CCNA Exploration module2

CCNA Exploration - Comutação de rede local e sem fio

1 Design de rede local

1.0 Introdução do capítulo

1.0.1 Introdução do capítulo

Página 1:

Para pequenas e médias empresas, a comunicação digital utilizando dados, voz e vídeo é essencial para sua sobrevivência. Logo, uma rede local (LAN) projetada corretamente é um requisito fundamental para fazer negócios atualmente. Você deve ser capaz de reconhecer uma rede local bem projetada e escolher os dispositivos para suportar as especificações da rede de uma empresa pequena ou média.

Neste capítulo, você começará a explorar a arquitetura da rede local comutada e alguns dos princípios usados para projetar uma rede hierárquica. Você obterá informações sobre redes convergidas. Você também saberá como escolher o switch correto para uma rede hierárquica e que switches Cisco são os mais apropriados para cada camada de rede. As atividades e os laboratórios confirmam e reforçam sua aprendizagem.

Exibir meio visual

1.1 Arquitetura da rede local comutada

1.1.1 O modelo de rede hierárquico

Página 1:

Ao criar uma rede local que atenda às necessidades uma empresa pequena ou média, é mais provável que haja êxito no seu plano caso seja usado um modelo de design hierárquico. Comparada com outros designs de rede, uma rede hierárquica é mais fácil de gerenciar e expandir, e os problemas são resolvidos mais rapidamente.

O design de rede hierárquico envolve a divisão da rede em camadas discretas. Cada camada fornece funções específicas que definem sua função dentro da rede geral. Separando as várias funções existentes em uma rede, o design de rede fica modular, o que facilita a escalabilidade e o desempenho. O modelo de design hierárquico típico é

dividido em até três camadas: acesso, distribuição e núcleo. Um exemplo de um design de rede hierárquico de três camadas é exibido na figura.

Camada de acesso

A camada de acesso faz interface com dispositivos finais, como PCs, impressoras e telefones IP, para fornecer acesso ao restante da rede. Na camada de acesso podem estar roteadores, switches, bridges, hubs e pontos de acesso wireless (AP). O principal propósito da camada de acesso é fornecer um meio de conectar dispositivos à rede e controlar quais têm permissão de comunicação na rede.

Passe o mouse sobre o botão ACESSO na figura.

Camada de distribuição

A camada de distribuição agrega os dados recebidos dos switches da camada de acesso antes de serem transmitidos para a camada de núcleo para que haja o roteamento até seu destino final. A camada de distribuição controla o fluxo do tráfego da rede usando políticas e determina domínios de broadcast, realizando funções de roteamento entre redes locais virtuais (VLANs) definidas na camada de acesso. As VLANs permitem segmentar o tráfego de um switch em sub-redes separadas. Por exemplo, em uma universidade, você pode separar o tráfego de acordo com o corpo docente, os alunos e os convidados. Switches da camada de distribuição costumam ser dispositivos de alto desempenho que têm alta disponibilidade e redundância para assegurar a confiabilidade. Você obterá mais informações sobre VLANs, domínios de broadcast e roteamento entre VLANs posteriormente neste curso.

Passe o mouse sobre o botão DISTRIBUIÇÃO na figura.

Camada de núcleo

A camada de núcleo do design hierárquico é o backbone de alta velocidade das redes interconectadas. Como a camada de núcleo é essencial à interconectividade entre os dispositivos da camada de distribuição, é importante que o núcleo seja altamente

disponível e redundante. A área do núcleo também pode se conectar a recursos de Internet. Como o núcleo agrega o tráfego de todos os dispositivos da camada de distribuição, ele deve ser capaz de encaminhar grandes quantidades de dados rapidamente.

Passe o mouse sobre o botão NÚCLEO na figura.

Nota: Em redes menores, não é incomum implementar um modelo de núcleo recolhido, no qual a camada de distribuição e a camada de núcleo são integradas em uma só camada.

Exibir meio visual

Página 2:

Uma rede hierárquica em uma empresa de médio porte

Vejamos o modelo de rede hierárquico aplicado a uma empresa. Na figura, as camadas de acesso, distribuição e núcleo estão separadas em uma hierarquia bem definida. Essa representação lógica facilita ver a função desempenhada pelos switches. É muito mais difícil ver essas camadas hierárquicas quando a rede é instalada em uma empresa.

Clique no botão Layout físico na figura.

A figura mostra dois andares de um edifício. Os computadores e os dispositivos de rede do usuário que precisam de acesso à rede estão em um andar. Os recursos, como servidores de e-mail e servidores de banco de dados, estão localizados em outro andar. Para assegurar que cada andar tenha acesso a rede, os switches das camadas de acesso e de distribuição são instalados nos wiring closets de cada andar e conectados a todos os dispositivos que precisam de acesso à rede. A figura mostra um rack pequeno de switches. Os switches das camadas de acesso e de distribuição estão um sobre o outro no armário de instalação elétrica.

Embora o switch da camada de núcleo e os demais da camada de distribuição não sejam mostrados, é possível ver como o layout físico de uma rede é diferente do layout lógico de uma rede.

Exibir meio visual

Página 3:

Benefícios de uma rede hierárquica

Há muitos benefícios associados aos designs de rede hierárquica.

Escalabilidade

A escala das redes hierárquicas é muito boa. A modularidade do design permite replicar elementos de design na medida em que a rede cresce. Como cada instância do módulo é consistente, é fácil de planejar e implementar a expansão. Por exemplo, se o modelo de design consistir em dois switches da camada de distribuição para dez switches da camada de acesso, será possível continuar adicionando switches da camada de acesso até que haja dez switches da camada de acesso em conexão cruzada com os dois switches da camada de distribuição antes que seja necessário acrescentar switches da camada de distribuição adicionais à topologia de rede. Além disso, na medida em que adiciona mais switches da camada de distribuição para acomodar a carga dos switches da camada de acesso, você pode acrescentar switches da camada de núcleo adicionais para tratar a carga adicional no núcleo.

Redundância

Na medida em que uma rede cresce, a disponibilidade se torna mais importante. Você pode aumentar drasticamente a disponibilidade por meio de implementações redundantes simples com redes hierárquicas. Os switches da camada de acesso são conectados a dois switches da camada de distribuição diferentes para assegurar uma redundância de caminho. Caso haja falha nos switches da camada de distribuição, o switch da camada de acesso pode comutar para o outro switch da camada de distribuição. Além disso, os switches da camada de distribuição são conectados a dois ou mais switches da camada de núcleo para assegurar uma disponibilidade de caminho em caso de falha de um dos switches do núcleo. A única camada onde a redundância está limitada é a camada de acesso. Normalmente, os dispositivos de nó finais, como PCs, impressoras e telefones IP, não têm a capacidade de se conectar a vários switches da camada de acesso para ter uma redundância. Se houvesse falha em um switch da camada de acesso, apenas os dispositivos conectados a ele seriam afetados pela queda. O restante da rede continuaria funcionando sem ser afetado.

Desempenho

Comunicação cujo desempenho é aprimorado, evitando-se a transmissão de dados por meio de switches intermediários de baixo desempenho. Os dados são enviados por meio de links de porta de switch agregados da camada de acesso até a camada de distribuição com aproximadamente a velocidade do fio na maioria dos casos. Em seguida, a camada de distribuição usa suas funções de comutação de alto desempenho para encaminhar o tráfego até o núcleo, onde é roteado até seu destino final. Como as camadas do núcleo e de distribuição executam suas operações em velocidades muito altas, há menos contenção para a largura de banda da rede. Dessa forma, redes hierárquicas criadas corretamente podem chegar próximo à velocidade do fio entre todos os dispositivos.

Segurança

A segurança é aprimorada e mais fácil de gerenciar. Os switches da camada de acesso podem ser configurados com várias opções de segurança de porta que fornecem controle sobre que dispositivos têm permissão para se conectar à rede. Você também tem a flexibilidade de usar políticas de segurança mais avançadas na camada de distribuição. Convém aplicar políticas de controle de acesso que definam quais protocolos de comunicação são implantados na rede e onde eles têm permissão para avançar. Por exemplo, se quisesse limitar o uso de HTTP a uma comunidade de usuários específica conectada na camada de acesso, você poderia aplicar uma política que bloqueasse o tráfego HTTP na camada de distribuição. Restringir o tráfego com base em protocolos de camada mais altos, como IP e HTTP, exige que os switches possam processar políticas nessa camada. Alguns switches da camada de acesso suportam a funcionalidade de Camada 3, mas esse costuma ser o trabalho dos switches da camada de distribuição para processar dados da Camada 3, porque eles podem processá-los com muito mais eficiência.

Gerenciabilidade

A gerenciabilidade é relativamente simples em uma rede hierárquica. Cada camada do design hierárquico executa funções específicas, consistentes ao longo de toda a camada. Por isso, se precisasse alterar a funcionalidade de um switch da camada de acesso, você poderia repetir essa alteração em todos os switches da camada de acesso na rede porque eles devem executar as mesmas funções em sua camada. A implantação de novos switches também é simplificada porque as configurações de switch podem ser copiadas entre dispositivos com pouquíssimas modificações. A consistência entre os switches em

cada camada permite uma rápida recuperação e uma solução de problemas mais simples. Em algumas situações especiais, talvez haja inconsistências na configuração entre dispositivos, logo, você deve assegurar que as configurações sejam bem documentadas para que você possa compará-las antes da implantação.

Sustentabilidade

Como as redes hierárquicas são modulares por natureza e a escalabilidade é muito boa, elas são fáceis de serem mantidas. Com outros designs da topologia de rede, a gerenciabilidade fica cada vez mais complicada na medida em que a rede cresce. Além disso, em alguns modelos de design de rede, há um limite claro quanto ao tamanho a que a rede pode chegar antes de se tornar complicada e de manutenção cara. No modelo de design hierárquico, as funções do switch são definidas em cada camada, o que simplifica a seleção do switch correto. Adicionar switches a uma camada não necessariamente significa que não haverá um gargalo ou outra limitação em outra camada. Para que uma topologia de rede em malha completa atinja o desempenho máximo, todos os switches precisam ser switches de alto desempenho, porque cada um precisa ser capaz de executar todas as funções da rede. No modelo hierárquico, as funções de switch são diferentes em cada camada. Você pode economizar, usando switches da camada de acesso mais baratos na camada mais baixa e gastar mais nas camadas de distribuição e do núcleo para obter um alto desempenho na rede.

Exibir meio visual

1.1.2 Princípios do design de rede hierárquico

Página 1:

Princípios do design de rede hierárquico

Só porque uma rede parece ter um design hierárquico não significa que ela foi bem projetada. Estas diretrizes simples ajudarão a diferenciar redes hierárquicas bem e mal projetadas. Esta seção não pretende fornecer todas as habilidades e o conhecimento de que você precisa para criar uma rede hierárquica, mas oferece uma oportunidade de começar a praticar suas habilidades, transformando uma topologia de rede plana em uma topologia de rede hierárquica.

Diâmetro da rede

Durante a criação de uma topologia de rede hierárquica, a primeira coisa a ser considerada é o diâmetro da rede. O diâmetro costuma ser uma medida de distância, mas, neste caso, estamos usando o termo para medir o número de dispositivos. O diâmetro da rede é o número de dispositivos que um pacote precisa cruzar antes de chegar até seu destino. Manter o diâmetro da rede baixo assegura uma latência baixa e previsível entre os dispositivos.

Passe o mouse sobre o botão Diâmetro da rede na figura.

Na figura, PC1 se comunica com PC3. Talvez haja até seis switches interconectados entre PC1 e PC3. Neste caso, o diâmetro da rede é 6. Cada switch no caminho apresenta algum grau de latência. A latência do dispositivo de rede é o tempo gasto por um dispositivo quando ele processa um pacote ou quadro. Cada switch precisa determinar o endereço MAC de destino do quadro, verificar sua tabela de endereços MAC e encaminhar o quadro pela porta apropriada. Mesmo que todo o processo ocorra em uma fração de segundo, aumenta o tempo quando o quadro precisa cruzar muitos switches.

No modelo hierárquico de três camadas, a segmentação de Camada 2 na camada de distribuição praticamente elimina o diâmetro da rede como problema. Em uma rede hierárquica, o diâmetro da rede sempre será um número previsível de saltos entre os dispositivos de origem e de destino.

Agregação da largura de banda

Cada camada no modelo de rede hierárquico é uma possível candidata à agregação da largura de banda. A agregação da largura de banda é a prática de considerar os requisitos de largura de banda específicos de cada parte da hierarquia. Depois que os requisitos de largura de banda da rede são conhecidos, os links entre os switches específicos podem ser agregados, o que é chamado de agregação de link. A agregação de link permite a integração de vários links de porta de switch, o que proporciona maior produtividade entre os switches. A Cisco tem uma tecnologia de agregação de link própria chamada EtherChannel, que permite a consolidação de vários links Ethernet. Uma discussão da EtherChannel está além do escopo deste curso. Para saber mais, visite: http://www.cisco.com/en/US/tech/tk389/tk213/tsd_technology_support_protocol_home.html (em inglês).

Passe o mouse sobre o botão Agregação da largura de banda na figura.

Na figura, os computadores PC1 e PC3 exigem uma quantidade significativa de largura de banda porque são usados para desenvolver simulações climáticas. O gerente de rede determinou que os switches da camada de acesso S1, S3 e S5 exigem uma largura de banda maior. Acompanhando a hierarquia, esses switches da camada de acesso se conectam aos switches de distribuição D1, D2 e D4. Os switches da camada de acesso se conectam aos switches da camada de núcleo C1 e C2. Observe como links específicos em portas específicas em cada switch são agregados. Dessa forma, uma largura de banda maior é fornecida para uma parte específica da rede. Observe que, nesta figura, os links agregados são indicados por duas linhas pontilhadas com uma elipse ligando-os. Em outras figuras, os links agregados são representados por uma única linha pontilhada com uma elipse.

Redundância

Redundância é uma parte da criação de uma rede altamente disponível. A redundância pode ser fornecida de várias formas. Por exemplo, é possível duplicar as conexões de rede entre dispositivos ou duplicar os próprios dispositivos. Este capítulo explora como empregar caminhos de rede redundantes entre switches. Uma discussão sobre como duplicar dispositivos de rede e empregar protocolos de rede especiais para assegurar alta disponibilidade está além do escopo deste curso. Para ver uma discussão interessante sobre alta disponibilidade, visite: http://www.cisco.com/en/US/products/ps6550/products_ios_technology_home.html (em inglês).

Implementar links redundantes pode ser caro. Imagine se todos os switches em cada camada da hierarquia de rede tivesse uma conexão com todos os switches na próxima camada. É improvável que você consiga implementar redundância na camada de acesso por causa do custo e dos recursos limitados nos dispositivos finais, mas você pode criar uma redundância nas camadas de distribuição e do núcleo da rede.

Passe o mouse sobre o botão Links redundantes na figura.

Na figura, os links redundantes são mostrados nas camadas de distribuição e do núcleo. Na camada de distribuição, há dois switches da camada de distribuição, o mínimo exigido para suportar redundância nessa camada. Os switches da camada de acesso, S1, S3, S4 e S6, são conectados de maneira cruzada aos switches da camada de distribuição. Isso protege sua rede em caso de falha de um dos switches de distribuição. No caso de

uma falha, o switch da camada de acesso ajusta seu caminho de transmissão e encaminha o tráfego até o outro switch de distribuição.

Alguns cenários de falha na rede jamais podem ser evitados, por exemplo, se acaba a energia na cidade inteira, ou se todo o edifício é demolido por causa de um terremoto. A redundância não tenta resolver esses tipos de desastres.

Comece na camada de acesso

Imagine que um novo design de rede seja obrigatório. Requisitos de design, como o nível de desempenho ou a redundância necessária, são determinados pelas metas comerciais da organização. Quando os requisitos de design são documentados, o designer pode começar a escolher o equipamento e a infra-estrutura para implementar o design.

Ao iniciar a seleção de equipamento na camada de acesso, você pode assegurar que acomoda todos os dispositivos de rede que precisam de acesso à rede. Depois de contabilizar todos os dispositivos finais, você tem uma idéia melhor de quantos switches da camada de acesso você precisa. O número de switches da camada de acesso, e o tráfego estimado que cada um gera, ajuda a determinar quantos switches da camada de distribuição são obrigatórios para obter o desempenho e a redundância necessários para a rede. Depois de determinar o número de switches da camada de distribuição, você poderá identificar quantos switches do núcleo são obrigatórios para manter o desempenho da rede.

Uma discussão completa sobre como determinar que switch escolher com base no fluxo de tráfego e quantos switches do núcleo são obrigatórios para manter o desempenho está além do escopo deste curso. Para uma boa introdução ao design de rede, leia este livro, disponível em Ciscopress.com: Top-Down Network Design de Priscilla Oppenheimer (2004).

Exibir meio visual

1.1.3 O que é uma rede convergente?

Página 1:

As pequenas e médias empresas estão aceitando a idéia de executar serviços de voz e de vídeo em suas redes de dados. Vejamos como voz e vídeo sobre IP (VoIP) afetam uma rede hierárquica.

Equipamento legado

Convergência é o processo de integrar comunicação por voz e vídeo em uma rede de dados. As redes convergentes já existem há algum tempo, mas só eram possíveis em organizações de grande porte por causa dos requisitos de infra-estrutura da rede e do gerenciamento complexo envolvido para que elas funcionassem sem apresentar problemas. Havia custos altos de rede associados à convergência porque um hardware de switch mais caro era obrigatório para suportar os requisitos de largura de banda adicionais. As redes convergentes também exigiam um amplo gerenciamento em relação à Qualidade de Serviço (QoS), porque o tráfego de dados de voz e de vídeo precisava ser classificado e priorizado na rede. Poucas pessoas tinham experiência em redes de voz, vídeo e dados para viabilizar a convergência e torná-la funcional. Além disso, o equipamento legado impede o processo. A figura mostra o switch legado de uma empresa telefônica. A maioria das empresas telefônicas fez a transição para switches digitais. No entanto, como há muitos escritórios que continuam usando telefones analógicos, eles ainda têm os wiring closets dos telefones analógicos existentes. Como os telefones analógicos ainda não foram substituídos, você também verá o equipamento que precisa suportar os sistemas telefônicos legados e PABX, além dos telefones baseados em IP. Esse tipo de equipamento será migrado lentamente para switches telefônicos modernos com base em IP.

Clique no botão Tecnologia avançada na figura.

Tecnologia avançada

As redes de voz, vídeo e dados convergentes se tornaram mais populares recentemente no mercado de pequenas e médias empresas por conta dos avanços feitos na tecnologia. Agora a convergência é mais fácil de implementar e gerenciar, além de ser mais barata. A figura mostra uma integração entre telefone VoIP e switch apropriada a uma empresa de médio porte entre 250 e 400 funcionários. A figura também mostra um switch Cisco Catalyst Express 500 e um telefone Cisco 7906G apropriados a empresas de médio porte. Essa tecnologia VoIP só costumava ser acessível a empresas e governos.

Migrar para uma rede convergente pode ser uma decisão difícil caso a empresa já tenha investido em redes de voz, vídeo e dados separadas. É difícil abandonar um investimento que continua funcionando, mas há várias vantagens na convergência de voz, vídeo e dados em uma única infra-estrutura de rede.

Um benefício de uma rede convergente é que existe apenas uma rede para gerenciar. Com redes de voz, vídeo e dados separadas, as alterações feitas na rede precisam ser coordenadas através da rede. Também há custos adicionais resultantes de usar três conjuntos de cabeamento de rede. Usar uma única rede significa que você precisa gerenciar apenas uma infra-estrutura cabeada.

Outro benefício são os custos mais baixos de implementação e de gerenciamento. É mais barato implementar uma única infra-estrutura de rede do que três infra-estruturas de rede distintas. Gerenciar uma única rede também é mais barato. Tradicionalmente, se uma empresa tiver uma rede de voz e de dados separada, ela terá um grupo de pessoas gerenciando a rede de voz e outro gerenciando a rede de dados. Com uma rede convergente, você tem um grupo gerenciando as redes de voz e de dados.

Clique no botão Novas opções na figura.

Novas opções

As redes convergentes dão opções que não existiam até então. Agora você pode vincular a comunicação por voz e vídeo diretamente ao sistema de computador pessoal de um funcionário, conforme mostrado na figura. Não há nenhuma necessidade de um monofone caro ou de um equipamento de videoconferência. É possível realizar a mesma função usando um software especial integrado a um computador pessoal. Softphones, como o Cisco IP Communicator, oferecem muita flexibilidade para as empresas. A pessoa no canto superior esquerdo da figura está usando um softphone no computador. Quando o software é usado em lugar de um telefone físico, uma empresa pode converter rapidamente para redes convergentes, porque não há nenhuma grande despesa na compra de telefones IP e dos switches necessários para alimentar os telefones. Com a adição de webcams baratas, as videoconferências podem ser adicionadas a um softphone. Esses são apenas alguns exemplos fornecidos por um portfólio de soluções em comunicação mais amplo que redefinem os processos atuais da empresa.

Exibir meio visual

Redes de voz, de vídeo e de dados separadas

Como você pode ver na figura, uma rede de voz contém linhas telefônicas isoladas no sentido de um switch PABX para permitir a conectividade telefônica com a Rede de telefonia pública comutada (PSTN). Quando um novo telefone é adicionado, uma nova linha deve ser acoplada ao PABX. O PABX costuma estar localizado em um wiring closet telco, separado dos wiring closet de dados e de vídeo. Os wiring closet normalmente são separados porque pessoal de suporte diferente exige acesso a cada sistema. No entanto, usando uma rede hierárquica projetada corretamente e implementando políticas de QoS que priorizem os dados de áudio, os dados de voz podem ser convergidos em uma rede de dados existente com mínimo ou nenhum impacto sobre a qualidade de áudio.

Clique no botão Rede de vídeo na figura para ver um exemplo de uma rede de vídeo separada.

Nessa figura, o equipamento de videoconferência é cabeado separadamente das redes de voz e de dados. Os dados de videoconferências podem consumir uma largura de banda significativa de uma rede. Dessa forma, as redes de vídeo foram mantidas separadamente para permitir o funcionamento do equipamento de videoconferências em velocidade máxima sem competir pela largura de banda com os fluxos de voz e de dados. Usando uma rede hierárquica projetada corretamente e implementando políticas de QoS que priorizem os dados de vídeo, os dados de vídeo podem ser convergidos em uma rede de dados existente com mínimo ou nenhum impacto sobre a qualidade de vídeo.

Clique no botão Rede de dados na figura para ver um exemplo de uma rede de dados separada.

A rede de dados interconecta as estações de trabalho e os servidores em uma rede para facilitar o compartilhamento de recursos. As redes de dados podem consumir uma largura de banda de comando significativa, razão pela qual as redes de voz, de vídeo e de dados foram mantidas segregadas por tanto tempo. Agora que as redes hierárquicas projetadas corretamente podem acomodar os requisitos de largura de banda da comunicação de voz, de vídeo e de dados simultaneamente, faz sentido convergi-las em uma única rede hierárquica.

Exibir meio visual

Página 3:Exibir meio visual

1.2 Comparando switches com funções de rede local específicas

1.2.1 Considerações sobre switches de rede hierárquica

Página 1:

Análise do fluxo de tráfego

Para escolher o switch apropriado a uma camada em uma rede hierárquica, você precisa ter as especificações que detalham os fluxos de tráfego de destino, as comunidades de usuários, os servidores de dados e os servidores de armazenamento de dados.

As empresas precisam de uma rede capaz de atender aos requisitos sempre em evolução. Uma empresa pode começar com alguns PCs interconectados de forma que eles possam compartilhar dados. À medida que a empresa adiciona mais funcionários, dispositivos, como PCs, impressoras e servidores, são adicionados à rede. Acompanhando os novos dispositivos está um aumento no tráfego da rede. Algumas empresas estão substituindo seus sistemas de telefonia existentes por sistemas de telefonia de voz sobre IP (VoIP), o que acrescenta um tráfego adicional.

Ao escolher o hardware do switch, determine quais switches são necessários nas camadas do núcleo, de distribuição e de acesso para acomodar os requisitos de largura de banda da sua rede. O seu plano deve levar em conta requisitos de largura de banda futuros. Compre o hardware do switch Cisco apropriado para acomodar tanto as necessidades atuais quanto as futuras. Para ajudar a escolher os switches apropriados com mais precisão, faça e registre análises do fluxo de tráfego regularmente.

Análise do fluxo de tráfego

Análise do fluxo de tráfego é o processo de medir o uso da largura de banda em uma rede e de analisar os dados com a finalidade de ajustar o desempenho, planejar a

capacidade e tomar decisões quanto à melhoria do hardware. A análise do fluxo de tráfego é feita usando o software de análise do fluxo de tráfego. Embora não haja nenhuma definição precisa do fluxo de tráfego da rede, tendo em vista a análise do fluxo de tráfego, podemos dizer que o tráfego da rede é a quantidade de dados enviados por meio de uma rede durante um determinado período. Todos os dados da rede contribuem para o tráfego, independentemente de seu propósito ou origem. Analisar as várias origens de tráfego e seu impacto na rede permite ajustar com mais precisão e atualizar a rede para obter o melhor desempenho possível.

Os dados do fluxo de tráfego podem ser usados para ajudar a determinar quanto tempo você pode continuar usando o hardware de rede existente antes que se justifique atualizar para acomodar os requisitos de largura de banda adicionais. Ao tomar suas decisões sobre que hardware comprar, você deve considerar as densidades de porta e as taxas de encaminhamento do switch para assegurar uma função de crescimento apropriada. As taxas de encaminhamento e de densidade de porta serão explicadas posteriormente neste capítulo.

Há muitas formas de monitorar o fluxo de tráfego em uma rede. É possível monitorar as portas individuais do switch manualmente para obter a utilização da largura de banda com o passar do tempo. Ao analisar os dados do fluxo de tráfego, você deseja determinar requisitos futuros do fluxo de tráfego com base na capacidade em determinadas horas do dia e onde grande parte dos dados é gerada e enviada. No entanto, para obter resultados precisos, você precisa registrar dados o suficiente. Registrar manualmente os dados de tráfego é um processo entediante que exige muito tempo e dedicação. Felizmente, há algumas soluções automatizadas.

Ferramentas de análise

Há muitas ferramentas de análise de fluxo do tráfego que registram dados do fluxo de tráfego em um banco de dados e fazem uma análise da tendência disponíveis. Em redes maiores, as soluções em coleta de software são o único método efetivo para executar uma análise do fluxo de tráfego. A figura exibe um exemplo da Solarwinds Orion 8.1 NetFlow Analysis, que monitora o fluxo de tráfego em uma rede. Enquanto o software está coletando dados, é possível ver como cada interface está se saindo em um determinado momento na rede. Usando os gráficos incluídos, é possível identificar problemas do fluxo de tráfego visualmente. Isso é muito mais fácil do que precisar interpretar os números em uma coluna de dados do fluxo de tráfego.

Exibir meio visual

Análise das comunidades de usuários

Análise da comunidade de usuários é o processo de identificação de vários grupos de usuários e de seu impacto sobre o desempenho da rede. A forma como os usuários são agrupados afeta aspectos relacionados à densidade de porta e ao fluxo de tráfego, que, por sua vez, influencia a seleção dos switches da rede. A densidade de porta será explicada posteriormente neste capítulo.

Em um edifício comercial típico, os usuários finais são agrupados de acordo com seus cargos, porque eles precisam de acesso semelhante a recursos e aplicativos. Você pode encontrar o departamento de Recursos Humanos (RH) localizado em um andar de um edifício comercial, enquanto o de Finanças está localizado em outro andar. Cada departamento tem um número de usuários e necessidades de aplicativos diferentes, exigindo acesso a recursos de dados diferentes disponíveis em toda a rede. Por exemplo, ao selecionar switches para os wiring closets dos departamentos de RH e de finanças, você escolheria um switch que tivesse portas o suficiente para atender às necessidades do departamento e fosse bastante eficiente para acomodar os requisitos de tráfego de todos os dispositivos nesse andar. Além disso, um bom plano de design da rede leva em conta o crescimento de cada departamento para assegurar que haja portas de switch disponíveis o suficiente que possam ser utilizadas antes da próxima melhoria planejada para a rede.

Como mostrado na figura, o departamento de RH requer 20 estações de trabalho para seus 20 usuários. Isso quer dizer 20 portas de switch necessárias à conexão das estações de trabalho com a rede. Se fosse selecionar um switch da camada de acesso apropriado para acomodar o departamento de RH, você provavelmente escolheria um switch com 24 portas que tivesse portas o suficiente para acomodar as 20 estações de trabalho e os uplinks para os switches da camada de distribuição.

Crescimento futuro

Mas esse plano não leva em conta um crescimento futuro. Considere o que acontecerá se o departamento de RH receber mais cinco funcionários. Um plano de rede sólido inclui a taxa de crescimento do pessoal nos últimos cinco anos para ser capaz de prever o crescimento futuro. Tendo isso em mente, você deseja comprar um switch capaz de

acomodar mais de 24 portas, como os switches empilháveis ou modulares podem escalar.

Assim também como, observando o número de dispositivos em um determinado switch de uma rede, você deve investigar o tráfego da rede gerado por aplicativos de usuário final. Algumas comunidades de usuários usam aplicativos que geram muito tráfego da rede, enquanto outras comunidades de usuários, não. Medindo o tráfego da rede gerado para todos os aplicativos sendo usados por comunidades de usuários diferentes e determinando o local da fonte de dados, é possível identificar o efeito de adicionar mais usuários a essa comunidade.

Uma comunidade de usuários do tamanho de um grupo de trabalho em uma pequena empresa é suportada por alguns switches, estando normalmente conectada ao mesmo switch que o servidor. Em empresas de médio porte, as comunidades de usuários são suportadas por muitos switches. Os recursos de que as empresas de médio porte ou as comunidades de usuários corporativos precisam podem estar localizados em áreas separadas geograficamente. Conseqüentemente, o local das comunidades de usuários influencia onde armazenamentos de dados e server farms são localizados.

Clique no botão Departamento de finanças na figura.

Se os usuários do departamento de Finanças estiverem usando um aplicativo que use muito a rede e que troque dados com um servidor específico na rede, talvez faça sentido localizar a comunidade de usuários do departamento de finanças próximo desse servidor. Localizando os usuários próximos de seus servidores e armazenamentos de dados, é possível reduzir o diâmetro da rede para a comunicação, ao mesmo tempo em que se reduz o impacto do tráfego em todo o resto da rede.

Uma complicação da análise do uso de aplicativo por comunidades de usuários é que esse uso nem sempre está ligado por departamento ou local físico. Talvez seja necessário analisar o impacto do aplicativo em muitos switches de rede para determinar seu impacto geral.

Exibir meio visual

Página 3:

Armazenamentos de dados e análise de servidores de dados

Ao analisar o tráfego em uma rede, considere onde estão localizados os armazenamentos e os servidores de dados para que seja possível determinar o impacto do tráfego na rede. Os Data Stores podem ser servidores, storage area networks (SANs), network-attached storage (NAS), unidades de fita de backup ou qualquer outro dispositivo ou componente onde grandes quantidades de dados são armazenadas.

Ao considerar o tráfego para armazenamentos de dados e servidores, considere os tráfegos do modelo cliente/servidor e servidor/servidor.

Como você pode ver na figura, o tráfego cliente/servidor é o tráfego gerado quando um dispositivo cliente acessa dados dos repositórios de dados ou dos servidores. O tráfego cliente/servidor normalmente passa por vários switches até alcançar seu destino. A agregação de largura de banda e as taxas de encaminhamento do switch são fatores importantes a serem considerados durante a tentativa de eliminação de gargalos para esse tipo de tráfego.

Clique no botão Comunicação servidor/servidor na figura.

O tráfego servidor/servidor é o tráfego gerado entre dispositivos de armazenamento de dados na rede. Alguns aplicativos para servidores geram volumes muito altos de tráfego entre armazenamentos de dados e outros servidores. Para otimizar o tráfego servidor/servidor, os servidores que precisam de acesso freqüente a determinados recursos devem estar localizados próximos uns dos outros para que o tráfego gerado por eles não afete o desempenho do restante da rede. Os servidores e os armazenamentos de dados costumam estar localizados em data centers dentro de uma empresa. Um data center é uma área protegida do edifício onde servidores, armazenamentos de dados e outros equipamentos de rede estão localizados. Um dispositivo pode estar localizado fisicamente no data center, mas representado em um local bem diferente na topologia lógica. O tráfego nos switches do data center costuma ser bastante alto devido ao tráfego servidor/servidor e cliente/servidor que percorre os switches. Dessa forma, os switches selecionados para data centers devem ser switches de desempenho mais alto que os switches que você encontraria nos wiring closets na camada de acesso.

Examinando os caminhos de dados para vários aplicativos usados por comunidades de usuários diferentes, é possível identificar gargalos potenciais em que o desempenho do aplicativo pode ser afetado pela largura de banda inadequada. Para melhorar o desempenho, você pode agregar links para acomodar a largura de banda ou substituir os switches mais lentos por switches mais rápidos capazes de tratar a carga do tráfego.

Exibir meio visual

Página 4:

Diagramas de topologia

Um diagrama de topologia mostra como todos os switches são interconectados, detalhando até que porta do switch interconecta os dispositivos. Um diagrama de topologia mostra como todos os switches são interconectados, detalhado até que porta do switch interconecta os dispositivos. Um diagrama de topologia exibe graficamente qualquer caminho redundante ou portas agregadas entre os switches que fornecem resiliência e desempenho. Ele mostra onde e quantos switches estão sendo usados na rede, bem como também identifica sua configuração. Os diagramas de topologia também podem conter informações sobre densidades de dispositivo e comunidades de usuários. Ter um diagrama de topologia permite identificar visualmente gargalos potenciais no tráfego da rede de forma que seja possível se concentrar na coleta de dados da análise de tráfego em áreas nas quais as melhorias podem ter o impacto mais significativo sobre o desempenho.

Pode ser muito difícil montar uma topologia de rede depois, se você não fizer parte do processo de design. Os cabos de rede nos wiring closets desaparecem no chão e no telhado, o que dificulta o rastreamento até seus destinos. E como os dispositivos estão espalhados por todo o edifício, é difícil saber como todos os equipamentos são conectados entre si. Com paciência, é possível determinar com exatidão como tudo está interconectado e, em seguida, documentar a infra-estrutura de rede em um diagrama de topologia.

A figura exibe um diagrama de topologia de rede simples. Observe quantos switches estão presentes na rede, bem como a forma de interconexão de cada um deles. O diagrama de topologia identifica cada porta de switch usada na comunicação inter-switch e nos caminhos redundantes entre os switches das camadas de acesso e de distribuição. O diagrama de topologia também exibe onde estão localizadas as diferentes comunidades de usuários na rede e o local dos servidores e dos armazenamentos de dados.

Exibir meio visual

1.2.2 Recursos do switch

Página 1:

Características físicas do switch

Quais são os principais recursos dos switches usados em redes hierárquicas? Quando você observa as especificações de um switch, o que significam todos os acrônimos e frases? O que significa "PoE" e o que é "taxa de encaminhamento"? Neste tópico, você obterá informações sobre esses recursos.

Ao selecionar um switch, você precisa optar por uma configuração fixa ou modular e empilhável ou não empilhável. Outra consideração é a espessura do switch expressada em número de unidades de rack. Por exemplo, todos os Switches de Configuração Fixa mostrados na figura têm uma unidade de rack (1U). Às vezes, essas opções são conhecidas como características físicas do switch..

Switches de configuração fixa

Os switches de configuração fixa são exatamente aquilo que você espera, fixos quanto à sua configuração. Isso significa que não é possível adicionar recursos ou opções ao switch além dos que acompanham originalmente o switch. O modelo específico que você compra determina os recursos e as opções disponíveis. Por exemplo, se comprar um switch fixo gigabit com 24 portas, não será possível adicionar portas quando você precisar. Normalmente, há opções de configuração diferentes que variam quanto ao número e aos tipos de portas incluídas.

Switches modulares

Os switches modulares oferecem mais flexibilidade em sua configuração. Os switches modulares normalmente acompanham um chassi de tamanho diferente que permite a instalação de várias placas de linha modulares. Na verdade, as placas de linha contêm as portas. A placa de linha se encaixa no chassi do switch como as placas de expansão encaixadas em um PC. Quanto maior for o chassi, mais módulos ele poderá suportar. Como você pode ver na figura, talvez haja muitos tamanhos de chassi diferentes para escolher. Se comprasse um switch modular com uma placa de linha com 24 portas, você poderia adicionar facilmente uma placa de linha de 24 portas, aumentando o número total de portas para até 48.

Switches empilháveis

Os switches empilháveis podem ser interconectados usando um cabo backplane que fornece produtividade em grande largura de banda entre os switches. A Cisco apresentou a tecnologia StackWise em uma de suas linhas de produto de switch. A StackWise permite interconectar até nove switches usando conexões backplane completamente redundantes. Como você pode ver na figura, os switches são empilhados um sobre o outro, e os cabos conectam os switches em interligação de equipamentos em cascata. Os switches empilhados funcionam efetivamente como um único switch maior. Os switches empilháveis são desejados onde a tolerância a falhas e a disponibilidade de largura de banda são essenciais e um switch modular é muito caro para ser implementado. Usando conexões cruzadas, a rede poderá se recuperar rapidamente se houver falha em único switch. Os switches empilháveis usam uma porta especial para interconexões e não usam portas de linha para conexões de inter-switch. As velocidades também costumam ser mais rápidas que usar portas de linha para switches de conexão.

Exibir meio visual

Página 2:

Desempenho

Ao selecionar um switch para as camadas de acesso, de distribuição ou de núcleo, considere a capacidade do switch de suportar a densidade de porta, as taxas de encaminhamento e os requisitos de agregação de largura de banda da rede.

Densidade de porta

Densidade de porta é o número de portas disponíveis em um único switch. Os switches de configuração fixa normalmente suportam até 48 portas em um único dispositivo, com opções para até quatro portas adicionais para dispositivos conectáveis de características físicas pequena, como mostrado na figura. As altas densidades de porta permitem um melhor uso do espaço e da energia quando ambos se encontram limitados. Se tivesse dois switches, cada um contendo 24 portas, você poderia suportar até 46 dispositivos, porque perde pelo menos uma porta por switch para conectar cada um ao resto da rede. Além disso, duas tomadas são necessárias. Por outro lado, se você tiver um único switch com 48 portas, 47 dispositivos podem ser suportados, com apenas uma porta sendo usada para conectar o switch ao resto da rede e só uma tomada necessária para acomodar o único switch.

Os switches modulares podem suportar densidades de porta muito altas pela adição de várias placas de linha de porta de switch, como mostrado na figura. Por exemplo, o switch Catalyst 6500 pode suportar mais de 1.000 portas de switch em um único dispositivo.

Grandes redes corporativas que suportam muitos milhares de dispositivos de rede exigem alta densidade, switches modulares para usar melhor o espaço e a energia. Sem usar um switch modular de alta densidade, a rede precisaria de muitos switches de configuração fixa para acomodar o número de dispositivos que precisam de acesso à rede. Essa abordagem pode usar muitas tomadas e ocupar muito espaço do armário.

Você também deve abordar o problema dos gargalos de uplink. Uma série de switches de configuração fixa pode usar muitas portas adicionais para agregação de largura de banda entre switches com a finalidade de obter o desempenho desejado. Com um único switch modular, a agregação de largura de banda não chega a ser um problema porque o backplane do chassi pode fornecer a largura de banda necessária para acomodar os dispositivos conectados às placas de linha de porta de switch.

Taxas de encaminhamento

Clique no botão Taxas de encaminhamento na figura para ver um exemplo das taxas de encaminhamento em switches com densidades de porta diferentes.

As taxas de encaminhamento definem os recursos de processamento de um switch, classificando quantos dados podem ser processados pelo switch por segundo. As linhas de produto de switch são classificadas por taxas de encaminhamento. Os switches da camada de entrada têm taxas de encaminhamento inferiores às dos switches da camada corporativa. É importante considerar as taxas de encaminhamento ao selecionar um switch. Se a taxa de encaminhamento do switch for muito baixa, ele não poderá acomodar a comunicação completa na velocidade do fio em todas as portas de switch. Velocidade do fio é a taxa de dados que cada porta no switch é capaz de atingir, Fast Ethernet 100 Mb/s ou Gigabit Ethernet 1000 Mb/s. Por exemplo, um switch gigabit de 48 portas que funciona com total velocidade de fio gera 48 Gb/s de tráfego. Se só suportar uma taxa de encaminhamento de 32 Gb/s, o switch não poderá operar em total velocidade de fio em todas as portas simultaneamente. Felizmente, os switches da camada de acesso normalmente não precisam operar em total velocidade de fio porque eles são limitados fisicamente pelos uplinks para a camada de distribuição. Isso permite usar switches mais baratos, de menor desempenho, na camada de acesso e usar os mais caros, de maior desempenho, nas camadas de distribuição e de núcleo, nas quais a taxa de encaminhamento tem uma grande diferença.

Agregação de link

Clique no botão Agregação de link na figura.

Como parte da agregação de largura de banda, você deve determinar se há portas o suficiente em um switch a serem agregadas para suportar a largura de banda exigida. Por exemplo, considere um porta Ethernet Gigabit que transporta até 1 Gb/s de tráfego. Se tivesse um switch de 24 portas, com todas elas capazes de operar em velocidades gigabit, você poderia gerar até 24 Gb/s de tráfego da rede. Se estiver conectado ao resto da rede por um único cabo de rede, o switch poderá encaminhar apenas 1 Gb/s dos dados para o resto da rede. Devido à contenção da largura de banda, os dados seriam encaminhados mais lentamente. Isso resulta na disponibilidade da velocidade do fio em 1/24 avos para cada um dos 24 dispositivos conectados ao switch. Velocidade de fio descreve a taxa de transmissão de dados máxima teórica de uma conexão. Por exemplo, a velocidade de fio de uma conexão Ethernet depende das propriedades físicas e elétricas do cabo, em combinação com a camada mais baixa dos protocolos de conexão.

A agregação de link ajuda a reduzir esses gargalos de tráfego, permitindo a integração de até oito portas de switch para a comunicação de dados, fornecendo até 8 Gb/s de produtividade de dados quando as portas Ethernet Gigabit são usadas. Com a adição de vários uplinks Ethernet Gigabit 10 (10GbE) em alguns switches da camada corporativa, taxas de produtividade muito altas podem ser obtidas. A Cisco usa o termo EtherChannel ao descrever portas de switch agregadas.

Como você pode ver na figura, são usadas quatro portas separadas nos switches C1 e D1 para criar um EtherChannel de quatro portas. A tecnologia EtherChannel permite a um grupo de links físicos Ethernet criar um link Ethernet lógico com a finalidade de fornecer tolerância a falhas e links de alta velocidade entre switches, roteadores e servidores. Nesse exemplo, há quatro vezes mais produtividade em comparação com a conexão de porta única entre os switches C1 e D2.

Exibir meio visual

Página 3:

PoE e funcionalidade da camada 3

Duas outras características que você talvez queira considerar ao selecionar um switch são Power over Ethernet (PoE) e a funcionalidade da Camada 3.

Power over Ethernet

Power over Ethernet (PoE) permite ao switch alimentar um dispositivo usando o cabeamento Ethernet existente. Como você pode ver na figura, esse recurso pode ser usado por telefones IP e alguns pontos de acesso sem fio. A PoE dá mais flexibilidade quando você instala pontos de acesso sem fio e telefones IP porque é possível instalá-los em qualquer lugar em que haja um cabo Ethernet. Você não precisa considerar como transmitir energia básica para o dispositivo. Você só deverá selecionar um switch que suporte PoE se for aproveitar o recurso, porque ela agrega um custo considerável ao switch.

