Professional Documents
Culture Documents
Arquitetura TCP/IP
Julho de 2004
Campo Grande MS
Pgina
Introduo ........................................................................................................................... 05
1.1
1.2
Histrico .................................................................................................................... 05
1.3
Caractersticas ............................................................................................................ 05
1.4
2.
2.2
2.3
2.4
2.5
3.
4.
Subredes ............................................................................................................................. 13
3.1
3.2
3.2
4.2
4.3
4.4
5.
4.5
4.6
Roteamento ......................................................................................................................... 22
5.1
Conceituao ............................................................................................................. 22
5.2
5.3
6.
5.4
5.5
5.6
5.7
7.
Aplicativos ........................................................................................................................... 29
7.1
7.2
7.3
7.4
8.
8.2
8.3
8.4
VPNs ......................................................... 39
Introduo ................................................................................................................. 40
9.2
9.3
9.4
9.5
9.6
9.7
9.8
9.9
Conceitos Bsicos
Antes de iniciarmos a abordagem para entender como funciona o fluxo de informaes em uma rede
baseada no TCP/IP, teremos que entender alguns termos e conceitos que sero discutidos.
Endereamento
O conceito fundamental de interligao em rede o endereamento. Em uma ligao em rede, o
endereo de um dispositivo sua identificao exclusiva. Normalmente os endereos so numricos e seguem
um formato padro bem definido (cada formato definido no prprio documento de especificao). preciso
atribuir a todos os dispositivos em uma rede um identificador exclusivo que satisfaa ao formato padro. Esse
identificador o endereo do dispositivo. Nas redes roteadas, o endereo contm, pelos menos, duas partes:
uma rede e um n (ou host).
Se dois dispositivos em uma rede tiverem endereos com o mesmo nmero de rede, eles sero alocados
na mesma rede e, conseqentemente no mesmo fio. Os dispositivos de um mesmo fio podem se comunicar
diretamente uns com os outros, utilizando o protocolo da camada de enlace de dados (ou seja, a Ethernet, por
exemplo). Apesar das possveis diferenas entre conexes de outros meios fsicos, os conceitos so os mesmos
para as redes Token Ring, na FDDI ou em muitos outros meios fsicos comuns.
A atribuio correta de endereos dos dispositivos em uma rede torna necessrio que todo dispositivo
conectado mesma rede (ou fio) seja configurado com o mesmo nmero de rede. Tambm, todo dispositivo
que apresente o mesmo nmero de rede precisa ter um nmero de n (ou host) diferente dos demais
dispositivos que contenham o mesmo nmero de rede. Em suma, toda rede precisa ter um nmero de rede
exclusivo. O nmero de rede e o de host tem que exclusivos dentro de uma sub-rede e da rede respectivamente.
Alm dos endereos exclusivos de rede e de host, costuma-se utilizar endereos especiais para
enderearem vrios ns ao mesmo tempo. Eles so denominados endereos de difuso (broadcast) ou de grupo
(multicast).
Pacotes
Na maioria das redes TCP/IP, as informaes enviadas so desmembradas em partes denominadas
pacotes (ou datagramas). Isso acontece por dois motivos principais: compartilhamento de recursos e deteco e
correo de erros.
Se dois dispositivos estiverem se comunicando, nenhum outro dispositivo poderia se comunicar ao
mesmo tempo. Nesse sentido, uma rede funciona com uma linha compartilhada. Caso dois dispositivos queiram
compartilhar um grande volume de informaes, seria injusto que eles monopolizassem a rede durante muito
tempo, impedindo que informaes mais urgentes fossem transmitidas. Quando um grande bloco de
informaes desmembrado em blocos menores, cada bloco menor pode ser enviado individualmente,
permitindo que outros dispositivos entrecruzem suas prprias mensagens entre os pacotes.
7
A Classe A possui endereos suficientes para enderear 128 redes diferentes com at 16.777.216 hosts
(estaes) cada uma.
A Classe B possui endereos suficientes para enderear 16.284 redes diferentes com at 65.536 hosts cada
uma.
A Classe C possui endereos suficientes para enderear 2.097.152 redes diferentes com at 256 hosts cada
uma.
As mquinas com mais de uma interface de rede (caso dos roteadores ou mquinas interligadas a mais de uma
rede, mas que no efetuam a funo de roteamento) possuem um endereo IP para cada uma, e podem ser
identificados por qualquer um dos dois de modo independente. Um endereo IP identifica no uma mquina,
mas uma conexo rede.
