um estado "down". 2. Todos os roteadores executar o algoritmo SPF novamente para ver se todas as rotas foram alteradas. 3. Todos os roteadores substituir as rotas, conforme necessário, com base nos resultados do SPF. Por exemplo, mudanças R1 sua rota para a sub-rede X (172.16.3.0/24) para usar como roteador R2 o próximo salto. Estes passos permitem a ligação de estado protocolo de roteamento a convergir rapidamente, muito mais rapidamente do que a distância protocolos de roteamento vetor. Recursos estudo Para os temas de hoje do exame, consulte os seguintes recursos para mais estudo.
dia 17 Conexão e inicialização de Routers Exame CCNA 640-802 Tópicos ■ Selecione a mídia apropriada, cabos, portas e conectores para conectar roteadores para outras redes dispositivos e hosts. ■ Descrever a operação de roteadores Cisco (incluindo o processo de inicialização do roteador, POST, o roteador componentes). Tópicos-chave Hoje analisamos os componentes básicos do roteador, o processo de inicialização do roteador, interfaces do roteador, e conectar aos roteadores. O conteúdo para a revisão de hoje é bastante leve. Aproveite
esta oportunidade para rever material mais difícil do dia anterior ou passar para o dia seguinte, quando você está feito aqui. você também pode simplesmente fazer uma pausa. Componentes roteador interno Semelhante a um PC, um roteador também inclui os seguintes componentes internos: ■ CPU: Executa as instruções do sistema operacional, como inicialização do sistema, funções de roteamento, e controle de interface de rede. ■ RAM: A memória volátil que armazena as estruturas de dados requisitados pela CPU enquanto o roteador é powered, incluindo - Sistema operacional: Cisco IOS Software é copiado para a RAM durante a inicialização. - Running arquivo de configuração: Armazena os comandos de configuração que IOS do roteador é usando atualmente. - Tabela de roteamento IP: armazena informações sobre redes diretamente conectadas e remotos. - Cache ARP: Similar ao cache ARP em um PC. - Buffer de pacotes: pacotes são armazenados temporariamente em um buffer quando recebidos em uma interface ou antes de sair de uma interface. ■ ROM: A forma de armazenamento permanente usado para armazenar - Instruções Bootstrap - Software de diagnóstico básico - Scaled-down versão do IOS ■ Memória Flash: A memória flash é a memória do computador não-volátil que pode ser eletricamente apagada e reprogramada. O Flash é usado como armazenamento permanente para o IOS Cisco. ■ NVRAM: Memória de acesso aleatório não-volátil, que não perde sua informação quando o energia é desligada. NVRAM é usada pela Cisco IOS Software como armazenamento permanente para o arquivo de configuração de inicialização IOS O software do sistema operacional usado nos roteadores Cisco é conhecido como Cisco Internetwork Operating System (IOS). Como qualquer sistema operacional em qualquer outro computador, Cisco IOS Software é responsável para a gestão dos recursos de hardware e software do roteador, incluindo alocação de memória,
gerenciamento de processos e segurança, e gestão de sistemas de arquivo. Cisco IOS é um sistema operacional multitarefa sistema que é integrado com o roteamento, switching, internetworking e telecomunicações funções. Embora Cisco IOS Software pode parecer ser o mesmo em muitos roteadores, existem várias imagens IOS. Cisco cria muitas imagens IOS, dependendo do modelo e as características no IOS. Normalmente, os recursos adicionais requerem mais flash e RAM para armazenar e carregar IOS. Tal como acontece com outros sistemas operacionais, Cisco IOS tem sua própria interface de usuário. Embora alguns roteadores fornecem uma interface gráfica de usuário (GUI), a interface de linha de comando (CLI) é muito mais comum método de configuração de roteadores Cisco. Processo de inicialização do roteador Como todos os computadores, um roteador usa um processo sistemático para boot. Isso envolve testar o hardware, o carregamento do software do sistema operacional e realizar todos os comandos de configuração salvo na salva arquivo de configuração de inicialização. Alguns dos detalhes desse processo foram excluídos e são examinados de forma mais completa em um curso mais tarde. Figura 17-1 mostra os seis grandes fases no processo de inicialização: 1. Power-On Self Test (POST): Testando o hardware router 2. Carregando o programa de inicialização 3. Localizando Cisco IOS 4. Carregando Cisco IOS 5. Localizar o arquivo de configuração 6. Carregando o arquivo de configuração de inicialização ou entrar no modo de configuração Use o comando show version para verificar e solucionar alguns dos básicos de hardware e software componentes de um roteador. O comando show version no Exemplo 17-1 exibe informações sobre a versão do Cisco IOS Software actualmente em execução no router, a versão do bootstrap programa e informações sobre a configuração de hardware, incluindo a quantidade de sistema memória. 162 31 dias antes de seu exame CCNA
Portas roteador e Interfaces Figura 17-2 mostra o lado de trás de um router 2621 com portas de
gerenciamento e interfaces rotulados. Portas Figura 17-2 Router e Interfaces Portas de gerenciamento não são utilizados para o encaminhamento de pacotes, como Ethernet e interfaces seriais, mas são usado para conectar um terminal para o roteador e configurá-lo sem acesso à rede. A porta do console deve ser utilizado durante a configuração inicial do roteador. A porta auxiliar pode fornecer gerenciamento remoto se um modem está conectado. Roteadores têm múltiplas interfaces usadas para conectar a várias redes. Por exemplo, um roteador mais provável ter interfaces Fast Ethernet para conexões a LANs diferentes e também têm diferentes tipos de interfaces WAN usado para conectar uma variedade de ligações de série, incluindo T1, DSL e ISDN. Conexões roteador Ligar um router a uma rede requer um conector de interface do roteador para ser acoplado com um cabo conector. Como você pode ver na Figura 17-3, roteadores Cisco suportam muitos conectores seriais incluindo EIA/TIA-232, EIA/TIA-449, V.35, X.21, e EIA/TIA-530 padrões. Para conexões Ethernet baseado em LAN, um conector RJ-45 para o par trançado não blindado (UTP) cabo é mais comumente usado. Dois tipos de cabos podem ser utilizados com interfaces Ethernet LAN: ■ A straight-through, patch ou, a cabo, com a ordem dos pinos coloridos o mesmo em cada extremidade do o cabo ■ Um cabo crossover, com o pino 1 ligado ao pino 3 eo pino 2 ligado ao pino 6
dia 16 Configuração Básica do Roteador e verificação Exame CCNA 640-802 Tópicos ■ Acessar e utilizar o roteador para definir os parâmetros básicos (CLI / SDM). ■ Connect, configurar e verificar o status de operação de uma interface de dispositivo. ■ Implementar a segurança básica de um roteador. ■ Verifique a configuração do dispositivo e conectividade de rede usando ping, traceroute, telnet, SSH, ou outros utilitários. ■ Verifique a conectividade da rede (usando ping, traceroute, telnet e SSH ou) . Tópico chave Hoje fazemos uma revisão da configuração do roteador e os comandos básicos de verificação, bem como testes utilizando
o ping, traceroute, telnet e comandos. A maior parte deste deve ser muito familiar para você neste ponto em seus estudos, porque estas habilidades são fundamentais para todas as outras tarefas de configuração do roteador. Nota Cisco Device Manager Security (SDM) é um método baseado em GUI para acessar e configurar o roteador. Revisão SDM aqui iria ocupar muito espaço, porque nós necessidade de repetir dezenas de screenshots. Então, para sua análise de hoje SDM, consulte o seu Estudo Recursos. Cada um tem uma extensa revisão da configuração do roteador básico usando SDM. Configuração Básica do Roteador Figura 16-1 mostra o esquema de endereçamento topologia e usaremos a revisão básica de um roteador tarefas de configuração e verificação. Ao configurar um roteador, certas tarefas básicas são executadas, incluindo o seguinte: ■ Naming o roteador ■ Configuração de senhas ■ Configurando interfaces de ■ Configurar um banner ■ Salvar alterações em um roteador ■ Verificar a configuração básica e operações router
O endereço IP deve ser correta, eo status de interface deve ser "para cima" e "up". tabela 16-2 resume os dois códigos de status e seus significados.
Quatro combinações de configurações existentes para os códigos de status na solução de uma rede. Tabela 16 - 3 lista as quatro combinações, junto com uma explicação dos motivos típicos por uma interface Seria nesse estado
Tabela 16-4 mostra Explicação interfaces de saída Descrição de saída FastEthernet ... é {up | down | Indica se o hardware de interface está administrativamente down} ativa ou para baixo, ou se um administrador tomou- a para baixo. protocolo de linha é {up | down} Indica se a processos de software que lidam com o protocolo de linha considerar utilizável interface (isto é, se keepalives são bem sucedidos). Se o interface de misses três keepalives consecutivos, o protocolo de linha é marcada como para baixo. Tipo de hardware Hardware (por exemplo, a MCI Ethernet, interface de comunicação serial
[SCI], CBUs Ethernet) e endereço. Inscrição seqüência de texto configurado para a interface (max 240 caracteres). Internet endereço IP endereço seguido pelo comprimento do prefixo (máscara de sub-rede). MTU Maximum Transmission Unit (MTU) da interface. BW Bandwidth da interface, em kilobits por segundo. O parâmetro de largura de banda é usado para calcular as métricas de roteamento protocolo e outros cálculos. DLY Delay da interface, em microssegundos. confiar Confiabilidade da interface como uma fração de 255 (255/255 é 100 por cento confiabilidade), calculado como uma média exponencial sobre 5 minutos. carga de carga na interface como uma fração de 255 (255/255 é totalmente saturada), calculado como uma média exponencial sobre 5 minutos. Método de encapsulamento encapsulamento atribuído a uma interface. loopback Indica se loopback está definido. keepalive Indica se keepalives estão definidos. ARP tipo: Tipo de Address Resolution Protocol (ARP) atribuído. Número de entrada de última hora, minutos e segundos desde o último pacote foi sucesso recebido por uma interface. Útil para saber quando uma interface de mortos não Número de saída de horas, minutos e segundos desde o último pacote foi sucesso transmitido por uma interface. Útil para saber quando a interface de um morto falhou. Número de saída jeito de horas, minutos e segundos (ou nunca) já que a interface foi reiniciadas por causa de uma transmissão que demorou muito. Quando o número de horas em qualquer um dos campos anteriores exceder 24 horas, o número de dias e horas é impresso. Se esse campo transborda, asteriscos são impressas. Tempo clearing última em que os contadores que medem estatísticas acumuladas mostrado neste relatório (como o número de bytes transmitidos e recebidos) foram redefinidas para último 0. Note-se que as variáveis que podem afetar o roteamento (por exemplo, carga e confiabilidade) não são apagadas quando os contadores são apagadas. Asteriscos indicam tempo decorrido muito grande para ser exibido. Repor os contadores com o claro interface de comando. Fila de saída, número de entrada de pacotes na saída e filas de entrada. Cada número é seguido fila, cai por uma barra (/), o tamanho máximo da fila, eo número de pacotes caiu por causa de uma fila cheia. Cinco minutos taxa de entrada, número médio de bits e pacotes transmitidos
por segundo nos últimos 5 Cinco minutos minutos taxa de saída. Se a interface não está em modo promíscuo, ele detecta o tráfego de rede que envia e recebe (em vez de todo o tráfego de rede). A entrada de 5 minutos e as taxas de saída deve ser usado apenas como uma aproximação de tráfego por segundo durante um determinado período de 5 minutos. Estas taxas são exponencialmente médias ponderadas com uma constante de tempo de 5 minutos. Um período de de quatro constantes de tempo deve passar antes, a média será dentro de 2 por cento da taxa instantânea de um fluxo uniforme de tráfego ao longo desse período. Número total de pacotes de entrada livre de erros pacotes recebidos pelo sistema. bytes Número total de entrada de bytes, incluindo dados e encapsulamento MAC, no livre de erros pacotes recebidos pelo sistema. não Número buffers de pacotes recebidos descartados porque não havia espaço no buffer no sistema principal. Compare com "ignorado contar." Tempestades de broadcast em Ethernet são frequentemente responsáveis por nenhum evento buffer de entrada. ... Recebeu transmissões Número total de pacotes broadcast ou multicast recebidos pela interface. O número de transmissões deve ser mantido tão baixo quanto possível. Uma aproximada limite é inferior a 20 por cento do número total de pacotes de entrada. runts Número de frames Ethernet que são descartados porque eles são menores do que o tamanho de quadro mínimo de Ethernet. Qualquer quadro Ethernet que é inferior a 64 bytes é considerado um nanico. Runts são geralmente causadas por colisões. Se houver mais de 1 milhão de bytes por runt recebido, ele deve ser investigado. gigantes Número de frames Ethernet que são descartados porque eles excedem o tamanho máximo do quadro Ethernet. Qualquer quadro Ethernet que é maior que 1518 bytes é considerado um gigante. erro de entrada Inclui runts, gigantes, sem buffer, verificação de redundância cíclica (CRC), frame, superação, e ignorado conta. Outros entrada relacionados com erros também podem causar a erro de entrada contagem a ser aumentada, e alguns datagramas pode ter mais de um erro. Portanto, essa soma não pode equilibrar com a soma dos enumerados contagens de erros de entrada.
Dia 16 173 Descrição de saída continua CRC CRC gerado pela estação de origem ou LAN far-end dispositivo não coincidir com a soma de verificação calculada a partir dos dados recebidos. Em uma LAN, esta geralmente indica problemas de ruído ou de transmissão na interface LAN ou o ônibus LAN si. Um grande número de CRCs é geralmente o resultado de colisões ou uma estação de transmissão de dados incorretos. Número de quadros de pacotes recebidos incorretamente com um erro CRC e um noninteger número de octetos. Em uma LAN, este é geralmente o resultado de colisões ou mau funcionamento do dispositivo Ethernet. Número de saturação de vezes que o hardware receptor foi incapaz de mão- receber dados para um buffer de hardware, porque a taxa de entrada excedeu a capacidade do receptor para manipular os dados. Número de pacotes recebidos ignorado ignorados pela interface porque a interface hardware correu baixo em buffers internos. Estes buffers são diferentes dos buffers sistema mencionado na descrição do buffer. Tempestades de broadcast e rajadas de ruído pode causar a contagem ignorado ser aumentado. pacotes de entrada com drible de erro de bit Dribble indica que um quadro é um pouco demais condição detectada longo. Este contador de erro de quadro é incrementado apenas para fins informativos; o roteador aceita a frame. número de pacotes de saída total das mensagens transmitidas pelo sistema. Número total de bytes bytes, incluindo dados e encapsulamento MAC, transmitida pelo sistema. underruns Número de vezes que o transmissor foi correndo mais rápido do que o roteador pode suportar. Isso nunca pode ser relatado em algumas interfaces. Sum erros de saída de todos os erros que impediram a transmissão final de datagramas de interface que está sendo examinado. Note que isso não poderia equilíbrio com o soma dos erros de saída enumerados, porque alguns datagramas pode ter mais de um erro, e outros podem ter erros que não se enquadram em nenhuma das categorias especificamente tabulados. Número de colisões de mensagens retransmitidas por causa de uma colisão Ethernet. Isto é geralmente o resultado de um overextended LAN (Ethernet ou cabo transceptor muito tempo, mais de dois repetidores entre duas estações, ou muitos em cascata multiport transceivers). Um pacote que choca é contado apenas uma vez na
saída pacotes. Número de interface redefine de vezes que um interface foi completamente reposto. Isso pode acontecer se os pacotes na fila de transmissão não foram enviados dentro de alguns segundos. Em uma linha serial, isto pode ser causado por um modem com defeito que não é que fornece o sinal do relógio de transmissão, ou pode ser causado por um problema de cabo. Se o sistema percebe que a transportadora detectar linha de uma interface serial é acima, mas o protocolo de linha está em baixo, periodicamente redefine a interface em um esforço para reiniciá-lo. Interface redefine também pode ocorrer quando uma interface é looped costas ou desligado. 174 31 dias antes de seu exame CCNA Tabela 16-4 mostra Explicação interfaces de saída contínua Descrição de saída Verificando a conectividade de rede Como revisado no dia 20, "Host Addressing, DHCP, DNS e," ping e traceroute são úteis ferramentas para verificar a conectividade de rede. Estas ferramentas de trabalho para os roteadores também. A única diferença é a saída do comando ea sintaxe de comando. Exemplo 16-4 demonstra a saída ping foi bem sucedido no roteador. Exemplo de saída do Ping 16-4 em um Router
Usando Telnet ou SSH para acessar remotamente outro dispositivo também testes de conectividade. Mais importante, estes métodos de acesso remoto irá testar se um dispositivo foi configurado corretamente para que você pode acessá-lo para fins de gestão. Isto pode ser muito importante quando um dispositivo é verdadeiramente remoto (Por exemplo, através da cidade ou em outra cidade). Dia 8,? Ameaças de Segurança atenuantes e Melhor Práticas? opiniões de configuração SSH e verificação em mais detalhes. Durante a nossa tarefas básicas de configuração anterior, entramos os comandos para configurar corretamente o Linhas Telnet (vty 0 4) para acesso remoto. Exemplo 16-8 mostra um Telnet sucesso de R1 para R2.
Gestão e Cisco IOS Arquivos de configuração Exame CCNA 640-802 Tópicos ■ Gerenciar arquivos de configuração do IOS (salvar, editar, atualizar e restaurar). ■ Gerenciar Cisco IOS. ■ Verifique hardware do roteador e operação de software usando comandos SHOW e DEBUG. Tópicos-chave IOS imagens e arquivos de configurações podem ser corrompidos por meio de ataques intencionais, não intencionais erros do usuário, e falha do dispositivo. Para evitar esses problemas, você tem que ser capaz de salvar, fazer backup e restaurar imagens de configuração e IOS. Hoje fazemos uma revisão das operações de gestão de arquivos. O Cisco IOS File System Dispositivos Cisco IOS oferecem um recurso chamado o Cisco IOS Integrated File System (IFS). este sistema permite criar, navegar e manipular pastas em um dispositivo Cisco. os diretórios disponíveis dependem da plataforma. Comandos IFS Exemplo 15-1 mostra a saída do comando show sistemas de arquivos.
As colunas mostram a quantidade de memória disponível e livre em bytes eo tipo de sistema de arquivos e seus permissões. Permissões incluem somente leitura (ro), write-only (wo), e ler e gravar (rw). embora vários sistemas de arquivos são listados, de interesse para nós são os TFTP, flash, e sistemas de arquivos NVRAM. Observe que o sistema de arquivos flash tem um asterisco (*) precederam, o que indica que esta é a corrente sistema de arquivos padrão. Lembre-se que o IOS inicializável está localizado em flash. Portanto, o símbolo da libra (#) Anexado à lista de flash indica que este é um disco de boot. Exemplo 15-2 lista o conteúdo do atual sistema de arquivo padrão, que neste caso é flash. Exemplo 15-2 sistema de arquivos padrão é o Flash
De particular interesse é a primeira listagem, que é o nome do arquivo para a imagem do IOS. Observe que os arquivos de configuração armazenadas em NVRAM não são mostrados na saída. Para ver estes, primeira mudança diretórios (cd) para o diretório NVRAM (nvram:). Em seguida, listar o conteúdo com o dir comando, como mostrado no Exemplo 15-3. O arquivo que estão mais interessados em como candidatos exame CCNA é o arquivo de configuração startup-config. Prefixos de URL para especificar locais de arquivos Locais de arquivos são especificados na Cisco IFS usando a convenção de
URL, como mostrado no exemplo Figura 15-1. Figura 15-1 Usando uma URL para especificar o local TFTP Na Figura 15-1, as partes do URL tftp: / 192.168.20.254/configs/backup-config / pode ser dissecada como se segue: ■ tftp: é o prefixo que especifica o protocolo. ■ Tudo após a barra dupla (/ /) define o local do arquivo. ■ 192.168.20.254 é a localização do servidor TFTP. ■ configs é o diretório mestre no servidor TFTP. ■ de backup de configuração é um nome de arquivo da amostra. A URL TFTP mostrado na Figura 15-1 é um exemplo de uma URL remota. Exemplos de URLs para acessando o IFS local da Cisco incluem o seguinte: ■ flash: configs / backup-config ■ Sistema: executando-config (este acessa a memória RAM) ■ nvram: startup-config Comandos para gerenciar arquivos de configuração Conhecer a estrutura URL é importante porque você usá-los ao copiar arquivos de configuração de um local para outro. O Cisco IOS comando de cópia de software é usado para mover a configuração arquivos de um componente ou dispositivo para outro, como RAM, NVRAM, ou um servidor de TFTP. Figura 15-2 mostra a sintaxe de comando. Figura 15-2 Sintaxe do Comando cópia A URL de origem é onde você está copiando. O URL de destino é onde você está copiando para. Por exemplo, você já está familiarizado com o abreviado iniciar executar o comando de cópia. No entanto, na sua forma mais detalhada, esse comando especifica os locais de arquivo:
Router sistema de cópia #: running-config nvram: startup-config Os estados de comando, "Copiar a configuração atual da memória RAM do sistema para NVRAM e salvá-lo com o nome do arquivo startup-config. Outros exemplos incluem a cópia da RAM para o TFTP: Router sistema de cópia #: running-config tftp: Ou simplesmente, Router # copy tftp executar Cópia do TFTP para a RAM: Router # copy tftp: system: running-config Ou simplesmente, Router # copy tftp executar Cópia do TFTP para o arquivo de configuração de inicialização: Router # copy tftp: nvram: startup-config Ou simplesmente, Router # copy tftp nvram Os comandos copiar usando TFTP requer mais configurações (coberto na próxima seção), após você digitá-los para realizar a instrução Cisco IOS Naming Convenções Arquivo Por causa do grande número de plataformas, conjuntos de recursos, e possíveis versões do IOS, um arquivo de nomes convenção é usada para fornecer algumas informações básicas sobre a imagem do IOS. Figura 15-3 mostra um amostra de arquivo de imagem IOS e significado de cada parte. Os seguintes detalhes cada parte do nome do arquivo IOS mostrado na Figura 15-3: ■ Plataforma: A primeira parte, c1841, identifica a plataforma na qual a imagem é executada. nesta exemplo, a plataforma é um Cisco 1841. ■ Características: A segunda parte, ipbase, especifica o conjunto de recursos. Neste caso, refere-se à ipbase básicos imagem internetworking IP. Muitos conjuntos de recursos estão disponíveis: - I: Designa o conjunto de recursos IP.
- J: Designa o conjunto de recursos da empresa (todos os protocolos). - S: Designa um conjunto de recursos PLUS (filas extra, manipulação, ou traduções). - 56i: Designa 56-bit de encriptação IPsec DES. - 3: Designa o firewall / IDS. - K2: Designa criptografia 3DES IPsec (168 bits). ■ Tipo: A terceira parte, mz, indica onde a imagem é executada (m para RAM) e que a imagem é compactado (z). Outros códigos possíveis incluem o seguinte: - F: A imagem é executado a partir da memória Flash. - R: A imagem é executado a partir ROM. - L: A imagem é relocável. - X: A imagem é mzip comprimido. ■ Versão: A quarta parte, 123-14.T7, é o número da versão. ■ Extensão: A parte final, bin, é a extensão do arquivo. A extensão. Bin indica que este é um arquivo binário executável .. Gerenciar Imagens IOS Como qualquer rede cresce, o armazenamento de imagens Cisco IOS Software e arquivos de configuração no centro TFTP servidor lhe dá o controle sobre o número eo nível de revisão de imagens Cisco IOS e configuração arquivos que devem ser mantidas. Figura 15-4 mostra uma topologia da amostra com um servidor TFTP. Fazendo backup de uma imagem IOS Certifique-se de um servidor TFTP está configurado e funcionando na rede. Em seguida, siga estes passos para copiar uma imagem do Cisco IOS Software de memória flash para o servidor TFTP de rede:
Passo 1 Ping do servidor TFTP para se certificar de que você tem acesso a ele: R1 # ping 192.168.20.254 Tipo de seqüência de escape ao aborto. Enviando 5, 100-byte ICMP Echos a 192.168.20.254, tempo limite é de 2 segundos: !!!!! Taxa de sucesso é 100 por cento (05/05), round-trip min / avg / max = 31/31/32 ms R1 # Passo 2 Copie o arquivo de imagem do sistema atual a partir do roteador para o TFTP servidor de rede, usando o flash cópia: tftp: comando no modo EXEC privilegiado. Você, então, é solicitado. o comando requer que você digite o endereço IP do host remoto eo nome do arquivos de origem e destino imagem do sistema: R1 # copy flash: tftp: Filename [Fonte]? c1841-ipbase-mz.123-14.T7.bin Endereço ou nome do host remoto []? 192.168.20.254 Filename de destino [c1841-ipbase-mz.123-14.T7.bin]? <CR> !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! ! <saida omitted> 13832032 Restaurando uma imagem IOS Verifique se o roteador tem espaço em disco suficiente para acomodar a nova imagem do Cisco IOS Software com show flash: comando, como mostrado no Exemplo 15-4. Exemplo de Saída 15-4 do Comando show flash O comando show flash ajuda a determinar o seguinte: ■ A quantidade total de memória flash do roteador ■ A quantidade de memória flash disponíveis ■ Os nomes de todos os arquivos armazenados na memória flash e da quantidade de memória flash ocupada Exemplo 15-5 mostra os comandos necessários para copiar uma imagem armazenada no servidor TFTP para flash.
O comando pede o endereço IP do servidor TFTP e, em seguida o nome do arquivo de imagem IOS armazenada no servidor TFTP que deseja copiar. Quando perguntado sobre o nome do arquivo de destino, você poderia mudá-lo, mas isso não é recomendado porque o nome tem significados específicos como revista mais cedo. No Exemplo 15-5, há muito espaço para a nova imagem, de modo que o mais velho da imagem não é apagada. assim da próxima vez as botas router, ele irá carregar a imagem antiga, porque a velha imagem está listado em primeiro lugar no Flash diretório, como mostrado no Exemplo 15-6. Neste caso, para finalizar a atualização para a nova imagem (listado como arquivo 3 no Exemplo 15-6), você poderia apagar a primeira imagem listada no diretório do flash. Afinal, você tem um backup no servidor TFTP. Para fazê-lo, digite o comando delete flash, certificando-se de especificar o arquivo que deseja apagar, como mostrado no Exemplo 15-7:
A melhor solução seria configurar o roteador para iniciar a nova imagem usando comandos de inicialização do sistema. R2 (config) # boot system flash c1841-ipbasek9-mz.124-12.bin Esta forma do comando de inicialização do sistema informa ao roteador para usar a imagem IOS especificado armazenados em flash em vez da imagem padrão. Usando este método permite que você tenha um backup local de um IOS imagem que você pode usar imediatamente se algo acontecer com a imagem de inicialização. Recuperando uma imagem IOS Usando um servidor TFTP Se um roteador perde todo o conteúdo do flash, intencionalmente ou não, ele automaticamente inicia na Modo ROMmon. Comandos muito poucos estão disponíveis no modo ROMmon. Você pode ver esses comandos digitando? no rommon> prompt de comando, como demonstrado no Exemplo 15-8. Exemplo 15-8 Comandos ROMmon Disponível A melhor solução seria configurar o roteador para iniciar a nova imagem usando comandos de inicialização do sistema. R2 (config) # boot system flash c1841-ipbasek9-mz.124-12.bin Esta forma do comando de inicialização do sistema informa ao roteador para usar a imagem IOS especificado armazenados em flash em vez da imagem padrão. Usando este método permite que você tenha um backup local de um IOS imagem que você pode usar imediatamente se algo acontecer com a imagem de inicialização. Recuperando uma imagem IOS Usando um servidor TFTP Se um roteador perde todo o conteúdo do flash, intencionalmente ou não, ele automaticamente inicia na
Modo ROMmon. Comandos muito poucos estão disponíveis no modo ROMmon. Você pode ver esses comandos digitando? no rommon> prompt de comando, como demonstrado no Exemplo 15-8. Exemplo 15-8 Comandos ROMmon Disponível O comando pertinentes para a recuperação de uma imagem IOS é tftpdnld TFTP para download. para ativar o roteador para usar o comando tftpdnld, primeiro você deve definir variáveis ROMmon específico. estes variáveis, mostrado no Exemplo 15-9, são de sintaxe e case-sensitive Recuperando uma imagem IOS Usando Xmodem Se por algum motivo você não é capaz de usar as interfaces Fast Ethernet em um roteador, você pode recuperar uma imagem IOS, transferindo-o sobre um cabo de console usando Xmodem. O método é muito mais lento do que usando tftpdnld porque você está transferindo a 9600 bps em vez de 100 Mbps. Para usar Xmodem, conectar um cabo de console e abrir uma sessão de terminal com o roteador. Em seguida, use
o comando xmodem como demonstrado no Exemplo 15-10. Exemplo 15-10 Usando xmodem para recuperar uma imagem IOS Agora use o "Enviar Arquivo" comando para o seu software terminal para iniciar a transferência IOS. Para HyperTerminal, "Enviar Arquivo" está no menu de transferência. Navegue até o local do arquivo e enviá-lo. O software terminal então fornece um feedback sobre o estado de transferência de arquivos como ele ocorre. Quando o transferência estiver completa, o roteador automaticamente recarrega com a nova imagem IOS Cisco. Recuperando uma senha perdida Procedimentos de recuperação de senha para qualquer roteador ou switch Cisco estão disponíveis online. Para busca exemplo, para "1841 de recuperação de senha" e você irá descobrir rapidamente os procedimentos que você precisa a seguir para redefinir a senha. É por isso que a segurança física é uma obrigação para todos os dispositivos de rede. Roteadores e switches devem estar por trás de portas trancadas. Passo 1 Use o interruptor para desligar o router e ligue o roteador novamente. Passo 2 Pressione a tecla pausa especificado pelo seu software terminal dentro de 60 segundos de energização para acessar o prompt de ROMmon. Para HyperTerminal, use a tecla Break. Prazo para Tera, use a combinação de teclas Alt + b. Passo 3 Digite confreg 0x2142 no prompt ROMmon. Isso faz com que o roteador para ignorar o configuração de inicialização, onde a senha esquecida é armazenado. Etapa 4 Digite reset no prompt. A reinicialização do roteador, mas ele ignora a configuração salva. No entanto, o arquivo ainda existe em NVRAM. Passo 5 Pressione Ctrl-C para pular o processo de configuração inicial. Passo 6 Enter permitir ao Router> prompt. Isso coloca você no modo EXEC privilegiado, onde você deve ser capaz de ver o Router # alerta. Passo 7 Enter copy startup-config running-config para copiar o arquivo de configuração de backup NVRAM na memória. Passo 8 Digite configure terminal.
Passo 9 Digite comando enable senha secreta para alterar a senha secreta de ativação. Issue passo 10 o comando no shutdown em cada interface que você deseja ativar. Passo 11 A partir do modo de configuração global, digite config-register 0x2102 para restaurar o original configuração do Registro de configuração. Passo 12 Pressione Ctrl-Z ou digite end para sair do modo de configuração. Passo 13 Enter copy running-config startup-config para confirmar as alterações. Você pode emitir o comando show ip interface brief para confirmar que a sua configuração de interface está correto. Cada interface que você deseja utilizar deve exibir "up" e "up". Você acabou de completar recuperação de senha. Digitando o comando show version confirma que o roteador irá utilizar a configuração configurado registo definição na próxima reinicialização. 188 31 dias antes de seu exame CCNA dia 14 Padrão, estático e roteamento RIP Exame CCNA 640-802 Tópicos ■ Fazer e verificar as tarefas de configuração de roteamento para uma rota estática ou padrão dados de roteamento específicos
requisitos. ■ Configurar, verificar e solucionar RIPv2. Tópicos-chave Hoje nos concentramos em padrão, estático e roteamento RIP para IPv4. As rotas estáticas são uma parte comum de uma política de roteamento empresa. As rotas estáticas podem ser usados para forçar o tráfego a usar um caminho específico ou para estabelecer uma rota padrão para fora da empresa. As rotas estáticas são codificados na tabela de roteamento o administrador de rede. Assim, um administrador de rede deve monitorar e manter rotas estáticas para garantir a conectividade. Roteamento dinâmico, por outro lado, mantém automaticamente a informação de roteamento sem uma rede intervenção do administrador. O primeiro protocolo de roteamento, Routing Information Protocol (RIP), vem em duas versões para IPv4 e IPv6 para outra versão. Configuração de Rota Estática Um dos usos comuns para uma rota estática é de roteamento para uma rede stub. Uma rede stub é uma rede acessados por uma única rota. Para configurar uma rota estática, use o comando ip route com a seguinte sintaxe relevantes: Router (config) # ip route endereço de rede subnet-mask {ip-address | saída da interface} Explicação para cada parâmetro é a seguinte: ■ endereço de rede: endereço de destino de rede da rede remota para ser adicionado ao roteamento mesa. ■ sub-máscara: máscara de sub-rede da rede remota para ser adicionado à tabela de roteamento. a sub-rede máscara pode ser modificada para resumir um grupo de redes. Um ou ambos os seguintes parâmetros são utilizados: ■ ip-address: Comumente referido como o endereço IP do roteador next-hop é. ■ saída da interface: interface de saída que seria usada no encaminhamento de pacotes para o destino rede. Figura 14-1 e Tabela 14-1 mostra a topologia e esquema de endereçamento que estamos usando hoje para revisão estático e roteamento padrão.
As redes remotas que R1 não conhece são as seguintes: ■ 172.16.1.0/24: A LAN em R2
■ 192.168.1.0/24: A rede serial entre R2 e R3 ■ 192.168.2.0/24: A LAN em R3 Rotas Estáticas Usando o "Next Hop" Parameter Usando o "next hop" parâmetro, R1 pode ser configurado com três rotas estáticas, uma para cada um dos redes R1 que ainda não conhecem. Exemplo 14-2 mostra a sintaxe de comando A interface que encaminha para o próximo salto deve ser "para cima" e "up" antes as rotas estáticas podem ser entrou na tabela de roteamento. Exemplo 14-3 verifica que as rotas estáticas estão agora no roteamento mesa. Note que existe uma rota para a rede 172.16.2.0/24, que o "next hop" 172.16.2.2 pertence para. Depois de realizar uma pesquisa recursiva para encontrar a interface de saída, R1 irá enviar pacotes para cada um dos as três rotas estáticas para a interface Serial 0/0/0. Rotas Estáticas Usando o parâmetro interface de saída Para evitar uma pesquisa recursiva e ter um roteador imediatamente enviar pacotes para a interface de saída, configure a rota estática usando o parâmetro de saída da interface em vez do "next hop" (endereço IP) parâmetro. Por exemplo, em R2 podemos configurar uma rota estática para a rede 172.16.3.0/24 e especificar o
0/0/0 de interface serial como a interface de saída: R2(config)#ip route 172.16.3.0 255.255.255.0 serial 0/0/0 Todas as rotas estáticas anteriores a esta rede usando um next-hop endereço IP deve ser removido. R2 agora tem uma rota estática em sua tabela de roteamento, como mostrado no Exemplo 14-4, que pode usar imediatamente para rota para a rede 172.16.3.0/24 sem ter que fazer uma pesquisa de rota recursiva. Rotas padrão estática Uma rota padrão é um tipo especial de rota estática utilizada para representar todas as rotas com zero ou não bits correspondente. Em outras palavras, quando não há rotas que têm uma correspondência mais específica no roteamento tabela, a rota padrão será uma partida. O endereço IP de destino de um pacote pode combinar várias rotas na tabela de roteamento. Por exemplo, considerar ter os dois seguintes rotas estáticas na tabela de roteamento: 172.16.0.0/24 é sub-redes, três sub-redes S 172.16.1.0 está diretamente conectado, Serial0/0/0 S 172.16.0.0/16 está diretamente conectado, Serial0/0/1 Um pacote destinado a 172.16.1.10, o pacote do endereço IP de destino, fósforos ambas as rotas. No entanto, a rota 172.16.1.0 é a rota mais específica porque o destino corresponde à primeira 24 bits, enquanto que o destino corresponde apenas os primeiros 16 bits da rota 172.16.0.0. portanto, o roteador irá utilizar a rota com a correspondência mais específica. A rota padrão estática é um percurso que irá corresponder a todos os pacotes. Comumente chamado de rota quad-zero, um rota estática padrão usa 0.0.0.0 (assim, o termo "quad-zero"), tanto para o endereço de rede e sub-rede parâmetro de máscara, como mostra a esta sintaxe: Rota Router (config) # ip 0.0.0.0 0.0.0.0 {ip-address | sair da interface} Referindo-se a topologia mostrada na Figura 14-1, assumir que R3 tem uma
conexão com a Internet. A partir da perspectiva de R2, todo o tráfego padrão pode ser enviado para R3 para o encaminhamento fora do domínio conhecido por R2. O comando a seguir configura R2 com uma rota estática padrão apontando para R3 utilizando o próximo " parâmetro hop ": R2 (config) # ip route 0.0.0.0 0.0.0.0 192.168.1.1 R2 tem agora um "gateway de último recurso" listados na tabela de roteamento, uma rota padrão candidato indicado pelo asterisco (*) ao lado do código S, como mostrado no Exemplo 14- 5.
Após adicional rotas estáticas são configuradas, as tabelas de roteamento de R1 e R2 estão completos. No entanto, R3 não tem rotas de volta para nenhuma das redes 172.16.0.0. Assim, qualquer tráfego de PC1 para o PC3 PC3 vai chegar, mas o tráfego de retorno PC3 será deixado por R3 R3, porque não ter uma rota de volta para qualquer uma das redes diretamente conectadas R1. Podemos ver que o problema é com R3 da saída traceroute no Exemplo 14-7. A partir da saída, você pode ver que R2 (172.16.2.2) responderam ao PC1. R2 em seguida, encaminha o traço próxima para R3. Sabemos disso porque R2 tem uma rota default apontando para R3. No entanto, quando o traço chega a R3, ele não tem uma rota de volta ao PC1, por isso descarta o pacote. R3 precisa de uma rota de volta para a rede 172.16.3.0/24. Antes de configurar três diferentes rotas estáticas para cada uma das redes 172.16.0.0, observe que o
três rotas podem ser resumidas em uma rota. Nós revisamos as rotas de síntese sobre Dia 21, então nós não detalhe o processo aqui. Exemplo 14-8 mostra as três rotas em binário com os bits em comum em destaque. Exemplo 14-8 Cálculo Route Resumo para R3 Portanto, a rota de síntese seria 172.16.0.0/22. Embora não faça parte da corrente de endereçamento esquema, esta rota de síntese estática incluiria também a 172.16.0.0/24 rota. Agora você pode configurar R3 com uma rota estática: R3(config)#ip route 172.16.0.0 255.255.252.0 serial 0/0/1 Now PC1 can successfully trace a route to PC3 as shown in Example 14-9. RIP Conceitos
RIPv2 porque é realmente um aumento da RIPv1, você deve ser capaz de comparar e contrastar conceitos a versão dois e configurações. Primeiro, vamos examinar brevemente RIPv1. RIPv1 Message Format RIPv1 é um classful, protocolo de roteamento vetor de distância para o IPv4. Ele usa a sua contagem de saltos como métrica única para a seleção de caminho com uma contagem de saltos superiores a 15 unreachable considerados. RIPv1 mensagens de roteamento são encapsulados em um segmento UDP usando a porta número 520 e são transmitidos a cada 30 segundos. Figura 14-2 mostra o encapsulamento mensagem RIPv1 da camada de enlace de dados e até incluindo a mensagem RIPv1. Figura 14-2 Mensagem encapsulamento RIPv1 RIPv1 Operação Repare na mensagem RIP RIP que usa dois tipos de mensagens especificado no campo Command. Comando 1 é uma mensagem de solicitação e Comando 2 é uma mensagem de Resposta. Cada interface RIP-configurado envia uma mensagem de solicitação na inicialização, solicitando que todos os RIP vizinhos enviar as suas tabelas de roteamento completa. A mensagem de resposta é enviada de volta pelo RIP habilitado vizinhos. Quando o roteador recebe solicitando as respostas, que avalia cada entrada de rota. Se um entrada de rota é nova, o roteador recebendo instala a rota na tabela de roteamento. Se a rota já está na tabela, a entrada existente é substituída se a entrada de novos tem uma
contagem melhor hop. a inicialização roteador envia uma atualização acionada para todas as interfaces RIP habilitado contendo sua própria tabela de roteamento de modo que os vizinhos RIP pode ser informado de quaisquer novas rotas. RIPv1 não envia informações de máscara de sub-rede na atualização. Portanto, um router ou usa o máscara de sub-configurado em uma interface local ou se aplica a máscara de sub-rede padrão com base no classe de endereço. Devido a esta limitação, as redes RIPv1 não podem ser contíguas, nem podem implementar VLSM ou super. RIP tem uma distância padrão de 120 administrativos. Quando comparado a outros protocolos de gateway interior, RIP é o menos preferido protocolo de roteamento. RIPv1 Configuração Figura 14-3 e Tabela 14-2 mostra a topologia RIPv1 para o nosso primeiro cenário eo endereçamento esquema que utilizará para rever RIPv1 configuração e verificação. Figura 14-3 RIPv1 Topologia: Cenário A Na Figura 14-3, estamos usando seis redes distintas classes, de modo que cada rede deve ser configurada individualmente. Assumindo que as interfaces em R1, R2 e R3 são configurados e Exemplo, ativo 14-11 mostra a configuração RIPv1 para os roteadores.
RIPv1 Verificação e solução de problemas Os comandos de verificação seguintes, usado em ordem, vai verificar rapidamente se o roteamento está funcionando como pretendido. ■ show ip route ■ mostram protocolos ip ■ debug ip rip Se o roteamento não está funcionando corretamente, estes comandos irão ajudá-lo a rastrear o problema em da maneira mais eficiente. Para verificar se o roteamento está funcionando, comece com o comando show ip route. Para a topologia em Figura 14-3, todas as rotas devem ser na tabela de roteamento de cada roteador. 14-12 mostra o exemplo tabela de roteamento para R2 .. Para entender melhor a saída do comando show ip route, vamos nos concentrar em uma rota RIP aprendida por R2 e interpretar a saída mostrada na tabela de roteamento:
Se a tabela de roteamento está faltando uma ou mais rotas esperados, use o comando show ip protocolos sobre o local router primeiro a fazer RIP certeza está configurado e funcionando corretamente. Este comando exibe o protocolo de roteamento que está atualmente configurado no roteador. A saída pode ser usada para verificar parâmetros mais RIP para confirmar o seguinte: ■ RIP roteamento é configurado. ■ As interfaces corretas enviar e receber atualizações de RIP. ■ O roteador anuncia as redes correta. ■ RIP vizinhos estão enviando atualizações. Figura 14-4 mostra a saída do comando show ip protocolos, com os números de cada parcela da saída. As descrições que seguem a figura correspondem aos números na figura.:
1. A primeira linha de saída verifica se o roteamento RIP está configurado e funcionando em R2. 2. Estes são os temporizadores que mostram quando a próxima rodada de atualizações serão enviadas a partir deste router-23 segundos de agora, no exemplo. 3. Filtragem e informações redistribuição mostrado aqui são ambos CCNP nível de tópicos. 4. Este bloco de saída contém informações sobre qual versão RIP está actualmente configurado e quais interfaces estão participando de atualizações RIP. 5. Esta parte da saída mostra que R2 é atualmente resumindo na rede classful limite e, por padrão, irá utilizar até quatro igual custo rotas para equilibrar a carga de tráfego. 6. As redes classful configurado com o comando de rede estão listados a seguir. Estes são os redes R2 que irá incluir em suas atualizações RIP. 7. Aqui os vizinhos RIP estão listados como Fontes de Informação de Roteamento. Gateway é o next-hop Endereço IP do vizinho que está enviando atualizações R2. Distância é o AD que usa para R2 atualizações enviadas por este vizinho. Última Atualização é o segundo desde a última atualização foi recebido a partir deste próximo. Erros de configuração mais RIP envolvem uma configuração declaração incorreta de rede, uma falta configuração de rede declaração, ou a configuração de sub-redes adjacentes em um ambiente com classe. Conforme mostrado na Figura 14-5, debug ip rip pode ser utilizado para encontrar problemas com atualizações de RIP
Este comando exibe atualizações de roteamento RIP à medida que são enviados e recebidos, o que permite a oportunidade de rastrear as fontes potenciais de um problema de roteamento. A lista que se segue corresponde para os números na Figura 14-5. 1. Você vê uma atualização vindo de R1 na interface Serial 0/0/0. Repare que R1 envia apenas uma rota para a rede 192.168.1.0. Sem outras rotas são enviados, pois isso violaria a regra de dividir horizonte. R1 não é permitido para fazer propaganda de redes de volta para R2 R2 que anteriormente enviado para R1. 2. A próxima atualização que é recebido é de R3. Mais uma vez, por causa da regra dividir horizonte, R3 envia apenas uma rota: a rede 192.168.5.0. 3. R2 envia suas próprias atualizações. Primeiro, R2 constrói uma atualização para enviar a FastEthernet 0 / 0 interface. A atualização inclui toda a tabela de roteamento, exceto para a rede 192.168.3.0, que é anexado ao FastEthernet 0 / 0.
4. Em seguida, R2 constrói uma atualização para enviar para o R3. Três rotas estão incluídos. R2 não faz propaganda o R2 rede e compartilhar R3, nem propaganda na rede 192.168.5.0 por causa da separação horizonte. 5. Finalmente, R2 constrói uma atualização para enviar a R1. Três rotas estão incluídos. R2 não faz propaganda a rede que R2 e R1 partes, nem anunciar a rede 192.168.1.0 por causa da split horizon. 6. Para parar de monitorar atualizações de RIP na R2, sem entrar no debug ip rip de comando ou undebug todos, como mostrado na figura Interfaces passiva Na topologia mostrada na Figura 14-3, observe que não há nenhuma razão para enviar atualizações para o Fast Interfaces Ethernet em qualquer um dos roteadores. Portanto, você deve configurar estas interfaces como passivo por duas razões: ■ Melhorar a segurança, impedindo que alguém ligado a uma das LANs de intercepção, inspeção, e, possivelmente, modificando as atualizações RIP. ■ Melhorar a eficiência do processamento dos roteadores. Use o passivo-interface interface interface de comando do tipo de número para parar de enviar atualizações de RIP as interfaces Fast Ethernet, como mostrado no Exemplo 14-13 para R2. O comando show ip protocols é então usado para verificar a configuração da interface passiva. Exemplo 14-13 Desabilitar a atualização com o comando Passive-interface
204 31 dias antes de seu exame CCNA Observe que a interface não é mais listada em interface, mas sob uma nova seção chamada Passive Interface (s). Notar também que a rede 192.168.3.0 ainda está listado em Roteamento para Redes:, o que significa que esta rede ainda é incluído como uma entrada de rota RIP nas atualizações que são enviadas para R1 e R3. Todos os protocolos de roteamento suporte para o comando Passive- interface. Sumarização automática RIP automaticamente resume na fronteira da rede classful. Figura 14-6 e 14-4 Tabela mostra a topologia RIPv1 para Cenário B eo esquema de endereçamento que vamos usar para o resto da nossa RIPv1 revisão. Figura 14-6 RIPv1 Topologia: Cenário B
Assumindo todas as interfaces estão configurados e ativados, Exemplo 14-14 mostra a configuração de RIP para R1, R2 e R3. Exemplo 14-14 RIPv1 Configuração Standard: Cenário B Repare na configuração do RIP para todos os roteadores, o endereço de rede classful foi inserido em vez de cada sub-rede. Se tivéssemos entrado no sub-redes em vez disso, Cisco IOS teria resumido-los para o endereço de rede classful. Isto porque um router RIP ou usa a máscara de sub- rede configurado em um interface local ou se aplica a máscara de sub-rede padrão com base na classe de endereço. Portanto, RIPv1 não pode apoiar sub-redes adjacentes, supernets, ou VLSM esquemas de
endereçamento. exemplo 14-15 mostra o que R2 envia suas atualizações para R1 e R3. Quando R2 envia atualizações para R1, ele envia a rede 172.30.3.0 porque a interface Serial 0/0/0 é usando uma máscara / 24 para a rede 172.30.2.0. No entanto, ele resume a sub-rede 192.168.4.8 para 192.168.4.0 antes de enviar a atualização a R1 porque R1 irá aplicar a máscara padrão classful ao roteamento de atualização. R2 é um roteador de limite para a rede 192.168.4.0. Para sua atualização para R3, R2 resume sub-redes 172.30.1.0, 172.30.2.0, 172.30.3.0 e à rede 172.30.0.0 porque classful R2 é o roteador de limite para a rede 172.30.0.0 e assume R3 não tem qualquer outra forma para chegar à rede 172.30.0.0. 206 31 dias antes de seu exame CCNA Padrão de roteamento e RIPv1 Usando o mesmo esquema de endereçamento da Tabela 14-4, vamos modificar a topologia como mostrado na Figura 14-7 para que R2 e R3 estão usando roteamento estático e padrão.
Exemplo 14-16 mostra as mudanças de configuração feitas para R2 e R3. R3 é prestação de serviço ao a Internet. Então R2 irá utilizar uma rota padrão para enviar todo o tráfego para destino desconhecido para R3. R3 irá usar uma rota de síntese para enviar todo o tráfego para a sub-redes 172.30.0.0. Poderíamos configurar R1 com uma rota padrão apontando para R2. Mas uma solução melhor e mais escalável é usar o padrão de informação originam-comando para ter R2 propagar a sua rota padrão para R1 em suas atualizações de roteamento RIP. R2 (config) # router rip R2 (config-router) # default-information originate Como mostrado no Exemplo 14-17, R1 tem agora uma rota RIP marcados com o asterisco (*) indicando o código que esta rota é um gateway padrão
RIPv2 Configuração Como Versão 1, RIPv2 é encapsulado em um segmento UDP usando a porta 520 e pode transportar até 25 rotas. Figura 14-8 mostra o RIPv1 e RIPv2 formatos de mensagem. Para fins de revisão, o RIPv2 extensão mais importante fornece a adição de sub-rede campo de máscara, o que permite uma máscara de 32 bits para ser incluída na entrada de rota RIP. Como resultado, o recebimento router já não depende da máscara de sub-rede da interface de entrada ou a máscara quando classful determinar a máscara de sub-rede para uma rota. Isto significa que RIPv1 três principais limitações falta de projetos de rede adjacentes, supernetting e VLSM suporte já não são um problema. Por padrão, o processo de RIP nos roteadores Cisco envia mensagens RIPv1 mas pode receber tanto RIPv1 e RIPv2. Você pode ver isso no show de saída protocolos ip mostrado anteriormente no Exemplo 14-13. Para habilitar o envio de mensagens RIPv2 em nossa topologia, digite o comando versão 2 em router modo de configuração, conforme demonstrado no Exemplo 14-18
Com essa configuração, R2 vai agora enviar e receber apenas mensagens RIPv2. Isso significa que deve configurar R1 com o comando a versão 2, mas também porque R2 irá ignorar a RIPv1 mensagens enviadas por R1. incapacitantes Autosummarization Observe a linha no show de saída protocolos ip do Exemplo 14-18 que diz: Sumarização automática de rede está em vigor Por padrão, RIPv2 automaticamente resume redes para a fronteira classful como RIPv1. assim, para apoiar sub-redes e VLSM adjacentes, primeiro você deve desabilitar sumarização automática com a nenhum comando auto-resumo sobre todos os RIPv2 roteadores para garantir que os sub-redes individuais são enviados em atualizações de roteamento não o endereço de rede classful. RIPv2 Verificação e solução de problemas Existem várias maneiras de verificar e solucionar RIPv2. Você pode usar muitos dos mesmos comandos para RIPv2 para verificar e solucionar problemas de outros protocolos de roteamento. É sempre melhor começar com o básico: ■ Certifique-se que todos os links (interfaces) estão ativos e operacionais. ■ Verifique os cabos. ■ Certifique-se que você tem o endereço IP correto e máscara de sub-rede em cada interface. ■ Remova todos os comandos de configuração que não são mais necessárias ou que tenham sido substituídos por outros comandos. Comandos para uso são as mesmas que para RIPv1, bem como seu uso padrão de show interface ip
breve, show run, e ping. Mas também considerar o seguinte RIPv2 questões específicas: ■ Versão: Um bom lugar para começar a solucionar uma rede que está executando o RIP é verificar se a versão 2 comando é configurado em todos os roteadores. RIPv1 não suporta adjacentes sub-redes, VLSM, CIDR ou rotas supernet. ■ declarações Network: Outra fonte de problemas pode ser configurado incorretamente ou faltando declarações de rede configurado com o comando da rede. Lembre-se, de comando da rede faz duas coisas: - Ele permite que o protocolo de roteamento para enviar e receber atualizações em todas as interfaces locais que pertencem a essa rede. - Ele inclui a rede configurada em suas atualizações de roteamento para seus roteadores vizinhos. A declaração de rede ausente ou incorreto resultará em perder atualizações de roteamento e encaminhamento atualizações não são enviados ou recebidos em uma interface. ■ sumarização automática: Se houver uma necessidade ou expectativa para o envio de sub-redes específicas e não apenas resumiu rotas, certifique-se que a sumarização automática foi desativada com o comando no auto-summary.
Roteamento EIGRP Exame CCNA 640-802 Tópicos ■ Configurar, verificar e solucionar problemas de EIGRP. Tópicos-chave Aprimorada Interior Gateway Routing Protocol (EIGRP) é um vetor de distância, protocolo de roteamento sem classes que foi lançado em 1992 com Cisco IOS Software Release 9.21. Como o próprio nome sugere, EIGRP é um aprimoramento do Interior Gateway Routing Protocol (IGRP). Ambos são proprietários da Cisco protocolos e operar apenas em roteadores Cisco. Hoje fazemos uma revisão da operação, a verificação de configuração, e solução de problemas de EIGRP . Operação EIGRP EIGRP inclui vários recursos que não são comumente encontradas em outros protocolos de roteamento vetor de distância como o Routing Information Protocol (RIPv1 e RIPv2) e IGRP. Esses recursos incluem o seguinte: ■ Reliable Transport Protocol (RTP) ■ atualizações Bounded ■ Algoritmo Atualização Difusão (DUAL) ■ Estabelecer adjacências ■ vizinho e tabelas de topologia
Embora EIGRP pode agir como um protocolo de roteamento link-state, ainda é um vetor de distância protocolo de roteamento. Tabela 13-1 resume as principais diferenças entre um protocolo de vetor de distância tradicional de roteamento, tais como RIP, eo maior vetor de distância protocolo de roteamento EIGRP A partir do lado direito da Figura 13-1, observe que o campo de dados é chamado Tipo / comprimento / valor, ou TLV. Os tipos de TLVs relevantes para o CCNA são parâmetros EIGRP, IP Rotas internas e externas IP Routes.
O cabeçalho do pacote EIGRP, mostrado na Figura 13-2, é incluído em cada pacote EIGRP, independentemente de sua TLV. O cabeçalho do pacote EIGRP e TLV são então encapsulado em um pacote IP. No PI cabeçalho do pacote, o campo de protocolo está definido para 88 para indicar EIGRP, eo endereço de destino é definido para o endereço multicast de 224.0.0.10. Se o pacote EIGRP é encapsulado em um frame Ethernet, o endereço MAC de destino é também um endereço de multicast: 01-00-5E-00- 00-0A. Campos importantes para a nossa discussão incluem o campo Opcode eo Autonomous System Number de campo. Opcode especifica o tipo de pacote EIGRP. O número de sistema autônomo especifica o Processo de roteamento EIGRP. Ao contrário de RIP, os roteadores Cisco pode executar várias instâncias do EIGRP. o número de sistema autônomo é usado para controlar várias instâncias do EIGRP. RTP e os tipos de pacotes EIGRP Protocolo de transporte confiável (RTP) é o protocolo usado pelo EIGRP para a entrega e recepção de Pacotes EIGRP. EIGRP foi concebido como uma rede de protocolo de roteamento da camada de independentes, portanto, ele não pode usar os serviços de UDP ou TCP, porque IPX e AppleTalk não usam protocolos de o conjunto de protocolos TCP / IP. Embora confiável é parte de seu nome, RTP inclui tanto a entrega confiável e entrega confiável de Pacotes EIGRP. Confiável RTP exige uma confirmação para ser devolvido, enquanto um não confiável Pacote RTP não exige um reconhecimento ..
RTP pode enviar pacotes ou como um unicast ou multicast. Pacotes multicast usar o EIGRP reservados endereço multicast de 224.0.0.10. EIGRP usa cinco tipos de pacotes: ■ Olá: Olá pacotes são usados pelo EIGRP para descobrir vizinhos e formar adjacências com os vizinhos. Olá pacotes EIGRP são multicasts e usar de entrega não confiável, por isso não resposta é necessária a partir do destinatário. Na maioria das redes, os pacotes EIGRP Olá são enviados a cada 5 segundos. Em multiponto sem difusão multiaccess (NBMA) redes como X.25, Frame Relay e ATM interfaces com links de acesso dos T1 (1.544 Mbps) ou mais lento, são hellos unicast a cada 60 segundos. Por padrão, o tempo de espera é de 3 vezes o intervalo Olá, ou 15 segundos Na maioria das redes e 180 segundos em redes de baixa velocidade NBMA. Se o tempo de espera expira, EIGRP declara a rota como para baixo, e as buscas DUAL para um novo caminho na tabela de topologia ou através do envio de consultas. ■ Update: EIGRP não envia atualizações periódicas. Pacotes de atualização são enviados somente quando necessário, conter apenas as informações de roteamento necessário, e são enviados apenas para aqueles roteadores que assim o exigem. Pacotes EIGRP atualização use entrega confiável. Pacotes de atualização são enviados como um multicast quando exigido por vários roteadores, ou como um unicast quando requerido por apenas um único roteador. ■ Reconhecimento: O reconhecimento (ACK) pacotes são enviados por EIGRP quando entrega confiável
é usado. RTP utiliza entrega confiável para EIGRP atualização, consulta e pacotes de resposta. EIGRP pacotes de reconhecimento são sempre enviadas como um unicast confiável. ■ Query: Um pacote de consulta é utilizado por DUAL na busca de redes. Consultas utilização fiável entrega e pode usar multicast ou unicast. ■ Resposta: Um pacote de resposta é enviada em resposta a um pacote de consulta independentemente de o responder roteador tem informações sobre a rota consultada. Respostas use entrega confiável e, ao contrário consultas, as respostas são sempre enviadas como unicast (nunca como multicast). DUAL Protocolos de roteamento vetor de distância, como RIP evitar loops de roteamento com hold-down timers. o principal forma que evita loops de roteamento EIGRP é com o algoritmo DUAL. DUAL é usado para obter laço liberdade a cada instante ao longo de um cálculo de rota. Isso permite que todos os roteadores envolvidos em uma alteração de topologia para sincronizar ao mesmo tempo. Roteadores que não são afetados pela mudanças na topologia não estão envolvidos no recálculo porque as consultas e as respostas são limitadas para apenas os routers que precisam ou têm as informações de rota específica. Este método fornece EIGRP com tempos de convergência mais rápida do que outros protocolos de roteamento vetor de distância. Porque o recálculo da dupla pode ser do processador, é vantajoso evitar o recálculo sempre que possível. Portanto, DUAL mantém uma lista de rotas de backup que já determinou ser livre de laço. Se a rota primária na tabela de roteamento falhar, a melhor rota de backup é imediatamente adicionado à tabela de roteamento. Distância administrativa
EIGRP tem um padrão de AD 90 para rotas internas e 170 para as rotas importadas de uma externa fonte, tais como rotas padrão. Quando comparado a outros protocolos de gateway interior, EIGRP é o mais preferido pela Cisco IOS Software porque tem o menor AD. Observe na Tabela 13-2 EIGRP que tem um valor AD terceiro, de 5, para as rotas de síntese. Mais adiante neste capítulo, você aprenderá a configurar as rotas EIGRP sumário. Configuração EIGRP Para rever os comandos de configuração EIGRP, vamos usar a topologia da Figura 13-3 e da esquema de endereçamento na Tabela 13-3.
Observe na Figura 13-3 que o roteador ISP não existe realmente. Para a nossa análise do padrão de roteamento em EIGRP, vamos usar uma interface, simulado loopback. O Comando de rede Assumindo que as interfaces de todos os roteadores são configurados e ativados de acordo com os endereços IP na Tabela 13-3, 13-1 Exemplo mostra a configuração EIGRP com o comando da rede.
Sumarização automática Como RIP, EIGRP automaticamente resume redes para a fronteira com classe. No Exemplo 13-2, vemos que R1 e R2 são ambos de enviar a rede 172.16.0.0/16 classful para R3. Tabela de roteamento R3 exemplo 13-2 é: Sumarização Automática R3 não tem as informações mais específicas de sub-rede. Porque ambos os caminhos são iguais custo, R3 irá carga de tráfego equilíbrio para sub-redes para a rede 172.16.0.0/16. Isso resultará em menos de ótima encaminhamento pelo menos metade do tempo. Por exemplo, para enviar o tráfego para um destino que pertencem ao Sub-rede 172.16.1.0/24, R3 irá enviar o tráfego para ambos os R1 e R2. Claramente, a partir da topologia mostrada na
Figura 13-3, R1 é o caminho ideal. Para garantir roteadores EIGRP estão recebendo informações de sub-rede completo, desativar o sumário automático com o comando no auto-summary, como mostrado no Exemplo 13-3. Exemplo 13-3 Desativar Sumarização Automática Agora R3 irá enviar o tráfego para a LAN R1 para R1 e R2 para a LAN R2. Exemplo 13-4 mostra a nova tabela de roteamento para R3 após a sumarização automática é desabilitada. Tabela de roteamento R3 exemplo 13-4 é: Sumarização Automática com mobilidade condicionada Sumarização manual Sumarização automática com deficiência, EIGRP benefícios já não a partir das tabelas de roteamento menores
que podem resultar de rotas de rede resumida classful. Para controlar o tamanho das tabelas de roteamento, você pode usar sumarização manual para especificar que uma interface específica envia uma rota de síntese, em vez das sub-redes individuais. Isso também funciona para o envio de supernets. Por exemplo, suponha que R3 também tem rotas para o 192.168.0.0/24, 192.168.2.0/24, e Redes 192.168.3.0/24, além da LAN 192.168.1.0/24. Podemos simular esses três rotas, configurando loopbacks em R3 e em seguida, adicione estas redes com a configuração EIGRP em R3, como mostrado no Exemplo 13-5. Exemplo 13-5 Simulado LANs em R3 As rotas no Exemplo 13-6 pode ser resumido em uma rota supernet anunciados por R3 para ambos
R1 e R2. A supernet é uma coleção de endereços de rede contíguos classful agregados em um rota. Em vez de enviar quatro / 24 rotas para as redes classful 192.168.0.0, 192.168.1.0, 192.168.2.0 e 192.168.3.0, podemos configurar uma rota de síntese manual como 192.168.0.0/22. Rotas de síntese manual deve ser configurado na interface que você deseja que a rota de síntese para ser enviados de fora. A sintaxe para as rotas de síntese manual com EIGRP é a seguinte: Router(config-if)#ip summary-address eigrp as-number network- address subnet-mask Porque R3 tem dois vizinhos EIGRP, o resumo EIGRP manual em configurado em ambos os 0/0/0 0/0/1 de série e de série, como mostrado no Exemplo 13-7. R1 e R2 agora têm tabelas de roteamento menores porque as quatro redes são resumidos em um rota, como destacado no Exemplo 13-8 para R2.
Cancelar EIGRP rota padrão O "quad zero" rota estática padrão pode ser usado com todos os protocolos suportados atualmente roteamento. em nosso exemplo, vamos configurar a rota padrão estática em R2, pois é simular uma conexão com ISP. Exemplo 13-9 mostra o padrão de configuração rota estática em R2. Exemplo 13-9 Configuração e Redistribuição de uma rota padrão no EIGRP O comando redistribuir estática diz EIGRP para incluir essa rota estática em suas atualizações EIGRP para outros roteadores. Exemplo 13-10 mostra a tabela de roteamento para R1 com a rota padrão em destaque.
Exemplo 13-10 R1 tabela de roteamento com rota padrão Instalado Modificando o Metric EIGRP EIGRP usa os valores de largura de banda, atraso, confiabilidade, e carga na sua métrica composta para calcular o caminho preferido a uma rede. Por padrão, EIGRP utiliza apenas a largura de banda e atraso na sua métrica cálculo, como mostrado na Figura 13-4. A largura de banda métrica é um valor estático atribuído pelo Cisco IOS para os tipos de interface. Por exemplo, a maioria interfaces seriais são atribuídos o valor padrão 1544 kbps, a largura de banda de uma conexão T1. este valor pode ou não refletir a largura de banda real da interface. Delay é a medida do tempo que leva para um pacote de percorrer uma rota. A métrica de atraso é um static valor com base no tipo de ligação a qual a interface está conectado e é medido em microssegundos.
Porque a largura de banda pode padrão para um valor que não reflecte o valor real, você pode usar a largura de banda de comando interface para modificar a largura de banda métricas: Router (config-if) # largura de banda kilobits Na topologia mostrada na Figura 13-3, observe que a ligação entre R1 e R2 tem uma largura de banda 64 kbps, ea ligação entre R2 e R3 tem uma largura de banda de 1024 kbps. 13-11 mostra o exemplo configurações utilizadas em todos os três routers para modificar a largura de banda. Modifying Hello Intervals and Hold Times Hello intervals and hold times are configurable on a per-interface basis and do not have to match with other EIGRP routers to establish adjacencies. The syntax for the command to modify the hello interval is as follows: Router(config-if)#ip hello-interval eigrp as-number seconds
If you change the hello interval, make sure that you also change the hold time to a value equal to or greater than the hello interval. Otherwise, neighbor adjacency will go down after the hold time expires and before the next hello interval. The command to configure a different hold time is as follows: Router(config-if)#ip hold-time eigrp as-number seconds EIGRP Verificação e solução de problemas Para verificar qualquer configuração de roteamento, você provavelmente irá depender do ip route show, show ip breve interface, e mostrar comandos ip protocolos. A tabela de roteamento deve ter tudo o que espera rotas. Se não, verificar o estado das interfaces para se certificar de que nenhum interfaces são para baixo ou errada. Use o comando show ip protocolos para verificar se EIGRP e que a maioria de seus Configurações EIGRP são operacionais, como mostrado no Exemplo 13-13. Exemplo 13-13 Verificar a Configuração EIGRP com o comando show ip protocols
Para EIGRP, você pode usar duas tabelas, além da tabela de roteamento para verificar e solucionar o -configuração da tabela de vizinhos ea tabela de topologia. Primeiro, verifique se os vizinhos esperado estabeleceram adjacência com o show ip vizinhos eigrp comando. Figura 13-5 mostra a saída para R2 com uma breve explicação de cada parte. Se EIGRP não é roteamento como você espera, você pode usar o comando show ip eigrp topologia para ver
todas as rotas que fazem actualmente parte do banco de dados EIGRP, incluindo rotas que estão instalados em a tabela de roteamento e rotas de backup potencial como mostrado no Exemplo 13-14 para R2. EIGRP termos específicos que você deve saber para que você possa interpretar o resultado do Exemplo 13-14 incluem o seguinte: ■ Sucessor: Um roteador vizinho que é usado para encaminhamento de pacotes e é a rota de menor custo à rede de destino. ■ Distância Viável (FD): o mais baixo calculado métrica para alcançar a rede de destino. ■ sucessor viável (FS): Um vizinho que tem um caminho livre de laço de backup à mesma rede como o sucessor ao satisfazer a condição de viabilidade. ■ Condição de Viabilidade (FC): O FC é cumprida quando a distância relatou um vizinho (RD) para um
rede é inferior a FD do roteador local para a rede de destino mesmo. Rever os conceitos do sucessor, a distância possível, e sucessor viável, vamos olhar para um descrição detalhada da entrada em destaque na Exemplo 13-13. A primeira linha exibe o seguinte: ■ P: Esta rota é no estado passivo, o que significa que a rota é estável e não procuram activamente um substituição. Todas as rotas na tabela de topologia deve estar no estado passivo para um roteamento estável domínio. ■ 172.16.1.0/24: Esta é a rede de destino, que também é encontrado na tabela de roteamento. ■ 1 sucessores: Isso mostra o número de sucessores para esta rede. Se vários equal-cost caminhos existem para esta rede, haverá sucessores múltiplas. ■ FD é 3526400: Este é o FD, a métrica EIGRP para alcançar a rede de destino. A primeira entrada mostra o sucessor: ■ via 192.168.10.10: Este é o next-hop endereço do sucessor, R3. Este endereço é mostrado na a tabela de roteamento. ■ 3526400: Este é o FD para 172.16.1.0/24. É a métrica mostrado na tabela de roteamento. ■ 2172416: Esta é a RD do sucessor e é o custo R3 para chegar a esta rede. ■ Serial0/1/1: Esta é a interface de saída usada para chegar a esta rede, também mostrado no roteamento mesa. A segunda entrada mostra o sucessor viável, R1. (Se não existe segunda entrada, não há FSS.) ■ via 172.16.3.1: Este é o endereço do próximo salto do FS, R1. ■ 40514560: Este seria novo R2 da FD para 192.168.1.0/24 se R1 tornou-se o novo sucessor.
■ 28160: Esta é a RD do FS ou R1 métrica para alcançar esta rede. Este valor, RD, deve ser inferior ao FD atual de 3526400 para atender a FC. ■ Serial0/1/0: Esta é a interface de saída usada para atingir a FC, se este router torna-se o sucessor. Para ver todas as rotas possíveis no banco de dados de topologia EIGRP, incluindo rotas que não atendam a condição de viabilidade, use a opção de todos os links, como mostrado no Exemplo 13-15. Dia 13 223 Ao comparar a saída do Exemplo 13-14 com a saída do Exemplo 13-15, você pode ver
EIGRP que tem mais rotas na tabela de roteamento do que é mostrado inicialmente. Mas essas rotas adicionais que não satisfazem a condição de viabilidade. Portanto, deve primeiro DUAL consulta vizinhos para se certificar que não é uma rota melhor lá fora, antes de instalar um percurso que não satisfazem a condição de viabilidade. Esta é a essência de como DUAL evita loops. DUAL de estado finito máquina como o algoritmo trata de uma decisão é final, representada graficamente no fluxograma da Figura 13-6. Para monitorar o FSM DUAL em ação, use o comando debug eigrp fsm. Em seguida, desligue uma interface no roteador para ver como DUAL reage à mudança na topologia.
Roteamento OSPF Exame CCNA 640-802 Tópicos ■ Configurar, verificar e solucionar problemas de OSPF. Tópicos-chave Open Shortest Path First (OSPF) é um protocolo de roteamento link-state, que foi desenvolvido como um substituto para Routing Information Protocol (RIP). Principais vantagens do OSPF sobre o RIP são seus convergência rápida e sua escalabilidade para implementações de rede muito maior. Hoje fazemos uma revisão da operação, configuração, verificação e solução de problemas básicos do OSPF.
Operação OSPF IETF escolheu OSPF sobre Intermediate System-to-Intermediate System (IS- IS) como recomendado Interior Gateway Protocol (IGP). Em 1998, a especificação OSPFv2 foi atualizado em RFC 2328 e RFC é o atual para OSPF. RFC 2328, OSPF versão 2, está no site da IETF em http://www.ietf.org/rfc/rfc2328. Cisco IOS Software irá escolher rotas OSPF em rotas RIP porque OSPF tem uma distância de 110 administrativos contra AD RIP de 120. OSPF Message Format A porção de dados de uma mensagem OSPF é encapsulado em um pacote. Este campo de dados pode incluir uma das cinco tipos de pacotes OSPF. Figura 12-1 mostra uma mensagem encapsulada OSPF em um quadro Ethernet. O cabeçalho do pacote OSPF é incluído em cada pacote OSPF, independentemente do seu tipo. O pacote OSPF cabeçalho e de pacotes específicos do tipo de dados são então encapsulados em um pacote IP. No cabeçalho do pacote IP, o campo de protocolo é ajustado a 89 para indicar OSPF, eo endereço de destino é normalmente definido como um dos dois
endereços multicast: 224.0.0.5 ou 224.0.0.6. Se o pacote OSPF é encapsulado em um quadro Ethernet, o endereço MAC de destino é também um endereço de multicast: 01-00-5E-00- 00-05 ou 01-00-5E-00-00-06. Packet Tipos OSPF Estes cinco tipos de pacotes OSPF cada servir a um propósito específico no processo de roteamento: ■ Hello: Hello pacotes são utilizados para estabelecer e manter adjacência com outros roteadores OSPF. ■ DBD: A descrição do banco de dados (DBD) pacote contém uma lista abreviada do envio roteador link-state banco de dados e é usado por roteadores para verificar a receber contra a linkstate locais banco de dados. ■ LSR: Receber roteadores pode, então, solicitar mais informações sobre qualquer entrada na DBD por envio de um pedido de estado de link (LSR). ■ LSU: Link state-atualização (LSU) pacotes são utilizados para responder aos LSRs e anunciar novas informações. LSUs contêm 11 tipos de link-state anúncios (LSA). ■ LSAck: Quando um LSU é recebida, o roteador envia um aviso de estado de link (LSAck) para confirmar o recebimento da LSU. Estabelecimento vizinho Hello pacotes são trocados entre vizinhos OSPF para estabelecer adjacência. Figura 12-2 mostra o cabeçalho OSPF e pacotes Olá. Campos importantes mostrado na figura incluem o seguinte: ■ Tipo: tipo de pacote OSPF: Olá (Tipo 1), DBD (Tipo 2), LS Request (Tipo 3), LS Atualização (Tipo 4), LS ACK (Tipo 5) ■ Router ID: ID do router originário
■ ID Área: Area a partir do qual se originou o pacote ■ Máscara de Rede: Máscara de sub-associado com a interface de envio ■ Intervalo Olá: Número de segundos entre Hellos o roteador que está enviando ■ Prioridade Router: Usado em DR / BDR eleição (discutido posteriormente na seção "Eleição DR / BDR") ■ Designated Router (DR): Router ID do DR, se houver ■ Backup Designated Router (BDR): Router ID do BDR, se houver ■ Lista de Vizinhos: Lista o Router ID do roteador OSPF vizinhos (s) Hello pacotes são usados para fazer o seguinte: ■ Descubra OSPF vizinhos e estabelecer adjacências vizinho ■ Anuncie parâmetros em que dois roteadores devem concordar em se tornar vizinhos ■ Elect the DR e BDR em redes multi-acesso, como Ethernet e Frame Relay 228 31 dias antes de seu exame CCNA
Recebendo um pacote OSPF em uma interface Olá confirma para um roteador que outro roteador OSPF existe neste link. OSPF em seguida, estabelece adjacência com o vizinho. Para estabelecer adjacência, dois OSPF roteadores devem ter os seguintes valores de interface de correspondência: ■ Intervalo Hello ■ Intervalo Morto ■ Rede Tipo Antes de ambos os roteadores podem estabelecer adjacência, ambas as interfaces devem ser parte da mesma rede, incluindo a máscara de sub-rede mesmo. Então adjacência total vai acontecer depois que ambos os roteadores têm trocado LSUs necessárias e têm idêntico link-state bancos de dados. Por padrão, o OSPF Olá
pacotes são enviados para o endereço de multicast 224.0.0.5 (ALLSPFRouters) a cada 10 segundos em multiaccess e ponto-a-ponto segmentos ea cada 30 segundos em multiaccess sem difusão (NBMA) segmentos (Frame Relay, X.25, ATM). O intervalo padrão mortos é quatro vezes o intervalo Hello. Link State-Anúncios Link-state atualizações (LSUs) são os pacotes usado para atualizações de roteamento OSPF. Um pacote pode LSU contêm 11 tipos de link-state anúncios (LSAs), como mostrado na Figura 12-3. Tipos de rede OSPF OSPF define cinco tipos de rede: ■ Ponto-a-ponto ■ Transmissão multiaccess ■ sem difusão multiaccess
■ Ponto-a-multiponto ■ ligações Virtual Redes multi criar dois desafios para OSPF sobre a inundação de LSAs: ■ Criação de múltiplos adjacências, uma adjacência para cada par de roteadores ■ inundações extensivo de LSAs DR / BDR Eleição A solução para gerir o número de adjacências ea inundação de LSAs em um multiaccess rede é o roteador designado (DR). Para reduzir a quantidade de tráfego OSPF em redes multi-acesso, OSPF elege um DR e backup DR (BDR). A DR é responsável por atualizar todos os outros Roteadores OSPF quando ocorre uma alteração na rede de múltiplo acesso. O BDR monitora a DR e assume como se o DR DR atual falhar .. Os critérios a seguir é usado para eleger o DR e BDR: 1. DR: Router com a mais alta prioridade interface OSPF. 2. BDR: Router com a mais alta prioridade interface OSPF segundo. 3. Se as prioridades interface OSPF são iguais, o ID mais alto do roteador é usado para quebrar o empate. Quando o DR é eleito, ele continua a ser o DR até que uma das seguintes condições ocorrer: ■ O DR falha. ■ O processo OSPF no DR falha. ■ A interface multiaccess no DR falha. Se o DR falhar, o BDR assume o papel de DR, e uma eleição é realizada para escolher um novo BDR. Se um novo roteador entra na rede depois que o DR e BDR foram eleitos, não se tornará a
DR ou BDR o mesmo que tem uma prioridade maior interface OSPF ou ID router que o DR atual ou BDR. O novo roteador pode ser eleito o BDR se o DR ou BDR atual falhar. Se o DR atual falhar, o BDR será o DR, eo novo roteador pode ser eleito o BDR novo. Sem configuração adicional, você pode controlar os roteadores que ganhar as eleições DR e BDR fazendo uma das seguintes opções: ■ Inicialize o primeiro DR, seguido da BDR, e depois bota todos os outros roteadores. ■ Desligue a interface em todos os roteadores, seguido por um shutdown na DR, em seguida, o BDR, e depois todos os outros roteadores. No entanto, a forma recomendada para controle de DR / BDR eleições é para alterar a prioridade interface, que analisar no "OSPF Configuration" seção. Algoritmo OSPF Cada roteador OSPF mantém um banco de dados link-state contendo os LSAs recebidos de todos os outros routers. Quando um roteador recebeu todos os LSAs e construiu sua base de dados link-state local, OSPF usa Mais curto de Dijkstra primeiro caminho algoritmo (SPF) para criar uma árvore SPF. Este algoritmo acumula custos ao longo de cada caminho, da origem ao destino. A árvore SPF é então usado para preencher o IP tabela de roteamento com as melhores caminhos para cada rede. Por exemplo, na Figura 12-4 cada caminho é marcado com um valor arbitrário para o custo. O custo do caminho mais curto para o R2 para enviar pacotes para a LAN ligado ao R3 é
de 27 (20 + 5 + 2 = 27). Note-se que este custo não é 27 para todos os roteadores para alcançar a LAN ligado ao R3. Cada roteador determina a sua própria custo para cada destino na topologia. Em outras palavras, cada roteador usa o algoritmo SPF para calcular o custo de cada caminho para uma rede e determina o melhor caminho para que a rede a partir de suas próprias perspectiva. Dia 12 231
