·
Cursos Gerais ·
Rede de Computadores
Envie sua pergunta para a IA e receba a resposta na hora
Recomendado para você
5
Relatório de Projeto: Melhoria na Comunicação e Acesso à Internet nos Campi da Instituição Aprender a Aprender
Rede de Computadores
UNICSUL
1
Planta Baixa da Unidade II com Alterações Propostas
Rede de Computadores
UNICSUL
1
Calculo VLSM - Planejamento de Enderecamento IP para Redes
Rede de Computadores
UNICSUL
28
Projeto Integrador Transdisciplinar em Redes de Computadores II - Configuração de Roteadores e Switches
Rede de Computadores
UNICSUL
24
Projeto Integrador Transdisciplinar em Redes de Computadores II: Configuração de VLANs e DHCP
Rede de Computadores
UNICSUL
1
Desenvolvimento de Topologia com VLSM usando Packet Tracer
Rede de Computadores
UNICSUL
24
Projeto Integrador Transdisciplinar em Redes de Computadores II: Plano de Endereçamento IP
Rede de Computadores
UNICSUL
1
Plano de Endereçamento IP VLSM - Atividade Unidade III
Rede de Computadores
UNICSUL
1
Planta Baixa Residencial ou Comercial - Guia Passo a Passo e Modelos
Rede de Computadores
UNICSUL
1
Eixos Temáticos - Atividade de Projeto de Sistemas Computacionais II
Rede de Computadores
UNICSUL
Texto de pré-visualização
Projeto Integrador Transdiciplinar em Redes de Computadores II Material Teórico Responsável pelo Conteúdo Prof Dr Vagner da Silva Revisão Textual Profª Esp Kelciane da Rocha Campos Projeto Fase 3 Configuração NAT HSRP e ACLs NAT Network Addess Translation Tradução de Endereço de Redes HSRP ACL Access Control List Lista de Controle de Acesso Entender como usar a técnica que prolonga o uso do endereçamento IPv4 bem como implementar no simulador a tradução de endereço de rede Conhecer como oferecer redundância na rede para propiciar disponibilidade de link e equipamento de borda permitindo maior tempo de uso dessa rede Entender como confi gurar segurança de rede pela aplicação de fi ltro de pacotes nos sentidos interno para externo e externo para interno OBJETIVOS DE APRENDIZADO Projeto Fase 3 Confi guração NAT HSRP e ACLs Orientações de estudo Para que o conteúdo desta Disciplina seja bem aproveitado e haja maior aplicabilidade na sua formação acadêmica e atuação profissional siga algumas recomendações básicas Assim Organize seus estudos de maneira que passem a fazer parte da sua rotina Por exemplo você poderá determinar um dia e horário fixos como seu momento do estudo Procure se alimentar e se hidratar quando for estudar lembrese de que uma alimentação saudável pode proporcionar melhor aproveitamento do estudo No material de cada Unidade há leituras indicadas e entre elas artigos científicos livros vídeos e sites para aprofundar os conhecimentos adquiridos ao longo da Unidade Além disso você tam bém encontrará sugestões de conteúdo extra no item Material Complementar que ampliarão sua interpretação e auxiliarão no pleno entendimento dos temas abordados Após o contato com o conteúdo proposto participe dos debates mediados em fóruns de discus são pois irão auxiliar a verificar o quanto você absorveu de conhecimento além de propiciar o contato com seus colegas e tutores o que se apresenta como rico espaço de troca de ideias e de aprendizagem Organize seus estudos de maneira que passem a fazer parte Mantenha o foco Evite se distrair com as redes sociais Mantenha o foco Evite se distrair com as redes sociais Determine um horário fixo para estudar Aproveite as indicações de Material Complementar Procure se alimentar e se hidratar quando for estudar lembrese de que uma Não se esqueça de se alimentar e de se manter hidratado Aproveite as Conserve seu material e local de estudos sempre organizados Procure manter contato com seus colegas e tutores para trocar ideias Isso amplia a aprendizagem Seja original Nunca plagie trabalhos UNIDADE Projeto Fase 3 Configuração NAT HSRP e ACLs NAT Network Addess Translation Tradução de Endereço de Redes No desenvolvimento do endereço IPv4 não se pensou na dimensão que a rede de computadores poderia alcançar Ele então foi especificado em um total de 32 bits agrupados em quatro conjuntos de oito bits para representar o endereçamento das máquinas Com essa especificação e vinculado a uma máscara de rede é possível endereçar aproximadamente 4 bilhões de equipamentos na rede Essa quantidade era considerada adequada na época do seu desenvolvimento Com o decorrer do tempo observouse uma demanda crescente por endere ços IPv4 devido à quantidade de máquinas sendo configuradas na rede e perce beuse que alguma providência deveria ser tomada para evitar o esgotamento de endereços IPv4 Algumas técnicas foram estudadas e elaboradas dentre elas temos VLSM NAT e a que se considera definitiva o desenvolvimento de uma nova versão de endere çamento especificado como IPv6 O NAT tem como objetivo traduzir endereços privativos para endereços públi cos Os endereços privativos podem e devem ser configurados na rede LAN das empresas eles não são roteáveis portanto devem ser traduzidos para endereços públicos ou seja endereços que serão reconhecidos na internet Os endereços privativos estão definidos na especificação do IPv4 conforme apresentado no Quadro 1 Quadro 1 Endereços privativos Faixa de endereço Classe 10000 10255255255 A 1721600 17231255255 B 19216800 192168255255 C As empresas podem livremente desenvolver um planejamento de endereça mento IPv4 considerando uma dessas faixas de endereços e obter um endereço público formalmente para que seja configurado na interface serial que está conec tada a equipamentos do provedor de acesso O endereço IP privativo deve ser traduzido para o endereço público ao fazer um acesso externo à rede da empresa somente assim serão estabelecidas conexões com servidores que estão pela internet Qualquer empresa poderá usar a faixa de endereço privativo que considere ne cessária e não precisa se preocupar se outra empresa está usando a mesma faixa pois o que não pode ser igual é o endereço público 8 9 Há algumas formas de configuração