Limites de endereamento
Classe
A
B
C
D
E
Menor Endereo
1.0.0.0
128.0.0.0
192.0.0.0
224.0.0.0
240.0.0.0
Maior Endereo
127.255.255.255
191.255.255.255
223.255.255.255
239.255.255.255
247.255.255.255
10
Serve para enderear simultaneamente todas as mquinas da rede (vale, em geral, somente para mquinas de
uma mesma rede local);
formado colocando-se todos os bits da parte de endereamento de mquina de um endereo IP com valor 1.
11
Exemplo final
12
13
Observa-se que um endereo IP deve ser atribudo a cada interface de comunicao de um equipamento ligado
em rede. Na figura anterior, o roteador est conectado em ambas as redes R1 e R2, tendo em cada uma um
endereo.
Atribuio de Endereo IP a dispositivos TCP/IP
Os endereos podem ser atribudos de vrias maneiras. Se uma empresa quiser estruturar uma rede
TCP/IP que nunca ser conectada com outras redes TCP/IP fora dessa empresa, ento ser possvel utilizar
qualquer nmero de rede de classe A, B ou C que permita um nmero apropriado de hosts nela. Esse mtodo
extremamente limitado porque duas das principais vantagens de uma rede TCP/IP so sua capacidade de
conexo com o mundo externo e o compartilhamento de recursos entre as empresas, tais como o
estabelecimento de uma conexo com a Internet. Uma estratgia mais apropriada seria entrar em contato com
a InterNIC na Network Solution, Inc. ou Fapesp e solicitar um nmero de rede, que ento ser atribudo a um
14
15
16
Funciona eficientemente porque h uma tabela de mapeamento ARP em cada mquina da rede. A mquina que
faz uma pergunta na rede j informa seu endereo IP e seu endereo fsico; as mquinas que ouvem a pergunta
armazenam essa informao nas suas tabelas ARP.
Mapeamento de endereos fsicos de rede em endereos lgicos Internet
De modo semelhante ao ARP, um servio de mapeamento de endereos fsicos em endereos lgicos Internet
pode ser disponibilizado atravs do protocolo RARP Reverse Address Resolution Protocol. Usado por
estaes sem disco (diskless).
Atravs de uma mensagem de difuso uma mquina pergunta qual o endereo lgico Internet corresponde ao
seu endereo fsico. Uma mquina da rede configurada como servidor RARP vai responder a pergunta,
consultando uma base de dados.
17
18
Campos:
Source/Destination Port: porta de origem/destino (identificam os processos envolvidos na conexo);
Message Lenght: tamanho do segmento;
Checksun: verificao de erro;
Data: incio dos dados
Protocolo TCP
Baseado em seqncias de bytes no estruturados (streams);
Transporte de dados baseado em servio com conexo (virtual circuit):
. Estabelecimento de conexo;
. Transferncia de dados;
. Encerramento de conexo;
Maior sobrecarga;
Confivel;
Com deteco e correo de erros;
Com controle de seqncia;
Necessrio para maiores quantidades de dados a transmitir;
Necessrio para aplicao do tipo interativa;
Necessrio para aplicao que no tem seu prprio mecanismo de entrega confivel.
19
20
21
Vantagens do Roteamento
Melhor escolha de rota: com o uso de protocolos de roteamento modernos, podem-se ter mltiplos caminhos
operando em paralelo, distribuindo trfego (multiplexando caminhos) de acordo com critrios especificados pelo
administrador da rede ou dos prprios softwares envolvidos; Adaptao a diferentes tecnologias de redes
fsicas: sistemas de comunicao de longa distncia (ponto-a-ponto) e sistemas de comunicao de curta
distncia (os mais variados), com caractersticas de performance e forma de transmisses variadas podem ser
integrados facilmente;
Confiana e controle: roteadores normalmente no propagam dados oriundos de difuso (broadcast ou
multicast) em nvel de enlace de dados; agem como barreiras entre redes distintas prevenindo a propagao
de alguns tipos de falhas (por exemplo, uma tempestade de difuso) ou mesmo de alguns tipos de acessos
indevidos (baseado em endereos de origem/destino dos dados);
Reportagem de erro: roteadores usam o protocolo ICMP (Internet Control Message Protocol) para
relatar/tratar condies de erro (por exemplo, congestionamento de rede).
22
Entrega Indireta: feita quando a mquina destino no se encontra na mesma rede fsica da mquina origem;
nesse caso os dados so enviados para o roteador (gateway) mais prximo, e assim sucessivamente at
atingirem a mquina destino.
