Comandos básicos para RoutersCisco

Coloquei os comandos básicos/úteis para utilização no Cisco IOS, via CLI – Command Line Interface. Acredito que vai ser bem útil para que está começando, ou acessa o roteador apenas eventualmente.

Modos de Configuração
roteador> -  Modo Usuário
roteador# -  Modo Privilegiado
roteador(config)# -  Modo Global

Modo Usuário
enable -  Entra no modo de configuração privilegiado

Modo Privilegiado
? -  Mostra os comandos disponíveis
configure terminal -  Entra no modo de configuração global
clock set – Configura a data e hora no equipamento
delete flash:/nome_do_arquivo -  Apaga o arquivo da flash
dir -  Mostra o conteúdo da flash
disable -  Sai do modo de configuração privilegiado
erase flash -  Apaga todo o conteúdo da flash
erase nvram -  Apaga todo o conteúdo da nvram
ping 10.1.1.1 – Pinga o host 10.1.1.1 e mostra o resultado
reload – Reinicia o roteador
traceroute 172.16.1.1 -  Mostra o caminho até o IP 172.16.1.1

Modo configuração global
enable secret -  Define a senha de enable
hostname  – Define o "nome" no roteador
interface f0/0 – Entra no modo de configuração da interface fastethernet 0/0
ip route 0.0.0.0 0.0.0.0 10.1.1.1 -  cria uma rota padrão para 10.1.1.1
ip route 192.168.0.0 255.255.255.0 172.16.1.1 – cria uma rota estática para a rede 192.168.0.0, através de 172.16.1.1

Modo Configuração de Interface
description -  Coloca uma descrição na interface
end -  Volta para o modo privilegiado
exit -  Sai do modo de configuração de Interface
ip address 5.5.5.5 255.255.255.0 -  Configura o IP e máscara na interface
shutdown -  Desabilita a interface
no shutdown – Habilita a interface

Verificação básica
show arp -  Mostra a tabela arp do roteador
show diag -  Mostra informações dos módulos
show history -  Mostra os últimos comandos digitados
show version -  Mostra a versão do IOS e informações de hardware
show running-config -  Mostra a configuração
show interface -  Mostra informações das interfaces
show ip interface -  Mostra informações do protocolo IP na interface
show ip route -  Mostra a tabela de rotas
show users -  Mostra os usuários conectados
show tech-support -  Informação completa do sistema

Salvando a configuração
copy running-config startup-config -  Salva configuração da memória DRAM para NVRAM
copy running-config tftp: -  Salva configuração da memória DRAM para o servidor TFTP
copy tftp: running-config -  Salva configuração do servidor TFTP para memória DRAM
wr -  Salva configuração da memória DRAM para NVRAM

Read More

Diferenças entre Cascateamento e Empilhamento

Este artigo esclarece as diferenças funcionais entre EMPILHAMENTO e CASCATEAMENTO de switches Ethernet, e esclarece também os conceitos de gerenciamento e desempenho para cada caso.

Cascateamento, o que é?

Cascateamento é a simples interconexão de dois ou mais switches em série. Para estas conexões entre os switches, são empregadas portas ou interfaces convencionais; as mesmas portas/interfaces que são utilizadas para conectar qualquer dispositivo cliente (ex: computadores, laptops, roteadores, firewalls, pontos de acesso, etc.).

Limitações do Cascateamento

Desempenho da Porta Uplink e Agregação do Tráfego

Uma vez que o cascateamento emprega uma porta Ethernet convencional, seja ela FastEthernet ou GigabitEthernet, a comunicação entre os dois switches interconectados se dá à capacidade de transmissão de dados suportada pela porta empregada. No caso de interconexão de dois switches com porta FastEthernet, a comunicação entre os dois switches ocorrerá a uma taxa de dados na ordem de 100 Mbps. No caso de GigabitEthernet, 1000 Mbps ou 1 Gbps.

O maior problema com relação ao cascateamento está justamente relacionado  ao desempenho das conexões entre os switches envolvidos. Quanto maior for a quantidade de switches em uma “cascata”, maior será o problema de escalabilidade.

Em tese, uma porta Uplink deverá possuir capacidade o suficiente para poder estatísticamente agregar com qualidade as transmissões de todas as demais portas do switch. Ao realizarmos uma interconexão entre dois switches de 48 portas 10/100 (FastEthernet) via porta GigabitEthernet, e dependendo da disposição das conexões, as transmissões destas 48 portas compartilharão a capacidade da porta uplink. A interconexão de múltiplos switches via uma porta GigabitEthernet poderá da mesma forma resultar no compartilhamento de “N portas x 100 Mbps” sobre uma única porta GigabitEthernet, acarretando em problemas de contenção pelo fato da porta GigabitEthernet não ser o suficiente para agregar todo o tráfego das portas de acesso.

Um exemplo de cascateamento:

 

Exemplo de Cascateamento

Convergência e Estabilidade

Outro fator importante é a questão de estabilidade da rede e a convergência do protocolo Spanning Tree em caso de falhas. Redes Comutadas (redes cujas decisões de encaminhamento de frames são baseadas em informações de Camada 2 (camada “Enlace de Dados” do modelo de referência OSI (RM-OSI)), possuem duas necessidades vitais para a continuidade de suas operações:

•  Topologias redundantes e resilientes
• Rápida convergência em caso de falhas

Topologias redundantes obviamente implicam no emprego de conexões redundantes entre os switches da rede, e até mesmo switches redundantes para alcançarmos maiores índices de disponibilidade. O problema é que redes comutadas precisam ao mesmo tempo estar totalmente isentas de loops. Por exemplo, a figura abaixo ilustra uma topologia redundante com conexões redundantes entre dois switches. No exemplo demonstrado abaixo, a simples presença do loop na rede resultará em sua imediata paralisação!

Loop em Rede Ethernet

Como, então, promover alta disponibilidade com conexões redundantes em uma rede Ethernet que ao mesmo tempo não pode possuir loops? Para isto existe o protocolo Spanning Tree, ou Spanning Tree Protocol (STP), nas suas variações IEEE 802.1d (STP), IEEE 802.1w (RSTP), e IEEE 802.1S (MSTP).

O objetivo do protocolo Spanning Tree é possibilitar links redundantes em uma rede comutada (com switches), ao mesmo tempo em que eliminando a possibilidade de ocorrência de loops. Na ilustração abaixo, o protocolo Spanning Tree automaticamente deteta a presença do loop, e se encarrega de desabilitar as portas que julgar necessário para assegurar o interrupção da condição de loop entre os dois switches envolvido. Isto é feito automaticamente pelo protocolo Spanning Tree, baseado em uma série de critérios os quais não serão abordados neste documento.

Loop e Spanning Tree

Você deve estar se perguntando: o que isto tem a ver com empilhamento ou cascateamento?

A resposta é muito simples: o protocolo Spanning Tree é complexo, e possui uma série de limitações. O cascateamento excessivo de switches em uma rede Ethernet poderá agravar estas limitações do protocolo Spanning Tree e provocar problemas na rede, em especial loops e o tempo de convergência do protocolo em caso de falhas em um equipamento ou link da rede.