NAT dentre elas temos a configuração es tática em que um endereço privativo é mapeado para um endereço público Esse tipo de configuração é mais adequado para as situações em que a empresa tem em sua rede interna configurados servidores que devem ser acessados da rede externa O Quadro 2 vinculado à Figura 1 demonstra o NAT estático Quadro 2 NAT estático Endereço privativo Endereço público 19216811 2001001001 19216812 20010010010 19216813 20010010020 Figura 1 NAT estático Fonte Acervo do Conteudista A outra forma de configuração referese ao NAT dinâmico ele usa um pool de endereços públicos para oferecer às requisições feitas internamente Ainda oferece uma limitação ao exigir endereços públicos suficientemente disponíveis para satis fazer a quantidade total de sessões simultâneas de usuário Quadro 3 NAT dinâmico Endereço privativo Endereço público 19216811 2001001001 19216812 20010010010 Disponível 20010010020 Disponível 20010010030 Disponível 20010010040 9 UNIDADE Projeto Fase 3 Configuração NAT HSRP e ACLs Figura 2 NAT dinâmico Fonte Acervo do Conteudista A outra forma de configurar o NAT e a mais adequada para as empresas em geral utiliza o número da porta e endereço IP de destino para mapear os pacotes internos para acesso externo Também conhecida como PAT mapeia endereços privados em um único ende reço público para isso usa a porta de origem e endereço IP de destino para manter um controle e conseguir identificar qual máquina internamente fez a requisição Vamos configurar o PAT usando o packet tracer considerando a topologia apre sentada na Figura 3 Temos que inserir mais uma interface WAN no roteador 0 para simular uma conexão com o provedor de acesso pois as duas disponíveis nesse roteador já es tão sendo usadas Para inserir essa interface selecione o roteador 0 e a janela da Figura 3 será apresentada Figura 3 Janela para inserir interface Fonte Acervo do Conteudista 10 11 Observe que na aba Physical aparece as interfaces que estão disponíveis para esse modelo de roteador Para inserir uma interface você deve desligar o roteador a seta vermelha apresentada na Figura 4 mostra o botão ligadesliga Selecione esse botão com o mouse e o roteador será desligado Com o roteador desligado escolha no menu direito a interface WAM PTRPU TERNM1S Selecione a interface e arrastea para o local indicado apresentado com a seta vermelha da Figura 4 Figura 4 Escolha da interface Fonte Acervo do Conteudista Agora ligue o roteador selecionando o botão ligadesliga e a interface estará pronta para ser conectada e configurada A interface foi inserida na posição 60 usaremos essa identificação da interface para configurála Para conectar o roteador 0 ao roteador 3 selecione o link de conexões e após selecione o link serial conforme apresentado na figura 5 Selecione o roteador 6 e escolha a serial 60 depois selecione o roteador 3 e escolha a serial 20 Figura 5 Conexão com o roteador Fonte Acervo do Conteudista 11 UNIDADE Projeto Fase 3 Configuração NAT HSRP e ACLs Logo após conecte a fastethernet 0 do servidor e a fastehernet 00 do roteador usando um cabo Copper CrossOver conforme indicado na Figura 5 Configure as interfaces dos roteadores e servidor conforme o Quadro 4 Quadro 4 Endereços e interfaces para configuração Equipamento Interface Endereço IP Máscara Roteador 0 Serial 60 2026831 255255255252 Roteador 3 Serial 20 2026832 255255255252 fast 00 1723211 2552552550 Servidor 0 fastethernet 1723212 2552552550 Para configurar a interface 6 do roteador 0 execute os seguintes comandos Routerenable Routerconfigure terminal Routerconfiginterface serial 60 Routerconfigifip address 2026831 255255255252 Routerconfigifclock rate 64000 Routerconfigifno shutdown Após configurar a interface a rede deve ser divulgada execute os comandos abaixo para divulgação da rede Routerconfigifexit Routerconfigrouter ospf 1 Routerconfigrouternetwork 2026830 0003 area 1 Vamos considerar conforme Figura 6 que o roteador 0 é o roteador de saída e entrada de dados de uma empresa ou seja o roteador de borda Sendo assim iremos configurar esse roteador para que ele faça a tradução de endereço IP priva tivo 1921681024 pertencente à LAN para endereço público 202603130 pertencente à WAN Na Figura 6 o retângulo amarelo mostra as duas interfaces que serão configura das para tradução de endereço 12 13 Figura 6 Interfaces que irão traduzir Fonte Acervo do Conteudista Para configurar o NAT execute os seguintes comandos no roteador 0 Routerenable Routerconfigure terminal Routerconfigip nat inside source list 1 interface serial 60 overload Routerconfigaccesslist 1 permit any Routerconfiginterface fastEthernet 00 Routerconfigifip nat inside Routerconfigifexit Routerconfiginterface serial 60 Routerconfigifip nat outside Com os comandos executados o NAT foi configurado O quadro 5 descreve a função de cada um dos comandos Quadro 5 Descrição dos comandos Comando Descrição Routerenable Muda do modo usuário para o modo privilegiado Routerconfigure terminal Muda do modo privilegiado para o modo de configuração global 13 UNIDADE Projeto Fase 3 Configuração NAT HSRP e ACLs Comando Descrição Routerconfigip nat inside source list 1 interface serial 60 overload Configura o NAT por portas PAT list 1 Lista de acesso 1 ACL Interface serial 60 Interface que será traduzida overload Ativa a tradução de portas Routerconfigaccesslist 1 permit any Configura lista de acesso para permitir o tráfego de pacotes Routerconfiginterface fastEthernet 00 Entra no modo de configuração da interface fastEthernet 00 Routerconfigifip nat inside Configura a fastEthernet como interna no processo de tradução Routerconfigifexit Sai do modo de configuração da interface Routerconfiginterface serial 60 Entra no modo de configuração da interface serial 00 Routerconfigifip nat outside Configura a serial como externa no processo de tradução Para verificar se a tradução está funcionando entre no prompt de comando do PC0 e execute um ping para o servidor 1723212 Logo