Application Notes: Proteção da CPU e Gerência do DmSwitch. Uso das proteções para evitar alto consumo de CPU e memória, bem como acessos à gerência

Save this PDF as:
 WORD  PNG  TXT  JPG

Tamanho: px
Começar a partir da página:

Download "Application Notes: Proteção da CPU e Gerência do DmSwitch. Uso das proteções para evitar alto consumo de CPU e memória, bem como acessos à gerência"

Transcrição

1 Application Notes: Proteção da CPU e Gerência do DmSwitch Uso das proteções para evitar alto consumo de CPU e memória, bem como acessos à gerência

2 Application Notes: Proteção da CPU e Gerência do DmSwitch Uso das proteções para evitar alto consumo de CPU e memória, bem como acessos à gerência. Compilado em 07/05/2010, Revisão 1.2 Parecer Introdução Protegendo o sistema Pacotes por segundo, unicast Pacotes broadcast e multicast Pacotes com IP Options e DLF Consumo de memória Restrições de acesso à gerência Management Client LOGs de acesso Filtros para bloquear gerência Filtros para bloquear ICMP Comunidades SNMPv2 e Autenticação SNMPv3 Uso de filtros e relação com protocolos de roteamento Configurações recomendadas Equipamentos DmSwitch 3000 Switches em camada L2 Switch-Routers operando em camada 2/3 Equipamentos DM4000 Switches em camada L2 Switch-Routers operando em camada 2/3 Interação entre os modos de proteção Prioridades no encaminhamento pacotes para a CPU Troubleshooting Consumo de CPU e pacotes atingindo o kernel Contadores de filtros Considerações Finais Parecer As recomendações deste documento servem a todos os clientes de DmSwitch, e devem ser aplicadas como forma de mitigar eventuais problemas. Caso os valores apresentados não estejam de acordo com a realidade do cliente, deve-se contatar o Suporte DATACOM para que sejam estudados eventuais ajustes específicos. DATACOM 1

3 Neste documento, após a apresentação sobre proteções a eventuais problemas no nível Ethernet, serão introduzidos tópicos de controle ao acesso de gerência. Ao término do documento estão disponíveis configurações-padrão planejadas para DmSwitches em diferentes funções da rede. Introdução A natureza das redes de computadores traz a importância da proteção dos elementos que a compõe, de forma a manter o bom funcionamento dela como um todo. Neste documento será introduzido o funcionamento das proteções contra ataques, loops e/ou má configurações em pontos da rede que possam vir a afetar a CPU controladora do DmSwitch. Não serão abordados aspectos de proteção dos hosts conectados ao switch, pois o comutador de pacotes não será afetado mesmo com tráfego wire speed. Dentre as proteções existentes pode-se citar aquelas para mitigar o poder destrutivo do excesso dos seguintes tipos: pacotes direcionados à CPU, por exemplo ICMP PING direcionados a um IP configurado no equipamento; pacotes broadcast em VLANs e portas, tais como ARP REQUEST; pacotes multicast; loops na rede, como pacotes Ethernet repetidos; acessos indevidos à CPU do equipamento, através dos serviços de gerência. Caso tais configurações de proteção não sejam realizadas, o equipamento funcionará normalmente. Todavia, em situações com problemas mais sérios como um loop na rede ou mesmo algum outro evento não desejado, podem ocorrer instabilidades. Entre tais instabilidades, são reconhecidas: queda de serviços; desconexão lógica de placas do chassis; perda de tráfego por reprogramação de interfaces. Portanto é recomendado a utilização dos valores indicados pela DATACOM na configuração dos parâmetros explicados ao longo deste documento. Serão abordados os seguintes comandos: cpu-dos-protection; meter e filter para tráfego broadcast; meter e filter para tráfego multicast; terminal timeout; filtros de hardware. Este documento está voltado para a linha DmSwitch, mais especificamente nos seguintes modelos: Dm F1; 3224F2; 3224F3; 3324F1; DATACOM 2

4 3324F2; 3324F3; DM4000 (Dm4001, Dm4004, Dm4008) Gerencia: MPU192; Placas de interface: ETH12GX; ETH24GX; ETH12GX+1x10GX; ETH2x10GX; ETH24GT; ETH48GT. Protegendo o sistema O mecanismo de proteção é bastante sofisticado, porém pode ser explicado com a seguinte simplificação: o comutador encaminhará os pacotes para a CPU assim que estes chegam, porém até um determinado limiar; após, esses serão descartados a fim de evitar que o tempo de processamento seja tomado pelos eventos externos. Por existir uma significativa parcela de pacotes importantes para o switch dentre o grande fluxo sendo recebido, os valores configurados não devem estar abaixo de um valor indicado. Caso estejam, comportamentos indesejados podem ocorrer. Pacotes por segundo, unicast O parâmetro que controla o número de pacotes por segundo que será encaminhado à CPU ativa do equipamento é o cpu-dos-protection rate-limit e aceita como entrada valores entre 1, para apenas 1 pacote por segundo, até 2 bilhões de pacotes por segundo. Valores considerados ideais seguem pela tabela a seguir. Equipamento Valor para cpu-dos-protection DmSwitch 3000 L2 150 DmSwitch 3000 L3 180 DmSwitch 4001 (L2/L3) 350 DmSwitch 4004 com MPU 192 (L2/L3) 750 DATACOM 3

5 Pacotes broadcast e multicast Os pacotes broadcast naturalmente são encaminhados a todos os elementos pertencentes à VLAN que foram enviados, inclusive a CPU do switch quando este contiver algum endereço IP nesta VLAN. Mesmo os switches Layer 2, que não fazem roteamento IP, recebem estes pacotes pois é como aprendem os respectivos endereços MAC que estão comunicando. Para evitar que um número abusivo de pacotes broadcast possa influenciar o comportamento, são criadas regras para limitar a ação destes. Primeiramente, um meter é criado. Nele é configurado um limite em razão de kilo bits por segundo, e um limite de rajada para os momentos que muitos pacotes chegam simultaneamente. meter new remark Broadcast_CPU rate-limit **LIMITE ORDINÁRIO** burst **LIMITE POR RAJADA** Será criado um contador especial. A CLI informará um número, por exemplo: Meter 1 created. Com este número será criado o filtro para bloquear o tráfego broadcast. Para o DmSwitch 3000, a sintaxe é: filter new action permit out-action deny match destination-mac host FF-FF-FF-FF-FF-FF match vlan **VLAN DESEJADA** meter 1 No DM4000, a sintaxe possui pequenas diferenças: filter new action red-deny match destination-mac host FF-FF-FF-FF-FF-FF match vlan **VLAN DESEJADA** meter 1 O novo filtro criado fará o comutador descartar quando o tráfego com destino ao MAC especial FF-FF-FF-FF-FF-FF, destino único dos pacotes broadcast, ultrapassar os limites estipulados pelo meter. Recomenda-se utilizar em todas as portas das VLANs que tenham um IP, inclusive em port-channels. Mesmo para o caso onde existam muitas VLANs com IP, recomenda-se colocar a opção match vlan para cada uma das VLANs, evitando que o comutador aja em VLANs em que seja necessário alto tráfego broadcast, como numa VLAN de algum cliente que tenha esta necessidade. Em especial, recomenda-se o uso de filtros nas VLANs com endereços IP. NOTA IMPORTANTE: caso exista alguma VLAN (com IP) não protegida por estes filtros, não será possível garantir que o elemento esteja protegido. É muito importante configurar estas proteções em todas as VLANs criadas e com IP atribuído. Pode-se também utilizar a opção de range de VLANs num mesmo filtro. No caso de redes que utilizem multicast, é importante o controle destes protocolo que podem afetar a CPU, se houver algum excesso. O procedimento é basicamente o mesmo realizado para o broadcast, apenas com alterações no endereço MAC a ser conferido pelo filtro. DATACOM 4

6 meter new remark Multicast_CPU rate-limit **LIMITE ORDINÁRIO** burst **LIMITE POR RAJADA** Será criado um contador especial. A CLI informará um número, por exemplo: Meter 2 created. Com este número será criado o filtro para bloquear o tráfego multicast. Sintaxe para o DmSwitch3000: filter new action permit out-action deny match destination-mac match vlan **VLAN DESEJADA** meter 2 priority 7 Sintaxe para o DM4000: filter new action red-deny match destination-mac match vlan **VLAN DESEJADA** meter 2 priority 7 Uma diferença importante no comando do multicast em relação ao do broadcast é o uso de máscara no destination-mac: todos endereços MAC que começando com 01 são de multicast, por isso o uso da máscara Maiores informações sobre os endereços MAC de uso especial está disponível na RFC Os limites acima citados dependem da capacidade de cada equipamento. Abaixo é apresentada uma tabela com indicações destes valores, conforme testes internos na DATACOM. Equipamento Limite ordinário Limite por rajada DmSwitch 3000 L DmSwitch 3000 L DmSwitch DmSwitch 4004 com MPU IMPORTANTE: não é necessário criar outro meter para cada nova VLAN a ser protegida contra excessos de Broadcast/Multicast. É importante que exista apenas um meter para cada tipo de tráfego, e que os filtros estejam devidamente configurados. A criação de mais meters fará com que a CPU possa receber mais pacotes do que o desejado para estes tipos de tráfego. Ou seja, deve-se usar o mesmo meter como parâmetro em todos os filtros com mesmo intuito. Pacotes com IP Options e DLF Na arquitetura de comutação utilizada nas famílias DmSwitch 3000 e DM4000 é previsto que certos tipos de pacotes sejam sempre encaminhados para análise na CPU, para que possam ser tratados de formas diferenciadas. Algumas RFCs, inclusive, trazem este aspecto como algo desejável (vide RFC IP Router Alert Option e RFC IPv6 Router Alert Option). DATACOM 5