Cancelar Você deve ser capaz de criar uma tabela semelhante para cada um dos outros roteadores na Figura 12-4. Link State Routing-Processo A lista a seguir resume o processo de roteamento link-state usado por OSPF. Todos os roteadores OSPF completo o processo de roteamento genérico seguinte link-state para alcançar um estado de convergência: 1. Cada roteador aprende sobre as suas próprias ligações e as suas próprias redes diretamente conectadas. isto é feito através da detecção de uma interface que está no estado up, incluindo um endereço de camada 3. 2. Cada roteador é responsável por estabelecer adjacência com seus vizinhos diretamente conectados redes de troca de pacotesHello. 3. Cada roteador constrói um pacote de link-state (LSP), contendo o estado de cada conectado diretamente link. Isto é feito através da gravação de todas as informações pertinentes sobre cada vizinho, incluindo vizinho ID, tipo link, e largura de banda. 4. Cada roteador inundações LSP para todos os vizinhos, que, em seguida, armazenar todos os LSPs recebido em um banco de dados. Vizinhos, em seguida, inundar o LSPs para os seus vizinhos até que todos os roteadores na área têm recebido o LSPs. Cada roteador armazena uma cópia de cada LSP recebido de seus vizinhos em um banco de dados local. 5. Cada roteador usa o banco de dados para construir um mapa completo da topologia e calcula o melhor caminho para cada rede de destino. O algoritmo SPF é usado para construir o mapa do topologia e determinar o melhor caminho para cada rede. Todos os roteadores terão um comum mapa ou árvore da topologia, mas cada roteador independentemente determina o melhor caminho para cada rede dentro dessa topologia.
Configuração OSPF Para rever os comandos de configuração OSPF, vamos usar a topologia da Figura 12-5 e da esquema de endereçamento na Tabela 12-2. The router ospf Command
OSPF is enabled with the router ospf process-id global configuration command: R1(config)#router ospf 1 The process-id is a number between 1 and 65,535 and is chosen by the network administrator. The process ID is locally significant. It does not have to match other OSPF routers to establish adjacencies with those neighbors. This differs from EIGRP. The EIGRP process ID or autonomous system number must match before two EIGRP neighbors will become adjacent. For our review, we will enable OSPF on all three routers using the same process ID of 1. The network Command The network command is used in router configuration mode: Router(config-router)#network network-address wildcard-mask area area-id The OSPF network command uses a combination of network-address and wildcard-mask. The network address, along with the wildcard mask, is used to specify the interface or range of interfaces that will be enabled for OSPF using this network command. The wildcard mask is customarily configured as the inverse of a subnet mask. For example, R1’s FastEthernet 0/0 interface is on the 172.16.1.16/28 network. The subnet mask for this interface is /28 or 255.255.255.240. The inverse of the subnet mask results in the wildcard mask 0.0.0.15. The area area-id refers to the OSPF area. An OSPF area is a group of routers that share link-state information. All OSPF routers in the same area must have the same link-state information in their link-state databases. Therefore, all the routers within the same OSPF area must be configured with the same area ID on all routers. By convention, the area ID is 0. Example 12-1 shows the network commands for all three routers, enabling OSPF on all interfaces.
router ID A identificação do roteador tem um papel importante no OSPF. Ele é usado para identificar exclusivamente cada roteador no OSPF roteamento de domínio. Roteadores Cisco derivar o ID do roteador baseado em três critérios na seguinte ordem: 1. Use o endereço IP configurado com o comando router-id OSPF. 2. Se o ID do roteador não está configurado, o roteador escolhe o endereço IP mais alto de qualquer dos seus interfaces loopback. 3. Se nenhuma interface loopback são configurados, o roteador escolhe mais o endereço IP de ativos qualquer de suas interfaces físicas. A identificação do roteador pode ser visto com vários comandos, incluindo interfaces de show ip ospf, show ip protocolos, e show ip ospf. Duas maneiras de influenciar o ID do roteador são para configurar um endereço de loopback ou configurar o roteador ID. A vantagem de usar uma interface de loopback é que, ao contrário de interfaces físicas, não pode falhar. Portanto, usando um endereço de loopback para o ID do router fornece estabilidade para o processo OSPF.
Porque o comando router-id OSPF é um acréscimo bastante recente para Cisco IOS Software (Release 12,0 [1] T), é mais comum encontrar endereços de loopback usado para configurar IDs router OSPF. Exemplo 12-2 mostra as configurações de loopback para os roteadores em nossa topologia. Exemplo de configurações 02/12 Loopback Para configurar o router ID, use a sintaxe seguinte comando: Router (config) # router ospf processo-id Router (config-router) # router-id ip address A identificação do roteador é selecionado quando OSPF é configurado com o seu comando primeira rede OSPF. assim, o loopback ou comando ID roteador já deve estar configurado. No entanto, você pode forçar a OSPF liberar seu ID atual e usar o loopback ou ID roteador configurado por qualquer recarregar o roteador ou usando o seguinte comando: Router # clear ip ospf processo Modificando o Metric OSPF Cisco IOS Software usa a largura de banda cumulativo das interfaces de saída do roteador para a rede de destino como o valor de custo. Em cada roteador, o custo de uma interface é calculado usando a seguinte fórmula: Cisco IOS Custo de OSPF = 108/bandwidth em bps Neste cálculo, o valor 108 é conhecida como a largura de banda de referência.
A largura de banda de referência pode ser modificado para acomodar as redes com ligações mais rapidamente do que 100 milhões bps (100 Mbps) usando o OSPF comando auto custo-comando de interface de referência de banda larga. Quando usado, este comando deve ser inserido em todos os roteadores OSPF de modo que a métrica de roteamento permanece consistente. Você pode modificar a métrica OSPF de duas maneiras: ■ Use o comando de largura de banda para modificar o valor de largura de banda utilizada pela Cisco IOS Software no cálculo da métrica de custo OSPF. ■ Use o comando ip ospf custo, que permite que você especificar diretamente o custo de uma interface. Tabela 12-4 mostra as duas alternativas que podem ser usadas para modificar os custos das ligações em série a topologia. O lado direito mostra o ip ospf equivalentes de custo de comando dos comandos de largura de banda à esquerda.
Cancelar Controlar a eleição DR / BDR Porque o DR se torna o ponto focal para a coleta e distribuição de LSAs em um multiaccess rede, é importante para este router para ter CPU suficiente e capacidade de memória para lidar com a responsabilidade. Em vez de depender a ID do roteador para decidir quais roteadores são eleitos a DR e BDR, é melhor controlar a eleição desses roteadores com a interface de prioridade ip ospf comando: Router (config-if) # ip ospf prioridade {0-255} Os padrões de prioridade valor para 1 para todas as interfaces do roteador, o que significa a identificação do roteador determina a DR e BDR. Se você alterar o valor padrão a partir de 1 para um valor maior, no entanto, com o router a prioridade mais alta torna-se o DR, eo roteador com a próxima prioridade passa a ser o BDR. Um valor de 0 faz com que o router inelegíveis para se tornar um DR ou BDR. Todos os roteadores na Figura 12-6 inicializado, ao mesmo tempo com uma configuração completa OSPF. em tal situação, RouterC é eleito o DR, e RouterB é eleito o BDR com base na
maior IDs router. Vamos supor RouterA é o melhor candidato a DR e RouterB deve ser BDR. No entanto, você não deseja alterar o esquema de endereçamento. Exemplo 12-3 mostra uma forma de controlar a DR / BDR eleição na topologia mostrada na Figura 12-6. Observe que mudamos ambos os roteadores. Embora RouterB foi o BDR sem fazer nada, seria perder este papel a RouterC se não configurar prioridade RouterB? s a ser maior do que o padrão. Redistribuição de uma rota padrão Voltando à primeira topologia mostrada na Figura 12-5, podemos simular uma conexão com a Internet em R1, configurando uma interface loopback. R1 é agora chamado de limite de Sistema Autônomo Router (ASBR). Então, podemos redistribuir a rota padrão estática para R2 e R3 com o defaultinformation originam de comando, como demonstrado no Exemplo 12-4.
Intervalos de modificar Hello e tempos de espera Pode ser necessário mudar os temporizadores OSPF para que os roteadores irá detectar falhas de rede em menos tempo. Fazendo isso vai aumentar o tráfego, mas às vezes há uma necessidade de convergência rápida, que supera o tráfego extra. Olá OSPF e intervalos Morto pode ser modificado manualmente utilizando os comandos seguinte interface: Exemplo 12-5 mostra os intervalos Olá e Dead modificado para 5 segundos e 20 segundos, respectivamente, na interface Serial 0/0/0 de R1. Verificação e solução de problemas OSPF Para verificar qualquer configuração de roteamento, você provavelmente irá depender do ip route show, show ip breve interface, e mostrar comandos ip protocolos. A tabela de roteamento deve ter tudo o que espera rotas. Se não, verificar o status de todas as interfaces para garantir que uma
interface não é para baixo ou errada. Para o nosso exemplo, as tabelas de roteamento OSPF terá uma rota O * E2 em R2 e R3 como mostrado na tabela de roteamento R2 no Exemplo 12-6. Rotas OSPF externas caem em uma das duas categorias: ■ Tipo External 1 (E1): OSPF acumula custo para uma rota E1 como a rota está sendo propagada em toda a área OSPF. ■ Tipo externas 2 (E2): O custo de uma rota E2 é sempre o custo externo, independentemente do interior de custo para chegar a essa rota. Nesta topologia, porque a rota padrão tem um custo externo do 1 no roteador R1 R2 e R3 também mostram um custo de 1 para a rota padrão E2. Rotas E2 a um custo de 1 são a configuração padrão OSPF. Você pode verificar que os vizinhos esperado estabeleceram adjacência com o
show ip ospf neighbor comando. Exemplo 12-7 mostra as tabelas vizinho por três roteadores. Para cada vizinho, este comando exibe a seguinte saída: ■ Neighbor ID: A identificação do roteador do roteador vizinho. ■ Pri: A prioridade OSPF da interface. Estes mostrar todos os 0 porque ponto- a-ponto ligações não eleger um DR ou BDR. ■ Estado: O estado OSPF da interface. Estado COMPLETA significa que a interface do roteador é totalmente adjacente com o seu vizinho e eles têm idênticas OSPF link-state bancos de dados. ■ Time Dead: A quantidade de tempo restante que o roteador irá esperar para receber um OSPF Hello pacote do vizinho antes de declarar o vizinho para baixo. Esse valor é redefinido quando a interface recebe um pacote Hello. ■ Endereço: O endereço IP da interface do vizinho para que este roteador está diretamente conectado. ■ Interface: A interface em que este router formou adjacência com o vizinho.
Como mostrado no Exemplo 12-8, você pode usar o comando show ip protocolos como uma maneira rápida de verificar vital informações de configuração do OSPF, incluindo a identificação do processo OSPF, a identificação do roteador, as redes do roteador é a publicidade, os vizinhos de onde o roteador está recebendo atualizações, e da AD padrão, que é 110 para OSPF O comando show ip ospf mostrado no Exemplo 12-9 para R2 também pode ser usado para examinar o OSPF ID processo e ID router. Além disso, este comando exibe as informações de área OSPF eo última vez que o algoritmo SPF foi calculado.
A maneira mais rápida para verificar intervalos Hello e Dead é usar o comando show ip ospf interface. Como mostrado no Exemplo 12-10 para R2, acrescentando o nome da interface e número para o comando exibe a saída para uma interface específica.
Conforme destacado no Exemplo 12-10, o comando show ip ospf interface também mostra o roteador ID, tipo de rede, eo custo para a ligação, assim como o vizinho para que esta interface é adjacente.
Solucionando problemas de roteamento Exame CCNA 640-802 Tópicos ■ Solucionar problemas de roteamento. Tópicos-chave Durante os últimos três dias, analisamos tanto o roteamento estático e dinâmico, incluindo rotas estáticas, as rotas padrão, RIPv1, RIPv2, EIGRP, OSPF e. Estas revisões pela sua própria natureza incluía alguns breve discussão sobre como solucionar problemas de roteamento relacionados a cada um dos métodos de roteamento. Hoje nós concluir nossa revisão de conceitos de roteamento e configuração com foco na solução de problemas de roteamento. Os comandos básicos Solução de problemas de roteamento pode começar com ping básica e comandos traceroute para descobrir onde a conectividade é inexistente. No caso de uma grande rede, entretanto, estes dois comandos são provavelmente não da maneira mais eficiente para encontrar um problema. Além disso, se esses comandos fazem trilha baixo um problema, você ainda tem que descobrir a causa. Um método melhor seria começar com os seus dispositivos de núcleo. Estes dispositivos devem ser uma coleção ponto de partida para todas as rotas da empresa. Para verificar se há rotas de desaparecidos e rastrear o motivo, o seguinte método pode ser usado para questões relacionadas com roteamento dinâmico: 1. Verifique as tabelas de roteamento para a convergência com o comando show ip route. Todos os esperados rotas devem ser na tabela de roteamento. Restrição de uma política de segurança que impede que algumas rotas, o dispositivo deve ser capaz de rota para qualquer outro local na empresa. 2. Se você encontrar uma rota em falta ou rotas, use o comando show ip
protocolos para investigar a operação do protocolo de roteamento no roteador local. O comando show ip protocols resume quase todos os detalhes da operação de um protocolo de roteamento é. Informações úteis para todos os protocolos inclui o seguinte: - Habilitar o protocolo de roteamento: Se o protocolo de roteamento esperado não for habilitado, configurá-lo. - Encaminhamento para redes: se uma rede que deve ser anunciado está em falta, pode ser que o comando da rede está faltando para aquela rota. No entanto, pode ser também que a interface ou interfaces que pertencem a essa rede não estão funcionando. Se assim for, use show ip Interface breve para isolar problemas com interfaces. - Encaminhamento fontes de informação: Esta é uma lista de vizinhos de que o roteador local é recebendo atualizações. Um vizinho ausente pode ser um problema com o roteador local (em falta comando de rede ou interface para baixo). Ou o problema pode ser com o vizinho. Para EIGRP e OSPF, você pode usar o visor de relacionamentos próximo como um primeiro passo na descoberta por que um vizinho não é a publicidade rotas para o roteador local (através do show ip eigrp vizinhos e show ip ospf comandos vizinho). Se as relações vizinho são operando como esperado, log para o roteador vizinho para descobrir por que o vizinho não é rotas de publicidade 3. Se uma rota estática está faltando na tabela de roteamento, verificar se ele está configurado com o show
running-config comando. Se estiver configurado, a interface de saída local é baixo ou a interface com o endereço do próximo salto é baixo. VLSM Troubleshooting A lista a seguir resume os pontos de solução de problemas importantes a serem considerados quando você estiver solucionando problemas potencial de comprimento variável de sub-rede de mascaramento (VLSM) problemas no exame: ■ Preste muita atenção se o projeto realmente usa VLSM. Se isso acontecer, observe se um sem classes protocolo de roteamento é usado. ■ Esteja ciente de que sub-redes sobrepostas podem de fato ser configurado. ■ Os sintomas do problema para fora pode ser que alguns hosts em uma sub- rede funcionar bem, mas outros não pode enviar pacotes fora da sub-rede local. ■ Use o comando traceroute para procurar rotas que os pacotes direto para a parte errada do rede. Isto poderia ser resultado de uma das sub-redes sobrepostas. ■ No exame, você poderá ver uma pergunta que você acha que está relacionado com endereços IP e VLSM. nesse caso, o melhor plano de ataque poderia muito bem ser a de analisar as contas para cada sub-rede e garantir que não existem sobreposições, ao invés de solução de problemas usando ping e traceroute. Redes Discontiguous Sumarização automática não causa qualquer problema, desde que a rede resumida é contíguo ao invés de não adjacentes. Para RIPv2 e EIGRP, você deve desativar sumarização automática em uma rede adjacentes ou você vai ter uma situação de convergência menos- que-cheia. Mesmo um projeto de rede pode tornar-se contíguos adjacentes se uma ou
mais falhas de link dividir um classful rede em duas ou mais partes. Figura 11-1 mostra uma internetwork com dois contíguos classful redes: 10.0.0.0 e 172.16.0.0. Nesta figura, com todos os links acima e sumarização automática de trabalho e com efeito, todos os hosts podem de ping todos os outros hosts. Neste projeto, os pacotes para a rede 172.16.0.0 fluxo ao longo da rota de alta, e pacotes para a rede 10.0.0.0 fluxo sobre a rota de baixa. No entanto, se qualquer ligação entre os roteadores falhar, uma das duas redes classful torna-se descontínuo. Por exemplo, se a ligação entre R3 e R4 falhar, a rota a partir de R1 a R4 passa por sub-redes da rede 172.16.0.0, para rede 10.0.0.0 é descontínuo. A solução, como sempre, é usar um protocolo de roteamento sem classes com deficiência sumarização automática. Solução de problemas RIP Erros de configuração mais RIP envolvem uma configuração declaração incorreta de rede, uma falta configuração de rede declaração, ou a configuração de sub-redes adjacentes em um ambiente com classe. Conforme mostrado na Figura 11-2, usando debug ip rip pode ser uma maneira eficaz de descobrir problemas com
RIP atualizações. Esta saída é a partir da topologia que usamos no dia 14, "Default, Static, e RIP Roteamento ", mostrado na Figura 14-3. Figura 11-2 Interpretando saída debug ip rip. Este comando exibe RIPv1 atualizações de roteamento como eles são enviados e recebidos. Porque é RIPv1, as máscaras de sub-rede não estão incluídas. Como as atualizações são periódicas, você precisa esperar para os próximos rodada de atualizações antes de ver qualquer saída. A lista que se segue corresponde ao número de Figura 11-2. 1. Você vê uma atualização vindo de R1 na interface Serial 0/0/0. Repare que R1 envia apenas uma rota para a rede 192.168.1.0. Sem outras rotas são enviados, pois isso violaria a regra de dividir horizonte. R1 não é permitido para fazer propaganda de redes de volta para R2 R2 que anteriormente enviado para R1.
2. A próxima atualização que é recebido é de R3. Mais uma vez, por causa da regra dividir horizonte, R3 envia apenas uma rota: a rede 192.168.5.0. 3. R2 envia suas próprias atualizações. Primeiro, R2 constrói uma atualização para enviar a FastEthernet 0 / 0 interface. A atualização inclui toda a tabela de roteamento, exceto para a rede 192.168.3.0, que é anexado ao FastEthernet 0 / 0. 4. Em seguida, R2 constrói uma atualização para enviar para o R3. Três rotas estão incluídos. R2 não faz propaganda o R2 rede e compartilhar R3, nem propaganda na rede 192.168.5.0 por causa da separação horizonte. 5. Finalmente, R2 constrói uma atualização para enviar a R1. Três rotas estão incluídos. R2 não faz propaganda a rede que R2 e R1 partes, nem anunciar a rede 192.168.1.0 por causa da split horizon. 6. Não se esqueça de desativar a depuração ou com nenhum debug ip rip ou, como mostrado na figura, undebug todos. Solução de problemas EIGRP e OSPF interface questões Esta seção analisa como verificar as interfaces em que o protocolo de roteamento foi ativado. Ambos EIGRP e OSPF configuração permite que o protocolo de roteamento em uma interface usando o rede do roteador subcomando. Para as interfaces que coincidem com a comandos de rede, o roteamento protocolo tenta as duas seguintes ações: ■ As tentativas de encontrar potenciais vizinhos na sub-rede conectada à interface ■ Anuncia a sub-rede conectada a essa interface
Ao mesmo tempo, o roteador passiva interface subcomando pode ser configurado para que o roteador não tentativa de encontrar vizinhos na interface (a primeira ação listada), mas ainda anuncia o sub-rede conectado (a segunda ação da lista). Tabela 11-1 resume as três comandos show que você precisa saber exatamente quais interfaces foram habilitados com EIGRP e OSPF e que as interfaces são passivas. Adjacência Solução de Problemas de Vizinhos Quando um protocolo de roteamento foi ativado em uma interface, ea interface não é configurado como um interface passiva, o protocolo de roteamento tenta descobrir vizinhos e formar um relacionamento próximo com cada vizinho que compartilha a sub-rede comum. OSPF e EIGRP usam Olá mensagens para aprender sobre os novos vizinhos e trocar informações usada para executar algumas verificações básicas. Depois de um roteador EIGRP OSPF ou ouve um Olá a partir de um novo vizinho, o protocolo de roteamento examina as informações da Hello, junto com algumas definições de local, para decidir se os dois vizinhos deveria sequer tentar tornar-se vizinhos. tabela 02/11 lista os requisitos para ambos vizinho EIGRP e OSPF.
1 Tendo duplicado RIDs EIGRP não impede de se tornar routers vizinhos, mas pode causar problemas quando as rotas externas EIGRP são adicionados à tabela de roteamento. determinar a EIGRP ID roteador não é discutida ao nível CCNA. Qualquer dois roteadores EIGRP que se conectam ao link de dados mesmo, e cujas interfaces foram habilitado para EIGRP e não são passivos, ao menos, considerar tornar-se vizinhos. De forma rápida e definitivamente saber qual o potencial vizinhos passaram todos os requisitos para o vizinho EIGRP, olhar para a saída do comando show ip eigrp vizinhos. Se um ou mais vizinhos esperado não estão listados, e os dois roteadores pode pingar um ao outro de endereços IP em suas sub-rede comum, o problema provavelmente está relacionado a um dos requisitos vizinho listados na Tabela 11-2. tabela 11-3 resume os requisitos vizinho EIGRP e regista o melhor comandos que permitam determinar exigência que é a causa raiz do problema .. Semelhante ao EIGRP, o comando show ip ospf vizinho lista todos os roteadores vizinhos que possuem cumprido todos os requisitos para se tornar um vizinho OSPF, conforme listado na Tabela 11-2.
Se um ou mais vizinhos esperado existir, antes de passar a olhar para os requisitos vizinho OSPF, você deve confirmar que os dois roteadores pode pingar um ao outro na sub- rede local. Tão logo os dois roteadores vizinhos pode pingar um ao outro, se os dois roteadores ainda não se OSPF vizinhos, o próximo passo é examinar cada um dos requisitos vizinho OSPF. Tabela 11-4 resume os requisitos, a lista dos comandos mais úteis com os quais a encontrar as respostas. Tabela 11-4 OSPF Requisitos vizinho e Melhor do show / debug Comandos
Padrões sem fio, Componentes e Segurança Exame CCNA 640-802 Tópicos ■ Descrever os padrões associados a meios de comunicação sem fio (IEEE, Wi-Fi Alliance, ITU / FCC). ■ Identificar e descrever a finalidade dos componentes em uma rede sem fio pequeno (SSID, BSS, ESS).
■ Compare e apresenta contraste de segurança sem fio e recursos de segurança WPA (aberto, WEP, WPA-1 / 2). Tópicos-chave Para os próximos dois dias, vamos rever conceitos sem fio e configurações. Hoje olhamos para o conceitos básicos de wireless, componentes e recursos de segurança. Padrões sem fio Quatro organizações têm um grande impacto sobre as normas utilizadas para as LANs sem fio hoje. Tabela 10-1 listas destas organizações e descreve suas funções. O IEEE introduziu wireless LAN (WLAN) padrões, com a criação da ratificação 1997 do padrão 802.11, que foi substituído por normas mais avançadas. A fim de ratificação, os padrões são 802.11b, 802.11a, 802.11g. De nota, o padrão 802.11n é no projecto de formulário. Ratificação final não é esperada até dezembro de 2009. Todavia, os produtos são projecto de norma já disponíveis. Tabela 10-2 apresenta alguns pontos-chave sobre os padrões atualmente ratificado.
Modos de Operação sem fio WLANs pode usar um dos dois modos: ■ Modo Ad Hoc: Com o modo ad hoc, um dispositivo sem fio quer se comunicar com apenas um ou alguns outros dispositivos diretamente, geralmente por um curto período de tempo. Nestes casos, os dispositivos de envio Frames WLAN diretamente uns aos outros. ■ Modo de Infra-estrutura: No modo de infra-estrutura, cada dispositivo comunica com uma rede sem fio ponto de acesso (AP), com o AP conectando via Ethernet com fio para o resto da infra-estrutura de rede. Modo infra-estrutura permite que os dispositivos WLAN para se comunicar com os servidores e os Internet em uma rede com fio existente. Modo infra-estrutura suporta dois conjuntos de serviços, chamados conjuntos de serviço. O primeiro, chamado de base Service Set (BSS), usa um único AP para criar a LAN sem fio. O outro, chamado Extended Service Set (ESS), usa mais de um AP, muitas vezes com células sobrepostas para permitir roaming em uma área maior. Tabela 10-3 resume os modos wireless.
freqüências sem fio A FCC define três faixas de freqüência não licenciada. As bandas são referenciados por uma determinada freqüência na banda, embora, por definição, uma faixa de freqüência é uma faixa de freqüências. tabela 10-4 listas de faixas de frequências que são importantes para algum grau de WLAN comunicações. Codificação sem fio e Canais Você deve saber os nomes de três classes gerais de codificação, em parte porque o tipo de codificação requer planejamento e premeditação para alguns WLANs: ■ Frequency Hopping Spread Spectrum (FHSS): FHSS utiliza todas as freqüências na banda, pulando com outros diferentes. Usando freqüências ligeiramente diferentes para as transmissões consecutivas, uma
dispositivo pode esperançosamente evitar interferências de outros dispositivos que usam a mesma banda sem licença. O original padrões 802.11 WLAN usada FHSS, mas os padrões atuais não. ■ Direct Sequence Spread Spectrum (DSSS): DSSS foi projetado para uso em 2,4 GHz banda não licenciada e é usado por 802.11b. Conforme regulamentado pela FCC, esta banda pode ter 11 sobreposição de canais DSSS. Três dos canais (canais 1, 6 e 11) não se sobrepõem o suficiente para impactar o outro. Assim, ao projetar uma WLAN ESS, APs com áreas de sobreposição deve ser definido para utilizar diferentes canais sem sobreposição, como mostrado na Figura 10-1. Figura 10-1 Usando não sobrepostas DSSS 2.4 GHz Canais em uma WLAN ESS Área de Cobertura sem fio O tamanho real da área de cobertura WLAN depende de um grande número de fatores, incluindo o seguinte:
■ A banda de frequências utilizada pelo padrão WLAN ■ O obstruções entre os dispositivos e perto WLAN ■ A interferência de outras fontes de rádio freqüência (RF) ■ As antenas utilizadas em ambos os clientes e APs ■ As opções usadas por DSSS e OFDM quando a codificação de dados através do ar. De um modo geral, os padrões WLAN que usam freqüências mais altas pode enviar dados mais rápido, mas com o preço de pequenas áreas de cobertura. Para cobrir todo o espaço necessário, um ESS que usa freqüências mais altas , então, exigem mais APs, elevando o custo da implantação WLAN. Tabela 10-5 enumera os principais padrões IEEE WLAN ratificada, a velocidade máxima, eo número de nonoverlapping canais. Tabela 10-5 velocidade WLAN e referência de freqüência CSMA / CA Ao contrário das tecnologias de comutação Ethernet, você não pode isolar os sinais sem fio a partir de hosts partilha o AP mesmo de interferir uns com os outros. Portanto, se dois ou mais dispositivos WLAN enviar ao mesmo tempo, usando o mesmo ou sobreposição faixas de freqüência, ocorre uma colisão, e nenhum dos transmitida sinais podem ser entendidas por aqueles que recebem o sinal. Além disso, o dispositivo que está transmitindo dados não podem ouvir simultaneamente para dados recebidos. Isto significa que os dispositivos de envio não saber que a colisão ocorreu.
A solução é usar o sensor de portadora de acesso múltiplo com prevenção de colisão (CSMA / CA) algoritmo para minimizar a possibilidade estatística de colisões podem ocorrer. No entanto, CSMA / CA não evitar colisões, portanto, os padrões WLAN deve ter um processo para lidar com as colisões quando elas ocorrem. A lista a seguir resume os principais pontos sobre o algoritmo CSMA / CA: 1. Ouvir para garantir que o meio (espaço) não está ocupado (sem ondas de rádio atualmente estão sendo recebeu nas freqüências a serem utilizados). 2. Definir um temporizador espera aleatória antes de enviar um quadro para estatisticamente reduzir a chance de dispositivos todos tentando enviar, ao mesmo tempo. 3. Quando o temporizador aleatório passou, ouvir novamente para garantir que o meio não está ocupado. se não é, enviar o quadro. 5. Se nenhuma confirmação for recebida, reenviar o quadro, utilizando CSMA / CA lógica para esperar o momento apropriado para enviar novamente. Riscos de Segurança sem fio WLANs introduzir uma série de vulnerabilidades que não existem para LANs com fio Ethernet. Ameaças a segurança de WLAN incluem o seguinte: ■ motoristas Guerra: Uma pessoa que dirige ao redor, tentando encontrar APs que não tem segurança ou fraco segurança. ■ Hackers: A motivação para hackers, quer seja para encontrar a informação ou negar serviços. Curiosamente, o objetivo final pode ser comprometer a hosts dentro da rede com fio, usando a rede sem fio como uma maneira de acessar a rede da empresa sem ter que passar por
Conexões de internet que possuem firewalls. ■ Empregados: Um empregado poderia instalar um ponto de acesso (AP) em seu escritório, usando as configurações padrão sem segurança, e criar uma pequena rede local sem fio. Isto permitiria uma mais fácil acesso de hackers para o resto da empresa. ■ Vampira AP: O atacante captura pacotes na LAN sem fio existente, encontrar o conjunto de serviços identificador (SSID) e rachaduras todas as chaves de segurança utilizado. Em seguida, o atacante pode configurar um AP, que os clientes da empresa sem querer associar. Para reduzir o risco de tais ataques, três principais tipos de ferramentas podem ser usadas em uma WLAN: ■ A autenticação mútua: Um processo que usa uma senha secreta, chamada de chave, em ambos os cliente eo AP. Utilizando alguns algoritmos matemáticos sofisticados, a AP pode confirmar que o cliente realmente sabe o valor correto chave. ■ Encryption: Usa uma chave secreta e uma fórmula matemática para embaralhar o conteúdo do WLAN frame. O dispositivo receptor então usa uma outra fórmula para descriptografar os dados. ■ ferramentas de Intrusão: Inclui sistemas de detecção de intrusão (IDS) e sistemas de prevenção de intrusão (IPS), bem como WLAN ferramentas específicas. Cisco define a rede sem fio- Aware Structured (SWAN) arquitetura. Ele inclui muitas ferramentas, algumas das quais especificamente a questão da detectar e identificar rogue APs, e se representam ameaças. Tabela 10-6 lista as vulnerabilidades chave, junto com a solução geral.
Padrões de Segurança sem fio O padrão de segurança inicial para WLANs, chamada Wired Equivalent Privacy (WEP), tinha muitos problemas. Os próximos três padrões representam uma progressão, cujo objetivo, em parte, foi para corrigir os problemas criado por WEP. Em ordem cronológica, Cisco primeiro abordou o problema com alguns proprietários soluções. Então a Aliança Wi-Fi ajudou a resolver o problema através da definição de um padrão de indústria. Por fim, o IEEE concluiu os trabalhos em um padrão oficial público, 802.11i. O seguinte é uma breve revisão desses quatro padrões de segurança: ■ WEP: Em 1997, o padrão de segurança original previa autenticação e criptografia, que pode ser facilmente quebrado. Questões principais foram: - Static chaves pré-compartilhadas (PSKs) que a configuração manual necessária, portanto, as pessoas simplesmente deixaram os padrões. - PSK valores eram curtas, com apenas 40 bits única, tornando-os fáceis de crack. ■ Cisco Solução provisória: resposta de propriedade da Cisco para os problemas com WEP saiu em 2001 para fornecer uma solução mais rápida do que a Aliança Wi-Fi ou soluções IEEE prometido. O Resposta Cisco incluídas algumas melhorias para a criptografia proprietária, juntamente com o IEEE
802.1x padrão para autenticação do usuário final. As principais características da Cisco aprimoramentos incluídos o seguinte: - Troca de chaves dinâmicas de modo que se uma chave for descoberta, ela é de curta duração - Uma nova chave de criptografia para cada pacote - A autenticação do usuário usando 802.1x em vez da autenticação do dispositivo ■ Wi-Fi Protected Access (WPA): WPA saiu em 2003 e essencialmente faz a mesma coisa como a solução provisória Cisco. WPA inclui a opção de usar troca de chaves dinâmicas, usando o Temporal Key Integrity Protocol (TKIP). Cisco usou uma versão proprietária do TKIP. WPA permite o uso de qualquer autenticação de usuário IEEE 802.1X ou autenticação simples dispositivo utilizando chaves pré-compartilhadas. O algoritmo de criptografia utiliza a verificação de integridade de mensagem (MIC) algoritmo, uma vez mais semelhante ao processo usado na solução Cisco- proprietário. WPA melhorou segurança e, através do programa de certificação Wi-Fi Alliance, deu um incentivo para vendedores ter seus produtos levam o selo de certificação Wi-Fi. ■ 802.11i (WPA2): Em 2005, IEEE 802.11i ratificado, o que inclui troca de chaves dinâmicas, criptografia muito mais forte usando o Advanced Encryption Standard (AES) e autenticação do usuário. 802.11i não é compatível com qualquer solução da Cisco ou WPA. Porque o Wi-Fi Alliance certificação é tão popular e bem conhecido, os produtos são certificados com o 802.11i o rótulo WPA2. Tabela 10-7 resume as principais características dos vários padrões de
segurança WLAN. 258 31 dias antes de seu exame CCNA Dia 9 Configuração e Solução de Problemas Redes sem fios Exame CCNA 640-802 Tópicos ■ Identificar os parâmetros básicos para configurar uma rede sem fio para garantir que os dispositivos se conectem ao ponto de acesso correto. ■ Identificar problemas comuns na implantação de redes sem fio (interface, erros de configuração). Tópicos-chave Pontos de acesso sem fio pode ser configurado através de uma interface de
linha de comando (CLI), ou mais comumente através de um navegador interface gráfica do usuário (GUI). Estudantes Cisco Networking Academy uso Linksys WRT300N dispositivo multifuncional em um ambiente de laboratório para a prática de configuração básica parâmetros. No entanto, o exame CCNA 640-802 tópicos não incluem a capacidade de configurar wireless dispositivos. Em vez disso, você deve ser capaz de identificar os parâmetros de configuração básica, bem como problemas comuns com implementações wireless. Portanto, o nosso hoje revisão não incluem tarefas de configuração específica com screenshots de um GUI, mas será uma visão geral das implementações sem fio que são aplicáveis a qualquer wireless dispositivo. No entanto, eu recomendo fortemente que você pelo menos práticas de execução alguns dos tecnologias que analisamos no dia 10, "Standards Wireless, Componentes e Segurança." Se você está um Cisco Networking Academy estudante, você também tem acesso ao Packet Tracer, que inclui uma simulação de um WRT300N Linksys. No entanto, você também pode ter sua própria casa router que inclui um ponto de acesso sem fio (AP). Você pode praticar configurar seu roteador sem fio para casa própria com configurações personalizadas, como o Service Set Identifier (SSID), segurança e criptografia. Implementação de um WLAN Parâmetros básicos de ponto de acesso wireless incluem SSID, canal de radiofreqüência (RF) com opcionais poder, e autenticação (segurança), enquanto que parâmetros básicos cliente sem fio incluem apenas a autenticação. Clientes sem fio precisam de menos parâmetros, porque uma placa de interface de rede sem fio (NIC) scans todas as freqüências de rádio disponíveis ao seu alcance para localizar o canal RF (o que significa um IEEE 802.11b / g cartão de scans da faixa de 2,4 GHz e não digitalizar 5 GHz) e geralmente inicia a conexão com uma configuração padrão para descobrir os APs disponíveis. Portanto, por 802.11 design, se você estiver usando autenticação aberta, o resultado é "plug-and-play." Quando a segurança é configurado com chaves pré-compartilhadas (PSKs) para idosos Wired Equivalent Privacy (WEP) ou corrente Wi-Fi Protected De acesso (WPA), lembre-se que a chave deve ser uma correspondência exacta para permitir a conectividade. Cancelar
Checklist wireless LAN Implementação A lista a seguir básicas podem ajudar a orientar a instalação de um WLAN: Passo 1 Verifique se a rede com fio existente. A rede com fio existente deverá estar operacional, incluindo LANs virtuais (VLANs), Dynamic Host Configuration Protocol (DHCP), e serviços de conectividade Internet. Práticas básicas sugerem conectar todos os APs na mesma Extended Service Set (ESS) para mesma VLAN. Por exemplo, na Figura 9-1 cada um dos APs está ligado a um switch porta que pertence à VLAN 2. Uma maneira rápida de testar a rede com fio é conectar um PC para a porta do switch que a AP vai usar. Se o dispositivo adquire o endereçamento IP automaticamente através de DHCP serviços, o rede com fio está pronto para a AP. Passo 2 Instalar e configurar o AP com fio e IP detalhes. O próximo passo é unir a AP para a porta do switch com um cabo straight- through e em seguida, configurar ou verificar a sua conectividade à rede com fio, incluindo IP do AP endereço, máscara e gateway padrão. Apenas como um switch, o endereçamento IP permitirá gerenciamento remoto de um AP, que é um dispositivo da camada 2. Etapa 3 Configurar os detalhes do AP WLAN. A maioria dos APs têm uma capacidade plug-and-play, no entanto, tanto o consumidor da classe e de nível empresarial APs podem ser configurados com uma variedade de parâmetros, incluindo A lista a seguir (os parâmetros de segurança são abordados em Passo 6):
- Padrão IEEE (a, b, g, ou múltipla) - Wireless canal - SSID, que é um identificador de 32 caracteres de texto para a WLAN - Potência de transmissão Muitos APs hoje apoio múltiplos padrões WLAN. Em alguns casos, eles podem suportar múltiplos normas relativas à AP mesmo, ao mesmo tempo. No entanto, essas implementações de modo misto, particularmente com 802.11b / g, neste AP mesmo, tendem a desacelerar a WLAN. Também note que quando você configurar uma WLAN ESS, cada um dos APs deve ser configurado com o mesmo SSID, que permite o roaming entre APs, mas dentro da mesma WLAN. Passo 4 Instalar e configurar um cliente sem fio. Para ser um cliente WLAN, o dispositivo precisa de um NIC WLAN WLAN que suporta o mesmo padrão como a AP. Normalmente, os clientes por padrão não tem nenhuma segurança ativada. Quando o cliente começa a trabalhar, ele tenta descobrir todos os APs, ouvindo em todas as freqüências canais para os padrões WLAN que suporta por padrão. Por exemplo, se um cliente foram usando a WLAN mostrado na Figura 9-1, com três APs, cada um usando um canal diferente, o cliente pode descobrir todos os APs três. O cliente, então, usar o AP a partir do qual o cliente recebe o sinal mais forte. Além disso, o cliente aprende o SSID do AP, novamente removendo a necessidade de qualquer configuração do cliente. Etapa 5 Verificar que a WLAN funciona a partir do cliente. O cliente sem fio deve ser capaz de acessar os mesmos recursos que o cliente com fio que foi anexado à porta do switch mesmo que o AP anteriormente na etapa 1. Se não, o problema pode ser a localização do AP ou APs. Durante as fases de planejamento, pesquisa de um site deveria ter sido realizado para determinar os melhores locais para APs para garantir a cobertura integral da área de WLAN. Se o cliente não pode se comunicar, verifique o seguinte no em conta o levantamento site: - É a AP, no centro da área em que residem os clientes? - É o direito AP ou cliente ao lado de um monte de metal? - É o AP ou cliente perto de uma fonte de interferência? - É a área AP de cobertura ampla o suficiente para chegar ao cliente? Além da pesquisa do site, a lista a seguir observa alguns outros problemas comuns
com uma nova instalação: - Certifique-se de que o NIC e AP rádios estão habilitados. Em particular, verifique o interruptor físico, bem como o software de configuração para ativar ou desativar o rádio. - Verifique a AP para garantir que ele tem o firmware mais recente. - Verifique a configuração do AP em particular, o canal de configuração para garantir que ele não usa um canal que se sobrepõe a outros APs na mesma localização. Passo 6 Configurar a segurança sem fio. Depois de ter verificado que o que o cliente pode acessar os recursos wireless sem segurança ativado, é hora de implementar a segurança sem fio. Configurar a segurança sem fio com WPA/WPA2. Use WEP somente se o AP ou cliente wireless não suporta WPA/WPA2. Dia 9 263 Etapa 7 Verificar a WLAN segura. Agora que a segurança está ativada, verifique se o WLAN funciona novamente na presença do recursos de segurança por meio de testes para garantir que o cliente sem fio pode aceder a todos os recursos que poderiam acessar, sem a segurança ativada. Solução de problemas sem fio Se você seguir os passos recomendados para implementar uma rede sem fio, o dividir e conquistar metodologia de resolução de problemas será mais provável isolar o problema da maneira mais eficiente. A seguir estão as causas mais comuns de problemas de configuração: ■ Configurando um SSID definido no cliente que não coincide com o ponto de acesso ■ Configurando métodos de segurança incompatíveis Tanto o cliente sem fio e ponto de acesso devem corresponder para método de autenticação, Extensible Authentication Protocol (EAP) ou PSK, e método de criptografia (Temporal Key Integrity Protocol [TKIP] ou Advanced Encryption Standard [AES]). Outros problemas comuns resultantes inicial RF instalação às vezes pode ser identificado por responder as seguintes perguntas: ■ É o rádio habilitado em ponto de acesso eo cliente para a correta RF (2,4 GHz ISM ou 5 GHz UNII)?
■ É uma antena externa ligado e virado na direcção correcta (em linha reta ascendente para dipolo)? ■ A localização da antena muito alta ou muito baixa em relação a clientes sem fio (dentro de 20 pés vertical)? ■ Existem objetos de metal no quarto refletindo RF e causando mau desempenho? ■ O AP o cliente está a tentar chegar a muito grande de uma distância?
Dia 8 Mitigação de ameaças de segurança e Melhor Práticas Exame CCNA 640-802 Tópicos ■ Descrever hoje? S crescentes ameaças de segurança de rede e explicar a necessidade de implementar um política de segurança global para mitigar as ameaças. ■ Explicar os métodos gerais para mitigar as ameaças à segurança comum para dispositivos de rede, hosts, e aplicações. ■ Descrever as funções dos dispositivos de segurança e aplicações comuns. ■ Descrever as práticas de segurança recomendadas incluindo os passos iniciais para proteger dispositivos de rede . Tópicos-chave A segurança é um componente fundamental de todo projeto de rede. Ataques
que antes exigiam um conhecimento avançado em informática pode agora ser feito com facilidade baixado e disponível gratuitamente ferramentas que qualquer pessoa alfabetizada computador da média pode descobrir como usar. A segurança é claramente uma grande questão, e que requer uma atenção séria. Para efeitos dos tópicos do exame de hoje, o objetivo é rever alguns dos terminologia básica, tipos de questões de segurança, e alguns dos comuns ferramentas utilizadas para mitigar os riscos de segurança. A Importância da Segurança Ataques podem ser lançados de vários locais dentro e fora da organização, como mostrado na Figura 8-1. Como aplicações e-business e Internet continuam a crescer, encontrar o equilíbrio entre ser isolado e estar aberto é fundamental. Além disso, o aumento do comércio móvel e redes sem fio demandas que as soluções de segurança tornam-se perfeitamente integrado, mais transparente e mais flexível. Rede os administradores devem equilibrar cuidadosamente a acessibilidade aos recursos de rede com segurança. Atacante Terminologia Ao longo dos anos, ferramentas de rede de ataque e métodos evoluíram, assim como a terminologia a descrever os indivíduos envolvidos. Alguns dos termos mais comuns são os seguintes: ■ White Hat: Uma pessoa que procura por vulnerabilidades em sistemas ou redes e, em seguida, relatórios essas vulnerabilidades para o sistema? s proprietários para que eles possam ser corrigidos. ■ Hacker: Um termo geral que tem sido historicamente usado para descrever uma programação de computador perito. Mais recentemente, este termo é frequentemente usado de forma negativa para descrever um indivíduo com intenção maliciosa que tenta obter acesso não autorizado aos recursos da rede.
■ black hat: Outro termo para as pessoas que usam seu conhecimento de sistemas de computador para invadir sistemas ou redes que não estão autorizados a usar. ■ Cracker: Alguém com intenção maliciosa que tenta obter acesso não autorizado à rede recursos. ■ Phreaker: Um indivíduo que manipula a rede de telefonia para causá-lo para executar uma função que não é permitido, como fazer livre chamadas de longa distância. Spammer ■: Um indivíduo que envia grandes quantidades de mensagens de correio electrónico não solicitadas. ■ Phisher: Usos e-mail ou outros meios para se mascarar como um partido de confiança para que as vítimas são atraídos para fornecer informações confidenciais, como números de cartão de crédito ou senhas. Pensar como um invasor Muitos atacantes utilizam este processo de sete passos para obter informações e iniciar um ataque: Passo 1 Execute análise da pegada (reconhecimento). A página web da empresa pode levar a informação, como os endereços IP dos servidores. a partir de lá, um atacante pode criar uma imagem de perfil da empresa de segurança ou
"pegada". Passo 2 informações Enumerate. Um atacante pode expandir a pegada pelo tráfego da rede de monitoramento com um pacote sniffer como Wireshark, encontrar informações úteis como números de versão do FTP servidores e servidores de correio. Passo 3 Manipular usuários para obter acesso. Às vezes, os funcionários escolhem senhas que são facilmente atacada. Em outros casos, empregados podem ser enganados por atacantes talentosos em desistir sensíveis relacionados com o acesso informação (engenharia social). Passo 4 Escalate privilégios. Depois de os atacantes ganham acesso básico, eles usam suas habilidades para aumentar seus privilégios de rede. Passo 5 Reúna senhas adicionais e segredos. Com privilégios de acesso melhorado, os atacantes usam seus talentos para ganhar acesso a wellguarded, informações confidenciais. Passo 6 portas traseiras de instalação. Portas traseiras dão ao invasor um caminho para entrar no sistema sem ser detectado. O porta traseira mais comum é aberto a ouvir TCP ou UDP. Passo 7 Leverage o sistema comprometido. Depois de um sistema é comprometido, o invasor usa para ataques estágio em outros hospedeiros na rede. Segurança balanceamento e disponibilidade As organizações devem encontrar um equilíbrio entre duas necessidades importantes: ■ redes Mantendo aberta para suportar os requisitos de negócios em evolução ■ Proteger informações de empresas privadas, pessoais e estratégicos Para atender a essas necessidades, os modelos de segurança de rede seguem uma escala progressiva. Em uma extremidade está "aberta", o que significa que qualquer serviço é permitido a menos que seja expressamente negado. Embora os riscos de segurança são auto-evidentes, existem algumas vantagens de uma rede aberta: ■ Fácil de configurar e administrar. ■ Fácil para usuários finais para acessar recursos de rede. ■ custos de segurança são muito menos. No outro extremo está o sistema de rede mais restritiva, o que significa que os serviços sejam negados por padrão a menos que considere necessário. Embora os benefícios da implementação de um completamente restritivas sistema de rede são evidentes, ela apresenta algumas desvantagens:
■ Mais difícil de configurar e administrar. ■ Mais difícil para os usuários finais para acessar recursos. ■ custos de segurança são maiores do que as de uma rede aberta. Desenvolvimento de uma Política de Segurança O primeiro passo de qualquer organização deve tomar para proteger seus dados e se de um desafio a responsabilidade é para desenvolver uma política de segurança. A política de segurança é um conjunto de princípios que orienta a tomada de decisões processos e permite que os líderes em uma organização para distribuir autoridade confiança. Uma política de segurança pode ser tão simples como um breve "Política de Utilização Aceitável" para recursos de rede, ou pode ser várias cem páginas e detalhe todos os elementos de conectividade e políticas associadas. Dia 8 269. Uma política de segurança atende aos seguintes objetivos: ■ Informa usuários, funcionários e gestores das suas obrigações para proteger a tecnologia e informação ativos. ■ Especifica os mecanismos através dos quais esses requisitos podem ser atendidos. ■ Oferece uma linha de base a partir da qual a adquirir, configurar e sistemas de auditoria de computadores e redes para o cumprimento da política. Ameaças à segurança comum Ao discutir a segurança da rede, três fatores comuns são as vulnerabilidades, ameaças e ataques, como descrito nas seções que se seguem. vulnerabilidades Vulnerabilidade é o grau de fraqueza que é inerente a cada rede e dispositivo. ameaças são pessoas que estão interessadas e capazes de tirar proveito de cada falha de segurança. Seguem-se as três categorias principais de vulnerabilidades: ■ fraquezas Tecnológico, incluindo o seguinte: - O conjunto de protocolos TCP / IP - Operação questões de segurança do sistema - Equipamentos de rede fraquezas ■ fraquezas de configuração, incluindo o seguinte: - Inseguros contas de usuário - Sistema de contas com senhas fáceis de adivinhar - Misconfigured serviços de Internet - Inseguros configurações padrão - Equipamentos de rede Misconfigured
■ Segurança fraquezas políticas, incluindo as seguintes: - Falta de política de segurança por escrito - Política corporativa tornando-o difícil de implementar uma política consistente - Falta de continuidade - Deficiente monitorização e auditoria de segurança - Software e hardware instalações e atualizações que não seguem a política - Plano de recuperação de desastre Nonexistent 270 31 dias antes de seu exame CCNA. Ameaças à infra-estrutura física Um atacante pode negar o uso dos recursos da rede se esses recursos podem ser fisicamente comprometido. As quatro classes de ameaças físicas são as seguintes: ■ ameaças Hardware: roubo ou vandalismo, causando danos físicos aos servidores, roteadores, switches, plantas de cabeamento, e estações de trabalho ■ As ameaças ambientais: temperaturas extremas ou extremos de umidade ■ ameaças Elétrica: picos de tensão, tensão de alimentação insuficiente, poder incondicionado, e total perda de energia Ameaças ■ Manutenção: manuseamento incorrecto dos principais componentes elétricos, falta de reposição crítica peças, cabeamento pobres, pobres e rotulagem Ameaças às redes Crimes que têm implicações para a segurança da rede podem ser agrupadas em duas classes principais de ameaças às redes: ■ ameaças não-estruturados: Consist principalmente de indivíduos inexperientes usando facilmente disponíveis ferramentas de hacking, como scripts shell e biscoitos senha. ■ ameaças Estruturado: Structured ameaças vêm de indivíduos ou grupos que são mais altamente motivados e tecnicamente competente. Essas pessoas sabem vulnerabilidades do sistema e usar sofisticadas técnicas de invasão para penetrar empresas desavisados. Estas duas classes principais de ameaças podem ainda ser classificados da seguinte forma: ■ As ameaças externas: As ameaças externas podem surgir a partir de indivíduos ou organizações que trabalham fora de uma empresa que não têm acesso autorizado aos sistemas de computador ou rede. ■ Ameaças internas: ameaças internas ocorrem quando alguém tem acesso autorizado à rede com qualquer conta de uma ou de acesso físico.
Tipos de ataques à rede Vários tipos de ataques podem ser lançados contra uma organização. Existem quatro classes principais de ataques: ■ ataques Reconnaissance: A descoberta não autorizado e mapeamento de sistemas, serviços ou vulnerabilidades usando as ferramentas disponíveis para lançar os seguintes ataques: - Internet consultas de informações: Uso de ferramentas como nslookup e utilitários para facilmente whois determinar o espaço de endereço IP atribuído à organização alvo. - Varre Ping: Depois de espaço de endereço IP é descoberto, o atacante usa um utilitário ping para enviar pings a cada endereço IP no espaço de endereço para determinar quais endereços são aberto. - Verifica Port: O atacante então verifica os endereços IP ativo para ver quais portas estão abertas. - Packet sniffers captura: os atacantes internos podem tentativa de "escutar" na rede tráfego para recolher ou roubar informações. Dia 8 271 ■ Ataques de Acesso: A Entrada OU Acesso Sistemas executando um hum hack, script, OU Ferramenta Que explora UMA vulnerabilidade conhecida do Sistema OU Aplicação Que está offline Sendo Atacado. Ataques Comuns Acesso incluem o seguinte: - Ataques Senha: Senha Ataques geralmente referem si um repetidas tentativas de login de los hum Recurso compartilhado, tal Como hum Servidor OU Roteador, parágrafo identificar UMA Conta de Usuário, Senha, Ambos ou. Estás repetidas tentativas São chamados Ataques de Dicionário OU Força Bruta Ataques. - Exploração Confiança: O Processo de comprometer hum anfitrião confiável e entao usa-lo par Estágio Ataques uma Outros hosts los UMA Rede. - O redirecionamento de Portas: hum Tipo de Confiança Ataque Exploração Opaco EUA UMA Máquina comprometida parágrafo passar o Tráfego atraves de hum firewall Que seriam bloqueados. - Man-in-the-Middle: Um Ataque realizado Por Pessoas Que conseguem POSIÇÃO Entre si Dois hosts legítimos. SE OS atacantes conseguem Entrar los UMA POSIÇÃO Estratégica, enguias podem Roubar Informações, seqüestrar UMA Sessão los Curso Acesso parágrafo ganhar uma Rede Privada Recursos, uma Conduta de negação de Serviço Ataques, CORROMPER OS
Dados transmitidos, OU introduzir Novas Informações los sessões de Rede. ■ Denial-of-service (DoS) Ataques: Ataques DoS envolvem o Processamento de hum Sistema indisponíveis Por fisicamente desconectar hum Sistema, travando o Sistema, OU ATÉ Diminuir um velocidade o Ponto Opaco inutilizável é. Alguns Exemplos de Ataques de negação de Serviço incluem o seguinte: - Ping da Morte Ataques: Envio de pacotes de ping Que São Muito fazer Maiores Que o esperado, o Opaco PoDE falhar Sistemas Mais Antigos da Rede. - SYN Flood Ataques: Envio de milhares de Pedidos de UMA Conexão TCP (SYN bit e set) parágrafo hum Servidor Alvo. O Servidor Deixa uma Conexão Aberta, à Espera de hum reconhecimento do atacante, Nunca Que VEM. - Distributed DoS (DDoS): Semelhante AO DoS, Mas com centenas de milhares de UO Pontos de Ataque Que tentam Dominar hum Alvo. ■ Ataques de Códigos maliciosos: O software malicioso inserido PoDE serviços los hum anfitrião parágrafo danificar OU CORROMPER hum Sistema; si replicar, OU Negar o Acesso uma redes, Serviços Sistemas ou. Nomes comuns Este parágrafo Tipo de software São worms, vírus e cavalos de tróia. - Worm: Um verme executa o Código de instala e Cópias de si MESMO NA Memória das Pessoas infectadas Computador, Que Pode, Por SUA Vez, infectar Outros hospedeiros. - Vírus: Um vírus de software malicioso hum Que está offline anexado um Outro Programa parágrafo executar hum FUNÇÃO especial indesejados los UMA Estação de Trabalho. Um virus de normalmente Requer hum mecanismo de entregar, Como hum ARQUIVO zip OU sândalo Outro ARQUIVO executável anexado um hum e-mail. O Elemento-chave Que distingué hum verme de um Computador Partir de hum virus de Computador e de Interação Humana Que um e necessária par facilitar uma PROPAGAÇÃO de hum vírus. - Cavalo de Tróia: difere de hum verme OU virus de apenas los Que o aplicativo inteiro está offline Escrito parágrafo parecer outra Coisa, Quando nd Verdade elementos e UMA Ferramenta de Ataque. 272 31 dias os antes de Seu Exame CCNA Mitigação Técnicas Gerais Cada tipo de ataque à rede apreciação tem técnicas de mitigação que você deve implementar, incluindo sistemas de usuário final, servidores e dispositivos de rede. As seções que seguem descrevem estes técnicas de mitigação em mais detalhes. Host e Segurança do Servidor
Segurança do host e baseada em servidor deve ser aplicada a todos os sistemas de rede. Técnicas de mitigação para Estes dispositivos incluem o seguinte: ■ Dispositivo de endurecimento: Novos sistemas normalmente chegam com valores padrão que raramente são seguras o suficiente para aderir à política de segurança. A maioria dos novos sistemas exigem o seguinte out-of-thebox configuração de segurança: - Padrão usernames e senhas devem ser alteradas. - Administrador nível de recursos deve ser restrito àqueles acesso autorizado. - Os serviços desnecessários devem ser desativado ou desinstalado. - Sistema de registro e acompanhamento deve ser configurado. ■ O software antivírus: host Instale um software antivírus para proteger contra ataques conhecidos e certifique-se que é atualizada regularmente. ■ firewalls pessoais: firewalls pessoais são destinados para PCs que se conectam diretamente à Internet sem o benefício de firewalls corporativos. ■ patches do sistema operacional: A maneira mais eficaz para atenuar um worm e suas variantes é baixar atualizações de segurança e patch todos os sistemas vulneráveis. Detecção de Intrusão e Prevenção Sistemas de detecção de intrusão (IDS) detecta ataques contra a rede e enviar logs para uma gestão console. Sistemas de prevenção de intrusão (IPS) prevenir atentados contra a rede. Qualquer tecnologia pode ser implementado no nível de rede ou o nível de host, ou ambos para a máxima proteção. Host-based prevenção de intrusão (HIPS) pára um ataque, evita danos e bloqueia a propagação de worms e vírus. Detecção ativa pode ser configurado para desligar a conexão de rede ou parar serviços afetados automaticamente. Ações corretivas podem ser tomadas imediatamente. A vantagem de HIPS é que ele pode monitorar processos do sistema operacional e proteger críticos do sistema recursos, incluindo arquivos que podem existir apenas no que host específico. Isso significa que ele pode notificar gerentes de rede quando algum processo externo tenta modificar um arquivo de sistema de uma forma que pode incluem um programa de back-door escondido. Appliances de segurança e Aplicações Figura 8-2 mostra uma topologia de rede comum com um firewall. O papel do
firewall é parar pacotes que o administrador de rede considerada insegura. O firewall principalmente olha para o transporte números de porta camada e os cabeçalhos da camada de aplicação para evitar que determinadas portas e aplicações de recebendo pacotes para a empresa. Dia 8 273 No entanto, uma firewall por si só não é mais adequada para garantir uma rede. Uma abordagem integrada envolvendo um firewall, prevenção contra intrusões e uma rede privada virtual (VPN) podem ser necessários. Uma abordagem integrada para a segurança e os dispositivos necessários para que isso aconteça siga estas construção blocos: ■ Controle de ameaça: Regulamenta o acesso à rede, isola os sistemas infectados, impede intrusões, e protege os ativos mediante a neutralização tráfego malicioso. Cisco dispositivos e aplicações que oferecem soluções de controle de risco incluem o seguinte: - Cisco ASA 5500 Series Adaptive Security Appliances (ASA)
- Integrated Services Routers (ISR) - Network Admission Control (NAC) - Agente de Segurança da Cisco para Desktops - Prevenção de intrusão de sistemas Cisco ■ Seguro comunicações: terminais de rede Protege com uma VPN. Os dispositivos que permitem que um organização para implantar uma VPN são roteadores Cisco ISR com uma solução de VPN Cisco IOS, e os Cisco ASA 5500 e switches Cisco Catalyst 6500. ■ controle de admissão de Rede: Fornece um método baseado em funções de prevenção não autorizada acesso a uma rede. Cisco oferece um aparelho NAC. A política de segurança é o centro em que as quatro etapas da roda de segurança são baseadas: Passo 1 Secure: a rede de Seguros pela aplicação da política de segurança e implementar o seguinte soluções de segurança:
- Ameaça de defesa usando o dispositivo de endurecimento técnicas, antivírus e spyware ferramentas. - Sistemas de prevenção de intrusão ativamente parar o tráfego malicioso. - Patch de vulnerabilidade para parar a exploração de vulnerabilidades conhecidas. - Desativar serviços desnecessários. - Inspeção Stateful e filtragem de pacotes. - VPNs para criptografar o tráfego de rede ao atravessar a Internet pública. - Confiança e restrições de identidade. - Autenticação. - Aplicação da Política. Passo 2 Monitor: Monitoramento de segurança envolve métodos ativos e passivos de detectar violações de segurança. Administradores de sistemas devem garantir que todos os hosts sensível e vital na rede estão sendo auditadas. Eles também devem ter o tempo para verificar e interpretar o arquivo de entradas de log. Um benefício adicional de monitoramento de rede é verificar se as medidas de segurança implementadas na Etapa 1 estão funcionando corretamente. Passo 3 teste: Medidas de segurança são testados de forma proativa. Especificamente, a funcionalidade do soluções de segurança implementadas na Etapa 1 e da auditoria do sistema de detecção de intrusão e métodos implementados na Etapa 2 são verificados. Passo 4 Melhorar: Analisar os dados coletados durante as fases de monitoramento e testes a fim para desenvolver e implementar mecanismos de melhoria que aumentam a
política de segurança e resulta em adicionando itens para a Etapa 1. O ciclo repete agora com o Passo 1.
Dia 7 Conceitos ACL e configurações Exame CCNA 640-802 Tópicos ■ Descrever a finalidade e os tipos de ACLs. ■ Configurar e aplicar ACLs com base em requisitos de filtragem de rede. ■ Configurar e aplicar uma ACL para limitar o acesso Telnet e SSH para o roteador usando CLI e SDM. Tópicos-chave
Uma das habilidades mais importantes que um administrador de rede precisa é de domínio de listas de controle de acesso (ACLs). Os administradores usam ACLs para interromper o tráfego ou permitir apenas o tráfego especificado ao parar todos os outro tráfego em suas redes. ACLs padrão e estendidas podem ser usados para aplicar uma série de recursos de segurança, incluindo a política de roteamento baseado, qualidade de serviço (QoS), Network Address Translation (NAT), e Port Address Translation (PAT). Você também pode configurar ACLs padrão e estendidas em interfaces de roteador para controlar o tipo de tráfego que é permitido através de um roteador dado. Hoje, nós revisamos o propósito e os tipos de ACLs como bem como a configuração e aplicação de ACLs para filtrar o tráfego. Conceitos ACL A operação padrão do roteador é encaminhar todos os pacotes, desde que existe uma rota para o pacote e os link está ativo. ACLs podem ser usadas para implementar um nível básico de segurança. Eles não são, no entanto, o única solução de segurança de uma grande organização gostaria de implementar. Na verdade, aumentar a ACLs latência de roteadores. Então, se a organização é muito grande com roteadores gestão do tráfego de centenas ou milhares de usuários, você mais do que provavelmente vai usar uma combinação de outras implementações de segurança, como um firewall PIX Cisco e serviços de autenticação. Definição de uma ACL
Uma ACL é um script de configuração do roteador (uma lista de declarações) que controla se um roteador permite ou nega pacotes para passar com base em critérios encontrados no cabeçalho do pacote. Para determinar se um pacote deve ser permitido ou negado, é testado contra as declarações ACL em ordem seqüencial. Quando uma instrução partidas, sem mais declarações são avaliadas. O pacote é permitidos ou negado. Há uma implícita negar qualquer declaração no final da ACL. Se um pacote não corresponde qualquer das declarações no ACL, ele é descartado. ACLs de processamento de Interface ACLs podem ser aplicadas a uma interface para o tráfego de entrada e saída. No entanto, você precisa de um ACL separada para cada direção.
Para tráfego de entrada, as verificações router para uma ACL de entrada aplicada à interface antes de fazer uma tabela de rotas de pesquisa. Então, para o tráfego de saída, o roteador garante que existe uma rota para o destino antes de verificar para ACLs. Finalmente, se uma declaração resultados ACL em um pacote é descartado, o roteador envia uma mensagem ICMP unreachable destino. Tipos de ACLs ACLs pode ser configurado para filtrar qualquer tipo de tráfego do protocolo de camada de rede, incluindo outros protocolos como o AppleTalk e IPX. Para o exame CCNA, nos concentramos em IPv4 ACLs, que vêm nos seguintes tipos: ■ ACLs Padrão: filtra o tráfego baseado no endereço única fonte
■ Extended ACLs: Posso filtrar o tráfego baseado em origem e destino, protocolos específicos, bem como a origem eo destino portas TCP e UDP Você pode usar dois métodos para identificar as ACLs padrão e estendidas: ■ ACLs numeradas usar um número para identificação. ■ Named ACLs use um nome descritivo ou número de identificação. Embora ACLs nomeado deve ser usada com alguns tipos de configurações de IOS que estão além do âmbito dos temas exame CCNA, eles não fornecem dois benefícios básicos: ■ Ao usar um nome descritivo (como BLOCK-HTTP), um administrador de rede pode mais determinar rapidamente o propósito de uma ACL. Isto é particularmente útil ■ Reduza a quantidade de digitação você deve fazer para configurar cada declaração em uma ACL nomeada, como você vai ver na seção "Configurando ACLs nomeados." Ambos ACLs numeradas e nomeadas pode ser configurado tanto para implementações padrão e estendida ACL. ACL Identificação A Tabela 7-1 lista as séries de números diferentes ACL para o protocolo IPv4, bem como alguns protocolos outras. A tabela não é exaustiva. ACLs IP chamado dar-lhe mais flexibilidade no trabalho com as entradas de ACL. Além de usar
nomes mais memorável, a outra grande vantagem de ACLs nomeados através numeradas ACLs é que você pode excluir instruções individuais em uma lista chamada IP de acesso. Com o Software Cisco IOS 12,3 Release, IP de acesso lista de inscritos seqüência de numeração foi introduzida tanto para ACLs numeradas e nomeadas. IP de acesso lista seqüência de numeração entrada fornece as seguintes benefícios: ■ Você pode editar a ordem das declarações ACL. ■ Você pode remover as declarações individuais de uma ACL. ■ Você pode usar o número de seqüência para inserir novas instruções para o meio da ACL. Números de seqüência são automaticamente adicionados à ACL, se não entrou explicitamente no momento da ACL é criado. Não existe suporte para seqüência de numeração nas versões de software mais cedo do que Cisco IOS Software Lançamento 12,3, portanto, todas as adições ACL para versões anteriores do software são colocada no final da ACL. Diretrizes de design ACL Bem projetado e bem implementada ACLs adicionar um componente de segurança importantes para a sua rede. Siga estes princípios gerais para garantir que as ACLs que você cría tenham os resultados pretendidos: ■ Com base nas condições de teste, escolher uma ACL padrão ou estendido, numeradas, ou nomeado. ■ Apenas um ACL por protocolo, por direção, e por interface é permitido. ■ Organize a ACL para permitir o processamento de cima para baixo. Organize a sua ACL para que o referências mais específicas a uma rede ou sub-rede comparecer perante aqueles que são mais gerais. Condições lugar que ocorrem com maior freqüência antes que as condições que ocorrem com menor freqüência. ■ Todas as ACLs conter uma implícita negar qualquer declaração no final. ■ Criar a ACL antes de aplicá-lo a uma interface. ■ Dependendo de como você aplica a ACL, a ACL filtra o tráfego tanto de passar pelo roteador ou ir de e para o roteador, como o tráfego de ou para as linhas vty. ■ Você normalmente deve colocar ACLs estendido o mais próximo possível da fonte do tráfego que você deseja negar. ACLs padrão porque não especificar endereços de destino, você deve colocar a ACL padrão o mais próximo possível para o destino do tráfego você deseja negar de modo que o fonte pode chegar a redes de intermediários. Configurando ACLs numeradas padrão
ACLs padrão IPv4, que são numerados ACLs na faixa de 1 a 99 e 1300-1999 ou ACLs nomeadas, filtrar pacotes com base em um endereço de origem e uma máscara, e permitir ou negar toda a Protocolo TCP / IP. Configurando um ACL requer duas etapas: Passo 1 Crie a ACL. Passo 2 Aplique a ACL. Vamos usar a topologia simples mostrado na Figura 7-2 para demonstrar como configurar ambos padrão e ACLs estendidas. Figura 7-2 Configuração ACL Topologia Numeradas padrão ACL: Rede de licença específica Criar uma ACL para evitar o tráfego que não faz parte das redes internas (172.16.0.0/16) de viajar de qualquer uma das interfaces Ethernet. Passo 1 Crie a ACL. Use a lista de acesso comando de configuração global para criar uma entrada em um padrão IPv4 ACL:
Numeradas padrão ACL: Negar uma sub-rede específica Criar uma ACL para evitar o tráfego que se origina a partir da sub-rede 172.16.4.0/24 de viajar para fora Interface Ethernet E0. Criar e aplicar a ACL com os comandos mostrado no Exemplo 7-2. Esta ACL é projetado para bloquear o tráfego a partir de uma sub-rede específica, 172.16.4.0, e para permitir que todos os outros tráfego a ser encaminhado para fora E0. Numeradas padrão ACL: Negar acesso Telnet ao Router Para controlar o tráfego de entrada e saída do roteador (não através do router), negar o acesso Telnet ao router através da aplicação de uma ACL para os portos vty. Restringir o acesso vty é principalmente uma técnica para aumentar a segurança da rede e definindo quais endereços são permitidos o acesso Telnet para o roteador Processo EXEC. Criar e aplicar a ACL com os comandos mostrado no Exemplo 7-3.
Configurando Extended ACLs numeradas Para mais controle de tráfego de filtragem preciso, uso prolongado ACLs IP, que são numerados ACLs no faixa de 100 a 199 e 2000-2699 ou são nomeados ACLs, que verificar a origem eo destino Endereço IP. Além disso, no fim da instrução ACL estendida, você pode especificar o protocolo e opcional TCP ou aplicação UDP para filtrar com mais precisão. Para configurar numeradas estendida IPv4 ACLs em um roteador Cisco, crie uma ACL estendida IP e ativar a ACL em uma interface. Para fins de exame CCNA, a sintaxe do comando estendido ACL é a seguinte:.
Extended ACL Numerada: Negar FTP a partir de sub-redes Para a rede na Figura 7-2, crie uma ACL para evitar o tráfego FTP originário da sub-rede 172.16.4.0/24 e indo para a sub-rede 172.16.3.0/24 de viajar para fora da interface Ethernet E0. Criar e aplicar a ACL com os comandos mostrado no Exemplo 7-4. Cancelar A negar declarações negar o tráfego FTP a partir de sub-rede 172.16.4.0 a sub-rede 172.16.3.0. a autorização de declaração permite que todos os outros tráfegos IP fora da interface E0. Duas declarações devem ser inseridos para o FTP aplicação porque a porta 20 é usada para estabelecer, manter e encerrar uma sessão de FTP enquanto a porta 21 é usado para a tarefa real de transferência de arquivos. Extended ACL Numerada: Negar Apenas Telnet a partir de sub-rede Criar uma ACL para impedir o tráfego de Telnet que se origina a partir da sub- rede 172.16.4.0/24 de viajar a interface Ethernet E0. Criar e aplicar a ACL com os comandos mostrado no Exemplo 7-5. Configurando ACLs Named O chamado recurso de ACL permite identificar ACLs padrão e estendida com um alfanumérico string (nome) em vez das representações numéricas. Porque você pode excluir entradas individuais com ACLs nomeadas, você pode modificar seu ACL sem ter que excluir e depois reconfigurar o ACL inteira. Com o Cisco IOS Software Lançamento 12.3 e
mais tarde, você pode inserir entradas individuais usando um número de seqüência apropriada. Nomeado Passos padrão ACL e sintaxe A seguir estão os passos e sintaxe usada para criar um padrão chamado ACL: Passo 1 Nome da ACL. A partir de modo de configuração global, use o ip access-list comando nome padrão ao nome do ACL padrão. Nomes ACL são alfanuméricos e deve ser único: Router (config) ip nome padrão lista de acesso Passo 2 Crie a ACL. De modo padrão chamado de configuração ACL, use a permitir ou negar as declarações de especificar uma ou mais condições para determinar se um pacote é transmitido ou caiu. Se você não especificar um número de seqüência, IOS irá incrementar a seqüência número por 10 para cada declaração que você digitar: Router (config-std-NaCl) # [número de seqüência-] {permit | deny} sourcewildcard fonte [log] Passo 3 Aplique a ACL. Ativar o ACL chamada em uma interface com o nome de comando ip access- group: Router (config-if) # ip access-group nome [in | out] Nomeado ACL padrão: Negar um único host de um Dado sub-rede Para a rede mostrada anteriormente na Figura 7-2, crie uma ACL padrão chamado "encrenqueiro" para evitar que o tráfego que se origina a partir do host 172.16.4.13 de viajar para fora da interface Ethernet E0. Criar e aplicar a ACL com os comandos mostrado no Exemplo 7-6.
Extended Named Passos ACL e sintaxe A seguir estão os passos e sintaxe usada para criar uma estendida chamado ACL: Passo 1 Nome da ACL. A partir de modo de configuração global, use o ip access-list comando nome estendido ao nome do ACL estendida: Router (config) nome ipaccess lista estendida Passo 2 Crie a ACL. A partir do modo de configuração chamado ACL estendida, use a permitir ou negar as declarações para especificar uma ou mais condições para determinar se um pacote é transmitido ou descartados: Router (config-ext-NaCl) # [número de seqüência-] {deny |} permitir protocolo fonte curinga-fonte [port operador] destino destino curinga [porto operador] [estabelecido] [log] Passo 3 Aplique a ACL. Ativar o ACL chamada em uma interface com o nome de comando ip access- group: Router (config-if) # ip access-group nome [in | out] Nomeado ACL estendida: Negar um Telnet a partir de uma sub-rede Usando a Figura 7-2 novamente, crie uma ACL estendida nomeada "badgroup" para impedir o tráfego de Telnet que origina-se da sub-rede 172.16.4.0/24 de viajar para fora da interface Ethernet
E0. Criar e aplicar o ACL com os comandos mostrado no Exemplo 7-7. Adicionando Comentários a ACLs nomeadas ou numeradas Você pode adicionar comentários a ACLs usando o argumento de observação no lugar do permitir ou negar. Observações são afirmações descritivas você pode usar para melhor compreender e solucionar qualquer chamado ou numerada ACLs. Exemplo 7-8 mostra como adicionar um comentário a uma ACL numerada. ACLs complexo ACLs padrão e estendida pode se tornar a base para outros tipos de ACLs que fornecem adicionais funcionalidade. Esses outros tipos de ACLs incluem o seguinte: ■ ACLs dinâmico (lock-and-chave) ■ Reflexive ACLs ■ Time-based ACLs Configuração destes tipos de ACL está além do escopo do exame CCNA, mas você deve pelo menos
estar familiarizados com os conceitos por trás deles. Você pode rever os conceitos e configurações no seu Recursos estudo. Verificação e solução de problemas ACL implementações Exame CCNA 640-802 Tópicos ■ Verificar e monitorar ACLs em um ambiente de rede. ■ Solucionar problemas ACL. Tópicos-chave Temas de hoje são bastante breve revisão em relação ao de ontem. Isso é para que você possa aproveitar a oportunidade para revisar completamente implementações de ACL, incluindo sua configuração, resolução de problemas, verificação e. Hoje nós revemos os comandos de verificação e olhar para alguns cenários de resolução de problemas possível. ACLs verificação Quando você terminar de configurar uma ACL, use os comandos show para verificar a configuração. usar o show access-lists de comando para exibir o conteúdo de todas as ACLs, como demonstrado no Exemplo 6-1.
Digitando o nome ou o número de ACL como uma opção para este comando, você pode exibir uma específica ACL. Para exibir apenas o conteúdo de todas as ACLs IP, use o comando show ip access-list. Observe na saída do comando show access-lists no Exemplo 6-1 que os números de seqüência são incrementado de 10 muito provavelmente porque o administrador não introduzir um número de seqüência. também notar que este comando informa quantas vezes IOS tem acompanhado um pacote para uma declaração-25 vezes no caso da declaração em primeiro lugar na ACL chamado ENG. O comando show ip interface exibe informações da interface IP e indica se qualquer IP ACLs são definidas na interface. Na saída de ip comando show interface e0 mostrado no Exemplo 6 - 2, ACL IP 1 foi configurado na interface E0 como uma ACL de entrada. Sem saída IP ACL tem sido configurado na interface E0. Finalmente, você também pode verificar a sua criação e aplicação ACL com o show running-config comando (mostrado no Exemplo 6-3) ou show startup-config
ACLs solução de problemas Usando os comandos mostram descrito na seção anterior revela a maioria dos mais comuns ACL erros antes que eles causem problemas na sua rede. Quando você solucionar problemas de uma ACL, verifique- contra as regras que você aprendeu sobre como criar ACLs corretamente. A maioria dos erros ocorrem porque estes regras básicas são ignoradas. Na verdade, os erros mais comuns estão entrando declarações ACL na errada ordem e não aplicação de critérios adequados para suas regras. Vamos olhar para uma série de problemas comuns e suas soluções usando a topologia mostrada na Figura 6-1.
Problema 1: Host não tem conectividade Hospedeiro 192.168.10.10 não tem conectividade com o 192.168.30.12. A lista de acesso mostrado no Exemplo 6-4 é aplicada de entrada para a interface do R3 s0/0/0. Porque ACLs são processadas seqüencialmente até que uma correspondência é feita, o tráfego do host 192.168.10.10 é negado pela primeira afirmação. Declaração 20, que permite hospedar 192.168.10.10, nunca fica processado. A solução é mudar a posição da declaração de 20 de modo que se trata antes da declaração 10. Você pode fazer isso com os comandos mostrados no Exemplo 6-5.
Primeiro, note que entrou no modo de configuração chamado ACL para editar os números de seqüência para o estendido numeradas ACL. Segundo, nós removemos declaração 20. Finalmente, reaplicado declaração 20 com um número de seqüência novo inferiores 05/10 no exemplo. Aviso do show access-lists de saída que a ordem agora é declaração correta. Hospedeiro 192.168.10.10 será permitida, e todo o tráfego de outros da sub-rede 192.168.10.0/24 serão negados. Problema 2: Protocolos negado A rede 192.168.10.0/24 não pode usar TFTP para se conectar à rede 192.168.30.0/24. o lista de acesso mostrado no Exemplo 6-6 é aplicado para a interface de entrada R1 Fa0 / 0 .. A rede 192.168.10.0/24 não pode usar TFTP para se conectar à rede 192.168.30.0/24, porque TFTP utiliza o protocolo de transporte UDP. Declaração de 30 em lista de acesso 120 permite todo o tráfego TCP outros. Porque TFTP utiliza o UDP, é implicitamente negado. A solução é substituir o tcp permitir que qualquer qualquer declaração com ip permitir que qualquer qualquer, como mostrado no Exemplo 6-7.