Na verdade, a maior limitação está por conta do diâmetro da rede do Spanning Tree: este protocolo foi projetado para operar com eficiência para redes Ethernet comutadas com no máximo 7 dispositivos em seu diâmetro. Ou seja, de um computador-dispositivo cliente para outro computador, a transmissão não deverá percorrer por mais do que 7 switches ao longo do trajeto. Na verdade, o diâmetro é estabelecido com base em um ponto de referência central, que controla a operação do protocolo Spanning Tree. Este ponto de referência central é um switch Ethernet de melhor prioridade, e desempenha a função conhecida como Root Bridge.

 

Diâmetro STP

Ao interconectar múltiplos switches Ethernet por meios de cascateamento, é possível que o diâmetro da rede seja modificado para algo muito superior a sete (07), o que não é muito compatível com os temporizadores (“timers”) das mensagens do protocolo Spanning Tree (conhecidas por “BPDUs”).

 

Diâmetro excessivo do STP

Gerenciamento

Outro aspecto importante das redes comutadas é o gerenciamento. Sabe-se que para cada dispositivo onde uma verificação precisa ser feita ou alguma configuração a ser realizada, precisamos em primeiro momento estabelecer uma conexão com o sistema operacional do dispositivo para fins de gerenciá-lo e administrar os comandos dos recursos desejados.

A conexão com o sistema operacional do Switch Ethernet poderá ser feita por vários métodos – dependendo do que for suportado pelo dispositivo em questão. Por exemplo, Telnet, SSH, HTTP/HTTPS, e SNMP.

Geralmente switches cascateados são gerenciados individualmente: cada switch que compõe a “cascata” precisa ser acessado isoladamente. Isto acarreta em esforço administrativo e torna o ambiente ainda mais complexo.

Há exceções, porém, como é o caso dos switches da Cisco Systems que suportam o recurso de “Cluster”, onde até 16 switches podem ser agrupados e gerenciados via um único endereço IP (ao invés de fazermos acessos individuais para cada switch), mas, mesmo assim, em termos de estrutura de comutação continuam sendo 16 switches completamente independentes. No entanto, por vias gerais, isto não é tipicamente suportado por todos os fabricantes.

Resumo

O cascateamento é uma simples conexão ou interconexão entre dois ou mais switches através de portas Ethernet convencionais. Possui limitações como a escalabilidade, desempenho de comunicação entre os switches, e a questão do gerenciamento.

Empilhamento, o que é?

Ao contrário do cascateamento, o empilhamento emprega portas dedicadas, exclusivas para o propósito de interconexão entre switches. Esta porta é de alto desempenho – superior às portas FastEthernet e GigabitEthernet – e interconecta o switch fabric diretamente entre os switches da “pilha”. Isto promove um ganho de desempenho muito superior se comparado ao cenário de cascateamento.

Vantagens do Empilhamento

• Conexão de alto desempenho entre os switches;
• Porta dedicada e exclusiva para este propósito;
• Suporta conexões de portas de empilhamento redundantes (Daisy-chain ou ring);
• Elimina o problema de escalabilidade do diâmetro do protocolo Spanning Tree;
• Permite gerenciar todos os switches da pilha como se fossem um mesmo sistema (o cascateamento não suporta isto). Emprega-se um único endereço IP para todo o sistema.

No caso da Cisco Systems, as tecnologias Cisco StackWise, Cisco StackWise Plus, e Cisco FlexStack são suportadas pelos modelos 3750, 3750-X, e 2960-S.

As ilustrações abaixo mostram o Cisco StackWise e o Cisco FlexStack (para Catalyst 2960-S).

Cisco StackWise

Cisco FlexStack

Cisco FlexStack

O denominado “empilhamento” de switches possui inúmeras vantagens, se comparada à utilização individual de cada switch em uma rede. Swithes empilháveis, quando fazendo parte de uma pilha ou “stack” de switches, são interconectados diretamente em seus chamados “switching fabric” através de portas dedicadas e específicas para este propósito, o que permite a interconexão direta do plano de controle (“Control Plane”) de cada um dos equipamentos, consolidando-os e os tornando um único switch, completamente gerenciável.

Ou seja, ao invés de possuirmos quatro switches “isolados” em uma rede, mesmo que interconectados através de suas portas, possuímos somente um “único” switch, que é a representação do empilhamento de até 4 unidades (no caso do FlexStack) ou 9 unidades (no caso do StackWise) . O empilhamento oferece as seguintes capacidades e vantagens sobre switches “standalone” ou individuais:

• Todos os switches de uma pilha são gerenciados de uma vez só.
• Todos os switches de uma pilha se unificam completamente, e tornam-se um único switch na rede.
• Elimina o “gargalo” no tráfego de dados entre os switches.
• Melhora drasticamente as capacidades de gerenciamento e mitigação de falhas na rede local.

Cisco StackWise

Dependendo do modelo empregado, o StackWise poderá ofertar 32 Gbps de desempenho na porta de empilhamento, sendo 16 Gbps Upstream e 16 Gbps Downstream.

A capacidade da porta de empilhamento varia conforme a versão da tecnologia e o modelo de equipamento empregado. Por exemplo, o switch Cisco Catalyst 3750-X, que usa a tecnologia Cisco StackWise Plus, poderá empilhar até 9 switches, tornando-os um sistema único, através de portas dedicadas com capacidade de 64 Gbps. Neste caso, são usados dois cabos de 16 pares, totalizando 64 Gbps.

Cisco StackWise Plus

É no aspeto desempenho e gerenciamento unificado de até 9 switches por pilha que observamos melhor os benefícios do empilhamento. As conexões feitas via portas dedicadas interligam diretamente os “switch fabrics” dos sistemas interconectados, promovendo um cenário de desempenho e robustez absolutamente superior.

A ilustração abaixo mostra uma comunicação unicast entre dois computadores conectados no mesmo switch de uma pilha de switches com StackWise. A comutação é resolvida localmente pela ASIC que controla as portas envolvidas.

Comutação com o Cisco StackWise

Já a ilustração abaixo mostra a comunicação direta via o backplane dos dois switches envolvidos, quando a transmissão precisa fluir de um switch para o outro.

Comutação com o Cisco StackWise

Espero com este artigo ter esclarecido as diferenças funcionais entre EMPILHAMENTO e CASCATEAMENTO, e como o empilhamento se demonstra bastante superior ao simples cenário de cascateamento de switches.

Autor: Leonardo Furtado

Fonte: https://innovacloudorg.wordpress.com/2011/12/30/diferencas-entre-cascateamento-e-empilhamento

 

Read More

Configurando interfaces de rede manualmente no Centos

Autor:eu próprio.

Tendo como base a interface eth0 (a primeira) devemos aceder ao seguinte da seguinte forma ao à configuração da interface:

vi /etc/sysconfig/network-scripts/ifcfg-eth0

Utilizo o vi para a edição.

Observe a sintaxe abaixo:

DEVICE=eth0
BOOTPROTO=static
DHCPCLASS=
HWADDR=00:31:25:56:A6:B2
IPADDR=192.168.1.181
NETMASK=255.255.255.0
ONBOOT=yes

Fazendo isto (com  sintaxe semelhante) estamos a colocar o ip da interface estaticamente como 192.168.1.181 e dizendo que isto será feito no momento do boot do sistema.

Em seguida entre aqui:

vi /etc/sysconfig/network

NETWORKING=yes
HOSTNAME=CentOS
GATEWAY=192.168.1.230

Aqui definimos a rede com o hostname CentOS e o gateway 192.168.1.230

Após isto reinicie o serviço de rede:

/etc/init.d/network restart

Depois podemos até alterar os dns para acesso a web:

vi /etc/resolv.conf

Neste ficheiro colocamos assim:

nameserver 200.165.132.148
nameserver 200.165.132.155

Este é o modo simples de definir os dns que queremos.

