Embed Size (px)
Citation preview
Disciplina: Administração de Redes 1Endereçamento
• Introdução• Desafios da administração de redes
• As infraestruturas de rede da atualidade• Tecnologias de rede
• Endereçamento
• DNS• Funcionamento do DNS
• Configuração de Servidores de nomes;
• Configuração de cliente DNS
• Segurança
• Utilização com IPv6
• Registo do domínio
Conceitos básicos de Administração de Redes1
• Autenticação• Componentes lógicos de sistemas AAA
• Autenticação
• Autorização
• Repositório de credenciais de autenticação
• Protocolos de acesso ao repositório
• Redundâncias e escalabilidade
• Tipos de soluções em administração de redes para problemas comuns• Ping, Traceroute, MTR
• Interrogar servidores DNS
• Netsat, Nmap, Iperf, Tcpdump
Conceitos básicos de Administração de Redes1
✓ 12 Horas, 6 aulas;
Calendarização e estruturação das aulas
AR1Administração de redes 1
Aula 1 Aula 2 Aula 3 Aula 4 Aula 5 Aula 6
✓ Apresentação; ✓ Infraestruturas de rede daatualidade
✓ Tecnologias de rede
✓ Infraestruturas de rede daatualidade
✓ Endereçamento
✓ DNS✓ Servidores de nomes;✓ Cliente✓ Segurança✓ IPv6✓ Registo de Domínio
✓ Autenticação✓ Autorização✓ Credenciais e repositórios✓ Protocolos de acesso✓ Escalabilidade e redundância
✓ Soluções em Admin de Redes
✓ Aula prática
Rede de computadores e endereçamento para suportar as necessidades do negócio
• O endereçamento é uma das principais funções da comunicação entre sistemas, com a principal função de identificar pontos de rede através dos seus interfaces de rede. As funções de endereçamento podem existir em diversas camadas do modelo de referência OSI (Open Systems Interconnection), como, camada de aplicação, transporte, rede. No entanto é na camada de rede que assume a sua função core, permitindo a identificação unívoca de qualquer sistema na rede.• A constituição de qualquer rede ou conjunto de sistemas ligados em rede exige a prévia elaboração de um esquema de endereçamento por parte do administrador de sistemas e rede, como forma de responder ás necessidades internas e externas de conectividade segura enquanto garante uma alocação eficiente e sustentável de recursos que a suportam.• O planeamento de uma adequada política de endereçamento, como por exemplo a opção por endereços atribuídos de forma estática ou dinâmica ou, ainda, a utilização de endereços públicos ou privados em certas redes e sub-redes tem impacto direto em toda a infraestrutura e serviços que dela dependem. • Outro aspeto importante, nesta altura, será o suporte ao endereçamento IPv6, dado que a evolução para este tipo de endereçamento será inevitável nos próximos tempos.• A presente secção visa fornecer os conceitos e fundamentos de endereçamento de rede necessários para elaboração de tal esquema.
EndereçamentoImportância do planeamento e do administrador
• Na internet e em geral, em todas as redes que utilizam os protocolos TCP/IP, os endereços da camada derede, endereços IP, são determinados para identificação das máquinas e, consequentemente, para adeterminação do caminho a utilizar por qualquer pacote ou fluxo de pacotes.• Cada computador numa rede TCP/IP possui um endereço IP único.• Na verdade, um endereço IP não identifica máquinas, mas sim interfaces de rede de máquinas (a mesmamáquina ex. terminal ou router) poderá ter mais do que um endereço IP, um por cada interface de rede que amáquina possua.• O endereçamento é uma função da camada de rede.• O IP é um endereço lógico (especificado por software), ou seja, não é um endereço de hardware ou físico.
EndereçamentoIPv4
• Não se pode escolher um endereço IP aleatoriamente e seguir para a navegação na internet, pois existeregulamentação e processos bem definidos para a sua obtenção.• A cadeia de entrega de endereços IP a utilizadores passa por uma cadeia hierárquica com mais ou menos níveis.• As organizações regionais (RIPE, LACNIC, AFRINIC, etc.) possuem blocos de endereços IP que disponibilizam parapessoas e entidades daquela região.• Assim, por exemplo, todos os IPs que começam com 202.xxx.xxx.xxx pertencem a um bloco e não podem serencontrados em outros blocos.• O mapa acima representa o nome e áreas de cobertura dos diferentes RIRs (Registros Regionais de Internet) quecontrolam os endereços IP nas suas zonas de atuação.• Existe superiormente uma entidade chamada IANA (Internet Assigned Numbers Authority) que atribui os blocos deendereços IP para cada RIR.• Na hierarquia, existe a IANA, seguida do RIR de cada região do globo, os fornecedores de serviços, clientes, clientesde clientes, etc.
