Redes de Computadores e conectividade para serviços digitais do DETRAN

Visão por camadas (TCP/IP) aplicada aos serviços digitais

Em serviços digitais do DETRAN (portais, APIs, integrações com terceiros, unidades de atendimento e backoffice), a rede precisa entregar conectividade previsível e segura. A forma mais prática de entender e diagnosticar problemas é por camadas do modelo TCP/IP: cada camada tem funções, protocolos e sintomas típicos quando falha.

Camada de Enlace (L2): Ethernet, VLAN, ARP

• O que faz: comunicação dentro do mesmo segmento de rede (mesma VLAN/sub-rede), endereços MAC, comutação (switching).
• Protocolos/itens: Ethernet, 802.1Q (VLAN), ARP, STP/RSTP (evitar loops).
• Sintomas comuns: intermitência, loops (tempestade de broadcast), porta errada em VLAN, MAC flapping, ARP inconsistente.

Camada de Internet (L3): IP, sub-redes, roteamento, NAT

• O que faz: endereçamento e encaminhamento entre redes diferentes.
• Protocolos/itens: IPv4/IPv6, roteamento estático/dinâmico, ICMP, NAT/PAT.
• Sintomas comuns: sem rota, gateway incorreto, conflito de IP, NAT esgotado, assimetria de rota.

Camada de Transporte (L4): TCP/UDP e portas

• O que faz: entrega fim a fim, controle de conexão (TCP) e datagramas (UDP).
• Protocolos/itens: TCP (3-way handshake, retransmissões), UDP (sem conexão), portas (ex.: 443, 53, 67/68).
• Sintomas comuns: portas bloqueadas, timeouts, resets, retransmissões elevadas, MTU/fragmentação afetando sessões.

Camada de Aplicação: DNS, DHCP, HTTP(S), NTP

• O que faz: serviços consumidos por usuários e sistemas.
• Protocolos/itens: DNS (resolução de nomes), DHCP (endereçamento automático), HTTP(S) (serviços web), NTP (sincronismo de tempo).
• Sintomas comuns: falha de resolução de nomes, IP não obtido, certificados/HTTPS falhando por horário incorreto, lentidão por dependências externas.

Endereçamento IP e sub-redes: base para segmentação e controle

Conceitos essenciais

• IP e máscara: definem a rede e o host. Ex.: 10.20.30.0/24 (máscara 255.255.255.0) tem 256 endereços, 254 utilizáveis.
• CIDR (/n): indica quantos bits são de rede. Quanto maior o /n, menor a sub-rede.
• Gateway padrão: IP do roteador na sub-rede para sair para outras redes.
• Broadcast: último endereço da sub-rede (em IPv4) usado para comunicação a todos os hosts do segmento.

Passo a passo: cálculo rápido de sub-rede (IPv4)

Exemplo 1: Qual a rede, broadcast e faixa de hosts de 192.168.10.77/26?

• 1) /26 significa blocos de 64 endereços (256 - 192 = 64 no último octeto).
• 2) Identifique o bloco: 0-63, 64-127, 128-191, 192-255. O 77 cai em 64-127.
• 3) Rede: 192.168.10.64
• 4) Broadcast: 192.168.10.127
• 5) Hosts: 192.168.10.65 a 192.168.10.126

Exemplo 2: Preciso de pelo menos 50 hosts por setor. Qual prefixo mínimo?

• 1) Hosts utilizáveis = 2^(bits de host) - 2
• 2) Para 50: 2^6 - 2 = 62 (suficiente). Então bits de host = 6.
• 3) Prefixo = 32 - 6 = /26

Boas práticas de endereçamento em ambiente corporativo

• Planejar por função: separar usuários, servidores, impressoras, voz, Wi-Fi corporativo e Wi-Fi visitante.
• Reservar faixas: para crescimento e para links ponto-a-ponto (ex.: /30 ou /31).
• Padronizar gateways: ex.: primeiro IP utilizável (.1) ou último (.254) por sub-rede.
• Documentar: mapa de sub-redes, VLANs, gateways, DHCP scopes e DNS.

VLANs e segmentação: isolamento, segurança e organização

Conceito

VLAN (Virtual LAN) cria domínios de broadcast separados em um mesmo conjunto de switches. Isso reduz broadcast, melhora organização e permite aplicar políticas (ACLs, firewall) entre segmentos.