Para concluir ficou assim

FILE:icfg-eth0
DEVICE="eth0"
NM_CONTROLLED="yes"
ONBOOT="yes"
HWADDR=00:0C:29:FC:CC:DB
TYPE=Ethernet
#BOOTPROTO=dhcp
DEFROUTE=yes
PEERDNS=yes
PEERROUTES=yes
IPV4_FAILURE_FATAL=yes
IPV6INIT=no
#novo
BOOTPROTO=static
IPADDR=192.168.1.181
NETMASK=255.255.255.0

FILE:network
NETWORKING=yes
HOSTNAME=CentOS6
#novo
GATEWAY=192.168.1.230

FILE:resolv.conf
nameserver 192.168.1.5
nameserver 192.168.1.230

Read More

Configuração Manual do CentOS– Correr repositório do DVD. Instalando rede manual

Comecei por fazer uma instalação “minimal”  do CentOS 6.0.

Na configuração da rede não me apercebi e a rede ficou  desativada.

Ao correr o ifconfig só me aparecia a interface de loopback.

Pesquisando na net descobri o comando lspci para verificar as característica da placa.

Ao correr o comando lspci dava mensagem de comando inválido ou inexistente.

Descobri que tinha de instalar o pacote pciutils.

Tentei o yum e nada. O primeiro repositório era um site …como não tenho rede o yum dava erro e nada. Há que preparar o yum para correr do dvd.

Mãos à obra…

Primeiramente, precisamos desabilitar todos os repositórios do Yum. Para isso, basta editar todos os arquivos .repo que estiverem no diretório /etc/yum.repos.d/, trocando ou criando todas as ocorrências de enabled=1 por enabled=0.

Podemos fazer isso com um único comando:

# for Arquivo in /etc/yum.repos.d/*.repo

   do

   sed -i 's/\(enabled=\)1/\10/' $Arquivo

   done

Em seguida, verificamos se já existe ou criamos um arquivo media.repo no diretório /etc/yum.repos.d/ com o seguinte conteúdo:

[media]

name=Fedora 7 i386 DVD

baseurl=file:///media/CENTOSDVD/

enabled=1

gpgcheck=0

Basta montar agora o DVD.

# mount /dev/dvd /media/CENTOSDVD

Já podemos correr o YUM. Começamos por limpar a atualizar.

# yum clear

# yum check-update

Está ok podemos agora instalar o pciutils

# yum search pciutils

# yum install pciutils.x386_64

Agora já podemos correr o comando

# lspci |grep net

e ver os dados da nossa placa.

Concluí entretanto que afinal a placa estava instalada. No entanto desligada.

Bastava para isso ter corrido o  comando

# ip link

 

 

 

 

 

Verificamos que não existe eth0 e que o eht1 está desligado (DOWN)

No ficheiro de configuração da placa eth0  em /etc/sysconfig/network-scripts/ifcfg-eth0 temos

ONBOOT=no

A placa ficava sempre desligada no arranque. Podemos ligá-la desde já com o comando /etc/sysconfig/networking-scripts/ifup-eth e obtemos a seguinte mensagem de erro:

 

 

 

isto deve-se ao facto de a placa estar com designada por eth1 e  não por eth0.

Não sei porque isto acontece mas talvez se deva ao que acontece depois de copiarmos ou movermos uma máquina virtual no VM Ware.

Quando iniciamos no VM Ware uma máquina virtul copiada, a primeira pergunta que o VM Ware faz é se copiamos ou movemos a máquina. Consoante a resposta ele mantem o Mac Address da placa de rede ou gera um novo Mac Adreess.

Se respondermos que copiámos, ele gera um novo mac para a placa e aqui que o problema é criado. No ficheiro /etc/sysconfig/network-scripts/ifcfg-eth0  temos a linha com o Mac da placa “HWADDR=00:30:48:56:A6:NE” que depois não coincide com o Mac gerado pelo VM Ware. Julgo que é que provoca a alteração do alias da placa de eth0 para eth1 (mas não tenho a certeza). O Linux sabe quem são as eth’s pelos seus endereços de hardware.

Mude a variável HWADDR no seu arquivo ifcfg-eth0 para compatibiliza-lo com o endereço da VM e pronto..

Além de termos que mudar novamente o name de eth1 para eth0 no arranque, temos também que alterar o mac adreess na variável HWADDR no arquivo ifcfg-eth0 e compatibiliza-lo com o endereço da VM. 

Para testar que funciona podemos para esta sessão alterar o name da placa  eth1 com o seguinte comando:

# ip link set dev eth1 name eth0

# ls –l /sys/class/net

# /etc/init.d/network restart

Devemos no entanto alterar o Mac Address. Para isso devemos consultar o mac da VM. Ver imagens seguintes:

O nosso problema continua por resolver. Sempre que reiniciamos o eth1 mantem-se.

Pesquisando na Net descobri onde são guardadas os nomes das interfaces de rede: eth0, eth1 etc. Este arquivo no CentOS é o /etc/udev/rules.d/70-persistent-net.rules.

Para editá-lo utilizei o editor vi:

# vi /etc/udev/rules.d/70-persistent-net.rules

 

 

 

 

 

 

 

 

 

 

 

 

Verificamos então que temos dois interfaces com o name “eth0” e com mac address diferentes. Verificamos tb que um dos registos “eth0” tem o mesmo mac address que o “eth1”. Daí os problemas.

Removi as duas primeiras entradas relativas ao eth0 com mac diferente e a relativa ao eth1. Reiniciei a máquina e a rede está up…..

Conclusão:

Quando se diz ao VMWARE que se trata de uma cópia, para que não haja conflitos com a outra máquina virtual ele gera um novo mac address para a placa de rede. Ao gerar um novo mac, o anterior que tinha sido assumido pelo SO deixa de existir.

Como o SO não encontra esse endereço físico, gera um novo interface (eth1) com o novo mac. 

Read More

Como funcionam os firewalls

Como funcionam os firewalls
por Jeff Tyson - traduzido por HowStuffWorks Brasil

Introdução

Se você usa a Internet há algum tempo, já deve ter ouvido falar em firewall. Tanto a conexão doméstica quanto a conexão em rede de grandes corporações podem ter problemas de segurança. Com um firewall, é possível proteger a rede das páginas ofensivas e dos hackers em potencial.

O termo inglês firewall faz uma alusão comparativa à função que o sistema desempenha a fim de evitar o alastramento de dados nocivos dentro de uma rede de computadores, da mesma forma que uma parede corta-fogo (firewall) evita o alastramento de incêndios pelos cômodos de uma edificação. Conforme você for lendo este artigo, vai aprender como ele funciona e de que tipos de ameaças o firewall protege as redes.

O que ele faz

Um firewall é um programa ou dispositivo de hardware que filtra as informações que entram pela conexão da Internet para a rede de conexão ou o sistema do computador. Se um pacote de informações recebido estiver marcado pelos filtros, não vai receber permissão para passar.