23
Tabela de Roteamento
Cada mquina/roteador da rede precisa dispor de informaes sobre a(s) rede(s) a(is) qual(is) est conectada.
Tais informaes permitem mquina/roteador fazer a entrega de dados como visto anteriormente. A esse
conjunto de informaes d-se o nome de Tabela de Roteamento;
A tabela de roteamento deve guardar informaes sobre que conexes esto disponveis para se atingir uma
determinada rede e alguma indicao de performance ou custo do uso de uma dada conexo;
Antes de enviar um datagrama, uma mquina/roteador precisa consultar a tabela de roteamento para decidir
por qual conexo de rede envi-lo;
Obtida a resposta, a mquina faz a entrega do datagrama de forma direta (destino em rede diretamente
conectada) ou atravs de um roteador (destino no em rede diretamente conectada).
Cada entrada especifica uma rede destino, a mscara de rede e o prximo roteador a ser usado para se chegar
rede destino;
Para redes diretamente conectadas, o endereo IP do roteador destino o endereo da interface de conexo
rede;
Algumas entradas podem especificar (ocasionalmente) o endereo IP de uma mquina destino;
24
25
NS
Ns.Watson.ibm.com,
Ns.almedem.ibm.com
MX
Ns.Watson.ibm.com
Linuxtoday.com
Ns1.internet.com,
Ns3.internet.com
Mail.linuxtoday.com
A
204.146.81.99,
198.133.16.99,
198.133.17.99,
204.146.80.99
63.236.72.248
26
- No Brasil, tem-se uma organizao semelhante, acrescentando-se o sufixo.br aos domnios anteriores:
27
- De modo semelhante, algum pode querer saber qual o nome associado algum endereo IP. Nesse caso,
faz uma consulta padro (consulta ao DNS reverso) tambm comeando pela raiz da hierarquia.
28
TELNET
A seqncia de protocolos TCP/IP inclui um protocolo simples de terminal remoto denominado TELNET.
O TELNET oferece um servio de uso remoto de computadores atravs da rede e permite que um usurio em
uma mquina A abra uma conexo TCP com uma mquina B (situado em outro site ou no) e passe a us-la
como se estivesse conectado mesma localmente.
Grande parte da rica funcionalidade associada ao TCP/IP resulta de uma grande variedade de servios
de alto nvel fornecidos pelos programas aplicativos. Os protocolos de alto nvel de Login Remoto usados por
esses programas so voltados para servios bsicos: remessa no confivel de datagrama e stream de
transmisso confivel. Os servios geralmente seguem o modelo cliente/servidor em que os servidores operam
em portas de protocolos identificadas para que os clientes saibam como contat-los.
Aplicativos de acesso e transferncia de arquivos
Muitos sistemas de redes fornecem computadores com capacidade para acessar arquivos em mquinas
remotas. Os projetistas exploraram uma variedade de abordagens ao acesso remoto. Por exemplo, alguns
projetos usam acesso a arquivo remoto para reduzir o custo total. Nesses sistemas de arquitetura, um
sistema de arquivo centralizado e nico fornece armazenamento secundrio para um conjunto de
computadores baratos sem armazenagem de disco local.
29
30
Implementao
implementado atravs de chamadas remotas de procedimentos (RPC). Seguindo uma Arquitetura
cliente/servidor; no guardando nenhuma informao em relao ao estado dos arquivos abertos em uso pelos
clientes. NFS apresenta as seguintes vantagens:
- Transparncia: o usurio final no sabe (e precisa?) onde os arquivos ficam realmente
armazenados;
- Unificao de comandos: os comandos de manipulao de arquivos locais e remotos so
exatamente os mesmos;
- Reduo de espao local: no preciso dispor de muito espao em disco em todas as mquinas
da rede (ex. todos os aplicativos podem residir em uma nica mquina);
- Independncia de sistema operacional;
- Consistncia no uso de bases de dados.
Estudos Adicionais
FTP ([RFC 959], [RFC 913], [RFC 1068])
TFTP ([RFC 783] e [RFC 906])
NFS ([RFC 1094], [RFC 1057], [RFC 1014])
Aplicativos de Correio Eletrnico
Muitos usurios tm seu primeiro contato com redes de computadores atravs do correio eletrnico (email), ou seja, quando enviam mensagens para um site remoto ou recebem mensagem deste. o servio
aplicativo mais utilizado. Na realidade, somente atravs dele que muitos usurios de computadores acessam
as redes.
