Internet - Software - Hardware

[Renton]

Uma extensão relativamente nova de um programa jovem:

RVT - Revit (programa estilo Autocad com funcionalidades especiais para Arq. e Eng.)

[Fudencius]

Quem foi que disse que o assunto não tem a ver com putaria. Eu ia comprar um livro de informática para o concurso da Receita Federal, mas com as dicas postadas pelo Desconfiado, economizei R$ 150,00, e com essa grana, com certeza, vou comer uma tilanga.

PS: Faltou tipos, protocolos e segurança de redes

Um abraço

[Diffident]

Quem foi que disse que o assunto não tem a ver com putaria. Eu ia comprar um livro de informática para o concurso da Receita Federal, mas com as dicas postadas pelo Desconfiado, economizei R$ 150,00, e com essa grana, com certeza, vou comer uma tilanga.

PS: Faltou tipos, protocolos e segurança de redes

Um abraço

Opa, então favor depositar a metade do valor em minha conta.

[Diffident]

Pelo principio.


Rede de computadores

Uma rede de computadores consiste de 2 ou mais computadores e outros dispositivos ligados entre si e compartilhando dados, impressoras, trocando mensagens (e-mails), etc. Internet é um exemplo de Rede. Existem várias formas e recursos de vários equipamentos que podem ser interligados e compartilhados, mediante meios de acesso, protocolos e requisitos de segurança.

História
Antes do advento das redes de computadores baseadas em algum tipo de sistema de telecomunicação, a comunicação entre máquinas calculadoras e computadores antigos era realizada por usuários humanos através do carregamento de instruções entre eles.

Em setembro de 1940, George Stibitz usou uma máquina de teletipo para enviar instruções para um conjunto de problemas a partir de seu Model K na Faculdade de Dartmouth em Nova Hampshire para a sua Calculadora de Números Complexos em Nova Iorque e recebeu os resultados de volta pelo mesmo meio. Conectar sistemas de saída como teletipos a computadores era um interesse na Advanced Research Projects Agency (ARPA) quando, em 1962, J. C. R. Licklider foi contratado e desenvolveu um grupo de trabalho o qual ele chamou de a “Rede Intergaláctica”, um precursor da ARPANet.

Em 1964, pesquisadores de Dartmouth desenvolveram o Sistema de Compartilhamento de Tempo de Dartmouth para usuários distribuídos de grandes sistemas de computadores. No mesmo ano, no MIT, um grupo de pesquisa apoiado pela General Electric e Bell Labs usou um computador (DEC’s PDP-8) para rotear e gerenciar conexões telefônicas.

Durante a década de 1960, Leonard Kleinrock, Paul Baran e Donald Davies, de maneira independente, conceituaram e desenvolveram sistemas de redes os quais usavam datagramas ou pacotes, que podiam ser usados em uma rede de comutação de pacotes entre sistemas de computadores.

Em 1969, a Universidade da Califórnia em Los Angeles, SRI (em Stanford), a Universidade da Califórnia em Santa Bárbara e a Universidade de Utah foram conectadas com o início da rede ARPANet usando circuitos de 50 kbits/s.

Redes de computadores e as tecnologias necessárias para conexão e comunicação através e entre elas continuam a comandar as indústrias de hardware de computador, software e periféricos. Essa expansão é espelhada pelo crescimento nos números e tipos de usuários de redes, desde o pesquisador até o usuário doméstico.

Atualmente, redes de computadores são o núcleo da comunicação moderna. O escopo da comunicação cresceu significativamente na década de 1990 e essa explosão nas comunicações não teria sido possível sem o avanço progressivo das redes de computador.

Classificação
Segundo a Arquitetura de Rede:
Arcnet
Ethernet
Token ring
FDDI
ISDN
Frame Relay
ATM
X25
DSL
Segundo a extensão geográfica:
SAN (Storage Area Network)
LAN (Local Area Network)
PAN (Personal Area Network)
MAN (Metropolitan Area Network)
WAN (Wide Area Network)
RAN (Regional Area Network)
CAN (Campus Area Network)
Segundo a topologia:
Rede em anel (Ring)
Rede em barramento (Bus)
Rede em estrela (Star)
Rede em ponto-a-ponto
Segundo o meio de transmissão:
Rede por cabo
Rede de Cabo coaxial
Rede de Cabo de fibra óptica
Rede de Cabo de par trançado
Rede sem fios
Rede por infravermelhos
Rede por microondas
Rede por rádio

Hardware de Rede
Elementos de Cablagem:
Cabo coaxial
Cabo de fibra óptica
Cabo de par trançado
Repetidor
Transceptor
Estação de trabalho
Placa de rede
Concentrador (hub)
Comutador (switch)
Roteador (router)
Modem
Porta de Ligação (gateway)
Ponte (bridge)
Servidor
Servidor de arquivos
Servidor de comunicações
Servidor de disco
Servidor de impressão

Modelo OSI
Nível físico
Nível de enlace de dados
Ethernet
PPP
Nível de Rede
IP
IPX
Nível de transporte
TCP
UDP
Nível de sessão
NetBIOS
IPX
Appletalk
Nível de apresentação
Nível de aplicação
SMTP
FTP
Telnet
SSH
IRC
HTTP
POP3
VFRAD

Normas
IEEE 802
X.25

Técnicas de transmissão
Banda larga
Banda base

Modelagem de rede de computadores segundo Tanenbaum
Uma rede pode ser definida por seu tamanho, topologia, meio físico e protocolo utilizado.

Tamanho: LAN, CAN, MAN E WAN

LAN (Local Area Network, ou Rede Local). É uma rede onde seu tamanho se limita a apenas um prédio.

CAN(Campus Area Network). Uma rede que abrange uma área mais ampla, onde pode-se conter vários prédios dentro de um espaço continuos ligados em rede.

MAN (Metropolitan Area Network). A MAN é uma rede onde temos por exemplo, uma rede farmácia, em uma cidade, onde todas acessam uma base de dados comum.

WAN (Wide Area Network, ou rede de longa distância). Uma WAN integra equipamentos em diversas localizações geográficas, envolvendo diversos países e continentes como a Internet.

Topologia:
Topologia em Estrela:

Neste tipo de rede, todos os usuários comunicam-se com um modo central, tem o controle supervisor do sistema, chamado "host".Por meio do host os usuários podem se comunicar entre si e com processadores remotos ou terminais. No segundo caso, o host funciona como um comutador de mensagens para passar dados entre eles.

O arranjo em estrela é a melhor escolha se o padrão de comunicação da rede for de um conjunto de estações secundárias que se comunicam com o nó central. As situações nas quais isso acontece são aquelas em que o nó central está restrito às funções de gerente das comunicações e a operações de diagnósticos.

O gerenciamento das comunicações por este nó central pode ser por chaveamento de pacotes ou de circuitos.

O nó central pode realizar outras funções além das de chaveamento e processamento normal. Por exemplo, pode compatibilizar a velocidade de comunicação entre o transmissor e o receptor. Se o protocolo dos dispositivos fonte e destino utilizarem diferentes protocolos, o nó central pode atuar como um conversor, permitindo duas redes de fabricantes diferentes se comuinicar.

No caso de ocorrer falha em uma estação ou no elo de ligação com o nó central, apenas esta estação fica fora de operação.

Entretanto, se uma falha ocorrer no nó central, todo sistema pode ficar fora do ar. A solução deste problema seria a redundância, mas isto acarreta um aumento considerável de custos.

A expansão de uma rede desse tipo só pode ser feita até um certo limite, imposto pelo nó central: em termos de capacidade de chaveamento, número de circuitos concorrentes que podem ser gerenciados e números de nós que podem ser servidos.

O desempenho obtido numa rede em estrela depende da quantidade de tempo requerido pelo nó central para processar e encaminhar menssagens, e da carga de tráfego de conexão, ou seja, é limitado pela capacidade de processamento do nó central.

Esta configuração facilita o controle da rede e a maioria dos sistemas de computação com funções de comunicação; possuem um software que implementa esta configuração.

Barramento:
Anel:

A topologia em anel como o próprio nome diz tem um formato circular.

Meio físico:

O meio mais utilizado hoje é o Ethernet. O padrão Ethernet vem subdividido em: Coax/10base2, UTP (Unshielded Twisted Pair - Par Trançado Não Blindado)/10BaseT e UTP/100baseT. A Gigabit ethernet está começando a ser utilizado, também.

Também pode ser conectado por Fibra, um fino filamento contínuo de vidro com uma cobertura de proteção que pode ser usada para conectar longas distancias.

E ainda há as redes sem fios, que se subdividem em diversas tecnologias: Wi-fi, bluetooth, wimax e outras.

Protocolo: O que a rede está Falando Hoje, o protocolo mais usado é o TCP/IP , e espera-se que em breve passemos a utiliza o IPv6.

[Diffident]

PROTOCOLOS

INTRODUÇÃO
Da experiência obtida no projeto de redes, vários princípios, surgiram,
possibilitando que novos projetos fossem desenvolvidos de uma forma
mais estruturada que os anteriores. Dentre esses princípio se destaca a
idéia de estruturar a rede como um conjunto de camadas hierárquicas,
cada uma sendo construída utilizando as funções e serviços oferecidos
pelas camadas inferiores.
Cada camada deve ser pensada como um programa ou processo,
implementado por hardware ou software, que se comunica com o
processo correspondente na outra máquina. As regras que governam a
conversação de um nível N qualquer são chamadas de protocolo de nível
N.

O projeto de protocolos em níveis é a maneira mais eficiente de se
estruturar uma rede. Uma vez definida claramente a interface entre os
diversos níveis, uma alteração na implementação de um nível pode ser
realizada sem causar impacto na estrutura global.
Para permitir o intercâmbio de informações entre computadores de
fabricantes distintos tornou-se necessário definir uma arquitetura única, e
para garantir que nenhum fabricante levasse vantagem em relação aos
outros a arquitetura teria que ser aberta e pública. Foi com esse objetivo
que a International Organization for Standardization (ISO) definiu o
modelo denominado Reference Model for Open Systems (OSI) [ISO 84,
ISO 92], que propõe uma estrutura com sete níveis como referência para a
arquitetura dos protocolos de redes de computadores.
Embora o modelo OSI da ISO possa ser usado tanto em redes de longa
distância quanto em redes locais, ele foi, em principio, pensado para o uso
em redes de longa distância.

As organizações internacionais de padronização podem ser
classificadas pelo seu enfoque técnico e por sua estrutura geográfica e
política. As organizações internacionais importantes para o tópico de
redes de computadores são: a ISO(International Organization for
Standardization), a IEC(International Electrotechnical Commission), e o
ITU-T (International Telecommunications Union) que corresponde ao
antigo CCITT (Comité Consultatif Intarnational Télégraphique et
Téléphonique), o qual mantém uma relação estreita com o CCIR (Comité
Protocolos de Redes

Consultatif International des Radiocommunications). A ISO lida também
com padrões que não são abordados pelos outros órgãos, por exemplo,
padrões de mecânica, química etc. Por existir uma certa superposição
entre a ISO e a IEC, com respeito a atividades em tecnologia da
informação, foi formado o JTC 1 (Joint Technical Committee 1), que é o
responsável final pela padronização de LANs e MANs. Entre outras
responsabilidades, o ITU-T é o responsável final pelas recomendações
(ITU-T utiliza a palavra recomendação ao invés de padrão) sobre as
RDSI (Redes Digitais de Serviços Integrados).
Vários padrões são definidos em trabalho conjunto dos vários órgãos
nacionais e internacionais. Importante na definição de padrões para redes
locais de computadores é o IEEE (Institute of Electrical and Electronics
Engeneers), que submete suas propostas através da ANSI.
A ANSI é um dos órgãos mais importantes no estudo de redes. O
instituto é estruturado em campos técnicos independentes, denominados
ASCs (Accredited Standards Commitees).
O objeto de estudo do ASC denominado T1 é telecomunicações. É
neste comitê que se concentram os grupos que tratam das RDSI em banda
larga (B-ISDN), ATM e SONET. A rede FDDI (Fiber Distributed Data
Interface) é objeto de padronização do grupo de trabalho X3t9.5 .
Através do protocolo as fases de estabelecimento, controle, tráfego e
encerramento, componentes da troca de informações são sistematizadas.


O protocolo desempenha as seguintes funções:
• Endereçamento: especificação clara do ponto de destino da
mensagem;

• Numeração e seqüência: individualização de cada mensagem,
através de número seqüencial;

• Estabelecimento da conexão: estabelecimento de um canal lógico
fechado entre fonte e destino.

• Confirmação de recebimento: confirmação do destinatário, com ou
sem erro, após cada segmento de mensagem.
• Controle de erro: detecção e correção de erros.

• Retransmissão: repetição da mensagem a cada recepção de
mensagem;

• Conversão de código: adequação do código às características do
destinatário;

• Controle de fluxo: manutenção de fluxos compatíveis com os
recursos disponíveis.


MÉTODOS DE ACESSO
Além dos protocolos, os equipamentos envolvidos no processamento
do teleprocessamento têm que estar dotados de programas que lhes
permitam as transações de comunicação de dados, isto é, necessitam de
competentes métodos de acesso a esses protocolos.

É definido como o suporte de programação necessário ao
desenvolvimento das transmissões e informações. Os métodos de acesso
projetados para controlar terminais assíncronos BSC, mais usados são:

. BTAM (Basic Telecomunications Access method )
. QTAM (Queud telecomunications Access Method )
. TCAM (Telecomunications Access Method )
. RJP ( Remote Job Processing )
. RJE (Remote Job Entry )
. CRJE ( Conversational Remote Job Entry )

Com o aumento da demanda nas redes e conseqüente necessidade de se
evitarem sobrecargas e/ou congestionamentos nas arquiteturas de redes
mais tradicionais foi desenvolvida a arquitetura SNA (Systems Network
Architecture ), que usa o método de acesso ACF/VTAM ( Advanced
Communications Function/Virtual Telecommunication Access Method ) .
Nessas redes emprega-se o protocolo SDLC (Synchronous Data Link
Control ) controle de alcance de dados síncronos.

Nas redes SNA a inteligência é distribuída ao longo de todo o circuito
estando presente na UCP, UCC, nos modens nos controladores de
terminais e, até, nos terminais.
Para as redes de comutação por pacote, a CCITT propõe atualmente a
utilização do protocolo denominado X-25.


PROTOCOLO X.25
Com o objetivo de permitir que os fabricantes de computadores e
equipamentos de transmissão de dados desenvolvam software e hardware
para ligação de um computador a qualquer rede pública do mundo, bem
como facilitar o trabalho de interconexão de redes, o CCITT criou uma
série de padrões para redes públicas comutadas por pacotes, conhecida
como recomendações da série X, em particular a recomendação X.25, que
descreve o protocolo padrão de acesso ou interface entre o computador e
a rede.

De um modo geral, as redes de comutação de pacotes caracterizam-se
por um eficiente compartilhamento de recursos da rede entre diversos
usuários e pela aplicação de tarifas baseadas no volume efetivo de dados
transmitidos.

O uso da técnica de pacotes proporciona um elevado padrão de
qualidade. A determinação do caminho mais adequado para transmissão
de um conjunto de pacotes permite contornar situações adversas
decorrentes de falhas no sistema ou de rotas congestionadas.
Além disso, sofisticados procedimentos de detecção de erros, com
retransmissão automática de pacotes, produzem valores de taxa de erros
dificilmente obtidos em outras redes.


NÍVEIS DO PROTOCOLO X.25
A arquitetura do protocolo X.25 é constituída de três níveis: físico,
quadro e pacotes.

Os níveis de protocolo X.25 coincidem com os respectivos padrões da
OSI (Open Systems Interconnection) da ISO (International Standards
Organizations), conforme a figura abaixo:

CIRCUITO VIRTUAL
ENLACE LÓGICO
LINHA FÍSICA
Nível
Pacotes
MENSAGEM
Nível
Quadros
MEN SA
MODEM
GEM
MODEM
Endereço do
pacote MEN
Flag
Nível
Pacotes
Endereço
Nível
Quadros
Controle
Nível
Físico
Informação FCS Flag
7 - Aplicação
6 - Apresentação
5 - Sessão
4 - Transporte
Nivel 3
PACOTES
Nível 2
QUADROS
Nível
Físico
Nível 1
FÍSICO
Compatibilidade de níveis da OSI/ISO.


RECOMENDAÇÕES X.3, X.28, e X.29
Pelo fato de ser bastante elaborado, o protocolo X.25 implica recursos
normalmente não disponíveis em equipamentos de dados mais simples e
de baixo custo, como é o caso dos terminais assíncronos.

Para permitir o acesso desses terminais, as redes comutadas de pacotes
possuem interface PAD (Packed Assembler/Diassembler), cuja função
principal é exatamente o empacotamento e o desempacotamento de
dados, ou seja, o PAD recebe os caracteres originados por um terminal
START/STOP e forma pacotes para transmissão através de rede,
executando a operação inversa no sentido rede/terminal. Dessa forma
pode-se dizer que o PAD atua como um conversor de protocolo,

conforme a figura abaixo:
A B C
A B C
Rede de

Caracteres PAD Pacote Nó Pacotes
TERMINAL
ASSÍNCRONO

As especificações para acesso à rede comutada de pacotes, via
interfaces PAD, constam das recomendações X.9, X.28 e X.29 do CCITT,
como na figura abaixo.

O PAD pode ser visto pela rede como um terminal X.25. No entanto,
isto não obriga que o PAD seja um equipamento à parte do nó de
comutação da rede, ou seja, esta função pode estar residente no mesmo
hardware que o resto das funções do nó.
X.28 X.29
X.25 X.25
X.3

Terminal
Assíncrono
Rede de Pacotes
X.3 - Definição do PAD
X.28 - Interação Terminal Assíncrono - PAD
X.29 - Interação PAD - Terminal Pacote (X.25)
PAD - PAD
Terminal
Pacote
X.25


RECOMENDAÇÃO X.32
Esta recomendação do CCITT define os aspectos funcionais e os
procedimentos de interface terminal/modem, permitindo o acesso de um
terminal modo pacote (que opera com X.25) a uma rede de pacotes,
através de uma rede comutada por circuitos. No caso do Brasil essa
recomendação atenderá a interligação de terminais, trabalhando com
protocolo X,25, acessando à Renpac via rede telefônica (acesso
comutado).

Três serviços poderão ser suportados pela recomendação X.32: serviço
não identificado, onde o usuário não será vínculo comercial com a
empresa mantenedora da rede de pacotes (no Brasil, a empresa é a
Embratel com a Renpac); serviço identificado, onde o usuário terá
vinculo comercial com a empresa mantenedora da rede de pacotes;
serviço personalizado, que atenderá o usuário com vínculo comercial e
com características de serviços compatíveis com as suas necessidades,
tais como identidade do ETD, método de identificação do ETD, endereço
do ETD e registro, designação de canais lógicos , facilidade opcionais
(locação temporária, rediscagem de segurança) .


PROTOCOLO BSC
Esse protocolo foi desenvolvido originalmente pela IBM (International
Business Machines) com o objetivo de permitir a transmissão síncrona
entre computador e periféricos remotamente localizados. Atualmente, este
protocolo encontra-se bastante difundido e suas versões são
implementadas em diferentes equipamentos.
O protocolo BSC é utilizado em ligações ponto a ponto ou
multiponto, com ligações dedicadas ou comutadas. Ele pode aceitar três
códigos específicos de transmissão: EBCDIC, ASCII, TRANSCODE
(código de 6 bits) , operando no modo half-duplex .


PROTOCOLO START / STOP
Por ser muito antigo, é também muito simples em relação aos
atuais protocolos, sendo utilizado em terminais de vídeo não
bufferizados, terminais telex, impressoras de alta velocidade. Utiliza
basicamente seis caracteres especiais para o controle de linha: início de
bloco; procedimento de seleção; resposta positiva; resposta negativa; erro
na linha; fim de transmissão, reset .


PROTOCOLO SDLC
Protocolo síncrono desenvolvido pela IBM em 1974 para atender a
arquitetura SNA (Systems Network Architeture) em transmissões half ou
full-duplex, com configurações ponto a ponto ou multiponto, em linhas
comutadas ou permanentes, trabalhando com uma estrutura de quadros
(ou frames), no formato abaixo:

FLAG
8 bits
ENDEREÇO
8 bits
CONTROLE
8 bits
INFORMAÇÃO
8 bits
FCS
16 bits
FLAG
8 bits

Tal protocolo proporciona uma melhor utilização do canal de
comunicação por poder operar em full-duplex, permitindo o envio de até
7 quadros consecutivos sem a necessidade de confirmação individual de
recebimento de cada quadro por parte da estação receptora (mecanismo
de janela de transmissão) . Isso não acontece em protocolos half-duplex
(ex: protocolo BSC), onde, para cada mensagem enviada, a estação
transmissora fica esperando uma confirmação (positiva ou negativa) da
estação receptora. Este tempo de espera do transmissor uma resposta do
receptor é reduzido significativamente em protocolos full-duplex .

Suas principais características são:
. A orientação a bit (e não a caractere).
. A transparência de códigos (pode ser utilizado qualquer código).
. Controle de fluxos entre as estações.
. Controle de erros através da numeração de quadros.
. Geração de FCS através da ténica CRC.
. Recuperação de erros através de retransmissão (requisitada ou por
decurso de tempo).
. Operação full-duplex.


PROTOCOLO HDLC
Protocolo desenvolvido pela ISO em 1979 com o objetivo de
padronizar um protocolo orientado a bit para transmissão de dados
síncronos half ou full-duplex, com configuração ponto a ponto ou
multiponto, em linhas comutadas ou permanentes.
Basicamente, é idêntico ao protocolo SDLC, com pequenas variações,
tais como:

. O campo de controle de supervisão, além dos comandos RR, RNR e
REJ, possui o comando SREJ (Selective Reject - Rejeição
Seletiva)com os bits 3 e 4 assumindo os valores 11 .
. O campo de informações possui tamanho variável, não
necessariamente múltiplo de 8 bits, podendo conter de 1 bit até um
tamanho máximo em torno de 2 kbytes .


ETHERNET
• Extensões à Rede Ethernet
O objetivo das tecnologias discutidas é aumentar a vazão das redes
Ethernet atuais (padrão IEEE 802,3), o que obviamente implica em
algumas modificações. A idéia é fornecer uma alternativa de crescimento
natural, principalmente, para o padrão 10BASE-T.

Existe uma grande confusão sobre o que realmente estende uma rede
Ethernet. Na realidade, a maioria das propostas se distancia bastante das
redes IEEE 802.3, indicando que o termo Ethernet é utilizado muito
mais por razões ligadas a marketing do que por razões técnicas. Para
efeito dessa discussão, consideramos como extensões de redes Ethernet às
redes locais que fornecem taxas superiores aos 10 Mbps (half duplex)
fornecidos pelas redes 802.3, mantendo, do ponto de vista das estações, o
acesso baseado no CSMA/CD.

As LANs tradicionais utilizam técnicas baseadas no compartilhamento
da banda passante. Nessas LANs, o sistema de comunicação é
compartilhado pelas estações segundo regras definidas por um método de
acesso, no caso das redes Ethernet, o CSMA/CD.

• IEEE 802.3 100BASE-T (Fast Ethernet)
A especificação de nível físico 100BASE-T é responsabilidade do
grupo de estudo IEEE 802.3u. Segundo essa especificação, as estações
são interligadas a um hub, por ligações ponto a ponto, segundo a
topologia em estrela. A subcamada MAC definida no padrão IEEE 802.3
(método de acesso CSMA/CD) é utilizada sem nenhuma modificação. A
especificação 100BASE-T engloba as opções de nível físico 100BASETX,
100BASE-T4 e 100BASE-FX, uma interface padrão denominada
MII e um repetidor 100BASE-T.

