Anda di halaman 1dari 234

Introduo

Esta a primeira parte de um total de 12 partes, deste tutorial de TCP/IP. O objetivo da Parte 1 apresentar o protocolo TCP/IP e os sues aspectos bsicos de utilizao em redes baseadas no Windows 2000 (Server e Professional) e no Windows XP. Nesta primeira parte faremos uma apresentao do protocolo TCP/IP, de tal maneira que o leitor possa entender exatamente o que o TCP/IP e como configurada uma rede baseada neste protocolo. Nas demais partes deste tutorial abordaremos uma srie de assuntos, tais como: O Sistema Binrio de Numerao. Converso de Binrio para Decimal. Endereos IP e Mscara de sub-rede. Configuraes do TCP/IP no Windows 2000 e no Windows XP. Endereamento no protocolo IP. Roteamento. O conceito de sub-redes e exemplos prticos. Comandos disponveis no Windows 2000 e no Windows XP, relacionados com o protocolo TCP/IP.

Um viso geral do protocolo TCP/IP


Para que os computadores de uma rede possam trocar informaes necessrio que todos adotem as mesmas regras para o envio e o recebimento de informaes. Este conjunto de regras conhecido como Protocolo de comunicao. Falando de outra maneira podemos afirmar: "Para que os computadores de uma rede possam trocar informaes entre si necessrio que todos estejam utilizando o mesmo protocolo". No protocolo de comunicao esto definidas todas as regras necessrias para que o computador de destino, "entenda" as informaes no formato que foram enviadas pelo computador de origem. Dois computadores com protocolos diferentes instalados, no sero capazes de estabelecer uma comunicao e trocar informaes. Antes da popularizao da Internet existiam diferentes protocolos sendo utilizados nas redes das empresas. Os mais utilizados eram os seguintes: TCP/IP NETBEUI IPX/SPX Apple Talk Se colocarmos dois computadores ligados em rede, um com um protocolo, por exemplo o TCP/IP e o outro com um protocolo diferente, por exemplo NETBEUI, estes dois computadores no sero capazes de estabelecer comunicao e trocar informaes. Por exemplo, o computador com o protocolo NETBEUI instalado, no ser capaz de acessar uma pasta ou uma Impressora compartilhada no computador com o protocolo TCP/IP instalado.

medida que a Internet comeou, a cada dia, tornar-se mais popular, com o aumento exponencial do nmero de usurios, o protocolo TCP/IP passou a tornar-se um padro de fato, utilizando no s na Internet, como tambm nas redes internas das empresas, redes estas que comeavam a ser conectadas Internet. Como as redes internas precisavam conectar-se Internet, tinham que usar o mesmo protocolo da Internet, ou seja: TCP/IP. Dos principais Sistemas Operacionais do mercado, o UNIX sempre utilizou o protocolo TCP/IP como padro. O Windows d suporte ao protocolo TCP/IP desde as primeiras verses, porm o TCP/IP somente tornou-se o protocolo padro a partir do Windows 2000. Ser o protocolo padro significa que o TCP/IP ser instalado durante a instalao do Sistema Operacional, a no ser que um protocolo diferente seja selecionado. At mesmo o Sistema Operacional Novell, que sempre foi baseado no IPX/SPX como protocolo padro, passou a adotar o TCP/IP como padro a partir da verso 5.0. O que temos hoje, na prtica, a utilizao do protocolo TCP/IP na esmagadora maioria das redes. Sendo a sua adoo cada vez maior. Como no poderia deixar de ser, o TCP/IP o protocolo padro do Windows 2000 e tambm do Windows XP. Se durante a instalao, o Windows detectar a presena de uma placa de rede, automaticamente ser sugerida a instalao do protocolo TCP/IP. Nota: Para pequenas redes, no conectadas Internet, recomendada a adoo do protocolo NETBEUI, devido a sua simplicidade de configurao. Porm esta uma situao muito rara, pois dificilmente teremos uma rede isolada, sem conexo com a Internet ou com parceiros de negcios, como clientes e fornecedores. Agora passaremos a estudar algumas caractersticas do protocolo TCP/IP. Veremos que cada equipamento que faz parte de uma rede baseada no TCP/IP tem alguns parmetros de configurao que devem ser definidos, para que o equipamento possa comunicar-se com sucesso na rede e trocar informaes com os demais equipamentos da rede.

Configuraes do protocolo TCP/IP para um computador em rede


Quando utilizamos o protocolo TCP/IP como protocolo de comunicao em uma rede de computadores, temos alguns parmetros que devem ser configurados em todos os equipamentos (computadores, servidores, hubs, switchs, impressoras de rede, etc) que fazem parte da rede. Na Figura 1 temos uma viso geral de uma pequena rede baseada no protocolo TCP/IP:

Figura 1 Uma rede baseada no protocolo TCP/IP. No exemplo da Figura 1 temos uma rede local para uma pequena empresa. Esta rede local no est conectada a outras redes ou Internet. Neste caso cada computador da rede precisa de, pelo menos, dois parmetros configurados: Nmero IP Mscara de sub-rede O Nmero IP um nmero no seguinte formato:

x.y.z.w
ou seja, so quatro nmeros separados por ponto. No podem existir duas mquinas, com o mesmo nmero IP, dentro da mesma rede. Caso eu configure um novo equipamento com o mesmo nmero IP de uma mquina j existente, ser gerado um conflito de Nmero IP e um dos equipamentos, muito provavelmente o novo equipamento que est sendo configurado, no conseguir se comunicar com a rede. O valor mximo para cada um dos nmeros (x, y, z ou w) 255. Uma parte do Nmero IP (1, 2 ou 3 dos 4 nmeros) a identificao da rede, a outra parte a identificao da mquina dentro da rede. O que define quantos dos quatro nmeros fazem parte da identificao da rede e quantos fazem parte da identificao da mquina a mscara de subrede (subnet mask). Vamos considerar o exemplo de um dos computadores da rede da Figura 1: Nmero IP: 10.200.150.1 Subrede: 255.255.255.0 As trs primeiras partes da mscara de sub-rede (subnet) iguais a 255 indicam que os trs primeiros nmeros representam a identificao da rede e o ltimo nmero a identificao do equipamento dentro da rede. Para o nosso exemplo teramos a rede: 10.200.150, ou seja, todos os equipamentos do nosso exemplo fazem parte da rede 10.200.150 ou, em outras palavras, o nmero IP de todos os equipamentos da rede comeam com 10.200.150.

Neste exemplo, onde estamos utilizando os trs primeiros nmeros para identificar a rede e somente o quarto nmero para identificar o equipamento, temos um limite de 254 equipamentos que podem ser ligados neste rede. Observe que so 254 e no 256, pois o primeiro nmero 10.200.150.0 e o ltimo 10.200.250.255 no podem ser utilizados como nmeros IP de equipamentos de rede. O primeiro o prprio nmero da rede: 10.200.150.0 e o ltimo o endereo de Broadcast: 10.200.150.255. Ao enviar uma mensagem para o endereo de Broadcast, todas as mquinas da rede recebero a mensagem. Nas prximas partes deste tutorial, falaremos um pouco mais sobre Broadcast. Com base no exposto podemos apresentar a seguinte definio: "Para se comunicar em uma rede baseada no protocolo TCP/IP, todo equipamento deve ter, pelo menos, um nmero IP e uma mscara de sub-rede, sendo que todos os equipamentos da rede devem ter a mesma mscara de sub-rede. Nota: Existem configuraes mais avanadas onde podemos subdividir uma rede TCP/IP em sub-redes menores. O conceito de sub-redes ser tratado, em detalhes, nas prximas partes deste tutorial. No exemplo da figura 1 observe que o computador com o IP 10.200.150.7 est com uma mscara de sub-rede diferente dos demais: 255.255.0.0. Neste caso como se o computador com o IP 10.200.150.7 pertencesse a outra rede. Na prtica o que ir acontecer que este computador no conseguir se comunicar com os demais computadores da rede, por ter uma mscara de sub-rede diferente dos demais. Este um dos erros de configurao mais comuns. Se a mscara de sub-rede estiver incorreta, ou seja, diferente da mscara dos demais computadores da rede, o computador com a mscara de sub-rede incorreta no conseguir comunicar-se na rede. Na Tabela a seguir temos alguns exemplos de mscaras de sub-rede e do nmero mximo de equipamentos em cada uma das respectivas redes. Tabela: Exemplos de mscara de sub-rede. Mscara Nmero de equipamentos na rede

255.255.255.0 254 255.255.0.0 255.0.0.0 65.534 16.777.214

Quando a rede est isolada, ou seja, no est conectada Internet ou a outras redes externas, atravs de links de comunicao de dados, apenas o nmero IP e a mscara de sub-rede so suficientes para que os computadores possam se comunicar e trocar informaes. A conexo da rede local com outras redes feita atravs de linhas de comunicao de dados. Para que essa comunicao seja possvel necessrio um equipamento capaz de enviar informaes para outras redes e receber informaes destas redes. O equipamento utilizado para este fim o Roteador. Todo pacote de informaes que deve ser enviado para outras redes deve, obrigatoriamente, passar pelo Roteador. Todo pacote de informao que vem de outras redes tambm deve, obrigatoriamente, passar pelo Roteador. Como o Roteador um equipamento de rede, este tambm ter um nmero IP. O nmero IP do roteador deve ser informado em todos os demais equipamentos que fazem parte da rede, para que estes equipamentos possam se comunicar com os redes externas. O nmero IP do Roteador informado no parmetro conhecido como Default Gateway. Na prtica quando configuramos o parmetro Default Gateway, estamos informando o nmero IP do Roteador. Quando um computador da rede tenta se comunicar com outros computadores/servidores, o protocolo TCP/IP faz alguns clculos utilizando o nmero IP do computador de origem, a mscara de sub-rede e o nmero IP do computador de destino (veremos estes clculos em

detalhes em uma das prximas lies deste tutorial). Se, aps feitas as contas, for concludo que os dois computadores fazem parte da mesma rede, os pacotes de informao so enviados para o barramento da rede local e o computador de destino captura e processa as informaes que lhe foram enviadas. Se, aps feitas as contas, for concludo que o computador de origem e o computador de destino, fazem parte de redes diferentes, os pacotes de informao so enviados para o Roteador (nmero IP configurado como Default Gateway) e o Roteador o responsvel por achar o caminho (a rota) para a rede de destino. Com isso, para equipamentos que fazem parte de uma rede, baseada no protocolo TCP/IP e conectada a outras redes ou a Internet, devemos configurar, no mnimo, os seguintes parmetros: Nmero IP Mscara de sub-rede Default Gateway Em redes empresarias existem outros parmetros que precisam ser configurados. Um dos parmetros que deve ser informado o nmero IP de um ou mais servidores DNS Domain Name System. O DNS o servio responsvel pela resoluo de nomes. Toda a comunicao, em redes baseadas no protocolo TCP/IP feita atravs do nmero IP. Por exemplo, quando vamos acessar um site: http://www.juliobattisti.com.br/, tem que haver uma maneira de encontrar o nmero IP do servidor onde fica hospedado o site. O servio que localiza o nmero IP associado a um nome o DNS. Por isso a necessidade de informarmos o nmero IP de pelo menos um servidor DNS, pois sem este servio de resoluo de nomes, muitos recursos da rede estaro indisponveis. Existem aplicativos antigos que so baseados em um outro servio de resoluo de nomes conhecido como WINS Windows Internet Name System. O Windows NT Server 4.0 utilizava intensamente o servio WINS para a resoluo de nomes. Com o Windows 2000 o servio utilizado o DNS, porm podem existir aplicaes que ainda dependam do WINS. Nestes casos voc ter que instalar e configurar um servidor WINS na sua rede e configurar o IP deste servidor em todos os equipamentos da rede. As configuraes do protocolo TCP/IP podem ser definidas manualmente, isto , configurando cada um dos equipamentos necessrios. Esta uma soluo razovel para pequenas redes, porm pode ser um problema para redes maiores, com um grande nmero de equipamentos conectados. Para redes maiores recomendado o uso do servio DHCP Dynamic Host Configuration Protocol. O servio DHCP pode ser instalado em um servidor com o Windows NT Server 4.0 ou o Windows 2000 Server. Uma vez disponvel e configurado, o servio DHCP fornece todos os parmetros de configurao do protocolo TCP/IP para os equipamentos conectados rede. Os parmetros so fornecidos quando o equipamento inicializado e podem ser renovados em perodos definidos pelo Administrador. Com o uso do DHCP uma srie de procedimentos de configurao podem ser automatizados, o que facilita a vida do Administrador e elimina uma srie de erros. O uso do DHCP tambm muito vantajoso quando so necessrias alteraes no nmero IP dos servidores DNS ou WINS. Vamos imaginar uma rede com 1000 computadores e que no utiliza o DHCP, ou seja, os diversos parmetros do protocolo TCP/IP so configurados manualmente em cada computador. Agora vamos imaginar que o nmero IP do servidor DNS foi alterado. Neste caso o Administrador e a sua equipe tcnica tero que fazer a alterao do nmero IP do servidor DNS em todas as estaes de trabalho da rede. Um servio e tanto. Se esta mesma rede estiver utilizando o servio DHCP, bastar alterar o nmero do servidor DNS, nas configuraes do servidor DHCP. O novo nmero ser fornecido para todas as estaes da rede, na prxima vez que a estao for reinicializada. Muito mais simples e prtico e, principalmente, com menor probabilidade de erros.

Voc pode verificar, facilmente, as configuraes do protocolo TCP/IP que esto definidas para o seu computador (Windows 2000 ou Windows XP). Para isso siga os seguintes passos: 1. Faa o logon. 2. Abra o Prompt de comando: Iniciar -> Programas -> Acessrios -> Prompt de comando. 3. Na janela do Prompt de comando digite o seguinte comando: ipconfig/all e pressione Enter. 4. Sero exibidas as diversas configuraes do protocolo TCP/IP, conforme indicado a seguir, no exemplo obtido a partir de um dos meus computadores de casa:

O comando ipconfig exibe informaes para as diversas interfaces de rede instaladas placa de rede, modem, etc. No exemplo anterior temos uma nica interface de rede instalada, a qual relacionada com uma placa de rede Realtek RTL8139 Family PCI Fast Ethernet NIC. Observe que temos o nmero IP para dois servidores DNS e para um servidor WINS. Outra informao importante o Endereo fsico, mais conhecido como MAC-Address ou endereo da placa. O MAC-Address um nmero que identifica a placa de rede. Os seis primeiros nmeros/letras so uma identificao do fabricante e os seis ltimos uma identificao da placa. No existem duas placas com o mesmo MAC-Address, ou seja, este endereo nico para cada placa de rede. No exemplo da listagem a seguir, temos um computador com duas interfaces de rede. Uma das interfaces ligada a placa de rede (Realtek RTL8029(AS) PCI Ethernet Adapter), a qual conecta o computador a rede local. A outra interface ligada ao fax-modem (WAN (PPP/SLIP) Interface), o qual conecta o computador Internet. Para o protocolo TCP/IP a conexo via Fax modem

aparece como se fosse mais uma interface de rede, conforme pode ser conferido na listagem a seguir:

Bem, estes so os aspectos bsicos do TCP/IP. Nos endereos a seguir, voc encontra tutoriais, em portugus, onde voc poder aprofundar os seus estudos sobre o protocolo TCP/IP: http://www.juliobattisti.com.br/tcpip.asp http://www.guiadohardware.info/tutoriais/enderecamento_ip/index.asp

http://www.guiadohardware.info/curso/redes_guia_completo/22.asp http://www.guiadohardware.info/curso/redes_guia_completo/23.asp http://www.guiadohardware.info/curso/redes_guia_completo/28.asp http://www.vanquish.com.br/site/020608 http://unsekurity.virtualave.net/texto1/texto_tcpip_basico.txt http://unsekurity.virtualave.net/texto1/tcpipI.txt http://www.rota67.hpg.ig.com.br/tutorial/protocolos/amfhp_tcpip_basico001.ht m http://www.rota67.hpg.ig.com.br/tutorial/protocolos/amfhp_tcpip_av001.htm http://www.geocities.com/ResearchTriangle/Thinktank/4203/doc/tcpip.zip

Questo de exemplo para os exames de Certificao:


A seguir coloco um exemplo de questo, relacionada ao TCP/IP, que pode aparecer nos exames de Certificao da Microsoft. Esta questo faz parte dos simulados gratuitos, disponveis aqui no site. Questo 01 A seguir esto as configuraes bsicos do TCP/IP de trs estaes de trabalho: micro01, micro02 e micro03. Configuraes do micro01: Nmero IP: 100.100.100.3 Mscara de sub-rede: 255.255.255.0 Gateway: 100.100.100.1 Configuraes do micro02: Nmero IP: 100.100.100.4 Mscara de sub-rede: 255.255.240.0 Gateway: 100.100.100.1 Configuraes do micro03: Nmero IP: 100.100.100.5 Mscara de sub-rede: 255.255.255.0 Gateway: 100.100.100.2 O micro 02 no est conseguindo comunicar com os demais computadores da rede. J o micro03 consegue comunicar-se na rede local, porm no consegue se comunicar com nenhum recurso de outras redes, como por exemplo a Internet. Quais alteraes voc deve fazer para que todos os computadores possam se comunicar normalmente, tanto na rede local quanto com as redes externas? a) Altere a mscara de sub-rede do micro02 para 255.255.255.0 Altere o Gateway do micro03 para 100.100.100.1

b) c)

Altere a mscara de sub-rede do micro01 para 255.255.240.0 Altere a mscara de sub-rede do micro03 para 255.255.240.0 Altere o Gateway do micro01 para 100.100.100.2 Altere o Gateway do micro02 para 100.100.100.2

d) Altere o Gateway do micro03 para 100.100.100.1 e) Altere a mscara de sub-rede do micro02 para 255.255.255.0 Resposta certa: a

Comentrios: Pelo enunciado o computador micro02 no consegue comunicar com nenhum outro computador da rede. Este um sintoma tpico de problema na mscara de sub-rede. exatamente o caso, o micro02 est com uma mscara de sub-rede 255.255.240.0, diferente da mscara dos demais computadores. Por isso ele est isolado na rede. J o micro03 no consegue comunicar-se com outras redes, mas consegue comunicarse na rede local. Este um sintoma de que a configurao do Gateway est incorreta. Por isso a necessidade de alterar a configurao do Gateway do micro03, para que este utilize a mesma configurao dos demais computadores da rede. Observe como esta questo testa apenas conhecimentos bsicos do TCP/IP, tais como Mscara de sub-rede e Default Gateway.

Introduo

Na Primeira Parte deste tutorial apresentei o protocolo TCP/IP e qual o seu papel em uma rede de computadores. Nesta segunda parte apresentarei os princpios bsicos do sistema de numerao binrio. Tambm mostrarei como realizar clculos simples e converses de Binrio para Decimal e vice-versa. Feita a apresentao das operaes bsicas com nmeros binrios, veremos como o TCP/IP atravs de clculos binrios e, com base na mscara de sub-rede (subnet mask), determina se dois computadores esto na mesma rede ou fazem parte de redes diferentes. Sistema de numerao binrio: Vou iniciar falando do sistema de numerao decimal, para depois fazer uma analogia ao apresentar o sistema de numerao binrio.Todos nos conhecemos o sistema de numerao decimal, no qual so baseados os nmeros que usamos no nosso dia-a-dia, como por exemplo: 100, 259, 1450 e assim por diante. Voc j parou para pensar porque este sistema de numerao chamado de sistema de numerao decimal? No? Bem, a resposta bastante simples: este sistema baseado em dez dgitos diferentes, por isso chamado de sistema de numerao decimal. Todos os nmeros do sistema de numerao decimal so escritos usando-se uma combinao dos seguintes dez dgitos: 0123456789 Dez dgitos -> Sistema de numerao decimal. Vamos analisar como determinado o valor de um nmero do sistema de numerao decimal. Por exemplo, considere o seguinte nmero: 4538 O valor deste nmero formado, multiplicando-se os dgitos do nmero, de trs para frente, por potncias de 10, comeando com 10. O ltimo dgito (bem direita) multiplicado por 10, o penltimo por 101, o prximo por 102 e assim por diante. o valor real do nmero a soma destas multiplicaes. Observe o esquema a seguir que ser bem mais fcil de entender: 4 Multiplica por: 103 ou seja: 1000 5 102 100 3 101 10 8 100 1

Resultado: 4 x 1000 5 x 100 3 x 10 8 x 1 Igual a: 4000 500 30 8

Somando tudo: 4000+500+30+8 igual a: 4538 Observe que 4538 significa exatamente: 4 +5 +3 +8 milhares (103) centenas (102) dezenas (101) unidades (100)

E assim para nmeros maiores teramos potncias 104, 105 e assim por diante. Observe que multiplicando cada dgito por potncias de 10, obtemos o nmero original. Este princpio aplicado ao sistema de numerao decimal vlido para qualquer sistema de numerao. Se for o sistema de numerao Octal (baseado em 8 dgitos), multiplica-se por potncias de 8: 8, 81, 82 e assim por diante. Se for o sistema Hexadecimal (baseado em 10 dgitos e 6 letras) multiplica-se por potncias de 16, s que a letra A equivale a 10, j que no tem sentido multiplicar por uma letra, a letra B equivale a 11 e assim por diante. Bem, por analogia, se o sistema decimal baseado em dez dgitos, ento o sistema binrio deve ser baseado em dois dgitos? Exatamente. Nmeros no sistema binrios so escritos usando-se apenas os dois seguintes dgitos: 0 1

Isso mesmo, nmeros no sistema binrio so escritos usando-se apenas zeros e uns, como nos exemplos a seguir: 01011100 11011110 00011111 Tambm por analogia, se, no sistema binrio, para obter o valor do nmero, multiplicamos os seus dgitos, de trs para frente, por potncias de 10, no sistema binrio fizemos esta mesma operao, s que baseada em potncias de 2, ou seja: 20, 21, 22, 23, 24 e assim por diante.

Vamos considerar alguns exemplos prticos. Como fao para saber o valor decimal do seguinte nmero binrio: 11001110 Vamos utilizar a tabelinha a seguir para facilitar os nossos clculos:

1 Multiplica por: 27 equivale a: 128

1 26 64

0 25 32

0 24 16

1 23 8

1 22 4 1x4 4

1 21 2 1x2 2

0 20 1 0x1 0

Multiplicao: 1x128 1x64 0x32 0x16 1x8 Resulta em: 128 64 0 0 8

Somando tudo: 128+64+0+0+8+4+2+0 Resulta em: 206 Ou seja, o nmero binrio 11001110 equivale ao decimal 206. Observe que onde temos um a respectiva potncia de 2 somada e onde temos o zero a respectiva potncia de 2 anulada por ser multiplicada por zero. Apenas para fixar um pouco mais este conceito, vamos fazer mais um exemplo de converso de binrio para decimal. Converter o nmero 11100010 para decimal: 1 Multiplica por: 27 equivale a: 128 1 26 64 1 25 32 0 24 16 0 23 8 0 22 4 0x4 0 1 21 2 1x2 2 0 20 1 0x1 0

Multiplicao: 1x128 1x64 1x32 0x16 0x8 Resulta em: 128 64 32 0 0

Somando tudo: 128+64+32+0+0+0+2+0 Resulta em: 226

Converter decimal para binrio: Bem, e se tivssemos que fazer o contrrio, converter o nmero 234 de decimal para binrio, qual seria o binrio equivalente??

Nota: Nos exemplos deste tutorial vou trabalhar com valores de, no mximo, 255, que so valores que podem ser representados por 8 dgitos binrios, ou na linguagem do computador 8 bits, o que equivale exatamente a um byte. Por isso que cada um dos quatro nmeros que fazem parte do nmero IP, somente podem ter um valor mximo de 255, que um valor que cabe em um byte, ou seja, 8 bits. Existem muitas regras para fazer esta converso, eu prefiro utilizar uma bem simples, que descreverei a seguir e que serve perfeitamente para o propsito deste tutorial. Vamos voltar ao nosso exemplo, como converter 234 para um binrio de 8 dgitos? Eu comeo o raciocnio assim. Primeiro vamos lembrar o valor de cada dgito: 128 64 32 16 8 4 2 1

Lembrando que estes nmeros representam potncias de 2, comeando, de trs para frente, com 20, 21, 22 e assim por diante, conforme indicado logo a seguir: 128 27 64 26 32 25 16 24 8 23 4 22 2 21 1 20

Pergunto: 128 cabe em 234? Sim, ento o primeiro dgito 1. Somando 64 a 128 passa de 234? No, d 192, ento o segundo dgito tambm 1. Somando 32 a 192 passa de 234? No, d 224, ento o terceiro dgito tambm 1. Somando 16 a 224 passa de 234? Passa, ento o quarto dgito zero. Somando 8 a 224 passa de 234? No, da 232, ento o quinto dgito 1. Somando 4 a 232 passa de 234? Passa, ento o sexto dgito zero. Somando 2 a 232 passa de 234? No, d exatamente 234, ento o stimo dgito 1. J cheguei ao valor desejado, ento todos os demais dgitos so zero. Com isso, o valor 234 em binrio igual a: 11101010 Para exercitar vamos converter mais um nmero de decimal para binrio. Vamos converter o nmero 144 para decimal.

Pergunto: 128 cabe em 144? Sim, ento o primeiro dgito 1. Somando 64 a 128 passa de 144? Sim, d 192, ento o segundo dgito 0. Somando 32 a 128 passa de 144? Sim, d 160, ento o terceiro dgito tambm 0. Somando 16 a 128 passa de 144? No, d exatamente 144, ento o quarto dgito 1. J cheguei ao valor desejado, ento todos os demais dgitos so zero. Com isso, o valor 144 em binrio igual a: 10010000 Bem, agora que voc j sabe como converter de decimal para binrio, est em condies de aprender sobre o operador "E" e como o TCP/IP usa a mscara de sub-rede (subnetmask) e uma operao "E", para verificar se duas mquinas esto na mesma rede ou no. O Operador E: Existem diversas operaes lgicas que podem ser feitas entre dois dgitos binrios, sendo as mais conhecidas as seguintes: "E", "OU", "XOR" e "NOT". Para o nosso estudo interessa o operador E. Quando realizamos um "E" entre dois bits, o resultado somente ser 1, se os dois bits forem iguais a 1. Se pelo menos um dos bits for igual a zero, o resultado ser zero. Na tabela a seguir temos todos os valores possveis da operao E entre dois bits: bit-1 1 1 0 0 bit-2 1 0 1 0 (bit-1) E (bit2) 1 0 0 0

Como o TCP/IP usa a mscara de sub-rede: Considere a figura a seguir, onde temos a representao de uma rede local, ligada a uma outras redes atravs de um roteador.

Temos uma rede que usa como mscara de sub-rede 255.255.255.0 (uma rede classe C, mas ainda no abordamos as classes de redes, o que ser feito na Parte 3 deste tutorial). A rede a 10.200.150, ou seja, todos os equipamentos da rede tem os trs primeiras partes do nmero IP como sendo: 10.200.150. Veja que existe uma relao direta entre a mscara de sub-rede a quantas das partes do nmero IP so fixas, ou seja, que definem a rede, conforme foi descrito na Parte 1 deste tutorial. A rede da figura anterior uma rede das mais caractersticas, onde existe um roteador ligado rede e o roteador est conectado a um Modem, atravs do qual feita a conexo da rede local com a rede WAN da empresa. Nas prximas partes deste tutorial vou detalhar a funo do roteador e mostrarei como funciona o roteamento entre redes. Como o TCP/IP usa a mscara de sub-rede e o roteador:

Quando dois computadores tentam trocar informaes em uma rede, o TCP/IP precisa, primeiro, calcular se os dois computadores pertencem a mesma rede ou a redes diferentes. Neste caso podemos ter duas situaes distintas: Situao 1: Os dois computadores pertencem a mesma rede: Neste caso o TCP/IP envia o pacote para o barramento local da rede. Todos os computadores recebem o pacote, mas somente o destinatrio do pacote que o captura e passa para processamento pelo Windows e pelo programa de destino. Como que o computador sabe se ele ou no o destinatrio do pacote? Muito simples, no pacote de informaes est contido o endereo IP do destinatrio. Em cada computador, o TCP/IP compara o IP de destinatrio do pacote com o IP do computador, para saber se o pacote ou no para o respectivo computador. Situao 2: Os dois computadores no pertencem a mesma rede: Neste caso o TCP/IP envia o pacote para o Roteador (endereo do Default Gateway configurado nas propriedades do TCP/IP) e o Roteador se encarrega de fazer o pacote chegar atravs do destino. Em uma das partes deste tutorial veremos detalhes sobre como o Roteador capaz de rotear pacotes de informaes at redes distantes. Agora a pergunta que tem a ver com este tpico: "Como que o TCP/IP faz para saber se o computador de origem e o computador de destino pertencem a mesma rede?" Vamos usar alguns exemplos prticos para explicar como o TCP/IP faz isso: Exemplo 1: Com base na figura anterior, suponha que o computador cujo IP 10.200.150.5 (origem) queira enviar um pacote de informaes para o computador cujo IP 10.200.150.8 (destino), ambos com mscara de sub-rede igual a 255.255.255.0. O primeiro passo converter o nmero IP das duas mquinas e da mscara de sub-rede para binrio. Com base nas regras que vimos anteriormente, teramos a seguinte converso: Computador de origem: 10 200 150

00001010 11001000 10010110 00000101 Computador de destino:

10

200

150

00001010 11001000 10010110 00001000 Mscara de sub-rede: 255 255 255 0 11111111 11111111 11111111 00000000 Feitas as converses para binrio, vamos ver que tipo de clculos o TCP/IP faz, para determinar se o computador de origem e o computador de destino esto na mesma rede. Em primeiro lugar feita uma operao "E", bit a bit, entre o Nmero IP e a mscara de Sub-rede do computador de origem, conforme indicado na tabela a seguir: 10.200.150.5 00001010 11001000 10010110 00000101 255.255.255.0 11111111 11111111 11111111 00000000

10.200.150.0 00001010 11001000 10010110 00000000 Resultado Agora feita uma operao "E", bit a bit, entre o Nmero IP e a mscara de sub-rede do computador de destino, conforme indicado na tabela a seguir: 10.200.150.8 00001010 11001000 10010110 00001000 E 255.255.255.0 11111111 11111111 11111111 00000000 10.200.150.0 00001010 11001000 10010110 00000000 Resultado Agora o TCP/IP compara os resultados das duas operaes. Se os dois resultados forem iguais, aos dois computadores, origem e destino, pertencem a mesma rede local. Neste caso o TCP/IP envia o pacote para o barramento da rede local. Todos os computadores recebem o pacote, mas somente o destinatrio do pacote que o captura e passa para processamento pelo Windows e pelo programa de destino. Como que o computador sabe se ele ou no o destinatrio do pacote? Muito simples, no pacote de informaes est contido o endereo IP do destinatrio. Em cada computador, o TCP/IP compara o IP de destinatrio do pacote com o IP do computador, para saber se o pacote ou no para o respectivo computador. o que acontece neste exemplo, pois o resultado das duas operaes "E" igual: 10.200.150.0, ou seja, os dois computadores pertencem a rede: 10.200.150.0 Como voc j deve ter adivinhado, agora vamos a um exemplo, onde os dois computadores no pertencem a mesma rede, pelo menos devido s configuraes do TCP/IP.

Exemplo 2: Suponha que o computador cujo IP 10.200.150.5 (origem) queira enviar um pacote de informaes para o computador cujo IP 10.204.150.8 (destino), ambos com mscara de sub-rede igual a 255.255.255.0. O primeiro passo converter o nmero IP das duas mquinas e da mscara de sub-rede para binrio. Com base nas regras que vimos anteriormente, teramos a seguinte converso: Computador de origem: 10 200 150

00001010 11001000 10010110 00000101 Computador de destino: 10 204 150 8 00001010 11001100 10010110 00001000 Mscara de sub-rede: 255 255 255 0 11111111 11111111 11111111 00000000 Feitas as converses para binrio, vamos ver que tipo de clculos o TCP/IP faz, para determinar se o computador de origem e o computador de destino esto na mesma rede. Em primeiro lugar feita uma operao "E", bit a bit, entre o Nmero IP e a mscara de Sub-rede do computador de origem, conforme indicado na tabela a seguir: 10.200.150.5 00001010 11001000 10010110 00000101 255.255.255.0 11111111 11111111 11111111 00000000

10.200.150.0 00001010 11001000 10010110 00000000 Resultado Agora feita uma operao "E", bit a bit, entre o Nmero IP e a mscara de sub-rede do computador de destino, conforme indicado na tabela a seguir: 10.204.150.8 00001010 11001100 10010110 00001000 E 255.255.255.0 11111111 11111111 11111111 00000000 10.204.150.0 00001010 11001100 10010110 00000000 Resultado Agora o TCP/IP compara os resultados das duas operaes. Neste exemplo, os dois resultados so diferentes: 10.200.150.0 e 10.204.150.0. Nesta situao o TCP/IP envia o pacote para o Roteador (endereo do Default Gateway configurado nas propriedades do TCP/IP) e o Roteador se encarrega de fazer o pacote chegar atravs do destino. Em outras palavras o Roteador sabe entregar o pacote para a rede

10.204.150.0 ou sabe para quem enviar (um outro roteador), para que este prximo roteador possa encaminhar o pacote. Este processo continua at que o pacote seja entregue na rede de destino. Observe que, na figura anterior, temos dois computadores que, apesar de estarem fisicamente na mesma rede, no conseguiro se comunicar devido a um erro de configurao na mscara de sub-rede de um dos computadores. o caso dos computador 10.200.150.4 (com mscara de sub-rede 255.255.250.0). Como este computador est com uma mscara de sub-rede diferente dos demais computadores da rede (255.255.255.0), ao fazer os clculos, o TCP/IP chega a concluso que este computador pertence a uma rede diferente, o que faz com que ele no consiga se comunicar com os demais computadores da rede local.

Concluso. Neste segunda parte do tutorial de TCP/IP, apresentei aspectos relacionados com nmeros binrios e aritmtica binria bsica. Tambm mostrei como o protocolo TCP/IP usa os correspondentes binrios do Nmero IP e da mscara de sub-rede, juntamente com uma operao "E", para determinar se dois computadores esto na mesma rede ou no. Com base nestes clculos, o TCP/IP encaminha os pacotes de informao de maneiras diferentes. No esquea de consultar os endereos a seguir para aprofundar os estudos de TCP/IP: http://www.juliobattisti.com.br/tcpip.asp http://www.guiadohardware.info/tutoriais/enderecamento_i p/index.asp http://www.guiadohardware.info/curso/redes_guia_complet o/22.asp http://www.guiadohardware.info/curso/redes_guia_complet o/23.asp http://www.guiadohardware.info/curso/redes_guia_complet o/28.asp

http://www.aprendaemcasa.com.br/tcpip1.htm http://www.aprendaemcasa.com.br/tcpip2.htm (at o tcpip33.htm). http://www.vanquish.com.br/site/020608 http://unsekurity.virtualave.net/texto1/texto_tcpip_basico.t xt http://unsekurity.virtualave.net/texto1/tcpipI.txt http://www.rota67.hpg.ig.com.br/tutorial/protocolos/amfhp _tcpip_av001.htm http://www.geocities.com/ResearchTriangle/Thinktank/4203 /doc/tcpip.zip

Introduo Na Parte 1 deste tutorial apresentei o protocolo TCP/IP e qual o seu papel em uma rede de computadores. Na Parte 2 apresentei os

princpios bsicos do sistema de numerao binrio. Tambm mostrei como realizar clculos simples e converses de binrio para decimal e vice-versa. Feita a apresentao das operaes bsicas com nmeros binrios, vimos como o TCP/IP atravs de clculos binrios e, com base na mscara de sub-rede (subnet mask), determina se dois computadores esto na mesma rede ou fazem parte de redes diferentes. Nesta Parte do tutorial vou falar sobre o endereamento IP. Mostrarei que, inicialmente, foram definidas classes de endereos IP. Porm, devido a uma possvel falta de endereos IP, por causa do grande crescimento da Internet, novas alternativas tiveram que ser buscadas. Endereamento IP Classes de Endereos: Ns vimos, na Parte 2, que a mscara de sub-rede utilizada para determinar qual "parte" do endereo IP representa o nmero da Rede e qual parte representa o nmero da mquina dentro da rede. A mscara de sub-rede tambm foi utilizada na definio original das classes de endereo IP. Em cada classe existe um determinado nmero de redes possveis e, em cada rede, um nmero mximo de mquinas. Foram definidas cinco classes de endereos, identificadas pelas letras: A, B, C, D e E. Vou iniciar com uma descrio detalhada de cada Classe de Endereos e, em seguida apresento um quadro resumo. Classe A: Esta classe foi definida com tendo o primeiro bit (dos 32 bits que formam um nmero IP) do nmero IP como sendo igual a zero. Com isso o primeiro nmero IP somente poder variar de 1 at 126 (na prtica at 127, mas o 127 um nmero IP reservado, conforme detalharemos mais adiante). Observe, no esquema a seguir (explicado na Parte 2) que o primeiro bit sendo 0, o valor mximo (quando todos os demais bits so iguais a 1) a que se chega de 127: 0 Multiplica por: 27 equivale a: 128 1 26 64 1 25 32 1 24 16 1 23 8 1 22 4 1x4 4 1 21 2 1x2 2 1 20 1 1x1 1

Multiplicao: 0x128 1x64 1x32 1x16 1x8 Resulta em: 0 64 32 16 8

Somando tudo: 0+64+32+16+8+4+2+1

Resulta em: 127 O nmero 127 no utilizado como rede Classe A, pois um nmero especial, reservado para fazer referncia ao prprio computador. O nmero 127.0.0.1 um nmero especial, conhecido como localhost. Ou seja, sempre que um programa fizer referncia a localhost ou ao nmero 127.0.0.1, estar fazendo referncia ao computador onde o programa est sendo executado. Por padro, para a Classe A, foi definida a seguinte mscara de subrede: 255.0.0.0. Com esta mscara de subrede observe que temos 8 bits para o endereo da rede e 24 bits para o endereo da mquina dentro da rede. Com base no nmero de bits para a rede e para as mquinas, podemos determinar quantas redes Classe A podem existir e qual o nmero mximo de mquinas por rede. Para isso utilizamos a frmula a seguir:

2n- 2
, onde "n" representa o nmero de bits utilizado para a rede ou para a identificao da mquina dentro da rede. Vamos aos clculos: Nmero de redes Classe A: Nmero de bits para a rede: 7. Como o primeiro bit sempre zero, este no varia. Por isso sobram 7 bits (8-1) para formar diferentes redes: 27-2 -> 128-2 -> 126 redes Classe A Nmero de mquinas (hosts) em uma rede Classe A: Nmero de bits para identificar a mquina: 24 224-2 -> 128-2 -> 16.777.214 mquinas em cada rede classe A Na Classe A temos apenas um pequeno nmero de redes disponveis, porm um grande nmero de mquinas em cada rede. J podemos concluir que este nmero de mquinas, na prtica, jamais ser necessrios para uma nica rede. Com isso observe que, com este esquema de endereamento, teramos poucas redes Classe A (apenas 126) e com um nmero muito grande de mquinas em cada rede. Isso causaria desperdcio de endereos, pois se o endereo de uma rede

Classe A fosse disponibilizado para um empresa, esta utilizaria apenas uma pequena parcela dos endereos disponveis e todos os demais endereos ficariam sem uso. Para resolver esta questo que passou-se a utilizar a diviso em sub-redes, assunto este que ser visto na Parte 5 destes tutorial. Classe B: Esta classe foi definida com tendo os dois primeiros bits do nmero IP como sendo sempre iguais a 1 e 0. Com isso o primeiro nmero do endereo IP somente poder variar de 128 at 191. Como o segundo bit sempre 0, o valor do segundo bit que 64 nunca somado para o primeiro nmero IP, com isso o valor mximo fica em: 255-64, que o 191. Observe, no esquema a seguir, que o primeiro bit sendo 1 e o segundo sendo 0, o valor mximo (quando todos os demais bits so iguais a 1) a que se chega de 191: 1 Multiplica por: 27 equivale a: 128 Multiplicao: 1x128 Resulta em: 128 0 26 64 0x64 0 1 25 32 1x32 32 1 24 16 1x16 16 1 23 8 1x8 8 1 22 4 1x4 4 1 21 2 1x2 2 1 20 1 1x1 1

Somando tudo: 128+0+32+16+8+4+2+1 Resulta em: 191 Por padro, para a Classe B, foi definida a seguinte mscara de subrede: 255.255.0.0. Com esta mscara de sub-rede observe que temos 16 bits para o endereo da rede e 16 bits para o endereo da mquina dentro da rede. Com base no nmero de bits para a rede e para as mquinas, podemos determinar quantas redes Classe B podem existir e qual o nmero mximo de mquinas por rede. Para isso utilizamos a frmula a seguir:

2n- 2
, onde "n" representa o nmero de bits utilizado para a rede ou para a identificao da mquina dentro da rede. Vamos aos clculos: Nmero de redes Classe B:

Nmero de bits para a rede: 14. Como o primeiro e o segundo bit so sempre 10, fixos, no variam, sobram 14 bits (16-2) para formar diferentes redes: 214-2 -> 16384-2 -> 16.382 redes Classe B Nmero de mquinas (hosts) em uma rede Classe B: Nmero de bits para identificar a mquina: 16. 216-2 -> 65536-2 -> 65.534 mquinas em cada rede classe B Na Classe B temos um nmero razovel de redes Classe B, com um bom nmero de mquinas em cada rede. O nmero mximo de mquinas, por rede Classe B j est mais prximo da realidade para as redes de algumas grandes empresas tais como Microsoft, IBM, HP, GM, etc. Mesmo assim, para muitas empresas menores, a utilizao de um endereo Classe B, representa um grande desperdcio de nmeros IP. Conforme veremos na Parte 5 deste tutorial possvel usar um nmero diferentes de bits para a mscara de sub-rede, ao invs dos 16 bits definidos por padro para a Classe B (o que tambm possvel com Classe A e Classe C). Com isso posso dividir uma rede classe B em vrias sub-redes menores, com um nmero menor de mquinas em cada sub-rede. Mas isso assunto para a Parte 5 deste tutorial. Classe C: Esta classe foi definida com tendo os trs primeiros bits do nmero IP como sendo sempre iguais a 1, 1 e 0. Com isso o primeiro nmero do endereo IP somente poder variar de 192 at 223. Como o terceiro bit sempre 0, o valor do terceiro bit, que 32, nunca somado para o primeiro nmero IP. Com isso o valor mximo fica em: 255-32, que 223. Observe, no esquema a seguir, que o primeiro bit sendo 1, o segundo bit sendo 1 e o terceiro bit sendo 0, o valor mximo (quando todos os demais bits so iguais a 1) a que se chega de 223: 1 Multiplica por: 27 equivale a: 128 Multiplicao: 1x128 1 26 64 1x64 0 25 32 0x32 1 24 16 1x16 1 23 8 1x8 1 22 4 1x4 1 21 2 1x2 1 20 1 1x1

Resulta em: 128

64

16

Somando tudo: 128+64+0+16+8+4+2+1 Resulta em: 223 Por padro, para a Classe C, foi definida a seguinte mscara de subrede: 255.255.255.0. Com esta mscara de sub-rede observe que temos 24 bits para o endereo da rede e apenas 8 bits para o endereo da mquina dentro da rede. Com base no nmero de bits para a rede e para as mquinas, podemos determinar quantas redes Classe C podem existir e qual o nmero mximo de mquinas por rede. Para isso utilizamos a frmula a seguir:

2n- 2
, onde "n" representa o nmero de bits utilizado para a rede ou para a identificao da mquina dentro da rede. Vamos aos clculos: Nmero de redes Classe C: Nmero de bits para a rede: 21. Como o primeiro, o segundo e o terceiro bit so sempre 110, ou seja:fixos, no variam, sobram 21 bits (24-3) para formar diferentes redes: 221-2 -> 2097152-2 -> 2.097.150 redes Classe C Nmero de mquinas (hosts) em uma rede Classe C: Nmero de bits para identificar a mquina: 8 28-2 -> 256-2 -> 254 mquinas em cada rede classe C Observe que na Classe C temos um grande nmero de redes disponveis, com, no mximo, 254 mquinas em cada rede. o ideal para empresas de pequeno porte. Mesmo com a Classe C, existe um grande desperdcio de endereos. Imagine uma pequena empresa com apenas 20 mquinas em rede. Usando um endereo Classe C, estariam sendo desperdiados 234 endereos. Conforme j descrito anteriormente, esta questo do desperdcio de endereos IP pode ser resolvida atravs da utilizao de sub-redes. Classe D:

Esta classe foi definida com tendo os quatro primeiros bits do nmero IP como sendo sempre iguais a 1, 1, 1 e 0. A classe D uma classe especial, reservada para os chamados endereos de Multicast. Falaremos sobre Muliticast, Unicast e Broadcast em uma das prximas partes deste tutorial. Classe E: Esta classe foi definida com tendo os quatro primeiros bits do nmero IP como sendo sempre iguais a 1, 1, 1 e 1. A classe E uma classe especial e est reservada para uso futuro. Quadro resumo das Classes de Endereo IP: A seguir apresento uma tabela com as principais caractersticas de cada Classe de Endereos IP: Classe A B C D E Primeiros bits 0 10 110 1110 1111 Nm. de redes 126 16.382 2.097.150 Nmero de hosts Mscara padro

16.777.214 255.0.0.0 65.534 255.255.0.0 254 255.255.255.0

Utilizado para trfego Multicast Reservado para uso futuro

Endereos Especiais: Existem alguns endereos IP especiais, reservados para funes especficas e que no podem ser utilizados como endereos de uma mquina da rede. A seguir descrevo estes endereos. Endereos da rede 127.0.0.0: So utilizados como um alis (apelido), para fazer referncia a prpria mquina. Normalmente utilizado o endereo 127.0.0.1, o qual associado ao nome localhost. Esta associao feita atravs do arquivo hosts. No Windows 95/98/Me o arquivo hosts est na pasta onde o Windows foi instalado e no Windows 2000/XP, o arquivo hosts est no seguinte caminho: system32/drivers/etc, sendo que este caminho fica dentro da pasta onde o Windows foi instalado. Endereo com todos os bits destinados identificao da

mquina, iguais a 0: Um endereo com zeros em todos os bits de identificao da mquina, representa o endereo da rede. Por exemplo, vamos supor que voc tenha uma rede Classe C. A mquina a seguir uma mquina desta rede: 200.220.150.3. Neste caso o endereo da rede : 200.220.150.0, ou seja, zero na parte destinada a identificao da mquina. Sendo uma rede classe C, a mscara de sub-rede 255.255.255.0. Endereo com todos os bits destinados identificao da mquina, iguais a 1: Um endereo com valor 1 em todos os bits de identificao da mquina, representa o endereo de broadcast. Por exemplo, vamos supor que voc tenha uma rede Classe C. A mquina a seguir uma mquina desta rede: 200.220.150.3. Neste caso o endereo de broadcast desta rede o seguinte: 200.220.150.255, ou seja, todos os bits da parte destinada identificao da mquina, iguais a 1. Sendo uma rede classe C, a mscara de sub-rede 255.255.255.0. Ao enviar uma mensagem para o endereo do broadcast, a mensagem endereada para todos as mquinas da rede. Falaremos mais sobre Broadcast, Unicast e Multiast, nas prximas partes deste tutorial. Concluso Nesta terceira parte do tutorial de TCP/IP, apresentei uma introduo ao conceito de Endereamento IP e s classes de endereamento padro. Na Parte 4 falarei sobre a maneira como feito o roteamento IP entre redes diferentes, atravs do uso de roteadores.

Introduo Na Parte 1 deste tutorial apresentei o protocolo TCP/IP e qual o seu

papel em uma rede de computadores. Na Parte 2 apresentei os princpios bsicos do sistema de numerao binrio. Tambm mostrei como realizar clculos simples e converses de Binrio para Decimal e vice-versa. Feita a apresentao das operaes bsicas com nmeros binrios, vimos como o TCP/IP atravs de clculos binrios e, com base na mscara de sub-rede (subnet mask), determina se dois computadores esto na mesma rede ou fazem parte de redes diferentes. Na Parte 3 falei sobre o endereamento IP. Mostrei que, inicialmente, foram definidas classes de endereos IP. Porm, devido a uma possvel falta de endereos, por causa do grande crescimento da Internet, novas alternativas tiveram que ser buscadas. Nesta parte vou iniciar a abordagem sobre Roteamento. Falarei sobre o papel dos roteadores na ligao entre redes locais (LANs) para formar uma WAN. Mostrarei alguns exemplos bsicos de roteamento. Na parte 5 vou aprofundar um pouco mais a discusso sobre Roteamento. O papel do Roteador em uma rede de computadores: Nos vimos, na Parte 2, que a mscara de sub-rede utilizada para determinar qual "parte" do endereo IP representa o nmero da Rede e qual parte representa o nmero da mquina dentro da rede. A mscara de sub-rede tambm foi utilizada na definio original das classes de endereo IP. Em cada classe existe um determinado nmero de redes possveis e, em cada rede, um nmero mximo de mquinas (veja Parte 3). Com base na mscara de sub-rede o protocolo TCP/IP determina se o computador de origem e o de destino esto na mesma rede local. Com base em clculos binrios, o TCP/IP pode chegar a dois resultados distintos: O computador de origem e de destino esto na mesma rede local: Neste caso os dados so enviados para o barramento da rede local. Todos os computadores da rede recebem os dados. Ao receber os dados cada computador analisa o campo Nmero IP do destinatrio. Se o IP do destinatrio for igual ao IP do computador, os dados so capturados e processados pelo sistema, caso contrrio so simplesmente descartados. Observe que com este procedimento, apenas o computador de destino que efetivamente processa os dados para ele enviados, os demais computadores simplesmente descartam os dados. O computador de origem e de destino no esto na mesma rede local: Neste caso os dados so enviados o equipamento com o nmero IP configurado no parmtero

Default Gateway (Gateway Padro). Ou seja, se aps os clculos baseados na mscara de sub-rede, o TCP/IP chegar a concluso que o computador de destino e o computador de origem no fazem parte da mesma rede local, os dados so enviados para o Default Gateway, o qual ser encarregado de encontrar um caminho para enviar os dados at o computador de destino. Esse "encontrar o caminho" tecnicamente conhecido como Rotear os dados at o destino. O responsvel por "Rotear" os dados o equipamento que atua como Default Gateway o qual conhecido como Roteador. Com isso fica fcil entender o papel do Roteador: " o responsvel por encontrar um caminho entre a rede onde est o computador que enviou os dados e a rede onde est o computador que ir receber os dados." Quando ocorre um problema com o Roteador, tornando-o indisponvel, voc consegue se comunicar normalmente com os demais computadores da rede local, porm no conseguir comunicao com outras redes de computadores, como por exemplo a Internet. Como eu sei qual o Default Gateway que est configurado no Windows 2000? Voc pode verificar as configuraes do TCP/IP de um computador com o Windows 2000 Server de duas maneiras: com as proprieades da interface de rede ou com o comando ipconfig. A seguir descrevo estas duas maneiras: Verificando as configuraes do TCP/IP usando a interface grfica: 1. Clique com o boto direito do mouse no cone Meus locais de rede, na rea de trabalho. 2. No menu que exibido clique na opo Propriedades. 3. Ser exibida a janela Conexes dial-up e de rede. Nessa janela exibido um cone para cada conexo disponvel. Por exemplo, se o seu computador estiver conectado a uma rede local e tambm tiver uma conexo via Modem, ser exibido um cone para cada conexo. Nesta janela tambm est disponvel o cone "Fazer nova conexo". Com esse cone voc pode criar novas conexes. Na figura a seguir temos um exemplo onde est disponvel apenas uma conexo de rede local:

4. Clique com o boto direito do mouse no cone "Conexo de rede local". No menu de opes que exibido clique em Propriedades. 5. Ser exibida a janela de Propriedades da conexo de rede local, conforme indicado na figura a seguir:

6. Clique na opo Protocolo Internet (TCP/IP) e depois clique no boto Propriedades. 7. A janela de propriedades do TCP/IP ser exibida, conforme indicado a seguir.