Repare que nós não tivemos de incluir um número de seqüência para o ip nova autorização qualquer declaração de qualquer porque esta declaração vem no final da lista. IOS irá incrementar automaticamente por 10. Problema 3: Telnet é permitido # 1 A rede 192.168.10.0/24 pode usar Telnet para conectar-se 192.168.30.0/24, mas esta ligação não deve ser permitido. A lista de acesso é mostrado no Exemplo 6-8. A rede 192.168.10.0/24 pode usar Telnet para conectar à rede 192.168.30.0/24, porque Telnet na declaração de 10 de lista de acesso 130 está listado na posição errada. A porta de origem não seria Porta telnet de 23, mas alguma porta escolhidos aleatoriamente numeradas acima de 1024. O número da porta de destino (ou aplicação) deve ser definido como Telnet como mostra a solução para este problema no Exemplo 6-9.
Problema 4: Telnet É admitidos # 2 Hospedeiro 192.168.10.10 pode usar Telnet para conectar-se 192.168.30.12, mas esta ligação não deve ser permitido. A lista de acesso é mostrado no Exemplo 6-10. Host 192.168.10.10 pode usar Telnet para conectar-se 192.168.30.12 porque não há regras negar host 192.168.10.10 ou de sua rede como fonte. Declaração de 10 nega a interface do roteador a partir do qual o tráfego seria partida. No entanto, como pacotes Telnet partir do roteador, eles têm o endereço de origem 192.168.10.10, não o endereço da interface do roteador. Exemplo 6-11 mostra a solução para este problema. Problema 5: É permitido Telnet # 3 Host 192.168.30.12 pode usar Telnet para conectar-se 192.168.10.10, mas esta ligação não deve ser permitido. A lista de acesso mostrado no Exemplo 6-12 é aplicada de entrada para a interface do R3 s0/0/0.
Host 192.168.30.12 pode usar Telnet para conectar-se 192.168.10.10 por causa da direção em que lista de acesso 150 é aplicada à interface S0/0/0. Declaração de 10 nega o endereço de origem 192.168.30.12, mas esse endereço seria a única fonte se o tráfego de saída na S0/0/0 foram, não de entrada. Exemplo 6-13 mostra a solução para este problema Dia 5 Conceitos NAT, Configuração e
Solução de problemas Exame CCNA 640-802 Tópicos ■ Explicar o funcionamento básico do NAT. ■ Configurar NAT para os requisitos de determinada rede usando (CLI / SDM). ■ Solucionar problemas de NAT. Tópicos-chave Para lidar com o esgotamento de endereços IPv4, várias soluções de curto prazo foram desenvolvidos. Um curto prazo solução é utilizar endereços privados e Network Address Translation (NAT). NAT permite que no interior hosts da rede para pedir um endereço IP legítimos Internet ao acessar recursos da Internet. Quando o solicitado retorna tráfego, o endereço IP é legítima repurposed e disponíveis para a próxima Internet pedido por um host dentro. Usando NAT, administradores de rede precisam apenas um ou alguns endereços IP para o roteador para fornecer para os anfitriões, ao invés de um único endereço IP para cada cliente aderir à rede. Hoje, nós revisamos os conceitos, configuração e resolução de problemas de NAT. Conceitos NAT NAT, definido na RFC 3022, tem muitos usos. Mas seu uso é fundamental para conservar endereços IP, permitindo que as redes usar endereços IP privados. NAT traduz não roteáveis, privado, endereços internos em roteáveis, endereços públicos. NAT é também um firewall natural. Ele oculta os
endereços IP de redes externas. Um dispositivo habilitado para NAT normalmente opera na fronteira de uma rede stub. Na Figura 5-1, R2 é o roteador de borda. Em NAT terminologia, a rede interna é o conjunto de redes que estão sujeitas a tradução (a cada rede na região sombreada na Figura 5-1). A rede externa refere-se a todos os outros endereços. Figura 5-2 mostra como fazer referência aos endereços ao configurar NAT. ■ endereço Dentro local: O mais provável é um endereço privado. Na figura, o endereço IP 192.168.10.10 atribuído ao PC1 é um endereço dentro de local. ■ Dentro endereço global: Um endereço válido público que o host dentro é dado quando ele sai do NAT router. Quando o tráfego de PC1 é destinada para o servidor web em 209.165.201.1, R2 deve traduzir o endereço dentro do local para um endereço dentro global, que é 209.165.200.226, neste caso. ■ endereço de Fora global: Um endereço de IP acessível atribuído a um host na Internet. Por exemplo, o servidor web pode ser contatado pelo endereço IP 209.165.201.1. ■ endereço Outside local: O endereço local IP atribuído a um host na rede externa. Na maioria dos situações, este endereço é idêntico ao endereço externo global de que o dispositivo fora. (Fora endereços locais estão fora do escopo da CCNA.) Figura 5-1 Topologia NAT
Um exemplo de NAT Os passos seguintes ilustram o processo de NAT quando PC1 envia o tráfego para a Internet: 1. PC1 envia um pacote destinado à Internet para R1, o gateway padrão. 2. Encaminha o pacote para R1 R2, como dirigido por sua tabela de roteamento. 3. R2 refere-se a sua tabela de roteamento e identifica o próximo hop como o roteador ISP. Em seguida, verifica a ver se o pacote corresponde aos critérios especificados para a tradução. R2 tem um ACL que identifica
a rede de dentro como um host válido para a tradução. Portanto, ele traduz um endereço IP dentro de locais endereço para um endereço IP dentro mundial, que neste caso é 209.165.200.226. Ele armazena esta mapeamento dos locais de endereços global na tabela NAT. 4. R2 modifica o pacote com o novo endereço IP de origem (o endereço dentro global) e envia -lo ao roteador do ISP. 5. O pacote finalmente chega ao seu destino, que envia sua resposta para o interior globais endereço 209.165.200.226. 6. Quando as respostas do destino chegar de volta em R2, consulta a tabela NAT para coincidir com a dentro de endereços global para o endereço correto no interior local. R2 em seguida, modifica o pacote com o endereço dentro do local (192.168.10.10) e envia para R1. 7. R1 recebe o pacote e encaminha para PC1. NAT dinâmico e estático Os dois tipos de tradução NAT são as seguintes: ■ NAT dinâmico: Utiliza um pool de endereços públicos e atribui-los em um primeiro a chegar, primeiro a ser servido base. Quando um host com um endereço IP privado pedidos de acesso à Internet, o NAT dinâmico escolhe um endereço IP a partir do conjunto que já não esteja em uso por outro host. ■ NAT estático: Utiliza um mapeamento um-para-um dos endereços locais e globais, e esses mapeamentos permanecem constantes. NAT estática é particularmente útil para servidores web ou hosts que deve ter um Endereço consistente, que é acessível a partir da Internet. Sobrecarga NAT NAT sobrecarga (às vezes chamado Port Address Translation [PAT]) mapas IP múltiplos privados endereços para um único endereço IP público ou alguns endereços. Para fazer isso, cada endereço privado também é rastreados por um número de porta. Quando uma resposta volta do exterior, números de porta para determinar qual cliente o roteador NAT traduz os pacotes. Figura 5-3 e os passos a seguir ilustram o processo de sobrecarga NAT.
1. PC1 e PC2 enviar pacotes destinados à Internet. 2. Quando os pacotes chegam ao R2, sobrecarga NAT altera o endereço de origem para o interior globais Endereço IP e mantém os números de porta atribuído (1555 e 1331, neste exemplo) para identificar o cliente a partir do qual o pacote foi originado. 3. R2 atualiza sua tabela NAT. Observe as portas atribuídas. R2 em seguida, encaminha os pacotes para o Internet. 4. Quando as respostas do servidor web, R2 usa a porta de origem de destino para traduzir o pacote para o cliente correto. Sobrecarga NAT tenta preservar a porta de origem original. No entanto, se essa porta de origem já está utilizado, sobrecarga NAT atribui o primeiro número de porta disponível a partir do início do grupo de porta apropriada 0-511, 512-1023, ou 1024-65535. Benefícios NAT Os benefícios de usar NAT incluem o seguinte: ■ NAT conserva espaço de endereçamento IP registado porque, com a
sobrecarga NAT, hosts internos podem compartilhar um único endereço IP público para todas as comunicações externas. ■ NAT aumenta a flexibilidade de conexões à rede pública. Diversas piscinas, backup piscinas, e balanceamento de carga piscinas podem ser implementadas para garantir uma conexão de rede pública. ■ NAT permite que o regime existente de permanecer apoiando um regime público novo endereçamento. Isto significa que uma organização pode mudar ISPs e não precisa alterar qualquer de suas interior clientes. ■ NAT fornece uma camada de segurança de rede, porque as redes privadas não anunciam seus dentro de endereços locais fora da organização. NAT Limitações As limitações do uso NAT incluem o seguinte: Desempenho ■ é degradada: NAT aumenta os atrasos de comutação porque traduzir cada IP endereço dentro os cabeçalhos dos pacotes leva tempo. ■ funcionalidade End-to-end é degradada: Muitos protocolos de Internet e aplicativos dependem end-to-end funcionalidade, com pacotes sem modificações encaminhadas a partir da origem para o destino. ■ rastreabilidade End-to-end IP está perdido: ele se torna muito mais difícil rastrear os pacotes que sofrer alterações de pacotes inúmeros endereços sobre vários saltos NAT, fazendo resolução de problemas desafiador. ■ Tunneling é mais complicada: usando NAT também complica protocolos de encapsulamento, tais como IPsec, porque NAT modifica valores nos cabeçalhos que interferem com
a integridade cheques feito por IPsec e outros protocolos de tunelamento. ■ Serviços podem ser interrompidos: Os serviços que requerem a abertura de conexões TCP do rede externa, ou protocolos de apátridas, tais como aqueles que utilizam UDP, pode ser interrompida. 2. 300 31 dias antes de seu exame CCNA Configurando NAT estática Estática NAT é um mapeamento um-para-um entre um endereço dentro e um endereço externo. NAT estática permite conexões iniciadas por dispositivos externos para dispositivos dentro. Por exemplo, você pode querer mapear um endereço dentro global para um endereço local específico dentro que é atribuído ao seu servidor web. Os passos ea sintaxe para configurar NAT estática são os seguintes: Etapa 1 Configurar a tradução estática de um endereço dentro de locais para um endereço dentro global: Router(config)#ip nat inside source static local-ip global-ip Step 2 Specify the inside interface: Router(config)#interface type number Router(config-if)#ip nat inside Step 3 Specify the outside interface: Router(config)#interface type number Router(config-if)#ip nat outside Figure 5-4 shows a sample static NAT topology.
Esta configuração estaticamente mapeia o endereço IP dentro de 192.168.10.254 para o endereço externo de 209.165.10.254. Isso permite que hosts externos para acessar o servidor web interno usando o IP público endereço 209.165.10.254. Configurando NAT dinâmico NAT dinâmico IP mapas privados para endereços públicos retirados de um pool de NAT. os passos e sintaxe para configurar o NAT dinâmico são as seguintes:
Configurando NAT Overload Comumente com redes domésticas e pequenas empresas e médias empresas, o ISP atribui apenas um
endereço IP registado para seu roteador. Portanto, é necessário sobrecarga que um endereço IP para que os clientes dentro de múltiplos pode usá-lo simultaneamente. A configuração é similar à dinâmica NAT, só que em vez de um pool de endereços, a interface palavra-chave é usado para identificar o endereço IP externo. Portanto, nenhuma piscina NAT está definido. o palavra-chave sobrecarga permite a adição do número de porta para a tradução. Exemplo 5-3 mostra como R2 na Figura 5-5 seria configurado para sobrecarregar seu IP registrado endereço na interface serial. Exemplo 5-3 Configurando NAT para Overload Endereço uma interface Você também pode sobrecarregar um pool de NAT de endereços, que podem ser necessárias em organizações que potencialmente ter muitos clientes ao mesmo tempo a necessidade de traduções. Em nosso exemplo anterior, 5-2, NAT é configurado com um pool de 15 endereços (209.165.200.226 a 209.165.200.240). Se, em qualquer dado momento, R2 é traduzir todos os 15 endereços, os pacotes para o cliente 16 será colocado em fila para processamento e, possivelmente, timeout. Para evitar esse problema, adicione a sobrecarga palavra-chave para o comando que se liga a lista de acesso à piscina NAT da seguinte forma:
Curiosamente, IOS irá utilizar o primeiro endereço IP na piscina, até que se esgote de números de porta disponíveis. Em seguida, ele irá se mover para o próximo endereço IP na piscina. Verificando NAT Suponha que tanto o NAT estáticas e dinâmicas topologias mostradas nas Figuras 5-4 e 5-5 são configurados em R2 com o servidor dentro traduzidos para estaticamente 209.165.200.254 eo NAT-POOL1 configurado com a palavra-chave sobrecarga. Ainda supor que dois clientes no interior de ter ligado para um host remoto. Você pode usar o comando show ip nat traduções para verificar as traduções atuais na tabela NAT R2, como mostrado no Exemplo 5-4. A entrada estática está sempre em cima da mesa. Atualmente, existem duas entradas dinâmicas. Note-se que ambos os dentro clientes receberam o mesmo dentro de endereços global, mas os números de porta são diferentes. O show ip nat comando estatísticas mostrado no Exemplo 5-5 apresenta informações sobre o total número de traduções ativas, os parâmetros de configuração do NAT, quantos endereços estão na piscina, e quantas foram alocados. Exemplo 5-5 Verificando Operações NAT com show ip nat estatísticas Alternativamente, use o comando show run e procure NAT, lista de comandos de acesso, interface, ou
piscina comandos relacionados com os valores exigidos. Examine a saída desses comandos com cuidado para descobrir quaisquer erros. Às vezes é útil para limpar as entradas dinâmicas mais cedo do que o padrão. Isto é especialmente verdadeiro ao testar a configuração do NAT. Para limpar entradas dinâmicas antes do tempo limite expirou, use do clear ip nat translation * comando EXEC privilegiado. Solução de problemas NAT Quando você tem problemas de conectividade IP em um ambiente NAT, muitas vezes é difícil determinar a causa do problema. O primeiro passo para resolver o seu problema é excluir NAT como a causa. Siga estes passos para verificar se NAT está funcionando como esperado: Passo 1 Com base na configuração, definir claramente o que NAT é suposto conseguir. este pode revelar um problema com a configuração. Passo 2 Verifique se traduções corretas existem na tabela de tradução usando o show ip nat traduções de comando. Passo 3 Use os comandos claros e debug para verificar se NAT está funcionando como esperado. verificar para ver se entradas dinâmicas são recriados depois de serem apagadas. Passo 4 comentário em detalhes o que está acontecendo com o pacote, e verificar que os roteadores têm a correta informações de roteamento para encaminhar o pacote. Use o comando debug ip nat para verificar o funcionamento do recurso NAT, exibindo informações sobre todos os pacotes que o router traduz, como mostrado no Exemplo 5-6. Você pode ver que hospedam dentro 192.168.10.10 iniciado o tráfego para o host fora 209.165.201.30 e tem foi traduzido para o endereço 209.165.200.226.
Ao decodificar a saída de depuração, note que os seguintes símbolos e valores indicam: ■ *: O asterisco ao lado NAT indica que a tradução está ocorrendo no fast- ligado caminho. O primeiro pacote em uma conversa é sempre processo de comutação, que é mais lento. o pacotes restantes percorrer o caminho mais rápido de comutação se uma entrada de cache existe. ■ s =: Refere-se ao endereço IP de origem. ■ abcd-> wxyz: Indica que abcd endereço de origem é traduzida em wxyz ■ d =: Refere-se o endereço IP de destino. ■ [xxxx]: O valor entre parênteses é o número de identificação IP. Esta informação pode ser útil para a depuração, porque permite correlação com traços de outros pacotes de analisadores de protocolo.
WAN e VPN Technologies Exame CCNA 640-802 Tópicos ■ Descrever os diferentes métodos para conectar a uma WAN. ■ Descrever a tecnologia VPN (importância, benefícios, papel, impacto, componentes). Tópicos-chave
Hoje é uma revisão turbilhão de tecnologias WAN, opções de conexão WAN e VPN. Porque esses tópicos do exame são de natureza conceitual, que não requer habilidades de configuração, leia este comentário várias vezes. Se necessário, consulte os recursos do seu estudo para mais uma análise em profundidade. Conceitos de Tecnologia WAN Padrões de acesso WAN tipicamente descrevem ambos os métodos de camada física de entrega e os dados da camada de enlace requisitos, incluindo endereçamento físico, controle de fluxo, e encapsulamento. Os protocolos da camada física descrevem como fornecer conexões elétricas, mecânica, operacional e funcional a um fornecedor de serviços. Os dados protocolos de camada de enlace de definir como os dados são encapsulados e os mecanismos para transferir os quadros resultantes. Uma variedade de tecnologias são usadas, tais como Frame Relay e Asynchronous Transfer Mode (ATM). Alguns destes protocolos usar o mecanismo de enquadramento mesmas como de Alto Nível Data Link Control (HDLC), um padrão ISO, ou um de seus subconjuntos ou variantes. Componentes e Dispositivos WAN Figura 4-1 ilustra a terminologia comumente usada para descrever física conexões WAN. Os componentes WAN mostrado na Figura 4-1 são descritos em maiores
detalhes na lista a seguir: ■ Customer Premises Equipment (CPE): Os dispositivos localizados nas instalações da WAN assinante. O assinante possui ou aluga o CPE. ■ Data Communications Equipment (DCE): Consiste em dispositivos que colocar dados sobre o local loop. O DCE principalmente fornece uma interface para conectar os assinantes para a nuvem WAN. ■ Data Terminal Equipment (DTE): Os dispositivos de cliente que passar os dados de um cliente rede para o DCE para transmissão através da WAN. ■ lacete local: O cabo de cobre ou fibra que liga o CPE o escritório central (CO) do fornecedor de serviços. O lacete local é às vezes chamado de "última milha". ■ ponto de demarcação: um ponto onde o equipamento do cliente é separado do provedor de serviços equipamento. É o lugar onde a responsabilidade para as mudanças de conexão do cliente ao prestador do serviço. ■ Central de escritório (CO): Uma instalação de provedor de serviço local ou edifício onde os cabos locais apontam para de longo curso, totalmente digital, linhas de fibra óptica de comunicações através de um sistema de interruptores e outros equipamentos.
WANs usam vários tipos de dispositivos que são específicos para ambientes WAN: ■ Modem: modula e demodula entre os sinais analógico e digital. ■ CSU / DSU: A unidade de serviço de canal (CSU) e uma unidade de serviço de dados (DSU), muitas vezes combinados em uma única peça de equipamento para fornecer o término para o sinal digital e garantir a conexão integridade através da correção de erros e de monitoramento de linha. Ele interpreta quadros da transportadora em quadros que os dispositivos de LAN pode interpretar e vice- versa. ■ servidor de Acesso: Concentrados dial-in e dial-out de comunicação do usuário. Um servidor de acesso pode ter uma mistura de interfaces analógicas e digitais e centenas de apoio simultâneo usuários. ■ WAN switch: Um dispositivo de internetworking multiporta usados em redes
de operadoras. estes dispositivos tipicamente mudar tráfego, tais como Frame Relay, ATM, X.25 ou e operam na camada de enlace de dados do modelo de referência OSI. Rede telefónica pública comutada (PSTN) muda também pode ser usado dentro da nuvem para o circuito de comutação de conexões, tais como (ISDN) ou dial-up analógico. ■ Router: Fornece internetworking e portas de acesso WAN interface que são utilizados para conectar-se a da rede do provedor de serviço. ■ router Core: Um roteador provedor de serviços que reside no meio ou espinha dorsal da WAN e não na sua periferia. Para cumprir esse papel, um roteador deve ser capaz de suportar múltiplas interfaces de telecomunicações de alta velocidade em uso no núcleo WAN, e deve ser capaz de encaminhar pacotes IP na velocidade máxima em todas as interfaces. O roteador deve suportar também os protocolos de roteamento a ser utilizado no núcleo.
WAN normas camada física A camada física da WAN também descreve a interface entre o DTE e DCE. Um roteador Cisco interface serial é capaz de se conectar a um DSU CSU / que usa qualquer uma das seguintes normas: ■ EIA/TIA-232: Este protocolo permite velocidades de sinal de até 64 kbps em uma de 25 pinos D-conector em curtas distâncias. Foi anteriormente conhecido como RS-232. A ITU-T V.24 especificação é efetivamente o mesmo. ■ EIA/TIA-449/530: Este protocolo é mais rápido (até 2 Mbps) versão do EIA/TIA-232. Ele usa um 36-pin D-conector e é capaz de cabos de grande comprimento. Existem diversas versões. esse padrão é também conhecido como RS-422 e RS-423. ■ V.35: Este é o padrão ITU-T para comunicações síncrona entre um acesso à rede dispositivo e uma rede de pacotes. Originalmente especificado para suportar taxas de dados de 48 kbps, ele agora suporta velocidades de até 2.048 Mbps usando um conector de 34 pinos retangulares. ■ X.21: Este protocolo é um padrão ITU-T para comunicações síncronas digital. Ele usa um 15-pin D-conector.
■ EIA/TIA-612/613: (não mostrado na Figura 4-3) Esta norma descreve a série de alta velocidade Interface (HSSI) protocolo, que permite o acesso a serviços de até 52 Mbps em uma Dconnector de 60 pinos. Observe na Figura 4-3 que a conexão router no topo é o mesmo, independentemente da conexão usado por CSU / DSU. O administrador de rede simplesmente escolhe o cabo correto para o CSU / DSU conexão. 3. 4. Link WAN protocolos de dados Cada tipo de conexão WAN usa um protocolo de camada 2 para encapsular um pacote enquanto ele estiver atravessando a Link WAN. Para garantir que o protocolo de encapsulamento correto é usado, o encapsulamento de camada 2 tipo usado para cada interface do roteador de série deve ser configurado, se diferente do padrão. o escolha de protocolos de encapsulamento depende da tecnologia WAN e os equipamentos. o mais comuns protocolos de enlace de dados WAN são as seguintes:
■ HDLC (padrão Cisco) ■ Point-to-Point Protocol (PPP) ■ Frame Relay ■ Asynchronous Transfer Mode (ATM) WAN Switching Redes WAN comutada são categorizados como de comutação de circuitos ou comutação por pacotes. A circuitswitched rede é aquela que estabelece um circuito dedicado (ou canal) entre os nós e terminais antes que os usuários podem se comunicar. Embora o circuito é dedicado para a duração do chamada, a ligação física é social por vários usuários finais através de um processo chamado de time-division multiplexing (TDM). TDM dá a cada conversa uma parte da conexão de cada vez e garante que um fixa capacidade de conexão é disponibilizado para o assinante. PSTN e ISDN são dois tipos de comutação de circuitos tecnologia que pode ser usada para implementar uma WAN em um ambiente corporativo. Em contraste com a comutação de circuitos, comutação de pacotes de dados de tráfego se divide em pacotes que são encaminhadas através uma rede compartilhada. Redes de comutação de pacotes não necessitam de um circuito a ser estabelecido, e eles permitir que muitos pares de usuários finais para se comunicar através do mesmo canal. Os comutadores em um de comutação por pacotes rede utilize um dos métodos a seguir para determinar que ligam o pacote deve ser enviado em seguida, das informações de endereçamento em cada pacote: ■ sistemas sem conexão, tais como a Internet, carregam informações de endereçamento completa em cada pacote. Cada switch de pacotes ou roteador deve avaliar o endereço IP de destino para determinar para onde enviar o pacote. ■ Conexão sistemas orientados a predeterminar rota que um pacote, e cada
pacote só tem de realizar um identificador, como o Data Link Connection Identifiers (DLCIs) em Frame Relay. Redes comutadas por pacotes pode estabelecer rotas através dos interruptores para determinado fim-de-final conexões. Estas rotas são chamados de circuitos virtuais (VCs). A VC é um circuito lógico entre duas redes dispositivos para ajudar a garantir comunicações confiáveis. Dois tipos de VCs existem: ■ circuito virtual permanente (PVC): Um circuito permanentemente estabelecido virtual que consiste em um modo de transferência de dados. PVCs são usados em situações em que a transferência de dados entre dispositivos é constante. ■ Circuito virtual comutado (SVC): A VC que é dinamicamente estabelecida sob demanda e encerrado quando a transmissão é completa. Comunicação através de uma SVC consiste em três fases: estabelecimento de circuito, a transferência de dados, e terminação de circuito. SVCs são usados em situações em qual a transmissão de dados entre dispositivos é intermitente, em grande parte para economizar custos. Opções de Conexão WAN Muitas opções para implementação de soluções WAN atualmente disponíveis. Eles diferem em tecnologia, velocidade e custo. Figura 4-4 fornece uma visão de alto nível da conexão de vários links WAN opções, e as seções que seguem descrevem essas opções em mais detalhes. Figura 4-4 Ligação WAN Opções de link
Linhas alugadas são geralmente mais caros que os serviços comutados por causa do dedicado ", sempre em "custo da prestação de serviços WAN para o cliente. A capacidade dedicada remove a latência e jitter e fornece uma camada de segurança porque o tráfego apenas o cliente é permitido no link. Tabela 4-1 lista as linhas alugadas disponíveis e seus tipos de taxa de bits capacidades. Circuit-Switched Opções de Conexão Os dois tipos principais de comutação de circuitos conexões dial-up são analógicas e ISDN. analógico Dialup Analógico usando dialup modems e linhas telefônicas é uma solução ideal de
conexão WAN que intermitente, transferências de baixo volume de dados são necessários. Figura 4-6 mostra uma conexão dial-up analógico típico. Estes relativamente conexões de baixa velocidade dialup são suficientes para a troca de números de vendas, preços, relatórios de rotina, e-mail. Usando dialup automática à noite ou nos finais de semana para arquivos grandes transferências e backup de dados pode tirar vantagem de menor off-peak tarifas (taxa da linha). as vantagens de modem e linhas analógicas são a simplicidade, disponibilidade e baixo custo de implementação. as desvantagens são as taxas de dados de baixo e um tempo de conexão relativamente longo. ISDN ISDN voltas ao lacete local em uma conexão digital TDM, o que lhe permite transportar sinais digitais que resultam em maior capacidade de comutação de ligações. A conexão de 64 kbps usa portador (B) canais para transportar voz ou dados e uma sinalização, canal delta (D) para configuração de chamadas e outros fins. Existem dois tipos de interfaces ISDN: ■ Interface de Taxa Básica (BRI): Fornece dois de 64 kbps B canais para a transferência de voz ou de dados e um adolescente de 16 kbps canal D utilizado para sinalização de controle. ■ Interface de Taxa Primária (PRI): Oferece 23 canais B com 64 kbps e um canal D com 64 kbps na América do Norte, para uma taxa de bits total de até 1,544 Mbps. Europa usa 30 B canais e um canal D, para uma taxa de bits total de até 2,048 Mbps. Figura 4-7 ilustra as várias diferenças entre linhas ISDN BRI e PRI. Packet Switched-Opções de Conexão
Os mais comuns de comutação de pacotes tecnologias utilizadas em WANs corporativas atuais incluem legado X.25, Frame Relay e ATM. X.25 X.25 é um legado de protocolo de camada de rede. SVCs são estabelecidos através da rede para intermitentes uso de aplicativos como leitores de ponto-de-venda do cartão. X.25 redes variam de 2.400 bps até 2 Mbps e agora estão em declínio dramático, sendo substituído por novas tecnologias como Frame Relay, ATM, e DSL. Frame Relay Figura 4-8 mostra uma rede de retransmissão simplificado Frame
Frame Relay X.25 difere de várias maneiras. Mais importante, ele é um protocolo muito mais simples, estritamente operacional na camada 2, enquanto X.25 fornece adicionalmente Layer 3 serviços. Ao contrário X.25, Frame Relay implementa nenhum erro ou controle de fluxo. O manuseio
simplificado de quadros leva a redução de latência, e as medidas tomadas para evitar o acúmulo de quadro de interruptores intermediários ajudam a reduzir jitter. Frame Relay oferece taxas de dados até 4 Mbps, com alguns provedores que oferecem taxas ainda mais elevadas. VCs Frame Relay são identificados exclusivamente por um DLCI, o que garante a comunicação bidirecional de um dispositivo DTE para outro. A maioria das conexões Frame Relay são PVCs e não SVCs. ATM é baseado em uma arquitetura baseada em células, em vez de em uma arquitetura baseada em quadros. As células ATM são sempre um comprimento fixo de 53 bytes. A célula ATM contém um cabeçalho ATM de 5 bytes seguido por 48 bytes de payload ATM. Pequenos, células de tamanho fixo são bem adaptados para o transporte de tráfego de voz e vídeo, porque este tráfego é intolerante de atraso. Vídeo e tráfego de voz não tem que esperar por uma maior pacote de dados a ser transmitido. Embora ATM é menos eficiente que Frame Relay por causa de seus 5 byte por sobrecarga celular, que oferece velocidades de conexão de T1/E1 para OC-12 (622 Mbps) e superior. Opções de conexão Internet Opções de conexão de banda larga normalmente são usados para conectar funcionários telecommuting a um site corporativo através da Internet. Essas opções incluem DSL, cabo, wireless, e Metro Ethernet.
DSL Tecnologia DSL, mostrado na Figura 4-10, é uma tecnologia de conexão always-on que usa existentes par trançado de linhas telefônicas para o transporte de alta largura de banda de dados e fornece serviços IP para assinantes. Tecnologias atuais DSL uso de codificação sofisticada e técnicas de modulação para obtenção de dados taxas de até 8,192 Mbps. A variedade de tipos de DSL, padrões e tecnologias emergentes existe. DSL é agora uma escolha popular para a empresa os departamentos de TI para apoiar os trabalhadores para casa. Geralmente, um assinante não pode escolher para se conectar a uma rede corporativa diretamente. Cable Modem Cable modems fornecer uma conexão always-on e uma instalação simples. Figura 4-11 mostra como um assinante liga um roteador computador ou LAN para o modem a cabo, o que traduz o digital sinais em freqüências de banda larga usada para a transmissão em uma rede de televisão a cabo. Figura 4-11 Teleworker conexão Cable Modem
banda larga sem fio Até recentemente, a principal limitação de acesso sem fio foi a necessidade de estar dentro do alcance de um roteador sem fio ou um modem sem fio que tem uma conexão com fio à Internet. O novo seguintes desenvolvimentos na tecnologia de banda larga sem fio estão mudando essa situação: ■ Municipal Wi-Fi: Muitas cidades começaram a criação de redes sem fio municipal. alguns dos essas redes oferecem acesso de alta velocidade à Internet para livre ou para substancialmente menos do que o preço dos serviços de banda larga. ■ WiMAX: Worldwide Interoperability for Microwave Access (WiMAX) é uma nova IEEE 802,16 tecnologia que está apenas começando a entrar em uso. Ele fornece serviço de alta velocidade de banda larga com acesso wireless e oferece ampla cobertura como uma rede de telefonia celular, em vez de através de pequena Wi-Fi hotspots. ■ Internet por satélite: Normalmente usado por usuários rurais onde o cabo eo DSL não estão disponíveis. metro Ethernet Metro Ethernet utiliza chaves IP-aware Ethernet na nuvem do prestador de serviços de rede para oferecer empresas convergentes de voz, dados e serviços de vídeo a velocidades Ethernet. Alguns benefícios do Metro Ethernet incluem o seguinte: ■ Redução de despesas e administração: permite que as empresas de forma barata conectar vários locais em uma área metropolitana uns aos outros e à Internet sem a necessidade de caros conversões para ATM ou Frame Relay. ■ Fácil integração com as redes existentes: Conecta facilmente para LANs
Ethernet existentes. ■ a produtividade dos negócios aprimorada: Metro Ethernet permite às empresas aproveitar de melhoria de produtividade aplicações IP que são difíceis de implementar em TDM ou Frame Relay redes, tais como comunicações IP hospedado, VoIP e streaming e vídeo broadcast. Escolhendo uma opção de ligação WAN Tabela 4-2 compara as vantagens e desvantagens das várias opções de conexão WAN revista. VPN Tecnologia Uma rede privada virtual (VPN) é uma conexão criptografada entre redes privadas ao longo de um público rede como a Internet. Em vez de usar um dedicado Layer 2 de conexão, como um alugadas
linha, uma VPN usa conexões virtuais chamados túneis VPN, que são encaminhadas através da Internet da rede privada da empresa para o local remoto ou host do empregado. Benefícios VPN Benefícios de VPN incluem o seguinte: Poupança ■ Custo: Elimina a necessidade de caros dedicados links WAN e bancos de modem. ■ Segurança: usa criptografia avançada e protocolos de autenticação que proteger os dados de não-autorizado acesso. Escalabilidade ■: Pode-se adicionar grandes quantidades de capacidade de infra-estrutura sem adicionar significativo. ■ Compatibilidade com tecnologia de banda larga: suportados pelos prestadores de serviços de banda larga para trabalhadores móveis e teletrabalhadores podem tirar proveito de sua casa Internet de alta velocidade serviço para acessar suas redes corporativas. Tipos de acesso VPN Dois tipos de acesso VPN existem: ■ Site-to-site VPNs: Conecte redes inteiras entre si. Por exemplo, eles podem se conectar uma rede de filiais a uma rede sede da empresa, como mostrado na Figura 4-12. cada site está equipado com um gateway VPN, como um roteador, firewall, VPN concentrador, ou de segurança aparelho. Na figura, uma filial remota usa uma VPN site-to-site para conectar- se com a sede social.
■ VPNs de acesso remoto: O acesso remoto VPNs permitem hosts individuais, tais como teletrabalhadores, usuários móveis, e os consumidores extranet, para acessar uma rede corporativa com segurança pela Internet, como mostrado na Figura 4-13. Cada host tem tipicamente VPN cliente software carregado ou usa um cliente baseado na web.
VPN Componentes Figura 4-14 ilustra uma topologia VPN típica. Componentes necessários para estabelecer esta VPN incluem o seguinte: ■ Uma rede corporativa existente com servidores e estações de trabalho ■ Uma conexão à Internet ■ gateways VPN, tais como roteadores, firewalls, concentradores VPN, e ASA, que agem como terminais estabelecer, gerenciar e controlar as conexões VPN ■ software apropriado para criar e gerenciar túneis VPN Figura 4-14 Componentes VPN Estabelecer conexões VPN seguras VPNs seguras de dados através do encapsulamento e criptografá-los. Em relação a VPNs, encapsulamento e de criptografia são definidos como segue: ■ Encapsulamento também é chamado de túnel, porque encapsulamento transmite dados de forma transparente da rede de origem à rede de destino através de uma infra-estrutura de rede compartilhada. ■ códigos de criptografia de dados em um formato diferente usando uma chave secreta, que é então utilizado na outro lado da conexão para descriptografar. Cancelar VPN Tunneling Tunelamento usa três classes de protocolos:
■ protocolo Carrier: O protocolo através do qual a informação viaja (Frame Relay, ATM, MPLS). ■ Encapsulating protocolo: O protocolo que é enrolado em torno dos dados originais (GRE, IPSec, L2F, PPTP, L2TP). ■ protocolo de Passageiros: O protocolo através do qual os dados originais foi realizada (IPX, AppleTalk, IPv4, IPv6). Figura 4-15 ilustra uma mensagem de email que viajam através da Internet através de uma conexão VPN. Figura 4-15 encapsulamento de pacotes em um túnel VPN. Algoritmos de criptografia VPN O grau de segurança oferecido por qualquer algoritmo de criptografia depende do comprimento da chave. alguns dos os algoritmos de criptografia mais comuns eo tamanho das chaves que eles usam são as seguintes: ■ Data Encryption Standard (DES) algoritmo: Usa uma chave de 56 bits, garantindo alto desempenho criptografia. DES é um sistema de encriptação de chave simétrica. ■ algoritmo Triple DES (3DES): Uma nova variante do DES que criptografa com uma chave, decifra com uma chave diferente, e em seguida, criptografa uma última vez com outra tecla. ■ Advanced Encryption Standard (AES): AES fornece maior segurança do que DES e é computacionalmente mais eficiente do que 3DES. AES oferece três tamanhos de chave: 128 -, 192 - e 256 - chaves bit. ■ Rivest, Shamir e Adleman (RSA): Um sistema de criptografia de chave assimétrica. As teclas de usar um pouco comprimento de 512, 768, 1024, ou maior. Criptografia simétrica é quando a chave de criptografia e chave de
decodificação são os mesmos. com assimétrica criptografia, que são diferentes. hashes As VPNs utilizam um código de autenticação com chave de hash mensagem (HMAC) integridade de dados algoritmo para garantir a integridade de uma mensagem e autenticidade sem o uso de mecanismos adicionais. A segurança criptográfica do HMAC depende da força de criptografia do subjacente função hash, sobre o tamanho da chave e de qualidade, eo tamanho do comprimento de saída de hash em bits. os dois algoritmos são comuns HMAC ■ Message Digest 5 (MD5): Usa um 128-bit chave secreta compartilhada. ■ Secure Hash Algorithm 1 (SHA-1): Usa uma chave de 160 bits secreta. Figura 4-16 mostra um exemplo usando MD5 como algoritmo HMAC. Figura 4-16 Criando e Verificando um Message Digest
Um HMAC tem dois parâmetros: a mensagem de entrada e uma chave secreta compartilhada conhecida apenas para a mensagem originador e receptores pretendidos. Na Figura 4-16, ambos R1 e R2 conhecer a chave secreta compartilhada. O processo na Figura 4-16 usa as seguintes etapas: 1. R1 usa MD5 para executar a função hash, que gera um valor hash. Este valor de hash é então anexada à mensagem original e enviado para R2. 2. R2 o remove o valor hash da mensagem original, executa a operação mesmo hash, e em seguida, compara seu valor de hash com o valor de hash enviado pelo R1.
Se os dois hashes corresponderem, o integridade dos dados não foi comprometida. VPN Autenticação O dispositivo na outra extremidade do túnel VPN devem ser autenticados antes da comunicação caminho é considerado seguro. Os dois métodos de autenticação de pares são os seguintes: ■ chave pré-compartilhada (PSK): Uma chave secreta é compartilhada entre as duas partes usando um canal seguro antes ele precisa ser usado. ■ assinatura RSA: Usa a troca de certificados digitais para autenticar os pares. Protocolos de segurança IPsec IPsec explicita as mensagens necessárias para proteger as comunicações VPN mas depende existentes algoritmos. Os dois principais protocolos IPsec quadro são os seguintes: ■ Authentication Header (AH): Usado em sigilo, não é exigido ou permitido. AH fornece autenticação e integridade dos dados para pacotes IP passou entre dois sistemas. Ele verifica os criadores de todas as mensagens e que qualquer mensagem passada não foi modificada durante a trânsito. AH não fornece confidencialidade de dados (criptografia) de pacotes. Usado sozinho, o Protocolo AH fornece proteção fraca. Conseqüentemente, ele é usado com o protocolo ESP para fornecer criptografia de dados e recursos de tamper-aware de segurança. ■ encapsular Security Payload (ESP): Fornece confidencialidade e autenticação por criptografar o pacote IP. Embora a criptografia e autenticação são opcionais no ESP, em mínimo, um deles deve ser selecionado. IPsec depende de algoritmos existentes para implementar a criptografia, autenticação e troca de chaves.
Figura 4-17 mostra como IPsec está estruturado. IPsec fornece a estrutura, eo administrador escolhe os algoritmos usados para implementar a serviços de segurança nesse âmbito. Figura 4-17 ilustra como, o administrador deve preencher o IPsec quatro praças quadro: ■ Escolha um protocolo IPsec. ■ Escolha o algoritmo de criptografia que é apropriado para o nível desejado de segurança. ■ Escolha de um algoritmo de autenticação para assegurar a integridade dos dados. ■ O último quadrado é o Diffie-Hellman algoritmo (DH), que estabelece a partilha de informações-chave entre pares. Escolher qual grupo a utilizar-DH1, DH2, ou DH5. Dia 4 325
dia 3 PPP de configuração e Solução de problemas Exame CCNA 640-802 Tópicos ■ Configurar e verificar uma conexão WAN básica serial. ■ Configurar e verificar uma conexão PPP entre roteadores Cisco. Tópicos-chave Hoje fazemos uma revisão de configuração básica WAN serial e verificação com tanto link de dados de alto nível Control (HDLC) e Point-to-Point Protocol (PPP). HDLC é importante por duas razões: ■ É a base fundamental da maioria protocolo WAN todos os outros, incluindo PPP e Frame Relay. ■ A versão da Cisco HDLC é o encapsulamento padrão para interfaces seriais
síncronas em Routers Cisco. PPP é suportado apenas em aproximadamente qualquer hardware que você escolher para conectar-se. Além disso, oferece uma PPP pacote de benefícios adicionais que podem seduzi-lo para usá-lo em vez de HDLC, mesmo em um ambiente com todos os routers Cisco. HDLC Alto Nível Data Link Control (HDLC) usa transmissão serial síncrona para fornecer livre de erros comunicação entre dois pontos. HDLC define uma camada de estrutura de enquadramento 2, que permite a controle de fluxo e controle de erro por meio do uso de confirmações. Cada quadro tem o mesmo formato, se é um quadro de dados ou um quadro de controle. HDLC é a configuração padrão no Cisco síncrona interfaces seriais. encapsulamento HDLC Embora Cisco HDLC (também chamado cHDLC) é proprietário, Cisco permitiu rede muitos outros fornecedores de equipamentos para implementá-lo. Frames HDLC Cisco conter um campo para identificar a rede protocolo a ser encapsulado. Figura 3-1 compara padrão HDLC a Cisco HDLC.
5. As descrições a seguir resumem os campos ilustrados na figura: ■ Bandeira: O quadro começa e termina sempre com uma bandeira de 8 bits com o padrão 01111110. quando frames são transmitidos consecutivamente, a bandeira final do primeiro quadro é usado como bandeira de início de o próximo quadro. ■ Endereço: No ponto-a-ponto ligações HDLC, este campo está vazio. ■ Controle: O campo de controle utiliza três formatos, dependendo do tipo de quadro HDLC utilizados: - Informação de quadro (I): I-frames carregam informações da camada superior e algumas informações de controle. - Frame (S) Supervisão: S-frames fornecer informações e controle são seqüenciados. - Frame (U) não numerados: U-frames fins de controle de apoio e não são seqüenciados. ■ Protocol (utilizado apenas em Cisco HDLC): Este campo especifica o tipo de protocolo encapsulado dentro do quadro (como 0x0800 para IP). ■ Dados: um campo de comprimento variável que contém pacotes Layer 3. ■ Frame Check Sequence (FCS): Normalmente, uma verificação de
redundância cíclica (CRC) usado pelo receptor para verificar se há erros. Configurando HDLC Por padrão, você usa Cisco HDLC como um protocolo ponto-a-ponto sobre as linhas alugadas entre dois Cisco dispositivos. Se você se conectar a um dispositivo não-Cisco que não suporta Cisco HDLC, use síncrona PPP. Se o método de encapsulamento padrão foi alterado, use o comando HDLC encapsulamento para reativar HDLC como mostra a seguinte configuração: Verificando HDLC Quando configurado ou na configuração padrão, "HDLC Encapsulation" deve ser reflectida no comando saída do comando show interfaces, como mostrado no Exemplo 3-1. HDLC Exemplo 3-1 Verificando com interfaces mostram Conceitos PPP PPP fornece várias funções básicas, mas importantes, que são úteis em uma linha dedicada que conecta dois dispositivos, como revista à lista a seguir:
■ Definição de um cabeçalho e um trailer que permite a entrega de um quadro de dados sobre o link ■ Suporte para ligações síncronas e assíncronas ■ Um campo de tipo de protocolo no cabeçalho, permitindo que múltiplos protocolos da Camada 3 para passar sobre o mesmo link ■ Built-in ferramentas de autenticação: Password Authentication Protocol (PAP) e Challenge Handshake Authentication Protocol (CHAP) ■ protocolos de controle para cada protocolo de camada superior que cavalga sobre PPP, permitindo uma fácil integração e apoio desses protocolos O formato do quadro PPP Uma das características mais importantes incluídas no padrão PPP é o campo de protocolo padronizado, que identifica o tipo de pacote dentro do quadro. Observe na Figura 3-2 que o PPP foi construído em cima o quadro HDLC. O quadro HDLC mostrado é o formato Cisco. PPP define um conjunto de Layer 2 mensagens de controle que executam várias funções de controle de link. estes funções de controle se dividem em duas categorias principais: ■ Aqueles necessários independentemente do protocolo de camada 3 enviados através do link ■ Aqueles específicos para cada protocolo de camada 3 A ligação PPP Control Protocol (LCP) implementa as funções de controle que funcionam da mesma, independentemente do protocolo de camada 3.
Para recursos relacionados a quaisquer protocolos de camada superior, geralmente protocolos da Camada 3, PPP utiliza uma série de PPP controle de protocolos (CP), como o IP Control Protocol (IPCP). PPP usa uma instância da LCP por link, e uma CP para cada protocolo de camada 3 definida no link. Por exemplo, em um link PPP usando IPv4, IPv6, e Cisco Discovery Protocol (CDP), no link utiliza uma instância da LCP, mais IPCP (para IPv4), IPv6CP (para IPv6), e CDPCP (para CDP). Comumente na literatura, você vai ver esses referidos coletivamente como protocolos de rede Controle (PCN).
6. Detecção de ligação em loop LCP avisos looped ligações rapidamente, usando um recurso chamado números mágicos. Mensagens PPP LCP incluem um número mágico, que é diferente em cada roteador. Se uma linha for repetido (como durante o teste por um Telco técnico), o roteador recebe uma mensagem de LCP com o seu número mágico própria em vez de ficar uma mensagem com o número mágico do outro router. PPP ajuda o router reconhecer um link em loop rapidamente para que ele possa derrubar a interface e, possivelmente, usar uma rota alternativa. Se o roteador pode logo perceberá que o link está em loop, ele pode colocar a interface em um "para baixo e para baixo" status e os protocolos de roteamento podem mudar suas atualizações de roteamento baseado no fato de que o link está em baixo. Detecção de erro melhorada Quando uma rede possui links redundantes, você pode usar PPP para monitorar a frequência com que quadros são recebidos com erro. Após a taxa de erro configurado foi excedido, PPP pode derrubar a interface, permitindo que os protocolos de roteamento instalar uma rota melhor backup. PPP LCP analisa o erro as taxas em um link utilizando um recurso chamado PPP Monitoramento da qualidade da ligação (LQM). PPP Multilink Em uma configuração redundante entre dois roteadores, roteadores usam o balanceamento de carga de camada 3 alternando tráfego entre os dois links, que nem sempre resulta em compartilhar verdadeiramente equilibrada do tráfego. Multilink PPP carga equilibra o tráfego igualmente sobre as ligações ao mesmo
tempo permitindo que a camada 3 lógica em cada router para tratar as ligações paralela como um único link. Quando encapsular um pacote, o pacote PPP fragmentos em quadros menores, o envio de um fragmento sobre cada link. Multilink PPP permite o encaminhamento de camada 3 tabelas para usar uma única rota que se refere às ligações combinado, mantendo a tabela de roteamento de menor dimensão. PPP autenticação PAP e CHAP autenticar os pontos finais em cada extremidade de um link ponto-a-ponto seriais. CHAP é o método preferido hoje, porque o processo de identificação utiliza valores ocultos com uma mensagem Digest 5 (MD5) one-way hash, que é mais seguro do que as senhas em texto claro enviado pelo PAP. A Figura 3-3 mostra os diferentes processos utilizados por PAP e CHAP. Com PAP, username e senha são enviados na primeira mensagem. Com CHAP, o protocolo começa com uma mensagem chamada desafio, que pede a outro roteador para enviar o seu nome de usuário e senha
PAP é menos seguro que o PAP CHAP porque envia o hostname ea senha em texto claro na mensagem. CHAP vez disso, usa um algoritmo de hash unidirecional, com entrada para o algoritmo ser um senha que jamais cruza o link, mais um número aleatório compartilhada. O desafio CHAP afirma o número aleatório; ambos os roteadores são pré-configurados com a senha. O roteador desafiou corre o algoritmo de hash usando o número de recém-aprendidas aleatórias e a senha secreta e envia o resultados de volta para o roteador que enviou o desafio. O roteador que enviou o desafio é executado o mesmo algoritmo usando o número aleatório (enviada através do link) ea senha não (enviados através da link). Se os resultados corresponderem, as senhas devem ser iguais. Com o número aleatório, o valor de hash é cada vez diferentes.
básicos PPP Configurando o PPP exige apenas o encapsulamento de comando ppp nas duas pontas do link. Exemplo 3-2 mostra uma configuração simples usando os dois roteadores mostrado na Figura 3-4.
O comando show interfaces na parte inferior do exemplo mostra a saída normal quando o link é para cima e de trabalho. Algumas linhas para a saída, as frases destacadas mostram que PPP é de fato configurado, e que LCP terminou o seu trabalho com sucesso, como foi observado com o LCP " Frase "Open. Além disso, a saída lista o fato de que dois CPs, CDPCP e IPCP, também com sucesso foi habilitado para todas as boas indicações que o PPP está funcionando corretamente. CHAP Apesar de CHAP é opcional, deve ser configurado para fornecer um link ponto- a-ponto segura. o versão mais simples do CHAP configuração requer apenas alguns comandos. A configuração usa um senha configurada em cada roteador. Como alternativa, a senha pode ser configurado em um autenticação externa, autorização e contabilidade servidor (AAA) fora do roteador. a configuração passos são os seguintes: Etapa 1 Configurar os roteadores hostnames 'usando o hostname nome do comando de configuração global. Etapa 2 Configurar o nome do outro roteador, ea senha secreta compartilhada, usando o nome de usuário nome password comando de configuração global. Passo 3 Ative o CHAP na interface em cada roteador, usando o ppp autenticação chap interface do subcomando. Exemplo 3-3 mostra um exemplo de configuração utilizando os roteadores na
Figura 3-4. Porque os hostnames já estão configurados, esse passo não é mostrado. Observe que, logo que CHAP é configurado em R1, a interface vai para baixo. Então, em R2, após a senha estão configurados corretamente, a interface de volta para cima. Finalmente, ele vai para baixo brevemente antes voltando-se quando CHAP está configurado no R2. Os próprios comandos não são complicados, mas é fácil misconfigure os hostnames e senhas. Observe que cada roteador refere-se a outro roteador hostname é o nome de usuário comando, mas ambos os roteadores devem configurar o valor mesma senha. Além disso, não são apenas as senhas (itsasecret neste caso) case sensitive, mas os nomes de host, como mencionado no nome de usuário comando, também também são case sensitive. CHAP porque é uma função da LCP, se o processo de autenticação falhar, LCP não for concluída, ea interface cai para um estado interface "de cima para baixo". PAP Como CHAP, PAP é opcional. Você só iria usá-lo se um dos dispositivos não suporta CHAP. PAP usa os comandos mesma configuração CHAP, exceto que a autenticação pap ppp
comando é usado em vez da autenticação ppp cap. O resto dos comandos de verificação Configuração de Frame Relay e Solução de problemas Exame CCNA 640-802 Tópicos ■ Configurar e verificar Frame Relay em roteadores Cisco. ■ Solucionar problemas de implementação WAN. Tópicos-chave
Hoje nós terminamos nossa revisão dos tópicos do exame CCNA com um olhar para Frame Relay e WAN básica solução de problemas. Frame Relay é atualmente o mais popular escolha para implementações de WAN. Portanto, você deve ter uma compreensão básica de Frame Relay, incluindo a sua estrutura conceitual, configuração, verificação e. Como um tópico final, analisamos vários erros WAN e seus causas potenciais. Conceitos Frane Relay Frame Relay é uma tecnologia orientada a conexão de link de dados que é otimizado para proporcionar alto desempenho e eficiência. Para a proteção de erro, ele se baseia em protocolos de camada superior e confiável fibra e redes digitais. Frame Relay define o processo de interligação entre o roteador eo Frame Relay local de o prestador de serviços, como mostrado na Figura 2-1. Dispositivos conectados a uma queda de Frame Relay WAN em duas categorias a seguir: ■ equipamentos terminais de dados (DTE): Exemplos de dispositivos DTE são de acesso Frame Relay Dispositivos (FRAD), roteadores e pontes. ■ equipamentos de comunicação de dados (DCE): Na maioria dos casos, as
chaves em uma WAN são carcaça Interruptores de revezamento. Frame Relay Componentes Frame Relay fornece um meio para a multiplexação estatística muitas conversas de dados lógicos, que se refere como circuitos virtuais (VC), através de uma ligação única transmissão física através da atribuição de identificadores de conexão para cada par de dispositivos DTE. O serviço de provedor de equipamentos de comutação constrói uma tabela de comutação que mapeia o identificador de conexão com os portos de saída. Quando um frame é recebido, o dispositivo de comutação analisa o identificador de conexão e fornece o quadro para a porta de saída associada. a completa caminho para o destino é estabelecida antes da transmissão do primeiro quadro. Figura 2-2 ilustra uma conexão Frame Relay e identifica os vários componentes dentro de Frame Relay.
Os seguintes termos são usados com freqüência em discussões Frame Relay: ■ taxa de acesso Local: A taxa na qual os dados trafegam dentro ou fora da rede, independentemente da outras configurações. ■ Virtual circuito (VC): Circuito lógico, unicamente identificado por um identificador de conexão de enlace de dados (DLCI), que é criado para assegurar a comunicação bidirecional de um dispositivo DTE para outro. ■ circuito virtual permanente (PVC): Fornece conexões que são estabelecidas de forma permanente usado para transferências freqüente e consistente de dados. ■ Circuito virtual comutado (SVC): Fornece conexões temporárias que são usados em situações que exigem apenas a transferência de dados entre dispositivos DTE esporádicos em toda a rede Frame Relay. ■ identificador de conexão de link de dados (DLCI): contém um número de 10 bits no campo de endereço do Quadro de cabeçalho Frame Relay que identifica o VC. DLCIs têm significado local, pois o referências identificador do ponto entre o roteador local eo Frame Relay mudar para locais qual a DLCI está conectado. Portanto, os dispositivos em extremidades opostas de uma conexão pode usar diferentes valores DLCI para se referir a mesma conexão virtual .. Conforme mostrado na Figura 2-2, Router A tem dois circuitos virtuais que estão configuradas em uma física interface. Um DLCI de 100 identifica o VC que se conecta ao roteador B. A DLCI de 400 identifica o VC que se conecta ao Router C. No outro extremo, um número DLCI diferentes podem ser usados para identificar a VC. ■ Taxa de Informação Comprometida (CIR): Quando a subscrição de um serviço Frame Relay, você especificar o CIR, que é a taxa para acesso local exemplo, 56 kbps ou T1. Normalmente, você são igualmente convidados a especificar um CIR para cada DLCI. Se você
enviar informações mais rápido que o CIR em um DLCI dado, a rede flags alguns quadros com um pouco de descarte elegíveis (DE). ■ Inverse Address Resolution Protocol (ARP): Um método de dinamicamente associar a rede endereço da camada do roteador remoto com um DLCI local. ■ Local Management Interface (LMI): Um padrão de sinalização entre o roteador (dispositivo DTE) eo interruptor do relé locais Frame (dispositivo DCE), que é responsável por gerenciar a conexão e manutenção de status entre o roteador eo switch Frame Relay. ■ notificação de congestionamento explícito Encaminhar (FECN): Um bit no campo de endereço do Frame Relay cabeçalho do quadro. Se a rede está congestionada, dispositivos DCE (switches Frame Relay) definir o bit FECN valor dos quadros a 1 para sinalizar a jusante dispositivos DTE que o controle de fluxo pode ser garantida. ■ notificação de congestionamento explícito para trás (BECN): Um bit no campo de endereço do quadro Cabeçalho frame relay. Funciona como o bit FECN mas viaja na direção oposta, informando upstream dispositivos DTE que o congestionamento está ocorrendo e que o controle de fluxo pode ser garantida. Frame Relay Topologias Frame Relay permite a interconexão de seus sites remotos em uma variedade de topologias. Figura 2-3 ilustra estas topologias, que são descritos na lista que se segue. Figura Frame Relay 03/02 Topologias Dia 2 339 Completa-Mesh Parcial-Mesh Estrela (Hub-and-Spoke) ■ parcial-
■ topologia parcial de malha: Nem todos os sites têm acesso direto a todos os outros sites. ■ topologia de malha completa: Todos os roteadores têm VCs a todos os outros destinos. Use a n (n - 1) / 2 formula para calcular o número total de links que são necessários para implementar uma topologia full-mesh, onde n é o número de pontos finais (nós). Inverse ARP e Conceitos LMI Roteadores podem detectar automaticamente o seu DLCI local do interruptor locais Frame Relay usando o LMI protocolo. Em seguida, o DLCI local podem ser mapeados dinamicamente para a camada de roteador de rede remota endereços com Inverse ARP. Conforme mostrado na Figura 2-5, usando Inverse ARP, o roteador da esquerda pode detectar automaticamente o endereço IP remoto router e depois mapeá-lo para o DLCI local. Neste caso, o DLCI local é de 500 mapeado para o endereço IP 10.1.1.1.
Figura 2-5 Quadro Mapping Endereço relé Quadro de sinalização de relé é necessária entre o roteador eo switch Frame Relay. Figura 2-6 mostra como a sinalização é usado para obter informações sobre o DLCIs diferentes. O LMI é um padrão de sinalização entre o roteador eo switch Frame Relay. O LMI é responsável por gerenciar a conexão e manutenção do status entre os dispositivos. Embora o LMI é configurável, com início em Cisco IOS Release 11.2, o roteador Cisco tenta autosense que LMI digite o switch Frame Relay está usando. O roteador envia uma ou mais completa Solicitações de status LMI para o switch Frame Relay. O switch Frame Relay responde com um ou mais tipos de LMI, eo router configura-se com o tipo de LMI última recebida. roteadores Cisco
suporta os seguintes três tipos LMI: Cisco, ANSI, e Q 933A. Quando o roteador recebe informações LMI, ele atualiza seu status VC para um dos seguintes três estados: ■ atividade: Indica que a conexão está ativa e VC que os roteadores podem trocar dados através da Rede Frame Relay. ■ Inativos: Indica que a conexão local para o switch Frame Relay está funcionando, mas o conexão de roteador remoto para o switch Frame Relay remoto não está funcionando. ■ Deleted: Indica que seja não LMI está sendo recebido do switch Frame Relay ou nenhuma serviço existe entre o roteador eo interruptor do relé locais Frame. Inverse ARP e LMI Operação O seguinte é um resumo de como Inverse ARP e LMI sinalização trabalhar com um Frame Relay conexão: 1. Cada roteador se conecta ao switch Frame Relay através de um serviço canal de serviço / unidade de dados unidade (CSU / DSU). 2. Quando o Frame Relay é configurado em uma interface, o roteador envia um inquérito sobre a situação LMI mensagem para o switch Frame Relay. A mensagem informa o interruptor do status do roteador e pede a chave para o status da conexão do router VCs. 3. Quando o switch Frame Relay recebe o pedido, ele responde com uma mensagem de status LMI que inclui o DLCIs local do PVC para os roteadores remoto para qual roteador o local
pode enviar dados. 4. Para cada DLCI ativo, cada roteador envia um pacote ARP Inverso para se apresentar. Figura 2-7 ilustra as quatro primeiras etapas deste processo. Quando um roteador recebe uma mensagem de ARP Inverso, ele cria uma entrada de mapa em seu Frame Relay tabela de mapa que inclui o DLCI local eo remoto router endereço da camada de rede. 6. A cada 60 segundos, os roteadores enviam mensagens Inverse ARP em todos os DLCIs ativo. A cada 10 segundos, o roteador intercâmbio de informações LMI com o switch (keepalives). 7. O roteador altera o status de cada DLCI para ativos, inativos, ou excluído, com base na LMI resposta do switch Frame Relay. Figura 2-8 ilustra os passos 5-7 deste processo. Figura 2-8 Etapas da Inverse ARP e Operação LMI Continuação
Configurando e Verificando Frame Relay A lista a seguir resume o quadro de etapas de configuração Relay. Etapa 1 Configurar a interface física de usar encapsulamento Frame Relay (encapsulamento frame-relay interface do subcomando). Etapa 2 Configurar um endereço IP na interface ou subinterface (endereço ip subcomando). Etapa 3 (opcional) manualmente definir o tipo de LMI em cada interface física serial (frame-relay lmi-tipo de interface subcomando). Passo 4 (Opcional) Altere a partir do padrão de encapsulamento cisco para ietf fazendo o seguinte: a. Para todos os VCs na interface, adicionar a palavra-chave ietf para o encapsulamento frame-relay interface do subcomando. b. Para um único VC, adicione a palavra-chave ietf ao frame-relay interface interface dlci subcomando (ponto-a-ponto subinterfaces apenas) ou para o frame-relay comando map. Passo 5 (Opcional) Se você não estiver usando o (padrão) Inverse ARP para mapear o DLCI para o nexthop
endereço IP do roteador, define mapeamento estático usando o frame-relay map ip dlci ipaddress subinterface transmissão subcomando. Passo 6 Em subinterfaces, associar uma (ponto-a-ponto) ou mais (multiponto) DLCIs com o subinterface em uma de duas maneiras: a. Usando o frame-relay interface-dlci subinterface dlci subcomando b. Como um efeito colateral de mapeamento estático usando o frame-relay map ip dlci ipaddress transmissão subinterface subcomando Malha completa com uma sub-rede O primeiro exemplo mostra o mais breve possível Frame Relay uma configuração que usa apenas o dois primeiros passos do checklist de configuração neste capítulo. Para a topologia mostrada na Figura 2-9, configurar uma malha completa rede Frame Relay utilizando 10.1.1.0/24 subnet. Usar configurações padrão para LMI, Inverse ARP, e encapsulamento. Exemplos 2-1, 2-2, e 2-3 mostram a configuração completa usando EIGRP como o protocolo de roteamento. Figura 2-9 topologia de malha completa com uma sub-rede
Esta configuração simples aproveita as seguintes configurações padrão IOS: ■ O tipo LMI é automaticamente detectado. ■ O encapsulamento (default) é a Cisco, em vez de IETF. ■ PVC DLCIs são aprendidas através de mensagens de status LMI. ■ Inverse ARP é ativada (por padrão) e é acionado quando a mensagem de status declarando que os VCs estão acima é recebido. Configurando o encapsulamento Se um dos roteadores em uma malha completa, uma configuração de sub-rede não suporta o Frame Relay Cisco encapsulamento, mudar o encapsulamento para IETF nos roteadores Cisco com o seguinte comando: Router (config-if) # encapsulation frame-relay ietf Configurando o tipo de LMI LMI opera entre o roteador local eo interruptor do relé locais Frame. O tipo de mensagem LMI utilizado pela central local Frame Relay pode precisar ser embutida no roteador local, seja porque a versão do IOS não suporta autosensing ou política de administração de rede requer que o tipo de LMI ser documentado na interface para verificação e solução de problemas. Suponha que o switch Frame Relay usado por R2 é um switch ANSI. O comando a seguir alterar o tipo de LMI em R2 para usar o ANSI tipo LMI: R2 (config) # interface de série 0/0/0 R2 (config-if) # frame-relay lmi-type ansi A configuração LMI é uma configuração por interface física, mesmo se subinterfaces são utilizados, de modo que o framerelay lmi tipo de comando é sempre um subcomando sob a interface física. Cancelar Configurando mapas relé estático de quadros
Embora o DLCIs para cada PVC são mostrados na Figura 2-9, que não eram necessários para o nosso fundamental Configuração de Frame Relay. Inverse ARP mapeadas automaticamente o endereço IP remoto com o DLCI local necessário para atingir a rede remota. Este processo dinâmico pode ser verificado com o show frame-relay pvc e mostrar frame-relay map como mostrado no Exemplo 2-4 para R2. Embora em uma rede de produção você provavelmente usaria Inverse ARP, para o exame, é necessário saber como configurar as declarações de comando static mapa. Exemplo 2-5 lista as Frame Relay estática mapa para os três routers mostrado na Figura 2-9, juntamente com a configuração usada para desativar ARP Inverso.
Nota A palavra-chave de transmissão é necessária quando o roteador precisa enviar transmissões ou multicasts para a vizinha router, por exemplo, para dar suporte a mensagens do protocolo de roteamento como Hellos. Malha parcial com uma sub-rede por PVC A rede na Figura 2-10 é uma modificação da Figura 2-9. R2 agora está servindo como roteador hub para o raio roteadores R1 e R2. Isso reduz o custo da implementação do Frame Relay PVCs três a dois PVCs. Esta configuração usa uma sub-rede por PVC e ponto- a-ponto subinterfaces. Exemplos 2-6 2-8 através de mostrar a configuração para esta rede. Figura 2-10 topologia de malha parcial com uma sub-rede por PVC
Dois novos comandos criar a configuração necessária com o ponto-a-ponto subinterfaces. Primeiro, o interface serial 0/0/0.201 comando ponto-a-ponto cria número 201 sob subinterface lógica 0/0/0 interface física serial em R2. O frame-relay interface-dlci 201 subinterface subcomando
em seguida, informa ao roteador que DLCI único é associado a esse subinterface. No exemplo, números subinterface e DLCIs partida, mas isso não é um requisito-somente um método conveniente para ajudar a identificar qual a DLCI subinterface pertence. Para entender por que precisamos do comando frame-relay interface-dlci, considere R2. R2 recebe Mensagens LMI em Serial0/0/0 afirmando que dois PVCs, com DLCIs 201 e 203, estão em alta. Que PVC vai com o qual subinterface? Cisco IOS Software precisa associar o PVC correta com o subinterface correta. Isto é realizado com o frame-relay interface de comando dlci. Verificação Frame Relay Exemplos do show frame-relay pvc e comandos show frame-relay map foram mostrados anteriormente no Exemplo 2-4. O show frame-relay pvc comando listas de gerenciamento de informações úteis. Por exemplo, os contadores de pacotes para cada VC, mais os contadores para FECN e BECN, pode ser particularmente útil. Da mesma forma, comparando os pacotes / bytes enviados em um router contra os contadores do que é recebido no roteador na outra extremidade da VC também é bastante útil. Isso reflete a número de pacotes / bytes perdidos dentro da nuvem Frame Relay. Além disso, o status do PVC é um ótimo lugar para quando começar a solução de problemas. O comando show frame-relay map lista informações de mapeamento. Em uma rede totalmente entrelaçada, em qual a configuração não utiliza nenhum subinterfaces, um Layer 3 endereço está listado com cada DLCI. Para uma configuração subinterface ponto-a-ponto, um DLCI é listado em cada
entrada, mas nenhuma menção de correspondente Layer 3 endereços é feita. A razão é que as informações são armazenadas em algum lugar mais. Subinterfaces requerem o uso do comando frame-relay interface-dlci configuração. A depuração frame-relay comando lmi mostrado no Exemplo 2-9 pode ser usada para verificar que o físico interface é enviar e receber mensagens LMI do switch Frame Relay locais. Implementações solução de problemas WAN Solução de problemas de aplicação geral WAN não apenas Frame Relay aspectos muitas vezes começa- de investigar o estado da interface serial do roteador local. O show interfaces seriais Exemplo de comando em 10/02 tem o encapsulamento HDLC padrão. Exemplo de Saída 10/02 do Comando show interfaces
Destaque na produção são as três principais áreas de olhar primeiro para possíveis erros. ■ A interface deve ser "para cima" e "up" antes que ele possa encaminhar o tráfego. ■ O endereço IP e máscara de sub-rede deve ser configurado corretamente. ■ O encapsulamento deve ser correta: HDLC, PPP ou Frame Relay. Erros potenciais de dois e três e suas soluções são relativamente simples: IP correto abordar ou corrigir o encapsulamento. O show interfaces de comando serial retorna um dos seis estados possíveis. Você pode ver qualquer um dos seguintes estados possíveis na linha de status interface: ■ x Serial é para cima, protocolo de linha é de até ■ x Serial é baixo, protocolo de linha está em baixo ■ x Serial é para cima, protocolo de linha está em baixo ■ Serial x é para cima, protocolo de linha está acima (em loop) ■ Serial x é para cima, protocolo de linha está em baixo (desativado) ■ Serial x é administrativamente para baixo, protocolo de linha está em baixo Resolução de problemas Problemas Layer 1 Um estado da linha para baixo no link serial normalmente aponta para um problema de camada 1. A lista a seguir descreve as razões mais prováveis:
■ A linha é alugada para baixo (um problema telco). ■ A linha da telco não está conectado a um ou ambos CSU / DSUs. ■ A CSU / DSU falhou ou está mal configurado. ■ Um cabo serial de um roteador à sua CSU / DSU está desconectado ou com defeito. Os detalhes de como isolar ainda mais esses quatro problemas está além do escopo do exame CCNA. Um problema comum outra camada física pode ocorrer que resulta em interfaces de ambos os roteadores "ser em cima / estado para baixo. Em um link back-to-back de série, se o comando taxa exigida relógio está faltando no roteador com um cabo DCE instalado, interfaces ambos os routers 'serial irá falhar e acabar com um estado da linha de cima, mas um status protocolo de linha de baixo. Para verificar esse erro, use o comando show controladores do lado que deve ser DCE. Você pode se surpreender ao descobrir que um cabo DTE está conectado. Ou você pode descobrir que nenhum relógio está definido, como mostrado no Exemplo 2-11. Problema exemplo 11/02: No comando clock na End DCE O primeiro problema é fácil de identificar e corrigir. Como vimos, o comando show interfaces serão dizer-lhe o tipo de encapsulamento usado atualmente na interface. O segundo problema na Tabela 2-1 relaciona com keepalives enviadas pelos roteadores Cisco por padrão a cada 10 segundos. Esse recurso ajuda a um roteador reconhecer quando um link não
está mais funcionando para que o roteador pode derrubar a interface, esperando para usar uma rota alternativa IP. Se uma das extremidades do link é configurado com o comando não keepalives, ele permanecerá no "up" e do estado "para cima". No entanto, do outro lado do link continuamente aba voltada para cima e para baixo, porque não está recebendo keepalives. Você pode ver se keepalives estão sendo enviados com o comando show interfaces, como destaque na saída parcial no Exemplo 2-12. O terceiro problema na Tabela 2-1 é o resultado de uma falha de autenticação entre os dois roteadores em cada lado do link. Use o comando debug ppp autenticação para descobrir a causa raiz por autenticação está falhando. No Exemplo 2-13, sabemos que o nome de usuário ou senha está errada em um ou ambos os lados do link. Exemplo 2-13 PPP CHAP Falha de autenticação na saída de depuração de autenticação ppp
Resolução de problemas Problemas Layer 3 A interface serial pode ser no "up" e estado "up" em ambos os lados do roteador, mas a conectividade entre os dois roteadores falhar devido a um erro de configuração de camada 3. Para interfaces HDLC padrão, se os endereços IP configurados nas interfaces de série nas duas roteadores estão em sub-redes diferentes, um ping para o endereço IP do outro lado da ligação falhará porque os routers não têm uma rota correspondente. Tenha cuidado com PPP na mesma situação. Com misconfigured endereços IP, interfaces ambos os roteadores " estão no "up" e estado "para cima", mas o ping para o endereço do roteador do outro IP realmente funciona. PPP anuncia o seu endereço IP da interface serial para outro roteador, com um prefixo / 32, que é uma rota para chegar só que um host. Assim, ambos os roteadores tem uma rota com a qual para rotear pacotes para a outra extremidade do link, mesmo que dois roteadores em extremidades opostas de um link serial tem incompatíveis seus endereços IP. Embora o ping para o outro lado do link funciona, os protocolos de roteamento ainda não anunciar rotas por causa da incompatibilidade de sub-rede IP nas extremidades opostas do link. Então, a solução de problemas um problema de rede, não assuma que uma interface serial de um "up" e
estado "para cima" é totalmente de trabalho, ou mesmo que uma interface serial através da qual um ping funciona é totalmente funcional. Certifique-se também o protocolo de roteamento é a troca de rotas e que os endereços IP estão na mesma sub-rede. 1 dia CCNA comentário Competências e Prática Tópicos-chave Amanhã você fazer o exame CCNA. Portanto, hoje você deve ter o tempo para fazer alguma
desnatação descontraído de todos os dias anteriores temas com foco em áreas onde ainda estão fracos. se você tem acesso a um teste de treinos cronometrados, como os disponíveis no Exame CCNA Oficial Biblioteca de certificação, Terceira Edição, usá-las para ajudar a isolar áreas em que você pode precisar de um pouco estudo mais aprofundado. Como parte deste livro, eu incluí um CCNA Practice Skills que inclui a maior parte da configuração CCNA habilidades em uma topologia. Este cenário deve ajudá-lo a rever rapidamente muitos dos comandos abrangidas pelo CCNA. CCNA Practice Skills Nota para os alunos Cisco Networking Academy: Embora existam algumas pequenas diferenças, este cenário é baseado na versão online da Integração Skills CCNA Atividade desafio Packet Tracer você pode encontrar no final do capítulo 8, "Rede Solução de problemas "na versão online do curso CCNA Exploration: Acessando o WAN. introdução Neste abrangente atividade habilidades CCNA, a Corporação XYZ utiliza uma combinação de quadros Relé e PPP para conexões WAN. O roteador HQ fornece acesso à fazenda do servidor eo Internet através de NAT. HQ também usa um firewall básico ACL para filtrar o
tráfego de entrada. B1 está configurado para inter-VLAN de roteamento e DHCP. Os interruptores ligado a B1 são configurados com segurança portuária, VLANs, VTP e STP. Roteamento é conseguido através de EIGRP, assim como rotas estáticas e padrão. Seu trabalho é de implementar com sucesso todas estas tecnologias, aproveitando o que você aprendeu durante seus estudos de CCNA. Você é responsável por configurar HQ e os roteadores Branch, B1, B2, e B3. assumir roteadores e switches sob sua administração não tem configuração. Diagrama de topologia A Figura 1-1 mostra a topologia para este comentário Skills CCNA.
- O site www.xyzcorp.com em 10.0.1.2 está registrado com o DNS público sistema no endereço IP 209.165.200.246.
Passo 2 Verifique se NAT está funcionando usando ping estendido. De HQ, faça ping na interface serial em 0/0/0 ISP usando o HQ LAN interface como o endereço de origem. Esse ping deve suceder. Verifique se NAT traduziu o ping com o show ip nat comando traduções. Tarefa 4: Configurar o roteamento padrão Etapa 1 Configurar HQ com uma rota padrão para ISP. Use a interface de saída como um argumento. Passo 2 Verifique a conectividade para além ISP. O PC NetAdmin deve ser capaz de executar ping no servidor web www.cisco.com. Tarefa 5: Configurar o Inter-VLAN Routing Etapa 1 Configurar B1 para a inter-VLAN routing. Usando a tabela de endereçamento B1, configurar e ativar a interface LAN para a inter- VLAN de roteamento. Passo 2 Verifique as tabelas de roteamento. B1 deve ter agora seis redes diretamente conectadas e uma rota estática padrão. Tarefa 6: configurar e otimizar o roteamento EIGRP Etapa 1 Configurar HQ, B1, B2, B3 e com EIGRP. - Use AS 100. - HQ deve redistribuir a sua rota padrão para os roteadores ramo. - Manualmente resumir rotas EIGRP para que B1 anuncia a 10.1.0.0/16 espaço de endereço apenas para HQ. Passo 2 Verifique as tabelas de roteamento e conectividade. HQ e os roteadores Poder deve ter agora completa tabelas de roteamento. O PC NetAdmin agora deve ser capaz de executar ping cada interface LAN e VLAN subinterfaces em B1. Tarefa 7: Configurar VTP, Trunking, a Interface de VLAN, e VLANs
Etapa 1 Configurar os switches B1 com VTP. - B1-S1 é o servidor VTP. B1-S2 e S3-B1 são clientes VTP. - O nome de domínio é XYZcorp. - A senha é xyzvtp Passo 2 Configure trunking. Configure as interfaces apropriadas no modo de trunking. Etapa 3 Configurar a interface de VLAN e gateway padrão em B1-S1, B1-S2, e B1-S3. Passo 4 Crie a VLANs em B1-S1. Criar e nomear as VLANs listadas na Tabela 1-2 na B1-S1 apenas. VTP anuncia o VLANs novo para B1 e B1-S2-S3. Passo 5 Verifique se VLANs foram enviados para B1 e B1-S2-S3. Tarefa 8: Atribuir VLANs e configurar Segurança Portuária Passo 1 VLANs Atribuir às portas de acesso em B1-S2. Use a Tabela 1-2 para completar os seguintes requisitos: - Configurar as portas de acesso. - Atribuir VLANs para as portas de acesso. Etapa 2 Configurar a segurança do porto. Use a seguinte política para estabelecer a segurança do porto nas portas B1- S2 acesso: - Permitir somente um endereço MAC. - Configure o primeiro aprendeu endereço MAC para "stick" para a configuração. - Defina a porta a fechar, se ocorre uma violação de segurança. Passo 3 Verifique as atribuições de VLAN e segurança portuária. Use os comandos apropriados para verificar se VLANs de acesso são atribuídos corretamente e que a política de segurança do porto foi ativado. Tarefa 9: Configurar STP
Etapa 1 Configurar B1-S1 como a ponte raiz. Definir o nível de prioridade para 4096 em B1-S1, para que essa opção é sempre a ponte raiz para todas as VLANs. Etapa 2 Configurar B1-S3 como a ponte raiz backup. Definir o nível de prioridade para 8192 em B1-S3 para que esta opção sempre é a raiz de backup ponte para todas as VLANs. Passo 3 Verifique se B1-S1 é a ponte raiz. 358 31 dias antes de seu exame CCNA Tarefa 10: Configurar DHCP Etapa 1 Configurar piscinas DHCP para cada VLAN. Em B1, configurar pools DHCP para cada VLAN utilizando os seguintes requisitos: - Excluir os primeiros 10 endereços IP de cada grupo para as LANs. - O nome do pool é B1_VLAN # # onde # # é o número da VLAN. - Incluir o servidor DNS anexado ao farm de servidores HQ como parte do DHCP configuração. Passo 2 Verifique se o PC tem um endereço IP. Etapa 3 Verificar a conectividade. Todos os PCs fisicamente conectado à rede deve ser capaz de ping no www.cisco.com servidor web. Tarefa 11: Configurar uma ACL Firewall Passo 1 Verificar a conectividade de host fora. O PC Host Fora devem ser capazes de pingar o servidor em www.xyzcorp.com. Passo 2 Implementar um firewall básico ACL. ISP porque representa a conectividade com a Internet, configurar uma ACL chamada chamada FIREWALL na seguinte ordem: 1. Permitir que os pedidos de entrada para o servidor HTTP www.xyzcorp.com. 2. Permitir que apenas as sessões TCP estabelecida a partir de ISP e de qualquer fonte além ISP. 3. Permitir que apenas as respostas de ping de entrada de ISP e de qualquer fonte além ISP. 4. Explicitamente bloquear todo o acesso de entrada de outros ISP e qualquer fonte além do ISP. Etapa 3 Verificar a conectividade de host fora. O PC Host externos não devem ser capazes de pingar o servidor em www.xyzcorp.com.
No entanto, o PC Host Fora deve ser capaz de solicitar uma página web. Dia 1 359