Clique no ícone do switch para ver as portas PoE.

Clique no ícone do telefone para ver as portas do telefone.

Clique no ícone de ponto de acesso sem fio para ver suas portas.

Funções da camada 3

Clique no botão Funções da Camada 3 na figura para ver algumas funções da Camada 3 que podem ser fornecidas por switches em uma rede hierárquica.

Normalmente, os switches funcionam na Camada 2 do modelo de referência OSI, na qual eles lidam principalmente com os endereços MAC de dispositivos conectados a portas de switch. Os switches da Camada 3 oferecem funcionalidade avançada. Os switches da Camada 3 também são conhecidos como switches multicamada.

Exibir meio visual

1.2.3 Recursos do switch em uma rede hierárquica

Página 1:

Recursos do switch da camada de acesso

Agora que você sabe quais fatores considerar ao escolher um switch, nos permita examinar quais recursos são obrigatórios em cada camada de uma rede hierárquica. Assim, você poderá comparar a especificação do switch com sua capacidade em funcionar como um switch das camadas de acesso, de distribuição ou de núcleo.

Os switches da camada de acesso facilitam a conexão de dispositivos de nó final com a rede. Por esse motivo, eles precisam suportar recursos como a segurança de porta, VLANs, Fast Ethernet/Gigabit Ethernet, PoE e agregação de link.

A segurança de porta permite ao switch decidir quantos ou quais dispositivos específicos têm permissão para se conectar ao switch. Todos os switches Cisco suportam a segurança da camada de porta. A segurança de porta é aplicada à camada de acesso. Conseqüentemente, trata-se de uma primeira linha de defesa importante para uma rede. Você obterá informações sobre a segurança de porta no Capítulo 2.

As VLANs são um componente importante de uma rede convergente. O tráfego de voz costuma receber uma VLAN separada. Dessa forma, o tráfego de voz pode ser suportado com mais largura de banda, mais conexões redundantes e segurança aprimorada. Os switches da camada de acesso permitem definir as VLANs para os dispositivos de nó final em sua rede.

A velocidade de porta também é uma característica que você precisa considerar para os switches da camada de acesso. Dependendo dos requisitos de desempenho da rede, você deve escolher entre as portas de switch Fast Ethernet e Gigabit Ethernet. Fast Ethernet permite até 100 Mb/s de tráfego por porta de switch. Fast Ethernet é adequado para a telefonia IP e o tráfego de dados na maior parte das redes comerciais. No entanto, o desempenho é mais lento do que o de portas Gigabit Ethernet. Gigabit Ethernet permite até 1000 Mb/s de tráfego por porta de switch. A maioria dos dispositivos modernos, como estações de trabalho, notebooks e telefones IP, suportam Gigabit Ethernet. Isso permite transferências de dados muito mais eficientes, o que permite aos usuários serem mais produtivos. Gigabit Ethernet tem uma desvantagem: os switches que suportam Gigabit Ethernet são mais caros.

Outro requisito de recurso para alguns switches da camada de acesso é PoE. Como a PoE aumenta drasticamente o preço geral do switch em todas as linhas de produto de switch Cisco Catalyst, ela só deverá ser considerada quando a convergência de voz for obrigatória ou quando pontos de acesso sem fio estiverem sendo implementados e for difícil ou caro o transporte da energia até o local desejado.

Agregação de link é outro recurso comum à maioria dos switches da camada de acesso. A agregação de link permite ao switch usar vários links simultaneamente. Os switches da camada de acesso usufruem a agregação de link ao agregar largura de banda até os switches da camada de distribuição.

Como a conexão uplink entre o switch da camada de acesso e o switch da camada de distribuição costuma ser o gargalo na comunicação, a taxa de encaminhamento interna dos switches da camada de acesso não precisa ser tão alta quanto o link entre os switches das camadas de distribuição e de acesso. Características como a taxa de encaminhamento interna não chegam a ser uma preocupação para switches da camada de acesso porque eles só tratam tráfego dos dispositivos finais e o encaminham para os switches da camada de distribuição.

Em uma rede convergente que suporta tráfegos de voz, de vídeo e de dados, os switches da camada de acesso precisam suportar QoS para manter a priorização do tráfego. Os telefones IP Cisco são tipos de equipamento encontrados na camada de acesso. Quando um telefone IP Cisco é conectado a uma porta de switch da camada de acesso configurada para suportar tráfego de voz, essa porta do switch informa ao telefone IP como enviar seu tráfego de voz. O QoS precisa estar habilitado nos switches da camada de acesso para que o tráfego de voz tenha prioridade no telefone IP sobre, por exemplo, o tráfego de dados.

Exibir meio visual

Página 2:

Recursos do switch da camada de distribuição

Os switches da camada de distribuição têm uma função muito importante na rede. Eles coletam os dados de todos os switches da camada de acesso e os encaminha para os switches da camada de núcleo. Como você saberá posteriormente neste curso, o tráfego gerado na Camada 2 em uma rede comutada precisa ser gerenciado ou segmentado em VLANs, para que ele não consuma largura de banda desnecessária em toda a rede. Os switches da camada de distribuição fornecem as funções de roteamento entre VLANs

para que uma VLAN possa se comunicar com outra na rede. Esse roteamento normalmente acontece na camada de distribuição porque os switches da camada de distribuição têm recursos de processamento melhores que os switches da camada de acesso. Os switches da camada de distribuição impedem que os switches do núcleo precisem executar essa tarefa porque o núcleo está ocupado, tratando o encaminhamento de volumes de tráfego muito altos. Como o roteamento entre VLANs é realizado na camada de distribuição, os switches nessa camada precisam suportar funções da Camada 3.

Políticas de segurança

Outro motivo pelo qual a funcionalidade da Camada 3 é obrigatória para os switches da camada de distribuição é por conta das políticas de segurança avançadas que podem ser aplicadas ao tráfego da rede. As listas de acesso são usadas para controlar como o tráfego flui pela rede. Uma lista de controle de acesso (ACL) permite ao switch impedir determinados tipos de tráfego e permitir outros. As ACLs também permitem controlar quais dispositivos de rede podem se comunicar na rede. Usar as ACLs consome muito processamento porque o switch precisa inspecionar todos os pacotes e ver se eles correspondem a uma das regras ACL definidas no switch. Essa inspeção é realizada na camada de distribuição, porque os switches nessa camada normalmente têm o recurso de processamento para tratar a carga adicional, além de simplificar o uso de ACLs. Em vez de usar as ACLs para todos os switches da camada de acesso na rede, elas são definidas nos switches da camada de distribuição, o que simplifica muito o gerenciamento das ACLs.

Qualidade de serviço

Os switches da camada de distribuição também precisam suportar QoS para manter a priorização do tráfego proveniente dos switches da camada de acesso que implementaram QoS. As políticas de prioridade asseguram uma largura de banda adequada para a comunicação de áudio e de vídeo a fim de manter uma qualidade de serviço aceitável. Para manter a prioridade dos dados de voz em toda a rede, todos os switches que encaminham dados de voz devem suportar QoS; se nem todos os dispositivos de rede suportarem QoS, os benefícios da QoS serão reduzidos. Isso resulta em baixo desempenho e qualidade para comunicação de áudio e vídeo.

Os switches da camada de distribuição estão enfrentando uma forte demanda na rede por conta das funções que eles fornecem. É importante que os switches de distribuição suportem a redundância para uma disponibilidade adequada. A perda de um switch da camada de distribuição pode ter um impacto significativo no resto da rede porque todo o

tráfego da camada de acesso passa pelos switches da camada de distribuição. Os switches da camada de distribuição costumam ser implementados em pares para assegurar a disponibilidade. Também é recomendável que os switches da camada de distribuição suportem várias fontes de alimentação de permutação automática (hot swappable). Ter mais de uma fonte de alimentação permite ao switch continuar funcionando mesmo que haja falha em uma das fontes de alimentação durante o funcionamento. Ter fontes de alimentação hot swappable permite trocar uma fonte de alimentação com falha ainda com o switch em funcionamento. Isso permite reparar o componente com falha sem que haja impacto sobre a funcionalidade da rede.

Por fim, os switches da camada de distribuição precisam suportar a agregação de link. Normalmente, os switches da camada de acesso usam vários links para se conectar a um switch da camada de distribuição a fim de assegurar que uma largura de banda adequada acomode o tráfego gerado na camada de acesso e fornecer tolerância a falhas no caso de perda de um link. Como os switches da camada de distribuição aceitam tráfego de entrada de vários switches da camada de acesso, eles precisam ser capazes de encaminhar todo esse tráfego o mais rápido possível para os switches da camada de núcleo. Dessa forma, os switches da camada de distribuição também precisam de links agregados com alta largura de banda para os switches da camada de núcleo. Os switches da camada de distribuição mais novos suportam uplinks 10 Gigabit Ethernet (10GbE) para os switches da camada de núcleo.

Exibir meio visual

Página 3:

Recursos do switch da camada de núcleo

A camada de núcleo de uma topologia hierárquica é o backbone de alta velocidade da rede e exige switches capazes de tratar taxas de encaminhamento muito altas. A taxa de encaminhamento obrigatória depende muito do número de dispositivos que participam da rede. Você determina a taxa de encaminhamento necessária, realizando e examinando vários relatórios de fluxo de tráfego e análises de comunidades de usuários. Com base nos resultados, é possível identificar um switch apropriado para suportar a rede. Tome cuidado para avaliar as necessidades do presente e de um futuro próximo. Se optar por um switch inadequado a ser usado no núcleo da rede, você enfrentará possíveis problemas de gargalo no núcleo, o que reduz a velocidade de toda a comunicação na rede.

Agregação de link

A camada de núcleo também precisa suportar agregação de link para assegurar uma largura de banda adequada no núcleo em relação aos switches da camada de distribuição. Os switches da camada de núcleo devem ter suporte a conexões 10GbE agregadas, que atualmente formam a opção de conectividade Ethernet mais rápida disponível. Isso permite aos switches da camada de distribuição correspondentes distribuir tráfego com a máxima eficiência possível para o núcleo.

Redundância

Como a disponibilidade da camada de núcleo também é essencial, você dever integrar a máxima redundância que puder. A redundância da Camada 3 normalmente apresenta uma convergência mais rápida que a da Camada 2 em caso de falha do hardware. Nesse contexto, convergência se refere ao tempo necessário para que a rede se adapte a uma alteração; não confundir com uma rede convergente, que suporta comunicação de dados, de áudio e de vídeo. Tendo isso em mente, você deseja assegurar que os switches da camada de núcleo suportem funções da Camada 3. Uma discussão completa sobre as implicações da redundância da Camada 3 está além do escopo deste curso. Nesse contexto, permanece uma pergunta em aberto sobre a necessidade da redundância da Camada 2. A redundância da Camada 2 é examinada no Capítulo 5 quando abordamos o protocolo spanning tree (STP). Além disso, procure switches da camada de núcleo que suportem recursos de redundância de hardware adicionais como fontes de alimentação redundantes que possam ser trocados ainda com o switch em funcionamento. Por conta da alta carga de trabalho transportada por switches da camada de núcleo, eles tendem a funcionar mais quentes do que os switches da camada de distribuição, logo, devem ter opções de resfriamento mais sofisticadas. Muitos switches efetivamente compatíveis com a camada de núcleo têm a possibilidade de trocar ventiladores sem que seja necessário desligá-los.

Por exemplo, interromperia desligar um switch da camada de núcleo para trocar uma fonte de alimentação ou um ventilador durante o dia quando o uso da rede está em seu máximo. Para trocar um hardware, você pode ter uma queda da rede de pelo menos cinco minutos, e isso se for muito rápido na manutenção. Em uma situação mais real, o switch pode permanecer desligado durante 30 minutos ou mais, o que não costuma ser muito aceitável. Com hardware hot-swappable, não há nenhuma indisponibilidade durante a manutenção do switch.

A QoS é uma parte importante dos serviços fornecidos por switches da camada de núcleo. Por exemplo, as operadoras (que fornecem serviços de IP, armazenamento de dados, email e outros) e as redes remotas (WANs) estão adicionando mais tráfego de voz e vídeo a uma quantidade já em crescimento do tráfego de dados. No núcleo e na borda da rede, o tráfego de missão crítica e sensível ao tempo, como voz, deve receber garantias de QoS maiores que o tráfego sensível ao tempo, como transferências de

arquivo ou email. Como o acesso WAN da alta velocidade costuma ser proibitivamente caro, adicionar largura de banda na camada de núcleo não é uma opção. Como a QoS fornece uma solução com base em software para priorizar o tráfego, os switches da camada de núcleo podem fornecer uma forma acessível de suportar o uso ideal e diferenciado da largura de banda existente.

Exibir meio visual

1.2.4 Switches para pequenas e médias empresas (SMB)

Página 1:

Os recursos dos switches Cisco Catalyst

Agora que você sabe quais são os recursos do switch usados nas camadas de uma rede hierárquica, você obterá informações sobre os switches Cisco aplicáveis a cada camada no modelo de rede hierárquico. Hoje, não é possível selecionar um switch Cisco apenas considerando o tamanho de uma empresa. Uma pequena empresa com 12 funcionários pode ser integrada à rede de uma grande empresa multinacional e exigir todos os serviços de rede local avançados disponíveis na matriz corporativa. A seguinte classificação de switches Cisco segundo o modelo de rede hierárquica representa um ponto de partida para suas deliberações quanto ao switch mais apropriado a um determinado aplicativo. A classificação apresentada reflete como você poderia ver a faixa de switches Cisco se fosse uma empresa multinacional. Por exemplo, as densidades de porta do switch Cisco 6500 só têm sentido como um switch da camada de acesso em que há muitas centenas de usuários em uma área, como um pavimento de uma bolsa de valores. Se você pensar nas necessidades de uma empresa de médio porte, um switch mostrado como um switch da camada de acesso, o Cisco 3560, por exemplo, pode ser usado como um switch da camada de distribuição se atende aos critérios determinados pelo designer de rede daquela aplicação.

A Cisco tem sete linhas de produto de switch. Cada linha de produto tem recursos e características diferentes, o que permite localizar o switch certo para atender aos requisitos funcionais da rede. As linhas de produto de switch Cisco são:

Catalyst Express 500 Catalyst 2960 Catalyst 3560 Catalyst 3750 Catalyst 4500 Catalyst 4900 Catalyst 6500

Catalyst Express 500

Catalyst Express 500 é o switch da camada de entrada da Cisco. Ele oferece o seguinte:

Taxas de encaminhamento de 8,8 Gb/s a 24 Gb/s Segurança de porta da Camada 2 Gerenciamento baseado na Web Convergência de dados/Suporte à comunicação IP

Essa série de switches é apropriada a implementações da camada de acesso em que a alta densidade de porta não é obrigatória. Os switches da série Cisco Catalyst Express 500 são dimensionados para ambientes de pequena empresa que variam entre 20 e 250 funcionários. Os switches da série Catalyst Express 500 estão disponíveis em diferentes configurações fixas:

Conectividade Fast Ethernet e Gigabit Ethernet Até 24 portas 10/100 com PoE opcional ou 12 portas 10/100/1000

Os switches da série Catalyst Express 500 não permitem o gerenciamento por meio da CLI IOS Cisco. Eles são gerenciados com uma interface de gerenciamento Web integrada, o Cisco Network Assistant ou o novo Cisco Configuration Manager desenvolvido especificamente para os switches da série Catalyst Express 500. O Catalyst Express não suporta o acesso da console.

Para obter mais informações sobre a série de switches Cisco Express 500, acesse http://www.cisco.com/en/US/products/ps6545/index.html (em inglês).

Catalyst 2960

Os switches da série Catalyst 2960 permitem a redes de filiais, empresas de pequeno porte e corporativas da camada de entrada fornecer serviços de rede local aprimorados. Os switches da série Catalyst 2960 são apropriados para implementações da camada de

acesso em que o acesso à energia e ao espaço são limitados. Os laboratórios CCNA Exploration: Comutação de rede local e sem fio se baseiam nos recursos do switch Cisco 2960.

Os switches da série Catalyst 2960 oferecem o seguinte:

Taxas de encaminhamento de 16 Gb/s a 32 Gb/s Comutação multicamada Recursos de QoS para suportar a comunicação IP Listas de controle de acesso (ACLs) Conectividade Fast Ethernet e Gigabit Ethernet Até 48 portas 10/100 ou 10/100/1000 com uplinks gigabit adicionais de dupla

finalidade

A série de switches Catalyst 2960 não suporta PoE.

A série Catalyst 2960 suporta a CLI Cisco IOS, a interface de gerenciamento integrada e o Cisco Network Assistant. Essa série de switches suporta o acesso de console e auxiliar ao switch.

Para obter mais informações sobre a série de switches Cisco Catalyst 2960, visite http://www.cisco.com/en/US/products/ps6406/index.html (em inglês).

Catalyst 3560

A série Cisco Catalyst 3560 é uma linha de switches de classe corporativa que inclui suporte a PoE, QoS e a recursos de segurança avançados, como ACLs. Esses switches são switches da camada de acesso ideais para o acesso de rede local de pequenas empresas ou os ambientes de rede convergentes de filiais.

A série Cisco Catalyst 3560 suporta taxas de encaminhamento de 32 Gb/s a 128 Gb/s (série de switches Catalyst 3560-E).

Os switches da série Catalyst 3560 estão disponíveis em diferentes configurações fixas:

Conectividade Fast Ethernet e Gigabit Ethernet Até 48 portas 10/100/1000, mais quatro portas small form-factor pluggable

(SFP) Conectividade opcional 10 Gigabit Ethernet nos modelos Catalyst 3560-E PoE integrada opcional (Cisco pré-padrão e IEEE 802.3af); até 24 portas com

15,4 watts ou 48 portas com 7,3 watts

Para obter mais informações sobre a série de switches Cisco Catalyst 3560, visite http://www.cisco.com/en/US/products/hw/switches/ps5528/index.html (em inglês).

Catalyst 3750

A série de switches Cisco Catalyst 3750 é ideal para switches da camada de acesso em organizações de médio porte e filiais corporativas. Essa série oferece taxas de encaminhamento de 32 Gb/s a 128 Gb/s (série de switches Catalyst 3750-E). A série Catalyst 3750 suporta a tecnologia Cisco StackWise. A tecnologia StackWise permite interconectar até nove switches Catalyst 3750 físicos em um só switch lógico usando uma conexão backplane, redundante, de alto desempenho (32 Gb/s).

Os switches da série Catalyst 3750 estão disponíveis em diferentes configurações fixas empilháveis:

Conectividade Fast Ethernet e Gigabit Ethernet Até 48 portas 10/100/1000, mais quatro portas SFP Conectividade opcional 10 Gigabit Ethernet nos modelos Catalyst 3750-E PoE integrada opcional (Cisco pré-padrão e IEEE 802.3af); até 24 portas com

15,4 watts ou 48 portas com 7,3 watts


Catalyst 4500

Catalyst 4500 é a primeira plataforma de comutação modular de médio alcance que oferece comutação multicamada para empresas, pequenas e médias e operadoras.

Com taxas de encaminhamento de até 136 Gb/s, a série Catalyst 4500 é capaz de gerenciar tráfego na camada de distribuição. O recurso modular da série Catalyst 4500 permite densidades de porta muito altas com a adição de placas de linha da porta de switch ao seu chassi modular. A série Catalyst 4500 oferece QoS multicamada e funções de roteamento sofisticadas.

Os switches da série Catalyst 4500 estão disponíveis em diferentes configurações modulares:

Chassi modular com três, seis, sete e dez slots que oferece camadas diferentes de escalabilidade

Alta densidade de porta: até 384 portas Fast Ethernet ou Gigabit Ethernet disponíveis em cobre ou fibra com uplinks 10 Gigabit

PoE (Cisco pré-padrão e IEEE 802.3af) Duas fontes de alimentação CA ou CC internas hot-swappable Recursos de roteamento IP assistido por hardware avançados


Catalyst 4900

Os switches da série Catalyst 4900 foram projetados e otimizados para a comutação de servidores, permitindo taxas de encaminhamento muito altas. O Cisco Catalyst 4900 não é um switch de camada de acesso típico. Trata-se de um switch de camada de acesso especialmente criado para implantações de data center em que muitos servidores podem estar muito próximos. Essa série de switches suporta fontes de alimentação redundantes, duplas, e ventiladores que podem ser trocados ainda com o switch em funcionamento. Isso permite aos switches obter maior disponibilidade, o que é essencial em implantações de data center.

Os switches da série Catalyst 4900 suporta recursos QoS avançados, o que faz deles candidatos ideais para o hardware de telefonia IP back end. Os switches da série Catalyst 4900 não suportam o recurso StackWise da série Catalyst 3750, nem suportam PoE.

Os switches da série Catalyst 4900 estão disponíveis em diferentes configurações fixas:

Até 48 portas 10/100/1000 com quatro portas SFP ou 48 portas 10/100/1000 com duas portas 10GbE

Duas fontes de alimentação CA ou CC internas hot-swappable Ventiladores hot-swappable

Para obter mais informações sobre a série de switches Cisco Catalyst 4900, visite http://www.cisco.com/en/US/products/ps6021/index.html (em inglês).

Catalyst 6500

O switch modular da série Catalyst 6500 é otimizado para segurança e convergência de voz, vídeo e dados. O Catalyst 6500 é capaz de gerenciar o tráfego nas camadas de distribuição e de núcleo. A série Catalyst 6500 é o switch Cisco de melhor desempenho, suportando taxas de encaminhamento de até 720 Gb/s. O Catalyst 6500 é ideal para ambientes de rede muito grandes encontrados em empresas, de médio porte e operadoras.

Os switches da série Catalyst 6500 estão disponíveis em diferentes configurações modulares:

Chassi modular com 3, 4, 6, 9 e 13 slots Módulos de serviço de rede local/WAN PoE de até 420 dispositivos IEEE 802.3af Classe 3 (15,4W) PoE Até 1152 portas 10/100, 577 portas 10/100/1000, 410 portas SFP Gigabit

Ethernet ou 64 portas 10 Gigabit Ethernet Duas fontes de alimentação CA ou CC internas hot-swappable Recursos de roteamento IP assistido por hardware avançados


A seguinte ferramenta pode ajudar a identificar o switch correto para uma implementação: http://www.cisco.com/en/US/products/hw/switches/products_promotion0900aecd8050364f.html (em inglês).

A seguinte guia fornece uma comparação detalhada de opções de switch atuais da Cisco: http://www.cisco.com/en/US/prod/switches/ps5718/ps708/networking_solutions_products_genericcontent0900aecd805f0955.pdf (em inglês).

Exibir meio visual


Página 3:

O Packet Tracer é integrado ao longo deste curso. Você deve saber como navegar no ambiente do Packet Tracer para concluir este curso. Use os tutoriais se você precisar de uma revisão dos princípios básicos do Packet Tracer. Os tutoriais estão localizados no menu Ajuda do Packet Tracer.

Esta atividade vai ensinar a criar uma topologia hierárquica, da camada de núcleo às camadas de distribuição e de acesso.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.

Exibir meio visual

1.3 Laboratórios do capítulo

1.3.1 Revisão dos conceitos do Exploration 1

Página 1:

Neste laboratório, você irá criar e configurar uma pequena rede roteada e verificar a conectividade em vários dispositivos de rede. Para isso, é necessário criar e atribuir dois blocos de sub-rede, conectar hosts e dispositivos de rede e configurar computadores host e um roteador Cisco para conectividade de rede básica. Switch1 tem uma configuração padrão e não exige uma configuração adicional. Você utilizará comandos comuns para testar e documentar a rede. A sub-rede zero é usada.

Exibir meio visual

Página 2:

Nesta atividade, você irá criar e configurar uma pequena rede roteada e verificar a conectividade em vários dispositivos de rede. Para isso, é necessário criar e atribuir dois blocos de sub-rede, conectar hosts e dispositivos de rede e configurar computadores host e um roteador Cisco para conectividade de rede básica. Switch1 tem uma configuração padrão e não exige uma configuração adicional. Você utilizará comandos comuns para testar e documentar a rede. A sub-rede zero é usada.

São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.



Exibir meio visual

1.3.2 Revisão dos conceitos do Exploration 1 – Desafio

Página 1:

Neste laboratório, você irá criar e configurar uma pequena rede roteada e verificar a conectividade em vários dispositivos de rede. Para isso, é necessário criar e atribuir dois blocos de sub-rede, conectar hosts e dispositivos de rede e configurar computadores host e um roteador Cisco para conectividade de rede básica. Switch1 tem uma

configuração padrão e não exige uma configuração adicional. Você utilizará comandos comuns para testar e documentar a rede. A sub-rede zero é usada.

Exibir meio visual

Página 2:

Nesta atividade, você irá criar e configurar uma pequena rede roteada e verificar a conectividade em vários dispositivos de rede. Para isso, é necessário criar e atribuir dois blocos de sub-rede, conectar hosts e dispositivos de rede e configurar computadores host e um roteador Cisco para conectividade de rede básica. Switch1 tem uma configuração padrão e não exige uma configuração adicional. Você utilizará comandos comuns para testar e documentar a rede. A sub-rede zero é usada.




Exibir meio visual

1.3.3 Identificação e solução de problemas de uma rede pequena

Página 1:

Neste laboratório, você recebe uma configuração concluída para uma pequena rede roteada. A configuração contém erros de design e de configuração que entram em conflito com requisitos determinados e impedem a comunicação fim-a-fim. Você examinará o projeto dado e identificará e corrigirá os possíveis erros de design. Depois você cabeará a rede, configurará os hosts e carregará as configurações sobre o roteador. Por fim, você irá solucionar os problemas de conectividade para determinar onde os erros estão ocorrendo e corrigi-los usando os comandos apropriados. Quando todos os erros forem corrigidos, cada host poderá se comunicar com todos os outros elementos de rede configurados e com o outro host.

Exibir meio visual

A configuração contém erros de programação e de configuração que entram em conflito com requisitos determinados e impedem a comunicação fim-a-fim. Você solucionará os problemas de conectividade para determinar onde os erros estão ocorrendo e irá corrigi-los utilizando os comandos apropriados. Quando todos os erros forem corrigidos, cada host poderá se comunicar com todos os outros elementos de rede configurados e com o outro host.




Exibir meio visual

1.4 Resumo do capítulo

1.4.1 Resumo do capítulo

Página 1:

Neste capítulo, abordamos o modelo de design hierárquico. Implementar esse modelo melhora o desempenho, a escalabilidade, a disponibilidade, a gerenciabilidade e a sustentabilidade da rede. As topologias de rede hierárquicas facilitam a convergência de rede, aprimorando o desempenho necessário à integração de dados de voz e vídeo na rede de dados existente.

O fluxo de tráfego, as comunidades de usuários, os armazenamentos de dados e o local do servidor, além da análise do diagrama de topologia, são usados para ajudar a identificar gargalos de rede. Dessa forma, os gargalos podem ser resolvidos para melhorar o desempenho da rede e determinar com precisão os requisitos de hardware apropriados para atender ao desempenho desejado da rede.

Pesquisamos os recursos de switch diferentes, como características físicas, desempenho, PoE e suporte à Camada 3 e como eles se relacionam às camadas diferentes do design de rede hierárquico. Um arranjo das linhas de produtos de switch Cisco Catalyst está disponível para suportar qualquer aplicativo ou empresa.

Exibir meio visual


Página 3:

Esta atividade revisa as habilidades que você adquiriu no CCNA - Cisco Certified Networking Associated Exploration: Curso básico de rede. As habilidades incluem criação de sub-redes, criação de uma rede, aplicação de um esquema de endereçamento e testes de conectividade. Você deve revisar essas habilidades antes de continuar. Além disso, essa atividade revisa os fundamentos de uso do programa Packet Tracer. O Packet Tracer é integrado ao longo desse curso. Você deve saber como navegar no ambiente do Packet Tracer para concluir este curso. Use os tutoriais se precisar de uma revisão dos princípios básicos do Packet Tracer. Os tutoriais estão localizados no menu Ajuda do Packet Tracer.




Exibir meio visual

1.5 Teste do capítulo

1.5.1 Teste do capítuloCCNA Exploration - Comutação de rede local e sem fio

2 Configuração e conceitos básicos de switch



Página 1:

Neste capítulo, você aproveitará as habilidades aprendidas em CCNA Exploration 4.0: Fundamentos de rede, revisando e reforçando essas habilidades com atividades de prática detalhadas. Você obterá informações sobre algumas ameaças mal-intencionadas importantes a switches e aprenderá a habilitar um switch com uma configuração inicial segura.

Exibir meio visual

2.1 Introdução a redes locais Ethernet/802.3

2.1.1 Principais elementos de redes Ethernet/802.3

Página 1:

Neste tópico, você obterá informações sobre os principais componentes do padrão Ethernet que têm um papel significativo no design e na implementação de redes comutadas. Você explorará como funciona a comunicação Ethernet e como os switches têm um papel no processo de comunicação.

CSMA/CD

Os sinais Ethernet são transmitidos para todos os hosts conectados à LAN que usam um conjunto especial de regras para determinar que estação pode acessar a rede. O conjunto de regras que a Ethernet usa se baseia na tecnologia de detecção de colisão/acesso múltiplo com verificação de operadora (CSMA/CD) IEEE. Você pode se lembrar de Exploração CCNA: Fundamentos de Rede que o CSMA/CD só costuma ser usado com uma comunicação half-duplex normalmente encontrada em hubs. Switches em full duplex não usam CSMA/CD.

Verificação de operadora

No método de acesso CSMA/CD, todos os dispositivos de rede com mensagens a serem enviadas devem ouvir antes de transmitir.

Se detectar um sinal de outro dispositivo, um dispositivo aguardará um tempo especificado antes de tentar transmitir.

Quando não há tráfego detectado, um dispositivo transmite sua mensagem. Enquanto essa transmissão ocorre, o dispositivo continua ouvindo o tráfego ou as colisões na rede local. Depois que a mensagem é enviada, o dispositivo retorna a seu modo ouvinte padrão.

Multiacesso

Se a distância entre dispositivos for tanta que a latência dos sinais de um dispositivo significa que esses sinais não são detectados por um segundo dispositivo, este também poderá começar a transmitir. O meio agora tem dois dispositivos transmitindo sinais ao mesmo tempo. As mensagens se propagarão pelo meio até se encontrarem. A essa altura, os sinais se misturam e as mensagens são destruídas; houve uma colisão. Embora as mensagens estejam corrompidas, o restante dos sinais continua se propagando pelo meio.

Detecção de colisões

Quando um dispositivo está no modo ouvinte, ele não pode detectar a ocorrência de uma colisão na mídia compartilhada, porque todos os dispositivos podem detectar um aumento na amplitude do sinal acima do nível normal.

Quando ocorre uma colisão, os outros dispositivos no modo ouvinte, bem como todos os dispositivos transmissores, detectam o aumento na amplitude do sinal. Todos os dispositivos transmissores continuam transmitindo para assegurar que todos os dispositivos na rede detectem a colisão.

Sinal de interferência e backoff aleatório

Quando uma colisão é detectada, os dispositivos transmissores enviam um sinal de interferência. O sinal de interferência notifica os demais dispositivos sobre uma colisão, para que eles possam invocar um um algoritmo back off. Esse algoritmo de back off faz com que todos os dispositivos parem de transmitir por um intervalo aleatório, o que permite a redução dos sinais de colisão.

Depois que o atraso expira em um dispositivo, este retorna ao modo "ouvir antes de transmitir". Um período de back off aleatório assegura que os dispositivos envolvidos na colisão não tentem reenviar o tráfego ao mesmo tempo, o que poderia fazer com que todo o processo fosse repetido. No entanto, durante o período de back off, um terceiro dispositivo pode transmitir antes de qualquer um dos dois dispositivos envolvidos na colisão ter uma chance de retransmitir.

Clique no botão Reproduzir para ver a animação.

Exibir meio visual

Página 2:

Comunicação Ethernet

Consulte a área Comunicação Ethernet selecionada na figura.

A comunicação em uma rede local comutada ocorre de três formas: unicast, broadcast e multicast:

Unicast: Comunicação na qual um quadro é enviado de um host e endereçado a um destino específico. Na transmissão unicast, há apenas um remetente e um receptor. A transmissão unicast é a forma predominante de transmissão em redes locais e na Internet. Entre os exemplos de protocolos que usam transmissões unicast estão HTTP, SMTP, FTP e Telnet.

Broadcast: Comunicação na qual um quadro é enviado de um endereço para todos os outros endereços. Nesse caso, há apenas um remetente, mas as informações são enviadas para todos os receptores conectados. A transmissão de broadcast é essencial durante o envio da mesma mensagem para todos os dispositivos na rede local. Um

exemplo de transmissão de broadcast é a consulta de resolução de endereço que o protocolo de resolução de endereços (ARP, Address Resolution Protocol) envia para todos os computadores em uma rede local.

Multicast: Comunicação na qual um quadro é enviado para um grupo específico de dispositivos ou clientes. Os clientes da transmissão multicast devem ser membros de um grupo multicast lógico para receber as informações. Um exemplo de transmissão multicast é a transmissão de vídeo e de voz associada a uma reunião de negócios colaborativa, com base em rede.

Quadro Ethernet

Clique no botão Quadro Ethernet na figura.

O primeiro curso da nossa série, Exploração CCNA: Fundamentos de Rede, descreveu a estrutura do quadro Ethernet em detalhes. Como uma revisão rápida, a estrutura do quadro Ethernet adiciona cabeçalhos e trailers na PDU da Camada 3 para encapsular a mensagem enviada. O cabeçalho e o trailer Ethernet têm várias seções (ou campos) de informações usadas pelo protocolo Ethernet. A figura mostra a estrutura do quadro Ethernet padrão atual, o IEEE 802.3 (Ethernet) revisado.

Passe o mouse sobre cada nome de campo para ver sua descrição.

Campos Preâmbulo e Início do delimitador de quadro

Os campos Preâmbulo (7 bytes) e Início do delimitador de quadro (SFD) (1 byte) são usados na sincronização entre os dispositivos remetentes e receptores. Esses primeiros oito bytes do quadro são usados para chamar a atenção dos nós receptores. Basicamente, os primeiros bytes informam aos receptores para se prepararem para receber um novo quadro.

Campo Endereço MAC de destino

O campo Endereço MAC de Destino (6 bytes) é o identificador do receptor desejado. Esse endereço é usado pela Camada 2 para auxiliar um dispositivo a determinar se um quadro está endereçado a ele. O endereço no quadro é comparado com o endereço MAC no dispositivo. Se houver correspondência, o dispositivo aceitará o quadro.

Campo Endereço MAC de origem

O campo Endereço MAC de origem (6 bytes) identifica a placa de rede (NIC) ou a interface de origem do quadro. Os switches usam esse endereço para adicionar a suas tabelas de pesquisa.

Campo Tamanho/Tipo

O campo Tamanhp/Tipo (2 bytes) define o comprimento exato do campo de dados do quadro. Esse campo é usado posteriormente como parte da Sequência de verificação do quadro (FCS) para assegurar que a mensagem tenha sido recebida corretamente. Apenas um comprimento ou um tipo de quadro pode ser informado aqui. Se a finalidade do campo for designar um tipo, o campo Tipo descreverá que protocolo está implementado. Quando um nó recebe um quadro e o quadro Tamanho/Tipo designa um tipo, o nó determina que protocolo de camada superior está presente. Se o valor de dois octetos for igual ou maior que 0x0600 hexadecimal ou 1536 decimal, o conteúdo do campo Dados será decodificado de acordo com o protocolo indicado; se o valor de dois bytes for inferior a 0x0600, o valor representará o comprimento dos dados no quadro.

Campos Dados e Pad

Os campos Dados e Pad (de 46 a 1500 bytes) contêm os dados encapsulados de uma camada de nível superior, que é uma PDU de Camada 3 genérica ou, mais normalmente, um pacote IPv4. Todos os quadros devem ter pelo menos 64 bytes (tamanho máximo auxilia na detecção de colisões). Se um pacote pequeno for encapsulado, o campo Pad será usado para aumentar o tamanho do quadro até o mínimo.

Campo Sequência de verificação de quadro

O campo FCS (4 bytes) detecta erros em um quadro. Ele usa uma verificação de redundância cíclica (CRC). O dispositivo emissor inclui os resultados de uma CRC no campo FCS do quadro. O dispositivo receptor recebe o quadro e gera uma CRC para procurar erros. Se o cálculo for correspondente, é sinal de que não ocorreu nenhum erro. Se os cálculos não corresponderem, o quadro será ignorado.

Endereço MAC

Clique no botão Endereço MAC na figura.

Em Exploração CCNA: Fundamentos de Rede, você obteve informações sobre o endereço MAC. Um endereço MAC Ethernet é um valor em duas partes com 48 bits binário expresso como 12 dígitos hexadecimais. Os formatos de endereço podem ser semelhantes a 00-05-9A-3C-78-00, 00:05:9A:3C:78:00 ou 0005.9A3C.7800.

Todos os dispositivos conectados a uma rede local Ethernet têm interfaces com endereços MAC. A placa de rede usa o endereço MAC para determinar se uma mensagem deve ser passada às camadas superiores para processamento. O endereço MAC é codificado permanentemente em um chip ROM em uma placa de rede. Esse tipo de endereço MAC é conhecido como um endereço gravado na ROM (BIA). Alguns fornecedores permitem a modificação local do endereço MAC. O endereço MAC é composto do identificador exclusivo organizacional (OUI) e o número de atribuição do fornecedor.

Passe o mouse sobre cada nome de campo para ver sua descrição.

Identificador exclusivo organizacional

A OUI é a primeira parte de um endereço MAC. Ela tem 24 bits e identifica o fabricante da placa de rede. O IEEE regula a atribuição de números OUI. No OUI, há dois bits que só têm significado quando usados no endereço de destino, da seguinte forma:

Bit de broadcast ou multicast: Indica para a interface receptora que o destino do quadro é todos ou um grupo de estações finais no segmento de rede local.

Bit de endereço administrado localmente: Se o endereço MAC atribuído por fornecedor puder ser modificado localmente, esse bit deverá ser definido.

Número de atribuição do fornecedor

A parte atribuída por fornecedor do endereço MAC tem 24 bits e identifica exclusivamente o hardware Ethernet. Ela pode ser BIA ou modificado pelo software indicado pelo bit local.

Exibir meio visual

Página 3:

Configurações bidirecionais

Há dois tipos de configurações bidirecionais usados na comunicação em uma rede Ethernet: half duplex e full duplex. A figura mostra as duas configurações bidirecionais disponíveis em equipamentos de rede modernos.

Half duplex: A comunicação em half duplex depende do fluxo de dados unidirecional quando o envio e o recebimento de dados não são executados ao mesmo tempo. Isso é semelhante à forma de funcionamento de walkie-talkies ou rádios bidirecionais à medida que apenas uma pessoa pode falar por vez. Se alguém fala com outra pessoa já falando, ocorre uma colisão. Dessa forma, a comunicação em half duplex implementa CSMA/CD para ajudar a reduzir o potencial de colisões e as detectar quando elas acontecerem. A comunicação em half duplex tem problemas de desempenho devido à espera constante, porque os dados só podem fluir em uma direção por vez. A conexão em half duplex costuma ser vista em hardwares mais antigos, como hubs. Os nós acoplados a hubs que compartilham sua conexão com uma porta de switch devem funcionar em modo half duplex porque os computadores finais devem ser capazes de detectar colisões. Os nós poderão funcionar em um modo half duplex se a placa de rede não puder ser configurada para operações em full duplex. Nesse caso, a porta no switch também usa como padrão um modo half duplex. Por causa dessas limitações, a comunicação em full duplex substituiu half duplex nos hardwares mais atuais.

Full duplex: Na comunicação em full duplex, como o fluxo de dados é bidirecional, os dados podem ser enviados e recebidos ao mesmo tempo. O suporte bidirecional aprimora o desempenho, reduzindo o tempo de espera entre as transmissões. Grande parte das placas de rede Ethernet, Fast Ethernet e Gigabit Ethernet vendidas atualmente oferece recursos em full duplex. No modo full duplex, o circuito de detecção de colisões é desabilitado. Os quadros enviados pelos dois nós finais conectados não podem colidir porque os nós finais usam dois circuitos separados no cabo de rede. Cada conexão em full duplex usa apenas uma porta. As conexões em full duplex exigem um switch que suporte full duplex ou uma conexão direta entre dois nós em que cada um suporte full duplex. Os nós acoplados diretamente a uma porta de switch dedicada com placas de rede que suportam full duplex devem ser conectados a portas de switch configuradas para funcionar no modo full duplex.

A eficiência da configuração Ethernet compartilhada, padrão, baseada em hub costuma ser de 50 a 60 por cento da largura de banda 10-Mb/s. A Fast Ethernet em full duplex, em comparação com a largura de banda de 10-Mb/s, oferece 100 por cento de eficiência em ambas as direções (100-Mb/s na transmissão e 100-Mb/s na recepção).

Exibir meio visual

Página 4:

Configurações de porta de switch

Uma porta em um switch precisa ser configurada com configurações bidirecionais correspondentes ao tipo de meio. Posteriormente neste capítulo, você definirá configurações bidirecionais. Os switches Cisco Catalyst têm três configurações:

A opção auto define a negociação automática do modo bidirecional. Com a negociação automática habilitada, as duas portas se comunicam para decidir o melhor modo de funcionamento.

A opção full define o modo full duplex. A opção half define o modo half duplex.

Para as portas Fast Ethernet e 10/100/1000, o padrão é auto. Para portas 100BASE-FX, o padrão é full. As portas 10/100/1000 funcionam no modo half ou full duplex quando são definidas como 10 ou 100 Mb/s, mas quando definidas como 1.000 Mb/s, elas funcionam apenas no modo full duplex.

Nota: A negociação automática pode gerar resultados imprevisíveis. Por padrão, quando a negociação automática falha, o switch Catalyst define a porta de switch correspondente no modo half duplex. Esse tipo de falha acontece quando um dispositivo acoplado não suporta a negociação automática. Se for configurado manualmente para funcionar no modo half duplex, o dispositivo corresponderá ao modo padrão do switch. No entanto, erros de negociação automática poderão acontecer se o dispositivo for configurado manualmente para funcionar no modo full duplex. Ter half duplex em uma extremidade e full duplex em outra causa erros de colisão na extremidade half duplex. Para evitar essa situação, defina manualmente os parâmetros bidirecionais do switch de acordo com o dispositivo acoplado. Se a porta de switch estiver no modo full duplex e o dispositivo acoplado estiver no modo half duplex, verifique os erros de FCS na porta full duplex do switch.

auto-MDIX

As conexões entre dispositivos específicos, como switch-a-switch ou switch-a-roteador, costumavam exigir o uso de determinados tipos de cabo (crossover, straight-through). Na verdade, agora é possível usar o comando de configuração da interface mdix auto na CLI para ativar o recurso de interface que depende do meio automático (auto-MDIX).

Quando o recurso auto-MDIX é habilitado, o switch detecta o tipo de cabo exigido para conexões Ethernet de cobre e configura as interfaces corretamente. Por isso, é possível usar um cabo crossover ou straight-through para conexões com uma porta 10/100/1000 de cobre no switch, independentemente do tipo de dispositivo na outra extremidade da conexão.

Por padrão, o recurso auto-MDIX é habilitado em switches que executam o Cisco IOS versão 12.2(18)SE ou posterior. Para versões entre o Cisco IOS versão 12.1(14)EA1 e 12.2(18)SE, o recurso auto-MDIX é desabilitado por padrão.

Exibir meio visual

Página 5:

Endereçamento MAC e tabelas de endereços MAC do switch

Os switches usam endereços MAC para direcionar a comunicação de rede por meio da trama do switch para a porta apropriada no sentido do nó de destino. A trama do switch são os circuitos integrados e a programação da máquina complementar que permite os caminhos de dados em todo o switch a ser controlado. Para que um switch saiba qual porta usar para transmitir um quadro unicast, ele deve aprender primeiro quais são os nós em cada uma de suas portas.