Nesta janela so exibidas informaes sobre o nmero IP do computador, a mscara de sub-rede, o Gateway padro e o nmero IP dos servidores DNS primrio e secundrio. Se a opo obter um endereo IP automaticamente estiver marcada, o computador tentar obter todas estas configuraes a partir de um servidor DHCP, durante a inicializao. Neste caso as informaes sobre as configuraes TCP/IP, inclusive o nmero IP do Roteador (Gateway Padro), somente podero ser obtidas atravs do comando ipconfig, conforme descrevo logo a seguir. 8. Clique em OK para fechar a janela de Propriedades do protocolo TCP/IP.

9. Voc estar de volta a janela de Propriedades da conexo de rede local. Clique em OK para fech-la. 10.Voc estar de volta janela Conexes dial-up e de rede. Feche-a. Verificando as configuraes do TCP/IP usando o comando ipconfig: Para verificar as configuraes do TCP/IP, utilizando o comando ipconfig, siga os seguintes passos: 1. Abra o Prompt de comando: Iniciar -> Programas -> Acessrios -> Prompt de comando. 2. Digite o comando ipconfig/all 3. Sero listadas as configuraes do TCP/IP, conforme exemplo da listagem a seguir:

Explicando Roteamento um exemplo prtico:

Vou iniciar a explicao sobre como o roteamento funciona, atravs da anlise de um exemplos simples. Vamos imaginar a situao de uma empresa que tem a matriz em SP e uma filial no RJ. O objetivo conectar a rede local da matriz em SP com a rede local da filial no RJ, para permitir a troca de mensagens e documentos entre os dois escritrios. Nesta situao o primeiro passo contratar um link de comunicao entre os dois escritrios. Em cada escritrio deve ser instalado um Roteador. E finalmente os roteadores devem ser configurados para que seja possvel a troca de informaes entre as duas redes. Na figura a seguir temos a ilustrao desta pequena rede de longa distncia (WAN). Em seguida vamos explicar como funciona o roteamento entre as duas redes:

Nesta pequena rede temos um exemplo simples de roteamento, mas muito a explicar. Ento vamos l. Como est configurado o endereamento das redes locais e dos roteadores? Rede de SP: Esta rede utiliza um esquema de endereamento 10.10.10.0, com mscara de sub-rede 255.255.255.0. Observe que embora, teoricamente, seria

uma rede Classe A, estamos utilizando uma mscara de subrede classe C. Veja a parte 3 para detalhes sobre Classes de Endereos IP. Rede de RJ: Esta rede utiliza um esquema de endereamento 10.10.20.0, com mscara de sub-rede 255.255.255.0. Observe que embora, teoricamente, seria uma rede Classe A, estamos utilizando uma mscara de subrede classe C. Veja a parte 3 para detalhes sobre Classes de Endereos IP. Roteadores: Cada roteador possui duas interfaces. Uma a chamada interface de LAN (rede local), a qual conecta o roteador com a rede local. A outra a interface de WAN (rede de longa distncia), a qual conecta o roteador com o link de dados. Na interface de rede local, o roteador deve ter um endereo IP da rede interna. No roteador de SP, o endereo 10.10.10.1. No obrigatrio, mas um padro normalmente adotado, utilizar o primeiro endereo da rede para o Roteador. No roteador do RJ, o endereo 10.10.20.1 Rede dos roteadores: Para que as interfaces externas dos roteadores possam se comunicar, eles devem fazer parte de uma mesma rede, isto , devem compartilhar um esquema de endereamento comum. As interfaces externas dos roteadores (interfaces WAN), fazem parte da rede 10.10.30.0, com mscara de sub-rede 255.255.255.0. Na verdade 3 redes: Com isso temos, na prtica trs redes, conforme resumido a seguir: SP: 10.10.10.0/255.255.255.0 RJ: 10.10.20.0/255.255.255.0 Interfaces WAN dos Roteadores: 10.10.30.0/255.255.255.0 Na prtica como se a rede 10.10.30.0 fosse uma "ponte" entre as duas outras redes. Como feita a interligao entre as duas redes?

Vou utilizar um exemplo prtico, para mostrar como feito o roteamento entre as duas redes. Exemplo: Vamos analisar como feito o roteamento, quando um computador da rede em SP, precisa acessar informaes de um computador da rede no RJ. O computador SP-01 (10.10.10.5), precisa acessar um arquivo que est em uma pasta compartilhada do computador RJ-02 (10.10.20.12). Como feito o roteamento, de tal maneira que estes dois computadores possam trocar informaes? Acompanhe os passos descritos a seguir: 1. O computador SP-01 o computador de origem e o computador RJ02 o computador de destino. A primeira ao do TCP/IP fazer os clculos para verificar se os dois computadores esto na mesma rede (veja como so feitos estes clculos na Parte 2). Os seguintes dados so utilizados para realizao destes clculos: SP-01: 10.10.10.5/255.255.255.0 RJ-02: 10.10.20.12/255.255.255.0 2. Feitos os clculos, o TCP/IP chega a concluso de que os dois computadores pertencem a redes diferentes: SP-01 pertence a rede 10.10.10.0 e RJ-02 pertence a rede 10.10.20.0. 3. Como os computadores pertencem a redes diferentes, os dados devem ser enviados para o Roteador. 4. No roteador de SP chega o pacote de informaes com o IP de destino: 10.10.20.12. O roteador precisa consultar a sua tabela de roteamento (assunto da Parte 5) e verificar se ele conhece um caminho para a rede 10.10.20.0. 5. O roteador de SP tem, em sua tabela de roteamento, a informao de que pacotes para a rede 10.10.20.0 devem ser encaminhados pela interface 10.10.30.1. isso que ele faz, ou seja, encaminha os pacotes atravs da interface de WAN: 10.10.30.1. 6. Os pacotes de dados chegam na interface 10.10.30.1 e so enviados, atravs do link de comunicao, para a interface 10.10.30.2, do roteador do RJ. 7. No roteador do RJ chegam os pacotes de informaes com o IP de destino: 10.10.20.12. O roteador precisa consultar a sua tabela de

roteamento (assunto da Parte 5) e verificar se ele conhece um caminho para a rede 10.10.20.0. 8. O roteador do RJ tem, em sua tabela de roteamento, a informao de que pacotes para a rede 10.10.20.0 devem ser encaminhados pela interface 10.10.20.1, que a interface que conecta o roteador a rede local 10.10.20.1. O pacote enviado, atravs da interface 10.10.20.1, para o barramento da rede local. Todos os computadores recebem os pacotes de dados e os descartam, com exceo do computador 10.10.20.12 que o computador de destino. 9. Para que a resposta possa ir do computador RJ-02 para o computador SP-01, um caminho precisa ser encontrado, para que os pacotes de dados possam ser roteados do RJ para SP. Para tal todo o processo executado novamente, at que a resposta chegue ao computador SP01. 10. A chave toda para o processo de roteamento o software presente nos roteadores, o qual atua com base em tabelas de roteamento, as quais sero descritas na parte 5. Concluso Nesta quarta parte do tutorial de TCP/IP, apresentei uma introduo sobre como funciona o Roteamento IP entre redes locais conectadas remotamente, atravs de links de WAN. Na parte 5 vou aprofundar um pouco mais essa discusso, onde falarei sobre as tabelas de roteamento.

Introduo Esta a quinta parte do Tutorial de TCP/IP. Na Parte 1 tratei dos aspectos bsicos do protocolo TCP/IP. Na Parte 2 falei sobre clculos binrios, um importante tpico para entender sobre redes, mscara de sub-rede e roteamento. Na Parte 3 falei sobre Classes de endereos e na Parte 4 fiz uma introduo ao roteamento. Agora falarei mais um pouco sobre roteamento. Mais um exemplo de roteamento Neste item vou analisar mais alguns exemplos de roteamento e falar sobre tabela de roteamento. Exemplo 01: Considere a rede indicada no diagrama da Figura a seguir:

Primeiro alguns comentrios sobre a WAN apresentada na Figura:

1. A WAN formada pela conexo de quatro redes locais, com as seguintes caractersticas: Nmero da Mscara de subRede rede rede 01 10.10.10.0 255.255.255.0 02 10.10.20.0 255.255.255.0 03 10.10.30.0 255.255.255.0 04 10.10.40.0 255.255.255.0 2. Existe uma quinta rede que a rede formada pelas interfaces de WAN dos roteadores. Este rede apresenta as seguintes caractersticas: Nmero da Mscara de Rede rede sub-rede 255.255.255.0 Roteadores 10.10.5.0 3. Existem trs roteadores fazendo a conexo das quatro redes existentes. Com as configuraes apresentadas, qualquer rede capaz de se comunicar com qualquer outra rede da WAN. 4. Existem pontos nicos de falha. Por exemplo, se o Roteador 03 apresentar problemas, a Rede 03 ficar completamente isolada das demais redes. Se o Roteador 02 apresentar problemas, as Redes 02 e 04 ficaro isoladas das demais redes e tambm isoladas entre si. 5. As redes 02 e 04 esto diretamente conectadas ao Roteador 02. Cada rede em uma interface do roteador. Este pode ser um exemplo de um prdio com duas redes locais, as quais so conectadas atravs do roteador. Neste caso, o papel do Roteador 02 conectar as redes 02 e 04 entre si e estas redes com o restante da WAN. 6. A interface de conexo do roteador com a rede local utiliza sempre o primeiro nmero IP da faixa disponvel (10.10.10.1, 10.10.20.1 e assim por diante). No obrigatrio reservar o primeiro IP para a interface de LAN do roteador (nmero este que ser configurado como Default Gateway nas estaes de trabalho da respectiva rede, conforme descrito anteriormente). Embora no seja obrigatrio uma conveno comumente utilizada. Agora que apresentei alguns comentrios sobre a rede da figura anterior, vamos analisar como ser feito o roteamento entre as diferentes redes. Primeira anlise: Analisar como feito o roteamento, quando um computador da Rede 01, precisa acessar informaes de um

computador da Rede 03. Por exemplo, o computador 10.10.10.25 da Rede 01, precisa acessar um arquivo que est em uma pasta compartilhada do computador 10.10.30.144 da Rede 03. Neste caso a rede de origem a rede 10.10.10.0 e a rede de destino 10.10.30.0. Como feito o roteamento, de tal maneira que estes dois computadores possam trocar informaes? Acompanhe os passos descritos a seguir: 1. O computador 10.10.10.25 o computador de origem e o computador 10.10.30.144 o computador de destino. A primeira ao do TCP/IP fazer os clculos para verificar se os dois computadores esto na mesma rede, conforme explicado no Captulo 2. Os seguintes dados so utilizados para realizao destes clculos: Computador na Rede 01: 10.10.10.25/255.255.255.0 Computador na Rede 03: 10.10.30.144/255.255.255.0 2. Feitos os clculos, o protocolo TCP/IP "chega a concluso" de que os dois computadores pertencem a redes diferentes: O computador 10.10.10.25 pertence a rede 10.10.10.0 e o computador 10.10.30.144 pertence a rede 10.10.30.0. Nota: Para detalhes sobre estes clculos consulte a Parte 2 deste tutorial. 3. Como os computadores pertencem a redes diferentes, os dados devem ser enviados para o Roteador da rede 10.10.10.0, que a rede do computador de origem. 4. O pacote enviado para o roteador da rede 10.10.10.0, que est conectado atravs da interface 10.10.10.1. Neste roteador, pela interface 10.10.10.1, chega o pacote de informaes com o IP de destino: 10.10.30.144. O roteador precisa consultar a sua tabela de roteamento e verificar se ele conhece um caminho para a rede 10.10.30.0, ou seja, se ele sabe para quem enviar um pacote de informaes, destinado a rede 10.10.30.0. 5. O Roteador 01 tem, em sua tabela de roteamento, a informao de que pacotes para a rede 10.10.30.0 devem ser encaminhados pela interface de WAN 10.10.5.1. isso que ele faz, ou seja, encaminha os pacotes atravs da interface de WAN: 10.10.5.1.

6. Os pacotes de dados chegam na interface de WAN 10.10.5.1 e so enviados, atravs do link de comunicao, para a interface de WAN 10.10.5.2, do roteador da Rede 03. 7. No Roteador 03 chega o pacote de informaes com o IP de destino: 10.10.30.144. O roteador precisa consultar a sua tabela de roteamento e verificar se ele conhece um caminho para a rede 10.10.30.0. 8. O Roteador 03 tem, em sua tabela de roteamento, a informao de que pacotes para a rede 10.10.30.0 devem ser encaminhados pela interface de LAN 10.10.30.1, que a interface que conecta o Roteador 03 rede local 10.10.30.0. O pacote enviado, atravs da interface 10.10.30.1, para o barramento da rede local. Todos os computadores recebem os pacotes de dados e os descartam, com exceo do computador 10.10.30.144 que o computador de destino. 9. Para que a resposta possa retornar do computador 10.10.30.144 para o computador 10.10.10.25, um caminho precisa ser encontrado, para que os pacotes de dados possam ser roteados da Rede 03 para a Rede 01 (o caminho de volta no nosso exemplo). Para tal todo o processo executado novamente, at que a resposta chegue ao computador 10.10.10.25. 10. A chave toda para o processo de roteamento o software presente nos roteadores, o qual atua com base em tabelas de roteamento. Segunda anlise: Analisar como feito o roteamento, quando um computador da Rede 03, precisa acessar informaes de um computador da Rede 02. Por exemplo, o computador 10.10.30.25 da Rede 03, precisa acessar uma impressora que est compartilhada do computador 10.10.20.144 da Rede 02. Neste caso a rede de origem a rede 10.10.30.0 e a rede de destino 10.10.20.0. Como feito o roteamento, de tal maneira que estes dois computadores possam trocar informaes? Acompanhe os passos descritos a seguir: 1. O computador 10.10.30.25 o computador de origem e o computador 10.10.20.144 o computador de destino. A primeira ao do TCP/IP fazer os clculos para verificar se os dois computadores esto na mesma rede, conforme explicado no Captulo 2. Os seguintes dados so utilizados para realizao destes clculos: Computador na Rede 03: 10.10.30.25/255.255.255.0

Computador na Rede 02: 10.10.20.144/255.255.255.0 2. Feitos os clculos, o protocolo TCP/IP "chega a concluso" de que os dois computadores pertencem a redes diferentes: O computador 10.10.30.25 pertence a rede 10.10.30.0 e o computador 10.10.20.144 pertence a rede 10.10.20.0. Nota: Para detalhes sobre estes clculos consulte a Parte 2 deste tutorial. 3. Como os computadores pertencem a redes diferentes, os dados devem ser enviados para o Roteador da rede 10.10.30.0, que a rede do computador de origem. 4. O pacote enviado para o roteador da rede 10.10.30.0, que est conectado atravs da interface de LAN 10.10.30.1. Neste roteador, pela interface 10.10.30.1, chega o pacote de informaes com o IP de destino: 10.10.20.144. O roteador precisa consultar a sua tabela de roteamento e verificar se ele conhece um caminho direto para a rede 10.10.20.0, ou seja, se ele sabe para quem enviar um pacote de informaes, destinado a rede 10.10.20.0. 5. No existe um caminho direto para a rede 10.10.20.0. Tudo o que o roteador pode fazer saber para quem enviar o pacote, quando o destino for a rede 10.10.20.0. Neste caso ele enviar o pacote para outro roteador e no diretamente para a rede 10.10.20.0. O Roteador 03 tem, em sua tabela de roteamento, a informao de que pacotes destinados rede 10.10.20.0 devem ser encaminhados pela interface de WAN 10.10.5.2. isso que ele faz, ou seja, encaminha os pacotes atravs da interface de WAN: 10.10.5.2. 6. Os pacotes de dados chegam na interface de WAN 10.10.5.2 e so enviados, atravs do link de comunicao, para a interface de WAN 10.10.5.1, do Roteador 01. 7. No Roteador 01 chega o pacote de informaes com o IP de destino: 10.10.20.144. O roteador precisa consultar a sua tabela de roteamento e verificar se ele conhece um caminho para a rede 10.10.20.0. 8. Na tabela de roteamento do Roteador 01, consta a informao que pacotes para a rede 10.10.20.0, devem ser enviados para a interface de WAN 10.10.5.3, do Roteador 02. isso que ele faz, ou seja, roteia (encaminha) o pacote para a interface de WAN 10.10.5.3.

9. O pacote chega interface de WAN do Roteador 02. O Roteador 02 tem, em sua tabela de roteamento, a informao de que pacotes para a rede 10.10.20.0 devem ser encaminhados pela interface de LAN 10.10.20.1, que a interface que conecta o Roteador 02 rede local 10.10.20.0. O pacote enviado, atravs da interface 10.10.20.1, para o barramento da rede local. Todos os computadores recebem os pacotes de dados e os descartam, com exceo do computador 10.10.20.144 que o computador de destino. 10. Para que a resposta possa retornar do computador 10.10.20.144 para o computador 10.10.30.25, um caminho precisa ser encontrado, para que os pacotes de dados possam ser roteados da Rede 02 para a Rede 03 (o caminho de volta no nosso exemplo). Para tal todo o processo executado novamente, at que a resposta chegue ao computador 10.10.30.25. Algumas consideraes sobre roteamento: A chave toda para o processo de roteamento o software presente nos roteadores, o qual atua com base em tabelas de roteamento (assunto da Parte 6). Ou o roteador sabe entregar o pacote diretamente para a rede de destino ou sabe para qual roteador enviar. Esse processo continua, at que seja possvel alcanar a rede de destino. Claro que em redes mais complexas pode haver mais de um caminho entre origem e destino. Por exemplo, na Internet, pode haver dois ou mais caminhos possveis entre o computador de origem e o computador de destino. Quando um arquivo transmitido entre os computadores de origem e destino, pode acontecer de alguns pacotes de informao serem enviados por um caminho e outros pacotes por caminhos diferentes. Os pacotes podem, inclusive, chegar fora de ordem no destino. O protocolo TCP/IP o responsvel por identificar cada pacote e coloc-los na seqncia correta. Existem tambm um nmero mximo de roteadores pelos quais um pacote pode passar, antes de ser descartado. Normalmente este nmero de 16 roteadores. No exemplo da segunda anlise, cada pacote passa por dois roteadores, at sair de um computador na Rede 03 e chegar ao computador de destino, na Rede 02. Este passar por dois roteadores tecnicamente conhecido como "ter um caminho de 2 hopes". Um hope significa que passou por um roteador. Diz-se, com isso, que o caminho mximo de um pacote de 16 hopes. Isso feito para evitar que pacotes fiquem circulando indefinidamente na rede e congestionem os links de WAN, podendo at chegar a paralisar a rede.

Uma situao que poderia acontecer, por erro nas tabelas de roteamento, um roteador x mandar um pacote para o y, o roteador y mandar de volta para o x, o roteador x de volta para y e assim indefinidamente. Esta situao ocorreria por erros nas tabelas de roteamento. Para evitar que estes pacotes ficassem circulando indefinidamente na rede, que foi definido o limite de 16 hopes. Outro conceito que pode ser encontrado, em relao a roteamento, o de entrega direta ou entrega indireta. Vamos ainda utilizar o exemplo da rede da Figura 16.2. Quando dois computadores da mesma rede (por exemplo a rede 10.10.10.0) trocam informaes entre si, as informaes so enviadas para o barramento da rede local e o computador de destino captura e processa os dados. Dizemos que este um caso de entrega direta. Quando computadores de redes diferentes tentam se comunicar (por exemplo, um computador da rede 10.10.10.0 e um da rede 10.10.20.0), os pacotes de informao so enviados atravs dos roteadores da rede, at chegar ao destino. Depois a resposta percorre o caminho inverso. Este processo conhecido como entrega indireta. Concluso: Na prxima parte voc ir aprender mais alguns detalhes sobre tabelas de roteamento e analisar uma pequena tabela de roteamento que existe em cada computadores com o NT 4.0, Windows 2000, Windows XP ou Windows Server 2003 e com o protocolo TCP/IP instalado.

Introduo Esta a sexta parte do Tutorial de TCP/IP. Na Parte 1 tratei dos aspectos bsicos do protocolo TCP/IP. Na Parte 2 falei sobre clculos binrios, um importante tpico para entender sobre redes, mscara de sub-rede e roteamento. Na Parte 3 falei sobre Classes de endereos, na Parte 4 fiz uma introduo ao roteamento e na Parte 5 apresentei mais alguns exemplos/anlises de como funciona o roteamento. Agora falarei mais um pouco sobre roteamento. Tabelas de roteamento. Falei na Parte 5 que toda a funcionalidade do Roteador baseada em tabelas de roteamento. Quando um pacote chega em uma das interfaces do roteador, ele analisa a sua tabela de roteamento, para verificar se contm uma rota para a rede de destino. Pode ser uma rota direta ou ento para qual roteador o pacote deve ser enviado. Este processo continua at que o pacote seja entregue na rede de destino, ou at que o limite de 16 hopes tenha sido atingido. Na Figura a seguir apresento um exemplo de uma "mini-tabela" de roteamento:

Cada linha uma entrada da tabela. Por exemplo, a linha a seguir que define o Default Gateway da ser utilizado: 0.0.0.0 1 0.0.0.0 200.175.106.54 200.175.106.54

Neste tpico voc aprender sobre os campos que compem uma entrada da tabela de roteamento e o significado de cada campo. Tambm aprender a interpretar a tabela de roteamento que existe em um computador com o Windows 2000, Windows XP ou Windows Server 2003. Entenda os campos que compem uma entrada de uma tabela de roteamento: Uma entrada da tabela de roteamento possui os campos indicados no esquema a seguir e explicados logo em seguida:

Network ID: Este o endereo de destino. Pode ser o endereo de uma rede (por exemplo: 10.10.10.0), o endereo de um equipamento da rede, o endereo de uma sub-rede (veja detalhes sobre sub-rede

mais adiante) ou o endereo da rota padro (0.0.0.0). A rota padro significa: "a rota que ser utilizada, caso no tenha sido encontrada uma rota especfica para o destino". Por exemplo, se for definida que a rota padro deve ser envida pela interface com IP 10.10.5.2 de um determinado roteador, sempre que chegar um pacote, para o qual no existe uma rota especfica para o destino do pacote, este ser enviado pela roda padro, que no exemplo seria a interface 10.10.5.2. Falando de um jeito mais simples: Se no souber para onde mandar, manda para a rota padro. Network Mask: A mscara de sub-rede utilizada para a rede de destino. Next Hop: Endereo IP da interface para a qual o pacote deve ser enviado. Considere o exemplo a seguir, como sendo uma entrada de um roteador, com uma interface de WAN configurada com o IP nmero 10.200.200.4:

Esta entrada indica que pacotes enviados para a rede definida pelos parmetros 10.100.100.0/255.255.255.0, deve ser enviada para o gateway 10.200.200.1 e para chegar a este gateway, os pacotes de informao devem ser enviados pela interface 10.200.200.120. Neste exemplo, esta entrada est contida na tabela interna de roteamento de um computador com o Windows Server 2003, cujo nmero IP 10.200.200.120 e o default gateway configurado 10.200.200.1. Neste caso, quando este computador quiser se comunicar com um computador da rede 10.100.100.0, ser usada a entrada de roteamento descrita neste item. Nesta entrada est especificado que pacotes para a rede 10.100.100.0, com mscara 255.255.255.0, devem ser enviados para o default gateway 10.200.200.1 e que este envio deve ser feito atravs da interface de rede 10.200.200.120, que no nosso exemplo a placa de rede do computador. Uma vez que o pacote chegou no default gateway (na interface de LAN do roteador), o processo de roteamento, at a rede de destino (rede 10.100.100.0) o processo descrito nas anlises anteriores. Interface: a interface atravs da qual o pacote deve ser enviado. Por exemplo, se voc estiver analisando a tabela de roteamento interna, de um computador com o Windows Server 2003, o nmero IP do campo interface, ser sempre o nmero IP da placa de rede, a no ser que voc tenha mais de uma placa de rede instalada.

Metric: A mtrica um indicativo da distncia da rota, entre destino e origem, em termos de hopes. Conforme descrito anteriormente, pode haver mais de um roteador entre origem e destino. Tambm pode haver mais de um caminho entre origem e destino. Se for encontrada duas rotas para um mesmo destino, o roteamento ser feito pela rota de menor valor no campo Metric. Um valor menor indica, normalmente, um nmero menor de hopes (roteadores) entre origem e destino. Analisando a tabela de roteamento de um computador com o Windows (2000, 2003 ou XP): Agora que voc j conhece os conceitos de tabelas de roteamento e tambm conhece os campos que formam uma entrada em uma tabela de roteamento, hora de analisar as entradas de uma tabela de roteamento em um computador com o Windows Server 2003 instalado. No Windows Server 2003, o protocolo TCP/IP instalado automaticamente e no pode ser desinstalado (esta uma das novidades do Windows Server 2003). Ao instalar e configurar o protocolo TCP/IP, o Windows Server 2003 cria, na memria do servidor, uma tabela de roteamento. Esta tabela criada, dinamicamente, toda vez que o servidor inicializado. Ao desligar o servidor o contedo desta tabela ser descartado, para ser novamente recriado durante a prxima inicializao. A tabela de roteamento criada com base nas configuraes do protocolo TCP/IP. Existem tambm a possibilidade de adicionar entradas estticas. Uma entrada esttica fica gravada em disco e ser adicionada a tabela de roteamento durante a inicializao do sistema. Ou seja, alm das entradas criadas automaticamente, com base nas configuraes do TCP/IP, tambm podem ser acrescentadas rotas estticas, criadas com o comando route, o qual descreverei mais adiante. Para exibir a tabela de roteamento de um computador com o Windows Server 2003 (ou com o Windows 2000, ou Windows XP), abra um Prompt de comando, digite o comando indicado a seguir e pressione Enter: route print Ser exibida uma tabela de roteamento, semelhante a indicada na Figura 16, onde exibida a tabela de roteamento para um servidor com o nmero IP: 10.204.200.50:

Vamos analisar cada uma destas entradas e explicar a funo de cada entrada, para que voc possa entender melhor os conceitos de roteamento. Rota padro:

Esta rota indicada por uma identificao de rede 0.0.0.0 com uma mscara de sub-rede 0.0.0.0. Quando o TCP/IP tenta encontrar uma rota para um determinado destino, ele percorre todas as entradas da tabela de roteamento em busca de uma rota especfica para a rede de destino. Caso no seja encontrada uma rota para a rede de destino, ser utilizada a rota padro. Em outras palavras, se no houver uma rota especfica, mande para a rota padro. Observe que a rota padro justamente o default gateway da rede (10.204.200.1), ou seja, a interface de LAN do roteador da rede. O parmetro Interface (10.204.200.50) o nmero IP da placa de rede do prprio servidor. Em outras palavras: Se no houver uma rota especfica manda para a rota padro, onde o prximo hope da rede o 10.204.200.1 e o envio para este hope feito atravs da interface 10.204.200.50 (ou seja, a prprio placa de rede do servidor).

Endereo da rede local:

Esta rota conhecida como Rota da Rede Local. Ele basicamente diz o seguinte: "Quando o endereo IP de destino for um endereo da minha rede local, envia as informaes atravs da minha placa de rede atravs da minha placa de rede (observe que tanto o parmetro Gateway como o parmetro Interface esto configurados com o nmero IP do prprio servidor). Ou seja, se for para uma das mquinas da minha rede local, manda atravs da placa de rede, no precisa enviar para o roteador. Local host (endereo local):

Este endereo faz referncia ao prprio computador. Observe que 10.204.200.50 o nmero IP do servidor que est sendo analisado (no qual executei o comando route print). Esta rota diz que os programas do prprio computador, que enviarem pacotes para o destino 10.204.200.50 (ou seja, enviarem pacotes para si mesmo, como no exemplo de dois servios trocando informaes entre si), devem usar como Gateway o endereo de loopback 127.0.0.1, atravs da interface de loopback 127.0.0.1. Esta rota utilizada para agilizar as comunicaes que ocorrem entre os componentes do prprio Windows Server 2003, dentro do mesmo servidor. Ao usar a interface de loopback, toda a comunicao ocorre a nvel de software, ou seja, no necessrio enviar o pacote atravs das diversas camadas do protocolo TCP/IP, at que o pacote chege na camada de enlace (ou seja, a placa de rede), para depois voltar. Ao invs disso utilizada a interface de loopback para direcionar os pacotes corretamente. Observe que esta entrada tem como mscara de sub-rede o nmero 255.255.255.255. Esta mscara indica que a entrada uma rota para um endereo IP especfico (no caso o prprio IP do servidor) e no uma rota para um endereo de rede. Network broadcast (Broadcast de rede):

Esta rota define o endereo de broadcast da rede. Broadcast significa enviar para todos os computadores da rede. Quando utilizado o

endereo de broadcast, todos os computadores da rede recebem o pacote e processam o pacote. O broadcast utilizado por uma srie de servios, como por exemplo o WINS, para fazer verificaes peridicas de nomes, para enviar uma mensagem para todos os computadores da rede, para obter informaes de todos os computadores e assim por diante. Observe que o gateway o nmero IP da placa de rede do servidor e a Interface este mesmo nmero, ou seja, para enviar um broadcast para a rede, envie atravs da placa de rede do servidor, no h necessidade de utilizar o roteador. Um detalhe interessante que, por padro, a maioria dos roteadores bloqueia o trfego de broadcast, para evitar congestionamentos nos links de WAN. Rede/endereo de loopback:

Comentei anteriormente que os endereos da rede 127.0.0.0 so endereos especiais, reservados para fazer referncia a si mesmo. Ou seja, quando fao uma referncia a 127.0.0.1 estou me referindo ao servidor no qual estou trabalhando. Esta roda indica, em palavras simples, que para se comunicar com a rede de loopback (127.0.0.0/255.0.0.0), utilize "eu mesmo" (127.0.0.1). Multicast address (endereo de Multicast):

O trfego IP, de uma maneira simples, pode ser de trs tipos: Unicast o trfego direcionado para um nmero IP definido, ou seja, com um destinatrio. Broadcast o trfego dirigido para todos os computadores de uma ou mais redes. E trfego Multicast um trfego direcionado para um grupo de computadores, os quais esto configurados e "inscritos" para receber o trfego multicast. Um exemplo prtico de utilizao do multicast para uma transmisso de vdeo atravs da rede. Vamos supor que de uma rede de 1000 computadores, apenas 30 devem receber um determinado arquivo de vdeo com um treinamento especfico. Se for usado trfego unicast, sero transmitidas 30 cpias do arquivo de vdeo (o qual j um arquivo grande), uma cpia para cada destinatrio. Com o uso do Multicast, uma nica cpia transmitida atravs do link de WAN e o trfego multicast (com base no protocolo IGMP), entrega uma cpia do arquivo apenas para os 30 computadores devidamente configurados para receber o trfego multicast. Esta rota define que o trfego multicast deve ser enviado atravs da interface de

rede, que o nmero IP da placa de rede do servidor.Lembrando do Captulo 2, quando falei sobre classes de endereos, a classe D reservada para trfego multicast, com IPs iniciando (o primeiro nmero) a partir de 224. Limited Broadcast (Broadcast Limitado):

Esta a rota utilizada para o envio de broadcast limitado. O endereo de broadcast limitado formato por todos os 32 bits do endereo IP sendo iguais a 1 (255.255.255.255). Este endereo utilizado quando o computador tem que fazer o envio de um broadcast na rede local (envio do tipo um para todos na rede), porm o computador no conhece a nmero da rede local (network ID). Voc pode perguntar: Mas em que situao o computador no conhecer a identificao da rede local? Por exemplo, quando voc inicializa um computador, configurado para obter as configuraes do TCP/IP a partir de um servidor DHCP, a primeira coisa que este computador precisa fazer localizar um servidor DHCP na rede e requisitar as configuraes do TCP/IP. Ou seja, antes de receber as configuraes do DHCP, o computador ainda no tem endereo IP e nem mscara de sub-rede, mas tem que se comunicar com um servidor DHCP. Esta comunicao feita via broadcast limitado, onde o computador envia um pacote de formato especfico (chamado de DHCP Discover), para tentar descobrir um servidor DHCP na rede. Este pacote enviado para todos os computadores. Aquele que for um servidor DHCP ir responder a requisio do cliente. A o processo de configurao do DHCP continua (conforme descreverei na seo sobre DHCP), at que o computador esteja com as configuraes do TCP/IP definidas, configuraes estas obtidas a partir do servidor DHCP. Em termos de roteamento, estes so os conceitos necessrios ao que ser visto neste tutorial. Agora hora de tratar sobre a diviso de uma rede em sub-redes, assunto mais conhecido como: subnetting. Mas este assunto para as prximas partes deste tutorial. Concluso: Na prxima parte deste tutorial, voc ir aprender sobre a diviso de uma rede em sub-redes, assunto conhecido como subnetting.

Esta a stima parte do Tutorial de TCP/IP. Na Parte 1 tratei dos aspectos bsicos do protocolo TCP/IP. Na Parte 2 falei sobre clculos binrios, um importante tpico para entender sobre redes, mscara de sub-rede e roteamento. Na Parte 3 falei sobre Classes de endereos, na Parte 4 fiz uma introduo ao roteamento e na Parte 5 apresentei mais alguns exemplos/anlises de como funciona o roteamento e na Parte 6 falei sobre a Tabela de Roteamento. Nesta parte abordarei um dos tpicos que mais geram dvidas em relao ao TCP/IP: Sub netting, ou seja, como fazer a diviso de uma rede em sub-redes. Introduo: At agora, nas demais partes deste tutorial, sempre utilizei as mscaras de rede padro para cada classe de endereos, onde so utilizados oito, dezesseis ou vinte e quatro bits para a mscara de rede, conforme descrito a seguir: Nmero de bits Mscara de sub-rede 8 16 24 255.0.0.0 255.255.0.0 255.255.255.0

Por isso que existe uma outra notao, onde a mscara de sub-rede indicada simplesmente pelo nmero de bits utilizados na mscara de sub/rede, conforme exemplos a seguir: Definio da rede Mscara de sub-rede 10.10.10.0/16 10.10.10.0/24 10.200.100.0/8 255.255.0.0 255.255.255.0 255.0.0.0

Porm com este esquema de endereamento, baseado apenas nas mscaras de sub-rede padro (oito, dezesseis ou vinte e quatro bits), haveria um grande desperdcio de nmeros IP. Por exemplo, que empresa no mundo precisaria da faixa completa de uma rede classe A, na qual esto disponveis mais de 16 milhes de endereos IP? Vamos, agora, analisar o outro extremo desta questo. Imagine, por exemplo, uma empresa de porte mdio, que tem a matriz em So Paulo e mais cinco filiais em outras cidades do Brasil. Agora imagine que em nenhuma das localidades, a rede tem mais do que 30 computadores. Se for usado as mscaras de sub-rede padro, ter que ser definida uma rede Classe C (at 254 computadores, conforme descrito na Parte 4 dest tutorial), para cada localidade. Observe que estamos reservando 254 nmeros IP para cada localidade (uma rede classe C com mscara 255.255.255.0), quando na verdade, no mximo, 30 nmeros sero utilizados em cada localidade. Na prtica, um belo desperdcio de endereos, mesmo em um empresa de porte mdio ou pequeno. Observe que neste exemplo, uma nica rede Classe C seria suficiente. J que so seis localidades (a matriz mais seis filiais), com um mximo de 30 endereos por localidade, um total de 254 endereos de uma rede Classe C seria mais do que suficiente. Ainda haveria desperdcio, mas agora bem menor. A boa notcia que possvel "dividir" uma rede (qualquer rede) em sub-redes, onde cada sub-rede fica apenas com uma faixa de nmeros IP de toda a faixa original. Por exemplo, a rede Classe C 10.100.100.0/255.255.255.0, com 256 nmeros IPs disponvies (na prtica so 254 teis, descontando o primeiro que o nmero da prpria rede e o ltimo que o endereo de broadcast, conforme descrito na Parte 4 deste tutorial), poderia ser dividida em 8 sub-redes, com 32 nmeros IP em cada sub-rede. O esquema a seguir ilustra este conceito:

Rede original: 256 endereos IP disponveis: 10.100.100.0 -> 10.100.100.255 Diviso da rede em 8 sub-redes, onde cada sub-rede fica com 32 endereos IP: Sub-rede 01: 10.100.100.0 -> 10.100.100.31 Sub-rede 02: 10.100.100.32 -> 10.100.100.63 Sub-rede 03: 10.100.100.64 -> 10.100.100.95 Sub-rede 04: 10.100.100.96 -> 10.100.100.127 Sub-rede 05: 10.100.100.128 -> 10.100.100.159 Sub-rede 06: 10.100.100.160 -> 10.100.100.191 Sub-rede 07: 10.100.100.192 -> 10.100.100.223 Sub-rede 08: 10.100.100.224 -> 10.100.100.255 Para o exemplo da empresa com seis localidades (matriz mais cinco filiais), onde, no mximo, so necessrios trinta endereos IP por localidade, a utilizao de uma nica rede classe C, dividida em 8 subredes seria a soluo ideal. Na prtica a primeira e a ltima sub-rede so descartadas, pois o primeiro IP da primeira sub-rede representa o endereo de rede e o ltimo IP da ltima sub-rede representa o endereo de broadcast. Com isso restariam, ainda, seis sub-redes. Exatamente a quantia necessria para o exemplo proposto. Observe que ao invs de seis redes classe C, bastou uma nica rede, subdividida em seis sub-redes. Uma bela economia de endereos. Claro que se um dos escritrios, ou a matriz, precisasse de mais de 32 endereos IP, um esquema diferente de diviso teria que ser criado. Entendido o conceito terico de diviso em sub-redes, resta o trabalho prtico, ou seja: O que tem que ser alterado para fazer a diviso em subredes (subnetting). Como calcular o nmero de sub-redes e o nmero de nmeros IP dentro de cada sub-rede. Como listar as faixas de endereos dentro de cada subrede. Exemplos prticos Voc aprender estas etapas atravs de exemplos prticos. Vou inicialmente mostrar o que tem que ser alterado para fazer a diviso de uma rede padro (com mscara de 8, 16 ou 24 bits) em uma ou mais

sub-redes. Em seguida, apresento alguns exemplos de diviso de uma rede em sub-redes. Mos a obra. S= O que tem que ser alterado para fazer a diviso em sub-redes (subnetting). Alterando o nmero de bits da mscara de sub-rede: Por padro so utilizadas mscaras de sub-rede de 8, 16 ou 24 bits, conforme indicado no esquema a seguir: Nmero de bits Mscara de sub-rede 08 16 24 255.0.0.0 255.255.0.0 255.255.255.0

Uma mscara de 8 bits significa que todos os bits do primeiro octeto so iguas a 1; uma mscara de 16 bits significa que todos os bits do primeiro e do segundo octeto so iguais a 1 e uma mscara de 24 bits significa que todos os bits dos trs primeiros octetos so iguais a 1. Este conceito est ilustrado na tabela a seguir: Nm.bits 08 16 24 Octeto 01 Octeto 02 Octeto 03 Octeto 04 Mscara de sub-rede

11111111 00000000 00000000 00000000 255.0.0.0 11111111 11111111 00000000 00000000 255.255.0.0 11111111 11111111 11111111 00000000 255.255.255.0

Mscaras de rede com 8, 16 e 24 bits.

No exemplo da rede com matriz em So Paulo e mais cinco escritrios, vamos utilizar uma rede classe C, que ser subdividida em seis subredes (na prtica 8, mas a primeira e a ltima no so utilizadas). Para fazer esta subdiviso, voc deve alterar o nmero de bits iguais a 1 na mscara de sub-rede. Por exemplo, ao invs de 24 bits, voc ter que utilizar 25, 26, 27 ou um nmero a ser definido. Bem, j avanamos mais um pouco: "Para fazer a diviso de uma rede em sub-redes, preciso aumentar o nmero de bits iguais a 1, alterando com isso a mscara de sub-rede." Quantos bits devem ser utilizados para a mscara de sub-rede?

Agora, naturalmente, surge uma nova questo: "Quantos bits?". Ou de uma outra maneira (j procurando induzir o seu raciocnio): "O que define o nmero de bits a ser utilizados a mais?" Bem, esta uma questo bem mais simples do que pode parecer. Vamos a ela. No exemplo proposto, precisamos dividir a rede em seis sub-redes. Ou seja, o nmero de sub-redes deve ser, pelo menos, seis. Sempre lembrando que a primeira e a ltima sub-rede no so utilizadas. O nmero de sub-redes proporcional ao nmero de bits que vamos adicionar mscara de sub-rede j existente. O nmero de rede dado pela frmula a seguir, onde n o nmeo de bits a mais a serem utilizados para a mscara de sub-rede: Nm. de sub-redes = 2n-2 No nosso exemplo esto disponveis at 8 bits do ltimo octeto para serem tambm utilizados na mscara de sub-rede. Claro que na prtica no podemos usar os 8 bits, seno ficaramos com o endereo de broadcast: 255.255.255.255, com mscara de rede. Alm disso, quanto mais bits eu pegar para a mscara de sub-rede, menos sobraro para os nmeros IP da rede. Por exemplo, se eu adicionar mais um bit a mscara j existente, ficarei com 25 bits para a mscara e 7 para nmeros IP, se eu adicionar mais dois bits mscara original de 24 bits, ficarei com 26 bits para a mscara e somente 6 para nmeros IP e assim por diante. O nmero de bits que restam para os nmeros IP, definem quantos nmeros IP podem haver em cada sub-rede. A frmula para determinar o nmero de endereos IP dentro de cada sub-rede, indicado a seguir, onde n o nmeo de bits destinados a parte de host do endereo (32 bits usados para a mscara): Nm. de endereos IP dentro de cada sub-rede = 2n-2 Na tabela a seguir, apresento clculos para a diviso de sub-redes que ser feita no nosso exemplo. Observe que quanto mais bits eu adiciono mscara de sub-rede, mais sub-redes possvel obter, porm com um menor nmero de mquinas em cada sub-rede. Lembrando que o nosso exemplo estamos subdividindo uma rede classe C 10.100.100.0/255.255.255.0, ou seja, uma rede com 24 bits para a mscara de sub-rede original. Nmero de bits a mais Nmero de sub-redes a serem utilizados Nmero de hosts em cada sub-rede

0 1 2 3 4 5 6 7 8

mscara original. rede classe C sem diviso 0 2 6 14 30 62 126 endereo de broadcast

254 126 62 30 14 6 2 0 -

Nmero de redes e nmero de hosts em cada rede.

Claro que algumas situaes no se aplicam na prtica. Por exemplo, usando apenas um bit a mais para a mscara de sub-rede, isto , 25 bits ao invs de 24. Neste caso teremos 0 sub-redes disponveis. Pois com 1 bit possvel criar apenas duas sub-redes, como a primeira e a ltima so descartadas, conforme descrito anteriormente, na prtica as duas sub-redes geradas no podero ser utilizadas. A mesma situao ocorre com o uso de 7 bits a mais para a mscara de sub-rede, ou seja, 31 ao invs de 24. Nesta situao sobra apenas um bit para os endereos IP. Com 1 bit posso ter apenas dois endereos IP, descontanto o primeiro e o ltimo que no so utilizados, no sobra nenhum endereo IP. As situaes intermedirias que so mais realistas. No nosso exemplo, precisamos dividir a rede Classe C 10.100.100.0/255.255.255.0, em seis sub-redes. De acordo com a tabela da Figura 16.6, precisamos utilizar 3 bits a mais para obter as seis sub-redes desejadas. Observe que utilizando trs bits a mais, ao invs de 24 bits (mscara original), vamos utilizar 27 bits para a mscara de sub-rede. Com isso sobra cinco bits para os nmeros IPs dentro de cada sub-rede, o que d um total de 30 nmeros IP por subrede. Exatamente o que precisamos. A prxima questo que pode surgir como que fica a mscara de subrede, agora que ao invs de 24 bits, estou utilizando 27 bits, conforme ilustrado na tabela a seguir: Nm.bits Octeto 01 Octeto 02 Octeto 03 Octeto 04 27 11111111 11111111 11111111 11100000
Mscara de sub-rede com 27 bits.

Para determinar a nova mscara temos que revisar o valor de cada bit, o que foi visto no Captulo 2. Da esquerda para a direita, cada bit representa o seguinte valor, respectivamente: 128 64 32 16 8 4 2 1

Como os trs primeiros bits do ltimo octeto foram tambm utilizados para a mscara, estes trs bits soman para o valor do ltimo octeto. No nosso exemplo, o ltimo octeto da mscara ter o seguinte valor: 128+64+32 = 224. Com isso a nova mscara de sub-rede, mscara esta que ser utilizada pelas seis sub-redes, a seguinte: 255.255.255.224. Observe que ao adicionarmos bits mscara de subrede, fazemos isso a partir do bit de maior valor, ou seja, o bit mais da esquerda, com o valor de 128, depois usamos o prximo bit com valor 64 e assim por diante. Na tabela a seguir, apresento a ilustrao de como fica a nova mscara de sub-rede: Nm.bits 27 Octeto 01 Octeto 02 Octeto 03 Octeto 04 Nova Mscara

11111111 11111111 11111111 11100000 255.255.255.224

A nova mscara de sub-rede.

Com o uso de trs bits adicionais para a mscara de rede, teremos seis sub-redes disponveis (uma para cada escritrio) com um nmero mximo de 30 nmeros IP por sub-rede. Exatamente o que precisamos para o exemplo proposto. A idia bsica de subnetting bastante simples. Utiliza-se bits adicionais para a mscara de sub-rede. Com isso tenho uma diviso da rede original (classe A, classe B ou classe C) em vrias sub-redes, sendo que o nmero de endereos IP em cada sub-rede reduzido (por termos utilizados bits adicionais para a mscara de sub-rede, bits estes que originalmente eram destinados aos endereos IP). Esta diviso pode ser feita em redes de qualquer uma das classes padro A, B ou C. Por exemplo, por padro, na Classe A so utilizados 8 bits para a mscara de sub-rede e 24 bits para hosts. Voc pode utilizar, por exemplo, 12 bits para a mscara de sub-rede, restando com isso 20 bits para endereos de host. Na tabela a seguir, apresento os clculos para o nmero de sub-redes e o nmero de hosts dentro de cada sub-rede, apenas para os casos que podem ser utilizados na prtica, ou seja, duas ou mais sub-redes e dois ou mais endereos vlidos em cada sub-rede.

Nmero de bits a mais Nmero de hosts Nmero de sub-redes a serem utilizados em cada sub-rede 2 3 4 5 6 2 6 14 30 62 62 30 14 6 2

Nmero de redes e nmero de hosts em cada rede divso de uma rede Classe C.

Lembrando que a frmula para calcular o nmero de sub-redes : Nm. de sub-redes = 2n-2 onde n o nmero de bits a mais utilizados para a mscara de sub-rede E a frmula para calcular o nmero de endereos IP dentro de cada subrede : 2n-2 onde n o nmero de bits restantes, isto , no utilizados pela mscara de sub-rede. At aqui trabalhei com um exemplo de uma rede Classe C, que est sendo subdividida em vrias sub-redes. Porm tambm possvel subdividir redes Classe A e redes Classe B. Lembrando que redes classe A utilizam, por padro, apenas 8 bits para o endereo de rede, j redes classe B, utilizam, por padro, 16 bits. Na tabela a seguir, apresento um resumo do nmero de bits utilizados para a mscara de sub-rede, por padro, nas classes A, B e C: Classe Bits A B C 8 Octeto 01 Octeto 02 Octeto 03 Octeto 04 Mscara Padro

11111111 00000000 00000000 00000000 255.0.0.0

16 11111111 11111111 00000000 00000000 255.255.0.0 24 11111111 11111111 11111111 00000000 255.255.255.0

Mscara padro para as classes A, B e C.

Para subdividir uma rede classe A em sub-redes, basta usar bits adicionais para a mscara de sub-rede. Por padro so utilizados 8 bits.

Se voc utilizar 10, 12 ou mais bits, estar criando sub-redes. O mesmo raciocnio vlido para as redes classe B, as quais utilizam, por padro, 16 bits para a mscara de sub-rede. Se voc utilizar 18, 20 ou mais bits para a mscara de sub-rede, estar subdividindo a rede classe B em vrias sub-redes. As frmulas para clculo do nmero de sub-redes e do nmero de hosts em cada sub-rede so as mesmas apresentadas anteriormente, independentemente da classe da rede que est sendo dividida em subredes. A seguir apresento uma tabela com o nmero de sub-redes e o nmero de hosts em cada sub-rede, dependendo do nmero de bits adicionais (alm do padro definido para a classe) utilizados para a mscara de sub-rede, para a diviso de uma rede Classe B: Diviso de uma rede classe B em sub-redes Nmero de bits Sub-redes Hosts Nova mscara de sub-rede 2 3 4 5 6 7 8 9 10 11 12 13 2 6 14 30 62 126 254 510 1022 2046 4094 8190 16382 8190 4094 2046 1022 510 254 126 62 30 14 6 255.255.192.0 255.255.224.0 255.255.240.0 255.255.248.0 255.255.252.0 255.255.254.0 255.255.255.0 255.255.255.128 255.255.255.192 255.255.255.224 255.255.255.240 255.255.255.248

Nmero de redes e nmero de hosts em cada rede Classe B.