• Switches Ethernet
Embora existam vários produtos no mercado, não existem padrões de
jure para os switches Ethernet. A idéia utilizada pelos switches é
segmentar, ou microsegmentar, à rede, para melhorar seu desempenho,
fornecendo a cada uma de suas portas, que podem estar ligadas a uma ou
mais estações, uma taxa de transmissão na rede igual à do seu enlace de
entrada/saída.

Os switches usualmente suportam as implementações Ethernet (IEEE
802.3) de 10 Mbps, sem alterar a subcamada MAC. é também usual
encontrar switches onde as portas operam com velocidades diferentes,
alguns deles permitem conexões de até 100 Mbps em suas portas,
utilizando a especificação de nível físico 100BASE-T.

Os switches são independentes do meio de transmissão. O tipo de meio
que pode ser ligado a uma de suas portas é uma questão de
implementação, sendo possível ligar segmentos com diferentes meios de
transmissão, a portas diferentes de um mesmo switch. As restrições
impostas pelo padrão IEEE 802.3 aplicam-se para as redes que utilizam
switches, por exemplo, segmentos com no máximo 100 metros quando o
nível físico é o 10BASE-T, tamanho mínimo de 64 octetos para o quadro
MAC 802.3 etc.

Existem basicamente dois tipos de switch. No primeiro, a comutação é
feita por software. Esses switches operam tipicamente da seguinte forma:
o quadro, depois de recebido através de uma de suas portas, é armazenado
em uma memória compartilhada. O endereço de destino é analisado, e a
porta destino obtida de uma tabela de endereços por um algoritmo
usualmente executado em um processador RISC. Em seguida, o quadro é
transferido para a porta de destino. No segundo tipo de switch a
comutação é feita por hardware. Esses switches são, na maioria dos casos,
implementados com tecnologia ASIC (Application Specific Intergrated
Circuit). O modo de operação usual desses switches é o seguinte: assim
que recebem e armazenam o cabeçalho dos quadros, eles processam o
endereço de destino e estabelecem um circuito entre as portas de origem e
de destino, enquanto durar a transmissão do quadro.

• IEEE 802.9 (Ethernet Isócrona)
Tipicamente, os usuários de redes locais necessitam de serviços de
transmissão de dados e voz, entre outros, para desempenhar suas tarefas.
Esta demanda impulsionou o desenvolvimento de soluções baseadas na
integração de diversos serviços em uma rede única. Visando oferecer
soluções para integração de serviços no âmbito das redes locais, o IEEE
desenvolveu o padrão IEEE 802.9, intitulado “Integrated Services (IS)
LAN Interface at the Medium Access Control (MAC) and Physical
(PHY) Layers”. Esse padrão define uma interface para acesso a serviços
integrados, denominada ISLAN, fornecidos com base em redes públicas
ou privadas, como por exemplo: RDSI, FDDI e todas as redes IEEE 802.
O leitor atento deve ter notado que o padrão 802.9 não foi elaborado
com o intuito de estender apenas redes 802.2 (Ethernet), mas sim de
permitir que usuários de redes locais (qualquer uma delas) possa acessar
serviços de transmissão de voz, dados etc., de forma integrada, através de
uma única conexão a rede.

O padrão IEEE 802.9 define uma rede na qual podem ser ligados
ISTEs (Integrated Services Terminal Equipments), estações que
manipulam exclusivamente dados, estações que só processam voz, redes
locais 802 ou FDDI, e redes que forneçam serviços RDSI. O uso de
adaptadores de terminais (Terminal Adapter-TA) permite a ligação direta
à interface 802.9 de terminais cuja operação não é compatível com a
interface ISLAN.

Os serviços integrados são fornecidos aos ISTEs através da interface
ISLAN, que é atendida por uma unidade funcional chamada AU (Access
Unit). Os ISTEs são conectados por fios UTTP à AU. Assim, olhando
segundo a perspectiva de um ISTE, sua interface de nível físico o conecta
à AU e os serviços que ele utiliza são fornecidos pela ou através da AU.
A AU acomoda dois tipos de cenário. No primeiro deles, a ISLAN
funciona como uma LAN isolada, onde a AU fornece toda a infraestrutura
de transmissão necessária para atender aos serviços requisitados
pelos ISTEs. Nesse cenário, a AU funciona como um switch. No segundo
cenário, a ISLAN serve como interface de acesso par um ambiente
baseado em um backbone formado por uma LAN IEEE 802, por uma
FDDI, por uma RDSI privada (por exemplo, implementada por um PBX)
ou por uma RDSI pública. Nesse cenário, a AU atua como uma unidade
de interconexão (interworking unit) para o sistema que fornece o serviço
de comunicação. Combinações dos dois cenários também são possíveis.
Ao contrário do que acontece na LANs IEEE 802, o meio de transmissão
que interliga o ISTE à AU não é compartilhado, consistindo em uma
ligação ponto a ponto dedicada.

O escopo do padrão IEEE 802.9 (interface ISLAN) limita-se à
definição da ligação do ISTE à AU. Nessa ligação é transportada uma
cadeia de bits, onde são multiplexados pacotes de dados, voz vídeo,
facsímile etc., em canais isócronos.
A arquitetura da AU definirá o esquema de arbitração que irá controlar
o acesso a seus recursos e ao meio de transmissão que liga os ISTEs a ela
própria. A arquitetura da AU não é definida no padrão 802.9, sendo
responsabilidade dos implementadores.

A arquitetura IEEE 802.9 define um nível físico, mais sofisticado que o
das outras LANs IEEE 802, utilizando a multiplexação por divisão no
tempo (TDM). A multiplexação é especificada para ser capaz de transferir
taxas múltiplas de 4,096 Mbps em quadros isócronos gerados em uma
freqüência de 8KGHz. A referência [IEEE 1994] fornece especificações
para uso de suportes TDM a 4,096 Mbps e 20,48 Mbps, baseados em
quadros com 64 e 320 slots de um octeto.

A multiplexação dos diversos serviços transportados nos octetos do
quadro TDM é função de uma subcamada do nível físico denominada
HMUX (Hybrid Multiplexing). Os procedimentos de gerenciamento da
subcamada HMUX, combinados com extensões para sinalização RDSI,
definem o mecanismo que permite estabelecer e liberar canais, de forma
transparente e dinâmica, de acordo com os serviços requisitados pelos
usuários. Os tipos de canais definidos no padrão são:

1. Canal D: canal full-duplex, onde são transmitidos pacotes a uma
taxa de 16 ou 64 Kbps. O canal D é usado para fornecimento dos serviços
de controle de chamadas através da família de protocolos Q.93x definida
em recomendações do ITU-T.

2. Canal B: canal de 64 Kbps, full-duplex, com acesso isócrono. No
quadro TDM 802.9, foram definidos dois slots para canais B. O padrão
IEEE 802.9 não define nenhum MAC para este tipo de canal, cuja
utilização pode basear-se em comutação de circuitos ou de pacotes. O
canal B foi concebido para transmissão de voz codificada em PCM,
porém pode ser utilizado para transmissão de qualquer serviço isócrono
que utilize 64 Kbps.

3. Canal C: canal isócrono, full-duplex, cuja banda passante é um
múltiplo de 64 Kbps. O “C” da denominação de circuitos. A denominação
Cm é usada para identificar um canal com um tamanho de m x 64 Kbps.
Os canais C comportam-se normalmente como os canais RDSI B e H,
exceto por poderem apresentar uma banda passante igual a qualquer
múltiplo de 64 Kbps, o que não acontece com os canais RDSI, que se
limitam às taxas aprovadas pelo ITU. Alguns exemplos da equivalência
são: C1 = B = 64 Kbps; C6 = H() = 384 Kbps; C24 = H11 = 1,536 Mbps; C30
= H12 = 1,920 Mbps. A banda passante alocada para os canais C depende
das aplicações. O padrão também não define uma subcamada MAC
específica para os canais C. Exemplos típicos de utilização de canais C
incluem a transmissão de imagens e vídeo.

4. Canal P: canal full-duplex, usado para transmissão de pacotes (daí o
“P”). O canal P suporta os serviços MAC 802 para transmissão de dados.
Na versão atual do padrão, só existe um canal P definido por interface
ISLAN. O tamanho mínimo do canal P é definido pelos requisitos das
aplicações, e, nos casos onde a AU atua como interface de acesso a uma
LAN, depende das características desta LAN. Por exemplo, se for uma
rede IEEE 802.3, o canal P deve oferecer uma banda passante de 10
Mbps.

5. Canal AC: canal full-duplex, isócrono, de 64 Kbps, utilizado para
transportar informações relativas ao procedimento de arbitração
request/grant. Esse canal é usado para controlar o acesso ao canal P para
transporte de MPDUs.


MODELO OSI DA ISO
A ISO (International Organization for Standardization) é uma
organização internacional fundada em 1946 que tem por objetivo a
elaboração de padrões internacionais.Os membros da ISO são os órgãos
de padronização nacionais dos 89 países membros. O representante do
Brasil na ISO é a ABNT e o representante dos EUA é o ANSI, como
mencionamos. A ISO é organizada em Comitês Técnicos (Technical
Committees - Tcs) que tratam de assuntos específicos. O TC97 trata da
padronização de sistemas de processamento de informações. Os TCs
possuem subcomitês (Scs) que por sua vez são divididos em grupos de
trabalho ( Working Groups - Wgs).

O desenvolvimento de um padrão ISO começa quando alguma das
organizações nacionais acha necessário elaborar um padrão e submete à
ISO uma proposta inicial, denominada WD (Working Document). É
então formado um WG que trabalha gerando um DP (Draft Proposal). O
DP é divulgado e os membros da ISO tem seis meses para analisá-lo e
votá-lo. Se a maioria dos votantes for favorável, um documento revisado
chamado DIS (Draft Inernational Standard) é produzido e divulgado. Um
novo período de seis meses é definido para análise e votação. Se o
documento for aprovado ele se torna finalmente um IS (International
Standard).

Conforme documento da ISO [ISO 84, ISO 92 ], é permitir uma base
comum que permita o desenvolvimento coordenado de padrões para a
interconexão de sistemas... O padrão fornece um esquema conceitual que
permite que equipes de especialistas trabalhem de forma produtiva e
independente no desenvolvimento de padrões para cada uma das camadas
do RM-OSI.

O RM-OSI, por si só não define a arquitetura da rede, porque não
especifica com exatidão os serviços e protocolos de cada camada. Ele
simplesmente “diz o que cada camada deve fazer”. Entretanto, elaboram
documentos que definem com precisão serviço e protocolos das camadas
do RM-OSI, que são publicados como padrões internacionais.

Dois Sistemas distintos que seguem o RM-OSI podem não permitir a
troca de informações entre si, pois para que a troca de informações seja
possível é necessário que ambos tenham opções compatíveis de
serviço/protocolo para todas as camadas do modelo.

• Terminologia adotada no RM-OSI
Descrito na figura abaixo. Um serviço representa um conjunto de
funções oferecidas a um usuário por um fornecedor. O serviço oferecido
por um fornecedor é acessado por um usuário através de um pornto de
acesso ao serviço (Service Access Point - SAP).
Usuário do
Serviço (N)
Usuário do
Serviço (N)
Ptos de acesso ao Serv (N)
Camada (N)
Ptos de acesso ao serv (N-1)
Camada (N-1)

Elementos ativos das camadas são denominados entidades. Estas
podem ser de software (um processo) ou hardware (uma placa de
interface de rede).
Entidades da mesma camada em máquinas deferentes são denominadas
pares ou parceiras. Cada camada, a partir da primeira implementará a que
vier a seguir, assim sucessivamente até a camada 7, que fornece serviços
aos usuários de comunicação OSI.
Um serviço pode ser confirmado, não-confirmado ou iniciado pelo
fornecedor.

Devemos observar a figura abaixo para melhor entendimento.
Solicitante SAP SAP Acolhedor
Protocolo do Serviço (N)
Fornecedor do Serviço (N)
Entidade do
Serviço(N)
Entidade do
Serviço (N)
Protocolo do Serviço (N-1)
Fornecedor do Serviço (N-1)
Entidade do
Serviço (N-1)
Service.REQUEST
Service.INDICATION
Service.RESPONDE
Service.CONFIRMATION
Entidade do
Serviço (N-1)

Confirmado
Não Confirmado
Service.REQUEST
Service.INDICATION
Service.INDICATION Service.INDICATION
Indicado pelo Fornecedor
Service.REQUEST (Invocada pelo usuário solicitante);
Service.INDICATION (Entregue pelo fornecedor do servidor ao
usuário que aceita o serviço);
Service.RESPONSE (Invocada pelo usuário que aceita o serviço);
Service.CONFIRMATION (Entregue ao solicitante pelo fornecedor).

• Modo de transmissão orientado à conexão
É dividido em três fases:
. Estabelecimento da conexão. (define parâmetros e opções para a
realização do serviço). T-CONNECT.request-> T-CONNECT.indication
-> T-CONNECT.response -> T.CONNECT.confirmation;

. Transferência de dados. (os usuários do serviço trocam dados). TDATA-
request + dados a serem transmitidos -> T-DATA.indication;

. Liberação da conexão. (a ligação entre os usuários é desfeita).
Existem três formas para se desfazer a ligação entre os usuários:

1. Conexão ordenada, onde ambos concordam com o encerramento
da conexão;

2. Por solicitação de um dos usuários a qualquer momento;

3.Por solicitação do fornecedor a qualquer momento.

• Modo de transmissão não-orientado à conexão
É feita através da transferência de dados de um SAP de origem para
um ou mais SAPs de destino, sem que para isso seja feita a conexão entre
eles. Todas as informações são enviadas através de uma única primitiva,
Service.REQUEST.

• Modelo OSI possui sete níveis de protocolos

. Nível Físico - Fornece características mecânicas, elétricas e
funcionais para habilitar, manter e desabilitar conexões em entidades de
nível de enlace;

. Nível de Enlace - Detecta e corrigi erros que possam ocorrer no
nível físico.
Possui um mecanismo de controle de fluxo para evitar que o receptor
receba mais dados do que possa processar. O transmissor saberá qual o
espaço disponível do buffer do receptor em um dado momento.

. Nível de Rede - Fornece ao nível de transporte uma independência
quanto a considerações de chaveamento e roteamento associadas ao
estabelecimento e operação de uma conexão em rede.

. Nível de Transporte - É a garantia de que um pacote cheque ao seu
destino, isolando os níveis superiores para a transmissão de rede.
A comunicação é fim a fim, a entidade de nível de transporte da
máquina de origem se comunica com a entidade do nível de transporte da
máquina de destino. Pode não acontecer nos níveis anteriores entre
máquinas (vizinhas) na rede.
Possui três importantes funções:

1. Multiplexação - Várias conexões de transporte partilhando a mesma
conexão de rede. (utilizada quando a conexão de transporte não gera
tráfego suficiente para ocupar toda a capacidade da conexão de rede por
ela utilizada);

2. Splitting - Uma conexão de transporte ligada a várias conexões de
rede. Aumenta a vazão de uma conexão de transporte através da
utilização de várias conexões de redes simultaneamente;

3. Controle de Fluxo - Utilizado para evitar que o emissor envie
mensagens numa taxa maior do que a capacidade que o receptor tem de
recebê-las, extravasando sua capacidade de armazenamento.

. Nível de Sessão - Permite estruturar os circuitos oferecidos pelo
nível de transporte. Os principais serviços fornecidos por este nível são:
Token, controle de diálogo e gerenciamento de atividades.
É permitida a transmissão de dados nos dois sentidos, porém ele é halfduplex.
(Sistema que comporta transmissão bidirecional apenas
alternadamente. Também denominado meio-duplex).

. Nível de Apresentação - Sua função é de realizar transformações
adequadas, antes de seu envio ao nível de sessão. Em relação a textos,
criptografia, conversão de padrões de terminais e arquivos para padrão de
rede e vice versa.

Os serviços oferecidos por este nível são: transformação de dados,
formatação de dados, seleção de sintaxes e estabelecimento de
manutenção de conexões de apresentação.

. Nível de aplicação - São definidas funções de gerenciamento e
mecanismos genéricos que servem de suporte a aplicações distribuídas.
Por exemplo, para que seja viável o intercâmbio entre usuários, o usuário
de nível de aplicação poderá utilizar um elemento de serviço chamado
ACSE (Association Control Service Element).
Além dos elementos de serviço genérico existem elementos de serviço
específicos de cada protocolo de aplicação, como FTAM (File Transfer,
Access and Mangament), o DS (Directory Service), e o MHS
(MESSAGE Handling System).

• Representação gráfica da arquitetura OSI
Aplicação
Apresentação
Sessão
Transporte
Rede
Enlace
Físico

• Transmissão de dados no modelo OSI
O processo começa com a entrega dos dados a serem transmitidos pelo
usuário para uma entidade do nível de aplicação no sistema A. Os dados
do usuário recebem a denominação UNIDADE DE DADOS DO
SERVIÇO (Service Data Unit - SDU), sendo eles, nesse caso, a SDU dos
níveis de aplicação. A entidade da camada de aplicação junta aos dados
do usuário um cabeçalho denominado informação de Controle do
Protocolo (Protocol Control Information - PCI). O objeto resultante dessa
junção é chamado Unidade de Dados do Protocolo (Protocol Data Unite -
PDU). A PDU é a unidade de informação trocada pelas entidades pares,
ao executar o protocolo de uma camada, para fornecer o serviço que cabe
à camada em questão. A PDU do nível de aplicação (cabeçalho + dados
do usuário) é então passada para o nível de apresentação.
A entidade do nível de apresentação trata a unidade que recebe da
mesma forma que o nível de aplicação trata os dados do usuário (a PDU
do nível de aplicação é um SDU no nível de apresentação), e acrescenta
seu cabeçalho, compondo assim a PDU do nível de apresentação. Esse
processo continua até o nível de enlace, que geralmente acrescenta um
cabeçalho e um fecho, que contém um Frame Cheeck Sequence (FCS)
para detecção de erros. A PDU do nível de enlace que é denominada
quatro (frame), é transmitida pelo nível físico através do meio de
transmissão, depois de agregar ao quadro seu cabeção e seu fecho.

Quando o quadro é recebido pelo destinatário o processo inverso ocorre.
À medida que a unidade de dados vai sendo passada para as camadas
superiores, cada camada retira o cabeçalho e o fecho que foi acrescentado
por sua entidade par na origem, executa as operações do protocolo de
acordo com a informação contida no cabeçalho, e passa a unidade de
dados para camada superior. O processo se encerra com o usuário no
sistema remoto B recebendo os dados enviados pelo usuário do sistema
A.


PROTOCOLOS COM RESERVA
Os protocolos baseados em reserva foram desenvolvidos inicialmente
para redes de satélites. Essas redes têm de lidar com um atraso de
propagação grande quando comparado com o de uma rede local ou
metropolitana, fazendo com que a razão entre o tempo de propagação e o
tempo de transmissão do quatro (parâmetro a) possua um valor alto, o que
limita o desempenho dos métodos de acesso sensíveis a variações nesse
parâmetro, por exemplo, os métodos baseados em contenção e em
passagem de permissão explícita. Para contornar o problema, em algumas
redes de satélites as estações que possuem quadros para transmitir fazem
reservas no ciclo corrente para transmitir no próximo. Os ciclos
usualmente possuem tamanhos fixos.

O aumento na velocidade e na distância dos enlaces das redes locais e
metropolitanas fez com que as condições dessas redes se tornassem
semelhantes à das redes de satélites: nas redes locais de alta velocidade e
nas redes metropolitanas, o parâmetro a também possui valores elevados.
Assim, muitas das idéias usadas nos protocolos desenvolvidos para redes
de satélite foram adaptadas às redes de alta velocidade e distâncias
metropolitanas.

1. Método IFFO
O método IFFO (Interleaved Frame Flush-Out) [Wieslthier 80)
baseia-se em ciclos de tempo consistindo em um slot de status, slots
reservados e slots alocados por contenção, como mostra a figura
abaixo. A fronteira entre as duas últimas classes de slots é definida
pelo número de reservas.O slot de status ë subdividido em minislots
um para cada nó da rede, e é usado pelos nós para fazerem reservas.

Reservas para
o próximo ciclo
Status Contenção Status Slots Reservados Contenção
Ciclo n Ciclo n + 1
A operação básica do método é a que segue. Quando chega um quadro
para transmissão durante o intervalo de tempo alocado aos slots
reservados do ciclo n - 1, o transmissor de fazer uma reserva no slot de
status do próximo ciclo (ciclo n) para transmitir o quadro no ciclo n + 1.
O mesmo vale para os quadros que chegam durante o último slot dos que
são alocados por contenção.

2. CRMA
O método CRMA (Cyclic-Reservation Multiple Access) [Nassehi
90] supõe que os nós são interconectados segundo a topologia em barra
dobrada (folded buus). As estações transmitem na barra A (barra de
transmissão) e recebem na barra B (barra de recepção).
Slots livres são gerados pelo headend. Um bit no cabeçalho do slot
indica se seu estado é livre ou ocupado. Os slots são agrupados em
ciclos de comprimento variável. O headend (primeiro nó na barra de
transmissão e último na barra de recepção) é o encarregado pela
definição dos ciclos que são iniciados através do envio de um comando
start cycle. Um ciclo termina quando outro comando start cycle inicia o
próximo ciclo. Podem existir vários ciclos simultaneamente na barra,
por exemplo, caso 50 slots estejam sendo transmitidos
simultaneamente na barra, os 15 primeiros podem fazer parte do ciclo
N, os 10 seguintes do ciclo N + 1 e os 25 restantes do ciclo n + 2. O
comprimento dos ciclos é definido pelo número de reservas feitas
através de um mecanismo de reserva.


PROTOCOLOS DE ACESSO EM REDES ÓTICAS
Os componentes eletrônicos usuais operam em taxas de transmissão da
ordem de até poucas dezenas de Gbps (Gegabits por segundo).
Componentes óticos possuem potencial para no futuro suportar taxas da
ordem de Tbps (Terabits por segundo) [van As 94b]. As redes óticas
atualmente disponíveis desdobram a enorme banda passante do meio de
transmissão ótico (cerca de 30 Thz [Sudhaker 94]) através de
multiplexação por divisão de comprimento de onda (Wavelength -
WDM). O uso da técnica WDM tem se tornado possível graças a recentes
avanços na tecnologia fotônica (photonic technology) [Ramaswami 93].

Utilizando os novos dispositivos óticos, é possível multiplexar e
demultiplexar dezenas ou mesmo centenas de canais de alta velocidade
(por exemplo, 1Gbps), com comprimentos de onde diferentes, em uma
única fibra ótica. Se uma apresentação resumida de alguns dos métodos
de acesso propostos para esse tipo de rede.

• Slotted-Aloha/PA
O método de acesso Slotted-Aloha/PA (Polite Access) [Sudhaker
94] foi proposto para redes óticas multicanais com topologia em estrela
passiva.
Em uma rede em estrela passiva ideal, a energia do sinal luminoso
recebido através de uma das portas de entrada do nó central é dividida
igualmente entre as portas de saída. Dessa forma, o acoplador da
estrela passiva atua como um meio de difusão do sinal.

O método presume que os dispositivos transmissores e receptores
podem ser sintonizados em qualquer canal multiplexado da rede. São
utilizados N canais para transmissão de dados e um canal de controle.
Cada canal é fisicamente implementado em um dos comprimentos de
onda do conjunto {ë1, ë2, ..., ëN } e o canal de controle é associado ao
comprimento de onda ë0. Todos os receptores ociosos monitoram o
canal de controle ë0. Os nós da rede podem transmitir e receber em
qualquer um dos canais de dados e no canal de controle. Para que
ocorra uma comunicação, o receptor deve ser informado sobre o canal
que será usado pelo transmissor para lhe enviar um quadro.