Um switch determina como tratar estruturas de dados recebidos, usando sua tabela de endereços MAC. Um switch cria sua tabela de endereços MAC, registrando os endereços MAC dos nós conectados a cada uma de suas portas. Quando um endereço MAC de um nó específico em uma porta específica é registrado na tabela de endereços, o switch sabe enviar tráfego com destino a esse nó específico pela porta mapeada para esse nó em transmissões subseqüentes.

Quando uma estrutura de dados de entrada é recebida por um switch e o endereço MAC de destino não está na tabela, o switch encaminha o quadro por todas as portas, com exceção da porta em que foi recebido. Quando o nó de destino responde, o switch registra o endereço MAC do nó na tabela de endereços do campo de endereço de origem do quadro. Em redes com vários switches interconectados, as tabelas de endereços MAC registram vários endereços MAC para as portas que conectam os switches que refletem o que há além do nó. Normalmente, as portas de switch usadas para interconectar dois switches têm vários endereços MAC registrados na tabela de endereços MAC.

Para ver como isso funciona, clique nas etapas na figura.

Isto descreve esse processo:

Etapa 1. O switch recebe um quadro de broadcast do PC 1 na Porta 1.

Etapa 2. O switch insere o endereço MAC de origem e a porta de switch que recebeu o quadro na tabela de endereços.

Etapa 3. Como o endereço de destino é um broadcast, o switch inunda o quadro a todas as portas, exceto a porta em que ele recebeu o quadro.

Etapa 4. O dispositivo de destino responde ao broadcast com um quadro unicast endereçado a PC 1.

Etapa 5. O switch insere o endereço MAC de origem de PC 2 e o número de porta do switch que recebeu o quadro na tabela de endereços. O endereço de destino do quadro e de sua porta associada é encontrado na tabela de endereços MAC.

Etapa 6. Agora o switch pode encaminhar quadros entre os dispositivos de origem e de destino sem envio, porque tem entradas na tabela de endereços que identificam as portas associadas.

Exibir meio visual

2.1.2 Considerações de design para redes Ethernet/802.3

Página 1:

Neste tópico, você obterá informações sobre as diretrizes de design Ethernet necessárias à interpretação de designs de rede hierárquica para pequenas e médias empresas. Este tópico se concentra no broadcast e em domínios de colisão, além da forma como eles afetam os designs de rede local.

Largura de banda e produtividade

Uma grande desvantagem das redes Ethernet 802.3 são as colisões. Colisões ocorrem quando dois hosts transmitem quadros simultaneamente. Quando uma colisão ocorre, os quadros transmitidos são danificados ou destruídos. Os hosts de envio param de enviar mais transmissões durante um período aleatório, com base nas regras Ethernet 802.3 de CSMA/CD.

Como a Ethernet não tem como controlar que nó estará em transmissão em qualquer momento, sabemos que as colisões ocorrerão quando mais de um nó tentar obter acesso à rede. A resolução de Ethernet para colisões não ocorre instantaneamente. Além disso, um nó envolvido em uma colisão não pode começar a transmitir até que o assunto seja resolvido. Na medida em que mais dispositivos são adicionados ao meio compartilhada, cresce a probabilidade de colisões. Por isso, é importante compreender que, durante a

declaração da largura de banda da rede Ethernet de 10 Mb/s, a largura de banda completa para transmissão só está disponível após a resolução de todas as colisões. A produtividade líquida da porta (os dados médios efetivamente transmitidos) será reduzida consideravelmente em decorrência da função de quantos nós desejam usar a rede. Um hub não oferece nenhum mecanismo para eliminar ou reduzir essas colisões, e a largura de banda disponível que qualquer nó precisa transmitir é reduzida de maneira correspondente. Dessa forma, o número de nós que compartilham a rede Ethernet afetará a produtividade da rede.

Domínios de colisão

Durante a expansão de uma rede local Ethernet para acomodar mais usuários com mais requisitos de largura de banda, o potencial de colisões aumenta. Para reduzir o número de nós em um determinado segmento de rede, é possível criar segmentos de rede física separados, chamados de domínios de colisão.

A área de rede na qual quadros têm origem e colidem é chamada de domínio de colisão. Todos os ambientes de meio compartilhados, como os criados usando-se hubs, são domínios de colisão. Quando um host é conectado a uma porta de switch, o switch cria uma conexão dedicada. Essa conexão é considerada um domínio de colisão individual porque o tráfego é mantido separado de todos os demais tráfegos, o que elimina o potencial para uma colisão. A figura mostra domínios de colisão exclusivos em um ambiente comutado. Por exemplo, se um switch com 12 portas tem um dispositivo conectado em cada porta, 12 domínios de colisão são criados.

Como você sabe agora, um switch cria uma tabela de endereços MAC, aprendendo os endereços MAC dos hosts conectados a cada porta de switch. Quando dois hosts conectados desejam se comunicar, o switch usa a tabela de comutação para estabelecer uma conexão entre as portas. O circuito é mantido até que a sessão seja finalizada. Na figura, Host A e Host B desejam se comunicar. O switch cria a conexão conhecida como um microssegmento. O microssegmento se comporta como se a rede tivesse apenas dois hosts, um host de envio e um de recebimento, fornecendo utilização máxima da largura de banda disponível.

Os switches reduzem colisões e melhoram o uso da largura de banda em segmentos de rede porque eles fornecem largura de banda dedicada a cada segmento de rede.

Exibir meio visual

Domínios de broadcast

Embora os switches filtrem a maioria dos quadros com base nos endereços MAC, eles não filtram quadros de broadcast. Para que outros switches na LAN obtenham quadros difundidos, estes devem ser encaminhados por switches. Uma coleção de switches interconectados forma um único domínio de broadcast. Apenas uma entidade da Camada 3, como um roteador ou uma rede LAN virtual (VLAN), pode parar um domínio de broadcast da Camada 3. Os roteadores e as VLANs são usados para segmentar os domínios de colisão e de broadcast. O uso de VLANs para segmentar domínios de broadcast será abordado no próximo capítulo.

Quando um dispositivo deseja enviar um broadcast de Camada 2, o endereço MAC de destino no quadro é definido como unidade. Definindo o destino como esse valor, todos os dispositivos aceitam e processam o quadro difundido.

O domínio de broadcast na Camada 2 é conhecido como o domínio de broadcast MAC. O domínio de broadcast MAC consiste em todos os dispositivos na rede local que recebem broadcasts de quadro por um host em todas as demais máquinas na rede local. Isso é mostrado na primeira metade da animação.

Quando um switch recebe um quadro difundido, ele encaminha o quadro para todas as suas portas, exceto a porta de entrada em que o switch recebeu o quadro de broadcast. Cada dispositivo acoplado reconhece o quadro de broadcast e o processa. Isso acarreta uma eficiência de rede reduzida, porque a largura de banda é usada para propagar o tráfego de broadcast.

Quando dois switches são conectados, o domínio de broadcast aumenta. Neste exemplo, um quadro de broadcast é encaminhado para todas as portas conectadas no switch S1. O switch S1 é conectado ao switch S2. O quadro é propagado para todos os dispositivos conectados ao switch S2. Isso é mostrado na segunda metade da animação.

Exibir meio visual

Página 3:

Latência de rede

Latência é o tempo que um quadro ou um pacote demora para ir da estação de origem para o destino final. Os usuários dos aplicativos baseados em rede enfrentam latência quando precisam aguardar muitos minutos para acessar os dados armazenados em uma central de dados ou quando um site demora muitos minutos para ser carregado em um navegador. A latência tem pelo menos três origens.

Primeiro, existe o tempo necessário para que a placa de rede de origem insira pulsos de tensão no fio e o tempo necessário à placa de rede de destino para interpretar esses pulsos. Às vezes, isso é chamado de atraso de placa de rede, normalmente cerca de um microssegundo para uma placa de rede 10BASE-T.

Segundo, existe o atraso de propagação real à medida que o sinal demora para percorrer o cabo. Normalmente, são aproximadamente 0,556 microssegundos por 100 m para UTP Cat 5. O cabo mais longo e a velocidade nominal menor da propagação (NVP) resultam em mais atraso de propagação.

Terceiro, a latência é adicionada com base nos dispositivos de rede que estão no caminho entre dois dispositivos. Eles são dispositivos de camadas 1, 2 ou 3. Essas três contribuições para com a latência podem ser identificadas na animação na medida em que o quadro atravessa a rede.

A latência não depende exclusivamente da distância e do número de dispositivos. Por exemplo, se três switches configurados corretamente separarem dois computadores, os computadores poderão apresentar menos latência que se dois roteadores configurados corretamente os separassem. Isso é porque os roteadores realizam funções mais complexas e demoradas. Por exemplo, um roteador deve analisar os dados da Camada 3, enquanto os switches apenas analisam os dados da Camada 2. Como os dados da Camada 2 estão presentes na estrutura do quadro antes dos dados da Camada 2, os switches podem processar o quadro mais rapidamente. Os switches também suportam as altas taxas de transmissão das redes de voz, vídeo e dados, empregando circuitos integrados específicos de aplicativo (ASIC) para fornecer suporte a hardware para muitas tarefas de networking. Os recursos de switch adicionais, como o armazenamento em buffer da memória baseada na porta, a QoS do nível de porta e o gerenciamento de congestionamento, também ajudam a reduzir a latência de rede.

A latência com base no switch também pode se dever à trama do switch substituída. Muitos switches de nível de entrada não têm produtividade interna o suficiente para gerenciar os recursos da largura de banda completa em todas as portas simultaneamente. O switch precisa ser capaz de gerenciar a quantidade de dados de pico esperada na rede. Na medida em que a tecnologia de comutação melhora, a latência no switch deixa de ser o problema. A causa predominante da latência de rede em uma rede local comutada é mais uma função da mídia transmitida, os protocolos de roteamento usados e os tipos de aplicativos executados na rede.

Exibir meio visual

Página 4:

Congestionamento de rede

O principal motivo para segmentar uma rede local em partes menores é isolar o tráfego e obter um uso melhor da largura de banda por usuário. Sem segmentação, uma rede local fica rapidamente obstruída com tráfego e colisões. A figura mostra uma rede sujeita ao congestionamento por vários dispositivos de nó em uma rede com base em hub.

Estas são as causas mais comuns do congestionamento de rede:

tecnologias de computador e de rede cada vez mais eficientes. Hoje, CPUs, barramentos e periféricos são muito mais rápidos e eficientes que os usados nas primeiras redes locais, logo, eles podem enviar mais dados em taxas maiores pela rede, podendo processar mais dados com taxas maiores.

Maior volume do tráfego da rede. O tráfego da rede agora é mais comum porque os recursos remotos são necessários para realizar o trabalho básico. Além disso, as mensagens de broadcast, como consultas de resolução enviadas por ARP, podem afetar negativamente a estação final e o desempenho da rede.

Aplicativos de largura de banda alta. Os aplicativos estão ficando cada vez mais avançados em sua funcionalidade, exigindo mais e mais largura de banda. Editoração eletrônica, design de engenharia, vídeo sob demanda (VoD), aprendizagem eletrônica (e-learning) e streaming de vídeo, todos exigem uma eficiência e uma velocidade de processamento considerável.

Exibir meio visual

Página 5:

Segmentação de rede local

As redes locais são segmentadas em vários domínios de colisão e de broadcast menores usando roteadores e switches. Anteriormente, eram usadas bridges, mas esse tipo de equipamento de rede é raramente visto em uma rede local comutada moderna. A figura mostra os roteadores e os switches que segmentam uma rede local.

Na figura, a rede é segmentada em quatro domínios de colisão que usam o switch.

Passe o mouse sobre o domínio de colisão para ver o tamanho de cada domínio de colisão.

No entanto, o domínio de broadcast na figura abrange toda a rede.

Passe o mouse sobre o domínio de broadcast para ver o tamanho do domínio de broadcast.

Bridges e switches

Embora as bridges e os switches compartilhem muitos atributos, várias distinções diferenciam essas tecnologias. As bridges costumam ser usadas para segmentar uma rede local para um alguns segmentos menores. Os switches costumam ser usados para segmentar uma rede local grande em muitos segmentos menores. As bridges só têm algumas portas para conectividade de rede local, e os switches têm muitas.

Roteadores

Embora o switch de rede local reduza o tamanho dos domínios de colisão, todos os hosts conectados ao switch e na mesma VLAN ainda estão no mesmo domínio de broadcast. Como os roteadores não encaminham tráfego de broadcast por padrão, eles podem ser usados para criar domínios de broadcast. Criar domínios de broadcast adicionais, menores, com um roteador reduz o tráfego de broadcast e fornece mais

largura de banda disponível para uma comunicação unicast. Cada interface do roteador se conecta a uma rede separada, contendo tráfego de broadcast no segmento de rede local no qual se originou.

Clique no botão Domínio de colisão e de broadcast com controle para ver o efeito da introdução de roteadores e mais switches na rede.

Passe o mouse sobre as duas áreas de texto para identificar os domínios de broadcast e de colisão diferentes.

Exibir meio visual

2.1.3 Considerações sobre o design da rede local

Página 1:

Controlando latência de rede

Ao criar uma rede para reduzir a latência, você precisa considerar a latência causada por cada dispositivo na rede. Os switches podem introduzir latência em uma rede quando estão em excesso em uma rede ocupada. Por exemplo, se um switch do nível de núcleo precisar suportar 48 portas, cada uma sendo capaz de funcionar em full duplex 1000 Mb/s, o switch deverá suportar cerca de 96 Gb/s de produtividade interna se precisar manter velocidade de fio total em todas as portas simultaneamente. Nesse exemplo, os requisitos de produtividade informados são típicos de switches do nível de núcleo, e não de switches do nível de acesso.

O uso de dispositivos de camada mais alta também pode aumentar a latência em uma rede. Quando um dispositivo da Camada 3, como um roteador, precisa examinar as informações de endereçamento da Camada 3 contidas no quadro, ele deve ir além do quadro de um dispositivo da Camada 2, que cria um tempo de processamento maior. Limitar o uso de dispositivos de camada mais alta pode ajudar a reduzir a latência de rede. No entanto, o uso apropriado de dispositivos da Camada 3 ajuda a evitar a contenção no tráfego de broadcast em um domínio de broadcast grande ou a taxa de colisão alta em um domínio de colisão grande.

Removendo gargalos

Gargalos em uma rede são locais em que um alto congestionamento de rede resulta em desempenho lento.

Clique no botão Removendo gargalos de rede na figura.

Nesta figura, que mostra seis computadores conectados a um switch, um único servidor também é conectado ao mesmo switch. Cada estação de trabalho e o servidor são todos conectados usando uma placa de rede 1000 Mb/s. O que acontece quando todos os seis computadores tentam acessar o servidor ao mesmo tempo? Cada estação de trabalho obtém um acesso dedicado de 1000 Mb/s ao servidor? Não, todos os computadores precisam compartilhar a conexão de 1000 Mb/s que o servidor tem com o switch. Cumulativamente, os computadores são capazes de 6000 Mb/s com o switch. Se cada conexão fosse usada com total capacidade, cada computador poderia usar apenas 167 Mb/s, um sexto da largura de banda de 1000 Mb/s. Para reduzir o gargalo no servidor, placas de rede adicionais podem ser instaladas, o que aumenta a largura de banda total que o servidor é capaz de receber. A figura mostra cinco placas de rede no servidor e aproximadamente cinco vezes a largura de banda. A mesma lógica se aplica a topologias de rede. Quando switches com vários nós são interconectados por uma única conexão de 1000 Mb/s, um gargalo é criado nessa única interconexão.

Links de maior capacidade (por exemplo, atualizando de conexões de 100 Mb/s para 1000 Mb/s) e usar tecnologias de agregação de links para vários links (por exemplo, integrando dois links como se eles fossem um para dobrar a capacidade de uma conexão) podem ajudar a reduzir os gargalos criados por links de inter-switch e de roteador. Embora a configuração da agregação de link esteja fora do escopo deste curso, é importante considerar os recursos de um dispositivo ao avaliar as necessidades de uma rede. Quantas portas e de que velocidade o dispositivo é capaz? Qual é a produtividade interna do dispositivo? Ele pode tratar as cargas de tráfego antecipadas considerando sua posição na rede?

Exibir meio visual


2.2 Encaminhando quadros usando um switch

2.2.1 Métodos de encaminhamento de switch

Página 1:

Métodos de encaminhamento de pacotes do switch

Neste tópico, você saberá como os switches encaminham quadros Ethernet em uma rede. Os switches podem funcionar em modos diferentes, que podem ter efeitos positivos e negativos.

Antigamente, os switches usavam um dos seguintes métodos de encaminhamento para comutar dados entre portas de rede: armazenar e encaminhar ou direta. Consultar o botão Métodos de Encaminhamento do Switch mostra esses dois métodos. No entanto, armazenar e encaminhar é o único método de encaminhamento usado nos modelos atuais dos switches Cisco Catalyst.

Comutação armazenar e encaminhar

Na comutação armazenar e encaminhar, quando o switch recebe o quadro, ele armazena os dados em buffers até que o quadro completo seja recebido. Durante o processo de armazenamento, o switch analisa o quadro para obter informações sobre seu destino. Nesse processo, o switch também executa uma verificação de erros usando a porção de trailer da verificação de redundância cíclica (CRC) do quadro Ethernet.

A CRC usa uma fórmula matemática, baseada no número de bits (1s) no quadro, para determinar se o quadro recebido tem um erro. Depois de confirmar a integridade do quadro, o quadro é encaminhado pela porta apropriada até seu destino. Quando um erro é detectado em um quadro, o switch descarta o quadro. Descartar quadros com erros reduz a quantidade de largura de banda consumida por dados corrompidos. A comutação armazenar e encaminhar é obrigatória para a análise da Qualidade de Serviço (QoS) em redes convergidas nas quais a classificação de quadro para priorização de tráfego é necessária. Por exemplo, os fluxos de dados de voz sobre IP precisam ter prioridade sobre o tráfego da navegação na Web.

Clique no botão Comutação “armazenar e encaminhar” e reproduza a animação para uma demonstração do processo armazenar e encaminhar.

Comutação direta

Na comutação direta, o switch age nos dados assim que eles são recebidos, mesmo que a transmissão não seja concluída. O switch armazena em buffer o suficiente do quadro para ler o endereço MAC de destino de forma que possa determinar para qual porta encaminhar os dados. O endereço MAC de destino está localizado nos seis primeiros bytes do quadro após o preâmbulo. O switch observa o endereço MAC de destino em sua tabela de comutação, determina a porta da interface de saída e encaminha o quadro para seu destino pela porta de switch designada. O switch não executa nenhuma verificação de erros no quadro. Como o switch não precisa aguardar que todo quadro seja armazenado em buffer e como ele não executa nenhuma verificação de erros, a comutação direta é mais rápida que a comutação armazenar e encaminhar. No entanto, como o switch não executa nenhuma verificação de erros, ele encaminha quadros corrompidos ao longo da rede. Os quadros corrompidos consomem largura de banda enquanto são encaminhados. A placa de rede de destino acaba descartando os quadros corrompidos.

Clique no botão Comutação direta e reproduza a animação para uma demonstração do processo de comutação direta.

Há duas variantes da comutação direta:

Comutação fast forward: A comutação fast forward oferece o nível mais baixo de latência. A comutação fast forward encaminha imediatamente um pacote depois de ler o endereço de destino. Como a comutação fast forward inicia o encaminhamento antes de todo o pacote ser recebido, talvez haja momentos em que os pacotes sejam retransmitidos com erros. Isso raramente ocorre, e o adaptador de rede de destino descarta o pacote com defeito assim que ele é recebido. No modo fast forward, a latência é medida do primeiro bit recebido até o primeiro bit transmitido. A comutação fast forward é o método direto típico de comutação.

Comutação sem fragmentos: Na comutação sem fragmentos, o switch armazena os primeiros 64 bytes do quadro antes de encaminhar. A comutação sem fragmentos pode ser vista como um compromisso entre as comutações armazenar e encaminhar e direta. O motivo pelo qual a comutação sem fragmentos armazena apenas os primeiros 64 bytes do quadro é que a maioria dos erros de rede e das colisões ocorre durante os primeiros 64 bytes. A comutação sem fragmentos tenta aprimorar a comutação direta, executando uma pequena verificação de erros nos primeiros 64 bytes do quadro para assegurar que uma colisão não tenha ocorrido antes do encaminhamento do quadro. A comutação sem fragmentos é um compromisso entre a latência alta e a

integridade alta da comutação armazenar e encaminhar e a baixa latência e a integridade reduzida da comutação direta.

Alguns switches são configurados para executar a comutação direta base por base até que um limite de erro definido pelo usuário seja alcançado e, em seguida, eles alteram automaticamente para armazenar e encaminhar. Quando a taxa de erros fica abaixo do limite, a porta retorna automaticamente à comutação direta.

Exibir meio visual

2.2.2 Comutação simétrica e assimétrica

Página 1:

Comutação simétrica e assimétrica

Neste tópico, você saberá as diferenças entre a comutação simétrica e assimétrica em uma rede. A comutação de rede local pode ser classificada como simétrica ou assimétrica com base na forma como a largura de banda é alocada para portas de switch.

A comutação simétrica fornece conexões comutadas entre portas com a mesma largura de banda, como todas as portas de 100 Mb/s ou todas as portas de 1000 Mb/s. Um switch de rede local assimétrico fornece conexões comutadas entre portas de largura de banda diferente, como uma combinação de portas de 10 Mb/s, 100 Mb/s e 1000 Mb/s. A figura mostra as diferenças entre as comutações simétrica e assimétrica.

Assimétrica

A comutação assimétrica permite que mais largura de banda seja dedicada a uma porta de switch do servidor para impedir um gargalo. Isso permite fluxos de tráfego melhores onde vários clientes estão se comunicando com um servidor ao mesmo tempo. O armazenamento em buffer da memória é obrigatório em um switch assimétrico. Para que o switch seja compatível com as taxas de dados diferentes em portas diferentes, todos os quadros são mantidos no buffer da memória e movidos para a porta um a um conforme necessário.

Simétrica

Em um switch simétrico, todas as portas têm a mesma largura de banda. A comutação simétrica é otimizada para uma carga de tráfego distribuída razoavelmente, como em um ambiente da área de trabalho ponto-a-ponto.

Um gerente de rede deve avaliar a quantidade necessária da largura de banda para conexões entre os dispositivos para acomodar o fluxo de dados dos aplicativos baseados na rede. A maioria dos switches atuais é assimétrica porque esse tipo de switch oferece a maior flexibilidade.

Exibir meio visual

2.2.3 Armazenamento em buffer da memória

Página 1:

Armazenamento em buffer na memória compartilhada e baseado na porta

Como você aprendeu em um tópico anterior, um switch analisa alguns ou todos os pacotes antes de encaminhá-los para o host de destino com base no método de encaminhamento. O switch armazena o pacote enquanto ele está em um buffer de memória. Neste tópico, você saberá como dois tipos de buffers de memória são usados durante o encaminhamento do switch.

Um switch Ethernet pode usar uma técnica de armazenamento em buffer para armazenar quadros antes de encaminhá-los. O armazenamento em buffer também poderá ser usado quando a porta de destino estiver ocupada devido ao congestionamento e o switch armazenará o quadro até que ele possa ser transmitido. O uso da memória para armazenar os dados é chamado de armazenamento em buffer de memória. O armazenamento em buffer de memória é criado no hardware do switch e, diferentemente do aumento da quantidade de memória disponível, não é configurável.

Há dois métodos de armazenamento em buffer de memória: memória compartilhada e baseada na porta.

Armazenamento em buffer da memória baseado na porta

No armazenamento em buffer de memória baseada na porta, os quadros são armazenados em filas vinculadas a portas de entrada e de saída específicas. Um quadro só será transmitido para a porta de saída quando todos os quadros à frente dele na fila forem transmitidos com êxito. É possível para um único quadro atrasar a transmissão de todos os quadros na memória por conta de uma porta de destino ocupada. Esse atraso ocorre mesmo que os demais quadros possam ser transmitidos para portas de destino abertas.

Armazenamento em buffer de memória compartilhada

O armazenamento em buffer de memória compartilhada deposita todos os quadros em um buffer de memória comum compartilhado por todas as portas no compartilhamento do switch. A quantidade da memória de buffer exigida por uma porta é alocada dinamicamente. Os quadros no buffer são vinculados dinamicamente à porta de destino. Isso permite que o pacote seja recebido em uma porta e, em seguida, transmitido em outra porta, sem movê-lo para uma fila diferente.

O switch mantém um mapa do quadro para links de porta que mostra onde um pacote precisa ser transmitido. O link de mapa será limpo depois que o quadro for transmitido com êxito. O número de quadros armazenados no buffer é restringido pelo tamanho de todo o buffer de memória, não estando limitado a um único buffer de porta. Isso permite a transmissão de quadros maiores com menos quadros descartados. Isso é importante para a comutação assimétrica, em que os quadros são trocados entre portas de taxas diferentes.

Exibir meio visual

2.2.4 Comutação das camadas 2 e 3

Página 1:

Comutação das camadas 2 e 3

Neste tópico, você revisará o conceito da comutação de Camada 2 e obterá informações sobre a comutação de Camada 3.

Um switch de rede local de Camada 2 executa a comutação e a filtragem exclusivamente com base no endereço MAC (Camada 2) camada de enlace de dados de OSI. Um switch da Camada 2 é totalmente transparente a protocolos de rede e aplicativos de usuário. Lembre-se de que um switch da Camada 2 cria uma tabela de endereços MAC usada para tomar decisões de encaminhamento.

Um switch da Camada 3, como o Catalyst 3560, funciona de maneira semelhante ao switch da Camada 2, como o Catalyst 2960, mas em vez de usar apenas as informações de endereço MAC da Camada 2 para decisões de encaminhamento, um switch da Camada 3 também pode usar as informações de endereço IP. Em vez de apenas aprender que endereços MAC estão associados a quais portas, um switch da Camada 3 também pode aprender quais endereços IP estão associados às suas interfaces. Isso permite ao switch da Camada 3 direcionar tráfego por toda a rede com base nas informações de endereço IP.

Os switches da Camada 3 também são capazes de executar funções de roteamento da Camada 3, o que reduz a necessidade de roteadores dedicados em uma rede local. Como os switches da Camada 3 têm hardware de comutação especializado, eles normalmente podem rotear dados com a mesma velocidade que os comutam.

Exibir meio visual

Página 2:

Comparação entre switch e roteador da Camada 3

No tópico anterior, você aprendeu que os switches da Camada 3 examinam informações da Camada 3 em um pacote Ethernet para tomar decisões de encaminhamento. Os switches da Camada 3 podem rotear pacotes entre segmentos de rede local diferentes para roteadores dedicados de maneira semelhante. No entanto, os switches da Camada 3 não substituem por completo a necessidade de roteadores em uma rede.

Os roteadores executam serviços adicionais de Camada 3 que os switches da Camada 3 não são capazes de realizar. Os roteadores também são capazes de executar tarefas de encaminhamento de pacotes não encontradas em switches da Camada 3, como estabelecer conexões de acesso remoto com redes remotas e dispositivos. Os roteadores dedicados são mais flexíveis quanto ao suporte de placas de interface WAN (WIC), o que faz deles os preferenciais e, apenas às vezes, a opção para se conectar a uma WAN.

Os switches da Camada 3 podem fornecer funções de roteamento básicas em uma rede local e reduzir a necessidade de roteadores dedicados.

Exibir meio visual


2.3 Configuração do gerenciamento do switch

2.3.1 Navegando nos modos da interface de linha de comando

Página 1:

Os modos da interface de linha de comando

Neste tópico, você revisará o que aprendeu em Exploração CCNA: Fundamentos de rede sobre como navegar nos vários modos da interface de linha de comando (CLI).

Como recurso de segurança, o software IOS Cisco separou as sessões EXEC nestes níveis de acesso:

EXEC do usuário: Permite a uma pessoa acessar apenas um número limitado de comandos de monitoramento básicos. O modo EXEC do usuário é o modo padrão em que você ingressa depois de fazer login em um switch Cisco na CLI. O modo EXEC do usuário é identificado pelo > prompt.

EXEC privilegiado: Permite a uma pessoa acessar todos os comandos do dispositivo, como os usados na configuração e no gerenciamento, podendo ser protegido por senha para só permitir que usuários autorizados acessem o dispositivo. O modo EXEC privilegiado é identificado pelo # prompt.

Para passar do modo EXEC do usuário para o modo EXEC privilegiado, digite o comando enable. Para passar do modo EXEC privilegiado para o modo EXEC do usuário, digite o comando disable. Em uma rede real, o switch solicita a senha. Digite a senha correta. Por padrão, a senha não é configurada. A figura mostra os comandos do Cisco IOS usados para navegar do modo EXEC do usuário para o modo EXEC privilegiado e vice-versa.

Clique no botão EXEC do usuário e modo EXEC privilegiado na figura.

Navegando em modos de configuração

Ao ingressar no modo EXEC privilegiado no switch Cisco, você pode acessar outros modos de configuração. O software IOS Cisco usa uma hierarquia de comandos em sua estrutura do modo de comandos. Cada modo de comandos suporta comandos do Cisco IOS específicos relacionados a um tipo de operação no dispositivo.

Há muitos modos de configuração. Por ora, você explorará como navegar em dois modos de configuração comuns: modo de configuração global e modo de configuração de interface.

Clique no botão Navegando em modos de configuração na figura.

Modo de configuração global

O exemplo começa com o switch no modo EXEC privilegiado. Para configurar parâmetros de switch globais, como o nome de host do switch ou o endereço IP do switch usado para fins de gerenciamento, use o modo de configuração global. Para acessar o modo de configuração local, digite o comando configure terminal no modo EXEC privilegiado. O prompt muda para (config)#.

Modo de configuração de interface

Configurar parâmetros específicos de interface é uma tarefa comum. Para acessar o modo de configuração da interface no modo de configuração global, digite o comando interface <interface name> command. O prompt muda para (config-if)#. Para sair do modo de configuração da interface, use o comando exit. O prompt muda novamente para (config)#, informando você de que está no modo de configuração global. Para sair do modo de configuração global, digite novamente o comando exit. O prompt muda para #, o que significa modo EXEC privilegiado.

Exibir meio visual

Página 2:

Alternativas baseadas na interface gráfica do usuário à CLI

Há várias alternativas de gerenciamento gráfico ao gerenciamento de um switch Cisco. Usar uma interface gráfica do usuário (GUI) oferece um gerenciamento de switch simplificado e uma configuração sem conhecimento detalhado da Cisco CLI.

Clique no botão Assistente de rede Cisco na figura.

Assistente de rede Cisco

Assistente de rede Cisco é um aplicativo de gerenciamento de rede da interface gráfica do usuário baseada em PC otimizada para redes locais de pequenas e médias empresas. É possível configurar e gerenciar grupos de switches ou switches autônomos. A figura mostra a interface de gerenciamento do Assistente de Rede. O Assistente de rede Cisco está disponível a nenhum custo, podendo ser baixado em Cisco (nome de usuário/senha CCO obrigatórios):

http://www.cisco.com/en/US/prod/collateral/netmgtsw/ps6504/ps5931/product_data_sheet0900aecd8068820a.html

Clique no botão CiscoView na figura.

Aplicativo CiscoView

O aplicativo de gerenciamento de dispositivo CiscoView mostra uma exibição física do switch que é possível usar para definir parâmetros de configuração e exibir o status do switch e as informações de desempenho. O aplicativo CiscoView, comprado separadamente, pode ser um aplicativo autônomo ou parte de um protocolo de

gerenciamento de rede comum (SNMP). A figura mostra a interface de gerenciamento do CiscoView Device Manager. Obtenha mais informações sobre o CiscoView Device Manager em:

http://www.cisco.com/en/US/products/sw/cscowork/ps4565/prod_bulletin0900aecd802948b0.html (em inglês)

Clique no botão Gerenciador de dispositivo Cisco na figura.

Gerente de dispositivo Cisco

Gerente de dispositivo Cisco é um software baseado na Web armazenado na memória do switch. É possível usar o Device Manager para configurar e gerenciar switches. É possível acessar o Device Manager em qualquer lugar da sua rede usando um navegador. A figura mostra a interface de gerenciamento.

Clique no botão Gerenciamento de rede SNMP na figura.

Gerenciamento de rede SNMP

É possível gerenciar switches em uma estação de gerenciamento compatível com SNMP, como HP OpenView. O switch pode fornecer informações de gerenciamento abrangentes e fornecer quatro grupos de monitoramento remoto (RMON). O gerenciamento de rede SNMP é mais comum em redes de grandes empresas.

Exibir meio visual

2.3.2 Usando o recurso de ajuda

Página 1:

Ajuda sensível ao contexto

A CLI do Cisco IOS oferece dois tipos de ajuda:

Ajuda da palavra: Se você não se lembrar de um comando inteiro, mas se lembrar dos primeiros caracteres, digite a seqüência de caracteres seguida de um ponto de interrogação (?). Não inclua um espaço antes do ponto de interrogação.

Uma lista de comandos que começam com os caracteres digitados é exibida. Por exemplo, digitar sh? retorna uma lista de todos os comandos que começam com a seqüência de caracteres sh.

Ajuda da sintaxe de comando: Se você não estiver familiarizado com os comandos disponíveis em seu contexto atual na CLI do Cisco IOS ou se você não souber os parâmetros obrigatórios ou disponíveis para concluir um determinado comando, digite o comando ?.

Quando apenas ? é digitado, uma lista de todos os comandos disponíveis no contexto atual é exibida. Se o comando ? for digitado depois de um comando específico, os argumentos do comando serão exibidos. Se <cr> for exibido, nenhum outro argumento será necessário para fazer o comando funcionar. Não se esqueça de incluir um espaço antes do ponto de interrogação para impedir que a CLI do Cisco IOS execute a ajuda de palavra, e não a ajuda de sintaxe do comando. Por exemplo, digite show ? para obter uma lista das opções de comando suportadas pelo comando show.

A figura mostra as funções de ajuda Cisco.

Usando o exemplo da configuração do relógio do dispositivo, vejamos como a ajuda de CLI funciona. Se o relógio do dispositivo precisar ser definido, mas a sintaxe de comando clock não for conhecida, a janela sensível ao contexto fornecerá um meio de verificar a sintaxe.

A ajuda sensível ao contexto fornece todo o comando, mesmo que você digite apenas a primeira parte do comando, como cl?.

Se você digitar o comando clock seguido da tecla Enter, uma mensagem de erro indicará que o comando está incompleto. Para exibir os parâmetros exigidos do comando clock, digite ?, antecedido por um espaço. No exemplo clock ?, a saída de comando da ajuda mostra que a palavra-chave set é obrigatória depois de clock.

Se agora você digitar o comando clock set, outra mensagem de erro será exibida, indicando que o comando ainda está incompleto. Agora adicione um espaço e digite o comando ? para exibir uma lista de argumentos do comando que estão disponíveis a essa altura para o determinado comando.

Os argumentos adicionais necessários à definição do relógio são exibidos: a hora atual que usa horas, minutos e segundos. Para obter um excelente recurso sobre como usar a CLI do Cisco IOS, visite:

http://www.cisco.com/univercd/cc/td/doc/product/software/ios124/124cg/hcf_c/ch10/index.htm (em inglês).

Exibir meio visual

Página 2:

Mensagens de erro da console

As mensagens de erro da console ajudam a identificar problemas quando um comando incorreto é digitado. A figura fornece mensagens de erro de exemplo, o que elas significam e como obter ajuda quando elas são exibidas.

Exibir meio visual

2.3.3 Acessando o histórico de comandos

Página 1:

O buffer do histórico de comandos

Quando você está configurando muitas interfaces em um switch, é possível economizar tempo ao redigitar comandos, usando o buffer do histórico de comandos do Cisco IOS. Neste tópico, você aprenderá a configurar o buffer do histórico de comandos para suportar suas iniciativas de configuração.

A CLI Cisco fornece um histórico ou um registro de comandos digitados. Esse recurso, chamado de histórico de comandos, é especialmente útil para ajudar a relembrar comandos ou entradas longas ou complexas.

Com o recurso do histórico de comandos, é possível concluir as seguintes tarefas:

Exiba o conteúdo do buffer de comandos. Defina o tamanho do buffer do histórico de comandos. Lembre comandos digitados anteriormente armazenados no buffer do histórico.

Há um buffer para cada modo de configuração.

Por padrão, o histórico de comandos é habilitado e o sistema registra as últimas dez linhas de comando em seu buffer de histórico. É possível usar o comando show history para exibir os comandos EXEC digitados recentemente.

Exibir meio visual

Página 2:

Configurar o buffer do histórico de comandos

Nos produtos de rede Cisco que suportam o software Cisco IOS, o histórico de comandos permanece habilitado por padrão e as últimas dez linhas de comando são registradas no buffer do histórico.

O histórico de comandos pode ser desabilitado durante a sessão terminal atual apenas usando o comando terminal no history no modo EXEC do usuário ou privilegiado. Quando o histórico de comandos é desabilitado, o dispositivo deixa de manter todas as linhas de comando digitadas anteriormente.

Para restaurar o valor padrão de dez linhas para o tamanho do histórico do terminal, digite o comando terminal no history size no modo EXEC privilegiado. A figura fornece uma explicação e um exemplo desses comandos do Cisco IOS.

Exibir meio visual

2.3.4 A sequência de inicialização do switch

Página 1:

Descrever a sequência de inicialização

Neste tópico, você aprenderá a sequência de comandos do Cisco IOS que um switch executa no estado desligado para exibir o prompt de login. Depois que um switch Cisco for ligado, ele passará pela seguinte seqüência de inicialização:

O switch carrega o software boot loader. Boot loader é um programa pequeno armazenado na ROM, sendo executado quando o switch é ligado pela primeira vez.

O boot loader:

Executa a inicialização de CPU de baixo nível. Ele inicializa os registradores de CPU, que controlam onde a memória física é mapeada, a quantidade de memória e sua velocidade.

Executa auto-teste de inicialização (POST, power-on self-test) no subsistema de CPU. Ele testa a DRAM da CPU e a porção do dispositivo de rede que constitui o sistema de arquivos flash.

Inicializa o sistema de arquivos flash na placa do sistema. Carrega uma imagem do software de sistema operacional padrão na memória e

inicializa o switch. O boot loader localiza a imagem do Cisco IOS no switch, procurando inicialmente um diretório com o mesmo nome do arquivo da imagem (exceto a extensão .bin). Se ele não localizá-la lá, o software boot loader pesquisa todos os subdiretórios antes de continuar pesquisando o diretório original.

Em seguida, o sistema operacional inicializa as interfaces usando os comandos do Cisco IOS localizados no arquivo de configuração do sistema operacional, config.text, armazenado na memória flash do switch.

Recuperando-se de uma falha do sistema

O boot loader também fornecerá acesso no switch se o sistema operacional não puder ser usado. O boot loader tem um recurso de linha de comando que fornece acesso aos arquivos armazenados na memória flash antes do sistema operacional ser carregado. Na linha de comando do boot loader, é possível digitar comandos para formatar o sistema de arquivos da memória flash, reinstalar a imagem de software do sistema operacional ou recuperar uma senha perdida ou esquecida.

Exibir meio visual

2.3.5 Preparar a configuração do switch

Página 1:

Preparar a configuração do switch

A inicialização inicial de um switch Catalyst exige a conclusão das seguintes etapas:

Etapa 1. Antes de iniciar o switch, verifique o seguinte:

Todas as conexões de cabo do rede estão seguras.

O seu PC ou terminal está conectado à porta console.

O seu aplicativo emulador terminal, como HyperTerminal, está em execução e configurado corretamente.

A figura ilustra como conectar um PC a um switch que usa a porta console.

Clique no botão Configurar HyperTerminal na figura.

A figura mostra a configuração correta do HyperTerminal, que pode ser usado para exibir a console de um dispositivo Cisco.

Etapa 2. Acople o cabo de energia ao soquete da fonte de alimentação do switch. O switch será reiniciado. Alguns switches Catalyst, inclusive a série Cisco Catalyst 2960, não têm botões de energia.

Etapa 3. Observe a seguinte seqüência de inicialização:

Quando o switch for ligado, o POST começará. Durante o POST, os LEDs piscam enquanto uma série de testes determinam se o switch está funcionando corretamente. Quando o POST é concluído, o LED SYST pisca rapidamente em verde. Se houver falha no switch durante o POST, o LED SYST acenderá em âmbar. Quando um switch falha durante o teste POST, é necessário repará-lo.

Observe o texto da saída de comando do software Cisco IOS na console.

Clique no botão Exibir processo de inicialização na console na figura.

A figura mostra o processo de inicialização na console de um switch Cisco.

Durante a inicialização inicial do switch, se forem detectadas falhas durante o POST, elas serão informadas à console, e o switch não iniciará. Se o POST for concluído com êxito, e o switch não tiver sido configurado antes, você será solicitado a configurar o switch.

Exibir meio visual

2.3.6 Configuração básica do switch

Considerações sobre a interface de gerenciamento

Um switch da camada de acesso é muito semelhante a um PC quanto à sua necessidade de configurar um endereço IP, uma máscara de sub-rede e um gateway padrão. Para gerenciar um switch remotamente usando TCP/IP, você precisa atribuir um endereço IP ao switch. Na figura, você deseja gerenciar S1 em PC1, um computador usado para gerenciar a rede. Para fazer isso, você precisa atribuir um endereço IP ao switch S1. Esse endereço IP é atribuído a uma interface virtual chamada rede LAN virtual (VLAN), logo, é necessário assegurar que a VLAN seja atribuída a uma porta específica ou portas no switch.

Na configuração padrão do switch, seu gerenciamento é controlado por meio da VLAN 1. Porém, uma prática recomendada para a configuração básica do switch é alterar a VLAN de gerenciamento para outra que não seja a VLAN 1. Os motivos para isso são explicados no próximo capítulo. A figura ilustra o uso de VLAN 99 como a VLAN de gerenciamento. No entanto, é importante considerar que uma interface diferente de VLAN 99 pode ser considerada para a interface de gerenciamento.

Nota: Você obterá mais informações sobre VLANs no próximo capítulo. Aqui o foco está em como fornecer acesso de gerenciamento ao switch que usa uma VLAN alternativa. Alguns dos comandos apresentados aqui são explicados mais detalhadamente no próximo capítulo.

Por ora, a VLAN 99 é criada e recebe um endereço IP. Dessa forma, a porta apropriada no switch S1 é atribuída à VLAN 99. A figura também mostra essas informações de configuração.

Clique no botão Configurar interface de gerenciamento na figura.

Configurar interface de gerenciamento

Para configurar um endereço IP e a máscara de sub-rede na VLAN de gerenciamento do switch, você deve estar no modo de configuração de interface VLAN. Use o comando

interface vlan 99 e digite o comando de configuração do endereço IP. Você deve usar o comando de configuração da interface no shutdown para tornar essa interface da Camada 3 operacional. Quando você vê "interface VLAN x", isso se refere à interface da Camada 3 associada à VLAN x. Apenas a VLAN de gerenciamento tem uma VLAN de interface associada.

Observe que um switch da Camada 2, como o Cisco Catalyst 2960, só permite a uma única interface VLAN ser ativa por vez. Isso significa que a interface da Camada 3, a interface VLAN 99, está ativa, mas que a interface da Camada 3, a interface VLAN 1, não.

Clique no botão Configurar gateway padrão na figura.

Configurar gateway padrão

Você precisa configurar o switch para que ele possa encaminhar pacotes IP para redes distantes. O gateway padrão é o mecanismo para fazer isso. O switch encaminha pacotes IP com endereços IP de destino fora da rede local para o gateway padrão. Na figura, o roteador R1 é o roteador de próximo salto. Seu endereço IP é 172.17.99.1.