Trata-se de um servio popular porque oferece um mtodo rpido e conveniente de transferncia de
informaes, alm de acomodar, com um nico mecanismo, de pequenas notas at grandes quantidades de
memorandos. No deve ser novidade que existem mais usurios enviando arquivos pelo correio eletrnico do
que pelos protocolos de transferncia de arquivos.
31
POP/IMAP um servio geralmente disponvel em servidores de correio eletrnico para permitir aos
usurios acesso s suas caixas postais a partir de estaes remotas (em geral, com sistema operacional
diferente do usado no servidor);
POP/IMAP permite que o usurio recupere e remova mensagens da sua caixa postal no seu servidor de
correio eletrnico a partir de qualquer mquina conectada na Internet;
32
33
Categoria
Sistema
Interfaces
Interfaces
IP
IP
IP
IP
IP
IP
IP
ICMP
TCP
TCP
TCP
UDP
EGP
Significado
Tempo desde a ltima reinicializao
Nmero de interfaces de rede
MTU para uma interface especial
Valor que o IP usa em campo de tempo de vida
Nmero de datagramas recebidos
Nmero de datagramas enviados
Nmero de falhas de roteamento
Nmero de datagramas remontados
Nmero de datagramas fragmentados
Tabela de roteamentos IP
Nmero de solicitaes ECHO ICMP recebidas
Tempo mnimo de retransmisso permitido pelo TCP/IP
Conexes mximas de TCP/IP permitidas
Nmero de segmentos recebidos pelo TCP
Nmero de datagramas de UDP recebidos
Nmero de mensagens EGP recebidas
35
36
37
38
39
40
Restante da
interligao em Redes
parte da interligao
em Redes da
Organizao
Exterior
Interior
Interface
Origem IP
Destino IP
Protocolo
Porta de Origem
Porta de Destino
TCP
21
TCP
23
128.5.*.*
TCP
25
UDP
43
UDP
69
TCP
79
O filtro bloqueia todos os datagramas que saem, originrios de qualquer host da rede classe B 128.5.0.0
e destinados a um servidor de correio eletrnico remoto (TCP porta 25). O filtro bloqueia tambm os
43
44
Interligao em
Redes Externa
Interligao em
Redes Interna
O bastion host proporciona o acesso seguro a servidores externos sem exigir que a organizao admita
datagramas com destinos arbitrrios.
Para permitir o acesso seguro, o firewall tem suas barreiras ideais. A barreira externa bloqueia todo o
trfego de entra exceto: (1) os datagramas destinados a servios do bastion host que a organizao decida
tornar disponveis ao acesso externo e (2) os datagramas destinados a clientes do bastion host. A barreira
interna bloqueia o trfego de entrada, exceto os datagramas que tm origem no bastion host. A maioria dos
firewalls contm tambm um desvio manual, que permite que os administradores temporariamente passem uma
parte do trfego ou o trafego integral entre um host da organizao e outro externo. Em geral, as organizaes
que desejam obter a mxima segurana possvel nunca ativam um desvio desse tipo.
Para entender a operao de um bastion host, considere o servio FTP. Suponha que um usurio da
organizao precise acessar um servidor FTP externo para obter uma cpia de um arquivo. Como o firewall
impede que o computador do usurio receba datagramas de entrada, o usurio no pode ativar o software do
cliente FTP diretamente. O usurio deve executar o cliente FTP diretamente. O usurio deve executar o cliente
FTP no bastion host. Aps copiar o arquivo para o bastion host, o usurio pode executar uma transferncia de
arquivo entre o bastion host e seu computador local. Duas abordagens so utilizadas: a primeira a utilizao
de alguma aplicao de login remoto e a outra a utilizao de aplicaes clientes especficas.
Os detalhes da arquitetura de firewall
Cada barreira de firewall necessita de um roteador que tenha filtro de pacote. As redes interconectam
os roteadores e um bastion host. Por exemplo, uma organizao que se conecta a Internet global atravs de
uma linha serial pode preferir implementar um firewall, com mostra a figura abaixo.
Interligao em
Redes Externa
(Internet Global)
Bastion host
R2
R1
Interligao em
Redes Interna
45
Conexes Externas
R3
R2
Bastion Host
R4
R5
R1
Interligao em
Redes Interna
Usar um firewall para vrias conexes pode reduzir o custo. Para compreender por que os firewalls com
vrias conexes geralmente usam um roteador por conexo, lembre-se de que todos os sites desconfiam um do
outro. Quando vrios sites externos conectam-se atravs de um nico firewall, uma arquitetura que possua um
roteador por conexo externa pode evitar o fluxo no desejado de pacotes de um site externo a outro.
46
47