Atribuição de endereços IP na internet
• A designação IP contém as iniciais de “internet protocol”;
• A versão 4 deste do protocolo IP, IPv4, usa um formato de endereço que consiste em 4 bytes em que cadabyte é constituído por 8 bits, ou seja 32 bits no total;
• Cada byte é separado do outro com um simples ponto;
• Os valores de um byte podem variar entre 0 e 255, ou seja, um total de 256 valores.
• O número total de endereços IP disponíveis é de 2^32, ou seja 4.294.967.296.
• Qual a composição da hierarquia de endereços IP?
Formato de Endereçamento
192 168 0 30
8bits 8bits 8bits 8bits = 32bits
Exemplo Endereço IPv4
• Neste contexto, todas as máquinas fazem parte de uma rede.• Os endereços são normalmente organizados por rede, tornando mais fácil a gestão e organização do esquema deendereçamento.• Por exemplo, endereços como 192.168.0.30 e 192.168.0.3 podem ou não identificar máquinas na mesma rede.• O endereço IPv4 divide-se em duas partes que podem assumir diversos tamanhos. No exemplo acima, o endereçoIP aloca 3 bytes para identificar a rede e 1 byte para identificar máquinas de rede.
• Poderíamos ter outras máquinas na mesma rede, basta manter intacta a parte da rede e alterar a parte da máquinaex:• 192.168.0.50• 192.168.0.277• 192.168.0.240• 192.168.1.55
Divisão de Rede e Máquina192 168 0 30
8bits 8bits 8bits 8bits
Parte da rede Parte da máquina
• Nem todas as redes são como a do exemplo acima, com 3 bytes para a rede e 1 byte para identificação de máquinas. Naverdade, podem-se ter os octetos necessários para identificar a rede.• Como a máquina vai saber quantos bytes identificam a rede e quantos identificam a máquina?
• Através da máscara de Rede!!
• Cada máquina da rede possui um endereço IP e uma máscara de rede. Estas são duas informações fundamentais da camada de rede.• A máscara de rede possui o mesmo formato que o endereço IP, ou seja, constituída por 4 bytes.• Quando o byte da máscara é 255 significa que a parte do endereço IP correspondente é rede.• Se o byte da máscara for 0, significa que a parte do endereço IP correspondente é máquina.• No exemplo acima “192.168.0” é a parte do endereço de rede, visto que a máscara de rede nessas posições é 255. Agora o “30” é a parte da máquina, pois o byte correspondente da máscara é zero.
• Endereço IP: 192.168.0.30
• Máscara: 255.255.255.0
• Parte da rede: 192.168.0
• Parte da máquina: 30
Máscara de Rede192 168 0 30
8bits 8bits 8bits 8bits
Parte da rede Parte da máquina
Máscara: 255.255.255.0
• Pode-se ainda concluir que uma rede cuja máscara é 255.255.255.0 pode conter até 256 endereços, pois umbyte tem essa capacidade.
• Endereço IP – 10.90.135.8
• Máscara – 255.0.0.0
• Parte da Rede – “10”
• Parte da máquina – “90.135.8”
• Neste exemplo a rede tem capacidade para 2^24, ou seja, 16.777.216, a capacidade correspondente a 3bytes.• Embora se esteja a dividir o endereço em parte de rede e parte de máquina para facilitar a sua compreensão,não esquecer que para identificar uma máquina, tem de se usar o endereço completo.• Pode sempre consultar as informações da camada de rede da sua máquina, através do comando ipconfig, nalinha de comentados.• Exercício: Consulte o endereço IP e máscara de rede da sua máquina.
Máscara de Rede10 90 135 8
8bits 8bits 8bits 8bits
Parte da rede Parte da máquina
Máscara: 255.0.0.0
• Nem todos os IPs disponíveis numa rede podem ser usados;• No exemplo acima, dispõe-se de um byte para atribuição de máquinas. Este endereço pode ir de 192.168.0.0até 192.168.0.255;• O primeiro endereço, 192.168.0.0 não pode ser usado, pois representa a própria rede;• O último endereço 192.168.0.255 também não pode ser usado, pois é um endereço de broadcast, ou seja,representa todas as máquinas da rede;• Assim, pode-se concluir que a máquina com o endereço IPv4 192.168.0.30, máscara 255.255.255.0 pertenceá rede 192.168.0.0;• Exercício: A que rede pertence a máquina 10.90.135.8, máscara 255.0.0.0?
• O endereço de rede (NetID) só pode ser utilizado na altura do arranque de um host, com o objetivo deidentificar o host na rede.• Não pode ser usado como endereço de destino.