Observe como o entendimento dos clculos binrios realizados pelo TCP/IP facilita o entendimento de vrios assuntos relacionados ao TCP/IP, inclusive o conceito de subnetting (Veja Parte 2 para detalhes sobre Clculos Binrios). Por padro a classe B utiliza 16 bits para a mscara de sub-rede, ou seja, uma mscara padro: 255.255..0.0. Agora se utilizarmos oito bits adicionais (todo o terceiro octeto) para a mscara, teremos todos os bits do terceiro octeto como sendo iguais a

1, com isso a mscara passa a ser: 255.255.255.0. Este resultado est coerente com a tabela da Figura 16.11. Agora vamos avanar um pouco mais. Ao invs de 8 bits adicionais, vamos utilizar 9. Ou seja, todo o terceiro octeto (8 bits) mais o primeiro bit do quarto octeto. O primeiro bit, o bit bem esquerda o bit de valor mais alto, ou seja, o que vale 128. Ao usar este bit tambm para a mscara de sub-rede, obtemos a seguinte mscara: 255.255.255.128. Tambm fecha com a tabela anterior. Com isso voc pode concluir que o entendimento da aritemtica e da representao binria, facilita muito o estudo do protocolo TCP/IP e de assuntos relacionados, tais como subnetting e roteamento. A seguir apresento uma tabela com o nmero de sub-redes e o nmero de hosts em cada sub-rede, dependendo do nmero de bits adicionais (alm do padro definido para a classe) utilizados para a mscara de sub-rede, para a diviso de uma rede Classe A: Diviso de uma rede classe A em sub-redes Nmero de bits Sub-redes Hosts 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 2 6 14 30 62 126 254 510 1022 2046 4094 8190 16382 32766 65534 131070 262142 4194302 2097150 1048574 524286 262142 131070 65534 32766 16382 8190 4094 2046 1022 510 254 126 62 Nova mscara de sub-rede 255.192.0.0 255.224.0.0 255.240.0.0 255.248.0.0 255.252.0.0 255.254.0.0 255.255.0.0 255.255.128.0 255.255.192.0 255.255.224.0 255.255.240.0 255.255.248.0 255.255.252.0 255.255.254.0 255.255.255.0 255.255.255.128 255.255.255.192

19 20 21 22

524286 1048574 2097150 4194302

30 14 6 2

255.255.255.224 255.255.255.240 255.255.255.248 255.255.255.252

Nmero de redes e nmero de hosts em cada rede Classe A.

Um fato importante, que eu gostaria de destacar novamente que todas as sub-redes (resultantes da diviso de uma rede), utilizam o msmo nmero para a mscara de sub-rede. Por exemplo, na quarta linha da tabela indicada na Figura 16.12, estou utilizando 5 bits adicionais para a mscara de sub-rede, o que resulta em 30 sub-redes diferentes, porm todas utilizando como mscara de sub-rede o seguinte nmero: 255.248.0.0. Muito bem, entendido o conceito de diviso em sub-redes e de determinao do nmero de sub-redes, do nmero de hosts em cada sub-rede e de como formada a nova mscara de sub-rede, a prxima questo que pode surgir a seguinte: Como listar as faixas de endereos para cada sub-rede? Este exatamente o assunto que vem a seguir. Como listar as faixas de endereos dentro de cada sub-rede. Vamos entender esta questo atravs de exemplos prticos. Exemplo 01: Dividir a seguinte rede classe C: 129.45.32.0/255.255.255.0. So necessrias, pelo menos, 10 subredes. Determinar o seguinte: a) Quantos bits sero necessrios para fazer a diviso e obter pelo menos 10 sub-redes? b) Quantos nmeros IP (hosts) estaro disponveis em cada sub-rede? c) Qual a nova mscara de sub-rede? d) Listar a faixa de endereos de cada sub-rede. Vamos ao trabalho. Para responder a questo da letra a, voc deve lembrar da frmula: Nm. de sub-redes = 2n-2 Voc pode ir substituindo n por valores sucessivos, at atingir ou superar o valor de 10. Por exemplo, para n=2, a frmula resulta em 2,

para n=3, a frmula resulta em 6, para n=4 a frmula resulta em 14. Bem, est respondida a questo da letra a, temos que utilizar quatro bits do quarto octeto para fazer parte da mscara de sub-rede. a) Quantos bits sero necessrios para fazer a diviso e obter pelo menos 10 sub-redes? R: 4 bits. Como utilizei quatro bits do ltimo octeto (alm dos 24 bits dos trs primeiros octetos, os quais j faziam parte da mscara original), sobraram apenas 4 bits para os endereos IP, ou seja, para os endereos de hosts em cada sub-rede. Tenho que lembrar da seguinte frmula: Nm. de endereos IP dentro de cada sub-rede = 2n-2 substituindo n por 4, vou obter um valor de 14. Com isso j estou em condies de responder a alternativa b. b) Quantos nmeros IP (hosts) estaro disponveis em cada sub-rede? R: 14. Como utilizei quatro bits do quarto octeto para fazer a diviso em subredes, os quatro primeiros bits foram definidos igual a 1. Basta somar os respectivos valores, ou seja: 128+64+32+16 = 240. Ou seja, com os quatro primeiros bits do quarto octeto sendo iguais a 1, o valor do quarto octeto passa para 240, com isso j temos condies de responder a alternativa c. c) Qual a nova mscara de sub-rede? R: 255.255.255.240 importante lembrar, mais uma vez, que esta ser a mscara de subrede utilizada por todas as 14 sub-redes. d) Listar a faixa de endereos de cada sub-rede. Esta a novidade deste item. Como saber de que nmero at que nmero vai cada endereo IP. Esta tambm fcil, embora seja novidade. Observe o ltimo bit definido para a mscara. No nosso exemplo o quarto bit do quarto octeto. Qual o valor decimal do quarto bit? 16 (o primeiro 128, o segundo 64, o terceiro 32 e assim por diante, conforme explicado no Captulo 2). O valor do ltimo bit um indicativo das faixas de variao para este exemplo. Ou seja, na prtica

temos 16 hosts em cada sub-rede, embora o primeiro e o ltimo no devam ser utilizados, pois o primeiro o endereo da prpria sub-rede e o ltimo o endereo de broadcast da sub-rede. Por isso que ficam 14 hosts por sub-rede, devido ao -2 na frmula, o -2 significa: - o primeiro o ltimo. Ao listar as faixas, consideramos os 16 hosts, apenas importante salienar que o primeiro e o ltimo no so utilizados. Com isso a primeira sub-rede vai do host 0 at o 15, a segunda sub-rede do 16 at o 31, a terceira do 32 at o 47 e assim por diante, conforme indicado no esquema a seguir: Diviso da rede em 14 sub-redes, onde cada sub-rede fica com 16 endereos IP, sendo que a primeira e a ltima sub-rede no so utilizadas e o primeiro e o ltimo nmero IP, dentro de cada sub-rede, tambm no so utilizados: Sub-rede 01 -> 129.45.32.0 129.45.32.15 Sub-rede 02 -> 129.45.32.16 129.45.32.31 Sub-rede 03 -> 129.45.32.32 129.45.32.47 Sub-rede 04 -> 129.45.32.48 129.45.32.63 Sub-rede 05 -> 129.45.32.64 129.45.32.79 Sub-rede 06 -> 129.45.32.80 129.45.32.95 Sub-rede 07 -> 129.45.32.96 129.45.32.111 Sub-rede 08 -> 129.45.32.112 129.45.32.127 Sub-rede 09 -> 129.45.32.128 129.45.32.143 Sub-rede 10 -> 129.45.32.144 129.45.32.159 Sub-rede 11 -> 129.45.32.160 129.45.32.175 Sub-rede 12 -> 129.45.32.176 129.45.32.191 Sub-rede 13 -> 129.45.32.192 129.45.32.207 Sub-rede 14 -> 129.45.32.208 129.45.32.223 Sub-rede 15 ->

129.45.32.224 129.45.32.239 Sub-rede 16 -> 129.45.32.240 129.45.32.255 Vamos a mais um exemplo prtico, agora usando uma rede classe B, que tem inicialmente, uma mscara de sub-rede: 255.255.0.0 Exemplo 02: Dividir a seguinte rede classe B: 150.100.0.0/255.255.0.0. So necessrias, pelo menos, 20 sub-redes. Determinar o seguinte: a) Quantos bits sero necessrios para fazer a diviso e obter pelo menos 10 sub-redes? b) Quantos nmeros IP (hosts) estaro disponveis em cada sub-rede? c) Qual a nova mscara de sub-rede? d) Listar a faixa de endereos de cada sub-rede. Vamos ao trabalho. Para responder a questo da letra a, voc deve lembrar da frmula: Nm. de sub-redes = 2n-2 Voc pode ir substituindo n por valores sucessivos, at atingir ou superar o valor de 10. Por exemplo, para n=2, a frmula resulta em 2, para n=3, a frmula resulta em 6, para n=4 a frmula resulta em 14 e para n=5 a frmula resulta em 30. Bem, est respondida a questo da letra a, temos que utilizar cinco bits do quarto octeto para fazer parte da mscara de sub-rede. Pois se utilizarmos apenas 4 bits, obteremos somente 14 sub-redes e usando mais de 5 bits, obteremos um nmero de sub-redes bem maior do que o necessrio. a) Quantos bits sero necessrios para fazer a diviso e obter pelo menos 10 sub-redes? R: 5 bits. Como utilizei cinco bits do terceiro octeto (alm dos 16 bits dos dois primeiros octetos, os quais j faziam parte da mscara original)., sobraram apenas 11 bits (os trs restantes do terceiro octeto mais os 8 bits do quarto octeto) para os endereos IP, ou seja, para os endereos de hosts em cada sub-rede. Tenho que lembrar da seguinte frmula: Nm. de endereos IP dentro de cada sub-rede = 2n-2 substituindo n por 11 (nmero de bits que restarama para a parte de host), vou obter um valor de 2046, j descontando o primeiro e o ltimo

nmero, os quais no podem ser utilizados, conforme j descrito anteriormente. Com isso j estou em condies de responder a alternativa b. b) Quantos nmeros IP (hosts) estaro disponveis em cada sub-rede? R: 2046. Como utilizei cinco bits do terceiro octeto para fazer a diviso em subredes, os cinco primeiros bits foram definidos igual a 1. Basta somar os respectivos valores, ou seja: 128+64+32+16+8 = 248. Ou seja, com os quatro primeiros bits do quarto octeto sendo iguais a 1, o valor do quarto octeto passa para 248, com isso j temos condies de responder a alternativa c. c) Qual a nova mscara de sub-rede? R: 255.255.248.0 importante lembrar, mais uma vez, que esta ser a mscara de subrede utilizada por todas as 30 sub-redes. d) Listar a faixa de endereos de cada sub-rede. Como saber de que nmero at que nmero vai cada endereo IP. Esta tambm fcil e o raciocnio o mesmo utilizado para o exemplo anterior, onde foi feita uma diviso de uma rede classe C. Observe o ltimo bit definido para a mscara. No nosso exemplo o quinto bit do terceiro octeto. Qual o valor decimal do quinto bit (de qualque octeto)? 8 (o primeiro 128, o segundo 64, o terceiro 32, o quarto 16 e o quinto 8, conforme explicado na Parte 2). O valor do ltimo bit um indicativo das faixas de variao para este exemplo. Ou seja, na prtica temos 2048 hosts em cada sub-rede, embora o primeiro e o ltimo no devam ser utilizados, pois o primeiro o endereo da prpria sub-rede e o ltimo o endereo de broadcast da sub-rede. Por isso que ficam 2046 hosts por sub-rede, devido ao -2 na frmula, o -2 significa: - o primeiro o ltimo. Ao listar as faixas, consideramos o valor do ltimo bit da mscara. No nosso exemplo o 8. A primeira faixa vai do zero at um nmero anterior ao valor do ltimo bit, no caso do 0 ao 7. A seguir indico a faixa de endereos da primeira sub-rede (sub-rede que no ser utilizada na prtica, pois descarta-se a primeira e a ltima): Sub-rede 01 150.100.0.1 -> 150.100.7.254

Com isso todo endereo IP que tiver o terceiro nmero na faixa entre 0 e 7, ser um nmero IP da primeira sub-rede, conforme os exemplos a seguir: 150.100.0.25 150.100.3.20 150.100.5.0 150.100.6.244 Importante: Observe que os valores de 0 a 7 so definidos no terceiro octeto, que onde estamos utilizando cinco bits a mais para fazer a diviso em sub-redes. Qual seria a faixa de endereos IP da prxima sub-rede. Aqui vale o mesmo reciocnio. O ltimo bit da mscara equivale ao valor 8. Esta a variao da terceira parte do nmero IP, que onde esta sendo feita a diviso em sub-redes. Ento, se a primeira foi de 0 at 7, a segunda sub-rede ter valores de 8 a 15 no terceiro octeto, a terceira sub-rede ter valores de 16 a 23 e assim por diante. Diviso da rede em 32 sub-redes, onde cada sub-rede fica com 2048 endereos IP, sendo que a primeira e a ltima sub-rede no so utilizadas e o primeiro e o ltimo nmero IP, dentro de cada sub-rede, tambm no so utilizados: Sub-rede 150.100.0.0 150.100.8.0 150.100.16.0 150.100.24.0 150.100.32.0 150.100.40.0 150.100.48.0 150.100.56.0 150.100.64.0 150.100.72.0 150.100.80.0 150.100.88.0 Primeiro IP 150.100.0.1 150.100.8.1 150.100.16.1 150.100.24.1 150.100.32.1 150.100.40.1 150.100.48.1 150.100.56.1 150.100.64.1 150.100.72.1 150.100.80.1 150.100.88.1 ltimo IP 150.100.7.254 150.100.15.254 150.100.23.254 150.100.31.254 150.100.39.254 150.100.47.254 150.100.55.254 150.100.63.254 150.100.71.254 150.100.79.254 150.100.87.254 150.100.95.254 Endereo de broadcast 150.100.7.255 150.100.15.255 150.100.23.255 150.100.31.255 150.100.39.255 150.100.47.255 150.100.55.255 150.100.63.255 150.100.71.255 150.100.79.255 150.100.87.255 150.100.95.255 Nmero 1 2 3 4 5 6 7 8 9 10 11 12

150.100.96.0

150.100.96.1

150.100.103.254 150.100.103.255 13

150.100.104.0 150.100.104.1 150.100.111.254 150.100.111.255 14 150.100.112.0 150.100.112.1 150.100.119.254 150.100.119.255 15 150.100.120.0 150.100.120.1 150.100.127.254 150.100.127.255 16 150.100.128.0 150.100.128.1 150.100.135.254 150.100.135.255 17 150.100.136.0 150.100.136.1 150.100.143.254 150.100.143.255 18 150.100.144.0 150.100.144.1 150.100.151.254 150.100.151.255 19 150.100.152.0 150.100.152.1 150.100.159.254 150.100.159.255 20 150.100.160.0 150.100.160.1 150.100.167.254 150.100.167.255 21 150.100.168.0 150.100.168.1 150.100.175.254 150.100.175.255 22 150.100.176.0 150.100.176.1 150.100.183.254 150.100.183.255 23 150.100.184.0 150.100.184.1 150.100.191.254 150.100.191.255 24 150.100.192.0 150.100.192.1 150.100.199.254 150.100.199.255 25 150.100.200.0 150.100.200.1 150.100.207.254 150.100.207.255 26 150.100.208.0 150.100.208.1 150.100.215.254 150.100.215.255 27 150.100.216.0 150.100.216.1 150.100.223.254 150.100.223.255 28 150.100.224.0 150.100.224.1 150.100.231.254 150.100.231.255 29 150.100.232.0 150.100.232.1 150.100.239.254 150.100.239.255 30 150.100.240.0 150.100.240.1 150.100.247.254 150.100.247.255 31 150.100.248.0 150.100.248.1 150.100.255.254 150.100.255.255 32 Com base na tabela apresentada, fica fcil responder em que sub-rede est contido um determinado nmero IP. Por exemplo, considere o nmero IP 150.100.130.222. Primeiro voc observa o terceiro octeto do nmero IP (o terceiro, porque neste octeto que esto os ltimos bits que foram utilizados para a mscara de sub-rede). Consultando a tabela anterior, voc observa o valor de 130 para o terceiro octeto corresponde a sub-rede 17, na qual o terceiro octeto varia entre 128 e 135, conforme indicado a seguir: 150.100.128.0 150.100.128.1 150.100.135.255 17 150.100.135.254

Bem, com isso concluo o nosso estudo sobre dois princpios fundamentais do protocolo TCP/IP:

B= Roteamento B= Subnetting (diviso de uma rede em sub-redes). Concluso. Nesta parte do tutorial, abordei um dos assuntos que mais geram dvidas: a diviso de uma rede em sub-redes. Nas prximas partes deste tutorial, falareis sobre servios do Windows 2000 Server e do Windows Server 2003, diretamente ligados ao TCP/IP, tais como o DNS, DHCP, WINS e RRAS.

Introduo: Esta a oitava parte do Tutorial de TCP/IP. Na Parte 1 tratei dos aspectos bsicos do protocolo TCP/IP. Na Parte 2 falei sobre clculos binrios, um importante tpico para entender sobre redes, mscara de sub-rede e roteamento. Na Parte 3 falei sobre Classes de endereos, na Parte 4 fiz uma introduo ao roteamento e na Parte 5 apresentei mais alguns exemplos/anlises de como funciona o roteamento e na Parte 6 falei sobre a Tabela de Roteamento. Na Parte 7 tratei sobre a diviso de uma rede em sub-redes, conceito conhecido como subnetting. Nesta parte farei uma apresentao de um dos servios mais utilizados pelo TCP/IP, que o Domain Name System (DNS). O DNS o servio de resoluo de nomes usado em todas as redes TCP/IP, inclusive pela Internet que, sem dvidas, a maior rede TCP/IP existente. Definindo DNS: DNS a abreviatura de Domain Name System. O DNS um servio de resoluo de nomes. Toda comunicao entre os computadores e demais equipamentos de uma rede baseada no protocolo TCP/IP (e qual rede no baseada em TCP/IP?) feita atravs do nmero IP. Nmero IP do computador de origem e nmero IP do computador de destino. Porm no seria nada produtivo se os usurios tivessem que decorar, ou

mais realisticamente, consultar uma tabela de nmeros IP toda vez que tivessem que acessar um recurso da rede. Por exemplo, voc digita www.microsoft.com/brasil, para acessar o site da Microsoft no Brasil, sem ter que se preocupar e nem saber qual o nmero IP do servidor onde est hospedado o site da Microsoft Brasil. Mas algum tem que fazer este servio, pois quando voc digita www.microsoft.com/brasil, o protocolo TCP/IP precisa "descobrir" (o termo tcnico resolver o nome) qual o nmero IP est associado com o nome digitado. Se no for possvel "descobrir" o nmero IP associado ao nome, no ser possvel acessar o recurso desejado. O papel do DNS exatamente este, "descobrir", ou usando o termo tcnico, "resolver" um determinado nome, como por exemplo www.microsoft.com. Resolver um nome significa, descobrir e retornar o nmero IP associado com o nome. Em palavras mais simples, o DNS um servio de resoluo de nomes, ou seja, quando o usurio tenta acessar um determinado recurso da rede usando o nome de um determinado servidor, o DNS o responsvel por localizar e retornar o nmero IP associado com o nome utilizado. O DNS , na verdade, um grande banco de dados distribudo em milhares de servidores DNS no mundo inteiro. Ele possui vrias caractersticas, as quais descreverei nesta parte do tutorial de TCP/IP. O DNS passou a ser o servio de resoluo de nomes padro a partir do Windows 2000 Server. Anteriormente, com o NT Server 4.0 e verses anteriores, o servio padro para resoluo de nomes era o WINS Windows Internet Name Service (assunto da Parte 9 deste tutorial). Verses mais antigas dos clientes Windows, tais como Windows 95, Windows 98 e Windows Me ainda so dependentes do WINS, para a realizao de determinadas tarefas. O fato de existir dois servios de resoluo de nomes, pode deixar o administrador confuso. Cada computador com o Windows instalado (qualquer verso), tem dois nomes: um host name (que ligado ao DNS) e um NetBios name (que ligado ao WINS). Por padro estes nomes devem ser iguais, ou seja, aconselhvel que voc utilize o mesmo nome para o host name e para o NetBios name. O DNS um sistema para nomeao de computadores, equipamentos de rede (tais como roteadores, hubs, switchs). Os nomes DNS so organizados de uma maneira hierrquica atravs da diviso da rede em domnios DNS. O DNS , na verdade, um grande banco de dados distribudo em vios

servidoress DNS e um conjunto de servios e funcionalidades, que permitem a pesquisa neste banco de dados. Por exemplo, quando o usurio digita www.abc.com.br na barra de endereos do seu navegador, o DNS tem que fazer o trabalho de localizar e retornar para o navegador do usurio, o nmero IP associado com o endereo www.abc.com.br. Quando voc tenta acessar uma pasta compartilhada chamada docs, em um servidor chamado srv-files01.abc.com.br, usando o caminho \\srv-files01.abc.com.br\docs, o DNS precisa encontrar o nmero IP associado com o nome srv-files01.abc.com.br. Se esta etapa falhar, a comunicao no ser estabelecida e voc no poder acessar a pasta compartilhada docs. Ao tentar acessar um determinado recurso, usando o nome de um servidor, como se o programa que voc est utilizando perguntasse ao DNS: "DNS, voc sabe qual o endereo IP associado com o nome tal?". O DNS pesquisa na sua base de dados ou envia a pesquisa para outros servidores DNS (dependendo de como foram feitas as configuraes do servidor DNS, conforme descreverei mais adiante). Uma vez encontrado o nmero IP, o DNS retorna o nmero IP para o cliente: "Este o nmero IP associado com o nome tal." Nota: O DNS implementado no Windows 2000 Server e tambm no Windows Server 2003 baseado em padres definidos por entidades de padronizao da Internet, tais como o IETF. Estes documentos so conhecidos como RFCs Request for Comments. Voc encontra, na Internet, facilmente a lista de RFCs disponveis e o assunto relacionada com cada uma. So milhares de RFCs (literalmente milhares).

Entendendo os elementos que compem o DNS: O DNS baseado em conceitos tais como espao de nomes e rvore de domnios. Por exemplo, o espao de nomes da Internet um espao de nomes hierrquico, baseado no DNS. Para entender melhor estes conceitos, observe o diagrama da Figura a seguir:

Estrutura hierrquica do DNS.

Nesta Figura apresentada uma viso abrevida da estrutura do DNS definida para a Internet. O principal domnio, o domnio root, o domnio de mais alto nvel foi nomeado como sendo um ponto (.). No segundo nvel foram definidos os chamados "Top-level-domains". Estes domnios so bastante conhecidos, sendo os principais descritos na Tabela a seguir: Top-level-domain Descrio com gov edu org net mil Organizaes comerciais Organizaes governamentais Instituies educacionais Organizaes no comerciais Diversos Instituies militares

Top-level-domains

Em seguida, a estrutura hierrquica continua aumentando. Por exemplo, dentro do domnio .com, so criadas sub domnios para cada pas. Por exemplo: br para o Brasil (.com.br), .fr para a frana (.com.fr), uk para a Inglaterra (.com.uk) e assim por diante. Observe que o nome completo de um domnio o nome do prprio domnio e mais os nomes dos domnios acima dele, no caminho at chegar ao domnio root que o ponto. Nos normalmente no escrevemos o ponto, mas no est errado utiliz-lo. Por exemplo, voc pode utilizar www.microsoft.com ou www.microsoft.com. (com ponto no final mesmo). No diagrama da Figura anterior, representei at o domnio de uma empresa chamada abc (abc...), que foi registrada no subdomnio (.com.br), ou seja: abc.com.br. Este o domnio DNS da empresa. Nota: Para registrar um domnio .br, utilize o seguinte endereo: www.registro.br. Todos os equipamentos da rede da empresa abc.com.br, faro parte deste domnio. Por exemplo, considere o servidor configurado com o nome de host www. O nome completo deste servidor ser www.abc.com.br, ou seja, com este nome que ele poder ser localizado na Internet. O nome completo do servidor com nome de host ftp ser: ftp.abc.com.br, ou seja, com este nome que ele poder ser acessado atravs da Internet. No banco de dados do DNS que ficar gravada a informao de qual o endereo IP est associado com www.abc.com.br, qual o endereo IP est associado com ftp.abc.com.br e assim por diante. Mais adiante voc ver, passo-a-passo, como feita a resoluo de nomes atravs do DNS. O nome completo de um computador da rede conhecido como FQDN Full Qualifided Domain Name. Por exemplo ftp.abc.com.br um FQDN. ftp (a primeira parte do nome) o nome de host e o restante representa o domnio DNS no qual est o computador. A unio do nome de host com o nome de domnio que forma o FQDN. Internamente, a empresa abc.com.br poderia criar subdomnios, como por exemplo: vendas.abc.com.br, suporte.abc.com.br, pesquisa.abc.com.br e assim por diante. Dentro de cada um destes subdominios poderia haver servidores e computadores, como por exemplo: srv01.vendas.abc.com.br, srv-pr01.suporte.abc.com.br. Observe que sempre, um nome de domnio mais baixo, contm o nome completo dos objetos de nvel mais alto. Por exemplo, todos os

subdomnios de abc.com.br, obrigatoriamente, contm abc.com.br: vendas.abc.com.br, suporte.abc.com.br, pesquisa.abc.com.br. Isso o que define um espao de nomes contnio. Dentro de um mesmo nvel, os nomes DNS devem ser nicos. Por exemplo, no possvel registrar dois domnios abc.com.br. Porm possvel registrar um domnio abc.com.br e outro abc.net.br. Dentro do domnio abc.com.br pode haver um servidor chamado srv01. Tambm pode haver um servidor srv01 dentro do domnio abc.net.br. O que distingue um do outro o nome completo (FQDN), neste caso: srv01.abc.com.br e o outro srv01.abc.net.br. Nota: Um mtodo antigo, utilizado inicalmente para resoluo de nomes era o arquivo hosts. Este arquivo um arquivo de texto e contm entradas como as dos exemplos a seguir, uma em cada linha: 10.200.200.3 www.abc.com.br 10.200.200.4 ftp.abc.com.br 10.200.200.18 srv01.abc.com.br srv-files O arquivo hosts individual para cada computador da rede e fica gravado (no Windows NT, Windows 2000, Windows Server 2003 ou Windows XP), na pasta system32\drivers\etc, dentro da pasta onde o Windows est instalado. Este arquivo um arquivo de texto e pode ser alterado com o bloco de Notas. O DNS formado por uma srie de componentes e servios, os quais atuando em conjunto, tornam possvel a tarefa de fazer a resoluo de nomes em toda a Internet ou na rede interna da empresa. Os componentes do DNS so os seguintes: O espao de nomes DNS: Um espao de nomes hierrquico e contnuo. Pode ser o espao de nomes da Internet ou o espao de nomes DNS interno, da sua empresa. Pode ser utilizado um espao de nomes DNS interno, diferente do nome DNS de Internet da empresa ou pode ser utilizado o mesmo espao de nomes. Cada uma das abordagens tem vantagens e desvantagens. Servidores DNS: Os servidores DNS contm o banco de dados do DNS com o mapeamento entre os nomes DNS e o respectivo nmero IP. Os servidores DNS tambm so responsveis por responder s consultas de nomes envidas

por um ou mais clientes da rede. Voc aprender mais adiante que existem diferentes tipos de servidores DNS e diferentes mtodos de resoluo de nomes. Registros do DNS (Resource Records): Os registros so as entradas do banco de dados do DNS. Em cada entrada existe um mapeamento entre um determinado nome e uma informao associada ao nome. Pode ser desde um simples mapeamento entre um nome e o respectivo endereo IP, at registros mais sofisticados para a localizao de DCs (controladores de domnio do Windows 2000 ou Windows Server 2003) e servidores de email do domnio. Clientes DNS: So tambm conhecidos como resolvers. Por exemplo, uma estao de trabalho da rede, com o Windows 2000 Professional ou com o Windows XP professional tem um "resolver" instalado. Este componente de software responsvel por detectar sempre que um programa precisa de resoluo de um nome e repassar esta consulta para um servidor DNS. O servidor DNS retorna o resultado da consulta, o resultado retornado para o resolver, o qual repassa o resultado da consulta para o programa que originou a consulta. Entendendo como funcionam as pesquisas do DNS: Imagine um usurio, na sua estao de trabalho, navegando na Internet. Ele tenta acessar o site www.juliobattisti.com.br. O usurio digita este endereo e tecla Enter. O resolver (cliente do DNS instalado na estao de trabalho do usurio) detecta que existe a necessidade da resoluo do nome www.juliobattisti.com.br, para descobrir o nmero IP associado com este nome. O resolver envia a pesquisa para o servidor DNS configurado como DNS primrio, nas propriedades do TCP/IP da estao de trabalho (ou para o DNS informado pelo DHCP, caso a estao de trabalho esteja obtendo as configuraes do TCP/IP, automaticamente, a partir de um servidor DHCP assunto da Parte 10 deste tutorial). A mensagem envida pelo resolver, para o servidor DNS, contm trs partes de informao, conforme descrito a seguir:

O nome a ser resolvido. No nosso exemplo: www.juliobattisti.com.br. O tipo de pesquisa a ser realizado. Normalmente uma pesquisa do tipo "resource record", ou seja, um registro associado a um nome, para retornar o respectivo endereo IP. No nosso exemplo, a pesquisa seria por um registro do tipo A, na qual o resultado da consulta o nmero IP associado com o nome que est sendo pesquisado. como se o cliente perguntasse para o sevidor DNS: "Voc conhece o nmero IP associado com o nome www.juliobattisti.com.br?" E o servidor responde: "Sim, conheo. O nmero IP associado com o nome www.juliobattisti.com.br o seguinte... Tambm podem ser consultas especializadas, como por exemplo, para localizar um DC (controlador de domnio) no domnio ou um servidor de autenticao baseado no protocolo Kerberos. Uma classe associada com o nome DNS. Para os servidores DNS baseados no Windows 2000 Server e Windows Server 2003, a classe ser sempre uma classe de Internet (IN), mesmo que o nome seja referente a um servidor da Intranet da empresa. Existem diferentes maneiras como uma consulta pode ser resolvida. Por exemplo, a primeira vez que um nome resolvido, o nome e o respetivo nmero IP so armazenados em memria, no que conhecido como Cache do cliente DNS, na estao de trabalho que fez a consulta. Na prxima vez que o nome for utilizado, primeiro o Windows 2000 procura no Cache DNS no cliente, para ver se no existe uma resoluo anterior para o nome em questo. Somente se no houver uma resoluo no Cache local do DNS, que ser envida uma consulta para o servidor. Chegando a consulta ao servidor, primeiro o servidor DNS consulta o cache do servidor DNS. No cache do servidor DNS ficam, por um determinado perodo de tempo, as consultas que foram resolvidas pelo servidor DNS, anteriormente. Esse processo agiliza a resoluo de nomes, evitando repetidas resolues do mesmo nome. Se no for encontrada uma resposta no cache do servidor DNS, o servidor pode tentar resolver a consulta usando as informaes da sua base de dados ou pode enviar a consulta para outros servidores DNS, at que uma resposta seja obtida. A seguir descreverei detalhes deste procsso de

enviar uma consulta para outros servidores, processo este chamado de recurso. Em resumo, o processo de resoluo de um nome DNS composto de duas etapas: 1. A consulta inicia no cliente e passada para o resolver na estao de trabalho do cliente. Primeiro o resolver tenta responder a consulta localmente, usando recursos tais como o cache local do DNS e o arquivo hosts. 2. Se a consulta no puder ser resolvida localmente, o resolver envia a consulta para o servidor DNS, o qual pode utilizar diferentes mtodos (descritos mais adiante), para a resoluo da consulta. A seguir vou descrever as etapas envolvidas nas diferentes maneiras que o DNS utiliza para "responder" a uma consulta enviada por um cliente. Nota: Vou utilizar algumas figuras da ajuda do Windows 2000 Server para explicar a maneira como o DNS resolve consultas localmente (resolver) e os diferentes mtodos de resoluo utilizados pelo servidor DNS. Inicialmente considere o diagrama da Figura a seguir, contido na Ajuda do DNS, diagrama este que apresenta uma viso geral do processo de resoluo de nomes do DNS.

O processo de resoluo de nomes do DNS.

No exemplo desta figura, o cliente est em sua estao de trabalho e tenta acessar o site da Microsoft: www.microsoft.com. Ao digitar este

endereo no seu navegador e pressionar Enter, o processo de resoluo do nome www.microsoft.com iniciado. Uma srie de etapas so executadas, at que a resolua acontea com sucesso ou falhe em definitivo, ou seja, o DNS no consegue resolver o nome, isto , no consegue encontrar o nmero IP associado ao endereo www.microsoft.com.. Primeira etapa: O DNS tenta resolver o nome, usando o resolver local: Ao digitar o endereo www.microsoft.com e pressionar Enter, o processo de resoluo iniciado. Inicialmente o endereo passado para o cliente DNS, na estao de trabalho do usurio. O cliente DNS conhecido como resolver, nome este que utilizarei a partir de agora. O cliente tenta resolver o nome utilizando um dos seguintes recursos: O cache DNS local: Sempre que um nome resolvido com sucesso, o nome e a informao associada ao nome (normalmente o endereo IP), so mantidos na memria, o que conhecido como cache local do DNS. Quando um nome precisa ser resolvido, a primeira coisa que o resolver faz procurar no cache local. Encontrando no cache local, as informaes do cache so utilizadas e a resoluo est completa. O cache local torna a resoluo mais rpida, uma vez que nomes j resolvidos podem ser consultados diretamente no cache, ao invs de terem que passar por todo o processo de resoluo via servidor DNS novamente, processo este que voc aprender logo a seguir. O arquivo hosts: Se no for encontrada a resposta no cache, o resolver consulta as entradas do arquivos hosts, o qual um arquivo de texto e fica na pasta onde o Windows 2000 Server foi instalado, dentro do seguinte caminho: \system32\drivers\etc. O hosts um arquivo de texto e pode ser editado com o bloco de notas. Este arquivo possui entradas no formato indicado a seguir, com um nmeo IP por linha, podendo haver um ou mais nomes associados com o mesmo nmero IP: 10.200.200.3 www.abc.com.br intranet.abc.com.br 10.200.200.4 ftp.abc.com.br arquivos.abc.com.br 10.200.200.18 srv01.abc.com.br pastas.abc.com.br pastas

Se mesmo assim a consulta no for respondida, o resolver envia a consulta para o servidor DNS configurado nas propriedades do TCP/IP como servidor DNS primrio ou configurado via DHCP. Segunda etapa: Pesquisa no servidor DNS. Uma vez que a consulta no pode ser resolvida localmente pelo resolver, esta enviada para o servidor DNS. Quando a consulta chega no servidor DNS, a primeira coisa que ele faz consultar as zonas para as quais ele uma autoridade (para uma descrio completa sobre zonas e domnios e a criao de zonas e domnios no DNS consulte o Captulo 3 do meu livro Manual de Estudos para o Exame 70-216, com previso de lanamento para Setembro de 2003, pela editora Axcel Books). Por exemplo, vamos supor que o servidor DNS seja o servidor DNS primrio para a zona vendas.abc.com.br (diz-se que ele a autoridade para esta zona) e o nome s ser pesquisado srv01.vendas.abc.com.br. Neste caso o servidor DNS ir pesquisar nas informaes da zona vendas.abc.com.br (para a qual ele a autoridade) e responder a consulta para o cliente. Diz-se que o servidor DNS respondeu com autoridade (authoritatively). No nosso exemplo (Figura anterior) no este o caso, uma vez que o nome pesquisado www.microsoft.com e o servidor DNS no a autoridade, ou seja, no o servidor DNS primrio para o domno microsoft.com. Neste caso, o servidor DNS ir pesquisar o cache do servidor DNS (no confundir com o cache local do resolver no cliente). medida que o servidor DNS vai resolvendo nomes, ele vai mantendo estas informaes em um cache no servidor DNS. As entradas so mantidas em cache por um tempo que pode ser configurado pelo administrador do DNS. O cache do servidor DNS tem a mesma funo do cache local do resolver, ou seja, agilizar a consulta a nomes que j foram resolvidos previamente. Se for encontrada uma entrada no cache do servidor DNS, esta entrada ser utilizada pelo servidor DNS para responder a consulta enviada pelo cliente. e o processo de consulta est completo. Caso o servidor DNS no possa responder usando informaes de uma zona local do DNS e nem informaes contidas no cache do servidor DNS, o processo de pesquisa continua, usando um processo conhecido como recurso (recursion), para resolver o nome. Agora o servidor DNS far consultas a outros servidores para tentar responder a consulta

enviada pelo cliente. O processo de recurso ilustrado na Figura a seguir, da ajuda do DNS. Em seguida comentarei os passos envolvidos no processo de recurso.

Resoluo de nomes usando recurso.

O servidor DNS ir iniciar o processo de recurso com o auxlio de servidores DNS da Internet. Para localizar estes servidores, o servidor DNS utiliza as configuraes conhecidas como "root hints". Root hints nada mais do que uma lista de servidores DNS e os respectivos endereos IP, dos servidores para o domnio root (representado pelo ponto .) e para os domnios top-level (.com, .net, gov e assim por diante). Esta lista criada automaticamente quando o DNS instalado e pode ser acessada atravs das propriedades do servidor DNS. Na Figura a seguir exibida uma lista de root hints configuradas por padro, em um servidor DNS:

Lista de root hints do servidor DNS.

Com o uso da lista de servidores root hints, o servidor DNS consege localizar (teoricamente), os servidores DNS responsveis por quaisquer domnio registrado. Vamos novamente considerar um exemplo, para entender como o processo de recurso funciona. Imagine que a consulta enviada pelo cliente para descobrir o endereo IP associado ao nome srv01.vendas.abc.com. O cliente que fez esta consulta est usando um computador da rede xyz.com, o qual est configurado para usar, como DNS primrio, o DNS da empresa xyz.com. Primeiro vamos assumir que o nome no pode ser resolvido localmente no cliente (usando o cache DNS local e o arquivo hosts) e foi enviado para o servidor DNS primrio da empresa xyz.com. Este DNS dono, autoridade apenas para o domnio xyz.com e no para vendas.abc.com (lembrando sempre que a primeira parte do nome o nome da mquina, conhecido como nome de host). Com isso o servidor DNS primrio da empresa xyz.com.br ir pesquisar no cache do servidor

DNS. No encontrando a resposta no cache, iniciado o processo de recurso, com os passos descritos a seguir: 1. O servidor DNS retira apenas a parte correspondente ao domnio (o nome todo, menos a primeira parte. No nosso exemplo seria vendas.abc.com, srv01 o nome de host). Usando a lista de servidores DNS configurados como root hints, o servidor DNS localiza um servidor que seja o dono, a autoridade para o domnio root da Internet, representado pelo ponto (o processo assim mesmo, de trs para frente). 2. Localizado o servidor responsvel pelo domnio root, o servidor DNS da empresa xyz.com envia uma consulta interativa para o servidor DNS responsvel pelo domnio root, perguntando: "Voc sabe quem o servidor DNS responsvel pelo domnio .com?". O servidor DNS root responde com o endereo IP de um dos servidores DNS responsveis pelo domnio .com. Ou seja, o servidor DNS root no sabe responder diretamente o nome que est sendo resolvido, mas sabe para quem enviar, sabe a quem recorrer. Talvez da venha o nome do processo recurso. 3. O servidor DNS do domnio xyz.com recebe a resposta informando qual o servidor DNS responsvel pelo domnio .com. 4. O servidor DNS do domnio xyz.com envia uma consulta para o servidor DNS responsvel pelo .com (informado no passo 3), perguntando: "Voc a autoridade para abc.com ou saberia informar quem a autoridade para abc.com?" 5. O servidor DNS responsvel pelo com no a autoridade por abc.com, mas sabe informar quem a autoridade deste domnio. O servidor DNS resonsvel pelo .com retorna para o servidor DNS do domnio xyz.com, o nmero IP do servidor DNS responsvel pelo domnio abc.com. 6. O servidor DNS do domnio xyz.com recebe a resposta informando o nmero IP do servidor responsvel pelo domnio abc.com. 7. O servidor DNS do domnio xyz.com envia uma consulta para o servidor DNS

responsvel pelo abc.com (informado no passo 6), perguntando: "Voc a autoridade para vendas.abc.com ou saberia informar quem a autoridade para vendas.abc.com?" 8. O servidor DNS responsvel pelo abc.com no a autoridade para vendas.abc.com, mas sabe informar quem a autoridade deste domnio. O servidor DNS resonsvel pelo abc.com retorna para o servidor DNS do domnio xyz.com, o nmero IP do servidor DNS responsvel pelo domnio vendas.abc.com. 9. O servidor DNS do domnio xyz.com recebe a resposta informando o nmero IP do servidor responsvel pelo domnio vendas.abc.com. 10. O servidor DNS do domnio xyz.com envia uma consulta para o servidor DNS responsvel pelo vendas.abc.com (informado no passo 9), perguntando: "Voc a autoridade para vendas.abc.com ou saberia informar quem a autoridade para vendas.abc.com?" 11. O servidor DNS para vendas.abc.com recebe a consulta para resolver o nome srv01.vendas.abc.com. Como este servidor a autoridade para o domnio, ele pesquisa a zona vendas.abc.com, encontra o registro para o endereo serv01.vendas.abc.com e retornar esta inforamao para o servidor DNS do domnio xyz.com. 12. O servidor DNS do domnio xyz.com recebe a resposta da consulta, faz uma cpia desta resposta no cache do servidor DNS e retornar o resultado para o cliente que originou a consulta. 13, No cliente o resolver recebe o resultado da consulta, repassa este resultado para o programa que gerou a consulta e grava uma cpia dos dados no cache local do DNS. Evidentemente que a descrio do processo demora muito mais tempo do que o DNS realmente leva para resolver um nome usando este mtodo. Claro que a resoluo rpida, seno ficaria praticamente impossvel usar a Internet. Alm disso, este mtodo traz algumas vantagens. Durante esta espcie de "pingue-pongue" entre o servidor

DNS e os servidores DNS da Internet, o servidor DNS da empresa vai obtendo informaes sobre os servidores DNS da Internet e grava estas informaes no cache local do servidor DNS. Isso agiliza futuras consultas e reduz, significativamente, o tempo para a resoluo de nomes usando recurso. Estas informaes so mantidas na memria do servidor e com o passar do tempo podem ocupar um espao considervel da memria. Toda vez que o servio DNS for parado e iniciado novamente, estas informaes sero excludas da memria e o processo de cache inicia novamente. Consideraes e tipos especiais de resolues. O processo descrito anteriormente, termina com o servidor DNS (aps ter consultado vrios outros servidores) retornando uma resposta positiva para o cliente, isto , conseguindo resolver o nome e retornando a informao associada (normalmente o nmero IP associado ao nome) para o cliente. Mas nem sempre a resposta positiva, muitos outros tipos de resultados podem ocorrer em resposta a uma consulta, tais como: An authoritative answer (resposta com autoridade): Este tipo de resposta obtido quando o nome resolvido diretamente pelo servidor DNS que a autoridade para o domnio pesquisado. Por exemplo, um usurio da Intranet da sua empresa (abc.com.br), tenta acessar uma pgina da intranet da empresa, por exemplo: rh.abc.com.br. Neste caso a consulta ser enviada para o servidor DNS da empresa, o qual a autoridade para a zona abc.com.br e responde diretamente consulta, informando o nmero IP do servidor rh.abc.com.br. tambm uma resposta positiva s que com autoridade, ou seja, respondida diretamente pelo servidor DNS que a autoridade para o domnio pesquisado. A positive answer (resposta positiva): uma resposta com o resultado para o nome pesquisado, isto , o nome pode ser resolvido e uma ou mais informaes associadas ao nome so retornadas para o cliente. A referral answer (uma referncia): Este tipo de resposta no contm a resoluo do nome pesquisado, mas sim informaes e referncia a recursos ou outros servidores

DNS que podem ser utilizados para a resoluo do nome. Este tipo de resposta ser retornado para o cliente, se o servidor DNS no suportar o mtodo de recurso, descrito anteriormente. As informaes retornadas por uma resposta deste tipo so utilizadas pelo cliente para continuar a pesquisa, usando um processo conhecido como interao (o qual ser descrito mais adiante). O cliente faz a pesquisa em um servidor DNS e recebe, como resposta, uma referncia a outro recurso ou servidor DNS. Agora o cliente ir interagir com o novo recurso ou servidor, tentando resolver o nome. Este processo pode continuar at que o nome seja resolvido ou at que uma resposta negativa seja retornada, indicando que o nome no pode ser resolvido. O processo de interao ser descrito mais adiante. A negative answer (uma resposta negativa): Esta resposta pode indicar que um dos seguintes resultados foi obtido em resposta consulta: Um servidor DNS que autoridade para o domnio pesquisado, informou que o nome pesquisado no existe neste domnio ou um servidor DNS que autoridade para o domnio pesquisado, informou que o nome pesquisado exsite, mas o tipo de registro no confere. Uma vez retornada a resposta, o resolver interpreta o resultado da resposta (seja ela positiva ou negativa) e repassa a resposta para o programa que fez a solicitao para resoluo de nome. O resolver armazena o resultado da consulta no cache local do DNS. Observaes: O administrador do DNS pode desabilitar o recurso de recurso em um servidor DNS em situaes onde os usurios devem estar limitados a utilizar apenas o servidor DNS da Intranet da empresa. O servidor DNS tambm define tempos mximos para determinadas operaes. Uma vez atingido o tempo mximo, sem obter uma resposta consulta, o servidor DNS ir retornar uma resposta negativa: Intervalo de reenvio de uma consulta recursiva 3 segundos: Este o tempo que o DNS espera antes de enviar novamente uma consulta (caso no tenha recebido uma resposta) feita a um servidor DNS externo, duranto um processo recursivo.

Intervalo de time-out para um consulta recursiva 15 segundos: Este o tempo que o DNS espera antes de determinar que uma consulta recursiva, que foi reenviada falhou. Estes parmetros podem ser alterados pelo Administrador do DNS. Como funciona o processo de interao: O processo de interao utilizado entre o cliente DNS (resolver) e um ou mais servidores DNS, quando ocorrerem as condies indicadas a seguir: O cliente tenta utilizar o processo de recurso, discutido anteriormente, mas a recurso est desabilitada no servidor DNS. O cliente no solicita o uso de recurso, ao pesquisar o servidor DNS. O cliente faz uma consulta ao servidor DNS, informando que esperada a melhor resposta que o servidor DNS puder fornecer imediatamente, sem consultar outros servidores DNS. Quando o processo de interao utilizado, o servidor DNS responde consulta do cliente com base nas informaes que o servidor DNS tem sobre o domnio pesquisado. Por exemplo, o servidor DNS da sua rede interna pode receber uma consulta de um cliente tentando resolver o nome www.abc.com. Se este nome estiver no cache do servidor DNS ele responde positivamente para o cliente. Se o nome no estiver no cache do servidor DNS, o servidor DNS responde com uma lista de servidores de referncia, que uma lista de registros do tipo NS e A (voc aprender sobre os tipos de registro na parte prtica), registros estes que apontam para outros servidores DNS, capazes de resolver o nome pesquisado. Ou seja, o cliente recebe uma lista de servidores DNS para os quais ele deve enviar a consulta. Observem a diferena bsica entre o processo de recurso e o processo de interao. Na recurso, o servidor DNS que entra em contato com outros servidores (root hints), at conseguir resolver o nome pesquisado. Uma vez resolvido o nome, ele retorna a resposta para o cliente. J no processo de interao, se o servidor DNS no consegue resolver o nome, ele retorna uma lista de

outros servidores DNS que talvez possam resolver o nome pesquisado. O cliente recebe esta lista e envia a consulta para os servidores DNS informados. Este processo (esta interao) continua at que o nome seja resolvido ou que uma resposta negativa seja recebida pelo cliente, informando que o nome no pode ser resolvido. Ou seja, no processo de interao, a cada etapa do processo, o servidor DNS retorna para o cliente, uma lista de servidores DNS a serem pesquisados, at que um dos servidores responde positivamente (ou negativamente) consulta feita pelo cliente. Como funciona o cache nos servidores DNS: O trabalho bsico do servidor DNS responder s consultas enviadas pelos clientes, quer seja utilizando recurso ou interao. A medida que os nomes vo sendo resolvidos, esta informao fica armazenada no cache do servidor DNS. Com o uso do cache, futuras consultas a nomes j resolvidos, podem ser respondidas diretamente a partir do cache, sem ter que utilizar recurso ou interao. O uso do cache agiliza o processo de resoluo de nomes e tambm reduz o trfego de rede gerado pelo DNS. Quando as informaes so gravadas no cache do servidor DNS, um parmetro chamado Time-To-Live (TTL) associado com cada informao. Este parmetro determina quanto tempo a informao ser mantida no cache at ser descartada. O parmetro TTL utilizado para que as informaes do cache no se tornem desatualizadas e para minimizar a possibilidade de envio de informaes desatualizadas em resposta s consultas dos clientes. O valor padro do parmetro TTL 3600 segundos (uma hora). Este parmetro pode ser configurado pelo administrador do DNS, conforme mostrarei na parte prtica, mais adiante. Nota: Por padro o DNS utiliza um arquivo chamado Cache.dns, o qual fica gravado na pasta systemroot\System32\Dns, onde systemroot representa a pasta onde o Windows 2000 Server est instalado. Este arquivo no tem a ver com o Cache de nomes do servidor DNS. Neste arquivo est contida a lista de servidores root hints (descritos anteriormente). O contedo deste arquivo carregado na memria do servidor, durante a inicializao do servio do DNS e utilizado para localizar os servidores root hints da Internet, servidores estes utilizados durante o processo de recurso, descrito anteriormente. Concluso

Nesta parte do tutorial fiz a apresentao do servio mais utilizado pelo TCP/IP: DNS. Nas prximas partes deste tutorial, falareis sobre os demais servios do Windows 2000 Server e do Windows Server 2003, diretamente ligados ao TCP/IP, tais como o DHCP, WINS e RRAS.