7 Porém nem todas as topologias possuem os mesmos requisitos, sejam por questões de desempenho ou de segurança. Alguns documentos propostos (vide draft-rahman-rtg-router-alert-dangerous-00) chegam a recomendar que estas RFC citadas acima sejam desconsideradas e obsoletadas. Dentro da gama de opções da família DmSwitch, a partir do release 7.8.2, é possível configurar se o switch deve ou não receber pacotes que requisitarem análise no chamado slow path, ou seja, a CPU. Tais opções estão disponíveis apenas quando o equipamento não será utilizado para Roteamento IP, pois ao habilitar a opção ip routing é necessário o recebimento dos pacotes para uma série de verificações. São disponibilizadas duas opções: cpu-dos-protection block l3-hdr-err : bloqueia os pacotes que seriam encaminhados à CPU por questões de cabeçalho IP (l3 header), bem como pacotes IP com erro (p. ex. TTL expirado); cpu-dos-protection block dlf : bloqueia o recebimento de DLF na CPU, quando pacotes unicast que não possuem um MAC destino conhecido são replicados para todas as portas. O DLF continua sendo encaminhado para as portas, não substitui o storm-control unicast. Abaixo a lista não-extensiva dos pacotes bloqueados quando a opção de l3-hdr-err está ativa. Sem habilitar esta opção no equipamento, eles podem ser encaminhados mesmo sem a VLAN possuir IP configurado. IP Options habilitadas, tais como IP Router Alert; destino IP e/ou MAC multicast com qualquer opção no cabeçalho IP; IP TTL expirado; HSRP (Hot Standby Router Protocol, RFC 2281); IGMP; Quando o pacote possuir como destino o IP e/ou MAC da CPU, ele continuará sendo encaminhado normalmente. Desta forma a gerência e demais usos possíveis continuam sendo viáveis. Pacotes broadcast e multicast também são encaminhados se a VLAN possuir IP. Consumo de memória Não é propriamente uma questão referente a pacotes externos, como as apresentadas anteriormente, o consumo elevado de memória também pode levar a instabilidades. Para evitar este problema a recomendação é habilitar a desconexão por tempo sem resposta nos terminais de configuração. terminal timeout TEMPO_EM_SEGUNDOS Com este parâmetro de configuração, após o usuário que estiver conectado à interface de gerência do switch ficar vários segundos sem nenhuma nova ação, ele será desconectado. Isso é muito importante quando, por exemplo, um usuário conectado via telnet deixa sua sessão aberta por tempo indefinido. Dado o número de usuários conectados via telnet, SSH, WEB, ou mesmo o uso do DmView, há um certo consumo de memória. O terminal timeout traz a confiança de que este consumo não seja aumentado por clientes inativos. DATACOM 6

8 Este recurso está habilitado por padrão desde a versão 5.6 no DmSwitch 3000 e em todas as versões de firmware do DmSwitch 4000, este comando já vem habilitado. O valor default usado é de 360 segundos e isto pode ser verificado com o comando abaixo: show terminal Restrições de acesso à gerência Outra preocupação importante para equipamentos de rede está relacionada a restrições de acesso à gerência. É necessário limitar quem pode gerenciar o equipamento para minimizar as chances de um não-autorizado conectar-se e alterar propriedades da rede. Abaixo estão apresentadas algumas das proteções existentes no DmSwitch e o uso destas. Management Client Para isso, o DmSwitch implementa as listas de management, onde são informados quais IPs (tanto hosts ou redes) possuem acesso a cada um dos serviços de gerência existentes. DmSwitch#config DmSwitch(config)#management all-client Add IP addresses to SNMP, SSH, HTTP and Telnet groups http-client Add IP addresses to the HTTP group snmp-client Add IP addresses to the SNMP group ssh-client Add IP addresses to the SSH group telnet-client Add IP addresses to the Telnet group DmSwitch(config)# O controle dos usuários gerenciadores é realizado através deste comando. A lista é inicialmente vazia, significando que os acessos são permitidos de quaisquer endereços IP. Ao adicionar uma entrada na lista, automaticamente bloqueiam-se todos os acessos de outros endereços. Logo, a primeira entrada a ser adicionada é aquela de onde se está gerenciando no momento. Por exemplo, caso esteja gerenciando via SSH a partir do IP , a primeira liberação deve ser para este IP ou rede (assumindo uma rede /24): DmSwitch(config)#management ssh-client /24 DmSwitch(config)#show management ssh-client Management IP filter: SSH client: /24 Os acessos para outros serviços não foram bloqueados neste caso, pois foi alterado apenas o que diz respeito aos acessos SSH. Para alterar o acesso de todos os serviços com uma única entrada, utiliza-se a opção all-client. DATACOM 7

9 Caso não tenha certeza de qual IP está utilizando para acessar o equipamento, o comando show managers mostra os usuários conectados. DmSwitch(config)#show managers User on CLI Uptime Process ID Origin admin 00:23: Uma sugestão para casos onde não se tem certeza de que o acesso será liberado corretamente é programar um reboot e então cancelar caso o acesso esteja correto após o comando. Para programar um reboot em 3 minutos DmSwitch#reboot in minutes 3 Reboot scheduled for 14:37:00 (hh:mm:ss) Visualizando quanto tempo falta para o reboot DmSwitch#show reboot 14:33:06: Rebooting in 3m54s (scheduled for 14:37:00) Cancelando DmSwitch#reboot cancel Scheduled reboot canceled DmSwitch#show reboot 14:35:04: No reboots scheduled Para remover uma entrada de lista de gerenciadores, o comando está dentro da lógica de configuração do DmSwitch: basta configurar um no. DmSwitch#configure DmSwitch(config)#no management ssh-client /32 DmSwitch(config)# Lembrando sempre que se não houver nenhuma entrada configurada, o acesso é liberado para qualquer tentativa. Caso exista ao menos uma entrada, somente as listadas são permitidas. A liberação e/ou bloqueio de acesso é realizado antes mesmo do aparecimento do banner de conexão. No entanto, é fortemente recomendada a utilização de servidores TACACS+ ou RADIUS para autenticação. Por estarem fora do escopo deste documento as configurações destes serviços não serão apresentados. LOGs de acesso Independentemente das configurações de controle à gerência, os logs permitem a realização de uma pré-auditoria nos acessos ao equipamento. DmSwitch#show log ram include \(Session\)\ \(User\) Jul 25 14:00:55 DmSwitch : <5> User admin authenticated by tacacs Jul 25 14:00:56 DmSwitch : <5> Session opened from , user admin2, Process ID 9639 DmSwitch# DATACOM 8

10 Nestas linhas verifica-se o horário do evento, conforme o relógio interno do sistema (Jul 25 14:00:56), o usuário conectado (admin2), o serviço autenticador (tacacs), o IP de origem ( ), e o Process ID que o login criou no Sistema Operacional do switch. Filtros para bloquear gerência O bloqueio anteriormente citado, chamado management client, é realizado já no nível do Sistema Operacional rodando na CPU do switch. Em casos como equipamentos ligados com IP de Internet, isso pode não ser tão eficaz quanto necessário. Quando falado em eficácia de bloqueio, refere-se não ao sentido de segurança, pois os acessos serão bloqueados, mas sim de desempenho. Por ser tratado via software na CPU, cria-se um vetor de DoS (Denial Of Service), ao passo que um atacante que consiga gerar muitos acessos inválidos em pouco tempo (milhares em poucos segundos) pode levar a uma elevação no consumo do processador. Para proteger os equipamentos diretamente na Internet, recomendamos a utilização de filtros controlados por hardware. Estes filtros agirão em conjunto com o management client, porém em um nível anterior que é o hardware. No entanto estes filtros não devem ser vistos como substituição completa à proteção do management client que pode ser importante numa rede de gerência, liberando acesso apenas a alguns equipamentos. A idéia deste filtro é bloquear acessos ao IP do switch quando esses são originados de locais desconhecidos ao administrador. Como no exemplo abaixo para DmSwitch 3000, serão bloqueados quaisquer acessos que não sejam originados da rede /16. filter new action permit match source-ip match destination-ip host priority 10 filter new action deny match destination-ip host priority 9 Caso seja necessário liberar o acesso de outra rede, basta adicionar a entrada de permit. A entrada de deny necessita ser adicionada somente uma vez, para efetivamente bloquear. Reparar que a prioridade do filtro permit foi configurada como maior do que a do deny. Esta é a forma de demonstrar ao hardware qual a intenção (liberar os listados, descartar os demais). Adicionando acesso da rede /24 para o switch. filter new action permit match source-ip match destination-ip host priority 10 Se for necessário bloquear algum outro IP pertencente à alguma VLAN, insira outra regra de deny. Por exemplo, se o switch também possuir o IP filter new action deny match destination-ip host priority 9 OBSERVAÇÃO: estas regras evitam o acesso à qualquer serviço ou protocolo do switch. Tarefas como ping (ICMP), traceroute (ICMP, UDP) ou mesmo protocolos de roteamento como BGP poderão deixar de funcionar se estas regras não estiverem devidamente configuradas. DATACOM 9

11 Caso necessite liberar o acesso de um roteador BGP, basta configurar o filtro corretamente. Considerando um peer com IP comunicando com o switch no IP filter new action permit match source-ip host match destination-ip host priority 11 Importante observar também que as prioridades, por serem configuradas diretamente no hardware, possuem uma limitação quanto aos match realizados. Não é possível ter dois filtros com match que analisem bits diferentes em uma mesma prioridade. Os exemplos assim podem ser representados na tabela abaixo: Prioridade Bits analisados (conforme os exemplos anteriores) 9 Destination IP, todos os bits do host 10 Primeiros 24 bits do Source IP, e todos bits do Destination IP 11 Todos bits do Source IP, todos bits do Destination IP Por isso não será possível "compartilhar" uma prioridade com filtros que analisem outros bits. Caso seja necessária uma regra nova, ela deve ser colocada em outra posição dos filtros. Lembrando sempre que a prioridade mais alta é sempre a mais importante, e que todos os matches devem ser respeitados para a regra agir (via um AND lógico). Para questões de economia e simplicidade, regras que analisem os mesmos bits devem ser colocadas na mesma prioridade. Não importa se alguma regra de mesma prioridade seja deny e outra seja permit, por exemplo. Filtros para bloquear ICMP Mesmo não sendo recomendado filtrar os pacotes ICMP, por ser uma peça importante para troubleshooting e manutenção de redes bem como utilizado para descobrimento de MTU fim-a-fim (Discover Path MTU), alguns administradores necessitam bloqueá-lo. O modo correto é configurar um filtro e limitar o envio de ICMP, como abaixo. filter new action deny match protocol icmp Caso deseje-se bloquear apenas para uma determinada rede, a sintaxe é ligeiramente diferente. Como, por exemplo, bloquear ICMP com destino à rede /16. filter new action deny match protocol icmp match destination-ip DATACOM 10