após entre na CLI do roteador 0 e execute o comando apresentado na Figura 7 Figura 7 Comando para verificar tradução Fonte Acervo do Conteudista Como pode ser observado na Figura 7 o endereço local 19216811 foi tradu zido para o endereço externo 2026831 HSRP Muitas empresas têm como requisito o acesso externo seja para se conectar à matriz ou então para utilizar serviços ou outros recursos disponíveis remotamente Quando a empresa se enquadra nessa característica é necessário planejar a rede de forma a fornecer disponibilidade aos serviços e consequentemente aos dados 14 15 O requisito disponibilidade nos direciona a implementar redundância de equi pamentos e outros recursos de redes para manter todos os serviços disponíveis a maior parte do tempo possível Em projeto de redes o projetista deve avaliar a necessidade do requisito disponibilidade e decidir como isso será feito Uma das formas de obter disponibilidade da rede em quase cem por cento do tem po passa pela configuração do HSRP Hot Standby Router Protocol Ele garante o tráfego caso o gateway nesse caso um roteador venha a falhar por algum problema Para permitir redundância usando o HSRP dois ou mais roteadores de bor da roteadores com conexão externa à rede da empresa devem ser configurados Um será considerado o roteador ativo ele será eleito e responsável por encami nhar os pacotes que os hosts enviam O outro será o standby e irá assumir as responsabilidades do roteador ativo caso ele falhe Ao configurar roteadores em um grupo HSRP o roteador com prioridade mais alta será o roteador ativo caso a prioridade seja a mesma o roteador com maior endereço IP será o roteador ativo Embora não seja classificado como protocolo de roteamento dinâmico o HSRP envia mensagens entre os roteadores para verificar suas atividades A seguir a des crição de algumas considerações importantes sobre o HSRP Mensagens Hello contêm todas as mensagens para o funcionamento do HSRP como autenticação versão timers etc Processo de eleição primeiro critério para eleger o roteador ativo será a priori dade os roteadores já são por padrão configurados com prioridade 100 podendo ser alterada entre 0 e 255 A segunda prioridade será o maior endereço IP HSRP Timers o padrão usado na troca do hello timers é de 3 segundos ou seja esse é o tempo usado para verificar se o roteador está operando O Hold Timers tem seu tempo definido em 10 segundos É aconselhável definir um hold timer três vezes maior que o Hello Na prática se em três hello o roteador ativo não responder então podese ativar a troca automaticamente para que o standby assuma a responsabilidade Preempt comando usado para permitir que um roteador com maior prioridade que entrar na rede HSRP assuma como roteador ativo Se esse comando não for definido na configuração então o roteador com maior prioridade entrando na rede HSRP não assumirá a responsabilidade pela troca de mensagens Endereço Virtual o HSRP usa endereço MAC e IP virtual na configuração Vamos implementar redundância em uma rede e configurar o HSRP para for necer disponibilidade Para isso insira um roteador RouterPT na topologia que estamos usando A Figura 8 apresenta a topologia utilizada 15 UNIDADE Projeto Fase 3 Configuração NAT HSRP e ACLs Figura 8 Topologia para configuração do HSRP Fonte Acervo do Conteudista Configure as interfaces do roteador 3 e roteador 4 conforme Quadro 6 Quadro 6 Equipamento Interface Endereço IP Máscara Roteador 4 Serial 20 20510411 255255255252 Fast 00 19216825 2552552550 Roteador 3 Serial 30 20510412 255255255252 Os comandos a seguir deverão ser executados para configurar a interface e divulgar a rede com o protocolo OSPF no roteador 4 Para executálos entre na configuração de linha de comando no roteador 4 Routerenable Routerconfigure terminal Routerconfiginterface fastethernet 00 Routerconfigifip address 19216825 2552552550 Routerconfigifno shutdown Routerconfigifexit Routerconfiginterface serial 20 Routerconfigifip address 20510411 255255255252 Routerconfigifclock rate 64000 Routerconfigifno shutdown Routerconfigifexit 16 17 Routerconfigrouter ospf 1 Routerconfigrouternetwork 20510410 0003 area 1 Routerconfigrouternetwork 19216820 000255 area 1 Para configurar o roteador 3 execute os seguintes comandos na linha de comando Routerenable Routerconfigure terminal Routerconfiginterface serial 30 Routerconfigifip address 20510412 255255255252 Routerconfigifno shutdown Routerconfigifexit Routerconfigrouternetwork 20510410 0003 area 1 Com as configurações dos roteadores 3 e 4 já feitas podemos aplicar os co mandos no roteador 4 para configurar o HSRP e viabilizar a disponibilidade Ao observar a topologia você poderá notar que estamos simulando uma empresa com dois roteadores de borda sendo eles o roteador 1 e o roteador 4 Eles estão com suas respectivas fastethertnet conectadas ao switch 1 e cada um deles simu lando uma conexão diferente com a internet Agora já podemos configurar os roteadores 1 e 4 para oferecer redundância na rede LAN à qual os dois estão conectados No roteador 1 iremos configurálo para ser o roteador ativo Execute na inter face fastethernet 00 do roteador 1 os comandos a seguir Routerconfigifstandby 1 ip 1921682100 Routerconfigifstandby 1 priority 150 No roteador 4 execute o comando a seguir Routerconfigifstandby 1 ip 1921682100 17 UNIDADE Projeto Fase 3 Configuração NAT HSRP e ACLs Configure conforme Figura 9 o default gateway do computador PC1 para o endereço IP virtual 1921682100 Figura 9 Configuração da interface do PC1 Fonte Acervo do Conteudista Com a aplicação de todos os comandos citados anteriormente o HSRP estará configurado Sendo assim podemos efetuar o teste de conectividade Entre no PC1 e execute um ping para o servidor Conforme poderá observar os pacotes chega rão ao servidor A Figura 10 apresenta o resultado do comando ping no servidor Figura 10 Teste de conectividade com o servidor 0 Para verificar se a redundância está mesmo funcionando desative a interface fastethernet 