Endereço de rede e de broadcast
Endereço: 192.168.0.30Máscara: 255.255.255.0
• Quais as duas situações em que uma máquina da rede processa o pacote desencapsula os seus dados e enviaá camada superior?• O endereço de broadcast é o endereço usado para referenciar todas as máquinas da rede.• Quando uma máquina envia um pacote de broadcast, o pacote é difundido por toda a rede e todos asmáquinas o aceitam (seguindo as normas de desenvolvimento do SO).• Os routers, não encaminham estes pacotes com endereço de broadcast como destino. Este não pode serusado como endereço de origem.• Qual o endereço IP de rede a que corresponde o IP acima?
• Qual o endereço de broadcast a que corresponde o IP acima?
• Como não se pode utilizar o endereço de IP de rede ou de broadcast em máquinas, deve-se sempre subtrair 2endereços ao número total destes, para identificar o número total de máquinas possíveis na rede.• Qual o número total de endereços da rede?
• Destes endereços quantos podem ser atribuídos a máquinas?
Endereço de rede e de broadcast
Endereço: 192.168.0.1Máscara: 255.255.255.0
• O sistema de numeração decimal utiliza 10 algarismos diferentes;
• Por analogia, o sistema de numeração binário utiliza 2 algarismos diferentes para representar as suascombinações;
• Estes algarismos são concatenados, para obter diferentes valores e combinações.• Ex: 11, 100, 101, 11, 010
• Tabela de conversão de decimal para Binário:
Sistema de Numeração Binário
Decimal Binário Decimal Binário
0 0 7 111
1 1 8 1000
2 10 9 1001
3 11 10 1010
4 100 11 1011
5 101 12 1100
6 110 256 100000000
• No número binário acima, cada algarismo é um bit, assim, o número binário acima tem 6 bits.• Cada bit tem a capacidade de ter um de dois valores: 0 ou 1. Dois bits, conseguem capacidade para 4 valores(00, 01, 10, 11).• O número total de combinações que um número binário pode ter é obtida através de: 2^(quantidade de bitsdo número binário).• Exercício: Quantas combinações diferentes consigo com 6 bits?• Exercício: Quantas combinações diferentes consegue cada byte de um endereço IP?• Exercício: Quantos endereços IPv4 estão disponíveis?
• Exemplo de endereço IPv4 em binário:• 11000000.10101000.00000000.00000001
• Assim, conclui-se que o endereço IP é constituído por 4 bytes (8 bits em cada) e possui um total de 32 bits.
O BitNúmero binário - 010111
• A máscara de rede, permite identificar que porção do endereço de uma máquina identifica a rede e qual identificaa máquina.• A máscara de rede também pode ser convertida em binário.• Exemplo:
• A conversão para a máscara é muito fácil, sempre que esta tenha um byte ou com valor 0 ou com valor 255. Amáscara pode assumir valores diferentes destes.• Na conversão da máscara os bits representados a 1 apresentam a componente de rede e os bits a zero,representam a identificação de máquinas.
Máscara de rede em binário
Número binário - 010111
Decimal Binário
Endereço IPv4 192.168.0.1 11000000.10101000.00000000.00000001
Máscara de Rede 255.255.255.0 11111111.11111111.11111111.00000000
Endereço Rede 192.168.0.0 11000000.10101000.00000000.00000000
Endereço Broadcast 192.168.0.255 11000000.10101000.00000000.11111111
• Exercício: Quantos bits estão reservados para máquinas?
• Exercício: Quantos bits estão reservados para rede?
• A máscara é composta por 6 bits de valor zero, logo o número de endereços reservados para máquinas é de2^6, isto é, 64. Existem assim diversas combinações de máscaras com valores diferentes de 0 e de 255.
• A seguinte tabela mostra a quantidade de máscaras possíveis num byte:
Máscara de rede em binário
Máscara em Binário: 11111111.11111111.11111111.11000000
Decimal Binário
0 00000000
128 10000000
192 11000000
224 11100000
240 11110000
248 11111000
Decimal Binário
252 11111100
254 11111110
255 11111111
• Olhando para o endereço de rede e respectiva máscara, verifica-se que a parte que referencia as máquinas ésempre constituída por zeros, tanto em decimal, como em binário.
• Exercício: Escreva o endereço de rede e máscara abaixo no sistema de numeração binário e conclua sobreque parte representa a rede e que parte representa identificação de máquinas.
• Exercício: A partir do endereço de máquina e respetiva máscara, complete a informação em falta:
Endereço de rede em binário
Endereço de rede: 192.168.15.0Máscara: 255.255.255.0Endereço de Rede em Binário: 11000000.10101000.00001111.00000000Máscara de Rede em Binário: 11111111.11111111.11111111.00000000
Endereço de rede: 122.14.184.0Máscara: 255.255.248.0Endereço de rede em binário: Máscara de rede em binário:
Endereço de máquina 156.56.65.87Máscara: 255.255.252.0Endereço da máquina em binário: Máscara de rede em binário:Endereço de rede em binário:Endereço de rede em decimal:
• O endereço de broadcast é o último endereço da rede.