12 Comunidades SNMPv2 e Autenticação SNMPv3 SNMP, Simple Network Managament Protocol, é muito mais do que o nome sugere. Além das famosas MIB de visualização de informações, é possível inclusive realizar operações através de OID específicos. Ações tão poderosas tais como reiniciar o equipamento desejado. A configuração padrão do switch vem com as comunidades public para leitura e private para leitura-escrita. Recomenda-se que estas sejam alteradas para nomes únicos, tais como uma senha. DmSwitch#configure DmSwitch(config)#ip snmp-server community naopublic ro DmSwitch(config)#ip snmp-server community naoprivate rw Também é recomendado o uso, quando possível, do SNMP v3. Por ser uma revisão muito segura, ela é considerada por alguns como "pesada". A configuração requer um usuário, suas permissões, uma algoritmo e uma senha de autenticação, e um algoritmo e uma senha de privacidade. Por exemplo, criando um usuário somente-leitura chamado usuario com autenticação MD5 senhaauth e privacidade AES com senha senhaprivacy, ficaria da seguinte forma. ip snmp-server user usuario ro md5 senhaauth aes senhaprivacy O acesso de um cliente como Net-SNMP para estas informações seria como o abaixo. snmpwalk -l authpriv -v 3 -u usuario -a MD5 -A"senhaAuth" -x AES -X"senhaPrivacy" Uso de filtros e relação com protocolos de roteamento Conforme relatado na seção Filtros para bloquear gerência, os filtros são implementados no hardware e por isso podem afetar o funcionamento de protocolos. Os filtros referenciados neste documento não devem afetar os protocolos de Camada 2 (pois estes trabalham em uma faixa de MACs específicos), porém podem influenciar nos protocolos de roteamento (Camada 3, IP). Nessa mesma seção referenciada foi apresentado que o BGP deve ser explicitamente liberado caso se limite o acesso à gerência via filtros. O BGP trabalha estabelecendo uma sessão TCP entre os roteadores, logo se o filtro bloquear a comunicação IP entre os dois elementos, o protocolo nunca sairá do estado "Idle/Active". A correção foi mencionada anteriormente. Protocolos como RIP e OSPF, por sua vez, agem por meio de pacotes multicast. Um dos primeiros filtros apresentados neste documento é exatamente para controle destes pacotes. Através de testes específicos realizados pela DATACOM, verificamos que o aprendizado das rotas não é prejudicado com os limites informados neste documento. DATACOM 11

13 Exemplo de teste Configuração mínima, sem filtros nem CPU-DoS-Protection Configuração mínima, sem filtros, com CPU-DoS-Protection 180 Configuração com 2 meters para 4 filtros (2 filtros por VLAN), sem CPU-DoS-Protection Configuração com 2 meters para 4 filtros (2 filtros por VLAN) e CPU-DoS-Protection 180 Tempo de aprendizado e encaminhamento de tráfego (menor; média; máximo em para 10 execuções) ; ; ; ; ; ; ; ; Na tabela acima é verificado que sem proteções obtêm-se os melhores tempos. No entanto, ativando proteções o tempo ainda continua aceitável. Em todos os testes foi comprovado que a rede OSPF convergia completamente, sempre sem problemas. Logo, o trade-off da solução traz tranquilidade na sua implementação, pois não ocorrem prejuízos na utilização de filtros de hardware. Configurações recomendadas Ao longo deste documento são apresentadas diversas configurações e suas explicações. Um resumo mais direto para alguns casos comuns de utilização do DmSwitch estão apresentados a seguir. Cada modelo de equipamento está listado em uma subseção. Ilustra-se a topologia explicando a diferença entre as camadas L2 e L3 na figura abaixo. Um roteador encaminha pacotes de uma rede para a outra, enquanto o comutador (switch) apenas encaminha pacotes dentro da mesma rede. DATACOM 12

14 Equipamentos DmSwitch 3000 Exemplos para DmSwitch 3000 seguem a seguir. Switches em camada L2 Um equipamento L2 deve limitar seus acessos à gerência, e controlar os fluxos de possíveis loops em suas VLANs com IP. Limitar o tempo do terminal também é uma boa prática. configure cpu-dos-protection rate-limit 150 cpu-dos-protection block dlf cpu-dos-protection block l3-hdr-err management all-client **IP REDE GERENCIADORES** meter new remark Broadcast_CPU rate-limit 128 burst 128 meter new remark Multicast_CPU rate-limit 128 burst 128 DATACOM 13

15 filter new action permit out-action deny match destination-mac host FF-FF-FF-FF-FF-FF vlan **VLAN DESEJADA** meter 1 filter new action permit out-action deny match destination-mac vlan **VLAN DESEJADA** meter 2 terminal timeout 600 end Switch-Routers operando em camada 2/3 Roteadores L3 estão, em muitos casos, acessíveis na Internet. Devem então estar filtrando em hardware acessos à sua gerência, bem como utilizar o CPU-DoS-Protection para mitigar problemas de CPU quando muitos pacotes são destinados à ela. Equipamentos mistos necessitam atenção especial, por apresentarem os requisitos dos dois modelos. configure cpu-dos-protection rate-limit 180 meter new remark Broadcast_CPU rate-limit 128 burst 128 meter new remark Multicast_CPU rate-limit 128 burst 128 filter new action permit out-action deny match destination-mac host FF-FF-FF-FF-FF-FF vlan **VLAN DESEJADA** meter 1 filter new action permit out-action deny match destination-mac vlan **VLAN DESEJADA** meter 2 management all-client **IP REDE GERENCIADORES** Filtro abaixo, para cada rede gerenciadora e para cada IP que se desejar permitir gerência da caixa. filter new action permit match source-ip **IP REDE GERENCIADORES** **MÁSCARA DA REDE DOS GERENCIADORES, EM NOTAÇÃO DECIMAL COM PONTOS ( )** match destination-ip host **IP GERÊNCIA** priority 8 Filtro abaixo, para quantos IPs existirem. filter new action deny match destination-ip host **IP GERÊNCIA** priority 7 ip snmp-server community **COMUNIDADE SOMENTE-LEITURA** ro ip snmp-server community **COMUNIDADE ESCRITA-LEITURA** rw terminal timeout 600 end DATACOM 14

16 Caso existam várias VLANS com endereços IP, é importante que todos estes IPs estejam cadastrados nos filtros. Cada filtro que estiver olhando os mesmos BITS pode compartilhar a mesma PRIORIDADE. Vide tabela na seção Filtros para bloquear gerência, onde também encontram-se exemplos mais detalhados. Equipamentos DM4000 A família DM4000 possui pequenas diferenças nos seus filtros, que são demonstrados abaixo. Switches em camada L2 Um equipamento L2 deve limitar seus acessos à gerência, e controlar os fluxos de possíveis loops em suas VLANs com IP. Limitar o tempo do terminal também é uma boa prática. configure cpu-dos-protection block dlf cpu-dos-protection block l3-hdr-err DM4001: cpu-dos-protection rate-limit 350 DM4004: cpu-dos-protection rate-limit 750 management all-client **IP REDE GERENCIADORES** meter new remark Broadcast_CPU rate-limit 128 burst 128 meter new remark Multicast_CPU rate-limit 128 burst 128 filter new action red-deny match destination-mac host FF-FF-FF-FF-FF-FF match vlan **VLAN DESEJADA** meter 1 filter new action permit out-action deny match destination-mac vlan **VLAN DESEJADA** meter 2 terminal timeout 600 end Switch-Routers operando em camada 2/3 Roteadores L3 estão, em muitos casos, acessíveis na Internet. Devem então estar filtrando em hardware acessos à sua gerência, bem como utilizar o CPU-DoS-Protection para mitigar problemas de CPU quando muitos pacotes são destinados à ela. Equipamentos mistos necessitam atenção especial, por apresentarem os requisitos dos dois modelos. configure DM4001: cpu-dos-protection rate-limit 350 DM4004: cpu-dos-protection rate-limit 750 management all-client **IP REDE GERENCIADORES** DATACOM 15

17 meter new remark Broadcast_CPU rate-limit 128 burst 128 meter new remark Multicast_CPU rate-limit 128 burst 128 filter new action red-deny match destination-mac host FF-FF-FF-FF-FF-FF match vlan **VLAN DESEJADA** meter 1 filter new action permit out-action deny match destination-mac vlan **VLAN DESEJADA** meter 2 management all-client **IP REDE GERENCIADORES** Filtro abaixo, para cada rede gerenciadora e para cada IP que se desejar permitir gerência da caixa. filter new action permit match source-ip **IP REDE GERENCIADORES** **MÁSCARA DA REDE DOS GERENCIADORES, EM NOTAÇÃO DECIMAL COM PONTOS ( )** match destination-ip host **IP GERÊNCIA** priority 8 Filtro abaixo, para quantos IPs existirem. filter new action red-deny match destination-ip host **IP GERÊNCIA** priority 7 ip snmp-server community **COMUNIDADE SOMENTE-LEITURA** ro ip snmp-server community **COMUNIDADE ESCRITA-LEITURA** rw terminal timeout 600 end Caso existam várias VLANS com endereços IP, é importante que todos estes IPs estejam cadastrados nos filtros. Cada filtro que estiver olhando os mesmos BITS pode compartilhar a mesma PRIORIDADE. Vide tabela na seção Filtros para bloquear gerência, onde também encontram-se exemplos mais detalhados. Interação entre os modos de proteção Algumas notas são necessárias sobre a interação entre os modos de proteção disponíveis na família DmSwitch. Em especial, sobre o uso de filtros e cpu-dos-protection. Ao longo do documento foram demonstrados usos destas duas ferramentas, porém um leitor poderia perguntar-se, por quê não utilizar somente uma das proteções? Por quê um método não é eficaz sem o apoio do outro? Ambos métodos são eficazes individualmente, porém o uso em conjunto trata cobre uma gama maior de eventos. Enquanto a cpu-dos-protection evita que muitos pacotes cheguem à CPU, sobrecarregando os processos de tratamento de mensagens, os filtros de broadcast e multicast evitam que mensagens importantes de controle (exemplo são protocolos L2, STP, EAPS) sejam enfileiradas concorrendo com tratamentos secundários (ARP para hosts desconhecidos, por exemplo). DATACOM 16