Mais conteúdo relacionado

PDF
WANS e Roteadores Cisco CCNA 3.1
porWellington Oliveira
 
PPTX
AULA 01 INTRODUÇÃO A REDES DE COMPUTADORES.pptx
porCidrone
 
PPTX
Rede de computadores
porJairo Soares Dolores Mosca
 
PPT
UD6042-10.ppt
porTofettiMilton
 
PPT
Estrutura Fisica De Redes Parte I
porSergio Gomes Ferreira
 
PDF
Aula01 introdução a camanda 2 do modelo osi
porCarlos Veiga
 
PPTX
Powerpoint by xanato
porXanato Fernandes
 
PDF
Aula 1
porHenrique Quirino
 
WANS e Roteadores Cisco CCNA 3.1
porWellington Oliveira
 
AULA 01 INTRODUÇÃO A REDES DE COMPUTADORES.pptx
porCidrone
 
Rede de computadores
porJairo Soares Dolores Mosca
 
UD6042-10.ppt
porTofettiMilton
 
Estrutura Fisica De Redes Parte I
porSergio Gomes Ferreira
 
Aula01 introdução a camanda 2 do modelo osi
porCarlos Veiga
 
Powerpoint by xanato
porXanato Fernandes
 
Aula 1
porHenrique Quirino
 

Semelhante a 31_Dias_Para_o_CCNA.pdf

PDF
Design de Rede de Area Local - Explicação da Arquitetura
porMilton Aguiar
 
PPTX
9948 – Redes e protocolos multimédia.pptx
porBrancaSilva9
 
PPTX
Introdução a redes
porAlexJSouza
 
TXT
Módulo 03 sistema de cabos
porMarília Simões
 
DOC
Teoria de redes de computadores redes .doc
poranpproferick
 
PPTX
redes de computadores e internet - kurose.pptx
porloyolavera2013
 
PDF
01 - Fundamentos.pdf
poredsonjcg
 
PPTX
cap1-Kurose (1)- redes de computadores.pptx
porloyolavera2013
 
PPTX
Redes de computadores
porWeslley Andrade
 
DOC
Redes de computadores 1 - Conceitos Gerais
porJosé Ronaldo Trajano
 
DOC
Manual de redes
porRui Paiva
 
PPT
redes de pc.ppt
porAgostinho9
 
PPT
Aula 8 rede
poralex_it
 
PPT
Modulo 5 Redes
porWalter Cunha
 
PPTX
Aula 05
porHedielson Vieira
 
PPT
Teconologias De Redes (Final)Mesmo
porMatheus
 
PPTX
Apresentação redes computacionais
porkylsonestellfran
 
PDF
Redes
porJaqueline2706
 
PPTX
Aula introdutoria parte 1
porUniversidade Federal do Pampa
 
PPT
REDES.ppt
porAgostinho9
 
Design de Rede de Area Local - Explicação da Arquitetura
porMilton Aguiar
 
9948 – Redes e protocolos multimédia.pptx
porBrancaSilva9
 
Introdução a redes
porAlexJSouza
 
Módulo 03 sistema de cabos
porMarília Simões
 
Teoria de redes de computadores redes .doc
poranpproferick
 
redes de computadores e internet - kurose.pptx
porloyolavera2013
 
01 - Fundamentos.pdf
poredsonjcg
 
cap1-Kurose (1)- redes de computadores.pptx
porloyolavera2013
 
Redes de computadores
porWeslley Andrade
 
Redes de computadores 1 - Conceitos Gerais
porJosé Ronaldo Trajano
 
Manual de redes
porRui Paiva
 
redes de pc.ppt
porAgostinho9
 
Aula 8 rede
poralex_it
 
Modulo 5 Redes
porWalter Cunha
 
Aula 05
porHedielson Vieira
 
Teconologias De Redes (Final)Mesmo
porMatheus
 
Apresentação redes computacionais
porkylsonestellfran
 
Redes
porJaqueline2706
 
Aula introdutoria parte 1
porUniversidade Federal do Pampa
 
REDES.ppt
porAgostinho9
 

31_Dias_Para_o_CCNA.pdf

  • 2.
    Dispositivos de rede,Componentes e Diagramas Exame CCNA 640-802 Tópicos ■ Descrever o propósito e as funções de vários dispositivos de rede. ■ Selecionar os componentes necessários para atender a uma especificação de rede. ■ Descrever os componentes necessários para comunicações de rede e Internet. ■ Interpretar diagramas de rede. ■ Diferenciar entre LAN / WAN operação e características. Pontos-chave Em seu nível mais fundamental, uma rede pode ser dividido em quatro elementos: ■ As regras ■ As mensagens ■ Os meios de comunicação ■ Os dispositivos Tópicos para hoje? S exame, vamos nos concentrar nos dispositivos usados hoje em dia? S redes, os meios utilizados para
  • 3.
    interligar os dispositivose os diferentes tipos de topologias de rede. Dispositivos Hubs e switches são usados para conectar dispositivos fim a uma única rede local. A seguir descreve quando usar um hub e quando usar um switch: ■ Hubs são tipicamente escolhido como um dispositivo intermediário dentro de uma LAN muito pequenos, onde a largura de banda uso não é uma questão de custos ou limitações existem. Hoje em dia? S redes, hubs estão sendo substituídos por switches. ■ Switches têm preferência sobre hubs como uma rede de área local (LAN) dispositivo intermediário, pois um switch pode domínios de colisão segmento e proporcionar maior segurança. Switches Ao escolher um switch, os principais fatores a considerar são os seguintes: ■ Custo: Determinado pelo número e tipo de portas, capacidade de gerenciamento de rede, embutidas tecnologias de segurança, e opcionais avançadas tecnologias de comutação. ■ características Interface: Número suficiente de portas para agora, assim como a expansão futura; velocidades de uplink; mistura de UTP e fibra; modularidade. ■ camada de rede hierárquica: Muda na camada de acesso têm necessidades diferentes do que muda a distribuição ou camadas do núcleo. Camada de acesso Switches Interruptores camada de acesso a facilitar a conexão de dispositivos final para a rede. Características de acesso interruptores camada incluem o seguinte: ■ Porta de segurança ■ VLANs ■ Fast Ethernet / Gigabit Ethernet ■ Power over Ethernet (PoE) ■ A agregação de link ■ Qualidade de serviço (QoS) Switches da camada de acesso do Cisco incluem o Catalyst Express 500, Catalyst 2960, Catalyst 3560, e Catalyst 3750 linhas de produtos Catalyst. Camada de switches de distribuição Interruptores camada de distribuição receber os dados dos switches camada de acesso e encaminhar os dados para a camada de núcleo switches. Características dos switches camada de distribuição incluem o seguinte: ■ Layer 3 apoio ■ taxa de transmissão de alta ■ Gigabit Ethernet Gigabit Ethernet/10 ■ componentes redundantes ■ As políticas de segurança / controle de acesso listas ■ A agregação de link
  • 4.
    ■ Qualidade deserviço (QoS) Cisco switches da camada de distribuição incluem o Catalyst 4500, Catalyst 4900 e Catalyst 6500 produto linhas. Camada de switches core Camada de núcleo interruptores formam a espinha dorsal e são responsáveis pela manipulação de a maioria dos dados sobre uma LAN comutada. Características dos switches camada do núcleo incluem o seguinte: ■ Layer 3 apoio ■ taxa de transmissão muito alta ■ Gigabit Ethernet Gigabit Ethernet/10 ■ componentes redundantes ■ A agregação de link ■ Qualidade de serviço (QoS) O Catalyst linha de produtos 6500 é ideal para switches core dedicado em ambientes de rede muito grande. Observação: Você não é obrigado a conhecer a linha de produtos Cisco Catalyst para o exame CCNA. Questões do exame são plataforma neutra. Exemplos dados aqui são apenas para fins informativos. Roteadores Roteadores são os dispositivos primários utilizados para interconectar redes? LANs, WANs, e WLANs. Quando você escolher um roteador, os principais fatores a considerar são os seguintes: ■ Expansibilidade: Fornece flexibilidade para adicionar novos módulos conforme as necessidades. ■ Media: Determina o tipo de interfaces do roteador precisa suportar a várias conexões de rede. ■ recursos do sistema operacional: Determina a versão do IOS carregado no router. IOS diferentes versões suporte conjuntos de recursos diferentes. Características a considerar incluem a segurança, QoS, VoIP, roteamento complexidade, e outros serviços. Mídia Mensagens são codificadas e então colocados na mídia. Codificação é o processo de conversão de dados em padrões de energia elétrica, luz ou eletromagnéticas para que ele possa ser realizado na mídia. Tabela 31-1 resume as três meios de rede mais comum em uso hoje. Mídia tabela 31-1 Networking Exemplo de codificação de mídia De cobre de par trançado cabo normalmente usado como tensões LAN media Elétrica Fibra de vidro ou fibras ópticas de plástico em um revestimento de vinil normalmente usado ondas eletromagnéticas para corridas longas em uma LAN e como um tronco Sem fio conecta os usuários locais através das ondas eletromagnéticas do ar Cada tipo de mídia tem suas vantagens e desvantagens. Quando você escolhe
  • 5.
    a mídia, considerarcada das seguintes opções: ■ Comprimento do cabo: Será que o cabo precisa abranger toda uma sala ou de prédio em prédio? ■ Custo: Será que o orçamento permitir o uso de um tipo de mídia mais caro? ■ Largura de banda: Será que a tecnologia usada com a mídia fornecer largura de banda é adequada? ■ Facilidade de instalação: A equipe de implementação têm a capacidade de instalar o cabo, ou é um fornecedor exigido? ■ Suscetível a EMI / RFI: É o ambiente local vai interferir com o sinal? Dia 31 5 Tabela 31-2 resume padrões de mídia para cabeamento LAN. Tabela 31-2 mídia padrão, comprimento do cabo, e largura de banda Tipo de Ethernet de banda cabo Distância Máxima Tipo 10BASE-T 10 Mbps Cat3/Cat5 UTP 100 m 100BASE-TX 100 Mbps Cat5 UTP 100 m 100BASE-TX 200 Mbps Cat5 UTP 100 m 100BASE-FX multimodo de fibra 100 Mbps 400 m 100BASE-FX multimodo de fibra 200 Mbps 2 km 1000BASE-T 1 Gbps Cat5e UTP 100 m 1000BASE-TX UTP Cat6 1 Gbps 100 m 1000BASE-SX 1 Gbps de fibra multimodo 550 m 1000BASE-LX 1 Gbps A fibra monomodo 2 km 10GBASE-T 10 Gbps Cat6a/Cat7 UTP 100 m 10GBASE-SX4 10 Gbps de fibra multimodo 550 m 10GBASE-LX4 10 Gbps A fibra monomodo 2 km Dispositivos finais são aqueles equipamentos que são ou fonte original ou o destino final de uma mensagem. Dispositivos intermediários conectar dispositivos final à rede para auxiliar na obtenção de um mensagem do dispositivo final de origem para o destino final do dispositivo. Dispositivos de conexão em uma LAN é normalmente feito com cabeamento de par trançado não blindado (UTP). Embora muitos dispositivos mais novos têm uma característica de cruzamento automático que permite que você conecte ou um straight-through ou crossover, a maioria dos dispositivos atualmente exigem o uso de um ou outras. Use cabos straight-through para as seguintes conexões: ■ Mudar para router Ethernet ■ Computer para alternar ■ Computador para hub Use cabo crossover para as seguintes conexões: ■ Alternar para alternar ■ Mudar para hub ■ Hub para hub ■ Router para router (portas Ethernet) ■ computador para computador
  • 6.
    ■ Computador pararouter Ethernet 6 31 dias antes de seu exame CCNA LANs e WANs Uma rede de área local (LAN) é uma rede de computadores e outros componentes localizados relativamente juntos em uma área limitada. LANs podem variar muito de tamanho de um computador em um escritório em casa para centenas de computadores em um escritório corporativo, no entanto, em geral, uma LAN abrange uma área geográfica limitada área. Os componentes fundamentais de uma LAN incluem o seguinte: ■ Computadores ■ Interligações (NICs e os meios de comunicação) ■ Os dispositivos de rede (hubs, switches e roteadores) ■ Protocolos (Ethernet, IP, ARP, DHCP, DNS e assim por diante) Uma rede de área ampla (WAN) geralmente se conecta redes locais que estão geograficamente separados. Uma coleção de LANs ligadas por um ou mais WANs é chamado de internetwork-assim, temos a Internet. A intranet termo é usado frequentemente para se referir a uma conexão privada de LANs e WANs. Dependendo do tipo de serviço, a conexão com a WAN é normalmente feito em uma das quatro maneiras: ■ conexão RJ-11 para uma conexão discada ou modem DSL ■ conexão coaxial cabo a um modem a cabo ■ conexão 60 pinos de série para um CSU / DSU ■ Ligação Controlador RJ-45 para um T1 CSU / DSU Com o crescente número de teletrabalhadores, as empresas têm uma necessidade crescente de seguro, confiável e de baixo custo maneiras de conectar pessoas que trabalham em pequenos escritórios ou escritórios domésticos (SOHO) ou outros locais remotos aos recursos em sites corporativos. Tecnologias de conexão remota para apoiar teletrabalhadores são os seguintes: ■ tradicional privada tecnologias WAN, incluindo Frame Relay, ATM, e de linhas alugadas ■ IPsec redes privadas virtuais (VPNs) ■ de acesso remoto VPN segura através de uma conexão de banda larga através da Internet pública Componentes necessários para teletrabalhador conectividade incluem o seguinte: ■ Início componentes de escritório: Computador, acesso de banda larga (cabo ou DSL), e um roteador VPN ou VPN software cliente instalado no computador. ■ componentes Corporativa: VPN-capaz roteadores, concentradores de VPN, multifunções de segurança aparelhos, autenticação e dispositivos de gerenciamento central para a agregação resiliente e rescisão das conexões VPN. Ícones de redes
  • 7.
    Antes de poderinterpretar diagramas de rede ou topologias, você primeiro deve entender os símbolos ou ícones usados para representar diferentes dispositivos de rede e mídia. Os ícones mostrados na Figura 31-1 são os símbolos de rede mais comum para estudos de CCNA. Dia 31 7 Figura 31-1 Ícones Networking 8 31 dias antes de seu exame CCNA área de trabalho computador LAN mídia WAN mídia sem fio mídia router laptop servidor Telefone IP Switch LAN sem fio router firewall cubo (suplente) sem fio Ponto de Acesso Físicas e topologias lógicas Diagramas de rede são mais frequentemente referida como topologias. A
  • 8.
    topologia apresenta graficamenteos métodos de interconexão entre dispositivos usados. Topologias físicas se referem ao layout físico de dispositivos e como eles são por cabo. há sete topologias físicas básicas, como mostrado na Figura 31-2. Figura 31-2 Física Topologias Ponto-a-Ponto bus malha full mash malha parcial partion mash anel estrela Estrela estendida Topologias lógicas se referem à forma de um sinal viaja de um ponto da rede para outro e são em grande parte determinado pelo método de acesso determinístico ou não determinístico. Ethernet é um não-determinístico método de acesso. Logicamente, Ethernet opera como uma topologia de barramento. No entanto, Ethernet redes são quase sempre fisicamente concebido como uma estrela ou em estrela estendida. Outros métodos de acesso usar um método de acesso determinístico. Token Ring e Fiber Distributed Data Interface (FDDI), tanto logicamente operar como anel, passando os dados de uma estação para a outra. Embora essas redes podem ser concebidas como um anel físico, como Ethernet, são muitas vezes concebido como uma estrela ou estrela estendida. Mas, logicamente, eles operam como um anel. O modelo de rede hierárquica Projeto de rede hierárquica envolve dividir a rede em camadas discretas. Cada camada fornece funções específicas que definem o seu papel dentro da rede global. Ao separar
  • 9.
    as várias funções queexistem em uma rede, o projeto da rede torna-se modular, o que facilita a escalabilidade e desempenho. O modelo de design hierárquico é dividida em três camadas da seguinte forma: ■ camada de Acesso: Permite o acesso de usuários locais e remotos ■ camada de Distribuição: Controla o fluxo de dados entre o acesso e as camadas de núcleo ■ Núcleo camada: backbone de alta velocidade redundantes Figura 31-3 mostra um exemplo de modelo hierárquico. Figura 31-3 O Modelo Hierárquico Dia 31 9 WAN Internet Telefone Rede Núcleo Distribuição Acesso Acesso
  • 10.
    A Enterprise Architecture ACisco Enterprise Architecture é projetada para fornecer os planejadores de rede com um roteiro para a rede crescimento como o negócio se move através de estágios diferentes. Seguindo o roteiro sugerido, os gerentes de TI pode planejar para futuras atualizações da rede que vai integrar perfeitamente na actual rede e suporte a necessidade cada vez maior de serviços. A Cisco Enterprise Architecture consiste dos seguintes módulos: ■ Arquitetura Campus Enterprise: Refere-se a um grupo de edifícios que contêm muitos LANs. ■ Arquitetura Borda Enterprise: Oferece conectividade para voz, vídeo e dados de e para o serviço prestadores de serviços. ■ Arquitetura Branch Enterprise: Estende a aplicações e serviços dentro do campus para vários locais remotos. ■ Enterprise Data Center Arquitetura: Gerencia e mantém sistemas de dados da empresa (Tais como fazendas de seu servidor). ■ Empresa Teleworker Arquitetura: Conecta escritórios empregado em casa e "guerreiros de estrada" para os recursos de rede da empresa. Figura 31-4 mostra uma representação gráfica do Enterprise Architecture Cisco e como cada
  • 11.
    módulo de interconexões. Figura31-4 Módulos da Arquitetura Corporativa 10 31 Dias antes de seu exame CCNA Construção de acesso Campus da empresa Borda da empresa A Enterprise Architecture Distribuição de construção Campus Núcleo Server Farm e Data Center Rede Gestão E-Commerce Internet Conectividade WAN e MAN Site a site VPN Acesso Remoto e VPN WAN e Internet Filial da empresa Dados da empresa Centro Empresa Teletrabalhador Quadro Relay, ATM, Homem .... PSTN A ISP ISP B Figura 31-5 mostra um diagrama de rede representando a maioria dos módulos do Enterprise Architecture em um exemplo de implementação do Enterprise Architecture-the Enterprise Data Center é excluída. Observe como as três camadas do modelo hierárquico (acesso, distribuição e núcleo) são integrados para a Arquitetura Enterprise.
  • 12.
    Documentação de rede Documentaçãopara a sua rede deve incluir, no mínimo, as seguintes categorias principais: ■ Router e documentação switch: Inclui tipo de dispositivo, a imagem IOS, localização, hostname,
  • 13.
    endereços e outrasinformações importantes. ■ Fim do sistema de documentação: Inclui nomes de dispositivo, sistema operacional, detalhes de endereçamento, impacto na rede (tais como o uso da banda). ■ diagrama de topologia de rede: Inclui todos os dispositivos e mostra as conexões, bem como a designações de interface e esquema de endereçamento. Mais frequentemente do que não, a documentação de uma rede é menor do que completa. Para completar a documentação, você pode ter que recolher informação directamente a partir dos dispositivos. Comandos que são úteis para esse processo incluem o seguinte: ■ ping: Testes de conectividade direta entre dois dispositivos ■ telnet: Testes de acesso remoto, bem como Layer 7 funcionalidade ■ show interface ip breve: Verifica status da interface ■ show ip route: Verifica operações de roteamento ■ mostrar detalhes vizinho cdp: Reúne informações úteis sobre Cisco conectados diretamente dispositivos Recursos estudo Para os temas de hoje do exame, consulte os seguintes recursos para mais estudo. Recurso Tópico Capítulo Onde Encontrá-las Recursos fundacional CCNA Exploration Capítulo 1, "Viver em uma Rede como um Seção 3.2 Curriculum on-line: Network Centric-World Plataforma " Fundamentos de rede Capítulo 2, a plataforma para as secções "Comunicar sobre Comunicações 2.1.3-2.1.6 a Rede "LANs, WANs e Internetworks Seção 2.2 Capítulo 10, "Planejamento de LANs: Fazendo o ponto 10.1 Redes e Cabeamento Connection "Physical LAN e WAN: Getting Seção 10.2.1 Conectado CCNA Exploration Capítulo 1, "Viver em uma Rede como Plataforma pp 10-16 Fundamentos de rede Rede Centric-World " Companion Guia Capítulo 2, "Comunicando A Plataforma de Comunicações pp. 37-40 Através da Rede "LANs, WANs e Internetworks pp. 41-44 Capítulo 10, "Planejamento e LANs: Fazendo o pp. 368-373 Redes de cabeamento de conexão "Physical LAN e WAN: Getting pp. 374-388 Connected CCNA Exploration Capítulo 1, "LAN Design" Switched LAN Seção 1.1 Curriculum on-line: Arquitetura LAN Switching Switches Matching a Seção 1.2 e Wireless LAN Funções Específicas CCNA Exploration LAN Capítulo 1, "LAN Design" Switched LAN Arquitetura pp 2-15 Switching e Wireless Switches Correspondência para
  • 14.
    Companion Guia deFunções específicas LAN pp 15-39 CCNA Exploration Capítulo 1, "Introdução Fornecer Seção Integrada 1,1 Curriculum on-line: a WANs "Serviços às Empresas Acessando a WAN Capítulo 6, "Negócio Teleworker Seção Requisitos 6,1 Serviços "para Teleworker Serviços Capítulo 8, Rede "Estabelecer a Seção de Rede 8,1 Linha de Base de Desempenho solução de problemas " CCNA Exploration Capítulo 1, "Introdução Fornecer pp Integrada 17/03 Acessando a WAN para WANs "Serviços à Empresa Companion Guia Capítulo 6, "Requisitos de Negócio para Teleworker pp. 379- 384 Serviços "Teleworker Serviços Capítulo 8, "Estabelecendo a Rede pp. 526-541 Rede Linha de Base de Desempenho solução de problemas " ICND1 Exame Oficial Capítulo 1, "Introdução Todos os temas dentro do capítulo pp 5-15 Guia de certificação para Redes de Computadores Conceitos " ICND1 Autorizado Capítulo 1, "A construção de uma Explorando as Funções pp 3-21 Self-Study Guia de Rede Simples "da Rede Suplementar Recursos CCNA ICND1 e Flash Cards, Seção 1 Construir uma rede simples pp 4-36 Pacote Practice Exam
  • 15.
    Dia 30 Modelos derede e aplicativos Exame CCNA 640-802 Tópicos ■ Descrever aplicações comuns de rede, incluindo aplicações web. ■ Descrever a finalidade e funcionamento básico dos protocolos nos modelos OSI e TCP. ■ Descrever o impacto de aplicações (Voz sobre IP e Vídeo sobre IP) em uma rede. Pontos-chave
  • 16.
    Como um novoaluno ao trabalho em rede, um dos temas primeiro você provavelmente aprendeu foi a camadas de o OSI e TCP / IP modelos. Agora que você já completou seus estudos e estão revendo para o Exame CCNA, você mais do que provavelmente pode ver a vantagem de usar esses modelos. Cada ajuda o nosso entendimento de redes em seu próprio caminho. Hoje fazemos uma revisão da OSI e TCP / IP modelos, bem como a aplicações e protocolos que são comumente usados em redes. O OSI e TCP / IP Modelos Para entender como a comunicação ocorre através da rede, usamos modelos em camadas como uma estrutura para representar e explicar conceitos e tecnologias de rede. Modelos de rede fornecer uma variedade de benefícios: ■ Reduza a complexidade ■ Padronizar as interfaces ■ Assist compreensão ■ Promover o rápido desenvolvimento de produto ■ Suporte a interoperabilidade ■ Facilitar engenharia modular Inicialmente, as redes foram construídas em padrões proprietários e hardware. Modelos em camadas, como o TCP / IP e os modelos OSI, interoperabilidade entre as linhas de produtos concorrentes do fornecedor. O desenvolvimento do modelo OSI começou na década de 1970 com o objetivo de fornecer uma suíte baseada em padrões de protocolos que permitem a comunicação entre todos os sistemas de computador. Embora o governo dos EUA necessário o uso de produtos OSI na década de 1980 e 1990, o Defense Advanced Research Agência de Projetos (DARPA) com o Departamento de Defesa e com a ajuda de pesquisadores da várias universidades, tinha desenhado o modelo de concorrentes TCP / IP. Por várias razões, incluindo a popularidade do TCP / IP, em 1983 a ARPANET tinha escolhido o TCP / IP como seu protocolo de terno princípio. Por 1994, todas as agências do governo dos EUA foram obrigados a mudar ao longo do OSI para protocolos TCP / IP. Hoje, usamos o modelo OSI principalmente como uma ferramenta para explicar conceitos de rede. No entanto, os protocolos da suíte TCP / IP são as regras pelas quais as redes operam agora. Porque ambos os modelos são importantes, você deve ser bem versado em camadas de cada modelo assim como os modelos de mapa
  • 17.
    uns aos outros.Figura 30-1 resume os dois modelos. Figura 30-1 O OSI e TCP / IP Modelos 14 31 Dias antes de seu exame CCNA Modelo OSI Aplicação Apresentação Sessão Transporte Rede Data Link Físico Modelo TCP / IP Aplicação Transporte Internet Acesso à Rede Ela pode ser confuso utilizando dois modelos. No entanto, esta regra simples
  • 18.
    pode ajudar. Aodiscutir as camadas de um modelo, que são geralmente referindo-se ao modelo OSI. Ao discutir protocolos, que são normalmente referindo-se ao modelo TCP / IP. Então, vamos rever rapidamente as camadas OSI e os protocolos TCP / IP. Camadas OSI Tabela 30-1 resume as camadas do modelo OSI e fornece uma breve descrição funcional. A tabela 30-1 OSI Camadas Modelo e Funções Camada Descrição Funcional Aplicação (7) Refere-se às interfaces entre a rede eo software de aplicação. Inclui também a autenticação serviços. Apresentação (6) Define o formato e organização de dados. Inclui criptografia. Sessão (5) Estabelece e mantém ponta a ponta-flows bidirecional entre endpoints. Inclui gestão dos fluxos de transações. Transporte (4) Fornece uma variedade de serviços entre dois computadores host, incluindo o estabelecimento de conexão e terminação, controle de fluxo, recuperação de erros, e segmentação de dados de grande porte blocos em partes menores para a transmissão. Rede (3) Refere-se a abordar lógica, roteamento e determinação do caminho. De enlace de dados (2) Formatos de dados em quadros apropriados para a transmissão em algum meio físico. Define regras para quando o meio pode ser usado. Define meio pelo qual a reconhecer erros de transmissão. Física (1) Define os conectores elétricos, ópticos, cabos, e os detalhes processuais exigidos para bits de transmissão, representado por alguma forma de energia que passa através de um meio físico. A frase mnemônica a seguir, onde a primeira letra representa a camada ("A" representa a "Aplicação") pode ser útil para memorizar o nome ea ordem das camadas de cima para baixo. Todas as pessoas parecem precisar de Processamento de Dados Camadas TCP / IP e protocolos O modelo TCP / IP define quatro categorias de funções que devem ocorrer para que as comunicações sejam bem sucedida. A maioria dos modelos de protocolo descrever um fornecedor específico pilha de protocolo. No entanto, porque a TCP / IP modelo é um padrão aberto, uma empresa não tem controle sobre a definição do modelo. Tabela 30-2 resume as camadas TCP / IP, suas funções, e os protocolos mais comuns. Tabela 30-2 As funções TCP / IP Camada
  • 19.
    TCP / IPProtocolos de Camada Exemplo Função Representa a aplicação de dados para o usuário e DNS, Telnet, SMTP, POP3, IMAP, controles de diálogo. DHCP, HTTP, FTP, SNMP Transporte Suporta a comunicação entre os diversos TCP, UDP dispositivos através de redes diferentes. Internet Determina o melhor caminho através da rede. IP, ARP, ICMP Controla o acesso à rede os dispositivos de hardware e mídia que Ethernet, Frame Relay compõem a rede. Nos próximos dias, vamos rever esses protocolos em mais detalhes. Por agora, uma breve descrição do principais protocolos TCP / IP segue: ■ Domain Name System (DNS): Fornece o endereço IP de um nome de site ou domínio para um host pode se conectar a ele. ■ Telnet: Permite aos administradores efetuar login em um host de um local remoto. ■ Simple Mail Transfer Protocol (SMTP), Post Office Protocol (POP3) e Internet Message Access Protocol (IMAP): Usado para enviar mensagens de e-mail entre clientes e servidores. ■ Dynamic Host Configuration Protocol (DHCP): Atribui endereçamento IP para solicitar clientes. ■ Hypertext Transfer Protocol (HTTP): Utilizado para transferência de informações entre clientes e web servidores web. ■ File Transfer Protocol (FTP): Permite que o download e upload de arquivos entre um servidor FTP cliente e servidor FTP. ■ Simple Network Management Protocol (SNMP): Usado por sistemas de gerenciamento de rede para dispositivos monitor conectado à rede. ■ Transmission Control Protocol (TCP): Permite conexões virtuais entre os hosts da rede para fornecer uma entrega confiável de dados. ■ User Datagram Protocol (UDP): Permite mais rápido, a entrega confiável de dados que seja leve ou sensíveis ao tempo. Internet Protocol (IP): Fornece um endereço único global para os computadores para se comunicar através da rede. ■ Address Resolution Protocol (ARP): Localiza uma série de endereços de hardware, quando apenas o IP endereço é conhecido. ■ Internet Control Message Protocol (ICMP): Usado para enviar mensagens de erro e controle incluindo a acessibilidade para outro host e disponibilidade dos serviços. ■ Ethernet: O mais popular padrão de LAN para a formulação e preparação de
  • 20.
    dados para transmissão paraa mídia. ■ Frame Relay: Também um padrão de enquadramento, uma das tecnologias mais cost-effective WAN usado para conectar LANs. Unidades de protocolo de dados e encapsulamento Como os dados do aplicativo é transmitido a pilha de protocolos sobre a sua maneira de ser transmitidos através da rede meios de comunicação, vários protocolos adicionar informações a ele em cada nível. Isto é comumente conhecido como o processo de encapsulamento. A estrutura de dados em qualquer camada é chamada de um protocolo dados unidade (PDU). Tabela 30-3 lista as PDUs em cada camada do modelo OSI. Tabela 30-3 PDUs em cada camada do modelo OSI OSI Layer PDU Dados de Aplicativos apresentação dos dados Dados da sessão Segmento de transporte Packet rede Ligação de dados de quadro Bits física O processo de comunicação de qualquer origem para qualquer destino pode ser resumida com as seguintes passos: 1. Criação de dados na camada de aplicação do dispositivo fonte de origem final 2. Segmentação e encapsulamento de dados à medida que passa para baixo da pilha de protocolos na fonte dispositivo final 3. Geração dos dados para a mídia na camada de acesso de rede da pilha 4. Transporte dos dados através da rede, que consiste em meios de comunicação e qualquer intermediário dispositivos
  • 21.
    5. Recepção dosdados na camada de acesso de rede do dispositivo de destino final 6. Decapsulation e remontagem dos dados à medida que passa a pilha no dispositivo de destino 7. Passar esses dados para a aplicação de destino na camada de aplicação do destino final dispositivo Crescimento de aplicações baseadas em rede Além de todas as aplicações comuns em redes discutimos estudos, programadores e empreendedores aplicações são continuamente em desenvolvimento para tirar proveito dos recursos de rede e os Internet. Hoje, as pessoas a criar, armazenar e acessar informações, bem como comunicar com os outros em a rede usando uma variedade de aplicações. Além do tradicional e-mail e navegador web aplicações, as pessoas estão usando cada vez mais novas formas de comunicação, incluindo mensagens instantâneas, blogs, podcasting, compartilhamento de arquivos peer-to-peer, wikis e ferramentas de colaboração que permitem a visualização e trabalhar em documentos simultaneamente. A indústria de jogos on-line tem crescido exponencialmente ao longo dos últimos anos. Todas estas aplicações e experiências on-line colocam demandas grande no infra-estrutura de rede e recursos. Uma maneira de lidar com o grande volume de dados é a classificação de pacotes com base na qualidade do serviço que o aplicativo de origem necessidades, especialmente considerando o maior utilização da rede em geral, e do recente aumento de voz e vídeo aplicações que têm uma tolerância muito baixa para o atraso e jitter. Qualidade de Serviço A prioridade e nível de serviço garantida para o fluxo de dados através da rede é cada vez mais importante quanto as novas aplicações lugar maiores exigências sobre a capacidade de processamento e largura de banda do redes que usamos. Quando colocamos uma chamada por um telefone IP, queremos, pelo menos, como um serviço bom como nós receber em uma linha de terra tradicional. Portanto, as redes precisam usar a qualidade de serviço (QoS) mecanismos assegurar que os recursos de rede limitada são priorizados com base no conteúdo do tráfego. Sem QoS implementação, uma mensagem de e-mail ou solicitação de página web cruzar um switch ou um roteador terá a mesma prioridade que o tráfego de voz ou vídeo. Cada tipo de aplicação pode ser analisado em termos de seus requisitos de QoS na rede, então se o rede atende a esses requisitos, o aplicativo irá funcionar bem. Uso da Rede aumento
  • 22.
    Aplicações tendem aaumentar a necessidade de mais largura de banda, enquanto exigindo menor atraso. Aqui estão alguns dos tipos de aplicações de dados que entraram no mercado e seu impacto na rede: ■ Gráficos com capacidade de terminais e impressoras: Aumentou os bytes necessários para a mesma interação como os terminais antigos baseados em texto e impressoras. ■ transferências de arquivos: Introduzida volumes muito maiores de dados, mas sem tempo de resposta significativa requisitos. ■ servidores de arquivos: Permite aos usuários armazenar arquivos em um servidor, que pode exigir um grande volume de transferência de dados, mas com um muito menor requisito de tempo de resposta do usuário final. ■ maturação da tecnologia de banco de dados: Fazendo uma vasta quantidade de dados disponíveis para casuais usuários, aumentando tremendamente o número de usuários que querem acesso aos dados. ■ A migração de aplicações comuns aos navegadores web: Incentiva mais usuários para acesso a dados. ■ O crescimento do e-mail: A aceitação geral de ambas as comunicações de e- mail como uma pessoal e empresarial serviço aumentou consideravelmente a quantidade de tráfego de e-mail. ■ A comercialização rápida da Internet: permitindo que as empresas para oferecer os dados diretamente para seus clientes através da rede de dados em vez de através de telefonemas. Dia 30 17 Avaliar O Impacto da Voz e Vídeo na Rede Atualmente, voz e vídeo estão no meio de uma migração dos tradicionais redes de dados IP. antes o final dos anos 1990, voz e vídeo usados instalações de redes separadas. A maioria das empresas hoje são , migrando ou pretende migrar para telefones IP, que passam dados de voz através da rede de dados dentro de pacotes IP utilizando protocolos de aplicação geralmente referidos como voz sobre IP (VoIP). Figura 30-2 mostra alguns detalhes de como VoIP funciona a partir de uma conexão de Internet em casa de alta velocidade, com um adaptador de voz genéricos (VA) converter o sinal analógico de um telefone normal a um IP pacote. Figura 30-2 Conversão de Som para pacotes com um VA
  • 23.
    VoIP não colocauma demanda na rede para capacidade adicional. Uma chamada de voz geralmente consome menos de 30 kbps de largura de banda. No entanto, VoIP é sensível ao jitter, atraso, e perda de pacotes: ■ atraso Low: VoIP requer um atraso muito baixa entre o telefone envio e recebimento telefone normalmente menos de 200 milissegundos (0,2 segundo). Isso é um atraso muito menor do que o que é exigido por aplicações típicas de dados. ■ jitter Baixa: Jitter é a variação de atraso. VoIP requer jitter muito baixos, bem como, enquanto os dados aplicações podem tolerar jitter muito maior. Por exemplo, o jitter para os pacotes consecutivos VoIP não deve exceder 30 milisegundos (0,03 segundo) ou a qualidade se degrada. ■ Perda: Se um pacote VoIP é perdida em trânsito devido a erro, porque um router não tem espaço para armazenar o pacote enquanto espera para enviá-la, a perda de pacotes de VoIP não é retransmitido através da rede. Pacotes perdidos pode soar como uma pausa no som da chamada VoIP. Vídeo sobre IP tem o mesmo desempenho que as questões de voz. No entanto, o vídeo requer largura de banda muito mais em qualquer lugar a partir de 300 kbps a 10 Mbps, dependendo da qualidade exigida. Para suportar os requisitos de QoS de voz, vídeo e outros de qualidade ou de aplicações sensíveis ao tempo, roteadores e switches podem ser configurados com uma variedade de ferramentas de QoS. Essas configurações são além do escopo dos tópicos do exame CCNA.
  • 25.
    Dia 29 Fluxo dedados de rede de ponta a ponta Exame CCNA 640-802 Tópicos ■ Use o OSI e TCP / IP modelos e seus protocolos associados para explicar como os dados fluem em um rede. ■ Determinar o caminho entre dois hosts em uma rede. ■ Identificar e corrigir problemas comuns de rede nas camadas 1, 2, 3 e 7 usando um modelo em camadas abordagem. Pontos-chave Os tópicos do exame para o dia de hoje cobrem uma vasta gama de conteúdo. Grande parte da revisão de hoje é uma rápida resumo das camadas TCP / IP e suas operações como os dados são enviados da origem para o destino. Muitos dos pontos-chave serão desenvolvidos de forma mais completa nos próximos dias. No entanto, este é o único dia iremos discutir o funcionamento da camada de transporte. Então, vamos gastar um pouco de tempo na Transmission Control Protocol (TCP) eo User Datagram Protocol (UDP). Vamos também rever metodologias básicas solução de problemas. A camada de aplicação TCP / IP A camada de aplicação do modelo TCP / IP fornece uma interface entre software, como uma teia browser, e da própria rede. O processo de solicitação e recebimento de uma página web funciona como o seguinte: 1. HTTP requisição enviada, incluindo uma instrução para "pegar" um arquivo, que é muitas vezes em casa de um Web site página. 2. Resposta HTTP enviado do servidor web com um código no cabeçalho, geralmente ou 200 (Solicitação de sucesso e as informações são retornadas em resposta) ou 404 (página não encontrada). A solicitação HTTP ea resposta HTTP são encapsulados em cabeçalhos. O conteúdo dos cabeçalhos permite que as camadas de aplicação em cada dispositivo final para se comunicar. Independentemente da aplicação camada de protocolo (HTTP, FTP, DNS e assim por diante), todos usam o mesmo processo geral de comunicação entre as camadas de aplicação nos dispositivos finais. A Camada de Transporte TCP / IP A camada de transporte, através de TCP, oferece um mecanismo para garantir a entrega de dados através da rede. TCP suporta a recuperação de erro para a camada de aplicação através do uso de reconhecimento básico lógica. Somando-se o processo para solicitar uma página web, a operação TCP funciona assim:
  • 26.
    1. Cliente daWeb envia uma solicitação HTTP para um servidor web específico para a camada de transporte. 2. TCP encapsula a solicitação HTTP com um cabeçalho TCP. 3. Camadas inferiores do processo e enviar a solicitação para o servidor web. 4. Servidor web recebe pedidos HTTP e envia uma confirmação TCP volta ao solicitante cliente web. 5. Servidor Web envia a resposta HTTP para a camada de transporte. 6. TCP encapsula os dados HTTP com um cabeçalho TCP. 7. Camadas inferiores do processo e enviar a resposta para o cliente web requerente. 8. Solicitando cliente da Web envia confirmação de volta para o servidor web. Se os dados são perdidos a qualquer momento durante esse processo, é trabalho de TCP para recuperar os dados. HTTP na camada de aplicação não se envolve na recuperação de erros. Além de TCP, a camada de transporte fornece UDP-um protocolo sem conexão, não confiável para envio de dados que não requer nem necessidade de recuperação de erros. Tabela 29-1 lista as principais características suportadas pelos protocolos de transporte. O primeiro item é suportado pelo TCP e UDP. Os restantes itens são suportados apenas pelo TCP. Tabela 29-1 TCP / IP Camada de Transporte Features Descrição da função Multiplexação usando as portas Função que permite que os hosts receber a escolher a correta aplicação de qual os dados são destinados, com base no número de porta de destino. Processo de recuperação de erro (confiabilidade) de numeração e reconhecer dados com seqüência e Campos de cabeçalho do reconhecimento. Controle de fluxo usando o processo que usa um tamanho de janela deslizante que é dinamicamente concordou janelas pelos dois dispositivos finais em vários pontos durante a conexão virtual. O tamanho da janela, representada em bytes, é a quantidade máxima de dados a fonte irá enviar antes de receber uma confirmação do destino. Processo de criação de conexão usada para inicializar os números de porta, Seqüência e Reconhecimento e terminação campos. Ordenou a transferência de dados e fluxo contínuo de bytes de um processo da camada superior que é segmentação de dados "segmentada" para a transmissão e entregue à camada superior de processos na dispositivo de recepção, com os bytes na mesma ordem. TCP Header TCP fornece a recuperação de erro, mas a fazê-lo, ele consome mais largura de banda e usa mais processamento ciclos de UDP. TCP e UDP depende de IP para o fim-de-final de entrega. TCP está preocupado com o fornecimento de
  • 27.
    serviços para asaplicações do envio e recebimento de computadores. Para fornecer todos estes serviços, TCP utiliza uma variedade de campos em seu cabeçalho. Figura 29-1 mostra os campos do cabeçalho TCP. 22 31 Dias antes de seu exame CCNA Números de porta Os dois primeiros campos do cabeçalho TCP-fonte e destino portas também são parte do cabeçalho UDP mostrado mais adiante na Figura 29-6. Números de porta TCP fornecer (e UDP) uma forma de aplicações múltiplas multiplex no mesmo computador. Navegadores Web agora suportam múltiplas abas ou páginas. Cada vez que você abrir um nova guia e solicitar outra página web, TCP atribui um número de porta fonte diferente e às vezes múltiplos números de porta. Por exemplo, você pode ter cinco páginas web abertas. TCP quase sempre atribuir destino a porta 80 para todas as cinco sessões. No entanto, a porta de origem para cada um será diferente. Isto é como TCP (e UDP) multiplexes a conversa para que o navegador web sabe em qual guia para mostrar os dados. Portas de origem são geralmente atribuídos dinamicamente pelo TCP e UDP a partir do intervalo de partida de 1024. porto Números abaixo de 1024 são reservados para aplicações bem conhecidas. Tabela 29-2 listas de várias aplicações populares e seus números de porta bem conhecidos. Tabela 29-2 aplicações populares e seus números Well-Known Porto
  • 28.
    Recuperação de erro Tambémconhecido como confiabilidade, o TCP fornece a recuperação de erro durante as sessões de transferência de dados entre dois end dispositivos que estabeleceram uma conexão. A seqüência e os campos de reconhecimento no TCP cabeçalho são usados para monitorar cada byte de transferência de dados e garantir que os bytes faltando são retransmitidos. Na Figura 29-2, o campo de confirmação enviado pelo cliente web (4000) implica o próximo byte a ser recebidos; isso é chamado de reconhecimento para a frente. Figura 29-2 Reconhecimento TCP sem erros 24 31 Dias antes de seu exame CCNA Figura 29-3 mostra o mesmo cenário, só que agora temos alguns erros. O segmento TCP segunda foi perdida na transmissão. Portanto, as respostas do cliente web com um campo de ACK definido para 2000. o servidor web irá agora reenviar os dados a partir de segmento de 2000. Desta forma, os dados perdidos são recuperados.
  • 29.
    Embora não sejamostrado, o servidor web também define um timer de retransmissão, aguardando reconhecimento, apenas no caso de o reconhecimento for perdido ou todos os segmentos transmitidos são perdidos. Se esse tempo expirar, o servidor web envia todos os segmentos de novo. Controle de Fluxo Controle de fluxo é tratado pelo TCP através de um processo chamado de janelas. Os dois dispositivos final negociar o tamanho da janela quando inicialmente estabelecer a ligação, então eles dinamicamente renegociar tamanho da janela durante a vida da conexão, aumentando seu tamanho até que atinja o máximo tamanho da janela de 65.535 bytes ou até que os erros ocorrem. Tamanho da janela é especificado no campo da janela o cabeçalho TCP. Depois de enviar a quantidade de dados especificados no tamanho da janela, a fonte deve receber uma confirmação antes de enviar o tamanho da janela seguinte de dados. Estabelecimento de conexão e Terminação Estabelecimento da conexão é o processo de seqüência de inicialização e campos de reconhecimento e concordando em números de porta e tamanho da janela. As três vias fase de estabelecimento da conexão mostrado na Figura 29-4 deve ocorrer antes que a transferência de dados pode prosseguir.
  • 30.
    Na figura, dporte SPORT são o destino e portas de origem. SEQ é o número de seqüência. Em negrito são SYN e ACK, que representam cada uma bandeira 1-bit no cabeçalho TCP usado para sinalizar estabelecimento da conexão. TCP inicializa o número de seqüência e número de Reconhecimento campos para qualquer número que se encaixa nos campos de 4 bytes. Após a transferência de dados estiver concluída, um quatro-way seqüência de terminação ocorre que usa um adicional bandeira, chamado o bit FIN, como mostrado na Figura 29-5. UDP TCP estabelece e termina as conexões entre os terminais, enquanto que o UDP não. portanto, UDP é chamado de um protocolo sem conexão. Não fornece confiabilidade, sem janelas, sem reordenamento das os dados, e não segmentação de grandes blocos de dados no tamanho certo para a transmissão. No entanto, UDP não fornece transferência de dados e números de porta usando multiplexação, e fá-lo com menos bytes de overhead de processamento e menos do que o TCP. Aplicativos que usam UDP são aqueles que podem negociar a possibilidade de alguma perda de dados por menos de atraso, como VoIP. Figura 29-6 compara os dois cabeçalhos.
  • 31.
    A camada deInternet TCP / IP A camada Internet do modelo TCP / IP e seu Protocolo de Internet (IP) define os endereços de modo que cada computador host pode ter um endereço IP diferente. Além disso, a camada de Internet define o processo de roteamento de modo que os roteadores podem determinar o melhor caminho para enviar pacotes para o destino. Continuando com o exemplo da página web, endereços IP os dados à medida que passa da camada de transporte para o Camada de Internet: 1. Cliente da Web envia uma solicitação HTTP. 2. TCP encapsula a requisição HTTP. 3. IP encapsula o segmento de transporte em um pacote, acrescentando endereços de origem e destino. 4. Camadas inferiores do processo e enviar a solicitação para o servidor web. 5. Servidor web recebe pedidos HTTP e envia uma confirmação TCP volta ao solicitante cliente web. 6. Servidor Web envia a resposta HTTP para a camada de transporte. 7. TCP encapsula os dados HTTP. 8. IP encapsula o segmento de transporte em um pacote, acrescentando endereços de origem e destino. 9. Camadas inferiores do processo e enviar a resposta para o cliente web requerente. 10. Solicitando cliente da Web envia confirmação de volta para o servidor web. A operação de IP inclui não só tratar, mas também o processo de roteamento os dados do origem para o destino. IP vai ser discutido e revisto nos próximos dias. O TCP / IP Camada de Acesso à Rede IP depende da camada de acesso à rede para entregar pacotes IP através de uma rede física. Portanto, a camada de acesso de rede define os protocolos e hardware necessários para entregar os dados através de alguns rede física, especificando exatamente como conectar fisicamente um dispositivo de rede para o físico
  • 32.
    mídia sobre osquais dados podem ser transmitidos. A camada de acesso de rede inclui um grande número de protocolos para lidar com os diferentes tipos de media que os dados podem cruzar no seu caminho de dispositivo de origem para dispositivo de destino. Por exemplo, dados Talvez seja necessário primeira viagem em um link Ethernet, então atravessar um Ponto a Ponto-link (PPP), em seguida, um quadro Ligação de revezamento, em seguida, um Asynchronous Transfer Mode (ATM) link, e, finalmente, uma ligação Ethernet para o destino. Em cada transição de um tipo de mídia para outra, a camada de acesso a rede fornece os protocolos, padrões de cabeamento, cabeçalhos e trailers para enviar dados através da rede física. Muitas vezes, um endereço link local é necessária para transferir dados de um salto para o outro. Por exemplo, em uma LAN Ethernet, Media Access Control (MAC) são usados entre o dispositivo de envio e seu roteador gateway local. Às portas do roteador, dependendo das necessidades da interface de saída o cabeçalho Ethernet pode ser substituído com um cabeçalho Frame Relay, que incluirá os dados-link de conexão identificador (DLCI) endereços. No Frame Relay, endereços DLCI têm a mesma finalidade como MAC endereços Ethernet para obter os dados através do link de um hop para o próximo fim de que os dados podem continuar a sua viagem para o destino. Alguns protocolos, como Point-to-Point Protocol (PPP), não precisa de um endereço do link, porque apenas um outro dispositivo está no link que pode receber os dados. Com a camada de acesso à rede, agora podemos finalizar o nosso exemplo de página web. A seguir bastante simplifica e resume o processo de solicitação e envio de uma página web: 1. Cliente da Web envia uma solicitação HTTP. 2. TCP encapsula a requisição HTTP. 3. IP encapsula o segmento de transporte em um pacote, acrescentando endereços de origem e destino. 4. Camada de rede encapsula o acesso de pacote em um quadro, abordá-lo para a ligação local. 5. Camada de rede de acesso envia o quadro para fora como bits na mídia. 6. Dispositivos intermediários processo de bits no acesso à rede e as camadas de Internet, e depois para a frente os dados para o destino. 7. Web servidor recebe os bits na interface física e envia-se através da rede camadas de acesso e Internet. 8. Servidor web envia uma confirmação TCP volta para o cliente web requerente. 9. Servidor Web envia a resposta HTTP para a camada de transporte. 10. TCP encapsula os dados HTTP. 11. IP encapsula o segmento de transporte em um pacote, acrescentando endereços de origem e destino.
  • 33.
    12. Camada derede encapsula o acesso de pacote em um quadro, abordá-lo para a ligação local. 13. Camada de rede de acesso envia o quadro para fora como bits na mídia. 14. Camadas inferiores do processo e enviar a resposta para o cliente web requerente. 15. Resposta viaja de volta para a fonte através de links de dados múltiplos. Dia 29 27 16. Solicitando cliente web recebe resposta sobre a interface física e envia os dados até através do acesso à rede e camadas Internet. 17. Solicitando cliente da Web envia uma confirmação de TCP para o servidor web. 18. Página da Web é exibida no navegador solicitando dispositivo. Resumo dos dados de encapsulamento Cada camada do modelo TCP / IP adiciona seu próprio cabeçalho de informações. Como os dados viajam para baixo através as camadas, é encapsulado com um novo cabeçalho. Na camada de acesso à rede, um reboque também é adicionado. Este processo de encapsulamento pode ser descrito em cinco passos: Passo 1 Crie e encapsular os dados do aplicativo com qualquer cabeçalhos da camada de aplicação requerida. Por exemplo, a mensagem HTTP OK pode ser devolvido em um cabeçalho HTTP, seguido por parte do conteúdo de uma página web. Passo 2 Encapsular os dados fornecidos pela camada de aplicação dentro de um cabeçalho da camada de transporte. Para aplicativos de usuário final, um cabeçalho TCP ou UDP é tipicamente usado. Passo 3 Encapsular os dados fornecidos pela camada de transporte dentro de uma camada de Internet (IP) de cabeçalho. IP é o protocolo disponível somente no modelo de rede TCP / IP. Passo 4 Encapsular os dados fornecidos pela camada de Internet dentro de um cabeçalho da camada de rede de acesso e trailer. Esta é a única camada que usa o cabeçalho e um trailer. Passo 5 Transmitir o bits. A camada física codifica um sinal para o meio para transmitir os frame. Os números da Figura 29-7 correspondem às cinco etapas na lista, mostrando graficamente o mesmo processo de encapsulamento. Figura 29 -
  • 34.
    Usando Layers parasolucionar problemas Você já deve ter problemas na rede extensa experiência problemas-se em um ambiente de trabalho real, em um ambiente de laboratório, ou uma combinação de ambos. Até agora, você tem desenvolvido sua metodologia de solução de problemas próprios. Talvez você gostaria de verificar a camada física primeiro. É o cabeamento correto? São todas as luzes de status de interface verde? Talvez você gosta de ping tudo para coletar informações sobre onde a conectividade é inexistente. Então você usa os resultados de sua conectividade testes para isolar os problemas e drill down mais profundo. Talvez você só intuitivamente busca de soluções, utilizando sua experiência passada para orientar. Independentemente do seu método, uma metodologia de resolução de problemas sistemática pode ajudar a solucionar problemas de forma mais eficiente e com melhor sucesso. Existem três métodos principais para solução de problemas redes usando as camadas do modelo OSI: ■ de baixo para cima: Comece com os componentes físicos e mover-se através das camadas até que a problema é isolado. Usar essa abordagem quando o problema é suspeito de ser um físico um. A maioria dos problemas de rede reside nos níveis mais baixos, de modo a implementação de baixo para cima abordagem geralmente resulta em resultados efetivos.
  • 35.
    ■ cima parabaixo: Comece com a aplicação do usuário final e mover para baixo através das camadas até o problema é isolado. Usar essa abordagem para os problemas mais simples ou quando você acha que o problema é com um pedaço de software. ■ Dividir para conquistar: Comece por recolher a experiência do usuário, documentando os sintomas, e, em seguida, usar essas informações, dar um palpite informado em qual camada OSI para começar sua investigação. Depois de verificar que uma camada está funcionando corretamente, suponha que o camadas abaixo dela estão funcionando, e trabalhar até as camadas OSI. Se uma camada OSI não está funcionando corretamente, trabalhar sua maneira para baixo o modelo de camada OSI. Para efetivamente solucionar problemas de rede, o tempo necessário para selecionar a rede mais eficaz solução de problemas método. Hoje estamos apenas a revisão dos métodos gerais usados para solucionar problemas problemas de rede. Nos próximos dias, vamos discutir solução de problemas em mais detalhes à medida que exploramos aplicação específica em situações de comutação e roteamento tecnologias. Recursos estudo Para os temas de hoje do exame, consulte os seguintes recursos para mais estudo.
  • 37.
    parte II Conceitos decomutação e configuração Dia 28: Switches Ethernet Conexão e Tecnologia Dia 27: Segmentação de Rede e Conceitos de comutação Dia 26: A configuração básica de switch e Segurança Portuária Dia 25: Verificação e solução de problemas básica de um switch configurações Dia 24: Switching Tecnologias e Conceitos de VLAN Dia 23: VLAN Trunking e configuração e Solução de problemas Dia 22: VTP e InterVLAN Roteamento de configuração e Solução de problemas Switches Ethernet e conexão tecnologia Exame CCNA 640-802 Tópicos ■ Explicar a tecnologia e mídia método de controle de acesso para redes Ethernet. ■ Selecione a mídia apropriada, cabos, portas e conectores para conectar switches para outra rede dispositivos e hosts. Tópicos-chave Ethernet tem continuado a evoluir a partir do sabor 10BASE2 capaz de atingir velocidades até 185 Mbps para o mais novo 10GigE (10 Gigabit Ethernet) capaz de atingir velocidades até 10 Gbps. Desde 1985, o IEEE continuou a melhorar a 802,3 padrões para fornecer velocidades mais rápidas, sem alterar a base estrutura de quadros. Esse recurso, entre outros, fez a escolha Ethernet LAN para implementações em todo o mundo. Hoje fazemos uma revisão tecnologias Ethernet e operação em ambos os dados da ligação e camada física. Resumo Ethernet 802.3 é o padrão IEEE para Ethernet, e ambos os termos são comumente usados como sinônimos. o termos Ethernet e 802.3 ambas se referem a uma família de padrões que juntas definem o físico e camadas de dados ligação da tecnologia LAN definitiva. Figura 28-1 mostra uma comparação de Ethernet padrões para o modelo OSI. Figura 28-1 Padrões Ethernet eo Modelo OSI
  • 38.
    Ethernet separa asfunções da camada de enlace em duas subcamadas distintas: ■ Logical Link Control subcamada (LLC): definido no padrão 802.2. ■ Media Access Control (MAC) subcamada: definido no padrão 802.3. A subcamada LLC manipula a comunicação entre a camada de rede e da subcamada MAC. em geral, LLC fornece uma maneira para identificar o protocolo que é passada da camada de enlace de dados para o camada de rede. Desta forma, os campos da subcamada MAC não são preenchidas com o tipo de protocolo informação, como foi o caso na anterior implementações Ethernet. A subcamada MAC tem duas responsabilidades principais: ■ encapsulamento de dados: inclui a montagem de quadros antes da transmissão, análise sobre a estrutura recepção de um frame, camada de enlace de dados de endereçamento MAC, e detecção de erros. ■ Media Access Control: Porque Ethernet é uma mídia compartilhada e todos os dispositivos podem transmitir a qualquer momento, acesso à mídia é controlada por um método chamado Carrier Sense Multiple Access com Detecção de Colisão (CSMA / CD). Na camada física, Ethernet especifica e implementa esquemas de codificação e decodificação que permitir que pedaços de quadro para ser realizado como sinais em ambas as par trançado não blindado (UTP) de cabos de cobre e os cabos de fibra óptica. Em implementações cedo, Ethernet utilizado cabeamento coaxial.
  • 39.
    Legado Ethernet Technologies Etherneté melhor entendida pela primeira considerando os dois primeiros especificações Ethernet-10BASE5 e 10BASE2. Com estas duas especificações, o engenheiro de rede instala uma série de coaxial cabos de ligação de cada dispositivo na rede Ethernet, conforme mostrado na Figura 28-2. Figura 28-2 Ethernet Topology Bus Físico e Lógico A série de cabos cria um circuito elétrico, chamado de ônibus, que é compartilhada entre todos os dispositivos em da Ethernet. Quando um computador deseja enviar alguma bits para outro computador no ônibus, ele envia uma sinal elétrico, ea eletricidade se propaga para todos os dispositivos na Ethernet. Com a mudança de mídia para UTP e da introdução do primeiro hubs, Ethernet topologias físicas migraram para uma estrela, como mostrado na Figura 28-3. Independentemente da mudança na topologia física de um ônibus para uma estrela, hubs operam logicamente similares para uma topologia de barramento tradicionais e requerem o uso de CSMA / CD.
  • 40.
    CSMA / CD Porqueé uma Ethernet de mídia compartilhada, onde cada dispositivo tem o direito de enviar a qualquer momento, ele também define uma especificação para como garantir que apenas um dispositivo envia o tráfego de cada vez. o CSMA / CD algoritmo define como o ônibus Ethernet lógica é acessado. CSMA / CD lógica ajuda a evitar colisões e também define como agir quando uma colisão ocorre. O algoritmo CSMA / CD funciona da seguinte forma: 1. Um dispositivo com um quadro para enviar escuta até que a Ethernet não está ocupado. 2. Quando a Ethernet não está ocupado, o remetente (s) começar (s) de enviar o quadro. 3. O remetente (s) listen (s) para se certificar de que nenhuma colisão ocorreu. 4. Se uma colisão ocorre, os dispositivos que havia sido o envio de um quadro de cada um enviar um sinal de interferência para garantir que todas as estações de reconhecer a colisão. 5. Após o bloqueio é completo, cada remetente randomizes um temporizador e espera que, muito antes tentando reenviar o quadro colidiram. 6. Quando cada um temporizador aleatório expira, o processo começa de novo desde o início. Quando CSMA / CD está em vigor, isso também significa que o cartão de um dispositivo de interface de rede (NIC) está operando em modo half-duplex-enviando ou recebendo frames. CSMA / CD é desativada quando uma NIC detectará automaticamente que ele pode operar em ou é manualmente configurado para operar em modo full-duplex. em modo full duplex, uma placa de rede pode enviar e receber simultaneamente. Resumo legado Ethernet Hoje, você pode ocasionalmente usar hubs LAN, mas você vai switches usam mais provável, em vez de hubs. No entanto, tenha em mente os seguintes pontos-chave sobre a história da Ethernet: ■ O original Ethernet LANs criado um ônibus elétrico para que todos os dispositivos conectados. Repetidores ■ 10BASE2 e 10BASE5 estendeu o comprimento de LANs limpando o elétrica sinal e repeti-lo-a Layer 1-função, mas sem interpretar o significado da elétrica sinal. ■ Hubs são repetidores que fornecem um ponto de conexão central para cabeamento UTP, mas eles ainda criar um único ônibus elétricos, compartilhada por vários dispositivos, assim como 10Base5 e 10Base2. ■ Como as colisões podem ocorrer em qualquer desses casos, Ethernet define o algoritmo CSMA / CD, que conta como ambos os dispositivos de evitar colisões e agir quando colisões ocorrer. Atual Ethernet Technologies
  • 41.
    Consulte novamente aFigura 28-1 e observe os diferentes padrões de 802,3. Cada padrão nova camada física do IEEE requer muitas diferenças na camada física. No entanto, cada um destes física padrões camada usa o cabeçalho 802,3 mesmo, e cada um usa a subcamada LLC superior também. Tabela 28-1 listas de hoje mais comumente utilizados padrões IEEE Ethernet de camada física. Cabeamento UTP Os três padrões mais comuns usados hoje Ethernet-10BASE-T (Ethernet), 100BASE-TX (Fast Ethernet, ou FE), e 1000BASE-T (Gigabit Ethernet, ou GE), use cabeamento UTP. alguns dos principais diferenças existem, particularmente com o número de pares de fios necessários em cada caso e no tipo (categoria) de cabeamento. O cabeamento UTP utilizado pelos padrões populares Ethernet incluem dois ou quatro pares de fios. o extremidades do cabo normalmente usa um conector RJ-45. O conector RJ-45 tem oito locais físicos específicos em que os oito fios do cabo pode ser inserido, chamado posições pino ou, simplesmente, pinos. O Telecommunications Industry Association (TIA) e da Electronics Industry Alliance (EIA) definir normas para cabeamento UTP, código de cores para fios e pinagem padrão nos cabos. Figura 28-4 mostra dois padrões TIA / EIA pinout, com a codificação de cores e números pares listados.
  • 42.
    Para o exame,você deve estar bem preparado para escolher qual tipo de cabo (straight-through ou crossover) é necessária em cada parte da rede. Em suma, os dispositivos em extremidades opostas de um cabo que use o mesmo par de pinos para transmitir precisa de um cabo crossover. Dispositivos que usam um par oposto de pinos para transmitir precisa de um cabo straight-through. Dispositivos tabela 28-2 listas típicas e os pares de pinos eles usam, assumindo que eles usam 10BASE-T e 100BASE-TX. Tabela 28-2 10BASE-T e 100BASE-TX Pairs Pin Usado Dispositivos que transmitem em 1,2 e 3,6 de recebimento em dispositivos que transmitem em 3,6 e 1,2 de recebimento em NICs Hubs PC Switches roteadores Ponto de acesso sem fio (Ethernet interface) N / A Impressoras de rede (impressoras que se conectam diretamente à rede local) N / A 1000BASE-T requer quatro pares de fios porque Gigabit Ethernet transmite e recebe em cada uma das os quatro pares de fios simultaneamente. No entanto, Gigabit Ethernet tem um conceito de cabos straight-through e crossover, com um pequena diferença nos cabos crossover. A pinagem de um cabo straight- through são os mesmos- pino 1 ao pino 1, o pino 2 ao pino 2, e assim por diante. O cabo crossover atravessa a par de dois fios mesmo que o cabo crossover para os outros tipos de Ethernet-o par de pinos 1,2 e 3,6, bem como cruzamento os dois outros pares (o par de pinos de 4,5 com o par de pinos de 7,8). Benefícios do Uso de Switches Um domínio de colisão é um conjunto de dispositivos cuja frames poderia colidir. Todos os dispositivos em um 10BASE2, 10BASE5, ou qualquer rede usando um hub de risco de colisões entre os quadros que eles enviam, para que todos os dispositivos em um desses tipos de redes Ethernet estão no mesmo domínio de colisão e usar
  • 43.
    CSMA / CDpara detectar e resolver conflitos. Switches LAN reduzir significativamente, ou até mesmo eliminar, o número de colisões em uma LAN. ao contrário hubs, switches não criar um único barramento compartilhado. Em vez disso, switches faça o seguinte: Switches ■ interpretar os bits do quadro recebido para que possam normalmente enviar o quadro para fora a porta de um necessário, ao invés de todas as outras portas. ■ Se um parâmetro necessidades de transmitir vários quadros com a mesma porta, o switch armazena os frames na memória, o envio de um de cada vez, evitando colisões. Além disso, switches com apenas um dispositivo por cabo para cada porta do switch permite o uso de FullDuplex operação. Full-duplex significa que a NIC pode enviar e receber ao mesmo tempo, de forma eficaz duplicando a largura de banda de um link de 100 Mbps até 200 Mbps-100 Mbps para enviar e 100 Mbps para receber. Estas características chave aparentemente simples proporcionar melhorias significativas de desempenho em comparação com o uso de hubs. Em especial: ■ Se apenas um dispositivo esteja conectado a cada porta de um switch, sem colisões podem ocorrer. ■ dispositivos conectados a uma porta do switch não compartilham de sua largura de banda com os dispositivos conectados a outra porta do switch. Cada um tem a sua própria largura de banda separado, o que significa que um interruptor com 100 Portas Mbps tem 100 Mbps de largura de banda por porta. Ethernet Endereçamento O IEEE define o formato ea atribuição de endereços LAN. Para garantir um único endereço MAC, a primeira metade do endereço identifica o fabricante da placa. Este código é chamado de organizacionalmente identificador único (OUI). Cada fabricante atribui um endereço MAC com os seus próprios OUI a primeira metade do endereço. A segunda metade do endereço é atribuído pelo fabricante e é nunca usado em outra placa ou interface de rede com a mesma OUI. Figura 28-5 mostra a estrutura de um endereço Ethernet unicast. Figura 28-5 Estrutura da Unicast Endereço Ethernet
  • 44.
    Ethernet também temendereços do grupo, que identificam mais de uma NIC ou interface de rede. o IEEE define duas categorias gerais de endereços de grupo para Ethernet: ■ endereços Broadcast: O endereço de broadcast implica que todos os dispositivos na LAN devem processo do quadro e tem um valor de FFFF.FFFF.FFFF. ■ endereços Multicast: endereços Multicast são utilizadas para permitir um subconjunto de dispositivos em uma LAN para comunicar. Quando multicasts IP sobre uma rede Ethernet, o MAC multicast endereços utilizados por IP seguir este formato: 0100.5exx.xxxx, onde qualquer valor pode ser usado na última metade do endereço. Framing Ethernet A camada física ajuda a obter uma seqüência de bits de um dispositivo para outro. O enquadramento do os bits permite que o dispositivo de recepção para interpretar os bits. O enquadramento refere-se à definição de os campos a ser assumida em dados que são recebidos. Enquadramento define o significado dos bits transmitidos e recebidos em uma rede. O enquadramento usado para Ethernet mudou um par de vezes ao longo dos anos. Cada iteração do Ethernet é mostrado na Figura 28-6, com a versão atual mostrado na parte inferior. Figura 28-6 Quadro Formatos Ethernet
  • 45.
    O Papel daCamada Física Nós já discutimos o cabeamento mais popular usado em LANs-UTP. Mas para entender completamente o funcionamento da rede, você deve conhecer alguns conceitos básicos adicionais da física camada. A camada OSI física aceita um quadro completo da camada de enlace de dados e codifica-lo como uma série de sinais que são transmitidos para a mídia local. A entrega de quadros através da mídia local exige os seguintes elementos de camada física: ■ A mídia física e conectores associados ■ Uma representação de bits na mídia ■ Codificação de dados e informações de controle ■ transmissor e receptor de circuito sobre os dispositivos de rede Há três formas básicas de mídia de rede em que os dados são representados: ■ O cabo de cobre ■ Fiber ■ Wireless (IEEE 802.11)
  • 46.
    Bits são representadosna mídia por mudar uma ou mais das seguintes características de um sinal: ■ Amplitude ■ Frequency Fase ■ A natureza dos sinais reais que representam os bits na mídia vai depender da sinalização método em uso. Alguns métodos podem usar um atributo de um sinal para representar um único 0 e usar outro atributo de um sinal para representar um 1 single. O método actual de sinalização e as suas minuciosas operação não são importantes para sua preparação para o exame CCNA.
  • 48.
    Segmentação de redee Conceitos de comutação Exame CCNA 640-802 Tópicos ■ Explicar a segmentação da rede e conceitos básicos de gestão de tráfego. ■ Explicar os conceitos básicos de comutação e operação de switches Cisco. Tópicos-chave Hoje nós revemos os conceitos por trás de comutação, incluindo a história do desenvolvimento da comutação, como a mudança realmente funciona, bem como a variedade de recursos switch. Também revisamos como acessar dispositivos Cisco, o IOS comandos básicos para navegar pela interface de linha de comando (CLI) e os detalhes de como os arquivos de configuração são gerenciados. Evolução para Switching LANs de hoje quase que exclusivamente usam switches para interligar dispositivos final, no entanto, isso não foi sempre o caso. Inicialmente, os dispositivos foram conectados a um barramento físico executar um longo da espinha dorsal coaxial cabeamento. Com a introdução do 10BASE-T cabeamento UTP e, o centro ganhou popularidade como um mais barato, maneira mais fácil para conectar dispositivos. Mas mesmo 10BASE-T com hubs tinha as seguintes limitações: ■ Um quadro que está sendo enviado de um dispositivo pode colidir com um quadro enviado por um outro dispositivo conectado a esse segmento LAN. Dispositivos estavam no mesmo domínio de colisão partilha a largura de banda. ■ Transmissões enviadas por um dispositivo foram ouvidos por e processado por, todos os outros dispositivos na LAN. Dispositivos estavam no mesmo domínio de broadcast. Semelhante ao hubs, switches frente transmissão frames para fora todas as portas exceto a porta de entrada. As portas do switch pode ser configurado em vários VLANs, que segmentá-los em domínios de broadcast. Ethernet pontes foram desenvolvidos em breve para resolver alguns dos problemas inerentes a uma LAN compartilhada. A ponte basicamente segmentada LAN um em dois domínios de colisão que ■ Reduziu o número de colisões que ocorreram em um segmento de LAN ■ Aumento da largura de banda disponível Quando muda chegaram ao local, estes dispositivos previstos os mesmos benefícios de pontes, bem como as seguintes: ■ Um número maior de interfaces para quebrar o domínio de colisão em segmentos mais ■ baseado em hardware de comutação em vez de usar software para tomar a decisão Em uma LAN onde todos os nós estão conectados diretamente ao switch, o throughput da rede aumenta dramaticamente. Com cada computador conectado a uma porta separada no comutador, cada um está em um
  • 49.
    domínio de colisãoseparado e tem seu próprio segmento dedicado. As três principais razões para este aumento são as seguintes: ■ largura de banda dedicada para cada porta ■ ambiente livre de colisão ■ Operação Full-duplex Comutação de lógica Switches Ethernet seletivamente frente quadros individuais de uma porta de recepção para a porta onde o nó de destino está conectado. Durante esse instante, o switch cria uma banda completa, lógica ponto-a-ponto de conexão entre os dois nós. Switches criar esta conexão lógica com base na origem e destino de Controle de Acesso de Mídia (MAC) no cabeçalho Ethernet. Especificamente, o trabalho principal de um switch LAN é receber quadros Ethernet e depois tomar uma decisão: ou a frente do quadro ou ignorar o quadro. Para realizar isto, o switch executa três ações: 1. Decide quando a frente de um quadro ou quando para filtrar (não para a frente) uma moldura, com base no destino Endereço MAC 2. Aprende os endereços MAC, examinando o endereço MAC de origem de cada quadro recebido por a ponte 3. Cria um (Layer 2) o ambiente livre de laço com outras pontes usando Spanning Tree Protocol (STP) Para tomar a decisão para a frente ou de filtro, o switch utiliza uma tabela de endereços MAC dinamicamente construída armazenadas na memória RAM. Ao comparar o quadro de destino endereço MAC com os campos na tabela, o interruptor decide como encaminhar e / ou filtrar a frame. Por exemplo, na Figura 27-1 o switch recebe um quadro do Host A com o MAC de destino Endereço OC. O interruptor olha em sua tabela MAC e encontra uma entrada para o endereço MAC e encaminha o quadro de porta de saída 6. O switch também filtra o quadro por não encaminhá-lo para fora de qualquer outro portuárias, incluindo a porta na qual o quadro foi recebido. Além de encaminhamento e filtragem de quadros, a mudança irá também atualizar o timestamp para o endereço MAC de origem do quadro. Na Figura 27-1, o endereço MAC para o Host A, OA, já está em tabela MAC. Assim, o interruptor atualiza a entrada. Entradas que não são atualizados serão eventualmente removida (após 300 segundos no Cisco IOS). Continuando o exemplo na Figura 27-1, assume outro dispositivo, E Host, é ligado à porta 10. Host B envia um quadro para o novo host E. A chave ainda não sabe onde E é
  • 50.
    anfitrião localizado. Então, eleencaminha o frame para todas as portas ativas, exceto para a porta na qual o quadro foi recebido. E o novo host irá receber o frame. Quando se respostas para o Host B, o switch vai aprender Endereço do host E do MAC ea porta pela primeira vez e armazená-lo na tabela de endereços MAC. Quadros subseqüentes destinados Anfitrião E só será enviado pela porta 10 Finalmente, switches LAN deve ter um método para a criação de um caminho livre de laço para quadros de tomar dentro a LAN. STP oferece prevenção de loop em redes Ethernet redundantes, onde existem ligações físicas. Dia 24, "Tecnologias e Conceitos de comutação VLAN," opiniões STP em mais detalhes. Domínios de Colisão e Broadcast Um domínio de colisão é o conjunto de interfaces LAN cujos quadros poderia colidir uns com os outros. todos ambientes compartilhados de mídia, como aqueles criados usando hubs, são domínios de colisão. quando um host é conectado a uma porta do switch, o switch cria uma conexão dedicada eliminando assim a potencial de uma colisão. Switches reduzir colisões e melhorar o uso da largura de banda em segmentos de rede porque eles fornecem a largura de banda dedicada para cada segmento de rede. No entanto, fora da caixa, um interruptor não pode fornecer alívio de tráfego de broadcast. Uma coleção de conectados interruptores forma um domínio de broadcast de grande porte. Se um quadro com o endereço de destino FFFF.FFFF.FFFF atravessa uma porta do switch, que o interruptor deve, então, inundar o quadro para fora todos os outros ativos portos. Cada dispositivo conectado processo deve, então, o quadro de transmissão, pelo menos, até a camada de rede. Roteadores e VLANs são utilizadas para os domínios de broadcast segmento. Dia 24 opiniões o uso de VLANs para transmissão domínios segmento. Encaminhamento de quadros Switches operam em várias maneiras de transmitir frames. Eles podem diferir em métodos de encaminhamento, a porta velocidades, o buffer de memória, e as camadas OSI utilizado para tomar a decisão de encaminhamento. as seções que seguem discutir esses conceitos com mais detalhes. Mudar métodos de encaminhamento No passado, switches utilizado um dos métodos a seguir para o encaminhamento de comutação de dados entre portas de rede: ■ Store-and-forward: O switch armazena recebeu quadros em seus buffers, análises
  • 51.
    cada quadro paraobter informações sobre o destino, e avalia a integridade dos dados usando o verificação de redundância cíclica (CRC) no trailer frame. Todo o quadro é armazenado e CRC calculado antes de qualquer quadro é encaminhado. Se o CRC passes, o quadro é encaminhado para o destino. ■ Cut-through switching: O interruptor de buffers apenas o suficiente do quadro de ler o destino Endereço MAC para que ele possa determinar a qual porta de transmitir os dados. Após o interruptor determina se há uma correspondência entre o endereço MAC de destino e uma entrada no Tabela de endereços MAC, o quadro é encaminhado para a porta apropriada (s). Isto acontece como o resto do quadro inicial ainda está sendo recebida. O switch não executa nenhuma verificação de erros na armação. Comutação simétrica e assimétrica Comutação simétrica fornece conexões comutadas entre portas com a mesma largura de banda, tais como todos os 100 Mbps portas ou todas as portas 1000 Mbps. Um switch LAN assimétrica fornece conexões comutadas entre os portos de largura de banda, ao contrário, como uma combinação de 10 Mbps, 100 Mbps, e Portas 1000 Mbps. Buffering memória Switches frames loja por um tempo breve em um buffer de memória. Existem dois métodos de memória buffering: ■ memória Port-based: Frames são armazenadas em filas que estão ligados a portas de entrada. ■ A memória compartilhada: Os quadros são depositados em um buffer de memória comum, que todas as portas no interruptor partes. Layer 2 e Layer 3 Switching A Layer 2 switch LAN switching e realiza a filtragem baseada somente em endereços MAC. A camada 2 interruptor é completamente transparente para os protocolos de rede e aplicativos do usuário. Um switch de camada 3 funciona de forma semelhante a um switch Layer 2. Mas em vez de usar apenas o Layer 2 informações de endereço MAC para as decisões de encaminhamento, um switch de camada 3 também pode usar informações de endereço IP. Layer 3 interruptores são também capazes de executar funções de roteamento Layer 3, reduzindo a necessidade de dedicados roteadores em uma LAN. Porque Layer 3 switches possuem hardware de comutação especializadas, que podem tipicamente encaminhar os dados tão rapidamente quanto eles podem mudar de dados. Como acessar e navegar Cisco IOS
  • 52.
    Até agora, vocêestão muito familiarizados com a conexão de dispositivos Cisco e configurá-los usando o de linha de comando interface (CLI). Aqui, nós rever rapidamente os métodos para acessar e navegar CLI. Conectando-se a dispositivos Cisco Você pode acessar um dispositivo direta ou de um local remoto. Figura 27-2 mostra as muitas maneiras que você pode se conectar a dispositivos Cisco. 46 31 Dias antes de seu exame CCNA As duas maneiras de configurar dispositivos Cisco são as seguintes: ■ Console terminal: Use um conector RJ-45 para RJ-45 cabo rollover e um computador com o terminal software de comunicação (como Prazo, HyperTerminal Tera, e assim por diante) para estabelecer uma relação directa conexão. ■ terminal remoto: Use um modem externo conectado à porta auxiliar-routers apenas para configurar remotamente o dispositivo. Uma vez configurado, você pode acessar o dispositivo usando três métodos adicionais: ■ Estabelecer um terminal sessão (vty) usando Telnet. ■ Configurar o dispositivo através da conexão atual (console ou auxiliar), ou baixar um escrito anteriormente arquivo startup-config de um Trivial File Transfer Protocol (TFTP) em da rede. ■ Baixe um arquivo de configuração usando um software de gerenciamento de
  • 53.
    rede, tais como CiscoWorks. SessõesCLI EXEC Cisco IOS separa a sessão EXEC em dois níveis de acesso básicos: ■ modo EXEC Usuário: Acesso a apenas um número limitado de monitoramento e solução de problemas básicos comandos, como show e ping. ■ Modo EXEC privilegiado: o acesso total a todos os comandos do dispositivo, incluindo configuração e de gestão. Usando o recurso de Ajuda Cisco IOS tem uma extensa linha de comando recursos de entrada de ajuda, incluindo ajuda sensível ao contexto. o a seguir resume os dois tipos de ajuda disponíveis: ■ a ajuda do Word: Digite uma seqüência de caracteres de um comando incompleto imediatamente seguido por um ponto de interrogação (sh?) para obter uma lista de comandos disponíveis que começam com a seqüência de caracteres. ■ ajudar a sintaxe de comando: Digite o? comando para obter ajuda para a sintaxe de comando para ver todas as argumentos disponíveis para completar um comando (show?). IOS em seguida, exibe uma lista de disponíveis argumentos Como parte do mecanismo de ajuda, IOS exibe mensagens de erro do console quando sintaxe de comando incorreto é inserido. Tabela 27-1 mostra mensagens de erro da amostra, o que significam, e como obter ajuda quando eles são exibidos. Tabela 27-1 Mensagens de erro do Console Erro Significado Exemplo Como obter ajuda mensagem switch # cl Você não inseriu suficiente Redigite o comando seguido por um Personagens ambíguos% para o dispositivo de ponto de interrogação (?), Sem um espaço comando: "cl" reconhecer o comando. entre o comando ea questão marca. As palavras-chave possíveis que você pode entrar com o comando são exibidos. switch # clock Você não inseriu todos os Redigite a do comando seguido de um Comando% incompleto. palavras-chave ou valores necessários ponto de interrogação (?), com um espaço entre por este comando. o comando eo ponto de interrogação. switch # ste relógio Você digitou o comando Enter um ponto de interrogação (?) para exibir todos ^ Incorretamente. O acento circunflexo (^) os comandos disponíveis ou parâmetros. Input% inválido detectado marca o ponto do erro. em '^' marcador.
  • 54.
    Seta para adireita ou Ctrl-F Isso move o cursor para a frente no comando exibido atualmente sem exclusão de caracteres. (A F está para a frente.) Guia Conclui uma entrada de nome parcial de comando. Backspace Isso move o cursor para trás no comando exibido atualmente, a exclusão caracteres. Ctrl-A Isso move o cursor diretamente para o primeiro caractere do atualmente exibido comando. Ctrl-E Isso move o cursor diretamente para o final do comando exibido no momento. Ctrl-R Este exibe novamente a linha de comando com todos os personagens. É útil quando as mensagens a desordem da tela. Ctrl-D Isso exclui um único personagem. Esc-B Isso move uma palavra para trás. Esc-F Este avança uma palavra. No-More - Prompt Tecla Enter Exibe a próxima linha. Espaço Bar Exibe a próxima tela. Quaisquer outros alfanumérico Devoluções chave para o prompt EXEC. Chaves quebra Ctrl-C Quando estiver em modo de configuração, este termina o modo de configuração e retorna ao modo EXEC privilegiado. Quando em modo de configuração, aborta volta para o prompt de comando. Ctrl-Z Quando, em qualquer modo de configuração, este termina o modo de configuração e retorna ao modo EXEC privilegiado. Quando em modo de usuário ou EXEC privilegiado, faz o logout do roteador.
  • 55.
    Ctrl-Shift-6 seqüência dequebrar todos os fins. Use para pesquisas abortar DNS, traceroutes, pings. Seta um parágrafo Direita OU Ctrl-F move cursor de Isso o Pará a Frente não commando exibido atualmente SEM Exclusão de Caracteres. (A F está offline Pará a Frente.) Guia Conclui UMA Entrada de nomo parcial de commando. Backspace mover o cursor de Isso parágrafo Trás exibido atualmente no comando, a Exclusão Caracteres. Ctrl-Um movimento de Isso o cursor Treatement parágrafo O Primeiro Caractere fazer atualmente exibido commando. Ctrl-E mover o cursor de Isso Treatement o parágrafo final, do commando exibido no Momento. Ctrl-R Este exibe Novamente uma Linha de comando com de Todos os Personagens. Útil quando e como Mensagens uma Desordem da Tela. Ctrl-D de Isso exclui hum Único Personagem. Esc-B move de Isso UMA Palavra parágrafo Trás. Esc-F Este Avança UMA Palavra. No-More - Prompt Tecla Enter Exibe uma Linha Proxima. Espaço Bar Exibe uma Tela Proxima. Quaisquer Outros alfanumérico Devoluções chave par o prompt de EXEC. Chaves quebra Ctrl-C Quando estiver los MoDo de configuração, this terminação o MoDo de configuração e retorna AO MoDo EXEC privilegiado. Quando los MoDo de configuração, aborta Volta par o prompt de comando de. Ctrl-Z Quando, EM QUALQUÉR MoDo de configuração, this terminação o MoDo de configuração e retorna AO MoDo EXEC privilegiado. Quando los MoDo de Usuário OU EXEC privilegiado, FAZ o sair do Roteador. Ctrl- Shift-6 sequencia de quebrar barbatanas Todos os. Use parágrafo Pesquisas abortar DNS, traceroutes, pings. mudar tamanho do histórico terminal 50 # Configura o tamanho do histórico terminal. A história terminal pode manter 0 até 256 linhas de comando. switch # terminal sem história tamanho Redefine o tamanho do histórico terminal para o valor padrão de 10 linhas de comando. switch # terminal sem história Desativa história terminal. Exame Comandos IOS Para verificar e solucionar problemas de operação de rede, você pode usar comandos de show. Figura 27-3 delineia a comandos show diferente, como se segue: ■ Se eles são aplicáveis a IOS (armazenada na memória RAM) ■ Se elas se aplicam ao arquivo de configuração de backup armazenadas em NVRAM ■ Se eles se aplicam a flash ou interfaces específicas Figura 27-3 Comandos show típico e as informações fornecidas
  • 56.
    Modos Subconfiguration Para entrarno modo de configuração global, digite o comando configure terminal. Do global modo de configuração, IOS proporciona uma infinidade de modos subconfiguration. Tabela 27-4 resume os modos mais comuns subconfiguration pertinentes para o exame CCNA. Armazenar e apagar arquivos de configuração Quando você configurar um dispositivo Cisco, ele precisa ser capaz de manter a configuração na memória caso mudar o router ou perde poder. Dispositivos Cisco tem quatro tipos principais de memória. Figura 27-4 mostra esses tipos de memória e quatro a função principal de cada um. Figura 27-4 Memória Cisco tipos de dispositivos Dispositivos Cisco usar dois arquivos, um arquivo de configuração usado quando o dispositivo está ligado, e outro arquivo para o ativo, de configuração usados atualmente em execução na RAM. Tabela 27-5 lista os nomes desses arquivos, seu propósito, e onde eles são armazenados na memória.
  • 57.
    Tabela 27-5 Nomese Finalidades dos dois principais Cisco IOS arquivos de configuração Finalidade configuração Nome do arquivo onde é armazenado Startup-config armazena a configuração inicial usado NVRAM qualquer momento o interruptor recarrega Cisco IOS. Executando-config armazena os comandos de configuração usados atualmente. RAM Este arquivo muda dinamicamente quando alguém entra em modo de comandos de configuração. Arquivos de configuração também podem ser armazenadas em um servidor TFTP. Os arquivos de configuração pode ser copiado entre a RAM, NVRAM, e um servidor TFTP usando os comandos copiar, como mostrado na Figura 27-5. Figura 27-5 Configuração Comandos de cópia de arquivo e locais de armazenamento Você pode usar três comandos para apagar o conteúdo da NVRAM. O apagar escrever e apagar startup- comandos de configuração são mais velhos, enquanto que a nvram apagar: comando é o mais recente, e recomendou, comando. Todos os três comandos apagar o conteúdo do arquivo de configuração NVRAM.
  • 58.
    Dia 26 Configuração básicade switch e Porto Segurança Exame CCNA 640-802 Tópicos ■ Executar, salvar e verificar as tarefas de configuração opção inicial, incluindo a gestão de acesso remoto. ■ Implementar e verificar a segurança básica de switch (incluindo a segurança portuária, os portos não atribuído, tronco acesso, e assim por diante). Tópicos-chave Hoje nós revemos os comandos necessários para realizar uma configuração básica inicial de um switch. Para segurança básica de switch, revisamos mudança virtual padrão redes locais (VLANs), Secure
  • 59.
    Shell configuração (SSH),e de segurança portuária. Comandos de Configuração Básica de um Switch Tabela 26-1 opiniões comandos básicos de configuração switch. Tabela 26-1 Comandos de Configuração Básica de um Switch Comando Sintaxe do Comando Descrição Entrar no modo de configuração global. Switch # configure terminal Configure um nome para o dispositivo. Switch (config) # hostname S1 Entrar na interface de configuração do modo S1 (config) # interface vlan 123 para a interface de 123 VLAN. Configurar o endereço IP da interface. S1 endereço (config-if) # ip 172.17.99.11 255.255.255.0 Permitir a interface. S1 (config-if) # no shutdown Retornar ao modo de configuração global. S1 (config-if) # exit Entrar na interface para atribuir o VLAN. S1 (config) # interface FastEthernet 0 / 6 Definir o modo de participação na VLAN para a porta. S1 (config-if) # access modo switchport Atribuir a porta a uma VLAN. S1 (config-if) # switchport acesso vlan 123 Configurar o modo duplex interface para ativar auto (config-if) # S1 duplex Configuração duplex AUTO. Configure a velocidade duplex interface e habilitar auto (config-if) # S1 velocidade Configuração de velocidade AUTO. continua Retornar ao modo de configuração global. S1 (config-if) # exit Configure o gateway default no switch. S1 (config) # ip default-gateway 172.17.50.1 Configurar o servidor HTTP para autenticação usando S1 (config) # ip de autenticação http permitir a senha de ativação, que é o método padrão de HTTP de autenticação do usuário do servidor. Habilitar o servidor HTTP. S1 (config) # ip do servidor http Alternar entre o modo de configuração global para a linha S1 (config) # line do console 0 modo de configuração para o console 0. Definir cisco como a senha para o console de linha 0 sobre o switch. S1 (config-line) # password cisco Definir a linha do console para exigir a senha para ser S1 (config-line) # login entrou antes que o acesso é concedido. Retornar ao modo de configuração global. S1 (config-if) # exit Alternar entre o modo de configuração global para a linha S1 (config) # line vty 0 4 modo de configuração para os terminais vty 0 a 4. Definir cisco como a senha para as linhas vty no interruptor. S1 (config-line) # password cisco Definir a linha de vty para exigir a senha a S1 (config-line) # login ser introduzido antes que o acesso é concedido. Retornar ao modo de configuração global. S1 (config-line) # exit Configurar cisco como a senha de ativação S1 (config) # enable password
  • 60.
    cisco para entrar nomodo EXEC privilegiado. Configure classe como a enable secret password S1 (config) # enable secret class para entrar no modo EXEC privilegiado. Criptografa todas as senhas do sistema que são armazenadas em texto claro. S1 (config) # serviço senha de criptografia Configurar um banner login. O caractere # delimita S1 (config) login bandeira # # Autorizado início e no final do banner. Somente pessoal! # Configurar um banner de login MOTD. # O personagem S1 (config) # motd bandeira # Dispositivo delimita o início eo fim do banner. manutenção estarão ocorrendo na sexta- feira! # Voltar ao modo EXEC privilegiado. S1 (config) # final Salvar a configuração atual S1 # copy running-config startup-config a opção de configuração de arranque. Em referência aos comandos na Tabela 26-1, tenha em mente o seguinte: ■ O padrão VLAN para todas as portas é a VLAN 1. Porque é uma prática recomendada para usar uma outra VLAN que o padrão VLAN 1 como o gerenciamento de VLAN, o comando na tabela usa VLAN 123. ■ Por padrão, a VLAN nativa atribuído a troncos também é 802.1Q VLAN 1. É uma melhor segurança prática para definir uma VLAN dummy como o nativo VLAN-a VLAN que é diferente de todos os outras VLANs. Discutimos trunking configuração no dia 23, "e VLAN Trunking Configuração e resolução de problemas. " 54 31 Dias antes de seu exame CCNA Tabela 26-1 Comandos Configuração básica Mudar continuou Comando Sintaxe do Comando Descrição ■ Embora o comando enable password é mostrada na tabela para a completude, este comando é substituído pelo comando enable secret. Se ambos estão inseridos, ignora o IOS permitir comando de senha. ■ Para configurar várias portas com o mesmo comando, use o comando da escala interface. para exemplo, para configurar as portas de 6 a 10 como portas de acesso pertencentes à VLAN 10, você digite o seguinte: Switch (config) # interface gama FastEthernet 0 / 6-10 Switch (config-if-range) # access modo switchport Switch (config-if-range) # access switchport vlan 10 Configurando Acesso SSH Figura 26-1 mostra graficamente as etapas para configurar um switch (ou
  • 61.