• O endereço de broadcast consiste em um número que, em binário, a parte de endereço que se refere ás máquinas possuitodos os bits com o valor 1.
• Exercício: A partir do endereço de rede e respetiva máscara, complete a informação em falta:
• Exercício: A partir do endereço de máquina e respetiva máscara, complete a informação em falta:
Endereço de broadcast em binário
Endereço de rede: 192.168.15.0Máscara: 255.255.255.0Endereço de rede em binário: Máscara de rede em binário:Endereço de broadcast em Binário:Endereço de broadcast em Decimal:
Endereço de máquina 122.14.184.0Máscara: 255.255.248.0Endereço de rede em binário: Máscara de rede em binário:Endereço de broadcast em binário:Endereço de broadcast em decimal:
• Dentro de uma dada rede a parte reservada para a identificação de hosts poderá ser subdividida, reservandoalguns dos bits mais significativos para a identificação de sub-redes dentro da rede em causa.• A utilização de subnetwork corresponde à introdução de um novo nível hierárquico de endereçamento, passandode uma hierarquia de 2 níveis, para 3 níveis.• O conceito de sub-rede é o de desmembrar uma rede de maior dimensão em redes menores para reduzir o tráfegono barramento de cada uma delas, facilitar a gestão, a deteção e solução de problemas, aumentar o nível desegurança, aumentar a performance, etc.• Essa subdivisão é feita aplicando uma máscara de sub-rede (sequência de 32 bits que indica qual a parte doendereço que identifica a sub-rede e qual a parte que identifica a máquina na sub-rede).• Não esquecer que a identificação das sub-redes é feita, utilizando os dois bits mais significativos do espaçoreservado para a identificação de hosts.
Organização do espaço de endereçamento em Sub-Redes
Prefixo da Rede Identificação do host
Prefixo da Rede Sub-rede Identificação do host
Hierarquia de 2 níveis
Hierarquia de 3 níveis
• No inicio da internet e com o objetivo de permitir redes de diferentes dimensões foram definidas diferentesclasses de endereços IP.
• O endereçamento IP foi assim estruturado em classes em que o que varia entre as mesmas é o número debytes para representação da rede e dos hosts.
• Existem assim 5 classes definidas: Classe A, B, C, D e E
• A classe D encontra-se reservada para identificação de grupos de multicast. Importante para aplicações emque a comunicação é feita de um-para-vários como por exemplo difusão de áudio/vídeo, routing, etc.
• A classe E encontra-se igualmente reservada para efeitos de utilização futura e efeitos de estudo.
Organização do espaço de endereçamento em classes
• Como o endereçamento IP por classes pode resultar no desperdício por se limitar somente a grupos deendereços definidos pelas classes, foi desenvolvido o conceito de máscaras de sub-rede que permite umaproveitamento mais efetivo dos endereços IP.• Assim o endereçamento IP passou de um conceito inicial de classes ao uso efetivo de máscaras de sub-redepara melhor aproveitamento de endereços.• Quando se utilizam as máscaras de sub-redes o conceito de classe deixa de ser aproveitado e passa-se a usaras posições da máscara que indicam qual a parte do endereço é rede e sub-rede.• A máscara por fim confirma ou altera a classe de endereçamento.
Máscaras de Sub-Redes
• Na classe A utilizam-se 8 bits (um byte) para endereçar a rede e 24 bits (3 bytes) para endereçar os hosts dentro da rede.
• A máscara default para endereços classe A é?
• O primeiro byte, que representa a rede, pode variar entre 0 e 127 (00000000 e 01111111), fazendo com que o bit daesquerda seja sempre 0 na classe A.
• Quantas combinações de rede possui a classe A?
• Quantos hosts posso ter num endereço de classe A?
• A parte do endereço que identifica os hosts totalmente a zeros ou a uns, logicamente não poderá ser atribuída amáquinas.
• Na classe A os endereços válidos das redes podem variar entre 1.0.0.0 e 126.0.0.0, pois os endereços 0 e 127 sãoreservados.
• Os computadores da mesma rede devem possuir parte de rede igual e podem variar a componente que identifica o host.• Sendo o seguinte endereço de classe A, indique endereços IP que pertençam á mesma rede: 50.244.11.1. Qual o endereço de rede e de broadcast desta rede?
• Conclui-se assim que a classe A é indicada para redes que necessitem de endereçar um elevado número de hosts.
• Como existe uma grande quantidade possível de hosts numa rede classe A, poderá ser conveniente subdividi-la em sub-redes de forma a facilitar a sua gestão e administração.
