Olá, pessoal! Vamos dar uma introdução sobre o que veremos na terceira parte do curso de Redes.
Antes de tudo, se você ainda não fez a Parte 1 e nem a Parte 2, recomendamos que você as faça primeiro, pois iremos continuar o mesmo projeto das partes anteriores.
Teremos agora novas requisições dos diretores da empresa Multillidae, onde precisaremos configurar políticas de acesso para que somente os gerentes de finanças e de vendas tenham permissão de acessar o servidor Server-PT Server0.
Por sua vez, os funcionários de venda e de finanças não terão permissão de acesso.
Depois, iremos realizar a tradução desses endereços IPs privados na rede interna para o endereço público, sendo ele o endereço IP que conseguimos nos comunicar com a internet.
Realizaremos a tradução desses endereços privados para os públicos, e estabelecer a comunicação com o roteador do provedor da rede de serviços.
Até as próximas aulas!!
Usando as subredes, conseguimos trabalhar de uma forma mais eficiente com os endereços IPs.
Imagine que temos um novo dia de reunião na empresa, e os diretores disseram que será implementado um servidor interno na empresa, com uma condição...
Esse servidor só poderá ser acessado pelo Gerente de Finanças e pelo Gerente de Vendas. Os demais funcionários desses setores em questão, não terão acesso ao mesmo.
A primeira etapa é colocar o servidor no projeto. Para isso, vamos acessar a opção End Devices
, e clicaremos na terceira opção e arrastamos:
Depois, iremos conectar esse servidor em uma das portas do Switch, utilizando o cabo direto (4 opção).
Clicando em "FastEthernet0", escolhemos a porta FastEthernet0/7. Assim como fizemos com o setor de vendas e de finanças, criaremos uma VLAN para os servidores.
Clicando no Switch 2950-24, na aba "CLI", vamos configurar uma VLAN respectiva para os servidores, pois no futuro, pode ser que os diretores queiram adquirir outros servidores, e assim, eles já vão ficar isolados em uma VLAN respectiva deles.
Para fazer essa configuração, entraremos no modo privilegiado, e depois no modo de configuração:
>
>enable
#configure terminal
Agora, precisaremos criar uma VLAN respectiva para os servidores. Como já utilizamos a VLAN 10
para o setor de vendas, e a VLAN 20
para o setor de finanças, utilizaremos a VLAN 30 para seguir a ordem de 10 em 10.
#vlan 30
#name SERVIDORES
#^Z
Utilizamos o comando "Ctrl + Z", para utilizar o comando para ver como estão atribuídas as VLANs nesse switch.
#show vlan brief
É mostrado que nesse VLAN, temos a VLAN 10, 20 e 30. Só que a VLAN 30 que criamos agora não tem nenhuma interface configurada nele. Precisamos configurar a FastEthernet0/7 para que essa interface trabalhe com a VLAN 30, a VLAN respectiva aos servidores.
VLAN Name Status Ports
----- ------------------ -------- -------------------------------
1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/7
Fa0/9...
Fa0/13...
Fa0/17...
Fa0/21...
10 VENDAS active
20 FINANCAS active
30 SERVIDORES active
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active
#configure terminal
#interface fastEthernet 0/7
A primeira etapa é mudar a forma que essa porta irá trabalhar, dizer que ela está conectada no dispositivo final.
#switchport mode access
Agora precisamos falar qual a VLAN que está conectada a essa interface:
#switchport access vlan 30
Quando fazemos isso, a porta do switch cai momentaneamente para que ela possa se reconfigurar com as informações da VLAN 30. Usaremos o comando #show vlan brief
:
VLAN Name Status Ports
----- ------------------ -------- -------------------------------
1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/8
Fa0/9...
Fa0/13...
Fa0/17...
Fa0/21...
10 VENDAS active
20 FINANCAS active
30 SERVIDORES active Fa0/7
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active
Então, aqui podemos ver que a interface Fa0/7 está vinculado a VLAN 30 em SERVIDORES.
Vamos configurar o 1841Router1 para que ele tenha também uma subinterface que seja vinculada à VLAN 30.
Clicando no roteador, na aba "CLI", colocaremos alguns comandos:
>enable
#configure terminal
Depois, criaremos uma subinterface para a VLAN 30:
#interface fa0/0.3
Agora diremos que a VLAN 30 estará vinculada a ela:
Router(config-subif)#encapsulation dot1Q 30
Legal! Configuraremos agora os endereços IPs. O primeiro será um endereço estático.