Para configurar um gateway padrão para o switch, use o comando ip default-gateway. Digite o endereço IP da interface do roteador de próximo salto conectada diretamente ao switch em que há um gateway padrão em configuração. Não se esqueça de salvar a configuração de execução em um switch ou roteador. Use o comando copy running-config startup-config para fazer backup da sua configuração.

Clique no botão Verificar configuração na figura.

Verificar configuração

A captura de tela na parte superior da figura é uma saída de comando na tela abreviada mostrando que a VLAN 99 foi configurada com um endereço IP e uma máscara de sub-rede, e que uma porta Fast Ethernet F0/18 recebeu a interface de gerenciamento VLAN 99.

Mostrar as interfaces IP

Use show ip interface brief para verificar o funcionamento e o status da porta. Você praticará usando o comando switchport access vlan 99 em um laboratório prático e uma atividade do Packet Tracer.

O comando mdix auto

Você costuma ser solicitado a usar determinados tipos de cabo (crossover, straight-through) ao conectar dispositivos específicos, switch-a-switch ou switch-a-roteador. Na verdade, agora é possível usar o comando de configuração da interface mdix auto na CLI para ativar o recurso de interface que depende do meio automático (auto-MDIX).

Quando o recurso auto-MDIX é habilitado, o switch detecta o tipo de cabo exigido para conexões Ethernet de cobre e configura as interfaces corretamente. Por isso, é possível usar um cabo crossover ou straight-through para conexões com uma porta 10/100/1000 de cobre no switch, independentemente do tipo de dispositivo na outra extremidade da conexão.

O recurso auto-MDIX foi apresentado no Cisco IOS Release 12.2(25)FX.

Exibir meio visual

Página 2:

Configurar o modo duplex e a velocidade

É possível usar o comando de configuração da interface duplex para especificar o modo bidirecional de funcionamento das portas de switch. É possível definir o modo bidirecional e a velocidade das portas de switch manualmente para evitar problemas do inter-fornecedor com negociação automática. Embora possa haver problemas quando você define configurações bidirecionais da porta de switch como auto, neste exemplo, os switches S1 e S2 têm as mesmas configurações bidirecionais e velocidades. A figura descreve as etapas para configurar a porta F0/1 no switch S1.

Exibir meio visual

Página 3:

Configurar uma interface da Web

Os switches Cisco modernos têm várias ferramentas de configuração baseadas na Web que exigem a configuração do switch como um servidor HTTP. Entre esses aplicativos estão a interface de usuário do navegador Cisco e os aplicativos Cisco Router and Security Device Manager (SDM) e IP Phone and Cisco IOS Telephony Service.

Para controlar quem pode acessar os serviços HTTP no switch, é possível configurar a autenticação. Os métodos de autenticação podem ser complexos. Você pode ter tantas pessoas usando os serviços HTTP que acaba precisando de um servidor separado para tratar especificamente a autenticação do usuário. Os modos de autenticação AAA e TACACS são exemplos que usam esse tipo de método de autenticação remota. AAA e TACACS são protocolos de autenticação que podem ser usados em redes para validar credenciais de usuário. Talvez você precise ter um método de autenticação menos complexo. O método enable exige que os usuários usem a senha de habilitar do servidor. O método de autenticação local exige que o usuário use o nome de usuário de login, a senha e o acesso do nível de privilégio especificados na configuração do sistema local (com o comando de configuração global username).

Para obter mais informações sobre TACACS, visite: http://www.cisco.com/en/US/tech/tk583/tk642/tsd_technology_support_sub-protocol_home.html (em inglês).

Para obter mais informações sobre AAA, visite: http://www.cisco.com/en/US/products/ps6638/products_data_sheet09186a00804fe332.html (em inglês).

Exibir meio visual

Página 4:

Gerenciando a tabela de endereços MAC

Os switches usam tabelas de endereços MAC para determinar como encaminhar tráfego entre portas. Essas tabelas MAC incluem endereços dinâmicos e estáticos. A figura mostra uma tabela de endereços MAC de exemplo da saída de comando show mac-address-table que inclui endereços MAC estáticos e dinâmicos.

Nota: A tabela de endereços MAC era conhecida como memória endereçável de conteúdo (CAM) ou como tabela CAM.

Os endereços dinâmicos são endereços MAC de origem que o switch aprende, expirando quando não estão em uso. É possível alterar a configuração de tempo limite para endereços MAC. O tempo padrão é de 300 segundos. Definir uma tempo limite muito breve pode fazer com que os endereços sejam removidos prematuramente da tabela. Dessa forma, quando o switch recebe um pacote para um destino desconhecido, ele envia o pacote a todas as portas na mesma rede local (ou VLAN) como a porta receptora. Este envio desnecessário pode afetar o desempenho. Definir uma tempo limite muito longa pode fazer com que a tabela de endereços seja preenchida com endereços não usados, o que impede a aprendizagem de novos endereços. Isso também pode causar envio excessivo (flooding).

O switch fornece endereçamento dinâmico, aprendendo o endereço MAC de origem de todos os quadros recebidos em cada porta e adicionando o endereço MAC de origem e seu número de porta associado à tabela de endereços MAC. Na medida em que os computadores são adicionados à ou removidos da rede, o switch atualiza a tabela de endereços MAC, adicionando novas entradas e expirando as que não estiverem em uso no momento.

Um administrador de rede pode atribuir especificamente endereços MAC estáticos a determinadas portas. Os endereços estáticos não expiram e o switch sempre sabe que porta usar para enviar o tráfego com destino a esse endereço MAC específico. Dessa forma, não há necessidade de reaprender ou atualizar a porta a que o endereço MAC está conectado. Uma razão para implementar endereços MAC estáticos é dar ao administrador de rede controle completo sobre o acesso à rede. Apenas esses dispositivos conhecidos do administrador de rede podem se conectar à rede.

Para criar um mapeamento estático na tabela de endereços MAC, use o comando mac-address-table static <MAC address> vlan {1-4096, ALL} interface interface-id.

Para remover um mapeamento estático na tabela de endereços MAC, use o comando no mac-address-table static <MAC address> vlan {1-4096, ALL} interface interface-id.

O tamanho máximo da tabela de endereços MAC varia de switch para switch. Por exemplo, o switch da série Catalyst 2960 pode armazenar até 8.192 endereços MAC. Há outros protocolos que podem limitar o número absoluto de endereço MAC disponíveis para um switch.

Exibir meio visual

2.3.7 Verificando a configuração do switch

Página 1:

Usando os comandos show

Agora que executou a configuração inicial do switch, você deve confirmar se o switch foi configurado corretamente. Neste tópico, você aprenderá a verificar a configuração do switch usando vários comandos show.

Clique no botão Comandos show na figura.

Quando você precisa verificar a configuração do seu switch Cisco, o comando show é muito útil. O comando show é executado no modo EXEC privilegiado. A figura apresenta algumas das principais opções do comando show que verificam praticamente todos os recursos configuráveis do switch. Há muitos comandos show adicionais que você aprenderá ao longo deste curso.

Clique no botão show running-config na figura.

Um dos comandos show mais importantes é o comando show running-config. Esse comando exibe a configuração atualmente em execução no switch. Use esse comando para verificar se você configurou o switch corretamente. A figura mostra uma saída de comando abreviada do comando show running-config. As reticências indicam um conteúdo não encontrado. A figura realçou a saída de comando na tela do switch S1 que mostra:

Interface Fast Ethernet 0/18 configurada com a VLAN 99 de gerenciamento VLAN 99 configurada com um endereço IP 172.17.99.11 255.255.0.0 Gateway padrão definido como 172.17.50.1 Servidor HTTP configurado

Clique no botão show interfaces na figura.

Outro comando muito usado é o comando show interfaces, que exibe informações estatísticas e de status sobre as interfaces de rede do switch. O comando show interfaces costuma ser usado durante a configuração e o monitoramento dos dispositivos de rede. Lembre-se de que é possível digitar comandos parciais no prompt de comando e, desde que nenhuma outra opção de comando seja igual, o software Cisco IOS interpreta o comando corretamente. Por exemplo, é possível usar show int para este comando. A figura mostra a saída de comando de um comando show interfaces FastEthernet 0/1. A primeira linha realçada na figura indica que o a interface Fast Ethernet 0/1 está ativa e em execução. A próxima linha realçada mostra que o bidirecional é automático e que a velocidade é automática.

Exibir meio visual

2.3.8 Gerenciamento básico do switch

Página 1:

Fazer backup e restaurar configurações de switch

Um trabalho típico para um técnico de rede iniciante é carregar um switch com uma configuração. Neste tópico, você aprenderá como carregar e armazenar uma configuração na memória flash do switch e em um servidor TFTP.

Clique no botão Fazer backup de configurações na figura.

Fazendo backup da configuração

Você já aprendeu como fazer backup da configuração de execução de um switch no arquivo de configuração de inicialização. Você usou o comando EXEC privilegiado copy running-config startup-config para fazer backup das configurações feitas até então. Como você talvez já saiba, a configuração de execução é salva na DRAM, e a configuração de inicialização é armazenada na seção NVRAM da memória Flash. Quando você emite o comando copy running-config startup-config, o software Cisco IOS copia a configuração de execução para NVRAM de forma que, quando o switch for inicializado, o startup-config com sua nova configuração seja carregado.

Você nem sempre deseja salvar alterações feitas na configuração de execução de um switch. Por exemplo, você talvez queira alterar a configuração por um curto período, e não permanentemente.

Se quiser manter vários arquivos startup-config diferentes no dispositivo, você poderá copiar a configuração para nomes de arquivos diferentes, usando o comando copy startup-config flash:filename. Armazenar várias versões de startup-config permite restaurar um ponto caso a sua configuração tenha problemas. A figura mostra três exemplos de backup da configuração feitos na memória flash. O primeiro é a sintaxe formal e completa. O segundo é a sintaxe mais usada. Use a primeira sintaxe quando você não estiver familiarizado com o dispositivo de rede com o qual está trabalhando e use a segunda sintaxe quando você souber que o destino é a NVRAM flash instalada no switch. O terceiro é a sintaxe usada para salvar uma cópia do arquivo startup-config na memória flash.

Clique no botão Restaurar configurações na figura.

Restaurando a Configuração

Restaurar uma configuração é um processo simples. Basta copiar a configuração salva sobre a configuração atual. Por exemplo, se tivesse uma configuração salva chamada config.bak1, você poderia restaurá-la sobre seu startup-config existente, digitando este comando do Cisco IOS copy flash:config.bak1 startup-config. Quando a configuração foi restaurada no startup-config, você reinicia o switch para que ele recarregue a nova configuração de inicialização, usando o comando reload no modo EXEC privilegiado.

O comando reload pára o sistema. Se o sistema for definido para ser reiniciado em caso de erro, ele será reinicializado. Use o comando reload depois que as informações de configuração forem inseridas em um arquivo e salvas na configuração de inicialização.

Nota: Não será possível recarregar a partir de um terminal virtual, se o switch não estiver definido para inicialização automática. Essa restrição impede que o sistema seja descartado no monitor de ROM (ROMMON), fazendo com que o sistema seja retirado do controle de usuário remoto.

Após a emissão do comando reload, o sistema solicita a você responder se você deve ou não salvar a configuração. Normalmente, você indicaria "sim", mas neste caso específico, você precisa responder "não". Se você respondesse "sim", o arquivo que você acabou de restaurar seria substituído. Em todos os casos, você precisa considerar se a configuração de execução é ou não a que você deseja ativar depois de recarregar.

Para obter mais detalhes sobre o comando reload, revise o Cisco IOS Configuration Fundamentals Command Reference, Release 12.4, encontrado neste site: http://www.cisco.com/en/US/docs/ios/fundamentals/command/reference/cf_book.html (em inglês).

Nota: Também existe a opção de digitar o comando copy startup-config running-config. Infelizmente, esse comando não substitui por completo a configuração de execução; ele só adiciona comandos existentes da configuração de inicialização à configuração de execução. Como isso pode causar resultados não desejados, tome cuidado ao fazê-lo.

Exibir meio visual

Página 2:

Fazer backup de arquivos de configuração para um servidor TFTP

Depois de configurar o seu switch com todas as opções que deseja definir, é uma boa idéia fazer backup da configuração na rede em que ela pode ser arquivada com o restante dos dados de rede em backup durante a noite. Ter a configuração armazenada com segurança fora do switch a protege em caso de um grande problema de proporções catastróficas com o seu switch.

Algumas configurações de switch demoram muitas horas para funcionar corretamente. Se você perdeu a configuração por conta de uma falha no hardware do switch, um novo

switch precisará ser configurado. Se houver uma configuração de backup para o switch com falha, ela poderá ser carregada rapidamente no novo switch. Se não houver nenhuma configuração de backup, você deverá configurar o novo switch do zero.

É possível usar TFTP para fazer backup dos seus arquivos de configuração na rede. O software Cisco IOS acompanha um cliente TFTP interno que permite a conexão com um servidor TFTP na sua rede.

Nota: Há pacotes de software do servidor TFTP gratuitos disponíveis na Internet que é possível usar caso você ainda não tenha um servidor TFTP em execução. Um servidor TFTP normalmente usado é de www.solarwinds.com.

Fazendo backup da configuração

Para carregar um arquivo de configuração de um switch para um servidor TFTP para armazenamento, siga estas etapas:

Etapa 1. Verifique se o servidor TFTP está em execução na sua rede.

Etapa 2. Faça login no switch usando a porta console ou uma sessão Telnet. Habilite o switch e execute ping no servidor TFTP.

Etapa 3. Carregue a configuração do switch no servidor TFTP. Especifique o endereço IP ou o nome de host do servidor TFTP e o nome do arquivo de destino. O comando do Cisco IOS é: #copy system:running-config tftp:[[[//location]/directory]/filename] ou #copy nvram:startup-config tftp:[[[//location]/directory]/filename].

A figura mostra um exemplo do backup da configuração feitos em um servidor TFTP.

Restaurando a configuração

Depois que a configuração for armazenada com êxito no servidor TFTP, ela poderá ser copiada para o switch usando as seguintes etapas:

Etapa 1. Copie o arquivo de configuração para o TFTP diretório apropriado no servidor TFTP, se ele ainda não estiver lá.

Etapa 2. Verifique se o servidor TFTP está em execução na sua rede.

Etapa 3. Faça login no switch usando a porta console ou uma sessão Telnet. Habilite o switch e execute ping no servidor TFTP.

Etapa 4. Faça o download do arquivo de configuração no servidor TFTP para configurar o switch. Especifique o endereço IP ou o nome de host do servidor TFTP e o nome do arquivo de download. O comando do Cisco IOS é: #copy tftp:[[[//location]/directory]/filename] system:running-config ou #copy tftp:[[[//location]/directory]/filename] nvram:startup-config.

Se o download do arquivo de configuração for feito no running-config, os comandos serão executados na medida em que o arquivo é analisado linha a linha. Se o download do arquivo de configuração for feito no startup-config, o switch deverá ser recarregado para que as alterações entrem vigor.

Exibir meio visual

Página 3:

Limpando informações de configuração

É possível limpar as informações de configuração da configuração de inicialização. Você pode fazer isso para preparar um switch usado a ser enviado para um cliente ou para um departamento diferente, e você deseja assegurar que o switch seja reconfigurado. Quando você apaga o arquivo de configuração de inicialização durante a reinicialização, ele entra no programa de configuração de forma que seja possível reconfigurar o switch usando novas configurações.

Para limpar o conteúdo da configuração de inicialização, use o comando erase nvram: ou o comando EXEC privilegiado erase startup-config. A figura mostra um exemplo de como apagar os arquivos de configuração armazenados na NVRAM.

Cuidado: Como não é possível restaurar o arquivo de configuração de inicialização depois que ele foi apagado, verifique se você tem um backup da configuração caso você precise restaurá-lo posteriormente.

Excluindo um arquivo de configuração armazenado

Você talvez esteja trabalhando em uma tarefa de configuração complexa e armazenou muitas cópias de backup dos seus arquivos na memória flash. Para excluir um arquivo da memória flash, use o comando EXEC privilegiado delete flash:filename. Dependendo da configuração do comando de configuração global do prompt de arquivo, você pode ser solicitado a confirmar antes de excluir um arquivo. Por padrão, o switch solicita a confirmação durante a exclusão de um arquivo.

Cuidado: Como não é possível restaurar o arquivo de configuração de inicialização depois que ele foi excluído, verifique se você tem um backup da configuração caso você precise restaurá-lo posteriormente.

Depois que a configuração for apagada ou excluída, você poderá recarregar o switch para iniciar uma nova configuração para o switch.

Exibir meio visual

Página 4:

O gerenciamento básico de switch é essencial para configurar switches. Esta atividade vai ensinar a navegar em modos de interface de linha de comando, usar funções de ajuda, acessar o histórico de comandos, configurar parâmetros de seqüência de inicialização, definir velocidade e configurações bidirecionais, e gerenciar a tabela de endereços MAC e o arquivo de configuração do switch. Habilidades aprendidas nesta atividade são necessárias para configurar a segurança de switch básica em capítulos posteriores. São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.



Exibir meio visual

2.4 Configurando a segurança do switch

2.4.1 Configurar opções de senha

Página 1:

Configurar o acesso à console

Neste tópico, você aprenderá a configurar senhas para o acesso de console, terminal virtual e modo EXEC. Você também aprenderá como criptografar e recuperar senhas em um switch.

Os dados são muito importantes, devendo ser cuidadosamente guardados e protegidos. O Federal Bureau of Investigation (FBI) dos Estados Unidos estima que as empresas percam US$ 67,2 bilhões anualmente por conta de crimes relacionados a computador. Os dados pessoais do cliente específico são especificamente vendidos por preços altos. Estes são alguns dos preços atuais para dados roubados:

caixa eletrônico ou cartão de débito com PIN (Número de Identificação Pessoal): $500

O número da carteira de habilitação: $150 Número da Previdência Social: $100 Número do cartão de crédito com data de validade: de US$ 15 a US$ 20

A proteção dos seus switches começa com a proteção contra o acesso não autorizado.

É possível executar todas as opções de configuração diretamente na console. Para acessar a console, você precisa ter um acesso físico local ao dispositivo. Se você não protegesse a porta console corretamente, um usuário mal-intencionado poderia comprometer a configuração do switch.

Proteger a console

Para proteger a porta console do acesso não autorizado, defina uma senha na porta console usando o comando do modo de configuração da linha password <password>. Use o comando line console 0 para passar do modo de configuração da linha para o modo de configuração da linha para o console 0, que é a porta console em switches Cisco. O prompt muda para (config-line)#, o que indica que o switch agora está no modo de configuração da linha. No modo de configuração da linha, é possível definir a senha para o console, digitando o comando password <password>. Para assegurar que um usuário na porta console seja obrigado a digitar a senha, use o comando login. Mesmo quando uma senha está definida, não é necessário digitá-la até que o comando login seja emitido.

A figura mostra os comandos usados para configurar e exigir a senha para o acesso ao console. Lembre-se de que é possível usar o comando show running-config para verificar a sua configuração. Antes de concluir a configuração do switch, não se esqueça de salvar o arquivo de configuração de execução na configuração de inicialização.

Remover senha da console

Se você precisar remover a senha e o requisito para digitar a senha durante o login, use as seguintes etapas:

Etapa 1. Alterne do modo EXEC privilegiado para o modo de configuração global. Digite o comando configure terminal.

Etapa 2. Passe do modo de configuração global para o modo de configuração de linha para o console 0. O prompt de comando (config-line)# indica que você está no modo de configuração de linha. Digite o comando line console 0.

Etapa 3. Remova a senha da linha de console usando o comando no password.

Etapa 4. Remova o requisito para digitar a senha durante o login para a linha de console, usando o comando no login.

Etapa 5. Saia do modo de configuração de linha e volte ao modo EXEC privilegiado, usando o comando end.

Exibir meio visual

Página 2:

Proteger as portas vty

As portas vty em um switch Cisco permitem acessar o dispositivo remotamente. É possível executar todas as opções de configuração usando as portas de terminal vty. Como você não precisa de acesso físico ao switch para acessar as portas vty, é muito importante proteger as portas vty. Qualquer usuário com acesso de rede ao switch pode estabelecer uma conexão de terminal remota vty. Se as portas vty não fossem devidamente protegidas, um usuário mal-intencionado poderia comprometer a configuração do switch.

Para proteger as portas vty do acesso não autorizado, é possível definir uma senha vty obrigatória antes do acesso ser concedido.

Para definir a senha nas portas vty, você deve estar no modo de configuração de linha.

Talvez haja muitas portas vty disponíveis em um switch Cisco. Várias portas permitem a mais de um administrador se conectar e gerenciar o switch. Para proteger todas as linhas vty, verifique se uma senha está definida e se o login foi aplicado em todas as linhas. Deixar algumas linhas desprotegidas compromete a segurança e permite a usuários não autorizados acessar o switch.

Use o comando line vty 0 4 para passar do modo de configuração global para o modo de configuração de linha das linhas vty de 0 a 4.

Nota: Se o switch tiver mais linhas vty disponíveis, ajuste a faixa para proteger todas elas. Por exemplo, um Cisco 2960 tem linhas de 0 a 15 disponíveis.

A figura mostra os comandos usados para configurar e exigir a senha para o acesso a vty. É possível usar o comando show running-config para verificar a sua configuração e o comando copy running-config startup config para salvar o seu trabalho.

Remover a senha vty

Se você precisar remover a senha e o requisito para digitar a senha durante o login, use as seguintes etapas:

Etapa 1. Alterne do modo EXEC privilegiado para o modo de configuração global. Digite o comando configure terminal.

Etapa 2. Passe do modo de configuração global para o modo de configuração de linha para os terminais vty de 0 a 4. O prompt de comando (config-line)# indica que você está no modo de configuração de linha. Digite o comando line vty 0 4.

Etapa 3. Remova a senha das linhas vty usando o comando no password.

Cuidado: Se nenhuma senha for definida e o login continuar habilitado, não haverá nenhum acesso às linhas vty.

Etapa 4. Remova o requisito para digitar a senha durante o login para as linhas vty, usando o comando no login.

Etapa 5. Saia do modo de configuração de linha e volte ao modo EXEC privilegiado, usando o comando end.

Exibir meio visual

Configurar senhas no modo EXEC

O modo EXEC privilegiado permite a qualquer usuário que habilite esse modo em um switch Cisco configurar qualquer opção disponível no switch. Também é possível exibir todas as configurações definidas atualmente no switch, inclusive algumas das senhas não criptografadas! Por essas razões, é importante proteger o acesso ao modo EXEC privilegiado.

O comando de configuração global enable password permite especificar uma senha para restringir o acesso ao modo EXEC privilegiado. No entanto, uma problema com o comando enable password é que ele armazena a senha em texto legível no startup-config e no running-config. Se alguém fosse ganhar acesso a um arquivo startup-config armazenado ou acesso temporário a uma sessão Telnet ou de console registrados no modo EXEC privilegiado, essa pessoa poderia ver a senha. Dessa forma, a Cisco apresentou uma nova opção de senha para controlar o acesso ao modo EXEC privilegiado que armazena a senha em um formato criptografado.

É possível atribuir uma forma criptografada da senha de habilitar, chamada de senha secreta de habilitação, digitando o comando enable secret com a senha desejada no prompt do modo de configuração global. Se a senha secreta de habilitação for configurada, ela será usada em lugar da senha de habilitar, não em adição a ela. Também há uma proteção incorporada no software Cisco IOS que notifica quando a definição da senha secreta de habilitação usada para a senha de habilitar. Se forem digitadas senhas idênticas, o IOS aceitará a senha, mas avisará que elas são iguais e orientará uma nova digitação de uma nova senha.

A figura mostra os comandos usados para configurar senhas no modo EXEC privilegiado. É possível usar o comando show running-config para verificar a sua configuração e o comando copy running-config startup config para salvar o seu trabalho.

Remover senha no modo EXEC

Se precisar remover o requisito de senha para acessar o modo EXEC privilegiado, será possível usar os comandos no enable password e no enable secret no modo de configuração global.

Exibir meio visual

Página 4:

Configurar senhas criptografadas

Durante a configuração de senhas na CLI do Cisco IOS, por padrão, todas as senhas, exceto a senha secreta de habilitação, são armazenadas em formato de texto sem formatação em startup-config e running-config. A figura mostra uma saída de comando abreviada na tela do comando show running-config no switch S1. As senhas de texto sem formatação são realçadas em laranja. É universalmente aceito que as senhas devem ser criptografadas, e não armazenadas em formato de texto sem formatação. O comando service password-encryption do Cisco IOS permite a criptografia da senha de serviço.

Quando o comando service password-encryption é digitado no modo de configuração global, todas as senhas de sistema são armazenadas em uma forma criptografada. Assim que o comando for digitado, todas as senhas atualmente definidas são convertidas em senhas criptografadas. Na parte inferior da figura, as senhas criptografadas são realçadas em laranja.

Se você quiser remover o requisito para armazenar todas as senhas de sistema em um formato criptografado, digite o comando no service password-encryption no modo de configuração global. Remover a criptografia de senha não converte senhas criptografadas atualmente em texto legível. No entanto, todas as senhas recém-definidas são armazenadas em formato de texto sem formatação.

Nota: O padrão de criptografia usado pelo comando service password-encryption é conhecido como tipo 7. Esse padrão de criptografia é muito fraco, e há ferramentas facilmente acessíveis na Internet para descriptografar senhas criptografadas com esse padrão. O Tipo 5 é mais seguro, mas deve ser invocado manualmente para cada senha configurada.

Exibir meio visual

Habilitar recuperação de senha

Depois de definir senhas para controlar o acesso à CLI do Cisco IOS, você precisará ter certeza de que se lembra delas. Caso você tenha perdido ou esquecido as senhas de acesso, a Cisco tem um mecanismo de recuperação de senha que permite aos administradores obter acesso aos dispositivos Cisco. O processo de recuperação de senha exige acesso físico ao dispositivo. A figura mostra uma captura de tela do vídeo da exibição na console que indica que a recuperação de senha foi habilitada. Você verá essa exibição depois da Etapa 3 abaixo.

Observe que você talvez não possa recuperar efetivamente as senhas no dispositivo Cisco, especialmente se a criptografia de senha foi habilitada, mas você pode redefini-las com um novo valor.

Para obter mais informações sobre o procedimento de senha, visite: http://www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_tech_note09186a00801746e6.shtml (em inglês).

Para recuperar a senha em um switch Cisco 2960, siga as seguintes etapas:

Etapa 1. Conecte um terminal ou PC com software da emulação de terminal com a porta console de switch.

Etapa 2. Defina a velocidade de linha no software de emulação como 9600 bauds.

Etapa 3. Desligue o switch. Reconecte o cabo de alimentação para o switch e, em 15 segundos, pressione o botão Modo enquanto o LED de sistema ainda estiver piscando em verde. Continue pressionando o botão Modo até que o LED de sistema permaneça em âmbar rapidamente e, em seguida, em verde permanentemente. Em seguida, solte o botão Modo.

Etapa 4. Inicialize o sistema de arquivos da memória flash, usando o comando flash_init.

Etapa 5. Carregue todos os arquivos auxiliares usando o comando load_helper.

Etapa 6. Exibe o conteúdo da memória flash usando o comando dir flash:

O sistema de arquivos de switch aparece:

Directory of flash:13 drwx 192 Mar 01 1993 22:30:48 c2960-lanbase-mz.122-25.FX11 -rwx 5825 Mar 01 1993 22:31:59 config.text18 -rwx 720 Mar 01 1993 02:21:30 vlan.dat16128000 bytes total (10003456 bytes free)

Etapa 7. Renomeie o arquivo de configuração para config.text.old, que contém a definição de senha, usando o comando rename flash:config.text flash:config.text.old.

Etapa 8. Inicialize o sistema usando o comando boot.

Etapa 9. É solicitado que você inicie o programa de configuração. Digite N no prompt e, em seguida, quando o sistema perguntar se você deseja continuar na caixa de diálogo da configuração, digite N.

Etapa 10. No prompt de switch, digite o modo EXEC privilegiado, usando o comando enable.

Etapa 11. Renomeie o arquivo de configuração para seu nome original, usando o comando rename flash:config.text.old flash:config.text.

Etapa 12. Copie o arquivo de configuração para a memória, usando o comando copy flash:config.text system:running-config. Depois que esse comando for digitado, isto será exibido no console:

Source filename [config.text]?

Destination filename [running-config]?

Pressione Retornar em resposta à solicitação da confirmação. O arquivo de configuração foi recarregado e você já pode alterar a senha.

Etapa 13. Entre no modo de configuração global, usando o comando configure terminal.

Etapa 14. Altere a senha, usando o comando enable secret password.

Etapa 15. Retorne ao modo EXEC privilegiado, usando o comando exit.

Etapa 16. Grave a configuração de execução no arquivo de configuração de inicialização, usando o comando copy running-config startup-config.

Etapa 17. Recarregue o switch, usando o comando reload.

Nota: Como o procedimento para recuperação de senha pode ser diferente dependendo da série de switches Cisco, você deve consultar a documentação de produto antes de tentar uma recuperação de senha.

Exibir meio visual

2.4.2 Banners de login

Configurar um banner de login

O conjunto de comandos do Cisco IOS inclui um recurso que permite configurar mensagens que qualquer pessoa que tiver feito login no switch verá. Essas mensagens são chamadas de banners de login e banners da mensagem do dia (MOTD). Neste tópico, você aprenderá a configurá-las.

É possível definir um banner personalizado a ser exibido antes dos prompts do nome de usuário e senha e de login, usando o comando banner login no modo de configuração global. Inclua o texto do banner entre aspas ou usando um delimitador diferente de qualquer caracter exibido na cadeia de caracteres MOTD.

A figura mostra o switch S1 configurado com um banner de login Authorized Personnel Only! (Somente pessoal autorizado!)

Para remover o banner MOTD, digite o formato no desse comando no modo de configuração global, por exemplo, S1(config)#no banner login.

Exibir meio visual

Página 2:

Configurar um banner MOTD

O banner MOTD é exibido em todos os terminais conectados no login, sendo útil para enviar mensagens que afetam todos os usuários de rede (como desligamentos de sistema impedidos). O banner MOTD será exibido antes do banner de login for configurado.

Defina o banner MOTD usando o comando banner motd no modo de configuração global. Inclua o texto do banner entre aspas.

A figura mostra o switch S1 configurado com um banner MOTD para exibir Device maintenance will be occurring on Friday! (Manutenção de desempenho ocorrerá na sexta-feira!)

Para remover o banner de login, digite o formato no desse comando no modo de configuração global, por exemplo, S1(config)#no banner motd.

Exibir meio visual

2.4.3 Configurar Telnet e SSH

Página 1:

Telnet e SSH

Os switches mais antigos talvez não suportem a comunicação segura com Shell Seguro (SSH). Este tópico ajudará a escolher entre os métodos Telnet e SSH de comunicação com um switch.

Há duas opções para acessar remotamente um vty em um switch Cisco.

Telnet é o método original suportado nos primeiros modelos de switch Cisco. Telnet é um protocolo popular usado em acesso terminal porque a maioria dos sistemas operacionais atuais acompanha um cliente Telnet integrado. No entanto, Telnet é uma forma insegura de acessar um dispositivo de rede, porque ela envia todas as comunicações através da rede em texto sem formatação. Usando o software de monitoramento de rede, um invasor pode ler todos os pressionamentos de tecla enviados entre o cliente Telnet e o serviço Telnet em execução no switch Cisco. Por conta das preocupações de segurança do protocolo Telnet, SSH se tornou o protocolo preferido para acessar linhas de terminal virtual (vty) remotamente em um dispositivo Cisco.

SSH dá o mesmo tipo de acesso como Telnet com o benefício adicional de segurança. A comunicação entre o cliente e o servidor SSH é criptografada. SSH passou por alguns versões, com dispositivos Cisco que atualmente suportam SSHv1 e SSHv2. É recomendável que você implemente SSHv2 quando possível, porque ele usa um algoritmo de criptografia de segurança mais aprimorado que SSHv1.

A figura apresenta as diferenças entre os dois protocolos.

Exibir meio visual

Página 2:

Configurando Telnet

Telnet é o protocolo suportado por vty padrão em um switch Cisco. Quando um endereço IP de gerenciamento é atribuído ao switch Cisco, é possível se conectar a ele usando um cliente Telnet. Inicialmente, as linhas vty não são protegidas, o que permite acesso a qualquer usuário que se conecte a elas.

No tópico anterior, você aprendeu a proteger o acesso ao switch pelas linhas vty, exigindo uma autenticação por senha. Isso torna a execução do serviço Telnet um pouco mais segura.

Como Telnet é o transporte padrão para as linhas vty, você não precisa especificá-lo depois que a configuração inicial do switch é executada. No entanto, se trocou o protocolo de transporte nas linhas vty para permitir apenas SSH, você precisará habilitar o protocolo Telnet para permitir o acesso Telnet manualmente.

Se você precisar reabilitar o protocolo Telnet em um switch Cisco 2960, use o seguinte comando no modo de configuração de linha: (config-line)#transport input telnet or (config-line)#transport input all.

Permitindo todos os protocolos de transporte, você continua permitindo o acesso SSH, bem como o acesso Telnet.

Exibir meio visual

Página 3:

Configurando SSH

SSH é um recurso de segurança criptográfica sujeito a restrições de exportação. Para usar esse recurso, uma imagem criptográfica deve ser instalada no seu switch.

O recurso SSH tem um servidor SSH e um cliente integrado SSH, que são aplicativos executados no switch. É possível usar qualquer cliente SSH em execução em um PC ou o cliente SSH Cisco em execução no switch para se conectar a um switch em execução no servidor SSH.

O switch suporta SSHv1 ou SSHv2 para o componente do servidor. O switch suporta apenas SSHv1 para o componente cliente.

SSH suporta o algoritmo de criptografia padrão de dados (DES), o algoritmo Triple DES (3DES), além da autenticação de usuário baseada em senha. DES oferece uma criptografia de 56 bits e 3DES oferece uma criptografia de 168 bits. A criptografia é demorada, mas DES demora menos hora para criptografar texto que 3DES. Normalmente, como os padrões de criptografia são especificados pelo cliente, se você tiver que configurar SSH, pergunte qual usar. (A discussão dos métodos de criptografia de dados está além do escopo deste curso.)

Para implementar SSH, você precisa gerar chaves RSA. RSA envolve uma chave pública, mantida em um servidor RSA público, e uma chave particular, mantida apenas pelo remetente e pelo receptor. A chave pública pode ser conhecida por todos, sendo usada para criptografar mensagens. As mensagens criptografadas com a chave pública só podem ser descriptografadas usando a chave particular. Isso é conhecido como criptografia assimétrica, sendo abordado com mais detalhes no curso CCNA Exploration: Acessando a WAN.

Você precisa gerar as chaves RSA criptografadas que usam o comando crypto key generate rsa.

Esse procedimento será obrigatório se você estiver configurando o switch como um servidor SSH. Começando no modo EXEC privilegiado, siga estas etapas para configurar um nome de host e um nome de domínio IP, além de gerar um par de chaves RSA.


Etapa 2. Configure um nome de host para o seu switch usando o comando hostname hostname.

Etapa 3. Configure um domínio de host para o seu switch usando o comando ip domain-name domain_name command.

Etapa 4. Habilite o servidor SSH para a autenticação local e remota no switch e gere um par de chaves RSA usando o comando crypto key generate rsa.

Ao gerar chaves RSA, você é solicitado a digitar um comprimento de módulo. A Cisco recomenda usar um tamanho de módulo de 1024 bits. Um comprimento de módulo mais longo pode ser mais seguro, mas demora mais para gerar e ser usado.

Etapa 5. Retorne ao modo EXEC privilegiado, usando o comando end.

Etapa 6. Mostre o status do servidor SSH no switch, usando o comando show ip ssh ou show ssh.

Para excluir o par de chaves RSA, use o comando de configuração global crypto key zeroize rsa. Depois que o par de chaves RSA for excluído, o servidor SSH será desabilitado automaticamente.

Configurando o servidor SSH

Começando no modo EXEC privilegiado, siga estas etapas para configurar o servidor SSH.


Etapa 2. (Opcional) Configure o switch para executar SSHv1 ou SSHv2 usando o comando ip ssh version [1 | 2].

Se você não digitar esse comando ou não especificar uma palavra-chave, o servidor SSH selecionará a versão SSH mais recente suportada pelo cliente SSH. Por exemplo, se o cliente SSH suportar SSHv1 e SSHv2, o servidor SSH selecionará SSHv2.

Etapa 3. Configure os parâmetros de controle SSH:

Especifique o valor do tempo limite em segundos; o padrão é de 120 segundos. O intervalo é de 0 a 120 segundos. Para que uma conexão SSH seja estabelecida, várias fases devem ser concluídas, como conexão, protocolo, negociação e negação de parâmetro. O valor de tempo limite se aplica ao tempo que o switch permite ao estabelecimento de uma conexão.

Por padrão, estão disponíveis até cinco conexões SSH criptografadas, simultâneas, para várias sessões baseadas em CLI na rede (da sessão 0 à sessão 4). Depois que o shell de execução é iniciado, o valor de tempo limite da sessão baseada em CLI retorna ao padrão de 10 minutos.

Especifique por quantas horas um cliente pode se reautenticar no servidor. O padrão é 3; o intervalo é de 0 a 5. Por exemplo, um usuário pode permitir que a sessão SSH permaneça por mais 10 minutos três vezes antes do encerramento da sessão SSH.

Repita essa etapa ao configurar ambos os parâmetros. Para configurar ambos os parâmetros, use o comando ip ssh {timeout seconds | authentication-retries number}.

Etapa 4. Retorne ao modo EXEC privilegiado, usando o comando end.

Etapa 5. Exiba o status das conexões do servidor SSH no switch, usando o comando show ip ssh ou o comando show ssh.

Etapa 6. (Opcional) Salve suas entradas no arquivo de configuração de inicialização, usando o comando copy running-config startup-config.

Se você quiser impedir conexões que não sejam SSH, adicione o comando transport input ssh no modo de configuração de linha para limitar o switch apenas a conexões SSH. As conexões Telnet diretas (que não são SSH) são recusadas.

Para obter uma discussão detalhada sobre SSH, visite: http://www.cisco.com/en/US/tech/tk583/tk617/tsd_technology_support_protocol_home.html.

Para obter uma visão geral da tecnologia RSA, visite http://en.wikipedia.org/wiki/Public-key_cryptography.

Para obter uma discussão detalhada sobre a tecnologia RSA, visite: http://www.rsa.com/rsalabs/node.asp?id=2152.

Exibir meio visual

2.4.4 Ataques à segurança comuns

Página 1:

Ataques à segurança

Infelizmente, a segurança de switch básica não impede ataques mal-intencionados. Neste tópico, você obterá informações sobre alguns ataques à segurança comuns e como eles são perigosos. Este tópico fornece informações em nível introdutório sobre ataques à segurança. Os detalhes de como alguns desses ataques comuns funcionam estão além do escopo do curso. Se achar uma segurança de rede de interesse, você deve explorar a curso CCNA Exploração: Acessando a WAN.

Envio de endereço MAC

O envio (flooding) de endereço MAC é um ataque comum. Lembre-se de que a tabela de endereços MAC em um switch contém os endereços MAC disponíveis em uma determinada porta física de um switch e os parâmetros de VLAN associados. Quando um switch da Camada 2 recebe um quadro, o switch procura na tabela de endereços MAC o endereço MAC de destino. Todos os modelos de switch Catalyst usam uma tabela de endereços MAC para a comutação da Camada 2. Na medida em que os quadros chegam a portas de switch, os endereços MAC de origem são aprendidos e registrados na tabela de endereços MAC. Se houver uma entrada para o endereço MAC, o switch encaminhará o quadro para a porta de endereço MAC designada na tabela de endereços MAC. Se não houver o endereço MAC, o switch funcionará como um hub e encaminhará o quadro por todas as demais portas no switch. Às vezes, os ataques de sobrecarga da tabela de endereços MAC são conhecidos como ataques de envio MAC. Para compreender o mecanismo de um ataque de sobrecarga da tabela de endereços MAC, lembre-se do funcionamento básico de um switch.

Clique no botão Etapa 1 na figura para ver como começa o ataque de sobrecarga da tabela de endereços MAC.

Na figura, o host A envia tráfego para o host B. O switch recebe os quadros e pesquisa os endereços MAC de destino em sua tabela de endereços MAC. Se o switch não conseguir localizar o MAC de destino na tabela de endereços MAC, o switch copiará o quadro e o difundirá por todas as portas de switch.

Clique no botão Etapa 2 na figura para ver a próxima etapa.

O host B recebe o quadro e envia uma resposta para o host A. Dessa forma, o switch sabe que o endereço MAC do host B está localizado na porta 2 e grava essas informações na tabela de endereços MAC.

O host C também recebe o quadro do host A para o host B, mas como o endereço MAC de destino desse quadro é o host B, o host C descarta esse pacote.


Agora, qualquer quadro enviado pelo host A (ou qualquer outro host) para o host B é encaminhado para a porta 2 do switch, não o difundindo por todas as portas.

A chave para compreender como os ataques de sobrecarga da tabela de endereços MAC é saber que as tabelas de endereços MAC têm o tamanho limitado. O envio MAC usa essa limitação para bombardear o switch com falsos endereços MAC de origem até que a tabela de endereços MAC do switch fique cheia. Em seguida, o switch entra naquilo que é conhecido como modo aberto a falhas, começando a funcionar como um hub, e difunde pacotes para todas as máquinas na rede. Dessa forma, o invasor pode ver todos os quadros enviados de um host de vítima para outro host sem uma entrada na tabela de endereços MAC.

Clique no botão Etapa 4 na figura para ver como um invasor usa ferramentas legítimas de maneira mal-intencionada.

A figura mostra como um invasor pode usar os recursos operacionais normais do switch para impedir o funcionamento do switch.

O envio MAC pode ser executado com uma ferramenta de ataque à rede. O intruso na rede usa a ferramenta de ataque para enviar o switch com um grande número de endereços MAC de origem inválidos até que a tabela de endereços MAC seja preenchida. Quando a tabela de endereços MAC está cheia, o switch envia todas as portas com tráfego de entrada porque não pode localizar o número de porta para um endereço MAC específico na tabela de endereços MAC. O switch, basicamente, funciona como um hub.

Algumas ferramentas de ataque à rede podem gerar 155.000 entradas MAC em um switch por minuto. Dependendo do switch, o tamanho máximo da tabela de endereços MAC varia. Na figura, a ferramenta de ataque está em execução no host com o endereço C MAC na parte inferior da tela. Essa ferramenta envia um switch com pacotes que contêm endereços MAC e IP de origem e de destino gerados aleatoriamente. Durante um curto período, a tabela de endereços MAC no switch é preenchida até que seja incapaz de aceitar novas entradas. Quando a tabela de endereços MAC for preenchida com endereços MAC de origem inválidos, o switch começará a encaminhar todos os quadros recebidos para todas as portas.


Desde que a ferramenta de ataque à rede esteja em execução, a tabela de endereços MAC no switch permanece cheia. Quando isso acontece, o switch começa a transmitir todos os quadros recebidos por todas as portas de forma que os quadros enviados do host A para o host B também sejam difundidos pela porta 3 do switch.

Exibir meio visual

Página 2:

Ataques de falsificação

Clique no botão Falsificação na figura.