Classe Ax.x.x.x /8
• No endereçamento de classe A é possível endereçar sub-redes dentro da rede principal.
• Assim, uma empresa que tenha uma rede com endereço classe A pode subdividi-la ou segmentá-la em váriasredes, de forma a obter todos os benefícios que advêm dessa subdivisão.
• Isto é feito recorrendo a máscaras de sub-redes.
Endereçamento de Sub-Redes
• Na classe B utilizam-se 16 bits (dois bytes) para endereçar a rede e 16 bits (2 bytes) para endereçar os hosts dentro darede.
• A máscara para endereços classe B é?
• O primeiro byte, que representa a rede, pode variar entre 128 e 191 (10000000 e 10111111).
• Assim sobram 14 bits que podem ser combinados para dar origem a diferentes combinações.• Quantas combinações de rede posso obter?
• Na componente de hosts, existem 2 bytes disponíveis para os endereçar.• Quantos hosts diferentes posso endereçar num endereço de classe B?
• Se tiver o endereço 130.250.3.11/16, indique outros endereços que fazem parte da mesma rede.
• Qual o endereço de broadcast?
• Qual o endereço de rede?
• A classe B é indicada para uma quantidade média-grande de hosts ligados a ela. Como visto, é possível endereçar 65.534hosts. Uma quantidade tão grande de hosts no mesmo domínio de broadcast pode gerar problemas de tráfego e de colisõesno barramento da rede local. Em virtude disto, é conveniente dividir a rede principal em sub-redes.
• A divisão é feita recorrendo a máscara de sub-redes.
Classe Bx.x.x.x /16
• No endereçamento de classe B é possível endereçar sub-redes dentro da rede principal.
• Isto é feito recorrendo a máscaras de sub-redes.
• Exercício: Suponha que a sua empresa recebeu o endereço de rede de classe B 165.100.0.0 Comoadministrador de redes, necessita distribuir esse acesso internamente a mil redes com 60 computadores cada.Qual a máscara adequada? Quantas redes e máquinas consegue no máximo endereçar?
• Qual o endereço de rede da 6ª sub-rede?
• Qual o endereço de broadcast da 6ª sub-rede?
Endereçamento de Sub-Redes
• Na classe C utilizam-se 24 bits (três bytes) para endereçar a rede e 8 bits (1 byte) para endereçar os hostsdentro da rede.
• A máscara para endereços classe C é?
• O primeiro byte, que representa a rede, pode variar entre 192 e 223 (11000000 e 11011111).
• Assim sobram 21 bits que podem ser combinados para dar origem a diferentes combinações.• Quantas redes diferentes posso endereçar?
• Na componente de hosts, existe apenas 1 byte disponível para os endereçar. No entanto os valores 0 ou 255 não podemser usados.
• Quantos hosts diferentes posso endereçar através de um endereço de classe C?
• Se tiver o endereço 210.30.40.7/24, indique outros endereços que fazem parte da mesma rede.
• Qual o endereço de broadcast?
• Qual o endereço de rede?
• A classe C é utilizada para redes que tenham até 254 hosts ou menos. Note-se ainda que é possível endereçar umagrande quantidade de redes, pois existem 3 bytes para representá-las.
Classe cx.x.x.x /24
• No endereçamento de classe C também é possível endereçar sub-redes dentro da rede principal.• Isto é feito recorrendo a máscaras de sub-redes.• Para endereçar sub-redes em classe C usam-se máscaras de sub-redes, as quais utilizam uma parte do bytede endereço de host para endereçar sub-redes e outra para endereçar os hosts.
• Exercício: Suponha que a sua empresa recebeu o endereço de classe C 210.218.170.0. Como administradorde redes, necessita distribuir esse acesso internamente a quatro redes com 20 computadores cada. Apresenteos endereços de rede de cada rede.
• Exercício: Suponha que a sua empresa recebeu o endereço de classe C 192.10.10.0 Como administrador deredes, necessita distribuir esse acesso internamente a 14 redes com 12 computadores cada. Apresente osendereços de rede de cada sub-rede.
• Qual a máscara de sub-rede?
• Qual a range de endereços da 4ª sub-rede?
• Qual o endereço de rede da 8º sub-rede?
Endereçamento de Sub-Redes
• Á medida que a internet cresceu, logo se concluiu que o mundo ficaria sem endereços IP e por isso foram criados blocos de endereços IPque não seriam encaminhados na internet.
• Para evitar conflitos às empresas entre endereços utilizados em redes internas e externas, foram reservadas faixas de endereços IP paraserem exclusivamente utilizadas em redes internas.
• Essas faixas de endereços IP não são usadas em redes públicas ou externas, pois os routers, não encaminham pacotes destinados aendereços privados.