• TDMA-C
O método de controle de acesso TDMA-C (Time Division Multiple
Access With a Control channel) [Bogineni 92] foi também
desenvolvido para a topologia em estrela passiva.

O TDMA-C pressupõe que os nós possuem um transmissor
sintonizável e dois receptores, um para monitorar permanentemente um
canal de controle e o outro para ser sintonizado em um dos canais de
comprimento de onda usados para transmitir dados.

Cada nó adicionalmente possui um minislot dedicado, em um ciclo
no canal de controle. Um minislot carrega o endereço do destinatário e
o número do canal no qual um quadro será transmitido. Os quadros
possuem tamanhos variáveis. Cada nó tem permissão para transmitir
um quadro por ciclo.
Todos os nós mantêm duas tabelas que refletem o estado dos nós de
destino e dos canais de comprimento de onda, respectivamente. Essa
informação é deduzida da observação dos miniislots no canal de
controle.

Depois de inspecionar suas tabelas, um nó, que deseja transmitir,
inicialmente sintoniza no canal de controle e preenche seu minislot no
sentido de avisar o nó receptor que irá lhe enviar um quadro através do
canal especificado no minislot. Depois disso, o transmissor sintoniza
no canal de comprimento de onda selecionado e transmite um quadro.

Um nó ao identificar seu endereço em um minislot no canal de
controle lê no mesmo minislot a identificação do canal de comprimento
de onda que será usado pelo transmissor para lhe enviar um quadro e
ajusta seu receptor para o referido comprimento de onda.

• AMTRAC
A rede AMTRAC é também multicanal, utilizando a topologia em
barra dobrada [Chlamtac 88].
Cada nó ajusta seu receptor em um canal de comprimento de onda
fixo. Um canal de recepção pode ser de uso exclusivo de um nó ou
compartilhado por alguns poucos nós.

Para transmitir, os nós selecionam o canal do destinatário. O
controle do acesso simultâneo a um mesmo canal é feito através de um
mecanismo semelhante ao usado no CSMA/CA. O acesso é controlado
por ciclos com duração constante consistindo em vários minislots ou
pontos de escalonamento. Um nó possui um minislot em cada canal,
embora a posição do minislot seja diferente em cada um deles. Os nós
só podem começar a transmitir nos pontos de escalonamento definidos
por seus minislots. Quando chega a vez de um nó, ele sente o meio e,
se o canal onde ele deseja transmitir estiver livre, inicia sua
transmissão. Se, por outro lado, o canal selecionado estiver ocupado,
devido a uma transmissão realizada por outro nó cujo minislot está
posicionado anteriormente no ciclo, a estação não transmite e espera o
próximo ciclo para verificar o estado do canal. Nesse ínterim, o nó
pode tentar transmitir em outro canal para outro destinatário.

• Pipeline
Na rede em anl Pipelinee (Chlamtac 93], cada nó transmite em um
comprimento de onda específico. A recepção é realizada através da
sintonização no canal de comprimento de onda apropriado (definido
pelo transmissor). A transmissão ocorre em slots.
Subcanais de controle com baixa taxa de transmissão são usados
para evitar que dois quadros endereçados ao mesmo destinatário sejam
transmitidos em canais de transmissão diferentes simultaneamente. A
informação transmitida nos subcanais de controle também é utilizada
para instruir o receptor sobre o comprimento de onda que ele deve
sintonizar para receber o próximo quadro.

Os subcanais de controle podem ficar dentro de um canal de
comprimento de onda compartilhado por todos os nós, ou podem ficar
espalhados nos canais de comprimento de onda dedicados dos nós. O
acesso aos subcanais de controle é baseado em slots que têm a mesma
duração de tempo que os slots de dados.
Se um nó deseja transmitir, ele deve monitorar os slots de controle
do destinatário alvo no subcanal de controle desse nó. Quando encontra
um slot vazio, ele escreve nesse slot a informação de sintonização (o
comprimento de onda de seu canal de transmissão), transmitindo um
segmento de dados no próximo slot de seu canal de transmissão.
O receptor ao receber a identificação de um canal de transmissão em
um de seus slots de controle, sintoniza seu dispositivo de recepção no
comprimento de onda desse canal, e lê o quadro transportado no
próximo slot do canal.


PROTOCOLOS DE ACESSO COM PRIORIDADE
A proliferação de redes locais induziu um grande número de
aplicações que exigem requisitos bem diferentes do sistema de
comunicação. Em particular, os requisitos de tempo de acesso,
desempenho e outros podem variar de tal modo que a otimização de
acesso para uma dada aplicação pode resultar em uma degradação de
acesso para outra, até um ponto insustentável.

A necessidade de funções de prioridade em ambientes de multiacesso
é evidente. Uma vez que diferentes aplicações impõem diversos
requisitos ao sistema, é importante que o método de acesso seja capaz
de responder às exigências particulares de cada uma dessas aplicações.
Funções de prioridade oferecem a solução para esse problema.
São várias as razões para a introdução de um esquema de prioridade
em ambientes de multi-acesso. Para ilustrar, tomemos como primeiro
exemplo uma rede utilizada inicialmente para dar suporte ao tráfego
interativo entre terminais e computadores. Medidas têm demonstrado
que apenas uma pequena utilização do canal é feita em tal tipo de
aplicação (por exemplo, 4% da banda passante disponível em uma rede
Ethernet na Xerox [Shoch 80]). Uma grande porção do canal encontrase
ociosa e poderia ser utilizada se permitíssemos um outro tipo de
aplicação simultânea, como, por exemplo, transferência de arquivos
entre computadores. Essa outra aplicação, mesmo utilizando uma
pequena percentagem da banda passante ociosa do canal, pode
introduzir retardos indesejáveis no tráfego interativo, uma vez que
disputa o acesso à rede com o mesmo. A solução para a utilização do
tráfego ocioso disponível, mantendo a níveis aceitáveis o tráfego
interativo, pode exigir um esquema que dê às mensagens interativas
uma prioridade sobre as mensagens de transferência de arquivos. Um
esquema de prioridade de mensagens. Seria então necessário.


PROTOCOLO IEEE 802.3 (CSMA/CD)
O ANSI/IEEE 802.3 (ISO 8802-3) é o padrão para redes em barra
utilizando o CSMA/CD como método de acesso. O padrão provê a
especificação necessária para redes em banda básica operando em 1 e 10
Mbps, e para redes em banda larga operando a 10 Mbps.
Ao tratar de redes em banda básica a 10 Mbps, o padrão ANSI/IEEE
802.3 converge para a especificação da rede Ethernet [Xerox 80]. Nesta
seção como nas duas que se seguem, dividiremos a análise do padrão em
três seções: a sintaxe do protocolo de controle de acesso ao meio - MAC
(Medium Access Control), a semântica do protocolo e o nível físico.

• Sintaxe do Protocolo da Camada MAC
O campo de preâmbulo possui sete octetos usados para
sincronização do transmissor e receptor, é a codificação utilizada por
esse padrão. Cada octeto é formado pela seqüência 10101010.
Preâmbulo SFD Destinatário Remetente Comprimento Dados PAD
LLC
FCS
56 bits 8 bits 48 bits 48 bits 16 bits 368 bits - 12 bits 32
bits

O campo delimitador de início de quadro, SFD, é composto da
seqüência 10101011 e indica o início de um quadro.
• Semântica do Protocolo da Camada MAC
A semântica do protocolo segue exatamente a descrição do
protocolo CSMA/CD com retransmissão baseada no algoritmo
truncated binary exponential backoff.


PROTOCOLO PADRÃO 802.4 (Token Bus)
ANSI/IEEE 802.4 (ISO 8802-4) é o padrão para redes em barra com
sinalização em banda larga utilizando a passagem de permissão como
método de acesso. Quatro tipos de meios em barra com as suas
entidades correm particularmente pelas formas de sinalização
especificadas para cada tipo de entidade do nível físico.


• Semântica do Protocolo da Camada MAC
A operação normal do protocolo requer que a permissão seja
enviada ao sucessor tão logo acabe a transmissão. Cada estação
participante no ciclo lógico conhece o endereço da estação
predecessora - PS - que lhe passa a permissão, e da próxima estação
- NS - a quem deve passar a permissão.
Quando um estação possui a permissão, pode transmitir seus
quadros. Quando a transmissão termina, passa a permissão à sua
estação sucessora. Estando de posse da permissão, uma estação pode
também delegar seu direito de transmissão a uma outra estação
enviando um quadro de pedido com resposta. A estação endereçada
deve então responder com um quadro de resposta, revertendo o
direito de transmissão à estação anterior.
Depois de enviar a permissão, a estação tenta obter uma evidência
de que sua sucessora recebeu a permissão e de que está ativa. Se
após o envio da permissão a estação de origem recebe um quadro
válido, ela pressupõe que a estação sucessora recebeu a permissão e
está transmitindo.


PROTOCOLO PADRÃO IEEE 802.5 (Token Ring)
ANSI/IEEE 802.5 (ISO 8802-5) é o padrão para redes em anel
utilizando passagem de permissão como método de acesso. O padrão
provê a especificação necessária para redes em banda básica operando em
4 Mbps ou 16 Mbps, utilizando como meio de transmissão o par trançado.

• Sintaxe do Protocolo da Camada MAC
A figura abaixo apresenta os formatos dos quadros MAC. Quando
uma estação não está transmitindo mensagens, deve transmitir 0s ou
1s, precedendo ou seguindo quadros válidos, de forma a evitar que o
anel fique sem transmissão durante um intervalo de tempo. Todo
quadro vai ter então de começar kcom um campo delimitador SD de
um octeto, que possui o padrão JK0JK000, onde J e K são símbolos
da codificação Manchester.

1. Informação
SD AC FC DA SA DADOS FCS ED FS

2. Permissão
PPP T M RRR
SD AC ED

3. Aborto
SD ED


PROTOCOLO DE PADRÃO ANSI X3T9.5 (FDDI)
O grupo de trabalho ANSI X3T9.5 foi formado, em 1980, com a
finalidade de desenvolver uma rede alto desempenho de propósito geral.
A idéia de desenvolver uma interface de dados de alta velocidade baseada
no uso de fibra ótica foi trazida ao X3T9.5 no encontro de outubro de
1982. Em junho de 1983, as primeiras propostas para os níveis físico
(PHY) e de acesso (MAC) foram submetidas. Nascia o FDDI, que adotou
a estrutura do projeto IEEE 802 para redes locais. A escolha de fibra ótica
como meio de transmissão era justificada pela alta taxa de transmissão:
100 Mbps. A escolha da arquitetura em anel era justificada pela facilidade
de ligação ponto a ponto em fibra ótica e pelo excelente desempenho
oferecido pelo anel com passagem de permissão (token ring multipletoken),
uma variação do padrão IEEE 802.5 para a velocidade de 100
Mbps.

Esta seção é dedicada ao estudo dos níveis Físico e MAC da rede
FDDI, que optou por utilizar a camada LLC tal como definida pelo
padrão IEEE 802.2.

Em junho de 1984, reconhecendo que a tecnologia de fibra ótica ainda
não estava suficientemente amadurecida e que partes críticas do conjunto
de protocolos FDDI dependiam de definições do protocolo de nível
físico, o grupo de trabalho X3T9.5 resolveu dividir o nível físico em duas
partes: a subcamada superior PHJY e a subcamada inferior PMD, esta
última mais ligada às características físicas do meio de transmissão e a
primeira mais independente. No final de 1984, reconheceu-se a
necessidade de um protocolo em separado para o gerenciamento da
estação (SMT), o quarto protocolo do conjunto de protocolos que compõe
a arquitetura FDDI básica.

Em novembro de 1986, o protocolo MAC foi aprovado como padrão
ANSI X3.139-1987. Nesse mesmo ano, começaram os projetos para a
definição do protocolo de nível físico PMD, e os primeiros circuitos
integrados foram anunciados pela Advanced Micro Devices. Em 1988, os
primeiros Cis tornaram-se disponíveis e começaram a aparecer os
primeiros produtos. Também em 1988, o protocolo para o nível físico
PHY foi aprovado como padrão ANSI X3.148-1988. Em 1989, os
protocolos MAC e PHY foram publicados como padrões internacionais
ISO9314-2 [ISO 89d] e ISO 9314-1 [ISO 89e], respectivamente.
Hoje, padronizados em estudo e projeto, encontramos: os níveis MAC,
PHY, PMD, SMT, já mencionados, os níveis MAC-2 e PHY-2 (melhoras
introduzidas no MAC e PHY), o controle híbrido para o anel FDEDI II,
ou seja o HRC, e a utilização de outros meios físicos com a respectiva
definição de seus protocolos: fibra ótica monomodo (SMF-PMD) para
atingir maiores distâncias, fibra ótica de baixo custo (LCF-PMD), para
trançado (TP-PMD) e o mapeamento do nível físico no padrão SONET
(SPM).


PROTOCOLO PADRÃO 802.6 (DQDB)
O grupo de trabalho IEEE 802.6 foi formado no final de 1981, pela
necessidade, levantada pelas companhias de comunicação de dados via
satélite, da definição de um padrão para transporte de dados a alta
velocidade dentro de uma região metropolitana, Em 1983 as indústrias de
satélite abandonaram o projeto e, em 1984, a primeira proposta para uma
rede de alta velocidade apresentada (IEEE 792.6-1) pela Burroughs. No
encontro de agosto de 1986, devido a uma reorganização da Burroughs, o
projeto foi abandonado. O projeto foi retomado em setembro de 1986
com a apresentação de uma nova proposta (IEEE 802.6-2) pela Integrated
Networks Corporation e Hasler AG, com contribuições da BellCorre,
AT&T Bell Labs e Plessey. A proposta usava uma estrutura FDDI para a
transmissão de dados não isócronos, multiplexada com a estrutura
isócrona da proposta anterior. Paralelamente foi apresentado ao comitê
uma terceira proposta, denominada QPSX (Queued Packet and
Synchronous circuit eXchange), pela Telecom da Austrália. No final de
1987 o grupo IEEE 802.6 resolveu optar pela terceira proposta que já
então era chamada de DQDB (Distributed Queue Dual Bus). Em 1988 as
primeiras redes experimentais foram anunciadas (por exemplo, Bell
Atlantic). Em 1989, devido a problemas de equiidade, a opção de
balanceamento de banda passante (BWB) foi incorporada à proposta de
padrão. Em 1990 foram iniciados vários projetos de redes experimentais
(Nynex, US West etc.), algumas das quais já se encontram em pleno
funcionamento e disponíveis comercialmente.


ARQUITETURA TCP/IP
Patrocinado pela Advanced Research Projects Agency (DARPA),
oferecem serviço orientado a conexão, e serviço não orientado à conexão
(TCP - Transmission Control Protocol , IP - Internet Protocol).
O corpo técnico que coordena o desenvolvimento de protocolos dessa
arquitetura é um comitê denominado IAB (Internet Activity Board ) . O
IAB é formado por pesquisadores tendo a maioria deles projetado e
implementado os protocolos da arquitetura Internet.
Para que um protocolo se torne um padrão Internet é necessário
documentá-lo através de uma RFC (Request For Comments). As RFCs
podem ser obtidas por qualquer pessoa conectada à Internet. Da análise
das RFCs surgem sugestões, e novas versões do protocolo podem ser
elaboradas.

A arquitetura Internet TCP/IP dá ênfase toda especial à interligação de
diferentes tecnologias de redes. Portanto, a única forma de permitir que
um grande volume de usuários possa trocar informações é interligar as
redes às quais eles estão conectados, formando assim uma inter-rede.
Para interligar duas redes distintas é necessário conectar uma máquina
a ambas as redes, denominada internet gateway ou internet router. Tal
máquina fica responsável pela tarefa de transferir mensagens de uma rede
para outra.

Os usuários vêem a inter-rede como uma rede virtual única à qual todas
as máquinas estão conectadas, não importando a forma física de
interconexão.

. No nível de aplicação, os usuários usam programas de aplicação
para acessar os serviços disponíveis na inter-rede. As aplicações
interagem com o nível de transporte para enviar e receber dados.
Algumas aplicações disponíveis na internet TCP/IP são:

1. Simple Mail Transfer Protocol (SMTP), oferece um serviço storeand-
forward para mensagens que carregam correspondências
contendo textos.

2. File Transfer Protocol (FTP), fornece o serviço de transferência de
arquivos .

3. TELNET, que oferece um serviço de terminal virtual .

4. Domain Name System (DNS), que oferece um serviço de
mapeamento de nomes em endereços de rede.

. A função básica do nível de transporte é permitir a comunicação
fim-a-fim entre aplicações.

Os seguintes serviços são fornecidos:
1. Controle de erro
2. Controle de fluxo
3. Seqüencialização
4. Multiplexação do acesso ao nível inter-rede

O nível inter-rede é o responsável pela transferência de dados através
da inter-rede, desde a máquina de origem até a máquina de destino,
recebendo pedidos do nível de transporte para transmitir pacotes que, ao
solicitar a transmissão, informa o endereço da máquina onde o pacote
deverá ser entregue. O pacote é encapsulado em um datagrama IP, e o
algoritmo de roteamento é executado para determinar se o datagrama
pode ser entregue diretamente ou se deve ser repassado para um gateway.
Com base no resultado da avaliação do algoritmo de roteamento, o
datagrama é passado para a interface de rede apropriada para então ser
transmitido.

A arquitetura Internet TCP/IP não faz nenhuma restrição às redes que
são interligadas para formar a inter-rede . Portanto, qualquer tipo de rede
pode ser ligada, bastando para isso que seja desenvolvida uma interface
que compatibilize a tecnologia específica da rede com o protocolo IP .
Essa compatibilização é a função do nível de interface de rede.


CONCLUSÃO
Os protocolos dos níveis inferiores em redes locais se distinguem pelo
fato de que devem tirar proveito das características de alto desempenho,
baixo retardo e pequena taxa de erro do sistema de comunicação. Esta
seção visa especificamente o conjunto de regras para acesso ao meio
físico, que é uma das funções do nível de ligação do modelo OSI.
Os protocolos de acesso ao meio foram desenvolvidos na maioria dos
casos para uma topologia particular de rede, no entanto devemos notar
que muitas das estratégias de controle podem ser usadas em qualquer
topologia, embora às vezes sejam mais adequadas a uma topologia
particular.

Na avaliação de protocolos de controle de acesso, atributos específicos
podem ser usados, tais como: capacidade, equidade ou justiça (fairness),
prioridade, estabilidade em sobrecarga e retardo de transferência.
Capacidade é a vazão máxima que o método de acesso pode tirar do
meio, em percentagem da banda passante disponível. A taxa de
transmissão, comprimento da rede, número de nós, tamanho do quadro,
tamanho do cabeçalho e o retardo em cada estação (filas de espera,
retransmissão, etc.) são algumas das variáveis que afetam a capacidade.
Justiça no acesso é desejável na maioria das redes, a fim de permitir às
estações o acesso aos recursos compartilhados. Justiça não implica em
ausência de prioridade de acesso. Implica simplesmente que a estação
deverá ser tratada com igualdade dentro de sua classe de prioridade.
O acesso com prioridade é desejável em várias aplicações,
principalmente naquelas que envolvem controle em tempo real.
Estabilidade é uma característica importante em aplicações onde o
carregamento da rede é pesado. Protocolos de acesso que alocam
intervalos separados para cada nó são bastante estáveis e não exibem
grandes variações de retardo. Esquemas baseados em contenção têm sua
estabilidade bastante dependente da realização, exigindo sofisticações no
tratamento de conflitos para tornar o protocolo mais restável.
Retardo de transferência é a soma dos retardos de acesso e de
transmissão. O retardo de transferência é na grande maioria dos casos,
senão em todos, uma variável aleatória. No entanto, em alguns
protocolos, o maior valor que o retardo de transferência pode assumir é
limitado.

Determinadas funções do protocolo de enlace estão algumas vezes
diretamente relacionadas com o tipo de acesso ao meio, e devem ser
levadas em conta na comparação desses diversos tipos. Dentre essas
funções podemos citar a detecção de erro, o reconhecimento do
recebimento, a transparência da informação, a sequenciação dos dados e o
controle do fluxo de dados.

Os métodos de acesso podem ser divididos em dois grandes grupos: os
métodos baseados em contenção e os de acesso ordenado sem contenção.

[Diffident]

Teoria de Protocolos

• Point to Point Protocol – é um protocolo que
permite transmitir pacotes de dados que trafegam
em linhas seriais. É usado para transportar
protocolos de níveis superiores sobre WAN’s ponto
a ponto.

• Possui as seguintes características:
• Possibilidade de transportar múltiplos protocolos;
• Maior segurança em conexões discadas (PAP, CAHP);
• Fácil configuração através de negociação de parâmetros
durante o estabelecimento da conexão.


Protocolo PPP Protocolo PPP

• Define uma disciplina de comunicação entre
equipamentos DTE(hosts, terminais, roteadores) e
uma rede de pacotes que pode ser pública ou
privada;

• De forma diferente das tecnologias ponto-a-ponto,
as redes de pacotes permitem que um equipamento
a elas conectado possa transmitir e receber dados
de vários equipamentos utilizando para isso um
único meio físico de comunicação.


Protocolo X.25 Protocolo X.25

• Tinha a tarefa inicial de oferecer um serviço
agregado de rede de pacotes às redes ISDN
(Integrated Digital Services Network), porém, teve
desenvolvimento próprio dada sua eficiência no
transporte de dados;

• O protocolo Frame-Relay possibilita o uso de
interfaces com velocidade nominais superiores às
utilizadas nas redes X.25, podendo operar desde
19200 até circuitos T1 (1,5 Mbps) ou E1 (2 Mbps).


Protocolo Protocolo Frame Frame-Relay Relay

• Asynchronous Transfer Mode é uma tecnologia de
transmissão e comutação de dados que pode ser
usada em aplicações de natureza e requisitos de
performance distintos, desde as de tempo real (voz
e vídeo) até as de transmissão de dados entre
computadores;

Protocolo ATM Protocolo ATM

• Routing Information Protocol – protocolo de
roteamento originariamente desenvolvido pela
Xerox PARC Universal, chamado anteriormente de
GWINFO e adaptado para o XNS (Xerox Network
Systems);

• Protocolo de roteamento popular, amplamente
adotado por fabricantes de PC, para uso em
produtos de interconexão de redes.

Protocolo RIP Protocolo RIP

• Open Short Path First – protocolo de roteamento
desenvolvido para redes IP pelo grupo de trabalho
IGP (Interior Gateway Protocol);

• Foi criado baseado no algoritmo SPF – shortest
path first para emprego na Internet, pelo fato do RIP
ter sido, em meados dos anos 80, incapaz de
atender a grandes e heterogêneas interconexões
de redes.

Protocolo OSPF Protocolo OSPF

• Border Gateway Protocol – os Exterior Gateway
Protocols foram designados para rotear entre domínios
de roteamento. Na terminologia da Internet, o
roteamento entre domínios é chamado de AS
(Autonomous System).

• O primeiro Exterior Gateway Protocol a avançar e ter
aceitação na Internet foi o EGP, porém, possuía várias
fraquezas, incluindo o fato de ser mais um protocolo de
reachability que um protocolo de roteamento.
• O BGP representa uma forma de resolver problemas
mais sérios do EGP.


Protocolo BGP Protocolo BGP

• Interior Gateway Routing – é um protocolo de
roteamento desenvolvido em meados dos anos 80 pela
Cisco

• O objetivo principal era prover um protocolo robusto
para roteamento em um AS com topologia complexa e
consistindo de meios com diversas características de
banda e atraso.