Uma forma de um invasor ganhar acesso ao tráfego da rede é falsificar respostas que seriam enviadas por um servidor DHCP válido. O dispositivo de falsificação DHCP responde às solicitações DHCP do cliente. O servidor legítimo também pode responder, mas se o dispositivo de falsificação estiver no mesmo segmento do cliente, sua resposta para o cliente poderá chegar primeiro. A resposta DHCP do intruso oferece um endereço IP e informações de suporte que designam o intruso como o gateway padrão ou o servidor do Sistema de Nome de Domínio (DNS). No caso de um gateway, os clientes encaminham pacotes para o dispositivo de ataque, que, por sua vez, os envia para o destino desejado. Isso é conhecido como um ataque de interceptação, podendo passar totalmente despercebido porque o intruso intercepta o fluxo de dados pela rede.

Você deve estar atento a outro tipo de ataque DHCP chamado de fome DHCP. O PC invasor solicita continuamente endereços IP de um servidor DHCP real, alterando seus endereços MAC de origem. Se houver êxito, esse tipo de ataque DHCP fará com que todos os empréstimos no servidor DHCP real sejam alocados, o que impede os usuários reais (clientes DHCP) de obter um endereço IP.

Para impedir ataques DHCP, use os recursos de segurança de porta e de detecção DHCP nos switches Cisco Catalyst.

Recursos de segurança de porta e de detecção DHCP Cisco Catalyst

A detecção DHCP um recurso Cisco Catalyst que determina quais portas de switch podem responder a solicitações DHCP. As portas são identificadas como confiáveis e não confiáveis. As portas confiáveis podem dar origem a todas as mensagens DHCP; as não confiáveis, apenas solicitações. As portas confiáveis hospedam um servidor DHCP ou podem ser um uplink no servidor DHCP. Se um dispositivo invasor estiver em uma porta não confiável para tentar enviar um pacote de resposta DHCP na rede, a porta será desligada. Esse recurso pode ser somado a opções DHCP nas quais informações do switch, como a ID de porta da solicitação DHCP, podem ser inseridas no pacote de solicitação DHCP.

Clique no botão Detecção DHCP.

As portas não confiáveis são aquelas não explicitamente configuradas como confiáveis. Uma tabela de ligação DHCP foi criada para portas não confiáveis. Cada entrada contém um endereço MAC de cliente, endereço IP, tempo de empréstimo, tipo de ligação, número de VLAN e a ID de porta registrada quando os clientes fazem solicitações DHCP. Em seguida, a tabela é usada para filtrar o tráfego DHCP subseqüente. De uma perspectiva de detecção DHCP, as portas de acesso não confiáveis não devem enviar nenhuma resposta de servidor DHCP.

Essas etapas ilustram como configurar a detecção DHCP em um switch Cisco IOS:

Etapa 1. Habilite a detecção DHCP usando o comando de configuração global ip dhcp snooping.

Etapa 2. Habilite a detecção DHCP para VLANs específicas, usando o comando ip dhcp snooping vlan number [number].

Etapa 3. Defina portas como confiáveis ou não confiáveis no nível da interface, definindo as portas confiáveis com o comando ip dhcp snooping trust.

Etapa 4. (Opcional) Limite a taxa na qual um invasor pode continuar enviando solicitações DHCP fictícias por meio de portas não confiáveis para o servidor DHCP usando o comando ip dhcp snooping limit rate rate.

Exibir meio visual

Página 3:

Ataques CDP

O Cisco Discovery Protocol (CDP) é um protocolo próprio que todos os dispositivos Cisco podem ser configurados para usar. CDP descobre outros dispositivos Cisco conectados diretamente, o que permite aos dispositivos configurar automaticamente sua conexão em alguns casos, o que simplifica a configuração e a conectividade. As mensagens CDP não são criptografadas.

Por padrão, a maioria dos roteadores e dos switches Cisco tem CDP habilitado. As informações de CDP são enviadas em broadcasts periódicos, atualizadas localmente no banco de dados CDP de cada dispositivo. Como CDP é um protocolo da Camada 2, ele não é propagado por roteadores.

O CDP contém informações sobre o dispositivo, como o endereço IP, a versão de software, a plataforma, os recursos e a VLAN nativa. Quando essas informações estiverem disponíveis para um invasor, ele poderá usá-las para localizar explorações para atacar sua rede, normalmente na forma de um ataque de negação de serviço (DOS).

A figura é uma porção de um rastreamento de pacote Ethereal, que mostra a parte interna de um pacote CDP. A versão do software Cisco IOS descoberta por CDP, em especial, permitiria ao invasor pesquisar e determinar se havia alguma vulnerabilidade de segurança específica para essa versão em especial do código. Além disso, como o CDP não é autenticado, um invasor poderia criar pacotes CDP falsos e fazer com que eles fossem recebidos pelo dispositivo Cisco diretamente conectado do invasor.

Para corrigir essa vulnerabilidade, é recomendável desabilitar o uso do CDP em dispositivos que não precisem usá-lo.

Exibir meio visual

Página 4:

Ataques Telnet

O protocolo Telnet pode ser usado por um invasor para ganhar acesso remoto a um switch de rede Cisco. Em um tópico anterior, você configurou uma senha de login para as linhas vty e as definiu para exigir autenticação por senha para ganhar acesso. Isso fornece um nível essencial e básico de segurança para ajudar a proteger o switch do acesso não autorizado. No entanto, não se trata de um método seguro de garantir acesso às linhas vty. Há ferramentas disponíveis que permitem a um invasor iniciar um ataque de força bruta para romper a senha nas linhas vty do switch.

Ataque de força bruta de senha

A primeira fase de um ataque de força bruta de senha começa com o invasor usando uma lista de senhas comuns e um programa projetado para tentar estabelecer uma sessão Telnet usando cada palavra na lista de dicionário. Felizmente, como você é inteligente o bastante para não usar uma palavra do dicionário, está seguro por enquanto. Na segunda fase de um ataque de força bruta, o invasor usa um programa que cria combinações de caracteres seqüenciais em uma tentativa de "adivinhar" a senha. Com tempo o suficiente, um ataque de força bruta de senha pode romper praticamente todas as senhas usadas.

A coisa mais simples a se fazer para limitar a vulnerabilidade a ataques de força bruta de senha é alterar suas senhas freqüentemente e usar senhas fortes que misturem aleatoriamente letras maiúsculas e minúsculas com números. Configurações mais avançadas permitem limitar quem pode se comunicar com as linhas vty, usando listas de acesso, mas isso está além do escopo deste curso.

Ataque DoS

Outro tipo de ataque Telnet é o ataque DoS. Em um ataque DOS, o invasor explora uma falha no software do servidor Telnet em execução no switch que torna o serviço Telnet indisponível. Esse tipo de ataque costuma ser incômodo porque impede um administrador de realizar funções de gerenciamento do switch.

As vulnerabilidade no serviço Telnet que permitem ataques DoS costumam ser corrigidas nos patches de segurança incluídos em revisões do Cisco IOS mais recentes.

Se você estiver enfrentando um ataque DoS contra o serviço Telnet ou outro serviço em um dispositivo Cisco, veja se há uma revisão do Cisco IOS mais recente disponível.

Exibir meio visual

2.4.5 Ferramentas de segurança

Página 1:

Depois de configurar a segurança do switch, você precisa verificar se não deixou nenhuma deficiência que possa explorada por um invasor. A segurança de rede é um tópico complexo e em constante evolução. Nesta seção, você é apresentado à forma como as ferramentas de segurança de rede formam um componente usado para proteger uma rede de ataques mal-intencionados.

As ferramentas de segurança da rede ajudam a testar sua rede quanto a várias deficiências. Elas são ferramentas que permitem desempenhar as funções de um hacker e de um analista da segurança da rede. Usando essas ferramentas, é possível iniciar um ataque e auditar os resultados para determinar como ajustar suas políticas de segurança para impedir um determinado ataque.

Os recursos usados por ferramentas de segurança da rede estão em constante evolução. Por exemplo, as ferramentas de segurança da rede já se concentraram exclusivamente nos serviços de escuta na rede e examinavam esses serviços em busca de falhas. Atualmente, vírus e worms podem se propagar por causa das falhas em clientes de email e navegadores. As ferramentas de segurança da rede modernas não apenas detectam as falhas remotas dos hosts na rede, mas também determinam se há falhas no nível de aplicativo, como patches não encontrados em computadores clientes. A segurança de rede vai além dos dispositivos de rede, até a área de trabalho dos usuários. A auditoria de segurança e o teste de penetração são duas funções básicas executadas por ferramentas de segurança da rede.

Auditoria de segurança da rede

As ferramentas de segurança da rede permitem executar uma auditoria de segurança na sua rede. Uma auditoria de segurança revela que tipo de informação um invasor pode obter simplesmente monitorando o tráfego da rede. As ferramentas de auditoria de segurança da rede permitem enviar a tabela MAC com endereços MAC fictícios. Assim, é possível auditar as portas de switch quando o switch começa a enviar o tráfego por todas as portas na medida em que os mapeamentos de endereço MAC expiram e são

substituídos por mais mapeamentos de endereço MAC fictício. Dessa forma, é possível determinar quais portas estão comprometidas e não foram configuradas corretamente para impedir esse tipo de ataque.

Timing é um fator importante na execução de uma auditoria bem-sucedida. Switches diferente suportam números de endereços MAC variáveis em sua tabela MAC. Pode ser difícil determinar a quantidade ideal de endereços MAC falsificados a serem jogados fora na rede. Você também precisa concordar com o período de tempo limite da tabela MAC. Se os endereços MAC falsificados começarem expirar enquanto você estiver executando sua auditoria de rede, os endereços MAC válidos começarão a preencher a tabela MAC, o que limita os dados que é possível monitorar usando uma ferramenta de auditoria da rede.

Testes de penetração da rede

As ferramentas de segurança da rede também podem ser usadas em testes de penetração na sua rede. Isso permite identificar deficiências na configuração de seus dispositivos de networking. Há vários ataques que é possível executar, e a maioria dos pacotes de ferramentas acompanha uma ampla documentação detalhando a sintaxe necessária à execução do ataque desejado. Como esses tipos de testes podem ter efeitos colaterais na rede, eles são executados sob condições muito rígidas, seguindo os procedimentos documentados detalhados em um política de segurança de rede abrangente. Obviamente, se tiver uma rede baseada em uma pequena sala de aula, você poderá se organizar para trabalhar com seu instrutor para tentar seus próprios testes de penetração na rede.

No próximo tópico, você aprenderá como implementar a segurança de porta em seus switches Cisco de forma que seja possível assegurar que esses testes de segurança da rede não revelem nenhuma falha na sua configuração de segurança.

Exibir meio visual

Página 2:

Recursos das ferramentas de segurança da rede

Uma rede efetivamente segura é processo, e não um produto. Não basta habilitar um switch apenas com uma configuração segura e dizer que o trabalho está concluído. Para dizer que tem uma rede segura, você precisa ter um plano de segurança de rede

abrangente que defina como verificar regularmente se a sua rede pode resistir aos ataques à rede mal-intencionados mais recentes. O panorama variável dos riscos de segurança significa que você precisa de ferramentas de auditoria e penetração capazes de ser atualizados para procurar os riscos de segurança mais recentes. Entre os recursos comuns de uma ferramenta de segurança da rede moderna estão:

Identificação de serviço: as ferramentas são usadas para definir hosts usando números de porta Internet Assigned Numbers Authority (IANA). Essas ferramentas também devem ser capazes de detectar um servidor FTP em execução em uma porta que não seja padrão ou um servidor Web em execução na porta 8080. A ferramenta também deve ser capaz de testar todos os serviços em execução em um host.

Suporte de serviços SLL: serviços de teste que usam a segurança de nível SSL, inclusive HTTPS, SMTPS, IMAPS e certificado de segurança.

Testes destrutivos e não destrutivos: execução de auditorias de segurança não destrutivas regularmente que não comprometem ou comprometem moderadamente o desempenho da rede. As ferramentas também devem deixar executar auditorias destrutivas que afetam significativamente o desempenho da rede. A auditoria destrutiva permite ver como a sua rede suporta ataques de intrusos.

Banco de dados de vulnerabilidades: vulnerabilidades mudam o tempo todo.

As ferramentas de segurança da rede precisam ser criadas para que possam ser conectadas a um módulo de código e executar um teste à procura dessa vulnerabilidade. Dessa forma, um grande banco de dados de vulnerabilidades pode ser mantido e carregado na ferramenta para assegurar que as mais recentes vulnerabilidade estejam sendo testadas.

É possível usar ferramentas de segurança de rede para:

Capturar mensagens de bate-papo Capturar arquivos do tráfego NFS Capturar solicitações HTTP no Formato de Log Comum Capturar mensagens de email no formato Berkeley mbox Capture senhas Exibir URLs capturados no navegador em tempo real Enviar uma rede local comutada com endereços MAC aleatórios Forjar respostas para consultas DNS de endereço/apontador Interceptar pacotes em uma rede local comutada

Exibir meio visual

2.4.6 Configurando a segurança da porta

Página 1:

Usando a segurança de porta para atenuar ataques

Neste tópico, você obterá informações sobre os problemas a serem considerados ao configurar a segurança de porta em um switch. Os principais comandos de segurança de porta do Cisco IOS são sumarizados. Você também obterá informações sobre como configurar a segurança de porta estática e dinâmica.

Clique no botão Segurança de porta na figura.

Segurança de porta

Um switch que não fornece a segurança de porta permite a um invasor anexar um sistema a uma porta não usada, habilitada, e executar a coleta de informações ou ataques. Um switch pode ser configurado para funcionar como um hub, o que significa que todos os sistemas conectados ao switch podem exibir todo o tráfego da rede que passa pelo switch até todos os sistemas conectados ao switch. Assim, um invasor poderia coletar tráfego que contivesse nomes de usuário, senhas ou informações de configuração sobre os sistemas na rede.

Todas as portas de switch ou interfaces devem ser protegidas antes da implantação do switch. A segurança de porta limita o número de endereços MAC válidos permitidos em uma porta. Quando você atribui endereços MAC seguros a uma porta segura, a porta não encaminha pacotes com endereços de origem fora do grupo de endereços definidos.

Se você limitar o número de endereços MAC seguros a um e atribuir um único endereço MAC seguro a essa porta, a estação de trabalho acoplada à porta terá toda a largura de banda da porta, e somente essa estação de trabalho com o endereço MAC seguro determinado poderá se conectar com êxito à porta de switch.

Se uma porta for configurada como uma porta segura e o número máximo de endereços MAC seguros for alcançado, ocorrerá uma violação de segurança quando o endereço MAC de uma estação de trabalho que tenta acessar a porta for diferente dos endereços MAC seguros identificados. A figura resume esses pontos.

Clique no botão Tipos de endereço MAC seguro na figura.

Tipos de endereço MAC seguro

Há várias formas de configurar a segurança de porta. Esta é uma descrição das formas como é possível configurar a segurança de porta em um switch Cisco:

Endereços MAC seguros estáticos: os endereços MAC são configurados manualmente, usando o comando de configuração da interface switchport port-security mac-address mac-address. Os endereços MAC configurados dessa forma são armazenados na tabela de endereços, sendo adicionados à configuração de execução no switch.

Endereços MAC seguros dinâmicos: os endereços MAC são aprendidos dinamicamente e armazenados apenas na tabela de endereços. Os endereços MAC configurados dessa forma são removidos quando o switch reinicia.

Endereços MAC seguros fixos: é possível configurar uma porta para saber endereços MAC dinamicamente e salvar esses endereços MAC na configuração de execução.

Endereços MAC fixos

Endereços MAC fixos seguros têm estas características:

Quando você habilita a aprendizagem fixa em uma interface usando o comando de configuração da interface switchport port-security mac-address sticky, a interface converte todos os endereços MAC seguros dinâmicos, inclusive os que foram aprendidos dinamicamente antes da habilitação da aprendizagem fixa, para fixar endereços MAC seguros e adiciona todos os endereços MAC seguros à configuração de execução.

Se você desabilitar a aprendizagem fixa usando o comando de configuração da interface no switchport port-security mac-address sticky, os endereços MAC

seguros fixos continuarão parte da tabela de endereços, mas serão removidos da configuração de execução.

Quando você configura endereços MAC seguros fixos usando o comando de configuração da interface switchport port-security mac-address sticky mac-address, esses endereços serão adicionados à tabela de endereços e à configuração de execução. Se a segurança de porta for desabilitada, os endereços MAC seguros fixos permanecerão na configuração de execução.

Se você salvar os endereços MAC seguros fixos no arquivo de configuração, quando o switch for reiniciado ou a interface for desligada, a interface não precisará reaprender esses endereços. Se você não salvar os endereços seguros fixos, eles serão perdidos.

Se você desabilitar a aprendizagem fixa e digitar o comando de configuração da interface switchport port-security mac-address sticky mac-address, uma mensagem de erro será exibida, e o endereço MAC seguro fixo não será adicionado à configuração de execução.

Clique no botão Modos de violação da segurança na figura.

Modos de violação da segurança

É uma violação de segurança quando uma destas situações ocorre:

O número máximo de endereços MAC seguros foi adicionado à tabela de endereços e uma estação cujo endereço MAC não está na tabela de endereços tenta acessar a interface.

Um endereço aprendido ou configurado em uma interface segura é visto em outra interface segura na mesma VLAN.

É possível configurar a interface para um dos três modos de violação, com base na ação ser executada em caso de uma violação. A figura apresenta que tipos de tráfego de dados são encaminhados quando um dos seguintes modos de violação de segurança é configurado em uma porta:

proteger: quando o número de endereços MAC seguros atinge o limite permitido na porta, pacotes com endereços de origem desconhecidos são ignorados até que você remova um número suficiente de endereços MAC seguros ou aumente o número máximo de endereços permitidos. Você não é notificado de que houve uma violação de segurança.

restringir: quando o número de endereços MAC seguros atinge o limite permitido na porta, pacotes com endereços de origem desconhecidos são ignorados até que você remova um número suficiente de endereços MAC seguros ou aumente o número máximo de endereços permitidos. Nesse modo, você é notificado de que houve uma violação de segurança. Especificamente, uma interceptação SNMP é enviada, uma mensagem syslog é registrada em log e o contador de violação é incrementado.

desligamento: nesse modo, uma violação de segurança de porta faz com que a interface seja desabilitada para erro imediatamente e apaga o LED da porta. Ele também envia uma interceptação SNMP, registra em log uma mensagem syslog e incrementa o contador de violação. Quando uma porta segura estiver no estado desabilitado para erro, será possível tirá-la desse estado, digitando-se os comandos de configuração da interface shutdown e no shutdown. Este é o modo padrão.

Exibir meio visual

Página 2:

Configurar segurança da porta

Clique no botão Configuração padrão na figura.

As portas em um switch Cisco são pré-configuradas com padrões. A figura resume a configuração da segurança de porta padrão.

Clique no botão Configurar segurança de porta dinâmica na figura.

A figura mostra os comandos CLI do Cisco IOS necessários à configuração da segurança de porta na porta Fast Ethernet F0/18 do switch S1. Observe que o exemplo não especifica um modo de violação. Neste exemplo, o modo de violação é definido como shutdown.

Clique no botão Configurar segurança de porta fixa na figura.

A figura mostra os como habilitar a segurança de porta fixa na porta Fast Ethernet 0/18 do switch S1. Conforme dito antes, é possível configurar o número máximo de endereços MAC seguros. Neste exemplo, você pode ver a sintaxe de comando do Cisco IOS usada para definir o número máximo de endereços MAC como 50. Por padrão, o modo de violação é definido como shutdown.

Há outras configurações de segurança de porta que você talvez considere úteis. Para obter uma listagem completa das opções de configuração da segurança de porta, visite: http://www.cisco.com/en/US/docs/switches/lan/catalyst2960/software/release/12.2_44_se/configuration/guide/swtrafc.html

Exibir meio visual

Página 3:

Verificar segurança de porta

Depois de configurar a segurança de porta para o seu switch, você deseja verificar se ele foi configurado corretamente. Você precisa verificar cada interface para ver se definiu a segurança de porta corretamente. Você também precisa verificar para ter certeza de que configurou endereços MAC estáticos corretamente.

Verificar configurações de segurança de porta

Para exibir as configurações de segurança de porta do switch ou da interface especificada, use o comando show port-security [interface interface-id].

A saída de comando exibe o seguinte:

Número de endereços MAC seguros máximo permitido para cada interface Número de endereços MAC seguros na interface Número de violações de segurança ocorridas Modo de violação

Verificar endereços MAC seguros

Clique no botão Verificar endereços MAC seguros na figura.

Para exibir todos os endereços MAC seguros configurados em todas as interfaces de switch em uma interface especificada com as informações de tempo limite de cada uma, use o comando de endereço show port-security [interface interface-id].

Exibir meio visual

2.4.7 Protegendo portas não usadas

Página 1:

Desabilitar portas não usadas

Neste tópico, você aprenderá a usar um comando simples do Cisco IOS para proteger as portas de switch não usadas. Um método simples usado por muitos administradores para ajudar na proteção de sua rede contra o acesso não autorizado é desabilitar todas as portas não usadas em um switch de rede. Por exemplo, imagine que um switch Cisco 2960 tenha 24 portas. Se houver três conexões Fast Ethernet sendo usadas, a prática recomendada de segurança exigirá que você desabilite as 21 portas não usadas. A figura mostra a saída de comando parcial dessa configuração.

É simples desabilitar várias portas em um switch. Navegue até cada uma das portas não usadas e emita esse comando shutdown do Cisco IOS. Uma forma alternativa de desligar várias portas é usando o comando interface range. Se uma porta precisar ser ativada, será possível digitar o comando no shutdown nessa interface.

O processo de habilitar e desabilitar portas pode se tornar uma tarefa entediante, mas o valor em termos de aprimoramento da segurança em sua rede vale bem o esforço.

Exibir meio visual

Página 2:

Nesta atividade, você configurará comandos de switch básicos e definirá e testará a segurança da porta. São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.



Exibir meio visual


2.5.1 Configuração básica do switch

Página 1:

Neste laboratório, você irá examinar e configurar um switch de LAN autônomo. Embora um switch execute funções básicas em sua condição padrão pronta para uso, há vários parâmetros que um administrador de rede deve modificar para assegurar uma LAN segura e otimizada. Este laboratório apresenta os fundamentos da configuração do switch.

Exibir meio visual

Página 2:

Nesta atividade, você irá examinar e configurar um switch de LAN autônomo. Embora um switch execute funções básicas em sua condição padrão pronta para uso, há vários parâmetros que um administrador de rede deve modificar para assegurar uma LAN segura e otimizada. Esta atividade apresenta os fundamentos da configuração do switch.




Exibir meio visual

2.5.2 Gerenciando o sistema operacional do switch e os arquivos de configuração

Página 1:

Neste laboratório, você criará e salvará uma configuração de switch básica em um servidor TFTP. Você usará um servidor TFTP para carregar uma configuração no switch e atualizar o software do Cisco IOS. Você também usará procedimentos de recuperação de senha para acessar um switch para o qual a senha é desconhecida.

Exibir meio visual

2.5.3 Gerenciando o sistema operacional do switch e os arquivos de configuração - Desafio

Página 1:

Cabo de rede semelhante ao do diagrama de topologia. Em seguida, crie uma conexão de console com o switch. Se necessário, consulte o Laboratório 1.3.1. A saída mostrada neste laboratório é de um switch 2960. Se você usar outros switches, as saídas do switch e as descrições de interface poderão ser diferentes.

Exibir meio visual



Página 1:

Neste capítulo, abordamos a comunicação Ethernet IEEE 802.3 que usa tráfego de unicast, de broadcast e de multicast. As primeiras implementações de redes Ethernet precisaram usar CSMA/CD para ajudar a impedir e a detectar colisões entre quadros na rede. As configurações bidirecionais e a segmentação de rede local melhoram o desempenho e reduzem a necessidade de CSMA/CD.

O design da rede local é um processo tendo como resultado final desejado uma determinação de como a rede local deve ser implementada. Entre as considerações quanto ao design da rede local estão domínios de colisão, domínios de broadcast, latência de rede e segmentação de rede local.

Abordamos como os métodos de encaminhamento do switch influenciam o desempenho da rede local e a latência. O armazenamento em buffer de memória tem uma função no encaminhamento do switch, na comutação simétrica e assimétrica e na comutação multicamada.

Uma introdução à navegação na CLI do Cisco IOS em um switch Cisco Catalyst 2960 foi apresentada. As funções de ajuda internas são usadas para identificar comandos e opções de comando. A CLI do Cisco IOS mantém um histórico de comandos que permite configurar funções de switch repetitivas mais rapidamente.

Abordamos a configuração de switch inicial e como verificar a configuração do switch. Fazer backup da configuração de um switch e restaurá-la são habilidades essenciais para qualquer um que administre um switch.

Aprendemos como proteger o acesso ao switch: implementando senhas para proteger linhas de console e de terminal virtual, implementando senhas para limitar o acesso ao modo EXEC privilegiado, configurando criptografia de senha em todo o sistema e habilitando SSH. Há vários riscos de segurança comuns a switches Cisco Catalyst, muitos dos quais são atenuados pelo uso da segurança de porta.

Exibir meio visual


Página 3:

Nesta atividade avançada de integração das habilidades no Packet Tracer, você irá configurar o gerenciamento de switch básico, incluindo comandos de manutenção gerais, senhas e segurança de porta. Esta atividade fornece uma oportunidade de revisar habilidades previamente adquiridas. São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.



Exibir meio visual


2.7.1 Teste do capítulo


CCNA Exploration - Comutação de rede local e sem fio

3 VLANs



Página 1:

O desempenho da rede pode ser um fator na produtividade de uma organização e na sua reputação em cumprir o que promete. Uma das tecnologias que contribuem com a excelência do desempenho da rede é a separação dos grandes domínios de broadcast em domínios menores com VLANs. Domínios de broadcast menores limitam o número de dispositivos que participam de broadcasts e permitem separar dispositivos em agrupamentos funcionais, como serviços de banco de dados para um departamento de contabilidade e de transferência de dados em alta velocidade para um departamento de engenharia. Neste capítulo, você aprenderá como configurar, gerenciar e solucionar problemas de VLANs e troncos.

Exibir meio visual

3.1 Apresentando as VLANs

3.1.1 Apresentando as VLANs

Página 1:

Antes das VLANs

Para observar por que as VLANs estão sendo amplamente usadas atualmente, considere uma pequena universidade comunitária com os alojamentos de aluno e as salas dos funcionários em um só edifício. A figura mostra os computadores dos alunos em uma rede local e os computadores dos funcionários em outra. Isso funciona bem porque, como cada departamento está fisicamente ligado, é fácil fornecer recursos de rede a eles.

Clique no botão Muitos edifícios na figura.

Um ano depois, a universidade cresceu e agora tem três edifícios. Na figura, a rede original é igual, mas os computadores dos alunos e dos funcionários estão espalhados em três edifícios. Os alojamentos dos alunos continuam no quinto andar e as salas dos funcionários continuam no terceiro andar. No entanto, agora o departamento de TI deseja assegurar que todos os computadores dos alunos compartilhem os mesmos recursos de segurança os controles da largura de banda. Como a rede pode acomodar as necessidades compartilhadas dos departamentos separados geograficamente? Você cria uma rede local grande e conecta todos os departamentos? Qual seria a facilidade para fazer alterações nessa rede? Seria ótimo agrupar as pessoas com os recursos que elas usam independentemente do seu local geográfico e isso facilitaria o gerenciamento das suas necessidades específicas de segurança e largura de banda.

Exibir meio visual

Página 2:

Visão geral de VLAN

A solução para a universidade comunitária é usar uma tecnologia chamada rede LAN virtual (VLAN). Uma VLAN permite a um administrador de rede criar grupos de dispositivos logicamente em rede que funcionam como se eles estivessem em sua própria rede independente, mesmo se compartilharem uma mesma infra-estrutura com outras VLANs. Quando você configura uma VLAN, é possível nomeá-la para descrever a função primária dos usuários dessa VLAN. Como outro exemplo, todos os computadores dos alunos de uma escola podem ser configurados na VLAN "Aluno". Usando VLANs, é possível segmentar redes comutadas logicamente com base em funções, departamentos ou equipes de projeto. Também é possível usar uma VLAN para estruturar geograficamente a sua rede e suportar a crescente dependência das empresas de funcionários que trabalham em casa. Na figura, uma VLAN é criada para alunos e

outra, para os funcionários. Essas VLANs permitem ao administrador de rede implementar políticas de acesso e de segurança a grupos específicos de usuários. Por exemplo, os funcionários, e não os alunos, podem ter o acesso permitido a servidores de gerenciamento de e-learning para desenvolver materiais de curso on-line.

Clique no botão Detalhes na figura.

Detalhes de VLAN

VLAN é uma sub-rede IP separada logicamente. As VLANs permitem a existência de várias redes IP e sub-redes na mesma rede comutada. A figura mostra uma rede com três computadores. Para que os computadores se comuniquem na mesma VLAN, cada um deve ter um endereço IP e uma máscara de sub-rede correspondentes a essa VLAN. O switch precisa ser configurado com a VLAN e cada porta correspondente deve ser atribuída a essa VLAN. Uma porta de switch com uma única VLAN configurada é chamada de porta de acesso. Lembre-se: só porque dois computadores estão conectados fisicamente ao mesmo switch não significa que eles podem se comunicar. Os dispositivos separados por redes ou sub-redes devem se comunicar por meio de um roteador (Camada 3), independentemente das VLANs serem usadas ou não. Você não precisa de VLANs para ter várias redes e sub-redes em uma rede comutada, mas há vantagens definitivas em usar VLANs.

Exibir meio visual

Página 3:

Benefícios de uma VLAN

A produtividade do usuário e a capacidade de adaptação da rede são os principais responsáveis pelo crescimento e o sucesso dos negócios. Implementar a tecnologia VLAN permite a uma rede suportar metas comerciais com mais flexibilidade. Os benefícios primários de usar VLANs são os seguintes:

Segurança – Grupos que têm dados confidenciais são separados do restante da rede, o que diminui as chances de violações das informações confidenciais. Os computadores dos funcionários estão na VLAN 10, estando totalmente separados do tráfego de dados dos alunos e dos convidados.

Redução de custo – Economia de custos é resultante da menor necessidade das atualizações de rede caras e do uso mais eficiente da largura de banda e dos uplinks existentes.

Desempenho mais alto – Dividir as redes da Camada 2 simplesmente em vários grupos de trabalho lógicos (domínios de broadcast) reduz um tráfego desnecessário na rede e aumenta o desempenho.

Atenuação da tempestade de broadcast – Dividir uma rede em VLANs reduz o número de dispositivos que podem participar de uma situação de descontrole por excesso de broadcast. Conforme abordado no capítulo "Configurar um Switch", a segmentação de rede local impede uma situação de descontrole em uma rede devido a excesso de broadcast. Na figura, é possível ver que, embora haja seis computadores na rede, só há três domínios de broadcast: Funcionários, Aluno e Convidado.

Maior eficiência do pessoal de TI – VLANs simplificam o gerenciamento da rede porque os usuários com requisitos de rede semelhantes compartilham a mesma VLAN. Quando você provisiona um novo switch, todas as políticas e procedimentos já configurados para a VLAN específica são implementados quando as portas são atribuídas. Também é fácil para o pessoal de TI identificar a função de uma VLAN, dando a ela um nome apropriado. Na figura, tendo em vista uma identificação mais simples, a VLAN 20 foi nomeada como "Aluno", a VLAN 10 poderia ser nomeada como "Funcionários" e a VLAN 30, "Convidado".

Projeto mais simples ou gerenciamento de aplicativo – VLANs agregam usuários e dispositivos de rede para suportar requisitos de negócios ou geográficos. Ter funções separadas simplifica o gerenciamento de um projeto ou o trabalho com um aplicativo especializado, por exemplo, uma plataforma de desenvolvimento de e-learning para os funcionários. Também é mais fácil determinar o escopo dos efeitos de atualizar os serviços de rede.

Exibir meio visual

Página 4:

Intervalos de ID de VLAN

As VLANs de acesso são divididas em um intervalo normal ou estendido.

VLANs de intervalo normal

Usadas em redes corporativas de pequeno e médio porte. Identificadas por uma ID VLAN entre 1 e 1005. As IDs 1002 até 1005 são reservadas para VLANs Token Ring e FDDI.

As IDs 1 e 1002 a 1005 são criadas automaticamente, não podendo ser removidas. Você obterá mais informações sobre VLAN posteriormente neste capítulo.

As configurações são armazenadas em um arquivo do banco de dados de VLAN, chamado vlan.dat. O arquivo vlan.dat é localizado na memória flash do switch.

O protocolo de entroncamento VLAN (VTP), que ajuda a gerenciar configurações de VLAN entre switches, só pode aprender VLANs de intervalo normal e as armazenar no arquivo de banco de dados da VLAN.

VLANs de intervalo estendido

Permite a operadoras estender sua infra-estrutura para um número maior de clientes. Algumas empresas globais podem ser grandes o bastante para precisar de IDs de VLAN de intervalo estendido.

Elas são identificadas por uma ID VLAN entre 1006 e 4094. Elas suportam menos recursos VLAN que as VLANs de intervalo normal. Elas são salvas no arquivo de configuração de execução. VTP não aprende VLANs de intervalo estendido.

255 VLANs configuráveis

Um switch Cisco Catalyst 2960 pode suportar até 255 VLANs de intervalos normal e estendido, muito embora o número configurado afete o desempenho do hardware de switch. Como uma rede corporativa pode precisar de um switch com muitas portas, a Cisco desenvolveu switches de nível corporativo que podem ser agrupados ou empilhados para criar uma única unidade de comutação consistindo em nove switches separados. Cada switch separado pode ter 48 portas, o que totaliza 432 portas em uma única unidade de comutação. Nesse caso, o limite de 255 VLANs por um único switch pode ser uma restrição para alguns clientes corporativos.

Exibir meio visual

3.1.2 Tipos de VLANs

Página 1:

Atualmente, há basicamente uma forma de implementar VLANs – VLANs baseadas em porta. Uma VLAN baseada em porta é associada a uma porta chamada de VLAN de acesso.

No entanto, na rede há vários termos para VLANs. Alguns termos definem o tipo de tráfego da rede que eles transportam e outros definem uma função específica executada por uma VLAN. Isto descreve a terminologia VLAN comum:

Passe o mouse sobre o botão VLAN de dados na figura.

VLAN de dados

Uma VLAN de dados é uma VLAN configurada para transportar apenas o tráfego gerado pelo usuário. Uma VLAN pode transportar o tráfego baseado em voz ou o tráfego usado para gerenciar o switch, mas esse tráfego não faria parte de uma VLAN de dados. É uma prática comum para separar o tráfego de voz e de gerenciamento do tráfego de dados. A importância de separar dados de usuário dos dados de controle de gerenciamento do switch e do tráfego de voz é realçada pelo uso de um termo especial para identificar VLANs que só transportam dados de usuário – uma "VLAN de dados". Às vezes, uma VLAN de dados é conhecida como VLAN de usuário.

Passe o mouse sobre o botão VLAN padrão na figura.

VLAN padrão

Todas as portas de switch se tornam um membro da VLAN padrão após a inicialização do switch. Ter todas as portas de switch participando da VLAN padrão torna essas portas parte do mesmo domínio de broadcast. Isso permite a qualquer dispositivo conectado a qualquer porta de switch se comunicar com outros dispositivos em outras portas . A VLAN padrão de switches Cisco é VLAN 1. A VLAN 1 tem todos os recursos de qualquer VLAN, exceto por não ser possível renomeá-la e excluí-la. Por padrão, o tráfego de controle da Camada 2, como CDP e o tráfego de protocolo spanning tree, é associado à VLAN 1. Na figura, o tráfego da VLAN é encaminhado pelos troncos VLAN que conectam os switches S1, S2 e S3. Trata-se de uma prática recomendada de segurança alterar a VLAN padrão para uma VLAN diferente da VLAN 1; isso significa configurar todas as portas no switch a serem associadas a uma VLAN padrão diferente da VLAN 1. Os troncos VLAN suportam a transmissão do tráfego de mais de uma VLAN. Embora os troncos VLAN sejam mencionados ao longo desta seção, eles são explicados na próxima seção sobre o entroncamento VLAN.

Nota: Alguns administradores de rede usam o termo "VLAN padrão" para se referir a uma VLAN, diferenteda VLAN 1, definida pelo administrador de rede como a VLAN a que todas as portas são atribuídas quando não estão em uso. Nesse caso, a única função que a VLAN 1 desempenha é a de tratar o tráfego de controle da Camada 2 da rede.

Passe o mouse sobre o botão VLAN nativa na figura.

VLAN nativa

Uma VLAN nativa é atribuída a uma porta de tronco 802.1Q. Uma porta de tronco 802.1Q oferece suporte ao tráfego de muitas VLANs (tráfego marcado), bem como também ao tráfego que não vem de uma VLAN (tráfego sem marcação). A porta de tronco 802.1Q posiciona o tráfego sem marcação na VLAN nativa. Na figura, a VLAN nativa é a VLAN 99. O tráfego sem marcação é gerado por um computador conectado a uma porta de switch configurada com a VLAN nativa. As VLANs nativas são definidas na especificação IEEE 802.1Q para manter a compatibilidade com versões anteriores com tráfego sem marcação comum a cenários de rede local antigos. Tendo em vista as nossas finalidades, uma VLAN nativa serve como um identificador comum em extremidades opostas de um link de tronco. É uma prática recomendada usar uma VLAN diferente da VLAN 1 como a VLAN nativa.

Passe o mouse sobre o botão VLAN de gerenciamento na figura.

VLAN de gerenciamento

VLAN de gerenciamento é uma VLAN configurada para acessar os recursos de gerenciamento de um switch. A VLAN 1 serviria como a VLAN de gerenciamento se você não tivesse definido alguma outra para este propósito. Você atribui à VLAN de gerenciamento um endereço IP e uma máscara de sub-rede. Um switch pode ser gerenciado por HTTP, Telnet, SSH ou SNMP. Pelo fato de a VLAN 1 ser a padrão para gerenciamento do switch, ela não é a melhor opção em função de possibilitar a um usuário arbitrário se conectar ao switch para usar o gerenciamento . Lembre-se de que você configurou a VLAN de gerenciamento como VLAN 99 no capítulo Configuração e Conceitos Básicos de Switch.

Na próxima página, exploraremos outro tipo VLAN : VLANs de voz.

Exibir meio visual

Página 2:

VLANs de voz

É fácil perceber por que uma VLAN separada é necessária para suportar Voz sobre IP (VoIP). Imagine que você esteja recebendo uma chamada de emergência e, de repente, a qualidade da transmissão cai tanto que não é possível compreender o que está sendo dito. O tráfego VoIP exige:

Largura de banda assegurada para garantir qualidade de voz Prioridade de transmissão sobre outros tipos de tráfego da rede Capacidade de roteamento em áreas congestionadas na rede Atraso inferior a 150 milissegundos (ms) através da rede

Para atender a esses requisitos, toda a rede precisa ser projetada para suportar VoIP. Os detalhes de como configurar uma rede para suportar VoIP estão além do escopo do curso, mas é útil resumir como uma VLAN de voz funciona entre um switch, um telefone IP Cisco e um computador.

Na figura, a VLAN 150 foi projetada para transportar tráfego de voz. O computador de aluno PC5 é acoplado ao telefone IP Cisco, e o telefone é acoplado ao switch S3. PC5 está na VLAN 20, usada para obter dados do aluno. A porta F0/18 em S3 é configurada para estar no modo de voz para que informe ao telefone para marcar quadros de voz com VLAN 150. As estruturas de dados provenientes de PC5 e que passam pelo telefone IP Cisco permanecem sem marcação. Dados com destino a PC5 provenientes da porta F0/18 são marcados com VLAN 20 a caminho do telefone, o que tira a marca de VLAN antes dos dados serem encaminhados para PC5. Marcação de quadros se refere à adição de bytes a um campo na estrutura de dados, usada pelo switch para identificar a qual VLAN a estrutura de dados deve ser enviada. Você obterá informações posteriormente sobre como as estruturas de dados são marcadas.

Clique no botão Detalhes na figura.

Telefone Cisco é um switch

O telefone IP Cisco contém um switch integrado de três portas 10/100 conforme mostrado na Figura. As portas fornecem conexões dedicadas a esses dispositivos:

A porta 1 se conecta ao switch ou a outro dispositivo voz sobre IP (VoIP). A porta 2 é uma interface 10/100 interna que transporta o tráfego do telefone IP. A porta 3 (porta de acesso) se conecta a um PC ou a outro dispositivo.

A figura mostra uma forma de conectar um telefone IP.

O recurso da VLAN de voz permite a portas de switch transportar tráfego de voz IP de um telefone IP. Quando o switch é conectado a um telefone IP, o switch envia mensagens que instruem o telefone IP conectado a enviar tráfego de voz marcado com a ID VLAN de voz 150. O tráfego do PC acoplado ao telefone IP passa pelo telefone IP sem marcação. Quando a porta de switch for configurada com uma VLAN de voz, o link entre o switch e o telefone IP funcionará como um tronco para transportar o tráfego de voz marcado e o tráfego de dados sem marcação.

Nota: A comunicação entre o switch e o telefone IP é facilitada pelo protocolo CDP. Esse protocolo é abordado com mais detalhes no curso CCNA Exploration: Protocolos e Conceitos de Roteamento.

Clique no botão Exemplo de configuração na figura.

Exemplo de configuração

A figura mostra um exemplo. Uma discussão dos comandos do Cisco IOS está além do escopo deste curso, mas é possível ver que as áreas realçadas no exemplo mostram a interface F0/18 configurada com uma VLAN de dados (VLAN 20) e uma VLAN configurada para voz (VLAN 150).

Exibir meio visual

Tipos de tráfego da rede

Em CCNA Exploration: Fundamentos de Rede, você aprendeu os diferentes tipos de tráfego tratados por uma rede local. Como uma VLAN tem todas as características de uma rede local, ela deve acomodar o mesmo tráfego de uma LAN.

Gerenciamento de rede e tráfego de controle

Muitos tipos diferentes de gerenciamento de rede e tráfego de controle podem estar presentes na rede, como atualizações Cisco Discovery Protocol (CDP), protocolo de gerenciamento de rede comum (SNMP) e tráfego de Monitoramento Remoto (RMON).

Passe o mouse sobre o botão Gerenciamento de rede na figura.

Telefonia IP

Os tipos de tráfego de telefonia IP são tráfegos de sinalização e de voz. O tráfego de sinalização é responsável pela configuração da chamada, pelo progresso e pelo encerramento, passando de uma extremidade da rede à outra. O outro tipo de tráfego de telefonia consiste em pacotes de dados de voz . Como você acabou de aprender, em uma rede configurada com VLANs, é altamente recomendável atribuir o gerenciamento a uma VLAN diferente da VLAN 1. O tráfego de dados deve ser associado a uma VLAN de dados (diferente da VLAN 1) e o tráfego de voz, associado a uma VLAN de voz.

Passe o mouse sobre o botão Telefonia IP na figura.

Multicast IP

O tráfego multicast IP é enviado de um endereço de origem específico para um grupo multicast identificado por um único IP e um par de endereços do grupo de destino MAC. Exemplos de aplicativos que geram esse tipo de tráfego são as broadcasts IP/TV Cisco. O tráfego de multicast pode gerar uma grande quantidade de dados que passam através da rede. Quando a rede precisa suportar tráfego de multicast, as VLANs devem ser configuradas para assegurar que o tráfego de multicast só vá para esses dispositivos de usuário que usam o serviço fornecido, como aplicativos de vídeo ou de áudio remotos. Os roteadores devem ser configurados para assegurar que o tráfego de multicast seja encaminhado para as áreas da rede onde é solicitado.

Passe o mouse sobre o botão Multicast IP na figura.

Dados normais

O tráfego de dados normal está relacionado à criação e ao armazenamento de arquivo, aos serviços de impressão, ao acesso a banco de dados de email e a outros aplicativos de rede compartilhada comuns a usos comerciais. As VLANs são uma solução natural para esse tipo de tráfego porque é possível segmentar usuários por suas funções ou áreas geográficas para gerenciar suas necessidades específicas mais facilmente.