00 do roteador 1 executando o comando a seguir Routerconfigifshutdown Lembrese de que o do roteador 1 foi definido como ativo na configuração HSRP pela execução do comando standby priority 150 ou seja no grupo HSRP ele é o de maior prioridade A Figura 11 apresenta a interface fast 00 desativada 18 19 Figura 11 Interface FastEthernet 00 desativada Fonte Acervo do Conteudista Agora faça novamente o teste de conectividade e irá observar que os pacotes ainda estão sendo respondidos pelo servidor 0 A Figura 12 apresenta o resultado do comando ping com a interface fastethernet do roteador 1 desabilitada Figura 12 Teste de conectividade do PC1 Fonte Acervo do Conteudista 19 UNIDADE Projeto Fase 3 Configuração NAT HSRP e ACLs ACL Access Control List Lista de Controle de Acesso As listas de controle de acesso permitem o filtro de pacotes na rede esse filtro pode ser feito tanto no sentido da rede interna para rede externa Proxy como também da rede externa para a rede interna Firewall Esse filtro de pacotes auxilia na segurança da empresa e pode ser configurado nos roteadores de borda permitindo acesso apenas aos pacotes que satisfaçam as regras configuradas nas Listas de Controle de Acesso Nos roteadores CISCO podem ser configurados dois tipos de ACL uma pa drão em que as regras são consideradas apenas para o endereço IP de origem e outra estendida em que vários outros campos e pacotes podem ser considerados nas listas de acesso Em cada lista de acesso podemos configurar uma série de regras e podemos ter várias listas de acesso cada uma com suas regras previamente definidas As regras devem ser inseridas de forma lógica para se ter o efeito desejado os pacotes são analisados considerandose a ordem em que as regras foram inseridas e na primei ra ocorrência que satisfaça uma das regras os pacotes são negados ou permitidos Configurar as regras na lista de controle de acesso não faz com que elas sejam executadas Além da configuração das regras a lista de controle de acesso deve ser vinculada a uma interface e ainda indicar em que direção ela será considerada se na direção de saída out da interface ou na direção de entrada in da interface Vamos utilizar a topologia já configurada para implementar uma lista de controle de acesso no roteador 2 A primeira regra que iremos inserir irá negar qualquer pacote gerado no PC2 para a rede externa ou seja esse computador só poderá se comunicar em sua rede LAN Entre no modo de configuração de linha no roteador 2 e vamos criar uma lista de controle de acesso padrão Para isso execute os comandos a seguir no roteador 2 Routerenable Routerconfigure terminal Routerconfigaccesslist 1 deny 19216832 Routerconfigaccesslist 1 permit any Routerconfiginterface fastEthernet 00 Routerconfigifip accessgroup 1 in 20 21 A lista de acesso criada está dentro da faixa numérica de uma ACL padrão access list 1 esse tipo de ACL considera apenas o endereço de origem para aplicar a regra A primeira regra da ACL 1 nega os pacotes que têm o endereço IP de origem como 19216832 accesslist 1 deny 19216832 nessa mesma ACL foi colocada uma regra para permitir todos os outros pacotes accesslist 1 permit any Ao configurar uma ACL o roteador implicitamente configura a negação de todos os outros pacotes que trafegam pela rede esse é o motivo para inserir uma regra com a permissão para que todos os outros pacotes trafeguem normalmente accesslist 1 permit any Caso não seja inserida a regra para permitir o tráfego de outros pacotes eles serão descartados Teste a conectividade gerando pacotes do PC2 para qualquer outro computador que está remotamente A Figura 13 apresenta o resultado do teste Figura 13 Teste de conectividade do PC2 Fonte Acervo do Conteudista Como pode ser observado na Figura 13 não há comunicação ou seja a regra está funcionando Para comprovar que somente o PC2 não pode trafegar com seus pacotes para a rede externa insira mais um computador PC3 na topologia A Figura 14 apresenta a topologia com o PC3 inserido Figura 14 PC3 inserido na topologia Fonte Acervo do Conteudista 21 UNIDADE Projeto Fase 3 Configuração NAT HSRP e ACLs Configure o PC3 com o endereço 19216833 máscara 2552552550 e default gateway 19216831 Após a configuração faça o teste de conectividade conforme Figura 15 Figura 15 Teste de conectividade com o PC3 Fonte Acervo do Conteudista Como pode ser observado o PC3 consegue alcançar o servidor 0 e o PC2 pela regra estabelecida não consegue alcançálo É possível configurar várias outras regras em uma ACL no entanto cabe uma observação em relação a projeto é desejável que os roteadores de borda sejam con figurados para dar vazão aos pacotes que cheguem até ele sendo assim as listas de controle de acesso devem ser evitadas nesses roteadores Atualmente é mais adequado implementar um firewall entre o roteador de bor da e a rede interna da empresa e deixar que o roteador de borda fique com a res ponsabilidade e tenha características para manter o tráfego na rede 22 23 Material Complementar Indicações para saber mais sobre os assuntos abordados nesta Unidade Sites Configurar o NAT para permitir uma comunicação entre redes sobreposta No link a seguir você poderá se aprofundar no conhecimento sobre o NAT httpbitly2Q52TiK Como usar o HSRP para fornecer redundância em uma rede BGP multihomed No link a seguir você encontrará um texto com detalhes do HSRP e configuração httpbitly2Q0uqBM Vídeos LabCisco Configuração de Listas de Controle de Acesso Aprenda detalhes sobre ACL httpsyoutubeEUxcx76oA CISCO PACKET TRACER 1 MONTANDO A ESTRUTURA DA REDE O packet tracer é um simulador usado para configuração de equipamentos de redes veja no vídeo a seguir como usálo httpsyoutubeh1DSGTaxOSw 23 UNIDADE Projeto Fase 3 Configuração NAT HSRP e ACLs Referências CHAPPELL L FARKAS D Diagnosticando redes Cisco InternetWork Troubleshooting São Paulo Pearson Education do Brasil 2002 MATTHEW H B Projeto de interconexão de redes Cisco InternetWork Design São Paulo Pearson Education do Brasil 2003 24