• O EIGRP foi criado em 1990, para complementar a
eficiência do IGRP.


Protocolo IGRP e EIGRP Protocolo IGRP e EIGRP
Teoria de Protocolos de Tunelamento Teoria de Protocolos de Tunelamento

• Envio de porções específicas do tráfego através de túneis,
que simulam a conexão ponto-a-ponto requerida para a
transmissão de pacotes através da rede pública,

• Permite tráfego de dados de várias fontes para diversos
destinos em uma mesma infra-estrutura;

• Permite trafegar diferentes protocolos em uma mesma infraestrutura
a partir de encapsulamento;

• Permite garantia de QoS pois o tráfego de dados pode ser
direcionado para destinos específicos.

Teoria de Protocolos de Tunelamento Teoria de Protocolos de Tunelamento
Protocolo de tunelamento Ponto-a-Ponto – permite a
transferência segura dos dados de um cliente remoto a um
usuário criando uma VPN através das redes baseadas em
TCP/IP;

• O tunelamento é criado a partir de uma conexão PPP, onde
o servidor PPTP cria uma nova conexão, contendo dados
encapsulados dentro do protocolo PPP;

• O PPTP encapsulado, encripta e comprime os pacotes PPP
e os transmite através do datagrama IP para a Internet, aonde
chegam até o servidor PPTP. O servidor PPTP desmonta o
datagrama IP em um pacote PPP e então decodifica o pacote
que contém o protocolo utilizado na rede interna da empresa,
como os protocolos TCP/IP, IPX/SPX e o NETBEUI.


Protocolo PPTP Protocolo PPTP

• Generic Routing Protocol – os túneis configurados a
partir deste protocolo são configurados entre roteadores
de origem e roteadores de destino, respectviamente;

• Os pacotes a serem enviados são encapsulados em
um pacote GRE (com um header) onde existe o
endereço IP do roteador de destino. Ao chegar ao
roteador de destino, os pacotes são desencapsulados
(retirados os headers GRE), onde os pacotes seguem
seu caminho destinado pelo endereço contido no header
original.


Protocolo GRE Protocolo GRE

• Layer Two Tunneling Protocol - modelo de
tunelamento "compulsório", ou seja, criado pelo
provedor de acesso, não permitindo ao usuário
qualquer participação na formação do túnel (o
tunelamento é iniciado pelo provedor de acesso);

• Neste modelo, o usuário disca para o provedor de
acesso à rede e, de acordo com o perfil configurado
para o usuário e ainda, em caso de autentificação
positiva, um túnel L2TP é estabelecido
dinamicamente para um ponto pré-determinado,
onde a conexão PPP é encerrada.


Protocolo Protocolo L2TP L2TP

• Internet Protocol Security - O IPSec é um protocolo
padrão de camada 3 projetado pelo IETF que oferece
transferência segura de informações fim a fim através de rede
IP pública ou privada;

• Essencialmente, ele pega pacotes IP privados, realiza
funções de segurança de dados como criptografia,
autenticação e integridade, e então encapsula esses pacotes
protegidos em outros pacotes IP para serem transmitidos. As
funções de gerenciamento de chaves também fazem parte
das funções do IPSec.

[Diffident]

Segurança de Rede

Introdução
Toda empresa já sentiu os benefícios da rede: processos internos mais rápidos, comunicações
dinâmicas, produtividade aumentada para usuários remotos e móveis, e a conquista real de um
mercado global. Assim que a empresa compreende o poder do comércio pela Internet, dos
recursos de um escritório virtual e da resposta imediata de um escritório remoto, a sua
demanda por acesso aumenta. As tendências-chave que levam ao crescimento espantoso da
Internet como ferramenta de negócios inclui:
Força de Trabalho Crescendo Constantemente
As empresas estão dependendo cada vez mais do seu quadro de pessoal móvel para
continuarem competitivas. O pessoal de vendas precisa ter acesso rápido a arquivos
corporativos. Muitas vezes o vendedor de sucesso é aquele que pode processar uma proposta
ou um pedido com rapidez, sem ter que esperar pelo correio. Nossa economia global exige
funcionários capazes de conduzir os negócios de qualquer lugar, a qualquer hora. Outros
funcionários, incluindo funcionários remotos e contratados, demandam ambiente de trabalho
flexível, no qual possam executar seus trabalhos da comodidade de um home Office (escritório
em casa).

Desenvolvimento das Extranets
É preciso haver uma interação on-line cada vez maior entre as empresas, seus fornecedores e
parceiros. A tecnologia baseada na Web, como navegadores e servidores, está se tornando um
meio comum para organizar e trocar informações. As indústrias se consolidam e formam
alianças, as extranets permitem que duas empresas compartilhem informações e colaborem
em seus projetos. Fazendo uso da Internet e tecnologias baseadas na Web, as empresas podem
fornecer serviços a clientes autorizados com facilidade, rapidez e sem grandes investimentos.
Necessidade de uma Alternativa para Linhas Arrendadas
Antes, empresas que desejassem estabelecer uma rede privada não tinham outra escolha senão
usar uma linha dedicada, que precisava ser arrendada de uma companhia telefônica. Pesquisas
recentes estimam que as empresas podem economizar até 70% sobre o custo das linhas
arrendadas (Pesquisa Forrester). A tabela seguinte compara as vantagens da VPN (Virtual

Linha arrendada tradicional Rede Virtual Privada
Despesas mensais com longa distância Pagamento só pelo uso real
Despesa significativa com equipamento –
bancos de modem separados,
adaptadores de terminais, servidores de
acesso remoto, etc.
Reduzido investimento em equipamento -
clientes/servidores, tokens (opcional)
A Interface pode ser de difícil
aprendizado e uso
Interface simplificada, familiar ao usuário
Incompatível com os sistemas de clientes,
fornecedores e parceiros confiáveis
Compatibilidade instantânea
O Risco com a Segurança Também Cresce
Quanto mais complexa se torna a rede, maior é o desafio para mantê-la segura. Com a
expansão contínua da infra-estrutura da Internet e computação móvel, multiplicam-se os pontos
de acesso a dados corporativos através da Internet e linhas de telefone dial-up. Cada ponto de
acesso representa uma possível vulnerabilidade que pode ser aproveitada para conseguir
acesso não autorizado à sua rede.
As ameaças dos hackers são lendárias, mas a realidade é ainda mais assustadora. Em um
recente estudo feito pela InternetWeek, 60% dos entrevistados declarou que foram acessados
de fora mais de 30 vezes. E os riscos são altos: estima-se que a perda de produtividade ou de
informação vital resultante dessas quebras de segurança custe aos negócios mais de $5 bilhões
por ano.

Proteger a propriedade intelectual e ao mesmo tempo permitir acesso transparente ao pessoal
autorizado é o dilema do CIO (Diretor-Chefe de Informação) e a dor de cabeça do
administrador da rede. Como se conectar com segurança à Internet? Como proteger dos
hackers, concorrentes e vândalos eletrônicos suas fontes de informação vital? Como se conectar
com segurança a outras organizações ou mesmo a outras sub-redes? Como ter certeza de que
somente pessoas autorizadas estejam acessando sua informação? Por onde começar?
O primeiro passo é formular uma política de segurança, identificando os principais recursos a
serem protegidos, e definir quem terá acesso aos mesmos. Este processo ajudará a estabelecer
objetivos de segurança e a fazer um plano para administrá-los. Este guia tratará de segurança
na Internet e do perímetro, delineando os pontos-chave de segurança que toda empresa precisa
seguir para ter uma conexão segura com a Internet, mas você precisa conceber uma estratégia
bem acabada que reúna as quatro categorias de proteção da informação: Avaliar, Proteger,

Habilitar e Gerenciar.
-- AVALIAR vulnerabilidades e assegurar o cumprimento da política.
-- PROTEGER sistemas de informações críticas.
-- HABILITAR o uso seguro da Internet.
-- GERENCIAR e administrar usuários e recursos.
S y m a n t e c d o B r a s i l - Av. Dr. Chucri Zaidan, 920 - 12 º andar - Market Place Tower
São Paulo – SP - CEP: 04583-904 - Tel.: (11) 5189 6200 Fax: (11) 5189 6210
[email protected]
Todo empreendimento – emergente ou multinacional estabelecido, tem necessidades de
segurança que vão além do acesso não autorizado através da rede pública. Conquanto ameaças
externas de hackers sejam bem reais, ataques de funcionários descontentes são na verdade
muito mais comuns e tipicamente mais prejudiciais. Desenvolver uma estrutura de segurança
significa mais do que implementar um perímetro forte e a defesa da Internet. Requer uma
abordagem de proteção tanto aos recursos vitais como de apoio às necessidades do negócio em
todos os níveis do empreendimento.


Segurança do Perímetro

Pense na sua rede corporativa como sendo sua fortaleza. Para protegê-la de invasores, você
precisa primeiro construir uma muralha impenetrável ao seu redor. Você abaixa e eleva a ponte
levadiça, permitindo a entrada somente daquelas pessoas que se identificaram corretamente
usando uma senha secreta. De tempos em tempos, você faz uma inspeção na fortaleza para
assegurar-se de que não há brechas ou buracos que possam ser utilizados por saqueadores
que pretendem ganhar acesso. E, por fim, você instala uma sentinela no topo da fortaleza para
manter uma vigilância contínua, soar o alarme quando da aproximação de problemas e disparar
flechas incendiárias para repelir intrusos astutos que se atrevem a escalar as muralhas da
fortaleza.

Primeiro Passo: Proteger o Perímetro com um Firewall
Impenetrável
Sua primeira linha de defesa dentro do empreendimento é proteger o acesso da e para a
Internet. Sem essa proteção, a porta aberta para a Internet também é a porta aberta para a sua
rede corporativa. Um Firewall efetivamente coloca uma barreira entre a rede corporativa e o
lado externo, protegendo o perímetro e repelindo hackers. O firewall age como um único ponto
de entrada, através do qual todo o tráfego que chega pela rede possa ser auditado, autorizado e
autenticado. Qualquer atividade suspeita – baseada em normas que você estabelece – dispara
um alerta.


Como escolher um Firewa l l
Na avaliação de um Firewall, é importante levantar todas essas questões:
Como são criadas as regras?
Oculta endereços de rede?
Suporta autenticação segura?
É multi-residente para proteger de ataques à Web e os servidores de correio da rede?
Filtra Java e ActiveX?
Como estabiliza o sistema operacional?
Pode lidar com todo o seu tráfego de rede sem sacrificar a segurança?
Fornece registro e alarme?
É fácil de usar?
Suporta softwares adicionais de relatório?
Fornece bloqueio de conteúdo?
É modular para acomodar futuras necessidades?
Firewalls de sites remotos e usuários móveis podem ser facilmente acrescentados?
É interoperável com outros produtos do mercado?



Tipos de Firewalls
Hoje em dia, há três tipos básicos de firewalls no mercado, cada um oferecendo diversos graus
de segurança e flexibilidade: roteadores, pacotes de sistemas stateful de filtragem, e proxy
firewalls em nível de aplicativo. Um simples roteador, conquanto barato, é inaceitável para a
maior parte das necessidades do negócio. Roteadores não podem proteger contra ataques em
nível de rede, tais como instrução enganosa de IP, roteamento de fonte, TCP SYB Flood, Ping of
Death ou outros ataques não relacionados com a autorização das conexões. Roteadores
também não oferecem o nível de flexibilidade e características de um firewall de total segurança
para a empresa, como capacidade de rede virtual privada, registro e autenticação. Sistemas
stateful examinam pacotes individuais imediatamente antes ou na camada da pilha de
protocolo. Isto acelera o processamento de regras e evita que pacotes não associados com
conexões já estabelecidas consigam atravessar. Em contrapartida, firewalls em nível de
aplicativo autorizam conexões e examinam o fluxo de dados, forçando todo o tráfego de rede a
passar por um aplicativo inteligente que é executado no sistema de firewall específico para esse
serviço (FTP, HTTP, SMTP, etc). Esta forma de proxy lhe dá controle sobre funções em nível de
aplicativo e fornece proteção contra ataques, prioridades absolutas para quase todas as
organizações. Enquanto muitos dos sistemas stateful incluem uma limitada tecnologia proxy, a
maioria não protege contra ataques incorporados no fluxo do aplicativo, como sobrecarga do
buffer e comandos de aplicativo inseguros ou ilegais. Firewalls em nível de aplicativo, por outro
lado, são projetados para frustrar os ataques incorporados mais sofisticados, incluindo aqueles
que transpõe múltiplos pacotes de rede.



Fatores a Considerar:
Interfaces de Rede
A maioria dos firewalls de aplicativos proxy é multi-residente, para criar uma separação física
entre a rede protegida e a rede não confiável. É desejável ter pelo menos três interfaces de rede
para proteger contra ataques a Web pública e servidores de correio desta rede. Alguns firewalls
podem se conectar diretamente à Internet através ISDN (Integrated Services Digital Network)
integrado ou conexões Frame Relay, eliminando a necessidade de um roteador externo
separado. Esta proteção confiável, inatacável, garante que tráfego não autorizado não passe pelo
Firewall.

Tradução e/ou Ocultamento de Endereços
Seu firewall deve ser capaz de traduzir os endereços IP de origem e/ou destino do seu endereço
original para outro diferente. A tradução é exigida por duas razões. A primeira é ocultar todos os
endereços internos da rede. Esconder os endereços assegura que potenciais atacantes tenham
pouca ou nenhuma informação sobre seus sistemas internos que pudesse ser usada para
atacá-los. A segunda é que a tradução ajuda a preservar o espaço do endereço. É muito difícil
conseguir uma escala completa de endereços registrados IPv4 da Internic. Através do
ocultamento/agrupamento de endereços, é possível usar somente alguns endereços registrados
para representar todos os sistemas de computação que estão atrás do firewall.


Em função do uso de proxies, firewalls em nível de aplicativo traduzem automaticamente todos
os endereços internos para um único endereço externo ou registrado. Firewalls de filtragem de
pacote precisam ser explicitamente programados para traduzir e/ou ocultar endereços, tarefa
essa monótona e tediosa.


Criação de Regras de Acesso
O firewall segue um conjunto de regras que você configura de acordo com a sua política de
segurança. Estas regras autorizam o reconhecimento e o fluxo de tráfego baseado no host e nos
endereços de rede, e outros parâmetros tais como uma escala de data e hora. A segurança do
seu firewall depende muito da sua habilidade de configurar apropriadamente estas regras. Se
você configurá-las incorretamente, pode inadvertidamente criar um buraco na segurança.
A maioria dos firewalls utilizam regras próprias, dependentes de ordens. É notoriamente fácil
configurar de maneira errada estes sistemas dependentes de ordens. Se o administrador não
for extremamente cuidadoso no estabelecimento da política, ou se posteriormente adicionar
dados, o ordenamento incorreto das regras pode abrir uma brecha séria na segurança. Alguns
firewalls empregam regras não dependentes de ordens, mais ajustadas, para simplificar
enormemente a criação de políticas e eliminar o risco de erro do operador. Regras de acesso
mais ajustadas eliminam a possibilidade de uma regra substituir e anular outra
inadvertidamente, criando um buraco na segurança. À medida que suas necessidades de
segurança crescem e se tornam mais complexas, este tipo de firewall apresenta flexibilidade
para adicionar regras de maneira simples e sem risco de desconfiguração. Sistemas
abrangentes mais ajustados são mais intuitivos e mais fáceis de gerenciar, resultando em um
sistema firewall mais seguro.


Estabilização do Sistema Operacional
Para dizer o mínimo, o seu firewall deveria oferecer alguma forma de estabilização do sistema
operacional quando o firewall for instalado. Idealmente, esta estabilização deve ser totalmente
automática, e não exigir grandes configurações manuais, o que aumenta o risco de erro do
operador. Alguns firewalls oferecem estabilização automática do sistema operacional na
instalação e durante o funcionamento. Estes firewalls monitoram o sistema operacional
continuamente para garantir o seu correto funcionamento.


Velocidade/Desempenho
O seu firewall age como um gateway para todas as comunicações de entrada e saída de sua
rede corporativa, autenticando usuários, codificando e decodificando mensagens e roteando-as
dentro da sua rede. O firewall precisa controlar rigidamente a segurança, ao mesmo tempo em
que controla o tráfego de centenas de usuários, sem desacelerar o tráfego de rede. Uma vez que
os firewalls de filtragem de pacotes não reconhecem toda e qualquer conexão, historicamente
eles apresentam desempenho um pouco melhor, sem sacrifício da segurança.


Autenticação
O seu firewall deve ser capaz de autenticar usuários que estão tentando se conectar com a sua
rede. A maneira mais simples é através de uma senha. Em alguns casos, não é possível
autorizar baseado somente no endereço IP (devido ao DHCP – Dynamic Host Configuration
Protocol) ou não é suficientemente seguro (devido a endereços IP externos facilmente
enganáveis). Um firewall pode fornecer autenticação para serviços tais como FTP, HTTP e Telnet
de maneira que somente usuários específicos ou grupos de usuários tenham permissão de
acesso de uma rede para outra.
Tokens de autenticação verificam a identidade e autorizam acesso aos usuários da rede de
acordo com a sua política. Estes esquemas geram uma nova senha a cada login para eliminar a
ameaça de ataques repetitivos de senha.


Registro
Um registro de cada tentativa de conexão ao ou através do firewall. Inclui as tentativas bem e
mal sucedidas. O registro dá ao administrador um relatório não confiável do que ocorreu.
Também pode ser usado para rastrear de que forma uma empresa está usando a Internet. Um
relatório adequado inclui itens tais como data/hora, endereços IP de origem e destino, nomes
de usuários, tipo de serviço (FTP, HTTP, etc.) e arquivos ou URLs transferidos. Alguns firewalls
têm capacidade para desabilitar o registro, o que é enfaticamente desencorajado, uma vez que
seria impossível reconstruir ou rastrear uma atividade de ataque quando esta ocorrer.


Alerta
O alerta é um mecanismo que notifica o administrador sempre que o firewall exige atenção. Isto
é feito tipicamente através de e-mail, pager, armadilhas no SNMP (Simple Network Mangement
Protocol) e/ou mudança de estado do sistema firewall, tocando arquivos de som ou mudando
as cores da tela. Qualquer firewall, na melhor das hipóteses, só pode suspeitar da ocorrência de
um ataque (se soubesse quando ocorreu a penetração, em primeiro lugar teria impedido o
ataque). O alerta é uma maneira de informar o administrador sobre atividade incomum ou
suspeita.
Serviços de Rede Virtual Privada
Os serviços de rede virtual privada permitem que empresas com várias fábricas/escritórios
estendam sua rede além dos limites físicos e forneçam comunicações seguras para o quadro de
venda móvel ou para escritórios remotos de filiais. Serviços VPN (Virtual Private Network)
integrados ao firewall facilitam o gerenciamento da política de segurança a partir de um local e
uma interface de usuário.


Adaptabilidade
Procure um firewall que se adapte totalmente às suas necessidades futuras, seja para uma
atualização do hardware, gerenciamento da segurança em um site remoto, adicionar um quadro
de vendedores móveis, ou interoperar com os sistemas de seus parceiros comerciais. Sistemas
não-patenteados que utilizam hardware e sistemas operacionais padrão, geralmente constituem
a melhor abordagem, permitindo reutilização quando o firewall precisar ser substituído. Procure
características de interoperabilidade, cruciais para a integração do seu sistema de firewall a
ambientes mistos. O cumprimento de padrões industriais assegura interoperabilidade com seus
fornecedores, clientes e sócios estratégicos aos quais você pode querer estender o acesso à
rede.


Bloqueadores de Conteúdo
A Internet fornece muita informação útil, que também favorece o mau uso. Alguns firewalls
oferecem mecanismos de bloqueio integrados, que permitem restringir a navegação de material
não produtivo ou questionável da Web ou grupos de notícias. Estes filtros permitem que você dê
aos seus funcionários o acesso à Internet de que necessitam, e ao mesmo tempo reforça as
políticas corporativas.


Segundo Passo: Verificar a Segurança do Perímetro
Quando o firewall estiver instalado e configurado, o próximo passo é testá-lo a fundo para ter
certeza que não foram inadvertidamente criados ou deixados buracos comprometedores ou
pontos fracos que poderiam ser explorados. Uma vez que redes são complexas e mudam com
freqüência, tais testes de penetração deverão ser executados rotineiramente.
Você poderia contratar um “tiger team” dispendioso para fazer os testes de penetração; você
pode fazer isto uma vez, mas certamente não poderá arcar com essa despesa todos os meses.
Uma ferramenta de sondagem (probe) é uma escolha mais eficiente e de custo mais baixo.
Ferramentas de sondagem verificam as formas comuns de penetração em redes e analisam o
risco de cada vulnerabilidade detectada. Algumas ferramentas de sondagem fazem verificação
automática de vulnerabilidade tanto do perímetro como da rede interna, avaliam riscos e até
fornecem conselhos abalizados com respeito aos problemas de segurança encontrados. Como
resultado, é possível localizar rapidamente buracos na rede e fechá-los, antes que os dados
sejam furtados ou danificados.


Como Escolher uma Ferramenta de Sondagem
Certifique-se que a sonda escolhida verifica vulnerabilidades não só de dentro do firewall, mas
também de fora, o que espelhará o ponto de vista do hacker acerca da vulnerabilidade da sua
rede. Escolha um verificador que empregue múltiplos protocolos – não somente IP – para
detectar recursos de rede vulneráveis, tais como NetWare, que pode ser acessado sem ser via
IP. Anteriormente, estes verificadores só eram capazes de sondar uma única caixa por vez. Hoje
em dia, já existem produtos sofisticados para testar múltiplos sistemas ao mesmo tempo,
revelando como vulnerabilidades pequenas podem ser exploradas em conjunto, criando um
importante risco de segurança.


Terceiro passo: Instalar uma Sentinela
Enquanto um firewall alerta sobre atividade suspeita, mas nada faz para interrompê-la. Tentar
revisar manualmente todos os arquivos de registro leva um tempo enorme e é uma batalha. A
instalação de um detector de invasão lhe concede uma medida de proteção adicional.
Um detector de invasão age como sentinela para guardar o perímetro e imediatamente detectar
e responder a ataques na rede. A principal função da detecção de intrusão não é impedir a
invasão, mas capturar a invasão e interrompê-la antes que algo possa acontecer. Algumas das
reações automáticas peculiares incluem notificação ao administrador de segurança, interrupção
da seção ofensiva, fechamento do sistema, desligamento de links da Internet, desativação de
usuários; ou a execução de um procedimento de comandos pré-estabelecidos. Detectores de
invasão oferecem proteção 24 horas por dia, 7 dias por semana.