Passe o mouse sobre o botão Dados normais na figura.

Classe de aproveitamento

A classe de aproveitamento deve fornecer serviços inferiores ao melhor esforço para determinados aplicativos. Os aplicativos atribuídos a essa classe dão pouca ou nenhuma contribuição para os objetivos organizacionais da empresa, sendo normalmente orientados ao entretenimento por natureza. Entre eles estão aplicativos de compartilhamento de mídia ponto-a-ponto (KaZaa, Morpheus, Groekster, Napster, iMesh etc.), jogos (Doom, Quake, Unreal Tournament etc.) e qualquer aplicativo de vídeo de entretenimento.

Exibir meio visual

3.1.3 Modos de associação de porta de switch

Portas de switch

As portas de switch são interfaces apenas da Camada 2 associadas a uma porta física. As portas de switch são usadas para gerenciar a interface física e os protocolos associados da Camada 2. Elas não tratam roteamento ou bridging. As portas de switch pertencem a uma ou mais VLANs.

Modos de porta de switch VLAN

Ao configurar uma VLAN, você deve atribuir a ela uma ID numérica, podendo também dar-lhe um nome. A finalidade das implementações VLAN é associar criteriosamente portas com VLANs específicas. Você configura a porta para encaminhar um quadro para uma VLAN específica. Conforme mencionado anteriormente, é possível configurar uma VLAN no modo de voz para suportar o tráfego de voz e de dados proveniente de um telefone IP Cisco. É possível configurar uma porta para pertencer a uma VLAN, atribuindo um modo de associação que especifica o tipo de tráfego transportado pela porta e as VLANs às quais ela pode pertencer. Uma porta pode ser configurada para suportar estes tipos de VLAN:

VLAN estática – As portas em um switch são atribuídas manualmente a uma VLAN. As VLANs estáticas são configuradas usando a CLI Cisco. Isso também pode ser realizado com aplicativos de gerenciamento de interface gráfica do usuário, como o Cisco Network Assistant . No entanto, um recurso prático da CLI é que se você atribuir uma interface a uma VLAN que não existe, a nova VLAN será criada para você. Para ver um exemplo de configuração VLAN estática, clique no botão Exemplo de modo estático na figura. Quando terminar, clique no botão Modos de porta na figura. Esta configuração não será examinada em detalhes agora. Você verá essa configuração posteriormente no capítulo.

VLAN dinâmica – Este modo não é amplamente usado em redes de produção, não sendo explorado neste curso. No entanto, é útil saber o que é uma VLAN dinâmica. Uma associação VLAN de porta dinâmica é configurada usando um servidor especial chamado VLAN Membership Policy Server (VMPS). Com o VMPS, você atribui portas de switch a VLANs dinamicamente, com base no endereço MAC de origem do dispositivo conectado à porta. O benefício vem quando você move um host entre portas e switches na rede; o switch atribui dinamicamente a nova porta à VLAN correta para esse host.

VLAN de voz – Uma porta é configurada para estar no modo de voz para que seja capaz de suportar um telefone IP acoplado. Antes de configurar uma VLAN

de voz na porta, você primeiro precisa configurar uma VLAN para voz e uma VLAN para dados. Na figura, a VLAN 150 é a VLAN de voz e a VLAN 20 é a VLAN de dados. Supõe-se que a rede tenha sido configurada para assegurar que o tráfego de voz pudesse ser transmitido com um status de prioridade sobre outros. Quando um telefone é conectado pela primeira vez a uma porta de switch que está no modo de voz, a porta de switch envia mensagens para o telefone, fornecendo a ele a ID da VLAN de voz e a configuração apropriadas. O telefone IP marca as estruturas de voz com a ID da VLAN de voz e encaminha todo o tráfego por essa VLAN específica.

Para examinar partes de uma configuração no modo de voz, clique no botão Exemplo do modo de voz na figura:

O comando de configuração mls qos trust cos assegura que o tráfego de voz seja identificado como tráfego de prioridade. Lembre-se de que toda a rede deve ser configurada para priorizar o tráfego de voz. Não é possível configurar a porta apenas com esse comando.

O comando switchport voice vlan 150 identifica a VLAN 150 como a VLAN de voz. É possível observar isso na captura na parte inferior da tela: Voice VLAN: 150 (VLAN0150).

O comando switchport access vlan 20 configura a VLAN 20 como a VLAN do modo de acesso (dados). É possível observar isso na captura na parte inferior da tela: Access Mode VLAN: 20 (VLAN0020).

Para obter detalhes sobre a configuração de uma VLAN de voz, visite este site em Cisco.com: http://www.cisco.com/en/US/docs/switches/lan/catalyst2975/software/release/12.2_46_ex/configuration/guide/swvoip.html (em inglês).

Exibir meio visual

3.1.4 Controlando domínios de broadcast com VLANs

Página 1:

Redes sem VLANS

Em operação normal, quando um switch recebe um quadro de broadcast em uma das portas, ele encaminha o quadro por todas as demais portas no switch. Na figura, toda a rede está configurada na mesma sub-rede, 172.17.40.0/24. Dessa forma, quando o computador dos funcionários, PC1, envia um quadro de broadcast, o switch S2 envia

esse quadro por todas as suas portas. Toda a rede acaba recebendo-o; a rede é um domínio de broadcast.

Clique no botão Broadcasts de rede com segmentação por VLAN na figura.

Rede com VLANs

Na figura, a rede foi segmentada em duas VLANs: Funcionários como VLAN 10 e Aluno como VLAN 20. Quando o quadro de broadcast é enviado do computador dos funcionários, PC1, para o switch S2, o switch só encaminha esse quadro de broadcast para essas portas de switch configuradas para suportar VLAN 10.

Na figura, as portas que formam a conexão entre switches S2 e S1 (a porta F0/1) e entre S1 e S3 (a porta F0/3) foram configuradas para suportar todas as VLANs na rede. Essa conexão é chamada de tronco. Você obterá mais informações sobre troncos posteriormente neste capítulo.

Quando S1 recebe o quadro de broadcast na porta F0/1, S1 encaminha esse quadro de broadcast pela única porta configurada para suportar VLAN 10, a porta F0/3. Quando S3 recebe o quadro de broadcast na porta F0/3, ele encaminha esse quadro de broadcast pela única porta configurada para suportar VLAN 10, a porta F0/11. O quadro de broadcast chega ao único computador na rede configurado na VLAN 10, o computador dos funcionários PC4.

Quando as VLANs são implementadas em um switch, a transmissão de tráfego unicast, multicast e broadcast de um host em uma VLAN específica é restringida aos dispositivos que estão na VLAN.

Exibir meio visual

Página 2:

Controlando domínios de broadcast com switches e roteadores

Dividir um grande domínio de broadcast em vários menores reduz o tráfego de broadcast e melhora o desempenho da rede. Dividir domínios em VLANs também permite maior confidencialidade das informações em uma organização. A divisão de domínios de broadcast pode ser feita com VLANs (em switches) ou com roteadores. Um roteador é necessário sempre que dispositivos em redes da Camada 3 diferentes precisarem se comunicar, independentemente de serem usadas VLANs.

Clique no botão Comunicação intra-VLAN e clique no botão Reproduzir para iniciar a animação.

Comunicação intra-VLAN

Na figura, PC1, deseja se comunicar com outro dispositivo, PC4. PC1 e PC4 estão ambos na VLAN 10. A comunicação com um dispositivo na mesma VLAN é chamada de comunicação intra-VLAN. Isto descreve como este processo é realizado:

Etapa 1. PC1 na VLAN 10 envia seu quadro de solicitação ARP (broadcast) para o switch S2. Os switches S2 e S1 enviam o quadro de solicitação ARP por todas as portas na VLAN 10. O switch S3 envia a solicitação ARP pela porta F0/11 para PC4 na VLAN 10.

Etapa 2. Os switches na rede encaminham o quadro de resposta ARP (unicast) para PC1. PC1 recebe a resposta que contém o endereço MAC de PC4.

Etapa 3. PC1 agora tem o endereço MAC de PC4 e o usa para criar um quadro unicast com o endereço MAC de PC4 como o destino. Os switches S2, S1 e S3 entregam o quadro para PC4.

Clique no botão Comunicação entre VLANs e clique no botão Reproduzir para iniciar a animação.

Comunicação entre VLANs

Na figura, PC1 na VLAN 10 deseja se comunicar com PC5 na VLAN 20. A comunicação com um dispositivo em outra VLAN é chamada de comunicação entre VLANs.

Nota: Há duas conexões do switch S1 com o roteador: uma para transportar transmissões na VLAN 10 e outra para transportar transmissões na VLAN 20 para a interface do roteador.

Isto descreve como este processo é realizado:

Etapa 1. PC1 na VLAN 10 deseja se comunicar com PC5 na VLAN 20. PC1 envia um quadro de solicitação ARP para o endereço MAC do gateway padrão R1.

Etapa 2. O roteador R1 responde com um quadro de resposta ARP da sua interface configurada na VLAN 10.

Todos os switches encaminham o quadro de resposta ARP e PC1 o recebe. A resposta ARP contém o endereço MAC do gateway padrão.

Etapa 3. PC1 cria um quadro Ethernet com o endereço MAC do gateway padrão. O quadro é enviado do switch S2 para S1.

Etapa 4. O roteador R1 envia um quadro de solicitação ARP na VLAN 20 para determinar o endereço MAC de PC5. Os switches S1, S2 e S3 difundem o quadro de solicitação ARP pelas portas configuradas para a VLAN 20. PC5 na VLAN 20 recebe o quadro de solicitação ARP do roteador R1.

Etapa 5. PC5 na VLAN 20 envia um quadro de resposta ARP para o switch S3. Os switches S3 e S1 encaminham o quadro de resposta ARP para o roteador R1 com o endereço MAC de destino da interface F0/2 no roteador R1.

Etapa 6. Roteador R1 envia o quadro recebido de PC1 por S1 e S3 para PC5 (na VLAN 20).

Exibir meio visual

Página 3:

Controlando domínios de broadcast com VLANs e encaminhamento da Camada 3

No capítulo anterior, você obteve informações sobre algumas das diferenças entre os switches das camadas 2 e 3. A figura mostra o switch Catalyst 3750G-24PS, um dos muitos switches Cisco que suportam o roteamento da Camada 3. O ícone que representa um switch da Camada 3 é mostrado. Uma discussão da comutação da Camada 3 está além do escopo deste curso, mas uma breve descrição da tecnologia interface virtual de switch (SVI) que permite a um switch da Camada 3 rotear transmissões entre VLANs é útil.

SVI

SVI é uma interface lógica configurada para uma VLAN específica. Você precisará configurar uma SVI para uma VLAN, se quiser rotear entre VLANs ou fornecer conectividade de host IP ao switch. Por padrão, uma SVI é criada para a VLAN padrão (VLAN 1) a fim de permitir uma administração de switch remota.

Clique no botão de Exemplo de encaminhamento da camada 3 na figura para ver uma animação que apresenta uma representação simplificada de como um switch da Camada 3 controla domínios de broadcast.

Encaminhamento da camada 3

Um switch da Camada 3 tem a capacidade de rotear transmissões entre VLANs. O procedimento é o mesmo descrito para a comunicação entre VLANs que usa um roteador separado, exceto pelas SVIs funcionarem como as interfaces do roteador para rotear os dados entre VLANs. Esta animação descreve esse processo.

Na animação, PC1 deseja se comunicar com PC5. As seguintes etapas descrevem a comunicação pelo switch S1 da Camada 3:

Etapa 1. PC1 envia uma broadcast de solicitação ARP na VLAN 10. S2 encaminha a solicitação ARP por todas as portas configuradas para a VLAN 10.

Etapa 2. O switch S1 encaminha a solicitação ARP por todas as portas configuradas para a VLAN 10, inclusive a SVI da VLAN 10. O switch S3 encaminha a solicitação ARP por todas as portas configuradas para a VLAN 10.

Etapa 3. A SVI da VLAN 10 no switch S1 conhece o local da VLAN 20. A SVI da VLAN 10 no switch S1 retorna uma resposta ARP para PC1 com essas informações.

Etapa 4. PC1 envia dados, com destino ao PC5, como um quadro unicast pelo switch S2 para a SVI da VLAN 10 no switch S1.

Etapa 5. A SVI da VLAN 20 envia uma broadcast de solicitação ARP por todas as portas de switch configuradas para a VLAN 20. O switch S3 envia essa broadcast de solicitação ARP por todas as portas de switch configuradas para a VLAN 20.

Etapa 6. PC5 na VLAN 20 envia um quadro de resposta ARP. O switch S3 envia essa resposta ARP para S1. O switch S1 encaminha a resposta ARP à SVI da VLAN 20.

Etapa 7. A SVI da VLAN 20 encaminha os dados, enviados de PC1, em um quadro unicast para PC5, usando o endereço de destino aprendido com a resposta ARP na etapa 6.

Exibir meio visual

Página 4:

Essa atividade é aberta no modo de simulação e com conclusão em 100%. O objetivo da atividade é observar como o tráfego de transmissão é encaminhado pelos switches

quando as VLANs estão configuradas e também quando elas não estão configuradas. São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.



Exibir meio visual

3.2 Entroncamento de VLAN

3.2.1 Troncos de VLAN

Página 1:

O que é um tronco?

É difícil descrever VLANs sem mencionar os troncos de VLAN. Você obteve informações sobre como controlar broadcasts de rede com segmentação VLAN e viu como os troncos VLAN transmitiram tráfego para partes diferentes da rede configurada em uma VLAN. Na figura, os links entre os switches S1 e S2 e S1 e S3 são configurados para transmitir tráfego proveniente das VLANs 10, 20, 30 e 99. Essa rede simplesmente não funcionaria sem troncos de VLAN. Você verá que a maioria das redes encontradas é configurada com troncos de VLAN. Esta seção reúne o conhecimento que você já tem do entroncamento VLAN e fornece os detalhes para que você seja capaz de configurar o entroncamento VLAN em uma rede.

Definição de um tronco de VLAN

Tronco é um link ponto-a-ponto entre dois dispositivos de rede que transporta mais de uma VLAN. Um tronco de VLAN permite estender as VLANs através de uma rede inteira. A Cisco suporta IEEE 802.1Q para coordenar troncos em interfaces Fast Ethernet e Gigabit Ethernet. Você obterá mais informações sobre 802.1Q posteriormente nesta seção.

Um tronco de VLAN não pertence a uma VLAN específica, sendo mais um canal para VLANs entre switches e roteadores.

Exibir meio visual

Página 2:

Que problema um tronco resolve?

Na figura, você vê a topologia padrão usada neste capítulo, mas em vez do tronco de VLAN que você está acostumado a ver entre os switches S1 e S2, há um link separado para cada sub-rede. Há quatro links separados conectando os switches S1 e S2, deixando três portas menos a serem alocadas a dispositivos de usuário final. Sempre que uma nova sub-rede é considerada, um novo link é necessário para cada switch na rede.

Clique no botão Com troncos de VLAN na figura.

Na figura, a topologia de rede mostra um tronco de VLAN conectando switches S1 e S2 com um único link físico. Essa é a forma que uma rede deve ser configurada.

Exibir meio visual

Página 3:

Quadro 802.1Q marcado

Lembre-se de que switches são dispositivos da Camada 2. Eles só usam as informações de cabeçalho do quadro Ethernet para encaminhar pacotes. O cabeçalho do quadro não contém informações sobre a que VLAN o quadro deve pertencer. Logo, quando os quadros Ethernet são colocados em um tronco, eles precisam de informações adicionais sobre as VLANs a que pertencem. Isso é feito usando-se o cabeçalho de encapsulamento 802.1Q. Esse cabeçalho adiciona uma etiqueta ao quadro Ethernet original, especificando a VLAN a que o quadro pertence.

A marcação de quadros foi mencionada várias vezes. A primeira vez foi em referência à configuração do modo de voz em uma porta de switch. Lá você aprendeu que uma vez

configurado, um telefone Cisco (que inclui um switch pequeno) marca quadros de voz com uma ID de VLAN. Você também aprendeu que as IDs de VLAN podem estar em um intervalo normal, 1-1005 e em um intervalo estendido, 1006-4094. Como as IDs de VLAN são inseridas em um quadro?

Visão geral do quadro de marcação de VLAN

Antes de explorar os detalhes de um quadro 802.1Q, é útil compreender o que um switch faz quando encaminha um quadro por um link de tronco. Quando o switch recebe um quadro em uma porta configurada no modo de acesso com uma VLAN estática, ele retira o quadro e insere uma etiqueta VLAN, recalcula a FCS e envia o quadro etiquetado por uma porta do tronco.

Nota: Uma animação da operação de entroncamento será apresentada posteriormente nesta seção.

Detalhes do campo de marcação de VLAN

O campo de marcação de VLAN consiste em um campo EtherType, um campo de informações do controle da marca e o campo FCS.

Campo EtherType

Define como o valor hexadecimal 0x8100. Esse valor é chamado de tag protocol ID (TPID). Com o campo EtherType definido como o valor TPID, o switch que recebe o quadro sabe procurar informações no campo correto de controle de marcação.

Campo de informações de controle da marcação

O campo de informações de controle da marcação contém:

3 bits de prioridade do usuário – Usados pelo padrão 802.1p, que especifica como fornecer a transmissão dos quadros da Camada 2. Uma descrição do IEEE 802.1p está além do escopo deste curso. No entanto, você aprendeu um pouco sobre ele anteriormente, na discussão sobre VLANs de voz.

1 bit de Identificador de formato canônico (CFI) – Permite que quadros Token Ring sejam transportados por links Ethernet facilmente.

12 bits da ID de VLAN (VID) – Números de identificação da VLAN; suporta até 4096 IDs de VLAN.

Campo FCS

Depois que o switch insere os campos de EtherType e de informações de controle da marcação, ele recalcula os valores da FCS e os insere no quadro.

Exibir meio visual

Página 4:

VLANs nativas e entroncamento 802.1Q

Agora que você sabe mais sobre como um switch marca um quadro com a VLAN correta, está na hora de explorar como a VLAN nativa suporta o switch ao tratar quadros com e sem etiqueta que chegam em uma porta de tronco 802.1Q.

Quadros com marcação na VLAN nativa

Alguns dispositivos que suportam o entroncamento marcam o tráfego VLAN como comportamento padrão. O tráfego de controle enviado na VLAN nativa deve estar sem marcação. Se uma porta de tronco 802.1Q recebe um quadro marcado na VLAN nativa, ela o descarta. Dessa forma, ao configurar uma porta em um switch Cisco, você precisa identificar esses dispositivos e os configurar de forma que eles não enviem quadros marcados na VLAN nativa. Entre os dispositivos de outros fornecedores que suportam quadros marcados na VLAN nativa estão telefones IP, servidores, roteadores e switches que não são Cisco.

Quadros sem marcação na VLAN nativa

Quando uma porta de tronco do switch Cisco recebe quadros sem marcação, ela encaminha esses quadros para a VLAN nativa. Como você deve se lembrar, a VLAN nativa padrão é VLAN 1. Quando você configura uma porta de tronco 802.1Q, uma ID de VLAN de porta padrão (PVID) recebe o valor da ID de VLAN nativa. Todo o tráfego sem marcação que chega ou sai da porta 802.1Q é encaminhado com base no valor PVID. Por exemplo, se a VLAN 99 for configurada como a VLAN nativa, a PVID será 99 e todo o tráfego sem marcação será encaminhado para a VLAN 99. Se a VLAN nativa não foi reconfigurada, o valor PVID será definido como sendo a VLAN 1.

Clique no botão Exemplo de configuração da VLAN nativa na figura.

Neste exemplo, a VLAN 99 será configurada como a VLAN nativa na porta F0/1 no switch S1. Este exemplo mostra como reconfigurar a VLAN nativa usando sua configuração padrão de VLAN 1.

Começando no modo EXEC privilegiado, a figura descreve como configurar a VLAN nativa na porta F0/1 do switch S1 como um tronco IEEE 802.1Q com a VLAN 99 nativa.

Clique no botão Verificação de VLAN nativa na figura.

Usando o comando show interfaces interface-id switchport, é possível verificar rapidamente se você reconfigurou corretamente a VLAN nativa de VLAN 1 para VLAN 99. A saída de dados realçada na captura de tela indica que a configuração foi bem-sucedida.

Exibir meio visual

3.2.2 Operação de entroncamento

Página 1:

Um tronco em ação

Você aprendeu como um switch trata o tráfego sem marcação em um link de tronco. Agora você sabe que os quadros que passam por um tronco são marcados com a ID de VLAN da porta de acesso em que o quadro é recebido. Na figura, PC1 na VLAN 10 e PC3 na VLAN 30 enviam quadros de broadcast para o switch S2. O switch S2 marca esses quadros com a ID de VLAN apropriada e encaminha os quadros pelo tronco para o switch S1. O switch S1 lê a ID de VLAN nos quadros e os transmite para todas as portas configuradas para suportar VLAN 10 e VLAN 30. O switch S3 recebe esses quadros, retira as IDs de VLAN e os encaminha como quadros sem marcação para PC4 na VLAN 10 e PC6 na VLAN 30.

Clique no botão Reproduzir na barra de ferramentas de animação na figura.

Exibir meio visual

3.2.3 Modos de entroncamento

Página 1:

Você aprendeu como o entroncamento 802.1Q funciona em portas de switch Cisco. Agora é hora de examinar as opções de configuração do modo de porta de tronco 802.1Q. Primeiro, precisamos abordar um protocolo de entroncamento legado da Cisco, link entre switches (ISL, inter-switch link), porque você verá essa opção nos guias de configuração do software do switch.

IEEE, não ISL

Embora um switch Cisco possa ser configurado para suportar dois tipos de portas de tronco, IEEE 802.1Q e ISL, hoje apenas 802.1Q é usado. No entanto, redes antigas ainda podem usar ISL, sendo útil obter informações sobre cada tipo de porta de tronco.

Uma porta de tronco IEEE 802.1Q suporta tráfego com e sem marcação simultaneamente. Uma porta de tronco 802.1Q recebe um PVID padrão, e todo o tráfego sem marcação percorre no PVID padrão de porta. Pressupõe-se que todo o tráfego com e sem marcação com uma ID de VLAN nula pertença ao PVID padrão de porta. Um pacote com uma ID de VLAN igual ao PVID padrão de porta de saída é enviado sem marcação. Todo o tráfego restante é enviado com uma marcação de VLAN.

Em uma porta de tronco ISL, todos os pacotes recebidos devem ser encapsulados com um cabeçalho ISL e todos os pacotes transmitidos são enviados com um cabeçalho ISL. Os quadros nativos (sem etiqueta) recebidos de

uma porta de tronco ISL são descartados. ISL deixa de ser um modo de porta de tronco recomendado, não sendo suportado em vários switches Cisco.

DTP

O Protocolo de entroncamento dinâmico (DTP, Dynamic Trunking Protocol) é um protocolo próprio da Cisco. Os switches de outros fornecedores não suportam DTP. DTP é habilitado automaticamente em uma porta de switch quando determinados modos de entroncamento são configurados na porta de switch.

O DTP só gerenciará a negociação de tronco se a porta no outro switch estiver configurada em um modo de tronco que suporte DTP. DTP suporta troncos ISL e 802.1Q. Este curso se concentra na implementação 802.1Q do DTP. Uma discussão detalhada do DTP está além do escopo deste curso. No entanto, você o habilitará nos laboratórios e em atividades associadas ao capítulo. Os switches não precisam de DTP para fazer o entroncamento e alguns switches e roteadores Cisco não suportam DTP. Para obter informações sobre o suporte DTP em switches Cisco, visite: http://www.cisco.com/en/US/tech/tk389/tk689/technologies_tech_note09186a008017f86a.shtml (em inglês).

Modos de entroncamento

Uma porta de switch em switch Cisco suporta vários modos de entroncamento. O modo de entroncamento define como a porta é negociada usando DTP para configurar um link de tronco com sua porta de mesmo nível. Aqui está uma breve descrição dos modos de entroncamento disponíveis e como o DTP é implementado em cada um deles.

Ativado (padrão)

A porta de switch envia periodicamente quadros DTP, chamados de anúncios, para a porta remota. O comando usado é switchport mode trunk. A porta de switch local anuncia para a porta remota que está mudando dinamicamente para um estado de entroncamento. Em seguida, a porta local, independentemente das informações DTP que a porta remota envia como uma resposta ao anúncio, muda para um estado de entroncamento. A porta local é considerada em estado de entroncamento incondicional (sempre ativada).

Dinâmico automático

A porta de switch envia periodicamente quadros DTP para a porta remota. O comando usado é switchport mode dynamic auto. A porta de switch local anuncia para a porta de switch remota que é capaz de entroncar, mas não solicita a passagem para o estado de entroncamento. Depois de uma negociação DTP, a porta local só acabaria no estado de entroncamento se o modo e tronco da porta remota fosse configurado como ativo ou desejável (desirable). Se ambas as portas nos switches forem definidas como auto, elas não negociarão para estar em um estado de entroncamento. Elas negociam para estar no estado do modo de acesso (não-tronco).

Dinâmico desejável

Os quadros DTP são enviados periodicamente para a porta remota. O comando usado é switchport mode dynamic desirable. A porta de switch local anuncia para a porta de switch remota que é capaz de entroncar e solicita à porta de switch remota a passagem para o estado de entroncamento. Se a porta local detectar que a remota foi configurada como ativada, desejável (desirable) ou no modo automático, a porta local acabará no estado de entroncamento. Se a porta de switch remota estiver no modo de não-negociação, a porta de switch permanecerá como uma porta de não-entroncamento.

Desativar DTP

É possível desativar o DTP para o tronco de forma que a porta local não envie quadros DTP para a porta remota. Use o comando switchport nonegotiate. Dessa forma, a porta local é considerada em estado de entroncamento incondicional. Use esse recurso quando você precisar configurar um tronco com um switch de outro fornecedor.

Um exemplo do modo de tronco

Na figura, as portas F0/1 nos switches S1 e S2 são configuradas com o modo de tronco ativado. As portas F0/3 nos switches S1 e S3 são configuradas no modo de tronco automático. Quando as configurações de switch forem concluídas e os switches estiverem totalmente configurados, qual link será um tronco?

Clique no botão Qual link será configurado como um tronco? na figura.

O link entre os switches S1 e S2 se torna um tronco porque as portas F0/1 nos switches S1 e S2 são configuradas para ignorar todos os anúncios DTP e surgem e permanecem no modo de porta do tronco. Como as portas F0/3 nos switches S1 e S3 são definidas como automáticas, elas negociam para permanecer no estado padrão, o estado do modo de acesso (não-tronco). Isso resulta em um link de tronco inativo. Quando você configura uma porta de tronco para permanecer no modo de tronco, não há nenhuma ambigüidade quanto a que estado o tronco está sempre ativado. Também é fácil se lembrar de qual estado as portas estão caso a porta seja um tronco e o modo de tronco esteja ativado.

Nota: O modo de porta de switch padrão para uma interface em um switch Catalyst 2950 é dinâmico desejável (dynamic desirable), mas o modo de porta de switch padrão para uma interface em um switch Catalyst 2960 dinâmico automático. Se S1 e S3 fossem switches Catalyst 2950 com uma interface F0/3 no modo de porta de switch padrão, o link entre S1 e S3 se tornaria um tronco ativo.

Clique no botão Modos DTP na figura para revisar as interações de modo.

Para obter informações sobre quais switches Cisco suportam 802.1Q, ISL e DTP, visite: http://www.cisco.com/en/US/tech/tk389/tk689/technologies_tech_note09186a008017f86a.shtml#topic1 (em inglês).

Para obter informações sobre como suportar ISL em redes legadas, visite: http://www.cisco.com/en/US/tech/tk389/tk689/tsd_technology_support_troubleshooting_technotes_list.html (em inglês).

Exibir meio visual

Página 2:

Os troncos transmitem o tráfego de várias VLANs através de um único link. É por isso que eles são essenciais à comunicação entre os switches e as VLANs. Esta atividade se concentra em exibir a configuração do switch, a configuração do tronco e as

informações de marcação de VLAN. São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.



Exibir meio visual

3.3 Configurar VLANs e troncos

3.3.1 Configurando VLANs e visão geral dos troncos

Página 1:

Neste capítulo, você já viu exemplos dos comandos usados para configurar VLANs e troncos de VLAN. Nesta seção, você aprenderá os principais comandos do Cisco IOS necessários à criação, à exclusão e à verificação de VLANs e troncos de VLAN. Normalmente, esses comandos têm muitos parâmetros opcionais que estendem os recursos da VLAN e da tecnologia de tronco de VLAN. Esses comandos opcionais não são apresentados. No entanto, são fornecidas referências caso você queira pesquisar essas opções. O foco desta seção é fornecer as habilidades e o conhecimento necessários para configurar VLANs e troncos de VLAN com seus principais recursos.

Nesta seção, você vê a configuração e a sintaxe de verificação para um lado de uma VLAN ou tronco. Nos laboratórios e nas atividades, você configurará ambos os lados e verificará se o link (VLAN ou tronco de VLAN) está configurado corretamente.

Nota: Se quiser manter a configuração de execução recém-configurada, você deve salvá-la na startup configuration .

Exibir meio visual

3.3.2 Configurar uma VLAN

Página 1:

Adicionar uma VLAN

Neste tópico, você aprenderá como criar uma VLAN estática em um switch Cisco Catalyst que usa o modo de configuração global de VLAN. Há dois modos diferentes de configurar VLANs em um switch Cisco Catalyst: modo de configuração de banco de dados e modo de configuração global. Embora a documentação Cisco mencione o modo de configuração de banco de dados, ele está sendo substituído pelo modo de configuração global de VLAN.

Você configurará VLANs com IDs no intervalo normal. Lembre-se de que há dois intervalos de IDs de VLAN. O intervalo normal inclui IDs de 1 a 1001 e o intervalo estendido consiste em IDs de 1006 a 4094. A VLAN 1 e de 1002 a 1005 são números de ID reservados. Quando você configura VLANs de intervalo normal, os detalhes da configuração são armazenados automaticamente na memória flash no switch em um arquivo chamado vlan.dat. Como você sempre configura outros aspectos de um switch Cisco ao mesmo tempo, trata-se de uma prática recomendada salvar alterações feitas na configuração corrente para a NVRAM.

Clique no botão Sintaxe de comando na figura.

A figura mostra os comandos do Cisco IOS usados para adicionar uma VLAN a um switch.

Clique no botão Exemplo na figura.

A figura mostra como a VLAN de aluno, VLAN 20, é configurada no switch S1. No exemplo de topologia, o computador do aluno, PC2, ainda não está em uma VLAN, mas tem um endereço IP 172.17.20.22.

Clique no botão Verificação na figura.

A figura mostra um exemplo de uso do comando show vlan brief para exibir o conteúdo do arquivo vlan.dat. A VLAN do aluno, VLAN 20, é realçada na captura de tela. As IDs de VLAN padrão 1 e de 1002 a 1005 são mostradas na saída de dados da tela.

Nota: Além de inserir uma única ID de VLAN, é possível inserir uma série de IDs de VLAN separadas por vírgulas, ou um intervalo de IDs de VLAN separadas por hífens usando o comando vlan vlan-id, por exemplo: switch(config)#vlan 100,102,105-107.

Exibir meio visual

Página 2:

Atribuir uma porta de switch

Depois de criar uma VLAN, atribua uma ou mais portas à VLAN. Quando você atribui manualmente uma porta de switch a uma VLAN, isso é conhecido como uma porta de acesso estático. Uma porta de acesso estático pode pertencer a apenas uma VLAN por vez.

Clique no botão Sintaxe de comando na figura para revisar os comandos do Cisco IOS usados para atribuir uma porta de acesso estático à VLAN.

Clique no botão Exemplo na figura para ver como a VLAN de aluno, VLAN 20, é atribuída estaticamente à porta F0/18 no switch S1. Como a porta F0/18 foi atribuída à VLAN 20, o computador de aluno, PC2, está na VLAN 20. Quando a VLAN 20 é configurada em outros switches, o administrador de rede deve configurar os outros computadores de aluno para que eles estejam na mesma sub-rede do PC2: 172.17.20.0 /24.

Clique no botão Verificação na figura para confirmar se o comando show vlan brief exibe o conteúdo do arquivo vlan.dat. A VLAN do aluno, VLAN 20, é realçada na captura de tela.

Exibir meio visual

3.3.3 Gerenciando VLANs

Página 1:

Verificar VLANs e associações de porta

Depois de configurar a VLAN, é possível validar as configurações de VLAN usando os comandos show do Cisco IOS.

Clique no botão Sintaxe de comando na figura.

A sintaxe de vários comandos show do Cisco IOS deve ser bem conhecida. Você já usou o comando show vlan brief. Exemplos desses comandos podem ser vistos clicando-se nos botões na figura.

Clique no botão Mostrar VLAN na figura.

Neste exemplo, é possível ver que o comando show vlan name student não produz uma saída de dados muito legível. A preferência aqui é usar o comando show vlan brief. O comando show vlan summary exibe a contagem de todas as VLANs configuradas. A saída de dados mostra seis VLANs: 1, 1002-1005 e a VLAN do aluno, VLAN 20.

Clique no botão interfaces de VLAN na figura.

Esse comando exibe muitos detalhes que estão além do escopo deste capítulo. As principais informações são exibidas na segunda linha da captura de tela, indicando que a VLAN 20 está ativa.

Clique no botão Interfaces Switchport na figura.

Esse comando exibe informações que são úteis para você. É possível determinar que a porta F0/18 está atribuída à VLAN 20 e que a VLAN nativa é VLAN 1. Você usou esse comando para revisar a configuração de uma VLAN de voz.

Para obter detalhes sobre os campos da saída de dados do comando show vlan, visite: http://www.cisco.com/en/US/docs/ios/lanswitch/command/reference/lsw_s2.html#wp1011412 (em inglês).

Para obter detalhes sobre os campos da saída de dados do comando show interfaces, visite: http://www.cisco.com/en/US/docs/ios/12_0/interface/command/reference/irshowin.html#wp1017387 (em inglês).

Exibir meio visual

Página 2:

Gerenciar associações de porta

Há várias formas de gerenciar VLANs e associações de porta de VLAN. A figura mostra a sintaxe de comando no switchport access vlan.

Clique no botão Remover VLAN na figura.

Reatribuir uma porta à VLAN 1

Para reatribuir uma porta à VLAN 1, é possível usar o comando no switchport access vlan no modo de configuração de interface. Examine a saída de dados no comando show vlan brief logo abaixo. Observe como a VLAN 20 ainda está ativa. Ela só foi removida de interface F0/18. No comando show interfaces f0/18 switchport,é possível ver que a VLAN de acesso da interface F0/18 foi redefinida como VLAN 1.

Clique no botão Reatribuir VLAN na figura.

Reatribuir a VLAN a outra porta

Uma porta de acesso estático só pode ter uma VLAN. Com o software Cisco IOS, você não precisa primeiro remover uma porta de uma VLAN para alterar sua associação. Quando você reatribui uma porta de acesso estático a uma VLAN existente, a VLAN é removida automaticamente da porta anterior. No exemplo, a porta F0/11is foi reatribuída à VLAN 20.

Exibir meio visual

Página 3:

Excluir VLANs

A figura fornece um exemplo de uso do comando de configuração global no vlan vlan-id para remover a VLAN 20 do sistema. O comando show vlan brief verifica se a VLAN 20 não está mais no arquivo vlan.dat.

Como alternativa, todo o arquivo vlan.dat pode ser excluído usando-se o comando delete flash:vlan.dat no modo EXEC privilegiado. Depois que o switch for recarregado, as VLANs configuradas anteriormente já não estarão mais presentes. Isso coloca o switch efetivamente no "padrão de fábrica" em relação a configurações de VLAN.

Nota: Antes de excluir uma VLAN, não se esqueça de primeiro reatribuir todas as suas portas a uma VLAN diferente. Qualquer porta pertencente a uma VLAN ativa não pode se comunicar com outras estações depois que você exclui essa VLAN.

Exibir meio visual

3.3.4 Configurar um tronco

Página 1:

Configurar um tronco 802.1Q

Para configurar um tronco em uma porta de switch, use o comando switchport mode tronco. Quando você entra no modo de tronco, a interface muda para o modo de entroncamento permanente e a porta participa de uma negociação DTP para converter o link em um link de tronco mesmo que a interface de conexão não esteja de acordo com

a alteração. Neste curso, você configurará um tronco usando apenas o comando switchport mode tronco. A sintaxe de comando do Cisco IOS para especificar uma VLAN nativa que não seja a VLAN 1 é mostrada na figura. No exemplo, você configura a VLAN 99 como a VLAN nativa.

Clique no botão Topologia na figura.

Você está familiarizado com essa topologia. As VLANs 10, 20 e 30 suportarão os computadores de Funcionários, Aluno e Convidado, PC1, PC2 e PC3. A porta F0/1 no switch S1 será configurada como uma porta de tronco e encaminhará o tráfego para as VLANs 10, 20 e 30. A VLAN 99 será configurada como a VLAN nativa.

Clique no botão Exemplo na figura.

O exemplo configura a porta F0/1 no switch S1 como a porta de tronco. Ele reconfigura a VLAN nativa como sendo a VLAN 99.

Uma discussão sobre DTP e sobre os detalhes de como cada opção do modo de acesso da porta de switch funciona está além do escopo do curso. Para obter detalhes sobre todos os parâmetros associados ao comando de interface switchport mode, visite: http://www.cisco.com/en/US/docs/switches/lan/catalyst2960/software/release/12.2_37_se/command/reference/cli3.html#wp1948171 (em inglês).

Exibir meio visual

Página 2:

Verificar configuração de tronco

A figura exibe a configuração da porta de switch F0/1 no switch S1. O comando usado é show interfaces interface-ID switchport.

A primeira área realçada mostra que a porta F0/1 tem seu modo administrativo definido como Tronco – a porta está no modo de entroncamento. A próxima área realçada

verifica que a VLAN nativa é VLAN 99, a VLAN de gerenciamento. Na parte inferior da saída de dados, a última área realçada mostra que as VLANs com entroncamento habilitado são as VLANs 10, 20 e 30.

Exibir meio visual

Página 3:

Gerenciando uma configuração de tronco

Na figura, os comandos para redefinir as VLANs permitidas e a VLAN nativa do tronco para o estado padrão são mostrados. O comando para redefinir a porta de switch para o modo de acesso e, assim, excluir a configuração tronco também é mostrada.

Clique no botão Exemplo de redefinição na figura.

Na figura, os comandos usados para redefinir todos os recursos de uma interface de entroncamento para as configurações padrão são realçados no mesmo exemplo. O comando show interfaces f0/1 switchport revela que o tronco foi reconfigurado para um estado padrão.

Clique no botão Exemplo de remoção na figura.

Na figura, o exemplo mostra os comandos usados para remover o recurso de tronco da porta de switch F0/1 no switch S1. O comando show interfaces f0/1 switchport revela que a interface F0/1 agora está no modo de acesso estático.

Exibir meio visual

Página 4:

As VLANs são úteis na administração de grupos lógicos, permitindo que os membros de um grupo sejam facilmente movidos, alterados ou adicionados. Esta atividade vai ensinar a criar e nomear VLANs, atribuir portas de acesso a VLANs específicas, alterar a VLAN nativa e configurar links de tronco. São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.



Exibir meio visual

3.4 Solucionando problemas de VLANs e troncos

3.4.1 Problemas comuns com troncos

Página 1:

Problemas comuns com troncos

Neste tópico, você obtém informações sobre problemas comuns de VLAN e de entroncamento normalmente associados a configurações incorretas. Quando você está configurando VLANs e troncos em uma infra-estrutura comutada, esses tipos de erros de configuração são muito comuns na seguinte ordem:

Incompatibilidades de VLAN nativa – As portas de tronco são configuradas com VLANs nativas diferentes, por exemplo, se uma porta definiu VLAN 99 como a VLAN nativa e a outra porta de tronco definiu VLAN 100 como a VLAN nativa. Esse erro de configuração gera notificações da console, faz com que o tráfego de controle e de gerenciamento seja orientado incorretamente e, como você aprendeu, oferece um risco à segurança.

Incompatibilidades do modo de tronco – Uma porta de tronco é configurada com o modo de tronco "desativado" e a outra como "ativado". Esse erro de configuração faz com que o link de tronco deixe de funcionar.

VLANs e sub-redes IP – Os dispositivos de usuário final configurados com endereços IP incorretos não terão conectividade de rede. Cada VLAN é uma sub-rede IP separada logicamente. Os dispositivos devem ser configurados dentro da VLAN com as configurações de IP corretas.

VLANs permitidas em troncos – A lista de VLANs permitidas em um tronco não foi atualizada com os requisitos de entroncamento de VLAN atuais. Nessa situação, tráfego inesperado ou nenhum tráfego está sendo enviado pelo tronco.

Se você detectou algo errado em uma VLAN ou tronco e não sabe qual é o problema, comece usa solução de problemas examinando os troncos em busca de uma

incompatibilidade de VLAN nativa e siga a lista. O restante deste tópico examina como corrigir os problemas comuns com troncos. O próximo tópico apresenta como identificar e resolver VLANs e sub-redes IP configuradas incorretamente.

Exibir meio visual

Página 2:

Incompatibilidades de VLAN nativa

Você é um administrador de rede e recebe uma chamada informando que a pessoa que usa o computador PC4 não consegue se conectar ao servidor Web interno, servidor WEB/TFTP na figura. Você sabe que um novo técnico esteve configurando o switch S3 recentemente. Como o diagrama de topologia parece correto, qual será o problema? Você opta por verificar a configuração em S3.

Clique no botão Configurações na figura.

Assim que você se conecta ao switch S3, a mensagem de erro mostrada na parte superior da área realçada na figura é exibida na sua janela da console. Você observa a interface usando o comando show interfaces f0/3 switchport. Você observe que a VLAN nativa, a segunda área realçada na figura, foi definida como VLAN 100, estando inativa. Como você pode ver mais adiante na saída de dados, as VLANs permitidas são 10 e 99, mostradas na área realçada inferior.

Clique no botão Solução na figura.

Você precisa reconfigurar a VLAN nativa na porta de tronco Fast Ethernet F0/3 para ser a VLAN 99. Na figura, a área realçada superior mostra o comando para configurar a VLAN nativa para ser a VLAN 99. As duas próximas áreas realçadas confirmam que a porta de tronco Fast Ethernet F0/3 tem a VLAN nativa redefinida para VLAN 99.

A saída de dados da tela do computador PC4 mostra que conectividade foi restaurada no servidor WEB/TFTP encontrado no endereço IP 172.17.10.30.

Exibir meio visual

Inconsistências do modo de tronco

Neste curso, você aprendeu que os links de tronco são configurados estaticamente com o comando switchport mode trunk. Você aprendeu que as portas de tronco usam anúncios DTP para negociar o estado do link com a porta remota. Quando uma porta em um link de tronco é configurada com um modo incompatível com a outra porta, um link de tronco não se forma entre os dois switches.

Neste cenário, surge o mesmo problema: a pessoa que usa o computador PC4 não consegue se conectar ao servidor Web interno. Novamente, o diagrama de topologia foi mantido e mostra uma configuração correta. Qual é o problema?


A primeira coisa que você faz é verificar o status das portas de tronco no switch S1 usando o comando show interfaces trunk. Ele revela na figura que não há um tronco na interface F0/3 no switch S1. Você examina a interface F0/3 para saber que a porta de switch está no modo dynamic auto , a primeira área realçada na parte superior da figura. Um exame dos troncos no switch S3 revela que não há nenhuma porta de tronco ativa. Uma verificação adicional revela que a interface F0/3 também está no modo dynamic auto, a primeira área realçada na parte inferior da figura. Agora você sabe por que o tronco está desativado.