    roteador) para darsuporte SSH. Figura 26-1 Etapas de configuração SSH A seguir detalha a descrição das etapas mostrado na figura: Passo 1 Alterar as linhas vty de usar nomes de usuários, quer com nomes de usuários localmente configurado ou um autenticação, autorização e contabilidade servidor (AAA). Na Figura 26-1, o login locais subcomando define o uso de nomes de usuário local, substituindo o login subcomando vty no modo de configuração. Etapa 2 Configurar o interruptor para aceitar conexões tanto Telnet e SSH com o transporte input telnet ssh vty subcomando. (O padrão é telnet de entrada de transporte, omitindo a ssh parâmetro.) Passo 3 Adicione uma ou mais nome nome senha pass valor comandos de configuração global para configurar usuário / senha pares. Etapa 4 Configurar um nome de domínio DNS com a configuração de ip nome de nome de domínio mundial comando. Este comando é necessário somente se você quiser usar um nome de domínio em vez de um endereço IP. Etapa 5 Configure a chave para gerar um pareado chaves pública e privada, bem como uma compartilhada chave de criptografia, usando a chave de criptografia gerar rsa comando de configuração global. Passo 6 Apesar de não mudar os comandos são necessários, cada cliente SSH precisa de uma cópia do interruptor de chave pública antes de o cliente pode se conectar. Configurando Segurança Porta Se você sabe quais dispositivos devem ser conectados e ligados a interfaces
  • 62.
    em particular emum switch, você pode usar a segurança do porto para restringir a interface de modo que apenas os dispositivos previstos podem usá-lo. Este reduz a exposição a alguns tipos de ataques em que o atacante se conecta um laptop à tomada de parede ou usa o cabo ligado a outro dispositivo fim de obter acesso à rede. Porta de configuração de segurança envolve várias etapas. Basicamente, você precisa fazer a porta de acesso porto, o que significa que a porta não está fazendo qualquer trunking VLAN. Então você precisa para ativar a porta segurança e, em seguida, configurar o real Media Access Control (MAC) dos dispositivos permissão para usar essa porta. A lista a seguir descreve as etapas, incluindo os comandos de configuração utilizados: Etapa 1 Configurar a interface para o modo de acesso usando a interface de acesso switchport modo subcomando. Passo 2 Habilitar a segurança do porto usando o switchport porta de segurança de interface subcomando. Passo 3 (Opcional) Especifique o número máximo de endereços MAC permitidos associados a interface com o switchport número máximo de porta de segurança de interface subcomando. (O padrão é um endereço MAC). Passo 4 (Opcional) Defina a ação a tomar quando um frame é recebido de um endereço MAC que não os endereços definidos usando o switchport violação de segurança do porto-{proteger | Restringir | shutdown} interface do subcomando. (A ação padrão é para desligar o porta.) 5A passo Especifique o endereço MAC (es) permissão para enviar quadros para esta interface usando o switchport porta de segurança mac-address comando mac-address. Use o comando várias vezes para definir mais de um endereço MAC. 5B passo Alternativamente, em vez de 5A Step, configurar a interface para aprender dinamicamente e configurar os endereços MAC dos hosts conectados no momento, configurando o switchport porta de segurança endereço mac da interface adesiva subcomando. Quando um dispositivo não autorizado tenta enviar quadros para a interface do switch, o switch pode emitir mensagens informativas, frames descartar a partir desse dispositivo, ou até mesmo descartar quadros de todos os dispositivos por efetivamente desligar o interface. Exatamente a ação que leva a porta do switch depende a opção de configurar no comando violação switchport porta de segurança. Tabela 26-2 listas
  • 63.
    ações que amudança terá com base no fato de configurar a opção proteger, restringir, ou desligamento (Padrão). 56 31 Dias antes de seu exame CCNA Tabela 26-2 Ações Ao Porto Violação de segurança Ocorre Opção no switchport Proteja Restringir Shutdown porta de segurança Comando violação Descarta ofender tráfego Sim Sim Sim Envia log e mensagens SNMP Não Sim Sim Desativa a interface, descartando todo o tráfego Não Não Sim Exemplo 26-1 mostra uma configuração de segurança do porto, onde cada interface de acesso é permitido um máximo de três endereços MAC. Se um quarto MAC é detectado, somente o tráfego do dispositivo infractor será ser descartado. Se a opção de violação não é explicitamente configurado, o tráfego para dispositivos que estão permitido na porta também seria descartado porque a porta seria desligado por padrão.
  • 64.
    Desligando e Protegendonão utilizados Interfaces Interfaces do roteador, como você sabe, deve ser ativada com o comando no shutdown antes que eles se tornar operacional. O exato oposto é verdade para os switches Cisco Catalyst. Para fornecer out-deA- funcionalidade caixa, a Cisco escolheu uma configuração padrão que incluía interfaces que iria trabalhar sem qualquer configuração, incluindo automaticamente negociação de velocidade e duplex. Além disso, todos interfaces são atribuídos ao padrão VLAN 1. Essa configuração padrão expõe muda para algumas ameaças de segurança. As melhores práticas de segurança para interfaces não utilizadas são as seguintes: ■ Administrativamente desativar a interface com o desligamento da interface subcomando. ■ Evite VLAN trunking e VTP, tornando a porta de uma interface nontrunking usando o switchport acessar o modo de interface do subcomando. ■ Atribuir a porta a uma VLAN não utilizados usando o switchport número de acesso da interface vlan subcomando.
  • 66.
    Dia 25 Verificação esolução de problemas básicos Configurações de chave Exame CCNA 640-802 Tópicos ■ Verifique o estado da rede ea operação do switch usando utilitários básicos (incluindo ping, traceroute, telnet, SSH, ARP, ipconfig), show e e comandos de depuração. ■ Identificar, prescrever e resolver problemas comuns de rede comutada por meios de comunicação, problemas de configuração, autonegociação e falhas de hardware switch. ■ Interpretar a saída de mostrar vários e depurar comandos para verificar o status operacional de uma Cisco rede comutada. Pontos-chave Nos dias que virão, vamos analisar a configuração, verificação e solução de problemas associados tarefas com VLANs, trunking, VLAN Trunking Protocol (VTP), Spanning Tree Protocol (STP) e inter-VLAN routing. Hoje vamos nos concentrar em habilidades solução de problemas associados com configuração básica de switch incluindo a verificação de conectividade de rede, interpretação de comandos que exibem o status de interfaces, e usando o Cisco Discovery Protocol (CDP). Metodologia solução de problemas Dia 29,? Fluxo de dados de rede de ponta a ponta,? discutiu a três abordagens para a resolução de problemas sua rede com base nas camadas do modelo OSI: de baixo para cima, de cima para baixo, e dividir e conquistar. Independentemente do método que você usa, aqui estão algumas sugestões gerais para tornar a sua solução de problemas mais eficaz: ■ Entenda a operação da chave normal: Nenhuma quantidade de estudo pode substituir a experiência prática. Com sorte, você já passou muitas horas a configuração muda, pelo menos em um laboratório ambiente ou em um simulador. Os guias de configuração em Cisco.com ajudará a preencher em qualquer lacunas em sua experiência. ■ Criar mapas precisos física e lógica: Porque um interruptor pode criar diferentes segmentos através da implementação de VLANs, as conexões físicas por si só não contam toda a história. Você deve saber como os interruptores estão configurados para determinar quais segmentos (VLANs) existem e como eles são logicamente conectados. ■ Tenha um plano: Antes de tirar conclusões precipitadas, tente verificar de uma forma estruturada que está funcionando eo que não é. Como as redes podem ser complexas, é útil para isolar possíveis problemas domínios. Por exemplo, pode todos os dispositivos na mesma rede local pingar
  • 67.
    um ao outro?Assumindo que o interruptor está configurado corretamente, muitos dos problemas que você encontrar estará relacionada com questões físicas camada (portas físicas e cabeamento). Layer 2 questões poderiam ser o problema como bem, no entanto. O ponto é ter um plano para por onde começar-Layer 1 ou Layer 2 e, em seguida, resolver todos os problemas em que a camada antes de prosseguir. ■ Assumir nada: Não assuma componentes básicos estão funcionando corretamente sem testes -las primeiro. Ele normalmente leva apenas um minuto para verificar o básico (por exemplo, que as portas estão conectado corretamente e ativa), e você pode economizar tempo valioso. As seguintes etapas descrevem um método geral solução de problemas que podem ser usados com qualquer problema em da rede. Este é o método usado nos livros de Wendell Odom no Exame CCNA Oficial Biblioteca de certificação, Terceira Edição: Analisando passo 1 / prever o funcionamento normal. Prever os detalhes do que deve acontecer se a rede está funcionando corretamente, com base em documentação, configuração, e show e saída do comando debug. Passo 2 Problema de isolamento. Determinar o quão longe no caminho esperado do quadro / pacote vai antes que ele não pode ser encaminhados mais longe, novamente com base em documentação, mostrar configuração e e depuração saída do comando. Passo 3 de análise de causa raiz. Identificar as causas subjacentes dos problemas identificados no passo anterior, especificamente, as causas que têm uma ação específica com a qual o problema pode ser corrigido. Na sequência deste processo requer uma variedade de habilidades aprendidas. Você precisa se lembrar da teoria da como as redes devem funcionar, bem como a forma de interpretar a saída do comando mostram que confirma como os dispositivos estão se comportando. Este processo requer o uso de ferramentas de teste, tais como ping e traceroute, para isolar o problema. Finalmente, esta abordagem exige a capacidade de pensar amplamente sobre tudo o que poderia afetar um único componente. Para os nossos propósitos hoje, vamos assumir que todos os problemas potenciais Layer 3 foram descartada para que possamos concentrar em Camada 2 e Camada 1 questões. Em uma LAN comutada, você provavelmente irá necessidade de determinar alguns ou todos os seguintes: ■ endereços MAC de dispositivos envolvidos (PCs e interfaces de router) ■ interfaces de Alterne que estão em uso
  • 68.
    ■ Estado deinterfaces chave ■ comportamento esperado da origem ao destino Verificando a conectividade de rede Usar e interpretar a saída de ferramentas de teste diferentes é muitas vezes o primeiro passo para isolar o causa de um problema de conectividade de rede. O comando ping pode ser usado para testar a conectividade sistematicamente da seguinte forma: ■ Pode um dispositivo de final de ping-se? ■ Pode um dispositivo de final de ping seu gateway padrão? ■ Pode um dispositivo final ping no destino? 62 31 Dias antes de seu exame CCNA Usando o comando ping nesta seqüência ordenada, você pode isolar problemas mais rapidamente. Se a conectividade local não é um problema, em outras palavras, o dispositivo final pode ping com êxito o seu default gateway- usando o utilitário traceroute pode ajudar a isolar em que ponto do caminho da origem ao destino que o trânsito pára. Como um primeiro passo na seqüência de testes, verificar o funcionamento da pilha TCP / IP no host local ping o endereço de loopback, 127.0.0.1, como demonstrado no Exemplo 25-1. Porque este teste deve ter sucesso, independentemente de o host está conectado à rede, uma falha indica um problema de software ou hardware na máquina em si. Tanto a interface de rede não é funcionando corretamente, ou possivelmente o suporte para a pilha TCP / IP foi removida inadvertidamente o sistema operacional. Em seguida, verificar a conectividade para o gateway default. Determine o endereço de gateway padrão usando ipconfig e em seguida, tentar ping-lo, como demonstrado no Exemplo 25-2. Exemplo 25-2 Conectividade Teste para o Default Gateway em um PC Windows
  • 69.
    Falha aqui podeindicar vários problemas, cada um dos quais terá de ser verificado em uma sistemática seqüência. Uma ordem possível pode ser o seguinte: 1. É o cabeamento do PC para a opção correta? São luzes de link estão acesas? 2. É a configuração do PC correta de acordo com o mapa lógico da rede? 3. São as interfaces afetadas no interruptor a causa do problema? Existe um duplex ou velocidade de incompatibilidade? VLAN configurações erradas? 4. É o cabeamento do switch ao roteador correto? São luzes de link estão acesas? 5. É a configuração na interface do roteador correta de acordo com o mapa lógico da rede? É a interface ativa? Por fim, verifique a conectividade com o destino de ping-lo. Suponha que estamos tentando chegar a um servidor em 192.168.3.100. Exemplo 25-3 mostra um teste de ping foi bem sucedido para o destino.
  • 71.
    A nota domotivo da falha nos saltos 3, 4 e 5 do Exemplo 25-4 pode ser que esses roteadores são configurados para não enviar mensagens ICMP de volta para a fonte. O último salto de sucesso no caminho para o destino era 192.168.2.2. Se você tem administrador direitos de 192.168.2.2, você pode continuar sua pesquisa por acessar remotamente a linha de comando em 192.168.2.2 e investigando por que o tráfego não será ir mais longe. Além disso, entre outros dispositivos 192.168.2.2 e 192.168.3.100 poderia ser a fonte do problema. O ponto é, você quer usar seu ping e tracert testes, bem como a documentação da rede para prosseguir na seqüência lógica da origem ao destino. Independentemente de quão simples ou complexa rede da sua é, usando ping e tracert da fonte para o destino é um simples, mas poderosa maneira, de forma sistemática e testar a conectividade localizar quebras em um caminho de uma fonte para um destino. Status da interface e da configuração do comutador Porque hoje estamos nos concentrando na solução de problemas switch, vamos olhar para os comandos mostram que são úteis na solução de sua configuração básica. Códigos de status de interface Em geral, as interfaces são ou "para cima" ou "para baixo". No entanto, quando uma interface é "baixo" e você não sabe por que, o código no comando show interfaces fornece mais informações para ajudar a determinar a razão. Tabela 25-1 lista as combinações de códigos e algumas possíveis causas para o estado indicado .. Descompasso duplex e velocidade Um dos problemas mais comuns são as questões com a velocidade e / ou desencontros duplex. em switches e roteadores, a velocidade {10 | 100 | 1000} interface do subcomando ea meia duplex {|} completa da interface subcomando definir esses valores. Note que a configuração de velocidade e
  • 72.
    duplex em uminterface do switch desativa o processo de auto-negociação IEEE-padrão em que interface. O show de status interfaces e interfaces de mostrar lista de comandos a velocidade eo duplex configurações em uma interface, como mostrado no Exemplo 25-5. Note-se que ambos os comandos irá mostrar as definições de duplex e velocidade da interface. No entanto, o comando show status da interface é o preferido para solucionar
  • 73.
    incompatibilidades duplex ouvelocidade porque ele mostra exatamente como o interruptor determinou o duplex e velocidade da interface. no coluna duplex, um full-significa que o switch autonegotiated full duplex. O meio cheio ou meio ambiente que o interruptor foi configurado nessa configuração duplex. Autonegociação foi desativado. no coluna de velocidade, uma de 100 significa que o switch 100 Mbps autonegotiated como a velocidade. A configuração de 10 ou 100 significa que o interruptor foi configurado com essa definição velocidade. Encontrar uma incompatibilidade duplex pode ser muito mais difícil do que encontrar uma incompatibilidade de velocidade, porque se as configurações de duplex não correspondem nas extremidades de um segmento de Ethernet, a interface do switch ainda estar em um estado de conexão (para cima / para cima). Neste caso, a interface funciona, mas a rede pode funcionar mal, com hosts experimentar um mau desempenho e problemas de comunicação intermitente. para identificar problemas de incompatibilidade duplex, verifique a configuração duplex em cada extremidade do link, e ver para incrementar colisão e contadores de colisão tardia. Problemas comuns Layer 1 On "Up" Interfaces Quando uma interface do switch é "para cima", não significa necessariamente que a interface está operando em um estado ideal. Por esta razão, IOS irá monitorar contadores certas para ajudar a identificar problemas que podem ocorrer mesmo que a interface está em um estado de conexão. Esses contadores são destaque na saída no Exemplo 25-5. Tabela 25-2 resume três tipos gerais de problemas da camada 1 interface que pode ocorrer enquanto uma interface está na "up", estado conectado. Tabela 25-2 Common Camada LAN 1 Indicadores Problema Tipo de valores do contador Problema indicando que este problema comum Causas Raiz Excesso de ruído Muitos erros de entrada, algumas colisões categoria cabo errado (Cat 5, 5E, 6); cabos danificados; EMI Colisões Mais de aproximadamente 0,1% de todos os quadros são colisões incompatibilidade Duplex (visto na halfduplex lado); jabber; ataque DoS Colisões tarde Aumentar domínio de colisão final colisões ou único cabo muito tempo; duplex incompatibilidade
  • 74.
    CDP como Ferramentade Resolução de Problemas CDP descobre informações básicas sobre roteadores conectados diretamente e switches Cisco, enviando CDP mensagens. Exemplo 25-6 mostra a saída de um interruptor que está diretamente ligado a um roteador Cisco. Exemplo de Saída 25-6 Comandos do show cdp
  • 75.
    informação útil: ■ IDdo dispositivo: Normalmente o nome do host ■ endereço de entrada (es): endereços de rede e de enlace de dados ■ Plataforma: O modelo e nível de sistema operacional em execução no dispositivo ■ Capacidades: Informações sobre que tipo de dispositivo é (por exemplo, um roteador ou switch) ■ Interface: A interface do roteador ou switch de emitir o comando show cdp com o qual o vizinho foi descoberto ■ Porto ID: Texto que identifica a porta usada pelo dispositivo vizinhos para enviar mensagens CDP para o dispositivo local
  • 76.
    Também aviso nocomando show interface cdp que cada interface do switch é o envio de CDP mensagens a cada 60 segundos. CDP é habilitado por padrão e, assim, cria um problema de segurança porque CDP mensagens podem ser interceptadas e informações sobre a rede descoberta. CDP pode ser facilmente desabilitado tanto a nível global para todo o dispositivo (sem executar cdp) ou individualmente por interface (não permitir cdp). Comutação Technologies e VLAN Conceitos Exame CCNA 640-802 Tópicos ■ Descrever avançadas Tecnologias de comutação (VTP, RSTP, VLAN, PVSTP, 802.1Q). ■ Como Descrever como as VLANs CRIAM Redes separadas logicamente eA necessidade de roteamento empreendedorismo -Los. ■ Configurar, VerificAR e solucionar Problemas de Operação RSTP. Pontos-chave Redes virtuais LOCAIS (VLANs) São UMA Tecnologia de comutação Utilizados par melhorar o Desempenho da Rede separando SO Área de domínio de transmissão Grandes los Menores. Troncos VLAN fornecer UMA MANEIRA parágrafo hum Interface Física parágrafo Transportar varias VLANs. O Protocolo IEEE 802.1Q e trunking o recomendado
  • 77.
    Método de Marcaçãode Quadros parágrafo OSU los ligações tronco. Em Redes Maiores, Onde HÁ muitos muda parágrafo gerenciar, VLAN Trunking Protocol (VTP) fornece UMA MANEIRA de atualizar automaticamente com muda de Novas Informações OU Modificado VLAN. Spanning Tree Protocol (STP) e SUAS Variantes redundantes permitem Redes comutadas SEM SE preocupar com uma loops Mudança. Embora STP PoDE serviços alguns com tweaked comandos, e executado Por Padrão, nao precisando de nenhum ajuste los Tudo. Conceitos VLAN Apesar de hum switch "out of the box" e configurado par ter apenas UMA VLAN, normalmente hum interruptor vai serviços configurado par ter Duas OU VLANs Mais. Fazer ISSO CRIA Vários Área de domínio de broadcast, Colocando interfaces de ALGUMAS los UMA interfaces de VLAN e Outras los Outras VLANs. Razões parágrafo USAR VLANs incluem o seguinte: ■ Agrupamento usuarios Por departamento, EM Vez Por Localização de Física ■ segmentares Dispositivos los LANs Menores parágrafo reduzir uma sobrecarga de Processamento para Todos OS Dispositivos da LAN ■ Reduzir uma Carga de Trabalho da STP, limitando UMA VLAN hum uma chave de Acesso Único ■ Fazer cumprir UMA Melhor Segurança, isolando OS Dados sensíveis VLANs separadas parágrafo ■ Separar o Tráfego de Voz IP de Tráfego de Dados Benefícios do OSU de VLANs incluem o seguinte: ■ Segurança: Os Dados confidenciais podem serviços Isolados parágrafo UMA VLAN, separando-o do resto do Rede. ■ upgrades de rede e mais caro uso eficiente da largura de banda existente e uplinks. ■ Maior desempenho: Dividindo camada plana duas redes de transmissão em lógicas múltiplas domínios reduz o tráfego desnecessário na rede e aumenta a performance. ■ tempestade Transmissão de mitigação: VLAN segmentação evita que uma tempestade de broadcast de propagação toda a rede. ■ Facilidade de gestão e solução de problemas: Um esquema de endereçamento de rede hierárquica grupos endereços de forma contígua. Porque um esquema de endereçamento hierárquico IP torna problema componentes mais fáceis de localizar, de gerenciamento de rede e resolução de problemas são mais eficientes. Tipos de tráfego Um fator-chave para VLAN implantação é entender os padrões de tráfego eo tráfego de vários tipos na organização. Tabela 24-1 mostra os tipos comuns de tráfego de rede
  • 78.
    que você deve avaliarantes de colocar dispositivos e configuração de VLANs. Tipos de Tabela 24-1 Tráfego Descrição Tipo de tráfego Muitos tipos de rede de tráfego de gerenciamento de rede pode estar presente na rede. Para fazer solução de problemas de gerenciamento de rede mais fácil, alguns designers atribuir uma VLAN separada para realizar certas tipos de tráfego de gerenciamento de rede. Telefonia IP Há dois tipos de tráfego de telefonia IP: informações de sinalização entre os dispositivos final e os pacotes de dados da conversa de voz. Designers muitas vezes os dados para configurar e dos telefones IP em uma VLAN separada designada para o tráfego de voz, para que possam aplicar medidas de qualidade de serviço para dar prioridade ao tráfego de voz. IP multicast tráfego Multicast pode produzir uma grande quantidade de fluxo de dados através da rede. Interruptores devem ser configurados para manter esse tráfego de inundações para dispositivos que não tenham solicitado, e os roteadores devem ser configurados para garantir que o tráfego multicast é encaminhado para as áreas de rede onde é solicitado. De dados normais o tráfego de dados é normal o tráfego de aplicações típicas que está relacionado com serviços de arquivo e impressão, e-mail, navegação na Internet, acesso a banco de dados e outras aplicações de rede compartilhada. Scavenger Scavenger classe classe inclui todo o tráfego com os protocolos ou padrões que excedem as suas normais fluxos de dados. Aplicativos atribuídos a essa classe tem pouca ou nenhuma contribuição para a organização objetivos da empresa e são tipicamente entretenimento orientados na natureza. Tipos de VLANs Alguns tipos de VLAN são definidos pelo tipo de tráfego que eles suportam, outros são definidos pelo funções específicas que desempenham. Os principais tipos de VLAN e suas descrições a seguir: ■ Dados VLAN: Configurado para transportar o tráfego gerado pelo usuário apenas, assegurando que a voz e gestão tráfego é separado do tráfego de dados. ■ Padrão VLAN: Todas as portas em um switch são membros da VLAN default quando o interruptor é redefinir os padrões de fábrica. A VLAN default para switches Cisco é a VLAN 1. VLAN 1 tem todas as características de qualquer VLAN, exceto que você não pode renomeá-lo e você não pode excluí-lo. É um melhores práticas de segurança para restringir VLAN 1 para servir como um canal só para a camada de controle de tráfego 2 (Por exemplo, CDP ou VTP), apoiando nenhum outro tráfego. 72 31 Dias antes de seu exame CCNA
  • 79.
    Buraco negro VLAN:A melhor prática de segurança é definir um buraco negro VLAN a ser um manequim VLAN distinta de todas as outras VLANs definidas na LAN comutada. Todas as portas não utilizadas são atribuído ao buraco negro VLAN de forma que qualquer dispositivo não autorizado se conectar a um não utilizados porta do switch será impedido de se comunicar além do switch ao qual está conectado. ■ Native VLAN: Este tipo de VLAN serve como um identificador comum em lados opostos de um tronco link. A melhor prática de segurança é definir uma VLAN nativa para ser um boneco VLAN distintos Todas as outras VLANs definidas na LAN comutada. A VLAN nativa não é usado para qualquer tipo de tráfego em a rede comutada, a menos que o legado dispositivos ponte estar presentes na rede, ou um interconexão multiaccess existe entre switches unidos por um hub. ■ Gerenciamento de VLAN: A VLAN definida pelo administrador da rede como um meio para acessar o capacidades de gestão de um interruptor. Por padrão, VLAN 1 é a VLAN de gerenciamento. É uma segurança melhores práticas para definir a VLAN de gestão a uma VLAN diferente de todas as outras VLANs definido na LAN comutada. Fazê-lo, configurando e ativando uma interface nova VLAN. ■ VLANs Voz: A voz característica VLAN permite que portas do switch para transportar tráfego de voz IP de um Telefone IP. O administrador de rede configura uma VLAN de voz e atribui-lo para acessar as portas. Então, quando um telefone IP está conectado à porta do switch, o switch envia mensagens de CDP que instruir o telefone IP conectado para enviar tráfego de voz marcado com o VLAN ID voz. Exemplo VLAN de voz Figura 24-1 mostra um exemplo do uso de uma porta de um switch para ligar de telefone IP de um usuário e PC. A porta do switch está configurado para transportar o tráfego de dados na VLAN 20 tráfego de voz e na VLAN 150. O Cisco IP Phone contém um sistema integrado de três portas 10/100 para fornecer os seguintes dedicados conexões: ■ Porta 1 conecta ao switch ou dispositivo VoIP outros. ■ Porta 2 é uma interface 10/100 interna que carrega o tráfego de telefone IP. ■ Port 3 (acesso ao porto) se conecta a um PC ou outro dispositivo. Figura 24-1 Telefone IP Cisco comutação de tráfego de voz e dados
  • 80.
    O tráfego doPC5 ligado ao telefone IP passa através do Telefone IP não identificado. o link entre S2 eo ato de telefone IP como um tronco modificadas para transportar tanto o tráfego de voz com a tag e os untagged tráfego de dados. VLANs trunking Um tronco de VLAN é um link ponto-a-ponto entre uma interface Ethernet switch Ethernet e um Interface ethernet em outro dispositivo de rede, como um roteador ou switch, transportando o tráfego de várias VLANs através do link singular. Um tronco de VLAN permite que você estenda a toda a VLANs uma rede inteira. Um tronco de VLAN não pertencem a uma VLAN específica, mas sim, ele serve como um canal de VLANs entre switches. Figura 24-2 mostra uma pequena rede comutada com um link tronco entre S1 e S2 transportar tráfego VLAN múltiplos.
  • 81.
    Quando um frameé colocado em um link tronco, informações sobre a VLAN a que pertence devem ser adicionados ao do quadro. Isto é conseguido usando IEEE 802.1Q tagging quadro. Quando um switch recebe um quadro em uma porta configurada no modo de acesso e destinados a um dispositivo remoto através de um link tronco, o switch tem além do quadro e insere uma tag VLAN, recalcula a seqüência de verificação de quadro (FCS), e envia o tag frame para a porta do tronco. Figura 24-3 mostra a tag 802.1Q inserido em um quadro Ethernet. O campo tag VLAN consiste em um campo Tipo de 16 bits chamado de campo EtherType e um controle de Tag campo de informação. O campo EtherType está definido para o valor hexadecimal de 0x8100. Este valor é chamado tag protocolo ID (TPID) valor. Com o campo EtherType definido para o valor TPID, o interruptor recebe o quadro sabe procurar a informação no campo da informação Tag controle. o Tag campo de informação de controle contém o seguinte: ■ 3 bits de prioridade do usuário: Usado para prover a transmissão acelerada de frames Layer 2, como tráfego de voz. ■ bit 1 da Canonical Identificador Format (CFI): Permite que os frames Token Ring a ser realizadas em toda Ligações Ethernet facilmente. ■ 12 bits de VLAN ID (VID): números de identificação de VLAN.
  • 82.
    Embora 802.1Q éo método recomendado para quadros de marcação, você deve estar ciente da Cisco protocolo legado chamado trunking Mudar Inter-link (ISL). Você deve especificar o protocolo de trunking usada em interfaces de tronco em todos os interruptores de Cisco Catalyst, exceto a série 29xx. Dynamic Trunking Protocol Dynamic Trunking Protocol (DTP) é um protocolo proprietário da Cisco que negocia, o estado de portas de tronco, bem como o encapsulamento tronco de portas de tronco. DTP gerencia a negociação só tronco se a porta no outro switch é configurado em um modo de tronco que suporta DTP. A porta do switch em um Cisco Catalyst switch suporta um número de modos de trunking. O modo de trunking define como o porta negocia com DTP para configurar uma ligação do tronco com o seu porto de pares. O seguinte é uma breve descrição de cada modo de trunking: ■ Se o interruptor está configurado com o comando tronco switchport modo, a porta do switch periodicamente envia mensagens de DTP à publicidade porta remota que está em um incondicional trunking estado. ■ Se o interruptor está configurado com o modo de comando tronco auto switchport dinâmico, o porta do switch locais anuncia para a porta do switch remoto que é capaz de tronco, mas não pedido para ir para o estado de trunking. Após uma negociação DTP, a porta local acaba em trunking Estado somente se o modo de tronco porta remota foi configurado para que o estado está ligado ou desejável. Se ambas as portas nos switches estão definidos para auto, eles não negociam para estar em um entroncamento Estado. Eles negociam a estar no estado modo de acesso.
  • 83.
    ■ Se ointerruptor está configurado com o comando de modo switchport dinâmica desejável, o local porta do switch anuncia para a porta do switch remoto que é capaz de tronco e pede que o controle remoto porta do switch para ir para o estado de trunking. Se o porto local detecta que o controle remoto foi configurado como sobre, desejável, ou modo automático, a porta local acaba em trunking estado. Se o controle remoto porta do switch está no modo nonegotiate, a porta do switch local permanece como uma porta nontrunking. ■ Se o interruptor está configurado com o switchport nonegotiate comando, a porta local é então considerado em um estado trunking incondicional. Use esse recurso quando você precisa configurar um tronco com um interruptor de outro fornecedor switch. Tabela 24-2 resume os resultados das negociações DTP com base na configuração DTP diferentes comandos. Conceitos VTP O nome de propriedade da Cisco VLAN Trunking Protocol (VTP) pode ser confuso. VTP não fornecer um método para trunking entre dispositivos. Em vez disso, VTP é um protocolo de camada 2 mensagens que mantém a consistência VLAN configuração, gerenciando as adições, exclusões e nome mudanças de VLANs através de redes. VTP ajuda com VLAN de gerenciamento e embora faça a configuração e solução de problemas de VLANs mais fácil, não é necessário. Os benefícios da VTP incluem o seguinte: ■ consistência configuração de VLAN em toda a rede ■ rastreamento preciso e monitoramento de VLANs
  • 84.
    ■ relatórios dinâmicade VLANs adicionados através de uma rede Figura 24-4 mostra um exemplo de como as mensagens VTP pode ser enviada entre o servidor VTP e Clientes VTP. Figura 24-4 servidor VTP envia atualizações aos Clientes VTP 76 31 Dias antes de seu exame CCNA 802.1Q tronco VTP cliente VTP cliente VTP Cliente cliente VTP 802.1Q tronco Observe na figura que a área sombreada é chamado de domínio VTP CCNA. Um domínio VTP é um switch ou vários comutadores interconectados que compartilham anúncios VTP. Um switch pode estar apenas em um domínio VTP. Um roteador ou switch de camada 3 define o limite de cada domínio. Modos de VTP VTP opera em um de três modos: ■ Servidor: O servidor é onde VLANs podem ser criadas, excluídas ou renomeadas para o domínio. VTP servidores anunciar informações VLAN para outros switches no domínio VTP mesmo e armazenar o VLAN informações em NVRAM. ■ Cliente: Você não pode criar, alterar ou excluir VLANs em um cliente VTP. Uma redefinição exclui chave as informações da VLAN. Você deve configurar um switch para mudar seu modo VTP para o cliente. ■ Transparente: o modo transparente VTP muda a frente anúncios VTP para os clientes VTP VTP e servidores, mas não se originam ou de outra forma implementar anúncios VTP. VLANs que são criados, renomeados ou excluídos em um interruptor de modo VTP transparente são locais para essa opção somente. Operação VTP
  • 85.
    Anúncios VTP sãoenviados pelo servidor a cada cinco minutos sobre o padrão VLAN usando um multicast frame. Um número de revisão de configuração incluídos no quadro é usado por todos os clientes VTP e servidores para determinar se houve uma mudança no banco de dados VLAN. Figura 24-5 ilustra VTP operação. Figura 24-5 começa com todos os interruptores com o mesmo número de revisão VLAN configuração, o que significa que eles têm a mesma configuração de banco de dados VLAN, isso significa que todos os interruptores saber sobre o mesmo número de VLAN e nomes de VLAN. O processo começa com cada switch sabendo que o número de revisão configuração atual é 3. Os passos mostrados na Figura 24-5 são as seguintes: 1. Alguém configura uma nova VLAN no servidor VTP. 2. O servidor VTP atualiza seu banco de dados VLAN número de revisão 3-4. 3. O servidor envia mensagens de atualização VTP fora interfaces de seu tronco, afirmando número de revisão 4. 4. Os dois switches cliente VTP notar que as atualizações de lista um número maior de revisão (4) do que seus atuais números de revisão (3). 5. Os dois switches cliente atualizar seus bancos de dados VLAN com base em atualizações VTP do servidor. VTP define três tipos de mensagens: ■ anúncio Resumo: Enviados a cada 5 minutos pelo servidor, que lista o número de revisão, nome de domínio, e outras informações, mas nenhuma informação VLAN. ■ anúncio Subconjunto: Segue uma propaganda de resumo se algo mudou na VLAN banco de dados, indicado por um novo número de revisão maior. ■ mensagem de solicitação Anúncio: Permite que um switch para solicitar imediatamente mensagens VTP a partir de um interruptor de vizinhos, logo que um tronco vem à tona. poda VTP Por padrão, uma conexão de tronco carrega o tráfego para todas as VLANs no domínio da gestão VTP, no entanto,
  • 86.
    cada opção podenão ter portas atribuídas a cada VLAN. Poda VTP usa anúncios VLAN para determinar quando uma conexão de tronco está inundando o tráfego de VLAN desnecessariamente. Poda significa que as interfaces de tronco apropriado mudar não enche quadros em que VLAN. Figura 24-6 mostra um exemplo, com os retângulos de linha tracejada indicando os troncos a partir da qual VLAN 10 foi automaticamente podadas. Conceitos STP e Operação Uma das principais características de uma rede de comunicações bem construído é que ela é resistente. este significa que a rede precisa ser capaz de lidar com um dispositivo ou falha de ligação através de redundância. A topologia redundante pode eliminar um ponto único de falha, usando vários links, vários dispositivos, ou ambos. Spanning Tree Protocol (STP) é usado para prevenir loops em uma rede redundante comutada. Sem STP, a redundância na rede comutada iria introduzir as seguintes questões: ■ tempestades Broadcast: Cada transmissões inundações mudar incessantemente, chamada de tempestade de broadcast. ■ transmissão de quadros múltiplos: Várias cópias de quadros unicast podem ser entregues para o destino causando erros irrecuperáveis. ■ instabilidade do banco de dados MAC: Instabilidade no conteúdo dos resultados endereço MAC da tabela cópias do mesmo quadro sendo recebida em vários portos do interruptor. STP é um comitê IEEE padrão definido como 802.1d. STP lugares certos portos no bloqueio estado para que eles não ouvir, encaminhar ou quadros de dados de inundação. STP cria uma árvore que garante só há um caminho para cada segmento de rede a qualquer momento. Então,
  • 87.
    se qualquer segmentoexperiências uma interrupção na conectividade, STP reconstrói uma nova árvore, ativando os inactivos anteriormente, mas caminho, redundante. O algoritmo usado pelo STP escolhe as interfaces que devem ser colocados em um estado de encaminhamento. Para todas as interfaces não escolheu estar em um estado de encaminhamento, a STP coloca a interfaces em Bloqueio de Estado. Switches de troca de configuração STP mensagens a cada 2 segundos por padrão usando um multicast quadro chamado de ponte protocolo dados unidade (BPDU). Uma das peças de informação incluída no o BPDU é o ID ponte (BID). O BID é único para cada parâmetro e é composto por um valor de prioridade (2 bytes) e da ponte MAC address (6 bytes). A prioridade padrão é 32.768. A ponte de raiz é a ponte com o menor BID. Portanto, se o valor de prioridade padrão não é alterado, o switch com o menor MAC endereço vai se tornar root. Para iniciar o processo, o algoritmo STP elege um comutador raiz e coloca todas as interfaces de trabalho sobre o interruptor de raiz no estado de encaminhamento. Então, cada switch nonroot considera uma de suas portas para ter o menor custo administrativo entre si mesmo eo root switch. STP coloca este menos raiz de custo interface, chamada de porta do switch que é raiz (RP), no estado de encaminhamento. Finalmente, muitos switches podem anexar ao mesmo segmento Ethernet. Dessa forma o switch com o menor custo administrativo de si mesmo para a ponte raiz, em comparação com os outros switches ligados ao mesmo segmento, é colocado em Encaminhamento de Estado. O interruptor de menor custo em cada segmento é chamada de bridge designada, e que interface de ponte, ligado a esse segmento, é chamado a porta designada (DP). Interruptores que são pontes não têm seus portos designados nondesignated colocado em bloqueio Estado. Tabela 24-3 resume as razões STP colocar um porto em Forwarding ou Bloqueio de Estado. Tabela 24-4 STP: Razões para Forwarding ou Bloqueio Caracterização de Descrição do Porto Estado STP Todas as portas do comutador raiz Forwarding O switch raiz é sempre o interruptor designado em todos conectados segmentos. Cada switch não-raiz do Forwarding A porta pela qual o switch tem o menor custo para porta raiz alcançar o interruptor raiz. Cada LAN é designado Forwarding O interruptor de encaminhamento do BPDU de menor custo para a
  • 88.
    segmento é achave da porta designada para esse segmento. Todas as outras portas que trabalham bloqueando a porta não é usado para encaminhamento de quadros, nem quaisquer quadros recebeu nessas interfaces considerado para encaminhamento. Largura de banda porta é usada para determinar o custo para atingir a ponte raiz. Tabela 24-4 lista o padrão custos portuários definido pelo IEEE, que teve que ser revisto com o advento de 10 Gbps. Dia 24 79 Um quinto estado, condicionada, ocorre ou quando um administrador de rede manualmente desativa a porta ou um violação de segurança desativa a porta. Conceitos RSTP e Operação IEEE melhorou o desempenho convergência de STP de 50 segundos para menos de 10 segundos com sua definição do Rapid STP (RSTP) na 802.1w padrão. RSTP é idêntica à STP nos seguintes maneiras: ■ Ele elege o root switch usando os mesmos parâmetros e critérios de desempate.
  • 89.
    ■ Ele elegeo porta raiz em switches não-raiz com as mesmas regras. ■ Elege portos designados em cada segmento LAN com as mesmas regras. ■ Ele coloca cada porta em qualquer encaminhamento ou Bloqueio de Estado, embora RSTP chama de bloqueio Estado do Estado Discarding. As principais alterações com RSTP pode ser visto quando ocorrem alterações na rede. RSTP age de forma diferente em algumas interfaces com base no que está ligado à interface. ■ Comportamento Borda-Type e PortFast: RSTP melhora de convergência para borda-tipo conexões colocando imediatamente a porta no estado de encaminhamento quando a ligação é fisicamente ativo. ■ ligação Type-Compartilhada: RSTP não faz nada diferente do STP no link do tipo compartilhada links. No entanto, porque a maioria das ligações entre switches de hoje não são compartilhadas, mas são tipicamente full-duplex ponto-a-ponto links, não importa. ■ ligação Type-Point-to-Point: RSTP melhora a convergência mais full-duplex ligações entre switches. RSTP reconhece a perda do caminho para a ponte raiz, através da porta de raiz, em 3 vezes que o timer Olá, ou 6 segundos com um valor de timer padrão Olá de 2 segundos. Então RSTP reconhece um caminho perdido para a raiz muito mais rapidamente. RSTP usa terminologia diferente para descrever porta estados. Tabela 24-5 lista os estados de porta para RSTP e STP. RSTP elimina a necessidade de escuta do Estado e reduz o tempo necessário para o estado de aprendizagem por ativamente descobrir novo estado da rede. STP passivamente espera por nova BPDUs e reage a Os Estados-los durante o Ouvir e Aprender. Com RSTP, os interruptores negociar com vizinhos interruptores, enviando mensagens RSTP. As mensagens de permitir que os switches para determinar rapidamente se uma interface pode ser imediatamente transferida para um Estado Forwarding. Em muitos casos, o processo leva apenas um ou dois segundos para o domínio RSTP inteiro. RSTP também adiciona mais três papéis de porta à porta de raiz e os papéis
  • 90.
    definidos na portadesignada STP. Tabela 24-6 listas e define as funções de porta. Tabela 24-6 RSTP e funções STP Porto Tradução do inglês para português Configurando e Verificando STP Por padrão, todos os switches Cisco uso STP sem nenhuma configuração pelo administrador da rede. No entanto, devido STP é executado em uma base per-VLAN, cria uma instância de spanning-tree em separado para cada VLAN, você pode tirar vantagem de várias opções para equilibrar a carga de tráfego através de ligações redundantes. PVST +, PVRST e MIST 802.1d não suporta uma instância de spanning-tree para cada VLAN VLANs porque não existia quando a norma foi introduzida pela primeira vez. Switches Cisco incluem uma funcionalidade proprietária chamada Per- VLAN Spanning Tree Plus (PVST), que cria uma instância separada do STP para cada VLAN. Novamente, quando introduziu IEEE 802.1w, ainda havia nenhum suporte para várias instâncias de STP. assim Cisco implementada uma outra solução proprietária chamada ou árvore-Per VLAN Rapid Spanning (RPVST) ou Per-Rapid Spanning Tree VLAN (PVRST). Mais tarde, criou o padrão IEEE 802.1s chamado de várias instâncias de Spanning Tree (MIST). Tabela 24-7 resume essas três opções para usando várias árvores que medem a carga de tráfego equilíbrio. Configurando e Verificando o BID Independentemente do que per-VLAN Spanning Tree é usada, duas opções de configuração principal pode ser utilizados para alcançar balanceamento de carga da ponte-ID e porta manipulação de custos. ID da ponte influências a escolha de root switch e pode ser configurado por VLAN. Cada interface é (per-VLAN) custo STP para atingir a raiz influencia a escolha da porta designada em cada segmento LAN. porque PVST exige que uma instância separada do spanning tree executado para cada
  • 91.
    VLAN, o campoBID é necessária para realizar VLAN ID informações (VID). Isto é conseguido através da reutilização de uma parte do campo Prioridade como a identificação do sistema estendido para transportar um VID. Tabela 24-8 resume as configurações padrão para ambos BID e custos portuários. Figura 24-8 mostra um simples interruptor de três STP topologia. Observação Esses comandos alterados os valores de prioridade somente para a VLAN 1. comandos adicionais deve ser inserido para cada VLAN para aproveitar o balanceamento de carga. Para verificar a corrente spanning-tree instâncias e pontes root, use o show spanning-tree comando como mostrado no Exemplo 24-1. Exemplo 24-1 Verificando Spanning Tree-Configurations
  • 92.
    Porque um sistemaalargado ID é usado no BID, o valor da prioridade inclui a adição ID da VLAN. Assim, uma prioridade de 24576, mais uma VLAN de 1 resulta em uma produção de 24.577 prioridade. PortFast Para acelerar a convergência para as portas de acesso quando eles se tornam ativos, você pode usar de propriedade da Cisco Tecnologia PortFast. Depois PortFast está configurado e uma porta é ativado, a porta imediatamente transições do estado de bloqueio para o estado de encaminhamento. Exemplo 24-2 mostra o comando de interface para configurar PortFast. Alternativamente, você pode configurar o comando global spanning-tree padrão portfast, que permite PortFast por padrão em todas as portas de acesso. Configurando RSTP Lembre-se, STP é a operação padrão dos switches Cisco. Para mudar para RSTP e PVRST, use um comando global única em todos os switches: spanning-tree modo rápido PVST.
  • 93.
    Solução de problemasSTP STP é executado por padrão em switches e raramente causa problemas em pequenas e médias redes. No entanto, você pode encontrar problemas STP solução de problemas no exame. Use o seguinte passos para analisar um problema de STP: Passo 1 Determine a chave raiz. Passo 2 Para cada switch não-raiz, determino a sua porta de raiz um (RP) e custo para atingir a raiz interruptor através desse RP. Passo 3 Para cada segmento, determine a porta designada (DP) e os custos anunciados pelo DP para esse segmento. As informações solicitadas em cada um dos of the steps can be obtained from variations of the show spanning-tree command.
  • 94.
    VTP e InterVLANRouting Configuração e resolução de problemas Exame CCNA 640-802 Tópicos ■ Configurar, verificar e solucionar problemas de VTP. ■ Configurar, verificar e solucionar problemas de inter-VLAN routing. Pontos-chave Hoje nós revemos os comandos e tarefas necessárias para configurar, verificar e resolver problemas VLAN Protocolo de trunking (VTP). Além disso, fazemos uma revisão inter-VLAN routing e comandos de um router routeron- um pau-de implementação. VTP Configuração e Verificação VTP é uma camada de protocolo de mensagens 2, que mantém a consistência VLAN configuração, gestão as adições, exclusões e alterações de nome de VLANs através de redes. Esta seção usa o topologia exemplo na Figura 22-1, que é a mesma topologia usada para o dia 23. Você deve construir e configurar esta topologia como parte de sua revisão para o exame CCNA. Depois de escolher qual opção será o servidor e que muda serão os clientes, use o seguinte passos para configurar o VTP: Etapa 1 Configurar o modo VTP usando o modo VTP server {|} cliente de configuração global comando. Passo 2 (Opcional, mas recomendado) Em ambos os clientes e servidores, configure o mesmo case-sensitive senha usando o vtp password valor de comando de configuração global. Etapa 3 Configurar os VTP nome de domínio (caso-sensível), utilizando o domínio VTP nome de domínio
  • 95.
    comando de configuraçãoglobal. Passo 4 (Opcional) Configure poda VTP nos servidores VTP usando a poda vtp mundial comando de configuração. Passo 5 (Opcional) Ativar versão VTP 2 com a versão 2 vtp comando de configuração global. Passo 6 Abra troncos entre os switches. Antes de configurar o VTP, olhar para o estado VTP padrão de S1. Para fazer isso, use o comando show vtp status como mostrado no Exemplo 22-1. Exemplo 22-1 Configuração VTP padrão em S1 98 31 Dias antes de seu exame CCNA Observe o número de revisão de configuração é 0 e que o número de VLANs existentes é de 5 a cinco VLANs padrão que sempre existe no switch. Notar também que S1 já é um servidor VTP. Os comandos no Exemplo 22-2 S1 configurar como o servidor usando cisco como a senha VTP e CCNA como o nome de domínio VTP. Porque S2 e S3 compartilhar todas as VLANs mesmo, não estamos configurando VTP poda (habilitado globalmente com a poda vtp de comando). Vamos também deixar VTP na versão padrão de um modo (habilitado globalmente com a versão do comando vtp 2). S1 # Observe o número de revisão de configuração é 0 e que o número de VLANs existentes é de 5 a cinco VLANs padrão que sempre existe no switch. Notar também que S1 já é um servidor VTP. Os comandos no Exemplo 22-2 S1 configurar como o servidor usando cisco como a senha VTP e CCNA como o nome de domínio VTP. Porque S2 e S3 compartilhar todas as VLANs mesmo, não estamos configurando VTP poda (habilitado globalmente com a poda vtp de comando). Vamos também deixar VTP
  • 96.
    na versão padrãode um modo (habilitado globalmente com a versão do comando vtp 2). Observação configurado a senha VTP antes do nome de domínio VTP por uma razão específica. Assim que o nome de domínio VTP está configurado, S1 começará o envio de mensagens VTP em todos os links tronco que estão ativos. Se liga a outra extremidade do tronco está usando o VTP padrão de configuração (modo de servidor, nulo como o nome de domínio, e sem senha), eles vai começar a usar o nome de domínio enviadas nas mensagens VTP. Isto pode causar banco de dados VLAN corrupção se o interruptor de recepção tem um número maior do que a revisão da configuração configurado servidor. O interruptor de recepção é também um servidor VTP e enviar seu banco de dados VLAN para o servidor VTP configurado. Ao configurar a senha primeiro, evitar o potencial de que isso aconteça. Após as chaves na outra extremidade dos troncos são configurados como clientes, seu número de revisão de configuração é reposto a 0. Então, quando o nome do domínio e senha são configurados, atualizações VTP será solicitado do servidor VTP. Nós explicitamente configurado S1 como um servidor VTP ao invés de assumir que está no servidor VTP default modo. Exemplo 22-3 mostra os comandos utilizados para verificar a configuração.
  • 97.
    Exemplo 22-4 mostraos comandos para configurar S2 como um cliente com a mesma senha e nome de domínio como S1. Repita os mesmos comandos em S3. Exemplo 22-4 configurar os clientes VTP Novamente, verifique a configuração com o status vtp show e mostrar comandos senha vtp. Neste ponto, configure as VLANs no servidor VTP, S1. Você não será capaz de criar VLANs em S2 ou S3. Se você tentar, você vai receber a mensagem de console a seguir: S3 (config) # vlan 10 VTP VLAN configuração não é permitida quando o dispositivo está no modo CLIENT. S3 (config) # Lembre-se, no entanto, que nos interruptores cliente que você ainda será capaz de atribuir portas do switch para específicos VLANs. Depois de configurar as VLANs, observe que o número de revisão de configuração é incrementado para
  • 98.
    cada modificação nobanco de dados VLAN. Se você não fez erros em sua configuração, a configuração do número de revisão deve ser de 8, como mostrado no Exemplo 22-5 e um incremento para cada vez que você adicionado um dos quatro VLANs e um incremento para cada vez que você nomeada uma das VLANs. Há agora um total de nove VLANs no servidor. Exemplo 22-5 Verificando a configuração de VLAN no servidor VTP S1 # S2 e S3 não receberam as VLANs ainda porque os troncos não estão ativos entre os switches e S1. Neste caso, configure as interfaces apropriadas S1 ao tronco e atribuir VLAN 99 como o nativa VLAN. Em alguns casos, DTP irá negociação automática os links tronco
  • 99.
    em S2 eS3. agora, tanto interruptores cliente deve ter recebido VTP anunciar para S1. Como mostrado no Exemplo 22-6, tanto S2 e S3 têm bases de dados sincronizadas VLAN. Exemplo 22-6 Verificando S2 e S3 agora tem sincronizado bancos de dados VLAN Nota Embora a configuração da VTP faz ajudar a gerenciar a configuração de VLAN em suas redes, não é necessário para criar VLANs. Além disso, VTP não atribui VLANs para alternar portos. Você deve atribuir manualmente VLANs para mudar portas em cada switch. Para evitar o uso VTP de um switch, configurá-lo para usar o modo transparente: Switch (config) # vtp modo transparente A mudança não irá atualizar seu banco de dados VLAN a partir de mensagens VTP, mas vai ainda encaminhar o VTP mensagens para fora interfaces de tronco. Além disso, você pode configurar VLANs em um switch locais em VTP modo transparente.
  • 100.
    Solução de problemasVTP Embora VTP oferece um nível de eficiência para a sua rede de comutação, permitindo que você configure seu banco de dados VLAN em um servidor VTP, VTP também tem o potencial de causar sérios problemas. Para combater o mau uso do VTP nas redes de produção, a Cisco criou o tutorial seguinte formação em Cisco.com, que você deve rever como parte de sua preparação para o exame CCNA: http://www.cisco.com/warp/public/473/vtp_flash/ Os passos seguintes são uma forma sistemática de determinar por que VTP não está actualmente a trabalhar como esperado. Passo 1 Verifique os nomes switch, topologia (incluindo quais interfaces que conectar switches), e alternar entre os modos VTP. Passo 2 Identificar conjuntos de dois switches vizinhos que devem ser clientes ou servidores VTP cujas bases de dados VLAN diferem com o comando vlan show. Passo 3 Em cada par de dois switches vizinhos cujas bases de dados diferentes, verifique o seguinte: a. Pelo menos um tronco operacional deve existir entre as duas chaves (use o show interfaces de comando tronco, switchport interfaces de show, ou mostrar vizinhos cdp~ b. Os interruptores devem ter o mesmo nome de domínio (case-sensitive) VTP (show vtp status). c. Se configurado, os interruptores devem ter o mesmo (caso-sensível) senha VTP (Show senha vtp). d. Embora poda VTP deve ser ativado ou desativado em todos os servidores na mesma domínio, tendo dois servidores configurados com as definições de poda oposto não impede o processo de sincronização. Passo 4 Para cada par de chaves identificadas no Passo 3, resolver o problema por qualquer solução de problemas o problema trunking ou reconfigurar uma opção para corresponder corretamente o nome de domínio ou senha. Para evitar o potencial de problemas VTP, implementar as seguintes práticas recomendadas. ■ Repor o número de revisão de configuração antes de instalar uma nova opção. Isto pode ser feito em uma das seguintes formas: - Mude o interruptor para VTP modo transparente. - Alterar o nome de domínio para algo diferente do nome de domínio existentes. - Apague o arquivo vlan.dat e recarregar o switch.
  • 101.
    ■ Se vocênão pretende usar VTP em tudo, configurar cada switch para usar o modo transparente. ■ Se você estiver usando servidor VTP ou modo de cliente, use sempre uma senha VTP. ■ Evite ataques VTP pela desativação do potencial para a negociação dinâmica trunking em todas as interfaces exceto troncos conhecidos quer com o modo de acesso switchport ou switchport nonegotiate comandos. Inter-VLAN roteamento de configuração e Verificação Cisco apoio interruptores dois protocolos de trunking: Inter-Switch Link (ISL) e IEEE 802.1Q. Cisco ISL criado muitos anos antes da IEEE criou o padrão de protocolo 802.1Q VLAN trunking. Porque é proprietário da Cisco ISL, ele pode ser usado apenas entre dois switches Cisco que suportam ISL. ISL encapsula totalmente cada quadro Ethernet original em um cabeçalho ISL e trailer. Anos após a Cisco criou ISL, o IEEE completou trabalhar no padrão 802.1Q, que define uma maneira diferente de fazer trunking. Hoje, 802.1Q tornou-se o protocolo de trunking mais popular, com Cisco nem mesmo apoiando ISL em alguns de seus modelos mais recentes de switches LAN, incluindo o 2960 parâmetros utilizados nos exemplos neste livro. 802.1Q na verdade não encapsular o original quadro em outro cabeçalho Ethernet e trailer. Em vez disso, insere 802.1Q um extra de 4-byte cabeçalho VLAN para o cabeçalho do quadro original de Ethernet. Para mais detalhes sobre as diferenças e semelhanças entre ISL e 802.1Q, ver os recursos do seu estudo. Configurando o roteamento inter-VLAN é bastante simples. Consulte o exemplo mostrado na topologia Figura 22-2 para rever os comandos.
  • 102.
    Este router-on-a-stick topologiaé configurado usando as seguintes etapas no roteador: Passo 1 Ative a interface física que está trunking com a chave usando o shutdown comando. Passo 2 Entre no modo de configuração subinterface para a VLAN primeiro que precisa de encaminhamento. uma convenção é usar o número VLAN como o número subinterface. Por exemplo, o comando interface de fa0/1.10 entra no modo de configuração para subinterface VLAN 10. Etapa 3 Configurar o tipo de encapsulamento trunking usando o comando de configuração subinterface encapsulamento {dot1q | isl} vlan-número [nativa]. Definir o encapsulamento dot1q-quer isl ou para o tipo usado pelo switch. Em alguns roteadores, o nativo palavra chave opcional deve ser configurado para a VLAN nativa antes do roteador irá encaminhar a VLAN nativa. Etapa 4 Configurar o endereço IP e máscara de sub-rede. Repita o passo 5 Passos 2 a 4 para cada VLAN adicionais que necessita de encaminhamento. Presumindo que a opção já está configurado com VLANs e trunking, Exemplo 22-7 mostra a comandos para configurar R1 para fornecer roteamento entre VLAN 10 e VLAN 30.
  • 103.
    Para verificar aconfiguração, utilize o show ip route e mostrar comandos ip interface brief para fazer certeza de que as novas redes estão na tabela de roteamento e os subinterfaces são "up" e "up" como mostra a Exemplo 22-8. Exemplo 22-8 Verificando o Inter-VLAN configuração de roteamento. Supondo-se que o interruptor e PCs estão configurados corretamente, os dois PCs deve agora ser capaz de pingar um ao outro. R1 irá rotear o tráfego entre 10 e VLAN VLAN 30. Solução de problemas Inter-VLAN Routing Para solucionar problemas com inter-VLAN routing que estão diretamente relacionados à configuração do roteador, confirme o seguinte: ■ É o cabeamento físico para a opção correta? ■ É a interface física ativado? ■ O encapsulamento definido para o tipo certo?
  • 104.
    ■ O endereçamentoIP correto? Se você responder "não" a qualquer destas perguntas, isolar e corrigir o problema.
  • 105.
    Day 21 Dia 21 IPv4Endereço Subnetting Exame CCNA 640-802 Tópicos ■ Calcular e aplicar um esquema de endereçamento, incluindo a concepção VLSM endereçamento IP a uma rede. ■ Determinar o esquema de endereçamento sem classe apropriado usando VLSM e sumarização de satisfazer os requisitos de endereçamento em um ambiente de LAN / WAN. ■ Descrever a operação e os benefícios do uso de IP privado e público de endereçamento. Tópicos-chave Até agora, você deve ser capaz de sub-rede muito rapidamente. Por exemplo, você deve ser capaz de rapidamente responder a uma pergunta como: Se você receber um / 16 da rede, o que máscara você usaria que
  • 106.
    seria maximizar onúmero total de sub-redes enquanto continua a fornecer endereços suficientes para o maior sub-rede com 500 hosts? A resposta seria 255.255.254.0 ou / 23. Isto lhe daria 128 sub-redes com 510 hosts utilizáveis por subnet. Você deve ser capaz de calcular esta informação em muito curto espaço de tempo. O exame CCNA promete contêm grande quantidade de sub-redes e sub- perguntas relacionadas. Hoje enfocamos essa habilidade necessárias, bem como projetar esquemas de endereçamento usando de comprimento variável mascaramento de sub-rede (VLSM) e sumarização para otimizar o tráfego de roteamento da rede. Nós também rever a diferença entre público e privado de endereçamento. Endereçamento IPv4 Embora IPv6 está rapidamente sendo implantado no backbone da Internet, e todas as redes do governo dos EUA eram obrigados a ser compatíveis com IPv6 até 30 de junho de 2008, a migração longe de IPv4 vai demorar anos para ser concluído. Mesmo que as redes do governo dos EUA estão agora IPv6 capaz, isso não significa que eles estão executando IPv6. Então IPv4 e sua habilidade em seu uso ainda está em demanda. Formato do cabeçalho Para facilitar o encaminhamento de pacotes através de uma rede, o conjunto de protocolos TCP / IP usa uma lógica de 32 bits endereço conhecido como um endereço IP. Este endereço deve ser único para cada dispositivo na internetwork. Figura 21-1 mostra o layout do cabeçalho IPv4. Note-se que cada pacote IP transporta este cabeçalho, que inclui um endereço IP de origem e IP de destino endereço Nota hoje o seu ISP lhe atribui um bloco de endereços que não tem nenhuma relação com o original classes. Baseado em suas necessidades, você poderia ser atribuído um ou mais endereços. mas com o uso de NAT e endereços privados dentro da sua rede, raramente você vai precisar de mais do que um punhado de endereços IP públicos. Em um esquema de classes de endereço, os dispositivos que operam na camada 3 pode determinar a classe de endereço do um endereço IP a partir do formato dos primeiros bits no primeiro octeto. Inicialmente, isso foi importante para que um dispositivo de rede poderia aplicar a máscara de sub-rede padrão para o endereço e determinar a endereço de host. Tabela 21-1 resume como os endereços são divididos em classes, a sub-rede padrão máscara, o número de redes por classe, eo número de hosts por endereço de rede classful.
  • 107.
    Nota hoje oseu ISP lhe atribui um bloco de endereços que não tem nenhuma relação com o original classes. Baseado em suas necessidades, você poderia ser atribuído um ou mais endereços. mas com o uso de NAT e endereços privados dentro da sua rede, raramente você vai precisar de mais do que um punhado de endereços IP públicos. Em um esquema de classes de endereço, os dispositivos que operam na camada 3 pode determinar a classe de endereço do um endereço IP a partir do formato dos primeiros bits no primeiro octeto. Inicialmente, isso foi importante para que um dispositivo de rede poderia aplicar a máscara de sub-rede padrão para o endereço e determinar a endereço de host. Tabela 21-1 resume como os endereços são divididos em classes, a sub-rede padrão
  • 108.
    máscara, o númerode redes por classe, eo número de hosts por endereço de rede classful. Na última coluna, o "menos 2" para hosts por rede é a conta para a rede reservada e endereços de broadcast para cada rede. Estes dois endereços não podem ser atribuídos a hosts. Nota Não estamos revendo o processo de conversão entre binário e decimal. neste ponto em seus estudos, você deve estar se movendo muito confortável entre a numeração dois sistemas. Se não, tome algum tempo para praticar esta habilidade necessária. Referem-se ao estudo " Recursos secção ". Você também pode pesquisar na Internet para conversão de binário truques, dicas e jogos para ajudá-lo a prática. Propósito da Máscara Máscaras de sub-rede são sempre uma série de bits um seguidos por uma série de zero bits. O limite onde as mudanças de série para os zeros é a fronteira entre a rede e host. Isto é como um dispositivo que opera na camada 3 determina o endereço de rede para um pacote por encontrar o bit limite onde a série de bits de um termina ea série de bits zero começa. O limite de bits para máscaras de sub-quebra na fronteira octeto. Determinar o endereço de rede para um endereço IP que
  • 109.
    usa uma máscarapadrão é fácil. Por exemplo, um roteador recebe um pacote destinado a 192.168.1.51. Por "AND" o endereço IP ea máscara de sub-rede, o roteador determina o endereço de rede para o pacote. Pelo "AND" regras, um e um é igual a um. Todas as outras possibilidades iguais a zero. Tabela 21-2 mostra os resultados do "AND" operação. Observe que os bits de host no último octeto são ignorados. Tabela 21-2 "AND" um endereço IP e máscara de sub-rede para encontrar o endereço de rede Sub-redes em quatro etapas Todo mundo tem um método preferido de subnetting. Cada professor irá utilizar uma estratégia um pouco diferente ajudar os alunos a dominar esta habilidade crucial. Cada um dos sugerido "Resources Study" tem um pouco forma diferente de abordar este assunto. O método que eu prefiro pode ser dividido em quatro etapas: Passo 1 Determine quantos bits para emprestar com base nos requisitos de rede. Passo 2 Determine a nova máscara. Passo 3 Determine o multiplicador de sub-rede. Passo 4 Lista as sub-redes sub-rede, incluindo endereço, gama de hospedeiros, e endereço de broadcast. A melhor maneira de demonstrar este método é usar um exemplo. Vamos supor que você tem a rede endereço 192.168.1.0 com a sub-rede 255.255.255.0 máscara padrão. O endereço de rede e
  • 110.
    máscara de sub-redepode ser escrita como 192.168.1.0/24. A "barra 24" representa a máscara de sub-rede em um menor notação e significa o primeiro 24 bits são bits de rede. Vamos assumir que você precisa de 30 hosts por rede e deseja criar sub-redes como muitos, para determinado espaço de endereçamento possível. Com estes requisitos de rede, vamos sub-rede do espaço de endereço. Determine quantos bits to Borrow Para determinar o número de bits você pode tomar emprestado, primeiro você deve saber quantos bits de host você tem que começar. Porque os primeiros 24 bits são bits de rede no nosso exemplo, os restantes 8 bits são bits de host. Porque a nossa exigência especifica 30 endereços de hosts por sub-rede, é preciso primeiro determinar a número mínimo de bits de host para sair. Os bits restantes podem ser emprestados: Bits Host = Bits Borrowed + Bits Esquerda Para fornecer espaço de endereço suficiente para 30 hosts, precisamos deixar 5 bits. Use a seguinte fórmula: 2BL - 2 = número de endereços de host onde o expoente é BL pedaços deixados na parte do host. Lembre-se, o "menos 2" é a conta para os endereços de rede e broadcast que não podem ser atribuídos a hosts. Neste exemplo, deixando 5 bits na parte do host irá fornecer a quantidade certa de endereço de host: 25-2 = 30. Porque temos 3 bits restantes na parte do host original, tomamos emprestado todos esses bits para satisfazer a exigência de "criar sub-redes como possível." Para determinar quantas sub- redes podemos criar, utilizar a seguinte fórmula: 2BB = número de sub-redes onde o expoente é BB bits emprestados da parte do host. Neste exemplo, o empréstimo de 3 bits da parte do host vai criar 8 sub-redes: 23 = 8. Como mostrado na Tabela 21-4, os 3 bits são tomados emprestados dos bits mais à esquerda na parte do host. o bits de destaque na tabela mostram todas as combinações possíveis de manipular a 8 bits emprestados para criar as sub-redes. Binary tabela 21-4 e valor decimal do octeto Subnetted
  • 111.
    Determinar a máscarade sub-Novo Observe na Tabela 21-4 que os bits de rede agora inclui os 3 bits de host emprestado no último octeto. Adicione estes 3 bits para o 24 bits na máscara de sub-rede original e você tem uma nova máscara / 27. em formato decimal, ligar o 128, de 64, e 32 bits do último octeto para um valor de 224. Assim, a nova máscara de sub-rede é 255.255.255.224. Determine o multiplicador de sub-rede Observe na Tabela 21-4 que o último octeto incrementos de valor decimal por 32, com cada número de sub-rede. O número 32 é o multiplicador de sub-rede. Você pode encontrar rapidamente o multiplicador de sub-rede usando um dos dois métodos: ■ Método 1: Subtrair o último octeto zero da máscara de sub-rede de 256. Neste exemplo, o octeto zero último é 224. Assim, o multiplicador de sub-rede é 256-224 = 32. ■ Método 2: O valor decimal do último bit emprestado é o multiplicador de sub- rede. Neste exemplo, contraímos um empréstimo em 128 bits, o bit 64, e os de 32 bits. O bit 32 é o último bit nós emprestamos e é, portanto, o multiplicador de sub-rede. Usando o multiplicador de sub-rede, você não precisa mais converter os bits de sub-rede binário para decimal. A lista de sub-redes, Ranges Host e Endereços de Difusão Listagem das sub-redes, intervalos de host e endereço de broadcast ajuda você a ver o fluxo de endereços dentro um espaço de endereço. Tabela 21-5 documentos esquema de sub-rede a nossa abordagem para a 192.168.1.0/24 espaço de endereço.
  • 113.
    Exemplo 3 sub-redes Sub-rededo espaço de endereço 172.16.10.0/23 para fornecer pelo menos 60 endereços de hosts por sub-rede durante a criação de como sub-redes possíveis. 1. Há 9 bits de host. Deixe 6 bits para endereços de host (26-2 = 62 endereços de hosts por sub-rede). Emprestado os primeiros 3 bits de host para criar sub-redes o maior número possível (23 = 8 sub-redes). 2. A máscara de sub-rede original é / 23 ou 255.255.254.0. Ligue os próximos 3 bits começando com o último bit do segundo octeto para uma nova máscara de / 26 ou 255.255.255.192. 3. O multiplicador de sub-rede é de 64, que pode ser encontrado como 256-192 = 64 ou porque o bit 64 é o último bit emprestado.
  • 114.
    4. Tabela 21-7enumera os primeiros três sub-redes, intervalos de host e endereço de broadcast. VLSM Você deve ter notado que o espaço de endereço a partir de Subnetting Exemplo 3 não é um todo endereço classful. Na verdade, é sub-rede de 5 Subnetting Exemplo 2. Assim, em sub-redes Exemplo 3, nós "subnetted uma sub-rede." Isso é o que é VLSM em poucas palavras- subnetting uma sub-rede. Com VLSM, é possível personalizar o seu sub-redes para caber sua rede. Subnetting funciona da mesma maneira. Você apenas tem que fazê-lo mais de uma vez para completar o seu esquema de endereçamento. Para evitar a sobreposição espaços de endereço, comece com sua exigência maior host, criar uma sub- rede para ele, e depois continuar com a exigência de receber o maior seguinte. Vamos usar um pequeno exemplo. Dado o espaço de endereços 172.30.4.0/22 e os requisitos de rede mostrado na Figura 21-3, aplicar um esquema de endereçamento que conserva a maior quantidade de endereços para o crescimento futuro. Figura 21-3 Exemplo de Topologia VLSM. Precisamos de cinco sub-redes: quatro sub-redes LAN e uma sub-rede WAN. Começando com o maior anfitrião exigência de LAN 3, começam subnetting o espaço de endereço. Para satisfazer a exigência de 250 hosts, deixamos 8 bits hosts (28-2 = 252 hosts por sub-rede). porque temos 10 total do hospedeiro bits, tomamos emprestado 2 bits para criar a
  • 115.
    primeira rodada desub-redes (22 = 4 sub-redes). A máscara de sub-rede de partida é / 22 ou 255.255.252.0. Ligamos os próximos dois bits na máscara de sub-rede para obter / 24 ou 255.255.255.0. O multiplicador é 1. As quatro sub-redes são os seguintes: ■ sub-rede 0: 172.30.4.0/24 ■ Subnet 1: 172.30.5.0/24 ■ Sub-rede 2: 172.30.6.0/24 ■ sub-rede 3: 172.30.7.0/24 Atribuição de sub-rede 0 a LAN 3, ficamos com três / 24 sub-redes. Continuando a maior nos próximos exigência de host na LAN 4, tomamos uma sub-rede, 172.30.5.0/24 e sub-rede ainda mais. Para satisfazer a exigência de 100 hosts, deixamos 7 bits (27-2 = 128 hosts por sub-rede). Porque nós tem 8 bits de host total, podemos tomar emprestado apenas 1 bit para criar as sub-redes (21 = 2 sub-redes). O ponto de partida máscara de sub-rede é / 24 ou 255.255.255.0. Ligamos o próximo bit na máscara de sub-rede para get / 25 ou 255.255.255.128. O multiplicador é de 128. As duas sub-redes são os seguintes: ■ sub-rede 0: 172.30.4.0/25 ■ Subnet 1: 172.30.4.128/25 Atribuição de sub-rede 0 a LAN 4, ficamos com um / 25 e duas sub-rede / 24 sub-redes. Continuando à exigência de receber o maior seguinte em uma LAN, tomamos uma sub-rede, 172.30.4.128/24 e sub-rede que ainda mais. Para satisfazer a exigência de 60 hosts, deixamos 6 bits (26-2 = 62 hosts por sub-rede). Porque nós tem 7 bits de host total, tomamos emprestado um pouco para criar as sub- redes (21 = 2 sub-redes). A sub-rede de partida máscara é / 25 ou 255.255.255.128. Ligamos o próximo bit na máscara de sub- rede para get / 26 ou 255.255.255.192. O multiplicador é 64. As duas sub-redes são os seguintes: ■ sub-rede 0: 172.30.4.128/26 ■ Subnet 1: 172.30.4.192/26 Atribuição de sub-rede 0 a LAN 1, ficamos com um / 26 e duas sub-rede / 24 sub-redes. Terminando o nosso LAN subnetting com LAN 2, tomamos uma sub-rede, 172.30.4.192/26 e sub- rede ainda mais. Para satisfazer a exigência de 10 hosts, deixamos 4 bits (24-2 = 14 hosts por sub-rede). Porque nós tem 6 bits de host total, tomamos emprestado 2 bits para criar as sub-redes (22 = 4 sub-redes). A sub-rede de partida máscara é / 26 ou 255.255.255.192. Ligamos os próximos dois bits na máscara de sub-rede para obter / 28 ou 255.255.255.240. O multiplicador é 16. As quatro sub-redes são os seguintes: ■ sub-rede 0: 172.30.4.192/28
  • 116.
    ■ Subnet 1:172.30.4.208/28 ■ Sub-rede 2: 172.30.4.224/28 ■ sub-rede 3: 172.30.4.240/28 Atribuição de sub-rede 0 a LAN 2, ficamos com três / 28 sub-redes e dois / 24 sub-redes. Para finalizar nosso esquema de endereçamento, é preciso criar uma sub-rede apenas para o link WAN, que necessita apenas de host 2 endereços. Tomamos uma sub-rede, 172.30.4.208/28 e sub-rede ainda mais. Para satisfazer a exigência host 2, deixamos 2 bits (22-2 = 2 hosts por sub- rede). Porque nós temos quatro bits de host total, tomamos emprestado 2 bits para criar as sub-redes (22 = 4 sub-redes). A máscara de sub-rede de partida é / 28 ou 255.255.255.240. Ligamos os próximos dois bits na máscara de sub- rede para obter / 30 ou 255.255.255.252. O multiplicador é 4. As quatro sub-redes são os seguintes: Dia 21 117 ■ sub-rede 0: 172.30.4.208/30 ■ Subnet 1: 172.30.4.212/30 ■ Sub-rede 2: 172.30.4.216/30 ■ sub-rede 3: 172.30.4.220/30 Nós atribuímos de sub-rede 0 para o link WAN. Ficamos com três / 30 sub- redes, dois / 28 sub-redes, e dois / 24 sub-redes. Resumindo endereços de sub-rede Quando um esquema de endereçamento de rede está desenhada de forma hierárquica, endereços resumindo a roteadores upstream roteamento torna muito mais eficiente. Em vez de enviar uma coleção de vários sub-redes, um roteador de borda pode enviar uma rota de síntese para o próximo roteador. Se você estiver usando roteamento estático ou configurar uma rota de síntese para EIGRP, pode ser necessário para calcular o prefixo de rede direita e máscara. Referindo-se a Figura 21-4, o que seria rota de síntese R1 enviar para o roteador upstream, BBR (Router Backbone) para os quatro sub-redes? Figura 21-4 sub-redes Resumindo: Exemplo 1
  • 117.
    Use as seguintesetapas para calcular uma rota de síntese: Etapa 1 Escreva as redes que você deseja resumir em binário, como mostra a Etapa 4 seguintes. Passo 2 Para encontrar a máscara de sub-rede para a sumarização, comece com o bit mais à esquerda. Passo 3 Trabalhe seu caminho para a direita, encontrando todos os bits que correspondem consecutivamente. Passo 4 Quando você encontrar uma coluna de bits que não correspondem, pare. Você está no limite resumo. 11000000.10101000.00000001.00000000 11000000.10101000.00000001.00100000 11000000.10101000.00000001.01000000 11000000.10101000.00000001.01100000 Passo 5 Contar o número de bits mais à esquerda de correspondência, que neste exemplo é 25. este número torna-se sua máscara de sub-rede para a rota resumida, / 25 ou 255.255.255.128. Passo 6 Para encontrar o endereço de rede para sumarização, cópia da correspondência 25 bits e adicionar todos os 0 bits para o fim de fazer 32 bits. Neste exemplo, o endereço de rede é 192.168.1.0. Nas redes de produção, as sub-redes para ser resumido muito provavelmente não terá a mesma sub-rede máscara. Por exemplo, as sub-redes na Figura 21-5 está usando três máscaras de sub-rede diferente. que sumário rota seria R1 enviar para o BBR para as quatro sub-redes? Figura 21-5 sub-redes Resumindo: Exemplo 2
  • 118.
    IP privado epúblico Addressing RFC 1918, "atribuição de endereços internet Privada", facilitou a procura de endereços IP reservando os seguintes endereços para uso em redes privadas. ■ Classe A: 10.0.0.0 / 8 (10.0.0.0 a 10.255.255.255) ■ Classe B: 172.16.0.0/12 (172.16.0.0 a 172.31.255.255) ■ Classe C: 192.168.0.0/16 (192.168.0.0 a 192.168.255.255) Se você está dirigindo uma intranet não públicas, esses endereços privados podem ser usados em vez de globalmente únicos endereços públicos. Isso proporciona flexibilidade em seu projeto de endereçamento. Qualquer organização pode tirar o máximo proveito de toda uma classe de endereços A (10.0.0.0 / 8). Encaminhamento de tráfego para o público Internet requer tradução para um endereço público usando Network Address Translation (NAT). Mas sobrecarregando um endereço de Internet roteáveis com muitos endereços privados, uma empresa precisa de apenas um punhado de endereços públicos. Dia 5, "Conceitos de NAT, Configuração e Solução de Problemas", comentários NAT operação e configuração em maior detalhe. Recursos estudo Para os temas de hoje do exame, consulte os seguintes recursos para mais estudo.
  • 120.
    Dia 20 Dirigindo-anfitrião, DHCP,DNS e Exame CCNA 640-802 Tópicos ■ Implementar estáticos e dinâmicos serviços de endereçamento para hosts em um ambiente de LAN. ■ Identificar e corrigir problemas comuns associados com endereçamento IP e configurações de host. ■ Explicar o funcionamento e benefícios do uso DHCP e DNS. ■ Configurar, verificar e solucionar problemas de DHCP e DNS operação em um roteador (CLI / SDM). Tópicos-chave Hoje fazemos uma revisão IP estático e dinâmico de endereçamento para dispositivos finais, bem como os protocolos em torno host-to-host comunicações, incluindo Address Resolution Protocol (ARP), Domínio Name System (DNS) e Dynamic Host Configuration Protocol (DHCP). Porque um roteador Cisco também pode ser um servidor de DHCP, vamos rever esses comandos. Além disso, como um endereçamento IP implementação não é sempre perfeita, revisamos as ferramentas de teste à sua disposição para rastrear
  • 121.
    e resolver problemasde conectividade relacionados para hospedar endereçamento. Dispositivos de endereçamento Endereços na rede podem ser atribuídos a hosts estática ou dinâmica. Endereços estáticos têm algumas vantagens sobre endereços dinâmicos. Por exemplo, se os anfitriões normalmente acessar um servidor, uma impressora, ou outros dispositivos em um determinado endereço IP, pode causar problemas se o endereço mudou. Além disso, a atribuição estática de informações de endereçamento pode fornecer controle maior da rede recursos. No entanto, pode ser demorado para inserir as informações em cada host, e porque um endereço duplicado afeta a operação de acolhimento, o cuidado deve ser tomado para não reutilizar um endereço. Para configurar um endereço estático em um PC executando o Windows XP, acessar o Internet Protocol (TCP / IP) Caixa de diálogo Propriedades, conforme mostrado na Figura 20-1 e digite todas as informações de configuração necessárias IP. Por causa dos desafios associados ao gerenciamento de endereço estático, dispositivos de usuário final, muitas vezes têm endereços atribuídos dinamicamente, usando DHCP. Para configurar um PC Windows para usar DHCP, acessar o Internet Protocol (TCP / IP) caixa de diálogo Propriedades caixa como mostrado na Figura 20-2 e clique em ambos os botões de rádio para a obtenção de informações de endereçamento automaticamente.
  • 122.
    ARP Para a comunicaçãoIP sobre Ethernet-redes conectadas a ter lugar, o endereço (IP) lógica precisa ser ligado ao endereço físico (MAC) de seu destino. Este processo é realizado usando ARP. Figura 20-3 mostra um exemplo de mapeamento de um endereço de Layer 2 para um endereço de camada 3.
  • 123.
    Para enviar dadospara um destino, um host em uma rede Ethernet deve saber o físico (MAC) endereço do destino. ARP fornece o serviço essencial de endereços IP para o mapeamento físico endereços em uma rede. Os mapeamentos resultantes ou endereço ligações são mantidos em uma tabela e, dependendo da operação sistema pode estar em qualquer lugar 2-20 minutos, ou até mais, antes da entrada expire. cada rede dispositivo que envia pacotes IP em um segmento de rede Ethernet mantém uma tabela ARP em memória semelhante à tabela mostrada no Exemplo 20-1. Exemplo 20-1 Tabela ARP para um PC Windows
  • 124.
    Independentemente do formatoda saída, a tabela ARP mostra o IP ligados a um endereço MAC. ARP ajuda dispositivos finais se comunicar na mesma rede local. Mas o que acontece quando o dispositivo um fim quer se comunicar com outro dispositivo em uma LAN remota? Se o host de destino não esteja na rede local, a fonte envia o quadro para o roteador local. para fazer isso, a fonte irá usar o endereço do gateway padrão do MAC no quadro. O gateway padrão (o roteador local), irá cuidar de roteamento o pacote para o próximo salto. DNS Pacotes IP de destino e exigem endereços IP de origem. Mas a maioria dos seres humanos teria um tempo difícil lembrando todos os endereços IP para seus destinos favoritos. Por isso, o Domain Name System (DNS) foi criado para converter nomes reconhecíveis em endereços IP para que os dispositivos final pode, então, encapsular um pacote com as informações necessárias de endereçamento. O servidor DNS age como o livro de telefone para a Internet: Ele traduz legível computador hostnames, por exemplo, http://www.cisco.com-into os endereços IP que o equipamento de rede necessidades de informação de entrega. Para ver esta "lista telefônica" em ação em uma máquina Windows, insira o comando nslookup, como mostrado no Exemplo 20-3. Em seguida, insira o nome de um site. Exemplo 20-3 Usando nslookup para encontrar um endereço IP Observe que o servidor DNS, que está localizado no endereço IP 64.102.6.247, voltou o endereço IP 198.133.219.25 para www.cisco.com. DNS usa um sistema hierárquico para criar um banco de dados nome para fornecer resolução de nomes. No topo da hierarquia, os servidores raiz manter registros sobre como alcançar os
  • 125.
    servidores domínio denível superior, que por sua vez têm registros que apontam para os servidores de nível secundário de domínio, e assim por diante. Os diferentes domínios de nível superior representam qualquer tipo de organização ou país de origem. Os seguintes são exemplos de domínios de nível superior: . ■ au: Austrália . ■ co: Colômbia ■ com:. A empresa ou indústria . ■ jp: Japão ■ org:. A organização sem fins lucrativos DHCP DHCP permite que um host para obter um endereço IP dinamicamente quando ele se conecta à rede. o DHCP servidor é contactado através do envio de um pedido, e um endereço IP é solicitado. O servidor DHCP escolhe um endereço de um intervalo configurado de endereços chamado de piscina e atribui-lo para o host cliente por um determinado período. Figura 20-4 mostra graficamente o processo de como um servidor DHCP aloca Endereçamento IP informações a um cliente DHCP. Figura 20-4 Informação Alocando o endereçamento IP com o DHCP Dia 20 127 Quando um DHCP configurado o dispositivo é inicializado ou se conecta à rede, o cliente envia um DHCPDISCOVER pacote para identificar quaisquer servidores DHCP disponível na rede. Um servidor DHCP responde com um DHCPOFFER, que é uma mensagem de oferta de concessão com um endereço IP atribuído, de sub-rede máscara, servidor DNS e as informações de gateway padrão, bem como a duração do contrato de locação. O cliente pode receber pacotes DHCPOFFER múltiplas se a rede local tem mais de um Servidor DHCP. O cliente deve escolher entre eles e transmitir um pacote que DHCPREQUEST identifica a oferta de servidores e de arrendamento explícito que ele está
  • 126.
    aceitando. Assumindo que oendereço IP ainda é válido, o servidor escolhido retorna um DHCPACK (reconhecimento) mensagem de finalização do contrato. Se a oferta não é mais válido, por algum motivo, o servidor escolhido responde ao cliente com uma mensagem DHCPNAK (confirmação negativa). Depois que ele é locado, o cliente renovar antes da expiração da concessão através de outro DHCPREQUEST. Se o cliente estiver desligado ou retirado da rede, o endereço é retornado para o pool para reutilização. Configurar em um roteador Cisco como um DHCP servidor Observação: Devido às limitações de espaço, apenas o método CLI para a configuração DHCP é revisto aqui. No entanto, porque o tópico exame inclui tanto o CLI e Gerenciador de Dispositivos de Segurança (SDM) métodos, rever o método SDM, consultando os recursos do seu estudo. As etapas para configurar um roteador como um servidor DHCP são as seguintes: Passo 1 Use o ip dhcp excluídos endereço endereço de baixa [endereço de alta] comando para identificar um endereço ou intervalo de endereços para excluir do pool de DHCP. Por exemplo: R1 (config) # ip dhcp excluídos endereço 192.168.10.1 192.168.10.9 R1 (config) # ip dhcp excluídos endereço 192.168.10.254 Passo 2 Crie o pool DHCP usando o ip dhcp pool de comando pool-name, que depois colocá-lo em modo DHCP config, como demonstrado aqui: R1 (config) # ip dhcp pool de LAN-POOL-10 R1 (dhcp-config) # Passo 3 Finalmente, configure o parâmetro de endereçamento IP que você precisa para atribuir automaticamente para clientes solicitantes. Tabela 20-1 lista os comandos necessários.
  • 130.
    Para liberar aconfiguração DHCP em um cliente baseado no Windows, digite o comando ipconfig / release. Para renovar a configuração DHCP, digite o comando ipconfig / renew. Em uma complexa rede, os servidores DHCP são geralmente contido em um farm de servidores. Portanto, os clientes normalmente não estão na mesma sub-rede que o servidor DHCP, como mostrado no exemplo anterior. para garantir transmitido DHCPDISCOVER mensagens são enviadas para o servidor DHCP remoto, use o ip helper-address endereço de comando. Por exemplo, na Figura 20-6 o servidor DHCP está localizado na LAN 192.168.11.0/24 e está cumprindo Informações de endereçamento IP para ambas as LANs. Sem o comando ip helper-address, R1 iria descartar qualquer transmissões de PC1 solicitando Serviços de DHCP. Para configurar R1 para retransmitir DHCPDISCOVER mensagens, digite o seguinte comando: R1 (config) # interface FastEthernet 0 / 0 R1 (config-if) # ip helper-address 192.168.11.5 Observe o comando é inserido na interface que irá receber transmissões de DHCP. R1 em seguida, encaminha DHCP transmitir mensagens como unicast para 192.168.11.5. O comando ip helper-address
  • 131.
    por padrão paraa frente os seguintes oito serviços UDP: ■ Porta 37: Tempo ■ Porta 49: TACACS ■ Porta 53: DNS ■ Porta 67: DHCP / BOOTP cliente Para especificar portas adicionais, use o comando global ip forward-protocol udp [número de porta-| protocol]. Para desativar as transmissões de um protocolo particular, use o formulário não do comando. Testes de rede Ferramentas Camada O ping e tracert (traceroute para Cisco IOS) são comumente usados para testar a conectividade e identificar problemas com host de endereçamento. Sibilo Para o teste de ponta a ponta-de conectividade entre hosts, use o comando ping. Se o ping tiver êxito, como mostrado nos exemplos 20-7 e 20-8, você sabe que pelo menos um caminho existe para rotear o tráfego entre a origem eo destino. Exemplo de saída do Ping 20-7 em um PC Windows C: > ping 192.168.10.1 Ping 192.168.10.1
  • 132.
    Observe que oprimeiro ping falhou (.). Provavelmente, isso foi devido a um timeout enquanto R1 iniciou um ARP pedido para 192.168.10.10. Depois R1 tinha o endereço MAC para 192.168.10.10, ele poderia, então, enviar os pedidos ICMP. Os próximos quatro pings sucesso (!). Se o teste de ping falhar para o fim-a-extremo, você pode querer de volta até a máquina local para testar sua pilha TCP / IP usando o ping para o 127.0.0.1 endereço. Se este ping tiver êxito, testar a sua conectividade com o gateway padrão. Se esse ping falhar, verifique seus conectividade física e configuração de IP. Se o ping tiver êxito para o gateway padrão, use traceroute para encontrar onde há falhas. Traceroute (tracert) permite que você observe o caminho entre esses hosts. O traço gera uma lista de saltos que foram sucesso alcançado ao longo do caminho, como mostrado no Exemplo 20-9. Esta lista pode fornecê-lo com a verificação e informações importantes solução de problemas.
  • 133.
    O tracert parawww.cisco.com mostra as respostas dos roteadores ao longo do caminho. O host local envia um pacote para o endereço designação de 198.133.219.2. A primeira resposta é uma resposta do gateway host padrão, 10.20.0.94. Quando o destino final é atingido, o host responde com um ICMP Port Unreachable mensagem ou uma mensagem de resposta ICMP Echo. No caso do Exemplo 20-8, o asterisco (*) indica o ICMP Time Exceeded mensagem de que não houve resposta do destino.
  • 135.
    Conceitos básicos IPv6 ExameCCNA 640-802 Tópicos ■ Descrever os endereços IPv6. ■ Descrever os requisitos tecnológicos para IPv6 executando em conjunto com IPv4 (incluindo protocolos, pilha dupla, tunelamento). Tópicos-chave No início de 1990, o Internet Engineering Task Force (IETF) cresceu preocupada com a exaustão do IPv4 endereços de rede e começou a procurar um substituto para este protocolo. este atividade levou ao desenvolvimento do que hoje é conhecido como IPv6. Revisão de hoje centra-se na rápida substituição emergentes para IPv4. O estudo nota detalhes IPv6 recursos básicos de endereçamento e configuração de roteamento. Apesar de interessante para ler e prática no equipamento real, de configuração IPv6 não é um Objetivo CCNA. Portanto, não será uma parte de nossa Principais temas. No entanto, praticando tarefas de configuração, você também será reforçar os conceitos básicos de IPv6. Visão geral do IPv6 A capacidade de escala de redes para demandas futuras requer uma fonte ilimitada de endereços IP e melhoria da mobilidade que privada de endereçamento e NAT sozinho não pode atender. IPv6 satisfaz as cada vez mais necessidades complexas de endereçamento hierárquico que o IPv4 não fornece. Tabela 19-1 compara as representações binárias e alfanuméricos de endereços IPv4 e IPv6.
  • 136.
    Um endereço IPv6é um valor binário de 128 bits, que podem ser apresentados até 32 dígitos hexadecimais. IPv6 deve fornecer endereços suficiente para as necessidades futuras Internet crescimento para os anos vindouros. IPv6 é um acessório poderoso para IPv4. Vários recursos no IPv6 oferecer melhorias funcionais. ■ maior espaço de endereçamento: maior espaço de endereçamento inclui várias melhorias: - Melhoria da acessibilidade global e flexibilidade - A agregação de prefixos que são anunciados em tabelas de roteamento - Multihoming para vários provedores - Autoconfiguration que pode incluir dados-link camada de endereços no espaço de endereço - Plug-and-play opções - Público-to-end privada readdressing ao fim, sem tradução de endereços - Mecanismos simplificados para o endereço de renumeração e alteração ■ Simpler cabeçalho: A mais simples de cabeçalho oferece diversas vantagens sobre IPv4: - Melhor eficiência para o desempenho de roteamento e encaminhamento de taxa de escalabilidade - Sem transmissões e, portanto, nenhuma ameaça potencial de tempestades de difusão - Não há necessidade de somas de verificação de processamento - Mecanismos de cabeçalho mais simples e mais eficiente de extensão - Etiquetas de fluxo para o fluxo por tratamento sem necessidade de abrir o pacote de transporte interno para identificar os vários fluxos de tráfego ■ Mobilidade e segurança: Mobilidade e ajudar a garantir a conformidade com a segurança IP móveis e IPsec funcionalidade padrões. Mobilidade permite que as pessoas com a rede de dispositivos móveis-muitos com conectividade sem fio para se movimentar em redes: - IPv4 não habilita automaticamente dispositivos móveis para mover-se sem interrupções no estabelecido conexões de rede.
  • 137.