Trunk vs Access (na prática)

• Porta access: carrega uma VLAN única (ex.: estação de trabalho).
• Porta trunk: carrega múltiplas VLANs com tag 802.1Q (ex.: uplink entre switches, link para roteador/firewall).

Passo a passo: desenhar segmentação típica para uma unidade de atendimento

• 1) Liste perfis e necessidades: atendimento ao público, administração, gerência, impressoras, CFTV, telefonia IP, Wi-Fi visitante.
• 2) Crie VLANs e sub-redes: ex.: VLAN 10 (Atendimento 10.10.10.0/24), VLAN 20 (Admin 10.10.20.0/24), VLAN 30 (Impressoras 10.10.30.0/24), VLAN 40 (Voz 10.10.40.0/24), VLAN 50 (CFTV 10.10.50.0/24), VLAN 60 (Guest 10.10.60.0/24).
• 3) Defina gateway por VLAN no roteador/firewall (SVI ou subinterfaces).
• 4) Defina regras de acesso: Guest só internet; Atendimento acessa sistemas internos; CFTV só para servidor de gravação; Impressoras acessíveis apenas por VLANs autorizadas.
• 5) Planeje DHCP por VLAN (escopos separados) e DNS interno.

Roteamento: conectando redes e garantindo caminhos

Conceitos

• Roteamento estático: rotas fixas, simples, bom para ambientes pequenos e previsíveis.
• Roteamento dinâmico: protocolos trocam rotas (ex.: OSPF, BGP em cenários maiores). Útil para redundância e múltiplos caminhos.
• Default route: rota padrão para destinos desconhecidos (0.0.0.0/0).
• Inter-VLAN routing: roteamento entre VLANs via L3 switch/roteador/firewall.

Passo a passo: checagem de conectividade L3

• 1) Verifique IP/máscara/gateway do host.
• 2) Ping no gateway da VLAN.
• 3) Ping em um IP de outra VLAN (ex.: servidor).
• 4) Traceroute para identificar onde para.
• 5) Verifique rotas no roteador/firewall e ACLs.

NAT: publicação e acesso à internet

Conceitos

• NAT/PAT de saída: muitos IPs privados saem com um ou poucos IPs públicos (tradução por porta).
• NAT de entrada (DNAT/port forwarding): publica serviço interno (ex.: API) para acesso externo.
• Riscos comuns: esgotamento de portas, regras conflitantes, assimetria (retorno por outro link), logs insuficientes para auditoria.

Passo a passo: validar problema relacionado a NAT

• 1) Identifique origem (sub-rede) e destino (IP/porta) do tráfego.
• 2) Confirme regra de NAT aplicada (ordem importa em muitos firewalls).
• 3) Verifique se há política de firewall permitindo antes/depois do NAT (depende do fabricante).
• 4) Cheque tabela de traduções e contadores (sessões ativas, drops).
• 5) Teste com captura (SPAN/tcpdump) para ver IP/porta antes e depois da tradução.

DNS e DHCP: serviços críticos para disponibilidade

DNS (resolução de nomes)

DNS traduz nomes (ex.: api.servicos.detran.local) em IPs. Falhas de DNS frequentemente parecem “queda do sistema”, mesmo quando o serviço está no ar.

Continue em nosso aplicativo

Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

ou continue lendo abaixo...

Baixar o aplicativo

• Registros comuns: A/AAAA (nome para IP), CNAME (alias), MX (e-mail), PTR (reverso), SRV (serviços).
• TTL: tempo de cache; TTL alto reduz consultas, mas dificulta mudanças rápidas.
• Split-horizon: respostas diferentes para rede interna e externa (comum em ambientes corporativos).

Passo a passo: diagnóstico rápido de DNS

• 1) Teste resolução no cliente: consultar o nome e verificar qual servidor DNS respondeu.
• 2) Compare com consulta direta ao DNS autoritativo interno.
• 3) Verifique se o IP retornado é o esperado (mudanças recentes, balanceadores, failover).
• 4) Cheque latência de resposta DNS e taxa de timeouts.
• 5) Se houver múltiplos DNS, teste cada um separadamente para identificar o nó problemático.

DHCP (endereçamento automático)

DHCP entrega IP, máscara, gateway, DNS e outras opções. Quando falha, usuários ficam sem IP válido ou com endereço automático (APIPA) e não acessam serviços.