Envie sua pergunta para a IA e receba a resposta na hora
Recomendado para você
5
Relatório de Projeto: Melhoria na Comunicação e Acesso à Internet nos Campi da Instituição Aprender a Aprender
Rede de Computadores
UNICSUL
1
Planta Baixa da Unidade II com Alterações Propostas
Rede de Computadores
UNICSUL
1
Calculo VLSM - Planejamento de Enderecamento IP para Redes
Rede de Computadores
UNICSUL
28
Projeto Integrador Transdisciplinar em Redes de Computadores II - Configuração de Roteadores e Switches
Rede de Computadores
UNICSUL
24
Projeto Integrador Transdisciplinar em Redes de Computadores II: Configuração de VLANs e DHCP
Rede de Computadores
UNICSUL
1
Desenvolvimento de Topologia com VLSM usando Packet Tracer
Rede de Computadores
UNICSUL
24
Projeto Integrador Transdisciplinar em Redes de Computadores II: Plano de Endereçamento IP
Rede de Computadores
UNICSUL
1
Plano de Endereçamento IP VLSM - Atividade Unidade III
Rede de Computadores
UNICSUL
1
Planta Baixa Residencial ou Comercial - Guia Passo a Passo e Modelos
Rede de Computadores
UNICSUL
1
Eixos Temáticos - Atividade de Projeto de Sistemas Computacionais II
Rede de Computadores
UNICSUL
Texto de pré-visualização
Projeto Integrador Transdiciplinar em Redes de Computadores II Material Teórico Responsável pelo Conteúdo Prof Dr Vagner da Silva Revisão Textual Profª Esp Kelciane da Rocha Campos Projeto Fase 3 Configuração NAT HSRP e ACLs NAT Network Addess Translation Tradução de Endereço de Redes HSRP ACL Access Control List Lista de Controle de Acesso Entender como usar a técnica que prolonga o uso do endereçamento IPv4 bem como implementar no simulador a tradução de endereço de rede Conhecer como oferecer redundância na rede para propiciar disponibilidade de link e equipamento de borda permitindo maior tempo de uso dessa rede Entender como confi gurar segurança de rede pela aplicação de fi ltro de pacotes nos sentidos interno para externo e externo para interno OBJETIVOS DE APRENDIZADO Projeto Fase 3 Confi guração NAT HSRP e ACLs Orientações de estudo Para que o conteúdo desta Disciplina seja bem aproveitado e haja maior aplicabilidade na sua formação acadêmica e atuação profissional siga algumas recomendações básicas Assim Organize seus estudos de maneira que passem a fazer parte da sua rotina Por exemplo você poderá determinar um dia e horário fixos como seu momento do estudo Procure se alimentar e se hidratar quando for estudar lembrese de que uma alimentação saudável pode proporcionar melhor aproveitamento do estudo No material de cada Unidade há leituras indicadas e entre elas artigos científicos livros vídeos e sites para aprofundar os conhecimentos adquiridos ao longo da Unidade Além disso você tam bém encontrará sugestões de conteúdo extra no item Material Complementar que ampliarão sua interpretação e auxiliarão no pleno entendimento dos temas abordados Após o contato com o conteúdo proposto participe dos debates mediados em fóruns de discus são pois irão auxiliar a verificar o quanto você absorveu de conhecimento além de propiciar o contato com seus colegas e tutores o que se apresenta como rico espaço de troca de ideias e de aprendizagem Organize seus estudos de maneira que passem a fazer parte Mantenha o foco Evite se distrair com as redes sociais Mantenha o foco Evite se distrair com as redes sociais Determine um horário fixo para estudar Aproveite as indicações de Material Complementar Procure se alimentar e se hidratar quando for estudar lembrese de que uma Não se esqueça de se alimentar e de se manter hidratado Aproveite as Conserve seu material e local de estudos sempre organizados Procure manter contato com seus colegas e tutores para trocar ideias Isso amplia a aprendizagem Seja original Nunca plagie trabalhos UNIDADE Projeto Fase 3 Configuração NAT HSRP e ACLs NAT Network Addess Translation Tradução de Endereço de Redes No desenvolvimento do endereço IPv4 não se pensou na dimensão que a rede de computadores poderia alcançar Ele então foi especificado em um total de 32 bits agrupados em quatro conjuntos de oito bits para representar o endereçamento das máquinas Com essa especificação e vinculado a uma máscara de rede é possível endereçar aproximadamente 4 bilhões de equipamentos na rede Essa quantidade era considerada adequada na época do seu desenvolvimento Com o decorrer do tempo observouse uma demanda crescente por endere ços IPv4 devido à quantidade de máquinas sendo configuradas na rede e perce beuse que alguma providência deveria ser tomada para evitar o esgotamento de endereços IPv4 Algumas técnicas foram estudadas e elaboradas dentre elas temos VLSM NAT e a que se considera definitiva o desenvolvimento de uma nova versão de endere çamento especificado como IPv6 O NAT tem como objetivo traduzir endereços privativos para endereços públi cos Os endereços privativos podem e devem ser configurados na rede LAN das empresas eles não são roteáveis portanto devem ser traduzidos para endereços públicos ou seja endereços que serão reconhecidos na internet Os endereços privativos estão definidos na especificação do IPv4 conforme apresentado no Quadro 1 Quadro 1 Endereços privativos Faixa de endereço Classe 10000 10255255255 A 1721600 17231255255 B 19216800 192168255255 C As empresas podem livremente desenvolver um planejamento de endereça mento IPv4 considerando uma dessas faixas de endereços e obter um endereço público formalmente para que seja configurado na interface serial que está conec tada a equipamentos do provedor de acesso O endereço IP privativo deve ser traduzido para o endereço público ao fazer um acesso externo à rede da empresa somente assim serão estabelecidas conexões com servidores que estão pela internet Qualquer empresa poderá usar a faixa de endereço privativo que considere ne cessária e não precisa se preocupar se outra empresa está usando a mesma faixa pois o que não pode ser igual é o endereço público 8 9 Há algumas formas de configuração NAT dentre elas