Introduo: Esta a nona parte do Tutorial de TCP/IP. Na Parte 1 tratei dos aspectos bsicos do protocolo TCP/IP. Na Parte 2 falei sobre clculos binrios, um importante tpico para entender sobre redes, mscara de sub-rede e roteamento. Na Parte 3 falei sobre Classes de endereos, na Parte 4 fiz uma introduo ao roteamento e na Parte 5 apresentei mais alguns exemplos/anlises de como funciona o roteamento e na Parte 6 falei sobre a Tabela de Roteamento. Na Parte 7 tratei sobre a diviso de uma rede em sub-redes, conceito conhecido como subnetting. Na Parte 8 fiz uma apresentao de um dos servios mais utilizados pelo TCP/IP, que o Domain Name System: DNS. O DNS o servio de resoluo de nomes usado em todas as redes TCP/IP, inclusive pela Internet que, sem dvidas, a maior rede TCP/IP existente. Nesta nona parte farei uma introduo ao servio Dynamic Host Configuration Protocol DHCP. Definindo DHCP: O DHCP a abreviatura de Dynamic Host Configuration Protocol um servio utilizado para automatizar as configuraes do protocolo TCP/IP nos dispositivos de rede (computadores, impressoras, hubs, switchs, ou seja, qualquer dispositivo conectado rede e que esteja utilizando o protocolo TCP/IP). Sem o uso do DHCP, o administrador e sua equipe teriam que configurar, manualmente, as propriedades do protocolo TCP/IP em cada dispositivo de rede (genericamente denominados hosts). Com o uso do DHCP esta tarefa pode ser completamente automatizada. O uso do DHCP traz diversos benefcios, dentro os quais podemos destacar os seguintes: Automao do processo de configurao do protocolo TCP/IP nos dispositivos da rede. Facilidade de alterao de parmetros tais como Default Gateway, Servidor DNS e assim por diante, em todos os dispositivos da rede, atravs de uma simples alterao no servidor DHCP. Eliminao de erros de configurao, tais como digitao incorreta de uma mscara de sub-rede ou utilizao do mesmo nmero IP em dois dispositivos diferentes, gerando um conflito de endereo IP.

Fundamentao terica do DHCP Neste tpico apresentarei uma srie de conceitos tericos sobre o funcionamento do DHCP. Voc aprender como funciona o processo de concesso de endereos IP (tambm conhecido como lease), aprender sobre os conceitos de escopo, superescopo, reserva de endereo, ativao do servidor DHCP no Active Directory e demais conceitos relacionados ao DHCP. O que o DHCP - Dynamic Host Configuration Protocol? Voc aprendeu, nas primeiras partes deste tutorial, sobre os fundamentos do protocolo TCP/IP, que um equipamente de rede, que utiliza o protocolo TCP/IP precisa que sejam configurados uma srie de parmetros. Os principais parmetros que devem ser configurados para que o protocolo TCP/IP funcione corretamente so os seguintes: Nmero IP Mscara de sub-rede Default Gateway (Gateway Padro) Nmero IP de um ou mais servidores DNS Nmero IP de um ou mais servidores WINS Sufixos de pesquisa do DNS Em uma rede com centenas ou at mesmo milhares de estaes de trabalho, configurar o TCP/IP manualmente, em cada estao de trabalho uma tarefa bastante trabalhosa, que envolve tempo e exige uma equipe tcnica para executar este trabalho. Alm disso, sempre que houver mudanas em algum dos parmetros de configurao (como por exemplo uma mudana no nmero IP do servidor DNS), a reconfigurao ter que ser feita manualmente em todas as estaes de trabalho da rede. Por exemplo, imagine que o nmero IP do Default Gateway teve que ser alterado devido a uma reestruturao da rede. Neste caso a equipe de suporte teria que ir de computador em computador, alterando as propriedades do protocolo TCP/IP, para informar o novo nmero IP do Default Gateway, isto , alterando o nmero IP antigo do Default Gateway para o novo nmero. Um trabalho e tanto.

Alm disso, com a configurao manual, sempre podem haver erros de configurao. Por exemplo, basta que o tcnico que est configurando uma estao de trabalho, digite um valor incorreto para a mscara de sub-rede, para que a estao de trabalho no consiga mais se comunicar com a rede. E problemas como este podem ser difceis de detectar. Muitas vezes o tcnico pode achar que o problema com a placa de rede, com o driver da placa ou com outras configuraes. At descobrir que o problema um simples erro na mscara de sub-rede pode ter sido consumido um bom tempo: do tcnico e do funcionrio que utiliza o computador, o qual ficou sem poder acessar a rede. E hoje em dia sem acesso rede significa, na prtica, sem poder trabalhar. Bem, descrevo estas situaes apenas para ilustrar o quanto difcil e oneroso manter a configurao do protocolo TCP/IP manualmente, quando temos um grande nmero de estaes de trabalho em rede. Pode at nem ser "to grande" este nmero, com redes a partir da 30 ou 50 estaes de trabalho j comea a ficar difcil a configurao manual do protocolo TCP/IP. Para resolver esta questo e facilitar a configurao e administrao do protocolo TCP/IP que foi criado o DHCP. DHPC a abreviatura de: Dynamic Host Configuration Protocol (Protocolo de configurao dinmica de hosts). Voc pode instalar um ou mais servidores DHCP em sua rede e fazer com que os computadores e demais dispositivos que precisem de configuraes do TCP/IP, obtenham estas configuraes, automaticamente, a partir do servidor DHCP. Por exemplo, considere uma estao de trabalho configurada para utilizar o DHCP. Durante a inicializao, esta estao de trabalho entra em um processo de "descobrir" um servidor DHCP na rede (mais adiante detalharei como este processo de "descoberta" do servidor DHCP). Uma vez que a estao de trabalho consegue se comunicar com o servidor DHCP, ela recebe todas as configuraes do protocolo TCP/IP, diretamente do servidor DHCP. Ou seja, com o uso do DHCP, o administrador pode automatizar as configuraes do protocolo TCP/IP em todas os computadores da rede. Com o uso do DHCP, a distribuio de endereos IP e demais configuraes do protocolo TCP/IP (mscara de sub-rede, default gateway, nmero IP do servidor DNS e assim por diante) automatizada e centralizadamente gerenciada. O administrador cria faixas de endereos IP que sero distribudas pelo servidor DHCP (faixas estas chamadas de escopos) e associa outras configuraes com cada faixa de endereos, tais como um nmero IP do Default Gateway, a mscara de sub-rede, o nmero IP de um ou mais servidores DNS, o

nmero IP de um ou mais servidores WINS e assim por diante. Todo o trabalho de configurao do protocolo TCP/IP que teria que ser feito manualmente, agora pode ser automatizado com o uso do DHCP. Imagine somente uma simples situao, mas que serve para ilustrar o quanto o DHCP til. Vamos supor que voc o administrador de uma rede com 3000 estaes de trabalho. Todas as estaes de trabalho esto configuradas com o protocolo TCP/IP. As configuraes so feitas manualmente, no utilizado servidor DHCP na rede. Voc utiliza um nico servidor externo, do seu provedor de Internet, com servidor DNS. O nmero IP deste servidor DNS est configurado em todas as estaes de trabalho da rede. O seu Provedor de Internet sofreu uma reestruturao e teve que alterar o nmero IP do servidor DNS (veja que uma situao que est fora do controle do administrador da rede, j que a alterao foi no servidor DNS do provedor). Como voc configura o TCP/IP manulamente nos computadores da rede, s resta uma soluo: pr a sua equipe em ao para visitar as 3000 estaes de trabalho da rede, alterando o nmero IP do servidor DNS em cada uma. Em cada estao de trabalho o tcnico ter que acessar as propriedades do protocolo TCP/IP e alterar o endereo IP do servidor DNS para o novo endereo. Um trabalho e tanto, sem contar que podem haver erros durante este processo. Agora imagine esta mesma situao, s que ao invs de configurar o TCP/IP manualmente voc est utilizando o DHCP para fazer as configuraes do TCP/IP automaticamente. Nesta situao, quando houve a alterao do nmero IP do servidor DNS, bastaria alterar esta opo nas propriedades do escopo de endereos IP no servidor DHCP e pronto. Na prxima reinicializao, os computadores da rede j receberiam o novo nmero IP do servidor DNS, sem que voc ou um nico membro da sua equipe tivesse que reconfigurar uma nica estao de trabalho. Bem mais simples, mais produtivo e menos propenso a erros. Isso o DHCP, um servio para configurao automtica do protocolo TCP/IP nos computadores e demais dispositivos da rede que utilizam o protocolo TCP/IP. Configurao feita de maneira automtica e centralizada. Em redes baseadas em TCP/IP, o DHCP reduz a complexidade e a quantidade de trabalho administrativo envolvido na configurao e reconfigurao do protocolo TCP/IP. Nota: A implementao do DHCP no Windows 2000 Server e no Windows Server 2003 baseada em padres definidos pelo IETF. Estes padres so definidos em documentos conhecidos como RFCs (Request

for Comments). As RFCs que definem os padres do DHCP so as seguintes: RFC 2131: Dynamic Host Configuration Protocol (substitui a RFC 1541) RFC 2132: DHCP Options and BOOTP Vendor Extensions As RFCs a seguir tambm podem ser teis para compreender como o DHCP usado com outros servios na rede: RFC 0951: The Bootstrap Protocol (BOOTP) RFC 1534: Interoperation Between DHCP and BOOTP RFC 1542: Clarifications and Extensions for the Bootstrap Protocol RFC 2136: Dynamic Updates in the Domain Name System (DNS UPDATE) RFC 2241: DHCP Options for Novell Directory Services RFC 2242: Netware/IP Domain Name and Information O site oficial, a partir da qual voc pode copiar o contedo integral das RFCs disponveis o seguinte: http://www.rfc-editor.org/ Termos utilizados no DHCP. O DHCP composto de diversos elementos. O servidor DHCP e os clientes DHCP. No servidor DHCP so criados escopos e definidas as configuraes que os clientes DHCP recebero. A seguir apresento uma srie de termos relacionados ao DHCP. Estes termos sero explicados em detalhes at o final deste captulo. Termos utilizados no DHCP: Servidor DHCP: um servidor com o Windows 2000 Server ou com o Windows Server 2003 onde foi instalado e configurado o servio DHCP. Aps a instalao de um servidor DHCP ele tem que ser autorizado no Active Directory, antes que ele possa, efetivamente, atender a

requisies de clientes. O procedimento de autorizao no Active Directory uma medida de segurana, para evitar que servidores DHCP sejam introduzidos na rede sem o conhecimento do administrador. O servidor DHCP no pode ser instalado em um computador com o Windows 2000 Professional. Cliente DHCP: qualquer dispositivo de rede capaz de obter as configuraes do TCP/IP a partir de um servidor DHCP. Por exemplo, uma estao de trabalho com o Windows 95/98/Me, Windows NT Workstation 4.0, Windows 2000 Professional, Windows XP, uma impressora com placa de rede habilitada ao DHCP e assim por diante. Escopo: Um escopo o intervalo consecutivo completo des endereos IP possveis para uma rede (por exemplo, a faixa de 10.10.10.100 a 10.10.10.150, na rede 10.10.10.0/255.255.255.0). Em geral, os escopos definem uma nica sub-rede fsica, na rede na qual sero oferecidos servios DHCP. Os escopos tambm fornecem o mtodo principal para que o servidor gerencie a distribuio e atribuio de endereos IP e outros parmetros de configurao para clientes na rede, tais como o Default Gateway, Servidor DNS e assim por diante.. Superescopo: Um superescopo um agrupamento administrativo de escopos que pode ser usado para oferecer suporte a vrias sub-redes IP lgicas na mesma sub-rede fsica. Os superescopos contm somente uma lista de escopos associados ou escopos filho que podem ser ativados em cojunto. Os superescopos no so usados para configurar outros detalhes sobre o uso de escopo. Para configurar a maioria das propriedades usadas em um superescopo, voc precisa configurar propriedades de cada escopo associado, individualmente. Por exemplo, se todos os computadores devem receber o mesmo nmero IP de Default Gateway, este nmero tem que ser configurado em cada escopo, individualmente. No tem como fazer esta configurao no Superescopo e todos os escopos (que compem o Superescopo), herdarem estas configuraes. Intervalo de excluso: Um intervalo de excluso uma seqncia limitada de endereos IP dentro de um escopo, excludo dos endereos que so fornecidos pelo DHCP. Os

intervalos de excluso asseguram que quaisquer endereos nesses intervalos no so oferecidos pelo servidor para clientes DHCP na sua rede. Por exemplo, dentro da faixa 10.10.10.100 a 10.10.10.150, na rede 10.10.10.0/255.255.255.0 de um determinado escopo, voc pode criar uma faixa de excluso de 10.10.10.120 a 10.10.10.130. Os endereos da faixa de excluso no sero utilizados pelo servidor DHCP para configurar os clientes DHCP. Pool de endereos: Aps definir um escopo DHCP e aplicar intervalos de excluso, os endereos remanescentes formam o pool de endereos disponveis dentro do escopo. Endereos em pool so qualificados para atribuio dinmica pelo servidor para clientes DHCP na sua rede. No nosso exemplo, onde temos o escopo com a faixa 10.10.10.100 a 10.10.10.150, com uma faixa de excluso de 10.10.10.120 a 10.10.10.130, o nosso pool de endereos formado pelos endereos de 10.10.10.100 a 10.10.10.119, mais os endereos de 10.10.10.131 a 10.10.10.150. Concesso: Uma concesso um perodo de tempo especificado por um servidor DHCP durante o qual um computador cliente pode usar um endereo IP que ele recebeu do servidor DHCP (diz-se atribudo pelo servidor DHCP). Uma concesso est ativa quando ela est sendo utilizada pelo cliente. Geralmente, o cliente precisa renovar sua atribuio de concesso de endereo com o servidor antes que ela expire. Uma concesso torna-se inativa quando ela expira ou excluda no servidor. A durao de uma concesso determina quando ela ir expirar e com que freqncia o cliente precisa renov-la no servidor. Reserva: Voc usa uma reserva para criar uma concesso de endereo permanente pelo servidor DHCP. As reservas asseguram que um dispositivo de hardware especificado na sub-rede sempre pode usar o mesmo endereo IP. A reserva criada associada ao endereo de Hardware da placa de rede, conhecido como MAC-Address. No servidor DHCP voc cria uma reserva, associando um endereo IP com um endereo MAC. Quando o computador (com o endereo MAC para o qual existe uma reserva) inicializado, ele entre em contato com o servidor DHCP. O servidor DHCP verifica que existe uma reserva para aquele

MAC-Address e configura o computador com o endereo IP associado ao Mac-address. Caso haja algum problema na placa de rede do computador e a placa tenha que ser substituda, mudar o MAC-Address e a reserva anterior ter que ser excluda e uma nova reserva ter que ser criada, utilzando, agora, o novo Mac-Address. Tipos de opo: Tipos de opo so outros parmetros de configurao do cliente que um servidor DHCP pode atribuir aos clientes. Por exemplo, algumas opes usadas com freqncia incluem endereos IP para gateways padro (roteadores), servidores WINS (Windows Internet Name System) e servidores DNS (Domain Name System). Geralmente, esses tipos de opo so ativados e configurados para cada escopo. O console DHCP tambm permite a voc configurar tipos de opo padro que so usados por todos os escopos adicionados e configurados no servidor. A maioria das opo predefinida atravs da RFC 2132, mas voc pode usar o console DHCP para definir e adicionar tipos de opo personalizados se necessrio. Classe de opes: Uma classe de opes uma forma do servidor gerenciar tipos de opo fornecidos aos clientes. Quando uma classe de opes adicionada ao servidor, possvel fornecer tipos de opo especficos de classe aos clientes dessa classe para suas configuraes. No Windows 2000, os computadores cliente tambm podem especificar uma ID de classe durante a comunicao com o servidor. Para clientes DHCP anteriores que no oferecem suporte ao processo de ID de classe, o servidor pode ser configurado com classes padro ao colocar clientes em uma classe. As classes de opes podem ser de dois tipos: classes de fornecedor e classes de usurio. Como o DHCP funciona O DHCP utiliza um modelo cliente/servidor. O administrador da rede instala e configura um ou mais servidores DHCP. As informaes de configurao escopos de endereos IP, reservas e outras opes de configurao so mantidas no banco de dados dos servidores DHCP. O banco de dados do servidor inclui os seguintes itens: Parmetros de configurao vlidos para todos os cliente na rede (nmero IP do Default Gateway, nmero IP de um

ou mais servidores DNS e assim por diante). Estas configuraes podem ser diferentes para cada escopo. Endereos IP vlidos mantidos em um pool para serem atribudos aos clientes alm de reservas de endereos IP. Durao das concesses oferecidas pelo servidor. A concesso define o perodo de tempo durante o qual o endereo IP atribudo pode ser utilizado pelo cliente. Conforme mostrarei mais adiante, o cliente tenta renovar esta concesso em perodos definidos, antes que a concesso expire. Com um servidor DHCP instalado e configurado na rede, os clientes com DHCP podem obter os endereos IP e parmetros de configurao relacionados dinamicamente sempre que forem inicializados. Os servidores DHCP fornecem essa configurao na forma de uma oferta de concesso de endereo para clientes solicitantes. Em um dos prximos itens descreverei como o processo completo de concesso, desde o momento que a estao de trabalho inicializada, at o momento que ela recebe todas as configuraes do servidor DHCP. Clientes suportados pelo DHCP O termo Cliente utilizado para descrever um computador ligado rede e que obtm as configuraes do protocolo TCP/IP a partir de um servidor DHCP. Qualquer computador com o Windows (qualquer verso) instalado ou outros dispositivos, capazes de se comunicar com o servidor DHCP e obter as configuraes do TCP/IP a partir do servidor DHCP, considerado um cliente DHCP. Os clientes DHCP podem ser quaisquer clientes baseados no Microsoft Windows ou outros clientes que oferecem suporte e so compatveis com o comportamento do cliente descrito no documento padro de DHCP, que a RFC 2132, publicado pela Internet Engineering Task Force - IETF. Configurando um cliente baseado no Windows para que seja um cliente do DHCP: Para configurar um computador com o Windows 2000 Server para ser um cliente DHCP, siga os passos indicados a seguir:

1. Faa o logon com a conta de Administrador ou com uma conta com permisso de administrador. 2. Abra o Painel de controle: Iniciar -> Configuraes -> Painel de controle. 3. Abra a opo Conexes dial-up e de rede. 4. Clique com o boto direito do mouse na conexo de rede local a ser configurada. No menu de opes que exibido clique em Propriedades. 5. Ser exibida a janela de propriedades da conexo de rede local. 6. Clique na opo Protocolo Internet (TCP/IP) para selecion-la. Clique no boto Propriedades, para abrir a janela de propriedades do protocolo TCP/IP. 7. Nesta janela voc pode configurar o endereo IP, a mscara de sub-rede e o Gateway padro, manualmente. Para isso basta marcar a opo Utilizar o seguinte endereo IP e informar os endereos desejados. 8. Para configurar o computador para utilizar um servidor DHCP, para obter as configuraes do TCP/IP automaticamente, marque a opo Obter um endereo IP automaticamente, conforme indicado na Figura a seguir. Marque tambm a opo Obter o endereo dos servidores DNS automaticamente, para obter o endereo IP do servidor DNS a partir das configuraes fornecidas pelo DHCP.

Configurando o cliente para usar o DHCP.

9. Clique em OK para fechar a janela de propriedades do TCP/IP. 10. Voc estar de volta janela de propriedades da conexo de rede local. 11. Clique em OK para fech-la e aplicar as alteraes efetudas. Ao clicar em OK, o cliente DHCP j tentar se conectar com um servidor DHCP e obter as configuraes do protocolo TCP/IP, a partir do servidor DHCP. O servidor DHCP d suporte as seguintes verses do Windows (e do MSDOS) com clientes DHCP: Windows Server 2003 (todas as edies) Windows 2000 Server (todas as edies) Windows XP Home e Professional

Windows NT (todas as verses lanadas) Windows Me Windows 98 Windows 95 Windows for Workgroups verso 3.11 (com o Microsoft 32 bit TCP/IP VxD instalado) Microsoft-Network Client verso 3.0 para MS-DOS (com o driver TCP/IP de modo real instalado) LAN Manager verso 2.2c Um recurso de nome esquisito: APIPA APIPA a abreviatura de Automatic Private IP Addressing. Esta uma nova funcionalidade que foi introduzida no Windows 98, est presente no Windows 2000, Windows XP e Windows Server 2003. Imagine um cliente com o protocolo TCP/IP instalado e configurado para obter as configuraes do protocolo TCP/IP a partir de um servidor DHCP. O cliente inicializado, porm no consegue se comunicar com um servidor DHCP. Neste situao, o Windows 2000 Server, usando o recurso APIPA, e automaticamente atribui um endereo IP da rede 169.254.0.0/255.255.0.0. Este um dos endereos especiais, reservados para uso em redes internas, ou seja, este no seria um endereo de rede, vlido na Internet. A seguir descrevo mais detalhes sobre a funcionalidade APIPA. No esquea: O nmero de rede usado pelo recurso APIPA o seguinte: 169.254.0.0/255.255.0.0 Nota: O recurso APIPA especialmente til para o caso de uma pequena rede, com 4 ou 5 computadores, onde no existe um servidor disponvel. Neste caso voc pode configurar todos os computadores para usarem o DHCP. Ao inicializar, os clientes no conseguiro localizar um servidor DHCP (j que no existe nenhum servidor na rede). Neste caso o recurso APIPA atribuir endereos da rede 169.254.0.0/255.255.0.0 para todos os computadores da rede. O resultado final que todos ficam configurados com endereos IP da mesma rede e podero se comunicar, compartilhando recursos entre si. uma boa soluo para um rede domstica ou de um pequeno escritrio.

Configurao automtica do cliente: Se os clientes estiverem configurados para usar um servidor DHCP (em vez de serem configurados manualmente com um endereo IP e outros parmetros), o servio do cliente DHCP entrar em funcionamento a cada vez que o computador for inicializado. O servio do cliente DHCP usa um processo de trs etapas para configurar o cliente com um endereo IP e outras informaes de configurao. O cliente DHCP tenta localizar um servidor DHCP e obter as configuraes do protocolo TCP/IP, a partir desse servidor. Se um servidor DHCP no puder ser encontrado, o cliente DHCP configura automaticamente seu endereo IP e mscara de sub-rede usando um endereo selecionado da rede classe B reservada, 169.254.0.0, com a mscara de sub-rede, 255.255.0.0 (recurso APIPA). O cliente DHCP ir fazer uma verificao na rede, para ver se o endereo que ele est se auto-atribuindo (usando o recurso APIPA) j no est em uso na rede. Se o endereo j estiver em uso ser caracterizado um conflito de endereos. Se um conflito for encontrado, o cliente selecionar outro endereo IP. A cada conflito de endereo, o cliente ir tentar novamente a configurao automtica aps 10 tentativas ou at que seja utilizado um endereo que no gere conflito. Depois de selecionar um endereo no intervalo de rede 169.254.0.0 que no est em uso, o cliente DHCP ir configurar a interface com esse endereo. O cliente continua a verificar se um servidor DHCP no est disponvel. Esta verificao feita a cada cinco minutos. Se um servidor DHCP for encontrado, o cliente abandonar as informaes configuradas automaticamente (endereo da rede 169.254.0.0/255.255.0.0). Em seguida, o cliente DHCP usar um endereo oferecido pelo servidor DHCP (e quaisquer outras informaes de opes de DHCP fornecidas) para atualizar as definies de configurao IP. Caso o cliente DHCP j tenha obtido previamente uma concesso de um servidor DHCP (durante uma inicializao anterior) e esta concesso ainda no tenha expirado, ocorrer a seguinte seqncia modificada de eventos, em relao a situao anterior:

Se a concesso de cliente ainda estiver vlida (no expirada) no momento da inicializao, o cliente ir tentar renovar a concesso com o servidor DHCP. Se durante a tentativa de renovao o cliente no conseguir localizar qualquer servidor DHCP, ele ir tentar efetuar o ping no gateway padro que ele recebeu do servidor DHCP anteriormente. Dependendo do sucesso ou falha do ping, o cliente DHCP proceder conforme o seguinte: 1. Se um ping para o gateway padro for bemsucedido, o cliente DHCP presumir que ainda est localizado na mesma rede em que obteve a concesso atual e continuar a usar a concesso. Por padro, o cliente ir tentar renovar a concesso quando 50 por cento do tempo de concesso atribudo tiver expirado. 2. Se uma solicitao de ping do gateway padro falhar, o cliente presumir que foi movido para uma rede em que no esto disponveis servidores DHCP, como uma rede domstica ou uma rede de uma pequena empresa, onde no est disponvel servidor DHCP (pode ser o exemplo de um vendedor conectando um notebook em um ponto da rede de um pequeno cliente). O cliente ir configurar automaticamente o endereo IP conforme descrito anteriormente. Uma vez que configurado automaticamente, o cliente continua a tentar localizar um servidor DHCP a cada cinco minutos e obter uma nova concesso de endereo IP e de demais configuraes. No esquea: APIPA isso. A sigla mais complicada do que a funcionalidade. Se voc est se preparando para os exames de Certificao do Windows 2000 Server, fique atento a esta funcionalidade. Normalmente aparecem questes envolvendo conhecimentos desta funcionalidade. Concluso Nesta parte do tutorial fiz a apresentao do servio de configurao

automtica de hosts TCP/IP: DHCP. Nas prximas partes deste tutorial, falarei sobre os demais servios do Windows 2000 Server e do Windows Server 2003, diretamente ligados ao TCP/IP, tais como o WINS e RRAS.

Introduo: Esta a dcima parte do Tutorial de TCP/IP. Na Parte 1 tratei dos aspectos bsicos do protocolo TCP/IP. Na Parte 2 falei sobre clculos binrios, um importante tpico para entender sobre redes, mscara de sub-rede e roteamento. Na Parte 3 falei sobre Classes de endereos, na Parte 4 fiz uma introduo ao roteamento e na Parte 5 apresentei mais alguns exemplos/anlises de como funciona o roteamento e na Parte 6 falei sobre a Tabela de Roteamento. Na Parte 7 tratei sobre a diviso de uma rede em sub-redes, conceito conhecido como subnetting. Na Parte 8 fiz uma apresentao de um dos servios mais utilizados pelo TCP/IP, que o Domain Name System: DNS. O DNS o servio de resoluo de nomes usado em todas as redes TCP/IP, inclusive pela Internet que, sem dvidas, a maior rede TCP/IP existente. Na Parte 9 fiz uma introduo ao servio Dynamic Host Configuration Protocol DHCP. Nesta dcima parte falarei sobre mais um servio de rede do Windows 2000 Server: WINS. O WINS a abreviatura de Windows Internet Name Services. um servio de resoluo de nomes. Mais um? O DNS j no um servio de resoluo de nomes? Sim para as duas questes. O WINS mais um servio de resoluo de nomes, que mantido por questes de compatibilidade com verses anteriores do Windows (95, 98, Me, 3.11) e de compatibilidade com aplicaes mais antigas, que ainda dependam da resoluo de nomes NetBios. Todo computador tem dois nomes: um chamado nome de hosts e um nome NetBios. Claro que estes nomes devem ser iguais. Por exemplo, o computador micro01.abc.com.br tem um nome de host micro01 e, por coerncia, o nome NetBios tambm deve ser micro01. Eu digo deve ser, porque em clientes mais antigos, tais como o Windows 95, Windows 98 ou Windows Me, o nome de host e o nome NetBios so configurados em diferentes opes do Windows e podem ser diferentes, embora no seja nada coerente configurar nomes diferentes. O WINS um servio que permite que os clientes faam o seu registro dinamicamente durante a inicializao. O cliente registra o seu nome NetBios e o respectivo endereo IP. Com isso o WINS vai criando uma base de nomes NetBios e os respectivos endereos podendo fornecer o servio de resoluo de nomes NetBios na rede. Conforme voc ver nesta introduo, o WINS apresenta um espao de nomes chamado plano (flat), sem domnio e sem nenhuma hierarquia (como acontecia no DNS, onde temos um espao denomes hierrquico).

Entendendo o que e como funciona o WINS O Windows Internet Name Service WINS um servio para resoluo de nomes. Mais um, pode perguntar o amigo leitor. Sim, alm do DNS o Windows 2000 Server (a exemplo do Windows Server 2003 e do NT Server 4.0) tambm fornece mais um servio para resoluo de nomes WINS. O WINS tem muitas diferenas em relao ao DNS. A primeira e fundamental delas que o WINS no forma um espao de nomes hierrquico como o DNS. O espao de nomes do WINS plano (flat). Em uma base de dados WINS fica registrado apenas o nome NetBios do computador e o respectivo nmero IP. Poderamos at dizer que o WINS est para a resoluo de nomes NetBios, assim como o DNS est para a resoluo de nomes FQDN. A grande questo que continua : Porque dois servios diferentes para a resoluo de nomes. O que acontece que at o NT Server 4.0, o WINS era o servio de resoluo de nomes mais utilizado e o suporte ao DNS s er obrigatrio se algum servio dependesse do DNS. Na poca do NT Server 4.0, com a maioria dos clientes baseados em Windows 95/98 (ou at mesmo Windows 3.11), o WINS era o servio de nomes mais utilizado. Porm a partir do Windows 2000 Server, com o Active Directory, o DNS passou a ser o servio preferencial (e obrigatrio para o caso do Active Directory), para resoluo de nomes. Porm da mudana do WINS para o DNS, obviamente que existe um perodo de transio. exatamente este perodo que estamos vivendo, ou seja, com clientes (Windows 95/98/Me) e aplicativos que ainda dependem do WINS. Por isso que, muito provavelmente, voc ainda precisar do WINS para dar suporte a estes clientes e aplicativos mais antigos, ainda dependentes do WINS. Com o WINS, sempre que um cliente configurado para utilizar um servidor WINS, inicializado, o cliente, automaticamente, registra o seu nome NetBios e o respectivo endereo IP, na base de dados do servidor configurado como Wins Primrio, nas propriedades do TCP/IP. Os nomes NetBios podem ter at 15 caracteres. Na verdade so 16 caracteres, mas o dcimo sexto reservado para uso do sistema operacional. O Windows 2000 Server registra, para um mesmo computador, o nome NetBios mais de uma vez, apenas mudando o dcimo sexto caractere. Este caractere indica um servio especfico no computador. Falarei mais

sobre estes nomes logo adiante. Algumas caractersticas do WINS O WINS apresenta as seguintes caractersticas: Um banco de dados dinmico de nome para endereo que mantm o suporte para resoluo e registro do nome NetBios de computador. O servio WINS instalado em um ou mais servidores da rede. O nmero IP do servidor WINS deve ser informado nos clientes, quer seja configurando manualmente as propriedades do protocolo TCP/IP do cliente, quer seja atravs do uso do DHCP para efetuar estas configuraes. Gerenciamento centralizado do banco de dados de nome para endereo, minorando a necessidade de gerenciamento de arquivos Lmhosts. O arquivo Lmhosts um arquivo de texto, na qual podem ser criadas entradas para resoluo de nomes NetBios. O arquivo Lmhosts fica na pasta systemroot\system32\drivers\etc, onde systemroot representa a pasta onde est instalado o Windows 2000 Server. Podemos dizer que o Lmhosts representa para o WINS, o mesmo que o arquivo hosts representa para o DNS. Na verdade, na pasta indicada anteriormente, gravado, por padro, um arquivo chamado Lmhosts.sam. O administrador, caso necessite utilizar um arquivo Lmhosts, pode renomear este arquivo (de Lmhosts.sam para Lmhosts) e criar as entradas necessrias. O uso do WINS fornece Reduo de trfego de broadcast, gerado para a reosluo de nome NetBios. Se os clientes dependentes do WINS, no estiverem configurados com o nmero IP de pelo menos um servidor WINS, eles iro gerar trfego de Broadcast na rede local, para tentar resolver nomes. Por padro os roteadores bloqueiam trfego de broadcast. Com isso, sem o uso do WINS, para clientes que dependem do WINS, no haveria como fazer a resoluo de nomes de servidores que esto em outras redes (redes remotas, ligadas atravs de links de WAN e roteadores). Atravs do mecanismo de replicao, possvel manter vrios servidores WINS, em diferentes redes, com o mesmo banco de dados, com informaes de todos os computadores da rede, mediante o uso de replicao.

possvel integrar o WINS com o DNS, para que o WINS possa respodner consultas s quais o DNS no conseguiu responder. Como saber se ainda devo utilizar o WINS? Pode parecer que o WINS tem muitas vantagens, ento deve realmente ser utilizado. No bem assim. S justificado o uso do WINS se houver verses anteriores do Windows ou aplicaes que dependam do WINS. Neste tem vou detalhar um pouco mais sobre em que situaes voc ter que utilizar o WINS. Antes de mostrar quando voc deve utilizar, vou descrever algumas situaes em que, com certeza, voc no precisar utilizar o WINS: A sua rede baseada apenas em servidores como Windows 2000 Server ou Windows Server 2003 e os clientes so baseados no Windows 2000 Professional ou Windows XP Professional. Com uma rede nesta situao (o que ainda deve ser muito raro), com certeza o DNS est instalado e funcionando. Nesta situao no existe nenhuma dependncia do WINS para a resoluo de nomes, uma vez que o DNS atende perfeitamente a necessidade de resoluo de nomes no cenrio proposto. Se voc tem uma pequena rede, com at 20 computadores, localizados em um nico escritrio, e a rede utilizada para compartilhamento de arquivos, impressoras e para aplicaes, no necessrio o uso do WINS. Mesmo que alguns clientes ou aplicaes necessitem de resoluo de nome NetBios, podero faz-lo, sem problemas, usando broadcast. Devido ao pequeno nmero de computadores, o trfego de broadcast, devido resoluo de nomes NetBios no representar um problema. Ao decidir se precisa usar o WINS, voc deve primeiro considerar as seguintes questes: Tenho computadores na rede que exigem o uso de nomes de NetBIOS? Lembre que todos os computadores em rede que estiverem sendo executados com um sistema operacional da Microsoft antigo, como as verses do MSDOS, Windows 95/98 ou Windows NT 3.51/4.0, exigem suporte a nomes de NetBIOS. O Windows 2000 o primeiro

sistema operacional da Microsoft que no requer mais a nomeao de NetBIOS. Portanto, os nomes de NetBIOS ainda podem ser exigidos na rede para fornecer servios de compartilhamento de arquivo e impresso bsicos e para oferecer suporte a diversas aplicaes existentes, as quais ainda dependam da resoluo de nomes NetBios. Por exemplo, um cliente baseado no Windows 95, depende do nome NetBios do servidor, para poder acessar uma pasta compartilhada no servidor. Voc no conseguir usar o nome DNS do sevidor, como por exemplo: \\srv01.abc.com\documentos, em clientes com verses antigas do Windows, conforme as descritas no incio deste pargrafo. Nestes clientes voc tem que usar o nome NetBios do servidor, como por exemplo: \\srv01\documentos. Todos os computadores na rede esto configurados e so capazes de oferecer suporte ao uso de outro tipo de nomeao de rede, como DNS (Domain Name System, sistema de nomes de domnios)? A nomeao de rede um servio vital para a localizao de computadores e recursos por toda a rede, mesmo quando os nomes NetBIOS no sejam exigidos. Antes de decidir eliminar o suporte a nomes de NetBIOS ou WINS, certifique-se de que todos os computadores e programas na rede so capazes de funcionar usando outro servio de nomes, como o DNS. Nesta etapa muito importante que voc tenha um inventrio de software atualizado. Com o inventrio de software voc tem condio de saber quais programas ainda dependem da resoluo de nomes NetBios. Os clientes WINS que estejam executando sob o Windows 2000, Windows Server 2003 ou Windows XP Professional, so configurados por padro para usar primeiro o DNS para resolver nomes com mais de 15 caracteres ou que utilizem pontos (".") dentro do nome. Para nomes com menos de 15 caracteres e que no utilizem pontos, o Windows primeira tenta resolver o nome usando WINS (se este estiver configurado), caso o WINS venha a falhar, o DNS ser utilizado na tentativa de resolver o nome. Clientes suportados pelo WINS: O WINS suportado por uma grande variedade de clientes, conforme descrito na lista a seguir:

Windows Server 2003 Windows 2000 Windows NT 3.5 ou superior Windows 95/98/Me Windows for Workgroups 3.11 MS-DOS com Cliente de Rede Microsoft verso 3 MS-DOS com LAN Manager verso 2.2c Clientes Linux e UNIX, rodando o servio Samba Nota: possvel criar entradas estticas no WINS (criadas manualmente), para clientes no suportados pelo WINS. Porm esta no uma prtica recomendada e somente deve ser utilizada quando for absolutamente necessria. No esquea: Fique atento a este ponto, ou seja, criao de entradas estticas. Por exemplo, se voc tem clientes antigos, como o Windows 95 ou Windows 98, que precisam acessar recursos em um servidor UNIX, o qual no pode ser cliente do WINS, ou seja, no capaz de registrar seu nome no WINS, o que fazer? Neste caso voc deve criar uma entrada esttica no WINS, para o nome do servidor UNIX e o respectivo endereo IP. Com isso, os clientes mais antigos podero acessar os recursos do servidor UNIX. Como funciona o WINS Os servidores WINS mantm uma base de dados com nomes dos clientes configurados para utilizar o WINS e os respectivos endereos IP. Quando uma estao de trabalho configurada para utilizar o WINS inicializada, ela registra o seu nome NetBios e o seu endereo IP no banco de dados do servidor WINS. A estao de trabalho utiliza o servidor WINS, cujo endereo IP est configurado como WINS Primrio, nas propriedades do protocolo TCP/IP (quer estas configuraes tenham sido feitas manualmente ou via DHCP). Quando o cliente desligado, o registro do nome e do endereo IP liberado no servidor WINS. Com isso a base de dados do WINS criada e mantida, dinamicamente. Os nomes NetBios podem ter, no mximo 15 caracteres. Um 16

caractere registrado pelo servio WINS. Este caractere adicional utilizado para indicar um determinado tipo de servio. Por exemplo, um servidor pode ter o seu nome registrado no WINS vrias vezes. O que diferencia um registro do outro o 16 caractere, o qual indica diferentes servios. O 16 caractere est no formato de nmero Hexadecimal. A seguir, a ttulo de exemplo, alguns dos valores possveis para o 16 caractere e o respectivo significado: nome_de_domnio[1Bh]: Registrado por cada controlador de domnio do Windows NT Server 4.0 que esteja executando como PDC (Primary Domain Controller) do respectivo domnio. Esse registro de nome usado para permitir a procura remota de domnios. Quando um servidor WINS consultado para obteno desse nome, ele retorna o endereo IP do computador que registrou o nome. nome_de_computador[1Fh]: Registrado pelo servio Network Dynamic Data Exchange (NetDDE, intercmbio dinmico de dados de rede). Ele aparecer somente se os servios NetDDE forem iniciados no computador. Voc pode exibir a lista de nomes (na verdade o mesmo nome, apenas diferenciando o 16 caractere) registrados para um determinado computador, utilizando o seguinte comando: nbtstat a nome_do_computador Por exemplo, o comando a seguir retorna a lista de nomes registrados no WINS, pelo computador chamado servidor: nbtstat a servidor Este comando retorna o resultado indicado a seguir:
C:\>nbtstat -a servidor Local Area Connection: Node IpAddress: [10.10.20.50] Scope Id: [] NetBIOS Remote Machine Name Table Name Type Status ------------------------------------------SERVIDOR <00> UNIQUE Registered SERVIDOR <20> UNIQUE Registered GROZA <00> GROUP Registered GROZA <1C> GROUP Registered GROZA <1B> UNIQUE Registered GROZA <1E> GROUP Registered

SERVIDOR <03> UNIQUE Registered GROZA <1D> UNIQUE Registered ..__MSBROWSE__. <01> GROUP Registered INet~Services <1C> GROUP Registered IS~SERVIDOR.... <00> UNIQUE Registered ADMINISTRADOR <03> UNIQUE Registered MAC Address = 00-00-21-CE-01-11

Para que as estaes de trabalho da rede possam utilizar o servidor WINS, basta informar o nmero IP do servidor WINS nas propriedades avanadas do protocolo TCP/IP. Uma vez configurado com o nmero IP do servidor WINS, o cliente, durante a inicializao, registra o seu nome NetBios, automaticamente com o servidor WINS. O cliente WINS utiliza diferentes mtodos para a resoluo de nomes NetBios. Estes diferentes mtodos so identificados como: b-node, pnode, m-node e h-node. A seguir descrevo a diferena entre estes mtodos: b-node: Um cliente configurado com este mtodo de resoluo utiliza somente broadcast para a resoluo de nomes NetBios. Se no houver um servidor WINS na rede ou o servidor WINS no estiver configurado nas propriedades avanadas do TCP/IP, este o mtodo padro utilizado. p-node: Utiliza somente o servidor WINS. Se o WINS falhar em resolver o nome, o cliente no tentar outro mtodo. m-node: Utiliza primeiro broadcast, se no conseguir resolver o nome usando broadcast, ento utiliza o servidor WINS. h-node: Primeiro utiliza o servidor WINS, somente se o WINS falhar que ser tentado o broadcast. Este mtodo reduz o trfego de broadcast na rede. o mtodo padro para clientes configurados para utilizar um servidor WINS. Concluso Nesta parte do tutorial fiz a apresentao do servio WINS. Nas prximas partes deste tutorial, falarei sobre os demais servios do Windows 2000 Server e do Windows Server 2003, diretamente ligados ao TCP/IP, tais como o RRAS e IPSec.

Introduo: Esta a dcima primeira parte do Tutorial de TCP/IP. Na Parte 1 tratei dos aspectos bsicos do protocolo TCP/IP. Na Parte 2 falei sobre clculos binrios, um importante tpico para entender sobre redes, mscara de sub-rede e roteamento. Na Parte 3 falei sobre Classes de endereos, na Parte 4 fiz uma introduo ao roteamento e na Parte 5 apresentei mais alguns exemplos/anlises de como funciona o roteamento e na Parte 6 falei sobre a Tabela de Roteamento. Na Parte 7 tratei sobre a diviso de uma rede em sub-redes, conceito conhecido como subnetting. Na Parte 8 fiz uma apresentao de um dos servios mais utilizados pelo TCP/IP, que o Domain Name System: DNS. O DNS o servio de resoluo de nomes usado em todas as redes TCP/IP, inclusive pela Internet que, sem dvidas, a maior rede TCP/IP existente. Na Parte 9 fiz uma introduo ao servio Dynamic Host Configuration Protocol DHCP. Na Parte 10 fiz uma introcuo ao servio Windows Internet Name Services WINS. Nesta dcima primeira parte falarei sobre o conceito de portas de comunicao. Um pouco sobre Pacotes e sobre os protocolos de Transporte: O TCP/IP, na verdade, formado por um grande conjunto de diferentes protocolos e servios de rede. O nome TCP/IP deriva dos dois protocolos mais comumente utilizados: IP: um protocolo de endereamento, um protocolo de rede. Eu me arriscaria a afirmar que as principais funes do protocolo IP so endereamento e roteamento, ou de uma maneira mais simples, fornecer uma maneira para identificar unicamente cada mquina da rede (endereo IP) e uma maneira de encontrar um caminho entre a origem e o destino (Roteamento). TCP: O TCP um protocolo de transporte e executa importantes funes para garantir que os dados sejam entregues de uma maneira confivel, ou seja, sem que os dados sejam corrompidos. Vamos imaginar uma situao prtica, onde voc deseja enviar um arquivo com cerca de 10 MB de um computador de origem para um computador de destino. Uma das primeiras coisas que tem que ser feitas encontrar uma rota, um caminho entre a origem e o destino. Este o papel do protocolo IP, mais especificamente da funo de roteamento. Uma vez encontrado o caminho, o prximo passo dividir o

arquivo de 10 MB em pacotes de tamanhos menores, os quais possam ser enviados pelos equipamentos de rede. Alm da diviso em pacotes menores, o TCP/IP tem que garantir que os pacotes sejam entregues sem erros e sem alteraes. Pode tambm acontecer de os pacotes chegarem fora de ordem. O TCP/IP tem que ser capaz de identificar a ordem correta e entregar os pacotes para o programa de destino, na ordem correta. Por exemplo, pode acontecer de o pacote nmero 10 chegar antes do pacote nmero 9. Neste caso o TCP/IP tem que aguardar a chegada do pacote nmero 9 e entreg-los na ordem correta. Pode tambm acontecer de serem perdidos pacotes durante o transporte. Neste caso, o TCP/IP tem que informar origem de que determinado pacote no foi recebido no tempo esperado e solicitar que este seja retransmitido. Todas estas funes garantir a integridade, a seqcia correta e solicitar retransmisso so exercidas pelo protocolo TCP Transmission Control Protocol. Alm do TCP existe tambm o UDP, o qual no faz todas estas verificae e utilizado por determinados servios. A seguir apresento uma descrio dos protocolos TCP e UDP e um estudo comparativo. TCP Uma Viso Geral O Transmission Control Protocol (TCP) , sem dvidas, um dos mais importantes protocolos da famlia TCP/IP. um padro definido na RFC 793, "Transmission Control Protocol (TCP)", que fornece um servio de entrega de pacotes confivel e orientado por conexo. Ser orientado por conexo, significa que todos os aplicativos baseados em TCP como protocolo de transporte, antes de iniciar a troca de dados, precisam estabelecer uma conexo. Na conexo so fornecidas, normalmente, informaes de logon, as quais identificam o usurio que est tentando estabelecer uma conexo. Um exemplo tpico so os aplicativos de FTP (Cute FTP, ES-FTP e assim por diante). Para que voc acesse um servidor de FTP, voc deve fornecer um nome de usurio e senha. Estes dados so utilizados para identificar e autenticar o usurio. Aps a identificao e autenticao, ser estabelecida uma sesso entre o cliente de FTP e o servidor de FTP. Algumas caractersticas do TCP: Garante a entrega de datagramas IP: Esta talvez seja a principal funo do TCP, ou seja, garantir que os pacotes sejam entregues sem alteraes, sem terem sido corrompidos e na ordem certa. O TCP tem uma srie de mecanismos para garantir esta entrega.

Executa a segmentao e reagrupamento de grandes blocos de dados enviados pelos programas e Garante o seqenciamento adequado e entrega ordenada de dados segmentados: Esta caracterstica refere-se a funo de dividir grandes arquivos em pacotes menores e transmitir cada pacote separadamente. Os pacotes podem ser enviados por caminhos diferentes e chegar fora de ordem. O TCP tem mecanismos para garantir que, no destino, os pacotes sejam ordenados corretamente, antes de serem entregues ao programa de destino. Verifica a integridade dos dados transmitidos usando clculos de soma de verificao: O TCP faz verificaes para garantir que os dados no foram alterados ou corrompidos durante o transporte entre a origem e o destino. Envia mensagens positivas dependendo do recebimento bem-sucedido dos dados. Ao usar confirmaes seletivas, tambm so enviadas confirmaes negativas para os dados que no foram recebidos: No destino, o TCP recebe os pacotes, verifica se esto OK e, em caso afirmativo, envia uma mensagem para a origem, confirmando cada pacote que foi recebido corretamente. Caso um pacote no tenha sido recebido ou tenha sido recebido com problemas, o TCP envia uma mensagem ao computador de origem, solicitando uma retransmisso do pacote. Com esse mecanismo, apenas pacotes com problemas tero que ser enviados, o que reduz o trfego na rede e agiliza o envio dos pacotes. Oferece um mtodo preferencial de transporte de programas que devem usar transmisso confivel de dados baseada em sesses, como bancos de dados cliente/servidor e programas de correio eletrnico: Ou seja, o TCP muito mais confivel do que o UDP (conforme mostrarei mais adiante) e indicado para programas e servios que dependam de uma entrega confivel de dados. Como o TCP funciona O TCP baseia-se na comunicao ponto a ponto entre dois hosts de rede. O TCP recebe os dados de programas e processa esses dados como um fluxo de bytes. Os bytes so agrupados em segmentos que o

TCP numera e seqncia para entrega. Estes segmentos so mais conhecidos como Pacotes. Antes que dois hosts TCP possam trocar dados, devem primeiro estabelecer uma sesso entre si. Uma sesso TCP inicializada atravs de um processo conhecido como um tree-way handshake (algo como Um Aperto de Mo Triplo). Esse processo sincroniza os nmeros de seqncia e oferece informaes de controle necessrias para estabelecer uma conexo virtual entre os dois hosts. De uma maneira simplificada, o processo de tree-way handshake, pode ser descrito atravs dos seguintes passos: O computador de origem solicita o estabelecimento de uma sesso com o computador de origem: Por exemplo, voc utiliza um programa de FTP (origem) para estabelecer uma sesso com um servidor de FTP (destino). O computador de destino recebe a requisio, verifica as credenciais enviadas (tais como as informaes de logon) e envia de volta para o cliente, informaes que sero utilizadas pelo cliente, para estabelecer efetivamente a sesso. As informaes enviadas nesta etapa so importantes, pois atravs destas informaes que o servidor ir identificar o cliente e liberar ou no o acesso. O computador de origem recebe as informaes de confirmao enviadas pelo servidor e envia estas confirmaes de volta ao servidor. O servidor recebe as informaes, verifica que elas esto corretas e estabelece a sesso. A partir deste momento, origem e destino esto autenticados e aptos a trocar informaes usando o protocolo TCP. Se por algum motivo, as informaes enviadas pela origem no estiverem corretas, a sesso no ser estabelecida e uma mensagem de erro ser enviada de volta ao computador de origem. Depois de concludo o tree-way handshake inicial, os segmentos so enviados e confirmados de forma seqencial entre os hosts remetente e destinatrio. Um processo de handshake semelhante usado pelo TCP antes de fechar a conexo para verificar se os dois hosts acabaram de enviar e receber todos os dados. Os segmentos TCP so encapsulados e enviados em datagramas IP,

conforme apresentado na figura a seguir, obtida na ajuda do Windows 2000 Server:

O conceito de Portas TCP Os programas TCP usam nmeros de porta reservados ou conhecidos, conforme apresentado na seguinte ilustrao, da ajuda do Windows 2000 Server:

Mas o que voc pode estar se perguntando : O que uma Porta TCP? Bem, sem entrar em detalhes tcnicos do TCP/IP, vou explicar, atravs de um exemplo prtico, o conceito de porta. Vamos imaginar um usurio, utilizando um computador com conexo Internet. Este usurio, pode, ao mesmo tempo, acessar um ou mais sites da Internet, usar o Outlook Express para ler suas mensagens de email, estar conectado a um servidor de FTP, usando um programa como o WS-FTP, para fazer download de um ou mais arquivos, estar jogando DOOM atravs da Internet. Todas as informaes que este usurio recebe esto chegando atravs de pacotes que chegam at a placa de Modem ou at o Modem ADSL, no caso de uma conexo rpida. A pergunta que naturalmente surge :

Como o sistema sabe para qual dos programas se destina cada um dos pacotes que esto chegando no computador? Por exemplo, chega um determinado pacote. para uma das janelas do Navegador, para o cliente de FTP, um comando do DOOM, referente a uma mensagem de email ou quem o destinatrio deste pacote? A resposta para esta questo o mecanismo de portas utilizado pelo TCP/IP. Cada programa trabalha com um protocolo/servio especfico, ao qual est associado um nmero de porta. Por exemplo, o servio de FTP, normalmente opera na porta 21 (na verdade usa duas portas, uma para controle e outra para o envio de dados). Todo pacote que for enviado do servidor FTP para o cliente, ter, alm dos dados que esto sendo enviados, uma srie de dados de controle, tais como o nmero do pacote, cdigo de validao dos dados e tambm o nmero da porta. Quando o pacote chega no seu computador, o sistema l no pacote o nmero da porta e sabe para quem encaminhar o pacote. Por exemplo, se voc est utilizando um cliente de FTP para fazer um download, os pacotes que chegarem, com informao de Porta = 21, sero encaminhados para o cliente de FTP, o qual ir ler o pacote e dar o destino apropriado. Outro exemplo, o protocolo HTTP, utilizado para o transporte de informaes de um servidor Web at o seu navegador, opera, por padro, na porta 80. Os pacotes que chegarem, destinados porta 80, sero encaminhados para o navegador. Se houver mais de uma janela do navegador aberta, cada uma acessando diferentes pginas, o sistema inclui informaes, alm da porta, capazes de identificar cada janela individualmente. Com isso, quando chega um pacote para a porta 80, o sistema identifica para qual das janelas do navegador se destina o referido pacote. Em resumo: O uso do conceito de portas, permite que vrios programas estejam em funcionamento, ao mesmo tempo, no mesmo computador, trocando informaes com um ou mais servios/servidores. O lado do servidor de cada programa que usa portas TCP escuta as mensagens que chegam no seu nmero de porta conhecido. Todos os nmeros de porta de servidor TCP menores que 1.024 (e alguns nmeros mais altos) so reservados e registrados pela Internet Assigned Numbers Authority (IANA, autoridade de nmeros atribudos da Internet). Por exemplo, o servio HTTP (servidor Web), instalado em um servidor, fica sempre escutando os pacotes que chegam ao servidor. Os pacotes destinados a porta 80, sero encaminhados pelo sistema operacional para processamento do servidor Web.