Você precisa reconfigurar o modo de tronco das portas Fast Ethernet F0/3 nos switches S1 e S3. No canto superior esquerdo da figura, a área realçada mostra que a porta agora está no modo de entroncamento. A saída de dados no canto superior direito do switch S3 mostra os comandos usados para reconfigurar a porta e os resultados do comando show interfaces trunk, o que revela que a interface F0/3 foi reconfigurada como um tronco. A saída de dados do computador PC4 indica que ele recuperou a conectividade com o servidor WEB/TFTP encontrado no endereço IP 172.17.10.30.

Exibir meio visual

Lista de VLANs incorreta

Você aprendeu que, para o tráfego de uma VLAN ser transmitido por um tronco, deve haver permissão de acesso no tronco. O comando usado para isso é switchport access trunk allowed vlan add vlan-id. Na figura, a VLAN 20 (Aluno) e o computador PC5 foram adicionados à rede. A documentação foi atualizada para mostrar que as VLANs permitidas no tronco são 10, 20 e 99.

Neste cenário, a pessoa que usa o computador PC5 não consegue se conectar ao servidor de email do aluno mostrado na figura.


Verifique as portas de tronco no switch S1 usando o comando show interfaces trunk. O comando revela que a interface F0/3 no switch S3 foi configurada corretamente para permitir as VLANs 10, 20 e 99. Um exame da interface F0/3 no switch S1 revela que as interfaces F0/1 e F0/3 só permitem as VLANs 10 e 99. Parece que alguém atualizou a documentação, mas se esqueceu de reconfigurar as portas no switch S1.


Você precisa reconfigurar as portas F0/1 e F0/3 no switch S1 usando o comando switchport trunk allowed vlan 10,20,99. A saída de dados na parte superior da tela mostra que as VLANs 10, 20 e 99 agora são adicionadas às portas F0/1 e F0/3 no switch S1. O comando show interfaces trunk é uma ferramenta excelente para revelar problemas de entroncamento comuns. A figura inferior indica que PC5 recuperou a conectividade com o servidor de email do aluno encontrado no endereço IP 172.17.20.10.

Exibir meio visual

3.4.2 Problemas comuns em configurações de VLAN

VLAN e sub-redes IP

Como você aprendeu, cada VLAN deve corresponder a uma sub-rede IP exclusiva. Se dois dispositivos na mesma VLAN tiverem endereços de sub-rede diferentes, eles não poderão se comunicar. Esse tipo de configuração incorreta é um problema comum, sendo fácil de resolver, identificando o dispositivo afetado e alterando o endereço de sub-rede para o correto.

Neste cenário, a pessoa que usa o computador PC1 não consegue se conectar ao servidor WEB/TFTP mostrado na figura.


Na figura, uma verificação das definições de configuração IP de PC1 revela o erro mais comum na configuração de VLANs: um endereço IP configurado incorretamente. O computador PC1 é configurado com um endereço IP 172.172.10.21, mas deveria ter sido configurado com 172.17.10.21.


A captura de tela da caixa de diálogo da configuração Fast Ethernet de PC1 mostra o endereço IP atualizado 172.17.10.21. A captura de tela na parte inferior revela que PC1 recuperou a conectividade com o servidor WEB/TFTP encontrado no endereço IP 172.17.10.30.

Exibir meio visual

Página 2:

Nesta atividade, você irá solucionar problemas de conectividade entre PCs na mesma VLAN. A atividade será concluída quando você atingir 100% e os PCs puderem executar ping para os outros PCs da mesma VLAN. Qualquer solução implementada

deve estar de acordo com o diagrama de topologia. São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.



Exibir meio visual


3.5.1 Configuração de VLAN básica

Página 1:

Em uma rede, é essencial ser capaz de limitar os efeitos dos broadcasts. Uma forma de fazer isso é dividindo uma grande rede física em várias redes virtuais ou lógicas menores. Essa é uma das metas das VLANs. Este laboratório ensinará os fundamentos da configuração de VLANs.

Exibir meio visual

Página 2:

Esta atividade é uma variação do laboratório 3.5.1. O Packet Tracer pode não suportar todas as tarefas especificadas no laboratório prático. Esta atividade não deve ser considerada equivalente à conclusão do laboratório prático. O Packet Tracer não é um substituto para um exercício prático com equipamento real. São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.



Exibir meio visual

3.5.2 Configuração de VLAN avançada

Página 1:

Tendo configurado as VLANs no laboratório básico, este laboratório verificará o quanto você aprendeu. Tente fazer o máximo possível sem consultar o laboratório Básico. Quando você concluir o máximo possível do laboratório sem ajuda, verifique o seu trabalho usando a resposta que o seu instrutor fornecerá.

Exibir meio visual

Página 2:

Esta atividade é uma variação do laboratório 3.5.2. O Packet Tracer pode não suportar todas as tarefas especificadas no laboratório prático. Esta atividade não deve ser considerada equivalente à conclusão do laboratório prático. O Packet Tracer não substitui um experimento em laboratório prático com equipamento real. São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.



Exibir meio visual

3.5.3 Identificação e solução de problemas de configurações de VLAN

Página 1:

Neste laboratório, você irá praticar a solução de problemas em um ambiente de VLAN configurado incorretamente. Carregue ou peça ao instrutor para carregar as configurações abaixo em sua estrutura de laboratório. Seu objetivo é localizar e corrigir todos os erros nas configurações e estabelecer a conectividade fim-a-fim. Sua configuração final deve corresponder ao diagrama de topologia e à tabela de endereçamento.

Exibir meio visual

Página 2:

Nesta atividade, você irá praticar a solução de problemas em um ambiente de VLAN configurado incorretamente. A rede inicial contém erros. Seu objetivo é localizar e corrigir todos os erros nas configurações e estabelecer a conectividade fim-a-fim. Sua configuração final deve corresponder ao diagrama de topologia e à tabela de endereçamento. São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.



Exibir meio visual



Página 1:

Neste capítulo, apresentamos as VLANs. As VLANs são usadas para segmentar domínios de broadcast em uma rede local comutada. Isso melhora o desempenho e a gerenciabilidade das redes locais. As VLANs dão aos administradores de rede um controle flexível sobre o tráfego associado aos dispositivos na rede local.

Há vários tipos de VLANs: padrão, de gerenciamento, nativas, de usuário/dados e de voz.

Os troncos de VLAN facilitam a comunicação entre switches com várias VLANs. A marcação do quadro IEEE 802.1Q possibilita uma diferenciação entre os quadros Ethernet associados com VLANs distintas quando eles passam por links de tronco comuns.

Abordamos a configuração, a verificação e a solução de problemas das VLANs e dos troncos que usam a CLI do Cisco IOS.

Exibir meio visual

Exibir meio visual

Página 3:

Nesta atividade, você irá conectar e configurar completamente a topologia do Capítulo 3, incluindo adicionar e conectar dispositivos, além de configurar a segurança e as VLANs. São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.



Exibir meio visual


3.7.1 Teste do capítulo

Página 1:

Exibir meio visualCCNA Exploration - Comutação de rede local e sem fio

4 VTP

4.0 Introdução

4.0.1 Introdução

Página 1:

Conforme cresce o tamanho da rede para um negócio de pequeno ou médio porte, cresce o gerenciamento envolvido na manutenção da rede. No capítulo anterior, você aprendeu a criar e gerenciar VLANs e troncos utilizando os comandos do Cisco IOS. O foco estava no gerenciamento de informações de VLAN em um único switch. Mas e se você tiver muitos switches para gerenciar? Como você gerenciará o banco de dados de VLAN distribuído em muitos switches? Neste capítulo, você aprenderá a utilizar o

Protocolo de entroncamento de VLAN (VTP, VLAN Trunking Protocol) dos switches Cisco Catalyst para simplificar o gerenciamento do banco de dados de VLAN em diversos switches.

Exibir meio visual

4.1 Conceitos de VTP

4.1.1 O que é VTP?

Página 1:

O desafio do gerenciamento de VLANs

Conforme cresce o número de switches em uma rede de negócios de pequeno ou médio porte, fica mais difícil gerenciar VLANs e links tronco em uma rede.

Clique em Reproduzir para exibir a animação do desafio do gerenciamento de VLAN.

Gerenciamento de VLAN em uma rede pequena

Na animação, a figura mostra um gerente de rede adicionando uma nova VLAN, a VLAN30. O gerente de rede precisa atualizar os três links tronco para permitir as VLANs 10, 20, 30 e 99. Lembre-se de que é um erro comum esquecer de atualizar a lista permitida de VLANS em links tronco.

Clique no botão Rede maior na figura.

Gerenciamento de VLAN de rede maior

Quando você pensar na rede maior na figura, o desafio do gerenciamento de VLAN torna-se claro. Depois que você atualizar esta rede manualmente algumas vezes, pode ser que você deseje saber se há uma maneira para que os switches saibam quais são a

VLAN e links tronco, de modo que você não precise configurá-los manualmente. Você está pronto para aprender sobre o protocolo de entroncamento de VLAN (VTP).

Exibir meio visual

Página 2:

O que é VTP?

O VTP permite que um gerente de rede configure um switch de forma que ele propague as configurações de VLAN a outros switches na rede. O switch pode ser configurado na função de um servidor VTP ou de um cliente VTP. O VTP somente obtém informações sobre VLANs de intervalo normal (IDs de VLAN de 1 a 1005). VLANs de intervalos estendidos (IDs maiores que 1005) não são suportadas pelo VTP.

Clique em Reproduzir na figura para exibir uma animação de uma visão geral de como o VTP funciona.

Visão geral do VTP

O VTP permite que um gerente de rede faça alterações em um switch que está configurado como um servidor VTP. Basicamente, o servidor VTP distribui e sincroniza as informações de VLAN para switches habilitados para VTP em toda a rede comutada, o que diminui os problemas causados por configurações incorretas e inconsistências de configuração. O VTP armazena as configurações de VLAN no banco de dados de VLAN, chamado vlan.dat.

Clique no botão Dois switches na figura.

Dois switches

Clique em Reproduzir na figura para exibir uma animação sobre a interação básica do VTP entre um servidor VTP e um cliente VTP.

Na figura, um link tronco é adicionado entre o switch S1, um servidor VTP, e S2, um cliente VTP. Depois que um tronco é estabelecido entre os dois switches, são trocados anúncios VTP entre eles. O servidor e o cliente aproveitam os anúncios um do outro para assegurar que cada um tenha um registro preciso das informações de VLAN. Não serão trocados anúncios VTP se o link tronco entre os switches estiver inativo. Os detalhes sobre como o VTP funciona são explicados no restante deste capítulo.

Exibir meio visual

Página 3:

Benefícios do VTP

Você aprendeu que o VTP mantém a consistência de configuração de VLAN gerenciando a adição, a exclusão e a renomeação das VLANs em diversos switches Cisco em uma rede. O VTP oferece muitos benefícios para gerentes de rede, como mostrado na figura.

Exibir meio visual

Página 4:

Componentes do VTP

Existem alguns componentes principais que você já deve conhecer para poder aprender sobre o VTP. Aqui está uma breve descrição dos componentes, que serão explicados mais adiante conforme você avança pelo capítulo.

Domínio de VTP - Consiste em um ou mais switches interconectados. Todos os switches em um domínio compartilham os detalhes de configuração de VLAN utilizando anúncios VTP. Um roteador ou um switch de Camada 3 define o limite de cada domínio.

Anúncios de VTP - O VTP utiliza uma hierarquia de anúncios para distribuir e sincronizar configurações de VLAN pela rede.

Modos de VTP - Um switch pode ser configurado de três modos: servidor, cliente ou transparente.

Servidor de VTP - Os servidores VTP anunciam as informações de VLAN do domínio VTP para outros switches habilitados para VTP nesse mesmo domínio.

Os servidores de VTP armazenam as informações de VLAN para o todo o domínio em NVRAM (Non-Volatile RAM, RAM não-volátil). O servidor é onde as VLANs podem ser criadas, excluídas ou renomeadas para o domínio.

Cliente de VTP - Os clientes VTP funcionam do mesmo modo que os servidores VTP, mas você não pode criar, alterar ou excluir as VLANs em um cliente VTP. Um cliente VTP somente armazena as informações de VLAN para o todo o domínio enquanto o switch estiver ativo. Caso um switch seja resetado serão excluídas as informações de VLAN. Você deve configurar o modo cliente do VTP em um switch.

VTP Transparente - Switches no modo transparente encaminham anúncios VTP para clientes VTP e servidores VTP. Switches no modo transparente não participam do VTP. As VLANs que são criadas, renomeadas ou excluídas em switches no modo transparente são tem efeito somente para este switch.

Corte de VTP - O corte de VTP aumenta a largura de banda disponível na rede restringindo o tráfego inundado aos links tronco que o tráfego deve utilizar para alcançar os dispositivos de destino. Sem o corte de VTP, um switch inunda o tráfego de broadcast, multicast e unicast desconhecido para todos os links tronco dentro de um domínio VTP mesmo que os switches de recebimento o descartem.

Passe o mouse sobre os principais componentes do VTP na figura para ver onde eles estão na rede.

Exibir meio visual


4.2 Operação de VTP

4.2.1 Configuração padrão de VTP

Página 1:

No CCNA Exploration: Fundamentos de rede, você aprendeu que um switch Cisco vem de fábrica com configurações padrão. As configurações padrão do VTP são mostradas na figura. A vantagem do VTP é que ele distribui e sincroniza automaticamente o domínio e as configurações de VLAN em toda a rede. Porém, esta vantagem traz um custo: você só pode adicionar switches que estão em sua configuração VTP padrão. Se você adicionar um switch habilitado para VTP que está definido com configurações que substituem as configurações existentes do VTP da rede, as mudanças difíceis de corrigir serão propagadas automaticamente ao longo da rede. Sendo assim, só adicione switches que estão em sua configuração VTP padrão. Você aprenderá a adicionar switches a uma rede VTP posteriormente neste capítulo.

Versões do VTP

O VTP possui três versões: 1, 2 e 3. Somente uma versão do VTP é permitida em um domínio VTP. O padrão é o VTP versão 1. Um switch Cisco 2960 suporta o VTP versão 2, mas está desabilitado. Uma discussão sobre as versões do VTP está além do escopo deste curso.

Clique no botão de Saída do comando do switch na figura para ver as configurações padrão do VTP no switch S1.

Exibindo o status do VTP

A figura mostra como exibir as configurações do VTP para um switch Cisco 2960, S1. O comando do Cisco IOS show VTP status exibe o status do VTP. A saída do comando mostra que o switch S1 está, por padrão, no modo de servidor VTP e que não há nenhum nome de domínio VTP atribuído. A saída do comando também mostra que a versão máxima do VTP disponível para o switch é a versão 2, e que o VTP versão 2 está desabilitado. Você utilizará o comando show VTP status freqüentemente ao configurar e gerenciar o VTP em uma rede. A seguir, veja uma breve descrição dos parâmetros do comando show VTP status:

Versão do VTP - Exibe a versão do VTP que o switch é capaz de executar. Por padrão, o switch implementa a versão 1, mas pode ser definido para a versão 2.

Revisão de configuração - Número de revisão de configuração atual neste switch. Você obterá mais informações sobre números de revisão neste capítulo.

Máximo de VLANs localmente suportadas - Número máximo de VLANs suportadas localmente.

Número de VLANs existentes - Número de VLANs existentes. Modo de operação do VTP - Pode ser servidor, cliente ou transparente. Nome de domínio VTP - Nome que identifica o domínio administrativo para o

switch. Modo de corte do VTP - Exibe se o corte está habilitado ou desabilitado. Modo VTP V2- Exibe se o modo VTP versão 2 está habilitado. VTP versão 2

vem desabilitado por padrão. Geração de interceptações do VTP - Exibe se são enviadas interceptações do

VTP a uma estação de gerenciamento de rede. MD5 Digest - Uma soma de verificação de 16 bytes da configuração do VTP.

Última configuração modificada - Data e hora da última modificação à configuração. Exibe o endereço IP do switch que causou a alteração de configuração ao banco de dados.

Exibir meio visual

4.2.2 Domínios de VTP

Página 1:

Domínios VTP

O VTP permite que você separe sua rede em domínios de gerenciamento menores para ajudar a reduzir o gerenciamento de VLAN. Um benefício adicional de configurar os domínios VTP é que isto limita a extensão em que as mudanças de configuração são propagadas na rede se um erro ocorrer. A figura mostra uma rede com dois domínios VTP: cisco2 e cisco3. Neste capítulo, os três switches, S1, S2 e S3, serão configurados para VTP.

Um domínio VTP consiste em um switch ou diversos switches interconectados que compartilham o mesmo nome de domínio VTP. Posteriormente neste capítulo, você aprenderá como os switches habilitados para VTP adquirem um nome de domínio comum. Um switch pode ser membro de somente um domínio VTP por vez. Até que o nome de domínio VTP seja especificado, você não poderá criar ou modificar as VLANs em um servidor VTP, e as informações de VLAN não serão propagadas pela rede.

Clique no botão de Saída do comando do switch na figura para ver a saída do comando do S4.

Exibir meio visual

Página 2:

Propagação do nome de domínio de VTP

Para que um switch no modo servidor ou cliente VTP participe de uma rede habilitada para VTP, ele deve fazer parte do mesmo domínio. Quando os switches estão em domínios VTP diferentes, eles não trocam mensagens VTP. Um servidor VTP propaga

o nome de domínio VTP a todos os switches para você. A propagação de nome de domínio utiliza três componentes do VTP: servidores, clientes e anúncios.

Clique em Reproduzir na figura para ver como um servidor VTP propaga o nome de domínio VTP em uma rede.

A rede na figura mostra três switches, S1, S2 e S3, em sua configuração VTP padrão. Eles estão configurados como servidores VTP. Os nomes de domínio VTP não foram configurados em nenhum dos switches.

O gerente de rede configura o nome de domínio VTP como cisco1 no switch S1 do servidor VTP. O servidor VTP envia um anúncio VTP com o novo nome de domínio incorporado. Os switches do servidor VTP, S2 e S3, atualizam sua configuração VTP para o novo nome de domínio.

Nota: A Cisco recomenda que o acesso para as funções de configuração de nome de domínio seja protegido por senha. Os detalhes da configuração de senha serão apresentados posteriormente no curso.

Como o nome de domínio é colocado em um anúncio VTP? Quais informações são trocadas entre os switches habilitados para VTP? No próximo tópico, você aprenderá sobre os detalhes de anúncios VTP e encontrará as respostas a estas perguntas.

Exibir meio visual

4.2.3 Envio de anúncios de VTP

Página 1:

Estrutura de quadros de VTP

Os anúncios (ou mensagens) VTP distribuem o nome de domínio VTP e alterações de configuração de VLAN para switches habilitados para VTP. Neste tópico, você obterá informações sobre a estrutura de quadros do VTP e como os três tipos de anúncios permitem que o VTP distribua e sincronize as configurações de VLAN ao longo da rede.

Clique no botão Visão geral na figura e clique em Reproduzir para exibir uma animação sobre a estrutura de um quadro VTP.

Encapsulamento de quadro de VTP

Um quadro VTP consiste em um campo de cabeçalho e um campo de mensagem. As informações do VTP são inseridas no campo de dados de um quadro Ethernet. O quadro Ethernet é, então, encapsulado como um quadro de tronco 802.1Q (ou quadro ISL). Cada switch no domínio envia anúncios periódicos para cada porta do tronco para um endereço multicast reservado. Estes anúncios são recebidos por switches vizinhos que atualizam suas configurações VTP e VLAN, conforme o necessário.

Clique no botão Detalhes do quadro de VTP na figura.

Detalhes do quadro de VTP

Na figura, você pode ver a estrutura do quadro VTP de forma mais detalhada. Lembre-se que um quadro VTP encapsulado como um quadro 802.1Q não é estático. O conteúdo da mensagem VTP determina quais campos estão presentes. O switch de recebimento habilitado para VTP procura campos e valores específicos no quadro 802.1Q para saber o que processar. Os campos principais a seguir estão presentes quando um quadro VTP é encapsulado como um quadro 802.1Q:

Endereço MAC de destino- Este endereço é definido como 01-00-0C-CC-CC-CC, que é o endereço multicast reservado para todas as mensagens VTP.

Campo LLC- O campo controle de enlace lógico (LLC) contém o ponto de acesso ao serviço de destino (DSAP, destination service access point) e um ponto de acesso ao serviço de origem (SSAP, source service access point) definidos ao valor de AA.

Campo SNAP - O campo Protocolo de acesso de sub-rede (SNAP, Subnetwork Access Protocol) possui um OUI definido como AAAA e tipo definido como 2003.

Campo de cabeçalho de VTP - O conteúdo varia, dependendo do resumo de tipo, sub-conjunto ou solicitação da mensagem VTP, mas sempre contém estes campos VTP:

Nome de domínio - Identifica o domínio administrativo para o switch. Tamanho do nome de domínio - Tamanho do nome de domínio. Versão - Definido como VTP 1, VTP 2 ou VTP 3. O switch Cisco 2960 suporta

somente VTP 1 e VTP 2. Número de revisão de configuração - O número de revisão de configuração

atual neste switch.

Campo de mensagem de VTP - Varia dependendo do tipo de mensagem.

Clique no botão Conteúdo da mensagem de VTP na figura.

Conteúdo da mensagem de VTP

Os quadros VTP contêm as seguintes informações do domínio global de tamanho fixo:

nome de domínio VTP Identidade do switch que envia a mensagem e a hora em que ela foi enviada Configuração de VLAN de MD5 digest, incluindo a unidade máxima de

transmissão (MTU) para cada VLAN Formato de quadro: ISL ou 802.1Q

Os quadros VTP contêm as seguintes informações para cada VLAN configurada:

IDs de VLAN (IEEE 802.1Q) Nome da VLAN Tipo da VLAN Estado da VLAN Informações de configuração de VLAN adicionais específicas para o tipo de

VLAN

Nota: Um quadro VTP é encapsulado em um quadro Ethernet 802.1Q. O quadro Ethernet 802.1Q inteiro é o anúncio VTP geralmente chamado de mensagem VTP. O termos quadro, anúncio e mensagem são geralmente utilizados de forma intercambiável.

Exibir meio visual

Página 2:

Número de revisão de VTP

O número de revisão de configuração é um número de 32 bits que indica o nível de revisão para um quadro VTP. O número de configuração padrão para um switch é zero. Cada vez que uma VLAN é adicionada ou removida, aumenta o número de revisão de configuração. Cada dispositivo VTP monitora o número de revisão de configuração do VTP que é definido para ele.

Nota: Uma alteração do nome de domínio VTP não aumenta o número de revisão. Ao contrário, ela redefine o número de revisão para zero.

O número de revisão de configuração determina se as informações de configuração recebidas de outro switch habilitado para VTP é mais recente do que a versão armazenada no switch. A figura mostra um gerente de rede adicionando três VLANs para o switch S1.

Clique no botão de Saída do comando do switch na figura para ver como o número de revisão foi alterado.

A área destacada mostra que o número de revisão no switch S1 é 3, o número de VLANs deve ser até oito, porque foram acrescentadas três VLANs às cinco VLANs padrão.

O número de revisão desempenha uma função importante e complexa ao permitir que o VTP distribua e sincronize o domínio VTP e informações de configuração de VLAN. Para compreender o que o número de revisão faz, você precisa aprender primeiro sobre os três tipos de anúncios e os três modos do VTP.

Exibir meio visual

Página 3:

Anúncios de VTP

Anúncios sumarizados

O anúncio de sumarização contém o nome de domínio VTP, o número de revisão atual e outros detalhes de configuração do VTP.

São enviados anúncios de sumarização:

A cada 5 minutos por um servidor ou cliente VTP para informar switches habilitados por VTP vizinhos do número de revisão de configuração do VTP atual para seu domínio VTP

Imediatamente após uma configuração ser feita

Clique no botão Resumo na figura e, em seguida, clique em Reproduzir para exibir uma animação sobre os anúncios sumarizados do VTP.

Anúncios de subconjunto

Um anúncio de subconjunto contém as informações de VLAN. As alterações que disparam o anúncio do subconjunto incluem:

Criação ou exclusão de uma VLAN Suspensão ou ativação de uma VLAN Alteração do nome de uma VLAN Alteração do MTU de uma VLAN

Podem ser necessários vários anúncios de subconjunto para atualizar as informações de VLAN completamente.

Clique no botão Subconjunto na figura e, em seguida, clique em Reproduzir para exibir uma animação sobre os anúncios de subconjunto do VTP.

Anúncios de solicitação

Quando um anúncio de solicitação é enviado a um servidor VTP no mesmo domínio VTP, o servidor VTP responde enviando um anúncio de sumarização e, em seguida, um anúncio de subconjunto.

Os anúncios de solicitação são enviados se:

O nome de domínio VTP foi alterado O switch recebe um anúncio de sumarização com um número de revisão de

configuração mais alto do que seu próprio número Uma mensagem de anúncio de subconjunto é perdido por alguma razão O switch foi reiniciado

Clique no botão Solicitação na figura e então clique em Reproduzir para exibir uma animação sobre os anúncios de solicitação do VTP.

Exibir meio visual

Página 4:

Detalhes dos anúncios de VTP

O VTP utiliza anúncios para distribuir e sincronizar as informações sobre domínios e configurações de VLAN. Existem três anúncios VTP principais.

Cada tipo de anúncio VTP envia informações sobre diversos parâmetros utilizados pelo VTP. Uma descrição dos campos em cada um dos anúncios VTP é apresentada.

Clique no botão Detalhes da sumarização na figura.

Anúncios sumarizados

Os anúncios sumarizados compreendem a maioria do tráfego de anúncio VTP. Passe o mouse sobre os campos no anúncio de sumarização para exibir as descrições.

Passe o mouse sobre os campos no anúncio de sumarização para exibir as descrições.

Clique no botão Detalhes do subconjunto na figura.

Anúncios de subconjunto

Os campos encontrados em um anúncio de subconjunto são descritos brevemente. Não são descritos os campos nas informações de VLAN.

Passe o mouse sobre os campos no anúncio de subconjunto para exibir as descrições.

Clique no botão Detalhes da solicitação na figura.

Anúncios de Solicitação

Os campos encontrados em um anúncio de solicitação são descritos brevemente.

Passe o mouse sobre os campos no anúncio de solicitação para exibir as descrições.

Exibir meio visual

4.2.4 Modos de VTP

Página 1:

Visão geral dos modos de VTP

Um switch da Cisco, configurado com o software IOS Cisco, pode ser configurado nos modos servidor, cliente ou transparente. Estes modos diferem em como eles são utilizados para gerenciar e anunciar domínios VTP e VLANs.

Modo servidor

No modo servidor, você pode criar, modificar e excluir VLANs para todo o domínio VTP. O modo servidor do VTP é o modo padrão para um switch Cisco. Os servidores VTP anunciam suas configurações de VLAN a outros switches no mesmo domínio VTP e sincronizam suas configurações de VLAN com outros switches com base nos anúncios recebidos sobre links tronco. Os servidores VTP mantêm o monitoramento das atualizações através de um número de revisão de configuração. Outros switches no mesmo domínio VTP comparam seus números de revisão de configuração com o número de revisão recebido de um servidor VTP para ver se eles precisam sincronizar seus banco de dados de VLAN.

Modo cliente

Se um switch estiver no modo cliente, você não poderá criar, alterar ou excluir as VLANs. Além disso, as informações de configuração de VLAN que um switch cliente VTP recebe de um switch servidor VTP são armazenadas em um banco de dados de VLAN, não em NVRAM. Conseqüentemente, os clientes VTP exigem menos memória do que os servidores VTP. Quando um cliente VTP é desligado e reiniciado, ele envia um anúncio de solicitação a um servidor VTP para obter informações de configuração de VLAN atualizadas.

Os switches configurados como clientes VTP são encontrados com mais freqüência em redes maiores, porque em uma rede com centenas de switches é mais difícil coordenar melhorias de rede. É freqüente haver muitos administradores de rede trabalhando em diferentes horas do dia. Ter apenas alguns switches que sejam fisicamente capazes de manter as configurações de VLAN facilita o controle das atualizações de VLAN e ajuda a monitorar quais administradores de rede as executaram.

Para redes grandes, ter switches no modo cliente é também mais econômico. Por padrão, todos os switches são configurados como servidores VTP. Esta configuração é adequada para redes menores nas quais o tamanho das informações de VLAN é pequeno e as informações são armazenadas facilmente em NVRAM nos switches. Em uma rede grande com centenas de switches, o administrador de rede deve decidir se o custo de comprar switches com NVRAM suficiente para armazenar as informações de VLAN duplicadas é muito alto. Um administrador de rede com consciência de custo pode escolher configurar alguns poucos switches bem equipados como servidores VTP, usando, então, switches com menos memória como clientes VTP. Embora uma discussão de redundância de rede esteja além do escopo deste curso, saiba que o número de servidores VTP deve ser escolhido com o intuito de fornecer o grau de redundância desejada na rede.

Modo transparente

Os switches configurados em modo transparente encaminham anúncios VTP que eles recebem em portas tronco para outros switches na rede. Os switches do modo transparente do VTP não anunciam suas configurações de VLAN e não sincronizam suas configurações de VLAN com qualquer outro switch. Configure um switch em modo transparente do VTP quando você tiver configurações de VLAN que possuem importância local e não devem ser compartilhadas com o resto da rede.

No modo transparente, as configurações de VLAN são salvas em NVRAM (mas não anunciadas a outros switches), assim a configuração fica disponível após uma reinicialização do switch. Isto significa que, quando um switch em modo transparente do VTP é reiniciado, ele não é revertido para um modo servidor do VTP padrão, mas permanece em modo transparente do VTP.

Exibir meio visual

Página 2:

VTP em ação

Você verá agora como os diversos recursos do VTP se reúnem para distribuir e sincronizar as configurações de domínio e de VLAN em uma rede habilitada por VTP. A animação é iniciada com três novos switches, S1, S2 e S3, com suas configurações padrão de fábrica, e termina com os três switches configurados e participando de uma rede habilitada por VTP.

Você pode pausar e retroceder a animação para pensar sobre este processo e revisá-lo.

Exibir meio visual

Página 3:

Você viu como o VTP funciona com três switches. Esta animação examina mais detalhadamente como um switch configurado em modo transparente do VTP suporta a funcionalidade de VTP.

Clique no botão Reproduzir na figura.

Você pode pausar e retroceder a animação para pensar sobre este processo e revisá-lo.

Exibir meio visual

4.2.5 Corte de VTP

Página 1:

O corte de VTP evita a inundação desnecessária de informações de broadcast de uma VLAN por todos os troncos em um domínio VTP. Ele permite que os switches negociem quais VLANs são atribuídas às portas na outra extremidade de um tronco e, conseqüentemente, corta as VLANs que não estão atribuídas a portas no switch remoto. O corte está, por padrão, desabilitado. O corte de VTP é habilitado utilizando o comando de configuração global vtp pruning. Só é necessário habilitar o corte em um único switch servidor VTP no domínio. Na figura, você habilitaria o corte de VTP no switch S1. A figura mostra uma rede com a VLAN 10 e VLAN 20 configuradas. O switch S3 tem a VLAN 20 configurada e o switch S2 tem a VLAN 10 e VLAN 20 configuradas. Examine a topologia na figura e, em seguida, clique para ver as configurações do switch.

Exibir meio visual

Página 2:

Corte de VTP em ação

Lembre-se de que uma VLAN cria um domínio de broadcast isolado. Um switch inunda o tráfego de broadcast, multicast e unicast desconhecido por todos os links tronco dentro de um domínio VTP. Quando um computador ou dispositivo é transmitido em uma VLAN, por exemplo a VLAN 10 na figura, o tráfego de broadcast viaja por todos os links tronco ao longo da rede para todas as portas em todos os switches na VLAN 10. Na figura, os switches S1, S2 e S3 recebem os quadros de broadcast do computador PC1. O tráfego de broadcast do PC1 consome a largura de banda no link tronco entre os 3 switches e consome o tempo do processador nos 3 switches. O link entre os switches S1 e S3 não carrega nenhum tráfego de VLAN 10, então ele é um candidato para o corte de VTP.

Clique no botão Reproduzir na figura para ver o que acontece com o tráfego de inundação de VLAN em uma rede sem corte de VTP.

Corte de VTP

Clique no botão Corte de VTP e clique em Reproduzir para ver uma animação sobre o que acontece com o tráfego de inundação de VLAN em uma rede com corte de VTP.

O tráfego de inundação é impedido de entrar no tronco que conecta os switches S1 e S2. O corte de VTP somente corta a porta de egresso F0/1 no switch S2.

Exibir meio visual

Página 3:

Corte de VTP habilitado

A figura mostra uma topologia de rede que possui os switches S1, S2 e S3 configurados com corte de VTP. Quando o corte de VTP estiver habilitado em uma rede, ele reconfigurará os links tronco com base em quais portas estão configuradas com quais VLANs.

Clique no botão Switch S1 na figura.

A área destacada mostra que o tronco na porta F0/1 permite o tráfego de VLAN 10. O corte de VTP somente corta a porta de egresso.

Clique no botão Switch S2 na figura.

A área destacada mostra que o tronco na porta F0/1 não permite o tráfego da VLAN 10. A VLAN 10 não é listada. Para obter mais detalhes sobre o corte de VTP, visite: http://www.cisco.com/univercd/cc/td/doc/product/lan/cat5000/rel_4_2/config/vlans.htm#xtocid798016 (em inglês).

Exibir meio visual


4.3 Configurar o VTP

4.3.1 Configurando o VTP

Página 1:

Diretrizes de configuração do VTP

Agora que você já conhece a funcionalidade do VTP, você está pronto para aprender a configurar um switch Cisco Catalyst para utilizar o VTP. A topologia mostra a topologia de referência para este capítulo. O VTP será configurado nesta topologia.

Clique no botão Tabela na figura.

Switches do servidor VTP

Siga estas etapas e diretrizes associadas para garantir o sucesso da sua configuração do VTP:

Confirme se todos os switches que você vai configurar foram definidos com suas configurações padrão.

Sempre redefina o número de revisão de configuração antes de instalar um switch previamente configurado em um domínio VTP. Se você não conseguir redefinir o número de revisão de configuração, poderá haver interrupção na configuração de VLAN no restante dos switches no domínio VTP.

Configure pelo menos dois switches como servidor VTP em sua rede. Como somente os switches no modo servidor podem criar, excluir e modificar as VLANs, você deve garantir que tenha um servidor VTP de backup no caso de o servidor VTP primário ser desabilitado. Se todos os switches na rede forem configurados no modo cliente do VTP, você não poderá criar novas VLANs na rede.

Configure um domínio VTP no servidor VTP. Configurar o domínio VTP no primeiro switch permite que o VTP comece a enviar anúncios das informações de VLAN. Outros switches conectados por links tronco recebem as informações do domínio VTP automaticamente através dos anúncios VTP.

Se houver um domínio VTP existente, verifique se você fez a correspondência exata do nome. Os nomes de domínio de VLAN diferenciam maiúsculas e minúsculas.

Se você estiver configurando uma senha de VTP, defina a mesma senha em todos os switches no domínio que precisam ser capazes de trocar informações VTP. Os switches sem uma senha ou com a senha incorreta rejeitam os anúncios VTP.

Certifique-se de que todos os switches estejam configurados para utilizar a mesma versão do protocolo VTP. A versão 1 do VTP não é compatível com a versão 2 do VTP. Por padrão, os switches Cisco Catalyst 2960 executam a versão 1, mas são capazes de executar a versão 2. Quando a versão do VTP estiver definida como a versão 2, todos os switches habilitados para a versão 2 no domínio serão auto-configurados para utilizar a versão 2 através do processo de anúncio VTP. Os switches que estiverem habilitados somente para a versão 1 não poderão participar do domínio VTP a partir daquele ponto.

Crie a VLAN depois de habilitar o VTP no servidor VTP. As VLANs criadas antes da habilitação do VTP são removidas. Certifique-se sempre de que as portas do tronco sejam configuradas para interconectar os switches em um domínio VTP. As informações do VTP são trocadas somente nas portas tronco.

Switches de cliente VTP

Assim como no switch servidor VTP, confirme se as configurações padrão estão presentes.

Configure o modo cliente do VTP. Lembre-se de que o switch não está em modo cliente VTP por padrão. Você tem que configurar este modo.

Configure os troncos. O VTP funciona através dos links tronco. Conecte-se a um servidor VTP. Quando você se conectar a um servidor VTP ou

a outro switch habilitado para VTP, aguarde alguns instantes para que os diversos anúncios façam os trajetos de ida e volta para o servidor VTP.

Verifique o status do VTP. Antes de começar a configurar as portas de acesso, confirme se o modo e o número de revisão das VLANs foram atualizados.

Configure as portas de acesso. Quando um switch estiver no modo cliente VTP, você não poderá adicionar novas VLANs. Você só pode atribuir portas de acesso a VLANs existentes.

Exibir meio visual

Página 2:

Configurando o VTP Etapa 1 - Configurar o servidor VTP

Os próximos três tópicos mostrarão como configurar um servidor e dois clientes VTP. No início, nenhum dos dispositivos está conectado.

A topologia destaca o switch S1. Você irá configurar este switch como um servidor VTP. São fornecidos os comandos para configurar as portas tronco para a interface F0/1.

Clique no botão Confirmar detalhes na figura.

A saída do comando show vtp status confirma se o switch é, por padrão, um servidor VTP. Considerando que nenhuma VLAN foi configurada ainda, o número de revisão ainda está definido em 0 e o switch não pertence ao domínio VTP.

Se o switch ainda não foi configurado como um servidor VTP, você deve configurá-lo utilizando o comando vtp mode {server}.

Clique no botão Configurar nome de domínio na figura.

O nome de domínio é configurado com o uso do comando vtp domain domain-name. Na figura, o switch S1 foi configurado com o nome de domínio cisco1.

Por razões de segurança, uma senha pode ser configurada com o uso do comando vtp password password.

Clique no botão Configurar versão na figura.

A maioria dos switches pode suportar as versões 1 e 2 do VTP. Porém, a configuração padrão para os switches Catalyst 2960 é a versão 1. Quando o comando vtp version 1 é digitado no switch, ele nos informa que o switch já está configurado para a versão 1.

Clique no botão Adicionar VLANs e Troncos na figura.

Suponha que três VLANs foram configuradas e receberam nomes de VLANs. A saída do comando na figura está exibindo o resultado destas alterações.

Você pode utilizar a versão no dos comandos.

Exibir meio visual

Página 3:

A topologia destaca os switches S2 e S3. Você verá a configuração de cliente VTP para S2. Para configurar S3 como um cliente VTP, você seguirá o mesmo procedimento.

Clique no botão Confirmar padrões para verificar o status do switch.

Antes de configurar um switch como um cliente VTP, verifique o status atual do VTP . Após confirmar o status, você configurará o switch para operar no modo cliente VTP.

Clique no botão Habilitar modo cliente VTP para ver como configurar um switch para o modo cliente VTP.

Configure o modo cliente VTP utilizando a seguinte sintaxe de comando do Cisco IOS:

Entre no modo de configuração global com o comando configure terminal.

Configure o switch no modo cliente com o comando vtp mode {client}.

Se você precisar redefinir a configuração do VTP para os valores padrão, poderá utilizar a versão no dos comandos.

Clique no botão Verificar status do VTP para ver o resto da configuração de cliente VTP.

Exibir meio visual

Página 4:

Configurando o VTP Etapa 3 - Confirmar e conectar

Após configurar o servidor VTP principal e os clientes VTP, você conectará o switch S2 que é um cliente VTP ao servidor VTP que é o switch S1.

A topologia destaca os troncos que serão adicionados a esta topologia. Na figura, o switch S2 será conectado ao switch S1. Em seguida, o switch S2 será configurado para suportar os computadores, PC1 até PC3. O mesmo procedimento será aplicado ao switch S3, embora os comandos para S3 não sejam mostrados.

Confirmar a operação do VTP

Clique no botão Confirmar operação do VTP na figura.

Existem dois comandos do Cisco IOS para confirmar se as configurações do domínio VTP e da VLAN foram transmitidas ao switch S2. Utilize o comando show VTP status para verificar se:

O número de revisão de configuração foi aumentado para 6. Existem agora três novas VLANs indicadas pelo número existente de VLANs

mostrando 8. O nome de domínio foi alterado para cisco1.

Utilize o comando show vtp counters para confirmar se os anúncios aconteceram.

Configurar portas de acesso

Clique no botão Configurar portas de acesso na figura.

O destaque da parte superior na saída do comando da tela confirma que o switch S2 está no modo cliente do VTP. Agora a tarefa é configurar a porta F0/18 no switch S2 para que ela esteja na VLAN 20. A área inferior destacada mostra o comando do Cisco IOS utilizado para configurar a porta F0/18 no switch S2 para que ela esteja na VLAN 20.

Exibir meio visual

4.3.2 Identificação e solução de problemas de configuração do VTP

Identificação e solução de problemas de conexão do VTP

Você aprendeu como o VTP pode ser utilizado para simplificar o gerenciamento de um banco de dados de VLAN nos diversos switches. Neste tópico, você aprenderá sobre os problemas comuns de configuração do VTP. Estas informações, combinadas com suas habilidades de configuração do VTP, ajudarão a solucionar problemas de configuração do VTP.

A figura relaciona os problemas comuns de configuração do VTP que serão explorados neste tópico.

Exibir meio visual

Página 2:

Versões incompatíveis do VTP

As versões 1 e 2 do VTP são incompatíveis entre si. Os modernos switches Cisco Catalyst, como o 2960, são configurados para utilizar a versão 1 do VTP por padrão. Porém, os switches mais antigos somente podem suportar a versão 1 do VTP. Os switches que suportam somente a versão 1 não podem participar do domínio VTP junto com switches da versão 2. Se sua rede contém switches que suportam somente a versão 1, é necessário que você configure os switches de versão 2 manualmente para que operem no modo da versão 1.

Clique no botão Solução de versão de VTP na figura.

Problemas de senha de VTP

Ao utilizar uma senha de VTP para controlar a participação no domínio VTP, verifique se a senha está definida corretamente em todos os switches no domínio VTP. Esquecer de definir uma senha de VTP é um problema muito comum. Se for utilizada uma senha, ela deverá ser configurada em cada switch no domínio. Por padrão, um switch Cisco

não utiliza uma senha de VTP. O switch não define o parâmetro de senha automaticamente, diferentemente de outros parâmetros que são definidos automaticamente quando um anúncio VTP é recebido.

Clique no botão Solução de senha de VTP na figura.

Exibir meio visual

Página 3:

Nome de domínio VTP incorreto

O nome de domínio VTP é um parâmetro principal definido em um switch. Um domínio VTP configurado de modo inadequado afeta a sincronização de VLAN entre switches. Conforme aprendido anteriormente, se um switch recebe o anúncio VTP incorreto, ele descarta a mensagem. Se a mensagem descartada contiver informações de configuração legítimas, o switch não sincronizará seu banco de dados de VLAN conforme o esperado.

Clique em Reproduzir na figura para ver uma animação deste problema.

Clique no botão Solução de domínio VTP na figura.

Solução

Para evitar a configuração incorreta de um nome de domínio VTP, defina apenas o nome de domínio VTP em um switch servidor VTP. Todos os outros switches no mesmo domínio VTP aceitarão e automaticamente configurarão seu nome de domínio VTP quando eles receberem o primeiro anúncio sumarizado do VTP.

Exibir meio visual

Página 4:

Switches definidos no modo cliente de VTP

É possível alterar o modo de operação de todos os switches para o modo cliente VTP. Desse modo, você perde toda a capacidade de criar, excluir e gerenciar as VLANs dentro de seu ambiente de rede. Como os switches cliente VTP não armazenam as informações de VLAN em NVRAM, eles precisam atualizar as informações de VLAN depois de uma reinicialização.