temos a configuração es tática em que um endereço privativo é mapeado para um endereço público Esse tipo de configuração é mais adequado para as situações em que a empresa tem em sua rede interna configurados servidores que devem ser acessados da rede externa O Quadro 2 vinculado à Figura 1 demonstra o NAT estático Quadro 2 NAT estático Endereço privativo Endereço público 19216811 2001001001 19216812 20010010010 19216813 20010010020 Figura 1 NAT estático Fonte Acervo do Conteudista A outra forma de configuração referese ao NAT dinâmico ele usa um pool de endereços públicos para oferecer às requisições feitas internamente Ainda oferece uma limitação ao exigir endereços públicos suficientemente disponíveis para satis fazer a quantidade total de sessões simultâneas de usuário Quadro 3 NAT dinâmico Endereço privativo Endereço público 19216811 2001001001 19216812 20010010010 Disponível 20010010020 Disponível 20010010030 Disponível 20010010040 9 UNIDADE Projeto Fase 3 Configuração NAT HSRP e ACLs Figura 2 NAT dinâmico Fonte Acervo do Conteudista A outra forma de configurar o NAT e a mais adequada para as empresas em geral utiliza o número da porta e endereço IP de destino para mapear os pacotes internos para acesso externo Também conhecida como PAT mapeia endereços privados em um único ende reço público para isso usa a porta de origem e endereço IP de destino para manter um controle e conseguir identificar qual máquina internamente fez a requisição Vamos configurar o PAT usando o packet tracer considerando a topologia apre sentada na Figura 3 Temos que inserir mais uma interface WAN no roteador 0 para simular uma conexão com o provedor de acesso pois as duas disponíveis nesse roteador já es tão sendo usadas Para inserir essa interface selecione o roteador 0 e a janela da Figura 3 será apresentada Figura 3 Janela para inserir interface Fonte Acervo do Conteudista 10 11 Observe que na aba Physical aparece as interfaces que estão disponíveis para esse modelo de roteador Para inserir uma interface você deve desligar o roteador a seta vermelha apresentada na Figura 4 mostra o botão ligadesliga Selecione esse botão com o mouse e o roteador será desligado Com o roteador desligado escolha no menu direito a interface WAM PTRPU TERNM1S Selecione a interface e arrastea para o local indicado apresentado com a seta vermelha da Figura 4 Figura 4 Escolha da interface Fonte Acervo do Conteudista Agora ligue o roteador selecionando o botão ligadesliga e a interface estará pronta para ser conectada e configurada A interface foi inserida na posição 60 usaremos essa identificação da interface para configurála Para conectar o roteador 0 ao roteador 3 selecione o link de conexões e após selecione o link serial conforme apresentado na figura 5 Selecione o roteador 6 e escolha a serial 60 depois selecione o roteador 3 e escolha a serial 20 Figura 5 Conexão com o roteador Fonte Acervo do Conteudista 11 UNIDADE Projeto Fase 3 Configuração NAT HSRP e ACLs Logo após conecte a fastethernet 0 do servidor e a fastehernet 00 do roteador usando um cabo Copper CrossOver conforme indicado na Figura 5 Configure as interfaces dos roteadores e servidor conforme o Quadro 4 Quadro 4 Endereços e interfaces para configuração Equipamento Interface Endereço IP Máscara Roteador 0 Serial 60 2026831 255255255252 Roteador 3 Serial 20 2026832 255255255252 fast 00 1723211 2552552550 Servidor 0 fastethernet 1723212 2552552550 Para configurar a interface 6 do roteador 0 execute os seguintes comandos Routerenable Routerconfigure terminal Routerconfiginterface serial 60 Routerconfigifip address 2026831 255255255252 Routerconfigifclock rate 64000 Routerconfigifno shutdown Após configurar a interface a rede deve ser divulgada execute os comandos abaixo para divulgação da rede Routerconfigifexit Routerconfigrouter ospf 1 Routerconfigrouternetwork 2026830 0003 area 1 Vamos considerar conforme Figura 6 que o roteador 0 é o roteador de saída e entrada de dados de uma empresa ou seja o roteador de borda Sendo assim iremos configurar esse roteador para que ele faça a tradução de endereço IP priva tivo 1921681024 pertencente à LAN para endereço público 202603130 pertencente à WAN Na Figura 6 o retângulo amarelo mostra as duas interfaces que serão configura das para tradução de endereço 12 13 Figura 6 Interfaces que irão traduzir Fonte Acervo do Conteudista Para configurar o NAT execute os seguintes comandos no roteador 0 Routerenable Routerconfigure terminal Routerconfigip nat inside source list 1 interface serial 60 overload Routerconfigaccesslist 1 permit any Routerconfiginterface fastEthernet 00 Routerconfigifip nat inside Routerconfigifexit Routerconfiginterface serial 60 Routerconfigifip nat outside Com os comandos executados o NAT foi configurado O quadro 5 descreve a função de cada um dos comandos Quadro 5 Descrição dos comandos Comando Descrição Routerenable Muda do modo usuário para o modo privilegiado Routerconfigure terminal Muda do modo privilegiado para o modo de configuração global 13 UNIDADE Projeto Fase 3 Configuração NAT HSRP e ACLs Comando Descrição Routerconfigip nat inside source list 1 interface serial 60 overload Configura o NAT por portas PAT list 1 Lista de acesso 1 ACL Interface serial 60 Interface que será traduzida overload Ativa a tradução de portas Routerconfigaccesslist 1 permit any Configura lista de acesso para permitir o tráfego de pacotes Routerconfiginterface fastEthernet 00 Entra no modo de configuração da interface fastEthernet 00 Routerconfigifip nat inside Configura a fastEthernet como interna no processo de tradução Routerconfigifexit Sai do modo de configuração da interface Routerconfiginterface serial 60 Entra no modo de configuração da interface serial 00 Routerconfigifip nat outside Configura a serial como externa no processo de tradução Para verificar se a tradução está funcionando entre no prompt de comando do PC0 e execute um ping para o servidor 1723212 Logo após entre na CLI do