A tabela a seguir uma lista parcial de algumas portas de servidor TCP conhecidas usadas por programas baseados em TCP padro. Nmero de porta TCP 20 21 23 53 Descrio Servidor FTP (File Transfer Protocol, protocolo de transferncia de arquivo) (canal de dados) Servidor FTP (canal de controle) Servidor Telnet Transferncias de zona DNS (Domain Name System, sistema de nomes de domnios) Servidor da Web (HTTP, Hypertext Transfer Protocol, protocolo de transferncia de hipertexto) Servio de sesso de NetBIOS

80 139

Para obter uma lista atualizada e completa de todas as portas TCP conhecidas e registradas atualmente, consulte o seguinte endereo: http://www.iana.org/assignments/port-numbers UDP Uma Viso Geral O User Datagram Protocol (UDP) um padro TCP/IP e est definido pela RFC 768, "User Datagram Protocol (UDP)." O UDP usado por alguns programas em vez de TCP para o transporte rpido de dados entre hosts TCP/IP. Porm o UDP no fornece garantia de entrega e nem verificao de dados. De uma maneira simples, dizemos que o protocolo UDP manda os dados para o destino; se vai chegar ou se vai chegar corretamente, sem erros, s Deus sabe. Pode parecer estranho esta caracterstica do UPD, porm voc ver que em determinadas situaes, o fato de o UDP ser muito mais rpido (por no fazer verificaes e por no estabelecer sesses), o uso do UDP recomendado. O protocolo UDP fornece um servio de pacotes sem conexo que oferece entrega com base no melhor esforo, ou seja, UDP no garante a entrega ou verifica o seqenciamento para qualquer pacote. Um host de origem que precise de comunicao confivel deve usar TCP ou um programa que oferea seus prprios servios de seqenciamento e confirmao.

As mensagens UDP so encapsuladas e enviadas em datagramas IP, conforme apresentado na seguinte ilustrao, da ajuda do Windows 2000 Server:

Portas UDP O conceito de porta UDP idntico ao conceito de portas TCP, embora tecnicamente, existam diferenas na maneira como as portas so utilizadas em cada protocolo. A idia a mesma, por exemplo, se um usurio estiver utilizando vrios programas baseados em UDP, ao mesmo tempo, no seu computador, atravs do uso de portas, que o sistema operacional sabe a qual programa se destina cada pacote UDP que chega. O lado do servidor de cada programa que usa UDP escuta as mensagens que chegam no seu nmero de porta conhecido. Todos os nmeros de porta de servidor UDP menores que 1.024 (e alguns nmeros mais altos) so reservados e registrados pela Internet Assigned Numbers Authority (IANA, autoridade de nmeros atribudos da Internet). Cada porta de servidor UDP identificada por um nmero de porta reservado ou conhecido. A tabela a seguir mostra uma lista parcial de algumas portas de servidor UDP conhecidas usadas por programas baseados em UDP padro. Nmero de porta UDP 53 69 137 Descrio Consultas de nomes DNS (Domain Name System, sistema de nomes de domnios) Trivial File Transfer Protocol (TFTP) Servio de nomes de NetBIOS

138 161 520

Servio de datagrama de NetBIOS Simple Network Management Protocol (SNMP) Routing Information Protocol (RIP, protocolo de informaes de roteamento)

Para obter uma lista atualizada e completa de todas as portas TCP conhecidas e registradas atualmente, consulte o seguinte endereo: http://www.iana.org/assignments/port-numbers Comparando UDP e TCP: Geralmente, as diferenas na maneira como UDP e TCP entregam os dados assemelham-se s diferenas entre um telefonema e um carto postal. O TCP funciona como um telefonema, verificando se o destino est disponvel e pronto para a comunicao. O UDP funciona como um carto postal as mensagens so pequenas e a entrega provvel, mas nem sempre garantida. UDP geralmente usado por programas que transmitem pequenas quantidades de dados ao mesmo tempo ou tm necessidades em tempo real. Nessas situaes, a baixa sobrecarga do UDP (pois este no faz as verificaes que so feitas pela TCP) e as capacidades de broadcast do UDP (por exemplo, um datagrama, vrios destinatrios) so mais adequadas do que o TCP. O UDP contrasta diretamente com os servios e recursos oferecidos por TCP. A tabela a seguir compara as diferenas em como a comunicao TCP/IP tratada dependendo do uso de UDP ou TCP para o transporte de dados. UDP TCP

Servio orientado por conexo; Servio sem conexo; nenhuma uma sesso estabelecida entre sesso estabelecida entre os hosts. os hosts. UDP no garante ou confirma a entrega ou seqncia os dados. Os programas que usam UDP so responsveis por oferecer a confiabilidade necessria ao TCP garante a entrega atravs do uso de confirmaes e entrega seqenciada dos dados. Os programas que usam TCP tm garantia de transporte confivel de dados.

transporte de dados. UDP rpido, necessita de baixa sobrecarga e pode oferecer suporte comunicao ponto a ponto e ponto a vrios pontos. TCP mais lento, necessita de maior sobrecarga e pode oferecer suporte apenas comunicao ponto a ponto.

Tanto UDP quanto TCP usam portas para identificar as comunicaes para cada programa TCP/IP, conforme descrito anteriormente. Concluso Nesta parte do tutorial fiz uma apresentao dos protocolos TCP e UDP, os quais so responsveis pelo transporte de pacotes em redes baseadas no TCP/IP. Voc tambm aprendeu sobre as diferenas entre os protocolos TCP e UDP e sobre o conceito de porta de comunicao.

Introduo:

Esta a dcima segunda parte do Tutorial de TCP /IP. Na Parte 1 tratei dos aspectos bsicos do protocolo TCP /IP. Na Parte 2 falei sobre clculos binrios, um importante tpico para entender sobre redes, mscara de sub-rede e roteamento. Na Parte 3 falei sobre Classes de endereos, na Parte 4 fiz uma introduo ao roteamento e na Parte 5 apresentei mais alguns exemplos/anlises de como funciona o roteamento e na Parte 6 falei sobre a Tabela de Roteamento. Na Parte 7 tratei sobre a diviso de uma rede em sub-redes, conceito conhecido como subnetting. Na Parte 8 fiz uma apresentao de um dos servios mais utilizados pelo TCP /IP, que o Domain Name System: DNS. O DNS o servio de resoluo de nomes usado em todas as redes TCP /IP, inclusive pela Internet que, sem dvidas, a maior rede TCP /IP existente. Na Parte 9 fiz uma introduo ao servio Dynamic Host Configuration Protocol DHCP. Na Parte 10 fiz uma introcuo ao servio Windows Internet Name Services WINS. Na Parte 11 falei sobre os protocolos TCP , UDP e sobre portas de comunicao. Nesta dcima segunda parte, mostrarei como so efetuadas as confiuraes de portas em diversos aplicativos que voc utiliza e os comandos do Windows 2000/XP/2003 utilizados para exibir informaes sobre portas de comunicao. Exemplos de utilizao de portas: Embora provavelmente voc nunca tenha notado, voc utiliza portas de comunicao diversas vezes, como por exemplo ao acessar o seu email, ao fazer um download de um arquivo ou ao acessar uma pgina na Internet. Quando voc acessa um site na Internet, como por exemplo www.juliobattisti.com.br ou www.certificacoes.com.br ou www.uol.com.br, o navegador que voc est utilizando se comunica com a porta 80 no servidor HTTP, do site que est sendo acessado. Voc nem fica sabendo que est sendo utilizada a porta 80, pois esta a porta padro de comunicao, para o protocolo HTTP (Hypertext Transfer Protocol). Um detalhe interessante que no obrigatrio que seja utilizada a porta padro nmero 80, para a comunicao do HTTP. Por exemplo, o Administrador do IIS Internet Information Services, que o servidor Web da Microsoft, pode configurar um site para responder em uma porta diferente da Porta 80, conforme exemplo da Figura a seguir, onde o site foi configurado para responder na porta 470:

Quando for utilizada uma porta diferente da porta padro 80, o nmero da porta deve ser informada aps o endereo, colocandos o sinal de dois pontos (:) aps o endereo e o nmero da porta aps o sinal de dois pontos, como no exemplo a seguir: http://www.abc.com.br:470 Um outro exemplo do dia-a-dia, onde utilizamos o conceito de portas de comunicao, quando voc utiliza um cliente de FTP para se conectar a um servidor de FTP e fazer o download de um ou mais arquivos. Ao criar uma nova conexo de FTP, voc deve informar o nome do servidor (ftp.abc.com.br, ftp.123.com.br, ftp.juliobattisti.com.br e assim por diante) e definir a porta de comunicao. Os principais clientes de FTP, j sugerem como padro a porta 21, a qual utilizada pelo protocolo FTP. No exemplo da figura a seguir, mostro uma tela do cliente de FTP Cute FTP, o qual um dos mais utilizados. Nesta figura, mostro as configuraes para conexo com o meu servidor de ftp, onde utilizada a porta 21:

Outro uso muito comum nas redes da sua empresa a criao de sesses de programas emuladores de terminal com sistemas que rodam no Mainframe da empresa Apesar de terem anunciado a morte do Mainframe h algum tempo atrs, o fato que o Mainframe continua mais vivo do que nunca e com grande parte dos sistemas empresariais ainda rodando no Mainframe (veja uma das prximas colunas para um discusso completa sobre diretrios, modelos baseado no Mainframe e os novos modelos Web). A prxima figura descreve, resumidamente, como funciona a criao de sees, usando um software emulador de terminal, para acessar sistemas no Mainframe. Nas estaes de trabalho da rede da empresa, instalado um programa emulador de terminal. Estes progrmas, na maioria das vezes, emulam terminais no padro TN23270. Este um padro da IBM muito utilizado para acesso aplicaes que esto no Mainframe. O programa emulador de terminal faz a conexo com o Mainframe, o usurio informa o seu logon e senha e, de acordo com as permisses atribudas ao logon do usurio, so disponibilizados um ou mais sistemas. Quando o usurio vai criar uma sesso com o Mainframe, ele precisa informar o nome ou o nmero IP do Mainframe. Normalmente estas sees so feitas com base no servio de Telnet (Terminal Emulator Link Over Network), o qual baseado na porta de comunicao 23.

Na Figura a seguir, mostro o uso de um software emulador de terminal, no momento emque est sendo configurada uma nova seo, a qual ser estabelecida via Telnet, utilizando a porta 21:

Estas so apenas trs situaes bastante comuns acessar a Internet, fazer download de um servidor FTP e criar uma sesso com o Mainframe -, utilizados diariamente por usurios das redes de empresas de todo o mundo, onde so utilizados, na prtica, o conceito de Portas de Comunicao, do TCP /IP, conceito este que foi discutido na Parte 11

deste tutorial. A seguir apresentarei alguns comandos do Windows 2000/XP/2003, os quais exibem informaes sobre as portas de comunicao que esto sendo utilizadas no seu computador. Se voc no est conectado rede de uma empresa, poder utilizar estes comandos quando voc estiver conectado Internet, situao onde, certamente, estaro sendo utilizadas portas de comunicao. O comando netstat exibindo informaes sobre portas: O comando netstat est disponvel no Windows 2000, Windows XP e Windows Server 2003. Este comando exibe estatsticas do protocolo TCP /IP e as conexes atuais da rede TCP /IP. O comando netstat somente est disponvel se o protocolo TCP /IP estiver instalado. A seguir apresento alguns exemplos de utilizao do comando netstat e das opes de linha de comando disponveis. netstat a: O comando netstat com a opo a Exibe todas as portas de conexes e de escuta. Conexes de servidor normalmente no so mostradas. Ou seja, o comando mostra as portas de comunicao que esto na escuta, isto , que esto aptas a se comunicar. Na listagem a seguir mostro um exemplo do resultado da execuo do comando netstat a, em um computador com o nome micro01. O estado LISTENING significa, esperando, na escuta, ou seja, aceitando conexes na referida porta. O estado ESTABLISHED significa que existe uma conexo ativa na respectiva porta:

netstat e: Esta opo exibe estatsticas sobre a interface Ethernet do computador. A interface Ethernet ,

normalmente, a placa de rede local, que conecta o computador a rede da empresa. Esta opo pode ser combinada com a opo s, que ser descrita mais adiante. A seguir um exemplo da execuo do comando netstat e:

netstat n: Exibe endereos e nmeros de porta em forma numrica (em vez de tentar pesquisar o nome). A seguir um exemplo da execuo do comando netstat n:

netstat s: Exibe estatstica por protocolo. Por padro, so mostradas estatsticas para TCP, UDP, ICMP (Internet Control Message Protocol, protocolo de acesso s mensagens de Internet) e IP. A opo -p pode ser utilizada para especificar um ou mais protocolos para os quais devem ser exibidas estatsticas. A seguir um exemplo da execuo do comando netstat n:

netstat p: Mostra conexes para o protocolo especificado por protocolo, que pode ser tcp ou udp. Se utilizado com a opo -s para exibir estatsticas por protocolo, protocolo pode ser tcp, udp, icmp ou ip. . A seguir um exemplo da execuo do comando netstat p, onde so exibidas informaes somente sobre o protocolo ip: netstat s p ip:

netstat r: Exibe o contedo da tabela de roteamento do computador. Exibe os mesmos resultados do comando route print, discutido em uma das primeiras partes deste tutorial. A opo intervalo: Voc pode definir um intervalo, dentro do qual as estatsticas geradas pelo comando netstat

sero atualizadas. Por exemplo, voc pode definir que sejam exibidas as estatsticas do protocolo ICMP e que estas sejam atualizadas de cinco em cinco segundos. Ao especificar um intervalo, o comando ficar executando, indefinidamente e atualizando as estatsticas, dentro do intervalo definido. Para suspender a execuo do comando, basta pressionar Ctrl+C. O comando a seguir ir exibir as estatsticas do protocolo IP e ir atualiz-las a cada 10 segundos: netstat s p ip 10 Concluso Na Parte 11 do tutorial fiz uma apresentao dos protocolos TCP e UDP, os quais so responsveis pelo transporte de pacotes em redes baseadas no TCP/IP. Voc tambm aprendeu sobre as diferenas entre os protocolos TCP e UDP e sobre o conceito de porta de comunicao. Nesta parte do tutorial mostrei como o conceito de portas utilizado, na prtica, em diversas atividades do dia-a-dia, tais como o acesso a sites da Internet, conexo com um servidor de FTP e conexo com um servidor de Telnet. Na segunda parte do tutorial, voc aprendeu sobre o comando netstat.

Introduo: Esta a dcima terceira parte do Tutorial de TCP/IP. Na Parte 1 tratei dos aspectos bsicos do protocolo TCP/IP. Na Parte 2 falei sobre clculos binrios, um importante tpico para entender sobre redes, mscara de sub-rede e roteamento. Na Parte 3 falei sobre Classes de endereos, na Parte 4 fiz uma introduo ao roteamento e na Parte 5 apresentei mais alguns exemplos/anlises de como funciona o roteamento e na Parte 6 falei sobre a Tabela de Roteamento. Na Parte 7 tratei sobre a diviso de uma rede em sub-redes, conceito conhecido como subnetting. Na Parte 8 fiz uma apresentao de um dos servios mais utilizados pelo TCP/IP, que o Domain Name System: DNS. O DNS o servio de resoluo de nomes usado em todas as redes TCP/IP, inclusive pela Internet que, sem dvidas, a maior rede TCP/IP existente. Na Parte 9 fiz uma introduo ao servio Dynamic Host Configuration Protocol DHCP. Na Parte 10 fiz uma introcuo ao servio Windows Internet Name Services WINS. Na Parte 11 falei sobre os protocolos TCP, UDP e sobre portas de comunicao. Parte 12, mostrei como so efetuadas as confiuraes de portas em diversos aplicativos que voc utiliza e os comandos do Windows 2000/XP/2003 utilizados para exibir informaes sobre portas de comunicao. Nesta dcima terceira parte voc aprender sobre a instalao e configurao do protocolo TCP/IP no Windows 2000 Professional ou Server. Apresentarei, em detalhes, a configurao do protocolo TCP/IP no Windows 2000. Mostrarei como fazer as configuraes do protocolo TCP/IP, desde as configuraes bsicas de nmero IP e mscara de subrede (em computadores que usaro IP fixo, ao invs de obter as configuraes a partir de um servidor DHCP), at configuraes mais avanadas, tais como definir filtros para o protocolo TCP/IP. Instalao e configurao do protocolo TCP/IP muito pouco provvel que voc no tenha instalado o TCP/IP em seu computador, principalmente se ele faz parte da rede da empresa ou de uma rede domstica. Mas pode acontecer de o TCP/IP, por algun motivo, no ter sido instalado. O TCP/IP o protocolo padro no Windows 2000 e instalado durante a prpria instalao do Sistema Operacional. J no Windows Server 2003 o TCP/IP instalado, obrigatoriamente, e no pode ser desinstalado. Mas se por algum motivo, o TCP/IP tiver sido desinstalado no Windows 2000 ou no tiver sido instalado durante a instalao do Windows 2000, voc poder instal-lo quando for necessrio.

Neste tpico apresentarei diversos exemplos de configurao do protocolo TCP/IP. Em todos eles, voc ter que acessar as propriedades da interface de rede, na qual o TCP/IP ser configurado. importante salientar que voc pode ter mais de uma placa de rede instalada no Windows 2000. Neste caso, as configuraes do protocolo TCP/IP so separadas/individualizadas para cada placa/interface de rede. Voc deve utilizar um nmero IP diferente em cada interface. A seguir descrevo os passos para acessar as propriedades da interface de rede a ser configurada. Estes passos sero necessrios nos diversos exemplos deste tpico. Nos prximos exemplos, no repetirei todos os passos para acessar as propriedades da interface de rede a ser configurada. Ao invs disso, utilizarei somente a expresso: Acesse as propriedades de rede da interface a ser configurada. Muito bem, vamos aos exemplos prticos. Exemplo: Para acessar as propriedades da interface de rede a ser configurada, siga os passos indicados a seguir: 1. Faa o logon como Administrador ou com uma conta com permisso de administrador. 2. Abra o Painel de controle: Iniciar -> Configuraes -> Painel de controle. 3. D um clique duplo na opo Conexes dial-up e de rede. 4. Ser exibida uma janela com todas as conexes disponveis. Clique com o boto direito do mouse na conexo a ser configurada e, no menu de opes que exibido, clique em Propriedades. 5. Pronto, ser exibida a janela de propriedades da conexo, na qual voc poder fazer diversas configuraes. No prximo exemplo mostrarei como instalar o protocolo TCP/IP, caso este tenha sido desinstalado ou no tenha sido instalado durante a instalao do Windows 2000. Exemplo: Para instalar o protocolo TCP/IP, siga os passos indicados a seguir: 1. Acesse as propriedades de rede da interface a ser configurada. 2. Na janela de propriedades da conexo d um clique em Instalar... 3. Ser aberta a janela para que voc selecione o tipo de componente de rede a ser instalado. Selecione a opo Protocolo, conforme indicado na Figura a seguir:

Selecionando o tipo de componente a ser instalado.

4. Aps ter selecionado a opo Protocolo clique em Adicionar... 5. Em poucos instantes ser exibida a lista de protocolos disponveis. 6. Marque a opo TCP/IP e clique em OK. 7. O TCP/IP ser instalado e voc estar de volta guia Geral de configuraes da interface de rede. Observe que o TCP/IP j exibido na lista de componentes instalados. Clique em OK para fechar a janela de propriedades da interface de rede. O prximo passo configurar o protocolo TCP/IP. No exemplo a seguir, mostrarei como configurar as diversas opes do protocolo TCP/IP. importante lembrar que, se voc tiver mais de uma placa de rede instalada, as configuraes do TCP/IP sero separadas para cada placa (diz-se cada interface). Nota: Para uma descrio detalhada das opes de configurao, tais como nmero IP, mscara de sub-rede, servidor DNS, servidor WINS, Default Gateway e assim por diante, consulte o Captulo 2. Exemplo: Para configurar o protocolo TCP/IP, siga os passos indicados a seguir: 1. Acesse as propriedades de rede da interface a ser configurada. 2. Na janela de propriedades da conexo d um clique em Protocolo Internet (TCP/IP) para selecion-lo. 3. Clique em Propriedades. Nesta janela voc deve informar se as configuraes do TCP/IP sero obtidas a partir de um servidor DHCP (Obter um endereo IP automaticamente) ou se estas configuraes sero informadas manualmente (Usar o seguinte endereo IP). Ao marcar a opo Usar o seguinte endereo IP, voc dever informar um

nmero IP a ser utilizado, a mscara de sub-rede, o nmero IP do Gateway padro e o nmero IP de um ou dois servidores DNS, conforme exemplo da Figura a seguir:

Configurando o TCP/IP manualmente.

4. Alm das configuraes bsicas, da tela da Figura anterior, voc pode configurar uma srie de opes avanadas do protocolo TCP/IP. Para acessar a janela de configuraes avanadas, clique em Avanado... Ser aberta a janela de configuraes avanadas, com a guia Configuraes IP selecionada por padro, conforme indicado na Figura a seguir:

Janela para cofiguraes IP.

5. possvel ter mais de um endereo IP associado com a mesma placa de rede. O que no permitido ter o mesmo nmero IP, associado a duas ou mais placas de rede. Para adicionar um novo nmero IP, clique em Adicionar..., abaixo da lista de endereos IP configurados. Ser aberta a janela Endereo TCP/IP (muito mal traduzida por sinal). Para adicionar um novo endereo basta digit-lo no campo IP, digite a respectiva mscara de sub-rede e clique em Adicionar. Voc estar de volta janela de configuraes avanadas do TCP/IP e o novo endereo IP j ser exibido na lista. A partir de agora, a nova interface est com dois endereos IP. Voc pode adicionar mais endereos IP, utilizando o boto Adicionar... e preenchendo as informaes necessrias. 6. Voc tambm pode ter mais de um default gateway configurado. Neste caso, quando o primeiro default gateway da lista estiver indisponvel, o TCP/IP tenta utilizar o segundo e assim por diante. Para adicionar mais um default gateway, clique em Adcionar..., abaixo da lista de default gateways configurados. Ser aberta a janela para que voc informo o nmero IP do novo default gateway e o respectivo custo, em nmero de hopes. Se voc quer que um default gateway seja

utilizado somente como contingncia, no caso de nenhum outro gateway estar disponvel, configure-o com um valor elevado para o custo. Digite as informaes do novo gateway e clique em OK. Pronto, o novo nmero j ser exibido na guia de Configuraes IP. 7. Clique na guia DNS. Sero exibidas as opes indicadas na Figura a seguir:

A guia para configurao do DNS.

8. Nesta guia voc informa o endereo IP de um ou mais servidores DNS. Para acrescentar novos servidores, basta utilizar o boto Adicionar... Voc pode alterar a ordem dos servidores DNS na lista, clicando nos botes com o desenho de uma flecha para cima ou para baixo. importante descrever como o Windows utiliza a lista de servidores DNS. As consultas so enviadas para o primeiro servidor da lista. Se este servidor no conseguir responder a consulta, esta no ser enviada para os demais servidores da lista. O segundo servidor da lista somente ser pesquisado se o primeiro servidor estiver off-line e no estiver respondendo; o terceiro servidor da lista somente ser pesquisado se o primeiro e o segundo servidor DNS estiverem off-line e

no estiverem respondendo e assim por diante. Nesta guia voc tambm pode configurar as seguintes opes: Acrescentar sufixo DNS primrio e especficos de cada conexo: O sufixo DNS configurado na guia Identificao de rede, das propriedades do meu Computador. Por exemplo, um computador com o nome micro01.abc.com, tem como sufixo DNS abc.com. Esta opo especifica que a resoluo de nomes no qualificados (por exemplo micro01.abc.com um FQDN, ou seja, um nome completamente qualificado, j micro01 um nome no qualificado, ou seja, sem o domnio como sufixo) usados neste computador seja limitada aos sufixos do domnio do sufixo primrio e todos os sufixos especficos da conexo. Os sufixos especficos da conexo so configurados em Sufixo DNS para esta conexo. O sufixo DNS primrio configurado clicando em Propriedades, na guia Identificao de rede (disponvel em Sistema, no Painel de controle). Por exemplo, se o sufixo do seu domnio primrio for abc.com e voc digitar ping xyz em um prompt de comando, o Windows 2000 consultar xyz.abc.com. Se voc tambm configurar um nome de domnio especfico de conexo em uma das suas conexes para vendas.abc.com, o Windows 2000 consultar xyz.abc.com e xyz.vendas.abc.com. A lista de domnios que ser pesquisada, quando voc digita um nome no qualificado, tambm definida nesta guia, conforme ser explicado logo a seguir. Acrescentar sufixos pai do sufixo DNS primrio: Especifica se a resoluo de nomes no qualificados usados neste computador inclui os sufixos pai do sufixo DNS primrio e o domnio de segundo nvel. O sufixo DNS primrio configurado clicando em Propriedades na guia Identificao de rede (disponvel em Sistema, no Painel de controle). Por exemplo, se o sufixo DNS primrio for vendas. abc.com e voc digitar ping xyz no prompt de comando, o Windows 2000 tambm consultar vendas.abc.com e abc.com. Acrescentar estes sufixos DNS (em ordem): Especifica que a resoluo de nomes no qualificados usados neste computador seja limitada aos sufixos do domnio listados em Acrescentar estes sufixos DNS. Os sufixos DNS especficos da conexo e primrios no sero usados para

resoluo de nomes no qualificados. Ao marcar esta opo, voc deve especificar uma lista de sufixos que dever ser utilizada, para a tentativa de resoluo de nomes no qualificados. Por exemplo, se nesta lista voc acrescentar os seguintes sufixos: sul.vendas.abc.com, vendas.abc.com e abc.com, nesta ordem, ao digitar ping xyz, o Windows tentar localizar este host, utilizando os seguintes nomes: xyz.sul.vendas.abc.com, xyz.vendas.abc.com e xyz.abc.com. Para acrescentar um novo sufixo basta marcar esta opo e utilizar o boto Adicionar. Voc tambm pode alterar a ordem dos sufixos clicando nos botes com a seta para cima e seta para baixo. Para remover um sufixo basta selecion-lo na lista e clicar em Remover. Registrar endereos desta conexo no DNS: Especifica que o computador tente o registro dinmico no DNS, dos endereos IP desta conexo com o nome completo deste computador, como especificado na guia Identificao de rede (disponvel em Sistema no Painel de Controle). Usar o sufixo DNS desta conexo no registro do DNS: Especifica se a atualizao dinmica do DNS ser usada para registrar os endereos IP e o nome de domnio especfico desta conexo. O nome DNS especfico desta conexo a concatenao do nome do computador (que o primeiro rtulo do nome completo do computador) e o sufixo DNS desta conexo. O nome completo do computador especificado na guia Identificao de rede (disponvel em Sistema, no Painel de controle). Se a caixa de seleo Registrar os endereos desta conexo no DNS estiver selecionada, o registro uma adio ao registro do DNS do nome completo do computador. 8. Defina as configuraes desejadas e clique na guia WINS. Sero exibidas as opes indicadas na Figura a seguir:

A guia para configurao do WINS.

9. Nesta guia voc informa o endereo IP de um ou mais servidores WINS. Para acrescentar novos servidores, basta utilizar o boto Adicionar... Voc pode alterar a ordem dos servidores WINS na lista, clicando nos botes com o desenho de uma flecha para cima ou para baixo. importante descrever como o Windows utiliza a lista de servidores WINS. As consultas so enviadas para o primeiro servidor da lista. Se este servidor no conseguir responder a consulta, esta no ser enviada para os demais servidores da lista. O segundo servidor da lista somente ser pesquisado se o primeiro servidor estiver off-line e no estiver respondendo; o terceiro servidor da lista somente ser pesquisado se o primeiro e o segundo servidor WINS estiverem off-line e no estiverem respondendo e assim por diante. Nesta guia voc tambm pode configurar as seguintes opes: Ativar exame de LMHOSTS: Especifica se ser usado um arquivo Lmhosts para a resoluo de nomes NetBIOS. O arquivo Lmhosts ser usado para resolver os nomes de NetBIOS de computadores remotos para um endereo IP.

Clique em Importar LMHOSTS para importar um arquivo para o arquivo Lmhosts. Ativar NetBios sobre TCP/IP: Especifica que esta conexo de rede usa o NetBIOS sobre TCP/IP (NetBT) e o WINS. Quando um endereo IP configurado manualmente, esta opo selecionada por padro para ativar o NetBIOS e o uso do WINS para este computador. Essa configurao ser necessria se este computador se comunicar pelo nome com computadores que usam verses anteriores do Windows (Windows 95/98, NT 4.0, etc.). Antes de alterar esta opo, verifique se no necessrio usar nomes de NetBIOS para esta conexo de rede. Por exemplo, se voc se comunicar somente com outros computadores que estejam executando o Windows 2000 ou computadores na Internet que usam o DNS. Desativar NetBios sobre TCP/IP: Desativa o uso de NetBios sobre TCP/IP. Pode ser utilizada em uma rede baseada apenas em verses do Windows tais como Windows 2000, Windows XP e Windows Server 2003. Usar a configurao NetBios do servidor DHCP: Especifica que esta conexo de rede obtenha suas configuraes de NetBIOS sobre TCP/IP (NetBT) e de WINS, a partir de um servidor DHCP. Quando um endereo IP obtido automaticamente, esta opo fica selecionada por padro de forma que o computador usa as definies de configurao do NetBT conforme elas forem sendo fornecidas opcionalmente pelo servidor DHCP quando ele obtiver um endereo IP usando o DHCP. Voc deve selecionar esta opo somente se o servidor DHCP estiver configurado para fornecer todas as opes de configurao de WINS para os clientes. 10. Defina as configuraes desejadas e clique na guia Opes. Sero exibidas as opes indicadas na Figura a seguir:

A guia para configurao Opes.

11. Nesta janela voc pode configurar se a interface que est sendo configurada deve ou no utilizar uma das diretivas de IPSec habilitadas (caso haja alguma diretiva habilitada) e tambm pode definir filtros com base no protocolo e na porta de comunicao. Para habilitar o uso de uma das diretivas do IPSec, clique em Segurana de IP para marcar esta opo e em seguida clique em Propriedades. 12. Ser aberta a janela Segurana de IP. Para habilitar o IPSec clique em Usar esta diretiva de segurana IP e, na lista de diretivas, selecione a diretiva a ser aplicada, conforme exemplo da Figura a seguir e clique em OK. Voc estar e volta janela de propriedades Avanadas do TCP/IP.

Selecionando uma diretiva de IPSec.

13. Para definir um filtro clique em Filtragem de TCP/IP e em seguida no boto Propriedades. Ser exibida a janela para definio de filtros. Nesta janela voc tem as seguintes opes: Ativar filtragem de TCP/IP (todos os adaptadores): Ao marcar esta opo voc especifica se a filtragem de TCP/IP ser ativada para todos os adaptadores. A filtragem de TCP/IP especifica os tipos de trfego de entrada destinados para este computador que sero permitidos. Para configurar a filtragem de TCP/IP, selecione esta caixa de seleo e especifique os tipos de trfego TCP/IP permitidos para todos os adaptadores neste computador em termos de protocolos IP, portas TCP e portas UDP. Voc deve ter cuidado ao usar os filtros, para no desabilitar portas que sejam necessrias para os servios bsicos de rede, tais como DNS, DHCP, compartilhamento de pastas e impressoras e assim por diante. 14. Vamos aplicar um exemplo de filtro. O FTP usa o protocolo TCP na porta 21. Para o nosso exemplo, para as portas TCP, vamos permitir apenas o uso do FTP na porta 21. Marque a opo Ativar filtragem de TCP/IP (todos os adaptadores). Em seguida marque a opo Permitir somente nas portas TCP. Clique em Adicionar... Ser exibida a janela adicionar filtro, para que voc adicione o nmero da porta. Digite 21, conforme indicado na Figura a seguir e clique em OK.

Informando o nmero da porta.

15. Voc estar de volta janela Filtragem de TCP/IP, com a porta TCP/21 j adicionada, conforme indicado na Figura a seguir:

A janela Filtragem de TCP/IP.

16. Clique em OK. Voc estar de volta a janela de configuraes avanadas do TCP/IP. Clique em OK para fech-la. 17. Voc estar de volta janela de configuraes da interface de rede. Clique em Fechar para fech-la. Muito bem, voc acabou de ver um exemplo de como configurar o protocolo TCP/IP. Concluso Na Parte 11 do tutorial fiz uma apresentao dos protocolos TCP e UDP, os quais so responsveis pelo transporte de pacotes em redes baseadas no TCP/IP. Voc tambm aprendeu sobre as diferenas entre os protocolos TCP e UDP e sobre o conceito de porta de comunicao. Na Parte 12 mostrei alguns exemplos prticos de utilizao de portas e o comando netstat e suas vrias opes. Nesta parte do tutorial mostrei como instalar e configurar o protocolo TCP/IP. Voc aprendeu desde as configuraes bsicas, at configuraes avanadas, tais como WINS, DNHS, IPSec e Filtros IP. Nesta parte do tutorial mostrei como o conceito de portas utilizado, na prtica, em diversas atividades do dia-a-dia, tais como o acesso a sites da Internet, conexo com um servidor de FTP e conexo com um servidor de Telnet. Na segunda parte do tutorial, voc aprendeu sobre o comando netstat.

Tutorial de TCP/IP Parte 14 Protocolos de Roteamento Dinmico RIP


Introduo: Esta a dcima quarta parte do Tutorial de TCP/IP. Na Parte 1 tratei dos aspectos bsicos do protocolo TCP/IP. Na Parte 2 falei sobre clculos binrios, um importante tpico para entender sobre redes, mscara de sub-rede e roteamento. Na Parte 3 falei sobre Classes de endereos, na Parte 4 fiz uma introduo ao roteamento e na Parte 5 apresentei mais alguns exemplos/anlises de como funciona o roteamento e na Parte 6 falei sobre a Tabela de Roteamento. Na Parte 7 tratei sobre a diviso de uma rede em sub-redes, conceito conhecido como subnetting. Na Parte 8 fiz uma apresentao de um dos servios mais utilizados pelo TCP/IP, que o Domain Name System: DNS. O DNS o servio de resoluo de nomes usado em todas as redes TCP/IP, inclusive pela Internet que, sem dvidas, a maior rede TCP/IP existente. Na Parte 9 fiz uma introduo ao servio Dynamic Host Configuration Protocol DHCP. Na Parte 10 fiz uma introduo ao servio Windows Internet Name Services WINS. Na Parte 11 falei sobre os protocolos TCP, UDP e sobre portas de comunicao. Parte 12, mostrei como so efetuadas as configuraes de portas em diversos aplicativos que voc utiliza e os comandos do Windows 2000/XP/2003 utilizados para exibir informaes sobre portas de comunicao. Na Parte 13 voc aprendeu sobre a instalao e configurao do protocolo TCP/IP no Windows 2000 Professional ou Server. Apresentei, em detalhes, a configurao do protocolo TCP/IP no Windows 2000. Mostrei como fazer as configuraes do protocolo TCP/IP, desde as configuraes bsicas de nmero IP e mscara de subrede (em computadores que usaro IP fixo, ao invs de obter as configuraes a partir de um servidor DHCP), at configuraes mais avanadas, tais como definir filtros para o protocolo TCP/IP. Nas Partes 4, 5 e 6 falei sobre Roteamento e sobre como todo o processo de roteamento baseado em Tabelas de Roteamento, existentes em cada roteador da rede. As tabelas de roteamento podem ser criadas manualmente, onde o administrador de cada roteador executa comandos para criar cada uma das rotas necessrias. Essa abordagem s possvel para redes extremamente pequenas, com um nmero de rotas pequeno e quando as rotas no mudam muito freqentemente. Para redes maiores, a nica abordagem possvel o

uso dos chamados protocolos de Roteamento dinmico. Estes protocolos, uma vez instalados e configurados nos roteadores, permitem que os roteadores troquem informaes entre si, periodicamente e que montem as tabelas de roteamento, dinamicamente, com base nestas informaes. Esta abordagem bem mais indicada para grandes redes, pois os prprios protocolos de roteamento dinmicos, se encarregam de manter as tabelas de roteamento sempre atualizadas, alterando rotas quando necessrio e excluindo rotas que apresentam problemas, tais como rotas onde o link de comunicao est fora do ar. Nesta parte do tutorial de TCP/IP, iniciarei a apresentao dos protocolos de roteamento dinmico, sendo que iremos concentrar nossos estudos, nos dois principais protocolos: RIP Routing Internet Protocol OSPF Open Shorted Path First Vou apresentar os conceitos bsicos de cada protocolo, para que o amigo leitor possa ter uma boa idia de como o funcionamento de cada um destes protocolos. RIP Routing Internet Protocol: Existem diferentes maneiras para criar as tabelas de roteamento. A primeira maneira criar as tabelas manualmente. O administrador utiliza comandos (como o comando route add no Windows 2000 Server) para adicionar cada rota manualmente, em cada roteador da rede. Este mtodo somente indicado para pequenas redes, onde existe um pequeno nmero de roteadores, com poucas rotas e rotas que no so alteradas freqentemente. Para redes maiores, com muitas rotas e muitos roteadores, este mtodo simplesmente impraticvel. A simples adio de uma nova rota, exigiria a alterao das tabelas de roteamento em todos os roteadores da rede. Outro problema com a criao manual das tabelas de roteamento, que no existe a deteco automtica de perda de rotas quando um roteador fica indisponvel ou quando um link para uma determinada rota, est com problemas. Nestas situaes, os demais roteadores da rede continuaro a encaminhar pacotes para o roteador com problemas ou atravs do link que est fora do ar, porque a tabela de roteamento est configurada para enviar pacotes para a referida rota, quer ela esteja disponvel ou no. Nesta caso uma simples indisponibilidade de um

roteador exigiria uma reconfigurao manual em todas as tabelas de roteamento. Quando o roteador voltar a estar disponvel, uma nova reconfigurao das tabelas de roteamento teria que ser feita. Com estes exemplos possvel ver que a configurao manual das tabelas de roteamento um mtodo que somente se aplica a pequenas redes, com um nmero reduzido de roteadores e de rotas. Outra maneira de criar as tabelas de roteamento dinamicamente. Com este mtodo, os roteadores trocam informaes entre si, periodicamente e atualizam suas tabelas de roteamento, com base nestas informaes trocadas entre os roteadores. O mtodo dinmico exige bem menos manuteno (interveno manual dos administradores da rede) e pode ser utilizado em grandes redes, como por exemplo a Internet. A atualizao dinmica das tabelas de roteamento possvel graas a utilizao de protocolos de roteamento dinmicos. Os protocolos mais conhecidos, para a criao automtica de tabelas de roteamento so os seguintes: Routing Information Protocol (RIP) Open Shortest Path First (OSPF) Nota: Se voc encontrar estes protocolos traduzidos, em algum livro ou revista, no mnimo, faa um biquinho para quem traduziu. Eu j vi uma maravilha de traduo para OSPF: Abrindo primeiro o caminho mais curto. Deus nos ajude. Tudo a ver com roteamento. Com o uso dos protocolos de roteamento dinmico, os roteadores trocam informaes entre si, periodicamente e aprendem sobre a rede e sobre as rotas disponveis. Ou seja, vo descobrindo as rotas existentes e gravando estas rotas em suas tabelas de roteamento. Se um roteador ficar off-line, em pouco tempo os demais roteadores sabero que este roteador est off-line e atualizaro, automaticamente, suas tabelas de roteamento. Com isso cada roteador aprende novos caminhos, j considerando a indisponibilidade do roteador com problemas, e repassam estas informaes para os demais roteadores. Esta possibilidade no existe quando as tabelas so criadas manualmente, conforme descrito anteriormente. Evidentemente que para redes maiores, a nica alternativa vivel o uso de um dos protocolos de roteamento dinmico, ou at mesmo uma combinao de ambos, conforme descreverei mais adiante.

Como funcionam os protocolos de roteamento dinmico O protocolo RIP baseado em uma algoritmo conhecido como distancevector (distncia vetorial). Este algoritmo baseado na distncia entre dois roteadores, sendo que esta distncia medida em termos do nmero de roteadores existentes no caminho entre os dois roteadores tambm conhecido como hopes. J o protocolo OSPF utiliza um algoritmo baseado em propagao de rotas entre roteadores denominados como adjacentes (veja o conceito de formao de adjacncias em uma das prximas partes deste tutorial), conforme descreverei mais adiante. As principais diferenas entre os protocolos RIP e OSPF so referentes as seguintes caractersticas: Quais informaes sobre rotas so compartilhadas entre os roteadores. Quando um roteador apresenta problemas, a rede deve ser capaz de reconfigurar-se, para definir novas rotas, j baseadas na nova topologia da rede, sem o roteador com problemas. O tempo que a rede leva para reconfigurar-se conhecido como convergncia. Um dos principais problemas do protocolo RIP o alto tempo de convergncia em relao ao OSPF, que tem um tempo de convergncia bem menor. Como as informaes sobre rotas e sobre a topologia da rede so compartilhadas entre os roteadores: Este aspecto tambm influencia o tempo de convergncia da rede e apresenta diferenas significativas no RIP e no OSPF. A seguir apresento mais detalhes sobre o protocolo RIP. O protocolo OSPF ser abordado em uma das prximas partes deste tutorial. RIP - Routing Information Protocol Neste tpico voc entender como funciona o RIP, como as informaes so trocadas entre os roteadores que usam RIP, quais as diferenas entre RIP verso 1 (RIP v1) e RIP verso 2 (RIP v2) e como configurar o RIP no RRAS. Uma introduo ao RIP O protocolo RIP baseado em uma troca de mensagens entre os roteadores que utilizam o protocolo RIP. Cada mensagem do RIP contm uma srie de informaes sobre as rotas que o roteador conhece (com

base na sua tabela de roteamento atual) e a distncia do roteador para cada uma das rotas. O roteador que recebe as mensagens, com base na sua distncia para o roteador que enviou a mensagem, calcula a distncia para as demais redes e grava estas informaes em sua tabela de roteamento. importante salientar que distncia significa hope, ou melhor, o nmero de roteadores existentes em um determinado caminho, em uma determinada rota. As informaes entre roteadores so trocadas quando o roteador inicializado, quando o roteador recebe atualizaes em sua tabela de roteamento e tambm em intervalos regulares. Aqui a primeira desvantagem do RIP. Mesmo que no exista nenhuma alterao nas rotas da rede, os roteadores baseados em RIP, continuaro a trocar mensagens de atualizao em intervalos regulares, por padro a cada 30 segundos. Dentre outros, este um dos motivos pelos quais o RIP no indicado para redes maiores, pois nestas situaes o volume de trfego gerado pelo RIP, poderia consumir boa parte da banda disponvel. O RIP projetado para intercambiar informaes de roteamento em uma rede de tamanho pequeno para mdio. Alm disso, cada mensagem do protocolo RIP comporta, no mximo, informaes sobre 25 rotas diferentes, o que para grandes redes, faria com que fosse necessria a troca de vrias mensagens, entre dois roteadores, para atualizar suas respectivas tabelas, com um grande nmero de rotas. Ao receber atualizaes, o roteador atualiza a sua tabela de roteamento e envia estas atualizaes para todos os roteadores diretamente conectados, ou seja, a um hope de distncia. A maior vantagem do RIP que ele extremamente simples para configurar e implementar em uma rede. Sua maior desvantagem a incapacidade de ser ampliado para interconexes de redes de tamanho grande a muito grande. A contagem mxima de hopes usada pelos roteadores RIP 15. As redes que estejam a 16 hopes ou mais de distncia, sero consideradas inacessveis. medida que as redes crescem em tamanho, os anncios peridicos de cada roteador RIP podem causar trfego excessivo. Outra desvantagem do RIP o seu longo tempo de convergncia. Quando a topologia de interconexo da rede alterada (por queda em um link ou por falha em um roteador, dentre outros motivos), podem ser necessrios vrios minutos para que os roteadores RIP se reconfigurem, para refletir a nova topologia de interconexo da rede.

Embora a rede seja capaz de fazer a sua prpria reconfigurao, podem ser formados loops de roteamento que resultem em dados perdidos ou sem condies de entrega. Inicialmente, a tabela de roteamento de cada roteador inclui apenas as redes que esto fisicamente conectadas. Um roteador RIP envia periodicamente anncios contendo suas entradas de tabela de roteamento para informar aos outros roteadores RIP locais, quais as redes que ele pode acessar. Os roteadores RIP tambm podem comunicar informaes de roteamento atravs de disparo de atualizaes. Os disparos de atualizaes ocorrem quando a topologia da rede alterada e informaes de roteamento atualizadas so enviadas de forma a refletir essas alteraes. Com os disparos de atualizaes, a atualizao enviada imediatamente em vez de aguardar o prximo anncio peridico. Por exemplo, quando um roteador detecta uma falha em um link ou roteador, ele atualiza sua prpria tabela de roteamento e envia rotas atualizadas imediatamente. Cada roteador que recebe as atualizaes por disparo, modifica sua prpria tabela de roteamento e propaga a alterao. Conforme j salientado anteriormente, uma das principais desvantagens do algoritmo distance-vector do RIP o alto tempo de convergncia. Ou seja, quando um link ou um roteador fica indisponvel, demora alguns minutos at que as atualizaes de rotas sejam passadas para todos os roteadores. Durante este perodo pode acontecer de roteadores enviarem pacotes para rotas que no estejam disponveis. Este um dos principais motivos pelos quais o RIP no pode ser utilizado em redes de grande porte. O problema do Count-to-infinity: Outro problema do protocolo RIP a situao descrita como count-toinfinity (contar at o infinito). Para entender este problema vamos imaginar dois roteadores conectados atravs de um link de WAN. Vamos cham-los de roteador A e B, conectando as redes 1, 2 e 3, conforme diagrama da Figura a seguir:

Figura 8.1 O problema count-to-infinity.