18 Existem outros controladores, não relacionados com a gerência, como por exemplo o storm-control nas interfaces. O storm-control limita os seguintes tráfegos: broadcast; multicast; unicast para MACs destino desconhecidos. Ressaltamos que este controle é por interface, independente de VLAN e para todos os dados que estiverem trafegando por este meio. Logo, valores muito baixos para o controle afetarão diretamente o funcionamento das VLANs ali comunicando. Por padrão, o storm-control vem habilitado e com um limite de 500 pacotes por segundo. Para alterar, deve-se entrar na interface e ajustar individualmente cada um dos limitadores. O bloqueio de pacotes l3 header error e DLF para equipamentos L2 é ativado opcionalmente, não vindo por padrão para manter compatibilidade com o comportamento anterior à versão Cada topologia requer uma análise do impacto para ativar esta configuração, devendo ser realizada com o devido cuidado para evitar interrupções no serviço disponibilizado. Prioridades no encaminhamento pacotes para a CPU Redes com controle de QoS, e ajustes nas filas disponibilizadas para cada tipo de tráfego, são beneficiadas por uma técnica de controle na prioridade dos pacotes do comutador para a CPU. Esta técnica, cpu protocol priority, é suportada em toda família DmSwitch. DmSwitch#show cpu protocol priority CPU Protocols Priorities: L2-protocol: 7 Unknown: 7 Tunnel: 5 Default: 7 Os pacotes são divididos em quatro grupos, acima listados. Eles significam, respectivamente, pacotes de: controle L2 (i.e., STP, EAPS); origem/destino desconhecido (i.e., Destination Lookup Failure, L3 para host não na hosts-table); tunelamento/tunelados; tráfego padrão. O número ao lado do grupo representa qual fila 802.1P que será atribuida no campo CoS do pacote quando este for enviado para a CPU. Caso esta informação de CoS tenha sido modificada na topologia geral da rede, em casos onde filas específicas estão configuradas para certos serviços, a alteração é através do menu de configuração. DATACOM 17

19 DmSwitch(config)#cpu protocol priority l2-protocol Configure priority to l2 protocols packets unknown Configure priority to unknown source/destination packets tunnel Configure priority to tunneled packets default Configure the default packet priority Pacotes IP da gerência são considerados tráfego default nesta tabela. Esta informação não altera o comportamento de pacotes que não tenham como origem ou destino a CPU. Troubleshooting Eventualmente pode-se fazer necessário o uso de técnicas para Troubleshooting, de forma a compreender melhor o comportamento da rede. Dentre as técnicas disponíveis, estão as visualizações do consumo de CPU e dos logs. Outras visualizações, como os contadores dos pacotes alcançando a CPU ou mesmo contadores individuais por filtro, também estão disponíveis. Primeiramente, é proposto um hipotético cenário onde o equipamento está sob um ataque de flood originado na Internet. Isso pode ser inicialmente verificado caso encontre-se lentidão na gerência do mesmo ou através de sistemas de monitoramento. Consumo de CPU e pacotes atingindo o kernel Verificando o comando show cpu usage, vemos o consumo da CPU. DmSwitch#show cpu usage (STATUS: S=sleeping R=running W=waiting) %CPU 5Sec 1Min 5Min CPU TOTAL USAGE: PID PROCESS STATUS 200 rx_pkt R TX S l2_shadow.0 S io_status S RX S interrupt S cpu_monitor R l3_arp S counter.0 S linkscan.0 S tx_pkt S O consumo está elevado, maior do que o limear de 90\%. Através dos logs, investiga-se se este evento é recente e intermitente. DATACOM 18

20 DmSwitch#show log ram tail Jul 30 11:54:21 DmSwitch : <5> Interface Ethernet 1/22 changed state to up Jul 30 11:54:21 DmSwitch : <5> Interface Ethernet 1/22 changed state to down Jul 30 11:54:39 DmSwitch : <5> Interface Ethernet 1/1 changed state to up Jul 30 11:54:42 DmSwitch : <5> Interface Ethernet 1/22 changed state to up Jul 30 12:01:52 DmSwitch : <5> Interface Ethernet 1/1 changed state to down Jul 30 12:02:39 DmSwitch : <5> Interface Ethernet 1/22 changed state to down Jul 30 12:03:14 DmSwitch : <2> CPU usage > 90.00% (rx_pkt 59.96%; TX 16.39%; RX 6.33%) Jul 30 12:03:22 DmSwitch : <5> Interface Ethernet 1/1 changed state to up Jul 30 12:03:31 DmSwitch : <5> Interface Ethernet 1/22 changed state to up Jul 30 12:04:35 DmSwitch : <2> CPU usage < 90.00% DmSwitch# No log constam vários eventos, que podem ser importantes para o caso ou não. Os eventos nas portas 1/1 e 1/22 não importam para o consumo de CPU pelo processo rx_pkt, que durou cerca de 81 segundos (entre 12:03:14 e 12:04:34). O processo rx_pkt, como o nome já explica, trata do recebimento de pacotes pelo kernel do DmSwitch. Como este é um processo genérico, há um comando que permite a visualização dos totais de pacotes recebidos. Esta é a função do show cpu packets. DmSwitch#show cpu packets CPU Received Packets: X: 0 ARP: EAPS: 0 GVRP: 0 IGMP: 0 IPv4: ICMP: SSH: 0 Telnet: 341 TACACS: 0 RADIUS: 0 TFTP: 0 SNMP: 5451 SNTP: 0 HTTP: 0 DHCP: 0 DNS: 0 PIM: 0 RIP: 0 OSPF: 8779 BGP: 0 L2 Protocol Tunnelling: 0 L2 Unknown Source: 0 L3 Unknown Destination: L3 Unknown Gateway: 268 LACP: 0 LLDP: 1812 Loopback Detection: OAM: 0 PVST: 0 DATACOM 19

21 Slow Protocols: 0 STP: VTP: 185 DmSwitch# Existem dezenas de pacotes diferentes listados, o que facilita a interpretação dos mais diferentes cenários. Por serem contadores incrementais ao longo do tempo, existe um comando para zerar os contadores. É uma boa forma de saber quantos pacotes foram recebidos entre um clear e outro, possibilitando a realização do cálculo de delta. O comando é clear cpu packets. Contadores de filtros Cada filtro pode, individualmente, ter contadores para demonstrar quantos pacotes ou bytes foram tratados pelos match ali configurados. O DmSwitch3000 permite apenas que sejam contabilizados os pacotes, enquanto a família DM4000 permite ambas análises. No DmSwitch3000, a criação e alteração de um filtro é simples. Considerando os filtros já criados neste documento, pode-se atrelar um contador a um filtro em específico. DmSwitch(config)#counter new Counter 1 created. DmSwitch(config)#filter 1 action counter 1 DmSwitch(config)# Na família DM4000 a criação do counter, do meter e do filtro ficam ligeiramente diferentes. O contador possuirá, na verdade, dois contadores (upper e lower). Ou seja, se o filtro permitiu o pacote marcará no contador green, caso tenha negado será no contador red. Estes parâmetros são configuráveis. DM4000(config)#counter new mode upper green lower red type packets Counter 1 created. DM4000(config)#meter new mode flow burst 64 rate-limit 64 Meter 1 created. DM4000(config)#filter new meter 1 action counter 1 action permit action red-deny match source-ip host Filter 1 created. DM4000(config)#show filter Filter 1: enabled, priority 8 Actions: permit red-deny counter 1 Matches: source-ip host Meter: 1 Ingress: Eth2/1 to Eth4/24 DM4000(config)#show counter values id 1 ID Filter Upper Counter Value Lower Counter Value DM4000(config)# DATACOM 20

22 Considerações Finais Com as informações apresentadas neste documento é possível ajustar a quantidade de pacotes por segundo que chegarão na CPU do equipamento. Este número, que poderá influenciar em redes muito movimentadas, não altera o comportamento do comutador de pacotes, apenas a proteção da CPU de controle. Ou seja, valores fora dos limiares indicados poderão influenciar a gerência do equipamento ou causar instabilidades, porém, caso contrário, não devem ser causadores de retardo na comunicação intra-nodos. Foram também demonstradas as capacidades de controle ao acesso à gerência do equipamento, muito importante para evitar que terceiros não-autorizados façam alterações de configuração. Ao final do documento são informadas algumas políticas recomendadas para equipamentos DmSwitch em diferentes funções de uma rede. DATACOM 21

Application Notes: VRRP. Aplicabilidade do Virtual Router Redundancy Protocol no DmSwitch

Application Notes: VRRP. Aplicabilidade do Virtual Router Redundancy Protocol no DmSwitch Application Notes: VRRP Aplicabilidade do Virtual Router Redundancy Protocol no DmSwitch Parecer Introdução Desenvolvimento inicial Setup básico Setup com roteamento dinâmico Explorando possibilidades

Leia mais

Application Notes: QoS Básico. Exemplo para aplicação de QoS

Application Notes: QoS Básico. Exemplo para aplicação de QoS Application Notes: QoS Básico Exemplo para aplicação de QoS Application Notes: QoS Básico Exemplo para aplicação de QoS. Data 15/03/2010, Revisão 1.2 Introdução Topologia e configurações do DmSwitch Aplicação

Leia mais

Application Notes: SNMP. Configuração do protocolo SNMP

Application Notes: SNMP. Configuração do protocolo SNMP Application Notes: SNMP Configuração do protocolo SNMP Application Notes: SNMP Configuração do protocolo SNMP. Data 10/05/2010, Revisão 1.1 Introdução Desenvolvimento Configurando o Protocolo SNMP Traps