roteador 0 e execute o comando apresentado na Figura 7 Figura 7 Comando para verificar tradução Fonte Acervo do Conteudista Como pode ser observado na Figura 7 o endereço local 19216811 foi tradu zido para o endereço externo 2026831 HSRP Muitas empresas têm como requisito o acesso externo seja para se conectar à matriz ou então para utilizar serviços ou outros recursos disponíveis remotamente Quando a empresa se enquadra nessa característica é necessário planejar a rede de forma a fornecer disponibilidade aos serviços e consequentemente aos dados 14 15 O requisito disponibilidade nos direciona a implementar redundância de equi pamentos e outros recursos de redes para manter todos os serviços disponíveis a maior parte do tempo possível Em projeto de redes o projetista deve avaliar a necessidade do requisito disponibilidade e decidir como isso será feito Uma das formas de obter disponibilidade da rede em quase cem por cento do tem po passa pela configuração do HSRP Hot Standby Router Protocol Ele garante o tráfego caso o gateway nesse caso um roteador venha a falhar por algum problema Para permitir redundância usando o HSRP dois ou mais roteadores de bor da roteadores com conexão externa à rede da empresa devem ser configurados Um será considerado o roteador ativo ele será eleito e responsável por encami nhar os pacotes que os hosts enviam O outro será o standby e irá assumir as responsabilidades do roteador ativo caso ele falhe Ao configurar roteadores em um grupo HSRP o roteador com prioridade mais alta será o roteador ativo caso a prioridade seja a mesma o roteador com maior endereço IP será o roteador ativo Embora não seja classificado como protocolo de roteamento dinâmico o HSRP envia mensagens entre os roteadores para verificar suas atividades A seguir a des crição de algumas considerações importantes sobre o HSRP Mensagens Hello contêm todas as mensagens para o funcionamento do HSRP como autenticação versão timers etc Processo de eleição primeiro critério para eleger o roteador ativo será a priori dade os roteadores já são por padrão configurados com prioridade 100 podendo ser alterada entre 0 e 255 A segunda prioridade será o maior endereço IP HSRP Timers o padrão usado na troca do hello timers é de 3 segundos ou seja esse é o tempo usado para verificar se o roteador está operando O Hold Timers tem seu tempo definido em 10 segundos É aconselhável definir um hold timer três vezes maior que o Hello Na prática se em três hello o roteador ativo não responder então podese ativar a troca automaticamente para que o standby assuma a responsabilidade Preempt comando usado para permitir que um roteador com maior prioridade que entrar na rede HSRP assuma como roteador ativo Se esse comando não for definido na configuração então o roteador com maior prioridade entrando na rede HSRP não assumirá a responsabilidade pela troca de mensagens Endereço Virtual o HSRP usa endereço MAC e IP virtual na configuração Vamos implementar redundância em uma rede e configurar o HSRP para for necer disponibilidade Para isso insira um roteador RouterPT na topologia que estamos usando A Figura 8 apresenta a topologia utilizada 15 UNIDADE Projeto Fase 3 Configuração NAT HSRP e ACLs Figura 8 Topologia para configuração do HSRP Fonte Acervo do Conteudista Configure as interfaces do roteador 3 e roteador 4 conforme Quadro 6 Quadro 6 Equipamento Interface Endereço IP Máscara Roteador 4 Serial 20 20510411 255255255252 Fast 00 19216825 2552552550 Roteador 3 Serial 30 20510412 255255255252 Os comandos a seguir deverão ser executados para configurar a interface e divulgar a rede com o protocolo OSPF no roteador 4 Para executálos entre na configuração de linha de comando no roteador 4 Routerenable Routerconfigure terminal Routerconfiginterface fastethernet 00 Routerconfigifip address 19216825 2552552550 Routerconfigifno shutdown Routerconfigifexit Routerconfiginterface serial 20 Routerconfigifip address 20510411 255255255252 Routerconfigifclock rate 64000 Routerconfigifno shutdown Routerconfigifexit 16 17 Routerconfigrouter ospf 1 Routerconfigrouternetwork 20510410 0003 area 1 Routerconfigrouternetwork 19216820 000255 area 1 Para configurar o roteador 3 execute os seguintes comandos na linha de comando Routerenable Routerconfigure terminal Routerconfiginterface serial 30 Routerconfigifip address 20510412 255255255252 Routerconfigifno shutdown Routerconfigifexit Routerconfigrouternetwork 20510410 0003 area 1 Com as configurações dos roteadores 3 e 4 já feitas podemos aplicar os co mandos no roteador 4 para configurar o HSRP e viabilizar a disponibilidade Ao observar a topologia você poderá notar que estamos simulando uma empresa com dois roteadores de borda sendo eles o roteador 1 e o roteador 4 Eles estão com suas respectivas fastethertnet conectadas ao switch 1 e cada um deles simu lando uma conexão diferente com a internet Agora já podemos configurar os roteadores 1 e 4 para oferecer redundância na rede LAN à qual os dois estão conectados No roteador 1 iremos configurálo para ser o roteador ativo Execute na inter face fastethernet 00 do roteador 1 os comandos a seguir Routerconfigifstandby 1 ip 1921682100 Routerconfigifstandby 1 priority 150 No roteador 4 execute o comando a seguir Routerconfigifstandby 1 ip 1921682100 17 UNIDADE Projeto Fase 3 Configuração NAT HSRP e ACLs Configure conforme Figura 9 o default gateway do computador PC1 para o endereço IP virtual 1921682100 Figura 9 Configuração da interface do PC1 Fonte Acervo do Conteudista Com a aplicação de todos os comandos citados anteriormente o HSRP estará configurado Sendo assim podemos efetuar o teste de conectividade Entre no PC1 e execute um ping para o servidor Conforme poderá observar os pacotes chega rão ao servidor A Figura 10 apresenta o resultado do comando ping no servidor Figura 10 Teste de conectividade com o servidor 0 Para verificar se a redundância está mesmo funcionando desative a interface fastethernet 00 do roteador 