• Escopo: faixa de IPs distribuídos por VLAN.
• Lease: tempo de concessão; muito curto aumenta tráfego DHCP, muito longo dificulta reaproveitar IPs.
• DHCP relay (ip helper): permite que um servidor DHCP atenda múltiplas VLANs.

Passo a passo: diagnóstico de DHCP

• 1) Verifique se o cliente recebeu IP, gateway e DNS corretos.
• 2) Confirme se o escopo tem endereços livres (pool não esgotado).
• 3) Verifique se há relay configurado no gateway da VLAN.
• 4) Cheque conflitos de IP e reservas (MACs duplicados, equipamentos clonados).
• 5) Analise logs do servidor DHCP (DISCOVER/OFFER/REQUEST/ACK) para ver onde parou.

Qualidade de Serviço (QoS): priorização para voz, vídeo e sistemas críticos

Conceitos

• Objetivo: controlar congestionamento priorizando tráfego sensível (voz, videoconferência, sistemas críticos) e limitando tráfego não crítico.
• Métricas impactadas: latência, jitter, perda.
• Mecanismos: classificação (marcação DSCP), filas (queuing), policiamento (policing), modelagem (shaping).

Passo a passo: aplicar QoS em cenário típico

• 1) Identifique aplicações críticas (ex.: telefonia IP, acesso a sistemas de atendimento).
• 2) Classifique tráfego por portas, sub-redes ou DSCP.
• 3) Defina filas e prioridade (voz com baixa latência; dados críticos com garantia mínima).
• 4) Aplique shaping no link de saída para evitar bufferbloat e controlar picos.
• 5) Monitore: compare antes/depois (latência e perda em horários de pico).

Topologias corporativas, links e redundância

Topologias comuns

• Estrela (campus/unidade): switches de acesso conectados a um core/distribuição.
• Hierárquica (Core-Distribuição-Acesso): facilita escalabilidade e segmentação.
• Hub-and-spoke (WAN): unidades remotas conectam ao datacenter/sede.
• Malha parcial: múltiplos caminhos entre pontos críticos (alta disponibilidade).

Redundância: o que observar

• Links redundantes: dois links para o mesmo destino (ex.: dois provedores ou duas rotas internas).
• Equipamentos redundantes: dois firewalls/roteadores em alta disponibilidade.
• Evitar loops L2: STP/RSTP e desenho cuidadoso de trunks.
• Failover: tempo de convergência deve atender ao serviço (ex.: atendimento não pode ficar minutos indisponível).

Monitoramento: disponibilidade e performance

• Disponibilidade: status de links, CPU/memória de equipamentos, estado de interfaces, BGP/OSPF neighbors.
• Performance: utilização de banda, filas QoS, erros de interface (CRC, drops), latência e perda.
• Alertas úteis: saturação acima de X% por Y minutos, aumento de erros, aumento de tempo de resposta DNS, flaps de link.

Métricas e diagnóstico: latência, perda e throughput

Definições práticas

• Latência: tempo de ida e volta (RTT). Alta latência afeta aplicações interativas e APIs.
• Perda de pacotes: pacotes descartados por congestionamento, erros físicos ou políticas. Pequena perda pode derrubar desempenho TCP.
• Throughput: taxa efetiva de transferência. Pode ser menor que a banda contratada por overhead, congestionamento, janela TCP, QoS.
• Jitter: variação da latência, crítico para voz/vídeo.

Ferramentas e comandos (conceito e uso)

• ping: mede latência e perda (ICMP). Útil para triagem rápida.
• traceroute/tracert: identifica saltos e onde a latência aumenta.
• nslookup/dig: valida DNS, servidor consultado, tempo de resposta.
• ipconfig/ifconfig: valida IP, gateway, DNS, lease DHCP.
• tcpdump/Wireshark: captura pacotes para ver handshake TCP, retransmissões, DNS, DHCP.
• iperf: mede throughput entre dois pontos controlados.

Interpretação de sinais comuns

• Ping ok, mas aplicação falha: pode ser porta bloqueada (L4), DNS, TLS, ou problema no servidor.
• Alta latência só em horário de pico: provável congestionamento, filas, saturação de link, QoS ausente/mal configurado.
• Perda intermitente: pode ser erro físico (CRC), interferência (Wi-Fi), duplex mismatch, loop L2.
• Throughput baixo com latência alta: TCP sofre com janela e retransmissões; investigar perda e bufferbloat.