Leia mais

Roteamento e Comutação

Roteamento e Comutação Roteamento e Comutação Uma estação é considerada parte de uma LAN se pertencer fisicamente a ela. O critério de participação é geográfico. Quando precisamos de uma conexão virtual entre duas estações que

Leia mais

Application Notes: Monitoramento SNMP. Monitoramento SNMP com Cacti

Application Notes: Monitoramento SNMP. Monitoramento SNMP com Cacti Application Notes: Monitoramento SNMP Monitoramento SNMP com Cacti Application Notes: Monitoramento SNMP Monitoramento SNMP com Cacti. Data 30/04/2010, Revisão 1.1 Introdução Desenvolvimento Introdução

Leia mais

Segurança de Redes. Firewall. Filipe Raulino filipe.raulino@ifrn.edu.br

Segurança de Redes. Firewall. Filipe Raulino filipe.raulino@ifrn.edu.br Segurança de Redes Firewall Filipe Raulino filipe.raulino@ifrn.edu.br Introdução! O firewall é uma combinação de hardware e software que isola a rede local de uma organização da internet; Com ele é possível

Leia mais

Segurança de Rede Prof. João Bosco M. Sobral 1

Segurança de Rede Prof. João Bosco M. Sobral 1 1 Sinopse do capítulo Problemas de segurança para o campus. Soluções de segurança. Protegendo os dispositivos físicos. Protegendo a interface administrativa. Protegendo a comunicação entre roteadores.

Leia mais

PROAPPS Security Data Sheet Professional Appliance / Apresentação

PROAPPS Security Data Sheet Professional Appliance / Apresentação O ProApps Security O ProApps Security é um componente da suíte de Professional Appliance focada na segurança de sua empresa ou rede. A solução pode atuar como gateway e como solução IDS/IPS no ambiente.

Leia mais

AGENTE PROFISSIONAL - ANALISTA DE REDES

AGENTE PROFISSIONAL - ANALISTA DE REDES Página 1 CONHECIMENTO ESPECÍFICO 01. Suponha um usuário acessando a Internet por meio de um enlace de 256K bps. O tempo mínimo necessário para transferir um arquivo de 1M byte é da ordem de A) 4 segundos.

Leia mais

Aula 4. Pilha de Protocolos TCP/IP:

Aula 4. Pilha de Protocolos TCP/IP: Aula 4 Pilha de Protocolos TCP/IP: Comutação: por circuito / por pacotes Pilha de Protocolos TCP/IP; Endereçamento lógico; Encapsulamento; Camada Internet; Roteamento; Protocolo IP; Classes de endereços

Leia mais

Application Notes: VLAN-Translate & QinQ. Utilização e exemplos de aplicação

Application Notes: VLAN-Translate & QinQ. Utilização e exemplos de aplicação Application Notes: VLAN-Translate & QinQ Utilização e exemplos de aplicação Application Notes: VLAN-Translate & QinQ Utilização e exemplos de aplicação. Data 17/06/2010, Revisão 1.2 Parecer Introdução

Leia mais

Switch de Acesso Fast Ethernet Modelo de Referência - Cisco SRW224G4

Switch de Acesso Fast Ethernet Modelo de Referência - Cisco SRW224G4 Switch de Acesso Fast Ethernet Modelo de Referência - Cisco SRW224G4 Switch Fast Ethernet com as seguintes configurações mínimas: capacidade de operação em camada 2 do modelo OSI; 24 (vinte e quatro) portas

Leia mais

Modelo em Camadas Arquitetura TCP/IP/Ethernet. Edgard Jamhour

Modelo em Camadas Arquitetura TCP/IP/Ethernet. Edgard Jamhour Modelo em Camadas Arquitetura TCP/IP/Ethernet Edgard Jamhour Ethernet não-comutada (CSMA-CD) A Ethernet não-comutada baseia-se no princípio de comunicação com broadcast físico. a b TIPO DADOS (até 1500

Leia mais

Prof. Luís Rodolfo. Unidade III REDES DE COMPUTADORES E TELECOMUNICAÇÃO

Prof. Luís Rodolfo. Unidade III REDES DE COMPUTADORES E TELECOMUNICAÇÃO Prof. Luís Rodolfo Unidade III REDES DE COMPUTADORES E TELECOMUNICAÇÃO Redes de computadores e telecomunicação Objetivos da Unidade III Apresentar as camadas de Transporte (Nível 4) e Rede (Nível 3) do

Leia mais

Projeto e Instalação de Servidores IPv6. Prof.: Roberto Franciscatto

Projeto e Instalação de Servidores IPv6. Prof.: Roberto Franciscatto Projeto e Instalação de Servidores IPv6 Prof.: Roberto Franciscatto Introdução Problema Escassez de endereços IPs disponíveis Algumas empresas são detentoras de faixas de endereços classe A inteiras Introdução

Leia mais

Redes TCP/IP. Prof. M.Sc. Alexandre Fraga de Araújo. alexandref@ifes.edu.br. INSTITUTO FEDERAL DO ESPÍRITO SANTO Campus Cachoeiro de Itapemirim

Redes TCP/IP. Prof. M.Sc. Alexandre Fraga de Araújo. alexandref@ifes.edu.br. INSTITUTO FEDERAL DO ESPÍRITO SANTO Campus Cachoeiro de Itapemirim Redes TCP/IP alexandref@ifes.edu.br Camada de Redes 2 O que acontece na camada de rede Transporta segmentos do hospedeiro transmissor para o receptor Roteador examina campos de cabeçalho em todos os datagramas

Leia mais

Aula 03 Regras de Segmentação e Switches

Aula 03 Regras de Segmentação e Switches Disciplina: Dispositivos de Rede II Professor: Jéferson Mendonça de Limas 4º Semestre Aula 03 Regras de Segmentação e Switches 2014/1 19/08/14 1 2de 38 Domínio de Colisão Os domínios de colisão são os

Leia mais

Na Figura a seguir apresento um exemplo de uma "mini-tabela" de roteamento:

Na Figura a seguir apresento um exemplo de uma mini-tabela de roteamento: Tutorial de TCP/IP - Parte 6 - Tabelas de Roteamento Por Júlio Cesar Fabris Battisti Introdução Esta é a sexta parte do Tutorial de TCP/IP. Na Parte 1 tratei dos aspectos básicos do protocolo TCP/IP. Na

Leia mais

Introdução Introduç ão Rede Rede TCP/IP Roteame Rotea nto nto CIDR

Introdução Introduç ão Rede Rede TCP/IP Roteame Rotea nto nto CIDR Introdução as Redes TCP/IP Roteamento com CIDR LAN = Redes de Alcance Local Exemplo: Ethernet II não Comutada Barramento = Broadcast Físico Transmitindo ESCUTANDO ESCUTANDO A quadro B C B A. DADOS CRC

Leia mais

Aula 07 - Ferramentas para Administração e Gerência de Redes

Aula 07 - Ferramentas para Administração e Gerência de Redes Arquitetura do Protocolo da Internet Aula 07 - Ferramentas para Administração e Gerência de Redes Prof. Esp. Camilo Brotas Ribeiro cribeiro@catolica-es.edu.br Revisão AS ou SA; IGP e EGP; Vetor de Distância,

Leia mais

Redes de Computadores

Redes de Computadores 1 Elmano R. Cavalcanti Redes de Computadores Camada de Rede elmano@gmail.com facisa-redes@googlegroups.com http://sites.google.com/site/elmano Esta apresentação contém slides fornecidos pela Editora Pearson

Leia mais

Redes de computadores e a Internet. A camada de rede

Redes de computadores e a Internet. A camada de rede Redes de computadores e a Internet Capitulo Capítulo 4 A camada de rede A camada de rede Objetivos do capítulo: Entender os princípios dos serviços da camada de rede: Roteamento (seleção de caminho) Escalabilidade

Leia mais

A camada de rede. A camada de rede. A camada de rede. 4.1 Introdução. 4.2 O que há dentro de um roteador

A camada de rede. A camada de rede. A camada de rede. 4.1 Introdução. 4.2 O que há dentro de um roteador Redes de computadores e a Internet Capitulo Capítulo A camada de rede.1 Introdução.2 O que há dentro de um roteador.3 IP: Protocolo da Internet Endereçamento IPv. Roteamento.5 Roteamento na Internet (Algoritmos

Leia mais

Redes. Pablo Rodriguez de Almeida Gross

Redes. Pablo Rodriguez de Almeida Gross Redes Pablo Rodriguez de Almeida Gross Conceitos A seguir serão vistos conceitos básicos relacionados a redes de computadores. O que é uma rede? Uma rede é um conjunto de computadores interligados permitindo

Leia mais

Protocolo TCP/IP. Protocolo TCP/IP. Protocolo TCP/IP. Protocolo TCP/IP. Conexão de Redes. Protocolo TCP/IP. Arquitetura Internet.

Protocolo TCP/IP. Protocolo TCP/IP. Protocolo TCP/IP. Protocolo TCP/IP. Conexão de Redes. Protocolo TCP/IP. Arquitetura Internet. Origem: Surgiu na década de 60 através da DARPA (para fins militares) - ARPANET. Em 1977 - Unix é projetado para ser o protocolo de comunicação da ARPANET. Em 1980 a ARPANET foi dividida em ARPANET e MILINET.

Leia mais

Laboratório. Assunto: endereçamento IP e roteamento.

Laboratório. Assunto: endereçamento IP e roteamento. Assunto: endereçamento IP e roteamento. Laboratório Objetivo: verificar conectivade básica com a rede, atribuir (estaticamente) endereços IP, adicionar rotas (manualmente) e verificar o caminho seguido

Leia mais

Laboratório - Visualização das tabelas de roteamento do host

Laboratório - Visualização das tabelas de roteamento do host Laboratório - Visualização das tabelas de roteamento do host Topologia Objetivos Parte 1: Acessar a tabela de roteamento de host Parte 2: Examinar as entradas da tabela de roteamento de host IPv4 Parte

Leia mais

Curso de extensão em Administração de sistemas GNU/Linux: redes e serviços

Curso de extensão em Administração de sistemas GNU/Linux: redes e serviços Curso de extensão em Administração de sistemas GNU/Linux: redes e serviços - italo@dcc.ufba.br Gestores da Rede Acadêmica de Computação Departamento de Ciência da Computação Universidade Federal da Bahia,

Leia mais

Descrição da atividade: elaborar um relatório sobre Prova de Conceito de ataque Man in the Middle (MITM) através do transbordamento da tabela MAC.