Se você leu o artigo Como funcionam os servidores Web, já sabe como os dados se movem pela Internet e vai entender facilmente como um firewall ajuda a proteger os computadores dentro de uma grande empresa. Digamos que você trabalha em uma empresa com 500 funcionários. A empresa provavelmente terá centenas de computadores com placas de rede conectando-os. Além disso, a empresa também terá uma ou mais conexões de alta velocidade com a Internet. Sem um firewall, todos esses computadores estariam diretamente acessíveis para qualquer um na Internet. Um hacker pode sondar esses computadores, tentar estabelecer conexões FTP com eles, fazer conexões telnet e assim por diante. Ou, se um funcionário cometer um erro e deixar um furo na segurança, os hackers podem chegar nessa máquina e explorar esse furo.

Uma empresa poderá colocar um firewall em cada conexão com a Internet (por exemplo, em cada linha de conexão que entra na empresa). O firewall é capaz de implantar regras de segurança. Por exemplo, umas das regras de segurança dentro da empresa poderia ser: ter 500 computadores dentro dessa empresa, mas somente um deles ter a permissão de receber tráfego público de FTP. O firewall permitiria conexões FTP somente com esse computador e as impediria em todos os outros.

Uma empresa pode definir regras como essa para os servidores FTP, Web, Telnet e outros. Além do mais, a empresa também pode controlar como os funcionários se conectam com páginas da Internet, se os arquivos sairem da empresa pela rede. Um firewall dá à empresa um grande controle sobre a maneira como as pessoas usam a rede.

Para controlar o tráfego pela rede, podem-se usar alguns dos métodos abaixo.

• Filtros de pacotes - pacotes (pequenos pedaços de dados) são analisados levando um conjunto de filtros em consideração. Os pacotes que atravessam os filtros são enviados ao sistema que o pediu e todos os outros são descartados.
• Serviço proxy - informações da Internet são captadas pelo firewall e enviadas ao sistema que as pediu e vice-versa.
• Stateful inspection - método mais novo que não examina os conteúdos de cada pacote, mas compara certas partes especiais com um banco de dados de informações confiáveis. Informações da parte interior do firewall para a parte exterior são monitoradas para verificar características específicas e as informações recebidas são comparadas com essas características. Se a comparação tiver uma igualdade razoável, as informações recebem permissão para entrar. Senão, são descartadas.

Adequando o firewall

Os firewalls podem ser personalizados. E isso significa que é possível adicionar ou remover filtros baseando-se em várias condições. 

• Endereços IP - cada máquina na Internet recebe um endereço único chamado de endereço IP. Os endereços IP são números de 32 bits que costumam ser expressados como quatro "octetos" em um "número decimal separado por pontos". Um endereço IP tem a seguinte aparência: 216.27.61.137. Por exemplo, se um determinado endereço IP fora da empresa estiver lendo muitos arquivos de um servidor, o firewall pode bloquear todo o tráfego que entra ou sai desse endereço IP.

• Nomes de domínio - é difícil lembrar a seqüência de números que compõem um endereço IP e como os endereços IP precisam ser alterados de vez em quando, todos os servidores da Internet também têm nomes que podem ser lidos por nós: os nomes de domínio. Por exemplo: para a maioria das pessoas é bem mais fácil lembrar de www.hsw.com.br do que lembrar de 216.27.61.137. Uma empresa pode bloquear todo o acesso a certos nomes de domínio ou permitir acesso somente a domínios específicos.

• Protocolos - o protocolo é a maneira pré-definida pela qual alguém que deseja usar um serviço se comunica com esse serviço. Esse "alguém" costuma ser um programa, como um navegador web, mas também pode ser uma pessoa. Os protocolos freqüentemente são textos e simplesmente descrevem como o cliente e o servidor irão conversar. O http é um protocolo da Internet. Veja alguns protocolos comuns que você pode incluir nos filtros de firewalls:
  • IP (Protocolo da Internet): principal serviço de entrega de informações na Internet
  • TCP (Protocolo de controle de transmissão): usada para quebrar e reconstruir informações que viajam pela Internet
  • HTTP (Protocolo de transferência de hipertexto): usado para páginas da Internet:
  • FTP (Protocolo de transferência de arquivos): usado para fazer o download e o upload de arquivos
  • UDP (Protocolo de datagrama de usuário): usado para informações que não requerem resposta, como áudio e vídeo streaming
  • ICMP (Protocolo de mensagens de controle da Internet): usado por um roteador para trocar informações com os outros roteadores
  • SMTP (Protocolo de transporte de correio simples): usado para enviar informações de texto (e-mail)
  • SNMP (Protocolo de gerenciamento de rede simples): usado para coletar informações de sistema de um computador remoto
  • Telnet: usado para executar comandos em um computador remoto

  Uma empresa pode configurar apenas 1 ou 2 máquinas para lidar com um protocolo específico e proibir esse protocolo em todas as outras máquinas.

• Portas - qualquer servidor disponibiliza seus serviços de Internet usando portas enumeradas, uma para cada serviço disponibilizado pelo servidor (consulte Como funcionam os servidores Web para mais detalhes). Por exemplo, se uma máquina está executando um servidor Web e um servidor de FTP, o servidor Web normalmente ficaria disponível na porta 80, ao passo que o servidor de FTP estaria disponível na porta 21. Uma empresa pode bloquear o acesso à porta 21 em todas as máquinas da empresa, exceto uma.

• Palavras e frases específicas - um firewall irá procurar cada pacote de informações em busca de algo que coincida exatamente com o texto listado no filtro. Por exemplo, seria possível instruir o firewall para que ele bloqueasse qualquer pacote que tenha a palavra "conteúdo adulto". Mas é importante que eles sejam exatamente iguais. O filtro para "conteúdo adulto" não perceberia "conteúdos adultos" (no plural). A solução então é incluir o maior número de palavras, frases e variações que você puder.

Alguns sistemas operacionais vêm com um firewall integrado. Se esse não for o seu caso, um programa firewall pode ser instalado no computador da sua casa que tenha conexão com a Internet. Esse computador é considerado uma porta de comunicação (gateway) porque fornece o único ponto de acesso entre a suarede doméstica e a Internet.

Já com um hardware de firewall, a unidade de firewall costuma ser esse gateway. Um bom exemplo disso é o roteador Cabo/DSL Linksys. Ele possui um cartão Ethernet e hub integrados. Os computadores na sua rede doméstica se conectam com o roteador, que por sua vez está conectado com um modem para conexão decabo de TV ou ADSL. Você configura o roteador através de uma interface semelhante à Internet que é acessada pelo navegador do seu computador. É possível definir quaisquer filtros ou informações adicionais.

Firewalls de hardware são extremamente seguros e não são tão caros. Versões para uso doméstico que incluem um roteador, firewall e hub Ethernet para conexões banda larga podem ser encontrados por bem menos de US$ 100.

Ele oferece proteção contra o quê?

Há muitas maneiras de pessoas inescrupulosas acessarem ou violarem computadores desprotegidos.

• Login remoto - quando alguém é capaz de se conectar ao seu computador e controlá-lo de alguma forma. Isso pode variar desde a capacidade de visualizar ou acessar seus arquivos até a capacidade de executar programas no seu computador.

• Backdoors de aplicativos - alguns programas possuem funções especiais que permitem acesso remoto. Outros contêm falhas que abrem backdoors, ou pontos de acesso ocultos, que dão algum nível de controle sobre o programa.