Agora imagine que o link entre o roteador A e a Rede 1 apresente problemas. Com isso o roteador A sabe que no possvel alcanar a Rede 1 (devido a falha no link). Porm o Roteador B continua anunciando para o restante da rede, que ele encontra-se a dois hopes da rede A (isso porque o Roteador B ainda no teve sua tabela de roteamento atualizada). O Roteador B manda este anncio, inclusive para o roteador A. O roteador A recebe esta atualizao e considera que ele (o Roteador A) est agora a 3 hopes da Rede 1 (um hope de distncia at o Roteador B + dois hopes de distncia do roteador B at a rede 1. Ele no sabe que o caminho do Roteador B para a rede 1, passa por ele mesmo, ou seja, pelo Roteador A). Com isso volta a informao para o Roteador B dizendo que o Roteador A est a 3 hopes de distncia. O Roteador B atualiza a sua tabela, considerando agora que ele est a 4 hopes da Rede 1 (um hope at o roteador A + 3 hopes que o roteador A est da rede 1, segundo o ltimo anncio). E este processo continua at que o limite de 16 hopes seja atingido. Observe que mesmo com um link com problema, o protocolo RIP no convergiu e continuou anunciando rotas incorretamente, at atingir uma contagem de 16 hopes (que em termos do RIP significa o infinito, inalcanvel). O problema do count-to-infinity um dos mais graves com o uso do RIP Verso 1, conhecido apenas como RIP v1. O Windows 200 Server e o Windows Server 2003 do suporte tambm ao RIP v2, o qual apresenta algumas modificaes no protocolo, as quais evitam, ou pelo menos minimizam problemas como o loops de roteamento e count-to-infinity: Split horizon (horizonte dividido): Com esta tcnica o roteador registra a interface atravs da qual recebeu informaes sobre uma rota e no difunde informaes sobre esta rota, atravs desta mesma interface. No nosso exemplo, o Roteador B receberia informaes sobre a rota para a rede 1, a partir do Roteador B, logo o Roteador A no

iria enviar informaes sobre Rotas para a rede 1, de volta para o Roteador B. Com isso j seria evitado o problema do count-to-infinity. Em outras palavras, esta caracterstica pode ser resumida assim: Eu aprendi sobre uma rota para a rede X atravs de voc, logo voc no pode aprender sobre uma rota para a rede X, atravs de minhas informaes. Split horizon with poison reverse (Inverso danificada): Nesta tcnica, quando um roteador aprende o caminho para uma determinada rede, ele anuncia o seu caminho, de volta para esta rede, com um hope de 16. No exemplo da Figura anterior, o Roteador B, recebe a informao do Roteador A, que a rede 1 est a 1 hope de distncia. O Roteador B anuncia para o roteador A, que a rede 1 est a 16 hope de distncia. Com isso, jamais o Roteador A vai tentar achar um caminha para a rede 1, atravs do Roteador B, o que faz sentido, j que o Roteador A est diretamente conectado rede 1. Triggered updates (Atualizaes instantneas): Com esta tcnica os roteadores podem anunciar mudanas na mtrica de uma rota imediatamente, sem esperar o prximo perodo de anuncio. Neste caso, redes que se tornem indisponveis, podem ser anunciadas imediatamente com um hope de 16, ou seja, indisponvel. Esta tcnica utilizada em combinao com a tcnica de inverso danificada, para tentar diminuir o tempo de convergncia da rede, em situaes onde houve indisponibilidade de um roteador ou de um link. Esta tcnica diminui o tempo necessrio para convergncia da rede, porm gera mais trfego na rede. Um estudo comparativo entre RIP v1 e RIP v2 O protocolo RIP v1 apresenta diversos problemas, sendo que os principais so os destacados a seguir: O protocolo RIP v1 usa broadcast para fazer anncios na rede: Com isto, todos os hosts da rede recebero os pacotes RIP e no somente os hosts habilitados ao RIP. Uma contrapartida do uso do Broadcast pelo protocolo RIP v1, que isso torna possvel o uso dos chamados hosts de RIP Silencioso (Silent RIP). Um computador configurado para ser um Silent RIP, processa os anncios do protocolo RIP (ou seja, reconhece os pacotes

enviados pelo RIP e capaz de process-los), mas no anuncia suas prprias rotas. Esta funcionalidade pode ser habilitada em um computador que no esteja configurado como roteador, para produzir uma tabela de roteamento detalhada da rede, a partir das informaes obtidas pelo processamento dos pacotes do RIP. Com estas informaes detalhadas, o computador configurado como Salient RIP pode tomar melhores decises de roteamento, para os programas e servios nele instalados. No exemplo a seguir, mostro como habilitar uma estao de trabalho com o Windows 2000 Professional instalado, a tornar-se um Salient RIP. Exemplo: Para configurar uma estao de trabalho com o Windows 2000 Professional instalado, como Salient RIP, siga os passos indicados a seguir: 1. Faa o logon como Administrador. 2. Abra o Painel de controle: Iniciar -> Configuraes -> Painel de controle. 3. Abra a opo Adicionar ou remover programas. 4. No painel da esquerda, clique em Adicionar ou remover componentes do Windows. 5. Clique na opo Servios de rede para marc-la (sem selecionar a caixa de seleo ao lado desta opo, seno todos os servios de rede sero instalados). 6. Clique no boto Detalhes... 7. Nas opes que so exibidas marque a opo RIP Listener. 8. Clique em OK. Voc estar de volta a janela de componentes do Windows. 9. Clique em Avanar para concluir a instalao. A mscara de sub-rede no anunciada juntamente com as rotas: Isso porque o protocolo RIP v1 foi projetado em 1988, para trabalhar com redes baseadas nas classes padro A, B e C, ou seja, pelo nmero IP da rota, deduzia-as a respectiva classe. Com o uso da Internet e o uso de um nmero varivel de bits para a mscara de sub-rede (nmero diferente do nmero de bits padro para cada classe, conforme descrito no Captulo 2), esta fato tornou-se um problema srio do protocolo RIP v1. Com isso, o protocolo RIP v1, utiliza a seguinte lgica, para inferir qual a mscara de sub-rede associada com determinada rota:

1. Se a identificao de rede coincide com uma das classes padro A, B ou C, assumida a mscara de sub-rede padro da respectiva classe. 2. Se a identificao de rede no coincide com uma das classes padro, duas situaes podem acontecer: 2.1 Se a identificao de rede coincide com a identificao de rede da interface na qual o anncio foi recebido, a mscara de sub-rede da interface na qual o anncio foi recebido, ser assumida. 2.2 Se a identificao de rede no coincide com a identificao de rede da interface na qual o anncio foi recebido, o destino ser considerado um host (e no uma rede) e a mscara de sub-rede 255.255.255.255, ser assumida. Esta abordagem gera problemas graves. Por exemplo, quando for utilizado o recurso de supernetting, para juntar vrias redes classe C em uma nica rede lgica, o RIP v1 ir interpretar como se fossem realmente vrias redes lgicas e tentar montar uma tabela de roteamento, como se as redes estivessem separadas fisicamente e ligadas por links de WAN. Sem proteo contra roteadores no autorizados: O protocolo RIP v1 no apresenta nenhum mecanismo de autenticao/proteo, para evitar que roteadores no autorizados possam ser inseridos na rede e passar a anunciar vrias rotas falsas. Ou seja, qualquer usurio poder instalar um roteador com RIP v1 e adicionar vrias rotas falsas, que o RIP v1 se encarregar de repassar estas rotas para os demais roteadores da rede. O protocolo RIP v2, oferece diversas melhorias em relao ao RIP v1, dentre as quais vamos destacar as seguintes: Os anncios do protocolo RIP v2 so baseados em trfego multicast e no mais broadcast como no caso do protocolo RIP v1: O protocolo RIP v2 utiliza o endereo de multicast 224.0.0.9. Com isso os roteadores habilitados ao RIP atuam como se fossem (na verdade ) um grupo multicast, registrado para escutar os anncios do protocolo RIP v2. Outros hosts da rede, no habilitados ao RIP v2, no sero importunados pelos pacotes do RIP v2. Por questes

de compatibilidade (em casos onde parte da rede ainda usa o RIP v1), possvel utilizar broadcast com roteadores baseados em RIP v2. Mas esta soluo somente deve ser adotada durante um perodo de migrao, assim que possvel, todos os roteadores devem ser migrados para o RIP v2 e o anncio via broadcast deve ser desabilitado. Informaes sobre a mscara de sub-rede so enviadas nos anncios do protocolo RIP v2: Com isso o RIP v2 pode ser utilizado, sem problemas, em redes que utilizam sub netting, supernetting e assim por diante, uma vez que cada rede fica perfeitamente definida pelo nmero da rede e pela respectiva mscara de sub-rede. Segurana, autenticao e proteo contra a utilizao de roteadores no autorizados: Com o RIP v2 possvel implementar um mecanismo de autenticao, de tal maneira que os roteadores somente aceitem os anncios de roteadores autenticados, isto , identificados. A autenticao pode ser configurada atravs da definio de uma senha ou de mecanismos mais sofisticados como o MD5 (Message Digest 5). Por exemplo, com a autenticao por senha, quando um roteador envia um anncio, ele envia juntamente a senha de autenticao. Outros roteadores da rede, que recebem o anncio, verificam se a senha est OK e somente depois da verificao, alimentam suas tabelas de roteamento com as informaes recebidas. importante salientar que tanto redes baseadas no RIP v1 quanto no RIP v2 so redes chamadas planas (flat). Ou seja, no possvel formar uma hierarquia de roteamento, baseada no protocolo RIP. Por isso que o RIP no utilizado em grandes redes. A tendncia natural do RIP, que todos os roteadores sejam alimentados com todas as rotas possveis (isto um espao plano, sem hierarquia de roteadores). Imagine como seria utilizar o RIP em uma rede como a Internet, com milhes e milhes de rotas possveis, com links caindo e voltando a todo momento? Impossvel. Por isso que o uso do RIP (v1 ou v2) somente indicado para pequenas redes. Concluso Nas Partes 4, 5 e 6 falei sobre Roteamento e sobre como todo o processo de roteamento baseado em Tabelas de Roteamento, existentes em cada roteador da rede. As tabelas de roteamento podem

ser criadas manualmente, onde o administrador de cada roteador executa comandos para criar cada uma das rotas necessrias. Essa abordagem s possvel para redes extremamente pequenas, com um nmero de rotas pequeno e quando as rotas no mudam muito freqentemente. Para redes maiores, a nica abordagem possvel o uso dos chamados protocolos de Roteamento dinmico. Estes protocolos, uma vez instalados e configurados nos roteadores, permitem que os roteadores troquem informaes entre si, periodicamente e que montem as tabelas de roteamento, dinamicamente, com base nestas informaes. Esta abordagem bem mais indicada para grandes redes, pois os prprios protocolos de roteamento dinmicos, se encarregam de manter as tabelas de roteamento sempre atualizadas, alterando rotas quando necessrio e excluindo rotas que apresentam problemas, tais como rotas onde o link de comunicao est fora do ar. Nesta parte do tutorial de TCP/IP, iniciei a apresentao dos protocolos de roteamento dinmico, sendo que nesta e nas prximas partes do tutorial, iremos concentrar nossos estudos, nos dois principais protocolos: RIP Routing Internet Protocol OSPF Open Shorted Path First

Tutorial de TCP/IP Parte 15 Protocolos de Roteamento Dinmico


Introduo: Esta a dcima quinta parte do tutorial de TCP/IP. Na Parte 1 tratei dos aspectos bsicos do protocolo TCP/IP. Na Parte 2 falei sobre clculos binrios, um importante tpico para entender sobre redes, mscara de sub-rede e roteamento. Na Parte 3 falei sobre Classes de endereos, na Parte 4 fiz uma introduo ao roteamento e na Parte 5 apresentei mais alguns exemplos/anlises de como funciona o roteamento e na Parte 6 falei sobre a Tabela de Roteamento. Na Parte 7 tratei sobre a diviso de uma rede em sub-redes, conceito conhecido como subnetting. Na Parte 8 fiz uma apresentao de um dos servios mais utilizados pelo TCP/IP, que o Domain Name System: DNS. O DNS o servio de resoluo de nomes usado em todas as redes TCP/IP, inclusive pela Internet que, sem dvidas, a maior rede TCP/IP existente. Na Parte 9 fiz uma introduo ao servio Dynamic Host Configuration Protocol DHCP. Na Parte 10 fiz uma introduo ao servio Windows Internet Name Services WINS. Na Parte 11 falei sobre os protocolos TCP, UDP e sobre portas de comunicao. Parte 12, mostrei como so efetuadas as configuraes de portas em diversos aplicativos que voc utiliza e os comandos do Windows 2000/XP/2003 utilizados para exibir informaes sobre portas de comunicao. Na Parte 13 voc aprendeu sobre a instalao e configurao do protocolo TCP/IP no Windows 2000 Professional ou Server. Apresentei, em detalhes, a configurao do protocolo TCP/IP no Windows 2000. Mostrei como fazer as configuraes do protocolo TCP/IP, desde as configuraes bsicas de nmero IP e mscara de subrede (em computadores que usaro IP fixo, ao invs de obter as configuraes a partir de um servidor DHCP), at configuraes mais avanadas, tais como definir filtros para o protocolo TCP/IP. Nas Partes 4, 5 e 6 falei sobre Roteamento e sobre como todo o processo de roteamento baseado em Tabelas de Roteamento, existentes em cada roteador da rede. As tabelas de roteamento podem ser criadas manualmente, onde o administrador de cada roteador executa comandos para criar cada uma das rotas necessrias. Essa abordagem s possvel para redes extremamente pequenas, com um nmero de rotas pequeno e quando as rotas no mudam muito freqentemente. Para redes maiores, a nica abordagem possvel o uso dos chamados protocolos de Roteamento dinmico. Estes protocolos, uma vez instalados e configurados nos roteadores, permitem

que os roteadores troquem informaes entre si, periodicamente e que montem as tabelas de roteamento, dinamicamente, com base nestas informaes. Esta abordagem bem mais indicada para grandes redes, pois os prprios protocolos de roteamento dinmicos, se encarregam de manter as tabelas de roteamento sempre atualizadas, alterando rotas quando necessrio e excluindo rotas que apresentam problemas, tais como rotas onde o link de comunicao est fora do ar. Nesta parte do tutorial de TCP/IP, iniciarei a apresentao dos protocolos de roteamento dinmico, sendo que iremos concentrar nossos estudos, nos dois principais protocolos: RIP Routing Internet Protocol OSPF Open Shorted Path First Na Parte 14, fiz uma apresentao do protocolo RIP, das suas caractersticas, usos e principais problemas. Nesta dcima quinta parte ser a vez de apresentar o protocolo OSPF e o conceito de roteamento baseada em reas, roteadores de borda e outros ligados ao OSPF. OSPF Open Shorted Path First: Nesta parte do tutorial voc aprender sobre o OSPF, suas vantagens em relao ao RIP, o seu uso para roteamento em grandes redes, sobre os conceitos de sistemas autnomos, adjacncias e assim por diante. Uma introduo ao OSPF O protocolo OSPF - Open Shortest Path First (OSPF, uma traduo, digamos, muito forada, seria: abrir primeiro o caminho mais curto) a alternativa para redes de grande porte, onde o protocolo RIP no pode ser utilizado, devido a suas caractersticas e limitaes, conforme descrito na Parte 14 deste tutorial. O OSPF permite a diviso de uma rede em reas e torna possvel o roteamento dentro de cada rea e atravs das reas, usando os chamados roteadores de borda. Com isso, usando o OSPF, possvel criar redes hierrquicas de grande porte, sem que seja necessrio que cada roteador tenha uma tabela de roteamento gigantesca, com rotas para todas as redes, como seria necessrio no caso do RIP. O OSPF projetado para intercambiar informaes de roteamento em uma interconexo de rede de tamanho grande ou muito grande, como por exemplo a Internet.

A maior vantagem do OSPF que ele eficiente em vrios pontos: requer pouqussima sobrecarga de rede mesmo em interconexes de redes muito grandes, pois os roteadores que usam OSPF trocam informaes somente sobre as rotas que sofreram alteraes e no toda a tabela de roteamento, como feito com o uso do RIP. Sua maior desvantagem a complexidade: requer planejamento adequado e mais difcil de configurar e administrar do que o protocolo RIP. O OSPF usa um algoritmo conhecido como Shortest Path First (SPF, primeiro caminho mais curto) para calcular as rotas na tabela de roteamento. O algoritmo SPF calcula o caminho mais curto (menor custo) entre o roteador e todas as redes da interconexo de redes. As rotas calculadas pelo SPF so sempre livres de loops (laos). O OSPF usa um algoritmo de roteamento conhecido como link-state (estado de ligao). Lembre que o RIP usava um algoritmo baseado em distncia vetorial. O OSPF aprende as rotas dinamicamente, atravs de interao com os roteadores denominados como seus vizinhos. Em vez de intercambiar as entradas de tabela de roteamento como os roteadores RIP (Router Information Protocol, protocolo de informaes do roteador), os roteadores OSPF mantm um mapa da interconexo de redes que atualizado aps qualquer alterao feita na topologia da rede ( importante salientar novamente que somente informaes sobre as mudanas so trocadas entre os roteadores usando OSPF e no toda a tabela de roteamento, como acontece com o uso do RIP). Esse mapa, denominado banco de dados do estado de vnculo ou estado de ligao, sincronizado entre todos os roteadores OSPF e usado para calcular as rotas na tabela de roteamento. Os roteadores OSPF vizinhos (neghboring) formam uma adjacncia, que um relacionamento lgico entre roteadores para sincronizar o banco de dados com os estados de vnculo. As alteraes feitas na topologia de interconexo de redes so eficientemente distribudas por toda a rede para garantir que o banco de dados do estado de vnculo em cada roteador esteja sincronizado e preciso o tempo todo. Ao receber as alteraes feitas no banco de dados do estado de vnculo, a tabela de roteamento recalculada. medida que o tamanho do banco de dados do estado de vnculo aumenta, os requisitos de memria e o tempo de clculo do roteamento tambm aumentam. Para resolver esse problema, principalmente para grandes redes, o OSPF divide a rede em reas (conjuntos de redes contguas) que so conectadas umas s outras atravs de uma rea de backbone. Cada roteador mantm um banco de dados do estado

de vnculo apenas para aquelas reas que a ele esto conectadas. Os ABRs (Area Border Routers, roteadores de borda de rea) conectam a rea de backbone a outras reas. Esta diviso em reas e a conexo das reas atravs de uma rede de backbone ilustrada na Figura a seguir, obtida na Ajuda do Windows:

Diviso em reas e conexo atravs de um backbone.

Cada anncio de um roteador OSPF contm informaes apenas sobre os estados de ligao dos roteadores vizinhos, isto , dentro da rea do roteador. Com isso a quantidade de informao transmitida na rede, pelo protocolo OSPF, bem menor do que a quantidade de informao transmitida quando usado o protocolo RIP. Outra vantagem que os roteadores OSPF param de enviar anncios, quando a rede atinge um estado de convergncia, ou seja, quando no existem mais alteraes a serem anunciadas. O RIP, ao contrrio, continua enviando anncios periodicamente, mesmo que nenhuma alterao tenha sido feita na topologia da rede (tal como um link ou roteador que tenha falhado). Nota: Na Internet existe a diviso nos chamados Sistemas Autnomos. Um sistema autnomo, por exemplo, pode representar a rede de um grande provedor. Neste caso, o prprio sistema autnomo pode ser dividido em uma ou mais reas usando OSPF e estas reas so conectadas por um backbone central. O roteamento dentro de cada sistema autnomo feito usando os chamados protocolos de roteamento interno (IGP Interior Gateway Protocol). O OSPF um protocolo IGP, ou seja, para roteamento dentro dos sistemas autnomos. O roteamento entre os diversos sistemas autnomos feito por protocolos de roteamento externos (EGP Exterior Gateway Protocol) e pelos chamados protocolos de roteamento de borda (BGP Border Gateway Protocol).

Importante: Pode ocorrer situaes em que uma nova rea que conectada a rede, no pode ter acesso fsico direto ao backbone OSPF. Nestas situaes, a conexo da nova rea com o backbone OSPF feita atravs da criao de um link virtual (virtual link). O link virtual fornece uma caminho lgico entre a rea fisicamente separada do backbone e o backbone OSPF. Criar o link virtual significa criar uma rota entre a rea que no est fisicamente conectada ao backbone e o backbone, mesmo que este link passe por dois ou mais roteadores OSPF, at chegar ao backbone. Para um exemplo passo-a-passo de criao de links virtuais, consulte o Captulo 8 do livro de minha autoria: Manual de Estudos Para o Exame 70-216, 712 pginas, publicado pela editora Axcel Books (www.axcel.com.br). O OSPF tem as seguintes vantagens sobre o RIP: As rotas calculadas pelo algoritmo SPF so sempre livres de loops. O OSPF pode ser dimensionado para interconexes de redes grandes ou muito grandes. A reconfigurao para as alteraes da topologia de rede muito rpida, ou seja, o tempo de convergncia da rede, aps alteraes na topologia muito menor do que o tempo de convergncia do protocolo RIP. O trfego de informaes do protocolo OSPF muito menor do que o do protocolo RIP. O OSPF permite a utilizao de diferentes mecanismos de autenticao entre os roteadores que utilizam OSPF. O OSPF envia informaes somente quando houver alteraes na rede e no periodicamente. A implementao OSPF como parte dos servios de roteamento do RRAS Routing em Remote Access Services, do Windows 2000 Server e no Windows Server 2003, tem os seguintes recursos: Filtros de roteamento para controlar a interao com outros protocolos de roteamento. Reconfigurao dinmica de todas as configuraes OSPF.

Coexistncia com o RIP. Adio e excluso dinmica de interfaces. Importante: O Windows 2000 Server no oferece suporte ao uso do OSPF em uma interface de discagem por demanda (demand-dial) que usa vnculos dial-up temporrios. Dica: Se voc est usando vrios protocolos de roteamento IP, configure apenas um nico protocolo de roteamento por interface. Operao do protocolo OSPF O protocolo OSPF baseado em um algoritmo conhecido com SPF Short Path First. Depois que um roteador (ou um servidor com o Windows 2000 Server ou Windows Server 2003, configurado como roteador e usando o OSPF) inicializado e feita a verificao para detectar se as interfaces de rede esto OK, utilizado o protocolo OSPF Hello para identificar quem so os vizinhos do roteador. O roteador envia pacotes no formato do protocolo Hello, para os seus vizinhos e recebe os pacotes Hello enviados pelos seus vizinhos. Conforme descrito anteriormente, uma rede baseada em OSPF dividia em reas e as diversas reas so conectadas atravs de um backbone comum a todas as reas. O algoritmo SPF baseado na sincronizao do banco de dados de estados de ligao entre os roteadores OSPF dentro de uma mesma rea. Porm, ao invs de cada roteador fazer a sincronizao com todos os demais roteadores OSPF da sua rea, cada roteador faz a sincronizao apenas com seus vizinhos (neighboring routers). A relao entre roteadores OSPF vizinhos, com o objetivo de sincronizar suas bases de dados conhecida como Adjacncia. O termo mais comum formar uma adjacncia. Porm, mesmo com o uso de adjacncias, em uma rede com vrios roteadores dentro da mesma rea, um grande nmero de adjacncias poder ser formado, o que implicaria em um grande volume de troca de informaes de roteamento. Por exemplo, imagine uma rede com seis roteadores OSPF dentro da mesma rea. Neste caso, cada roteador poderia formar uma adjacncia com os outros cinco roteadores da rea, o que resultaria em um total de 15 adjacncias. O nmero de adjacncias calculado usando a seguinte frmula, onde n representa o nmero de roteadores:

Nmero de adjacncias = n*(n-1)/2 Com um grande nmero de adjacncias, o trfego gerado pela sincronizao do OSPF seria muito elevado. Para resolver esta questo utilizado o conceito de Designated Router (Roteador designado). Um roteador designado um roteador que ser considerado vizinho de todos os demais roteadores da rede. Com isso formada uma adjacncia entre cada roteador da rede e o roteador designado. No nosso exemplo, da rede com 6 roteadores OSPF, dentro da mesma rea, seriam formadas apenas cinco adjacncias. Uma entre cada um dos cinco roteadores, diretamente com o sexto roteador, o qual foi feito o roteador designado. Neste caso, cada roteador da rede troca informaes com o roteador designado. Como o roteador designado recebe informaes de todos os roteadores da rea, ele fica com uma base completa e repassa esta base para cada um dos roteadores da mesma rea. Observe que com o uso de um roteador designado, obtmse uma sincronizao da base completa dos roteadores e com o uso de um nmero bem menor de adjacncias, o que reduz consideravelmente o trfego de pacotes do OSPF. Por questes de contingncia, tambm criado um Designated Backup Router (Roteador designado de backup), o qual assumir o papel de roteador designado, no caso de falha do roteador designado principal. A eleio de qual ser o roteador designado feita automaticamente pelo OSPF, mediante uma troca de pacotes Hello, de acordo com as regras contidas no protocolo, um dos roteadores ser eleito como roteador designado e um segundo como roteador designado backup. Concluso Nas Partes 4, 5 e 6 falei sobre Roteamento e sobre como todo o processo de roteamento baseado em Tabelas de Roteamento, existentes em cada roteador da rede. As tabelas de roteamento podem ser criadas manualmente, onde o administrador de cada roteador executa comandos para criar cada uma das rotas necessrias. Essa abordagem s possvel para redes extremamente pequenas, com um nmero de rotas pequeno e quando as rotas no mudam muito freqentemente. Para redes maiores, a nica abordagem possvel o uso dos chamados protocolos de Roteamento dinmico. Estes protocolos, uma vez instalados e configurados nos roteadores, permitem que os roteadores troquem informaes entre si, periodicamente e que montem as tabelas de roteamento,

dinamicamente, com base nestas informaes. Esta abordagem bem mais indicada para grandes redes, pois os prprios protocolos de roteamento dinmicos, se encarregam de manter as tabelas de roteamento sempre atualizadas, alterando rotas quando necessrio e excluindo rotas que apresentam problemas, tais como rotas onde o link de comunicao est fora do ar. Na Parte 14 fiz uma apresentao do protocolo RIP. Nesta parte foi a vez do protocolo OSPF, o qual baseado na diviso de uma rede em reas conectadas atravs de backbones de roteamento. Voc pode conferir que o protocolo OSPF tem inmeras vantagens em relao ao protocolo RIP.

Tutorial de TCP/IP Parte 16 Compartilhando a Conexo Internet


Introduo: Esta a dcima sexta parte do Tutorial de TCP/IP. Na Parte 1 tratei dos aspectos bsicos do protocolo TCP/IP. Na Parte 2 falei sobre clculos binrios, um importante tpico para entender sobre redes, mscara de sub-rede e roteamento. Na Parte 3 falei sobre Classes de endereos, na Parte 4 fiz uma introduo ao roteamento e na Parte 5 apresentei mais alguns exemplos/anlises de como funciona o roteamento e na Parte 6 falei sobre a Tabela de Roteamento. Na Parte 7 tratei sobre a diviso de uma rede em sub-redes, conceito conhecido como subnetting. Na Parte 8 fiz uma apresentao de um dos servios mais utilizados pelo TCP/IP, que o Domain Name System: DNS. O DNS o servio de resoluo de nomes usado em todas as redes TCP/IP, inclusive pela Internet que, sem dvidas, a maior rede TCP/IP existente. Na Parte 9 fiz uma introduo ao servio Dynamic Host Configuration Protocol DHCP. Na Parte 10 fiz uma introcuo ao servio Windows Internet Name Services WINS. Na Parte 11 falei sobre os protocolos TCP, UDP e sobre portas de comunicao. Parte 12, mostrei como so efetuadas as confiuraes de portas em diversos aplicativos que voc utiliza e os comandos do Windows 2000/XP/2003 utilizados para exibir informaes sobre portas de comunicao. Na Parte 13 falei sobre a instalao e a configurao do protocolo TCP/IP. Na Parte 14 fiz uma introduo sobre o protocolo de roteamento dinmico RIP e na Parte 15 foi a vez de fazer a introduo a um outro protocolo de roteamento dinmico, o OSPF. Nesta dcima sexta parte voc aprender sobre um recurso bem til do Windows 2000: O compartilhamento da conexo Internet, oficialmente conhecida como ICS Internet Conection Sharing. Este recurso util quando voc tem uma pequena rede, no mais do que cinco mquinas, conectadas em rede, todas com o protocolo TCP/IP instalado e uma das mquinas tem conexo com a Internet. Voc pode habilitar o ICS no computador que tem a conexo com a Internet. Com isso os demais computadores da rede tambm passaro a ter acesso Internet, conforme ilustrado na Figura a seguir:

Internet Connection Sharing (ICS) Vamos inicialmente entender exatamente qual a funo do ICS e em que situaes ele indicado. O recurso de compartilhamento da conexo com a Internet indicado para conectar uma rede domstica ou uma pequena rede (eu diria no mais do que 10 computadores) Internet. Imagine a rede de uma pequena empresa, onde esto instalados 10 computadores e um servidor com o Windows 2000 Server. Est disponvel uma nica conexo com a Internet. A conexo um link de 256 Kbps, do tipo ADSL. A questo : Com o uso do recurso de compartilhamento da conexo com a Internet, possvel que todos os computadores desta pequena rede, tenham acesso Internet? A resposta sim. Com o uso do ICS possvel fazer com que todos os computadores da rede tenham acesso Internet, atravs de uma conexo compartilhada no servidor Windows 2000 Server. Aps ter sido habilitado o compartilhamento da conexo Internet, os demais computadores da rede utilizam a internet como se estivessem diretamente conectados. Ou seja, para os usurios o uso da conexo compartilhada transparente. Para que o ICS possa funcionar so necessrias duas conexes de rede, no computador onde o ICS ser habilitado. Uma conexo normalmente a placa de rede que liga o computador rede local e conhecida como conexo interna. A outra conexo, conhecida como conexo Externa, faz

a conexo do computador com a Internet. Normalmente uma conexo do tipo ADSL, ISDN, A Cabo ou at mesmo uma conexo discada, via telefone comum. O diagrama da Figura a seguir, ilustra a funcionalidade do ICS. No computador onde o ICS foi habilitado, a conexo via placa de rede, a conexo interna. A conexo via Modem, que faz a conexo com a Internet, dita conexo externa ou pblica.

Mudanas que so efetuadas quando o ICS habilitado Quando voc habilita o ICS no computador conectado Internet, algumas alteraes so efetuadas neste computador. muito importante entender estas alteraes, porque pode acontecer de alguns servios deixarem de funcionar aps a habilitao do ICS. Sabendo quais as mudanas efetuadas pelo ICS, voc poder reconfigurar a sua rede, para que todos os servios voltem a funcionar normalmente. Importante: Devido as diversas mudanas que so introduzidas ao

habilitar o ICS, que no recomendado o uso do ICS em um ambiente onde est configurado um domnio do Windows 2000 Server, baseado no Active Directory. O uso do ICS realmente recomendado para pequenas redes baseadas em um modelo de Workgroup. Alm disso, se voc tiver uma rede maior, baseada em um domnio e no Active Directory, muito provvel que voc j tenha uma conexo da rede local com a Internet, atravs do uso de roteadores e outros equipamentos de rede. A primeira mudana a ser ressaltada que o computador no qual o ICS foi habilitado, automaticamente, configurado um servidor DHCP (digamos um mini DHCP), o qual passa a fornecer endereos IP para os demais computadores da rede. Outra mudana que efetuada no nmero IP da interface interna. Este nmero alterado para: 192.168.0.1 com uma mscara de subrede: 255.255.255.0. Esta uma das mudanas para as quais voc deve estar atento. Pois se antes de habilitar o ICS voc utiliza um esquema de endereamento, por exemplo: 10.10.10.0/255.255.255.0, este esquema ser alterado, para um esquema 192.168.0.0/255.255.255.0. Com isso pode ser necessrio reconfigurar alguns mapeamentos de drives de rede e de impressoras. Muito importante: Quando o ICS habilitado, atribudo o endereo IP 192.168.0.1 para a interface interna do computador onde o ICS foi habilitado. Com isso, se houver compartilhamentos no servidor onde foi habilitado o ICS, estes deixaro de estar acessveis para os demais computadores da rede, pois os demais computadores continuaro utilizando o esquema de endereamento IP padro da rede, o qual provavelmente seja diferente do esquema utilizado pelo ICS. Isso at que os demais clientes da rede sejam configurados como clientes DHCP e obter um endereo da rede 192.168.0.0/255.255.255.0, a partir do computador onde o ICS foi habilitado. A funcionalidade de discagem sob demanda habilitada na conexo Internet, do computador onde o ICS foi habilitado. Com isso quando qualquer um dos computadores da rede tentar acessar a Internet, se a conexo no estiver disponvel, ser inicializada automaticamente uma discagem (se for uma conexo discada) para estabelecer a conexo. Nota: Aps a habilitao do ICS, o servio do ICS ser configurado para inicializar automaticamente, de tal maneira que as funcionalidades do ICS possam ser utilizadas.

Alm de transformar o computador com o ICS habilitado, em um servidor DHCP, ser criado o seguinte escopo: 192.168.0.2 -> 192.168.0.254, com mscara de sub-rede 255.255.255.0. Importante: A funcionalidade de DNS Proxy habilitada no computador com o ICS habilitado. Isso significa que este computador recebe as requisies de resoluo DNS dos clientes da rede, repassa estes pedidos para o servidor DNS do provedor de Internet, recebe a resposta e passa a resposta de volta para o cliente que fez a requisio para a resoluo do nome. O resultado prtico que os clientes tem acesso ao servio DNS, sendo que todas as requisies passam pelo ICS, que est atuando como um DNS Proxy. Importante: Voc no tem como alterar as configuraes padro do ICS. Por exemplo, voc no pode desabilitar a funcionalidade de servidor DHCP do computador onde foi habilitado o ICS e nem pode definir um esquema de endereamento diferente do que definido por padro ou desabilitar a funo de DNS Proxy. Para que voc possa personalizar estas funcionalidades voc precisa utilizar o recurso de NAT, ao invs do ICS. O recurso de NAT ser descrito descrito em uma das prximas partes do tutorial. Configurando os clientes da rede interna, para usar o ICS Muito bem, voc habilitou o ICS no computador com a conexo com a Internet (voc aprender a parte prtica mais adiante) e agora voc quer que os computadores da rede local possam acessar a Internet, usando a configurao compartilhada, no computador onde o ICS foi habilitado. Conforme descrito no Parte 1 deste tutorial, para que os computadores de uma rede baseada no TCP/IP possam se comunicar, preciso que todos faam parte da mesma rede (ou estejam ligados atravs de roteadores, para redes ligadas atravs de links de WAN). Quando voc habilita o ICS, todos os computadores da rede devem utilizar o esquema de endereamento padro definido pelo ICS, ou seja: 192.168.0.0/255.255.255.0. Com o ICS no possvel utilizar outro esquema de endereamento que no o definido pelo ICS. O endereo 192.168.0.1 atribudo a interface interna do computador com o ICS habilitado. Os demais computadores da rede devem ser configurados para usar o DHCP e como Default Gateway deve ser configurado o IP 192.168.0.1, que nmero IP da interface interna do computador com o ICS habilitado (estou repetindo de propsito, para que fique gravado o esquema de endereamento que habilitado pelo ICS e devido a

importncia deste detalhe). Dependendo da verso do Windows, diferentes configuraes tero que ser efetuadas. Quando o ICS habilitado em um computador rodando o Windows XP, Windows Server 2003 Standard Edition ou Windows Server 2003 Enterprise Edition, voc poder adicionar como clientes, computadores rodando uma das seguintes verses do Windows: Windows 98 Windows 98 Segunda Edio Windows Me Windows XP Windows 2000 Windows Server 2003 Standard Edition Windows Server 2003 Enterprise Edition Na parte prtica, mais adiante, mostrarei os passos para habilitar os clientes da rede a utilizar o ICS. Mais algumas observaes importantes sobre o ICS: Neste item apresentarei mais algumas observaes importantes sobre o ICS. A primeira delas que o esquema de endereamento utilizado pelo ICS um dos chamados endereos Internos ou endereos Privados. As faixas de endereos definidas como endereos privados so endereos que no so vlidos na Internet, ou seja, pacotes endereados para um endereo de uma destas faixas, sero descartados pelos roteadores. Os endereos Privados foram reservados para uso interno na Intranet das empresas. Ou seja, na rede interna, qualquer empresa, pode utilizar qualquer uma das faixas de endereos Privados. Existem trs faixas de endereos definidos como Privados. Estas faixas esto definidas na RFC 1597. Os endereos definidos como privados so os seguintes: 10.0.0.0 172.16.0.0 192.168.0.0 -> -> -> 10.255.255.255 172.31.255.255 192.168.255.255

Observe que a faixa de endereos usada pelo ICS (192.168.0.1 ->

192.168.0.254) uma faixa de endereos Privados. Por isso, o ICS tambm tem que executar o papel de traduzir os endereos privados, os quais no so vlidos na Internet, para o endereo vlido, da interface pblica do servidor com o ICS (normalmente um modem para conexo discada ou um modem ADSL) Vamos a uma explicaomais detalhada deste ponto. Imagine que voc tem cinco computadores na rede, todos usando o ICS. Os computadores esto utilizando os seguintes endereos: 192.168.0.10 192.168.0.11 192.168.0.12 192.168.0.13 192.168.0.14 O computador com o ICS habilitado tem as seguintes configuraes: IP da interface interna: 192.168.0.1 IP da interface externa: Um endereo vlido na Internet, obtido a partir da conexo com o provedor de Internet. Quando um cliente acessa a Internet, no pacote de informao est registrado o endereo IP da rede interna, por exemplo: 192.168.0.10. Porm este pacote no pode ser enviado pelo ICS para a Internet, com este endereo IP como endereo de origem, seno no primeiro roteador este pacote ser descartado, j que o endereo 192.168.0.10 no um endereo vlido na Internet (pois um endereo que pertence a uma das faixas de endereos privados, conforme descrito anteriormente). Para que este pacote possa ser enviado para a Internet, o ICS substitui o endereo IP de origem pelo endereo IP da interface externa do ICS (endereo fornecido pelo provedor de Internet e, portanto, vlido na Internet). Quando a resposta retorna, o ICS repassa a resposta para o cliente que originou o pedido. Mas voc pode estar fazendo as seguintes perguntas: 1. Se houver mais de um cliente acessando a Internet e o ICS possui apenas um endereo IP vlido, como possvel a comunicao de mais de um cliente, ao mesmo tempo, com a Internet?

2. Quando a resposta retorna, como o ICS sabe para qual cliente ela se destina, se houver mais de um cliente acessando a Internet? A resposta para estas duas questes a mesma. O ICS executa uma funo de NAT Network Address Translation (que ser o assunto de uma das prximas partes do tutorial). A traduo de endereos funciona assim: 1. Quando um cliente interno tenta se comunicar com a Internet, o ICS substitui o endereo interno do cliente como endereo de origem, por um endereo vlido na Internet. Mas alm do endereo tambm associada uma porta de comunicao ( o conceito de portas do protocolo TCP/IP, visto na Parte 12 deste tutorial). O ICS mantm uma tabelinha interna onde fica registrado que, a comunicao atravs da porta tal est relacionada com o cliente tal (ou seja, com o IP interno tal). 2. Quando a resposta retorna, pela identificao da porta, o ICS consulta a sua tabela interna e sabe para qual computador da rede deve ser enviada a referida resposta (para qual IP da rede interna), uma vez que a porta de identificao est associada com um endereo IP da rede interna. Com isso, vrios computadores da rede interna, podem acessar a Internet ao mesmo tempo, usando um nico endereo IP. A diferenciao feita atravs de uma atribuio de porta de comunicao diferente, associada com cada IP da rede interna. Este o princpio bsico do NAT Network Address Translation (Traduo de Endereos IP). Mas importante no confundir este mini-NAT embutido no ICS, com a funcionalidade de NAT que ser descrita em uma das prximas partes deste tutorial. Existem grandes diferenas entre o ICS e o NAT e o uso de cada um indicado em situaes especficas. O ICS tem suas limitaes, as quais so diferentes das limitaes do NAT. Uma das principais limitaes do ICS no ser possvel alterar as configuraes definidas ao habilitar o ICS, tais como a faixa de endereos a ser utilizada e o nmero IP da interface interna (interface que liga o computador com o ICS rede local). Comparando ICS e NAT Neste tpico apresento mais alguns detalhes sobre as diferenas entre o ICS e o NAT. Existem algumas funcionalidades que so fornecidas por

ambos, tais como a traduo de endereos Privados para endereos vlidos na Internet, enquanto outras so exclusivas de cada um dos servios. Para conectar uma rede residencial ou de um pequeno escritrio, Internet, voc pode usar duas abordagens diferentes: Conexo roteada: Neste caso, voc instala o RRAS no computador conectado Internet e configura o RRAS para fazer o papel de um roteador. Esta abordagem exige conhecimentos avanados do protocolo TCP/IP, para configurar o RRAS como um roteador. Esta abordagem tem a vantagem de permitir qualquer tipo de trfego entre a rede local e a Internet (com a desvantagem de que esse pode ser um problema srio de segurana se o roteamento no for configurado adequadamente) e tem a desvantagem da complexidade na configurao. Conexes com traduo de endereos: Neste caso, voc instala o RRAS no computador conectado Internet e configura a funcionalidade de NAT neste computador. A vantagem deste mtodo que voc pode utilizar, na rede Interna, endereos privados. Vrias mquinas da rede interna podem se conectar Internet usando um nico endereo IP vlido, o endereo IP da interface externa do servidor com o RRAS. Outra vantagem do NAT, em relao ao roteamento, que o NAT bem mais simples para configurar. A desvantagem que determinados tipos de trfegos sero bloqueados pelo NAT, impedindo que determinadas aplicaes possam ser executadas. Uma conexo com traduo de endereos pode ser configurada usando dois mtodos diferentes: Voc pode utilizar o ICS (objeto de estudo deste tpico) no Windows 2000, Windows XP, Windows Server 2003 Standard Edition ou Windows Server 2003 Enterprise Edition. Voc pode utilizar a funcionalidade de NAT do servidor RRAS, em servidores executando o Windows 2000 Server com o RRAS habilitado (lembre que o RRAS instalado automaticamente, porm, por padro, est desabilitado. Para detalhes sobre a habilitao e configurao do RRAS,

consulte o Captulo 6 do meu livro: Manual de Estudos Para o Exame 70-216, 712 pginas, publicado pela Editora Axcel Books). Importante: As duas solues ICS ou NAT fornecem as funcionalidades de traduo de endereos e resoluo de nomes, porm existem mais diferenas do que semelhanas, conforme descreverei logo a seguir. O Internet Connection Sharing (ICS) foi projetado para fornecer as configuraes mais simplificadas possveis. Conforme voc ver na parte prtica, habilitar o ICS uma simples questo de marcar uma caixa de opo, todo o restante feito automaticamente pelo Windows 2000 Server. Porm uma vez habilitado, o ICS no permite que sejam feitas alteraes nas configuraes que so definidas por padro. O ICS foi projetado para obter um nico endereo IP a partir do provedor de Internet. Isso no pode ser alterado. Ele configurado como um servidor DHCP e fornece endereos na faixa 192.168.0.0/255.255.255.0. Isso tambm no pode ser mudado. Em poucas palavras: O ICS fcil de habilitar mas no permite alteraes nas suas configuraes padro. o ideal para pequenos escritrios que precisam de acesso Internet, a todos os computadores da rede, porm no dispem de um tcnico qualificado para fazer as configuraes mais sofisticadas exigidas pelo NAT e pelo RRAS. Por sua vez, o NAT foi projetado para oferecer o mximo de flexibilidade em relao as suas configuraes no servidor RRAS. As funes principais do NAT so a traduo de endereo (conforme descrito anteriormente) e a proteo da rede interna contra trfego no autorizado, vindo da Internet. O uso do NAT requer mais etapas de configurao do que o ICS, contudo em cada etapa da configurao voc pode personalizar diversas opes do NAT. Por exemplo, o NAT permita que seja obtida uma faixa de endereos IP a partir do provedor de Internet (ao contrrio do ICS, que recebe um nico endereo IP do provedor de Internet) e tambm permite que seja definida a faixa de endereos IP a ser utilizada para os clientes da rede interna. Na tabela da Figura a seguir, voc encontra uma comparao entre NAT e ICS.

Importante: Nunca demais salientar que O ICS projetado para conectar uma rede domstica ou uma rede pequena (com no mais do que 10 computadores) com a Internet. O protocolo NAT foi projetado para conectar redes de porte pequeno para mdio, com a Internet (eu diria entre 11 e 100 computadores). Porm, nenhum deles foi projetado para ser utilizado nas seguintes situaes: Fazer a conexo entre redes locais. Conectar redes para formar uma Intranet. Conectar as redes dos escritrios regionais com a rede da sede da empresa. Conectar as redes dos escritrios regionais com a rede da sede da empresa, usando como meio a Internet, ou seja, criao de uma VPN. Muito bem, a seguir apresentarei os passos prticos para habilitar o ICS no computador conectado Internet e para configurar os clientes da rede, para que passem a utilizar o ICS. Habilitando o ICS no computador conectado Internet: O ICS, conforme descrito anteriormente, deve ser habilitado no computador com conexo com a Internet. O ICS habilitado na interface externa, ou seja, na interface que faz a conexo com a Internet. Para habilitar o ICS, siga os passos indicados a seguir: 1. Faa o logon no computador conectado Internet, com a conta de

Administrador ou com uma conta com permisso de administrador. 2. Abra o Painel de controle: Iniciar -> Configuraes -> Painel de controle. 3. Abra a opo Conexes dial-up e de rede. 4. Clique com o boto direito do mouse na conexo com a Internet e, no menu de opes que exibido, clique em Propriedades. 5. Ser exibida a janela de propriedades da conexo com a Internet. Clique na guia Compartilhamento. Sero exibidas as opes indicadas na Figura a seguir:

6. Marque a opo Ativar o compartilhamento da conexo c/ Internet p/ conexo. Ao marcar esta opo tambm ser habilitada a opo para fazer a discagem sob demanda Ativar discagem por demanda. Se voc marcar esta opo, quando um usurio da rede tentar acessar a Internet, ser iniciada uma discagem, caso a conexo no esteja ativa.

Nota: Se voc estiver configurando o ICS em um computador que possui mais de uma placa de rede instalada, estar disponvel uma lista para que voc selecione qual a placa de rede que faz a conexo com a rede local, ou seja, com a rede para a qual estar habilitada a conexo compartilhada com a Internet. 7. Voc pode fazer algumas configuraes adicionais no ICS, usando o boto Configuraes... Clique neste boto. 8. Ser exibida a janela de configuraes do compartilhamento com a guia Aplicativos selecionada por padro. Na guia Aplicativos voc pode definir configuraes especficas para habilitar um ou mais aplicativos de rede. Clique na guia Servios. Nesta janela voc pode habilitar os servios da sua rede, que estaro disponveis para usurios da Internet, , conforme indicado na Figura a seguir. Em outras palavras, servios nos computadores da sua rede, os quais estaro disponveis para acesso atravs da Internet. Por exemplo, se voc quiser montar um servidor de FTP (File Transfer Protocol Protocolo de Transferncia de Arquivos), para fornecer o servio de cpias de arquivo, voc ter que habilitar o servio FTP Server. Ao habilitar este servio, voc ter que informar o nome ou o nmero IP do computador da rede interna, no qual est disponvel o servio de FTP. Vamos fazer um exemplo prtico de habilitao de servio.

9. Clique na opo Servidor FTP para marca-la. Ser aberta a janela para configurao deste servio. Nesta janela, o nome do servio e a porta na qual ele trabalha, j vem preenchidos e no podem ser alterados. O protocolo de transporte utilizado pelo servio (TCP ou UDP) tambm j vem assinalado e no pode ser alterado. A nica informao que voc preenche o nome ou o nmero IP do computador da rede interna, onde o servio est disponvel, conforme exemplo da Figura a seguir, onde informado o nmero IP do computador da rede interna,

onde o servio de FTP est disponvel:

10. Informe o nome ou o nmero IP e clique em OK. Voc estar de volta janela de configuraes do compartilhamento. Clique em OK para fecha-la. 11. Voc estar de volta guia Compartilhamento, da janela de propriedades da conexo que est sendo compartilhada. Clique em OK para fechar esta janela e para habilitar o compartilhamento da conexo Internet. Observe que ao ser habilitado o compartilhamento, o cone indicado na Figura a seguir, passa a ser exibido junto conexo que foi compartilhada:

A seguir listo as portas utilizadas pelos principais servios da Internet: Servio Servidor de FTP POP3 Telnet SSL (https) Porta utilizada 21 110 23 443

Servidor Web http (WWW) 80

Importante: Conhea bem as portas indicadas na listagem anterior. Para uma lista completa de todas as portas utilizadas pelos protocolos

TCP e UDP, consulte o seguinte endereo: http://www.iana.org/numbers.htm Pronto, habilitar e configurar o ICS apenas isso. A seguir mostrarei como configurar os clientes. Configurando os clientes da rede para utilizar o ICS: Para que os clientes possam utilizar o ICS, os seguintes tpicos devem ser verificados: 1. Os clientes devem estar conectados em rede, no mesmo barramento de rede local onde est conectada a interface interna do servidor com o ICS habilitado. Esta etapa provavelmente j esteja OK, uma vez que voc certamente habilitou o ICS para fornecer acesso Internet, para os computadores da sua rede interna, a qual suponho j estivesse configurada e funcionando. 2. Os computadores da rede interna devem estar com o protocolo TCP/IP instalado e configurados para usar um servidor DHCP. No caso do ICS, o computador onde o ICS foi habilitado passa a atuar como um servidor DHCP, oferecendo endereos na faixa: 192.168.0.2 -> 192.168.0.254. Ou seja, basta acessar as propriedades do protocolo TCP/IP, conforme descrito na Parte 13 do tutorial e habilitar a opo Obter um endereo IP automaticamente. Nota: Para usurios que no tenham muita experincia com as configuraes de rede e do protocolo TCP/IP, pode ser utilizado o utilitrio netsetup.exe, o qual est disponvel no CD de instalao do Windows 2000 Server, na pasta: D:\SUPPORT\TOOLS. Concluso Nesta parte do tutorial mostrei como funciona o servio de compartilhamento da conexo Internet, conhecido como ICS Internet Conecton Sharing. Voc aprendeu sobre o funcionamento e as limitaes do ICS. Tambm aprendeu a habilitar o ICS e a configurar os demais computadores da rede, para que possam utilizar o ICS.