Descrição da atividade: elaborar um relatório sobre Prova de Conceito de ataque Man in the Middle (MITM) através do transbordamento da tabela MAC. Tecnologia de Redes - Marissol Descrição da atividade: elaborar um relatório sobre Prova de Conceito de ataque Man in the Middle (MITM) através do transbordamento da tabela MAC. Definições e Conceitos

Leia mais

Redes de Computadores II. Professor Airton Ribeiro de Sousa

Redes de Computadores II. Professor Airton Ribeiro de Sousa Redes de Computadores II Professor Airton Ribeiro de Sousa 1 PROTOCOLO IP IPv4 - Endereçamento 2 PROTOCOLO IP IPv4 - Endereçamento A quantidade de endereços possíveis pode ser calculada de forma simples.

Leia mais

Iniciando a configuração do BOT

Iniciando a configuração do BOT Iniciando a configuração do BOT Traduzido por: Antonio Edivaldo de O. Gaspar, edivaldo.gaspar(at)gmail(dot)com Texto original: http://www.blockouttraffic.de/gettingstarted.php Revisado em: 25/07/06 09:00

Leia mais

IPTABLES. Helder Nunes Haanunes@gmail.com

IPTABLES. Helder Nunes Haanunes@gmail.com IPTABLES Helder Nunes Haanunes@gmail.com Firewall Hoje em dia uma máquina sem conexão com a internet praticamente tem o mesmo valor que uma máquina de escrever. É certo que os micros precisam se conectar

Leia mais

Aula prática. Objetivo IPCONFIG. Prof. Leandro Pykosz Leandro@sulbbs.com.br. Informa a configuração atual de rede da máquina;

Aula prática. Objetivo IPCONFIG. Prof. Leandro Pykosz Leandro@sulbbs.com.br. Informa a configuração atual de rede da máquina; Aula prática Prof. Leandro Pykosz Leandro@sulbbs.com.br Objetivo Nesta aula, você aprenderá a utilizar alguns utilitários de rede que podem ajudá-lo a identificar problemas na rede. No windows existem

Leia mais

Curso de extensão em Administração de sistemas GNU/Linux: redes e serviços

Curso de extensão em Administração de sistemas GNU/Linux: redes e serviços Curso de extensão em Administração de sistemas GNU/Linux: redes e serviços Italo Valcy - italo@dcc.ufba.br Gestores da Rede Acadêmica de Computação Departamento de Ciência da Computação Universidade Federal

Leia mais

1 INTRODUÇÃO À GERÊNCIA DE REDES...15

1 INTRODUÇÃO À GERÊNCIA DE REDES...15 SUMÁRIO 1 INTRODUÇÃO À GERÊNCIA DE REDES...15 1.1 INTRODUÇÃO À GERÊNCIA DE REDES DE COMPUTADORES...16 1.2 O PAPEL DO GERENTE DE REDES...18 1.3 VOCÊ: O MÉDICO DA REDE...20 1.4 REFERÊNCIAS...23 1.4.1 Livros...23

Leia mais

L A B O RATÓRIO DE REDES

L A B O RATÓRIO DE REDES L A B O RATÓRIO DE REDES TRÁFEGO, ENQUADRAMEN TO, DEFAU LT G A TEWA Y E ARP. VALE 2,0 P ONT OS. INTRODUÇÃO AO LABORATÓRIO Nosso laboratório é composto de três hosts Linux, representados pelo símbolo de

Leia mais

TCP é um protocolo de TRANSMISSÃO, responsável pela confiabilidade da entrega da informação.

TCP é um protocolo de TRANSMISSÃO, responsável pela confiabilidade da entrega da informação. Protocolo TCP/IP PROTOCOLO é um padrão que especifica o formato de dados e as regras a serem seguidas para uma comunicação a língua comum a ser utilizada na comunicação. TCP é um protocolo de TRANSMISSÃO,

Leia mais

Switch de Borda - 48 portas de 1 Gbps

Switch de Borda - 48 portas de 1 Gbps CENTRO FEDERAL DE EDUCAÇÃO TECNOLÓGICA CELSO SUCKOW DA FONSECA Switch de Borda - 48 portas de 1 Gbps Especificações Técnicas Característica/Configurações/Requisitos mínimos: Descrição do Material Switch

Leia mais

Camada de Rede. Prof. Leonardo Barreto Campos 1

Camada de Rede. Prof. Leonardo Barreto Campos 1 Camada de Rede Prof. Leonardo Barreto Campos 1 Sumário Introdução; Internet Protocol IP; Fragmentação do Datagrama IP; Endereço IP; Sub-Redes; CIDR Classes Interdomain Routing NAT Network Address Translation

Leia mais

Alta disponibilidade utilizando Roteamento Virtual no RouterOS GUILHERME RAMIRES

Alta disponibilidade utilizando Roteamento Virtual no RouterOS GUILHERME RAMIRES Alta disponibilidade utilizando Roteamento Virtual no RouterOS GUILHERME RAMIRES Nome: Guilherme M. Ramires Analista de Sistemas Pós-Graduado em Tecnologia e Gerenciamento de Redes de Computadores CEO

Leia mais

Redes de Computadores

Redes de Computadores Departamento de Informática UFPE Redes de Computadores Nível de Redes - Exemplos jamel@cin.ufpe.br Nível de Rede na Internet - Datagramas IP Não orientado a conexão, roteamento melhor esforço Não confiável,

Leia mais

Introdução Fourth level à Tecnologia Cisco

Introdução Fourth level à Tecnologia Cisco Instituto Federal do Ceará IFCE Campus de Canindé Prof. DSc. Rodrigo Costa - rodrigo.costa@ifce.edu.br Introdução à Tecnologia Cisco Definições Básicas Mercado em Redes Componentes Básicos Funcionamento

Leia mais

Redes de Computadores II INF-3A

Redes de Computadores II INF-3A Redes de Computadores II INF-3A 1 ROTEAMENTO 2 Papel do roteador em uma rede de computadores O Roteador é o responsável por encontrar um caminho entre a rede onde está o computador que enviou os dados

Leia mais

Entendendo como funciona o NAT

Entendendo como funciona o NAT Entendendo como funciona o NAT Vamos inicialmente entender exatamente qual a função do NAT e em que situações ele é indicado. O NAT surgiu como uma alternativa real para o problema de falta de endereços

Leia mais

Objetivos: i) Verificar o impacto de loops em redes locais ii) Configurar o protocolo STP para remover loops da rede

Objetivos: i) Verificar o impacto de loops em redes locais ii) Configurar o protocolo STP para remover loops da rede Laboratório de Redes de Computadores 2 8 o experimento Objetivos: i) Verificar o impacto de loops em redes locais ii) Configurar o protocolo STP para remover loops da rede Introdução A interligação de

Leia mais

Sugestão acatada. A redação do item 2.43 será alterada para Implementar

Sugestão acatada. A redação do item 2.43 será alterada para Implementar DEFINIÇÕES E RESPOSTAS AS SUGESTÕES APRESENTADAS PELO REPRESENTANTE GLOBALRED, VIA E-MAIL, DATADO DE 18/03/2011, RELATIVAS À CONSULTA PÚBLICA, REALIZADA NO DIA 16/03/2010, VISANDO DISCUSSÃO DAS ESPECIFICAÇÕES

Leia mais

Guia de configuração para liberar Portas no DSLink 260E para acesso via PPPoE Rev. 3.3

Guia de configuração para liberar Portas no DSLink 260E para acesso via PPPoE Rev. 3.3 Guia de configuração para liberar Portas no DSLink 260E para acesso via PPPoE Rev. 3.3 http://www.dslink.com.br/ Índice Como conectar o modem DSLink 260E ao meu computador?... 3 Configurando o modem como

Leia mais

Endereço IP Privado. Endereçamento IP. IP Protocolo da Internet. Protocolos da. Camada de Inter-Rede (Internet)

Endereço IP Privado. Endereçamento IP. IP Protocolo da Internet. Protocolos da. Camada de Inter-Rede (Internet) Protocolos da Camada de Inter- (Internet) IP Protocolo da Internet. Não Confiável; Não Orientado à conexão; Trabalha com Datagramas; Roteável; IPv 4 32 bits; IPv 6 128 bits; Divisão por Classes (A,B,C,D,E);

Leia mais

Uso do iptables como ferramenta de firewall.