• O que acontece quando uma máquina com endereço privado tenta enviar um pacote para fora da rede?
• A utilização de endereços privados é local a uma rede. Assim, ao contrário de endereços públicos, os endereços privados podem serusados em redes diferentes com repetição. Só não podem ser repetidos na mesma rede.
• Os seguintes endereços de rede são reservados e não usados na rede pública
• Verifique na linha de comandos que tipo de endereço está a utilizar. Justifique.
Endereços Privados vsPúblicos,
Classe Faixa
A 10.0.0.0/8 a 10.255.255.255/8 (rede 10)
B 172.16.0.0/12 a 172.31.0.0/12
C 192.168.0.0/16 a 192.168.255.0/16
• As máquinas de uma rede devem ter endereços compatíveis (de uma mesma classe e rede) para comunicarementre si;• Quando um computador envia um pacote com endereço de destino diferente dos endereços internos da rede emque ele está, este será recebido pelo default gateway, que irá encaminhar esse pacote para outras redes comendereços diferentes.• Assim, para que diferentes redes comuniquem entre si utilizam-se routers, que encaminham dados entre diferentesredes usando endereços IP.
• Numa rede privada, sem ligação á internet podemos usar qualquer endereço IP Privado das classes deendereçamento disponíveis.• No caso de redes ligadas á internet devem-se utilizar os endereços de rede registados e controlados por umorganismo (ex. InterNic), cuja função é evitar conflitos de endereçamento, impedindo que haja endereços duplicados.
• Tipicamente as empresas têm as suas redes internas preenchidas com endereços privados e todas as ligações áinternet são feitas recorrendo a endereços válidos e registados. A conexão física á internet é feita através de routers ecircuitos de comunicações de dados.
Endereços Privados vsPúblicos,
• Em determinados casos a utilização de IPs públicos, atribuídos por uma entidade Internet Registry, édesnecessária, dado que as máquinas ou a rede em causa não necessitam de conectividade externa global.
• Em redes que não necessitam de acesso á internet não há necessidade de utilizar endereços IP do espaço deendereçamento público.
• Máquinas no interior de uma rede privada podem partilhar o acesso á internet fornecido por um ou maisendereços públicos.
• A partilha do mesmo acesso é conseguido através da conversão de endereços privados para endereçospúblicos, realizado por firewalls ou routers.
• Com a utilização do NAT, é possível colocar redes inteiras por detrás de um conjunto reduzido de endereços IPpúblicos ou mesmo por detrás de um único endereço público.
• Por sua vez o espaço de endereçamento privado pode ser livremente utilizado pelas organizações semnecessidade de qualquer autorização ou coordenação por parte de entidades de registo de endereços.
• As máquinas com estes endereços podem comunicar livremente dentro das redes privadas.
Introdução ao NAT
• O NAT (Network Address Translation) é um recurso da arquitetura TCP/IP da camada de rede.
• O NAT é tipicamente utilizado na default gateway ou firewall da rede
• As funções de NAT e PAT são aos dias de hoje referidos somente como NAT.
• NAT refere a tradução de endereços, enquanto PAT (Port Address Translation) refere a tradução de portos.
• Descreva a rede na imagem acima.
• Como a máquina H1 na rede local PN1 pode falar com a máquina H5?1. A máquina H1 elabora um pacote com destino ao endereço 213.168.112.3;
2. Como o pacote não é endereçado a nenhuma máquina da rede local, é enviado para a interface LAN da defaultgateway;
3. Aqui o endereço passa por uma tabela de tradução NAT, do tipo:
NAT
End. Origem Origem Traduzida
10.0.1.2 128.195.4.119
100.50.20.1 Não necessita
1. Quando o endereço de origem for 10.0.1.13, traduzir para 128.195.4.119 (Endereço da porta WAN dogateway).
2. O computador H5 irá receber um pacote de 128.195.4.119, endereço este público e registado.
3. A resposta do computador H5 será então enviada para este endereço.
4. A resposta de H5 chegará á porta WAN do gateway, que traduz o endereço de destino para 10.10.1.3,entregando-o á máquina local de endereço privado.
• Assim só existe um endereço público para a rede inteira.
• O que acontece se todas máquinas quiserem aceder á internet ao mesmo tempo? Pela lógica, não é possívelter duas máquinas a usarem um único endereço público através do NAT.
• É neste contexto que existe o PAT.
NAT
• O PAT (Port Address Translation) expande as possibilidades do NAT.• O PAT vai permitir que várias máquinas com endereços IP privados possam aceder á internet utilizando umúnico IP público.• Como o PAT resolve isto?• O PAT associa um endereço privado e uma porta a um endereço público e uma porta, conforme mostra atabela abaixo.