• Captura de sessão SMTP - o SMTP é o método mais comum para enviar e-mails pela Internet. Ao ganhar acesso a uma lista de endereços de e-mail, uma pessoa pode enviar e-mails não solicitados (spam) para milhares de usuários. Isso é feito com bastante freqüência redirecionando o e-mail através do servidor SMTP de um host inocente, fazendo com que seja difícil rastrear o verdadeiro remetente do spam;

• Falhas no sistema operacional - da mesma maneira que os aplicativos, alguns sistemas operacionais também têm pontos de acesso ocultos. Outros fornecem acesso remoto com controles de segurança insuficiente ou têm falhas que um hacker experiente pode aproveitar.

• Denial of service (DoS) - você provavelmente já ouviu essa frase em reportagens sobre ataques em grandes páginas de Internet. Esse tipo de ataque é quase impossível de se impedir. O que acontece é que o hacker envia uma solicitação para o servidor pedindo uma conexão com ele. Quando o servidor responde com um reconhecimento da solicitação e tenta estabelecer uma sessão, não consegue encontrar o sistema que fez a solicitação. E ao inundar um servidor com essas solicitações de sessão impossíveis de se responder, um hacker faz com que o servidor pare ou "caia".

• Bombas enviadas por e-mail - costuma ser um ataque pessoal. Alguém lhe envia o mesmo e-mail centenas ou milhares de vezes até que o seu sistema de e-mail não consiga aceitar mais nenhuma mensagem.

• Macros - para simplificar procedimentos complicados, muitos aplicativos permitem que você crie um script de comandos que o aplicativo pode executar. Esse script é conhecido como macro. Os hackers tiram vantagem disso para criar suas próprias macros que, dependendo do aplicativo, podem destruir seus dados ou fazer o seu computador "cair".

• Vírus - provavelmente, a ameaça mais conhecida. Um vírus de computador é um pequeno programa que pode criar cópias de si mesmo em outros computadores. Dessa maneira, ele pode se espalhar rapidamente de um sistema para o outro. Existem vários tipos de vírus, desde as mensagens que não causam risco nenhum até aqueles que apagam todos os seus dados.

• Spam - normalmente inofensivos, mas sempre irritantes. O spam é o equivalente eletrônico de correspondência não solicitada. Mas ele pode ser perigoso, pois muitas vezes contém links para páginas da Internet. Cuidado ao clicar nesses links, já que pode acidentalmente aceitar um cookieque abre um ponto de acesso ao seu computador;

• Bombas redirecionadas - os hackers usam ICMP para alterar (redirecionar) o caminho utilizado pelas informações ao enviá-las para um roteador diferente. Essa é uma das maneiras em que um ataque DoS é organizado.

• Roteamento pela fonte - na maioria dos casos, o caminho percorrido por um pacote na Internet (ou em qualquer outra rede) é determinado pelos roteadores desse caminho. Mas a fonte que fornece o pacote pode especificar de maneira arbitrária a rota que o pacote deveria percorrer. Às vezes, os hackers se aproveitam disso para fazer a informação parecer que vem de uma fonte confiável ou mesmo de dentro da rede. Por padrão, a maioria dos produtos de firewall desativa roteamento de fontes.

Alguns dos itens na lista acima são difíceis de se filtrar com um firewall. Embora alguns firewalls ofereçam proteção contra vírus, vale a pena investir na instalação de um anti-vírus em cada computador. E embora saibamos que são irritantes, alguns spams vão conseguir passar pelo seu firewall pelo simples fato de você aceitar e-mails.

O nível de segurança que você estabeleu irá determinar quantas dessas ameaças podem ser bloqueadas pelo firewall. O nível mais alto de segurança seria simplesmente bloquear tudo. Mas é óbvio que isso vai contra o propósito principal de se ter uma conexão de Internet. No entanto, uma regra geral é bloquear tudo e, depois, começar a selecionar que tipos de tráfego permitir. Também é possível restringir o tráfego que passa pelo firewall de modo que somente certos tipos de informação, como e-mail, possam passar. Essa é uma boa regra para as empresas que têm um administrador de rede experiente que compreende quais são as necessidades e sabe exatamente qual o tráfego que deve permitir. Para a maioria das pessoas, o melhor é trabalhar com os padrões desenvolvidos pelo criador do programa, a menos que haja razões específicas para mudá-los.

Uma das melhores coisas a respeito de um firewall do ponto de vista da segurança é que ele impede que qualquer visitante externo tente se conectar em um computador da sua rede particular. E embora as ameaças para as grandes empresas sejam maiores e a maioria das redes domésticas provavelmente não sejam tão ameaçadas, ainda assim, instalar um firewall pode proporcionar um pouco mais de segurança.

Servidores proxy e DMZ

Algo que costuma ser combinado com um firewall é um servidor proxy. O servidor proxy é utilizado pelos outros computadores para acessar páginas da Internet. Quando outro computador solicita uma página da Internet, ela é resgatada pelo servidor proxy e enviada ao computador que fez a solicitação. O resultado final dessa ação é que o computador remoto que hospeda a página nunca entra em contato direto com nenhuma parte da sua rede doméstica, a não ser com o servidor proxy.

Servidores proxy também podem fazer com que seu acesso à Internet funcione de maneira mais eficiente. Se acessar uma página da Internet, ela é armazenada no servidor proxy. E isso significa que na próxima vez em que voltar para essa página, ela normalmente não terá que ser carregada da página original novamente. Em vez disso, ela será carregada instantaneamente do servidor proxy.

Há momentos em que você pode querer que usuários remotos acessem itens da sua rede. Alguns exemplos:

• página da Internet
• negócios online
• área de download e upload

Nesses casos, pode ser uma boa idéia criar uma zona desmilitarizada (DMZ). Apesar do nome, não passa de uma área localizada fora do firewall. 

Configurar uma zona desmilitarizada é muito fácil. Se há vários computadores, é possível simplesmente colocar um desses computadores entre a conexão da Internet e o firewall. A maioria dos programas de firewall disponíveis hoje em dia permitem a criação de um diretório de zona desmilitarizada no computador gateway.

Assim que o firewall estiver funcionando, faça uns testes com essa zona desmilitarizada. Uma boa maneira de fazer isso é acessar www.grc.com (em inglês) e experimentar o teste de segurança Shields Up! de graça. Você vai receber um feedback imediato relatando o nível de segurança do seu sistema.

Read More

Como funciona a Ethernet

Como funciona a Ethernet
por Nick Pidgeon - traduzido por HowStuffWorks Brasil

Introdução

 

O acesso eficiente e confiável à informação é um aspecto importante do mundo dos negócios. Arquivos e montanhas de papel foram substituídos por computadores, que armazenam e gerenciam, eletronicamente, a informação. Um trabalho pode ser realizado por duas ou mais pessoas que moram em lugares completamente diferentes. Centenas de trabalhadores de uma empresa podem revisar simultaneamente uma informação disponível online.

As tecnologias de rede dos computadores são a cola que une esses elementos. A Internet pública permite que os vendedores de produtos e serviços disponibilizem informação para seus parceiros e consumidores. A rede global de computadores conhecida como Internet permite que as pessoas comprem livros, roupas e até carros. Também é possível colocar esses itens em um leilão, quando não são mais desejados.

Neste artigo, vamos examinar detalhadamente as redes e, em particular, o padrão de rede Ethernet. Você vai entender como todos esses computadores se conectam.

Por que rede?