Anteriormente, estavamos trabalhando com a subrede 172.16.2.128
que foi alocado para o setor de finanças. Agora, iremos utilizar a terceira sub-rede dessa imagem, para alocar o setor de SERVDORES. (Lembrando que não podemos atribuir a nenhuma máquina ou interface, o endereço 172.16.3.0
, e nem o endereço IP referente ao broadcast):
Router(config-subif)#ip address 172.16.3.1 255.255.255.128
Esse é o primeiro endereço IP disponível no intervalo, e a máscara de subrede 255.255.255.128
que foi atribuída para o setor de finanças.
Depois de atribuir esse endereço a essa máscara de subrede, colocaremos no servidor, o endereço IP que esteja dentro da subrede.
Clicando no Server-PT Server0, colocaremos o IP estático 172.16.3.2
, a máscara de subrede 255.255.255.128
, o gateway 172.16.3.1
que é o valor que foi configurado na subinterface.
Veremos agora se conseguimos pingar o servidor para o roteador em Command Prompt
:
SERVER>ping 172.16.3.1
Muito bem! A sub interface criada estaticamente para a VLAN 30 e o endereço IP configurado estaticamente pro servidor!
Não podemos nos esquecer que os outros switches, também precisam passar informações da VLAN 30, caso algum usuário queira acessar o servidor Server-PT Server0. Entretanto a VLAN 30 ainda não foi configurada nesses switches.
Clicando no switch da esquerda, na aba "CLI", criaremos a VLAN 30 nesse switch:
>enable
>configure terminal
#vlan 30
#name SERVIDORES
Faremos o mesmo para o Switch da direita:
>enable
#configure terminal
#vlan 30
#name SERVIDORES
Vamos estilizar o nosso servidor para mostrar uma página de domínio próprio da Multillidae, para que o gerente de finanças e o gerente de vendas poderem acessar o servidor com uma página mais estilizada.
Na aba "Services", em "HTTP", clicamos na opção (edit) em index.html
, e vamos colocar um código HTML:
<html>
<h1>Servidor Multillidae</h1>
<br>
<input type="text" placeholder="Nome">
<br>
<input type="password" placeholder="Senha">
<br>
<button type="submit">Logar</button>
</html>
Em seguida, clicaremos em "Save". Isso irá deixar um pouco mais claro para o gerente de finanças ou o de vendas, para que eles façam o login sem problemas.
Veremos se conseguimos acessar a página desse servidor interno da empresa.
Em "Ger. Financas", clicaremos na aba "Desktop", e depois no ícone "Web Browser", e colocamos o endereço IP do servidor configurado.
URL: 172.16.3.2
Veremos se somente o gerente de Finanças está acessando ou se outros usuários estão também acessando. No "Ger. Vendas", faremos os mesmos passos do gerente de finanças.
Este gerente também consegue ter acesso. Pela requisição dos diretores, os funcionários de vendas e de finanças, não devem acessar esse servidor.
Clicando no "Web Browser" de "Func. Finanças" e de "Func. Vendas", e colocando o mesmo endereço IP, também aparecerão a tela de login, isso quer dizer que eles também estão tendo acesso ao servidor.
Isso quer dizer que ainda não temos o sucesso total. Já implementamos o servidor, o isolamos na sua VLAN respectiva, entretanto TODOS os funcionários estão conseguindo acessar à página do login interno da Multillidae.
Na próxima etapa, veremos como podemos evitar que outros funcionários acessem essa página.
Apesar de ter implementado e configurado o servidor na empresa, entretanto, temos um problema onde os funcionários não podem ter acesso ao servidor, exceto os gerentes de Finanças e Vendas. Acontece que todos estão tendo acesso à esse servidor.
Para que nós podemos realizar essa etapa, precisamos entender mais detalhadamente sobre os protocolos que são executados por debaixo dos panos. Alterando o modo de Realtime para Simulation, conseguiremos visualizar melhor esses protocolos.
No "Ger. Finanças", colocaremos no computador dele o endereço IP do servidor 172.16.3.2
, e perceba que quando colocamos esse endereço IP do servidor, teremos o protocolo TCP, ou seja, ainda não temos o protocolo HTTP. Mas por quê?
O responsável pelo transporte da informação é o protocolo TCP. Vamos entender como esse protocolo funciona e como ele possibilita o transporte da informação.
O que acontece é que, quando queremos acessar uma página que está no servidor, o protocolo TCP iniciará um processo de sincronização, ou seja, o computador mandará um pacote de informação, pedindo para o servidor que ele quer realizar a sincronização. O servidor, por sua vez, irá receber esse pedido de sincronização por parte do computador e irá retornar que ele está apto a receber a comunicação.
Quando o computador recebe essa confirmação do servidor, ele devolve para o servidor, a resposta ACK (Acknowledgement), dizendo que ele também está apto a receber a comunicação, e a partir desse momento, a transferência de dados se inicia.