• O que é uma porta?
• Porta é um conceito da camada de transporte da arquitetura TCP/IP. Enquanto a camada rede trata deidentificar logicamente a máquina por meio do endereço IP, a camada de transporte trata da identificaçãoda aplicação TCP/IP cliente ou servidora.
• A camada de transporte identifica as aplicações por meio das portas. É por meio destas portas que asaplicações se comunicam.
PAT
End. LAN Porta LAN End. Público Porta
10.0.1.3 2033 128.195.4.119 2050
10.0.1.2 1988 128.195.4.119 2051
• A tradução de endereços, NAT, funciona unicamente na camada de Rede, pois traduz um endereço lógicopara outro.
• A tradução de portas, PAT, funciona em ambas as camadas, transporte e rede da arquitectura TCP/IP.
• O meio pelo qual as aplicações se identificam é através dos números das portas.
• Exemplo: Descreva a requisição de um serviço WEB, até ao nível da camada de transporte:1. O cliente WEB abre uma conexão com um servidor.
2. É alocada pelo Sistema Operativo a porta 2055 na camada de transporte da máquina, poderia ser qualquer outra quenão estivesse em uso.
3. O servidor WEB mantém a porta 80 aberta á escuta de conexões.
4. Se o cliente WEB abre outra aplicação, esta será aberta, por exemplo, na porta 2056.
5. O servidor WEB sabe que terá de responder com o IP de destino dos clientes e porta de destino aberta pelo cliente.
• Conclui-se assim que o que identifica do lado do servidor uma conexão é a dupla IP Origem e Porta Origem.Assim é possível que uma máquina possua diversas conexões com um servidor.
PAT
• O facto de os endereços privados não serem visíveis nem serem propagados na Internet confere ao NATcaracterísticas adicionais, nomeadamente características de segurança.
• Uma máquina com IP público estará sempre diretamente exposta a ataques pois a sua visibilidade na interneté total.
• Já uma máquina com endereços privados encontra-se muito mais protegida, pois para além do seu endereçonão estar exposto á rede publica, esta máquina estará protegida por um router ou firewall com capacidade deexecutar funções de filtragem de tráfego.
NATSecurity
• Agora que já sabemos dimensionar a gama de endereços para uma rede em particular, passa-se a estudar aforma em como se podem atribuir os endereços IP ás interfaces de rede de uma LAN.• Seja qual for o mecanismo de entrega de endereços, há que garantir que num dado momento não existemduas ou mais interfaces de rede com o mesmo endereço IP, pois este facto pode levar a graves problemas deencaminhamento ou de resolução de nomes, impedindo o normal mecanismo de comunicação.• As redes de backbone não constituem grandes dificuldades na atribuição de IPs. Já nas redes locais não sepode dizer o mesmo.• Nas redes locais existe a possibilidade de existirem centenas ou milhares de utilizadores, muitos dos quaistemporários e/ou móveis, assim, a atribuição e gestão de endereços pode ser complexa e tem que ser efetuadade forma eficaz (tanto em rapidez como controle efetivo).• Nas redes locais existem fundamentalmente 2 alternativas para atribuição de endereços:• Configuração manual;• Configuração automática/dinâmica;
• Ambas têm as suas vantagens e desvantagens, cabe ao administrador de redes “pesar” ambas e decidir sobreo melhor esquema de atribuição.
Atribuição de Endereços na LAN
• A configuração manual de endereços na LAN tem como principais vantagens a simplicidade e diminuição defootprint da rede.• Numa rede de pequena dimensão, onde os utilizadores se mantenham os mesmos por longos períodos de tempo, autilização de um esquema manual de atribuição de endereços por parte do administrador poderá constituir a melhorsolução, evitando a instalação de HW e SW especializado, sendo a carga de trabalho associada á sua gestão pequena.• Neste caos, basta que o administrador de redes mantenha uma lista, em papel ou formato digital, os endereçosatribuídos.• No entanto, este tipo de abordagem, deixa de ser exequível em redes de grande dimensão e/ou redes nas quaisexista uma razoável dinâmica de utilizadores, o que é, cada vez mais o caso.• Hoje em dia é frequente que utilizadores se liguem temporariamente a uma rede local, tendo este factoexponencialmente crescido com a tecnologia wireless para redes locais.• Neste caso é impraticável a adoção de uma gestão manual de atribuição de endereços, por um lado o tempo deresposta do administrador de redes a um novo pedido de endereços seria sempre demasiado longo e por outro agestão dos endereços livres e em uso exigiria um constante acompanhamento.