Uma rede permite a troca de informações (envio e recebimento) entre computadores. Talvez nós nem tenhamos idéia da quantidade de vezes que acessamos informações em redes de computador. A Internetcertamente é o maior exemplo de rede de computadores, com milhões de máquinas conectadas ao redor do mundo, mas as pequenas redes desempenham um papel importante na busca diária de informações. Muitas bibliotecas públicas substituíram os cartões em papel por terminais de computador. Assim, é mais fácil e rápido procurar os livros. Os aeroportos têm inúmeras telas que exibem informações sobre vôos. Muitas lojas têm computadores especializados que controlam transações de pontos-de-venda. Em cada um desses casos, as redes oferecem diferentes dispositivos em diversas localidades que acessam uma informação compartilhada.

Antes de conhecer os detalhes de um padrão de rede como a Ethernet precisamos entender alguns termos básicos e classificações que descrevem e diferenciam as diferentes tecnologias de rede. Vamos começar!

Rede local x rede de longa distância

As tecnologias de rede podem ser divididas em dois grupos básicos:

• Rede local, na qual as tecnologias LAN (Local Area Network) conectam muitos dispositivos que estão relativamente próximos, geralmente no mesmo prédio. Os terminais de uma livraria que exibem informações sobre um livro estão conectados a uma rede local.
• Rede de longa distância, na qual as tecnologias WAN (Wide Area Network) conectam um número menor de dispositivos que podem estar separados por muitos quilômetros. Por exemplo, se duas livrarias situadas em bairros diferentes quiserem compartilhar a informação de seu catálogo de livros, elas devem usar uma tecnologia de rede de longa distância. Pode-se usar uma linha dedicada, alugada da companhia telefônica.

Em comparação às WANs, as LANs são mais rápidas e confiáveis. A tecnologia, porém, se desenvolve rapidamente, e as diferenças entre WAN e LAN estão cada vez menores. Os cabos de fibra ótica permitem a conexão de dispositivos LAN separados por quilômetros de distância. Esses cabos também melhoram a velocidade e a confiabilidade das redes WAN.

A Ethernet

Em 1973, os pesquisadores Bob Metcalfe e David Boggs, do Xerox Corporation's Palo Alto Research Center (mais conhecido como PARC), e criaram e testaram a primeira rede Ethernet. Metcalfe tentava conectar o computador "Alto" da Xerox a uma impressora e acabou desenvolvendo um método físico de cabeamento que conectava os dispositivos na Ethernet. Ele também criou os padrões de comunicação em cabos. Desde então, a Ethernet se tornou a tecnologia de redes mais popular do mundo. Muitos dos problemas da Ethernet são parecidos com os problemas das outras tecnologias de rede. Compreender o funcionamento da Ethernet dará a você embasamento para entender as redes em geral.

Com o amadurecimento das redes, o padrão Ethernet cresceu para agregar novas tecnologias. Mas os mecanismos de operação de todas as redes Ethernet atuais se baseiam no sistema original de Metcalfe. O conceito original de Ethernet é: comunicação compartilhada por um único cabo para todos os dispositivos da rede. Uma vez que o dispositivo está conectado a esse cabo, ele tem a capacidade de se comunicar com qualquer outro dispositivo. Isso permite que a rede se expanda para acomodar novos dispositivos sem ter de modificar os dispositivos antigos.

Informações básicas sobre a Ethernet

A Ethernet é uma tecnologia de rede local. Essas redes normalmente operam num mesmo prédio e conectam dispositivos próximos. No início podia haver no máximo algumas centenas de metros de cabos separando dispositivos numa Ethernet, tornando difícil conectar locais muito distantes geograficamente. Avanços recentes da tecnologia conseguiram aumentar essas distâncias, e as redes Ethernet atuais podem cobrir dezenas de quilômetros.

Protocolos
Na área de redes, o termo protocolo se refere a um conjunto de regras que regem as comunicações. Protocolos são a linguagem dos computadores. Seguindo esse raciocínio, dois dispositivos de uma rede precisam entender o mesmo protocolo para poder se comunicar.

Terminologia da Ethernet

Regras simples regem a operação básica da Ethernet. Para compreender essas regras, é importante conhecer a terminologia básica da Ethernet.

• meio - dispositivos Ethernet se conectam a um meio comum que fornece um caminho para os sinais eletrônicos. Historicamente, esse meio é um cabo coaxial de cobre, mas hoje se utiliza cabeamento de par trançado ou fibra ótica.
• segmentos - um único meio compartilhado é um segmento Ethernet.
• nó - dispositivo que se conecta ao segmento.
• frame - os nós se comunicam por meio de mensagens curtas chamadas frames, que são blocos de informação de tamanho variável.

Pense em um frame como se fosse uma frase na linguagem humana. Em português, obedecemos a regras para construir as frases. Sabemos que todas as frases devem possuir um sentido completo. O protocolo Ethernet especifica um conjunto de regras para construir os frames. Existe um comprimento mínimo e máximo para os frames e um conjunto necessário de trechos de informação que devem aparecer no frame. Por exemplo, cada frame deve incluir um endereço de destino e um endereço de envio, que identificam respectivamente o destinatário e o remetente da mensagem. O endereço identifica um nó único, da mesma forma que um nome identifica uma pessoa - dois dispositivos Ethernet nunca têm o mesmo endereço.

O meio Ethernet

Como um sinal no meio Ethernet alcança todos os nós conectados, o endereço de destino desempenha um papel fundamental para identificar o destinatário do frame.

Por exemplo, na figura acima, quando o computador B transmite para a impressora C, os computadores A e D ainda vão receber e examinar o frame. Entretanto, quando a primeira estação recebe o frame, ela verifica o endereço de destino para saber se o frame foi endereçado a ela. Se não foi, a estação descarta o frame sem examinar o conteúdo.

Um aspecto interessante do endereçamento Ethernet é a implementação do endereço broadcast. Um frame com endereço de destino igual ao endereço broadcast (também chamado simplesmente de broadcast) é direcionado para cada nó da rede, e cada nó vai receber e processar esse tipo de frame.

CSMA/CD

A sigla CSMA/CD significa, em inglês, carrier-sense multiple access with collision detection (acesso múltiplo com detecção de portadora e detecção de colisão) e descreve como o protocolo de Ethernet regula a comunicação entre os nós de uma rede. A expressão pode intimidar, mas se analisarmos os conceitos de seus componentes, separadamente, vamos ver que ele descreve regras muito similares àquelas que as pessoas utilizam em conversações civilizadas. Para ajudar a ilustrar a operação da Ethernet, vamos usar uma analogia: uma conversação à mesa de jantar.

Nosso segmento Ethernet é a mesa de jantar, e os nós são as pessoas conversando educadamente. A expressão múltiplo acesso (multiple access) fala sobre o que acabamos de discutir. Quando uma estação de Ethernet transmite, todas as estações no meio ouvem a transmissão. Da mesma maneira que quando uma pessoa fala, todo mundo escuta.

Agora vamos imaginar que você esteja à mesa e tenha alguma coisa a dizer. No momento, entretanto, existe uma pessoa falando. Já que essa é uma conversação educada, em vez de imediatamente falar e interromper o outro você espera até que ele termine de falar. Na terminologia da Ethernet, esse processo se chama carrier sense (detecção de portadora). Antes de uma estação começar a transmitir, ela "ouve" o meio para saber se outra estação está transmitindo. Se o meio estiver em silêncio, a estação reconhece que esse é o momento apropriado para transmitir.