No protocolo TCP, dizemos que ele realiza a transferência da informação de uma forma confiável. Vamos supor que durante o processo de transferência de dados do computador para o servidor, ocorre a perda de um pacote. Essa perda será detectada pelo servidor, e ele pedirá que a informação perdida seja transmitida novamente por quem enviou. Então, a transferência confiável se dá pelo fato de haver várias retransmissões dos pacotes que são perdidos durante a comunicação, pois caso algum pacote seja perdido, ocorrerá essas retransmissões.
Agora, veremos se conseguimos identificar esses pacotes de sincronização e acknowledgement em nosso projeto.
No painel de simulação, clicaremos no pacote TCP que está saindo do computador, para identificar alguns dados:
E encontramos essa informação:
Aqui, está dizendo que o computador do gerente de finanças, está mandando um pacote de sincronização para o endereço 172.16.3.2
, onde esse endereço IP é do servidor Server-PT Server0
.
O computador do Gerente de Finanças irá mandar o pacote até o servidor, que será mandado para o switch principal, que será passado para o roteador, pois o servidor e o computador estão em redes diferentes, e por isso é necessário realizar o roteamento entre as VLANs. O roteador será responsável por esse roteamento, passando a informação novamente para o switch principal, e que este mandará para o servidor.
O servidor vai ver que tem um dispositivo querendo iniciar a sincronização, que é o gerente de finanças. Então, ele vai indicar que ele está apto a receber essa informações.
Se clicarmos no último pacotinho TCP, veremos que esse dispositivo (Ger. Finanças), recebeu uma resposta de que a sincronização pode ser estabelecida do dispositivo 172.16.3.2
que é o servidor.
Uma vez que temos essa resposta de que a sincronização por parte do equipamento remoto (servidor) pode ser estabelecida, começaremos a mandar o pacote referente ao protocolo HTTP.
Junto com o protocolo HTTP, vamos mandar a informação que o computador entendeu o recado, que o servidor está apto a receber essa sincronização, e daremos o acknowlegdement para ele, assim ele sabe que o computador entendeu.
Então, quem faz essa etapa inicial de comunicação, é o protocolo TCP. Uma vez que a conexão foi estabelecida, teremos a transferência dos protocolos HTTP, para que a página do servidor apareça no browser do Gerente de Finanças.
Uma vez que já entendemos melhor como que trabalha esse protocolo TCP, vamos tentar entender como conseguiremos filtrar essas informações, para garantir que somente o Gerente de Finanças e o Gerente de Vendas acessem o servidor.
Isso será obtido através do conceito de uma tecnologia chamada Lista de Acessos!!!
A lista de acesso fica no roteador:
O roteador com a lista de acessos, ficará comparando os tráfegos que chegam ao roteador, e vai verificar se existe alguma compatibilidade daquele tráfego que esteja presente na lista. Se não tiver nenhuma compatibilidade, será negado e não será possível que o tráfego siga adiante.
A nossa próxima etapa é justamente configurar o roteador, para que ele verifique os tráfegos através dos protocolos, quem é que está fazendo essa requisição, para que a partir daí, a gente consiga filtrar os endereços IPs que permitimos acesso, e os que não permitimos acesso ao servidor.
O curso Redes parte 3: defina as listas de controle e políticas de acesso de usuários possui 100 minutos de vídeos, em um total de 25 atividades. Gostou? Conheça nossos outros cursos de Redes em DevOps, ou leia nossos artigos de DevOps.
Matricule-se e comece a estudar com a gente hoje! Conheça outros tópicos abordados durante o curso:
Mais de 1200 cursos completamente atualizados, com novos lançamentos todas as semanas, em Programação, Front-end, UX & Design, Data Science, Mobile, DevOps e Inovação & Gestão.
Desafios temáticos para você turbinar seu portfólio. Você aprende na prática, com exercícios e projetos que simulam o dia a dia profissional.
Webséries exclusivas com discussões avançadas sobre arquitetura de sistemas com profissionais de grandes corporações e startups.
Emitimos certificados para atestar que você finalizou nossos cursos e formações.
Estude a língua inglesa com um curso 100% focado em tecnologia e expanda seus horizontes profissionais.
Mais de 1200 cursos completamente atualizados, com novos lançamentos todas as semanas, em Programação, Front-end, UX & Design, Data Science, Mobile, DevOps e Inovação & Gestão.
Desafios temáticos para você turbinar seu portfólio. Você aprende na prática, com exercícios e projetos que simulam o dia a dia profissional.
Webséries exclusivas com discussões avançadas sobre arquitetura de sistemas com profissionais de grandes corporações e startups.
Emitimos certificados para atestar que você finalizou nossos cursos e formações.
Estude a língua inglesa com um curso 100% focado em tecnologia e expanda seus horizontes profissionais.
Acesso completo
durante 1 ano
Estude 24h/dia
onde e quando quiser
Novos cursos
todas as semanas