Como Escolher uma Solução para Detecção de Invasão
Um método efetivo para detecção de invasão em tempo real é monitorar a atividade relacionada
à segurança que ocorre nos diversos sistemas e dispositivos que formam a rede. Enquanto a
maioria dos monitores de atividade vigiam as trilhas de auditoria do sistema operacional, as
ferramentas mais sofisticadas também:
Companham trilhas de auditoria de aplicativos, base de dados, servidores Web,
roteadores, firewalls, etc.
Monitoram arquivos críticos em busca de Trojans, modificações não autorizadas, etc.
Vigiam atividade da porta UDP (User Datagram Protocol) e TCP (Transfer Control
Protocol)
Aceitam armadilhas SNMP e gatilhos
Monitores de atividade em tempo real podem detectar ataques, tais como tentativas de acesso
não autorizado a arquivos, ou substituir um programa de login por uma nova versão.
Diferentemente dos farejadores (sniffers) de pacotes, podem detectar quando um usuário
obtém ilegalmente acesso de administrador ou de “raiz”. Quando uma atividade suspeita é
detectada, os monitores de atividade em tempo real podem tomar providências imediatas antes
que ocorram danos. A vantagem do monitoramento de atividade em tempo real está na sua
implementação perto dos dados e aplicativos críticos da missão. Monitoramento contra ataques
de dentro e de fora da rede se torna mais fácil, pois todos os dispositivos estão sendo vigiados.
Adicionalmente, muitos ataques no nível dos aplicativos e dos sistemas operacionais não são
discerníveis no nível do pacote e para sua detecção exigem monitoramento no nível de sistema.
Ao escolher um detector de invasão, procure um que possa ser gerenciado a partir de um
console central, e que ao mesmo tempo monitore as atividades de toda a rede. Eventos que
conseguem atravessar pelo dispositivo são então avaliados por um detector de invasão.
Atividades suspeitas de múltiplas posições na rede devem estar correlacionadas à medida que
ocorrem. Por exemplo, um invasor pode usar um programa de hacker para tentar adivinhar a
senha raiz em cem sistemas UNIX ao mesmo tempo.


O software precisa ter capacidade para detectar invasão, mesmo que as conexões de rede
estejam codificadas ou que os atacantes utilizem conexões dial-up diretas. O detector deverá
registrar atividades de segurança críticas em sistemas gerenciadores. Este procedimento
dificulta aos hackers encobrirem suas pistas, uma vez que a atividade está registrada em outro
sistema na rede – e não somente em uma trilha de auditoria local. Também centraliza e facilita
o gerenciamento de trilhas de auditoria. Por fim, como novos ataques estão sendo criados
diariamente, o detector de invasão deverá ser de fácil atualização para controlar novos cenários
regularmente. O fornecedor deverá publicar estes cenários na Web de maneira que você possa
copiá-lo e implementá-lo rapidamente por toda empresa.


Quarto Passo: Impedir Acesso Não Autorizado via Dial-Up
A última peça na segurança de perímetro é impedir acesso não autorizado à sua rede. Sem
autenticação, um hacker pode facilmente simular usuários legítimos para conseguir acesso à
rede corporativa. Como é possível garantir acesso dos usuários remotos aos recursos de que
necessitam para fazer o seu trabalho sem sacrificar a segurança da rede corporativa? Você
determina se o usuário é quem ele diz ser, solicitando alguma forma de autenticação. Hoje em
dia há dois tipos básicos de esquemas de autenticação em uso nos sistemas de operação,
servidores de comunicação, e firewalls:
Senha estática (hard-coded)
Autenticação de dois fatores (forte)
IDs e senhas estáticas tradicionais provaram ser inadequadas para autenticar usuários de modo
único. Senhas estáticas são facilmente conhecidas por terceiros, compartilhadas, adivinhadas e
quebradas. A obrigação do usuário de trocar regularmente suas senhas faz com que eles
escolham senhas de fácil conhecimento e risco. Em virtude do grande número de senhas a
serem lembradas, elas também podem ser anotadas e deixadas à vista. As senhas também
podem ficar comprometidas por ferramentas de hackers, tais como farejadores de senhas,
ataques de dicionário, etc. Com as senhas roubadas, fica fácil simular os usuários legítimos e
acessar os arquivos.


Autenticação de Doi s Fatores (Two -- Factor)
Sistemas de autenticação de dois fatores somente autenticam usuários, sem forçá-los a lembrar
uma nova senha. A autenticação de dois fatores é baseada na informação de algo de posse
exclusiva do usuário – um token – e algo de conhecimento exclusivo do usuário – um número
PIN para ativar o token. Este processo cria uma senha exclusiva para ser usada uma única vez,
que não pode ser adivinhada, compartilhada ou quebrada. Por essa razão, a autenticação de
dois fatores é altamente preferível a outros esquemas menos seguros.


Tokens de Software vs Tokens Portáteis
Tokens de software e tokens portáteis são igualmente seguros e cada um tem suas vantagens.
Tokens de software são ideais para usuários que empregam um único dispositivo para se
conectar na rede, enquanto que tokens portáteis são mais úteis a usuários que se conectam
com freqüência de diferentes posições e plataformas. Tokens portáteis podem ser facilmente
perdidos ou furtados e custam o dobro dos tokens de software. Por outro lado, os tokens de
software são mais fáceis de usar por serem transparentes para o usuário. Além disso, eliminam
a necessidade de carregar um token portátil separado. O laptop ou PC do usuário se transforma
em um token quando o token de software é ativado.


Segurança Internet & Extranet
Ao mesmo tempo em que o baixo custo e a disponibilidade da Internet a tornam uma atraente
ferramenta de negócios, ela é uma rede pública que não oferece segurança. As comunicações
pela Internet são extremamente arriscadas sem a tecnologia adequada. E-mail, arquivos e
senhas são facilmente interceptados por uma variedade de “farejadores” e ferramentas de
hackers. Na verdade, muitas ferramentas de hackers estão disponíveis na Internet
gratuitamente. Como você protege dados sensíveis de bisbilhoteiros enquanto eles viajam pela
Internet? Uma vez que a Internet pode ser usada como um meio para estender a sua rede
corporativa literalmente à qualquer lugar, com uma boa relação custo/benefício. Como você
pode estabelecer uma rede privada segura para seus múltiplos sites, usuários remotos, e
“guerreiros da estrada” distribuídos pelo mundo? Navegadores e servidores baseados na Web
permitem centralizar informações e serviços – como você pode estender um acesso seletivo a
seus parceiros comerciais, fornecedores e clientes, sem comprometer a segurança?


Primeiro Passo: Implementar uma Rede Virtual Privada
O que é uma Rede Virtual Privada?
A rede virtual privada combina autenticação com codificação de dados e autorização para
proteger a informação ao longo do seu trajeto pela Internet pública.
A tecnologia VPN:
1. Estabelece um túnel seguro entre o usuário remoto e a rede corporativa
2. Encapsula e codifica pacotes de dados
3. Autentica o usuário e autoriza acesso dos usuários aos recursos corporativos na rede.


Codificação
Antes da transmissão, os dados são codificados e encapsulados para protegê-los de
bisbilhoteiros. As informações destes pacotes codificados não podem ser visualizadas,
modificadas ou interceptadas de forma utilizável. Além disso, as informações interceptadas não
fornecem qualquer informação útil sobre o host protegido de uma rede corporativa. Ela utiliza
poderosos algoritmos de codificação, de padrão industrial, para garantir que os dados que
viajam pela Internet, WANs, redes de clientes ou Intranet não sejam interceptados. O produto
escolhido deve suportar um algoritmo de codificação forte, “forte” em relação à sensibilidade
dos seus dados. A maioria dos fornecedores oferece como opção uma chave de codificação de
40-bits. O comprimento da chave de 40-bits foi escolhido porque o governo dos Estados Unidos
permite exportar esta codificação sem controle de exportação. A codificação de 40 bits
interromperá crackers acidentais, mas não deve ser considerada forte.
Na codificação que utiliza o padrão Data Encryption Standard de 56 bits, ou DES, os algoritmos
são aproximadamente 65.000 vezes mais fortes do que os algoritmos de 40 bits. Apesar da
recente publicidade envolvendo o esforço coroado de êxito para invadir uma mensagem curta
DES, para a maioria dos propósitos o DES é considerado muito forte. Para uso nos Estados
Unidos e Canadá, podem ser utilizados algoritmos ainda mais fortes. De maneira geral, estes
algoritmos, tais como Triple-DES, utilizam comprimentos mais longos de chave para dar maior
proteção.


Segundo Passo: Identificar Quem Acessa a Informação
Produtos de rede virtual privada precisam fornecer um meio de garantir, ou autenticar, a
identidade do usuário. A autenticação tradicional depende de senhas estáticas ou reutilizáveis.
Estas senhas são facilmente obtidas pelos hackers e são, muitas vezes, deixadas à vista
anotadas em Post-Its, na agenda ou na carteira do usuário. A autenticação forte, ou de dois
fatores, apresenta o mais alto nível de segurança a acesso remoto, sem sobrecarregar os
usuários com senhas adicionais ou procedimentos de login. Além disso, fornece mecanismos de
alta confiabilidade para responsabilização do usuário. Quando entra a linha de comando, o
usuário digita seu PIN para abrir uma caixa de diálogo de autenticação forte, transparente entre
o usuário e a rede. Os dados trocados durante uma interação pedido de senha/resposta são
válidos apenas uma vez, e o PIN do usuário nunca é transmitido pela rede pública. Mesmo que
a troca seja interceptada por qualquer número de técnicas de hacking, não é mais válida para
acesso.

A autenticação é inútil se o seu usuário tentar tomar um atalho. Quanto mais fácil de usar,
maiores as chances de não ser contornado, comprometendo a segurança. Os melhores
esquemas de autenticação consolidam o número de passos sign-on, permitindo ao usuário
simplesmente entrar um ID e senha após o login em um laptop ou PC. O PIN do usuário é a
única exigência necessária para ativar um acesso remoto seguro. A autenticação forte, de dois
fatores, é executada de maneira transparente para o usuário final. A autenticação não é usada
somente para verificar a identidade de um indivíduo, mas para determinar a que recursos ele
terá acesso. Por exemplo, seus funcionários remotos e móveis podem ter acesso à mesma
quantidade de informações disponíveis para seus funcionários internos: informações
financeiras, sobre a concorrência e sobre produtos. Seus parceiros comerciais, por outro lado,
podem ter acesso somente a informações específicas relacionadas a um projeto conjunto, mas
precisam montá-las a partir de informações financeiras ou da concorrência. E você pode dar
aos seus clientes acesso exclusivo a serviços específicos baseados na Web, mas não a detalhes
confidenciais do seu negócio. Cada um desses usuários exige uma estratégia de segurança
diferente: remota, móvel e extranet.


Terceiro Passo: Controle de Acesso Remoto
Usuários remotos em várias filiais exigem o mesmo nível de segurança utilizado na sede
corporativa. Isto significa fortificar os seus perímetros com um firewall, fazendo verificações
rotineiras com uma ferramenta de sondagem, e instalando um detector de invasão de resposta
preventiva a invasores. Cada firewall pode ser ligado (linked) através da rede virtual privada.
Procure um firewall que ofereça soluções VPN integradas e suporte a múltiplos firewalls
remotos. Gerenciamento centralizado através do firewall corporativo oferece flexibilidade e
proteção máximas, além de economia. Os firewalls remotos oferecem, em princípio, um produto
com a mesma funcionalidade, menos a interface de gerenciamento.

Quarto Passo: Controle de Acesso Móvel
O software cliente da VPN é executado no laptop ou PC do usuário. O servidor pode estar
integrado a um firewall ou residir em um gateway que fica atrás do firewall. Há vantagens e
desvantagens em ambos. Software dependente de firewall garante compatibilidade do firewall
com o cliente VPN. VPNs múltiplos são gerenciados a partir de um console de firewall central.
Em contrapartida, software VPN independente de firewall é vantajoso para os gerentes de rede
com muitos tipos de firewalls incompatíveis e, por ser independente do firewall, não tem
impacto sobre o seu desempenho. VPNs múltiplos são gerenciados de maneira centralizada
através da interface de servidor VPN. O crescente número de laptops furtados preocupa muito.
De acordo com a Safeware Insurance, uma das maiores seguradoras de computadores, foram
comunicados os furtos de mais de 250.000 laptops em 1996, representando um aumento de
27% sobre 1995, e uma perda de mais de $800 milhões em bens de hardware e software.
Cada notebook de negócios contém informação proprietária, que varia de dados sobre contatos
com clientes a informações financeiras. Como é possível proteger as informações nos laptops de
usuários remotos? Os produtos VPN têm codificação de arquivos local para assegurar que os
dados do PC não possam ser vistos por usuários não autorizados. Arquivos sensíveis são
codificados e decodificados. Muitas soluções de codificação em desktop exigem codificação ou
decodificação dos dados a cada vez que determinado arquivo é acessado. Quase todos os
usuários, muitas vezes por pressa, não lembram de executar esse passo, deixando os dados
desprotegidos, apesar do software estar em seu laptop. Alguns produtos fazem isso
automaticamente, protegendo sem esforço os dados armazenados nos laptops dos atarefados
usuários finais. Arquivos recém-criados são automaticamente protegidos, não importando onde
os arquivos são criados e guardados (localmente, em servidores de arquivos, disquetes ou até
mesmo transmitidos por rede). A proteção de estações de trabalho inativas controla PCs
desacompanhados que são deixados ligados ou conectados à rede, exibindo o protetor de tela
do Windows após determinado período de tempo, requerendo do usuário um novo logon para
ganhar acesso ao sistema.


Quinto Passo: Acesso Remoto Seguro à Web
As empresas estão rapidamente implementando aplicativos baseados na Web como um meio
conveniente de publicar informações e acessar serviços corporativos, tornando-os disponíveis
em uma posição central. Os seus aplicativos Web fornecem acesso a informações empresariais
valiosas e são visitados com freqüência. Infelizmente, servidores Web são recursos críticos que
se tornam bons alvos para hackers internos. Como é possível estender o acesso aos seus
clientes, fornecedores e parceiros sem comprometer a segurança? Com uma audiência tão
diversificada acessando informações baseadas na Web, como é possível controlar e gerenciar
quem visita e que informações tem permissão para acessar? Conseguir controle de acesso
seguro e centralizado a informações baseadas na Web é particularmente desafiador, dadas as
limitações da atual tecnologia Web. Embora a combinação de um navegador e um servidor Web
constitui um veículo de comunicação poderoso, grande parte da atual tecnologia desenvolvida
para a Web, como por exemplo cookies, não foram projetados para segurança e escalabilidade.
Servidores múltiplos requerem autenticação e administração individuais, e múltiplos serviços
mantêm seus próprios meios de rastreamento e precisam ser gerenciados separadamente. Já
está disponível uma nova tecnologia de segurança de Web para fornecer administração baseada
na Web logo que a embalagem é aberta. As características que devem ser procuradas na
avaliação de tecnologia de segurança na Web incluem:



Escalabilidade
O sistema de controle de acesso a implementar deve ser independente da arquitetura do
aplicativo Web e possuir uma interface de administração centralizada fácil de usar. Isto permite
aos projetistas da Web reutilizar os aplicativos Web para fazer frente a exigências de expansão
sem ter que refazer a engenharia do sistema de controle de acesso. E também elimina a
necessidade de ter que se fazer um novo treinamento dos administradores do site.



Sign -- on único para controle de acesso seguro
Para ser um controle de acesso seguro, a arquitetura de uma ferramenta deve incluir um
servidor central para solicitar credenciais aos usuários e ratificar métodos de autenticação
existentes ou diretórios de usuários por eles utilizados. Deverá fornecer um mecanismo para
administrar “tickets” (bilhetes de entrada) para transportar a informação de autorização do
usuário e não requerer autenticação posterior.
O usuário precisa de um navegador padrão Web e, uma vez que as comunicações ocorrem na
Internet, o administrador de segurança precisa ter a flexibilidade de codificar toda troca de
informação durante a autenticação.
Após a autenticação e do “bilhete de entrada” inicial, o usuário pode se movimentar dentro do
site da Web e acessar o conteúdo permitido pelo administrador de conteúdo, sem necessidade
de autenticação adicional para aquela sessão. Todavia, se os “tickets” forem usados para
armazenar informação de acesso do usuário no navegador da Web, o sistema de controle de
acesso precisa lidar com dois problemas de segurança. Primeiro, ele precisa impedir que algum
hacker, que pode ter conseguido um ticket “farejando” a rede, modifique este ticket para
conseguir acesso. Segundo, ele precisa garantir que o administrador possa especificar um dado
período de tempo para a validade deste ticket. A exposição da proteção da autenticação do
nome/senha do usuário pode ser evitada com o uso de ferramentas que requerem apenas um sign-on para acessar aplicativos Web. O risco do usuário armazenar múltiplas senhas difíceis de
lembrar em posições não seguras fica assim eliminado (por exemplo em blocos de notas
próximos aos seus computadores ou em suas agendas), onde podem ser facilmente localizados
e “furtados”. Ademais, utilizar ferramentas que requerem validação da senha apenas no início e
uma única vez, reduz o risco de hackers “farejarem” nomes e senhas de usuários quando estes
são transmitidos pela rede.


Gerenciamento de Segurança Centraliza do
Soluções que fazem controle centralizado podem suavizar estas frustrações para os gerentes e
usuários finais. Os administradores de segurança precisam de aplicativos de controle de acesso
que ofereçam uma interface gráfica de usuário (GUI) para selecionar métodos de autenticação,
configurar e gerenciar o acesso de usuários em um ou mais servidores Web. Ademais, como a
maioria das corporações também tem Webmasters e administradores de conteúdo separados
para cada servidor mais importante, o aplicativo de controle de acesso deve fornecer não
somente uma interface de administração de segurança centralizada, mas também permitir aos
administradores de conteúdo separados aplicar os diretórios específicos de proteção de acesso
e conteúdo que eles gerenciam. Isto é particularmente importante, uma vez que o conteúdo da
Web é, em geral, extremamente dinâmico e os privilégios consignados aos usuários não são
estáticos.


Interoperabilidade
Ao selecionar ferramentas de proteção de acesso à Web, devem ser consideradas aquelas que
oferecem suporte multi-plataforma. Uma ferramenta deve oferecer controle de acesso
centralizado para servidores Web NT e UNIX, protegendo desta forma conteúdo baseado em
UNIX com credenciais de domínio NT. À medida que o seu site na Web se tornar ainda mais
bem sucedido, serão adicionados novos serviços e o tráfego irá aumentar. Você precisa de uma
solução que se adapte às suas crescentes necessidades. Abordagens tradicionais falham em um
ambiente de plataforma cruzada. Dependem de servidores Web, Secure Socket Layer (SSL),
codificação e programação de aplicativos que muitas vezes degradam e restringem a utilização
de aplicativos Web e podem abrir – em vez de fechar – a porta para acesso não autorizado.
Escolha uma tecnologia de segurança da Web que se instale e se integre totalmente com as
plataformas e infraestruturas de segurança existentes, utilizando padrões de segurança e
protocolos Web para comunicação entre componentes.


Suporte de Sistema de Múltipla Autenticação
Usuários devem ter flexibilidade para exigir senhas tradicionais reutilizáveis para autenticação
ou requerer autenticação forte de token antes de acessar os serviços da Web.


Soluções de Segurança Symantec
As organizações estão modificando suas maneiras de fazer negócios. Com o advento da
Internet, elas estão mudando das tradicionais paredes físicas de uma corporação, para uma
corporação “virtual”. E conforme as organizações modificam seus modelos para alavancar os
benefícios de e-business e e-commerce, a segurança da rede se torna um facilitador de
negócios. As soluções de e-security da SYMANTEC são a resposta para ajudar os clientes a
fazerem frente às novas necessidades de adaptação a novos modelos de negócios. E-security é
a capacidade de gerenciar riscos de bens de informação e facilitar processos de negociação
com segurança, ajudando os clientes a maximizarem vantagens de negócio. Como parceiro de
segurança confiável a SYMANTEC fornece e-security para avaliar, proteger, habilitar e gerenciar
processos de negócio e bens de informação através da nossa abordagem exclusiva Lifecycle
Security. Para ajudar a identificar necessidades de segurança e implementar soluções de
segurança práticas, a SYMANTEC desenvolveu o modelo Lifecycle Security_Model. Este modelo
elimina hipóteses, oferecendo uma abordagem estruturada para projetar, implementar e
gerenciar a segurança em todo o seu empreendimento.
Como chave do Lifecycle Security Model, a SYMANTEC oferece soluções Lifecycle Security para:
-- AVALIAR vulnerabilidades e assegurar o cumprimento da política
--PROTEGER sistemas de informações críticas
-- HABILITAR o uso seguro da Internet.
-- GERENCIAR e administrar usuários e recursos.


Avaliar
O primeiro passo para reduzir ativamente riscos corporativos é medir eficazmente o
cumprimento de uma política de segurança da empresa e avaliar vulnerabilidades inerentes a
informações críticas. É importante entender a eficácia de uma política de segurança, agora e à
medida que muda com as necessidades da empresa, de maneira a poder definir, gerenciar e
impor políticas de negócio e avaliar possíveis ameaças.
Enterprise Security Manager™
O ESM é uma solução de gerenciamento de segurança em nível empresarial que define,
gerencia e impõe sua política de segurança da informação. O Enterprise Security Manager
verifica ativamente vulnerabilidades de segurança em todo o empreendimento, avalia riscos de
segurança, e controla de forma centralizada os parâmetros de segurança de mais de 55
plataformas.


NetRecon ™
O NetRecon é uma ferramenta de terceira geração para análise de risco e vulnerabilidade de
rede que descobre relatórios e explora buracos na segurança da rede. Diferentemente de
“scanners de segunda geração” mais velhos, o NetRecon aplica uma tecnologia exclusiva, de
patente pendente, que opera com uma abordagem de colaboração de um “tiger team”.

Proteger
As organizações precisam proteger as informações contra usuários indesejados e hackers e
controlar o acesso às informações para manter a integridade do negócio. Equilibrar essas
necessidades requer um conjunto de soluções que protejam os dados de dentro do perímetro,
verifiquem e detectem ataques ao perímetro e controlem o acesso à informação, para assegurar
aos clientes que os dados proprietários estão seguros.

Intruder Alert
O Intruder Alert detecta e reage a quebras na segurança e atividades suspeitas de fora do
perímetro, assim como de dentro. O Intruder Alert monitora sistemas e redes em tempo real
para detectar quebras na segurança e atividades suspeitas e reage automaticamente, de acordo
com a política de segurança estabelecida. Funciona por todo o empreendimento, incluindo
LANS, WANs, intranets e a Internet.

NetProwler™
O NetProwler oferece detecção dinâmica de invasão à rede que examina de forma transparente
o tráfego da rede para instantaneamente identificar, se conectar e finalizar o uso não
autorizado, mal uso ou abuso de sistemas de computadores por sabotadores internos ou
hackers externos. O seu processador virtual SDSI, de patente pendente, possibilita o
desenvolvimento imediato de assinaturas de ataque personalizadas para terminar até mesmo as
mais sofisticadas violações de segurança.

Symantec Enterpri se Firewall
O Symantec Entreprise Firewall combina o mais alto nível de segurança de perímetro disponível
com o desempenho, interoperabilidade, escalabilidade e facilidade de uso para ir de encontro
aos objetivos do seu negócio. Este premiado firewall oferece segurança empresarial centralizada
e em tempo real por toda Internet, intranets, computação móvel e sites remotos, para dar aos
usuários autorizados acesso total e seguro à rede. Symantec Entreprise Firewall inclui o
primeiro e único servidor VPN certificado IPSec™ para Windows NT®.

Habilitar
A Internet é um recurso fundamental que faculta às organizações uma comunicação mais
eficiente, uma redução nos custos com telecomunicações e provê informações em tempo
oportuno. É crítico entregar informações a funcionários, parceiros e clientes pela Internet sem
comprometer a segurança desta informação. A Internet pode ajudar a viabilizar novas
oportunidades de negócio e reduzir custos operacionais.

Defender
O Defender ajuda a reduzir o risco de invasões indesejadas através da Internet com seu sistema
de autenticação de dois fatores, que cria senhas de uso único que autenticam exclusivamente
usuários e concedem acesso por dial-up, ISDN, Internet e conexões Rede Local.

PassGo™ InSync
O InSync fornece sincronização de senha empresarial de maneira rápida e segura. O PassGo
InSync pode ser facilmente implementado, produzindo como benefício imediato o aumento da produtividade por meio da sincronização de senha de um único uso que pode se estender à
múltiplos sistemas, servidores, redes e aplicativos.