Configuração Manual de Endereços na LAN
• A norma para configuração dinâmica de endereços IPv4 é o DHCP (Dynamic Host Configuration Protocol), umprotocolo presente na camada aplicação da arquitetura TCP/IP.• Trata-se de um protocolo que permite que as diversas interfaces presentes na rede obtenham o seu endereçológico a partir da rede, assim como outras informações como máscara de rede, servidor DNS, gateway.• O seu objetivo é configurar sem intervenção humana as configurações de camada de rede das máquinaspresentes na rede. Ou seja, se tiver 500 máquinas na rede, o administrador não irá necessitar de ir uma a umaconfigurar os itens da camada de rede, basta conectar as máquinas á rede e eles irão configurar-seautomaticamente.• Os itens que se podem configurar dinamicamente são:• Endereço lógico (IP) e respetiva máscara de rede;• Endereço de gateway;• Endereço do servidor ou servidores DNS;
• Como é natural, este serviço facilita o trabalho do administrador de redes que deixa de se preocupar com aatribuição dos endereços da rede.• No entanto, o serviço exige inicialmente a instalação e configuração de software especifico.
Configuração Automática de Endereços na LAN,DHCP
• Qualquer máquina na rede local pode ser um servidor DHCP, inclusivamente poderá ter duas máquinas adesempenhar esta função.• O servidor DHCP terá as suas informações da camada de rede configuradas estaticamente, o administradorde rede será responsável por configurar o endereço lógico, a máscara de rede, o endereço do gateway e oendereço do servidor DNS.• Exemplo de configuração de servidor DNS:
• O administrador de redes deve assegurar que o servidor está a executar uma aplicação servidora de DHCP, e nestedeve ser especificado um intervalo de IPs, e outras informações necessárias para a sua correta configuração.• Geralmente para ativar a aplicação servidora DHCP bastará um comando.• O intervalo de IPs define que endereços serão entregues ás outras máquinas de rede. Por exemplo, tendo e conta atabela acima: 192.168.0.2 – 192.168.0.253.
Funcionamento do Servidor DHCP
Endereço IP, Máscara 192.168.0.1, 255.255.255.0
Endereço Gateway 192.168.0.254
Endereço DNS 10.10.10.10
• Nas redes de computadores atuais, quando uma máquina não possui endereço lógico configurado, ela é umcliente DHCP.• Exemplo de configuração da camada de Rede de Máquina sem endereço lógico e procedimento de obtençãodessa configuração:
1. Como a máquina está na rede local, é-lhe permitido enviar um pacote de camada enlace com destinobroadcast, com o objetivo de procurar o servidor DHCP.
2. Assim a camada aplicação desta máquina enviará dados para procurar o servidor DHCP.3. Estes dados são encapsulados na camada de transporte, rede (sem endereço IP de origem e com broadcastcomo destino).
4. O pacote é encapsulado num quadro, na camada enlace, com o seu endereço físico de origem e endereçofísico de destino broadcast limitado.
5. O quadro é assim enviado para a camada física para todas as máquinas da rede.
Funcionamento do Cliente DHCP
Endereço IP, Máscara Em branco
Endereço Gateway Em branco
Endereço DNS Em branco
• Como o quadro é de destino broadcast vai terminar a todos os terminais da rede.• Cada uma das placas de rede vai processar o quadro e enviar á camada acima.• Na camada de rede o pacote aparece em todas as máquinas com endereço de destino broadcast e é assimenviado á camada de transporte.• Na camada de transporte existe a indicação da aplicação que receberá os dados. Apenas a aplicaçãoservidora DHCP estará á escuta no porto 68. Assim a única máquina a desencapsular o resultado da camada detransporte, passando á camada de aplicação é a máquina servidora DHCP.• Assim o servidor DHCP vai atribuir um endereço IP da range configurada no mesmo que não esteja nomomento a ser utilizado.• A informação desce a pilha de protocolos, pela camada de transporte, depois pela de rede (escreve no pacoteo seu próprio IP como origem e de broadcast como destino).• Passa para a camada enlace que escreve o seu próprio endereço como origem e o endereço físico de destino.• A máquina que pretende configurar a sua camada de rede recebe o quadro e processa o pacote passandoposteriormente á camada de transporte, com o número da porta de aplicação cliente DHCP ( a mesma quedespoltou o processo).• Como existe uma aplicação a escutar nesta porta os dados são para lá enviados.
Funcionamento do Cliente DHCP
• A aplicação ao receber estes dados configura a camada de rede da máquina.
• Agora, a máquina pode trocar informação com outras máquinas da rede e fora dela.
• O servidor DHCP não atribui o mesmo endereço IP a duas máquinas diferentes, pois sabe a quem atribuideterminado endereço.
Funcionamento do Cliente DHCP
Endereço IP, Máscara 192.168.0.30, 255.255.255.0
Endereço Gateway 192.168.0.254
Endereço DNS 10.10.10.10
Próxima Aula …?