    - Em IPv6,a mobilidade é embutido, o que significa que qualquer nó IPv6 pode usar mobilidade quando necessário. - IPsec é ativado em cada nó IPv6 e está disponível para uso, tornando a Internet IPv6 mais seguro. ■ estratégias de Transição: Você pode incorporar capacidades existentes IPv4 com as características adicionadas de IPv6 de várias maneiras: - Você pode implementar um método dual-stack, com IPv4 e IPv6 configurado no interface de um dispositivo de rede. - Você pode usar tunelamento, que se tornam mais proeminentes como a adoção de IPv6 cresce. - Cisco IOS Release 12,3 Software (2) T e, posteriormente, incluem-Tradução de Endereços de Rede Protocolo Translation (NAT-PT) entre IPv4 e IPv6. 138 31 dias antes de seu exame CCNA Estrutura de endereços IPv6 Você sabe o endereço IPv4 de 32 bits como uma série de quatro campos de 8 bits, separados por pontos. No entanto, maiores 128-bit endereços IPv6 precisam de uma representação diferente por causa de seu tamanho. Convenções para escrever os endereços IPv6 Convenções IPv6 utilizar 32 números hexadecimais, organizados em oito quartetos de 4 dígitos hexadecimais separados por dois pontos, para representar um endereço IPv6 de 128 bits. Por exemplo: 2340:1111: AAAA: 0001:1234:5678:9 ABC Para tornar as coisas um pouco mais fácil, duas convenções permitem encurtar o que deve ser digitado para um Endereço IPv6: ■ Omitir os 0s líder em qualquer quarteto de dado. ■ Representar um ou mais quartetos seguidos de todos os 0s hex com um (::), dois pontos duplos, mas apenas para um tal ocorrência em um determinado endereço. Nota O quarteto termo vem do Exame livro Wendell Odom Oficial CCNA ICND2 Edição de certificação Guia Segundo. Para o IPv6, um quarteto é um conjunto de quatro dígitos hexadecimais. Oito quartetos estão em cada endereço IPv6. Por exemplo, considere o seguinte endereço. Os dígitos em negrito representam dígitos no qual o endereço pode ser abreviado. FE00: 0000:0000:0001:0000:0000:0000:0056 Este endereço possui dois locais em que um ou mais quartetos têm quatro 0s hex, então dois principais opções existem para abreviar este endereço, usando o:: abreviatura em um ou outro local. Duas opções a seguir mostram o mais breve duas abreviaturas válidas:
  • 138.
    ■ FE00:: 1:0:0:0:56 ■FE00: 0:0:1:: 56 No primeiro exemplo, os quartetos segundo e terceiro anteriores 0001 foram substituídas por::. No segundo exemplo, os quartetos quinto, sexto e sétimo foram substituídos por::. Em particular, note que o :: Abreviatura, que significa "um ou mais quartetos de todos os 0s," não pode ser usado duas vezes, porque isso ser ambíguo. Assim, a abreviação FE00:: 1:: 56 não seria válida. Convenções para escrever prefixos IPv6 Prefixos IPv6 representam uma faixa ou bloco de endereços IPv6 consecutivos. O número que representa o intervalo de endereços, chamada de prefixo, é geralmente visto em tabelas de roteamento IP, assim como você vê sub-rede IP números em tabelas de roteamento IPv4. Tal como acontece com IPv4, ao escrever ou digitar um prefixo no IPv6, os bits após o final do comprimento do prefixo são todos os 0s binários. O seguinte endereço IPv6 é um exemplo de um endereço atribuído a um host: 2000:1234:5678:9 ABC: 1234:5678:9 ABC: 1111-1164 O prefixo em que reside neste endereço seria o seguinte: 2000:1234:5678:9 ABC: 0000:0000:0000:0000 / 64 Dia 19 139 Quando abreviado, este seria 2000:1234:5678:9 ABC:: / 64 Se o comprimento do prefixo não cai em um limite de quarteto (não é um múltiplo de 16), o valor do prefixo deve listar todos os valores no último quarteto. Por exemplo, suponha que o comprimento de prefixo nos últimos exemplo é / 56. Então, por convenção, o resto do quarteto quarto deve ser escrito, depois de ser definido para 0s binários, como segue: 2000:1234:5678:9 A00:: / 56 A lista a seguir resume alguns pontos-chave sobre como escrever prefixos IPv6: ■ O prefixo tem o mesmo valor que os endereços IP no grupo para o primeiro número de bits, como definida pelo comprimento de prefixo. ■ Qualquer bits depois o número do prefixo comprimento de bits são 0s binários. ■ O prefixo pode ser abreviado com as mesmas regras que os endereços IPv6. ■ Se o comprimento do prefixo não está em um limite de quarteto, anote o valor para o quarteto inteiro. Tabela 19-2 mostra vários exemplos de prefixos, o seu formato, e uma breve explicação.
  • 139.
    Endereço IPv6 UnicastGlobais IPv6 tem um formato de endereço que permite a agregação de cima, eventualmente, para o ISP. Um IPv6 global endereço unicast é globalmente exclusivo. Semelhante a um endereço IPv4 público, ele pode ser encaminhado na Internet sem qualquer modificação. Um endereço unicast IPv6 global consiste em um prefixo de roteamento global de 48-bit e um ID de sub-rede de 16 bits, como mostrado na Figura 19-1. O endereço unicast global atual, que é atribuído pelo IANA usa o intervalo de endereços que começar com valor binário 001 (2000:: / 3), que é um oitavo do espaço de endereços IPv6 e é o maior bloco de endereços atribuído. Endereços reservados, Private e Loopback As reservas IETF uma porção do espaço de endereços IPv6 para vários usos, presente e futuro. Endereços reservados representam 1 / 256 do espaço de endereços IPv6. Alguns dos outros tipos de Endereços IPv6 vem este bloco. Um bloco de endereços IPv6 é reservado para endereços privados, assim como é feito em IPv4. Estes privada endereços são locais apenas para um determinado link ou site e, portanto, nunca são encaminhados fora de um determinado rede da empresa. Endereços privados têm um valor primeiro octeto de FE em notação hexadecimal, com o dígito hexadecimal sendo um valor próximo de 8 a F. Esses endereços são divididos em dois tipos, com base no seu escopo:
  • 140.
    ■ Site-local endereços:Estes são para um site inteiro ou organização. No entanto, o uso de sitelocal endereços é problemático e está sendo substituído a partir de 2003 por RFC 3879. Em hexadecimal, endereços de sites locais começam com FE e C para F para o terceiro dígito hexadecimal. Assim, estes endereços começam com FEC, FED, FEE, ou FEF. ■ Link-local endereços: Estes têm um menor âmbito de endereços de sites locais, pois eles se referem a apenas uma ligação física particular (rede física). Roteadores não encaminham datagramas usando linklocal endereços, nem mesmo dentro da organização, eles servem apenas para comunicação local em um segmento particular da rede física. Eles são usados para comunicações link como automático configuração de endereços, descoberta de vizinhos, e a descoberta de roteador. Muitos protocolos de roteamento IPv6 também usar link-local endereços. Link-local endereços começam com FE e depois ter um valor de 8 a B para o terceiro dígito hexadecimal. Assim, estes endereços começar com FE8, FE9, FEA, ou Fevereiro Assim como no IPv4, uma provisão foi feita para um endereço IPv6 loopback especiais para testes. O endereço de loopback é 0:0:0:0:0:0:0:1, que normalmente é expressa usando compressão zero como: 1. O ID de interface IPv6 e EUI-64 Format Figura 19-1 mostra o formato de um endereço IPv6 unicast globais, com a segunda metade do endereço chamado de host ou ID interface. O valor da parcela ID interface de um unicast global endereço pode ser definido como qualquer valor, contanto que nenhuma outra máquina na mesma sub-rede tenta usar o mesmo valor. No entanto, o tamanho do ID de interface foi escolhido para permitir a configuração automática fácil de IP endereços, ligando o endereço MAC de uma placa de rede no campo ID de interface em uma IPv6 endereço. Os endereços MAC são 6 bytes (48 bits) de comprimento. Então, para completar o ID de interface de 64 bits, o IPv6 preenche Mais 2 bytes, separando o endereço MAC em duas metades de 3 bytes. Em seguida, FFFE hex inserções em entre as metades e define o sétimo bit do primeiro byte para binário 1 para formar o ID de interface de campo. Figura 19-2 mostra neste formato, chamado o formato EUI-64 (EUI significa único Extended Identificador). Dia 19 141
  • 141.
    Gerenciamento de endereçosIPv6 Existem duas opções para a configuração do endereço IPv6 estático para ambos os roteadores e hosts: ■ configuração estática do endereço completo ■ configuração estática de um prefixo / 64 com o anfitrião calcular o seu ID de interface EUI-64 para completar o endereço IP. IPv6 suporta dois métodos de configuração dinâmica de endereços IPv6: ■ DHCPv6: Funciona da mesma conceitualmente como DHCP no IPv4. ■ autoconfiguração stateless: Um host dinamicamente aprende o / 64 através do prefixo IPv6 Neighbor Discovery Protocol (NDP) e calcula o resto do seu endereço usando um EUI-64 ID de interface com base na sua placa de rede (NIC) de endereço MAC. A transição para IPv6 A transição de IPv4 para IPv6 não requer upgrades em todos os nós ao mesmo tempo. muitos mecanismos de transição permitir uma integração harmoniosa de IPv4 e IPv6. Outros mecanismos que permitem IPv4 nós para se comunicar com nós IPv6 estão disponíveis. Diferentes
  • 142.
    situações exigem diferentes estratégias.Mecanismos de transição diferentes incluem o seguinte: ■ duplo empilhamento: Um método de integração no qual um nó tem implementação e conectividade para tanto uma rede IPv4 e IPv6. Esta é a opção recomendada e envolve a execução IPv4 IPv6 e, ao mesmo tempo. ■ Tunneling: Várias técnicas de tunelamento estão disponíveis: ■ túneis manualmente configurado (MCT): Um pacote IPv6 é encapsulado dentro do IPv4 protocolo. Este método requer dual-stack roteadores. ■ dinâmico túneis 6to4: Este termo refere-se a um tipo específico de túnel criados dinamicamente, tipicamente feito na Internet IPv4, em que os endereços IPv4 das extremidades do túnel pode ser encontrada de forma dinâmica com base no endereço de destino IPv6. ■ Intrasite Protocolo de endereçamento de encapsulamento automático (ISATAP): Outra dinâmica de tunelamento método, normalmente utilizado dentro de uma empresa. Ao contrário de túneis 6to4, túneis ISATAP fazer não funciona se IPv4 NAT é usado entre as extremidades do túnel. ■ Teredo tunelamento: Este método permite dual-stack hosts para criar um túnel para outro host, com o anfitrião-se tanto a criação do pacote IPv6 e encapsular o pacote dentro de um cabeçalho IPv4. ■ NAT-Protocol Translation (NAT-PT): Esta opção permite a comunicação direta de transição entre IPv4-only hosts IPv6 e somente hosts. Estas traduções são mais complexas do IPv4 NAT. Neste momento, esta técnica de tradução é a opção menos favorável e deve ser usado como último recurso. Lembre-se este conselho: "pilha dupla, onde pode; túnel onde você deve." Estes dois métodos são as técnicas mais comuns para a transição de IPv4 para IPv6. Tabela 19-3 resume as opções de transição para IPv6.
  • 144.
    Dia 18 Conceitos básicosde roteamento ■ Descrever conceitos básicos de roteamento (incluindo o encaminhamento de pacotes, o processo de pesquisa roteador). ■ Comparar e contrastar os métodos de roteamento e protocolos de roteamento. Tópicos-chave Hoje nós revemos conceitos básicos de roteamento, incluindo exatamente como um pacote é processado pelo intermediário dispositivos (roteadores) a caminho da origem para decisão. Nós então rever os métodos básicos de roteamento, incluindo conectado, rotas estáticas e dinâmicas. Porque roteamento dinâmico
  • 145.
    é como umgrande CCNA área de tópico, passamos algum tempo discutindo classificações, bem como as características básicas da distância vector e link-state protocolos de roteamento. Nota O material CCNA Exploration para hoje? Tópicos do exame s é bastante extensa. Na maioria dos casos, o material leva o caminho do estudante para além do âmbito do CCNA. Em particular, Capítulo 8, A tabela de roteamento: Um olhar mais atento,? não deve ser uma prioridade para o seu comentário hoje. No entanto, se você estiver usando material de Exploração para rever, verificar todos os capítulos pertinentes e concentrar-se nos temas que são fracos dentro Encaminhamento de pacotes Encaminhamento de pacotes por roteadores é realizada através de determinação do caminho e as funções de comutação. A função de determinação do caminho é o processo de como o roteador determina qual o caminho para usar quando encaminhamento de um pacote. Para determinar o melhor caminho, o roteador procura sua tabela de roteamento para uma rede endereço que corresponde ao pacote? endereço IP de destino. Uma das três determinações caminho resultados desta pesquisa: ■ Directamente ligado rede: Se o endereço IP de destino do pacote pertence a um dispositivo em uma rede que está diretamente ligado a um dos router interfaces? s, que pacote é transmitido diretamente para esse dispositivo. Isto significa que o endereço IP de destino do pacote é um host endereço na mesma rede que esta interface s router?. ■ de rede remota: Se o endereço IP de destino do pacote pertence a uma rede remota, a pacote é encaminhado para outro roteador. Redes remotas pode ser alcançado somente por encaminhamento pacotes para outro roteador. ■ Nenhuma rota determinada: Se o endereço IP de destino do pacote não pertence a qualquer um conectado ou rede remota, eo roteador não tem uma rota default, o pacote é descartado. O roteador envia uma Internet Control Message Protocol (ICMP) mensagem de inacessível para o endereço IP de origem do pacote. Nos dois primeiros resultados, o roteador conclui o processo de comutação por pacote com a interface correta. Ele faz isso reencapsulating o pacote IP para o formato apropriado Camada frame 2 de enlace de dados para a interface de saída. O tipo de encapsulamento da camada 2 é determinada pelo tipo de interface. Para exemplo, se a interface de saída é Fast Ethernet, o pacote é encapsulado em um quadro Ethernet. Se o
  • 146.
    interface de saídaé uma interface serial configurada para PPP, o pacote IP é encapsulado em um quadro PPP. Determinação caminho e Exemplo de Função de comutação A maioria dos recursos de estudo têm exemplos detalhados com excelentes gráficos que explicam a determinação do caminho e comutação de funções desempenhadas pelos roteadores como um pacote de viagens da origem ao destino. Embora não temos uma abundância de espaço aqui para repetir os gráficos, podemos textualmente revisão um exemplo usando um gráfico, mostrado na Figura 18-1. Figura 18-1 Exemplo de Topologia Packet Forwarding Para resumir, apenas os dois últimos octetos do endereço MAC é mostrado na figura. 1. PC1 tem um pacote a ser enviado para PC2. E usando a operação em endereço IP de destino ea máscara de sub-rede PC1, o PC1 tem determinou que o IP de origem e destino endereços IP estão em redes diferentes. Portanto, PC1 verifica sua tabela Address Resolution Protocol (ARP) para o endereço IP do gateway padrão e seu endereço MAC associado. Em seguida, ele encapsula o pacote em um Ethernet cabeçalho e encaminha para R1. 2. Roteador R1 recebe o quadro Ethernet. Roteador R1 examina o endereço MAC de destino, o que corresponde ao endereço MAC do interface de recepção, FastEthernet 0 / 0. R1, portanto, copiar o quadro em seu buffer. R1 decapsulates o quadro Ethernet e lê o endereço IP de destino. Porque não corresponde a nenhuma das redes diretamente conectadas R1, o roteador consulta sua tabela de roteamento para rotear este pacote. R1 procura na tabela de roteamento para um endereço de rede e máscara de sub-rede que iria incluir esse endereço IP de destino do pacote como um endereço de host na rede. A entrada com o maior jogo (prefixo mais longo) é selecionado. R1, em seguida, encapsula o pacote no quadro apropriado formato para a interface de saída e muda o quadro para a interface (FastEthernet 0 / 1 em nosso exemplo). A interface, em seguida, encaminha para o próximo salto.
  • 147.
    3. Pacote chegaao roteador R2. R2 executa as mesmas funções que R1, só que desta vez a interface de saída é uma interface serial- não Ethernet. Portanto, R2 encapsula o pacote no formato de quadro apropriado usado por a interface serial e envia para R3. Para o nosso exemplo, suponha que a interface está usando alta Nível Data Link Control (HDLC), que usa o endereço 0x8F link de dados. Lembre-se, há não são endereços MAC em interfaces seriais. 4. Pacote chega ao R3. R3 decapsulates o quadro HDLC link de dados. A busca dos resultados da tabela de roteamento em uma rede que é uma das redes diretamente conectadas R3. Porque a interface de saída é uma diretamente conectados de rede Ethernet, as necessidades R3 para resolver o endereço IP de destino do pacote com um endereço MAC de destino. Buscas R3 para o pacote do endereço IP de destino 192.168.4.10 em seu cache ARP. Se o entrada não estiver no cache ARP, R3 envia uma solicitação ARP a sua FastEthernet 0 / 0 interface. Classificar protocolos de roteamento dinâmico Figura 18-2 mostra um cronograma de protocolos de roteamento IP, juntamente com um gráfico que irá ajudá-lo a memorizar as várias maneiras de classificar os protocolos de roteamento. Evolução figura 18-2 Protocolos de Roteamento e Classificação 150
  • 148.
    Os protocolos deroteamento em destaque na figura são o foco do exame CCNA. Protocolos de roteamento podem ser classificados em diferentes grupos de acordo com suas características: ■ IGP ou EGP ■ vector distância ou link-state ■ Classful ou sem classes IGP e EGP Um sistema autônomo (AS) é um conjunto de roteadores sob uma administração comum, que apresenta comum, política de roteamento claramente definida para a Internet. Exemplos típicos são um grande rede interna da empresa e uma rede ISP. A maioria das redes da empresa não são autônomos sistemas, apenas uma rede dentro de seu sistema de ISP autónoma. Porque a Internet é baseada sobre o conceito de sistema autônomo, dois tipos de protocolos de roteamento são necessários: ■ Interior Gateway Protocols (IGP): Utilizado para roteamento intra-AS, isto é, roteamento dentro de um AS ■ Exterior Gateway Protocols (EGP): Utilizado para roteamento inter-AS, isto é, roteamento entre sistemas autônomos Distance Vector Routing Protocols Vetor de distância significa que as rotas são anunciadas como vetores de
  • 149.
    distância e direção.distância é definida em termos de tal métrica como contagem de saltos, ea direção é o next-hop roteador ou interface de saída. Protocolos vetor de distância normalmente usam o algoritmo de Bellman-Ford para a rota melhor caminho- determinação. Alguns protocolos vetor de distância enviar periodicamente completa tabelas de roteamento para todos os vizinhos conectados. Em grandes redes, essas atualizações de roteamento pode tornar-se enorme, fazendo com que o tráfego significativo sobre os links. Embora o algoritmo de Bellman-Ford, eventualmente, acumula conhecimento suficiente para manter uma banco de dados de redes alcançáveis, o algoritmo não permite que um roteador para conhecer a topologia exata de uma internetwork. O roteador conhece apenas as informações de roteamento recebidas de seus vizinhos. Protocolos vetor de distância usam roteadores como indicadores ao longo do caminho até o destino final. A única informações de um roteador sabe sobre uma rede remota é a distância ou métrica para chegar a essa rede e qual o caminho ou interface que usará para chegar lá. Protocolos de roteamento vetor de distância não tem uma mapa real da topologia da rede. Protocolos de vetor distância funcionam melhor em situações onde ■ A rede é simples e plana e não exige um projeto hierárquico. ■ Os administradores não têm conhecimento suficiente para configurar e solucionar problemas de link-state protocolos. ■ tipos específicos de redes, tais como hub-and-spoke redes, estão sendo implementadas. ■ vezes pior caso de convergência em uma rede não são uma preocupação. Link State-Protocolos de Roteamento Em contraste com a operação de vetor de distância protocolo de roteamento, um roteador configurado com um roteamento link-state protocolo pode criar uma "vista completa", ou topologia, da rede de coleta de informações de todos os outros roteadores. Pense em um protocolo de roteamento link-state como tendo um mapa completo da topologia da rede. As placas de sinalização ao longo do caminho da origem ao destino não são necessários, porque todos os roteadores link-state está usando um "mapa" idêntico da rede. Um roteador usa link-state as informações do link state-para criar um mapa da topologia e selecionar o melhor caminho para todas as redes de destino na topologia. Com alguns protocolos de roteamento vetor de distância, os roteadores enviam
  • 150.
    atualizações periódicas desuas informações de roteamento aos seus vizinhos. Protocolos de roteamento link-state não usar atualizações periódicas. Depois que a rede convergiu, uma atualização de link-state é enviado somente quando há uma mudança na topologia. Link-state protocolos funcionam melhor em situações onde ■ O projeto de rede é hierárquica, geralmente ocorrendo em grandes redes. ■ Os administradores têm um bom conhecimento do protocolo de roteamento implementado link-state. ■ rápida convergência da rede é crucial. Classful Protocolos de Roteamento Classful protocolos de roteamento não envie informações máscara em atualizações de roteamento. O primeiro protocolos de roteamento, como o Routing Information Protocol (RIP), foram classful. Isto foi em um momento quando os endereços de rede foram alocados com base em classes: Classe A, B, ou C. Um protocolo de roteamento que não precisa incluir a máscara de sub-rede na atualização de roteamento, pois a máscara de rede poderia ser determinado com base no primeiro octeto do endereço de rede. Dia 18 151 1 (RIPv1) e Interior Gateway Routing Protocol (IGRP). Protocolos de Roteamento Classless Protocolos de roteamento sem classes incluem a máscara de sub-rede com o endereço de rede em atualizações de roteamento. Redes de hoje já não são alocados com base em classes, ea máscara de sub- rede não pode ser determinado pelo valor do primeiro octeto. Classless protocolos de roteamento são necessários na maioria das redes hoje por causa de seu apoio para VLSM e descontínua redes e supernets. Sem classes protocolos de roteamento são Routing Information Protocol versão 2 (RIPv2), Enhanced IGRP (EIGRP), Open Shortest Path First (OSPF), System Intermediate System-to-Intermediate (IS-IS) e Border Gateway Protocol (BGP). Métricas de roteamento dinâmico Há casos em que um protocolo de roteamento aprende de mais de uma rota para o mesmo destino a partir da fonte de roteamento mesmo. Para selecionar o melhor caminho, o protocolo de roteamento deve ser capaz de avaliar e diferenciar entre os caminhos disponíveis. A métrica é usada para esta
  • 151.
    finalidade. Dois roteamentodiferentes protocolos podem escolher caminhos diferentes para o mesmo destino por causa do uso de métricas diferentes. Métricas usadas em protocolos de roteamento IP incluem o seguinte: ■ RIP-Hop count: Melhor caminho é escolhido por a rota com o menor número de saltos. ■ IGRP e EIGRP largura de banda, confiabilidade atraso, e de carga: Melhor caminho é escolhido pelo percurso com o menor valor composto métrica calculada a partir desses parâmetros múltiplos. Por largura de banda padrão, apenas e atraso são usados. ■ IS-IS e OSPF Custo: O melhor caminho é escolhido pelo percurso com o menor custo. A Cisco implementação de OSPF usa a largura de banda para determinar o custo. A métrica associada a uma determinada rota pode ser melhor visualizado utilizando o comando show ip route. O valor da métrica é o segundo valor entre parênteses, por uma entrada na tabela de roteamento. No Exemplo 18-1, R2 tem uma rota para a rede 192.168.8.0/24, que é de dois saltos de distância. Exemplo 18-1 tabela de roteamento para R2 152 31 dias antes de seu exame CCNA R2 # show ip route <saida omitted> Gateway de último recurso não está definido R 192.168.1.0/24 [120 / 1] via 192.168.2.1, 00:00:24, Serial0/0/0
  • 152.
    Observe na saídaque uma rede, 192.168.6.0/24, tem duas rotas. RIP vai balancear a carga entre estas vias de igual custo. Todos os outros protocolos de roteamento são capazes de automaticamente loadbalancing tráfego para até quatro igual custo rotas por padrão. EIGRP também é capaz de balanceamento de carga em custos desiguais caminhos. Distância administrativa Pode haver momentos em que um roteador aprende uma rota para uma rede remota de mais de um roteamento fonte. Por exemplo, uma rota estática pode ter sido configurado para a máscara de rede / sub-rede mesmo que foi aprendido de forma dinâmica através de um protocolo de roteamento dinâmico, como o RIP. O roteador deve escolher qual a rota para instalar. Embora menos comum, mais do que um protocolo de roteamento dinâmico podem ser implantados na mesma rede. Em algumas situações, pode ser necessário para rotear o mesmo endereço de rede usando vários protocolos de roteamento tais como RIP e OSPF. Porque diferentes protocolos de roteamento utilizam diferentes métricas-RIP usa hop contagem e OSPF usa largura de banda não é possível comparar métricas para determinar o melhor caminho. Distância administrativa (AD) define a preferência de uma fonte de roteamento. Cada fonte, incluindo o roteamento protocolos específicos de roteamento, rotas estáticas, e até mesmo diretamente ligado redes é prioridade na ordem de mais para o menos preferível usando um valor de AD. Roteadores Cisco usar o recurso de AD para escolher o melhor caminho quando aprendem sobre a rede mesmo destino de dois ou mais diferentes fontes de roteamento. O valor AD é um valor inteiro de 0 a 255. Quanto menor o valor, o mais preferido a rota fonte. Uma distância administrativa de 0 é o mais preferido. Apenas uma rede diretamente conectada tem uma AD de 0, que não pode ser alterado. Um AD de 255 significa que o roteador não vai acreditar o fonte dessa rota, e não vai ser instalado na tabela de roteamento. Na tabela de roteamento mostrada no Exemplo 18-1, o valor AD é o primeiro valor listado na colchetes. Você pode ver que o valor AD para as rotas RIP é de 120. Você também pode verificar o valor com o AD comando show ip protocolos como demonstrado no Exemplo 18-2. Exemplo 18-2 Verificando o valor AD com o comando show ip protocols
  • 153.
    IGP Resumo Comparação Tabela18-3 compara várias características do IGPs atualmente mais popular:
  • 154.
    RIPv2, OSPF, e EIGRP. Roteamentoloop Prevenção Sem medidas preventivas, protocolos de encaminhamento vector distância pode causar graves loops de roteamento em da rede. Um loop de roteamento é uma condição na qual um pacote é transmitido de forma contínua dentro de um série de roteadores sem nunca chegar a sua rede de destino. Um loop de roteamento pode ocorrer quando dois ou mais roteadores têm imprecisas informações de roteamento para uma rede de destino. Um número de mecanismos disponíveis para eliminar loops de roteamento, principalmente com vetor de distância protocolos de roteamento. Estes mecanismos incluem o seguinte: ■ Definir uma métrica máximo, para evitar contagem ao infinito: Para finalmente parar o incremento de uma métrica durante um loop de roteamento, "infinito" é definida pela configuração de uma métrica máxima valor. Por exemplo, RIP define infinito como 16 saltos-uma métrica "inacessível". Quando o routers "contagem ao infinito", que marca a rota como inacessível. ■ Mantenha-down timers: Usado para instruir roteadores para realizar quaisquer mudanças que possam afetar rotas para um período de tempo especificado. Se uma rota é identificada como, possivelmente, para baixo ou para baixo, qualquer outra informação para aquela rota contendo o mesmo status, ou pior, é ignorado para uma quantidade predeterminada de tempo (o período de hold-down) para que a rede tenha tempo para convergir. ■ horizonte Split: Usado para evitar um loop de roteamento, não permitindo que os anúncios para ser enviado de volta através da interface que originou. A regra de dividir horizonte pára um roteador
  • 155.
    de incremento uma métricae depois enviar a rota de volta à sua fonte. ■ envenenamento Route ou reverter veneno: Usado para marcar a rota como inacessível em um roteamento atualização que é enviado para outros roteadores. Inacessível é interpretado como uma métrica que é definido para o máxima. ■ atualizações Triggered: Uma atualização de tabela de roteamento que é enviado imediatamente em resposta a um encaminhamento mudar. Atualizações desencadeada não espere por temporizadores atualização para expirar. O roteador detectar imediatamente envia uma mensagem de atualização para os roteadores adjacentes. ■ campo TTL no cabeçalho IP: O objetivo do Time to Live (TTL) de campo é para evitar uma situação em que um pacote undeliverable continua circulando na rede indefinidamente. Com TTL, o campo de 8 bits é definida com um valor pelo dispositivo de origem do pacote. O TTL é diminuído 1 por cada roteador na rota para seu destino. Se o campo TTL chega a 0 antes de o pacote chega ao seu destino, o pacote é descartado eo roteador envia uma mensagem de erro ICMP de volta para a origem do pacote IP. Link State-Routing Protocol Features Como protocolos de vetor de distância que enviam atualizações de roteamento para seus vizinhos, link-state protocolos envie o link state-atualidades routers vizinhos, que por sua vez transmite essa informação aos seus vizinhos, e assim por diante. Ao final do processo, como protocolos de vetor de distância, os roteadores que usam link-state protocolos de adicionar as melhores rotas para suas tabelas de roteamento, com base em métricas. No entanto, para além este nível de explicação, esses dois tipos de algoritmos de protocolo de roteamento têm pouco em comum. Construção do LSDB Link-state routers informações detalhadas sobre o dilúvio internetwork a todos os outros roteadores para que cada roteador tem as mesmas informações sobre a rede. Os roteadores usam esta base de dados link-state (LSDB) para calcular as melhores rotas, actualmente, para cada sub-rede. OSPF, o mais popular link-state protocolo de roteamento IP, anuncia informações em roteamento de atualização mensagens de vários tipos, com as atualizações contendo propagandas informações chamado link-state (LSAs). Figura 18-3 mostra a idéia geral do processo de inundação, com a criação de R8 e inundações sua router LSA. Note que a Figura 18-3 mostra apenas um subconjunto das
  • 156.
    informações no routerR8 da LSA. LSAs Figura 18-3 Inundações Usando um Link State Routing Protocol- Figura 18-3 mostra o processo de inundação, em vez de base, com R8 enviar o LSA original para si, e os outros roteadores inundando o LSA, enviando-lhe até que cada roteador tem uma cópia. Após o LSA foi inundado, mesmo se o LSAs não mudam, link-state protocolos exigem reflooding periódica dos LSAs por padrão a cada 30 minutos. No entanto, se uma mudança LSA, o inundações router imediatamente a LSA mudou. Por exemplo, se LAN Router R8 da interface falhou, R8 precisaria reflood o LSA R8, afirmando que a interface é agora para baixo. Cálculo do algoritmo de Dijkstra O processo de inundação por si só não causa um roteador para saber o que as rotas para adicionar ao roteamento IP mesa. Link-state protocolos deve, então, encontrar e adicionar rotas à tabela de roteamento IP usando o Dijkstra Algoritmo Shortest Path First (SPF). O algoritmo SPF é executado na LSDB para criar a árvore SPF. O LSDB contém todas as informações sobre todos os routers possível e links. Cada roteador deve ver-se como o ponto de partida, e cada sub-rede como o destino, e usa o algoritmo SPF para construir sua própria árvore SPF para escolher o melhor rota para cada sub-rede. Figura 18-4 mostra uma visualização gráfica dos resultados do algoritmo SPF executado pelo roteador R1 ao tentar para encontrar a melhor rota para chegar a sub-rede 172.16.3.0/24 (com base
  • 157.
    na Figura 18-3). Figura18-4 árvore SPF encontrar Route R1 para 172.16.3.0/24 Para escolher a melhor rota, o algoritmo de um roteador SPF acrescenta o custo associado a cada ligação entre em si e da sub-rede de destino, em cada rota possível. Figura 18-4 mostra os custos associados com cada rota ao lado dos links, com as linhas tracejadas mostram as três rotas R1 encontra entre si mesmo e de sub-rede X (172.16.3.0/24). Tabela 18-4 lista as três rotas mostrado na Figura 18-4, com os respectivos custos acumulados, mostrando que Melhor rota R1 para 172.16.3.0/24 começa por passar por R5. Como resultado da análise do algoritmo SPF é do LSDB, R1 adiciona uma rota para 172.16.3.0/24 sub-rede para sua tabela de roteamento, com o roteador next-hop de R5. Convergência com ligação Estado-Protocolos Lembre-se, quando uma mudança LSA, link-state protocolos de reagir rapidamente, convergindo a rede e
  • 158.
    utilizando as melhoresrotas atualmente o mais rápido possível. Por exemplo, imagine que a ligação entre R5 e R6 falha na internetwork de Figuras 18-3 e 18-4. A lista a seguir explica a processo de R1 usa para mudar para uma rota diferente. 1. R5 e R6 LSAs inundação que afirmam que suas interfaces estão agora em um estado "down". 2. Todos os roteadores executar o algoritmo SPF novamente para ver se todas as rotas foram alteradas. 3. Todos os roteadores substituir as rotas, conforme necessário, com base nos resultados do SPF. Por exemplo, mudanças R1 sua rota para a sub-rede X (172.16.3.0/24) para usar como roteador R2 o próximo salto. Estes passos permitem a ligação de estado protocolo de roteamento a convergir rapidamente, muito mais rapidamente do que a distância protocolos de roteamento vetor. Recursos estudo Para os temas de hoje do exame, consulte os seguintes recursos para mais estudo.
  • 159.
    dia 17 Conexão einicialização de Routers Exame CCNA 640-802 Tópicos ■ Selecione a mídia apropriada, cabos, portas e conectores para conectar roteadores para outras redes dispositivos e hosts. ■ Descrever a operação de roteadores Cisco (incluindo o processo de inicialização do roteador, POST, o roteador componentes). Tópicos-chave Hoje analisamos os componentes básicos do roteador, o processo de inicialização do roteador, interfaces do roteador, e conectar aos roteadores. O conteúdo para a revisão de hoje é bastante leve. Aproveite
  • 160.
    esta oportunidade pararever material mais difícil do dia anterior ou passar para o dia seguinte, quando você está feito aqui. você também pode simplesmente fazer uma pausa. Componentes roteador interno Semelhante a um PC, um roteador também inclui os seguintes componentes internos: ■ CPU: Executa as instruções do sistema operacional, como inicialização do sistema, funções de roteamento, e controle de interface de rede. ■ RAM: A memória volátil que armazena as estruturas de dados requisitados pela CPU enquanto o roteador é powered, incluindo - Sistema operacional: Cisco IOS Software é copiado para a RAM durante a inicialização. - Running arquivo de configuração: Armazena os comandos de configuração que IOS do roteador é usando atualmente. - Tabela de roteamento IP: armazena informações sobre redes diretamente conectadas e remotos. - Cache ARP: Similar ao cache ARP em um PC. - Buffer de pacotes: pacotes são armazenados temporariamente em um buffer quando recebidos em uma interface ou antes de sair de uma interface. ■ ROM: A forma de armazenamento permanente usado para armazenar - Instruções Bootstrap - Software de diagnóstico básico - Scaled-down versão do IOS ■ Memória Flash: A memória flash é a memória do computador não-volátil que pode ser eletricamente apagada e reprogramada. O Flash é usado como armazenamento permanente para o IOS Cisco. ■ NVRAM: Memória de acesso aleatório não-volátil, que não perde sua informação quando o energia é desligada. NVRAM é usada pela Cisco IOS Software como armazenamento permanente para o arquivo de configuração de inicialização IOS O software do sistema operacional usado nos roteadores Cisco é conhecido como Cisco Internetwork Operating System (IOS). Como qualquer sistema operacional em qualquer outro computador, Cisco IOS Software é responsável para a gestão dos recursos de hardware e software do roteador, incluindo alocação de memória,
  • 161.
    gerenciamento de processose segurança, e gestão de sistemas de arquivo. Cisco IOS é um sistema operacional multitarefa sistema que é integrado com o roteamento, switching, internetworking e telecomunicações funções. Embora Cisco IOS Software pode parecer ser o mesmo em muitos roteadores, existem várias imagens IOS. Cisco cria muitas imagens IOS, dependendo do modelo e as características no IOS. Normalmente, os recursos adicionais requerem mais flash e RAM para armazenar e carregar IOS. Tal como acontece com outros sistemas operacionais, Cisco IOS tem sua própria interface de usuário. Embora alguns roteadores fornecem uma interface gráfica de usuário (GUI), a interface de linha de comando (CLI) é muito mais comum método de configuração de roteadores Cisco. Processo de inicialização do roteador Como todos os computadores, um roteador usa um processo sistemático para boot. Isso envolve testar o hardware, o carregamento do software do sistema operacional e realizar todos os comandos de configuração salvo na salva arquivo de configuração de inicialização. Alguns dos detalhes desse processo foram excluídos e são examinados de forma mais completa em um curso mais tarde. Figura 17-1 mostra os seis grandes fases no processo de inicialização: 1. Power-On Self Test (POST): Testando o hardware router 2. Carregando o programa de inicialização 3. Localizando Cisco IOS 4. Carregando Cisco IOS 5. Localizar o arquivo de configuração 6. Carregando o arquivo de configuração de inicialização ou entrar no modo de configuração Use o comando show version para verificar e solucionar alguns dos básicos de hardware e software componentes de um roteador. O comando show version no Exemplo 17-1 exibe informações sobre a versão do Cisco IOS Software actualmente em execução no router, a versão do bootstrap programa e informações sobre a configuração de hardware, incluindo a quantidade de sistema memória. 162 31 dias antes de seu exame CCNA
  • 162.
    Portas roteador eInterfaces Figura 17-2 mostra o lado de trás de um router 2621 com portas de
  • 163.
    gerenciamento e interfacesrotulados. Portas Figura 17-2 Router e Interfaces Portas de gerenciamento não são utilizados para o encaminhamento de pacotes, como Ethernet e interfaces seriais, mas são usado para conectar um terminal para o roteador e configurá-lo sem acesso à rede. A porta do console deve ser utilizado durante a configuração inicial do roteador. A porta auxiliar pode fornecer gerenciamento remoto se um modem está conectado. Roteadores têm múltiplas interfaces usadas para conectar a várias redes. Por exemplo, um roteador mais provável ter interfaces Fast Ethernet para conexões a LANs diferentes e também têm diferentes tipos de interfaces WAN usado para conectar uma variedade de ligações de série, incluindo T1, DSL e ISDN. Conexões roteador Ligar um router a uma rede requer um conector de interface do roteador para ser acoplado com um cabo conector. Como você pode ver na Figura 17-3, roteadores Cisco suportam muitos conectores seriais incluindo EIA/TIA-232, EIA/TIA-449, V.35, X.21, e EIA/TIA-530 padrões. Para conexões Ethernet baseado em LAN, um conector RJ-45 para o par trançado não blindado (UTP) cabo é mais comumente usado. Dois tipos de cabos podem ser utilizados com interfaces Ethernet LAN: ■ A straight-through, patch ou, a cabo, com a ordem dos pinos coloridos o mesmo em cada extremidade do o cabo ■ Um cabo crossover, com o pino 1 ligado ao pino 3 eo pino 2 ligado ao pino 6
  • 165.
    dia 16 Configuração Básicado Roteador e verificação Exame CCNA 640-802 Tópicos ■ Acessar e utilizar o roteador para definir os parâmetros básicos (CLI / SDM). ■ Connect, configurar e verificar o status de operação de uma interface de dispositivo. ■ Implementar a segurança básica de um roteador. ■ Verifique a configuração do dispositivo e conectividade de rede usando ping, traceroute, telnet, SSH, ou outros utilitários. ■ Verifique a conectividade da rede (usando ping, traceroute, telnet e SSH ou) . Tópico chave Hoje fazemos uma revisão da configuração do roteador e os comandos básicos de verificação, bem como testes utilizando
  • 166.
    o ping, traceroute,telnet e comandos. A maior parte deste deve ser muito familiar para você neste ponto em seus estudos, porque estas habilidades são fundamentais para todas as outras tarefas de configuração do roteador. Nota Cisco Device Manager Security (SDM) é um método baseado em GUI para acessar e configurar o roteador. Revisão SDM aqui iria ocupar muito espaço, porque nós necessidade de repetir dezenas de screenshots. Então, para sua análise de hoje SDM, consulte o seu Estudo Recursos. Cada um tem uma extensa revisão da configuração do roteador básico usando SDM. Configuração Básica do Roteador Figura 16-1 mostra o esquema de endereçamento topologia e usaremos a revisão básica de um roteador tarefas de configuração e verificação. Ao configurar um roteador, certas tarefas básicas são executadas, incluindo o seguinte: ■ Naming o roteador ■ Configuração de senhas ■ Configurando interfaces de ■ Configurar um banner ■ Salvar alterações em um roteador ■ Verificar a configuração básica e operações router
  • 169.
    O endereço IPdeve ser correta, eo status de interface deve ser "para cima" e "up". tabela 16-2 resume os dois códigos de status e seus significados.
  • 170.
    Quatro combinações deconfigurações existentes para os códigos de status na solução de uma rede. Tabela 16 - 3 lista as quatro combinações, junto com uma explicação dos motivos típicos por uma interface Seria nesse estado
  • 172.
    Tabela 16-4 mostraExplicação interfaces de saída Descrição de saída FastEthernet ... é {up | down | Indica se o hardware de interface está administrativamente down} ativa ou para baixo, ou se um administrador tomou- a para baixo. protocolo de linha é {up | down} Indica se a processos de software que lidam com o protocolo de linha considerar utilizável interface (isto é, se keepalives são bem sucedidos). Se o interface de misses três keepalives consecutivos, o protocolo de linha é marcada como para baixo. Tipo de hardware Hardware (por exemplo, a MCI Ethernet, interface de comunicação serial
  • 173.
    [SCI], CBUs Ethernet)e endereço. Inscrição seqüência de texto configurado para a interface (max 240 caracteres). Internet endereço IP endereço seguido pelo comprimento do prefixo (máscara de sub-rede). MTU Maximum Transmission Unit (MTU) da interface. BW Bandwidth da interface, em kilobits por segundo. O parâmetro de largura de banda é usado para calcular as métricas de roteamento protocolo e outros cálculos. DLY Delay da interface, em microssegundos. confiar Confiabilidade da interface como uma fração de 255 (255/255 é 100 por cento confiabilidade), calculado como uma média exponencial sobre 5 minutos. carga de carga na interface como uma fração de 255 (255/255 é totalmente saturada), calculado como uma média exponencial sobre 5 minutos. Método de encapsulamento encapsulamento atribuído a uma interface. loopback Indica se loopback está definido. keepalive Indica se keepalives estão definidos. ARP tipo: Tipo de Address Resolution Protocol (ARP) atribuído. Número de entrada de última hora, minutos e segundos desde o último pacote foi sucesso recebido por uma interface. Útil para saber quando uma interface de mortos não Número de saída de horas, minutos e segundos desde o último pacote foi sucesso transmitido por uma interface. Útil para saber quando a interface de um morto falhou. Número de saída jeito de horas, minutos e segundos (ou nunca) já que a interface foi reiniciadas por causa de uma transmissão que demorou muito. Quando o número de horas em qualquer um dos campos anteriores exceder 24 horas, o número de dias e horas é impresso. Se esse campo transborda, asteriscos são impressas. Tempo clearing última em que os contadores que medem estatísticas acumuladas mostrado neste relatório (como o número de bytes transmitidos e recebidos) foram redefinidas para último 0. Note-se que as variáveis que podem afetar o roteamento (por exemplo, carga e confiabilidade) não são apagadas quando os contadores são apagadas. Asteriscos indicam tempo decorrido muito grande para ser exibido. Repor os contadores com o claro interface de comando. Fila de saída, número de entrada de pacotes na saída e filas de entrada. Cada número é seguido fila, cai por uma barra (/), o tamanho máximo da fila, eo número de pacotes caiu por causa de uma fila cheia. Cinco minutos taxa de entrada, número médio de bits e pacotes transmitidos
  • 174.
    por segundo nosúltimos 5 Cinco minutos minutos taxa de saída. Se a interface não está em modo promíscuo, ele detecta o tráfego de rede que envia e recebe (em vez de todo o tráfego de rede). A entrada de 5 minutos e as taxas de saída deve ser usado apenas como uma aproximação de tráfego por segundo durante um determinado período de 5 minutos. Estas taxas são exponencialmente médias ponderadas com uma constante de tempo de 5 minutos. Um período de de quatro constantes de tempo deve passar antes, a média será dentro de 2 por cento da taxa instantânea de um fluxo uniforme de tráfego ao longo desse período. Número total de pacotes de entrada livre de erros pacotes recebidos pelo sistema. bytes Número total de entrada de bytes, incluindo dados e encapsulamento MAC, no livre de erros pacotes recebidos pelo sistema. não Número buffers de pacotes recebidos descartados porque não havia espaço no buffer no sistema principal. Compare com "ignorado contar." Tempestades de broadcast em Ethernet são frequentemente responsáveis por nenhum evento buffer de entrada. ... Recebeu transmissões Número total de pacotes broadcast ou multicast recebidos pela interface. O número de transmissões deve ser mantido tão baixo quanto possível. Uma aproximada limite é inferior a 20 por cento do número total de pacotes de entrada. runts Número de frames Ethernet que são descartados porque eles são menores do que o tamanho de quadro mínimo de Ethernet. Qualquer quadro Ethernet que é inferior a 64 bytes é considerado um nanico. Runts são geralmente causadas por colisões. Se houver mais de 1 milhão de bytes por runt recebido, ele deve ser investigado. gigantes Número de frames Ethernet que são descartados porque eles excedem o tamanho máximo do quadro Ethernet. Qualquer quadro Ethernet que é maior que 1518 bytes é considerado um gigante. erro de entrada Inclui runts, gigantes, sem buffer, verificação de redundância cíclica (CRC), frame, superação, e ignorado conta. Outros entrada relacionados com erros também podem causar a erro de entrada contagem a ser aumentada, e alguns datagramas pode ter mais de um erro. Portanto, essa soma não pode equilibrar com a soma dos enumerados contagens de erros de entrada.
  • 175.
    Dia 16 173 Descriçãode saída continua CRC CRC gerado pela estação de origem ou LAN far-end dispositivo não coincidir com a soma de verificação calculada a partir dos dados recebidos. Em uma LAN, esta geralmente indica problemas de ruído ou de transmissão na interface LAN ou o ônibus LAN si. Um grande número de CRCs é geralmente o resultado de colisões ou uma estação de transmissão de dados incorretos. Número de quadros de pacotes recebidos incorretamente com um erro CRC e um noninteger número de octetos. Em uma LAN, este é geralmente o resultado de colisões ou mau funcionamento do dispositivo Ethernet. Número de saturação de vezes que o hardware receptor foi incapaz de mão- receber dados para um buffer de hardware, porque a taxa de entrada excedeu a capacidade do receptor para manipular os dados. Número de pacotes recebidos ignorado ignorados pela interface porque a interface hardware correu baixo em buffers internos. Estes buffers são diferentes dos buffers sistema mencionado na descrição do buffer. Tempestades de broadcast e rajadas de ruído pode causar a contagem ignorado ser aumentado. pacotes de entrada com drible de erro de bit Dribble indica que um quadro é um pouco demais condição detectada longo. Este contador de erro de quadro é incrementado apenas para fins informativos; o roteador aceita a frame. número de pacotes de saída total das mensagens transmitidas pelo sistema. Número total de bytes bytes, incluindo dados e encapsulamento MAC, transmitida pelo sistema. underruns Número de vezes que o transmissor foi correndo mais rápido do que o roteador pode suportar. Isso nunca pode ser relatado em algumas interfaces. Sum erros de saída de todos os erros que impediram a transmissão final de datagramas de interface que está sendo examinado. Note que isso não poderia equilíbrio com o soma dos erros de saída enumerados, porque alguns datagramas pode ter mais de um erro, e outros podem ter erros que não se enquadram em nenhuma das categorias especificamente tabulados. Número de colisões de mensagens retransmitidas por causa de uma colisão Ethernet. Isto é geralmente o resultado de um overextended LAN (Ethernet ou cabo transceptor muito tempo, mais de dois repetidores entre duas estações, ou muitos em cascata multiport transceivers). Um pacote que choca é contado apenas uma vez na
  • 176.
    saída pacotes. Número de interfaceredefine de vezes que um interface foi completamente reposto. Isso pode acontecer se os pacotes na fila de transmissão não foram enviados dentro de alguns segundos. Em uma linha serial, isto pode ser causado por um modem com defeito que não é que fornece o sinal do relógio de transmissão, ou pode ser causado por um problema de cabo. Se o sistema percebe que a transportadora detectar linha de uma interface serial é acima, mas o protocolo de linha está em baixo, periodicamente redefine a interface em um esforço para reiniciá-lo. Interface redefine também pode ocorrer quando uma interface é looped costas ou desligado. 174 31 dias antes de seu exame CCNA Tabela 16-4 mostra Explicação interfaces de saída contínua Descrição de saída Verificando a conectividade de rede Como revisado no dia 20, "Host Addressing, DHCP, DNS e," ping e traceroute são úteis ferramentas para verificar a conectividade de rede. Estas ferramentas de trabalho para os roteadores também. A única diferença é a saída do comando ea sintaxe de comando. Exemplo 16-4 demonstra a saída ping foi bem sucedido no roteador. Exemplo de saída do Ping 16-4 em um Router
  • 178.
    Usando Telnet ouSSH para acessar remotamente outro dispositivo também testes de conectividade. Mais importante, estes métodos de acesso remoto irá testar se um dispositivo foi configurado corretamente para que você pode acessá-lo para fins de gestão. Isto pode ser muito importante quando um dispositivo é verdadeiramente remoto (Por exemplo, através da cidade ou em outra cidade). Dia 8,? Ameaças de Segurança atenuantes e Melhor Práticas? opiniões de configuração SSH e verificação em mais detalhes. Durante a nossa tarefas básicas de configuração anterior, entramos os comandos para configurar corretamente o Linhas Telnet (vty 0 4) para acesso remoto. Exemplo 16-8 mostra um Telnet sucesso de R1 para R2.
  • 180.
    Gestão e CiscoIOS Arquivos de configuração Exame CCNA 640-802 Tópicos ■ Gerenciar arquivos de configuração do IOS (salvar, editar, atualizar e restaurar). ■ Gerenciar Cisco IOS. ■ Verifique hardware do roteador e operação de software usando comandos SHOW e DEBUG. Tópicos-chave IOS imagens e arquivos de configurações podem ser corrompidos por meio de ataques intencionais, não intencionais erros do usuário, e falha do dispositivo. Para evitar esses problemas, você tem que ser capaz de salvar, fazer backup e restaurar imagens de configuração e IOS. Hoje fazemos uma revisão das operações de gestão de arquivos. O Cisco IOS File System Dispositivos Cisco IOS oferecem um recurso chamado o Cisco IOS Integrated File System (IFS). este sistema permite criar, navegar e manipular pastas em um dispositivo Cisco. os diretórios disponíveis dependem da plataforma. Comandos IFS Exemplo 15-1 mostra a saída do comando show sistemas de arquivos.
  • 181.
    As colunas mostrama quantidade de memória disponível e livre em bytes eo tipo de sistema de arquivos e seus permissões. Permissões incluem somente leitura (ro), write-only (wo), e ler e gravar (rw). embora vários sistemas de arquivos são listados, de interesse para nós são os TFTP, flash, e sistemas de arquivos NVRAM. Observe que o sistema de arquivos flash tem um asterisco (*) precederam, o que indica que esta é a corrente sistema de arquivos padrão. Lembre-se que o IOS inicializável está localizado em flash. Portanto, o símbolo da libra (#) Anexado à lista de flash indica que este é um disco de boot. Exemplo 15-2 lista o conteúdo do atual sistema de arquivo padrão, que neste caso é flash. Exemplo 15-2 sistema de arquivos padrão é o Flash
  • 182.
    De particular interesseé a primeira listagem, que é o nome do arquivo para a imagem do IOS. Observe que os arquivos de configuração armazenadas em NVRAM não são mostrados na saída. Para ver estes, primeira mudança diretórios (cd) para o diretório NVRAM (nvram:). Em seguida, listar o conteúdo com o dir comando, como mostrado no Exemplo 15-3. O arquivo que estão mais interessados em como candidatos exame CCNA é o arquivo de configuração startup-config. Prefixos de URL para especificar locais de arquivos Locais de arquivos são especificados na Cisco IFS usando a convenção de
  • 183.
    URL, como mostradono exemplo Figura 15-1. Figura 15-1 Usando uma URL para especificar o local TFTP Na Figura 15-1, as partes do URL tftp: / 192.168.20.254/configs/backup-config / pode ser dissecada como se segue: ■ tftp: é o prefixo que especifica o protocolo. ■ Tudo após a barra dupla (/ /) define o local do arquivo. ■ 192.168.20.254 é a localização do servidor TFTP. ■ configs é o diretório mestre no servidor TFTP. ■ de backup de configuração é um nome de arquivo da amostra. A URL TFTP mostrado na Figura 15-1 é um exemplo de uma URL remota. Exemplos de URLs para acessando o IFS local da Cisco incluem o seguinte: ■ flash: configs / backup-config ■ Sistema: executando-config (este acessa a memória RAM) ■ nvram: startup-config Comandos para gerenciar arquivos de configuração Conhecer a estrutura URL é importante porque você usá-los ao copiar arquivos de configuração de um local para outro. O Cisco IOS comando de cópia de software é usado para mover a configuração arquivos de um componente ou dispositivo para outro, como RAM, NVRAM, ou um servidor de TFTP. Figura 15-2 mostra a sintaxe de comando. Figura 15-2 Sintaxe do Comando cópia A URL de origem é onde você está copiando. O URL de destino é onde você está copiando para. Por exemplo, você já está familiarizado com o abreviado iniciar executar o comando de cópia. No entanto, na sua forma mais detalhada, esse comando especifica os locais de arquivo:
  • 184.
    Router sistema decópia #: running-config nvram: startup-config Os estados de comando, "Copiar a configuração atual da memória RAM do sistema para NVRAM e salvá-lo com o nome do arquivo startup-config. Outros exemplos incluem a cópia da RAM para o TFTP: Router sistema de cópia #: running-config tftp: Ou simplesmente, Router # copy tftp executar Cópia do TFTP para a RAM: Router # copy tftp: system: running-config Ou simplesmente, Router # copy tftp executar Cópia do TFTP para o arquivo de configuração de inicialização: Router # copy tftp: nvram: startup-config Ou simplesmente, Router # copy tftp nvram Os comandos copiar usando TFTP requer mais configurações (coberto na próxima seção), após você digitá-los para realizar a instrução Cisco IOS Naming Convenções Arquivo Por causa do grande número de plataformas, conjuntos de recursos, e possíveis versões do IOS, um arquivo de nomes convenção é usada para fornecer algumas informações básicas sobre a imagem do IOS. Figura 15-3 mostra um amostra de arquivo de imagem IOS e significado de cada parte. Os seguintes detalhes cada parte do nome do arquivo IOS mostrado na Figura 15-3: ■ Plataforma: A primeira parte, c1841, identifica a plataforma na qual a imagem é executada. nesta exemplo, a plataforma é um Cisco 1841. ■ Características: A segunda parte, ipbase, especifica o conjunto de recursos. Neste caso, refere-se à ipbase básicos imagem internetworking IP. Muitos conjuntos de recursos estão disponíveis: - I: Designa o conjunto de recursos IP.
  • 185.
    - J: Designao conjunto de recursos da empresa (todos os protocolos). - S: Designa um conjunto de recursos PLUS (filas extra, manipulação, ou traduções). - 56i: Designa 56-bit de encriptação IPsec DES. - 3: Designa o firewall / IDS. - K2: Designa criptografia 3DES IPsec (168 bits). ■ Tipo: A terceira parte, mz, indica onde a imagem é executada (m para RAM) e que a imagem é compactado (z). Outros códigos possíveis incluem o seguinte: - F: A imagem é executado a partir da memória Flash. - R: A imagem é executado a partir ROM. - L: A imagem é relocável. - X: A imagem é mzip comprimido. ■ Versão: A quarta parte, 123-14.T7, é o número da versão. ■ Extensão: A parte final, bin, é a extensão do arquivo. A extensão. Bin indica que este é um arquivo binário executável .. Gerenciar Imagens IOS Como qualquer rede cresce, o armazenamento de imagens Cisco IOS Software e arquivos de configuração no centro TFTP servidor lhe dá o controle sobre o número eo nível de revisão de imagens Cisco IOS e configuração arquivos que devem ser mantidas. Figura 15-4 mostra uma topologia da amostra com um servidor TFTP. Fazendo backup de uma imagem IOS Certifique-se de um servidor TFTP está configurado e funcionando na rede. Em seguida, siga estes passos para copiar uma imagem do Cisco IOS Software de memória flash para o servidor TFTP de rede:
  • 186.
    Passo 1 Pingdo servidor TFTP para se certificar de que você tem acesso a ele: R1 # ping 192.168.20.254 Tipo de seqüência de escape ao aborto. Enviando 5, 100-byte ICMP Echos a 192.168.20.254, tempo limite é de 2 segundos: !!!!! Taxa de sucesso é 100 por cento (05/05), round-trip min / avg / max = 31/31/32 ms R1 # Passo 2 Copie o arquivo de imagem do sistema atual a partir do roteador para o TFTP servidor de rede, usando o flash cópia: tftp: comando no modo EXEC privilegiado. Você, então, é solicitado. o comando requer que você digite o endereço IP do host remoto eo nome do arquivos de origem e destino imagem do sistema: R1 # copy flash: tftp: Filename [Fonte]? c1841-ipbase-mz.123-14.T7.bin Endereço ou nome do host remoto []? 192.168.20.254 Filename de destino [c1841-ipbase-mz.123-14.T7.bin]? <CR> !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! ! <saida omitted> 13832032 Restaurando uma imagem IOS Verifique se o roteador tem espaço em disco suficiente para acomodar a nova imagem do Cisco IOS Software com show flash: comando, como mostrado no Exemplo 15-4. Exemplo de Saída 15-4 do Comando show flash O comando show flash ajuda a determinar o seguinte: ■ A quantidade total de memória flash do roteador ■ A quantidade de memória flash disponíveis ■ Os nomes de todos os arquivos armazenados na memória flash e da quantidade de memória flash ocupada Exemplo 15-5 mostra os comandos necessários para copiar uma imagem armazenada no servidor TFTP para flash.
  • 187.
    O comando pedeo endereço IP do servidor TFTP e, em seguida o nome do arquivo de imagem IOS armazenada no servidor TFTP que deseja copiar. Quando perguntado sobre o nome do arquivo de destino, você poderia mudá-lo, mas isso não é recomendado porque o nome tem significados específicos como revista mais cedo. No Exemplo 15-5, há muito espaço para a nova imagem, de modo que o mais velho da imagem não é apagada. assim da próxima vez as botas router, ele irá carregar a imagem antiga, porque a velha imagem está listado em primeiro lugar no Flash diretório, como mostrado no Exemplo 15-6. Neste caso, para finalizar a atualização para a nova imagem (listado como arquivo 3 no Exemplo 15-6), você poderia apagar a primeira imagem listada no diretório do flash. Afinal, você tem um backup no servidor TFTP. Para fazê-lo, digite o comando delete flash, certificando-se de especificar o arquivo que deseja apagar, como mostrado no Exemplo 15-7:
  • 188.
    A melhor soluçãoseria configurar o roteador para iniciar a nova imagem usando comandos de inicialização do sistema. R2 (config) # boot system flash c1841-ipbasek9-mz.124-12.bin Esta forma do comando de inicialização do sistema informa ao roteador para usar a imagem IOS especificado armazenados em flash em vez da imagem padrão. Usando este método permite que você tenha um backup local de um IOS imagem que você pode usar imediatamente se algo acontecer com a imagem de inicialização. Recuperando uma imagem IOS Usando um servidor TFTP Se um roteador perde todo o conteúdo do flash, intencionalmente ou não, ele automaticamente inicia na Modo ROMmon. Comandos muito poucos estão disponíveis no modo ROMmon. Você pode ver esses comandos digitando? no rommon> prompt de comando, como demonstrado no Exemplo 15-8. Exemplo 15-8 Comandos ROMmon Disponível A melhor solução seria configurar o roteador para iniciar a nova imagem usando comandos de inicialização do sistema. R2 (config) # boot system flash c1841-ipbasek9-mz.124-12.bin Esta forma do comando de inicialização do sistema informa ao roteador para usar a imagem IOS especificado armazenados em flash em vez da imagem padrão. Usando este método permite que você tenha um backup local de um IOS imagem que você pode usar imediatamente se algo acontecer com a imagem de inicialização. Recuperando uma imagem IOS Usando um servidor TFTP Se um roteador perde todo o conteúdo do flash, intencionalmente ou não, ele automaticamente inicia na
  • 189.
    Modo ROMmon. Comandosmuito poucos estão disponíveis no modo ROMmon. Você pode ver esses comandos digitando? no rommon> prompt de comando, como demonstrado no Exemplo 15-8. Exemplo 15-8 Comandos ROMmon Disponível O comando pertinentes para a recuperação de uma imagem IOS é tftpdnld TFTP para download. para ativar o roteador para usar o comando tftpdnld, primeiro você deve definir variáveis ROMmon específico. estes variáveis, mostrado no Exemplo 15-9, são de sintaxe e case-sensitive Recuperando uma imagem IOS Usando Xmodem Se por algum motivo você não é capaz de usar as interfaces Fast Ethernet em um roteador, você pode recuperar uma imagem IOS, transferindo-o sobre um cabo de console usando Xmodem. O método é muito mais lento do que usando tftpdnld porque você está transferindo a 9600 bps em vez de 100 Mbps. Para usar Xmodem, conectar um cabo de console e abrir uma sessão de terminal com o roteador. Em seguida, use
  • 190.
    o comando xmodemcomo demonstrado no Exemplo 15-10. Exemplo 15-10 Usando xmodem para recuperar uma imagem IOS Agora use o "Enviar Arquivo" comando para o seu software terminal para iniciar a transferência IOS. Para HyperTerminal, "Enviar Arquivo" está no menu de transferência. Navegue até o local do arquivo e enviá-lo. O software terminal então fornece um feedback sobre o estado de transferência de arquivos como ele ocorre. Quando o transferência estiver completa, o roteador automaticamente recarrega com a nova imagem IOS Cisco. Recuperando uma senha perdida Procedimentos de recuperação de senha para qualquer roteador ou switch Cisco estão disponíveis online. Para busca exemplo, para "1841 de recuperação de senha" e você irá descobrir rapidamente os procedimentos que você precisa a seguir para redefinir a senha. É por isso que a segurança física é uma obrigação para todos os dispositivos de rede. Roteadores e switches devem estar por trás de portas trancadas. Passo 1 Use o interruptor para desligar o router e ligue o roteador novamente. Passo 2 Pressione a tecla pausa especificado pelo seu software terminal dentro de 60 segundos de energização para acessar o prompt de ROMmon. Para HyperTerminal, use a tecla Break. Prazo para Tera, use a combinação de teclas Alt + b. Passo 3 Digite confreg 0x2142 no prompt ROMmon. Isso faz com que o roteador para ignorar o configuração de inicialização, onde a senha esquecida é armazenado. Etapa 4 Digite reset no prompt. A reinicialização do roteador, mas ele ignora a configuração salva. No entanto, o arquivo ainda existe em NVRAM. Passo 5 Pressione Ctrl-C para pular o processo de configuração inicial. Passo 6 Enter permitir ao Router> prompt. Isso coloca você no modo EXEC privilegiado, onde você deve ser capaz de ver o Router # alerta. Passo 7 Enter copy startup-config running-config para copiar o arquivo de configuração de backup NVRAM na memória. Passo 8 Digite configure terminal.
  • 191.
    Passo 9 Digitecomando enable senha secreta para alterar a senha secreta de ativação. Issue passo 10 o comando no shutdown em cada interface que você deseja ativar. Passo 11 A partir do modo de configuração global, digite config-register 0x2102 para restaurar o original configuração do Registro de configuração. Passo 12 Pressione Ctrl-Z ou digite end para sair do modo de configuração. Passo 13 Enter copy running-config startup-config para confirmar as alterações. Você pode emitir o comando show ip interface brief para confirmar que a sua configuração de interface está correto. Cada interface que você deseja utilizar deve exibir "up" e "up". Você acabou de completar recuperação de senha. Digitando o comando show version confirma que o roteador irá utilizar a configuração configurado registo definição na próxima reinicialização. 188 31 dias antes de seu exame CCNA dia 14 Padrão, estático e roteamento RIP Exame CCNA 640-802 Tópicos ■ Fazer e verificar as tarefas de configuração de roteamento para uma rota estática ou padrão dados de roteamento específicos
  • 192.
    requisitos. ■ Configurar, verificare solucionar RIPv2. Tópicos-chave Hoje nos concentramos em padrão, estático e roteamento RIP para IPv4. As rotas estáticas são uma parte comum de uma política de roteamento empresa. As rotas estáticas podem ser usados para forçar o tráfego a usar um caminho específico ou para estabelecer uma rota padrão para fora da empresa. As rotas estáticas são codificados na tabela de roteamento o administrador de rede. Assim, um administrador de rede deve monitorar e manter rotas estáticas para garantir a conectividade. Roteamento dinâmico, por outro lado, mantém automaticamente a informação de roteamento sem uma rede intervenção do administrador. O primeiro protocolo de roteamento, Routing Information Protocol (RIP), vem em duas versões para IPv4 e IPv6 para outra versão. Configuração de Rota Estática Um dos usos comuns para uma rota estática é de roteamento para uma rede stub. Uma rede stub é uma rede acessados por uma única rota. Para configurar uma rota estática, use o comando ip route com a seguinte sintaxe relevantes: Router (config) # ip route endereço de rede subnet-mask {ip-address | saída da interface} Explicação para cada parâmetro é a seguinte: ■ endereço de rede: endereço de destino de rede da rede remota para ser adicionado ao roteamento mesa. ■ sub-máscara: máscara de sub-rede da rede remota para ser adicionado à tabela de roteamento. a sub-rede máscara pode ser modificada para resumir um grupo de redes. Um ou ambos os seguintes parâmetros são utilizados: ■ ip-address: Comumente referido como o endereço IP do roteador next-hop é. ■ saída da interface: interface de saída que seria usada no encaminhamento de pacotes para o destino rede. Figura 14-1 e Tabela 14-1 mostra a topologia e esquema de endereçamento que estamos usando hoje para revisão estático e roteamento padrão.
  • 193.
    As redes remotasque R1 não conhece são as seguintes: ■ 172.16.1.0/24: A LAN em R2
  • 194.
    ■ 192.168.1.0/24: Arede serial entre R2 e R3 ■ 192.168.2.0/24: A LAN em R3 Rotas Estáticas Usando o "Next Hop" Parameter Usando o "next hop" parâmetro, R1 pode ser configurado com três rotas estáticas, uma para cada um dos redes R1 que ainda não conhecem. Exemplo 14-2 mostra a sintaxe de comando A interface que encaminha para o próximo salto deve ser "para cima" e "up" antes as rotas estáticas podem ser entrou na tabela de roteamento. Exemplo 14-3 verifica que as rotas estáticas estão agora no roteamento mesa. Note que existe uma rota para a rede 172.16.2.0/24, que o "next hop" 172.16.2.2 pertence para. Depois de realizar uma pesquisa recursiva para encontrar a interface de saída, R1 irá enviar pacotes para cada um dos as três rotas estáticas para a interface Serial 0/0/0. Rotas Estáticas Usando o parâmetro interface de saída Para evitar uma pesquisa recursiva e ter um roteador imediatamente enviar pacotes para a interface de saída, configure a rota estática usando o parâmetro de saída da interface em vez do "next hop" (endereço IP) parâmetro. Por exemplo, em R2 podemos configurar uma rota estática para a rede 172.16.3.0/24 e especificar o
  • 195.
    0/0/0 de interfaceserial como a interface de saída: R2(config)#ip route 172.16.3.0 255.255.255.0 serial 0/0/0 Todas as rotas estáticas anteriores a esta rede usando um next-hop endereço IP deve ser removido. R2 agora tem uma rota estática em sua tabela de roteamento, como mostrado no Exemplo 14-4, que pode usar imediatamente para rota para a rede 172.16.3.0/24 sem ter que fazer uma pesquisa de rota recursiva. Rotas padrão estática Uma rota padrão é um tipo especial de rota estática utilizada para representar todas as rotas com zero ou não bits correspondente. Em outras palavras, quando não há rotas que têm uma correspondência mais específica no roteamento tabela, a rota padrão será uma partida. O endereço IP de destino de um pacote pode combinar várias rotas na tabela de roteamento. Por exemplo, considerar ter os dois seguintes rotas estáticas na tabela de roteamento: 172.16.0.0/24 é sub-redes, três sub-redes S 172.16.1.0 está diretamente conectado, Serial0/0/0 S 172.16.0.0/16 está diretamente conectado, Serial0/0/1 Um pacote destinado a 172.16.1.10, o pacote do endereço IP de destino, fósforos ambas as rotas. No entanto, a rota 172.16.1.0 é a rota mais específica porque o destino corresponde à primeira 24 bits, enquanto que o destino corresponde apenas os primeiros 16 bits da rota 172.16.0.0. portanto, o roteador irá utilizar a rota com a correspondência mais específica. A rota padrão estática é um percurso que irá corresponder a todos os pacotes. Comumente chamado de rota quad-zero, um rota estática padrão usa 0.0.0.0 (assim, o termo "quad-zero"), tanto para o endereço de rede e sub-rede parâmetro de máscara, como mostra a esta sintaxe: Rota Router (config) # ip 0.0.0.0 0.0.0.0 {ip-address | sair da interface} Referindo-se a topologia mostrada na Figura 14-1, assumir que R3 tem uma
  • 196.
    conexão com aInternet. A partir da perspectiva de R2, todo o tráfego padrão pode ser enviado para R3 para o encaminhamento fora do domínio conhecido por R2. O comando a seguir configura R2 com uma rota estática padrão apontando para R3 utilizando o próximo " parâmetro hop ": R2 (config) # ip route 0.0.0.0 0.0.0.0 192.168.1.1 R2 tem agora um "gateway de último recurso" listados na tabela de roteamento, uma rota padrão candidato indicado pelo asterisco (*) ao lado do código S, como mostrado no Exemplo 14- 5.
  • 197.
    Após adicional rotasestáticas são configuradas, as tabelas de roteamento de R1 e R2 estão completos. No entanto, R3 não tem rotas de volta para nenhuma das redes 172.16.0.0. Assim, qualquer tráfego de PC1 para o PC3 PC3 vai chegar, mas o tráfego de retorno PC3 será deixado por R3 R3, porque não ter uma rota de volta para qualquer uma das redes diretamente conectadas R1. Podemos ver que o problema é com R3 da saída traceroute no Exemplo 14-7. A partir da saída, você pode ver que R2 (172.16.2.2) responderam ao PC1. R2 em seguida, encaminha o traço próxima para R3. Sabemos disso porque R2 tem uma rota default apontando para R3. No entanto, quando o traço chega a R3, ele não tem uma rota de volta ao PC1, por isso descarta o pacote. R3 precisa de uma rota de volta para a rede 172.16.3.0/24. Antes de configurar três diferentes rotas estáticas para cada uma das redes 172.16.0.0, observe que o
  • 198.
    três rotas podemser resumidas em uma rota. Nós revisamos as rotas de síntese sobre Dia 21, então nós não detalhe o processo aqui. Exemplo 14-8 mostra as três rotas em binário com os bits em comum em destaque. Exemplo 14-8 Cálculo Route Resumo para R3 Portanto, a rota de síntese seria 172.16.0.0/22. Embora não faça parte da corrente de endereçamento esquema, esta rota de síntese estática incluiria também a 172.16.0.0/24 rota. Agora você pode configurar R3 com uma rota estática: R3(config)#ip route 172.16.0.0 255.255.252.0 serial 0/0/1 Now PC1 can successfully trace a route to PC3 as shown in Example 14-9. RIP Conceitos
  • 199.
    RIPv2 porque érealmente um aumento da RIPv1, você deve ser capaz de comparar e contrastar conceitos a versão dois e configurações. Primeiro, vamos examinar brevemente RIPv1. RIPv1 Message Format RIPv1 é um classful, protocolo de roteamento vetor de distância para o IPv4. Ele usa a sua contagem de saltos como métrica única para a seleção de caminho com uma contagem de saltos superiores a 15 unreachable considerados. RIPv1 mensagens de roteamento são encapsulados em um segmento UDP usando a porta número 520 e são transmitidos a cada 30 segundos. Figura 14-2 mostra o encapsulamento mensagem RIPv1 da camada de enlace de dados e até incluindo a mensagem RIPv1. Figura 14-2 Mensagem encapsulamento RIPv1 RIPv1 Operação Repare na mensagem RIP RIP que usa dois tipos de mensagens especificado no campo Command. Comando 1 é uma mensagem de solicitação e Comando 2 é uma mensagem de Resposta. Cada interface RIP-configurado envia uma mensagem de solicitação na inicialização, solicitando que todos os RIP vizinhos enviar as suas tabelas de roteamento completa. A mensagem de resposta é enviada de volta pelo RIP habilitado vizinhos. Quando o roteador recebe solicitando as respostas, que avalia cada entrada de rota. Se um entrada de rota é nova, o roteador recebendo instala a rota na tabela de roteamento. Se a rota já está na tabela, a entrada existente é substituída se a entrada de novos tem uma
  • 200.
    contagem melhor hop.a inicialização roteador envia uma atualização acionada para todas as interfaces RIP habilitado contendo sua própria tabela de roteamento de modo que os vizinhos RIP pode ser informado de quaisquer novas rotas. RIPv1 não envia informações de máscara de sub-rede na atualização. Portanto, um router ou usa o máscara de sub-configurado em uma interface local ou se aplica a máscara de sub-rede padrão com base no classe de endereço. Devido a esta limitação, as redes RIPv1 não podem ser contíguas, nem podem implementar VLSM ou super. RIP tem uma distância padrão de 120 administrativos. Quando comparado a outros protocolos de gateway interior, RIP é o menos preferido protocolo de roteamento. RIPv1 Configuração Figura 14-3 e Tabela 14-2 mostra a topologia RIPv1 para o nosso primeiro cenário eo endereçamento esquema que utilizará para rever RIPv1 configuração e verificação. Figura 14-3 RIPv1 Topologia: Cenário A Na Figura 14-3, estamos usando seis redes distintas classes, de modo que cada rede deve ser configurada individualmente. Assumindo que as interfaces em R1, R2 e R3 são configurados e Exemplo, ativo 14-11 mostra a configuração RIPv1 para os roteadores.
  • 201.
    RIPv1 Verificação esolução de problemas Os comandos de verificação seguintes, usado em ordem, vai verificar rapidamente se o roteamento está funcionando como pretendido. ■ show ip route ■ mostram protocolos ip ■ debug ip rip Se o roteamento não está funcionando corretamente, estes comandos irão ajudá-lo a rastrear o problema em da maneira mais eficiente. Para verificar se o roteamento está funcionando, comece com o comando show ip route. Para a topologia em Figura 14-3, todas as rotas devem ser na tabela de roteamento de cada roteador. 14-12 mostra o exemplo tabela de roteamento para R2 .. Para entender melhor a saída do comando show ip route, vamos nos concentrar em uma rota RIP aprendida por R2 e interpretar a saída mostrada na tabela de roteamento:
  • 202.
    Se a tabelade roteamento está faltando uma ou mais rotas esperados, use o comando show ip protocolos sobre o local router primeiro a fazer RIP certeza está configurado e funcionando corretamente. Este comando exibe o protocolo de roteamento que está atualmente configurado no roteador. A saída pode ser usada para verificar parâmetros mais RIP para confirmar o seguinte: ■ RIP roteamento é configurado. ■ As interfaces corretas enviar e receber atualizações de RIP. ■ O roteador anuncia as redes correta. ■ RIP vizinhos estão enviando atualizações. Figura 14-4 mostra a saída do comando show ip protocolos, com os números de cada parcela da saída. As descrições que seguem a figura correspondem aos números na figura.:
  • 203.
    1. A primeiralinha de saída verifica se o roteamento RIP está configurado e funcionando em R2. 2. Estes são os temporizadores que mostram quando a próxima rodada de atualizações serão enviadas a partir deste router-23 segundos de agora, no exemplo. 3. Filtragem e informações redistribuição mostrado aqui são ambos CCNP nível de tópicos. 4. Este bloco de saída contém informações sobre qual versão RIP está actualmente configurado e quais interfaces estão participando de atualizações RIP. 5. Esta parte da saída mostra que R2 é atualmente resumindo na rede classful limite e, por padrão, irá utilizar até quatro igual custo rotas para equilibrar a carga de tráfego. 6. As redes classful configurado com o comando de rede estão listados a seguir. Estes são os redes R2 que irá incluir em suas atualizações RIP. 7. Aqui os vizinhos RIP estão listados como Fontes de Informação de Roteamento. Gateway é o next-hop Endereço IP do vizinho que está enviando atualizações R2. Distância é o AD que usa para R2 atualizações enviadas por este vizinho. Última Atualização é o segundo desde a última atualização foi recebido a partir deste próximo. Erros de configuração mais RIP envolvem uma configuração declaração incorreta de rede, uma falta configuração de rede declaração, ou a configuração de sub-redes adjacentes em um ambiente com classe. Conforme mostrado na Figura 14-5, debug ip rip pode ser utilizado para encontrar problemas com atualizações de RIP
  • 204.
    Este comando exibeatualizações de roteamento RIP à medida que são enviados e recebidos, o que permite a oportunidade de rastrear as fontes potenciais de um problema de roteamento. A lista que se segue corresponde para os números na Figura 14-5. 1. Você vê uma atualização vindo de R1 na interface Serial 0/0/0. Repare que R1 envia apenas uma rota para a rede 192.168.1.0. Sem outras rotas são enviados, pois isso violaria a regra de dividir horizonte. R1 não é permitido para fazer propaganda de redes de volta para R2 R2 que anteriormente enviado para R1. 2. A próxima atualização que é recebido é de R3. Mais uma vez, por causa da regra dividir horizonte, R3 envia apenas uma rota: a rede 192.168.5.0. 3. R2 envia suas próprias atualizações. Primeiro, R2 constrói uma atualização para enviar a FastEthernet 0 / 0 interface. A atualização inclui toda a tabela de roteamento, exceto para a rede 192.168.3.0, que é anexado ao FastEthernet 0 / 0.
  • 205.
    4. Em seguida,R2 constrói uma atualização para enviar para o R3. Três rotas estão incluídos. R2 não faz propaganda o R2 rede e compartilhar R3, nem propaganda na rede 192.168.5.0 por causa da separação horizonte. 5. Finalmente, R2 constrói uma atualização para enviar a R1. Três rotas estão incluídos. R2 não faz propaganda a rede que R2 e R1 partes, nem anunciar a rede 192.168.1.0 por causa da split horizon. 6. Para parar de monitorar atualizações de RIP na R2, sem entrar no debug ip rip de comando ou undebug todos, como mostrado na figura Interfaces passiva Na topologia mostrada na Figura 14-3, observe que não há nenhuma razão para enviar atualizações para o Fast Interfaces Ethernet em qualquer um dos roteadores. Portanto, você deve configurar estas interfaces como passivo por duas razões: ■ Melhorar a segurança, impedindo que alguém ligado a uma das LANs de intercepção, inspeção, e, possivelmente, modificando as atualizações RIP. ■ Melhorar a eficiência do processamento dos roteadores. Use o passivo-interface interface interface de comando do tipo de número para parar de enviar atualizações de RIP as interfaces Fast Ethernet, como mostrado no Exemplo 14-13 para R2. O comando show ip protocols é então usado para verificar a configuração da interface passiva. Exemplo 14-13 Desabilitar a atualização com o comando Passive-interface
  • 206.
    204 31 diasantes de seu exame CCNA Observe que a interface não é mais listada em interface, mas sob uma nova seção chamada Passive Interface (s). Notar também que a rede 192.168.3.0 ainda está listado em Roteamento para Redes:, o que significa que esta rede ainda é incluído como uma entrada de rota RIP nas atualizações que são enviadas para R1 e R3. Todos os protocolos de roteamento suporte para o comando Passive- interface. Sumarização automática RIP automaticamente resume na fronteira da rede classful. Figura 14-6 e 14-4 Tabela mostra a topologia RIPv1 para Cenário B eo esquema de endereçamento que vamos usar para o resto da nossa RIPv1 revisão. Figura 14-6 RIPv1 Topologia: Cenário B
  • 207.
    Assumindo todas asinterfaces estão configurados e ativados, Exemplo 14-14 mostra a configuração de RIP para R1, R2 e R3. Exemplo 14-14 RIPv1 Configuração Standard: Cenário B Repare na configuração do RIP para todos os roteadores, o endereço de rede classful foi inserido em vez de cada sub-rede. Se tivéssemos entrado no sub-redes em vez disso, Cisco IOS teria resumido-los para o endereço de rede classful. Isto porque um router RIP ou usa a máscara de sub- rede configurado em um interface local ou se aplica a máscara de sub-rede padrão com base na classe de endereço. Portanto, RIPv1 não pode apoiar sub-redes adjacentes, supernets, ou VLSM esquemas de
  • 208.
    endereçamento. exemplo 14-15 mostrao que R2 envia suas atualizações para R1 e R3. Quando R2 envia atualizações para R1, ele envia a rede 172.30.3.0 porque a interface Serial 0/0/0 é usando uma máscara / 24 para a rede 172.30.2.0. No entanto, ele resume a sub-rede 192.168.4.8 para 192.168.4.0 antes de enviar a atualização a R1 porque R1 irá aplicar a máscara padrão classful ao roteamento de atualização. R2 é um roteador de limite para a rede 192.168.4.0. Para sua atualização para R3, R2 resume sub-redes 172.30.1.0, 172.30.2.0, 172.30.3.0 e à rede 172.30.0.0 porque classful R2 é o roteador de limite para a rede 172.30.0.0 e assume R3 não tem qualquer outra forma para chegar à rede 172.30.0.0. 206 31 dias antes de seu exame CCNA Padrão de roteamento e RIPv1 Usando o mesmo esquema de endereçamento da Tabela 14-4, vamos modificar a topologia como mostrado na Figura 14-7 para que R2 e R3 estão usando roteamento estático e padrão.
  • 209.
    Exemplo 14-16 mostraas mudanças de configuração feitas para R2 e R3. R3 é prestação de serviço ao a Internet. Então R2 irá utilizar uma rota padrão para enviar todo o tráfego para destino desconhecido para R3. R3 irá usar uma rota de síntese para enviar todo o tráfego para a sub-redes 172.30.0.0. Poderíamos configurar R1 com uma rota padrão apontando para R2. Mas uma solução melhor e mais escalável é usar o padrão de informação originam-comando para ter R2 propagar a sua rota padrão para R1 em suas atualizações de roteamento RIP. R2 (config) # router rip R2 (config-router) # default-information originate Como mostrado no Exemplo 14-17, R1 tem agora uma rota RIP marcados com o asterisco (*) indicando o código que esta rota é um gateway padrão
  • 210.
    RIPv2 Configuração Como Versão1, RIPv2 é encapsulado em um segmento UDP usando a porta 520 e pode transportar até 25 rotas. Figura 14-8 mostra o RIPv1 e RIPv2 formatos de mensagem. Para fins de revisão, o RIPv2 extensão mais importante fornece a adição de sub-rede campo de máscara, o que permite uma máscara de 32 bits para ser incluída na entrada de rota RIP. Como resultado, o recebimento router já não depende da máscara de sub-rede da interface de entrada ou a máscara quando classful determinar a máscara de sub-rede para uma rota. Isto significa que RIPv1 três principais limitações falta de projetos de rede adjacentes, supernetting e VLSM suporte já não são um problema. Por padrão, o processo de RIP nos roteadores Cisco envia mensagens RIPv1 mas pode receber tanto RIPv1 e RIPv2. Você pode ver isso no show de saída protocolos ip mostrado anteriormente no Exemplo 14-13. Para habilitar o envio de mensagens RIPv2 em nossa topologia, digite o comando versão 2 em router modo de configuração, conforme demonstrado no Exemplo 14-18
  • 212.
    Com essa configuração,R2 vai agora enviar e receber apenas mensagens RIPv2. Isso significa que deve configurar R1 com o comando a versão 2, mas também porque R2 irá ignorar a RIPv1 mensagens enviadas por R1. incapacitantes Autosummarization Observe a linha no show de saída protocolos ip do Exemplo 14-18 que diz: Sumarização automática de rede está em vigor Por padrão, RIPv2 automaticamente resume redes para a fronteira classful como RIPv1. assim, para apoiar sub-redes e VLSM adjacentes, primeiro você deve desabilitar sumarização automática com a nenhum comando auto-resumo sobre todos os RIPv2 roteadores para garantir que os sub-redes individuais são enviados em atualizações de roteamento não o endereço de rede classful. RIPv2 Verificação e solução de problemas Existem várias maneiras de verificar e solucionar RIPv2. Você pode usar muitos dos mesmos comandos para RIPv2 para verificar e solucionar problemas de outros protocolos de roteamento. É sempre melhor começar com o básico: ■ Certifique-se que todos os links (interfaces) estão ativos e operacionais. ■ Verifique os cabos. ■ Certifique-se que você tem o endereço IP correto e máscara de sub-rede em cada interface. ■ Remova todos os comandos de configuração que não são mais necessárias ou que tenham sido substituídos por outros comandos. Comandos para uso são as mesmas que para RIPv1, bem como seu uso padrão de show interface ip
  • 213.
    breve, show run,e ping. Mas também considerar o seguinte RIPv2 questões específicas: ■ Versão: Um bom lugar para começar a solucionar uma rede que está executando o RIP é verificar se a versão 2 comando é configurado em todos os roteadores. RIPv1 não suporta adjacentes sub-redes, VLSM, CIDR ou rotas supernet. ■ declarações Network: Outra fonte de problemas pode ser configurado incorretamente ou faltando declarações de rede configurado com o comando da rede. Lembre-se, de comando da rede faz duas coisas: - Ele permite que o protocolo de roteamento para enviar e receber atualizações em todas as interfaces locais que pertencem a essa rede. - Ele inclui a rede configurada em suas atualizações de roteamento para seus roteadores vizinhos. A declaração de rede ausente ou incorreto resultará em perder atualizações de roteamento e encaminhamento atualizações não são enviados ou recebidos em uma interface. ■ sumarização automática: Se houver uma necessidade ou expectativa para o envio de sub-redes específicas e não apenas resumiu rotas, certifique-se que a sumarização automática foi desativada com o comando no auto-summary.
  • 215.
    Roteamento EIGRP Exame CCNA640-802 Tópicos ■ Configurar, verificar e solucionar problemas de EIGRP. Tópicos-chave Aprimorada Interior Gateway Routing Protocol (EIGRP) é um vetor de distância, protocolo de roteamento sem classes que foi lançado em 1992 com Cisco IOS Software Release 9.21. Como o próprio nome sugere, EIGRP é um aprimoramento do Interior Gateway Routing Protocol (IGRP). Ambos são proprietários da Cisco protocolos e operar apenas em roteadores Cisco. Hoje fazemos uma revisão da operação, a verificação de configuração, e solução de problemas de EIGRP . Operação EIGRP EIGRP inclui vários recursos que não são comumente encontradas em outros protocolos de roteamento vetor de distância como o Routing Information Protocol (RIPv1 e RIPv2) e IGRP. Esses recursos incluem o seguinte: ■ Reliable Transport Protocol (RTP) ■ atualizações Bounded ■ Algoritmo Atualização Difusão (DUAL) ■ Estabelecer adjacências ■ vizinho e tabelas de topologia
  • 216.
    Embora EIGRP podeagir como um protocolo de roteamento link-state, ainda é um vetor de distância protocolo de roteamento. Tabela 13-1 resume as principais diferenças entre um protocolo de vetor de distância tradicional de roteamento, tais como RIP, eo maior vetor de distância protocolo de roteamento EIGRP A partir do lado direito da Figura 13-1, observe que o campo de dados é chamado Tipo / comprimento / valor, ou TLV. Os tipos de TLVs relevantes para o CCNA são parâmetros EIGRP, IP Rotas internas e externas IP Routes.
  • 217.
    O cabeçalho dopacote EIGRP, mostrado na Figura 13-2, é incluído em cada pacote EIGRP, independentemente de sua TLV. O cabeçalho do pacote EIGRP e TLV são então encapsulado em um pacote IP. No PI cabeçalho do pacote, o campo de protocolo está definido para 88 para indicar EIGRP, eo endereço de destino é definido para o endereço multicast de 224.0.0.10. Se o pacote EIGRP é encapsulado em um frame Ethernet, o endereço MAC de destino é também um endereço de multicast: 01-00-5E-00- 00-0A. Campos importantes para a nossa discussão incluem o campo Opcode eo Autonomous System Number de campo. Opcode especifica o tipo de pacote EIGRP. O número de sistema autônomo especifica o Processo de roteamento EIGRP. Ao contrário de RIP, os roteadores Cisco pode executar várias instâncias do EIGRP. o número de sistema autônomo é usado para controlar várias instâncias do EIGRP. RTP e os tipos de pacotes EIGRP Protocolo de transporte confiável (RTP) é o protocolo usado pelo EIGRP para a entrega e recepção de Pacotes EIGRP. EIGRP foi concebido como uma rede de protocolo de roteamento da camada de independentes, portanto, ele não pode usar os serviços de UDP ou TCP, porque IPX e AppleTalk não usam protocolos de o conjunto de protocolos TCP / IP. Embora confiável é parte de seu nome, RTP inclui tanto a entrega confiável e entrega confiável de Pacotes EIGRP. Confiável RTP exige uma confirmação para ser devolvido, enquanto um não confiável Pacote RTP não exige um reconhecimento ..
  • 218.
    RTP pode enviarpacotes ou como um unicast ou multicast. Pacotes multicast usar o EIGRP reservados endereço multicast de 224.0.0.10. EIGRP usa cinco tipos de pacotes: ■ Olá: Olá pacotes são usados pelo EIGRP para descobrir vizinhos e formar adjacências com os vizinhos. Olá pacotes EIGRP são multicasts e usar de entrega não confiável, por isso não resposta é necessária a partir do destinatário. Na maioria das redes, os pacotes EIGRP Olá são enviados a cada 5 segundos. Em multiponto sem difusão multiaccess (NBMA) redes como X.25, Frame Relay e ATM interfaces com links de acesso dos T1 (1.544 Mbps) ou mais lento, são hellos unicast a cada 60 segundos. Por padrão, o tempo de espera é de 3 vezes o intervalo Olá, ou 15 segundos Na maioria das redes e 180 segundos em redes de baixa velocidade NBMA. Se o tempo de espera expira, EIGRP declara a rota como para baixo, e as buscas DUAL para um novo caminho na tabela de topologia ou através do envio de consultas. ■ Update: EIGRP não envia atualizações periódicas. Pacotes de atualização são enviados somente quando necessário, conter apenas as informações de roteamento necessário, e são enviados apenas para aqueles roteadores que assim o exigem. Pacotes EIGRP atualização use entrega confiável. Pacotes de atualização são enviados como um multicast quando exigido por vários roteadores, ou como um unicast quando requerido por apenas um único roteador. ■ Reconhecimento: O reconhecimento (ACK) pacotes são enviados por EIGRP quando entrega confiável