Detecção de colisão

O acesso de múltiplos dispositivos de rede é uma boa maneira de começarmos a explorar as limitações da Ethernet, mas existe outro cenário que ainda temos de analisar. Vamos criar uma analogia da mesa de jantar e imaginar que existe um silêncio momentâneo na conversação. Você e eu temos coisas a falar e ambos sentimos o "peso do silêncio". Para resolver isso, começamos a falar quase ao mesmo tempo. Na terminologia da Ethernet, ocorre uma colisão quando os dois tentam falar ao mesmo tempo.

Em nosso caso, podemos resolver a situação de maneira civilizada. Após a percepção de que estávamos falando ao mesmo tempo, um de nós pára de falar para escutar o outro. Os nós da Ethernet também escutam o meio enquanto transmitem, para ter certeza de que são a única estação transmissora naquele momento. Se as estações começam a ouvir sua própria transmissão de forma distorcida ou misturada com a de outra estação sabem que uma colisão aconteceu. Às vezes, um segmento de Ethernet é chamado de domínio de colisão porque duas estações no segmento não podem transmitir ao mesmo tempo sem causar uma colisão. Quando as estações detectam uma colisão, elas interrompem a transmissão, esperam durante um período aleatório e tentam transmitir novamente quando detectam silêncio no meio.

A pausa aleatória e a repetição do envio do sinal representam parte importante do protocolo. Se as duas estações colidem quando estão transmitindo, então ambas terão de transmitir novamente. Na próxima oportunidade de transmissão, as estações envolvidas na colisão anterior terão dados prontos para transmitir. Se elas transmitissem novamente na primeira oportunidade, colidiriam de novo. Por isso existe um tempo de espera aleatório. Assim, dificilmente as duas estações vão continuar colidindo por muito tempo.

As limitações da Ethernet

Um cabo compartilhado é a base para uma rede Ethernet completa, o que discutimos anteriormente. De qualquer forma, há limites práticos para o tamanho de nossa rede Ethernet nesse caso. A primeira preocupação é o comprimento do cabo compartilhado.

Os sinais elétricos se propagam muito rapidamente pelo cabo, mas se tornam mais fracos com a distância, e a interferência de aparelhos elétricos (como lâmpadas fluorescentes) pode prejudicar o sinal. Um cabo de rede deve ser curto o suficiente para que os dispositivos em cada ponta recebam o sinal sem interferências e sem atraso. Esse é o limite da distância máxima que separa dois dispositivos (também conhecido como diâmetro da rede) em uma rede Ethernet. Além disso, como em CSMA/CD um dispositivo único só pode transmitir num determinado momento, existem limites práticos para o número de dispositivos que podem coexistir em uma mesma rede. Se você conectar muitos dispositivos a um mesmo segmento compartilhado, a contenção do meio aumenta. Cada dispositivo terá de esperar um longo tempo antes de conseguir transmitir.

Os engenheiros desenvolveram uma série de dispositivos de rede que aliviam esses problemas. Muitos desses dispositivos não são específicos para a Ethernet, sendo utilizados em outras tecnologias também.

Repetidores

O primeiro meio popular de Ethernet foi um cabo coaxial de cobre conhecido como "thicknet." O comprimento máximo desse cabo era de 500 metros. Em grandes prédios ou campus de universidades, um cabo de 500 metros nem sempre era suficiente. Um repetidor resolve esse problema.

Os repetidores conectam múltiplos segmentos de Ethernet, ouvindo cada segmento e repetindo o sinal ouvido para todos os outros segmentos conectados. O uso desses aparelhos permite aumentar significativamente o diâmetro de uma rede.

Segmentação

Em nossa analogia da mesa, havia poucas pessoas à mesa, situação em que ter só uma pessoa falando de cada vez não chega a provocar problemas de comunicação. Mas o que aconteceria se fosse muita gente reunida e só um pudesse falar?

Na prática, sabemos que essa analogia gera situações como a que veremos a seguir. Em grandes grupos de pessoas, é normal que aconteçam diferentes conversas simultaneamente. Se, em uma sala lotada somente uma pessoa pudesse falar a qualquer momento, muitas pessoas ficariam frustradas esperando um momento para falar. Para os humanos, o problema se corrigiria automaticamente: O alcance da voz humana é limitado e o ouvido consegue focar em uma conversa específica mesmo que esteja em um ambiente barulhento. Por isso, é comum que existam diversas conversas simultâneas em uma mesma sala. Isso não acontece com os cabos de rede, já que eles conseguem carregar sinais rapidamente e de forma eficiente por longas distâncias.

As redes Ethernet enfrentaram problemas de congestionamento ao ficarem maiores. Se há um grande número de estações conectadas a um mesmo segmento e cada uma gera uma quantidade considerável de tráfego, muitas estações tentarão transmitir assim que houver uma oportunidade. Nessas circunstâncias, as colisões se tornariam mais freqüentes e poderiam prejudicar outras transmissões, que levariam mais tempo para ser concluídas. Um jeito de reduzir os congestionamentos seria dividir cada segmento em múltiplos segmentos e assim criar múltiplos domínios de colisão. Essa solução cria um problema diferente, já que esses segmentos separados não conseguem trocar informação uns com os outros.

Pontes

Para aliviar os problemas da segmentação, as redes Ethernet implementaram as pontes. Elas  conectam dois ou mais segmentos de rede, e assim aumentam o diâmetro da rede da mesma forma que os repetidores, mas as pontes também ajudam a regular o tráfego. As pontes podem enviar e receber transmissões do mesmo jeito que qualquer outro nó, mas elas não funcionam da mesma maneira que um nó comum. A ponte não gera nenhum tráfego (como os repetidores), apenas ecoa o que ouve das outras estações. (Essa última afirmação não é 100% precisa: as pontes na verdade criam um frame especial Ethernet que permite que elas se comuniquem com outras pontes, mas esse assunto não é analisado neste artigo).

Uma das características do meio compartilhado de acesso múltiplo da Ethernet é que toda estação conectada recebe qualquer transmissão, mesmo que a transmissão não seja endereçada à estação. As pontes usam esse recurso para distribuir o tráfego entre os segmentos. Na figura acima, a ponte conecta os segmentos 1 e 2. Se as estações A e B transmitirem, a ponte também receberá a transmissão no segmento 1. Como a ponte deveria responder a esse tráfego? Ela poderia transmitir automaticamente o frame para o segmento 2, como um repetidor. Isso não aliviaria o congestionamento, já que a rede estaria se comportando como um longo segmento.

Um dos objetivos da ponte é reduzir o tráfego desnecessário nos 2 segmentos. Ela examina o endereço de destino do frame antes de decidir o que fazer com ele. Se o endereço de destino está relacionado com a estação A ou B, o frame não precisa aparecer no segmento 2. Nesse caso, a ponte não faz nada. Na verdade, a ponte filtra ou descarta o frame. Se o endereço de destino é o da estação C ou D, ou se é um endereço broadcast, a ponte vai transmitir ou encaminhar o frame para o segmento 2. Ao encaminhar os pacotes, a ponte permite que qualquer um dos quatro dispositivos se comunique. Ao filtrar os pacotes, a ponte permite que a estação A transmita para a estação B ao mesmo tempo em que a estação C transmite para a estação D; assim, duas conversas acontecem simultaneamente.

Switches são versões modernas das pontes. Eles funcionam de maneira semelhante, mas oferecem umsegmento dedicado para cada nó da rede (mais informações sobre os switches a seguir).

Roteadores: segmentação lógica

As pontes podem reduzir o congestionamento ao permitir múltiplas conversações simultâneas em segmentos diferentes, mas elas também têm seus limites na segmentação do tráfego.