Tutorial de TCP/IP Parte 17 ICF Internet Connection Firewall (Windows XP)


Introduo: Esta a dcima stima parte do Tutorial de TCP/IP. Na Parte 1 tratei dos aspectos bsicos do protocolo TCP/IP. Na Parte 2 falei sobre clculos binrios, um importante tpico para entender sobre redes, mscara de sub-rede e roteamento. Na Parte 3 falei sobre Classes de endereos, na Parte 4 fiz uma introduo ao roteamento e na Parte 5 apresentei mais alguns exemplos/anlises de como funciona o roteamento e na Parte 6 falei sobre a Tabela de Roteamento. Na Parte 7 tratei sobre a diviso de uma rede em sub-redes, conceito conhecido como subnetting. Na Parte 8 fiz uma apresentao de um dos servios mais utilizados pelo TCP/IP, que o Domain Name System: DNS. O DNS o servio de resoluo de nomes usado em todas as redes TCP/IP, inclusive pela Internet que, sem dvidas, a maior rede TCP/IP existente. Na Parte 9 fiz uma introduo ao servio Dynamic Host Configuration Protocol DHCP. Na Parte 10 fiz uma introduo ao servio Windows Internet Name Services WINS. Na Parte 11 falei sobre os protocolos TCP, UDP e sobre portas de comunicao. Parte 12, mostrei como so efetuadas as configuraes de portas em diversos aplicativos que voc utiliza e os comandos do Windows 2000/XP/2003 utilizados para exibir informaes sobre portas de comunicao. Na Parte 13 falei sobre a instalao e a configurao do protocolo TCP/IP. Na Parte 14 fiz uma introduo sobre o protocolo de roteamento dinmico RIP e na Parte 15 foi a vez de fazer a introduo a um outro protocolo de roteamento dinmico, o OSPF. Na Parte 16 voc aprendeu sobre um recurso bem til do Windows 2000: O compartilhamento da conexo Internet, oficialmente conhecida como ICS Internet Conection Sharing. Este recurso til quando voc tem uma pequena rede, no mais do que cinco mquinas, conectadas em rede, todas com o protocolo TCP/IP instalado e uma das mquinas tem conexo com a Internet. Voc pode habilitar o ICS no computador que tem a conexo com a Internet. Com isso os demais computadores da rede tambm passaro a ter acesso Internet. Nesta dcima stima parte, aprenderemos a utilizar o ICF Internet Connection Firewall (Firewall de Conexo com a Internet). O ICF faz parte do Windows XP e do Windows Server 2003, no estando disponvel no Windows 2000. O ICF tem como objetivo proteger o

acesso do usurio contra ataques e perigos vindos da Internet. Ao nos conectarmos com a Internet estamos em contato com o mundo; e o mundo em contato conosco. A Internet uma via de mo dupla, ou seja, podemos acessar recursos em servidores do mundo inteiro, porm o nosso computador tambm pode ser acessado por pessoas do mundo inteiro, se no tomarmos alguns cuidados bsicos com segurana. Regra nmero 1: Sempre utilize um bom programa de anti-vrus. Escolha o programa de sua preferncia, existem muitos, instale e utilize. inadmissvel no utilizar um programa anti-vrus. Os custos so muito baixos, existindo inclusive programas gratuitos, em comparao com os riscos que se corre em no usar um anti-vrus. Mensagens contendo anexos com vrus, sites com contedo dinmico que pode causar danos, etc, so muitas as ameaas e o anti-vrus capaz de nos proteger de grande parte delas. No site www.invasao.com.br, voc encontra uma anlise comparativa, sobre os principais anti-vrus do mercado. Regra nmero 2: Informao. Procure estar sempre atualizados sobre novos tipos de vrus, novos tipos de ataques e perigos que possam comprometer a segurana do seu computador. Para informaes sobre segurana da informao consulte regularmente o seguinte site: www.invasao.com.br Regra nmero 3: Se voc usa o Windows XP ou o Windows Server 2003, aprenda a utilizar e configurar o IFC (justamente o assunto desta parte do tutorial). o que voc aprender nesta parte do tutorial. Mostrarei o que o IFC, quais as suas funes e como configur-lo para proteger o computador que voc utiliza, para acessar a Internet. Firewall de Conexo com a Internet ICF Se fssemos traduzir firewall literalmente, seria uma parede cortafogo. Esta denominao pode parecer sem sentido prtico, mas veremos que a funo exatamente esta. O firewall como se fosse uma parede, um proteo, colocada entre o seu computador e a Internet. O fogo neste caso seriam os ataques e demais perigos vindos da Internet. A funo do Firewall bloquear (cortar) estes perigos (fogo). Um Firewall pode fazer mais do que isso, ele tambm pode ser utilizado para bloquear determinados tipos de trfegos a partir do seu computador para a Internet. Esta utilizao mais comum em redes de grandes empresas, onde existe um Firewall entre a rede da empresa e a

Internet. Todo acesso Internet passa, obrigatoriamente, pelo Firewall. Atravs de configuraes adeqadas possvel bloquear determinados tipos de informaes que no tem a ver com o trabalho dos funcionrios. Por exemplo, podemos, atravs do Firewal, impedir o acesso a arquivos de vdeo e udio. Mas este no o caso do uso do ICF, o qual mais indicado para um computador conectado diretamente Internet ou para uma pequena rede na qual um dos computadores tem acesso Internet e compartilha esta conexo com os demais computadores (para detalhes sobre o compartilhamento de conexo, consulte a Parte 16). Na Figura a seguir temos um diagrama que ilustra a funo de um Firewall:

Funo do Firewall

A utilizao do ICF depende da configurao que estamos utilizando, ou seja, se temos um nico computador, uma pequena rede ou uma rede empresarial. Vamos considerar estas trs situaes distintas: Um nico computador conectado Internet, quer seja via uma conexo dial-up ou via uma conexo de acesso rpido: Para esta situao configuramos o ICF no computador que est conectado Internet. O ICF protejer o computador de uma srie de ataques originados na Internet. Uma pequena rede onde somente um computador tem conexo com Internet: Nestas situaes comum o computador que tem acesso Internet, compartilhar esta conexo com os demais computadores da rede (veja a Parte 16 deste tutorial). Neste caso, quando o computador que

tem acesso Internet estiver conectado, todos os demais passaro a ter acesso Internet. Ou seja, existe um nico ponto de acesso Internet que o computador no qual existe uma conexo, quer seja dial-up ou de acesso rpido. Nesta situao temos que proteger o computador que est conectado Internet, desta maneira estaremos protegendo todos os demais. Nesta configurao, configuramos o computador com acesso Internet para usar o ICF. Uma rede empresarial com um grande nmero de computadores ligados em rede: Nestes casos tambm comum existir um nico ponto de acesso Internet, o qual compartilhado para todos os computadores da rede. Porm para grandes redes empresariais exigido um alto nvel de sofisticao, capacidade de bloqueio e filtragem e proteo que somente produtos especficos so capazes de fornecer. Nestas situaes comum existir um conjunto de equipamentos e programas que atua como um Firewall para toda a rede da empresa. Obviamente que nestas situaes no indicado o uso do ICF do Windows XP. O ICF considerada uma firewall "de estado". Ela monitora todos os aspectos das comunicaes que cruzam seu caminho e inspeciona o endereo de origem e de destino de cada mensagem com a qual ela lida. Para evitar que o trfego no solicitado da parte pblica da conexo (a Internet) entre na parte privada da rede (o seu computador conectado Internet), o ICF mantm uma tabela de todas as comunicaes que se originaram do computador no qual est configurado o ICF. No caso de um nico computador, o ICF acompanha o trfego originado do computador. Quando usado com o compartilhamento de conexo, no caso de uma pequena rede com o Windows XP, o ICF acompanha todo o trfego originado no computador com o ICF habilitado e nos demais computadores da rede. Todo o trfego de entrada da Internet comparado s entradas na tabela e s tem permisso para alcanar os computadores na sua rede quando houver uma entrada correspondente na tabela mostrando que a troca de comunicao foi iniciada na rede domstica. Na prtica o que acontece o seguinte: quando voc acessa um recurso da Internet, por exemplo acessa o endereo de um site, o computador que voc est usando, envia para a Internet uma requisio, solicitando que a pgina seja carregada no seu Navegador,

por exemplo. Assim pode acontecer com todos os computadores da rede, cada um enviando as suas requisies. O ICF faz uma tabela com todas as requisies enviadas para a Internet. Cada informao que chega no ICF, vinda da Internet verificada. Se esta informao uma resposta a uma das requisies que encontra-se na tabela de requisies, significa que esta informao pode ser enviada para o computador que fez a requisio. Se a informao que est chegando, no corresponde a uma resposta de uma das requisies pendentes, significa que pode ser um ataque vindo da Internet, ou seja, algum tentando acessar o seu computador. Este tipo de informao bloqueada pelo ICF. Vejam que desta forma o ICF est protejando o seu computador, evitando que informaes no solicitadas (no correspondentes a respostas para requisies enviadas) possam chegar at o seu computador ou a sua rede, neste caso o ICF est cortando o fogo vindo da Internet. Podemos configurar o ICF para simplesmente bloquear este tipo de informao no solicitada ou, para alm de bloquear, gerar um log de registro, com informaes sobre estas tentativas. Aprenderemos a fazer estas configuraes nos prximos tpicos. Tambm podemos configurar o ICF para permitir a entrada de informaes que correspondem a determinados servios. Por exemplo, se voc tem uma conexo 24 horas e utilzia o seu computador como um servidor Web, no qual est disponvel um site pessoal, voc deve configurar o ICF para aceitar requisies HTTP, caso contrrio, o seu computador no poder atuar como um servidor Web e todas as requisies dos usurios sero bloqueadas pelo ICF. Tambm aprenderemos a fazer estas configuraes nos prximos tpicos. Ao ativar o ICF, toda a comunicao de entrada, vinda da Internet, ser examindada. Alguns programas, principalmente os de email, podem apresentar um comportamento diferente quando o ICF estiver ativado. Alguns programas de email pesquisam periodicamente o servidor de email para verificar se h novas mensagens, enquanto alguns deles aguardam notificao do servidor de email. As notificaes vindas do servidor no tero requisies correspondentes na tabela de requisies e com isso sero bloqueadas. Neste caso o cliente de email deixaria de receber as notificaes do servidor. O Outlook Express, por exemplo, procura automaticamente novas mensagens em intervalos regulares, conforme configurao do Outlook. Quando h novas mensagens, o Outlook Express envia ao usurio uma notificao. A ICF no afetar o comportamento desse programa,

porque a solicitao de notificao de novas mensagens originada dentro do firewall, pelo prprio Outlook. O firewall cria uma entrada em uma tabela indicando a comunicao de sada. Quando a resposta nova mensagem for confirmada pelo servidor de email, o firewall procurar e encontrar uma entrada associada na tabela e permitir que a comunicao se estabelea. O usurio, em seguida, ser notificado sobre a chegada de uma nova mensagem. Nota: No entanto, o Office 2000 Outlook conectado a um servidor Microsoft Exchange que utiliza uma chamada de procedimento remoto (RPC) para enviar notificaes de novos emails aos clientes. Ele no procura novas mensagens automaticamente quando est conectado a um servidor Exchange. Esse servidor o notifica quando chegam novos emails. Como a notificao RPC iniciada no servidor Exchange fora da firewall, no no Office 2000 Outlook, que est dentro da firewall, o ICF no encontra a entrada correspondente na tabela e no permite que as mensagens RPC passem da Internet para a rede domstica. A mensagem de notificao de RPC ignorada. Os usurios podem enviar e receber mensagens, mas precisam verificar a presena de novas mensagens manualmente, ou seja, a verificao de novas mensagens tem que partir do cliente. Como ativar/desativar o Firewall de Conexo com a Internet Para ativar/desativar o Firewall de Conexo com a Internet, siga os passos indicados a seguir (Windows XP Professional): 1. Abra o Painel de controle: Iniciar -> Painel de controle. 2. Se voc estiver no modo de exibio por Categoria d um clique no link Alternar para o modo de exibio clssico. Se voc j estiver no modo de exibio clssico v para o prximo passo. 3. D um clique duplo na opo Conexes de rede. 4. Sero exibidas as conexes de rede e a conexo com a Internet (ou conexes, caso voc tenha mais do que uma conexo configurada). Clique com o boto direito do mouse na sua conexo Internet. No menu que surge d um clique na opo Propriedades. Ser exibida a janela de Propriedades da conexo com a Internet. 5. D um clique na guia Avanado. Sero exibidas as opes indicadas na Figura a seguir:

A guia Avanado das propriedades da conexo Internet

6. Na guia Avanado, em Firewall de conexo com a Internet, selecione uma das opes a seguir: Para ativar o firewall de conexo com a Internet (ICF), marque a caixa de seleo Proteger o computador e a rede limitando ou impedindo o acesso a este computador pela Internet. Para desativar o firewall de conexo com a Internet (ICF), desmarque a caixa de seleo Proteger o computador e a rede limitando ou impedindo o acesso a este computador pela Internet. 7. D um clique no boto OK para aplicar as configuraes selecionadas. Nota: Para ativar/desativar o ICF voc deve ter feito o logon como Administrador ou como um usurio com permisses de Administrador. Para todos os detalhes sobre a criao e administrao de usurios no Windows XP, consulte o Captulo 6 do meu livro: Windows XP Home &

Professional Para Usurios e Administradores Como ativar/desativar o log de Segurana do ICF O log de segurana da Firewall de conexo com a Internet (ICF) permite que usurios avanados escolham as informaes a serem registradas. Com ele, possvel: Registrar em log os pacotes eliminados, isto , pacotes que foram bloqueados no Firewall. Essa opo registrar no log todos os pacotes ignorados que se originarem da rede domstica ou de pequena empresa ou da Internet. Registrar em log as conexes bem-sucedidas, isto , pacotes que no foram bloqueados. Essa opo registrar no log todas as conexes bem-sucedidas que se originarem da rede domstica ou de pequena empresa ou da Internet. Quando voc marca a caixa de seleo Registrar em log os pacotes eliminados (veremos como fazer isso no prximo tpico), as informaes so coletadas a cada tentativa de trfego pela firewall detectada e negada/bloqueada pelo ICF. Por exemplo, se as configuraes do protocolo de controle de mensagens da Internet (ICMP) no estiverem definidas para permitir solicitaes de eco de entrada, como as enviadas pelos comandos Ping e Tracert, e uma solicitao de eco de fora da rede for recebida, ela ser ignorada e ser feito um registro no log. Os comandos ping e tracert so utilizados para verificar se computadores de uma rede esto conectados a rede. Estes comandos so baseados em um protocolo chamado ICMP Internet Control Message Protocol. O ICF pode ser configurado para no aceitar este protocolo (aprenderemos a fazer estas configuraes mais adiante). Neste caso, toda vez que utilizarmos os comandos ping ou tracert, ser feita uma tentativa de trafegar informaes usando o protocolo ICMP, o que ser bloqueado pelo Firewall e ficar registrado no log de segurana. Quando voc marca a caixa de seleo Listar conexes de sada bemsucedidas, so coletadas informaes sobre cada conexo bem-sucedida que passe pela firewall. Por exemplo, quando algum da rede se conecta com xito a um site da Web usando o Internet Explorer, gerada uma entrada no log. Devemos ter cuidado com esta opo, pois dependendo do quanto usamos a Internet, ao marcar esta opo ser gerado um grande nmero de entradas no log de segurana do ICF, embora seja possvel limitar o tamanho mximo do arquivo no qual so gravadas as

entradas do log, conforme aprenderemos mais adiante. O log de segurana produzido com o formato de arquivo de log estendido W3C, que um formato padro definido pela entidade que define padres para a internet, o w3c. Maiores informaes no site: www.w3.org. O arquivo no qual est o log de segurana um arquivo de texto comum, o qual pode ser lido utilizando um editor de textos como o Bloco de notas. Como ativar opes do log de segurana: Por padro, ao ativarmos o ICF, o log de segurana no ativado. Para ativ-lo, de tal maneira que passem a ser registrados eventos no log de segurana, siga os passos indicados a seguir (Windows XP): 1. Faa o logon como Administrador ou com uma conta com permisso de Administrador. 2. Abra o Painel de controle: Iniciar -> Painel de controle. 3. Se voc estiver no modo de exibio por Categoria d um clique no link Alternar para o modo de exibio clssico. Se voc j estiver no modo de exibio clssico v para o prximo passo. 4. D um clique duplo na opo Conexes de rede. 5. Sero exibidas as conexes de rede e a conexo com a Internet (ou conexes, caso voc tenha mais do que uma conexo configurada). 6. D um clique na conexo para a qual voc ativou o ICF. 7. No painel da esquerda, no grupo de opes Tarefas da rede, d um clique na opo Alterar as configuraes desta conexo. 8. D um clique na guia Avanado. 9. Na guia Avanado, d um clique no boto Configuraes... 10. Ser exibida a janela Configuraes avanadas. D um clique na guia Log de segurana. Sero exibidas as opes indicadas na Figura a seguir:

Configurando opes do log de segurana do ICF

Nesta guia temos as seguintes opes: Registrar em logo os pacotes eliminados: Marque esta opo para que todos os pacotes ignorados/bloqueados que se originaram da rede privada ou da Internet, sejam registrados no log de segurana do ICF. Registrar em log as conexes bem-sucedidas: Marque esta opo para que todas as conexes bemsucedidas que se originaram da sua rede local ou da Internet sero registradas no log de segurana. Campo Nome: Neste campo definimos o nome do arquivo onde sero gravadas as entradas do log de segurana. Por padro sugerido o seguinte caminho: C:\Windows\pfirewall.log. Substitua C:\Windows pela pasta onde est instalado o Windows XP, caso este tenha sido instalado em outra pasta.

Limite de tamanho: Define o tamanho mximo para o arquivo do log de segurana. O tamanho mximo admitido para o arquivo de log 32.767 quilobytes (KB). Quando o tamanho mximo for atingido, as entradas de log mais antigas sero descartadas. 11. Marque a opo Registrar em log os pacotes eliminados. 12. Marque a opo Registrar em log as conexes bem sucedidas. 13. D um clique no boto OK para aplicar as novas configuraes. 14. Voc estar de volta guia Avanado da janela de Propriedades da conexo. D um clique no boto OK para fechar esta janela. 15. Faa uma conexo com a Internet e acesse alguns sites, abra o Outlook e envie algumas mensagens. Isto para gerar trfego atravs do Firewall, para que sejam geradas entradas no log de segurana. Agora vamos abrir o arquivo e ver os eventos que foram gravados no log de seguranao. 16. Abra o bloco de Notas. 17. Abra o arquivo definido como aqruivo de log, que por padro o arquivo C:\Windows\pfirewall.log. Caso voc tenha alterado esta opo, abra o respectivo arquivo. Na Figura a seguir temos uma viso de algumas entradas que foram gravadas no arquivo de log.

O arquivo do log de segurana.

Observe que cada entrada segue um padro definido, como por exemplo: -

200223:07:57 DROP UDP 200.176.2.10 200.176.165.149 53 3013 379 03-18

Data Onde:

Hora

Ao Prot.

End. IP origem

End. IP Destino

po pd

tamanho.

Prot. = Protocolo utilizado para comunicao. po = Porta de origem. pd = Porta de destino. Nota: Estas informaes so especialmente teis para tcnicos em segurana e redes, que conhecem bem o protocolo TCP/IP, possam analisar a origem de possveis ataques. Para mais detalhes sobre Portas no Protocolo TCP/IP, consulte a Parte 12 deste tutorial. 18. Feche o arquivo de log. Nota: Para desabilitar o log de segurana, repita os passos de 1 a 10 e desmarque as opes desejadas. Por exemplo, se voc no deseja registrar um log das conexes bem sucedidas, as quais no representam perigo de ataque, desmarque a opo Registrar em log as conexes bem sucedidas. Habilitando servios que sero aceitos pelo ICF Se voc tem uma conexo permanente com a Internet e quer utilizar o seu computador com Windows XP como um servidor Web (disponibilizando pginas), um servidor ftp (disponibilizando arquivos para Download) ou outro tipo de servio da Internet, voc ter que configurar o ICF para aceitar requisies para tais servios. Lembre que, por padro, o ICF bloqueia todo trfego vindo da Internet, que no seja resposta a uma requisio da rede interna, enviada pelo usurio. Se voc vai utilizar o seu computador como um Servidor, o trfego vindo de fora corresponder as requisio dos usurios, requisies estas que tero que passar pelo ICF para chegarem at o servidor e ser

respondidas. Por padro nenhum dos servios est habilitado, o que garante uma maior segurana. Para habilitar os servios necessrios, siga os seguintes passos: 1. Faa o logon como Administrador ou com uma conta com permisso de Administrador. 2. Abra o Painel de controle: Iniciar -> Painel de controle. 3. Se voc estiver no modo de exibio por Categoria d um clique no link Alternar para o modo de exibio clssico. Se voc j estiver no modo de exibio clssico v para o prximo passo. 4. D um clique duplo na opo Conexes de rede. 5. Sero exibidas as conexes de rede e a conexo com a Internet (ou conexes, caso voc tenha mais do que uma conexo configurada). 6. D um clique na conexo para a qual voc ativou o ICF. 7. No painel da esquerda, no grupo de opes Tarefas da rede, d um clique na opo Alterar as configuraes desta conexo. 8. D um clique na guia Avanado. 9. Na guia Avanado, d um clique no boto Configuraes... 10. Ser exibida a janela Configuraes avanadas. D um clique na guia Servios, ser exibida a janela indicada na Figura a seguir:

Habilitando/desabilitando servios para o ICF.

Para habilitar um determinado servio, basta marcar a caixa de seleo ao lado do respectivo servio. Ao clicar em um determinado servio, ser aberta, automaticamente, uma janela Coniguraes de servio. Esta janela vem com o valor padro para os parmetros de configurao do respectivo servio. Somente altere estes valores se voc souber exatamente o que cada parmetro significa, pois ao informar parmetros incorretamente, o servio deixa de funcionar. Voc tambm pode utilizar o boto Adicionar..., para adicionar novos servios, no constantes na lista. 11. Aps ter habilitados os servios necessrios, d um clique no boto OK para aplicar as alteraes. 12. Voc estar de volta janela Propriedades da conexo. D um clique no boto OK para fech-la. Configuraes do protocolo ICMP para o Firewall Conforme descrito anteriormente, o protocolo ICMP utilizado por uma

srie de utilitrios de rede, utilitrios estes que so usados pelo Administrador da rede para fazer testes de conexes e monitorar equipamentos e linhas de comunicao. Por padro o ICF bloqueia o trfego ICMP. Ns podemos personalizar a maneira como o trfego ICMP ser tratado pelo ICF. Podemos liberar todo o trfego ICMP ou apenas determinados tipos de uso, para funes especficas. Para configurar o padro de trfego ICMP atravs do Firewall, faa o seguinte: 1. Faa o logon como Administrador ou com uma conta com permisso de Administrador. 2. Abra o Painel de controle: Iniciar -> Painel de controle. 3. Se voc estiver no modo de exibio por Categoria d um clique no link Alternar para o modo de exibio clssico. Se voc j estiver no modo de exibio clssico v para o prximo passo. 4. D um clique duplo na opo Conexes de rede. 5. Sero exibidas as conexes de rede e a conexo com a Internet (ou conexes, caso voc tenha mais do que uma conexo configurada). 6. D um clique na conexo para a qual voc ativou o ICF. 7. No painel da esquerda, no grupo de opes Tarefas da rede, d um clique na opo Alterar as configuraes desta conexo. 8. D um clique na guia Avanado. 9. Na guia Avanado, d um clique no boto Configuraes... 10. Ser exibida a janela Configuraes avanadas. D um clique na guia ICMP, ser exibida a janela indicada na Figura a seguir:

Configurando o trfego ICMP atravs do Firewall.

Na guia ICMP podemos marcar/desmarcar as seguintes opes: Permitir solicitao de eco na entrada: As mensagens enviadas para este computador sero repetidas para o remetente. Por exemplo, se algum de fora der um ping para este computador, uma resposta ser enviada. Se esta opo estiver desmarcada o computador no responder a comandos como ping e tracert. Permitir solicitao de carimbo de data/hora de entrada: Os dados enviados para o computador podem ser confirmados por uma mensagem indicando quando foram recebidos. Permitir solicitao de mscara de entrada: A mscara de entrada um parmetro de configurao do protocolo TCP/IP, parmetro este que utilizado pelo protocolo para definir se duas mquinas que esto tentando se comunicar, pertencem a mesma rede ou a redes

diferentes. Se este parmetro estiver marcado, o computador ser capaz de fornecer diversas informaes sobre a rede a qual ele est conectado. Esta opo importante quando estamos utilizando programas de gerenciamento de rede que, utilizam o protocolo ICMP para obter informaes sobre os equipamentos da rede. Permitir solicitao de roteador de entrada: Se esta opo estiver marcada o computador ser capaz de responder s solicitaes sobre quais rotas ele conhece. Permitir destino de sada inacessvel: Os dados enviados pela Internet, tendo como destino este computador e, que no conseguiram chegar at ele devido a algum erro sero descartados e ser exibida uma mensagem explicando o erro e informando que o destino est inacessvel. A mensagem ser exibida no computador de origem, o qual tentou enviar dados para este computador, dados estes que no conseguiram chegar. Permitir retardamento de origem de sada: Quando a capacidade de processamento de dados de entrada do computador no for compatvel com a taxa de transmisso dos dados que esto chegando, os dados sero descartados e ser solicitado ao remetente que diminua a velocidade de transmisso. Permitir problema no parmetro de sada: Se este computador descartar dados devido a um problema no cabealho dos pacotes de dados, ele enviar ao remetente uma mensagem de erro informando que h um cabealho invlido. Permitir hora de sada ultrapassada: Se o computador descartar uma transmisso de dados por precisar de mais tempo para conclu-la, ele enviar ao remetente uma mensagem informando que o tempo expirou. Permitir redirecionamento: Os dados enviados pelo computador seguiro uma rota alternativa, se uma estiver disponvel, caso o caminho (rota) padro tenha sido alterado.

11. Marque as opes que forem necessrias, de acordo com as funes que estiver desempenhando o comuptador. 12. Aps ter marcado as opes necessrias, d um clique no boto OK para aplicar as alteraes. 12. Voc estar de volta janela Propriedades da conexo. D um clique no boto OK para fech-la. Concluso Nesta parte do tutorial mostrei como funciona o servio firewall do Windows XP, conhecido como ICF Internet Connection Firewall. O ICF apresenta funcionalidades bsicas e um nvel de proteo satisfatrio para usurios domsticos e de pequenas redes. Para redes empresarias, sem nenhuma dvida, faz-se necessria a utilizao de produtos projetados especificamente para proteo e desempenho. Um destes produtos o Internet Security and Acceleration Server ISA Server. Maiores detalhes no seguinte endereo: http://www.microsoft.com/isaserver. Ao fazer uma conexo com a Internet estamos em contato com o mundo; e o mundo em contato conosco. A Internet uma via de mo dupla, ou seja, podemos acessar recursos em servidores do mundo inteiro, porm o nosso computador tambm pode ser acessado por pessoas do mundo inteiro, se no tomarmos alguns cuidados bsicos com segurana. Para nos proteger contra estes perigos digitais, aprendemos a habilitar e configurar o ICF Internet Connector Firewall. Aprendemos sobre o conceitod e Firewall e como configurar o ICF.

Tutorial de TCP/IP Parte 18 Introduo ao IPSec


Introduo: Esta a dcima oitava parte do Tutorial de TCP/IP. Na Parte 1 tratei dos aspectos bsicos do protocolo TCP/IP. Na Parte 2 falei sobre clculos binrios, um importante tpico para entender sobre redes, mscara de sub-rede e roteamento. Na Parte 3 falei sobre Classes de endereos, na Parte 4 fiz uma introduo ao roteamento e na Parte 5 apresentei mais alguns exemplos/anlises de como funciona o roteamento e na Parte 6 falei sobre a Tabela de Roteamento. Na Parte 7 tratei sobre a diviso de uma rede em sub-redes, conceito conhecido como subnetting. Na Parte 8 fiz uma apresentao de um dos servios mais utilizados pelo TCP/IP, que o Domain Name System: DNS. O DNS o servio de resoluo de nomes usado em todas as redes TCP/IP, inclusive pela Internet que, sem dvidas, a maior rede TCP/IP existente. Na Parte 9 fiz uma introduo ao servio Dynamic Host Configuration Protocol DHCP. Na Parte 10 fiz uma introduo ao servio Windows Internet Name Services WINS. Na Parte 11 falei sobre os protocolos TCP, UDP e sobre portas de comunicao. Parte 12, mostrei como so efetuadas as configuraes de portas em diversos aplicativos que voc utiliza e os comandos do Windows 2000/XP/2003 utilizados para exibir informaes sobre portas de comunicao. Na Parte 13 falei sobre a instalao e a configurao do protocolo TCP/IP. Na Parte 14 fiz uma introduo sobre o protocolo de roteamento dinmico RIP e na Parte 15 foi a vez de fazer a introduo a um outro protocolo de roteamento dinmico, o OSPF. Na Parte 16 voc aprendeu sobre um recurso bem til do Windows 2000: O compartilhamento da conexo Internet, oficialmente conhecida como ICS Internet Conection Sharing. Este recurso til quando voc tem uma pequena rede, no mais do que cinco mquinas, conectadas em rede, todas com o protocolo TCP/IP instalado e uma das mquinas tem conexo com a Internet. Voc pode habilitar o ICS no computador que tem a conexo com a Internet. Na Parte 17, voc aprendeu a utilizar o IFC Internet Firewall Connection (Firewall de Conexo com a Internet). O IFC faz parte do Windows XP e do Windows Server 2003, no estando disponvel no Windows 2000. O IFC tem como objetivo proteger o acesso do usurio contra ataques e perigos vindos da Internet. Nesta dcima oitava parte, farei uma apresentao sobre o protocolo IPSec. O IPSec faz parte do Windows 2000, Windows XP e Windows

Server 2003. O IPSec pode ser utilizado para criar um canal de comunicao seguro, onde todos os dados que so trocados entre os computaodres habilitados ao IPSec, so criptografados. O protocolo IPSec O IPSec um conjunto de padres utilizados para garantir uma comunicao segura entre dois computadores, mesmo que as informaes estejam sendo enviadas atravs de um meio no seguro, como por exemplo a Internet. Observe que esta definio parecida com a definio de VPN Virtual Private Network. Por isso que a combinao L2TP/IPSec uma das opes mais indicadas para a criao de conexes do tipo VPN. Por exemplo, vamos imaginar uma rede local de uma empresa, onde voc quer garantir a segurana das informaes que so trocadas entre a estao de trabalho do Presidente da empresa e as estaes de trabalho da diretoria. Ou seja, se um dos diretores acessar um arquivo em uma pasta compartilhada, no computador do Presidente da empresa, voc quer garantir que todos os dados enviados atravs da rede sejam criptografados, para garantir um nvel adicional de segurana. Este um exemplo tpico onde a utilizao do protocolo IPSec recomendada. Ou seja, voc pode configurar o computador do Presidente e os computadores dos diretores, para que somente aceitem comunicao via IPSec. Com isso estes computadores podero trocar informaes entre si, mas outros usurios, que no estejam habilitados ao IPSec, no podero se comunicar com os computadores com IPSec habilitado. Uma introduo ao protocolo IPSec O IPSec baseado em um modelo ponto-a-ponto, no qual dois computadores, para trocar informaes de maneira segura, usando IPSec, devem concordar com um conjunto comum de regras e definies do IPSec. Com o uso do IPSEc e das tecnologias associadas, os dois computadores so capazes de se autenticar mutuamente e manter uma comunicao segura, com dados criptografados, mesmo usando um meio no seguro, como a Internet. O uso do protocolo IPSec apresenta funcionalidades importantes, quando existe uma necessidade de grande segurana na comunicao entre dois computadores. A seguir apresento as principais destas caractersticas:

Uma proteo agressiva contra ataques rede privada e Internet mantendo a facilidade de uso. Ao mesmo tempo que fornece uma proteo efetiva contra ataques e tentativas de captura dos dados, o IPSec fcil de configurar, com o uso de polticas de segurana, conforme voc aprender na parte prtica, logo a seguir. Um conjunto de servios de proteo baseados em criptografia e protocolos de segurana. A criptografia um dos elementos principais do IPSec, para garantir que os dados no possam ser acessados por pessoas no autorizadas. Neste ponto importante salientar que existem diferentes formas de uso do IPSec com o Windows 2000. Uma delas usando o IPSec padro, conforme definido pelos padres do IETF. Este uso conhecido como uso do IPSec no modo de tnel. J uma implementao especfica da Microsoft, usa o IPSec em conjunto com o protocolo L2TP, sendo o L2TP o responsvel pela criptografia dos dados. Este modo conhecido como modo de transporte. No modo de tnel somente possvel usar o IPSec em redes baseadas em IP. J no modo de transporte, o L2TP um protocolo de nvel de transporte, por isso possvel usar IPSec/L2TP para transportar no apenas pacotes IP, mas tambm IPX, NetBEUI e assim por diante. Segurana do comeo ao fim. Os nicos computadores na comunicao que devem saber sobre a proteo de IPSec so o remetente e o receptor, ou seja, o meio atravs do qual os pacotes so enviados no precisa estar habilitado ao IPSec. Observem que este o conceito de enviar informaes de uma maneira segura, usando um meio no seguro. O exemplo tpico a criao de VPNs, usando a Internet. A Internet em si, baseada apenas no protocolo TCP/IP no um meio seguro, uma vez que, por padro, os dados no so criptografados. Porm adicionando tcnicas de criptografia e tunelamento, disponveis com o uso do IPSec com o L2TP, podemos criar tneis seguros, atravs de um meio no seguro. o conceito de VPN em sua essncia. A capacidade de proteger a comunicao entre grupos de trabalho, computadores de rede local, clientes e servidores de domnio, escritrios de filiais que podem ser fisicamente remotos, extranets, clientes mveis e administrao remota de computadores.

Configurao baseada em diretivas de segurana Os mtodos de segurana mais fortes que so baseados em criptografia tm a capacidade de aumentar muito a sobrecarga administrativa. A implementao do IPSec no Windows 2000 Server e no Windows Server 2003 evita esse problema implementando a administrao do IPSec com base em diretivas de segurana, configuradas via GPOs. Nota: Para detalhes completos sobre Group Policy Objects (GPOs), consulte o livro: Windows Server 2003 Curso Completo, 1568 pginas, de minha autoria, publicado pela Axcel Books. Em vez de aplicativos ou sistemas operacionais, voc usa as diretivas para configurar o IPSec. Como as configuraes so aplicadas via GPOs, o Administrador pode aplicar as configuraes de IPSec a todos os computadores de um domnio, site ou unidade organizacional. O Windows 2000 e o Windows Server 2003 fornecem um console de gerenciamento central, o Gerenciamento de diretivas de segurana IP, para definir e gerenciar as diretivas de IPSec. As diretivas podem ser configuradas para fornecer nveis variveis de proteo para a maioria dos tipos de trfego na maioria das redes existentes, com a aplicao de filtros e regras personalizadas, conforme voc ver na parte prtica, mais adiante. Existe um conjunto de diretivas bsicas, para habilitar o IPSec, que determinam como ser efetuada a comunicao entre os computadores com o IPSec habilitado. A seguir descrevo, resumidamente, estas diretivas padro, disponveis no Windows 2000 Server e no Windows Server 2003: Server (Request Security): Ao habilitar esta diretiva, tambm sero aceitas comunicaes no seguras, porm para estabelecer uma conexo segura, os clientes devem utilizar um mtodo de autenticao aceito pelo servidor. Com esta poltica sero aceitas comunicaes no seguras (no utilizando IPSec), se o outro lado no suportar o uso do IPSec. Ou seja, quando o cliente tenta se comunicar com o servidor, o Servidor tenta estabelecer uma comunicao usando IPSec. Se o cliente no estiver configurado para utilizar o IPSec, a comunicao ser estabelecida mesmo assim, sem a utilizao de IPSec. Client (Respond only): Esta poltica indicada para computadores da rede interna, da Intranet da empresa. Ao

iniciar a comunicao com outros computadores, no ser utilizado o IPSec. Contudo se o outro computador exigir o uso do IPSec, a comunicao via IPSec ser estabelecida. Security Server (Request Security): Aceita um incio de comunicao no seguro, mas requer que os clientes estabeleam uma comunicao segura, usando IPSec e um dos mtodos aceitos pelo servidor. Se o cliente no puder atender estas condies, a comunicao no ser estabelecida. Uma maneira mais simples de fornecer proteo dos dados A implementao da IPSec no nvel de transporte IP (Camada de rede, nvel 3) permite um alto nvel de proteo com pouca sobrecarga. A implementao do IPSec no requer nenhuma alterao nos aplicativos ou sistemas operacionais existentes, basta a configurao das diretivas de segurana, para que o computador passe a usar o IPSec. Automaticamente, todos os programas instalados no computador, passaro a utilizar o IPSec para troca de informaes com outros computadores tambm habilitados ao IPSec. Isso bem mais fcil de implementar e de administrar do que ter que configurar a criptografia e segurana em cada aplicativo ou servio. Outros mecanismos de segurana que operam sobre a camada de rede 3, como Secure Sockets Layer (SSL), s fornecem segurana a aplicativos habilitados ao SSL, como os navegadores da Web. Voc deve modificar todos os outros aplicativos para proteger as comunicaes com SSL, ou seja, os programas tem que ser alterados para poderem utilizar o SSL. Os mecanismos de segurana que operam abaixo da camada de rede 3, como criptografia de camada de vnculo, s protegem o link, mas no necessariamente todos os links ao longo do caminho de dados. Isso torna a criptografia da camada de links inadequada para proteo de dados do princpio ao fim na Internet ou na Intranet da empresa.

A implementao do IPSec na Camada de rede 3 fornece proteo para todos os protocolos IP e de camada superior no conjunto de protocolos TCP/IP, como TCP, UDP, ICMP, etc. A principal vantagem de informaes

seguras nessa camada que todos os aplicativos e servios que usam IP para transporte de dados podem ser protegidos com IPSec, sem nenhuma modificao nos aplicativos ou servios (para proteger protocolos diferentes de IP, os pacotes devem ser encapsulados por IP). Caractersticas e componentes do protocolo IPSec Quando o IPSec habilitado e dois computadores passam a se comunicar usando IPSec, algumas modificaes so efetuadas na maneira como feita a troca de informaes entre estes computadores. A primeira mudana que o protocolo IPSec adiciona um cabealho (Header) em todos os pacotes. Este cabealho tecnicamente conhecido como AH (Authentication header). Este cabealho desempenha trs importantes funes: utilizado para a autenticao entre os computadores que se comunicaro usando IPSec. utilizado para verificar a integridade dos dados, ou seja, para verificar se os dados no foram alterados ou corrompidos durante o transporte. Impede ataques do tipo repetio, onde pacotes IPSec so capturados e em seguida reenviados ao destino, em uma tentativa de ter acesso ao computador de destino. O cabealho de autenticao impede este tipo de ataque, pois contm informaes que permite ao destinatrio identificar se um pacote j foi entregue ou no. No cabealho AH esto, dentre outras, as seguintes informaes: A identificao do prximo cabealho, o tamanho do cabealho, parmetros de segurana, nmero de seqncia e autenticao de dados (contm informaes para a verificao da integridade de dados). Um detalhe importante a salientar que o cabealho de identificao no criptografado e no utilizado para criptografar dados. Conforme o nome sugere ele contm informaes para a autenticao e para verificao da integridade dos dados. Mas alm da autenticao mtua e da verificao da integridade dos dados preciso garantir a confidencialidade dos dados, ou seja, se os pacotes forem capturados importante que no possam ser lidos a no ser pelo destinatrio. A confidencialidade garante que os dados somente

sejam revelados para os verdadeiros destinatrios. Para garantir a confidencialidade, o IPSec usa pacotes no formato Encapsulating Security Payload (ESP). Os dados do pacote so criptografados antes da transmisso, garantindo que os dados no possam ser lidos durante a transmisso mesmo que o pacote seja monitorado ou interceptado por um invasor. Apenas o computador com a chave de criptografia compartilhada ser capaz de interpretar ou modificar os dados. Os algoritmos United States Data Encryption Standard (DES padro dos Estados Unidos), DES (Data Encryption Standard) e 3DES (Triple Data Encryption Standard) so usados para oferecer a confidencialidade da negociao de segurana e do intercmbio de dados de aplicativo. O Cipher Block Chaining (CBC) usado para ocultar padres de blocos de dados idnticos dentro de um pacote sem aumentar o tamanho dos dados aps a criptografia. Os padres repetidos podem comprometer a segurana fornecendo uma pista que um invasor pode usar para tentar descobrir a chave de criptografia. Um vetor de inicializao (um nmero inicial aleatrio) usado como o primeiro bloco aleatrio para criptografar e descriptografar um bloco de dados. Diferentes blocos aleatrios so usados junto com a chave secreta para criptografar cada bloco. Isso garante que conjuntos idnticos de dados no protegidos sejam transformados em conjuntos exclusivos de dados criptografados. Usando as tecnologias descritas, o protocolo IPSec apresenta as seguintes caractersticas/funcionalidades: A configurao e habilitao do IPSec baseada no uso de Polices. No existe outra maneira de criar, configurar e habilitar o IPSec a no ser com o uso de uma GPO. Isso facilita a configurao e aplicao do IPSec a grupos de computadores, como por exemplo, todos os computadores do domnio ou de um site ou de uma unidade organizacional. Quando dois computadores vo trocar dados usando IPSec, a primeira etapa fazer a autenticao mtua entre os dois computadores. Nenhuma troca de dados efetuada, at que a autenticao mtua tenha sido efetuada com sucesso. O IPSec utiliza o protocolo Kerberos para autenticao dos usurios.

Quando dois computadores vo se comunicar via IPSec, criada uma SA (Securtiy Association associao de segurana) entre os computadores. Na SA esto definidas as regras de comunicao, os filtros a serem aplicados e o conjunto de chaves que ser utilizado para criptografia e autenticao. O protocolo IPSec pode utilizar certificados de chave pblica para confiar em computadores que utilizam outros sistemas operacionais, como por exemplo o Linux. O IPSec fornece suporte ao pr-compartilhamento de uma chave de segurana (preshared key support). Em situaes onde no est disponvel o uso do protocolo Kerberos, uma chave, como por exemplo a definio de uma senha, pode ser configurada ao criar a sesso IPSec. Esta chave tem que ser informada em todos os computadores que iro trocar dados de forma segura, usando IPSec. Conforme descrito anteriormente, o uso do IPSec absolutamente transparente para os usurios e aplicaes. O computador que configurado para usar o IPSec. Os programas instalados neste computador passam a usar o IPSec, sem que nenhuma modificao tenha que ser efetuada. Os dados so interceptados pelo sistema operacional e a comunicao feita usando IPSec, sem que os usurios tenha que fazer quaisquer configuraes adicionais. Concluso Nesta parte do tutorial fiz uma breve apresentao do protocolo IPSec, o qual j parte integrante do Windows 2000, Windows XP e Windows Server 2003. Inicialmente apresentei a fundamentao terica sobre IPSec, para que o leitor possa entender exatamente o que o IPSec e quando utiliza-lo. Mostrei que este protocolo configurado/habilitado atravs do uso de polticas de segurana e que existem diferentes modelos de polticas de segurana disponveis no Windows 2000 Server e/ou Windows Server 2003. O IPSec um conjunto de padres utilizados para garantir uma comunicao segura entre dois computadores, mesmo que as informaes estejam sendo enviadas atravs de um meio no seguro, como por exemplo a Internet. Observe que esta definio parecida

com a definio de VPN. Por isso que a combinao L2TP/IPSec uma das opes para a criao de conexes do tipo VPN. O IPSec baseado em um modelo ponto-a-ponto, no qual dois computadores, para trocar informaes de maneira segura, usando IPSec, devem concordar com um conjunto comum de regras e definies do IPSec. Com o uso do IPSEc e das tecnologias associadas, os dois computadores so capazes de se autenticar mutuamente e manter uma comunicao segura, com dados criptografados, mesmo usando um meio no seguro, como a Internet.

Tutorial de TCP/IP Parte 19 Certificados Digitais e Segurana


Introduo: Esta a dcima nona parte do Tutorial de TCP/IP. Na Parte 1 tratei dos aspectos bsicos do protocolo TCP/IP. Na Parte 2 falei sobre clculos binrios, um importante tpico para entender sobre redes, mscara de sub-rede e roteamento. Na Parte 3 falei sobre Classes de endereos, na Parte 4 fiz uma introduo ao roteamento e na Parte 5 apresentei mais alguns exemplos/anlises de como funciona o roteamento e na Parte 6 falei sobre a Tabela de Roteamento. Na Parte 7 tratei sobre a diviso de uma rede em sub-redes, conceito conhecido como subnetting. Na Parte 8 fiz uma apresentao de um dos servios mais utilizados pelo TCP/IP, que o Domain Name System: DNS. O DNS o servio de resoluo de nomes usado em todas as redes TCP/IP, inclusive pela Internet que, sem dvidas, a maior rede TCP/IP existente. Na Parte 9 fiz uma introduo ao servio Dynamic Host Configuration Protocol DHCP. Na Parte 10 fiz uma introduo ao servio Windows Internet Name Services WINS. Na Parte 11 falei sobre os protocolos TCP, UDP e sobre portas de comunicao. Parte 12, mostrei como so efetuadas as configuraes de portas em diversos aplicativos que voc utiliza e os comandos do Windows 2000/XP/2003 utilizados para exibir informaes sobre portas de comunicao. Na Parte 13 falei sobre a instalao e a configurao do protocolo TCP/IP. Na Parte 14 fiz uma introduo sobre o protocolo de roteamento dinmico RIP e na Parte 15 foi a vez de fazer a introduo a um outro protocolo de roteamento dinmico, o OSPF. Na Parte 16 voc aprendeu sobre um recurso bem til do Windows 2000: O compartilhamento da conexo Internet, oficialmente conhecida como ICS Internet Conection Sharing. Este recurso til quando voc tem uma pequena rede, no mais do que cinco mquinas, conectadas em rede, todas com o protocolo TCP/IP instalado e uma das mquinas tem conexo com a Internet. Voc pode habilitar o ICS no computador que tem a conexo com a Internet. Na Parte 17, voc aprendeu a utilizar o IFC Internet Firewall Connection (Firewall de Conexo com a Internet). O IFC faz parte do Windows XP e do Windows Server 2003, no estando disponvel no Windows 2000. O IFC tem como objetivo proteger o acesso do usurio contra ataques e perigos vindos da Internet. Na Parte 18 fiz uma apresentao sobre o protocolo IPSec. O IPSec faz parte do Windows 2000, Windows XP e Windows Server 2003. O IPSec pode ser utilizado para criar um canal de

comunicao seguro, onde todos os dados que so trocados entre os computaodres habilitados ao IPSec, so criptografados. Nesta dcima nona parte, farei uma apresentao sobre o conceito de PKI Public Key Infrastructure e Certificados Digitais. O Windows 2000 Server e tambm o Windows Server 2003 disponibilizam servios para a emisso, gerenciamento e revogao de Certificados Digitais. Voc tambm entender o papel dos Certificados Digitais em relao segurana das informaes. Apresentarei o conceito de PKI - Public Key Infrastructure (Infraestrutura de chave pblica). Voc ver que uma Public Key Infrastructure (Infraestrutura de chave pblica), abreviada simplesmente como PKI, nada mais do que uma infraestrutura de segurana baseada em certificados digitais, em autoridades certificadores (CA Certificate Authorities - que emitem e revogam os certificados) e autoridades de registro, as quais fazem a verificao da autenticidade de todas as estruturas envolvidas em uma PKI. Nesta parte do tutorial voc entender o que vem a ser uma PKI, aprender sobre os conceitos bsicos de uso de um par de chaves para fazer a criptografia e proteo dos dados. Tambm mostrarei qual o papel do Microsoft Certification Service, que o servidor da Microsoft para a emisso e controle de certificados digitais, servio este disponvel no Windows 2000 Server e tambm no Windows Server 2003. Com o uso do Microsoft Certificate Services, a empresa pode montar a sua prpria infraestrutura de certificados digitais, sem depender de uma autoridade certificadora externa. Nota: Para aprender a instalar, configurar e a administrar o Microsoft Certificate Services, consulte o Captulo 7 do meu livro: Manual de Estudos Para o Exame 70-216, 712 pginas. O uso de Certificados e uma infra-estrutura de chave pblica uma alternativa de baixo custo, para ambientes que precisam de nveis de segurana elevados, como por exemplo departamentos de pesquisa de novos produtos e tecnologias, ou rgos governamentais estratgicos, como os rgos de defesa e de segurana. Com o uso do Microsoft Certificate Services possvel criar a administrar uma estrutura de segurana baseada em Certificados Digitais. Microsoft Certificate Services e PKI Neste tpico apresentarei o conceito de PKI e de criptografia baseada

em um par de chaves de criptografia: uma chave pblica e uma chave privada. Voc ver que os Certificados digitais tem papel fundamental em uma estrutura de PKI. Neste tpico voc tambm aprender a instalar e a configurar o Microsoft Certificate Services. Uma introduo sobre Certificados e PKI Public Key Infrastructure Segurana mais do que nunca um assunto sempre em pauta. De tempos em tempos um novo vrus causa pnico na Internet, novos tipos de ataques so notificados, sites ficam indisponveis devido a ataques de hackers, problemas com a segurana no acesso a dados que facilitam a vida de fraudadores e por a vai. No Windows 2000, Windows XP e no Windows Server 2003 existem diversas maneiras de proteger seus dados: permisses NTFS, criptografia, uso do NAT para acesso Internet, uso de Group Policy Objects, uso de diretivas de segurana, direitos de usurios e por a vai. Neste tpico, abordarei mais um assunto relacionado com segurana: Certificados Digitais. Uma pergunta que o amigo leitor poderia fazer a seguinte: Por que existem tantos ataques de segurana e por que os hackers parecem conhecer to bem os sistemas das empresas?. Um dos motivos porque hoje o mundo inteiro (literalmente) utiliza o mesmo protocolo para comunicao e troca de dados: TCP/IP. Como o TCP/IP amplamente conhecido e documentado, esta informao tambm utilizada por hackers, para tentar descobrir falhas no prprio protocolo, falhas estas que permitam quebra de segurana dos sistemas informatizados das empresas. Evidentemente que, na maioria das vezes, os ataques so bem sucedidos, porque os programas foram instalados com as opes padro (out of the Box como saram da caixa (a traduo por minha conta e risco)), sem se preocupar em ajustar devidamente as configuraes de segurana. Nota: Um dos pontos onde o Windows Server 2003 melhorou, e muito, em relao ao Windows 2000 Server foi nas configuraes de segurana out of the Box. Ou seja, as configuraes padro de segurana do Windows Server 2003, so bem mais severas, restringem bem mais o acesso do que as configuraes padro de segurana do Windows 2000 Server. A idia simples mas muito eficiente. Por padro, o nvel mnimo de acesso, necessrio ao funcionamento do recurso. Se houver necessidade de modificaes nas configuraes de segurana, estas

podero ser feitas pelo administrador. Com o uso do TCP/IP como protocolo de comunicao, os dados no so protegidos por padro, isto , no so criptografados. Ou seja, se um hacker interceptar uma transmisso, ter acesso aos dados sem maiores problemas, uma vez que no usada criptografia, por padro. Claro que para muitas situaes, a criptografia e outros recursos de segurana so perfeitamente dispensveis. Por exemplo, quando voc acessa o site de uma empresa para obter informaes gerais sobre a empresa. Estas informaes so de domnio pblico (afinal esto no site da empresa) e no h necessidade de criptograf-las. Agora quando voc faz uma compra pela Internet, usando o seu carto de crdito, ou quando voc faz transaes bancrias usando o site do seu Banco, a coisa muda completamente de figura. Ou seja, voc quer o mximo de segurana possvel. De maneira alguma voc gostaria que algum pudesse interceptar o seu nmero de conta, agncia e senha. Inicialmente criou-se um mtodo de criptografia, onde os dados eram criptografados usando uma determinada chave de criptografia. A chave um cdigo com um determinado nmero de bits. Usa-se este cdigo, juntamente com operaes lgicas, para embaralhar, ou seja, criptografar os dados. A seqncia de operaes lgicas que realizada com os dados, usando a chave de criptografia, definida pelo algoritmo de criptografia. Em seguida os dados e a chave de criptografia so enviados para o destinatrio. O destinatrio recebe os dados e a chave de criptografia e utiliza esta chave para descriptografar os dados. Um mtodo bem seguro, no? No. Este mtodo tem dois problemas principais, os quais so descritos a seguir: 1. A chave de criptografia enviada junto com os dados: Com isso, se um hacker interceptar os dados, ter tambm acesso a chave de criptografia. Usando a chave (os algoritmos de criptografia so de domnio pblico, a segurana baseada normalmente no tamanho da chave. Usam-se chaves com um grande nmero de bits, para que seja difcil descobrir a chave que est sendo utilizada) o hacker poder descriptografar os dados e ter acesso ao contedo da mensagem. Pior, o hacker poderia alterar a mensagem e envia-la, alterada, para o destinatrio, o qual no teria como saber que a mensagem foi alterada. 2. No final do pargrafo anterior eu descrevo o segundo problema com este mtodo: ele no permite a verificao da identidade de quem enviou a mensagem. Ou seja, um hacker interceptou a mensagem,

usou a chave para descriptograf-la, alterou a mensagem e a enviou para o destinatrio. O destinatrio recebe a mensagem e no tem como verificar se a mensagem veio do emissor verdadeiro ou veio de um hacker. Com este mtodo no possvel verificar e garantir que o emissor seja quem ele diz ser. No h como verificar a identidade do emissor. Vejam que somente o uso da criptografia, baseada em uma chave privada (chave enviada junto com a mensagem), no to seguro como pode parecer. Para solucionar esta questo que surgiram os Certificados Digitais, com os quais possvel implementar uma infraestrutura conhecida como PKI - Public Key Infrastructure (Infraestrutura de chave pblica). Esta infra-estrutura baseada no uso de certificados digitais e de um par de chaves: uma chave pblica e uma chave privada. A seguir descrevo os princpios bsicos de um infra-estrutura baseada em chaves pblica e privada, para que voc possa entender como esta infra-estrutura resolve os dois problemas apontados no mtodo anterior. Em uma rede que usa PKI, um Certificado Digital criado para cada usurio. O Certificado Digital fica associado com a conta do usurio no Active Directory. Para cada usurio criado um par de chaves: uma chave pblica e uma chave privada. A chave pblica fica disponvel no Active Directory e a chave privada fica com o usurio. O mais comum a chave privada ficar gravada no Certificado Digital do usurio, em um disquete que fica com o usurio. Agora vamos entender como funciona a criptografia baseada em um par de chaves: uma pblica e outra privada. Dados que so criptografados com uma das chaves, somente podero ser descriptografados com a outra chave. Por exemplo, se voc criptografar dados com a chave pblica do usurio jsilva, estes dados somente podero ser descriptografados com a chave privada do usurio jsilva. Vamos imaginar que o usurio jsilva precisa enviar dados para o usurio maria. Os dados so criptografados com a chave pblica do usurio Maria chave pblica do destinatrio. Com a infraestrutura de PKI, as chaves pblicas ficam disponveis para serem acessadas por quaisquer usurio. A chave pblica fica gravada no Certificado Digital do usurio e a lista de Certificados Digitais fica publicada para acesso em um servidor de certificados digitais (este o papel do Microsoft Certificate Services, ou seja, emitir, publicar e revogar certificados digitais para os usurios).