  • 219.
    é usado. RTPutiliza entrega confiável para EIGRP atualização, consulta e pacotes de resposta. EIGRP pacotes de reconhecimento são sempre enviadas como um unicast confiável. ■ Query: Um pacote de consulta é utilizado por DUAL na busca de redes. Consultas utilização fiável entrega e pode usar multicast ou unicast. ■ Resposta: Um pacote de resposta é enviada em resposta a um pacote de consulta independentemente de o responder roteador tem informações sobre a rota consultada. Respostas use entrega confiável e, ao contrário consultas, as respostas são sempre enviadas como unicast (nunca como multicast). DUAL Protocolos de roteamento vetor de distância, como RIP evitar loops de roteamento com hold-down timers. o principal forma que evita loops de roteamento EIGRP é com o algoritmo DUAL. DUAL é usado para obter laço liberdade a cada instante ao longo de um cálculo de rota. Isso permite que todos os roteadores envolvidos em uma alteração de topologia para sincronizar ao mesmo tempo. Roteadores que não são afetados pela mudanças na topologia não estão envolvidos no recálculo porque as consultas e as respostas são limitadas para apenas os routers que precisam ou têm as informações de rota específica. Este método fornece EIGRP com tempos de convergência mais rápida do que outros protocolos de roteamento vetor de distância. Porque o recálculo da dupla pode ser do processador, é vantajoso evitar o recálculo sempre que possível. Portanto, DUAL mantém uma lista de rotas de backup que já determinou ser livre de laço. Se a rota primária na tabela de roteamento falhar, a melhor rota de backup é imediatamente adicionado à tabela de roteamento. Distância administrativa
  • 220.
    EIGRP tem umpadrão de AD 90 para rotas internas e 170 para as rotas importadas de uma externa fonte, tais como rotas padrão. Quando comparado a outros protocolos de gateway interior, EIGRP é o mais preferido pela Cisco IOS Software porque tem o menor AD. Observe na Tabela 13-2 EIGRP que tem um valor AD terceiro, de 5, para as rotas de síntese. Mais adiante neste capítulo, você aprenderá a configurar as rotas EIGRP sumário. Configuração EIGRP Para rever os comandos de configuração EIGRP, vamos usar a topologia da Figura 13-3 e da esquema de endereçamento na Tabela 13-3.
  • 221.
    Observe na Figura13-3 que o roteador ISP não existe realmente. Para a nossa análise do padrão de roteamento em EIGRP, vamos usar uma interface, simulado loopback. O Comando de rede Assumindo que as interfaces de todos os roteadores são configurados e ativados de acordo com os endereços IP na Tabela 13-3, 13-1 Exemplo mostra a configuração EIGRP com o comando da rede.
  • 222.
    Sumarização automática Como RIP,EIGRP automaticamente resume redes para a fronteira com classe. No Exemplo 13-2, vemos que R1 e R2 são ambos de enviar a rede 172.16.0.0/16 classful para R3. Tabela de roteamento R3 exemplo 13-2 é: Sumarização Automática R3 não tem as informações mais específicas de sub-rede. Porque ambos os caminhos são iguais custo, R3 irá carga de tráfego equilíbrio para sub-redes para a rede 172.16.0.0/16. Isso resultará em menos de ótima encaminhamento pelo menos metade do tempo. Por exemplo, para enviar o tráfego para um destino que pertencem ao Sub-rede 172.16.1.0/24, R3 irá enviar o tráfego para ambos os R1 e R2. Claramente, a partir da topologia mostrada na
  • 223.
    Figura 13-3, R1é o caminho ideal. Para garantir roteadores EIGRP estão recebendo informações de sub-rede completo, desativar o sumário automático com o comando no auto-summary, como mostrado no Exemplo 13-3. Exemplo 13-3 Desativar Sumarização Automática Agora R3 irá enviar o tráfego para a LAN R1 para R1 e R2 para a LAN R2. Exemplo 13-4 mostra a nova tabela de roteamento para R3 após a sumarização automática é desabilitada. Tabela de roteamento R3 exemplo 13-4 é: Sumarização Automática com mobilidade condicionada Sumarização manual Sumarização automática com deficiência, EIGRP benefícios já não a partir das tabelas de roteamento menores
  • 224.
    que podem resultarde rotas de rede resumida classful. Para controlar o tamanho das tabelas de roteamento, você pode usar sumarização manual para especificar que uma interface específica envia uma rota de síntese, em vez das sub-redes individuais. Isso também funciona para o envio de supernets. Por exemplo, suponha que R3 também tem rotas para o 192.168.0.0/24, 192.168.2.0/24, e Redes 192.168.3.0/24, além da LAN 192.168.1.0/24. Podemos simular esses três rotas, configurando loopbacks em R3 e em seguida, adicione estas redes com a configuração EIGRP em R3, como mostrado no Exemplo 13-5. Exemplo 13-5 Simulado LANs em R3 As rotas no Exemplo 13-6 pode ser resumido em uma rota supernet anunciados por R3 para ambos
  • 225.
    R1 e R2.A supernet é uma coleção de endereços de rede contíguos classful agregados em um rota. Em vez de enviar quatro / 24 rotas para as redes classful 192.168.0.0, 192.168.1.0, 192.168.2.0 e 192.168.3.0, podemos configurar uma rota de síntese manual como 192.168.0.0/22. Rotas de síntese manual deve ser configurado na interface que você deseja que a rota de síntese para ser enviados de fora. A sintaxe para as rotas de síntese manual com EIGRP é a seguinte: Router(config-if)#ip summary-address eigrp as-number network- address subnet-mask Porque R3 tem dois vizinhos EIGRP, o resumo EIGRP manual em configurado em ambos os 0/0/0 0/0/1 de série e de série, como mostrado no Exemplo 13-7. R1 e R2 agora têm tabelas de roteamento menores porque as quatro redes são resumidos em um rota, como destacado no Exemplo 13-8 para R2.
  • 226.
    Cancelar EIGRP rota padrão O"quad zero" rota estática padrão pode ser usado com todos os protocolos suportados atualmente roteamento. em nosso exemplo, vamos configurar a rota padrão estática em R2, pois é simular uma conexão com ISP. Exemplo 13-9 mostra o padrão de configuração rota estática em R2. Exemplo 13-9 Configuração e Redistribuição de uma rota padrão no EIGRP O comando redistribuir estática diz EIGRP para incluir essa rota estática em suas atualizações EIGRP para outros roteadores. Exemplo 13-10 mostra a tabela de roteamento para R1 com a rota padrão em destaque.
  • 227.
    Exemplo 13-10 R1tabela de roteamento com rota padrão Instalado Modificando o Metric EIGRP EIGRP usa os valores de largura de banda, atraso, confiabilidade, e carga na sua métrica composta para calcular o caminho preferido a uma rede. Por padrão, EIGRP utiliza apenas a largura de banda e atraso na sua métrica cálculo, como mostrado na Figura 13-4. A largura de banda métrica é um valor estático atribuído pelo Cisco IOS para os tipos de interface. Por exemplo, a maioria interfaces seriais são atribuídos o valor padrão 1544 kbps, a largura de banda de uma conexão T1. este valor pode ou não refletir a largura de banda real da interface. Delay é a medida do tempo que leva para um pacote de percorrer uma rota. A métrica de atraso é um static valor com base no tipo de ligação a qual a interface está conectado e é medido em microssegundos.
  • 228.
    Porque a largurade banda pode padrão para um valor que não reflecte o valor real, você pode usar a largura de banda de comando interface para modificar a largura de banda métricas: Router (config-if) # largura de banda kilobits Na topologia mostrada na Figura 13-3, observe que a ligação entre R1 e R2 tem uma largura de banda 64 kbps, ea ligação entre R2 e R3 tem uma largura de banda de 1024 kbps. 13-11 mostra o exemplo configurações utilizadas em todos os três routers para modificar a largura de banda. Modifying Hello Intervals and Hold Times Hello intervals and hold times are configurable on a per-interface basis and do not have to match with other EIGRP routers to establish adjacencies. The syntax for the command to modify the hello interval is as follows: Router(config-if)#ip hello-interval eigrp as-number seconds
  • 229.
    If you changethe hello interval, make sure that you also change the hold time to a value equal to or greater than the hello interval. Otherwise, neighbor adjacency will go down after the hold time expires and before the next hello interval. The command to configure a different hold time is as follows: Router(config-if)#ip hold-time eigrp as-number seconds EIGRP Verificação e solução de problemas Para verificar qualquer configuração de roteamento, você provavelmente irá depender do ip route show, show ip breve interface, e mostrar comandos ip protocolos. A tabela de roteamento deve ter tudo o que espera rotas. Se não, verificar o estado das interfaces para se certificar de que nenhum interfaces são para baixo ou errada. Use o comando show ip protocolos para verificar se EIGRP e que a maioria de seus Configurações EIGRP são operacionais, como mostrado no Exemplo 13-13. Exemplo 13-13 Verificar a Configuração EIGRP com o comando show ip protocols
  • 230.
    Para EIGRP, vocêpode usar duas tabelas, além da tabela de roteamento para verificar e solucionar o -configuração da tabela de vizinhos ea tabela de topologia. Primeiro, verifique se os vizinhos esperado estabeleceram adjacência com o show ip vizinhos eigrp comando. Figura 13-5 mostra a saída para R2 com uma breve explicação de cada parte. Se EIGRP não é roteamento como você espera, você pode usar o comando show ip eigrp topologia para ver
  • 231.
    todas as rotasque fazem actualmente parte do banco de dados EIGRP, incluindo rotas que estão instalados em a tabela de roteamento e rotas de backup potencial como mostrado no Exemplo 13-14 para R2. EIGRP termos específicos que você deve saber para que você possa interpretar o resultado do Exemplo 13-14 incluem o seguinte: ■ Sucessor: Um roteador vizinho que é usado para encaminhamento de pacotes e é a rota de menor custo à rede de destino. ■ Distância Viável (FD): o mais baixo calculado métrica para alcançar a rede de destino. ■ sucessor viável (FS): Um vizinho que tem um caminho livre de laço de backup à mesma rede como o sucessor ao satisfazer a condição de viabilidade. ■ Condição de Viabilidade (FC): O FC é cumprida quando a distância relatou um vizinho (RD) para um
  • 232.
    rede é inferiora FD do roteador local para a rede de destino mesmo. Rever os conceitos do sucessor, a distância possível, e sucessor viável, vamos olhar para um descrição detalhada da entrada em destaque na Exemplo 13-13. A primeira linha exibe o seguinte: ■ P: Esta rota é no estado passivo, o que significa que a rota é estável e não procuram activamente um substituição. Todas as rotas na tabela de topologia deve estar no estado passivo para um roteamento estável domínio. ■ 172.16.1.0/24: Esta é a rede de destino, que também é encontrado na tabela de roteamento. ■ 1 sucessores: Isso mostra o número de sucessores para esta rede. Se vários equal-cost caminhos existem para esta rede, haverá sucessores múltiplas. ■ FD é 3526400: Este é o FD, a métrica EIGRP para alcançar a rede de destino. A primeira entrada mostra o sucessor: ■ via 192.168.10.10: Este é o next-hop endereço do sucessor, R3. Este endereço é mostrado na a tabela de roteamento. ■ 3526400: Este é o FD para 172.16.1.0/24. É a métrica mostrado na tabela de roteamento. ■ 2172416: Esta é a RD do sucessor e é o custo R3 para chegar a esta rede. ■ Serial0/1/1: Esta é a interface de saída usada para chegar a esta rede, também mostrado no roteamento mesa. A segunda entrada mostra o sucessor viável, R1. (Se não existe segunda entrada, não há FSS.) ■ via 172.16.3.1: Este é o endereço do próximo salto do FS, R1. ■ 40514560: Este seria novo R2 da FD para 192.168.1.0/24 se R1 tornou-se o novo sucessor.
  • 233.
    ■ 28160: Estaé a RD do FS ou R1 métrica para alcançar esta rede. Este valor, RD, deve ser inferior ao FD atual de 3526400 para atender a FC. ■ Serial0/1/0: Esta é a interface de saída usada para atingir a FC, se este router torna-se o sucessor. Para ver todas as rotas possíveis no banco de dados de topologia EIGRP, incluindo rotas que não atendam a condição de viabilidade, use a opção de todos os links, como mostrado no Exemplo 13-15. Dia 13 223 Ao comparar a saída do Exemplo 13-14 com a saída do Exemplo 13-15, você pode ver
  • 234.
    EIGRP que temmais rotas na tabela de roteamento do que é mostrado inicialmente. Mas essas rotas adicionais que não satisfazem a condição de viabilidade. Portanto, deve primeiro DUAL consulta vizinhos para se certificar que não é uma rota melhor lá fora, antes de instalar um percurso que não satisfazem a condição de viabilidade. Esta é a essência de como DUAL evita loops. DUAL de estado finito máquina como o algoritmo trata de uma decisão é final, representada graficamente no fluxograma da Figura 13-6. Para monitorar o FSM DUAL em ação, use o comando debug eigrp fsm. Em seguida, desligue uma interface no roteador para ver como DUAL reage à mudança na topologia.
  • 235.
    Roteamento OSPF Exame CCNA640-802 Tópicos ■ Configurar, verificar e solucionar problemas de OSPF. Tópicos-chave Open Shortest Path First (OSPF) é um protocolo de roteamento link-state, que foi desenvolvido como um substituto para Routing Information Protocol (RIP). Principais vantagens do OSPF sobre o RIP são seus convergência rápida e sua escalabilidade para implementações de rede muito maior. Hoje fazemos uma revisão da operação, configuração, verificação e solução de problemas básicos do OSPF.
  • 236.
    Operação OSPF IETF escolheuOSPF sobre Intermediate System-to-Intermediate System (IS- IS) como recomendado Interior Gateway Protocol (IGP). Em 1998, a especificação OSPFv2 foi atualizado em RFC 2328 e RFC é o atual para OSPF. RFC 2328, OSPF versão 2, está no site da IETF em http://www.ietf.org/rfc/rfc2328. Cisco IOS Software irá escolher rotas OSPF em rotas RIP porque OSPF tem uma distância de 110 administrativos contra AD RIP de 120. OSPF Message Format A porção de dados de uma mensagem OSPF é encapsulado em um pacote. Este campo de dados pode incluir uma das cinco tipos de pacotes OSPF. Figura 12-1 mostra uma mensagem encapsulada OSPF em um quadro Ethernet. O cabeçalho do pacote OSPF é incluído em cada pacote OSPF, independentemente do seu tipo. O pacote OSPF cabeçalho e de pacotes específicos do tipo de dados são então encapsulados em um pacote IP. No cabeçalho do pacote IP, o campo de protocolo é ajustado a 89 para indicar OSPF, eo endereço de destino é normalmente definido como um dos dois
  • 237.
    endereços multicast: 224.0.0.5ou 224.0.0.6. Se o pacote OSPF é encapsulado em um quadro Ethernet, o endereço MAC de destino é também um endereço de multicast: 01-00-5E-00- 00-05 ou 01-00-5E-00-00-06. Packet Tipos OSPF Estes cinco tipos de pacotes OSPF cada servir a um propósito específico no processo de roteamento: ■ Hello: Hello pacotes são utilizados para estabelecer e manter adjacência com outros roteadores OSPF. ■ DBD: A descrição do banco de dados (DBD) pacote contém uma lista abreviada do envio roteador link-state banco de dados e é usado por roteadores para verificar a receber contra a linkstate locais banco de dados. ■ LSR: Receber roteadores pode, então, solicitar mais informações sobre qualquer entrada na DBD por envio de um pedido de estado de link (LSR). ■ LSU: Link state-atualização (LSU) pacotes são utilizados para responder aos LSRs e anunciar novas informações. LSUs contêm 11 tipos de link-state anúncios (LSA). ■ LSAck: Quando um LSU é recebida, o roteador envia um aviso de estado de link (LSAck) para confirmar o recebimento da LSU. Estabelecimento vizinho Hello pacotes são trocados entre vizinhos OSPF para estabelecer adjacência. Figura 12-2 mostra o cabeçalho OSPF e pacotes Olá. Campos importantes mostrado na figura incluem o seguinte: ■ Tipo: tipo de pacote OSPF: Olá (Tipo 1), DBD (Tipo 2), LS Request (Tipo 3), LS Atualização (Tipo 4), LS ACK (Tipo 5) ■ Router ID: ID do router originário
  • 238.
    ■ ID Área:Area a partir do qual se originou o pacote ■ Máscara de Rede: Máscara de sub-associado com a interface de envio ■ Intervalo Olá: Número de segundos entre Hellos o roteador que está enviando ■ Prioridade Router: Usado em DR / BDR eleição (discutido posteriormente na seção "Eleição DR / BDR") ■ Designated Router (DR): Router ID do DR, se houver ■ Backup Designated Router (BDR): Router ID do BDR, se houver ■ Lista de Vizinhos: Lista o Router ID do roteador OSPF vizinhos (s) Hello pacotes são usados para fazer o seguinte: ■ Descubra OSPF vizinhos e estabelecer adjacências vizinho ■ Anuncie parâmetros em que dois roteadores devem concordar em se tornar vizinhos ■ Elect the DR e BDR em redes multi-acesso, como Ethernet e Frame Relay 228 31 dias antes de seu exame CCNA
  • 239.
    Recebendo um pacoteOSPF em uma interface Olá confirma para um roteador que outro roteador OSPF existe neste link. OSPF em seguida, estabelece adjacência com o vizinho. Para estabelecer adjacência, dois OSPF roteadores devem ter os seguintes valores de interface de correspondência: ■ Intervalo Hello ■ Intervalo Morto ■ Rede Tipo Antes de ambos os roteadores podem estabelecer adjacência, ambas as interfaces devem ser parte da mesma rede, incluindo a máscara de sub-rede mesmo. Então adjacência total vai acontecer depois que ambos os roteadores têm trocado LSUs necessárias e têm idêntico link-state bancos de dados. Por padrão, o OSPF Olá
  • 240.
    pacotes são enviadospara o endereço de multicast 224.0.0.5 (ALLSPFRouters) a cada 10 segundos em multiaccess e ponto-a-ponto segmentos ea cada 30 segundos em multiaccess sem difusão (NBMA) segmentos (Frame Relay, X.25, ATM). O intervalo padrão mortos é quatro vezes o intervalo Hello. Link State-Anúncios Link-state atualizações (LSUs) são os pacotes usado para atualizações de roteamento OSPF. Um pacote pode LSU contêm 11 tipos de link-state anúncios (LSAs), como mostrado na Figura 12-3. Tipos de rede OSPF OSPF define cinco tipos de rede: ■ Ponto-a-ponto ■ Transmissão multiaccess ■ sem difusão multiaccess
  • 241.
    ■ Ponto-a-multiponto ■ ligaçõesVirtual Redes multi criar dois desafios para OSPF sobre a inundação de LSAs: ■ Criação de múltiplos adjacências, uma adjacência para cada par de roteadores ■ inundações extensivo de LSAs DR / BDR Eleição A solução para gerir o número de adjacências ea inundação de LSAs em um multiaccess rede é o roteador designado (DR). Para reduzir a quantidade de tráfego OSPF em redes multi-acesso, OSPF elege um DR e backup DR (BDR). A DR é responsável por atualizar todos os outros Roteadores OSPF quando ocorre uma alteração na rede de múltiplo acesso. O BDR monitora a DR e assume como se o DR DR atual falhar .. Os critérios a seguir é usado para eleger o DR e BDR: 1. DR: Router com a mais alta prioridade interface OSPF. 2. BDR: Router com a mais alta prioridade interface OSPF segundo. 3. Se as prioridades interface OSPF são iguais, o ID mais alto do roteador é usado para quebrar o empate. Quando o DR é eleito, ele continua a ser o DR até que uma das seguintes condições ocorrer: ■ O DR falha. ■ O processo OSPF no DR falha. ■ A interface multiaccess no DR falha. Se o DR falhar, o BDR assume o papel de DR, e uma eleição é realizada para escolher um novo BDR. Se um novo roteador entra na rede depois que o DR e BDR foram eleitos, não se tornará a
  • 242.
    DR ou BDRo mesmo que tem uma prioridade maior interface OSPF ou ID router que o DR atual ou BDR. O novo roteador pode ser eleito o BDR se o DR ou BDR atual falhar. Se o DR atual falhar, o BDR será o DR, eo novo roteador pode ser eleito o BDR novo. Sem configuração adicional, você pode controlar os roteadores que ganhar as eleições DR e BDR fazendo uma das seguintes opções: ■ Inicialize o primeiro DR, seguido da BDR, e depois bota todos os outros roteadores. ■ Desligue a interface em todos os roteadores, seguido por um shutdown na DR, em seguida, o BDR, e depois todos os outros roteadores. No entanto, a forma recomendada para controle de DR / BDR eleições é para alterar a prioridade interface, que analisar no "OSPF Configuration" seção. Algoritmo OSPF Cada roteador OSPF mantém um banco de dados link-state contendo os LSAs recebidos de todos os outros routers. Quando um roteador recebeu todos os LSAs e construiu sua base de dados link-state local, OSPF usa Mais curto de Dijkstra primeiro caminho algoritmo (SPF) para criar uma árvore SPF. Este algoritmo acumula custos ao longo de cada caminho, da origem ao destino. A árvore SPF é então usado para preencher o IP tabela de roteamento com as melhores caminhos para cada rede. Por exemplo, na Figura 12-4 cada caminho é marcado com um valor arbitrário para o custo. O custo do caminho mais curto para o R2 para enviar pacotes para a LAN ligado ao R3 é
  • 243.
    de 27 (20+ 5 + 2 = 27). Note-se que este custo não é 27 para todos os roteadores para alcançar a LAN ligado ao R3. Cada roteador determina a sua própria custo para cada destino na topologia. Em outras palavras, cada roteador usa o algoritmo SPF para calcular o custo de cada caminho para uma rede e determina o melhor caminho para que a rede a partir de suas próprias perspectiva. Dia 12 231
  • 244.
    Cancelar Você deve sercapaz de criar uma tabela semelhante para cada um dos outros roteadores na Figura 12-4. Link State Routing-Processo A lista a seguir resume o processo de roteamento link-state usado por OSPF. Todos os roteadores OSPF completo o processo de roteamento genérico seguinte link-state para alcançar um estado de convergência: 1. Cada roteador aprende sobre as suas próprias ligações e as suas próprias redes diretamente conectadas. isto é feito através da detecção de uma interface que está no estado up, incluindo um endereço de camada 3. 2. Cada roteador é responsável por estabelecer adjacência com seus vizinhos diretamente conectados redes de troca de pacotesHello. 3. Cada roteador constrói um pacote de link-state (LSP), contendo o estado de cada conectado diretamente link. Isto é feito através da gravação de todas as informações pertinentes sobre cada vizinho, incluindo vizinho ID, tipo link, e largura de banda. 4. Cada roteador inundações LSP para todos os vizinhos, que, em seguida, armazenar todos os LSPs recebido em um banco de dados. Vizinhos, em seguida, inundar o LSPs para os seus vizinhos até que todos os roteadores na área têm recebido o LSPs. Cada roteador armazena uma cópia de cada LSP recebido de seus vizinhos em um banco de dados local. 5. Cada roteador usa o banco de dados para construir um mapa completo da topologia e calcula o melhor caminho para cada rede de destino. O algoritmo SPF é usado para construir o mapa do topologia e determinar o melhor caminho para cada rede. Todos os roteadores terão um comum mapa ou árvore da topologia, mas cada roteador independentemente determina o melhor caminho para cada rede dentro dessa topologia.
  • 245.
    Configuração OSPF Para reveros comandos de configuração OSPF, vamos usar a topologia da Figura 12-5 e da esquema de endereçamento na Tabela 12-2. The router ospf Command
  • 246.
    OSPF is enabledwith the router ospf process-id global configuration command: R1(config)#router ospf 1 The process-id is a number between 1 and 65,535 and is chosen by the network administrator. The process ID is locally significant. It does not have to match other OSPF routers to establish adjacencies with those neighbors. This differs from EIGRP. The EIGRP process ID or autonomous system number must match before two EIGRP neighbors will become adjacent. For our review, we will enable OSPF on all three routers using the same process ID of 1. The network Command The network command is used in router configuration mode: Router(config-router)#network network-address wildcard-mask area area-id The OSPF network command uses a combination of network-address and wildcard-mask. The network address, along with the wildcard mask, is used to specify the interface or range of interfaces that will be enabled for OSPF using this network command. The wildcard mask is customarily configured as the inverse of a subnet mask. For example, R1’s FastEthernet 0/0 interface is on the 172.16.1.16/28 network. The subnet mask for this interface is /28 or 255.255.255.240. The inverse of the subnet mask results in the wildcard mask 0.0.0.15. The area area-id refers to the OSPF area. An OSPF area is a group of routers that share link-state information. All OSPF routers in the same area must have the same link-state information in their link-state databases. Therefore, all the routers within the same OSPF area must be configured with the same area ID on all routers. By convention, the area ID is 0. Example 12-1 shows the network commands for all three routers, enabling OSPF on all interfaces.
  • 247.
    router ID A identificaçãodo roteador tem um papel importante no OSPF. Ele é usado para identificar exclusivamente cada roteador no OSPF roteamento de domínio. Roteadores Cisco derivar o ID do roteador baseado em três critérios na seguinte ordem: 1. Use o endereço IP configurado com o comando router-id OSPF. 2. Se o ID do roteador não está configurado, o roteador escolhe o endereço IP mais alto de qualquer dos seus interfaces loopback. 3. Se nenhuma interface loopback são configurados, o roteador escolhe mais o endereço IP de ativos qualquer de suas interfaces físicas. A identificação do roteador pode ser visto com vários comandos, incluindo interfaces de show ip ospf, show ip protocolos, e show ip ospf. Duas maneiras de influenciar o ID do roteador são para configurar um endereço de loopback ou configurar o roteador ID. A vantagem de usar uma interface de loopback é que, ao contrário de interfaces físicas, não pode falhar. Portanto, usando um endereço de loopback para o ID do router fornece estabilidade para o processo OSPF.
  • 248.
    Porque o comandorouter-id OSPF é um acréscimo bastante recente para Cisco IOS Software (Release 12,0 [1] T), é mais comum encontrar endereços de loopback usado para configurar IDs router OSPF. Exemplo 12-2 mostra as configurações de loopback para os roteadores em nossa topologia. Exemplo de configurações 02/12 Loopback Para configurar o router ID, use a sintaxe seguinte comando: Router (config) # router ospf processo-id Router (config-router) # router-id ip address A identificação do roteador é selecionado quando OSPF é configurado com o seu comando primeira rede OSPF. assim, o loopback ou comando ID roteador já deve estar configurado. No entanto, você pode forçar a OSPF liberar seu ID atual e usar o loopback ou ID roteador configurado por qualquer recarregar o roteador ou usando o seguinte comando: Router # clear ip ospf processo Modificando o Metric OSPF Cisco IOS Software usa a largura de banda cumulativo das interfaces de saída do roteador para a rede de destino como o valor de custo. Em cada roteador, o custo de uma interface é calculado usando a seguinte fórmula: Cisco IOS Custo de OSPF = 108/bandwidth em bps Neste cálculo, o valor 108 é conhecida como a largura de banda de referência.
  • 249.
    A largura debanda de referência pode ser modificado para acomodar as redes com ligações mais rapidamente do que 100 milhões bps (100 Mbps) usando o OSPF comando auto custo-comando de interface de referência de banda larga. Quando usado, este comando deve ser inserido em todos os roteadores OSPF de modo que a métrica de roteamento permanece consistente. Você pode modificar a métrica OSPF de duas maneiras: ■ Use o comando de largura de banda para modificar o valor de largura de banda utilizada pela Cisco IOS Software no cálculo da métrica de custo OSPF. ■ Use o comando ip ospf custo, que permite que você especificar diretamente o custo de uma interface. Tabela 12-4 mostra as duas alternativas que podem ser usadas para modificar os custos das ligações em série a topologia. O lado direito mostra o ip ospf equivalentes de custo de comando dos comandos de largura de banda à esquerda.
  • 250.
    Cancelar Controlar a eleiçãoDR / BDR Porque o DR se torna o ponto focal para a coleta e distribuição de LSAs em um multiaccess rede, é importante para este router para ter CPU suficiente e capacidade de memória para lidar com a responsabilidade. Em vez de depender a ID do roteador para decidir quais roteadores são eleitos a DR e BDR, é melhor controlar a eleição desses roteadores com a interface de prioridade ip ospf comando: Router (config-if) # ip ospf prioridade {0-255} Os padrões de prioridade valor para 1 para todas as interfaces do roteador, o que significa a identificação do roteador determina a DR e BDR. Se você alterar o valor padrão a partir de 1 para um valor maior, no entanto, com o router a prioridade mais alta torna-se o DR, eo roteador com a próxima prioridade passa a ser o BDR. Um valor de 0 faz com que o router inelegíveis para se tornar um DR ou BDR. Todos os roteadores na Figura 12-6 inicializado, ao mesmo tempo com uma configuração completa OSPF. em tal situação, RouterC é eleito o DR, e RouterB é eleito o BDR com base na
  • 251.
    maior IDs router. Vamos suporRouterA é o melhor candidato a DR e RouterB deve ser BDR. No entanto, você não deseja alterar o esquema de endereçamento. Exemplo 12-3 mostra uma forma de controlar a DR / BDR eleição na topologia mostrada na Figura 12-6. Observe que mudamos ambos os roteadores. Embora RouterB foi o BDR sem fazer nada, seria perder este papel a RouterC se não configurar prioridade RouterB? s a ser maior do que o padrão. Redistribuição de uma rota padrão Voltando à primeira topologia mostrada na Figura 12-5, podemos simular uma conexão com a Internet em R1, configurando uma interface loopback. R1 é agora chamado de limite de Sistema Autônomo Router (ASBR). Então, podemos redistribuir a rota padrão estática para R2 e R3 com o defaultinformation originam de comando, como demonstrado no Exemplo 12-4.
  • 252.
    Intervalos de modificarHello e tempos de espera Pode ser necessário mudar os temporizadores OSPF para que os roteadores irá detectar falhas de rede em menos tempo. Fazendo isso vai aumentar o tráfego, mas às vezes há uma necessidade de convergência rápida, que supera o tráfego extra. Olá OSPF e intervalos Morto pode ser modificado manualmente utilizando os comandos seguinte interface: Exemplo 12-5 mostra os intervalos Olá e Dead modificado para 5 segundos e 20 segundos, respectivamente, na interface Serial 0/0/0 de R1. Verificação e solução de problemas OSPF Para verificar qualquer configuração de roteamento, você provavelmente irá depender do ip route show, show ip breve interface, e mostrar comandos ip protocolos. A tabela de roteamento deve ter tudo o que espera rotas. Se não, verificar o status de todas as interfaces para garantir que uma
  • 253.
    interface não épara baixo ou errada. Para o nosso exemplo, as tabelas de roteamento OSPF terá uma rota O * E2 em R2 e R3 como mostrado na tabela de roteamento R2 no Exemplo 12-6. Rotas OSPF externas caem em uma das duas categorias: ■ Tipo External 1 (E1): OSPF acumula custo para uma rota E1 como a rota está sendo propagada em toda a área OSPF. ■ Tipo externas 2 (E2): O custo de uma rota E2 é sempre o custo externo, independentemente do interior de custo para chegar a essa rota. Nesta topologia, porque a rota padrão tem um custo externo do 1 no roteador R1 R2 e R3 também mostram um custo de 1 para a rota padrão E2. Rotas E2 a um custo de 1 são a configuração padrão OSPF. Você pode verificar que os vizinhos esperado estabeleceram adjacência com o
  • 254.
    show ip ospfneighbor comando. Exemplo 12-7 mostra as tabelas vizinho por três roteadores. Para cada vizinho, este comando exibe a seguinte saída: ■ Neighbor ID: A identificação do roteador do roteador vizinho. ■ Pri: A prioridade OSPF da interface. Estes mostrar todos os 0 porque ponto- a-ponto ligações não eleger um DR ou BDR. ■ Estado: O estado OSPF da interface. Estado COMPLETA significa que a interface do roteador é totalmente adjacente com o seu vizinho e eles têm idênticas OSPF link-state bancos de dados. ■ Time Dead: A quantidade de tempo restante que o roteador irá esperar para receber um OSPF Hello pacote do vizinho antes de declarar o vizinho para baixo. Esse valor é redefinido quando a interface recebe um pacote Hello. ■ Endereço: O endereço IP da interface do vizinho para que este roteador está diretamente conectado. ■ Interface: A interface em que este router formou adjacência com o vizinho.
  • 255.
    Como mostrado noExemplo 12-8, você pode usar o comando show ip protocolos como uma maneira rápida de verificar vital informações de configuração do OSPF, incluindo a identificação do processo OSPF, a identificação do roteador, as redes do roteador é a publicidade, os vizinhos de onde o roteador está recebendo atualizações, e da AD padrão, que é 110 para OSPF O comando show ip ospf mostrado no Exemplo 12-9 para R2 também pode ser usado para examinar o OSPF ID processo e ID router. Além disso, este comando exibe as informações de área OSPF eo última vez que o algoritmo SPF foi calculado.
  • 256.
    A maneira maisrápida para verificar intervalos Hello e Dead é usar o comando show ip ospf interface. Como mostrado no Exemplo 12-10 para R2, acrescentando o nome da interface e número para o comando exibe a saída para uma interface específica.
  • 257.
    Conforme destacado noExemplo 12-10, o comando show ip ospf interface também mostra o roteador ID, tipo de rede, eo custo para a ligação, assim como o vizinho para que esta interface é adjacente.
  • 258.
    Solucionando problemas deroteamento Exame CCNA 640-802 Tópicos ■ Solucionar problemas de roteamento. Tópicos-chave Durante os últimos três dias, analisamos tanto o roteamento estático e dinâmico, incluindo rotas estáticas, as rotas padrão, RIPv1, RIPv2, EIGRP, OSPF e. Estas revisões pela sua própria natureza incluía alguns breve discussão sobre como solucionar problemas de roteamento relacionados a cada um dos métodos de roteamento. Hoje nós concluir nossa revisão de conceitos de roteamento e configuração com foco na solução de problemas de roteamento. Os comandos básicos Solução de problemas de roteamento pode começar com ping básica e comandos traceroute para descobrir onde a conectividade é inexistente. No caso de uma grande rede, entretanto, estes dois comandos são provavelmente não da maneira mais eficiente para encontrar um problema. Além disso, se esses comandos fazem trilha baixo um problema, você ainda tem que descobrir a causa. Um método melhor seria começar com os seus dispositivos de núcleo. Estes dispositivos devem ser uma coleção ponto de partida para todas as rotas da empresa. Para verificar se há rotas de desaparecidos e rastrear o motivo, o seguinte método pode ser usado para questões relacionadas com roteamento dinâmico: 1. Verifique as tabelas de roteamento para a convergência com o comando show ip route. Todos os esperados rotas devem ser na tabela de roteamento. Restrição de uma política de segurança que impede que algumas rotas, o dispositivo deve ser capaz de rota para qualquer outro local na empresa. 2. Se você encontrar uma rota em falta ou rotas, use o comando show ip
  • 259.
    protocolos para investigara operação do protocolo de roteamento no roteador local. O comando show ip protocols resume quase todos os detalhes da operação de um protocolo de roteamento é. Informações úteis para todos os protocolos inclui o seguinte: - Habilitar o protocolo de roteamento: Se o protocolo de roteamento esperado não for habilitado, configurá-lo. - Encaminhamento para redes: se uma rede que deve ser anunciado está em falta, pode ser que o comando da rede está faltando para aquela rota. No entanto, pode ser também que a interface ou interfaces que pertencem a essa rede não estão funcionando. Se assim for, use show ip Interface breve para isolar problemas com interfaces. - Encaminhamento fontes de informação: Esta é uma lista de vizinhos de que o roteador local é recebendo atualizações. Um vizinho ausente pode ser um problema com o roteador local (em falta comando de rede ou interface para baixo). Ou o problema pode ser com o vizinho. Para EIGRP e OSPF, você pode usar o visor de relacionamentos próximo como um primeiro passo na descoberta por que um vizinho não é a publicidade rotas para o roteador local (através do show ip eigrp vizinhos e show ip ospf comandos vizinho). Se as relações vizinho são operando como esperado, log para o roteador vizinho para descobrir por que o vizinho não é rotas de publicidade 3. Se uma rota estática está faltando na tabela de roteamento, verificar se ele está configurado com o show
  • 260.
    running-config comando. Seestiver configurado, a interface de saída local é baixo ou a interface com o endereço do próximo salto é baixo. VLSM Troubleshooting A lista a seguir resume os pontos de solução de problemas importantes a serem considerados quando você estiver solucionando problemas potencial de comprimento variável de sub-rede de mascaramento (VLSM) problemas no exame: ■ Preste muita atenção se o projeto realmente usa VLSM. Se isso acontecer, observe se um sem classes protocolo de roteamento é usado. ■ Esteja ciente de que sub-redes sobrepostas podem de fato ser configurado. ■ Os sintomas do problema para fora pode ser que alguns hosts em uma sub- rede funcionar bem, mas outros não pode enviar pacotes fora da sub-rede local. ■ Use o comando traceroute para procurar rotas que os pacotes direto para a parte errada do rede. Isto poderia ser resultado de uma das sub-redes sobrepostas. ■ No exame, você poderá ver uma pergunta que você acha que está relacionado com endereços IP e VLSM. nesse caso, o melhor plano de ataque poderia muito bem ser a de analisar as contas para cada sub-rede e garantir que não existem sobreposições, ao invés de solução de problemas usando ping e traceroute. Redes Discontiguous Sumarização automática não causa qualquer problema, desde que a rede resumida é contíguo ao invés de não adjacentes. Para RIPv2 e EIGRP, você deve desativar sumarização automática em uma rede adjacentes ou você vai ter uma situação de convergência menos- que-cheia. Mesmo um projeto de rede pode tornar-se contíguos adjacentes se uma ou
  • 261.
    mais falhas delink dividir um classful rede em duas ou mais partes. Figura 11-1 mostra uma internetwork com dois contíguos classful redes: 10.0.0.0 e 172.16.0.0. Nesta figura, com todos os links acima e sumarização automática de trabalho e com efeito, todos os hosts podem de ping todos os outros hosts. Neste projeto, os pacotes para a rede 172.16.0.0 fluxo ao longo da rota de alta, e pacotes para a rede 10.0.0.0 fluxo sobre a rota de baixa. No entanto, se qualquer ligação entre os roteadores falhar, uma das duas redes classful torna-se descontínuo. Por exemplo, se a ligação entre R3 e R4 falhar, a rota a partir de R1 a R4 passa por sub-redes da rede 172.16.0.0, para rede 10.0.0.0 é descontínuo. A solução, como sempre, é usar um protocolo de roteamento sem classes com deficiência sumarização automática. Solução de problemas RIP Erros de configuração mais RIP envolvem uma configuração declaração incorreta de rede, uma falta configuração de rede declaração, ou a configuração de sub-redes adjacentes em um ambiente com classe. Conforme mostrado na Figura 11-2, usando debug ip rip pode ser uma maneira eficaz de descobrir problemas com
  • 262.
    RIP atualizações. Estasaída é a partir da topologia que usamos no dia 14, "Default, Static, e RIP Roteamento ", mostrado na Figura 14-3. Figura 11-2 Interpretando saída debug ip rip. Este comando exibe RIPv1 atualizações de roteamento como eles são enviados e recebidos. Porque é RIPv1, as máscaras de sub-rede não estão incluídas. Como as atualizações são periódicas, você precisa esperar para os próximos rodada de atualizações antes de ver qualquer saída. A lista que se segue corresponde ao número de Figura 11-2. 1. Você vê uma atualização vindo de R1 na interface Serial 0/0/0. Repare que R1 envia apenas uma rota para a rede 192.168.1.0. Sem outras rotas são enviados, pois isso violaria a regra de dividir horizonte. R1 não é permitido para fazer propaganda de redes de volta para R2 R2 que anteriormente enviado para R1.
  • 263.
    2. A próximaatualização que é recebido é de R3. Mais uma vez, por causa da regra dividir horizonte, R3 envia apenas uma rota: a rede 192.168.5.0. 3. R2 envia suas próprias atualizações. Primeiro, R2 constrói uma atualização para enviar a FastEthernet 0 / 0 interface. A atualização inclui toda a tabela de roteamento, exceto para a rede 192.168.3.0, que é anexado ao FastEthernet 0 / 0. 4. Em seguida, R2 constrói uma atualização para enviar para o R3. Três rotas estão incluídos. R2 não faz propaganda o R2 rede e compartilhar R3, nem propaganda na rede 192.168.5.0 por causa da separação horizonte. 5. Finalmente, R2 constrói uma atualização para enviar a R1. Três rotas estão incluídos. R2 não faz propaganda a rede que R2 e R1 partes, nem anunciar a rede 192.168.1.0 por causa da split horizon. 6. Não se esqueça de desativar a depuração ou com nenhum debug ip rip ou, como mostrado na figura, undebug todos. Solução de problemas EIGRP e OSPF interface questões Esta seção analisa como verificar as interfaces em que o protocolo de roteamento foi ativado. Ambos EIGRP e OSPF configuração permite que o protocolo de roteamento em uma interface usando o rede do roteador subcomando. Para as interfaces que coincidem com a comandos de rede, o roteamento protocolo tenta as duas seguintes ações: ■ As tentativas de encontrar potenciais vizinhos na sub-rede conectada à interface ■ Anuncia a sub-rede conectada a essa interface
  • 264.
    Ao mesmo tempo,o roteador passiva interface subcomando pode ser configurado para que o roteador não tentativa de encontrar vizinhos na interface (a primeira ação listada), mas ainda anuncia o sub-rede conectado (a segunda ação da lista). Tabela 11-1 resume as três comandos show que você precisa saber exatamente quais interfaces foram habilitados com EIGRP e OSPF e que as interfaces são passivas. Adjacência Solução de Problemas de Vizinhos Quando um protocolo de roteamento foi ativado em uma interface, ea interface não é configurado como um interface passiva, o protocolo de roteamento tenta descobrir vizinhos e formar um relacionamento próximo com cada vizinho que compartilha a sub-rede comum. OSPF e EIGRP usam Olá mensagens para aprender sobre os novos vizinhos e trocar informações usada para executar algumas verificações básicas. Depois de um roteador EIGRP OSPF ou ouve um Olá a partir de um novo vizinho, o protocolo de roteamento examina as informações da Hello, junto com algumas definições de local, para decidir se os dois vizinhos deveria sequer tentar tornar-se vizinhos. tabela 02/11 lista os requisitos para ambos vizinho EIGRP e OSPF.
  • 265.
    1 Tendo duplicado RIDsEIGRP não impede de se tornar routers vizinhos, mas pode causar problemas quando as rotas externas EIGRP são adicionados à tabela de roteamento. determinar a EIGRP ID roteador não é discutida ao nível CCNA. Qualquer dois roteadores EIGRP que se conectam ao link de dados mesmo, e cujas interfaces foram habilitado para EIGRP e não são passivos, ao menos, considerar tornar-se vizinhos. De forma rápida e definitivamente saber qual o potencial vizinhos passaram todos os requisitos para o vizinho EIGRP, olhar para a saída do comando show ip eigrp vizinhos. Se um ou mais vizinhos esperado não estão listados, e os dois roteadores pode pingar um ao outro de endereços IP em suas sub-rede comum, o problema provavelmente está relacionado a um dos requisitos vizinho listados na Tabela 11-2. tabela 11-3 resume os requisitos vizinho EIGRP e regista o melhor comandos que permitam determinar exigência que é a causa raiz do problema .. Semelhante ao EIGRP, o comando show ip ospf vizinho lista todos os roteadores vizinhos que possuem cumprido todos os requisitos para se tornar um vizinho OSPF, conforme listado na Tabela 11-2.
  • 266.
    Se um oumais vizinhos esperado existir, antes de passar a olhar para os requisitos vizinho OSPF, você deve confirmar que os dois roteadores pode pingar um ao outro na sub- rede local. Tão logo os dois roteadores vizinhos pode pingar um ao outro, se os dois roteadores ainda não se OSPF vizinhos, o próximo passo é examinar cada um dos requisitos vizinho OSPF. Tabela 11-4 resume os requisitos, a lista dos comandos mais úteis com os quais a encontrar as respostas. Tabela 11-4 OSPF Requisitos vizinho e Melhor do show / debug Comandos
  • 267.
    Padrões sem fio,Componentes e Segurança Exame CCNA 640-802 Tópicos ■ Descrever os padrões associados a meios de comunicação sem fio (IEEE, Wi-Fi Alliance, ITU / FCC). ■ Identificar e descrever a finalidade dos componentes em uma rede sem fio pequeno (SSID, BSS, ESS).
  • 268.
    ■ Compare eapresenta contraste de segurança sem fio e recursos de segurança WPA (aberto, WEP, WPA-1 / 2). Tópicos-chave Para os próximos dois dias, vamos rever conceitos sem fio e configurações. Hoje olhamos para o conceitos básicos de wireless, componentes e recursos de segurança. Padrões sem fio Quatro organizações têm um grande impacto sobre as normas utilizadas para as LANs sem fio hoje. Tabela 10-1 listas destas organizações e descreve suas funções. O IEEE introduziu wireless LAN (WLAN) padrões, com a criação da ratificação 1997 do padrão 802.11, que foi substituído por normas mais avançadas. A fim de ratificação, os padrões são 802.11b, 802.11a, 802.11g. De nota, o padrão 802.11n é no projecto de formulário. Ratificação final não é esperada até dezembro de 2009. Todavia, os produtos são projecto de norma já disponíveis. Tabela 10-2 apresenta alguns pontos-chave sobre os padrões atualmente ratificado.
  • 269.
    Modos de Operaçãosem fio WLANs pode usar um dos dois modos: ■ Modo Ad Hoc: Com o modo ad hoc, um dispositivo sem fio quer se comunicar com apenas um ou alguns outros dispositivos diretamente, geralmente por um curto período de tempo. Nestes casos, os dispositivos de envio Frames WLAN diretamente uns aos outros. ■ Modo de Infra-estrutura: No modo de infra-estrutura, cada dispositivo comunica com uma rede sem fio ponto de acesso (AP), com o AP conectando via Ethernet com fio para o resto da infra-estrutura de rede. Modo infra-estrutura permite que os dispositivos WLAN para se comunicar com os servidores e os Internet em uma rede com fio existente. Modo infra-estrutura suporta dois conjuntos de serviços, chamados conjuntos de serviço. O primeiro, chamado de base Service Set (BSS), usa um único AP para criar a LAN sem fio. O outro, chamado Extended Service Set (ESS), usa mais de um AP, muitas vezes com células sobrepostas para permitir roaming em uma área maior. Tabela 10-3 resume os modos wireless.
  • 270.
    freqüências sem fio AFCC define três faixas de freqüência não licenciada. As bandas são referenciados por uma determinada freqüência na banda, embora, por definição, uma faixa de freqüência é uma faixa de freqüências. tabela 10-4 listas de faixas de frequências que são importantes para algum grau de WLAN comunicações. Codificação sem fio e Canais Você deve saber os nomes de três classes gerais de codificação, em parte porque o tipo de codificação requer planejamento e premeditação para alguns WLANs: ■ Frequency Hopping Spread Spectrum (FHSS): FHSS utiliza todas as freqüências na banda, pulando com outros diferentes. Usando freqüências ligeiramente diferentes para as transmissões consecutivas, uma
  • 271.
    dispositivo pode esperançosamenteevitar interferências de outros dispositivos que usam a mesma banda sem licença. O original padrões 802.11 WLAN usada FHSS, mas os padrões atuais não. ■ Direct Sequence Spread Spectrum (DSSS): DSSS foi projetado para uso em 2,4 GHz banda não licenciada e é usado por 802.11b. Conforme regulamentado pela FCC, esta banda pode ter 11 sobreposição de canais DSSS. Três dos canais (canais 1, 6 e 11) não se sobrepõem o suficiente para impactar o outro. Assim, ao projetar uma WLAN ESS, APs com áreas de sobreposição deve ser definido para utilizar diferentes canais sem sobreposição, como mostrado na Figura 10-1. Figura 10-1 Usando não sobrepostas DSSS 2.4 GHz Canais em uma WLAN ESS Área de Cobertura sem fio O tamanho real da área de cobertura WLAN depende de um grande número de fatores, incluindo o seguinte:
  • 272.
    ■ A bandade frequências utilizada pelo padrão WLAN ■ O obstruções entre os dispositivos e perto WLAN ■ A interferência de outras fontes de rádio freqüência (RF) ■ As antenas utilizadas em ambos os clientes e APs ■ As opções usadas por DSSS e OFDM quando a codificação de dados através do ar. De um modo geral, os padrões WLAN que usam freqüências mais altas pode enviar dados mais rápido, mas com o preço de pequenas áreas de cobertura. Para cobrir todo o espaço necessário, um ESS que usa freqüências mais altas , então, exigem mais APs, elevando o custo da implantação WLAN. Tabela 10-5 enumera os principais padrões IEEE WLAN ratificada, a velocidade máxima, eo número de nonoverlapping canais. Tabela 10-5 velocidade WLAN e referência de freqüência CSMA / CA Ao contrário das tecnologias de comutação Ethernet, você não pode isolar os sinais sem fio a partir de hosts partilha o AP mesmo de interferir uns com os outros. Portanto, se dois ou mais dispositivos WLAN enviar ao mesmo tempo, usando o mesmo ou sobreposição faixas de freqüência, ocorre uma colisão, e nenhum dos transmitida sinais podem ser entendidas por aqueles que recebem o sinal. Além disso, o dispositivo que está transmitindo dados não podem ouvir simultaneamente para dados recebidos. Isto significa que os dispositivos de envio não saber que a colisão ocorreu.
  • 273.
    A solução éusar o sensor de portadora de acesso múltiplo com prevenção de colisão (CSMA / CA) algoritmo para minimizar a possibilidade estatística de colisões podem ocorrer. No entanto, CSMA / CA não evitar colisões, portanto, os padrões WLAN deve ter um processo para lidar com as colisões quando elas ocorrem. A lista a seguir resume os principais pontos sobre o algoritmo CSMA / CA: 1. Ouvir para garantir que o meio (espaço) não está ocupado (sem ondas de rádio atualmente estão sendo recebeu nas freqüências a serem utilizados). 2. Definir um temporizador espera aleatória antes de enviar um quadro para estatisticamente reduzir a chance de dispositivos todos tentando enviar, ao mesmo tempo. 3. Quando o temporizador aleatório passou, ouvir novamente para garantir que o meio não está ocupado. se não é, enviar o quadro. 5. Se nenhuma confirmação for recebida, reenviar o quadro, utilizando CSMA / CA lógica para esperar o momento apropriado para enviar novamente. Riscos de Segurança sem fio WLANs introduzir uma série de vulnerabilidades que não existem para LANs com fio Ethernet. Ameaças a segurança de WLAN incluem o seguinte: ■ motoristas Guerra: Uma pessoa que dirige ao redor, tentando encontrar APs que não tem segurança ou fraco segurança. ■ Hackers: A motivação para hackers, quer seja para encontrar a informação ou negar serviços. Curiosamente, o objetivo final pode ser comprometer a hosts dentro da rede com fio, usando a rede sem fio como uma maneira de acessar a rede da empresa sem ter que passar por
  • 274.
    Conexões de internetque possuem firewalls. ■ Empregados: Um empregado poderia instalar um ponto de acesso (AP) em seu escritório, usando as configurações padrão sem segurança, e criar uma pequena rede local sem fio. Isto permitiria uma mais fácil acesso de hackers para o resto da empresa. ■ Vampira AP: O atacante captura pacotes na LAN sem fio existente, encontrar o conjunto de serviços identificador (SSID) e rachaduras todas as chaves de segurança utilizado. Em seguida, o atacante pode configurar um AP, que os clientes da empresa sem querer associar. Para reduzir o risco de tais ataques, três principais tipos de ferramentas podem ser usadas em uma WLAN: ■ A autenticação mútua: Um processo que usa uma senha secreta, chamada de chave, em ambos os cliente eo AP. Utilizando alguns algoritmos matemáticos sofisticados, a AP pode confirmar que o cliente realmente sabe o valor correto chave. ■ Encryption: Usa uma chave secreta e uma fórmula matemática para embaralhar o conteúdo do WLAN frame. O dispositivo receptor então usa uma outra fórmula para descriptografar os dados. ■ ferramentas de Intrusão: Inclui sistemas de detecção de intrusão (IDS) e sistemas de prevenção de intrusão (IPS), bem como WLAN ferramentas específicas. Cisco define a rede sem fio- Aware Structured (SWAN) arquitetura. Ele inclui muitas ferramentas, algumas das quais especificamente a questão da detectar e identificar rogue APs, e se representam ameaças. Tabela 10-6 lista as vulnerabilidades chave, junto com a solução geral.
  • 275.
    Padrões de Segurançasem fio O padrão de segurança inicial para WLANs, chamada Wired Equivalent Privacy (WEP), tinha muitos problemas. Os próximos três padrões representam uma progressão, cujo objetivo, em parte, foi para corrigir os problemas criado por WEP. Em ordem cronológica, Cisco primeiro abordou o problema com alguns proprietários soluções. Então a Aliança Wi-Fi ajudou a resolver o problema através da definição de um padrão de indústria. Por fim, o IEEE concluiu os trabalhos em um padrão oficial público, 802.11i. O seguinte é uma breve revisão desses quatro padrões de segurança: ■ WEP: Em 1997, o padrão de segurança original previa autenticação e criptografia, que pode ser facilmente quebrado. Questões principais foram: - Static chaves pré-compartilhadas (PSKs) que a configuração manual necessária, portanto, as pessoas simplesmente deixaram os padrões. - PSK valores eram curtas, com apenas 40 bits única, tornando-os fáceis de crack. ■ Cisco Solução provisória: resposta de propriedade da Cisco para os problemas com WEP saiu em 2001 para fornecer uma solução mais rápida do que a Aliança Wi-Fi ou soluções IEEE prometido. O Resposta Cisco incluídas algumas melhorias para a criptografia proprietária, juntamente com o IEEE
  • 276.
    802.1x padrão paraautenticação do usuário final. As principais características da Cisco aprimoramentos incluídos o seguinte: - Troca de chaves dinâmicas de modo que se uma chave for descoberta, ela é de curta duração - Uma nova chave de criptografia para cada pacote - A autenticação do usuário usando 802.1x em vez da autenticação do dispositivo ■ Wi-Fi Protected Access (WPA): WPA saiu em 2003 e essencialmente faz a mesma coisa como a solução provisória Cisco. WPA inclui a opção de usar troca de chaves dinâmicas, usando o Temporal Key Integrity Protocol (TKIP). Cisco usou uma versão proprietária do TKIP. WPA permite o uso de qualquer autenticação de usuário IEEE 802.1X ou autenticação simples dispositivo utilizando chaves pré-compartilhadas. O algoritmo de criptografia utiliza a verificação de integridade de mensagem (MIC) algoritmo, uma vez mais semelhante ao processo usado na solução Cisco- proprietário. WPA melhorou segurança e, através do programa de certificação Wi-Fi Alliance, deu um incentivo para vendedores ter seus produtos levam o selo de certificação Wi-Fi. ■ 802.11i (WPA2): Em 2005, IEEE 802.11i ratificado, o que inclui troca de chaves dinâmicas, criptografia muito mais forte usando o Advanced Encryption Standard (AES) e autenticação do usuário. 802.11i não é compatível com qualquer solução da Cisco ou WPA. Porque o Wi-Fi Alliance certificação é tão popular e bem conhecido, os produtos são certificados com o 802.11i o rótulo WPA2. Tabela 10-7 resume as principais características dos vários padrões de
  • 277.
    segurança WLAN. 258 31dias antes de seu exame CCNA Dia 9 Configuração e Solução de Problemas Redes sem fios Exame CCNA 640-802 Tópicos ■ Identificar os parâmetros básicos para configurar uma rede sem fio para garantir que os dispositivos se conectem ao ponto de acesso correto. ■ Identificar problemas comuns na implantação de redes sem fio (interface, erros de configuração). Tópicos-chave Pontos de acesso sem fio pode ser configurado através de uma interface de
  • 278.
    linha de comando(CLI), ou mais comumente através de um navegador interface gráfica do usuário (GUI). Estudantes Cisco Networking Academy uso Linksys WRT300N dispositivo multifuncional em um ambiente de laboratório para a prática de configuração básica parâmetros. No entanto, o exame CCNA 640-802 tópicos não incluem a capacidade de configurar wireless dispositivos. Em vez disso, você deve ser capaz de identificar os parâmetros de configuração básica, bem como problemas comuns com implementações wireless. Portanto, o nosso hoje revisão não incluem tarefas de configuração específica com screenshots de um GUI, mas será uma visão geral das implementações sem fio que são aplicáveis a qualquer wireless dispositivo. No entanto, eu recomendo fortemente que você pelo menos práticas de execução alguns dos tecnologias que analisamos no dia 10, "Standards Wireless, Componentes e Segurança." Se você está um Cisco Networking Academy estudante, você também tem acesso ao Packet Tracer, que inclui uma simulação de um WRT300N Linksys. No entanto, você também pode ter sua própria casa router que inclui um ponto de acesso sem fio (AP). Você pode praticar configurar seu roteador sem fio para casa própria com configurações personalizadas, como o Service Set Identifier (SSID), segurança e criptografia. Implementação de um WLAN Parâmetros básicos de ponto de acesso wireless incluem SSID, canal de radiofreqüência (RF) com opcionais poder, e autenticação (segurança), enquanto que parâmetros básicos cliente sem fio incluem apenas a autenticação. Clientes sem fio precisam de menos parâmetros, porque uma placa de interface de rede sem fio (NIC) scans todas as freqüências de rádio disponíveis ao seu alcance para localizar o canal RF (o que significa um IEEE 802.11b / g cartão de scans da faixa de 2,4 GHz e não digitalizar 5 GHz) e geralmente inicia a conexão com uma configuração padrão para descobrir os APs disponíveis. Portanto, por 802.11 design, se você estiver usando autenticação aberta, o resultado é "plug-and-play." Quando a segurança é configurado com chaves pré-compartilhadas (PSKs) para idosos Wired Equivalent Privacy (WEP) ou corrente Wi-Fi Protected De acesso (WPA), lembre-se que a chave deve ser uma correspondência exacta para permitir a conectividade. Cancelar
  • 279.
    Checklist wireless LANImplementação A lista a seguir básicas podem ajudar a orientar a instalação de um WLAN: Passo 1 Verifique se a rede com fio existente. A rede com fio existente deverá estar operacional, incluindo LANs virtuais (VLANs), Dynamic Host Configuration Protocol (DHCP), e serviços de conectividade Internet. Práticas básicas sugerem conectar todos os APs na mesma Extended Service Set (ESS) para mesma VLAN. Por exemplo, na Figura 9-1 cada um dos APs está ligado a um switch porta que pertence à VLAN 2. Uma maneira rápida de testar a rede com fio é conectar um PC para a porta do switch que a AP vai usar. Se o dispositivo adquire o endereçamento IP automaticamente através de DHCP serviços, o rede com fio está pronto para a AP. Passo 2 Instalar e configurar o AP com fio e IP detalhes. O próximo passo é unir a AP para a porta do switch com um cabo straight- through e em seguida, configurar ou verificar a sua conectividade à rede com fio, incluindo IP do AP endereço, máscara e gateway padrão. Apenas como um switch, o endereçamento IP permitirá gerenciamento remoto de um AP, que é um dispositivo da camada 2. Etapa 3 Configurar os detalhes do AP WLAN. A maioria dos APs têm uma capacidade plug-and-play, no entanto, tanto o consumidor da classe e de nível empresarial APs podem ser configurados com uma variedade de parâmetros, incluindo A lista a seguir (os parâmetros de segurança são abordados em Passo 6):
  • 280.
    - Padrão IEEE(a, b, g, ou múltipla) - Wireless canal - SSID, que é um identificador de 32 caracteres de texto para a WLAN - Potência de transmissão Muitos APs hoje apoio múltiplos padrões WLAN. Em alguns casos, eles podem suportar múltiplos normas relativas à AP mesmo, ao mesmo tempo. No entanto, essas implementações de modo misto, particularmente com 802.11b / g, neste AP mesmo, tendem a desacelerar a WLAN. Também note que quando você configurar uma WLAN ESS, cada um dos APs deve ser configurado com o mesmo SSID, que permite o roaming entre APs, mas dentro da mesma WLAN. Passo 4 Instalar e configurar um cliente sem fio. Para ser um cliente WLAN, o dispositivo precisa de um NIC WLAN WLAN que suporta o mesmo padrão como a AP. Normalmente, os clientes por padrão não tem nenhuma segurança ativada. Quando o cliente começa a trabalhar, ele tenta descobrir todos os APs, ouvindo em todas as freqüências canais para os padrões WLAN que suporta por padrão. Por exemplo, se um cliente foram usando a WLAN mostrado na Figura 9-1, com três APs, cada um usando um canal diferente, o cliente pode descobrir todos os APs três. O cliente, então, usar o AP a partir do qual o cliente recebe o sinal mais forte. Além disso, o cliente aprende o SSID do AP, novamente removendo a necessidade de qualquer configuração do cliente. Etapa 5 Verificar que a WLAN funciona a partir do cliente. O cliente sem fio deve ser capaz de acessar os mesmos recursos que o cliente com fio que foi anexado à porta do switch mesmo que o AP anteriormente na etapa 1. Se não, o problema pode ser a localização do AP ou APs. Durante as fases de planejamento, pesquisa de um site deveria ter sido realizado para determinar os melhores locais para APs para garantir a cobertura integral da área de WLAN. Se o cliente não pode se comunicar, verifique o seguinte no em conta o levantamento site: - É a AP, no centro da área em que residem os clientes? - É o direito AP ou cliente ao lado de um monte de metal? - É o AP ou cliente perto de uma fonte de interferência? - É a área AP de cobertura ampla o suficiente para chegar ao cliente? Além da pesquisa do site, a lista a seguir observa alguns outros problemas comuns
  • 281.
    com uma novainstalação: - Certifique-se de que o NIC e AP rádios estão habilitados. Em particular, verifique o interruptor físico, bem como o software de configuração para ativar ou desativar o rádio. - Verifique a AP para garantir que ele tem o firmware mais recente. - Verifique a configuração do AP em particular, o canal de configuração para garantir que ele não usa um canal que se sobrepõe a outros APs na mesma localização. Passo 6 Configurar a segurança sem fio. Depois de ter verificado que o que o cliente pode acessar os recursos wireless sem segurança ativado, é hora de implementar a segurança sem fio. Configurar a segurança sem fio com WPA/WPA2. Use WEP somente se o AP ou cliente wireless não suporta WPA/WPA2. Dia 9 263 Etapa 7 Verificar a WLAN segura. Agora que a segurança está ativada, verifique se o WLAN funciona novamente na presença do recursos de segurança por meio de testes para garantir que o cliente sem fio pode aceder a todos os recursos que poderiam acessar, sem a segurança ativada. Solução de problemas sem fio Se você seguir os passos recomendados para implementar uma rede sem fio, o dividir e conquistar metodologia de resolução de problemas será mais provável isolar o problema da maneira mais eficiente. A seguir estão as causas mais comuns de problemas de configuração: ■ Configurando um SSID definido no cliente que não coincide com o ponto de acesso ■ Configurando métodos de segurança incompatíveis Tanto o cliente sem fio e ponto de acesso devem corresponder para método de autenticação, Extensible Authentication Protocol (EAP) ou PSK, e método de criptografia (Temporal Key Integrity Protocol [TKIP] ou Advanced Encryption Standard [AES]). Outros problemas comuns resultantes inicial RF instalação às vezes pode ser identificado por responder as seguintes perguntas: ■ É o rádio habilitado em ponto de acesso eo cliente para a correta RF (2,4 GHz ISM ou 5 GHz UNII)?
  • 282.
    ■ É umaantena externa ligado e virado na direcção correcta (em linha reta ascendente para dipolo)? ■ A localização da antena muito alta ou muito baixa em relação a clientes sem fio (dentro de 20 pés vertical)? ■ Existem objetos de metal no quarto refletindo RF e causando mau desempenho? ■ O AP o cliente está a tentar chegar a muito grande de uma distância?
  • 283.
    Dia 8 Mitigação deameaças de segurança e Melhor Práticas Exame CCNA 640-802 Tópicos ■ Descrever hoje? S crescentes ameaças de segurança de rede e explicar a necessidade de implementar um política de segurança global para mitigar as ameaças. ■ Explicar os métodos gerais para mitigar as ameaças à segurança comum para dispositivos de rede, hosts, e aplicações. ■ Descrever as funções dos dispositivos de segurança e aplicações comuns. ■ Descrever as práticas de segurança recomendadas incluindo os passos iniciais para proteger dispositivos de rede . Tópicos-chave A segurança é um componente fundamental de todo projeto de rede. Ataques
  • 284.
    que antes exigiamum conhecimento avançado em informática pode agora ser feito com facilidade baixado e disponível gratuitamente ferramentas que qualquer pessoa alfabetizada computador da média pode descobrir como usar. A segurança é claramente uma grande questão, e que requer uma atenção séria. Para efeitos dos tópicos do exame de hoje, o objetivo é rever alguns dos terminologia básica, tipos de questões de segurança, e alguns dos comuns ferramentas utilizadas para mitigar os riscos de segurança. A Importância da Segurança Ataques podem ser lançados de vários locais dentro e fora da organização, como mostrado na Figura 8-1. Como aplicações e-business e Internet continuam a crescer, encontrar o equilíbrio entre ser isolado e estar aberto é fundamental. Além disso, o aumento do comércio móvel e redes sem fio demandas que as soluções de segurança tornam-se perfeitamente integrado, mais transparente e mais flexível. Rede os administradores devem equilibrar cuidadosamente a acessibilidade aos recursos de rede com segurança. Atacante Terminologia Ao longo dos anos, ferramentas de rede de ataque e métodos evoluíram, assim como a terminologia a descrever os indivíduos envolvidos. Alguns dos termos mais comuns são os seguintes: ■ White Hat: Uma pessoa que procura por vulnerabilidades em sistemas ou redes e, em seguida, relatórios essas vulnerabilidades para o sistema? s proprietários para que eles possam ser corrigidos. ■ Hacker: Um termo geral que tem sido historicamente usado para descrever uma programação de computador perito. Mais recentemente, este termo é frequentemente usado de forma negativa para descrever um indivíduo com intenção maliciosa que tenta obter acesso não autorizado aos recursos da rede.
  • 285.
    ■ black hat:Outro termo para as pessoas que usam seu conhecimento de sistemas de computador para invadir sistemas ou redes que não estão autorizados a usar. ■ Cracker: Alguém com intenção maliciosa que tenta obter acesso não autorizado à rede recursos. ■ Phreaker: Um indivíduo que manipula a rede de telefonia para causá-lo para executar uma função que não é permitido, como fazer livre chamadas de longa distância. Spammer ■: Um indivíduo que envia grandes quantidades de mensagens de correio electrónico não solicitadas. ■ Phisher: Usos e-mail ou outros meios para se mascarar como um partido de confiança para que as vítimas são atraídos para fornecer informações confidenciais, como números de cartão de crédito ou senhas. Pensar como um invasor Muitos atacantes utilizam este processo de sete passos para obter informações e iniciar um ataque: Passo 1 Execute análise da pegada (reconhecimento). A página web da empresa pode levar a informação, como os endereços IP dos servidores. a partir de lá, um atacante pode criar uma imagem de perfil da empresa de segurança ou
  • 286.
    "pegada". Passo 2 informaçõesEnumerate. Um atacante pode expandir a pegada pelo tráfego da rede de monitoramento com um pacote sniffer como Wireshark, encontrar informações úteis como números de versão do FTP servidores e servidores de correio. Passo 3 Manipular usuários para obter acesso. Às vezes, os funcionários escolhem senhas que são facilmente atacada. Em outros casos, empregados podem ser enganados por atacantes talentosos em desistir sensíveis relacionados com o acesso informação (engenharia social). Passo 4 Escalate privilégios. Depois de os atacantes ganham acesso básico, eles usam suas habilidades para aumentar seus privilégios de rede. Passo 5 Reúna senhas adicionais e segredos. Com privilégios de acesso melhorado, os atacantes usam seus talentos para ganhar acesso a wellguarded, informações confidenciais. Passo 6 portas traseiras de instalação. Portas traseiras dão ao invasor um caminho para entrar no sistema sem ser detectado. O porta traseira mais comum é aberto a ouvir TCP ou UDP. Passo 7 Leverage o sistema comprometido. Depois de um sistema é comprometido, o invasor usa para ataques estágio em outros hospedeiros na rede. Segurança balanceamento e disponibilidade As organizações devem encontrar um equilíbrio entre duas necessidades importantes: ■ redes Mantendo aberta para suportar os requisitos de negócios em evolução ■ Proteger informações de empresas privadas, pessoais e estratégicos Para atender a essas necessidades, os modelos de segurança de rede seguem uma escala progressiva. Em uma extremidade está "aberta", o que significa que qualquer serviço é permitido a menos que seja expressamente negado. Embora os riscos de segurança são auto-evidentes, existem algumas vantagens de uma rede aberta: ■ Fácil de configurar e administrar. ■ Fácil para usuários finais para acessar recursos de rede. ■ custos de segurança são muito menos. No outro extremo está o sistema de rede mais restritiva, o que significa que os serviços sejam negados por padrão a menos que considere necessário. Embora os benefícios da implementação de um completamente restritivas sistema de rede são evidentes, ela apresenta algumas desvantagens:
  • 287.
    ■ Mais difícilde configurar e administrar. ■ Mais difícil para os usuários finais para acessar recursos. ■ custos de segurança são maiores do que as de uma rede aberta. Desenvolvimento de uma Política de Segurança O primeiro passo de qualquer organização deve tomar para proteger seus dados e se de um desafio a responsabilidade é para desenvolver uma política de segurança. A política de segurança é um conjunto de princípios que orienta a tomada de decisões processos e permite que os líderes em uma organização para distribuir autoridade confiança. Uma política de segurança pode ser tão simples como um breve "Política de Utilização Aceitável" para recursos de rede, ou pode ser várias cem páginas e detalhe todos os elementos de conectividade e políticas associadas. Dia 8 269. Uma política de segurança atende aos seguintes objetivos: ■ Informa usuários, funcionários e gestores das suas obrigações para proteger a tecnologia e informação ativos. ■ Especifica os mecanismos através dos quais esses requisitos podem ser atendidos. ■ Oferece uma linha de base a partir da qual a adquirir, configurar e sistemas de auditoria de computadores e redes para o cumprimento da política. Ameaças à segurança comum Ao discutir a segurança da rede, três fatores comuns são as vulnerabilidades, ameaças e ataques, como descrito nas seções que se seguem. vulnerabilidades Vulnerabilidade é o grau de fraqueza que é inerente a cada rede e dispositivo. ameaças são pessoas que estão interessadas e capazes de tirar proveito de cada falha de segurança. Seguem-se as três categorias principais de vulnerabilidades: ■ fraquezas Tecnológico, incluindo o seguinte: - O conjunto de protocolos TCP / IP - Operação questões de segurança do sistema - Equipamentos de rede fraquezas ■ fraquezas de configuração, incluindo o seguinte: - Inseguros contas de usuário - Sistema de contas com senhas fáceis de adivinhar - Misconfigured serviços de Internet - Inseguros configurações padrão - Equipamentos de rede Misconfigured
  • 288.
    ■ Segurança fraquezaspolíticas, incluindo as seguintes: - Falta de política de segurança por escrito - Política corporativa tornando-o difícil de implementar uma política consistente - Falta de continuidade - Deficiente monitorização e auditoria de segurança - Software e hardware instalações e atualizações que não seguem a política - Plano de recuperação de desastre Nonexistent 270 31 dias antes de seu exame CCNA. Ameaças à infra-estrutura física Um atacante pode negar o uso dos recursos da rede se esses recursos podem ser fisicamente comprometido. As quatro classes de ameaças físicas são as seguintes: ■ ameaças Hardware: roubo ou vandalismo, causando danos físicos aos servidores, roteadores, switches, plantas de cabeamento, e estações de trabalho ■ As ameaças ambientais: temperaturas extremas ou extremos de umidade ■ ameaças Elétrica: picos de tensão, tensão de alimentação insuficiente, poder incondicionado, e total perda de energia Ameaças ■ Manutenção: manuseamento incorrecto dos principais componentes elétricos, falta de reposição crítica peças, cabeamento pobres, pobres e rotulagem Ameaças às redes Crimes que têm implicações para a segurança da rede podem ser agrupadas em duas classes principais de ameaças às redes: ■ ameaças não-estruturados: Consist principalmente de indivíduos inexperientes usando facilmente disponíveis ferramentas de hacking, como scripts shell e biscoitos senha. ■ ameaças Estruturado: Structured ameaças vêm de indivíduos ou grupos que são mais altamente motivados e tecnicamente competente. Essas pessoas sabem vulnerabilidades do sistema e usar sofisticadas técnicas de invasão para penetrar empresas desavisados. Estas duas classes principais de ameaças podem ainda ser classificados da seguinte forma: ■ As ameaças externas: As ameaças externas podem surgir a partir de indivíduos ou organizações que trabalham fora de uma empresa que não têm acesso autorizado aos sistemas de computador ou rede. ■ Ameaças internas: ameaças internas ocorrem quando alguém tem acesso autorizado à rede com qualquer conta de uma ou de acesso físico.
  • 289.
    Tipos de ataquesà rede Vários tipos de ataques podem ser lançados contra uma organização. Existem quatro classes principais de ataques: ■ ataques Reconnaissance: A descoberta não autorizado e mapeamento de sistemas, serviços ou vulnerabilidades usando as ferramentas disponíveis para lançar os seguintes ataques: - Internet consultas de informações: Uso de ferramentas como nslookup e utilitários para facilmente whois determinar o espaço de endereço IP atribuído à organização alvo. - Varre Ping: Depois de espaço de endereço IP é descoberto, o atacante usa um utilitário ping para enviar pings a cada endereço IP no espaço de endereço para determinar quais endereços são aberto. - Verifica Port: O atacante então verifica os endereços IP ativo para ver quais portas estão abertas. - Packet sniffers captura: os atacantes internos podem tentativa de "escutar" na rede tráfego para recolher ou roubar informações. Dia 8 271 ■ Ataques de Acesso: A Entrada OU Acesso Sistemas executando um hum hack, script, OU Ferramenta Que explora UMA vulnerabilidade conhecida do Sistema OU Aplicação Que está offline Sendo Atacado. Ataques Comuns Acesso incluem o seguinte: - Ataques Senha: Senha Ataques geralmente referem si um repetidas tentativas de login de los hum Recurso compartilhado, tal Como hum Servidor OU Roteador, parágrafo identificar UMA Conta de Usuário, Senha, Ambos ou. Estás repetidas tentativas São chamados Ataques de Dicionário OU Força Bruta Ataques. - Exploração Confiança: O Processo de comprometer hum anfitrião confiável e entao usa-lo par Estágio Ataques uma Outros hosts los UMA Rede. - O redirecionamento de Portas: hum Tipo de Confiança Ataque Exploração Opaco EUA UMA Máquina comprometida parágrafo passar o Tráfego atraves de hum firewall Que seriam bloqueados. - Man-in-the-Middle: Um Ataque realizado Por Pessoas Que conseguem POSIÇÃO Entre si Dois hosts legítimos. SE OS atacantes conseguem Entrar los UMA POSIÇÃO Estratégica, enguias podem Roubar Informações, seqüestrar UMA Sessão los Curso Acesso parágrafo ganhar uma Rede Privada Recursos, uma Conduta de negação de Serviço Ataques, CORROMPER OS
  • 290.
    Dados transmitidos, OUintroduzir Novas Informações los sessões de Rede. ■ Denial-of-service (DoS) Ataques: Ataques DoS envolvem o Processamento de hum Sistema indisponíveis Por fisicamente desconectar hum Sistema, travando o Sistema, OU ATÉ Diminuir um velocidade o Ponto Opaco inutilizável é. Alguns Exemplos de Ataques de negação de Serviço incluem o seguinte: - Ping da Morte Ataques: Envio de pacotes de ping Que São Muito fazer Maiores Que o esperado, o Opaco PoDE falhar Sistemas Mais Antigos da Rede. - SYN Flood Ataques: Envio de milhares de Pedidos de UMA Conexão TCP (SYN bit e set) parágrafo hum Servidor Alvo. O Servidor Deixa uma Conexão Aberta, à Espera de hum reconhecimento do atacante, Nunca Que VEM. - Distributed DoS (DDoS): Semelhante AO DoS, Mas com centenas de milhares de UO Pontos de Ataque Que tentam Dominar hum Alvo. ■ Ataques de Códigos maliciosos: O software malicioso inserido PoDE serviços los hum anfitrião parágrafo danificar OU CORROMPER hum Sistema; si replicar, OU Negar o Acesso uma redes, Serviços Sistemas ou. Nomes comuns Este parágrafo Tipo de software São worms, vírus e cavalos de tróia. - Worm: Um verme executa o Código de instala e Cópias de si MESMO NA Memória das Pessoas infectadas Computador, Que Pode, Por SUA Vez, infectar Outros hospedeiros. - Vírus: Um vírus de software malicioso hum Que está offline anexado um Outro Programa parágrafo executar hum FUNÇÃO especial indesejados los UMA Estação de Trabalho. Um virus de normalmente Requer hum mecanismo de entregar, Como hum ARQUIVO zip OU sândalo Outro ARQUIVO executável anexado um hum e-mail. O Elemento-chave Que distingué hum verme de um Computador Partir de hum virus de Computador e de Interação Humana Que um e necessária par facilitar uma PROPAGAÇÃO de hum vírus. - Cavalo de Tróia: difere de hum verme OU virus de apenas los Que o aplicativo inteiro está offline Escrito parágrafo parecer outra Coisa, Quando nd Verdade elementos e UMA Ferramenta de Ataque. 272 31 dias os antes de Seu Exame CCNA Mitigação Técnicas Gerais Cada tipo de ataque à rede apreciação tem técnicas de mitigação que você deve implementar, incluindo sistemas de usuário final, servidores e dispositivos de rede. As seções que seguem descrevem estes técnicas de mitigação em mais detalhes. Host e Segurança do Servidor
  • 291.
    Segurança do hoste baseada em servidor deve ser aplicada a todos os sistemas de rede. Técnicas de mitigação para Estes dispositivos incluem o seguinte: ■ Dispositivo de endurecimento: Novos sistemas normalmente chegam com valores padrão que raramente são seguras o suficiente para aderir à política de segurança. A maioria dos novos sistemas exigem o seguinte out-of-thebox configuração de segurança: - Padrão usernames e senhas devem ser alteradas. - Administrador nível de recursos deve ser restrito àqueles acesso autorizado. - Os serviços desnecessários devem ser desativado ou desinstalado. - Sistema de registro e acompanhamento deve ser configurado. ■ O software antivírus: host Instale um software antivírus para proteger contra ataques conhecidos e certifique-se que é atualizada regularmente. ■ firewalls pessoais: firewalls pessoais são destinados para PCs que se conectam diretamente à Internet sem o benefício de firewalls corporativos. ■ patches do sistema operacional: A maneira mais eficaz para atenuar um worm e suas variantes é baixar atualizações de segurança e patch todos os sistemas vulneráveis. Detecção de Intrusão e Prevenção Sistemas de detecção de intrusão (IDS) detecta ataques contra a rede e enviar logs para uma gestão console. Sistemas de prevenção de intrusão (IPS) prevenir atentados contra a rede. Qualquer tecnologia pode ser implementado no nível de rede ou o nível de host, ou ambos para a máxima proteção. Host-based prevenção de intrusão (HIPS) pára um ataque, evita danos e bloqueia a propagação de worms e vírus. Detecção ativa pode ser configurado para desligar a conexão de rede ou parar serviços afetados automaticamente. Ações corretivas podem ser tomadas imediatamente. A vantagem de HIPS é que ele pode monitorar processos do sistema operacional e proteger críticos do sistema recursos, incluindo arquivos que podem existir apenas no que host específico. Isso significa que ele pode notificar gerentes de rede quando algum processo externo tenta modificar um arquivo de sistema de uma forma que pode incluem um programa de back-door escondido. Appliances de segurança e Aplicações Figura 8-2 mostra uma topologia de rede comum com um firewall. O papel do
  • 292.
    firewall é pararpacotes que o administrador de rede considerada insegura. O firewall principalmente olha para o transporte números de porta camada e os cabeçalhos da camada de aplicação para evitar que determinadas portas e aplicações de recebendo pacotes para a empresa. Dia 8 273 No entanto, uma firewall por si só não é mais adequada para garantir uma rede. Uma abordagem integrada envolvendo um firewall, prevenção contra intrusões e uma rede privada virtual (VPN) podem ser necessários. Uma abordagem integrada para a segurança e os dispositivos necessários para que isso aconteça siga estas construção blocos: ■ Controle de ameaça: Regulamenta o acesso à rede, isola os sistemas infectados, impede intrusões, e protege os ativos mediante a neutralização tráfego malicioso. Cisco dispositivos e aplicações que oferecem soluções de controle de risco incluem o seguinte: - Cisco ASA 5500 Series Adaptive Security Appliances (ASA)
  • 293.
    - Integrated ServicesRouters (ISR) - Network Admission Control (NAC) - Agente de Segurança da Cisco para Desktops - Prevenção de intrusão de sistemas Cisco ■ Seguro comunicações: terminais de rede Protege com uma VPN. Os dispositivos que permitem que um organização para implantar uma VPN são roteadores Cisco ISR com uma solução de VPN Cisco IOS, e os Cisco ASA 5500 e switches Cisco Catalyst 6500. ■ controle de admissão de Rede: Fornece um método baseado em funções de prevenção não autorizada acesso a uma rede. Cisco oferece um aparelho NAC. A política de segurança é o centro em que as quatro etapas da roda de segurança são baseadas: Passo 1 Secure: a rede de Seguros pela aplicação da política de segurança e implementar o seguinte soluções de segurança:
  • 294.
    - Ameaça dedefesa usando o dispositivo de endurecimento técnicas, antivírus e spyware ferramentas. - Sistemas de prevenção de intrusão ativamente parar o tráfego malicioso. - Patch de vulnerabilidade para parar a exploração de vulnerabilidades conhecidas. - Desativar serviços desnecessários. - Inspeção Stateful e filtragem de pacotes. - VPNs para criptografar o tráfego de rede ao atravessar a Internet pública. - Confiança e restrições de identidade. - Autenticação. - Aplicação da Política. Passo 2 Monitor: Monitoramento de segurança envolve métodos ativos e passivos de detectar violações de segurança. Administradores de sistemas devem garantir que todos os hosts sensível e vital na rede estão sendo auditadas. Eles também devem ter o tempo para verificar e interpretar o arquivo de entradas de log. Um benefício adicional de monitoramento de rede é verificar se as medidas de segurança implementadas na Etapa 1 estão funcionando corretamente. Passo 3 teste: Medidas de segurança são testados de forma proativa. Especificamente, a funcionalidade do soluções de segurança implementadas na Etapa 1 e da auditoria do sistema de detecção de intrusão e métodos implementados na Etapa 2 são verificados. Passo 4 Melhorar: Analisar os dados coletados durante as fases de monitoramento e testes a fim para desenvolver e implementar mecanismos de melhoria que aumentam a
  • 295.
    política de segurança eresulta em adicionando itens para a Etapa 1. O ciclo repete agora com o Passo 1.
  • 296.
    Dia 7 Conceitos ACLe configurações Exame CCNA 640-802 Tópicos ■ Descrever a finalidade e os tipos de ACLs. ■ Configurar e aplicar ACLs com base em requisitos de filtragem de rede. ■ Configurar e aplicar uma ACL para limitar o acesso Telnet e SSH para o roteador usando CLI e SDM. Tópicos-chave
  • 297.
    Uma das habilidadesmais importantes que um administrador de rede precisa é de domínio de listas de controle de acesso (ACLs). Os administradores usam ACLs para interromper o tráfego ou permitir apenas o tráfego especificado ao parar todos os outro tráfego em suas redes. ACLs padrão e estendidas podem ser usados para aplicar uma série de recursos de segurança, incluindo a política de roteamento baseado, qualidade de serviço (QoS), Network Address Translation (NAT), e Port Address Translation (PAT). Você também pode configurar ACLs padrão e estendidas em interfaces de roteador para controlar o tipo de tráfego que é permitido através de um roteador dado. Hoje, nós revisamos o propósito e os tipos de ACLs como bem como a configuração e aplicação de ACLs para filtrar o tráfego. Conceitos ACL A operação padrão do roteador é encaminhar todos os pacotes, desde que existe uma rota para o pacote e os link está ativo. ACLs podem ser usadas para implementar um nível básico de segurança. Eles não são, no entanto, o única solução de segurança de uma grande organização gostaria de implementar. Na verdade, aumentar a ACLs latência de roteadores. Então, se a organização é muito grande com roteadores gestão do tráfego de centenas ou milhares de usuários, você mais do que provavelmente vai usar uma combinação de outras implementações de segurança, como um firewall PIX Cisco e serviços de autenticação. Definição de uma ACL
  • 298.
    Uma ACL éum script de configuração do roteador (uma lista de declarações) que controla se um roteador permite ou nega pacotes para passar com base em critérios encontrados no cabeçalho do pacote. Para determinar se um pacote deve ser permitido ou negado, é testado contra as declarações ACL em ordem seqüencial. Quando uma instrução partidas, sem mais declarações são avaliadas. O pacote é permitidos ou negado. Há uma implícita negar qualquer declaração no final da ACL. Se um pacote não corresponde qualquer das declarações no ACL, ele é descartado. ACLs de processamento de Interface ACLs podem ser aplicadas a uma interface para o tráfego de entrada e saída. No entanto, você precisa de um ACL separada para cada direção.
  • 299.
    Para tráfego deentrada, as verificações router para uma ACL de entrada aplicada à interface antes de fazer uma tabela de rotas de pesquisa. Então, para o tráfego de saída, o roteador garante que existe uma rota para o destino antes de verificar para ACLs. Finalmente, se uma declaração resultados ACL em um pacote é descartado, o roteador envia uma mensagem ICMP unreachable destino. Tipos de ACLs ACLs pode ser configurado para filtrar qualquer tipo de tráfego do protocolo de camada de rede, incluindo outros protocolos como o AppleTalk e IPX. Para o exame CCNA, nos concentramos em IPv4 ACLs, que vêm nos seguintes tipos: ■ ACLs Padrão: filtra o tráfego baseado no endereço única fonte
  • 300.
    ■ Extended ACLs:Posso filtrar o tráfego baseado em origem e destino, protocolos específicos, bem como a origem eo destino portas TCP e UDP Você pode usar dois métodos para identificar as ACLs padrão e estendidas: ■ ACLs numeradas usar um número para identificação. ■ Named ACLs use um nome descritivo ou número de identificação. Embora ACLs nomeado deve ser usada com alguns tipos de configurações de IOS que estão além do âmbito dos temas exame CCNA, eles não fornecem dois benefícios básicos: ■ Ao usar um nome descritivo (como BLOCK-HTTP), um administrador de rede pode mais determinar rapidamente o propósito de uma ACL. Isto é particularmente útil ■ Reduza a quantidade de digitação você deve fazer para configurar cada declaração em uma ACL nomeada, como você vai ver na seção "Configurando ACLs nomeados." Ambos ACLs numeradas e nomeadas pode ser configurado tanto para implementações padrão e estendida ACL. ACL Identificação A Tabela 7-1 lista as séries de números diferentes ACL para o protocolo IPv4, bem como alguns protocolos outras. A tabela não é exaustiva. ACLs IP chamado dar-lhe mais flexibilidade no trabalho com as entradas de ACL. Além de usar
  • 301.
    nomes mais memorável,a outra grande vantagem de ACLs nomeados através numeradas ACLs é que você pode excluir instruções individuais em uma lista chamada IP de acesso. Com o Software Cisco IOS 12,3 Release, IP de acesso lista de inscritos seqüência de numeração foi introduzida tanto para ACLs numeradas e nomeadas. IP de acesso lista seqüência de numeração entrada fornece as seguintes benefícios: ■ Você pode editar a ordem das declarações ACL. ■ Você pode remover as declarações individuais de uma ACL. ■ Você pode usar o número de seqüência para inserir novas instruções para o meio da ACL. Números de seqüência são automaticamente adicionados à ACL, se não entrou explicitamente no momento da ACL é criado. Não existe suporte para seqüência de numeração nas versões de software mais cedo do que Cisco IOS Software Lançamento 12,3, portanto, todas as adições ACL para versões anteriores do software são colocada no final da ACL. Diretrizes de design ACL Bem projetado e bem implementada ACLs adicionar um componente de segurança importantes para a sua rede. Siga estes princípios gerais para garantir que as ACLs que você cría tenham os resultados pretendidos: ■ Com base nas condições de teste, escolher uma ACL padrão ou estendido, numeradas, ou nomeado. ■ Apenas um ACL por protocolo, por direção, e por interface é permitido. ■ Organize a ACL para permitir o processamento de cima para baixo. Organize a sua ACL para que o referências mais específicas a uma rede ou sub-rede comparecer perante aqueles que são mais gerais. Condições lugar que ocorrem com maior freqüência antes que as condições que ocorrem com menor freqüência. ■ Todas as ACLs conter uma implícita negar qualquer declaração no final. ■ Criar a ACL antes de aplicá-lo a uma interface. ■ Dependendo de como você aplica a ACL, a ACL filtra o tráfego tanto de passar pelo roteador ou ir de e para o roteador, como o tráfego de ou para as linhas vty. ■ Você normalmente deve colocar ACLs estendido o mais próximo possível da fonte do tráfego que você deseja negar. ACLs padrão porque não especificar endereços de destino, você deve colocar a ACL padrão o mais próximo possível para o destino do tráfego você deseja negar de modo que o fonte pode chegar a redes de intermediários. Configurando ACLs numeradas padrão
  • 302.