Uma característica importante das pontes é que elas encaminham endereços broadcast da Ethernet para todos os segmentos conectados. Isso é necessário, já que os endereços broadcast são endereçados para todos os nós da rede. O problema é que as redes em ponte podem se tornar muito grandes. Quando um grande número de estações transmite em broadcast numa rede em ponte, o congestionamento pode ser imenso. Isso criaria uma situação semelhante a um congestionamento em um segmento simples.

Os roteadores são componentes avançados de rede que podem dividir uma rede em duas redes lógicas independentes. Os endereços broadcast da Ethernet cruzam as pontes em busca de cada nó da rede, mas não atravessam os roteadores, porque os roteadores criam uma barreira lógica para a rede.

Os roteadores operam com protocolos independentes da tecnologia específica da rede, como Ethernet ou token ring (vamos falar sobre o token ring mais adiante). Isso permite que os roteadores interconectem várias tecnologias de rede (local ou de longa distância) e foi um dos componentes que facilitaram a conexão de vários dispositivos em várias partes do mundo para formar a Internet.

Consulte Como funcionam os roteadores para obter informações detalhadas sobre essa tecnologia.

Ethernet comutada

As redes Ethernet modernas não se parecem em nada com as versões mais antigas. Em redes Ethernet antigas, as estações eram conectadas por longos cabos coaxiais. Nas redes modernas  se usa cabeamento de par trançado ou fibra ótica para conectar as estações em um padrão radial. Enquanto as redes antigas transmitiam dados a uma velocidade de 10 megabits por segundo (Mbps), as redes modernas podem operar a 100 ou até 1.000 Mbps.

Talvez o maior avanço das redes Ethernet atuais seja o uso da Ethernet comutada. As redes comutadas substituem a mídia compartilhada utilizada pela Ethernet antiga por um segmento dedicado para cada estação. Esses segmentos se conectam a um switch, que funciona de maneira parecida com uma ponte Ethernet, mas pode conectar mais segmentos de estações únicas. Alguns switches podem suportar centenas de segmentos dedicados. Como os únicos dispositivos nos segmentos são o switch e a estação final, os switches recebem todas as transmissões antes de elas chegarem ao nó seguinte. O switch então encaminha o frame para o segmento apropriado, do mesmo jeito que uma ponte o faria. Como cada segmento contém um único nó, o frame só alcança o destinatário desejado. Esse procedimento permite múltiplas conversações numa rede comutada (consulte Como funcionam os switches LAN - rede de comunicação local - para aprender mais sobre a tecnologia de switches).

Ethernet full-duplex

A Ethernet comutada gerou outro avanço: a Ethernet full-duplex. Full-duplex é uma expressão de comunicação de dados que se refere à capacidade de enviar e receber dados ao mesmo tempo.

A Ethernet antiga é half-duplex, ou seja, a informação só pode se mover em uma direção por vez. Numa rede totalmente comutada, os nós só se comunicam com o switch e não diretamente com outro nó. As redes comutadas podem utilizar cabeamento de par trançado ou fibra ótica. Ambos utilizam condutores independentes para enviar e receber dados. Nesse tipo de ambiente, as estações Ethernet podem esquecer o processo de detecção de colisão e transmitir à vontade, já que elas são os únicos dispositivos que podem acessar o meio. Isso permite que as estações finais transmitam para o switch ao mesmo tempo em que o switch transmite para elas. Assim, o ambiente se torna livre de colisões.

Ethernet ou 802.3?

Você já deve ter ouvido o termo 802.3 usado em lugar de ou em conjunto com o termo Ethernet. "Ethernet" se refere originalmente a uma implementação de rede padronizada pela Digital, Intel e Xerox - por esse motivo, ela também é conhecida como padrão DIX.

Em fevereiro de 1980, o Institute of Electrical and Electronics Engineers, ou IEEE (se pronuncia "I três E"), criou um comitê para padronizar as tecnologias de rede. O IEEE batizou esse comitê como grupo de trabalho 802. O nome foi baseado no ano e no mês de formação do grupo. Subcomitês do grupo de trabalho 802 pesquisavam separadamente diferentes aspectos das redes. O IEEE definiu cada subcomitê numerando-o como 802.X, em que X representava um número único para cada subcomitê. O grupo 802.3 padronizou a operação de rede CSMA/CD que tinha função equivalente à Ethernet DIX.

Ethernet e 802.3 são levemente diferentes em sua terminologia e formato de dados de seus frames, mas são idênticos na maioria dos aspectos. Hoje, o termo Ethernet se refere genericamente tanto à implementação DIX Ethernet quanto à padronização IEEE 802.3.

Tecnologias alternativas de redes: token ring

Além da Ethernet, a alternativa mais comum de redes é uma tecnologia desenvolvida pela IBM, chamadatoken ring. A Ethernet depende de espaços aleatórios entre as transmissões para regular o acesso ao meio, ao passo que o token ring implementa um sistema de acesso ordenado e estrito. Uma rede token ring organiza os nós em um anel lógico, como demonstrado a seguir. Os nós encaminham os frames em uma direção em volta do anel e removem o frame quando ele dá uma volta completa no anel.

1. O anel é iniciado criando um token (ou ficha), que é um tipo especial de frame que dá à estação a permissão para transmitir.
2. O token circula no anel como qualquer outro frame até encontrar uma estação que queira transmitir dados.
3. Essa estação "captura" o token e substitui o frame do token por um frame que carrega dados. Esse frame circula na rede.
4. Quando esse frame de dados retorna à estação transmissora, a estação remove o frame de dados, cria um novo token e encaminha esse token para o próximo nó do anel.

Os nós da rede token ring não buscam um sinal que carrega dados ou colisões. A presença do token assegura que a estação pode transmitir dados sem que outra estação a interrompa. As estações só transmitem um único frame de dados antes de passar o token; por isso, cada estação no anel terá uma chance para transmitir dados de maneira estrita e justa. Geralmente, as redes token ring transmitem dados numa velocidade de 4 ou 16 Mbps.

O padrão FDDI (Fiber-distributed data interface) é outra tecnologia que utiliza tokens e que opera em um par de anéis de fibra ótica. Cada anel passa um token em direções opostas. As redes FDDI ofereciam velocidades de transmissão de 100 Mbps. Inicialmente, esse tipo de padrão se tornou muito popular para as redes de alta velocidade. Com a criação da Ethernet de 100 Mbps, que é mais barata e mais fácil de se administrar, o padrão FDDI se tornou menos popular.

Tecnologia alternativa: modo de transferência assíncrono

Uma última tecnologia de rede que deve ser mencionada é o modo de transferência assíncrono(asynchronous transfer mode ou ATM). O ATM fica no limite entre as redes locais e as redes de longa distância. Esse tipo de rede pode conectar muitos dispositivos diferentes com alta confiabilidade e velocidade e cobre longas distâncias. As redes ATM são indicadas não só para dados, mas também para tráfego de voz e vídeo. Esse tipo de rede é bastante versátil e expansível. Essa tecnologia ainda não ganhou a aceitação esperada, mas é uma tecnologia bastante sólida e confiável.

A popularidade da Ethernet continua aumentando. Com quase 30 anos de aceitação da indústria, o padrão é bastante conhecido e estudado; por isso, a instalação e a resolução de problemas se tornam mais fáceis. Outras tecnologias avançaram, mas a Ethernet se torna cada vez mais rápida e funcional.

Read More