PassGo SSO
O PassGo SSO dá ao usuário um único ponto de acesso às informações críticas da empresa.
PassGo SSO é uma solução de administração flexível, totalmente personalizável, que confirma
as credenciais do usuário com o Authentication Service (Serviço de Autenticação), que é usado
por todas as plataformas para controlar acesso à rede e aos aplicativos.
WebDefender™
O WebDefender fornece controle de acesso sign-on único e seguro através de um número
crescente de aplicativos Web e servidores Web da empresa. O WebDefender centraliza o
gerenciamento da autenticação e autorização do usuário final, para reduzir o custo de
implementação dos seus aplicativos Web.

Soluções VPN
As Soluções VPN da Symantec conectam com segurança usuários remotos, escritórios de filiais
e terceiros aos aplicativos e dados da sua rede corporativa. Ao contrário dos produtos VPN
tradicionais, que oferecem somente sessões codificadas, as soluções VPN da SYMANTEC
permitem ao gerente da rede controlar, colocar na tela e definir minuciosamente quando e qual
informação uma pessoa tem permissão para acessar.

[Diffident]

Redes e Roteamento de Modens


Introdução ao Protocolo IP
Uma visão geral do protocolo TCP/IP
Para que os computadores de uma rede possam trocar informações entre si é
necessário que todos os computadores adotem as mesmas regras para o envio e o
recebimento de informações. Este conjunto de regras é conhecido como Protocolo de
comunicação. Falando de outra maneira podemos afirmar: “Para que os computadores
de uma rede possam trocar informações entre si é necessário que todos estejam
utilizando o mesmo protocolo de comunicação”. No protocolo de comunicação estão
definidas todas as regras necessárias para que o computador de destino, “entenda” as
informações no formato que foram enviadas pelo computador de origem. Dois
computadores com diferentes protocolos instalados, não serão capazes de estabelecer
uma comunicação e nem serão capazes de trocar informações.

Antes da popularização da Internet existiam diferentes protocolos sendo utilizados nas
redes das empresas. Os mais utilizados eram os seguintes:

•TCP/IP
•NETBEUI
•IPX/SPX
•Apple Talk

Se colocarmos dois computadores ligados em rede, um com um protocolo, por
exemplo o TCP/IP e o outro com um protocolo diferente, por exemplo NETBEUI, estes
dois computadores não serão capazes de estabelecer comunicação e trocar
informações entre si. Por exemplo, o computador com o protocolo NETBEUI instalado,
não será capaz de acessar uma pasta ou uma Impressora compartilhada no
computador com o protocolo TCP/IP instalado.

À medida que a Internet começou, a cada dia, tornar-se mais popular, com o aumento
exponencial do número de usuários, o protocolo TCP/IP passou a tornar-se um padrão
de fato, utilizando não só na Internet, como também nas redes internas das empresas,
redes estas que começavam a ser conectadas à Internet. Como as redes internas
precisavam conectar-se à Internet, tinham que usar o mesmo protocolo da Internet,
ou seja: TCP/IP.

Dos principais Sistemas Operacionais do mercado, o UNIX sempre utilizou o protocolo
TCP/IP como padrão. O Windows dá suporte ao protocolo TCP/IP desde as primeiras
versões, porém, para o Windows, o TCP/IP somente tornou-se o protocolo padrão a
partir do Windows 2000. Ser o protocolo padrão significa que o TCP/IP será instalado,
automaticamente, durante a instalação do Sistema Operacional, se for detectada a
presença de uma placa de rede. Até mesmo o Sistema Operacional Novell, que sempre
foi baseado no protocolo IPX/SPX como protocolo padrão, passou a adotar o TCP/IP
como padrão a partir da versão 5.0.

O que temos hoje, na prática, é a utilização do protocolo TCP/IP na esmagadora
maioria das redes. Sendo a sua adoção cada vez maior. Como não poderia deixar de
ser, o TCP/IP é o protocolo padrão do Windows 2000, Windows Server 2003, Windows
XP e também do Windows Vista (a ser lançado em Fevereiro de 2007) e do Windows
Longhorn Server (com lançamento previsto para o final de 2007). Se durante a
instalação, o Windows detectar a presença de uma placa de rede, automaticamente
será sugerida a instalação do protocolo TCP/IP.

Nota: Para pequenas redes, não conectadas à Internet, é recomendada a adoção do
protocolo NETBEUI, devido a sua simplicidade de configuração. Porém esta é uma
situação muito rara, pois dificilmente teremos uma rede isolada, sem conexão com a
Internet ou com parceiros de negócios, como clientes e fornecedores.

Agora passaremos a estudar algumas características do protocolo TCP/IP. Veremos que
cada equipamento que faz parte de uma rede baseada no TCP/IP tem alguns
parâmetros de configuração que devem ser definidos, para que o equipamento possa
comunicar-se com sucesso na rede e trocar informações com os demais equipamentos
da rede.

Neste caso cada computador da
rede precisa de, pelo menos, dois parâmetros configurados:

•Número IP
•Máscara de sub-rede

O Número IP é um número no seguinte formato:
x.y.z.w
ou seja, são quatro números separados por ponto. Não podem existir duas máquinas,
com o mesmo número IP, dentro da mesma rede. Caso eu configure um novo
equipamento com o mesmo número IP de uma máquina já existente, será gerado um
conflito de Número IP e um dos equipamentos, muito provavelmente o novo
equipamento que está sendo configurado, não conseguirá se comunicar com a rede. O
valor máximo para cada um dos números (x, y, z ou w) é 255.

Uma parte do Número IP (1, 2 ou 3 dos 4 números) é a identificação da rede, a outra
parte é a identificação da máquina dentro da rede. O que define quantos dos quatro
números fazem parte da identificação da rede e quantos fazem parte da identificação
da máquina é a máscara de sub-rede (subnet mask).

•Número IP:.........................................................10.200.150.1
•Máscara de Sub-rede: ..........................................255.255.255.0

As três primeiras partes da máscara de sub-rede (subnet) iguais a 255 indicam que os
três primeiros números representam a identificação da rede e o último número é a
identificação do equipamento dentro da rede. Para o nosso exemplo teríamos a rede:
10.200.150, ou seja, todos os equipamentos do nosso exemplo fazem parte da rede
10.200.150 ou, em outras palavras, o número IP de todos os equipamentos da rede
começam com 10.200.150.
Neste exemplo, onde estamos utilizando os três primeiros números para identificar a
rede e somente o quarto número para identificar o equipamento, temos um limite de
254 equipamentos que podem ser ligados neste rede. Observe que são 254 e não 256,
pois o primeiro número – 10.200.150.0 e o último número – 10.200.250.255 não
podem ser utilizados como números IP de equipamentos de rede. O primeiro é o
próprio número da rede: 10.200.150.0 e o último é o endereço de Broadcast:
10.200.150.255. Ao enviar uma mensagem para o endereço de Broadcast, todas as
máquinas da rede receberão a mensagem. Nas próximas partes deste tutorial,
falaremos um pouco mais sobre Broadcast.

Com base no exposto podemos apresentar a seguinte definição:
“Para se comunicar em uma rede baseada no protocolo TCP/IP, todo
equipamento deve ter, pelo menos, um número IP e uma máscara de subrede,
sendo que todos os equipamentos da rede devem ter a mesma máscara
de sub-rede”.

Nota: Existem configurações mais avançadas onde podemos subdividir uma rede
TCP/IP em sub-redes menores. O conceito de sub-redes será tratado, em detalhes, na
Parte 7.

No exemplo da figura anterior observe que o computador com o IP 10.200.150.7 está
com uma máscara de sub-rede diferente da máscara de sub-rede dos demais
computadores da rede. Este computador está com a máscara: 255.255.0.0 e os
demais computadores da rede estão com a máscara de sub-rede 255.255.255.0. Neste
caso é como se o computador com o IP 10.200.150.7 pertencesse a outra rede. Na
prática o que irá acontecer é que este computador não conseguirá se comunicar com
os demais computadores da rede, por ter uma máscara de sub-rede diferente dos
demais. Este é um dos erros de configuração mais comuns. Se a máscara de sub-rede
estiver incorreta, ou seja, diferente da máscara dos demais computadores da rede, o
computador com a máscara de sub-rede incorreta não conseguirá comunicar-se na
rede.

Na Tabela a seguir temos alguns exemplos de máscaras de sub-rede e do número
máximo de equipamentos em cada uma das respectivas redes.

Tabela: Exemplos de máscara de sub-rede.
Máscara Número de equipamentos na rede
255.255.255.0 254
255.255.0.0 65.534
255.0.0.0 16.777.214

Quando a rede está isolada, ou seja, não está conectada à Internet ou a outras redes
externas, através de links de comunicação de dados, apenas o número IP e a máscara
de sub-rede são suficientes para que os computadores possam se comunicar e trocar
informações.

A conexão da rede local com outras redes é feita através de links de comunicação de
dados. Para que essa comunicação seja possível é necessário um equipamento capaz
de enviar informações para outras redes e receber informações destas redes. O
equipamento utilizado para este fim é o Roteador. Todo pacote de informações que
deve ser enviado para outras redes deve, obrigatoriamente, passar pelo Roteador.
Todo pacote de informação que vem de outras redes também deve, obrigatoriamente,
passar pelo Roteador. Como o Roteador é um equipamento de rede, este também terá
um número IP. O número IP do roteador deve ser informado em todos os demais
equipamentos que fazem parte da rede, para que estes equipamentos possam se
comunicar com os redes externas. O número IP do Roteador é informado no parâmetro
conhecido como Default Gateway. Na prática quando configuramos o parâmetro
Default Gateway, estamos informando o número IP do Roteador.

Quando um computador da rede tenta se comunicar com outros
computadores/servidores, o protocolo TCP/IP faz alguns cálculos utilizando o número
IP do computador de origem, a máscara de sub-rede e o número IP do computador de
destino (veremos estes cálculos em detalhes nas próximas lições deste curso). Se,
após feitas as contas, for concluído que os dois computadores fazem parte da mesma
rede, os pacotes de informação são enviados para o barramento da rede local e o
computador de destino captura e processa as informações que lhe foram enviadas. Se,
após feitas as contas, for concluído que o computador de origem e o computador de
destino, fazem parte de redes diferentes, os pacotes de informação são enviados para
o Roteador (número IP configurado como Default Gateway) e o Roteador é o
responsável por achar o caminho (a rota) para a rede de destino.

Com isso, para equipamentos que fazem parte de uma rede, baseada no protocolo
TCP/IP e conectada a outras redes ou a Internet, devemos configurar, no mínimo, os
seguintes parâmetros:
•Número IP
•Máscara de sub-rede
•Default Gateway

Em redes empresarias existem outros parâmetros que precisam ser configurados. Um
dos parâmetros que deve ser informado é o número IP de um ou mais servidores DNS
– Domain Name System. O DNS é o serviço responsável pela resolução de nomes.
Toda a comunicação, em redes baseadas no protocolo TCP/IP é feita através do
número IP. Por exemplo, quando vamos acessar o site:
http://www.juliobattisti.com.br/, tem que haver uma maneira de encontrar o número
IP do servidor onde fica hospedado o site. O serviço que localiza o número IP
associado a um nome é conhecido como Servidor DNS. Por isso a necessidade de
informarmos o número IP de pelo menos um servidor DNS, pois sem este serviço de
resolução de nomes, muitos recursos da rede estarão indisponíveis, inclusive o acesso
à Internet.

Existem aplicativos antigos que são baseados em um outro serviço de resolução de
nomes conhecido como WINS – Windows Internet Name System. O Windows NT
Server 4.0 utilizava intensamente o serviço WINS para a resolução de nomes. Com o
Windows 2000 o serviço utilizado é o DNS, porém podem existir aplicações que ainda
dependam do WINS. Nestes casos você terá que instalar e configurar um servidor
WINS na sua rede e configurar o IP deste servidor em todos os equipamentos da rede.
Dica Importante: Em redes baseadas onde ainda existem clientes baseados em
versões antigas do Windows, tais como o Windows 95, Windows 98 ou Windows Me, o
WINS ainda é necessário. Sem o WINS, poderá haver erro no acesso a aos principais
recursos da rede, tais como pastas e impressoras compartilhadas.

As configurações do protocolo TCP/IP podem ser definidas manualmente, isto é,
configurando cada um dos equipamentos necessários com as informações do
protocolo, como por exemplo o Número IP, Máscara de sub-rede, número IP do Default
Gateway, número IP de um ou mais servidores DNS e assim por diante. Esta é uma
solução razoável para pequenas redes, porém pode ser um problema para redes
maiores, com um grande número de equipamentos conectados. Para redes maiores é
recomendado o uso do serviço DHCP – Dynamic Host Configuration Protocol. O serviço
DHCP pode ser instalado em um servidor com o Windows NT Server 4.0, Windows
2000 Server, Windows Server 2003 ou Windows Longhorn Server. Uma vez disponível
e configurado, o serviço DHCP fornece, automaticamente, todos os parâmetros de
configuração do protocolo TCP/IP para os equipamentos conectados à rede. Os
parâmetros são fornecidos quando o equipamento é inicializado e podem ser
renovados em períodos definidos pelo Administrador. Com o uso do DHCP uma série de
procedimentos de configuração podem ser automatizados, o que facilita a vida do
Administrador e elimina uma série de erros.

Dica Importante: Serviços tais como um Servidor DNS e um Servidor DHCP, só
podem ser instalados em computadores com uma versão de Servidor do Windows, tais
como o Windows NT Server 4.0, Windows 2000 Server, Windows Server 2003 ou
Windows Longhorn Server. Estes serviços não estão disponíveis em versões Clientes
do Windows, tais como o Windows 95/98/Me, Windows 2000 Professional, Windows XP
Professional ou Windows Vista.

O uso do DHCP também é muito vantajoso quando são necessárias alterações no
número IP dos servidores DNS ou WINS. Vamos imaginar uma rede com 1000
computadores e que não utiliza o DHCP, ou seja, os diversos parâmetros do protocolo
TCP/IP são configurados manualmente em cada computador. Agora vamos imaginar
que o número IP do servidor DNS foi alterado. Neste caso o Administrador e a sua
equipe técnica terão que fazer a alteração do número IP do servidor DNS em todas as
estações de trabalho da rede. Um serviço e tanto. Se esta mesma rede estiver
utilizando o serviço DHCP, bastará alterar o número do servidor DNS, nas
configurações do servidor DHCP. O novo número será fornecido para todas as estações
da rede, automaticamente, na próxima vez que a estação for reinicializada. Muito mais
simples e prático e, principalmente, com menor probabilidade de erros.
Você pode verificar, facilmente, as configurações do protocolo TCP/IP que estão
definidas para o seu computador (Windows 2000, Windows XP ou Windows Vista). Para
isso siga os seguintes passos:

1. Faça o logon com uma conta com permissão de Administrador.
2. Abra o Prompt de comando: Iniciar -> Programas -> Acessórios -> Prompt de
comando.
3. Na janela do Prompt de comando digite o seguinte comando:
ipconfig/all
e pressione Enter.
4. Serão exibidas as diversas configurações do protocolo TCP/IP, conforme indicado a
seguir, no exemplo obtido a partir de um dos meus computadores que eu uso na rede
da minha casa:

O comando ipconfig exibe informações para as diversas interfaces de rede instaladas –
placa de rede, modem, etc. No exemplo anterior temos uma única interface de rede
instalada, a qual é relacionada com uma placa de rede Realtek RTL8139 Family PCI
Fast Ethernet NIC. Observe que temos o número IP para dois servidores DNS e para
um servidor WINS. Outra informação importante é o Endereço físico, mais conhecido
como MAC-Address ou endereço da placa. O MAC-Address é um número que identifica
a placa de rede. Os seis primeiros números/letras são uma identificação do fabricante
da placa e os seis últimos uma identificação da placa. Não existem duas placas com o
mesmo MAC-Address, ou seja, este endereço é único para cada placa de rede.
No exemplo da listagem a seguir, temos um computador com duas interfaces de rede.
Uma das interfaces é ligada a placa de rede (Realtek RTL8029(AS) PCI Ethernet
Adapter), a qual conecta o computador a rede local. A outra interface é ligada ao faxmodem
(WAN (PPP/SLIP) Interface), o qual conecta o computador à Internet. Para o
protocolo TCP/IP a conexão via Fax modem aparece como se fosse mais uma interface
de rede, conforme pode ser conferido na listagem a seguir:
Bem, estes são os aspectos básicos do protocolo TCP/IP. Nos endereços a seguir, você
encontra tutoriais, em português, onde você poderá aprofundar os seus estudos sobre
o protocolo TCP/IP:

•http://www.guiadohardware.info/tutoriai ... /index.asp
•http://www.guiadohardware.info/curso/re ... eto/22.asp
•http://www.guiadohardware.info/curso/re ... eto/23.asp
•http://www.guiadohardware.info/curso/re ... eto/28.asp
•http://www.vanquish.com.br/site/020608
•http://unsekurity.virtualave.net/texto1 ... basico.txt
•http://unsekurity.virtualave.net/texto1/tcpipI.txt
•http://www.rota67.hpg.ig.com.br/tutoria ... sico001.ht
m
•http://www.rota67.hpg.ig.com.br/tutoria ... _av001.htm
•http://www.geocities.com/ResearchTriang ... /tcpip.zip

Questão de exemplo para os exames de Certificação
A seguir coloco um exemplo de questão, relacionada ao TCP/IP, que pode aparecer nos
exames de Certificação da Microsoft, onde são cobrados conhecimentos básicos do
protocolo TCP/IP. Esta questão faz parte dos simulados gratuitos, disponíveis no
site.

Questão 01
A seguir estão as configurações básicos do TCP/IP de três estações de trabalho:

micro01, micro02 e micro03.
Configurações do micro01:
Número IP: 100.100.100.3
Máscara de sub-rede: 255.255.255.0
Gateway: 100.100.100.1

Configurações do micro02:
Número IP: 100.100.100.4
Máscara de sub-rede: 255.255.240.0
Gateway: 100.100.100.1

Configurações do micro03:
Número IP: 100.100.100.5
Máscara de sub-rede: 255.255.255.0
Gateway: 100.100.100.2

O micro 02 não está conseguindo comunicar com os demais computadores da
rede. Já o micro03 consegue comunicar-se na rede local, porém não consegue
se comunicar com nenhum recurso de outras redes, como por exemplo a
Internet. Quais alterações você deve fazer para que todos os computadores
possam se comunicar normalmente, tanto na rede local quanto com as redes
externas?

a)
Altere a máscara de sub-rede do micro02 para 255.255.255.0
Altere o Gateway do micro03 para 100.100.100.1

b)
Altere a máscara de sub-rede do micro01 para 255.255.240.0
Altere a máscara de sub-rede do micro03 para 255.255.240.0

c)
Altere o Gateway do micro01 para 100.100.100.2
Altere o Gateway do micro02 para 100.100.100.2

d) Altere o Gateway do micro03 para 100.100.100.1

e) Altere a máscara de sub-rede do micro02 para 255.255.255.0

Resposta certa: a

Comentários: Pelo enunciado o computador micro02 não consegue comunicar com nenhum
outro computador da rede. Este é um sintoma típico de problema na máscara
de sub-rede. É exatamente o caso, o micro02 está com uma máscara de subrede
255.255.240.0, diferente da máscara dos demais computadores. Por isso
ele está isolado e não consegue se comunicar com os demais computadores da
rede. Já o micro03 não consegue comunicar-se com outras redes, mas
consegue comunicar-se na rede local. Este é um sintoma de que a configuração
do Gateway está incorreta. Por isso a necessidade de alterar a configuração do
Gateway do micro03, para que este utilize a mesma configuração dos demais
computadores da rede. Observe como esta questão testa apenas
conhecimentos básicos do TCP/IP, tais como Máscara de sub-rede e Default
Gateway.

Capítulo II – Classes de Endereço IP
Endereçamento IP – Classes de Endereços
Inicialmente foram definidas cinco classes de endereços, identificadas pelas letras: A,
B, C, D e E. Vou iniciar com uma descrição detalhada de cada Classe de Endereços e,
em seguida apresento um quadro resumo.

Redes Classe A
Esta classe foi definida com tendo o primeiro bit do número IP como sendo igual a
zero. Com isso o primeiro número IP somente poderá variar de 1 até 126 (na prática
até 127, mas o número 127 é um número reservado, conforme detalharei mais
adiante). Observe, no esquema a seguir, explicado na Parte 2, que o primeiro bit
sendo 0, o valor máximo (quando todos os demais bits são iguais a 1) a que se chega
é de 127:

0 1 1 1 1 1 1 1
Multiplica por: 27 26 25 24 23 22 21 20
equivale a: 128 64 32 16 8 4 2 1
Multiplicação: 0x128 1x64 1x32 1x16 1x8 1x4 1x2 1x1
Resulta em: 0 64 32 16 8 4 2 1
Somando tudo: 0+64+32+16+8+4+2+1
Resulta em: 127

O número 127 não é utilizado como rede Classe A, pois é um número especial,
reservado para fazer referência ao próprio computador. O número 127.0.0.1 é um
número especial, conhecido como localhost. Ou seja, sempre que um programa fizer
referência a localhost ou ao número 127.0.0.1, estará fazendo referência ao
computador onde o programa está sendo executado.
Por padrão, para a Classe A, foi definida a seguinte máscara de sub-rede: 255.0.0.0.
Com esta máscara de sub-rede observe que temos 8 bits para o endereço da rede e 24
bits para o endereço da máquina dentro da rede. Com base no número de bits para a
rede e para as máquinas, podemos determinar quantas redes Classe A podem existir e
qual o número máximo de máquinas por rede. Para isso utilizamos a fórmula a seguir:

2n- 2
,onde “n” representa o número de bits utilizado para a rede ou para a identificação da
máquina dentro da rede. Vamos aos cálculos:
Número de redes Classe A
Número de bits para a rede: 7. Como o primeiro bit sempre é zero, este não varia. Por
isso sobram 7 bits (8-1) para formar diferentes redes:
27-2 -> 128-2 -> 126 redes Classe A
Número de máquinas (hosts) em uma rede Classe A
Número de bits para identificar a máquina: 24
224-2 -> 16777216 - 2 -> 16777214 máquinas em cada rede classe A.

Na Classe A temos apenas um pequeno número de redes disponíveis, porém um
grande número de máquinas em cada rede.
Já podemos concluir que este número de máquinas, na prática, jamais será instalado
em uma única rede. Com isso observe que, com este esquema de endereçamento,
teríamos poucas redes Classe A (apenas 126) e com um número muito grande de
máquinas em cada rede. Isso causaria desperdício de endereços IP, pois se o endereço
de uma rede Classe A fosse disponibilizado para um empresa, esta utilizaria apenas
uma pequena parcela dos endereços disponíveis e todos os demais endereços ficariam
sem uso. Para resolver esta questão é que passou-se a utilizar a divisão em sub-redes,
assunto este que será visto na Parte 5 destes curso.