Uso do iptables como ferramenta de firewall. Uso do iptables como ferramenta de firewall. Rafael Rodrigues de Souza rafael@tinfo.zzn.com Administração em Redes Linux Universidade Federal de Lavra UFLA RESUMO O artigo pretende abordar o uso de firewalls

Leia mais

Redes TCP/IP. Prof. M.Sc. Alexandre Fraga de Araújo. alexandref@ifes.edu.br. INSTITUTO FEDERAL DO ESPÍRITO SANTO Campus Cachoeiro de Itapemirim

Redes TCP/IP. Prof. M.Sc. Alexandre Fraga de Araújo. alexandref@ifes.edu.br. INSTITUTO FEDERAL DO ESPÍRITO SANTO Campus Cachoeiro de Itapemirim Redes TCP/IP alexandref@ifes.edu.br Camada de Redes (Continuação) 2 Camada de Rede 3 NAT: Network Address Translation restante da Internet 138.76.29.7 10.0.0.4 rede local (ex.: rede doméstica) 10.0.0/24

Leia mais

** Distance Vector - Trabalha com a métrica de Salto(HOP),. O protocolo que implementa o Distance Vector é o RIP.!

** Distance Vector - Trabalha com a métrica de Salto(HOP),. O protocolo que implementa o Distance Vector é o RIP.! Laboratório wireshark Número de sequencia: syn syn ack ack Cisco Packet Tracer Roteador trabalha em dois modos de operação: - Modo Normal - símbolo > - Modo Root - símbolo # ##################################################################

Leia mais

Application Notes: DmSwitch AAA. Uso do TACACS

Application Notes: DmSwitch AAA. Uso do TACACS Application Notes: DmSwitch AAA Uso do TACACS Application Notes: DmSwitch AAA Uso do TACACS. Data 11/06/2010, Revisão 1.0 1. Introdução 2. Instalação do tacplus 2.1. Instalação do tacplus 2.1.1. Atualizar

Leia mais

Redes de Computadores. 1 Questões de múltipla escolha. TE090 - Prof. Pedroso. 17 de junho de 2015

Redes de Computadores. 1 Questões de múltipla escolha. TE090 - Prof. Pedroso. 17 de junho de 2015 TE090 - Prof. Pedroso 17 de junho de 2015 1 Questões de múltipla escolha Exercício 1: Suponha que um roteador foi configurado para descobrir rotas utilizando o protocolo RIP (Routing Information Protocol),

Leia mais

Máscaras de sub-rede. Fórmula

Máscaras de sub-rede. Fórmula Máscaras de sub-rede As identificações de rede e de host em um endereço IP são diferenciadas pelo uso de uma máscara de sub-rede. Cada máscara de sub-rede é um número de 32 bits que usa grupos de bits

Leia mais

Redes de Computadores

Redes de Computadores Redes de Computadores CAMADA DE REDE DHCP NAT IPv6 Slide 1 Protocolo DHCP Protocolo de Configuração Dinâmica de Hospedeiros (Dynamic Host Configuration Protocol DHCP), RFC 2131; Obtenção de endereço de

Leia mais

Consulte a exposição. Qual declaração descreve corretamente como R1 irá determinar o melhor caminho para R2?

Consulte a exposição. Qual declaração descreve corretamente como R1 irá determinar o melhor caminho para R2? 1. Que duas declarações descrevem corretamente os conceitos de distância administrativa e métrica? (Escolha duas.) a) Distância administrativa refere-se a confiabilidade de uma determinada rota. b) Um

Leia mais

CPE Soft Manual. 125/400mW 2.4GHz. CPE Soft

CPE Soft Manual. 125/400mW 2.4GHz. CPE Soft CPE Soft Manual 125/400mW 2.4GHz CPE Soft Campinas - SP 2010 Indice 1.1 Acessando as configurações. 2 1.2 Opções de configuração... 3 1.3 Wireless... 4 1.4 TCP/IP 5 1.5 Firewall 6 7 1.6 Sistema 8 1.7 Assistente...

Leia mais

DmSwitch 3000 Series maio de 2015

DmSwitch 3000 Series maio de 2015 DmSwitch 3000 Series maio de 2015 DmSwitch 3000 Metro Ethernet Series A linha de produtos DmSwitch 3000 oferece soluções confiáveis de alto desempenho para ambientes Metro Ethernet LAN e Redes Corporativas.

Leia mais

INSTITUTO SUPERIOR DE ENGENHARIA DE LISBOA

INSTITUTO SUPERIOR DE ENGENHARIA DE LISBOA INSTITUTO SUPERIOR DE ENGENHARIA DE LISBOA ÁREA DEPARTAMENTAL DE ENGENHARIA DE ELECTRÓNICA E TELECOMUNICAÇÕES E DE COMPUTADORES Redes de Computadores (LEIC/LEETC/LERCM) Nome: Nº de aluno: 3ª Ficha de Avaliação

Leia mais

ConneXium TCSESM, TCSESM-E Managed Switch

ConneXium TCSESM, TCSESM-E Managed Switch ConneXium TCSESM, TCSESM-E Managed Switch Exemplo de configuração de VLAN s com portas compartilhadas e bloqueio das portas por endereçamento IP utilizando as ferramentas Ethernet Switch Configurator e

Leia mais

Senha Admin. Nessa tela, você poderá trocar a senha do administrador para obter acesso ao NSControl. Inicialização

Senha Admin. Nessa tela, você poderá trocar a senha do administrador para obter acesso ao NSControl. Inicialização Manual do Nscontrol Principal Senha Admin Nessa tela, você poderá trocar a senha do administrador para obter acesso ao NSControl. Inicialização Aqui, você poderá selecionar quais programas você quer que

Leia mais

Endereçamento IP, Sub-redes e Roteamento

Endereçamento IP, Sub-redes e Roteamento Segurança em Redes Prof. Rafael R. Obelheiro Semestre: 2009.1 Endereçamento IP, Sub-redes e Roteamento Endereçamento IP Endereços IP possuem 32 bits, o que possibilita 2 32 = 4.294.967.296 endereços Na

Leia mais

Exercícios de Revisão Redes de Computadores Edgard Jamhour. Nome dos Alunos

Exercícios de Revisão Redes de Computadores Edgard Jamhour. Nome dos Alunos Exercícios de Revisão Redes de Computadores Edgard Jamhour Nome dos Alunos Cenário 1: Considere a seguinte topologia de rede IPB 210.0.0.1/24 IPA 10.0.0.5/30 220.0.0.1\24 4 5 3 1 IPC 10.0.0.9/30 REDE B

Leia mais

Firewall - IPTABLES. Conceitos e Prática. Tópicos em Sistemas de Computação 2014. Prof. Dr. Adriano Mauro Cansian adriano@acmesecurity.

Firewall - IPTABLES. Conceitos e Prática. Tópicos em Sistemas de Computação 2014. Prof. Dr. Adriano Mauro Cansian adriano@acmesecurity. Firewall - IPTABLES Conceitos e Prática Tópicos em Sistemas de Computação 2014 Prof. Dr. Adriano Mauro Cansian adriano@acmesecurity.org Estagiário Docente: Vinícius Oliveira viniciusoliveira@acmesecurity.org

Leia mais

Modelo de referência OSI. Modelo TCP/IP e Internet de cinco camadas

Modelo de referência OSI. Modelo TCP/IP e Internet de cinco camadas Modelo de referência OSI. Modelo TCP/IP e Internet de cinco camadas Conhecer os modelo OSI, e TCP/IP de cinco camadas. É importante ter um padrão para a interoperabilidade entre os sistemas para não ficarmos

Leia mais

Firewalls. Firewalls

Firewalls. Firewalls Firewalls Firewalls Paredes Corta-Fogo Regula o Fluxo de Tráfego entre as redes Pacote1 INTERNET Pacote2 INTERNET Pacote3 Firewalls Firewalls Barreira de Comunicação entre duas redes Host, roteador, PC

Leia mais

Comm5 Tecnologia Manual de utilização da família MI. Manual de Utilização. Família MI

Comm5 Tecnologia Manual de utilização da família MI. Manual de Utilização. Família MI Manual de Utilização Família MI ÍNDICE 1.0 COMO LIGAR O MÓDULO... pág 03 e 04 2.0 OBJETIVO... pág 05 3.0 COMO CONFIGURAR O MÓDULO MI... pág 06, 07, 08 e 09 4.0 COMO TESTAR A REDE... pág 10 5.0 COMO CONFIGURAR

Leia mais

Arquitetura TCP/IP. Parte III Endereçamento IP e roteamento. Fabrízzio Alphonsus A. M. N. Soares

Arquitetura TCP/IP. Parte III Endereçamento IP e roteamento. Fabrízzio Alphonsus A. M. N. Soares Arquitetura TCP/IP Parte III Endereçamento IP e roteamento Fabrízzio Alphonsus A. M. N. Soares Tópicos Formato do endereço Classes de endereços Endereços especiais Sub-rede e máscara VLSM (Variable Length

Leia mais

INTERNET = ARQUITETURA TCP/IP

INTERNET = ARQUITETURA TCP/IP Arquitetura TCP/IP Arquitetura TCP/IP INTERNET = ARQUITETURA TCP/IP gatewa y internet internet REDE REDE REDE REDE Arquitetura TCP/IP (Resumo) É útil conhecer os dois modelos de rede TCP/IP e OSI. Cada

Leia mais

Iptables. Adailton Saraiva Sérgio Nery Simões

Iptables. Adailton Saraiva Sérgio Nery Simões Iptables Adailton Saraiva Sérgio Nery Simões Sumário Histórico Definições Tabelas Chains Opções do Iptables Tabela NAT Outros Módulos Histórico Histórico Ipfwadm Ferramenta padrão para o Kernel anterior

Leia mais

OS endereços IP v.4 consistem em 4 octetos separados por pontos. Estes endereços foram separados

OS endereços IP v.4 consistem em 4 octetos separados por pontos. Estes endereços foram separados Endereçamento IP V.4 e Roteamento Estático Pedroso 4 de março de 2009 1 Introdução OS endereços IP v.4 consistem em 4 octetos separados por pontos. Estes endereços foram separados em 5 classes, de acordo

Leia mais

MANUAL DO ADMINISTRADOR

MANUAL DO ADMINISTRADOR WinShare Proxy admin MANUAL DO ADMINISTRADOR Instalação do WinShare Índice 1. Instalação 2. Licenciamento 3. Atribuindo uma senha de acesso ao sistema. 4. Configurações de rede 5. Configurações do SMTP

Leia mais

Administração de Redes Redes e Sub-redes

Administração de Redes Redes e Sub-redes 1 MINISTÉRIO DA EDUCAÇÃO SECRETARIA DE EDUCAÇÃO PROFISSIONAL E TECNOLÓGICA INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA CAMPUS SÃO JOSÉ SANTA CATARINA Administração de Redes Redes e Sub-redes Prof.

Leia mais

M3 Redes de computadores avançado (36 horas - 48 TL)

M3 Redes de computadores avançado (36 horas - 48 TL) M3 Redes de computadores avançado (36 horas - 48 TL) Redes de Comunicação Ano lectivo 2013/2014 Camada de rede do modelo OSI Routers e portos de interface de routers (I) 2 Nesta camada imperam os routers.