A chave pblica do usurio maria utilizada pelo usurio jsilva para criptografar os dados, antes de envia-los para o usurio maria. Como os dados foram criptografados com a chave pblica do usurio maria, a pergunta : qual a nica chave que poder descriptografar estes dados? A chave privada do usurio maria, a qual somente o usurio maria tem acesso. Com este mtodo, quando o usurio maria recebe os dados, ele utilizar a sua chave privada para descriptograflos. Se um hacker interceptar os dados, ele no conseguir descriptograf-los, pois no tem acesso a chave privada do usurio maria. Observe que com este mtodo, a chave de criptografia no enviada junto com a mensagem. Alm disso, a mensagem criptografada de tal maneira que somente o destinatrio capaz de descriptograf-la, ou melhor, a chave privada do destinatrio. Como a mensagem criptografada com a chave pblica do destinatrio, somente o prprio destinatrio (que quem tem acesso a sua chave privada), ser capaz de descriptografar a mensagem. Observe que com este mtodo solucionado o problema de ter que enviar a chave de criptografia junto com a mensagem. O problema de verificao da identidade, de ter certeza que o remetente quem diz realmente ser, solucionado com o uso de Certificados digitais. De uma maneira simples, podemos resumir uma PKI como sendo uma infraestrutura de segurana, baseada no uso de um par de chaves (uma pblica e uma privada) e de Certificados Digitais. Um pouco sobre Certificados Digitais De uma maneira simples, o Certificado Digital a verso eletrnica da sua identificao de usurio na rede (usurio e senha). O Certificado Digital como se fosse a carteira de identidade do usurio na rede. No Windows 2000 Server e no Windows Server 2003, o certificado digital do usurio tambm conhecido (na documentao oficial), como um Certificado de chave pblica, uma vez que uma das informaes gravadas no certificado digital do usurio justamente a sua chave pblica. Um certificado de chave pblica, geralmente chamado somente de certificado, uma declarao assinada digitalmente que vincula o valor de uma chave pblica identidade da pessoa (conta do usurio no Active Directory), dispositivo ou servio que contm a chave privada correspondente. Certificados podem ser emitidos para uma srie de funes, como autenticao de usurio na Internet, autenticao de um servidor Web,

correio eletrnico seguro (S/MIME), IPSec, para utilizao com o protocolo Transaction Layer Security (TLS, segurana de camada de transao) e assinatura de cdigos (por exemplo, todos os programas desenvolvidos pela Microsoft so assinados, digitalmente, com o Certificado digital da Microsoft. O Windows 2000 Server pode ser configurado para no instalar drives ou programas que no estejam assinados digitalmente ou cujos certificados com os quis foram assinados, no possam ser verificados). Os certificados digitais tem que ser emitidos por uma Autoridade Certificadora (CA Certificate Authority). Uma opo usar uma autoridade certificadora externa, como por exemplo a Veri Sign, que uma empresa especializada em segurana e em certificao digital (www.verisign.com). Com o Windows 2000 Server (e tambm com o Windows Server 2003), est disponvel o Microsoft Certificate Services, que um servidor que permite criar uma autoridade certificadora na prpria rede da empresa, sem ter que fazer uso de uma entidade certificadora externa. Ao utilizar o Certificate Services para a emisso e gerenciamento de certificados, os certificados digitais podero ser utilizados pelos usurios, para fazer o logon na rede. Os certificados tambm so emitidos de uma autoridade de certificao para outra a fim de estabelecer uma hierarquia de certificao. Usando o Certificate Services voc poder criar uma hierarquia de certificao na rede da empresa. A maioria dos certificados em uso hoje em dia so baseados no padro X.509. Esta a tecnologia fundamental usada na public key infrastructure (PKI) do Windows 2000 e do Windows Server 2003. Normalmente, os certificados contm as seguintes informaes: Chave pblica do usurio Informaes da identificao do usurio (como o nome e o endereo de correio eletrnico) Perodo de validade (o perodo de tempo em que o certificado considerado vlido) Informaes sobre a identificao do emissor do certificado.

A assinatura digital do emissor, que atesta a validade da ligao entre a chave pblica do usurio e as informaes de identificao do usurio. Um certificado s vlido pelo perodo de tempo nele especificado, ou seja, o certificado tem prazo de validade e tem que ser renovado periodicamente. Esta uma medida importante para garantir aumentar o nvel de segurana, pois a cada renovao, um novo par de chaves gerado. Cada certificado contm datas Vlido de e Vlido at, que limitam o perodo de validade. Depois que o perodo de validade de um certificado terminar, um novo certificado deve ser solicitado pelo usurio do agora expirado certificado. Em situaes em que seja necessrio desabilitar um certificado, este pode ser revogado pelo emissor. Cada emissor mantm uma lista de certificados revogados (CRL Certification Revocation List), a qual usada pelos programas quando a validade de um determinado certificado est sendo verificada. Por exemplo, programas que usam certificados para autenticao, ao receberem uma tentativa de acesso, primeiro entram em contato com a autoridade certificadora (no caso do Windows 2000 Server um servidor com o Microsoft Certificate Service) para verificar se o certificado que est sendo apresentado para logon, no est na lista dos certificados revogados CRL. Se o certificado estiver na CRL, o logon ser negado. Certificados e Autoridades de Certificao Todo certificado emitido por uma Autoridade de Certificao (CA Certifcate Authority). A autoridade de certificao, a partir de agora denominada apenas CA, responsvel pela verificao sobre a veracidade dos dados do usurio que est requisitando o certificado. Por exemplo, qualquer usurio pode solicitar um certificado para utilizar na Internet. Para obter o certificado ele precisa utilizar os servios de uma CA, como por exemplo a VeriSign (www.verisign.com). Uma autoridade de certificao uma entidade encarregada de emitir certificados para indivduos, computadores ou organizaes, sendo que os certificados que confirmam a identidade e outros atributos do usurio do certificado, para outras entidades. Uma autoridade de certificao aceita uma solicitao de certificado, verifica as informaes do solicitador e, em seguida, usa sua chave privada para aplicar a assinatura digital no certificado. A autoridade de certificao emite ento o certificado para que o usurio do certificado o use como uma credencial de segurana dentro de uma infra-estrutura de chave pblica

(PKI). Uma autoridade de certificao tambm responsvel por revogar certificados e publicar uma lista de certificados revogados (CRL). Uma autoridade de certificao pode ser uma empresa que presta o servio de autoridade certificadora, como o VeriSign, ou pode ser uma autoridade de certificao que voc cria para ser usada por sua prpria organizao, instalando os Servios de certificados do Windows 2000. Cada autoridade de certificao pode ter requisitos diferentes de prova de identidade, como uma conta de domnio do Active Directory, crach de empregado, carteira de motorista, solicitao autenticada ou endereo fsico. Verificaes de identificao como essa geralmente asseguram uma autoridade de certificao no local, de tal modo que as organizaes possam validar seus prprios empregados ou membros. As autoridades de certificao corporativas do Windows 2000 Server usam as credenciais da conta de usurio do Active Directory de uma pessoa, como prova de identidade. Em outras palavras, se voc tiver efetuado logon em um domnio do Windows 2000 Server e solicitar um certificado de uma autoridade de certificao corporativa, a autoridade de certificao saber que voc quem o Active Directory diz que voc . Todas as autoridades de certificao tm um certificado para confirmar sua prpria identidade, emitido por outra autoridade de certificao confivel ou, no caso de autoridades de certificao raiz, emitido por elas mesmas. importante lembrar que qualquer pessoa pode criar uma autoridade de certificao. A questo real se voc, como um usurio ou um administrador, confia naquela autoridade de certificao e, por extenso, nas diretivas e procedimentos que ela emprega para confirmar a identidade dos certificados emitidos para entidades por essa autoridade de certificao. Em uma rede baseada no Windows 2000 Server (ou no Windows Server 2003), o administrador tambm pode utilizar uma CA externa. Porm, com o uso do Microsoft Certificate Services, o administrador pode criar sua prpria autoridade certificadora. O Certificate Services da Microsoft permite a criao de sofisticados ambientes de certificao, com a criao de uma hierarquia de CAs. Com o uso do Certificate Services podem ser criadas os seguintes tipos de autoridades certificadoras, os quais sero descritos mais adiante: Enterprise Root CA.

Enterprise Subordinate CA. Standalone Root CA. Standalone Subordinate CA Ao criar uma estrutura interna para criao e gerenciamento de certificados digitais, voc deve definir os procedimentos que sero utilizados para verificar a veracidade dos dados dos usurios que esto solicitando certificados. Por exemplo, voc pode utilizar as informaes do Active Directory, como sendo as informaes oficiais de cada funcionrio, porm o funcionrio tem acesso a alterar as informaes da sua conta no Active Directory. Com isso voc ter que montar uma metodologia formal de verificao (um pouco de burocracia as vezes se faz necessria). Por exemplo, voc pode solicitar que o chefe imediato do funcionrio confirme os dados em um formulrio na Intranet da empresa (formulrio de papel tambm j seria demais). A existncia de uma autoridade certificadora significa que voc tem confiana de que a autoridade de certificao possui as diretivas corretas no local correto e ao avaliar as solicitaes de certificado, ir negar certificados para qualquer entidade que no atender a essas diretivas. Esta uma questo fundamental para garantir a identidade dos usurios. Ao fazer uma verificao rigorosa dos dados informados, antes de emitir um certificado para um usurio, servidor ou computador, a CA garante que quem obtm o certificado realmente quem diz ser prova de identidade. Por isso a importncia fundamental de definir uma metodologia clara, simples e de fcil execuo, para a verificao dos dados, antes de emitir os certificados. Alm disso, voc confia que a autoridade de certificao ir revogar certificados que no devem mais ser considerados vlidos publicando uma lista de certificados revogados, sempre atualizada (CRL Certificate Revocation List). As listas de certificados revogados so consideradas vlidas at expirarem. Logo, mesmo que a CA publique uma nova lista de certificados revogados com os certificados recm revogados listados, todos os clientes que possurem uma lista de revogao de certificados antiga no iro procurar nem recuperar a lista nova at que a antiga expire ou seja excluda. Clientes podem usar as pginas da Web da CA para recuperar manualmente a lista de certificados revogados mais atual, caso seja necessrio. Para servios, computadores e usurios do Windows 2000 Server, a confiana em uma autoridade de certificao estabelecida quando voc

possui uma cpia do certificado raiz no armazenamento das autoridades de certificao raiz confiveis e tem um caminho de certificao vlido, significando que nenhum dos certificados no caminho de certificao foi revogado ou que seus perodos de validade expiraram. O caminho de certificao inclui todos os certificados emitidos para cada CA na hierarquia da certificao de uma CA subordinada para a CA raiz. Por exemplo, para uma CA raiz, o caminho de certificao um certificado, seu prprio certificado auto-assinado. Para uma CA subordinada, abaixo da CA raiz na hierarquia, seu caminho de certificao inclui 2 certificados, seu prprio certificado e o certificado da CA raiz. Caso sua organizao esteja usando o Active Directory, a confiana nas autoridades de certificao da organizao ser estabelecida automaticamente, baseada nas decises e configuraes realizadas pelo administrador do sistema e nas relaes de confiana criadas automaticamente pelo Active Directory. Os diferentes tipos de Autoridades Certificadores Conforme descrito anteriormente, podem ser criados diferentes tipos de autoridades certificadoras. Pode ser uma autoridade certificadora corporativa (Enterprise) ou Autnoma (Standalone). Cada um destes tipos pode ser uma autoridade certificadora root ou subordinada. Com isso ficamos com os quatro tipos possveis de autoridades certificadores: Corporativa root CA Corporativa subordinada CA Autnoma root CA Autnoma subordinada CA Uma autoridade de certificao raiz, mais conhecida como autoridade root, encarada como o tipo mais confivel de autoridade de certificao na PKI de uma organizao. Geralmente, tanto a segurana fsica como a diretiva de emisso de certificados de uma autoridade de certificao raiz so mais rigorosas do que as de autoridades de certificao subordinadas. Se a autoridade de certificao raiz estiver comprometida ou emitir um certificado para uma entidade no autorizada, toda a segurana baseada em certificados, da sua organizao, estar vulnervel e no ser mais confivel. Enquanto as autoridades de

certificao raiz podem ser usadas para emitir certificados para usurios finais em tarefas como enviar correio eletrnico seguro, na maioria das organizaes elas so usadas apenas para emitir certificados para outras autoridades de certificao, chamadas de subordinadas. Uma autoridade de certificao subordinada uma autoridade de certificao que foi certificada por outra autoridade de certificao de sua organizao, ou seja, est subordinada a uma outra entidade certificadora. Se a entidade principal deixar de ser confivel, todas as entidades subordinadas tambm o deixaro de ser. Geralmente, uma autoridade de certificao subordinada emitir certificados para usos especficos, como correio eletrnico seguro, autenticao baseada na Web ou autenticao de cartes inteligentes. Autoridades de certificao subordinadas tambm podem emitir certificados para outras autoridades de certificao subordinadas em um nvel abaixo delas. Com isso possvel criar uma hierarquia de entidades certificadores. Juntas, a autoridade de certificao raiz, as autoridades de certificao subordinadas certificadas pela raiz e as autoridades de certificao subordinadas que foram certificadas por outras autoridades de certificao subordinadas formam uma hierarquia de certificao. Autoridades de certificao corporativas Voc pode instalar o Microsoft Certificate Services para criar uma autoridade de certificao corporativa. Autoridades de certificao corporativas podem emitir certificados para vrias finalidades, tais como assinaturas digitais, correio eletrnico seguro usando S/MIME (extenses multipropsito do Internet Mail protegidas), autenticao para um servidor Web seguro usando Secure Sockets Layer (SSL, camada de soquetes de segurana) ou segurana da camada de transporte (TLS) e logon em um domnio do Windows 2000 Server ou Windows Server 2003, usando um carto inteligente (smart card). Uma autoridade de certificao corporativa apresenta as seguintes caractersticas/exigncias: Uma autoridade de certificao corporativa exige o Active Directory. Quando voc instala uma autoridade de certificao corporativa raiz, ela automaticamente adicionada ao armazenamento de certificados das Autoridades de certificao raiz confiveis, para todos os usurios e

computadores do domnio. Voc precisa ser administrador de domnio ou administrador com direito de gravao no Active Directory para instalar uma autoridade de certificao corporativa raiz. Todas as solicitaes de certificados enviadas para a autoridade de certificao corporativa sero atendidas ou negadas com base no conjunto de diretivas e permisses de segurana do tipo de certificado solicitado. Autoridades de certificao corporativas nunca definem uma solicitao de certificado como pendente. Elas imediatamente emitem o certificado ou negam a solicitao. Os certificados podem ser emitidos para efetuar logon em um domnio do Windows 2000 Server ou Windows Server 2003, usando cartes inteligentes (smart cards). O mdulo de sada corporativo publica certificados de usurios e a lista de certificados revogados (CRL), no Active Directory. Para publicar certificados no Active Directory, o servidor em que a autoridade de certificao est instalada deve ser membro do grupo de Certificates Publishers (Publicadores de certificados). Isso automtico para o domnio em que o servidor est, mas a autoridade de certificao precisar receber as permisses de segurana corretas para publicar certificados em outros domnios. Uma autoridade de certificao corporativa usa tipos de certificados, que so baseados em um modelo de certificado. A seguinte funcionalidade possvel devido ao uso de modelos de certificado: As autoridades de certificao corporativas aplicam verificaes de credenciais aos usurios durante o registro de certificados. Cada modelo de certificado tem uma permisso de segurana definida no Active Directory que determina se quem est solicitando o certificado est autorizado a receber o tipo de certificado solicitado. O nome do usurio do certificado automaticamente gerado. O mdulo de diretiva adiciona uma lista predefinida de extenses de certificados ao certificado emitido a partir do modelo do certificado. Isso reduz a quantidade de

informaes que a pessoa que solicita o certificado precisa fornecer sobre o certificado e sobre o uso pretendido. Os servidores que desempenham o papel de autoridades certificadoras corporativas, desempenham um papel fundamental na estrutura de segurana da empresa. Por isso importante que voc implemente polticas de backup e de segurana bem rigorosas em relao a estes servidores. Alm da segurana lgica, no acesso aos dados, muito importante cuidar tambm da segurana fsica, controlando quem tem acesso ao servidor configurado como servidor corporativo root. Autoridades de certificao autnomas Voc pode instalar os servios de certificados para criar uma autoridade de certificao autnoma. Autoridades de certificao autnomas podem emitir certificados para finalidades diversas, tais como assinaturas digitais, correio eletrnico seguro usando S/MIME (extenses multipropsito do Internet Mail protegidas) e autenticao para um servidor Web seguro usando camada de soquetes de segurana (SSL) ou segurana da camada de transporte (TLS). Uma autoridade de certificao autnoma tem as seguintes caractersticas: Diferentemente de uma autoridade de certificao corporativa, uma autoridade de certificao autnoma no exige o uso do Active Directory. Autoridades de certificao autnomas se destinam principalmente a serem usadas quando extranets e a Internet esto envolvidas. Por exemplo, se parceiros de negcios precisam se conectar a rede da empresa para acessar determinados sistemas, voc pode criar uma autoridade certificadora autnoma, para emitir certificados para os parceiros de negcio. Estes, por sua vez, usaro estes certificados para se identificar e ter acesso a rede da empresa. Alm disso, se desejar usar um mdulo de diretiva personalizado para uma autoridade de certificao, voc deve, primeiramente, instalar os servios de certificados usando diretiva autnoma e, em seguida, substituir a diretiva autnoma pela sua diretiva personalizada.

Ao submeter uma solicitao de certificado a uma autoridade de certificao autnoma, o solicitador do certificado deve fornecer, explicitamente, todas as informaes de identificao sobre si mesmo e sobre o tipo de certificado desejado na solicitao do certificado. (No necessrio fazer isso ao submeter uma solicitao a uma autoridade de certificao corporativa, uma vez que as informaes do usurio corporativo j esto no Active Directory e o tipo do certificado descrito por um modelo de certificado). Por padro, todas as solicitaes de certificados enviadas para a autoridade de certificao autnoma so definidas como pendentes at que o administrador da autoridade de certificao autnoma verifique a identidade do solicitador e d OK para a solicitao. Isso feito por razes de segurana, porque as credenciais do solicitador do certificado no so verificadas pela autoridade de certificao autnoma. No so usados modelos de certificados, a exemplo do que acontece com as autoridades certificadores corporativas. Nenhum certificado pode ser emitido para efetuar logon em um domnio do Windows 2000 Server ou do Windows Server 2003 usando cartes inteligentes, mas outros tipos de certificados podem ser emitidos e armazenados em um carto inteligente. O administrador tem que distribuir, explicitamente, o certificado da autoridade de certificao autnoma para o armazenamento de raiz confivel dos usurios do domnio, ou os usurios devem executar essa tarefa sozinhos. Quando uma autoridade de certificao autnoma usa o Active Directory, ela tem esses recursos adicionais: Se um membro do grupo de administradores de domnio ou um administrador com direito de gravao no Active Directory instalar uma autoridade de certificao raiz autnoma, ela ser automaticamente adicionada ao armazenamento de certificados das autoridades de certificao raiz confiveis, para todos os usurios e computadores do domnio. Por essa razo, ao instalar uma autoridade de certificao raiz autnoma em um domnio do

Active Directory, voc no dever alterar a ao padro da autoridade de certificao at receber solicitaes de certificados (o que marca as solicitaes como pendentes). Caso contrrio, voc ter uma autoridade de certificao raiz confivel que automaticamente emite certificados sem verificar a identidade do solicitador. Se uma autoridade de certificao autnoma for instalada por um membro do grupo de administradores de domnio do domnio pai de uma rvore na empresa, ou por um administrador com direito de gravao no Active Directory, a autoridade de certificao autnoma publicar os certificados e a lista de certificados revogados (CRL) no Active Directory. No esquea: Conhea bem as diferenas entre os diferentes tipos de autoridades certificadores. Lembre-se que autoridades certificadoras corporativas so integradas com o Active Directory, utilizam modelos de certificados para a criao de novos certificados. J as autoridades certificadoras autnomas no dependem do Active Directory e no utilizam modelos de certificados. A seguir um pequeno resumo sobre cada um dos quatro tipos, para voc fixar bem sobre a funo e as caractersticas de cada um dos tipos de autoridades certificadores: 1. Enterprise root CA Autoridade certificadora corporativa root: Um nico servidor pode ser configurado como Enterprise root CA em uma floresta de domnios de uma empresa. Este servidor ocupa o topo da hierarquia de autoridades certificadoras. Normalmente no utilizado para emitir certificados para usurios ou computadores, mas sim para autoridades certificadores corporativas subordinadas. Os certificados para usurios e computadores so emitidos pelas autoridades subordinadas. Com isso voc pode criar uma hierarquia de autoridades certificadoras, de tal maneira que a emisso de certificados seja efetuada por um servidor do prprio domnio do usurio. Outro detalhe importante que a autoridade certificadora root responsvel por assinar o seu prprio certificado (afinal no h nenhuma autoridade acima dela). Isso que caracteriza esta autoridade como uma autoridade certificadora root. 2. Enterprise subordinate CA Autoridade certificadora Corporativa subordinada: Para instalar uma autoridade certificadora corporativa subordinada, voc deve ter acesso ao certificado da autoridade certificadora corporativa root. O uso deste certificado que liga a autoridade certificadora que est sendo instalada, como um

autoridade subordinada a autoridade certificadora root, formando uma hierarquia de entidades certificadoras. Este tipo de autoridade pode emitir certificados para usurios e computadores do Active Directory ou para outras autoridades certificadores subordinadas de nveis mais baixo, aumentando desta maneira, o nmero de nveis da hierarquia de autoridades certificadoras. 3. Stand-alone root CA Autoridade certificadora autnoma root: Este tipo de autoridade certificadora no depende do Active Directory. Pode ser utilizado, por exemplo, para emitir certificados para parceiros de negcio e prestadores de servio, que precisam de certificados digitais para acessar determinadas reas da Intranet ou da Extranet da empresa. Uma vantagem adicional que um servidor configurado como autoridade certificadora autnoma root, pode ser desconectado da rede, como uma garantia adicional de segurana. Este tipo de autoridade certificadora tambm responsvel por emitir os certificados de registro das autoridades certificadoras autnomas subordinadas. 4. Stand-alone subordinate CA - Autoridade Certificadora Autnoma Subordinada: Este tipo de autoridade certificadora est subordinada a uma autoridade certificadora autnoma root. O processo normalmente o mesmo utilizado para o caso das autoridades certificadoras corporativas, ou seja, a autoridade certificadora autnoma root no utilizada para emisso de certificados para usurios e computadores, mas sim para a emisso de certificados para as autoridades certificadoras autnomas subordinadas. As autoridades certificadoras autnomas subordinadas que so responsveis pela emisso dos certificados para usurios e computadores. Concluso Nesta parte do tutorial fiz uma breve apresentao sobre PKI, Certificados Digitais e Autoridades Certificadores. Voc tambm aprendeu sobre a criptografia baseada no uso de um par de chaves: pblica e privada e como utilizar o Microsoft Certificate Services para criar uma autoridade certificadora na prpria rede da empresa.

Tutorial de TCP/IP Parte 20 NAT Network Address Translation


Introduo: Prezados leitores, esta a vigsima e ltima parte, desta primeira etapa dos tutoriais de TCP/IP. As partes de 01 a 20, constituem o mdulo que eu classifiquei como Introduo ao TCP/IP. O objetivo deste mdulo foi apresentar o TCP/IP, mostrar como o funcionamento dos servios bsicos, tais como endereamente IP e Roteamento e fazer uma apresentao dos servios relacionados ao TCP/IP, tais como DNS, DHCP, WINS, RRAS, IPSec, Certificados Digitais, ICS, compartilhamento da conexo Internet e NAT (assunto desta parte, ou seja Parte 20 do tutorial). No decorrer de 2004 sero disponibilizados mais 20 tutoriais de TCP/IP (de 21 a 40), nas quais falarei mais sobre os aspctos do protocolo em si, tais como a estrutura em camadas do TCP/IP e detalhes um maior detalhamento sobre cada um dos protocolos que formam o TCP/IP: TCP, IP, UDP, ARP, ICMP e por a vai. Esta a vigsima parte do Tutorial de TCP/IP. Na Parte 1 tratei dos aspectos bsicos do protocolo TCP/IP. Na Parte 2 falei sobre clculos binrios, um importante tpico para entender sobre redes, mscara de sub-rede e roteamento. Na Parte 3 falei sobre Classes de endereos, na Parte 4 fiz uma introduo ao roteamento e na Parte 5 apresentei mais alguns exemplos/anlises de como funciona o roteamento e na Parte 6 falei sobre a Tabela de Roteamento. Na Parte 7 tratei sobre a diviso de uma rede em sub-redes, conceito conhecido como subnetting. Na Parte 8 fiz uma apresentao de um dos servios mais utilizados pelo TCP/IP, que o Domain Name System: DNS. O DNS o servio de resoluo de nomes usado em todas as redes TCP/IP, inclusive pela Internet que, sem dvidas, a maior rede TCP/IP existente. Na Parte 9 fiz uma introduo ao servio Dynamic Host Configuration Protocol DHCP. Na Parte 10 fiz uma introduo ao servio Windows Internet Name Services WINS. Na Parte 11 falei sobre os protocolos TCP, UDP e sobre portas de comunicao. Parte 12, mostrei como so efetuadas as configuraes de portas em diversos aplicativos que voc utiliza e os comandos do Windows 2000/XP/2003 utilizados para exibir informaes sobre portas de comunicao. Na Parte 13 falei sobre a instalao e a configurao do protocolo TCP/IP. Na Parte 14 fiz uma introduo sobre o protocolo de roteamento dinmico RIP e na Parte 15 foi a vez de fazer a introduo a um outro protocolo de roteamento dinmico, o OSPF. Na Parte 16 voc aprendeu sobre um recurso bem til do Windows 2000: O

compartilhamento da conexo Internet, oficialmente conhecida como ICS Internet Conection Sharing. Este recurso til quando voc tem uma pequena rede, no mais do que cinco mquinas, conectadas em rede, todas com o protocolo TCP/IP instalado e uma das mquinas tem conexo com a Internet. Voc pode habilitar o ICS no computador que tem a conexo com a Internet. Na Parte 17, voc aprendeu a utilizar o IFC Internet Firewall Connection (Firewall de Conexo com a Internet). O IFC faz parte do Windows XP e do Windows Server 2003, no estando disponvel no Windows 2000. O IFC tem como objetivo proteger o acesso do usurio contra ataques e perigos vindos da Internet. Na Parte 18 fiz uma apresentao sobre o protocolo IPSec. O IPSec faz parte do Windows 2000, Windows XP e Windows Server 2003. O IPSec pode ser utilizado para criar um canal de comunicao seguro, onde todos os dados que so trocados entre os computaodres habilitados ao IPSec, so criptografados. Na Parte 19, fiz uma apresentao sobre o conceito de PKI Public Key Infrastructure e Certificados Digitais. O Windows 2000 Server e tambm o Windows Server 2003 disponibilizam servios para a emisso, gerenciamento e revogao de Certificados Digitais. Falei sobre o papel dos Certificados Digitais em relao segurana das informaes. Nesta vigsima parte ser a vez de falar um pouco mais sobre o servio (ou protocolo como preferem alguns) NAT Network Address Transaltion. Voc entender o que o NAT e qual a sua funo na conexo de uma rede com a Internet. Nota: Para aprender a instalar, configurar e a administrar os servios relacionados ao TCP/IP, no Windows 2000 Server, tais como o DNS, DHCP, WINS, RRAS, Ipsec, NAT e assim por diante, o livro de minha autoria: Manual de Estudos Para o Exame 70-216, 712 pginas. T= Network Address Translation. (NAT) Entendendo como funciona o NAT Vamos inicialmente entender exatamente qual a funo do NAT e em que situaes ele indicado. O NAT surgiu como uma alternativa real para o problema de falta de endereos IP v4 na Internet. Conforme descrito na Parte 1, cada computador que acessa a Internet deve ter o protocolo TCP/IP configurado. Para isso, cada computador da rede interna, precisaria de um endereo IP vlido na Internet. No haveria endereos IP v4 suficientes. A criao do NAT veio para solucionar esta questo.(ou pelo menos fornecer uma alternativa at que o IP v6 esteja em uso na maioria dos sistemas da Internet). Com o uso do NAT, os computadores da rede Interna, utilizam os chamados endereos

Privados. Os endereos privados no so vlidos na Internet, isto , pacotes que tenham como origem ou como destino, um endereo na faixa dos endereos privados, no sero encaminhados, sero descartados pelos roteadores. O software dos roteadores est configurado para descartar pacotes com origem ou destino dentro das faixas de endereos IP privados. As faixas de endereos privados so definidas na RFC 1597 e esto indicados a seguir: 10.0.0.0 -> 10.255.255.255 172.16.0.0 -> 172.31.255.255 192.168.0.0 -> 192.168.255.255 Existem algumas questes que devem estar surgindo na cabea do amigo leitor. Como por exemplo: Qual a vantagem do uso dos endereos privados? O que isso tem a ver com o NAT? Muito bem, vamos esclarecer estas questes. Pelo fato de os endereos privados no poderem ser utilizados diretamente na Internet, isso permite que vrias empresas utilizem a mesma faixa de endereos privados, como esquema de endereamento da sua rede interna. Ou seja, qualquer empresa pode utilizar endereos na faixa 10.0.0.0 -> 10.255.255.255 ou na faixa 172.16.0.0 -> 72.31.255.255 ou na faixa 192.168.0.0 -> 192.168.255.255. Com o uso do NAT, a empresa fornece acesso Internet para um grande nmero de computadores da rede interna, usando um nmero bem menor de endereos IP, vlidos na Internet. Por exemplo, uma rede com 100 computadores, usando um esquema de endereamento 10.10.0.0/255.255.0.0, poder ter acesso Internet, usando o NAT, usando um nico endereo IP vlido: o endereo IP da interface externa do NAT. Observe que com isso temos uma grande economia de endereos IP: No nosso exemplo temos 100 computadores acessando a Internet (configurados com endereos IP privados), os quais utilizam um nico endereo IP vlido, que o endereo IP da interface externa do servidor configurado como NAT. Muito bem, respondi as questes anteriores mas agora devem ter surgido novas questes na cabea do amigo leitor, como por exemplo: 1. Se houver mais de um cliente acessando a Internet ao mesmo tempo e o NAT possui apenas um endereo IP vlido (ou em outras situaes,

se houver um nmero maior de clientes internos acessando a Internet, do que o nmero de endereos IP disponveis no NAT. E o nmero de endereos IP, disponveis no NAT sempre ser menor do que o nmero de computadores da rede interna, uma vez que um dos principais objetivos do uso do NAT reduzir a quantidade de nmeros IP vlidos), como possvel a comunicao de mais de um cliente, ao mesmo tempo, com a Internet? 2. Quando a resposta retorna, como o NAT sabe para qual cliente da rede interna ela se destina, se houver mais de um cliente acessando a Internet? Inicialmente vamos observar que o esquema de endereamento utilizado pela empresa do nosso exemplo (10.10.0.0/255.255.0.0) est dentro de uma faixa de endereos Privados. Aqui est a principal funo do NAT, que o papel de traduzir os endereos privados, os quais no so vlidos na Internet, para o endereo vlido, da interface pblica do servidor com o NAT. Para entender exatamente o funcionamento do NAT, vamos considerar um exemplo prtico. Imagine que voc tem cinco computadores na rede, todos usando o NAT. Os computadores esto utilizando os seguintes endereos: 10.10.0.10 10.10.0.11 10.10.0.12 10.10.0.13 10.10.0.14 O computador com o NAT habilitado tem as seguintes configuraes: IP da interface interna: 10.10.0.1 IP da interface externa: Um ou mais endereos vlidos na Internet, obtidos a partir da conexo com o provedor de Internet, mas sempre em nmero bem menor do que a quantidade de computadores da rede interna.

Quando um cliente acessa a Internet, no pacote de informao enviado por este cliente, est registrado o endereo IP da rede interna, por exemplo: 10.10.0.10. Porm este pacote no pode ser enviado pelo NAT para a Internet, com este endereo IP como endereo de origem, seno no primeiro roteador este pacote ser descartado, j que o endereo 10.10.0.10 no um endereo vlido na Internet (pois um endereo que pertence a uma das faixas de endereos privados, conforme descrito anteriormente). Para que este pacote possa ser enviado para a Internet, o NAT substitui o endereo IP de origem por um dos endereos IP da interface externa do NAT (endereo fornecido pelo provedor de Internet e, portanto, vlido na Internet). Este processo que chamado de traduo de endereos, ou seja, traduzir de um endereo IP interno, no vlido na Internet, para um endereo IP externo, vlido na Internet. Quando a resposta retorna, o NAT repassa a resposta para o cliente que originou o pedido. Mas ainda fica a questo de como o NAT sabe para qual cliente interno a resposta, se os pacotes de dois ou mais clientes podem ter sido traduzidos para o mesmo endereo IP externo. A resposta para estas questo a mesma. O NAT ao executar a funo de traduo de endereos, associa um nmero de porta, que nico, com cada um dos computadores da rede interna. A traduo de endereos funciona assim: 1. Quando um cliente interno tenta se comunicar com a Internet, o NAT substitui o endereo interno do cliente como endereo de origem, por um endereo vlido na Internet. Mas alm do endereo tambm associada uma porta de comunicao. Por exemplo, vamos supor que o computador 10.10.0.12 tenta acessar a Internet. O NAT substitui o endereo 10.10.0.12 por um endereo vlido na Internet, vou chutar um: 144.72.3.21. Mas alm do nmero IP tambm associada uma porta, como por exemplo: 144.72.3.21:6555. O NAT mantm uma tabela interna onde fica registrado que, comunicao atravs da porta tal est relacionada com o cliente tal. Por exemplo, a tabela do NAT, em um determinado momento, poderia ter o seguinte contedo: 144.72.3.21:6555 10.10.0.10 144.72.3.21:6556 10.10.0.11 144.72.3.21:6557 10.10.0.12 144.72.3.21:6558 10.10.0.13 144.72.3.21:6559 10.10.0.14

Observe que todos os endereos da rede interna so traduzidos para o mesmo endereo externo, porm com um nmero diferente de porta para cada cliente da rede interna. 2. Quando a resposta retorna, o NAT consulta a sua tabela interna e, pela identificao da porta, ele sabe para qual computador da rede interna deve ser enviada a referida resposta, uma vez que a porta de identificao est associada com um endereo IP da rede interna. Por exemplo, se chegar um pacote endereado a 144.72.3.21:6557, ele sabe que este pacote deve ser enviado para o seguinte computador da rede interna: 10.10.0.12, conforme exemplo da tabela anterior. O NAT obtm esta informao a partir da tabela interna, descrita anteriormente. Com isso, vrios computadores da rede interna, podem acessar a Internet, ao mesmo tempo, usando um nico endereo IP ou um nmero de endereos IP bem menor do que o nmero de computadores da rede interna. A diferenciao feita atravs de uma atribuio de porta de comunicao diferente, associada com cada IP da rede interna. Este o princpio bsico do NAT Network Address Translation (Traduo de Endereos IP). Agora que voc j sabe o princpio bsico do funcionamento do NAT, vamos entender quais os componentes deste servio no Windows 2000 Server e no Windows Server 2003. Os componentes do NAT O servio NAT composto, basicamente, pelos seguintes elementos: Componente de traduo de endereos: O NAT faz parte do servidor RRAS. Ou seja, para que voc possa utilizar o servidor NAT, para fornecer conexo Internet para a rede da sua empresa, voc deve ter um servidor com o RRAS instalado e habilitado (veja o Captulo 6 do livro Manual de Estudos Para o Exame 70-216, para detalhes sobre a habilitao do RRAS). O servidor onde est o RRAS deve ser o servidor conectado Internet. O componente de traduo de endereos faz parte da funcionalidade do NAT e ser habilitado, assim que o NAT for configurado no RRAS. Componente de endereamento: Este componente atua como um servidor DHCP simplificado, o qual utilizado para concesso de endereos IP para os computadores da

rede interna. Alm do endereo IP, o servidor DHCP simplificado capaz de configurar os clientes com informaes tais como a mscara de sub-rede, o nmero IP do gateway padro (default gateway) e o nmero IP do servidor DNS. Os clientes da rede interna devem ser configurados como clientes DHCP, ou seja, nas propriedades do TCP/IP, voc deve habilitar a opo para que o cliente obtenha um endereo IP automaticamente. Computadores executando o Windows Server 2003 (qualquer edio), Windows XP, Windows 2000, Windows NT, Windows Me, Windows 98 ou Windows 95, so automaticamente configurados como clientes DHCP. Caso um destes clientes tenha sido configurado para usar um IP fixo, dever ser reconfigurado para cliente DHCP, para que ele possa utilizar o NAT. Componente de resoluo de nomes: O computador no qual o NAT habilitado, tambm desempenha o papel de um servidor DNS, o qual utilizado pelos computadores da rede interna. Quando uma consulta para resoluo de nomes enviada por um cliente interno, para o computador com o NAT habilitado, o computador com o NAT repassa esta consulta para um servidor DNS da Internet (normalmente o servidor DNS do provedor de Internet) e retorna a resposta obtida para o cliente. Esta funcionalidade idntica ao papel de DNS Proxy, fornecida pelo ICS, conforme descrito anteriormente. Importante: Como o NAT inclui as funcionalidades de endereamento e resoluo de nomes, voc ter as seguintes limitaes para o uso de outros servios, no mesmo servidor onde o NAT foi habilitado: Voc no poder executar o servidor DHCP ou o DHCP Relay Agent no servidor NAT. Voc no poder executar o servidor DNS no servidor NAT. Um pouco de planejamento antes de habilitar o NAT Antes de habilitar o NAT no servidor RRAS, para fornecer conexo Internet para os demais computadores da rede, existem alguns fatores que voc deve levar em considerao. Neste item descrevo as consideraes que devem ser feitas, antes da habilitao do NAT. Estes

fatos ajudam a evitar futuros problemas e necessidade de reconfiguraes no NAT. 1. Utilize endereos privados para os computadores da rede interna. Esta a primeira e bvia recomendao. Para o esquema de endereamento da rede interna, voc deve utilizar uma faixa de endereos, dentro de uma das faixas de endereos privados: 10.0.0.0/255.0.0.0, 172.16.0.0/255.240.0.0 ou 192.168.0.0/255.255.0.0. Voc pode utilizar diferentes mscaras de sub-rede, de acordo com as necessidades da sua rede. Por exemplo, se voc tiver uma rede com 100 mquinas, pode utilizar um esquema de endereamento: 10.10.10.0/255.255.255.0, o qual disponibiliza at 254 endereos. Por padro, o NAT utiliza o esquema de endereamento 192.168.0.0/255.255.255.0. Porm possvel alterar este esquema de endereamento, nas configuraes do NAT. Lembre-se que, uma vez habilitado o NAT, este passa a atuar como um servidor DHCP para a rede interna, fornecendo as configuraes do TCP/IP para os clientes da rede interna. Com isso, nas configuraes do NAT (para todos os detalhes sobre as configuraes do NAT, consulte o Captulo 7 do livro Manual de Estudos Para o Exame 70-216), voc define o escopo de endereos que ser fornecido para os clientes da rede. Nota: Voc tambm poderia configurar a sua rede interna com uma faixa de endereos IP vlidos, porm no alocados diretamente para a sua empresa. Ou seja, voc estaria utilizando na rede interna, um esquema de endereamento que foi reservado para uso de outra empresa. Esta no uma configurao recomendada e conhecida como: illegal or overlapping IP addressing. O resultado prtico que, mesmo assim, voc conseguir usar o NAT para acessar a Internet, porm no conseguir acessar os recursos da rede para o qual o esquema de endereamento foi oficialmente alocado. Por exemplo, se voc resolveu usar o esquema de endereamento 1.0.0.0/255.0.0.0, sem se preocupar em saber para quem esta faixa de endereos foi reservado. Mesmo assim voc conseguir acessar a Internet usando o NAT, voc apenas no conseguir acessar os recursos e servidores da empresa que usa, oficialmente, o esquema de endereamento 1.0.0.0/255.0.0.0, que voc resolveu utilizar para a rede interna da sua empresa. Ao configurar o NAT, o administrador poder excluir faixas de endereos que no devem ser fornecidas para os clientes. Por exemplo, se voc tiver alguns equipamentos da rede interna (impressoras, hubs, switchs, etc) que devam ter um nmero IP fixo, voc pode excluir uma faixa de

endereos IP no servidor NAT e utilizar estes endereos para configurar os equipamentos que, por algum motivo, precisam de um IP fixo. 2. Usar um ou mais endereos IP pblicos. Se voc estiver utilizando um nico endereo IP, fornecido pelo provedor de Internet, no sero necessrias configuraes adicionais no NAT. Porm se voc obtm dois ou mais endereos IP pblicos, voc ter que configurar a interface externa do NAT (interface ligada a Internet), com a faixa de endereos pblicos, fornecidos pelo provedor de Internet. A faixa informada no formato padro: Nmero IP/Mscara de sub-rede. Pode existir situaes em que nem todos os nmeros fornecidos pelo provedor possam ser informados usando esta representao. Nestas situaes pode acontecer de voc no poder utilizar todos os endereos disponibilizados pelo provedor de Internet, a no ser que voc utilize a representao por faixas, conforme descrito mais adiante. Se o nmero de endereos fornecido for uma potncia de 2 (2, 4, 8, 16, 32, 64 e assim por diante), mais provvel que voc consiga representar a faixa de endereos no formato Nmero IP/Mscara de sub-rede. Por exemplo, se voc recebeu quatro endereos IP pblicos: 206.73.118.212, 206.73.118.213, 206.73.118.214 e 206.73.118.215. Esta faixa pode ser representada da seguinte maneira: 206.73.118.212/255.255.255.252. Nota: Para maiores detalhes sobre a representao de faixas de endereos IP e mscaras de sub-rede, consulte as seguintes partes deste tutorial: Parte 1, Parte 2, Parte 3 e Parte 4. Caso no seja possvel fazer a representao no formato Nmero IP/Mscara de sub-rede, voc pode informar os endereos pblicos como uma srie de faixas de endereos, conforme exemplo a seguir: 206.73.118.213 -> 206.73.118.218 206.73.118.222 -> 206.73.118.240 3. Permitir conexes da Internet para a rede interna da empresa O funcionamento normal do NAT, permite que sejam feitas conexes da rede privada para recursos na Internet. Por exemplo, um cliente da rede acessando um servidor de ftp na Internet. Neste caso, o cliente executando um programa cliente de ftp, faz a conexo com um servidor

ftp da Internet. Quando os pacotes de resposta chegam no NAT, eles podem ser repassados ao cliente, pois representam a resposta a uma conexo iniciada internamente e no uma tentativa de acesso vinda da Internet. Voc pode querer fornecer acesso a um servidor da rede interna, para usurios da Internet. Por exemplo, voc pode configurar um servidor da rede interna com o IIS e instalar neste servidor o site da empresa. Em seguida voc ter que configurar o NAT, para que os usurios da Internet possam acessar este servidor da rede interna. Observe que nesta situao, chegaro pacotes da Internet, os quais no representaro respostas a requisies dos clientes da rede interna, mas sim requisies de acesso dos usurios da Internet, a um servidor da rede interna. Por padro este trfego ser bloqueado no NAT. Porm o administrador pode configurar o NAT para aceitar requisies vindas de clientes da Internet, para um servidor da rede interna. Para fazer estas configuraes voc deve seguir os seguintes passos: Para permitir que usurios da Internet, acessem recursos na sua rede interna, siga os passos indicados a seguir: O servidor da rede interna, que dever ser acessado atravs da Internet, deve ser configurado com um nmero IP fixo (nmero que faa parte da faixa de endereos fornecidos pelo NAT, para uso da rede interna) e com o nmero IP do default gateway e do servidor DNS (o nmero IP da interface interna do computador com o NAT habilitado). Excluir o endereo IP utilizado pelo servidor da rede Interna (servidor que estar acessvel para clientes da Internet) da faixa de endereos fornecidos pelo NAT, para que este endereo no seja alocado dinamicamente para um outro computador da rede, o que iria gerar um conflito de endereos IP na rede interna. Configurar uma porta especial no NAT. Uma porta especial um mapeamento esttico de um endereo pblico e um nmero de porta, para um endereo privado e um nmero de porta. Esta porta especial faz o mapeamento das conexes chegadas da internet para um endereo especfico da rede interna. Com o uso de portas especiais, por exemplo, voc pode criar um servidor HTTP ou FTP na rede interna e torn-lo acessvel a partir da Internet.

Nota: Para aprender os passos prticos para a criao de portas especiais no NAT, consulte o Captulo 7 do livro: Manual de Estudos Para o Exame 70-216. 4. Configurando aplicaes e servios. Algumas aplicaes podem exigir configuraes especiais no NAT, normalmente com a habilitao de determinadas portas. Por exemplo, vamos supor que voc est usando o NAT para conectar 10 computadores de uma loja de jogos, com a Internet. Pode ser necessria a habilitao das portas utilizadas por determinados jogos, para que estes possam ser executados atravs do NAT. Se estas configuraes no forem feitas, o NAT ir bloquear pacotes que utilizem estas portas e os respectivos jogos no podero ser acessados. 5. Conexes VPN iniciadas a partir da rede interna. No Windows 2000 Server no possvel criar conexes VPN L2TP/IPSec, a partir de uma rede que utilize o NAT. Esta limitao foi superada no Windows Server 2003. Muito bem, de teoria sobre NAT isso. Concluso Nesta parte do tutorial fiz uma breve apresentao sobre o servio de traduo de endereos NAT Network Address Translation. Esta foi a vigsima e ltima parte, desta primeira etapa dos tutoriais de TCP/IP. As partes de 01 a 20, constituem o mdulo que eu classifiquei como Introduo ao TCP/IP. O objetivo deste mdulo foi apresentar o TCP/IP, mostrar como o funcionamento dos servios bsicos, tais como endereamente IP e Roteamento e fazer uma apresentao dos servios relacionados ao TCP/IP, tais como DNS, DHCP, WINS, RRAS, IPSec, Certificados Digitais, ICS, compartilhamento da conexo Internet e NAT (assunto desta parte, ou seja Parte 20 do tutorial). No decorrer de 2004 sero disponibilizados mais 20 tutoriais de TCP/IP (de 21 a 40), nas quais falarei mais sobre os aspctos do protocolo em si, tais como a estrutura em camadas do TCP/IP e detalhes um maior detalhamento sobre cada um dos protocolos que formam o TCP/IP: TCP, IP, UDP, ARP, ICMP e por a vai.