Redes Classe B
Esta classe foi definida com tendo os dois primeiros bits do número IP como sendo
sempre iguais a 1 e 0. Com isso o primeiro número do endereço IP somente poderá
variar de 128 até 191. Como o segundo bit é sempre 0, o valor do segundo bit que é
64 nunca é somado para o primeiro número IP, com isso o valor máximo fica em: 255-
64, que é o 191. Observe, no esquema a seguir, explicado na Parte 2 deste curso, que
o primeiro bit sendo 1 e o segundo sendo 0, o valor máximo (quando todos os demais
bits são iguais a 1) a que se chega é de 191:

1 0 1 1 1 1 1 1
Multiplica por: 27 26 25 24 23 22 21 20
equivale a: 128 64 32 16 8 4 2 1
Multiplicação: 1x128 0x64 1x32 1x16 1x8 1x4 1x2 1x1
Resulta em: 128 0 32 16 8 4 2 1
Somando tudo: 128+0+32+16+8+4+2+1
Resulta em: 191
Por padrão, para a Classe B, foi definida a seguinte máscara de sub-rede:
255.255.0.0. Com esta máscara de sub-rede observe que temos 16 bits para o
endereço da rede e 16 bits para o endereço da máquina dentro da rede. Com base no
número de bits para a rede e para as máquinas, podemos determinar quantas redes
Classe B podem existir e qual o número máximo de máquinas por rede. Para isso
utilizamos a fórmula a seguir:

2n- 2
,onde “n” representa o número de bits utilizado para a rede ou para a identificação da
máquina dentro da rede. Vamos aos cálculos:
Número de redes Classe B
Número de bits para a rede: 14. Como o primeiro e o segundo bit são sempre 10,
fixos, não variam, sobram 14 bits (16-2) para formar diferentes redes:
214-2 -> 16384-2 -> 16382 redes Classe B
Número de máquinas (hosts) em uma rede Classe B
Número de bits para identificar a máquina: 16
216-2 -> 65536-2 -> 65534 máquinas em cada rede classe B

Na Classe B temos um número razoável de redes Classe B, com um bom número de
máquinas em cada rede.
O número máximo de máquinas, por rede Classe B já está mais próximo da realidade
para as redes de algumas grandes empresas tais como Microsoft, IBM, HP, GM, etc.
Mesmo assim, para muitas empresas menores, a utilização de um endereço Classe B,
representa um grande desperdício de números IP. Conforme veremos na Parte 7 deste
tutorial é possível usar um número diferentes de bits para a máscara de sub-rede, ao
invés dos 16 bits definidos por padrão para a Classe B (o que também é possível com
Classe A e Classe C). Com isso posso dividir uma rede classe B em várias sub-redes
menores, com um número menor de máquinas em cada sub-rede. Mas isso é assunto
para a Parte 7 deste tutorial.

Redes Classe C
Esta classe foi definida com tendo os três primeiros bits do número IP como sendo
sempre iguais a 1, 1 e 0. Com isso o primeiro número do endereço IP somente poderá
variar de 192 até 223. Como o terceiro bit é sempre 0, o valor do terceiro bit que é 32
nunca é somado para o primeiro número IP, com isso o valor máximo fica em: 255-32,
que é 223. Observe, no esquema a seguir, explicado na Parte 2 deste tutorial, que o
primeiro bit sendo 1, o segundo bit sendo 1 e o terceiro bit sendo 0, o valor máximo
(quando todos os demais bits são iguais a 1) a que se chega é de 223:

1 1 0 1 1 1 1 1
Multiplica por: 27 26 25 24 23 22 21 20
equivale a: 128 64 32 16 8 4 2 1
Multiplicação: 1x128 1x64 0x32 1x16 1x8 1x4 1x2 1x1
Resulta em: 128 64 0 16 8 4 2 1
Somando tudo: 128+64+0+16+8+4+2+1
Resulta em: 223
Por padrão, para a Classe C, foi definida a seguinte máscara de sub-rede:
255.255.255.0. Com esta máscara de sub-rede observe que temos 24 bits para o
endereço da rede e apenas 8 bits para o endereço da máquina dentro da rede. Com
base no número de bits para a rede e para as máquinas, podemos determinar quantas
redes Classe C podem existir e qual o número máximo de máquinas por rede. Para isso
utilizamos a fórmula a seguir:

2n- 2
,onde “n” representa o número de bits utilizado para a rede ou para a identificação da
máquina dentro da rede. Vamos aos cálculos:
Número de redes Classe C
Número de bits para a rede: 21. Como o primeiro, o segundo e o terceiro bit são
sempre 110, ou seja:fixos, não variam, sobram 21 bits (24-3) para formar diferentes
redes:

221-2 -> 2.097.152-2 -> 2.097.150 redes Classe C
Número de máquinas (hosts) em uma rede Classe C:
Número de bits para identificar a máquina: 8
28-2 -> 256-2 -> 254 máquinas em cada rede classe C

Observe que na Classe C temos um grande número de redes disponíveis, com, no
máximo, 254 máquinas em cada rede. É o ideal para empresas de pequeno porte.
Mesmo com a Classe C, existe um grande desperdício de endereços. Imagine uma
pequena empresa com apenas 20 máquinas em rede. Usando um endereço Classe C,
estariam sendo desperdiçados 234 endereços. Conforme já descrito anteriormente,
esta questão do desperdício de endereços IP pode ser resolvida através da utilização
de sub-redes.


Redes Classe D
Esta classe foi definida com tendo os quatro primeiros bits do número IP como sendo
sempre iguais a 1, 1, 1 e 0. A classe D é uma classe especial, reservada para os
chamados endereços de Multicast. Falaremos sobre Multicast, Unicast e Broadcast em
uma das próximas partes deste tutorial.

Redes Classe E
Esta classe foi definida com tendo os quatro primeiros bits do número IP como sendo
sempre iguais a 1, 1, 1 e 1. A classe E é uma classe especial e está reservada para
uso futuro.
Quadro resumo das Classes de Endereço IP
A seguir apresento uma tabela com as principais características de cada Classe de

Endereços IP:
Classe Primeiros bits Núm. de redes
Número de
hosts

Máscara
padrão
A 0 126 16.777.214 255.0.0.0
B 10 16.382 65.534 255.255.0.0
C 110 2.097.150 254 255.255.255.0
D 1110 Utilizado para tráfego Multicast
E 1111 Reservado para uso futuro
Endereços Especiais
Existem alguns endereços IP especiais, reservados para funções específicas e que não
podem ser utilizados como endereços de uma máquina da rede. A seguir descrevo
estes endereços.

•Endereços da rede 127.0.0.0: São utilizados como um aliás (apelido), para fazer
referência a própria máquina. Normalmente é utilizado o endereço 127.0.0.1, o qual é
associado ao nome localhost. Esta associação é feita através do arquivo hosts. No
Windows 95/98/Me o arquivo hosts está na pasta onde o Windows foi instalado e no
Windows 2000/XP/Vista/2003, o arquivo hosts está no seguinte caminho:
system32/drivers/etc, sendo que este caminho fica dentro da pasta onde o Windows
foi instalado.

•Endereço com todos os bits destinados à identificação da máquina, iguais a
0: Um endereço com zeros em todos os bits de identificação da máquina, representa o
endereço da rede. Por exemplo, vamos supor que você tenha uma rede Classe C. A
máquina a seguir é uma máquina desta rede: 200.220.150.3. Neste caso o endereço
da rede é: 200.220.150.0, ou seja, zero na parte destinada a identificação da
máquina. Sendo uma rede classe C, a máscara de sub-rede é 255.255.255.0.

•Endereço com todos os bits destinados à identificação da máquina, iguais a
1: Um endereço com valor 1 em todos os bits de identificação da máquina, representa
o endereço de broadcast. Por exemplo, vamos supor que você tenha uma rede Classe
C. A máquina a seguir é uma máquina desta rede: 200.220.150.3. Neste caso o
endereço de broadcast desta rede é o seguinte: 200.220.150.255, ou seja, todos os
bits da parte destinada à identificação da máquina, iguais a 1. Sendo uma rede classe
C, a máscara de sub-rede é 255.255.255.0. Ao enviar uma mensagem para o endereço
do broadcast, a mensagem é endereçada para todos as máquinas da rede.
Capítulo III – Números Binários e Máscara de Sub-Rede
Sistema de Numeração Binário
Vou iniciar falando do sistema de numeração decimal, para depois fazer uma analogia
ao apresentar o sistema de numeração binário.Todos nos conhecemos o sistema de
numeração decimal, no qual são baseados os números que usamos no nosso dia-a-dia,
como por exemplo: 100, 259, 1450 e assim por diante. Você já parou para pensar
porque este sistema de numeração é chamado de sistema de numeração decimal?
Não? Bem, a resposta é bastante simples: este sistema é baseado em dez dígitos
diferentes, por isso é chamado de sistema de numeração decimal. Todos os números
do sistema de numeração decimal são escritos usando-se uma combinação dos
seguintes dez dígitos:

0 1 2 3 4 5 6 7 8 9
Dez dígitos -> Sistema de numeração decimal.
Vamos analisar como é determinado o valor de um número do sistema de numeração
decimal. Por exemplo, considere o seguinte número:
4538

O valor deste número é formado, multiplicando-se os dígitos do número, de trás para
frente, por potências de 10, começando com 10º. O último dígito (bem à direita) é
multiplicado por 10º, o penúltimo por 101, o próximo por 102 e assim por diante. O
valor real do número é a soma dos resultados destas multiplicações. Observe o
esquema a seguir que será bem mais fácil de entender:

4 5 3 8
Multiplica por: 103 102 101 10º
ou seja: 1000 100 10 1
Resultado: 4x1000 5x100 3x10 8x1
Igual a: 4000 500 30 8
Somando tudo: 4000+500+30+8
É igual a: 4538

Observe que 4538 significa exatamente:
4 milhares (103)
+5 centenas (102)
+3 dezenas (101)
+ 8 unidades (100)

E assim para números maiores, com mais dígitos, teríamos potências de 104, 105 e
assim por diante. Observe que multiplicando cada dígito por potências de 10, obtemos
o número original. Este princípio aplicado ao sistema de numeração decimal é válido
para qualquer sistema de numeração. Se for o sistema de numeração Octal (baseado
em 8 dígitos), multiplica-se por potências de 8: 8º, 81, 82 e assim por diante. Se for o
sistema Hexadecimal (baseado em 10 dígitos e 6 letras) multiplica-se por potências de
16, só que a letra A equivale a 10, já que não tem sentido multiplicar por uma letra, a
letra B equivale a 11 e assim por diante.
Bem, por analogia, se o sistema decimal é baseado em dez dígitos, então o sistema
binário deve ser baseado em dois dígitos? Exatamente. Os números no sistema
binários são escritos usando-se apenas os dois seguintes dígitos:

0 1
Isso mesmo, números no sistema binário são escritos usando-se apenas zeros e uns,
como nos exemplos a seguir:
01011100
11011110
00011111

Também por analogia, se, no sistema decimal, para obter o valor do número,
multiplicamos os seus dígitos, de trás para frente, por potências de 10, no sistema
binário fizemos esta mesma operação, só que baseada em potências de 2, ou seja: 20,
21, 22, 23, 24 e assim por diante.
Vamos considerar alguns exemplos práticos. Como faço para saber o valor decimal do
seguinte número binário: 11001110
Vamos utilizar a tabelinha a seguir para facilitar os nossos cálculos:

1 1 0 0 1 1 1 0
Multiplica por: 27 26 25 24 23 22 21 20
equivale a: 128 64 32 16 8 4 2 1
Multiplicação: 1x128 1x64 0x32 0x16 1x8 1x4 1x2 0x1
Resulta em: 128 64 0 0 8 4 2 0
Somando tudo: 128+64+0+0+8+4+2+0
Resulta em: 206
Ou seja, o número binário 11001110 equivale ao decimal 206. Observe que onde
temos um a respectiva potência de 2 é somada e onde temos o zero a respectiva
potência de 2 é anulada por ser multiplicada por zero. Apenas para fixar um pouco
mais este conceito, vamos fazer mais um exemplo de conversão de binário para
decimal. Converter o número 11100010 para decimal:

1 1 1 0 0 0 1 0
Multiplica por: 27 26 25 24 23 22 21 20
equivale a: 128 64 32 16 8 4 2 1
Multiplicação: 1x128 1x64 1x32 0x16 0x8 0x4 1x2 0x1
Resulta em: 128 64 32 0 0 0 2 0
Somando tudo: 128+64+32+0+0+0+2+0
Resulta em: 226
Como Converter de Decimal para Binário
Bem, e se tivéssemos que fazer o contrário, converter o número 234 de decimal para
binário, qual seria o binário equivalente??

Nota: Nos exemplos deste tutorial vou trabalhar com valores decimais de, no máximo,
255, que são valores que podem ser representados por 8 dígitos binários, ou na
linguagem do computador 8 bits, o que equivale exatamente a um byte. Por isso que
cada um dos quatro números que fazem parte do número IP, somente podem ter um
valor máximo de 255, que é um valor que cabe em um byte, ou seja, 8 bits.

Existem muitas regras para fazer esta conversão, eu prefiro utilizar uma bem simples,
que descreverei a seguir e que serve perfeitamente para o propósito deste tutorial.
Vamos voltar ao nosso exemplo, como converter 234 para um binário de 8 dígitos?
Eu começo o raciocínio assim. Primeiro vamos lembrar o valor decimal correspondente
a cada um dos oito dígitos binários:

128 64 32 16 8 4 2 1
Lembrando que estes números representam potências de 2, começando, de trás para
frente, com 20, 21, 22 e assim por diante, conforme indicado logo a seguir:
128 64 32 16 8 4 2 1
27 26 25 24 23 22 21 20

Pergunto: 128 cabe em 234? Sim, então o primeiro dígito é 1. Somando 64 a 128
passa de 234? Não, dá 192, então o segundo dígito também é 1. Somando 32 a 192
passa de 234? Não, dá 224, então o terceiro dígito também é 1. Somando 16 a 224
passa de 234? Passa, então o quarto dígito é zero. Somando 8 a 224 passa de 234?
Não, da 232, então o quinto dígito é 1. Somando 4 a 232 passa de 234? Passa, então o
sexto dígito é zero. Somando 2 a 232 passa de 234? Não, dá exatamente 234, então o
sétimo dígito é 1. Já cheguei ao valor desejado, então todos os demais dígitos são
zero. Com isso, o valor 234 em binário é igual a:
11101010
Para exercitar vamos converter mais um número de decimal para binário. Vamos
converter o número 144 para decimal.
Pergunto: 128 cabe em 144? Sim, então o primeiro dígito é 1. Somando 64 a 128
passa de 144? Sim, dá 192, então o segundo dígito é 0. Somando 32 a 128 passa de
144? Sim, dá 160, então o terceiro dígito também é 0. Somando 16 a 128 passa de
144? Não, dá exatamente 144, então o quarto dígito é 1. Já cheguei ao valor desejado,
então todos os demais dígitos são zero. Com isso, o valor 144 em binário é igual a:

10010000
Bem, agora que você já sabe como converter de decimal para binário, está em
condições de aprender sobre o operador “E” e como o TCP/IP usa a máscara de subrede
(subnet mask) e uma operação “E”, para verificar se duas máquinas estão na
mesma rede ou em redes diferentes.

O Operador E
Existem diversas operações lógicas que podem ser feitas entre dois dígitos binários,
sendo as mais conhecidas as seguintes: “E”, “OU”, “XOR” e “NOT”.
Para o nosso estudo interessa o operador E. Quando realizamos um “E” entre dois bits,
o resultado somente será 1, se os dois bits forem iguais a 1. Se pelo menos um dos
bits for igual a zero, o resultado será zero. Na tabela a seguir temos todos os valores
possíveis da operação E entre dois bits:

bit-1 bit-2 (bit-1) E (bit-2)
1 1 1
1 0 0
0 1 0
0 0 0

Como o TCP/IP usa a máscara de sub-rede:
Considere a figura a seguir, onde temos a representação de uma rede local, ligada a
outras redes da empresa, através de um roteador.
Temos uma rede que usa como máscara de sub-rede 255.255.255.0 (uma rede classe
C, mas ainda não abordamos as classes de redes, o que será feito na Parte 3 deste
curso). A rede é a 10.200.150.0, ou seja, todos os equipamentos da rede tem os três
primeiras partes do número IP como sendo: 10.200.150. Veja que existe uma relação
direta entre a máscara de sub-rede a quantas das partes do número IP são fixas, ou
seja, que definem a rede, conforme foi descrito na Parte 1 deste curso.

A rede da figura anterior é uma rede das mais comumente encontradas hoje em dia,
onde existe um roteador ligado à rede e o roteador está conectado a um Modem,
através do qual é feita a conexão da rede local com a rede WAN da empresa, através
de uma linha de dados (também conhecido como link de comunicação). Nas próximas
partes lições vou detalhar a função do roteador e mostrarei como funciona o
roteamento entre redes.

Como o TCP/IP usa a máscara de sub-rede e o roteador
Quando dois computadores tentam trocar informações em uma rede, o TCP/IP precisa,
primeiro, determinar se os dois computadores pertencem a mesma rede ou a redes
diferentes. Neste caso podemos ter duas situações distintas:

Situação 1: Os dois computadores pertencem a mesma rede: Neste caso o
TCP/IP envia o pacote para o barramento local da rede. Todos os computadores
recebem o pacote, mas somente o computador que é o destinatário do pacote é que o
captura e passa para processamento pelo Windows e pelo programa de destino. Como
é que o computador sabe se ele é ou não o destinatário do pacote? Muito simples, no
pacote de informações está contido o endereço IP do computador destinatário. Em
cada computador, o TCP/IP compara o IP de destinatário do pacote com o IP do
computador, para saber se o pacote é ou não para o respectivo computador.

Situação 2: Os dois computadores não pertencem a mesma rede: Neste caso o
TCP/IP envia o pacote para o Roteador (endereço do Default Gateway configurado nas
propriedades do TCP/IP) e o Roteador se encarrega de fazer o pacote chegar ao seu
destino. Em uma das partes deste tutorial veremos detalhes sobre como o Roteador é
capaz de rotear pacotes de informações até redes distantes.

Agora a pergunta que tem a ver com este tópico:
“Como é que o TCP/IP faz para saber se o computador de origem e o
computador de destino pertencem a mesma rede?”
Vamos usar alguns exemplos práticos para explicar como o TCP/IP faz isso:

Exemplo 1: Com base na figura anterior, suponha que o computador cujo IP é
10.200.150.5 (origem) queira enviar um pacote de informações para o computador
cujo IP é 10.200.150.8 (destino), ambos com máscara de sub-rede igual a
255.255.255.0.

O primeiro passo é converter o número IP das duas máquinas e da máscara de subrede
para binário. Com base nas regras que vimos anteriormente, teríamos a seguinte
conversão:

Computador de origem:
10 200 150 5
00001010 11001000 10010110 00000101
Computador de destino:
10 200 150 8
00001010 11001000 10010110 00001000
Máscara de sub-rede:
255 255 255 0
11111111 11111111 11111111 00000000

Feitas as conversões para binário, vamos ver que tipo de cálculos o TCP/IP faz, para
determinar se o computador de origem e o computador de destino estão na mesma
rede.

Em primeiro lugar é feita uma operação “E”, bit a bit, entre o Número IP e a máscara
de Sub-rede do computador de origem, conforme indicado na tabela a seguir:
10.200.150.5 00001010 11001000 10010110 00000101
255.255.255.0 11111111 11111111 11111111 00000000 E
10.200.150.0 00001010 11001000 10010110 00000000 Resultado

Agora é feita uma operação “E”, bit a bit, entre o Número IP e a máscara de sub-rede
do computador de destino, conforme indicado na tabela a seguir:
10.200.150.8 00001010 11001000 10010110 00001000
255.255.255.0 11111111 11111111 11111111 00000000 E
10.200.150.0 00001010 11001000 10010110 00000000 Resultado

Agora o TCP/IP compara os resultados das duas operações. Se os dois resultados
forem iguais, aos dois computadores, origem e destino, pertencem a mesma rede
local. Neste caso o TCP/IP envia o pacote para o barramento da rede local. Todos os
computadores recebem o pacote, mas somente o destinatário do pacote é que o
captura e passa para processamento pelo Windows e pelo programa de destino. Como
é que o computador sabe se ele é ou não o destinatário do pacote? Muito simples, no
pacote de informações está contido o endereço IP do destinatário. Em cada
computador, o TCP/IP compara o IP de destinatário do pacote com o IP do
computador, para saber se o pacote é ou não para o respectivo computador.
É o que acontece neste exemplo, pois o resultado das duas operações “E” é igual:

10.200.150.0, ou seja, os dois computadores pertencem a rede: 10.200.150.0
Como você já deve ter adivinhado, agora vamos a um exemplo, onde os dois
computadores não pertencem a mesma rede, pelo menos devido às configurações do
TCP/IP.

Exemplo 2: Suponha que o computador cujo IP é 10.200.150.5 (origem) queira
enviar um pacote de informações para o computador cujo IP é 10.204.150.8 (destino),
ambos com máscara de sub-rede igual a 255.255.255.0.
O primeiro passo é converter o número IP das duas máquinas e da máscara de subrede
para binário. Com base nas regras que vimos anteriormente, teríamos a seguinte
conversão:

Computador de origem:
10 200 150 5
00001010 11001000 10010110 00000101

Computador de destino:
10 204 150 8
00001010 11001100 10010110 00001000
Máscara de sub-rede:
255 255 255 0
11111111 11111111 11111111 00000000

Feitas as conversões para binário, vamos ver que tipo de cálculos o TCP/IP faz, para
determinar se o computador de origem e o computador de destino estão na mesma
rede. Em primeiro lugar é feita uma operação “E”, bit a bit, entre o Número IP e a
máscara de Sub-rede do computador de origem, conforme indicado na tabela a seguir:
10.200.150.5 00001010 11001000 10010110 00000101
255.255.255.0 11111111 11111111 11111111 00000000 E
10.200.150.0 00001010 11001000 10010110 00000000 Resultado

Agora é feita uma operação “E”, bit a bit, entre o Número IP e a máscara de sub-rede
do computador de destino, conforme indicado na tabela a seguir:

10.204.150.8 00001010 11001100 10010110 00001000
255.255.255.0 11111111 11111111 11111111 00000000 E
10.204.150.0 00001010 11001100 10010110 00000000 Resultado

Agora o TCP/IP compara os resultados das duas operações. Neste exemplo, os dois
resultados são diferentes: 10.200.150.0 e 10.204.150.0. Nesta situação o TCP/IP
envia o pacote para o Roteador (endereço do Default Gateway configurado nas
propriedades do TCP/IP) e o Roteador se encarrega de fazer o pacote chegar a rede do
computador de destino. Em outras palavras o Roteador sabe entregar o pacote para a
rede 10.204.150.0 ou sabe para quem enviar (um outro roteador), para que este
próximo roteador possa encaminhar o pacote. Este processo continua até que o pacote
seja entregue na rede de destino ou seja descartado, por não ter sido encontrada uma
rota para a rede de destino.

Observe que, na figura anterior, temos dois computadores que, apesar de estarem
fisicamente na mesma rede, não conseguirão se comunicar devido a um erro de
configuração na máscara de sub-rede de um dos computadores. É o caso do
computador 10.200.150.4 (com máscara de sub-rede 255.255.250.0). Como este
computador está com uma máscara de sub-rede diferente dos demais computadores
da rede (255.255.255.0), ao fazer os cálculos, o TCP/IP chega a conclusão que este
computador pertence a uma rede diferente, o que faz com que ele não consiga se
comunicar com os demais computadores da rede local.

Capítulo IV – Introdução ao DNS
DNS é a abreviatura de Domain Name System. O DNS é um serviço de resolução de
nomes. Toda comunicação entre os computadores e demais equipamentos de uma
rede baseada no protocolo TCP/IP (e qual rede não é baseada no protocolo TCP/IP?) é
feita através do número IP. Número IP do computador de origem e número IP do
computador de destino. Porém não seria nada produtivo se os usuários tivessem que
decorar, ou mais realisticamente, consultar uma tabela de números IP toda vez que
tivessem que acessar um recurso da rede. Por exemplo, você digita
http://www.microsoft.com/brasil, para acessar o site da Microsoft no Brasil, sem ter
que se preocupar e nem saber qual o número IP do servidor onde está hospedado o
site da Microsoft Brasil. Mas alguém tem que fazer este serviço, pois quando você
digita http://www.microsoft.com/brasil, o protocolo TCP/IP precisa “descobrir” (o
termo técnico é resolver o nome) qual o número IP está associado com o endereço
digitado. Se não for possível “descobrir” o número IP associado ao nome, não será
possível acessar o recurso desejado.