    ACLs padrão IPv4,que são numerados ACLs na faixa de 1 a 99 e 1300-1999 ou ACLs nomeadas, filtrar pacotes com base em um endereço de origem e uma máscara, e permitir ou negar toda a Protocolo TCP / IP. Configurando um ACL requer duas etapas: Passo 1 Crie a ACL. Passo 2 Aplique a ACL. Vamos usar a topologia simples mostrado na Figura 7-2 para demonstrar como configurar ambos padrão e ACLs estendidas. Figura 7-2 Configuração ACL Topologia Numeradas padrão ACL: Rede de licença específica Criar uma ACL para evitar o tráfego que não faz parte das redes internas (172.16.0.0/16) de viajar de qualquer uma das interfaces Ethernet. Passo 1 Crie a ACL. Use a lista de acesso comando de configuração global para criar uma entrada em um padrão IPv4 ACL:
  • 303.
    Numeradas padrão ACL:Negar uma sub-rede específica Criar uma ACL para evitar o tráfego que se origina a partir da sub-rede 172.16.4.0/24 de viajar para fora Interface Ethernet E0. Criar e aplicar a ACL com os comandos mostrado no Exemplo 7-2. Esta ACL é projetado para bloquear o tráfego a partir de uma sub-rede específica, 172.16.4.0, e para permitir que todos os outros tráfego a ser encaminhado para fora E0. Numeradas padrão ACL: Negar acesso Telnet ao Router Para controlar o tráfego de entrada e saída do roteador (não através do router), negar o acesso Telnet ao router através da aplicação de uma ACL para os portos vty. Restringir o acesso vty é principalmente uma técnica para aumentar a segurança da rede e definindo quais endereços são permitidos o acesso Telnet para o roteador Processo EXEC. Criar e aplicar a ACL com os comandos mostrado no Exemplo 7-3.
  • 304.
    Configurando Extended ACLsnumeradas Para mais controle de tráfego de filtragem preciso, uso prolongado ACLs IP, que são numerados ACLs no faixa de 100 a 199 e 2000-2699 ou são nomeados ACLs, que verificar a origem eo destino Endereço IP. Além disso, no fim da instrução ACL estendida, você pode especificar o protocolo e opcional TCP ou aplicação UDP para filtrar com mais precisão. Para configurar numeradas estendida IPv4 ACLs em um roteador Cisco, crie uma ACL estendida IP e ativar a ACL em uma interface. Para fins de exame CCNA, a sintaxe do comando estendido ACL é a seguinte:.
  • 305.
    Extended ACL Numerada:Negar FTP a partir de sub-redes Para a rede na Figura 7-2, crie uma ACL para evitar o tráfego FTP originário da sub-rede 172.16.4.0/24 e indo para a sub-rede 172.16.3.0/24 de viajar para fora da interface Ethernet E0. Criar e aplicar a ACL com os comandos mostrado no Exemplo 7-4. Cancelar A negar declarações negar o tráfego FTP a partir de sub-rede 172.16.4.0 a sub-rede 172.16.3.0. a autorização de declaração permite que todos os outros tráfegos IP fora da interface E0. Duas declarações devem ser inseridos para o FTP aplicação porque a porta 20 é usada para estabelecer, manter e encerrar uma sessão de FTP enquanto a porta 21 é usado para a tarefa real de transferência de arquivos. Extended ACL Numerada: Negar Apenas Telnet a partir de sub-rede Criar uma ACL para impedir o tráfego de Telnet que se origina a partir da sub- rede 172.16.4.0/24 de viajar a interface Ethernet E0. Criar e aplicar a ACL com os comandos mostrado no Exemplo 7-5. Configurando ACLs Named O chamado recurso de ACL permite identificar ACLs padrão e estendida com um alfanumérico string (nome) em vez das representações numéricas. Porque você pode excluir entradas individuais com ACLs nomeadas, você pode modificar seu ACL sem ter que excluir e depois reconfigurar o ACL inteira. Com o Cisco IOS Software Lançamento 12.3 e
  • 306.
    mais tarde, vocêpode inserir entradas individuais usando um número de seqüência apropriada. Nomeado Passos padrão ACL e sintaxe A seguir estão os passos e sintaxe usada para criar um padrão chamado ACL: Passo 1 Nome da ACL. A partir de modo de configuração global, use o ip access-list comando nome padrão ao nome do ACL padrão. Nomes ACL são alfanuméricos e deve ser único: Router (config) ip nome padrão lista de acesso Passo 2 Crie a ACL. De modo padrão chamado de configuração ACL, use a permitir ou negar as declarações de especificar uma ou mais condições para determinar se um pacote é transmitido ou caiu. Se você não especificar um número de seqüência, IOS irá incrementar a seqüência número por 10 para cada declaração que você digitar: Router (config-std-NaCl) # [número de seqüência-] {permit | deny} sourcewildcard fonte [log] Passo 3 Aplique a ACL. Ativar o ACL chamada em uma interface com o nome de comando ip access- group: Router (config-if) # ip access-group nome [in | out] Nomeado ACL padrão: Negar um único host de um Dado sub-rede Para a rede mostrada anteriormente na Figura 7-2, crie uma ACL padrão chamado "encrenqueiro" para evitar que o tráfego que se origina a partir do host 172.16.4.13 de viajar para fora da interface Ethernet E0. Criar e aplicar a ACL com os comandos mostrado no Exemplo 7-6.
  • 307.
    Extended Named PassosACL e sintaxe A seguir estão os passos e sintaxe usada para criar uma estendida chamado ACL: Passo 1 Nome da ACL. A partir de modo de configuração global, use o ip access-list comando nome estendido ao nome do ACL estendida: Router (config) nome ipaccess lista estendida Passo 2 Crie a ACL. A partir do modo de configuração chamado ACL estendida, use a permitir ou negar as declarações para especificar uma ou mais condições para determinar se um pacote é transmitido ou descartados: Router (config-ext-NaCl) # [número de seqüência-] {deny |} permitir protocolo fonte curinga-fonte [port operador] destino destino curinga [porto operador] [estabelecido] [log] Passo 3 Aplique a ACL. Ativar o ACL chamada em uma interface com o nome de comando ip access- group: Router (config-if) # ip access-group nome [in | out] Nomeado ACL estendida: Negar um Telnet a partir de uma sub-rede Usando a Figura 7-2 novamente, crie uma ACL estendida nomeada "badgroup" para impedir o tráfego de Telnet que origina-se da sub-rede 172.16.4.0/24 de viajar para fora da interface Ethernet
  • 308.
    E0. Criar eaplicar o ACL com os comandos mostrado no Exemplo 7-7. Adicionando Comentários a ACLs nomeadas ou numeradas Você pode adicionar comentários a ACLs usando o argumento de observação no lugar do permitir ou negar. Observações são afirmações descritivas você pode usar para melhor compreender e solucionar qualquer chamado ou numerada ACLs. Exemplo 7-8 mostra como adicionar um comentário a uma ACL numerada. ACLs complexo ACLs padrão e estendida pode se tornar a base para outros tipos de ACLs que fornecem adicionais funcionalidade. Esses outros tipos de ACLs incluem o seguinte: ■ ACLs dinâmico (lock-and-chave) ■ Reflexive ACLs ■ Time-based ACLs Configuração destes tipos de ACL está além do escopo do exame CCNA, mas você deve pelo menos
  • 309.
    estar familiarizados comos conceitos por trás deles. Você pode rever os conceitos e configurações no seu Recursos estudo. Verificação e solução de problemas ACL implementações Exame CCNA 640-802 Tópicos ■ Verificar e monitorar ACLs em um ambiente de rede. ■ Solucionar problemas ACL. Tópicos-chave Temas de hoje são bastante breve revisão em relação ao de ontem. Isso é para que você possa aproveitar a oportunidade para revisar completamente implementações de ACL, incluindo sua configuração, resolução de problemas, verificação e. Hoje nós revemos os comandos de verificação e olhar para alguns cenários de resolução de problemas possível. ACLs verificação Quando você terminar de configurar uma ACL, use os comandos show para verificar a configuração. usar o show access-lists de comando para exibir o conteúdo de todas as ACLs, como demonstrado no Exemplo 6-1.
  • 310.
    Digitando o nomeou o número de ACL como uma opção para este comando, você pode exibir uma específica ACL. Para exibir apenas o conteúdo de todas as ACLs IP, use o comando show ip access-list. Observe na saída do comando show access-lists no Exemplo 6-1 que os números de seqüência são incrementado de 10 muito provavelmente porque o administrador não introduzir um número de seqüência. também notar que este comando informa quantas vezes IOS tem acompanhado um pacote para uma declaração-25 vezes no caso da declaração em primeiro lugar na ACL chamado ENG. O comando show ip interface exibe informações da interface IP e indica se qualquer IP ACLs são definidas na interface. Na saída de ip comando show interface e0 mostrado no Exemplo 6 - 2, ACL IP 1 foi configurado na interface E0 como uma ACL de entrada. Sem saída IP ACL tem sido configurado na interface E0. Finalmente, você também pode verificar a sua criação e aplicação ACL com o show running-config comando (mostrado no Exemplo 6-3) ou show startup-config
  • 311.
    ACLs solução deproblemas Usando os comandos mostram descrito na seção anterior revela a maioria dos mais comuns ACL erros antes que eles causem problemas na sua rede. Quando você solucionar problemas de uma ACL, verifique- contra as regras que você aprendeu sobre como criar ACLs corretamente. A maioria dos erros ocorrem porque estes regras básicas são ignoradas. Na verdade, os erros mais comuns estão entrando declarações ACL na errada ordem e não aplicação de critérios adequados para suas regras. Vamos olhar para uma série de problemas comuns e suas soluções usando a topologia mostrada na Figura 6-1.
  • 312.
    Problema 1: Hostnão tem conectividade Hospedeiro 192.168.10.10 não tem conectividade com o 192.168.30.12. A lista de acesso mostrado no Exemplo 6-4 é aplicada de entrada para a interface do R3 s0/0/0. Porque ACLs são processadas seqüencialmente até que uma correspondência é feita, o tráfego do host 192.168.10.10 é negado pela primeira afirmação. Declaração 20, que permite hospedar 192.168.10.10, nunca fica processado. A solução é mudar a posição da declaração de 20 de modo que se trata antes da declaração 10. Você pode fazer isso com os comandos mostrados no Exemplo 6-5.
  • 313.
    Primeiro, note queentrou no modo de configuração chamado ACL para editar os números de seqüência para o estendido numeradas ACL. Segundo, nós removemos declaração 20. Finalmente, reaplicado declaração 20 com um número de seqüência novo inferiores 05/10 no exemplo. Aviso do show access-lists de saída que a ordem agora é declaração correta. Hospedeiro 192.168.10.10 será permitida, e todo o tráfego de outros da sub-rede 192.168.10.0/24 serão negados. Problema 2: Protocolos negado A rede 192.168.10.0/24 não pode usar TFTP para se conectar à rede 192.168.30.0/24. o lista de acesso mostrado no Exemplo 6-6 é aplicado para a interface de entrada R1 Fa0 / 0 .. A rede 192.168.10.0/24 não pode usar TFTP para se conectar à rede 192.168.30.0/24, porque TFTP utiliza o protocolo de transporte UDP. Declaração de 30 em lista de acesso 120 permite todo o tráfego TCP outros. Porque TFTP utiliza o UDP, é implicitamente negado. A solução é substituir o tcp permitir que qualquer qualquer declaração com ip permitir que qualquer qualquer, como mostrado no Exemplo 6-7.
  • 314.
    Repare que nósnão tivemos de incluir um número de seqüência para o ip nova autorização qualquer declaração de qualquer porque esta declaração vem no final da lista. IOS irá incrementar automaticamente por 10. Problema 3: Telnet é permitido # 1 A rede 192.168.10.0/24 pode usar Telnet para conectar-se 192.168.30.0/24, mas esta ligação não deve ser permitido. A lista de acesso é mostrado no Exemplo 6-8. A rede 192.168.10.0/24 pode usar Telnet para conectar à rede 192.168.30.0/24, porque Telnet na declaração de 10 de lista de acesso 130 está listado na posição errada. A porta de origem não seria Porta telnet de 23, mas alguma porta escolhidos aleatoriamente numeradas acima de 1024. O número da porta de destino (ou aplicação) deve ser definido como Telnet como mostra a solução para este problema no Exemplo 6-9.
  • 315.
    Problema 4: TelnetÉ admitidos # 2 Hospedeiro 192.168.10.10 pode usar Telnet para conectar-se 192.168.30.12, mas esta ligação não deve ser permitido. A lista de acesso é mostrado no Exemplo 6-10. Host 192.168.10.10 pode usar Telnet para conectar-se 192.168.30.12 porque não há regras negar host 192.168.10.10 ou de sua rede como fonte. Declaração de 10 nega a interface do roteador a partir do qual o tráfego seria partida. No entanto, como pacotes Telnet partir do roteador, eles têm o endereço de origem 192.168.10.10, não o endereço da interface do roteador. Exemplo 6-11 mostra a solução para este problema. Problema 5: É permitido Telnet # 3 Host 192.168.30.12 pode usar Telnet para conectar-se 192.168.10.10, mas esta ligação não deve ser permitido. A lista de acesso mostrado no Exemplo 6-12 é aplicada de entrada para a interface do R3 s0/0/0.
  • 316.
    Host 192.168.30.12 podeusar Telnet para conectar-se 192.168.10.10 por causa da direção em que lista de acesso 150 é aplicada à interface S0/0/0. Declaração de 10 nega o endereço de origem 192.168.30.12, mas esse endereço seria a única fonte se o tráfego de saída na S0/0/0 foram, não de entrada. Exemplo 6-13 mostra a solução para este problema Dia 5 Conceitos NAT, Configuração e
  • 317.
    Solução de problemas ExameCCNA 640-802 Tópicos ■ Explicar o funcionamento básico do NAT. ■ Configurar NAT para os requisitos de determinada rede usando (CLI / SDM). ■ Solucionar problemas de NAT. Tópicos-chave Para lidar com o esgotamento de endereços IPv4, várias soluções de curto prazo foram desenvolvidos. Um curto prazo solução é utilizar endereços privados e Network Address Translation (NAT). NAT permite que no interior hosts da rede para pedir um endereço IP legítimos Internet ao acessar recursos da Internet. Quando o solicitado retorna tráfego, o endereço IP é legítima repurposed e disponíveis para a próxima Internet pedido por um host dentro. Usando NAT, administradores de rede precisam apenas um ou alguns endereços IP para o roteador para fornecer para os anfitriões, ao invés de um único endereço IP para cada cliente aderir à rede. Hoje, nós revisamos os conceitos, configuração e resolução de problemas de NAT. Conceitos NAT NAT, definido na RFC 3022, tem muitos usos. Mas seu uso é fundamental para conservar endereços IP, permitindo que as redes usar endereços IP privados. NAT traduz não roteáveis, privado, endereços internos em roteáveis, endereços públicos. NAT é também um firewall natural. Ele oculta os
  • 318.
    endereços IP deredes externas. Um dispositivo habilitado para NAT normalmente opera na fronteira de uma rede stub. Na Figura 5-1, R2 é o roteador de borda. Em NAT terminologia, a rede interna é o conjunto de redes que estão sujeitas a tradução (a cada rede na região sombreada na Figura 5-1). A rede externa refere-se a todos os outros endereços. Figura 5-2 mostra como fazer referência aos endereços ao configurar NAT. ■ endereço Dentro local: O mais provável é um endereço privado. Na figura, o endereço IP 192.168.10.10 atribuído ao PC1 é um endereço dentro de local. ■ Dentro endereço global: Um endereço válido público que o host dentro é dado quando ele sai do NAT router. Quando o tráfego de PC1 é destinada para o servidor web em 209.165.201.1, R2 deve traduzir o endereço dentro do local para um endereço dentro global, que é 209.165.200.226, neste caso. ■ endereço de Fora global: Um endereço de IP acessível atribuído a um host na Internet. Por exemplo, o servidor web pode ser contatado pelo endereço IP 209.165.201.1. ■ endereço Outside local: O endereço local IP atribuído a um host na rede externa. Na maioria dos situações, este endereço é idêntico ao endereço externo global de que o dispositivo fora. (Fora endereços locais estão fora do escopo da CCNA.) Figura 5-1 Topologia NAT
  • 319.
    Um exemplo deNAT Os passos seguintes ilustram o processo de NAT quando PC1 envia o tráfego para a Internet: 1. PC1 envia um pacote destinado à Internet para R1, o gateway padrão. 2. Encaminha o pacote para R1 R2, como dirigido por sua tabela de roteamento. 3. R2 refere-se a sua tabela de roteamento e identifica o próximo hop como o roteador ISP. Em seguida, verifica a ver se o pacote corresponde aos critérios especificados para a tradução. R2 tem um ACL que identifica
  • 320.
    a rede dedentro como um host válido para a tradução. Portanto, ele traduz um endereço IP dentro de locais endereço para um endereço IP dentro mundial, que neste caso é 209.165.200.226. Ele armazena esta mapeamento dos locais de endereços global na tabela NAT. 4. R2 modifica o pacote com o novo endereço IP de origem (o endereço dentro global) e envia -lo ao roteador do ISP. 5. O pacote finalmente chega ao seu destino, que envia sua resposta para o interior globais endereço 209.165.200.226. 6. Quando as respostas do destino chegar de volta em R2, consulta a tabela NAT para coincidir com a dentro de endereços global para o endereço correto no interior local. R2 em seguida, modifica o pacote com o endereço dentro do local (192.168.10.10) e envia para R1. 7. R1 recebe o pacote e encaminha para PC1. NAT dinâmico e estático Os dois tipos de tradução NAT são as seguintes: ■ NAT dinâmico: Utiliza um pool de endereços públicos e atribui-los em um primeiro a chegar, primeiro a ser servido base. Quando um host com um endereço IP privado pedidos de acesso à Internet, o NAT dinâmico escolhe um endereço IP a partir do conjunto que já não esteja em uso por outro host. ■ NAT estático: Utiliza um mapeamento um-para-um dos endereços locais e globais, e esses mapeamentos permanecem constantes. NAT estática é particularmente útil para servidores web ou hosts que deve ter um Endereço consistente, que é acessível a partir da Internet. Sobrecarga NAT NAT sobrecarga (às vezes chamado Port Address Translation [PAT]) mapas IP múltiplos privados endereços para um único endereço IP público ou alguns endereços. Para fazer isso, cada endereço privado também é rastreados por um número de porta. Quando uma resposta volta do exterior, números de porta para determinar qual cliente o roteador NAT traduz os pacotes. Figura 5-3 e os passos a seguir ilustram o processo de sobrecarga NAT.
  • 321.
    1. PC1 ePC2 enviar pacotes destinados à Internet. 2. Quando os pacotes chegam ao R2, sobrecarga NAT altera o endereço de origem para o interior globais Endereço IP e mantém os números de porta atribuído (1555 e 1331, neste exemplo) para identificar o cliente a partir do qual o pacote foi originado. 3. R2 atualiza sua tabela NAT. Observe as portas atribuídas. R2 em seguida, encaminha os pacotes para o Internet. 4. Quando as respostas do servidor web, R2 usa a porta de origem de destino para traduzir o pacote para o cliente correto. Sobrecarga NAT tenta preservar a porta de origem original. No entanto, se essa porta de origem já está utilizado, sobrecarga NAT atribui o primeiro número de porta disponível a partir do início do grupo de porta apropriada 0-511, 512-1023, ou 1024-65535. Benefícios NAT Os benefícios de usar NAT incluem o seguinte: ■ NAT conserva espaço de endereçamento IP registado porque, com a
  • 322.
    sobrecarga NAT, hostsinternos podem compartilhar um único endereço IP público para todas as comunicações externas. ■ NAT aumenta a flexibilidade de conexões à rede pública. Diversas piscinas, backup piscinas, e balanceamento de carga piscinas podem ser implementadas para garantir uma conexão de rede pública. ■ NAT permite que o regime existente de permanecer apoiando um regime público novo endereçamento. Isto significa que uma organização pode mudar ISPs e não precisa alterar qualquer de suas interior clientes. ■ NAT fornece uma camada de segurança de rede, porque as redes privadas não anunciam seus dentro de endereços locais fora da organização. NAT Limitações As limitações do uso NAT incluem o seguinte: Desempenho ■ é degradada: NAT aumenta os atrasos de comutação porque traduzir cada IP endereço dentro os cabeçalhos dos pacotes leva tempo. ■ funcionalidade End-to-end é degradada: Muitos protocolos de Internet e aplicativos dependem end-to-end funcionalidade, com pacotes sem modificações encaminhadas a partir da origem para o destino. ■ rastreabilidade End-to-end IP está perdido: ele se torna muito mais difícil rastrear os pacotes que sofrer alterações de pacotes inúmeros endereços sobre vários saltos NAT, fazendo resolução de problemas desafiador. ■ Tunneling é mais complicada: usando NAT também complica protocolos de encapsulamento, tais como IPsec, porque NAT modifica valores nos cabeçalhos que interferem com
  • 323.
    a integridade cheques feitopor IPsec e outros protocolos de tunelamento. ■ Serviços podem ser interrompidos: Os serviços que requerem a abertura de conexões TCP do rede externa, ou protocolos de apátridas, tais como aqueles que utilizam UDP, pode ser interrompida. 2. 300 31 dias antes de seu exame CCNA Configurando NAT estática Estática NAT é um mapeamento um-para-um entre um endereço dentro e um endereço externo. NAT estática permite conexões iniciadas por dispositivos externos para dispositivos dentro. Por exemplo, você pode querer mapear um endereço dentro global para um endereço local específico dentro que é atribuído ao seu servidor web. Os passos ea sintaxe para configurar NAT estática são os seguintes: Etapa 1 Configurar a tradução estática de um endereço dentro de locais para um endereço dentro global: Router(config)#ip nat inside source static local-ip global-ip Step 2 Specify the inside interface: Router(config)#interface type number Router(config-if)#ip nat inside Step 3 Specify the outside interface: Router(config)#interface type number Router(config-if)#ip nat outside Figure 5-4 shows a sample static NAT topology.
  • 324.
    Esta configuração estaticamentemapeia o endereço IP dentro de 192.168.10.254 para o endereço externo de 209.165.10.254. Isso permite que hosts externos para acessar o servidor web interno usando o IP público endereço 209.165.10.254. Configurando NAT dinâmico NAT dinâmico IP mapas privados para endereços públicos retirados de um pool de NAT. os passos e sintaxe para configurar o NAT dinâmico são as seguintes:
  • 325.
    Configurando NAT Overload Comumentecom redes domésticas e pequenas empresas e médias empresas, o ISP atribui apenas um
  • 326.
    endereço IP registadopara seu roteador. Portanto, é necessário sobrecarga que um endereço IP para que os clientes dentro de múltiplos pode usá-lo simultaneamente. A configuração é similar à dinâmica NAT, só que em vez de um pool de endereços, a interface palavra-chave é usado para identificar o endereço IP externo. Portanto, nenhuma piscina NAT está definido. o palavra-chave sobrecarga permite a adição do número de porta para a tradução. Exemplo 5-3 mostra como R2 na Figura 5-5 seria configurado para sobrecarregar seu IP registrado endereço na interface serial. Exemplo 5-3 Configurando NAT para Overload Endereço uma interface Você também pode sobrecarregar um pool de NAT de endereços, que podem ser necessárias em organizações que potencialmente ter muitos clientes ao mesmo tempo a necessidade de traduções. Em nosso exemplo anterior, 5-2, NAT é configurado com um pool de 15 endereços (209.165.200.226 a 209.165.200.240). Se, em qualquer dado momento, R2 é traduzir todos os 15 endereços, os pacotes para o cliente 16 será colocado em fila para processamento e, possivelmente, timeout. Para evitar esse problema, adicione a sobrecarga palavra-chave para o comando que se liga a lista de acesso à piscina NAT da seguinte forma:
  • 327.
    Curiosamente, IOS iráutilizar o primeiro endereço IP na piscina, até que se esgote de números de porta disponíveis. Em seguida, ele irá se mover para o próximo endereço IP na piscina. Verificando NAT Suponha que tanto o NAT estáticas e dinâmicas topologias mostradas nas Figuras 5-4 e 5-5 são configurados em R2 com o servidor dentro traduzidos para estaticamente 209.165.200.254 eo NAT-POOL1 configurado com a palavra-chave sobrecarga. Ainda supor que dois clientes no interior de ter ligado para um host remoto. Você pode usar o comando show ip nat traduções para verificar as traduções atuais na tabela NAT R2, como mostrado no Exemplo 5-4. A entrada estática está sempre em cima da mesa. Atualmente, existem duas entradas dinâmicas. Note-se que ambos os dentro clientes receberam o mesmo dentro de endereços global, mas os números de porta são diferentes. O show ip nat comando estatísticas mostrado no Exemplo 5-5 apresenta informações sobre o total número de traduções ativas, os parâmetros de configuração do NAT, quantos endereços estão na piscina, e quantas foram alocados. Exemplo 5-5 Verificando Operações NAT com show ip nat estatísticas Alternativamente, use o comando show run e procure NAT, lista de comandos de acesso, interface, ou
  • 328.
    piscina comandos relacionadoscom os valores exigidos. Examine a saída desses comandos com cuidado para descobrir quaisquer erros. Às vezes é útil para limpar as entradas dinâmicas mais cedo do que o padrão. Isto é especialmente verdadeiro ao testar a configuração do NAT. Para limpar entradas dinâmicas antes do tempo limite expirou, use do clear ip nat translation * comando EXEC privilegiado. Solução de problemas NAT Quando você tem problemas de conectividade IP em um ambiente NAT, muitas vezes é difícil determinar a causa do problema. O primeiro passo para resolver o seu problema é excluir NAT como a causa. Siga estes passos para verificar se NAT está funcionando como esperado: Passo 1 Com base na configuração, definir claramente o que NAT é suposto conseguir. este pode revelar um problema com a configuração. Passo 2 Verifique se traduções corretas existem na tabela de tradução usando o show ip nat traduções de comando. Passo 3 Use os comandos claros e debug para verificar se NAT está funcionando como esperado. verificar para ver se entradas dinâmicas são recriados depois de serem apagadas. Passo 4 comentário em detalhes o que está acontecendo com o pacote, e verificar que os roteadores têm a correta informações de roteamento para encaminhar o pacote. Use o comando debug ip nat para verificar o funcionamento do recurso NAT, exibindo informações sobre todos os pacotes que o router traduz, como mostrado no Exemplo 5-6. Você pode ver que hospedam dentro 192.168.10.10 iniciado o tráfego para o host fora 209.165.201.30 e tem foi traduzido para o endereço 209.165.200.226.
  • 329.
    Ao decodificar asaída de depuração, note que os seguintes símbolos e valores indicam: ■ *: O asterisco ao lado NAT indica que a tradução está ocorrendo no fast- ligado caminho. O primeiro pacote em uma conversa é sempre processo de comutação, que é mais lento. o pacotes restantes percorrer o caminho mais rápido de comutação se uma entrada de cache existe. ■ s =: Refere-se ao endereço IP de origem. ■ abcd-> wxyz: Indica que abcd endereço de origem é traduzida em wxyz ■ d =: Refere-se o endereço IP de destino. ■ [xxxx]: O valor entre parênteses é o número de identificação IP. Esta informação pode ser útil para a depuração, porque permite correlação com traços de outros pacotes de analisadores de protocolo.
  • 330.
    WAN e VPNTechnologies Exame CCNA 640-802 Tópicos ■ Descrever os diferentes métodos para conectar a uma WAN. ■ Descrever a tecnologia VPN (importância, benefícios, papel, impacto, componentes). Tópicos-chave
  • 331.
    Hoje é umarevisão turbilhão de tecnologias WAN, opções de conexão WAN e VPN. Porque esses tópicos do exame são de natureza conceitual, que não requer habilidades de configuração, leia este comentário várias vezes. Se necessário, consulte os recursos do seu estudo para mais uma análise em profundidade. Conceitos de Tecnologia WAN Padrões de acesso WAN tipicamente descrevem ambos os métodos de camada física de entrega e os dados da camada de enlace requisitos, incluindo endereçamento físico, controle de fluxo, e encapsulamento. Os protocolos da camada física descrevem como fornecer conexões elétricas, mecânica, operacional e funcional a um fornecedor de serviços. Os dados protocolos de camada de enlace de definir como os dados são encapsulados e os mecanismos para transferir os quadros resultantes. Uma variedade de tecnologias são usadas, tais como Frame Relay e Asynchronous Transfer Mode (ATM). Alguns destes protocolos usar o mecanismo de enquadramento mesmas como de Alto Nível Data Link Control (HDLC), um padrão ISO, ou um de seus subconjuntos ou variantes. Componentes e Dispositivos WAN Figura 4-1 ilustra a terminologia comumente usada para descrever física conexões WAN. Os componentes WAN mostrado na Figura 4-1 são descritos em maiores
  • 332.
    detalhes na listaa seguir: ■ Customer Premises Equipment (CPE): Os dispositivos localizados nas instalações da WAN assinante. O assinante possui ou aluga o CPE. ■ Data Communications Equipment (DCE): Consiste em dispositivos que colocar dados sobre o local loop. O DCE principalmente fornece uma interface para conectar os assinantes para a nuvem WAN. ■ Data Terminal Equipment (DTE): Os dispositivos de cliente que passar os dados de um cliente rede para o DCE para transmissão através da WAN. ■ lacete local: O cabo de cobre ou fibra que liga o CPE o escritório central (CO) do fornecedor de serviços. O lacete local é às vezes chamado de "última milha". ■ ponto de demarcação: um ponto onde o equipamento do cliente é separado do provedor de serviços equipamento. É o lugar onde a responsabilidade para as mudanças de conexão do cliente ao prestador do serviço. ■ Central de escritório (CO): Uma instalação de provedor de serviço local ou edifício onde os cabos locais apontam para de longo curso, totalmente digital, linhas de fibra óptica de comunicações através de um sistema de interruptores e outros equipamentos.
  • 333.
    WANs usam váriostipos de dispositivos que são específicos para ambientes WAN: ■ Modem: modula e demodula entre os sinais analógico e digital. ■ CSU / DSU: A unidade de serviço de canal (CSU) e uma unidade de serviço de dados (DSU), muitas vezes combinados em uma única peça de equipamento para fornecer o término para o sinal digital e garantir a conexão integridade através da correção de erros e de monitoramento de linha. Ele interpreta quadros da transportadora em quadros que os dispositivos de LAN pode interpretar e vice- versa. ■ servidor de Acesso: Concentrados dial-in e dial-out de comunicação do usuário. Um servidor de acesso pode ter uma mistura de interfaces analógicas e digitais e centenas de apoio simultâneo usuários. ■ WAN switch: Um dispositivo de internetworking multiporta usados em redes
  • 334.
    de operadoras. estesdispositivos tipicamente mudar tráfego, tais como Frame Relay, ATM, X.25 ou e operam na camada de enlace de dados do modelo de referência OSI. Rede telefónica pública comutada (PSTN) muda também pode ser usado dentro da nuvem para o circuito de comutação de conexões, tais como (ISDN) ou dial-up analógico. ■ Router: Fornece internetworking e portas de acesso WAN interface que são utilizados para conectar-se a da rede do provedor de serviço. ■ router Core: Um roteador provedor de serviços que reside no meio ou espinha dorsal da WAN e não na sua periferia. Para cumprir esse papel, um roteador deve ser capaz de suportar múltiplas interfaces de telecomunicações de alta velocidade em uso no núcleo WAN, e deve ser capaz de encaminhar pacotes IP na velocidade máxima em todas as interfaces. O roteador deve suportar também os protocolos de roteamento a ser utilizado no núcleo.
  • 335.
    WAN normas camadafísica A camada física da WAN também descreve a interface entre o DTE e DCE. Um roteador Cisco interface serial é capaz de se conectar a um DSU CSU / que usa qualquer uma das seguintes normas: ■ EIA/TIA-232: Este protocolo permite velocidades de sinal de até 64 kbps em uma de 25 pinos D-conector em curtas distâncias. Foi anteriormente conhecido como RS-232. A ITU-T V.24 especificação é efetivamente o mesmo. ■ EIA/TIA-449/530: Este protocolo é mais rápido (até 2 Mbps) versão do EIA/TIA-232. Ele usa um 36-pin D-conector e é capaz de cabos de grande comprimento. Existem diversas versões. esse padrão é também conhecido como RS-422 e RS-423. ■ V.35: Este é o padrão ITU-T para comunicações síncrona entre um acesso à rede dispositivo e uma rede de pacotes. Originalmente especificado para suportar taxas de dados de 48 kbps, ele agora suporta velocidades de até 2.048 Mbps usando um conector de 34 pinos retangulares. ■ X.21: Este protocolo é um padrão ITU-T para comunicações síncronas digital. Ele usa um 15-pin D-conector.
  • 336.
    ■ EIA/TIA-612/613: (nãomostrado na Figura 4-3) Esta norma descreve a série de alta velocidade Interface (HSSI) protocolo, que permite o acesso a serviços de até 52 Mbps em uma Dconnector de 60 pinos. Observe na Figura 4-3 que a conexão router no topo é o mesmo, independentemente da conexão usado por CSU / DSU. O administrador de rede simplesmente escolhe o cabo correto para o CSU / DSU conexão. 3. 4. Link WAN protocolos de dados Cada tipo de conexão WAN usa um protocolo de camada 2 para encapsular um pacote enquanto ele estiver atravessando a Link WAN. Para garantir que o protocolo de encapsulamento correto é usado, o encapsulamento de camada 2 tipo usado para cada interface do roteador de série deve ser configurado, se diferente do padrão. o escolha de protocolos de encapsulamento depende da tecnologia WAN e os equipamentos. o mais comuns protocolos de enlace de dados WAN são as seguintes:
  • 337.
    ■ HDLC (padrãoCisco) ■ Point-to-Point Protocol (PPP) ■ Frame Relay ■ Asynchronous Transfer Mode (ATM) WAN Switching Redes WAN comutada são categorizados como de comutação de circuitos ou comutação por pacotes. A circuitswitched rede é aquela que estabelece um circuito dedicado (ou canal) entre os nós e terminais antes que os usuários podem se comunicar. Embora o circuito é dedicado para a duração do chamada, a ligação física é social por vários usuários finais através de um processo chamado de time-division multiplexing (TDM). TDM dá a cada conversa uma parte da conexão de cada vez e garante que um fixa capacidade de conexão é disponibilizado para o assinante. PSTN e ISDN são dois tipos de comutação de circuitos tecnologia que pode ser usada para implementar uma WAN em um ambiente corporativo. Em contraste com a comutação de circuitos, comutação de pacotes de dados de tráfego se divide em pacotes que são encaminhadas através uma rede compartilhada. Redes de comutação de pacotes não necessitam de um circuito a ser estabelecido, e eles permitir que muitos pares de usuários finais para se comunicar através do mesmo canal. Os comutadores em um de comutação por pacotes rede utilize um dos métodos a seguir para determinar que ligam o pacote deve ser enviado em seguida, das informações de endereçamento em cada pacote: ■ sistemas sem conexão, tais como a Internet, carregam informações de endereçamento completa em cada pacote. Cada switch de pacotes ou roteador deve avaliar o endereço IP de destino para determinar para onde enviar o pacote. ■ Conexão sistemas orientados a predeterminar rota que um pacote, e cada
  • 338.
    pacote só temde realizar um identificador, como o Data Link Connection Identifiers (DLCIs) em Frame Relay. Redes comutadas por pacotes pode estabelecer rotas através dos interruptores para determinado fim-de-final conexões. Estas rotas são chamados de circuitos virtuais (VCs). A VC é um circuito lógico entre duas redes dispositivos para ajudar a garantir comunicações confiáveis. Dois tipos de VCs existem: ■ circuito virtual permanente (PVC): Um circuito permanentemente estabelecido virtual que consiste em um modo de transferência de dados. PVCs são usados em situações em que a transferência de dados entre dispositivos é constante. ■ Circuito virtual comutado (SVC): A VC que é dinamicamente estabelecida sob demanda e encerrado quando a transmissão é completa. Comunicação através de uma SVC consiste em três fases: estabelecimento de circuito, a transferência de dados, e terminação de circuito. SVCs são usados em situações em qual a transmissão de dados entre dispositivos é intermitente, em grande parte para economizar custos. Opções de Conexão WAN Muitas opções para implementação de soluções WAN atualmente disponíveis. Eles diferem em tecnologia, velocidade e custo. Figura 4-4 fornece uma visão de alto nível da conexão de vários links WAN opções, e as seções que seguem descrevem essas opções em mais detalhes. Figura 4-4 Ligação WAN Opções de link
  • 339.
    Linhas alugadas sãogeralmente mais caros que os serviços comutados por causa do dedicado ", sempre em "custo da prestação de serviços WAN para o cliente. A capacidade dedicada remove a latência e jitter e fornece uma camada de segurança porque o tráfego apenas o cliente é permitido no link. Tabela 4-1 lista as linhas alugadas disponíveis e seus tipos de taxa de bits capacidades. Circuit-Switched Opções de Conexão Os dois tipos principais de comutação de circuitos conexões dial-up são analógicas e ISDN. analógico Dialup Analógico usando dialup modems e linhas telefônicas é uma solução ideal de
  • 340.
    conexão WAN queintermitente, transferências de baixo volume de dados são necessários. Figura 4-6 mostra uma conexão dial-up analógico típico. Estes relativamente conexões de baixa velocidade dialup são suficientes para a troca de números de vendas, preços, relatórios de rotina, e-mail. Usando dialup automática à noite ou nos finais de semana para arquivos grandes transferências e backup de dados pode tirar vantagem de menor off-peak tarifas (taxa da linha). as vantagens de modem e linhas analógicas são a simplicidade, disponibilidade e baixo custo de implementação. as desvantagens são as taxas de dados de baixo e um tempo de conexão relativamente longo. ISDN ISDN voltas ao lacete local em uma conexão digital TDM, o que lhe permite transportar sinais digitais que resultam em maior capacidade de comutação de ligações. A conexão de 64 kbps usa portador (B) canais para transportar voz ou dados e uma sinalização, canal delta (D) para configuração de chamadas e outros fins. Existem dois tipos de interfaces ISDN: ■ Interface de Taxa Básica (BRI): Fornece dois de 64 kbps B canais para a transferência de voz ou de dados e um adolescente de 16 kbps canal D utilizado para sinalização de controle. ■ Interface de Taxa Primária (PRI): Oferece 23 canais B com 64 kbps e um canal D com 64 kbps na América do Norte, para uma taxa de bits total de até 1,544 Mbps. Europa usa 30 B canais e um canal D, para uma taxa de bits total de até 2,048 Mbps. Figura 4-7 ilustra as várias diferenças entre linhas ISDN BRI e PRI. Packet Switched-Opções de Conexão
  • 341.
    Os mais comunsde comutação de pacotes tecnologias utilizadas em WANs corporativas atuais incluem legado X.25, Frame Relay e ATM. X.25 X.25 é um legado de protocolo de camada de rede. SVCs são estabelecidos através da rede para intermitentes uso de aplicativos como leitores de ponto-de-venda do cartão. X.25 redes variam de 2.400 bps até 2 Mbps e agora estão em declínio dramático, sendo substituído por novas tecnologias como Frame Relay, ATM, e DSL. Frame Relay Figura 4-8 mostra uma rede de retransmissão simplificado Frame
  • 342.
    Frame Relay X.25difere de várias maneiras. Mais importante, ele é um protocolo muito mais simples, estritamente operacional na camada 2, enquanto X.25 fornece adicionalmente Layer 3 serviços. Ao contrário X.25, Frame Relay implementa nenhum erro ou controle de fluxo. O manuseio
  • 343.
    simplificado de quadrosleva a redução de latência, e as medidas tomadas para evitar o acúmulo de quadro de interruptores intermediários ajudam a reduzir jitter. Frame Relay oferece taxas de dados até 4 Mbps, com alguns provedores que oferecem taxas ainda mais elevadas. VCs Frame Relay são identificados exclusivamente por um DLCI, o que garante a comunicação bidirecional de um dispositivo DTE para outro. A maioria das conexões Frame Relay são PVCs e não SVCs. ATM é baseado em uma arquitetura baseada em células, em vez de em uma arquitetura baseada em quadros. As células ATM são sempre um comprimento fixo de 53 bytes. A célula ATM contém um cabeçalho ATM de 5 bytes seguido por 48 bytes de payload ATM. Pequenos, células de tamanho fixo são bem adaptados para o transporte de tráfego de voz e vídeo, porque este tráfego é intolerante de atraso. Vídeo e tráfego de voz não tem que esperar por uma maior pacote de dados a ser transmitido. Embora ATM é menos eficiente que Frame Relay por causa de seus 5 byte por sobrecarga celular, que oferece velocidades de conexão de T1/E1 para OC-12 (622 Mbps) e superior. Opções de conexão Internet Opções de conexão de banda larga normalmente são usados para conectar funcionários telecommuting a um site corporativo através da Internet. Essas opções incluem DSL, cabo, wireless, e Metro Ethernet.
  • 344.
    DSL Tecnologia DSL, mostradona Figura 4-10, é uma tecnologia de conexão always-on que usa existentes par trançado de linhas telefônicas para o transporte de alta largura de banda de dados e fornece serviços IP para assinantes. Tecnologias atuais DSL uso de codificação sofisticada e técnicas de modulação para obtenção de dados taxas de até 8,192 Mbps. A variedade de tipos de DSL, padrões e tecnologias emergentes existe. DSL é agora uma escolha popular para a empresa os departamentos de TI para apoiar os trabalhadores para casa. Geralmente, um assinante não pode escolher para se conectar a uma rede corporativa diretamente. Cable Modem Cable modems fornecer uma conexão always-on e uma instalação simples. Figura 4-11 mostra como um assinante liga um roteador computador ou LAN para o modem a cabo, o que traduz o digital sinais em freqüências de banda larga usada para a transmissão em uma rede de televisão a cabo. Figura 4-11 Teleworker conexão Cable Modem
  • 345.
    banda larga semfio Até recentemente, a principal limitação de acesso sem fio foi a necessidade de estar dentro do alcance de um roteador sem fio ou um modem sem fio que tem uma conexão com fio à Internet. O novo seguintes desenvolvimentos na tecnologia de banda larga sem fio estão mudando essa situação: ■ Municipal Wi-Fi: Muitas cidades começaram a criação de redes sem fio municipal. alguns dos essas redes oferecem acesso de alta velocidade à Internet para livre ou para substancialmente menos do que o preço dos serviços de banda larga. ■ WiMAX: Worldwide Interoperability for Microwave Access (WiMAX) é uma nova IEEE 802,16 tecnologia que está apenas começando a entrar em uso. Ele fornece serviço de alta velocidade de banda larga com acesso wireless e oferece ampla cobertura como uma rede de telefonia celular, em vez de através de pequena Wi-Fi hotspots. ■ Internet por satélite: Normalmente usado por usuários rurais onde o cabo eo DSL não estão disponíveis. metro Ethernet Metro Ethernet utiliza chaves IP-aware Ethernet na nuvem do prestador de serviços de rede para oferecer empresas convergentes de voz, dados e serviços de vídeo a velocidades Ethernet. Alguns benefícios do Metro Ethernet incluem o seguinte: ■ Redução de despesas e administração: permite que as empresas de forma barata conectar vários locais em uma área metropolitana uns aos outros e à Internet sem a necessidade de caros conversões para ATM ou Frame Relay. ■ Fácil integração com as redes existentes: Conecta facilmente para LANs
  • 346.
    Ethernet existentes. ■ aprodutividade dos negócios aprimorada: Metro Ethernet permite às empresas aproveitar de melhoria de produtividade aplicações IP que são difíceis de implementar em TDM ou Frame Relay redes, tais como comunicações IP hospedado, VoIP e streaming e vídeo broadcast. Escolhendo uma opção de ligação WAN Tabela 4-2 compara as vantagens e desvantagens das várias opções de conexão WAN revista. VPN Tecnologia Uma rede privada virtual (VPN) é uma conexão criptografada entre redes privadas ao longo de um público rede como a Internet. Em vez de usar um dedicado Layer 2 de conexão, como um alugadas
  • 347.
    linha, uma VPNusa conexões virtuais chamados túneis VPN, que são encaminhadas através da Internet da rede privada da empresa para o local remoto ou host do empregado. Benefícios VPN Benefícios de VPN incluem o seguinte: Poupança ■ Custo: Elimina a necessidade de caros dedicados links WAN e bancos de modem. ■ Segurança: usa criptografia avançada e protocolos de autenticação que proteger os dados de não-autorizado acesso. Escalabilidade ■: Pode-se adicionar grandes quantidades de capacidade de infra-estrutura sem adicionar significativo. ■ Compatibilidade com tecnologia de banda larga: suportados pelos prestadores de serviços de banda larga para trabalhadores móveis e teletrabalhadores podem tirar proveito de sua casa Internet de alta velocidade serviço para acessar suas redes corporativas. Tipos de acesso VPN Dois tipos de acesso VPN existem: ■ Site-to-site VPNs: Conecte redes inteiras entre si. Por exemplo, eles podem se conectar uma rede de filiais a uma rede sede da empresa, como mostrado na Figura 4-12. cada site está equipado com um gateway VPN, como um roteador, firewall, VPN concentrador, ou de segurança aparelho. Na figura, uma filial remota usa uma VPN site-to-site para conectar- se com a sede social.
  • 348.
    ■ VPNs deacesso remoto: O acesso remoto VPNs permitem hosts individuais, tais como teletrabalhadores, usuários móveis, e os consumidores extranet, para acessar uma rede corporativa com segurança pela Internet, como mostrado na Figura 4-13. Cada host tem tipicamente VPN cliente software carregado ou usa um cliente baseado na web.
  • 349.
    VPN Componentes Figura 4-14ilustra uma topologia VPN típica. Componentes necessários para estabelecer esta VPN incluem o seguinte: ■ Uma rede corporativa existente com servidores e estações de trabalho ■ Uma conexão à Internet ■ gateways VPN, tais como roteadores, firewalls, concentradores VPN, e ASA, que agem como terminais estabelecer, gerenciar e controlar as conexões VPN ■ software apropriado para criar e gerenciar túneis VPN Figura 4-14 Componentes VPN Estabelecer conexões VPN seguras VPNs seguras de dados através do encapsulamento e criptografá-los. Em relação a VPNs, encapsulamento e de criptografia são definidos como segue: ■ Encapsulamento também é chamado de túnel, porque encapsulamento transmite dados de forma transparente da rede de origem à rede de destino através de uma infra-estrutura de rede compartilhada. ■ códigos de criptografia de dados em um formato diferente usando uma chave secreta, que é então utilizado na outro lado da conexão para descriptografar. Cancelar VPN Tunneling Tunelamento usa três classes de protocolos:
  • 350.
    ■ protocolo Carrier:O protocolo através do qual a informação viaja (Frame Relay, ATM, MPLS). ■ Encapsulating protocolo: O protocolo que é enrolado em torno dos dados originais (GRE, IPSec, L2F, PPTP, L2TP). ■ protocolo de Passageiros: O protocolo através do qual os dados originais foi realizada (IPX, AppleTalk, IPv4, IPv6). Figura 4-15 ilustra uma mensagem de email que viajam através da Internet através de uma conexão VPN. Figura 4-15 encapsulamento de pacotes em um túnel VPN. Algoritmos de criptografia VPN O grau de segurança oferecido por qualquer algoritmo de criptografia depende do comprimento da chave. alguns dos os algoritmos de criptografia mais comuns eo tamanho das chaves que eles usam são as seguintes: ■ Data Encryption Standard (DES) algoritmo: Usa uma chave de 56 bits, garantindo alto desempenho criptografia. DES é um sistema de encriptação de chave simétrica. ■ algoritmo Triple DES (3DES): Uma nova variante do DES que criptografa com uma chave, decifra com uma chave diferente, e em seguida, criptografa uma última vez com outra tecla. ■ Advanced Encryption Standard (AES): AES fornece maior segurança do que DES e é computacionalmente mais eficiente do que 3DES. AES oferece três tamanhos de chave: 128 -, 192 - e 256 - chaves bit. ■ Rivest, Shamir e Adleman (RSA): Um sistema de criptografia de chave assimétrica. As teclas de usar um pouco comprimento de 512, 768, 1024, ou maior. Criptografia simétrica é quando a chave de criptografia e chave de
  • 351.
    decodificação são osmesmos. com assimétrica criptografia, que são diferentes. hashes As VPNs utilizam um código de autenticação com chave de hash mensagem (HMAC) integridade de dados algoritmo para garantir a integridade de uma mensagem e autenticidade sem o uso de mecanismos adicionais. A segurança criptográfica do HMAC depende da força de criptografia do subjacente função hash, sobre o tamanho da chave e de qualidade, eo tamanho do comprimento de saída de hash em bits. os dois algoritmos são comuns HMAC ■ Message Digest 5 (MD5): Usa um 128-bit chave secreta compartilhada. ■ Secure Hash Algorithm 1 (SHA-1): Usa uma chave de 160 bits secreta. Figura 4-16 mostra um exemplo usando MD5 como algoritmo HMAC. Figura 4-16 Criando e Verificando um Message Digest
  • 352.
    Um HMAC temdois parâmetros: a mensagem de entrada e uma chave secreta compartilhada conhecida apenas para a mensagem originador e receptores pretendidos. Na Figura 4-16, ambos R1 e R2 conhecer a chave secreta compartilhada. O processo na Figura 4-16 usa as seguintes etapas: 1. R1 usa MD5 para executar a função hash, que gera um valor hash. Este valor de hash é então anexada à mensagem original e enviado para R2. 2. R2 o remove o valor hash da mensagem original, executa a operação mesmo hash, e em seguida, compara seu valor de hash com o valor de hash enviado pelo R1.
  • 353.
    Se os doishashes corresponderem, o integridade dos dados não foi comprometida. VPN Autenticação O dispositivo na outra extremidade do túnel VPN devem ser autenticados antes da comunicação caminho é considerado seguro. Os dois métodos de autenticação de pares são os seguintes: ■ chave pré-compartilhada (PSK): Uma chave secreta é compartilhada entre as duas partes usando um canal seguro antes ele precisa ser usado. ■ assinatura RSA: Usa a troca de certificados digitais para autenticar os pares. Protocolos de segurança IPsec IPsec explicita as mensagens necessárias para proteger as comunicações VPN mas depende existentes algoritmos. Os dois principais protocolos IPsec quadro são os seguintes: ■ Authentication Header (AH): Usado em sigilo, não é exigido ou permitido. AH fornece autenticação e integridade dos dados para pacotes IP passou entre dois sistemas. Ele verifica os criadores de todas as mensagens e que qualquer mensagem passada não foi modificada durante a trânsito. AH não fornece confidencialidade de dados (criptografia) de pacotes. Usado sozinho, o Protocolo AH fornece proteção fraca. Conseqüentemente, ele é usado com o protocolo ESP para fornecer criptografia de dados e recursos de tamper-aware de segurança. ■ encapsular Security Payload (ESP): Fornece confidencialidade e autenticação por criptografar o pacote IP. Embora a criptografia e autenticação são opcionais no ESP, em mínimo, um deles deve ser selecionado. IPsec depende de algoritmos existentes para implementar a criptografia, autenticação e troca de chaves.
  • 354.
    Figura 4-17 mostracomo IPsec está estruturado. IPsec fornece a estrutura, eo administrador escolhe os algoritmos usados para implementar a serviços de segurança nesse âmbito. Figura 4-17 ilustra como, o administrador deve preencher o IPsec quatro praças quadro: ■ Escolha um protocolo IPsec. ■ Escolha o algoritmo de criptografia que é apropriado para o nível desejado de segurança. ■ Escolha de um algoritmo de autenticação para assegurar a integridade dos dados. ■ O último quadrado é o Diffie-Hellman algoritmo (DH), que estabelece a partilha de informações-chave entre pares. Escolher qual grupo a utilizar-DH1, DH2, ou DH5. Dia 4 325
  • 355.
    dia 3 PPP deconfiguração e Solução de problemas Exame CCNA 640-802 Tópicos ■ Configurar e verificar uma conexão WAN básica serial. ■ Configurar e verificar uma conexão PPP entre roteadores Cisco. Tópicos-chave Hoje fazemos uma revisão de configuração básica WAN serial e verificação com tanto link de dados de alto nível Control (HDLC) e Point-to-Point Protocol (PPP). HDLC é importante por duas razões: ■ É a base fundamental da maioria protocolo WAN todos os outros, incluindo PPP e Frame Relay. ■ A versão da Cisco HDLC é o encapsulamento padrão para interfaces seriais
  • 356.
    síncronas em Routers Cisco. PPPé suportado apenas em aproximadamente qualquer hardware que você escolher para conectar-se. Além disso, oferece uma PPP pacote de benefícios adicionais que podem seduzi-lo para usá-lo em vez de HDLC, mesmo em um ambiente com todos os routers Cisco. HDLC Alto Nível Data Link Control (HDLC) usa transmissão serial síncrona para fornecer livre de erros comunicação entre dois pontos. HDLC define uma camada de estrutura de enquadramento 2, que permite a controle de fluxo e controle de erro por meio do uso de confirmações. Cada quadro tem o mesmo formato, se é um quadro de dados ou um quadro de controle. HDLC é a configuração padrão no Cisco síncrona interfaces seriais. encapsulamento HDLC Embora Cisco HDLC (também chamado cHDLC) é proprietário, Cisco permitiu rede muitos outros fornecedores de equipamentos para implementá-lo. Frames HDLC Cisco conter um campo para identificar a rede protocolo a ser encapsulado. Figura 3-1 compara padrão HDLC a Cisco HDLC.
  • 357.
    5. As descriçõesa seguir resumem os campos ilustrados na figura: ■ Bandeira: O quadro começa e termina sempre com uma bandeira de 8 bits com o padrão 01111110. quando frames são transmitidos consecutivamente, a bandeira final do primeiro quadro é usado como bandeira de início de o próximo quadro. ■ Endereço: No ponto-a-ponto ligações HDLC, este campo está vazio. ■ Controle: O campo de controle utiliza três formatos, dependendo do tipo de quadro HDLC utilizados: - Informação de quadro (I): I-frames carregam informações da camada superior e algumas informações de controle. - Frame (S) Supervisão: S-frames fornecer informações e controle são seqüenciados. - Frame (U) não numerados: U-frames fins de controle de apoio e não são seqüenciados. ■ Protocol (utilizado apenas em Cisco HDLC): Este campo especifica o tipo de protocolo encapsulado dentro do quadro (como 0x0800 para IP). ■ Dados: um campo de comprimento variável que contém pacotes Layer 3. ■ Frame Check Sequence (FCS): Normalmente, uma verificação de
  • 358.
    redundância cíclica (CRC)usado pelo receptor para verificar se há erros. Configurando HDLC Por padrão, você usa Cisco HDLC como um protocolo ponto-a-ponto sobre as linhas alugadas entre dois Cisco dispositivos. Se você se conectar a um dispositivo não-Cisco que não suporta Cisco HDLC, use síncrona PPP. Se o método de encapsulamento padrão foi alterado, use o comando HDLC encapsulamento para reativar HDLC como mostra a seguinte configuração: Verificando HDLC Quando configurado ou na configuração padrão, "HDLC Encapsulation" deve ser reflectida no comando saída do comando show interfaces, como mostrado no Exemplo 3-1. HDLC Exemplo 3-1 Verificando com interfaces mostram Conceitos PPP PPP fornece várias funções básicas, mas importantes, que são úteis em uma linha dedicada que conecta dois dispositivos, como revista à lista a seguir:
  • 359.
    ■ Definição deum cabeçalho e um trailer que permite a entrega de um quadro de dados sobre o link ■ Suporte para ligações síncronas e assíncronas ■ Um campo de tipo de protocolo no cabeçalho, permitindo que múltiplos protocolos da Camada 3 para passar sobre o mesmo link ■ Built-in ferramentas de autenticação: Password Authentication Protocol (PAP) e Challenge Handshake Authentication Protocol (CHAP) ■ protocolos de controle para cada protocolo de camada superior que cavalga sobre PPP, permitindo uma fácil integração e apoio desses protocolos O formato do quadro PPP Uma das características mais importantes incluídas no padrão PPP é o campo de protocolo padronizado, que identifica o tipo de pacote dentro do quadro. Observe na Figura 3-2 que o PPP foi construído em cima o quadro HDLC. O quadro HDLC mostrado é o formato Cisco. PPP define um conjunto de Layer 2 mensagens de controle que executam várias funções de controle de link. estes funções de controle se dividem em duas categorias principais: ■ Aqueles necessários independentemente do protocolo de camada 3 enviados através do link ■ Aqueles específicos para cada protocolo de camada 3 A ligação PPP Control Protocol (LCP) implementa as funções de controle que funcionam da mesma, independentemente do protocolo de camada 3.
  • 360.
    Para recursos relacionadosa quaisquer protocolos de camada superior, geralmente protocolos da Camada 3, PPP utiliza uma série de PPP controle de protocolos (CP), como o IP Control Protocol (IPCP). PPP usa uma instância da LCP por link, e uma CP para cada protocolo de camada 3 definida no link. Por exemplo, em um link PPP usando IPv4, IPv6, e Cisco Discovery Protocol (CDP), no link utiliza uma instância da LCP, mais IPCP (para IPv4), IPv6CP (para IPv6), e CDPCP (para CDP). Comumente na literatura, você vai ver esses referidos coletivamente como protocolos de rede Controle (PCN).
  • 361.
    6. Detecção deligação em loop LCP avisos looped ligações rapidamente, usando um recurso chamado números mágicos. Mensagens PPP LCP incluem um número mágico, que é diferente em cada roteador. Se uma linha for repetido (como durante o teste por um Telco técnico), o roteador recebe uma mensagem de LCP com o seu número mágico própria em vez de ficar uma mensagem com o número mágico do outro router. PPP ajuda o router reconhecer um link em loop rapidamente para que ele possa derrubar a interface e, possivelmente, usar uma rota alternativa. Se o roteador pode logo perceberá que o link está em loop, ele pode colocar a interface em um "para baixo e para baixo" status e os protocolos de roteamento podem mudar suas atualizações de roteamento baseado no fato de que o link está em baixo. Detecção de erro melhorada Quando uma rede possui links redundantes, você pode usar PPP para monitorar a frequência com que quadros são recebidos com erro. Após a taxa de erro configurado foi excedido, PPP pode derrubar a interface, permitindo que os protocolos de roteamento instalar uma rota melhor backup. PPP LCP analisa o erro as taxas em um link utilizando um recurso chamado PPP Monitoramento da qualidade da ligação (LQM). PPP Multilink Em uma configuração redundante entre dois roteadores, roteadores usam o balanceamento de carga de camada 3 alternando tráfego entre os dois links, que nem sempre resulta em compartilhar verdadeiramente equilibrada do tráfego. Multilink PPP carga equilibra o tráfego igualmente sobre as ligações ao mesmo
  • 362.
    tempo permitindo quea camada 3 lógica em cada router para tratar as ligações paralela como um único link. Quando encapsular um pacote, o pacote PPP fragmentos em quadros menores, o envio de um fragmento sobre cada link. Multilink PPP permite o encaminhamento de camada 3 tabelas para usar uma única rota que se refere às ligações combinado, mantendo a tabela de roteamento de menor dimensão. PPP autenticação PAP e CHAP autenticar os pontos finais em cada extremidade de um link ponto-a-ponto seriais. CHAP é o método preferido hoje, porque o processo de identificação utiliza valores ocultos com uma mensagem Digest 5 (MD5) one-way hash, que é mais seguro do que as senhas em texto claro enviado pelo PAP. A Figura 3-3 mostra os diferentes processos utilizados por PAP e CHAP. Com PAP, username e senha são enviados na primeira mensagem. Com CHAP, o protocolo começa com uma mensagem chamada desafio, que pede a outro roteador para enviar o seu nome de usuário e senha
  • 363.
    PAP é menosseguro que o PAP CHAP porque envia o hostname ea senha em texto claro na mensagem. CHAP vez disso, usa um algoritmo de hash unidirecional, com entrada para o algoritmo ser um senha que jamais cruza o link, mais um número aleatório compartilhada. O desafio CHAP afirma o número aleatório; ambos os roteadores são pré-configurados com a senha. O roteador desafiou corre o algoritmo de hash usando o número de recém-aprendidas aleatórias e a senha secreta e envia o resultados de volta para o roteador que enviou o desafio. O roteador que enviou o desafio é executado o mesmo algoritmo usando o número aleatório (enviada através do link) ea senha não (enviados através da link). Se os resultados corresponderem, as senhas devem ser iguais. Com o número aleatório, o valor de hash é cada vez diferentes.
  • 364.
    básicos PPP Configurando oPPP exige apenas o encapsulamento de comando ppp nas duas pontas do link. Exemplo 3-2 mostra uma configuração simples usando os dois roteadores mostrado na Figura 3-4.
  • 365.
    O comando showinterfaces na parte inferior do exemplo mostra a saída normal quando o link é para cima e de trabalho. Algumas linhas para a saída, as frases destacadas mostram que PPP é de fato configurado, e que LCP terminou o seu trabalho com sucesso, como foi observado com o LCP " Frase "Open. Além disso, a saída lista o fato de que dois CPs, CDPCP e IPCP, também com sucesso foi habilitado para todas as boas indicações que o PPP está funcionando corretamente. CHAP Apesar de CHAP é opcional, deve ser configurado para fornecer um link ponto- a-ponto segura. o versão mais simples do CHAP configuração requer apenas alguns comandos. A configuração usa um senha configurada em cada roteador. Como alternativa, a senha pode ser configurado em um autenticação externa, autorização e contabilidade servidor (AAA) fora do roteador. a configuração passos são os seguintes: Etapa 1 Configurar os roteadores hostnames 'usando o hostname nome do comando de configuração global. Etapa 2 Configurar o nome do outro roteador, ea senha secreta compartilhada, usando o nome de usuário nome password comando de configuração global. Passo 3 Ative o CHAP na interface em cada roteador, usando o ppp autenticação chap interface do subcomando. Exemplo 3-3 mostra um exemplo de configuração utilizando os roteadores na
  • 366.
    Figura 3-4. Porqueos hostnames já estão configurados, esse passo não é mostrado. Observe que, logo que CHAP é configurado em R1, a interface vai para baixo. Então, em R2, após a senha estão configurados corretamente, a interface de volta para cima. Finalmente, ele vai para baixo brevemente antes voltando-se quando CHAP está configurado no R2. Os próprios comandos não são complicados, mas é fácil misconfigure os hostnames e senhas. Observe que cada roteador refere-se a outro roteador hostname é o nome de usuário comando, mas ambos os roteadores devem configurar o valor mesma senha. Além disso, não são apenas as senhas (itsasecret neste caso) case sensitive, mas os nomes de host, como mencionado no nome de usuário comando, também também são case sensitive. CHAP porque é uma função da LCP, se o processo de autenticação falhar, LCP não for concluída, ea interface cai para um estado interface "de cima para baixo". PAP Como CHAP, PAP é opcional. Você só iria usá-lo se um dos dispositivos não suporta CHAP. PAP usa os comandos mesma configuração CHAP, exceto que a autenticação pap ppp
  • 367.
    comando é usadoem vez da autenticação ppp cap. O resto dos comandos de verificação Configuração de Frame Relay e Solução de problemas Exame CCNA 640-802 Tópicos ■ Configurar e verificar Frame Relay em roteadores Cisco. ■ Solucionar problemas de implementação WAN. Tópicos-chave
  • 368.
    Hoje nós terminamosnossa revisão dos tópicos do exame CCNA com um olhar para Frame Relay e WAN básica solução de problemas. Frame Relay é atualmente o mais popular escolha para implementações de WAN. Portanto, você deve ter uma compreensão básica de Frame Relay, incluindo a sua estrutura conceitual, configuração, verificação e. Como um tópico final, analisamos vários erros WAN e seus causas potenciais. Conceitos Frane Relay Frame Relay é uma tecnologia orientada a conexão de link de dados que é otimizado para proporcionar alto desempenho e eficiência. Para a proteção de erro, ele se baseia em protocolos de camada superior e confiável fibra e redes digitais. Frame Relay define o processo de interligação entre o roteador eo Frame Relay local de o prestador de serviços, como mostrado na Figura 2-1. Dispositivos conectados a uma queda de Frame Relay WAN em duas categorias a seguir: ■ equipamentos terminais de dados (DTE): Exemplos de dispositivos DTE são de acesso Frame Relay Dispositivos (FRAD), roteadores e pontes. ■ equipamentos de comunicação de dados (DCE): Na maioria dos casos, as
  • 369.
    chaves em umaWAN são carcaça Interruptores de revezamento. Frame Relay Componentes Frame Relay fornece um meio para a multiplexação estatística muitas conversas de dados lógicos, que se refere como circuitos virtuais (VC), através de uma ligação única transmissão física através da atribuição de identificadores de conexão para cada par de dispositivos DTE. O serviço de provedor de equipamentos de comutação constrói uma tabela de comutação que mapeia o identificador de conexão com os portos de saída. Quando um frame é recebido, o dispositivo de comutação analisa o identificador de conexão e fornece o quadro para a porta de saída associada. a completa caminho para o destino é estabelecida antes da transmissão do primeiro quadro. Figura 2-2 ilustra uma conexão Frame Relay e identifica os vários componentes dentro de Frame Relay.
  • 370.
    Os seguintes termossão usados com freqüência em discussões Frame Relay: ■ taxa de acesso Local: A taxa na qual os dados trafegam dentro ou fora da rede, independentemente da outras configurações. ■ Virtual circuito (VC): Circuito lógico, unicamente identificado por um identificador de conexão de enlace de dados (DLCI), que é criado para assegurar a comunicação bidirecional de um dispositivo DTE para outro. ■ circuito virtual permanente (PVC): Fornece conexões que são estabelecidas de forma permanente usado para transferências freqüente e consistente de dados. ■ Circuito virtual comutado (SVC): Fornece conexões temporárias que são usados em situações que exigem apenas a transferência de dados entre dispositivos DTE esporádicos em toda a rede Frame Relay. ■ identificador de conexão de link de dados (DLCI): contém um número de 10 bits no campo de endereço do Quadro de cabeçalho Frame Relay que identifica o VC. DLCIs têm significado local, pois o referências identificador do ponto entre o roteador local eo Frame Relay mudar para locais qual a DLCI está conectado. Portanto, os dispositivos em extremidades opostas de uma conexão pode usar diferentes valores DLCI para se referir a mesma conexão virtual .. Conforme mostrado na Figura 2-2, Router A tem dois circuitos virtuais que estão configuradas em uma física interface. Um DLCI de 100 identifica o VC que se conecta ao roteador B. A DLCI de 400 identifica o VC que se conecta ao Router C. No outro extremo, um número DLCI diferentes podem ser usados para identificar a VC. ■ Taxa de Informação Comprometida (CIR): Quando a subscrição de um serviço Frame Relay, você especificar o CIR, que é a taxa para acesso local exemplo, 56 kbps ou T1. Normalmente, você são igualmente convidados a especificar um CIR para cada DLCI. Se você
  • 371.
    enviar informações maisrápido que o CIR em um DLCI dado, a rede flags alguns quadros com um pouco de descarte elegíveis (DE). ■ Inverse Address Resolution Protocol (ARP): Um método de dinamicamente associar a rede endereço da camada do roteador remoto com um DLCI local. ■ Local Management Interface (LMI): Um padrão de sinalização entre o roteador (dispositivo DTE) eo interruptor do relé locais Frame (dispositivo DCE), que é responsável por gerenciar a conexão e manutenção de status entre o roteador eo switch Frame Relay. ■ notificação de congestionamento explícito Encaminhar (FECN): Um bit no campo de endereço do Frame Relay cabeçalho do quadro. Se a rede está congestionada, dispositivos DCE (switches Frame Relay) definir o bit FECN valor dos quadros a 1 para sinalizar a jusante dispositivos DTE que o controle de fluxo pode ser garantida. ■ notificação de congestionamento explícito para trás (BECN): Um bit no campo de endereço do quadro Cabeçalho frame relay. Funciona como o bit FECN mas viaja na direção oposta, informando upstream dispositivos DTE que o congestionamento está ocorrendo e que o controle de fluxo pode ser garantida. Frame Relay Topologias Frame Relay permite a interconexão de seus sites remotos em uma variedade de topologias. Figura 2-3 ilustra estas topologias, que são descritos na lista que se segue. Figura Frame Relay 03/02 Topologias Dia 2 339 Completa-Mesh Parcial-Mesh Estrela (Hub-and-Spoke) ■ parcial-
  • 372.
    ■ topologia parcialde malha: Nem todos os sites têm acesso direto a todos os outros sites. ■ topologia de malha completa: Todos os roteadores têm VCs a todos os outros destinos. Use a n (n - 1) / 2 formula para calcular o número total de links que são necessários para implementar uma topologia full-mesh, onde n é o número de pontos finais (nós). Inverse ARP e Conceitos LMI Roteadores podem detectar automaticamente o seu DLCI local do interruptor locais Frame Relay usando o LMI protocolo. Em seguida, o DLCI local podem ser mapeados dinamicamente para a camada de roteador de rede remota endereços com Inverse ARP. Conforme mostrado na Figura 2-5, usando Inverse ARP, o roteador da esquerda pode detectar automaticamente o endereço IP remoto router e depois mapeá-lo para o DLCI local. Neste caso, o DLCI local é de 500 mapeado para o endereço IP 10.1.1.1.
  • 373.
    Figura 2-5 QuadroMapping Endereço relé Quadro de sinalização de relé é necessária entre o roteador eo switch Frame Relay. Figura 2-6 mostra como a sinalização é usado para obter informações sobre o DLCIs diferentes. O LMI é um padrão de sinalização entre o roteador eo switch Frame Relay. O LMI é responsável por gerenciar a conexão e manutenção do status entre os dispositivos. Embora o LMI é configurável, com início em Cisco IOS Release 11.2, o roteador Cisco tenta autosense que LMI digite o switch Frame Relay está usando. O roteador envia uma ou mais completa Solicitações de status LMI para o switch Frame Relay. O switch Frame Relay responde com um ou mais tipos de LMI, eo router configura-se com o tipo de LMI última recebida. roteadores Cisco
  • 374.
    suporta os seguintestrês tipos LMI: Cisco, ANSI, e Q 933A. Quando o roteador recebe informações LMI, ele atualiza seu status VC para um dos seguintes três estados: ■ atividade: Indica que a conexão está ativa e VC que os roteadores podem trocar dados através da Rede Frame Relay. ■ Inativos: Indica que a conexão local para o switch Frame Relay está funcionando, mas o conexão de roteador remoto para o switch Frame Relay remoto não está funcionando. ■ Deleted: Indica que seja não LMI está sendo recebido do switch Frame Relay ou nenhuma serviço existe entre o roteador eo interruptor do relé locais Frame. Inverse ARP e LMI Operação O seguinte é um resumo de como Inverse ARP e LMI sinalização trabalhar com um Frame Relay conexão: 1. Cada roteador se conecta ao switch Frame Relay através de um serviço canal de serviço / unidade de dados unidade (CSU / DSU). 2. Quando o Frame Relay é configurado em uma interface, o roteador envia um inquérito sobre a situação LMI mensagem para o switch Frame Relay. A mensagem informa o interruptor do status do roteador e pede a chave para o status da conexão do router VCs. 3. Quando o switch Frame Relay recebe o pedido, ele responde com uma mensagem de status LMI que inclui o DLCIs local do PVC para os roteadores remoto para qual roteador o local
  • 375.
    pode enviar dados. 4.Para cada DLCI ativo, cada roteador envia um pacote ARP Inverso para se apresentar. Figura 2-7 ilustra as quatro primeiras etapas deste processo. Quando um roteador recebe uma mensagem de ARP Inverso, ele cria uma entrada de mapa em seu Frame Relay tabela de mapa que inclui o DLCI local eo remoto router endereço da camada de rede. 6. A cada 60 segundos, os roteadores enviam mensagens Inverse ARP em todos os DLCIs ativo. A cada 10 segundos, o roteador intercâmbio de informações LMI com o switch (keepalives). 7. O roteador altera o status de cada DLCI para ativos, inativos, ou excluído, com base na LMI resposta do switch Frame Relay. Figura 2-8 ilustra os passos 5-7 deste processo. Figura 2-8 Etapas da Inverse ARP e Operação LMI Continuação
  • 376.
    Configurando e VerificandoFrame Relay A lista a seguir resume o quadro de etapas de configuração Relay. Etapa 1 Configurar a interface física de usar encapsulamento Frame Relay (encapsulamento frame-relay interface do subcomando). Etapa 2 Configurar um endereço IP na interface ou subinterface (endereço ip subcomando). Etapa 3 (opcional) manualmente definir o tipo de LMI em cada interface física serial (frame-relay lmi-tipo de interface subcomando). Passo 4 (Opcional) Altere a partir do padrão de encapsulamento cisco para ietf fazendo o seguinte: a. Para todos os VCs na interface, adicionar a palavra-chave ietf para o encapsulamento frame-relay interface do subcomando. b. Para um único VC, adicione a palavra-chave ietf ao frame-relay interface interface dlci subcomando (ponto-a-ponto subinterfaces apenas) ou para o frame-relay comando map. Passo 5 (Opcional) Se você não estiver usando o (padrão) Inverse ARP para mapear o DLCI para o nexthop
  • 377.
    endereço IP doroteador, define mapeamento estático usando o frame-relay map ip dlci ipaddress subinterface transmissão subcomando. Passo 6 Em subinterfaces, associar uma (ponto-a-ponto) ou mais (multiponto) DLCIs com o subinterface em uma de duas maneiras: a. Usando o frame-relay interface-dlci subinterface dlci subcomando b. Como um efeito colateral de mapeamento estático usando o frame-relay map ip dlci ipaddress transmissão subinterface subcomando Malha completa com uma sub-rede O primeiro exemplo mostra o mais breve possível Frame Relay uma configuração que usa apenas o dois primeiros passos do checklist de configuração neste capítulo. Para a topologia mostrada na Figura 2-9, configurar uma malha completa rede Frame Relay utilizando 10.1.1.0/24 subnet. Usar configurações padrão para LMI, Inverse ARP, e encapsulamento. Exemplos 2-1, 2-2, e 2-3 mostram a configuração completa usando EIGRP como o protocolo de roteamento. Figura 2-9 topologia de malha completa com uma sub-rede
  • 379.
    Esta configuração simplesaproveita as seguintes configurações padrão IOS: ■ O tipo LMI é automaticamente detectado. ■ O encapsulamento (default) é a Cisco, em vez de IETF. ■ PVC DLCIs são aprendidas através de mensagens de status LMI. ■ Inverse ARP é ativada (por padrão) e é acionado quando a mensagem de status declarando que os VCs estão acima é recebido. Configurando o encapsulamento Se um dos roteadores em uma malha completa, uma configuração de sub-rede não suporta o Frame Relay Cisco encapsulamento, mudar o encapsulamento para IETF nos roteadores Cisco com o seguinte comando: Router (config-if) # encapsulation frame-relay ietf Configurando o tipo de LMI LMI opera entre o roteador local eo interruptor do relé locais Frame. O tipo de mensagem LMI utilizado pela central local Frame Relay pode precisar ser embutida no roteador local, seja porque a versão do IOS não suporta autosensing ou política de administração de rede requer que o tipo de LMI ser documentado na interface para verificação e solução de problemas. Suponha que o switch Frame Relay usado por R2 é um switch ANSI. O comando a seguir alterar o tipo de LMI em R2 para usar o ANSI tipo LMI: R2 (config) # interface de série 0/0/0 R2 (config-if) # frame-relay lmi-type ansi A configuração LMI é uma configuração por interface física, mesmo se subinterfaces são utilizados, de modo que o framerelay lmi tipo de comando é sempre um subcomando sob a interface física. Cancelar Configurando mapas relé estático de quadros
  • 380.
    Embora o DLCIspara cada PVC são mostrados na Figura 2-9, que não eram necessários para o nosso fundamental Configuração de Frame Relay. Inverse ARP mapeadas automaticamente o endereço IP remoto com o DLCI local necessário para atingir a rede remota. Este processo dinâmico pode ser verificado com o show frame-relay pvc e mostrar frame-relay map como mostrado no Exemplo 2-4 para R2. Embora em uma rede de produção você provavelmente usaria Inverse ARP, para o exame, é necessário saber como configurar as declarações de comando static mapa. Exemplo 2-5 lista as Frame Relay estática mapa para os três routers mostrado na Figura 2-9, juntamente com a configuração usada para desativar ARP Inverso.
  • 381.
    Nota A palavra-chavede transmissão é necessária quando o roteador precisa enviar transmissões ou multicasts para a vizinha router, por exemplo, para dar suporte a mensagens do protocolo de roteamento como Hellos. Malha parcial com uma sub-rede por PVC A rede na Figura 2-10 é uma modificação da Figura 2-9. R2 agora está servindo como roteador hub para o raio roteadores R1 e R2. Isso reduz o custo da implementação do Frame Relay PVCs três a dois PVCs. Esta configuração usa uma sub-rede por PVC e ponto- a-ponto subinterfaces. Exemplos 2-6 2-8 através de mostrar a configuração para esta rede. Figura 2-10 topologia de malha parcial com uma sub-rede por PVC
  • 382.
    Dois novos comandoscriar a configuração necessária com o ponto-a-ponto subinterfaces. Primeiro, o interface serial 0/0/0.201 comando ponto-a-ponto cria número 201 sob subinterface lógica 0/0/0 interface física serial em R2. O frame-relay interface-dlci 201 subinterface subcomando
  • 383.
    em seguida, informaao roteador que DLCI único é associado a esse subinterface. No exemplo, números subinterface e DLCIs partida, mas isso não é um requisito-somente um método conveniente para ajudar a identificar qual a DLCI subinterface pertence. Para entender por que precisamos do comando frame-relay interface-dlci, considere R2. R2 recebe Mensagens LMI em Serial0/0/0 afirmando que dois PVCs, com DLCIs 201 e 203, estão em alta. Que PVC vai com o qual subinterface? Cisco IOS Software precisa associar o PVC correta com o subinterface correta. Isto é realizado com o frame-relay interface de comando dlci. Verificação Frame Relay Exemplos do show frame-relay pvc e comandos show frame-relay map foram mostrados anteriormente no Exemplo 2-4. O show frame-relay pvc comando listas de gerenciamento de informações úteis. Por exemplo, os contadores de pacotes para cada VC, mais os contadores para FECN e BECN, pode ser particularmente útil. Da mesma forma, comparando os pacotes / bytes enviados em um router contra os contadores do que é recebido no roteador na outra extremidade da VC também é bastante útil. Isso reflete a número de pacotes / bytes perdidos dentro da nuvem Frame Relay. Além disso, o status do PVC é um ótimo lugar para quando começar a solução de problemas. O comando show frame-relay map lista informações de mapeamento. Em uma rede totalmente entrelaçada, em qual a configuração não utiliza nenhum subinterfaces, um Layer 3 endereço está listado com cada DLCI. Para uma configuração subinterface ponto-a-ponto, um DLCI é listado em cada
  • 384.
    entrada, mas nenhumamenção de correspondente Layer 3 endereços é feita. A razão é que as informações são armazenadas em algum lugar mais. Subinterfaces requerem o uso do comando frame-relay interface-dlci configuração. A depuração frame-relay comando lmi mostrado no Exemplo 2-9 pode ser usada para verificar que o físico interface é enviar e receber mensagens LMI do switch Frame Relay locais. Implementações solução de problemas WAN Solução de problemas de aplicação geral WAN não apenas Frame Relay aspectos muitas vezes começa- de investigar o estado da interface serial do roteador local. O show interfaces seriais Exemplo de comando em 10/02 tem o encapsulamento HDLC padrão. Exemplo de Saída 10/02 do Comando show interfaces
  • 385.
    Destaque na produçãosão as três principais áreas de olhar primeiro para possíveis erros. ■ A interface deve ser "para cima" e "up" antes que ele possa encaminhar o tráfego. ■ O endereço IP e máscara de sub-rede deve ser configurado corretamente. ■ O encapsulamento deve ser correta: HDLC, PPP ou Frame Relay. Erros potenciais de dois e três e suas soluções são relativamente simples: IP correto abordar ou corrigir o encapsulamento. O show interfaces de comando serial retorna um dos seis estados possíveis. Você pode ver qualquer um dos seguintes estados possíveis na linha de status interface: ■ x Serial é para cima, protocolo de linha é de até ■ x Serial é baixo, protocolo de linha está em baixo ■ x Serial é para cima, protocolo de linha está em baixo ■ Serial x é para cima, protocolo de linha está acima (em loop) ■ Serial x é para cima, protocolo de linha está em baixo (desativado) ■ Serial x é administrativamente para baixo, protocolo de linha está em baixo Resolução de problemas Problemas Layer 1 Um estado da linha para baixo no link serial normalmente aponta para um problema de camada 1. A lista a seguir descreve as razões mais prováveis:
  • 386.
    ■ A linhaé alugada para baixo (um problema telco). ■ A linha da telco não está conectado a um ou ambos CSU / DSUs. ■ A CSU / DSU falhou ou está mal configurado. ■ Um cabo serial de um roteador à sua CSU / DSU está desconectado ou com defeito. Os detalhes de como isolar ainda mais esses quatro problemas está além do escopo do exame CCNA. Um problema comum outra camada física pode ocorrer que resulta em interfaces de ambos os roteadores "ser em cima / estado para baixo. Em um link back-to-back de série, se o comando taxa exigida relógio está faltando no roteador com um cabo DCE instalado, interfaces ambos os routers 'serial irá falhar e acabar com um estado da linha de cima, mas um status protocolo de linha de baixo. Para verificar esse erro, use o comando show controladores do lado que deve ser DCE. Você pode se surpreender ao descobrir que um cabo DTE está conectado. Ou você pode descobrir que nenhum relógio está definido, como mostrado no Exemplo 2-11. Problema exemplo 11/02: No comando clock na End DCE O primeiro problema é fácil de identificar e corrigir. Como vimos, o comando show interfaces serão dizer-lhe o tipo de encapsulamento usado atualmente na interface. O segundo problema na Tabela 2-1 relaciona com keepalives enviadas pelos roteadores Cisco por padrão a cada 10 segundos. Esse recurso ajuda a um roteador reconhecer quando um link não
  • 387.
    está mais funcionandopara que o roteador pode derrubar a interface, esperando para usar uma rota alternativa IP. Se uma das extremidades do link é configurado com o comando não keepalives, ele permanecerá no "up" e do estado "para cima". No entanto, do outro lado do link continuamente aba voltada para cima e para baixo, porque não está recebendo keepalives. Você pode ver se keepalives estão sendo enviados com o comando show interfaces, como destaque na saída parcial no Exemplo 2-12. O terceiro problema na Tabela 2-1 é o resultado de uma falha de autenticação entre os dois roteadores em cada lado do link. Use o comando debug ppp autenticação para descobrir a causa raiz por autenticação está falhando. No Exemplo 2-13, sabemos que o nome de usuário ou senha está errada em um ou ambos os lados do link. Exemplo 2-13 PPP CHAP Falha de autenticação na saída de depuração de autenticação ppp
  • 388.
    Resolução de problemasProblemas Layer 3 A interface serial pode ser no "up" e estado "up" em ambos os lados do roteador, mas a conectividade entre os dois roteadores falhar devido a um erro de configuração de camada 3. Para interfaces HDLC padrão, se os endereços IP configurados nas interfaces de série nas duas roteadores estão em sub-redes diferentes, um ping para o endereço IP do outro lado da ligação falhará porque os routers não têm uma rota correspondente. Tenha cuidado com PPP na mesma situação. Com misconfigured endereços IP, interfaces ambos os roteadores " estão no "up" e estado "para cima", mas o ping para o endereço do roteador do outro IP realmente funciona. PPP anuncia o seu endereço IP da interface serial para outro roteador, com um prefixo / 32, que é uma rota para chegar só que um host. Assim, ambos os roteadores tem uma rota com a qual para rotear pacotes para a outra extremidade do link, mesmo que dois roteadores em extremidades opostas de um link serial tem incompatíveis seus endereços IP. Embora o ping para o outro lado do link funciona, os protocolos de roteamento ainda não anunciar rotas por causa da incompatibilidade de sub-rede IP nas extremidades opostas do link. Então, a solução de problemas um problema de rede, não assuma que uma interface serial de um "up" e
  • 389.
    estado "para cima"é totalmente de trabalho, ou mesmo que uma interface serial através da qual um ping funciona é totalmente funcional. Certifique-se também o protocolo de roteamento é a troca de rotas e que os endereços IP estão na mesma sub-rede. 1 dia CCNA comentário Competências e Prática Tópicos-chave Amanhã você fazer o exame CCNA. Portanto, hoje você deve ter o tempo para fazer alguma
  • 390.
    desnatação descontraído detodos os dias anteriores temas com foco em áreas onde ainda estão fracos. se você tem acesso a um teste de treinos cronometrados, como os disponíveis no Exame CCNA Oficial Biblioteca de certificação, Terceira Edição, usá-las para ajudar a isolar áreas em que você pode precisar de um pouco estudo mais aprofundado. Como parte deste livro, eu incluí um CCNA Practice Skills que inclui a maior parte da configuração CCNA habilidades em uma topologia. Este cenário deve ajudá-lo a rever rapidamente muitos dos comandos abrangidas pelo CCNA. CCNA Practice Skills Nota para os alunos Cisco Networking Academy: Embora existam algumas pequenas diferenças, este cenário é baseado na versão online da Integração Skills CCNA Atividade desafio Packet Tracer você pode encontrar no final do capítulo 8, "Rede Solução de problemas "na versão online do curso CCNA Exploration: Acessando o WAN. introdução Neste abrangente atividade habilidades CCNA, a Corporação XYZ utiliza uma combinação de quadros Relé e PPP para conexões WAN. O roteador HQ fornece acesso à fazenda do servidor eo Internet através de NAT. HQ também usa um firewall básico ACL para filtrar o
  • 391.
    tráfego de entrada.B1 está configurado para inter-VLAN de roteamento e DHCP. Os interruptores ligado a B1 são configurados com segurança portuária, VLANs, VTP e STP. Roteamento é conseguido através de EIGRP, assim como rotas estáticas e padrão. Seu trabalho é de implementar com sucesso todas estas tecnologias, aproveitando o que você aprendeu durante seus estudos de CCNA. Você é responsável por configurar HQ e os roteadores Branch, B1, B2, e B3. assumir roteadores e switches sob sua administração não tem configuração. Diagrama de topologia A Figura 1-1 mostra a topologia para este comentário Skills CCNA.
  • 394.
    - O sitewww.xyzcorp.com em 10.0.1.2 está registrado com o DNS público sistema no endereço IP 209.165.200.246.
  • 395.
    Passo 2 Verifiquese NAT está funcionando usando ping estendido. De HQ, faça ping na interface serial em 0/0/0 ISP usando o HQ LAN interface como o endereço de origem. Esse ping deve suceder. Verifique se NAT traduziu o ping com o show ip nat comando traduções. Tarefa 4: Configurar o roteamento padrão Etapa 1 Configurar HQ com uma rota padrão para ISP. Use a interface de saída como um argumento. Passo 2 Verifique a conectividade para além ISP. O PC NetAdmin deve ser capaz de executar ping no servidor web www.cisco.com. Tarefa 5: Configurar o Inter-VLAN Routing Etapa 1 Configurar B1 para a inter-VLAN routing. Usando a tabela de endereçamento B1, configurar e ativar a interface LAN para a inter- VLAN de roteamento. Passo 2 Verifique as tabelas de roteamento. B1 deve ter agora seis redes diretamente conectadas e uma rota estática padrão. Tarefa 6: configurar e otimizar o roteamento EIGRP Etapa 1 Configurar HQ, B1, B2, B3 e com EIGRP. - Use AS 100. - HQ deve redistribuir a sua rota padrão para os roteadores ramo. - Manualmente resumir rotas EIGRP para que B1 anuncia a 10.1.0.0/16 espaço de endereço apenas para HQ. Passo 2 Verifique as tabelas de roteamento e conectividade. HQ e os roteadores Poder deve ter agora completa tabelas de roteamento. O PC NetAdmin agora deve ser capaz de executar ping cada interface LAN e VLAN subinterfaces em B1. Tarefa 7: Configurar VTP, Trunking, a Interface de VLAN, e VLANs
  • 396.
    Etapa 1 Configuraros switches B1 com VTP. - B1-S1 é o servidor VTP. B1-S2 e S3-B1 são clientes VTP. - O nome de domínio é XYZcorp. - A senha é xyzvtp Passo 2 Configure trunking. Configure as interfaces apropriadas no modo de trunking. Etapa 3 Configurar a interface de VLAN e gateway padrão em B1-S1, B1-S2, e B1-S3. Passo 4 Crie a VLANs em B1-S1. Criar e nomear as VLANs listadas na Tabela 1-2 na B1-S1 apenas. VTP anuncia o VLANs novo para B1 e B1-S2-S3. Passo 5 Verifique se VLANs foram enviados para B1 e B1-S2-S3. Tarefa 8: Atribuir VLANs e configurar Segurança Portuária Passo 1 VLANs Atribuir às portas de acesso em B1-S2. Use a Tabela 1-2 para completar os seguintes requisitos: - Configurar as portas de acesso. - Atribuir VLANs para as portas de acesso. Etapa 2 Configurar a segurança do porto. Use a seguinte política para estabelecer a segurança do porto nas portas B1- S2 acesso: - Permitir somente um endereço MAC. - Configure o primeiro aprendeu endereço MAC para "stick" para a configuração. - Defina a porta a fechar, se ocorre uma violação de segurança. Passo 3 Verifique as atribuições de VLAN e segurança portuária. Use os comandos apropriados para verificar se VLANs de acesso são atribuídos corretamente e que a política de segurança do porto foi ativado. Tarefa 9: Configurar STP
  • 397.
    Etapa 1 ConfigurarB1-S1 como a ponte raiz. Definir o nível de prioridade para 4096 em B1-S1, para que essa opção é sempre a ponte raiz para todas as VLANs. Etapa 2 Configurar B1-S3 como a ponte raiz backup. Definir o nível de prioridade para 8192 em B1-S3 para que esta opção sempre é a raiz de backup ponte para todas as VLANs. Passo 3 Verifique se B1-S1 é a ponte raiz. 358 31 dias antes de seu exame CCNA Tarefa 10: Configurar DHCP Etapa 1 Configurar piscinas DHCP para cada VLAN. Em B1, configurar pools DHCP para cada VLAN utilizando os seguintes requisitos: - Excluir os primeiros 10 endereços IP de cada grupo para as LANs. - O nome do pool é B1_VLAN # # onde # # é o número da VLAN. - Incluir o servidor DNS anexado ao farm de servidores HQ como parte do DHCP configuração. Passo 2 Verifique se o PC tem um endereço IP. Etapa 3 Verificar a conectividade. Todos os PCs fisicamente conectado à rede deve ser capaz de ping no www.cisco.com servidor web. Tarefa 11: Configurar uma ACL Firewall Passo 1 Verificar a conectividade de host fora. O PC Host Fora devem ser capazes de pingar o servidor em www.xyzcorp.com. Passo 2 Implementar um firewall básico ACL. ISP porque representa a conectividade com a Internet, configurar uma ACL chamada chamada FIREWALL na seguinte ordem: 1. Permitir que os pedidos de entrada para o servidor HTTP www.xyzcorp.com. 2. Permitir que apenas as sessões TCP estabelecida a partir de ISP e de qualquer fonte além ISP. 3. Permitir que apenas as respostas de ping de entrada de ISP e de qualquer fonte além ISP. 4. Explicitamente bloquear todo o acesso de entrada de outros ISP e qualquer fonte além do ISP. Etapa 3 Verificar a conectividade de host fora. O PC Host externos não devem ser capazes de pingar o servidor em www.xyzcorp.com.
  • 398.
    No entanto, oPC Host Fora deve ser capaz de solicitar uma página web. Dia 1 359