1 executando o comando a seguir Routerconfigifshutdown Lembrese de que o do roteador 1 foi definido como ativo na configuração HSRP pela execução do comando standby priority 150 ou seja no grupo HSRP ele é o de maior prioridade A Figura 11 apresenta a interface fast 00 desativada 18 19 Figura 11 Interface FastEthernet 00 desativada Fonte Acervo do Conteudista Agora faça novamente o teste de conectividade e irá observar que os pacotes ainda estão sendo respondidos pelo servidor 0 A Figura 12 apresenta o resultado do comando ping com a interface fastethernet do roteador 1 desabilitada Figura 12 Teste de conectividade do PC1 Fonte Acervo do Conteudista 19 UNIDADE Projeto Fase 3 Configuração NAT HSRP e ACLs ACL Access Control List Lista de Controle de Acesso As listas de controle de acesso permitem o filtro de pacotes na rede esse filtro pode ser feito tanto no sentido da rede interna para rede externa Proxy como também da rede externa para a rede interna Firewall Esse filtro de pacotes auxilia na segurança da empresa e pode ser configurado nos roteadores de borda permitindo acesso apenas aos pacotes que satisfaçam as regras configuradas nas Listas de Controle de Acesso Nos roteadores CISCO podem ser configurados dois tipos de ACL uma pa drão em que as regras são consideradas apenas para o endereço IP de origem e outra estendida em que vários outros campos e pacotes podem ser considerados nas listas de acesso Em cada lista de acesso podemos configurar uma série de regras e podemos ter várias listas de acesso cada uma com suas regras previamente definidas As regras devem ser inseridas de forma lógica para se ter o efeito desejado os pacotes são analisados considerandose a ordem em que as regras foram inseridas e na primei ra ocorrência que satisfaça uma das regras os pacotes são negados ou permitidos Configurar as regras na lista de controle de acesso não faz com que elas sejam executadas Além da configuração das regras a lista de controle de acesso deve ser vinculada a uma interface e ainda indicar em que direção ela será considerada se na direção de saída out da interface ou na direção de entrada in da interface Vamos utilizar a topologia já configurada para implementar uma lista de controle de acesso no roteador 2 A primeira regra que iremos inserir irá negar qualquer pacote gerado no PC2 para a rede externa ou seja esse computador só poderá se comunicar em sua rede LAN Entre no modo de configuração de linha no roteador 2 e vamos criar uma lista de controle de acesso padrão Para isso execute os comandos a seguir no roteador 2 Routerenable Routerconfigure terminal Routerconfigaccesslist 1 deny 19216832 Routerconfigaccesslist 1 permit any Routerconfiginterface fastEthernet 00 Routerconfigifip accessgroup 1 in 20 21 A lista de acesso criada está dentro da faixa numérica de uma ACL padrão access list 1 esse tipo de ACL considera apenas o endereço de origem para aplicar a regra A primeira regra da ACL 1 nega os pacotes que têm o endereço IP de origem como 19216832 accesslist 1 deny 19216832 nessa mesma ACL foi colocada uma regra para permitir todos os outros pacotes accesslist 1 permit any Ao configurar uma ACL o roteador implicitamente configura a negação de todos os outros pacotes que trafegam pela rede esse é o motivo para inserir uma regra com a permissão para que todos os outros pacotes trafeguem normalmente accesslist 1 permit any Caso não seja inserida a regra para permitir o tráfego de outros pacotes eles serão descartados Teste a conectividade gerando pacotes do PC2 para qualquer outro computador que está remotamente A Figura 13 apresenta o resultado do teste Figura 13 Teste de conectividade do PC2 Fonte Acervo do Conteudista Como pode ser observado na Figura 13 não há comunicação ou seja a regra está funcionando Para comprovar que somente o PC2 não pode trafegar com seus pacotes para a rede externa insira mais um computador PC3 na topologia A Figura 14 apresenta a topologia com o PC3 inserido Figura 14 PC3 inserido na topologia Fonte Acervo do Conteudista 21 UNIDADE Projeto Fase 3 Configuração NAT HSRP e ACLs Configure o PC3 com o endereço 19216833 máscara 2552552550 e default gateway 19216831 Após a configuração faça o teste de conectividade conforme Figura 15 Figura 15 Teste de conectividade com o PC3 Fonte Acervo do Conteudista Como pode ser observado o PC3 consegue alcançar o servidor 0 e o PC2 pela regra estabelecida não consegue alcançálo É possível configurar várias outras regras em uma ACL no entanto cabe uma observação em relação a projeto é desejável que os roteadores de borda sejam con figurados para dar vazão aos pacotes que cheguem até ele sendo assim as listas de controle de acesso devem ser evitadas nesses roteadores Atualmente é mais adequado implementar um firewall entre o roteador de bor da e a rede interna da empresa e deixar que o roteador de borda fique com a res ponsabilidade e tenha características para manter o tráfego na rede 22 23 Material Complementar Indicações para saber mais sobre os assuntos abordados nesta Unidade Sites Configurar o NAT para permitir uma comunicação entre redes sobreposta No link a seguir você poderá se aprofundar no conhecimento sobre o NAT httpbitly2Q52TiK Como usar o HSRP para fornecer redundância em uma rede BGP multihomed No link a seguir você encontrará um texto com detalhes do HSRP e configuração httpbitly2Q0uqBM Vídeos LabCisco Configuração de Listas de Controle de Acesso Aprenda detalhes sobre ACL httpsyoutubeEUxcx76oA CISCO PACKET TRACER 1 MONTANDO A ESTRUTURA DA REDE O packet tracer é um simulador usado para configuração de equipamentos de redes veja no vídeo a seguir como usálo httpsyoutubeh1DSGTaxOSw 23 UNIDADE Projeto Fase 3 Configuração NAT HSRP e ACLs Referências CHAPPELL L FARKAS D Diagnosticando redes Cisco InternetWork Troubleshooting São Paulo Pearson Education do Brasil 2002 MATTHEW H B Projeto de interconexão de redes Cisco InternetWork Design São Paulo Pearson Education do Brasil 2003 24