O papel do DNS é exatamente este, “descobrir”, ou usando o termo técnico, “resolver”
um determinado nome, como por exemplo http://www.microsoft.com Resolver um
nome significa, descobrir e retornar o número IP associado com o nome. Em palavras
mais simples, o DNS é um serviço de resolução de nomes, ou seja, quando o usuário
tenta acessar um determinado recurso da rede usando o nome de um determinado
servidor, é o DNS o responsável por localizar e retornar o número IP associado com o
nome utilizado. O DNS é, na verdade, um grande banco de dados distribuído em
milhares de servidores DNS no mundo inteiro. Ele possui várias características, as
quais descreverei nesta parte do tutorial de TCP/IP.

O DNS passou a ser o serviço de resolução de nomes padrão a partir do Windows 2000
Server. Anteriormente, com o NT Server 4.0 e versões anteriores do Windows, o
serviço padrão para resolução de nomes era o WINS – Windows Internet Name Service
(WINS é o assunto da Parte 9 deste tutorial). Versões mais antigas dos clientes
Windows, tais como Windows 95, Windows 98 e Windows Me ainda são dependentes
do WINS, para a realização de determinadas tarefas. O fato de existir dois serviços de
resolução de nomes, pode deixar o administrador da rede e os usuários confusos.

Cada computador com o Windows instalado (qualquer versão), tem dois nomes: um
host name (que é ligado ao DNS) e um NetBios name (que é ligado ao WINS). Por
padrão estes nomes devem ser iguais, ou seja, é aconselhável que você utilize o
mesmo nome para o host name e para o NetBios name do computador.

O DNS é um sistema para nomeação de computadores e equipamentos de rede em
geral (tais como roteadores,hubs, switchs). Os nomes DNS são organizados de uma
maneira hierárquica através da divisão da rede em domínios DNS.

O DNS é, na verdade, um grande banco de dados distribuído em váios servidoress DNS
e um conjunto de serviços e funcionalidades, que permitem a pesquisa neste banco de
dados. Por exemplo, quando o usuário digita www.abc.com.br na barra de endereços
do seu navegador, o DNS tem que fazer o trabalho de localizar e retornar para o
navegador do usuário, o número IP associado com o endereço www.abc.com.br

Quando você tenta acessar uma pasta compartilhada chamada docs, em um servidor
chamado srv-files01.abc.com.br, usando o caminho \\srv-files01.abc.com.br\docs, o

DNS precisa encontrar o número IP associado com o nome srv-files01.abc.com.br. Se
esta etapa falhar, a comunicação não será estabelecida e você não poderá acessar a
pasta compartilhada docs.

Ao tentar acessar um determinado recurso, usando o nome de um servidor, é como se
o programa que você está utilizando perguntasse ao DNS:
“DNS, você sabe qual o endereço IP associado com o nome tal?”

O DNS pesquisa na sua base de dados ou envia a pesquisa para outros servidores DNS
(dependendo de como foram feitas as configurações do servidor DNS, conforme
descreverei mais adiante). Uma vez encontrado o número IP, o DNS retorna o número

IP para o cliente:
“Este é o número IP associado com o nome tal.”

Nota: O DNS implementado no Windows 2000 Server e também no Windows Server
2003 é baseado em padrões definidos por entidades de padronização da Internet, tais
como o IETF. Estes documentos são conhecidos como RFCs – Request for Comments.

Você encontra, na Internet, facilmente a lista de RFCs disponíveis e o assunto
relacionada com cada uma. São milhares de RFCs (literalmente milhares).
Entendendo os elementos que compõem o DNS

O DNS é baseado em conceitos tais como espaço de nomes e árvore de domínios. Por
exemplo, o espaço de nomes da Internet é um espaço de nomes hierárquico, baseado
no DNS. Para entender melhor estes conceitos, observe o diagrama da Figura a seguir:

Estrutura hierárquica do DNS
É apresentada uma visão abrevida da estrutura do DNS definida para a
Internet. O principal domínio, o domínio root, o domínio de mais alto nível foi nomeado
como sendo um ponto (.). No segundo nível foram definidos os chamados “Top-leveldomains”.

Estes domínios são bastante conhecidos, sendo os principais descritos na
Tabela a seguir:
Top-level-domains:
Top-level-domain Descrição
com Organizações comerciais
gov Organizações governamentais
edu Instituições educacionais
org Organizações não comerciais
net Diversos
mil Instituições militares

Em seguida, a estrutura hierárquica continua aumentando. Por exemplo, dentro do
domínio .com, são criadas sub domínios para cada país. Por exemplo: br para o Brasil
(.com.br), .fr para a frança (.com.fr), uk para a Inglaterra (.com.uk) e assim por
diante. Observe que o nome completo de um domínio é o nome do próprio domínio e
mais os nomes dos domínios acima dele, no caminho até chegar ao domínio root que é
o ponto. Nos normalmente não escrevemos o ponto, mas não está errado utilizá-lo.
Por exemplo, você pode utilizar www.microsoft.com ou www.microsoft.com. (com
ponto no final mesmo).
No diagrama da Figura anterior, representei até o domínio de uma empresa chamada
abc (abc...), que foi registrada no subdomínio (.com.br), ou seja: abc.com.br. Este é o
domínio DNS desta nossa empresa de exemplo.

Nota: Para registrar um domínio .br, utilize o seguinte endereço: www.registro.br
Todos os equipamentos da rede da empresa abc.com.br, farão parte deste domínio.
Por exemplo, considere o servidor configurado com o nome de host www. O nome
completo deste servidor será www.abc.com.br, ou seja, é com este nome que ele
poderá ser localizado na Internet. O nome completo do servidor com nome de host ftp
será: ftp.abc.com.br, ou seja, é com este nome que ele poderá ser acessado através
da Internet. No banco de dados do DNS é que ficará gravada a informação de qual o
endereço IP está associado com www.abc.com.br, qual o endereço IP está associado
com ftp.abc.com.br e assim por diante. Mais adiante você verá, passo-a-passo, como é
feita a resolução de nomes através do DNS.

O nome completo de um computador da rede é conhecido como FQDN – Full Qualifided
Domain Name. Por exemplo ftp.abc.com.br é um FQDN. ftp (a primeira parte do nome)
é o nome de host e o restante representa o domínio DNS no qual está o computador. A
união do nome de host com o nome de domínio é que forma o FQDN.
Internamente, a empresa abc.com.br poderia criar subdomínios, como por exemplo:
vendas.abc.com.br, suporte.abc.com.br, pesquisa.abc.com.br e assim por diante.

Dentro de cada um destes subdominios poderia haver servidores e computadores,
como por exemplo: srv01.vendas.abc.com.br, srv-pr01.suporte.abc.com.br. Observe
que sempre, um nome de domínio mais baixo, contém o nome completo dos objetos
de nível mais alto. Por exemplo, todos os subdomínios de abc.com.br,
obrigatoriamente, contém abc.com.br: vendas.abc.com.br, suporte.abc.com.br,
pesquisa.abc.com.br. Isso é o que define um espaço de nomes contínio.

Dentro de um mesmo nível, os nomes DNS devem ser únicos. Por exemplo, não é
possível registrar dois domínios abc.com.br. Porém é possível registrar um domínio
abc.com.br e outro abc.net.br. Dentro do domínio abc.com.br pode haver um servidor
chamado srv01. Também pode haver um servidor srv01 dentro do domínio abc.net.br.

O que distingue um do outro é o nome completo (FQDN), neste caso:
srv01.abc.com.br e o outro é srv01.abc.net.br.

Nota: Um método antigo, utilizado inicalmente para resolução de nomes era o arquivo
hosts. Este arquivo é um arquivo de texto e contém entradas como as dos exemplos a
seguir, uma em cada linha:
10.200.200.3 ...........................................................www.abc.com.br
10.200.200.4 ........................................................... ftp.abc.com.br
10.200.200.18 ......................................................... srv01.abc.com.br srv-files

O arquivo hosts é individual para cada computador da rede e fica gravado (no Windows
NT, Windows 2000, Windows Server 2003 ou Windows XP), na pasta
system32\drivers\etc, dentro da pasta onde o Windows está instalado. Este arquivo é
um arquivo de texto e pode ser alterado com o bloco de Notas.

O DNS é formado por uma série de componentes e serviços, os quais atuando em
conjunto, tornam possível a tarefa de fazer a resolução de nomes em toda a Internet
ou na rede interna da empresa. Os componentes do DNS são os seguintes:

•O espaço de nomes DNS: Um espaço de nomes hierárquico e contínuo. Pode ser
o espaço de nomes da Internet ou o espaço de nomes DNS interno, da sua empresa.
Pode ser utilizado um espaço de nomes DNS interno, diferente do nome DNS de
Internet da empresa ou pode ser utilizado o mesmo espaço de nomes. Cada uma das
abordagens tem vantagens e desvantagens.
•Servidores DNS: Os servidores DNS contém o banco de dados do DNS com o
mapeamento entre os nomes DNS e o respectivo número IP. Os servidores DNS
também são responsáveis por responder às consultas de nomes envidas por um ou
mais clientes da rede. Você aprenderá mais adiante que existem diferentes tipos de
servidores DNS e diferentes métodos de resolução de nomes.

•Registros do DNS (Resource Records): Os registros são as entradas do banco
de dados do DNS. Em cada entrada existe um mapeamento entre um determinado
nome e uma informação associada ao nome. Pode ser desde um simples mapeamento
entre um nome e o respectivo endereço IP, até registros mais sofisticados para a
localização de DCs (controladores de domínio do Windows 2000 ou Windows Server
2003) e servidores de email do domínio.

•Clientes DNS: São também conhecidos como resolvers. Por exemplo, uma estação
de trabalho da rede, com o Windows 2000 Professional, com o Windows XP
professional ou com o Windows Vista tem um “resolver” instalado. Este componente de
software é responsável por detectar sempre que um programa precisa de resolução de
um nome e repassar esta consulta para um servidor DNS. O servidor DNS retorna o
resultado da consulta, o resultado é retornado para o resolver, o qual repassa o
resultado da consulta para o programa que originou a consulta.
Entendendo como funcionam as pesquisas do DNS
Imagine um usuário, na sua estação de trabalho, navegando na Internet. Ele tenta
acessar o site www.juliobattisti.com.br O usuário digita este endereço e tecla Enter. O
resolver (cliente do DNS instalado na estação de trabalho do usuário) detecta que
existe a necessidade da resolução do nome www.juliobattisti.com.br, para descobrir o
número IP associado com este nome. O resolver envia a pesquisa para o servidor DNS
configurado como DNS primário, nas propriedades do TCP/IP da estação de trabalho
(ou para o DNS informado pelo DHCP, caso a estação de trabalho esteja obtendo as
configurações do TCP/IP, automaticamente, a partir de um servidor DHCP – assunto da
Parte 10 deste tutorial). A mensagem envida pelo resolver, para o servidor DNS,
contém três partes de informação, conforme descrito a seguir:

•O nome a ser resolvido. No nosso exemplo: www.juliobattisti.com.br

•O tipo de pesquisa a ser realizado. Normalmente é uma pesquisa do tipo
“resource record”, ou seja, um registro associado a um nome, para retornar o
respectivo endereço IP. No nosso exemplo, a pesquisa seria por um registro do tipo A,
na qual o resultado da consulta é o número IP associado com o nome que está sendo
pesquisado. É como se o cliente perguntasse para o sevidor DNS: “Você conhece o
número IP associado com o nome www.juliobattisti.com.br?” E o servidor responde:
“Sim, conheço. O número IP associado com o nome www.juliobattisti.com.br é o
seguinte... Também podem ser consultas especializadas, como por exemplo, para
localizar um DC (controlador de domínio) no domínio ou um servidor de autenticação
baseado no protocolo Kerberos.

•Uma classe associada com o nome DNS. Para os servidores DNS baseados no
Windows 2000 Server e Windows Server 2003, a classe será sempre uma classe de
Internet (IN), mesmo que o nome seja referente a um servidor da Intranet da
empresa.

Existem diferentes maneiras como uma consulta pode ser resolvida. Por exemplo, a
primeira vez que um nome é resolvido, o nome e o respetivo número IP são
armazenados em memória, no que é conhecido como Cache do cliente DNS, na
estação de trabalho que fez a consulta. Na próxima vez que o nome for utilizado,
primeiro o Windows procura no Cache DNS do próprio computador, para ver se não
existe uma resolução anterior para o nome em questão. Somente se não houver uma
resolução no Cache local do DNS, é que será envida uma consulta para o servidor
DNS.
Chegando a consulta ao servidor, primeiro o servidor DNS consulta o cache do servidor
DNS. No cache do servidor DNS ficam, por um determinado período de tempo, as
consultas que foram resolvidas anteriormente pelo servidor DNS. Esse processo agiliza
a resolução de nomes, evitando repetidas resoluções do mesmo nome. Se não for
encontrada uma resposta no cache do servidor DNS, o servidor pode tentar resolver a
consulta usando as informações da sua base de dados ou pode enviar a consulta para
outros servidores DNS, até que uma resposta seja obtida. A seguir descreverei
detalhes deste procsso de enviar uma consulta para outros servidores, processo este
chamado de recursão.

Em resumo, o processo de resolução de um nome DNS é composto de duas
etapas:

1. A consulta inicia no cliente e é passada para o resolver na estação de trabalho do
cliente. Primeiro o resolver tenta responder a consulta localmente, usando recursos
tais como o cache local do DNS e o arquivo hosts.

2. Se a consulta não puder ser resolvida localmente, o resolver envia a consulta para
o servidor DNS, o qual pode utilizar diferentes métodos (descritos mais adiante), para
a resolução da consulta.

A seguir vou descrever as etapas envolvidas nas diferentes maneiras que o DNS utiliza
para “responder” a uma consulta enviada por um cliente.

Nota: Vou utilizar algumas figuras da ajuda do Windows 2000 Server para explicar a
maneira como o DNS resolve consultas localmente (resolver) e os diferentes métodos
de resolução utilizados pelo servidor DNS.

Inicialmente considere o diagrama da Figura a seguir, contido na Ajuda do DNS, no
Windows 2000 Server, diagrama este que apresenta uma visão geral do processo de
resolução de nomes do DNS.

O processo de resolução de nomes do DNS.
O cliente está em sua estação de trabalho e tenta acessar o
site da Microsoft: www.microsoft.com. Ao digitar este endereço no seu navegador e
pressionar Enter, o processo de resolução do nome www.microsoft.com é iniciado.

Uma série de etapas são executadas, até que a resoluçõa aconteça com sucesso ou
falhe em definitivo, ou seja, o DNS não consegue resolver o nome, isto é, não
consegue encontrar o número IP associado ao endereço www.microsoft.com

Primeira etapa: O DNS tenta resolver o nome, usando o resolver local:
Ao digitar o endereço www.microsoft.com e pressionar Enter, o processo de resolução
é iniciado. Inicialmente o endereço é passado para o cliente DNS, na estação de
trabalho do usuário. O cliente DNS é conhecido como resolver, conforme já descrito
anteriormente, nome este que utilizarei a partir de agora. O cliente tenta resolver o
nome utilizando um dos seguintes recursos:

•O cache DNS local: Sempre que um nome é resolvido com sucesso, o nome e a
informação associada ao nome (normalmente o endereço IP), são mantidos na
memória, o que é conhecido como cache local do DNS da estação de trabalho do
cliente. Quando um nome precisa ser resolvido, a primeira coisa que o resolver faz é
procurar no cache local. Encontrando no cache local, as informações do cache são
utilizadas e a resolução está completa. O cache local torna a resolução mais rápida,
uma vez que nomes já resolvidos podem ser consultados diretamente no cache, ao
invés de terem que passar por todo o processo de resolução via servidor DNS
novamente, processo este que você aprenderá logo a seguir. Pode acontecer situações
onde informações incorretas foram gravadas no Cache Local e o Resolver está
utilizando estas informações. Você pode limpar o Cache local, usando o comando
ipconfig /flushdns Abra um prompt de Comando, digite o comando ipconfig /flushdns e
pressione Enter. Isso irá limpar o Cache local.

•O arquivo hosts: Se não for encontrada a resposta no cache local do DNS, o
resolver consulta as entradas do arquivos hosts, o qual é um arquivo de texto e fica na
pasta onde o Windows Server foi instalado, dentro do seguinte caminho:
\system32\drivers\etc (para o Windows NT 4, Windows 2000, Windows Server 2003 e
Windos XP). O hosts é um arquivo de texto e pode ser editado com o bloco de notas.
Este arquivo possui entradas no formato indicado a seguir, com um númeo IP por
linha, podendo haver um ou mais nomes associados com o mesmo número IP:
10.200.200.3 www.abc.com.br intranet.abc.com.br
10.200.200.4 ftp.abc.com.br arquivos.abc.com.br
10.200.200.18 srv01.abc.com.br pastas.abc.com.br pastas
Se mesmo assim a consulta não for respondida, o resolver envia a consulta para o
servidor DNS configurado nas propriedades do TCP/IP como servidor DNS primário ou
configurado via DHCP, como servidor DNS primário.
Segunda etapa: Pesquisa no servidor DNS.
Uma vez que a consulta não pode ser resolvida localmente pelo resolver, esta é
enviada para o servidor DNS. Quando a consulta chega no servidor DNS, a primeira
coisa que o servidor DNS faz é consultar as zonas para as quais ele é uma autoridade
(para uma descrição completa sobre zonas e domínios e a criação de zonas e domínios
no DNS consulte o Capítulo 3 do meu livro Manual de Estudos para o Exame 70-216,
712 páginas, o qual está esgotado em formato impresso, mas está a venda em
formato de E-book, em PDF. Todos os detalhes em:
http://www.juliobattisti.com.br/cursos/ ... efault.asp).
Por exemplo, vamos supor que o servidor DNS seja o servidor DNS primário para a
zona vendas.abc.com.br (diz-se que ele é a autoridade para esta zona) e o nome a
ser pesquisado é srv01.vendas.abc.com.br. Neste caso o servidor DNS irá pesquisar
nas informações da zona vendas.abc.com.br (para a qual ele é a autoridade) e
responder a consulta para o cliente. Diz-se que o servidor DNS respondeu com
autoridade (authoritatively).

No nosso exemplo (Figura anterior) não é este o caso, uma vez que o nome
pesquisado é www.microsoft.com e o servidor DNS não é a autoridade, ou seja, não é
o servidor DNS primário para o domíno microsoft.com. Neste caso, o servidor DNS irá
pesquisar o cache do servidor DNS (não confundir com o cache local do DNS no
cliente).

À medida que o servidor DNS vai resolvendo nomes, ele vai mantendo estas
informações em um cache no servidor DNS. As entradas são mantidas em cache por
um tempo que pode ser configurado pelo administrador do DNS. O cache do servidor
DNS tem a mesma função do cache local do resolver, ou seja, agilizar a consulta a
nomes que já foram resolvidos previamente. Se for encontrada uma entrada no cache
do servidor DNS, esta entrada será utilizada pelo servidor DNS para responder a
consulta enviada pelo cliente. e o processo de consulta está completo.

Caso o servidor DNS não possa re

[Diffident]

Pergunta técnica, aos que desenvolvem para web:

Você desenvolve para o IE, e posteriormente para os demais navegadores?
Ou desenvolve para os demais navegadores, e posteriormente para o IE?

[Fudencius]

Quem foi que disse que o assunto não tem a ver com putaria. Eu ia comprar um livro de informática para o concurso da Receita Federal, mas com as dicas postadas pelo Desconfiado, economizei R$ 150,00, e com essa grana, com certeza, vou comer uma tilanga.

PS: Faltou tipos, protocolos e segurança de redes

Um abraço

Opa, então favor depositar a metade do valor em minha conta.

Quem sabe, sabe !

Obrigado e parabéns pela aula


Fui

[Diffident]

Quem foi que disse que o assunto não tem a ver com putaria. Eu ia comprar um livro de informática para o concurso da Receita Federal, mas com as dicas postadas pelo Desconfiado, economizei R$ 150,00, e com essa grana, com certeza, vou comer uma tilanga.

PS: Faltou tipos, protocolos e segurança de redes

Um abraço

Opa, então favor depositar a metade do valor em minha conta.

Quem sabe, sabe !

Obrigado e parabéns pela aula


Fui

A intenção é que surjam as duvidas voltados a tecnologia, e os que puder ajudar compartilhe com as informações.

Ps: particularmente nesse momento estou remoendo os quatros cantos devido a uma configuração do DW e não acho nada.
Ex: Quando atualizo o arquivo DWT, para as demais paginas serem atualizadas há necessidade de todas estarem abertas.

[Peter_North]

Protocolo ATM Protocolo ATM

Eu às vezes me confundo no trabalho. Coisas como:

- E aí Peter, o que vamos usar para a nossa nova rede, ATM ou Ethernet?
- ATM é ótimo, ah, hem, quero dizer, pensando melhor vamos de Ethernet que é mais barato.

- E aí Peter, sabes de um lugar com boas informações sobre GPS?
- GPs? Claro, o GPGuia, ah, hem, quero dizer, pensando melhor, estás falando do Global Positioning System né? Ah, nesse caso é o www.gpsbrasil.com.br

- E aí Peter, o que vamos usar nesse link, PPP ou DLC?
- PPP é uma merda, eu detesto, ah, hem, quero dizer, pensando melhor, esqueçe o DLC porque está caindo em desuso.

- E aí Peter, o que achas do PPP sobre ATM?
- É foda, elas vem sempre o mesmo papo de que é nojento e tal, ah, hem, quero dizer, pensando melhor, é bom porque evita aqueles problemas de MTU do PPPoE.

[Diffident]

Quem foi que disse que o assunto não tem a ver com putaria. Eu ia comprar um livro de informática para o concurso da Receita Federal, mas com as dicas postadas pelo Desconfiado, economizei R$ 150,00, e com essa grana, com certeza, vou comer uma tilanga.

PS: Faltou tipos, protocolos e segurança de redes

Um abraço

Opa, então favor depositar a metade do valor em minha conta.

Quem sabe, sabe !

Obrigado e parabéns pela aula


Fui

A intenção é que surjam as duvidas voltados a tecnologia, e os que puder ajudar compartilhe com as informações.

Ps: particularmente nesse momento estou remoendo os quatros cantos devido a uma configuração do DW e não acho nada.
Ex: Quando atualizo o arquivo DWT, para as demais paginas serem atualizadas há necessidade de todas estarem abertas.

Mesmo não havendo um filho de Deus, para dar uma luz, ai vai. O problema é nada mais nada menos que o software "PRTA". Instalei o CS4 e os problemas acabaram.

[Renton]

Mesmo não havendo um filho de Deus, para dar uma luz, ai vai. O problema é nada mais nada menos que o software "PRTA". Instalei o CS4 e os problemas acabaram.

Que feio, hein?! Outro programa que vive dando engasgadas é o CorelDraw X4...

[Diffident]

Mesmo não havendo um filho de Deus, para dar uma luz, ai vai. O problema é nada mais nada menos que o software "PRTA". Instalei o CS4 e os problemas acabaram.

Que feio, hein?! Outro programa que vive dando engasgadas é o CorelDraw X4...

Nossa que feio também.