Leia mais

Protocolos, DNS, DHCP, Ethereal e comandos em Linux

Protocolos, DNS, DHCP, Ethereal e comandos em Linux Redes de Computadores Protocolos, DNS, DHCP, Ethereal e comandos em Linux Escola Superior de Tecnologia e Gestão Instituto Politécnico de Bragança Março de 2006 Endereços e nomes Quaisquer duas estações

Leia mais

Roteiro de Práticas de Roteamento IGP usando Quagga

Roteiro de Práticas de Roteamento IGP usando Quagga Roteiro de Práticas de Roteamento IGP usando Quagga OSPF O objetivo desse roteiro é mostrar como o pacote Quagga pode ser utilizado para construir roteadores com suporte a protocolos de roteamento utilizando

Leia mais

Diego Ragazzi http://www.ragazzid.com.br http://blog.ragazzid.com.br http://estudo.ragazzid.com.br

Diego Ragazzi http://www.ragazzid.com.br http://blog.ragazzid.com.br http://estudo.ragazzid.com.br Diego Ragazzi http://www.ragazzid.com.br http://blog.ragazzid.com.br http://estudo.ragazzid.com.br Exercício final CCNA-C1 Esse exercício irá tentar abordar o maior número possível de conteúdos que são

Leia mais

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 09 Firewall

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 09 Firewall www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício O que é Firewall Um Firewall é um sistema para controlar o aceso às redes de computadores, desenvolvido para evitar acessos

Leia mais

Visão geral da arquitetura do roteador

Visão geral da arquitetura do roteador Visão geral da arquitetura do roteador Duas funções-chave do roteador: Executar algoritmos/protocolos (RIP, OSPF, BGP) Comutar os datagramas do link de entrada para o link de saída 1 Funções da porta de

Leia mais

Arquitetura TCP/IP. Parte IX Multicast (IGMP e roteamento) Fabrízzio Alphonsus A. M. N. Soares

Arquitetura TCP/IP. Parte IX Multicast (IGMP e roteamento) Fabrízzio Alphonsus A. M. N. Soares Arquitetura TCP/IP Parte IX Multicast (IGMP e roteamento) Fabrízzio Alphonsus A. M. N. Soares Tópicos Hardware multicast Ethernet multicast IP multicast Endereçamento e mapeamento para Ethernet multicast

Leia mais

REDES DE COMPUTADORES

REDES DE COMPUTADORES REDES DE COMPUTADORES Prof. Esp. Fabiano Taguchi http://fabianotaguchi.wordpress.com fabianotaguchi@gmail.com ENLACE X REDE A camada de enlace efetua de forma eficiente e com controle de erros o envio

Leia mais

Capítulo 9 - Conjunto de Protocolos TCP/IP e Endereçamento. Associação dos Instrutores NetAcademy - Julho de 2007 - Página

Capítulo 9 - Conjunto de Protocolos TCP/IP e Endereçamento. Associação dos Instrutores NetAcademy - Julho de 2007 - Página Capítulo 9 - Conjunto de Protocolos TCP/IP e Endereçamento IP 1 História e Futuro do TCP/IP O modelo de referência TCP/IP foi desenvolvido pelo Departamento de Defesa dos Estados Unidos (DoD). O DoD exigia

Leia mais

Virtual Local Area Network VLAN

Virtual Local Area Network VLAN Virtual Local Area Network VLAN 1 Domínios de broadcast com VLANs e Roteadores Permite a criação de Redes Lógicas distintas e independentes em uma mesma rede física Configuração por software (Switch) Hosts

Leia mais

Disciplina Fundamentos de Redes. Introdução ao Endereço IP. Professor Airton Ribeiro de Sousa Outubro de 2014

Disciplina Fundamentos de Redes. Introdução ao Endereço IP. Professor Airton Ribeiro de Sousa Outubro de 2014 Disciplina Fundamentos de Redes Introdução ao Endereço IP 1 Professor Airton Ribeiro de Sousa Outubro de 2014 PROTOCOLO TCP - ARQUITETURA Inicialmente para abordamos o tema Endereço IP, é necessário abordar

Leia mais

ETI/Domo. Português. www.bpt.it. ETI-Domo Config 24810180 PT 29-07-14

ETI/Domo. Português. www.bpt.it. ETI-Domo Config 24810180 PT 29-07-14 ETI/Domo 24810180 www.bpt.it PT Português ETI-Domo Config 24810180 PT 29-07-14 Configuração do PC Antes de realizar a configuração de todo o sistema, é necessário configurar o PC para que esteja pronto

Leia mais

ANEXO I ESPECIFICAÇÃO TÉCNICA 1. HARDWARE DO APPLIANCE

ANEXO I ESPECIFICAÇÃO TÉCNICA 1. HARDWARE DO APPLIANCE Aquisição de Solução de Criptografia para Backbone da Rede da Dataprev ANEXO I ESPECIFICAÇÃO TÉCNICA 1. HARDWARE DO APPLIANCE 1.1 Cada appliance deverá ser instalado em rack de 19 (dezenove) polegadas

Leia mais

Redes de computadores e a Internet. Capitulo 4. Capítulo. A camada de rede

Redes de computadores e a Internet. Capitulo 4. Capítulo. A camada de rede Redes de computadores e a Internet 4 Capitulo 4 Capítulo A camada de rede A camada de rede Objetivos do capítulo: Entender os princípios dos serviços da camada de rede: Roteamento (seleção de caminho)

Leia mais

Obs: Endereços de Rede. Firewall em Linux Kernel 2.4 em diante. Obs: Padrões em Intranet. Instalando Interface de Rede.

Obs: Endereços de Rede. Firewall em Linux Kernel 2.4 em diante. Obs: Padrões em Intranet. Instalando Interface de Rede. Obs: Endereços de Rede Firewall em Linux Kernel 2.4 em diante Classe A Nº de IP 1 a 126 Indicador da Rede w Máscara 255.0.0.0 Nº de Redes Disponíveis 126 Nº de Hosts 16.777.214 Prof. Alexandre Beletti

Leia mais

Redes de Computadores

Redes de Computadores Redes de Computadores Prof. Macêdo Firmino Camada de Redes Macêdo Firmino (IFRN) Redes de Computadores Junho 2012 1 / 68 Pilha TCP/IP A B M 1 Aplicação Aplicação M 1 Cab M T 1 Transporte Transporte Cab

Leia mais

Interconexão de Redes Parte 2. Prof. Dr. S. Motoyama

Interconexão de Redes Parte 2. Prof. Dr. S. Motoyama Interconexão de Redes Parte 2 Prof. Dr. S. Motoyama 1 Software IP nos hosts finais O software IP nos hosts finais consiste principalmente dos seguintes módulos: Camada Aplicação; DNS (Domain name system)

Leia mais

Formação para Sistemas Autônomos. Boas Práticas BGP. Formação para Sistemas Autônomos

Formação para Sistemas Autônomos. Boas Práticas BGP. Formação para Sistemas Autônomos Boas Práticas BGP Licença de uso do material Esta apresentação está disponível sob a licença Creative Commons Atribuição Não a Obras Derivadas (by-nd) http://creativecommons.org/licenses/by-nd/3.0/br/legalcode

Leia mais

Aula 5 Cálculo de máscara e de subredes

Aula 5 Cálculo de máscara e de subredes 1 Aula 5 Cálculo de máscara e de subredes 5.1 Conceitos Quando um host se comunica com outro usa o endereço de enlace dele. Os endereços de hardware das placas de rede, ou MAC Address, são constituídos

Leia mais

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança 3 SERVIÇOS IP 3.1 Serviços IP e alguns aspectos de segurança Os serviços IP's são suscetíveis a uma variedade de possíveis ataques, desde ataques passivos (como espionagem) até ataques ativos (como a impossibilidade

Leia mais

Objetivo: Criar redes locais virtuais (VLANs) usando switches e computadores

Objetivo: Criar redes locais virtuais (VLANs) usando switches e computadores Laboratório de IER 7 o experimento Objetivo: Criar redes locais virtuais (VLANs) usando switches e computadores Introdução LANs Ethernet (padrão IEEE 802.3 e extensões) atualmente são construídas com switches

Leia mais

ARP. Tabela ARP construída automaticamente. Contém endereço IP, endereço MAC e TTL

ARP. Tabela ARP construída automaticamente. Contém endereço IP, endereço MAC e TTL ARP Protocolo de resolução de endereços (Address Resolution Protocol) Descrito na RFC 826 Faz a tradução de endereços IP para endereços MAC da maioria das redes IEEE 802 Executado dentro da sub-rede Cada

Leia mais

Sumário 1 Introdução... 19 2 O Modelo OSI... 33

Sumário 1 Introdução... 19 2 O Modelo OSI... 33 Sumário 1 Introdução... 19 1.1 Um Resumo da História da Cisco Systems... 19 1.2 Sobre a Certificação Cisco Certified Network Associate CCNA Routing and Switching (R&S)... 20 1.2.1 Por que Tornar-se um

Leia mais

www.professorramos.com

www.professorramos.com Iptables www.professorramos.com leandro@professorramos.com Introdução O netfilter é um módulo que fornece ao sistema operacional Linux as funções de firewall, NAT e log de utilização de rede de computadores.

Leia mais

Alfamídia Linux: Administração de Redes em ambiente Linux I

Alfamídia Linux: Administração de Redes em ambiente Linux I Alfamídia Linux: Administração de Redes em ambiente Linux I UNIDADE 1 - CONCEITOS BÁSICOS DE REDES... 3 1.1 TCP/IP - O INÍCIO... 3 1.2 ENTENDENDO O IP... 3 1.3 ENTENDENDO O GATEWAY DE REDE... 5 1.4 O SERVIDOR

Leia mais

Aula 03 Comandos Básicos do IOS Cisco

Aula 03 Comandos Básicos do IOS Cisco Disciplina: Dispositivos de Rede I Professor: Jéferson Mendonça de Limas 3º Semestre Aula 03 Comandos Básicos do IOS Cisco 2014/1 Roteiro de Aula Correção Exercícios Aula Anterior O que é o Roteador? Componentes

Leia mais