Logs e evidências: como ler para isolar a causa

Fontes típicas de log

• Firewall: denies por política, NAT aplicado, sessões expirando, IPS bloqueando.
• DNS: SERVFAIL, NXDOMAIN, timeouts, recursion denied, aumento de queries.
• DHCP: pool exhausted, NAK, conflitos, falha no relay.
• Switch: STP topology change, port up/down, MAC flapping, erros CRC.
• Roteador: rota removida/adicionada, vizinhança OSPF/BGP caiu, interface flapping.

Passo a passo: método de triagem com logs

• 1) Defina o sintoma e o escopo: quem é afetado (uma VLAN, uma unidade, todos).
• 2) Marque o horário exato do incidente e correlacione com eventos (link down, mudança de configuração, pico de tráfego).
• 3) Procure por padrões: repetição de denies, timeouts DNS, flaps de interface.
• 4) Valide hipótese com teste simples (ping/traceroute/dig) e, se necessário, captura de pacotes.
• 5) Registre evidências: IPs, portas, VLAN, interface, regra, contador e timestamps.

Exercícios práticos (estilo prova e rotina de operação)

1) Cálculo de sub-rede

Exercício 1: Dado o bloco 10.50.0.0/22, divida em sub-redes /24 e liste: (a) quantas sub-redes /24 cabem, (b) a rede e broadcast da terceira sub-rede.

Exercício 2: Uma VLAN precisa de 120 hosts. Escolha o menor prefixo possível e calcule rede, broadcast e faixa de hosts para 172.16.8.0 com esse prefixo.

Exercício 3: Identifique se os IPs 192.168.1.10/25 e 192.168.1.200/25 estão na mesma sub-rede. Justifique pelo intervalo do bloco.

2) Desenho lógico de rede para unidade de atendimento

Cenário: Unidade com 30 posições de atendimento, 10 administrativos, 6 câmeras IP, 8 telefones IP, 6 impressoras, Wi-Fi visitante e um link WAN para a sede. Há um firewall/roteador e dois switches de acesso.

• Tarefa A: proponha VLANs e sub-redes (CIDR) para cada grupo, incluindo gateways.
• Tarefa B: descreva quais portas devem ser access e quais devem ser trunk.
• Tarefa C: defina regras de acesso entre VLANs (quem pode falar com quem) e o que deve ir para a internet.
• Tarefa D: indique onde aplicar DHCP relay e quais opções DHCP são essenciais (gateway e DNS).

3) Incidentes simulados (diagnóstico e ação)

Incidente 1: Queda de serviço (portal interno inacessível)

• Sintoma: usuários da VLAN Atendimento não acessam https://portal.interno, mas ping no IP do servidor responde.
• Investigue: DNS (nome resolve para IP correto?), porta 443 liberada no firewall?, certificado/tempo (NTP)?, balanceador retornando IP diferente?
• Ação esperada: validar resolução com consulta ao DNS correto; testar conexão TCP na porta 443; checar logs de deny no firewall.

Incidente 2: Falha de DNS (sistema “fora do ar” apenas em uma unidade)

• Sintoma: na unidade remota, nomes internos não resolvem; por IP funciona.
• Investigue: DHCP entregou DNS correto?, reachability até o DNS (rota/VPN/WAN)?, servidor DNS local com falha?, ACL bloqueando porta 53 UDP/TCP?
• Ação esperada: testar resolução apontando diretamente para o DNS da sede; checar rota e latência; verificar logs de timeouts e drops.

Incidente 3: Saturação de link (lentidão em horário de pico)

• Sintoma: latência aumenta, perda aparece, chamadas VoIP picotam, downloads grandes ocorrem no mesmo período.
• Investigue: utilização do link (95-100%), drops em interface, filas QoS, tráfego dominante (top talkers), backup/atualizações concorrendo.
• Ação esperada: aplicar/ajustar QoS para voz e sistemas críticos; agendar tráfego pesado; considerar upgrade de link ou segundo link com failover/load-balance.

Checklist operacional para mudanças e validações

• Antes de mudar: mapear impacto (VLAN/sub-rede/rota), janela, rollback, backups de configuração.
• Após mudar: validar DHCP (IP/gateway/DNS), DNS (resolução e TTL), conectividade L3 (ping/traceroute), aplicação (porta/HTTPS), monitoramento (sem erros e sem flaps).
• Registro: o que foi alterado, por quem, quando, evidências (logs/prints) e resultado.