Clique em Reproduzir na figura para ver uma animação deste problema.


Solução

Para evitar a perda de todas as configurações de VLAN em um domínio VTP reconfigurando o único servidor VTP no domínio acidentalmente como um cliente VTP, você poderá configurar um segundo switch no mesmo domínio como um servidor VTP. É comum que redes pequenas que utilizam o VTP tenham todos os switches no modo servidor VTP. Se a rede estiver sendo gerenciada por dois administradores, será improvável o surgimento de conflito entre configurações de VLAN.

Exibir meio visual

Página 5:

Número de revisão incorreto

Mesmo depois de configurar os switches corretamente em seu domínio VTP, existem outros fatores que podem afetar negativamente a funcionalidade do VTP.

Problemas de número de revisão de configuração

A topologia na figura está configurada com o VTP. Há um switch no modo servidor VTP, S1, e dois switches no modo VTP, S2 e S3.

Clique no botão Número de revisão incorreto na figura para executar uma animação que mostra como a adição de um switch com um número de revisão de configuração mais alto afeta o resto dos switches no domínio VTP.

S4, que foi configurado anteriormente como um cliente VTP, é adicionado à rede. O número de revisão do switch S4 é 35, mais alto que o número de revisão de 17 na rede existente. S4 vem pré-configurado com duas VLANs, 30 e 40, que não estão configuradas na rede existente. A rede existente possui as VLANs 10 e 20.

Quando o switch S4 é conectado ao switch S3, os anúncios sumarizados do VTP anunciam a chegada de um switch habilitado para VTP com o número de revisão mais alto na rede. A animação mostra como o switch S3, o switch S1 e, finalmente, o switch S2 são reconfigurados para a configuração localizada no switch S4. Como cada switch se reconfigura com as VLANs que não são suportadas na rede, as portas não encaminham mais o tráfego dos computadores porque eles são configurados com as VLANs que não existem mais nos switches recentemente reconfigurados.

Clique no botão Redefinir número de revisão na figura.

Solução

A solução para o problema é redefinir a configuração de cada switch para a anterior e então reconfigurar as VLANs corretas, 10 e 20, no switch S1. Para evitar este problema, em primeiro lugar, redefina o número de revisão de configuração nos switches previamente configurados que estão sendo acrescentados a uma rede habilitada para VTP. A figura mostra os comandos necessários para redefinir o número de revisão do switch S4 de volta para o padrão.

Clique no botão Verificar número de revisão na figura para ver se o número de revisão do switch S4 foi redefinido.

Exibir meio visual

4.3.3 Gerenciando VLANs em um servidor VTP

Página 1:

Gerenciando VLANs em um servidor VTP

Você aprendeu sobre o VTP e como ele pode ser utilizado para simplificar as VLANs de gerenciamento em uma rede habilitada para VTP. Observe a topologia na figura. Quando uma nova VLAN, por exemplo, a VLAN 10, for adicionada à rede, o gerente de rede adicionará a VLAN ao servidor VTP, o switch S1 na figura. Como você sabe, o VTP trata de propagar os detalhes de configuração de VLAN para o resto da rede. Ele não tem nenhuma influência sobre quais portas estão configuradas na VLAN 10 nos switches S1, S2 e S3.

Clique no botão Configurar novas VLANs e portas na figura.

A figura exibe os comandos utilizados para configurar a VLAN 10 e a porta F0/11 no switch S1. Os comandos para configurar as portas corretas para os switches S2 e S3 não são exibidos.

Depois de configurar a nova VLAN no switch S1 e configurar as portas nos switches S1, S2 e S3 para suportar a nova VLAN, confirme se o VTP atualizou o banco de dados de VLAN nos switches S2 e S3.

Clique no botão show vtp status na figura.

A saída do comando do comando é utilizada para verificar a configuração no switch S2. A verificação para S3 não é exibida.

Clique no botão show interfaces trunk na figura.

A saída do comando confirma que a nova VLAN foi adicionada a F0/1 no switch S2. A área destacada mostra que a VLAN 10 está agora ativa no domínio de gerenciamento do VTP.


4.5.1 Resumo

Página 1:

Neste capítulo, nós discutimos o protocolo de entroncamento de VLAN. O VTP é um protocolo da Cisco utilizado para trocar informações de VLAN através de links tronco, reduzindo a administração de VLAN e erros de configuração. O VTP permite que você crie uma VLAN quando estiver dentro de um domínio VTP e que você tenha esta VLAN propagada a todos os outros switches no domínio VTP.

Existem três modos de operação do VTP: servidor, cliente e transparente. Os switches no modo cliente VTP são predominantes em redes grandes, onde sua definição reduz a administração de informações de VLAN. Em redes pequenas, os gerentes de rede podem monitorar com mais facilidade as alterações de rede; desse modo, os switches são freqüentemente deixados no modo servidor VTP padrão.

O corte de VTP limita a propagação desnecessária de tráfego de VLAN por uma rede local. O VTP determina quais portas tronco encaminham determinado tráfego de VLAN. O corte de VTP aprimora o desempenho geral da rede restringindo a inundação desnecessária de tráfego pelos links tronco. O corte permite somente o tráfego de VLAN para VLANs que são atribuídas a alguma porta de switch na outra extremidade de um link tronco. Reduzindo a quantidade total de tráfego inundado na rede, a largura de banda é liberada para outros tráfegos .

Nós discutimos a configuração e medidas preventivas para evitar problemas comuns do VTP.

5 STP


5.0.1 Introdução

Página 1:

As redes de computadores são, evidentemente, componentes críticos da maioria dos pequenos e médios negócios. Consequentemente, os administradores de TI têm que

implementar a redundância em suas redes hierárquicas. Entretanto, adicionar links extras aos switches e roteadores na rede introduz loops de tráfego que precisam ser gerenciados de uma forma dinâmica: quando uma conexão de switch é perdida, outro link precisa assumir seu lugar rapidamente sem introduzir novos loops de tráfego. Neste capítulo, você aprenderá como o protocolo spanning tree (STP, Spanning Tree Protocol) impede problemas de loop na rede e como o STP evoluiu para um protocolo que calcula rapidamente quais portas devem ser bloqueadas de forma que uma rede baseada em VLAN seja mantida livre de loops de tráfego.

5.1 Topologias redundantes de camada 2

5.1.1 Redundância

Página 1:

Redundância em uma rede hierárquica

O modelo de design hierárquico foi apresentado no Capítulo 1. Este modelo abrange os problemas encontrados nas topologias de rede do modelo plano. Um dos problemas é a redundância. A redundância de camada 2 aprimora a disponibilidade da rede implementando caminhos alternativos através da adição de equipamentos e cabeamento.Possuir diversos caminhos para que os dados atravessem a rede permite que ocorra a interrupção de um deles sem que haja impacto sobre a conectividade dos dispositivos na rede.

Como você pode ver na animação:

1. O PC1 está se comunicando com PC4 em uma topologia de rede configurada de forma redundante.

2. Quando o link de rede entre o switch S1 e o switch S2 é interrompido, o caminho entre PC1 e PC4 é automaticamente ajustado para compensar a interrupção.

3. Quando a conexão de rede entre S1 e S2 é restaurada, o caminho é reajustado para rotear o tráfego diretamente de S2 através de S1 para chegar ao PC4.

Como os negócios tornam-se cada vez mais dependentes da rede, a disponibilidade da infra-estrutura de rede se torna uma preocupação crítica e isso deve ser resolvido. A redundância é a solução para obter a disponibilidade necessária.

Página 2:

Examinar um design redundante

Em um design hierárquico, a redundância é obtida nas camadas de distribuição e do núcleo através de hardware adicional e caminhos alternativos por esses equipamentos.

Clique no botão Início – Acesso para camada de distribuição na figura.

Neste exemplo, há uma rede hierárquica com camadas de acesso, distribuição e núcleo. Cada switch de camada de acesso é conectado a dois switches de camada de distribuição diferentes. Além disso, cada switch de camada de distribuição é conectado a ambos os switches da camada de núcleo. Devido à existência de diversos caminhos entre PC1 e PC4, há uma redundância que pode acomodar um único ponto de falha entre a camada de acesso e de distribuição, e entre a camada de distribuição e a do núcleo.

O STP está habilitado em todos os switches. O STP é o tópico deste capítulo e será explicado detalhadamente. Por enquanto, observe que o STP colocou algumas portas de switch em estado de encaminhamento e outras em estado de bloqueio. Isto impede loops de camada 2 na rede. O STP somente utilizará um link redundante se houver falha no link primário.

No exemplo, PC1 pode comunicar-se com PC4 pelo caminho identificado.

Clique no botão Falha de caminho – Acesso para camada de distribuição na figura.

O link entre o switch S1 e o switch D1 foi interrompido, impedindo que os dados de PC1 que eram destinados a PC4 alcançassem o switch D1 em seu caminho original. Entretanto, como o switch S1 possui um segundo caminho para PC4 através do switch D2, o caminho é atualizado e os dados podem chegar ao PC4.

Clique no botão Falha de caminho – Distribuição para camada de núcleo na figura.

O link entre o switch D1 e o switch D2 foi interrompido, impedindo que os dados do PC1 que eram destinados a PC4 alcançassem o switch C2 em seu caminho original. Entretanto, como o switch D1 possui um segundo caminho para PC4 através do switch C1, o caminho é atualizado e os dados podem chegar ao PC4.

Clique no botão Falha de switch – Camada de distribuição na figura.

O switch D1 falhou, evitando que os dados de PC1, destinados a PC4, alcançassem o switch C2 em seu caminho original. Entretanto, desde que o switch S1 possua um segundo caminho para PC4 através do switch D2, o caminho é atualizado e os dados podem chegar ao PC4.

Clique no botão Falha de switch – Camada de núcleo na figura.

O switch C2 falhou, evitando que os dados de PC1 que eram destinados a PC4 alcançassem o switch D4 em seu caminho original. Entretanto, como o switch D1 possui um segundo caminho para PC4 através do switch C1, o caminho é atualizado e os dados podem chegar ao PC4.

A redundância fornece muita flexibilidade nas escolhas de caminho em uma rede, permitindo que os dados sejam transmitidos independentemente da falha de um caminho ou dispositivo nas camadas de distribuição ou núcleo. A redundância tem algumas complicações que precisam ser abordadas antes de poder ser implementada de forma segura em uma rede hierárquica.

5.1.2 Problemas com a redundância

Página 1:

Loops de camada 2

A redundância é uma parte importante do design hierárquico. Embora ela seja importante para a disponibilidade, existem algumas considerações que devem ser feitas antes de a redundância ser possível em uma rede.

Quando existem diversos caminhos entre dois dispositivos na rede e o STP foi desabilitado nesses switches, pode ocorrer um loop de Camada 2. Se o STP estiver habilitado nestes switches, o que é o padrão, um loop de Camada 2 não ocorre.

Quadros Ethernet não possuem um tempo de vida (TTL, Time To Live) como os pacotes IP que atravessam os roteadores. Como resultado, se eles não forem finalizados corretamente em uma rede comutada, eles continuarão saltando de switch para switch interminavelmente, ou até que um link seja interrompido e quebre o loop.

Os quadros de broadcast são encaminhados por todas as portas de switch, exceto pela porta de origem. Isto garante que todos os dispositivos no domínio de broadcast possam receber o quadro. Se houver mais de um caminho para que o quadro seja encaminhado, o resultado poderá ser um loop ininterrupto.

Clique no botão Reproduzir na figura para iniciar a animação.

Na animação:

1. PC1 envia um quadro de broadcast para o switch S2.

2. Quando o S2 recebe o quadro de broadcast, ele atualiza sua tabela de endereços MAC para registrar que o PC1 está disponível na porta F0/11.

3. Como se trata de um quadro de broadcast, o S2 encaminha o quadro para todas as portas de switch, inclusive o Tronco1 e o Tronco2.

4. Quando o quadro de broadcast chega aos switches S3 e S1, eles atualizam suas tabelas de endereços MAC para indicar que PC1 está disponível na porta F0/1 em S1 e porta F0/2 em S3.

5. Como se trata de um quadro de broadcast, S3 e S1 o encaminham para todas as portas de switch, exceto a porta na qual eles receberam o quadro.

6. S3 envia, então, o quadro para S1 e vice-versa. Cada switch atualiza sua tabela de endereços MAC com a porta incorreta para PC1.

7. Cada switch encaminha o quadro de broadcast novamente para todas as suas portas, exceto aquela pela qual ele chegou, resultando no encaminhamento do quadro para S2 em ambos os switches.

8. Quando S2 recebe os quadros de broadcast de S3 e S1, a tabela de endereços MAC é atualizada mais uma vez, neste momento com a última entrada recebida dos outros dois switches.

Este processo se repete inúmeras vezes até que o loop seja interrompido pela desconexão física das portas causadoras ou pelo desligamento de um dos switches no loop.

Os loops resultam em uma carga de CPU alta em todos os switches envolvidos. Como os mesmos quadros estão sendo encaminhados constantemente de um lado para outro entre todos os switches, a CPU dos equipamentos acaba tendo que processar muitos dados. Isto reduz a velocidade de desempenho no switch quando para o tráfego necessário.

Um host envolvido em um loop de rede não pode ser acessado por outros hosts na rede. Como a tabela de endereços MAC está constantemente mudando com as atualizações dos quadros de broadcast, o switch não sabe para qual porta encaminhar os quadros de unicast para alcançar o destino final. Os quadros de unicast também param de sofrer loop na rede. Como os quadros param cada vez mais de sofrer o loop na rede, ocorre uma broadcast storm.

Página 2:

Broadcast storms

Uma broadcast storm ocorre quando existem tantos quadros de broadcast presentes em um loop de Camada 2 que toda a largura de banda disponível é consumida. Conseqüentemente, não há nenhuma largura de banda disponível para tráfego legítimo e a rede fica indisponível para a comunicação de dados.

Uma broadcast storm é inevitável em uma rede com loops. À medida que mais dispositivos enviam broadcasts na rede, cada vez mais tráfego é adicionado ao loop, criando eventualmente uma broadcast storm que causa a falha da rede.

Existem outras conseqüências das broadcast storms. Como o tráfego de broadcast é encaminhado para todas as portas em um switch, todos os dispositivos conectados têm que processar esse tráfego que está sendo inundado interminavelmente pela rede com loops. Isto pode levar à falha de funcionamento do dispositivo devido aos requisitos de alto processamento para sustentar uma carga tão alta de tráfego na placa de rede.


Na animação:

1. PC1 envia um quadro de broadcast para a rede com loops.

2. O quadro de broadcast acaba sofrendo loops entre todos os switches interconectados na rede.

3. PC4 também envia um quadro de broadcast para a rede com loops.

4. O quadro de broadcast do PC4 também é capturado no loop e sofre loops entre todos os switches interconectados, da mesma forma que o quadro de broadcast do PC1.

5. À medida que cada vez mais quadros de broadcast são enviados na rede por outros dispositivos, mais tráfego é capturado no loop, resultando eventualmente em uma broadcast storm.

6. Quando a rede estiver completamente saturada com o tráfego de broadcast sofrendo loop entre os switches, novos tráfegos serão descartados pelo switch porque ele não será capaz de processá-los.

Como os dispositivos conectados a uma rede enviam constantemente quadros de broadcast, tais como solicitações de ARP, uma broadcast storm pode se desenvolver em segundos. Como resultado, quando um loop é criado, a rede é desabilitada rapidamente.

Página 3:

Quadros de unicast duplicados

Os quadros de broadcast não são o único tipo de quadro afetado por loops. Quadros de unicast enviados em uma rede com loops podem resultar na chegada de quadros duplicados ao dispositivo de destino.


Na animação:

1. PC1 envia um quadro de unicast destinado ao PC4.

2. O switch S2 não possui uma entrada para PC4 em sua tabela de MAC, assim ele envia o quadro de unicast para todas as portas de switch na tentativa de localizar o PC4.

3. O quadro chega aos switches S1 e S3.

4. S1 possui uma entrada de endereço MAC para PC4, assim ele encaminha o quadro para PC4.

5. S3 também possui uma entrada em sua tabela de endereços MAC para PC4, desse modo ele encaminha o quadro de unicast pelo Tronco3 para S1.

6. S1 recebe o quadro duplicado e, mais uma vez, o encaminha para PC4.

7. PC4 recebe agora o mesmo quadro duas vezes.

A maioria dos protocolos de camada superior não foi criada para reconhecer ou lidar com transmissões duplicadas. Em geral, os protocolos que utilizam um mecanismo de numeração de seqüência presumem que a transmissão falhou e que o número de seqüência foi reciclado para outra sessão de comunicação. Outros protocolos tentam entregar a transmissão duplicada ao protocolo de camada superior apropriado para que ela seja processada e possivelmente descartada.

Felizmente, os switches são capazes de detectar loops em uma rede. O Protocolo Spanning Tree (STP) elimina estes problemas de loop. Você aprenderá sobre o STP na próxima seção.

5.1.3 Problemas de redundância do mundo real

Página 1:

Loops no wiring closet

A redundância é um componente importante de uma topologia de rede hierárquica altamente disponível, mas podem surgir loops como resultado dos diversos caminhos configurados na rede. Você pode impedir os loops utilizando o Protocolo Spanning Tree (STP). Entretanto, se o STP não foi implementado na preparação para uma topologia redundante, podem ocorrer loops inesperadamente.

O cabeamento de redes para pequenos e médios negócios pode tornar-se muito confuso. Cabos de rede entre os switches de camada de acesso, situados nos wiring closets, desaparecem nas paredes, nos pisos e nos tetos onde eles voltam para os switches de camada de distribuição na rede. Se os cabos de rede não receberem os rótulos adequados quando forem finalizados no patch panel no wiring closet, será difícil determinar onde está o destino para a porta do patch panel na rede. São comuns os loops de rede resultantes de conexões duplicadas acidentais nos wiring closets.

Clique no botão Loop de duas conexões com o mesmo switch na figura.

O exemplo exibe um loop que ocorre se duas conexões do mesmo switch forem conectadas a outro switch. O loop está localizado nos switches que estão interconectados. Entretanto, o loop afeta o resto da rede devido ao alto encaminhamento de broadcast, que alcança todos os outros switches na rede. O impacto nos outros switches pode não ser suficiente para romper as comunicações legítimas, mas pode afetar consideravelmente o desempenho geral dos outros switches.

Este tipo de loop é comum no wiring closet. Isto acontece quando um administrador acidentalmente conecta um cabo ao mesmo switch para o qual ele já está conectado. Isto normalmente ocorre quando os cabos de rede não recebem os rótulos ou os recebem de modo errado, ou quando o administrador não conferiu com calma onde os cabos estão conectados.

Há uma exceção para este problema. Um EtherChannel é um agrupamento de portas Ethernet em um switch que age como uma única conexão de rede lógica. Como o switch trata as portas configuradas para o EtherChannel como um único link de rede, os loops não são possíveis. A configuração dos EtherChannels está além do escopo deste curso. Caso você queira saber mais sobre os EtherChannels, visite: http://www.cisco.com/en/US/tech/tk389/tk213/technologies_white_paper09186a0080092944.shtml (em inglês)

Clique no botão Loop de uma conexão com um segundo switch na mesma rede na figura.

O exemplo mostra um loop que ocorre se um switch for conectado a dois switches diferentes que estão interconectados em uma rede. O impacto deste tipo de loop é muito maior, pois afeta mais switches diretamente.

Página 2:

Loops nos cubículos

Devido às conexões insuficientes de dados de rede, alguns usuários finais possuem um hub ou switch pessoal localizado em seu ambiente de trabalho. Em vez de incorrer os custos de executar conexões de dados de rede adicionais no espaço de trabalho, um hub ou switch simples é conectado a uma conexão de rede existente, permitindo que todos os dispositivos conectados ao hub ou switch pessoal obtenham acesso à rede.

Os wiring closets são normalmente protegidos para impedir o acesso não autorizado. Dessa forma, o administrador de rede geralmente é o único que possui total controle sobre como e quais dispositivos são conectados à rede. Diferentemente do wiring closet, o administrador não tem o controle de como os hubs e switches pessoais estão sendo utilizados ou conectados, então o usuário final pode interconectar os switches ou hubs acidentalmente.

Clique no botão Loop de dois hubs interconectados na figura.

No exemplo, os dois hubs de usuário estão interconectados, resultando em um loop de rede. O loop interrompe a comunicação entre todos os dispositivos conectados ao switch S1.

5.2 Introdução ao STP5.2.1 O algoritmo spanning tree

Página 1:

Topologia de STP

A redundância aumenta a disponibilidade da topologia de rede protegendo a rede de um único ponto de falha, como um cabo de rede ou um switch com defeito. Quando a redundância é introduzida em um design de Camada 2, podem ocorrer loops e quadros duplicados. Os loops e os quadros duplicados podem trazer graves conseqüências a uma rede. O Protocolo spanning tree (STP, Spanning Tree Protocol) foi desenvolvido para resolver estes problemas.

O STP assegura que haja somente um caminho lógico entre todos os destinos na rede fazendo o bloqueio intencional dos caminhos redundantes que poderiam causar um loop. Uma porta é considerada bloqueada quando o tráfego da rede é impedido de entrar ou deixar aquela porta. Isto não inclui os quadros da unidade de dados de protocolo de bridge (BPDU, bridge protocol data unit) que são utilizados pelo STP para impedir loops. Você obterá mais informações sobre os quadros de BPDU de STP posteriormente no capítulo. Bloquear os caminhos redundantes é essencial para impedir loops na rede. Os caminhos físicos ainda existem para fornecer a redundância, mas estes caminhos são desabilitados para impedir a ocorrência de loops. Se o caminho for necessário em algum

momento para compensar a falha de um cabo de rede ou switch, o STP recalcula os caminhos e desbloqueia as portas necessárias para permitir que o caminho redundante fique ativo.


No exemplo, todos os switches estão com o STP habilitado:

1. PC1 envia um broadcast para a rede.

2. O switch S3 é configurado com o STP e define a porta do Trunk2 para um estado de bloqueio. O estado de bloqueio impede que as portas sejam utilizadas para encaminhar o tráfego do switch, impedindo a ocorrência de um loop. O switch S2 encaminha um quadro de broadcast para todas as portas do switch, exceto a porta de origem do PC1, e a porta no Trunk2, que leva à porta bloqueada em S3.

3. O switch S1 recebe o quadro de broadcast e o encaminha a todas as suas portas de switch, onde ele chega ao PC4 e S3. O S3 não encaminha o quadro de volta a S2 pelo Trunk2 por causa da porta bloqueada. O loop de Camada 2 é impedido.

Clique no botão STP compensa a falha da rede na figura e clique em Reproduzir para iniciar a animação.

Neste exemplo:

1. PC1 envia um broadcast para a rede.

2. O broadcast é então encaminhado pela rede, assim como na animação anterior.

3. O link de trunk entre o switch S2 e o switch S1 falha, resultando na interrupção do caminho anterior.

4. O switch S3 desbloqueia a porta bloqueada anteriormente para o Trunk2 e permite que o tráfego de broadcast atravesse o caminho alternativo para a rede, permitindo que a comunicação continue. Se este link ficar novamente ativo, o STP será reconvergido e a porta em S3 será bloqueada novamente.

O STP impede que os loops ocorram configurando um caminho sem loops pela rede, utilizando portas de estado de bloqueio estrategicamente posicionadas. Os switches que executam o STP são capazes de compensar as falhas desbloqueando dinamicamente as portas bloqueadas anteriormente e permitindo que o tráfego atravesse os caminhos alternativos. O próximo tópico descreve como o STP realiza este processo automaticamente.

Página 2:

Algoritmo STP

O STP utiliza o Algoritmo spanning tree (STA, Spanning Tree Algorithm) para determinar quais portas de switch em uma rede precisam ser configuradas para bloqueio

a fim de impedir a ocorrência de loops. O STA designa um único switch como a bridge raiz e o utiliza como ponto de referência para todos os cálculos de caminho. Na figura, a bridge raiz, switch S1, é escolhida através de um processo de escolha. Todos os switches que participam de STP trocam quadros de BPDU para determinar qual switch possui a ID de bridge (BID) mais baixa na rede. O switch com o BID mais baixo se torna automaticamente a bridge raiz para os cálculos de STA. O processo de escolha de bridge raiz será discutido em detalhes posteriormente neste capítulo.

O BPDU é o quadro de mensagem trocado pelos switches para STP. Cada BPDU contém um BID que identifica o switch que enviou o BPDU. O BID contém um valor de prioridade, o endereço MAC do switch de envio, e uma ID de sistema estendido opcional. Determina-se o valor de BID mais baixo através da combinação destes três campos. Você obterá mais informações sobre a bridge raiz, BPDU e BID em tópicos posteriores.

Depois que a bridge raiz tiver sido determinada, o STA calcula o caminho mais curto para a bridge raiz. Cada switch utiliza o STA para determinar quais portas bloquear. Enquanto o STA determina os melhores caminhos para a bridge raiz para todos os destinos no domínio de broadcast, todo o tráfego é impedido de ser encaminhado pela rede. O STA considera ambos os custos do caminho e porta ao determinar qual caminho permanecerá desbloqueado. Um custo do caminho é calculado utilizando os valores de custo de porta associados com as velocidades de cada porta de switch ao longo de um determinado caminho. A soma dos valores de custo de porta determina o custo de caminho geral para a bridge raiz. Se houver mais de um caminho a ser escolhido, o STA escolherá o caminho com o custo de caminho mais baixo. Você obterá mais informações sobre os custos de caminho e porta em tópicos posteriores.

Quando o STA determinar quais caminhos permanecerão disponíveis, ele configurará as portas do switch em diferentes funções . As funções de porta descrevem sua relação na rede até a bridge raiz e se elas podem encaminhar o tráfego.

Portas raiz - As portas de switch mais próximas da bridge raiz. No exemplo, a porta raiz no switch S2 é F0/1 configurada para o link de trunk entre o switch S2 e o switch S1. A porta raiz no switch S3 é F0/1, configurada para o link de trunk entre o switch S3 e o switch S1.

Portas designadas - Todas as portas não-raiz que ainda podem encaminhar o tráfego na rede. No exemplo, as portas F0/1 e F0/2 no switch S1 são portas designadas. O switch S2 também está com sua porta F0/2 configurada como uma porta designada.

Portas não-designadas - Todas as portas configuradas a um estado de bloqueio para impedir loops. No exemplo, o STA configurou a porta F0/2 no switch S3 na função não-designada. A porta F0/2 no switch S3 está no estado de bloqueio.

Você obterá mais informações sobre as funções de porta em um tópico posterior.

Página 3:

A bridge raiz

Toda instância de spanning tree (rede local comutada ou domínio de broadcast) possui um switch designado como bridge raiz. A bridge raiz serve como um ponto de referência para que todos os cálculos de spanning tree determinem quais caminhos redundantes bloquear.

Um processo de escolha determina qual switch se torna a bridge raiz.

Clique no botão Campos de BID na figura.

A figura mostra os campos de BID. Os detalhes de cada campo de BID são discutidos posteriormente, mas convém saber agora que o BID é determinado a partir de um valor de prioridade, de uma ID de sistema estendido e do endereço MAC do switch.

Todos os switches no domínio de broadcast participam do processo de escolha. Depois de um switch ser inicializado, ele envia os quadros de BPDU contendo o BID do switch e a ID de raiz a cada 2 segundos. Por padrão, a ID de raiz corresponde ao BID local para todos os switches na rede. A ID de raiz identifica a bridge raiz na rede. Inicialmente, cada switch identifica-se como a bridge raiz depois de ser inicializado.

Conforme os switches encaminham seus quadros de BPDU, os switches adjacentes no domínio de broadcast lêem as informações da ID de raiz do quadro de BPDU. Se a ID de raiz do BPDU recebido for mais baixa do que a ID de raiz do switch de recebimento, este atualizará sua ID de raiz identificando o switch adjacente como a bridge raiz. Nota: Pode não ser um switch adjacente, mas qualquer outro switch no domínio de broadcast. O switch encaminha então os novos quadros de BPDU com a ID de raiz mais baixa aos outros switches adjacentes. O switch com o BID mais baixo acaba eventualmente sendo identificado como a bridge raiz para a instância de spanning tree.

Página 4:

Melhores caminhos para a bridge raiz

Quando a bridge raiz for designada para a instância de spanning tree, o STA iniciará o processo de determinar os melhores caminhos para a bridge raiz de todos os destinos no domínio de broadcast. As informações de caminho são determinadas somando os custos de portas individuais ao longo do caminho, desde o destino até a bridge raiz.

Os custos de porta padrão são definidos pela velocidade na qual a porta opera. Na tabela, você pode ver que as portas Ethernet de 10 Gb/s possuem um custo de 2, as portas Ethernet de 1 Gb/s possuem um custo de 4, as portas Fast Ethernet de 100 Mb/s têm um custo de 19 e as portas Ethernet de10 Mb/s têm um custo de 100.

Nota: O IEEE define os valores de custo de porta utilizados pelo STP. Conforme tecnologias de Ethernet mais recentes e rápidas entram no mercado, os valores de custo de caminho podem ser alterados para acomodar as diferentes velocidades disponíveis. Os números não lineares acomodam algumas melhorias ao padrão da Ethernet, mas esteja ciente de que os números podem ser alterados pelo IEEE caso seja necessário. Na tabela, os valores já foram alterados para acomodar o mais novo padrão de Ethernet de 10 Gb/s.

Embora as portas de switch possuam um custo de porta padrão associado a elas, este custo é configurável. A capacidade de configurar os custos de portas individuais proporciona ao administrador a flexibilidade para controlar os caminhos de spanning tree até a bridge raiz.

Clique no botão Configurando os custos de porta na figura.

Para configurar o custo de porta de uma interface, digite o comando spanning-tree cost value no modo de configuração de interface. O range value (valor do intervalo) pode estar entre 1 e 200.000.000.

No exemplo, a porta de switch F0/1 foi configurada com o custo de porta de 25 utilizando o comando de configuração de interface spanning-tree cost 25 na interface F0/1.

Para reverter o custo de porta de volta para o valor padrão, digite o comando de configuração de interface no spanning-tree cost.

Clique no botão Custos de caminho na figura.

O custo de caminho é a soma de todos os custos de porta ao longo do caminho até a bridge raiz. Os caminhos com o custo mais baixo tornam-se os preferidos e todos os outros caminhos redundantes são bloqueados. No exemplo, o caminho de custo do switch S2 ao S1 da bridge raiz pelo caminho 1 é 19 (baseado no custo de porta individual especificado pelo IEEE), enquanto o custo de caminho pelo caminho 2 é 38. Como o caminho 1 possui um custo de caminho geral mais baixo para a bridge raiz, ele é o preferido. O STP configura então o caminho redundante para que ele seja bloqueado, impedindo a ocorrência de um loop.

Clique no botão Verificar custos de porta e caminho na figura.

Para verificar o custo de porta e caminho para a bridge raiz, digite o comando de modo EXEC privilegiado show spanning-tree. O campo Custo na saída de dados é o custo de caminho total para a bridge raiz. Este valor muda dependendo de quantas portas de switch precisem ser atravessadas para que se chegue à bridge raiz. Na saída de dados, cada interface também é identificada com um custo de porta individual de 19.

Outro comando para explorar é o de modo EXEC privilegiado show spanning-tree detail.

5.2.2 BPDU de STP

Página 1:

Os campos BPDU

No tópico anterior, você aprendeu que o STP determina uma bridge raiz para a instância de spanning tree trocando BPDUs. Neste tópico, você aprenderá os detalhes do quadro de BPDU e como ele facilita o processo de spanning tree.

O quadro de BPDU contém 12 campos distintos que são utilizados para comunicar informações de caminho e prioridade que o STP utiliza para determinar a bridge raiz e os caminhos para a bridge raiz.

Passe o mouse sobre os Campos BPDU na figura para saber o que eles contêm.

Os primeiros quatro campos identificam o protocolo, a versão, o tipo de mensagem e os flags de status.

Os quatro campos seguintes são utilizados para identificar a bridge raiz e o custo do caminho para a bridge raiz.

Os últimos quatro campos são todos campos de temporizador, que determinam com que freqüência as mensagens de BPDU são enviadas e por quanto tempo as informações recebidas pelo processo de BPDU (próximo tópico) são retidas. A função dos campos de temporizador será abordada posteriormente em mais detalhes neste curso.

Clique no botão Exemplo de BPDU na figura.

O exemplo na figura foi capturado utilizando o Wireshark. No exemplo, o quadro de BPDU contém mais campos do que o descrito anteriormente. A mensagem de BPDU é encapsulada em um quadro Ethernet quando ela é transmitida através da rede. O cabeçalho 802.3 indica os endereços de origem e destino do quadro de BPDU. Este quadro possui um endereço MAC de destino de 01:80:C2:00:00:00, que é um endereço de multicast para o grupo de spanning tree. Quando um quadro é mencionado com este endereço MAC, cada switch que está configurado para spanning tree aceita e lê as informações do quadro. Utilizando este endereço de grupo multicast, todos os outros dispositivos na rede que recebem este quadro o desconsideram.

No exemplo, a ID de raiz e o BID são os mesmos no quadro de BPDU capturado. Isto indica que o quadro foi capturado de um switch de bridge raiz.

Os temporizadores estão todos definidos com seus valores padrão.

Página 2:

O processo BPDU

Cada switch no domínio de broadcast presume inicialmente que é a bridge raiz para a instância de spanning tree, desse modo os quadros de BPDU enviados contêm o BID do switch local como a ID de raiz. Por padrão, os quadros de BPDU são enviados a cada 2 segundos depois de um switch ser inicializado; ou seja, o valor padrão do temporizador hello especificado no quadro de BPDU é de 2 segundos. Cada switch mantém as informações locais sobre seu próprio BID, ID de raiz e o custo de caminho para a raiz.

Quando os switches adjacentes recebem um quadro de BPDU, eles comparam a ID de raiz do quadro de BPDU com a ID de raiz local. Se a ID de raiz no BPDU for mais

baixa do que a ID de raiz local, o switch atualiza a ID de raiz local e a ID em suas mensagens de BPDU. Estas mensagens servem para indicar a nova bridge raiz na rede. Além disso, o custo de caminho é atualizado para indicar a distância da bridge raiz. Por exemplo, se o BPDU foi recebido em uma porta de switch Fast Ethernet, o custo de caminho seria definido como 19. Se a ID de raiz local for inferior à ID de raiz recebida no quadro de BPDU, o quadro de BPDU será descartado.

Depois que uma ID de raiz for atualizada para identificar uma nova bridge raiz, todos os quadros de BPDU subseqüentes enviados daquele switch conterão a nova ID de raiz e o custo de caminho atualizado. Desse modo, todos os outros switches adjacentes podem ver a ID de raiz mais baixa sempre identificada. Como os quadros de BPDU passam entre outros switches adjacentes, o custo de caminho é atualizado continuamente para indicar o custo de caminho total até a bridge raiz. Cada switch no spanning tree utiliza seus custos de caminho para identificar o melhor caminho possível para a bridge raiz.

Clique em cada etapa na figura para aprender sobre o processo de BPDU.

Segue um resumo do processo de BPDU:

Nota: A prioridade é o fator decisivo inicial ao escolher uma bridge raiz. Se a prioridade de todos os switches fosse a mesma, o endereço MAC seria o fator decisivo.

Etapa 1. Inicialmente, cada switch se identifica como a bridge raiz. O switch S2 encaminha os quadros de BPDU para todas as portas de switch.

Etapa 2. Quando o switch S3 recebe um BPDU do switch S2, ele compara sua ID de raiz com o quadro de BPDU que recebeu. As prioridades são iguais, desse modo o switch é forçado a examinar a parte de endereço MAC para determinar qual endereço MAC possui um valor inferior. Como o S2 possui um valor de endereço MAC inferior, S3 atualiza sua ID de raiz com a ID de raiz de S2. Neste ponto, S3 considera S2 como a bridge raiz.

Etapa 3. Quando S1 compara sua ID de raiz com a ID no quadro de BPDU recebido, ele identifica a ID de raiz local como o valor inferior e descarta o BPDU de S2.

Etapa 4. Quando S3 envia seus quadros de BPDU, a ID de raiz contida no quadro de BPDU é a de S2.

Etapa 5. Quando S2 recebe o quadro de BPDU, ele o descarta depois de verificar que a ID de raiz no BPDU correspondeu à sua ID de raiz local.

Etapa 6. Como S1 tem um valor de prioridade inferior em sua ID de raiz, ele descarta o quadro de BPDU recebido de S3.

Etapa 7. S1 envia seus quadros de BPDU.

Etapa 8. S3 identifica a ID de raiz no quadro de BPDU como tendo um valor inferior e, portanto, atualiza seus valores de ID de raiz para indicar que S1 é agora a bridge raiz.

Etapa 9. S2 identifica a ID de raiz no quadro de BPDU como tendo um valor inferior e, portanto, atualiza seus valores de ID de raiz para indicar que S1 é agora a bridge raiz.

5.2.3 ID de bridge

Página 1:

Campos BID

A ID de bridge (BID) é utilizada para determinar a bridge raiz em uma rede. Este tópico descreve o que compõe um BID e como configurá-lo em um switch para influenciar o processo de escolha a fim de assegurar que switches específicos sejam atribuídos à função de bridge raiz na rede.

O campo BID de um quadro de BPDU contém três campos separados: prioridade de bridge, a ID de sistema estendido e o endereço MAC. Cada campo é utilizado durante a escolha de bridge raiz.

Prioridade de bridge

A prioridade de bridge é um valor personalizável que você pode utilizar para influenciar qual switch se torna a bridge raiz. O switch com a prioridade mais baixa, que significa o BID mais baixo, se torna a bridge raiz (quanto menor for o valor de prioridade, maior a prioridade). Por exemplo, para assegurar que um switch específico seja sempre a bridge raiz, você define a prioridade como um valor inferior do que o resto dos switches na rede. O valor padrão para a prioridade de todos os switches da Cisco é 32768. O intervalo de prioridade está entre 1 e 65536; portanto, 1 é a prioridade mais alta.

ID de sistema estendido

Conforme mostrado no exemplo, a ID de sistema estendido pode ser omitida em quadros de BPDU em certas configurações. A implementação inicial de STP foi criada para redes que não utilizam VLANs. Havia um único spanning tree comum em todos os switches. Quando as VLANs começaram a ficar comuns para a segmentação de infra-estrutura de rede, o STP foi aprimorado para incluir suporte para VLANs. Como resultado, o campo de ID do sistema estendido contém a ID da VLAN com a qual o BPDU está associado.

Quando a ID de sistema estendido é utilizada, ela altera o número de bits disponíveis para o valor de prioridade de bridge, assim o aumento para o valor de prioridade de bridge varia de 1 até 4096. Portanto, os valores de prioridade de bridge somente podem ser múltiplos de 4096.

O valor de ID de sistema estendido é adicionado ao valor de prioridade de bridge no BID para identificar a prioridade e a VLAN do quadro de BPDU.

Você aprenderá sobre o protocolo spanning tree de VLAN(per VLAN spanning tree, PVST) em uma seção posterior deste capítulo.

Endereço MAC

Quando dois switches são configurados com a mesma prioridade e possuem a mesma ID de sistema estendido, o switch com o endereço MAC com o valor hexadecimal mais baixo tem o BID mais baixo. Inicialmente, todos os switches são configurados com o mesmo valor de prioridade padrão. O endereço MAC é, então, o fator decisivo com relação ao qual o switch vai se tornar a bridge raiz. Isto resulta em uma escolha imprevisível pela bridge raiz. Recomenda-se configurar o switch de bridge raiz desejado com uma prioridade inferior para assegurar que ele seja a bridge raiz escolhida. Isto também garante que a adição de novos switches à rede não dispare uma nova escolha de spanning tree, o que poderia interromper a comunicação da rede enquanto uma nova bridge raiz estiver sendo selecionada.

Clique no botão Decisão baseada em prioridade na figura.

No exemplo, S1 possui uma prioridade mais baixa que a dos outros switches; portanto, é a bridge raiz preferida para aquela instância de spanning tree.

Clique no botão Decisão baseada no Endereço MAC na figura.

Quando todos os switches estão configurados com a mesma prioridade, como é o caso com todos os switches mantidos na configuração padrão, com uma prioridade de 32768, o endereço MAC se torna o fator decisivo pelo qual um switch se torna a bridge raiz.

Nota: No exemplo, a prioridade de todos os switches é 32769. O valor é baseado na prioridade padrão de 32768 e na atribuição de VLAN 1 associada a cada switch (1+32768).

O endereço MAC com o valor hexadecimal mais baixo é considerado a bridge raiz preferida. No exemplo, S2 tem o valor mais baixo para seu endereço MAC e é designado, portanto, como a bridge raiz para aquela instância de spanning tree.

Página 2:

Configurar e verificar o BID

Quando um switch específico deve tornar-se a bridge raiz, o valor de prioridade da bridge precisará ser ajustado para assegurar que ele seja mais baixo do que os valores de prioridade de bridge de todos os outros switches na rede. Existem dois métodos de configuração diferentes que você pode utilizar para configurar o valor de prioridade de bridge em um switch Cisco Catalyst.

Método 1 - Para assegurar que o switch tenha o valor de prioridade mais baixo, utilize o comando spanning-tree vlan vlan-id root primary no modo de configuração global. A prioridade para o switch é estabelecida como o valor pré-definido de 24576 ou para o valor de diminuição de 4096 seguinte, abaixo da prioridade de bridge mais baixa detectada na rede.

Se uma bridge raiz alternativa for desejada, utilize o comando do modo de configuração global spanning-tree vlan vlan-id root secondary. Este comando define a prioridade para o switch ao valor pré-definido de 28672. Isto assegura que este switch se tornará a bridge raiz no caso de a bridge raiz inicial falhar e caso ocorra uma nova escolha de

bridge raiz e supondo que o resto dos switches na rede tenha o valor de prioridade padrão de 32768 definido.

No exemplo, o switch S1 foi atribuído como a bridge raiz primária utilizando o comando do modo de configuração global spanning-tree vlan 1 root primary; e o switch S2 foi configurado como a bridge raiz secundária utilizando o comando do modo de configuração global spanning-tree vlan 1 root secondary.

Método 2 - Outro método para configurar o valor de prioridade de bridge é utilizar o comando do modo de configuração global spanning-tree vlan vlan-id priority value. Este comando proporciona um maior controle granular sobre o valor de prioridade de bridge. O valor de prioridade é configurado em acréscimos de 4096 entre 0 e 65536.

No exemplo, o switch S3 recebeu um valor de prioridade de bridge de 24576 utilizando o comando do modo de configuração global spanning-tree vlan 1 priority 24576.

Clique no botão Verificação na figura.

Para verificar a prioridade de bridge de um switch, utilize o comando do modo EXEC privilegiado show spanning-tree. No exemplo, a prioridade do switch foi definida em 24576. Observe também que o switch está designado como a bridge raiz para a instância de spanning tree.

5.2.4 Funções de porta

Página 1:

Funções de porta

A bridge raiz é escolhida para a instância de spanning tree. O local da bridge raiz na topologia de rede determina como as funções de porta são calculadas. Este tópico descreve como as portas de switch são configuradas para as funções específicas a fim de impedirem a possibilidade de loops na rede.

Existem quatro funções de porta diferentes nas quais as portas de switch são automaticamente configuradas durante o processo de spanning tree.

Porta raiz

A porta raiz existe em bridges não-raiz. Trata-se da porta de switch com o melhor caminho para a bridge raiz. Asportas raiz encaminham o tráfego para a bridge raiz. O endereço MAC de origem dos quadros recebido na porta raiz é capaz de preencher a tabela de MAC. Somente uma porta raiz é permitida por bridge.

No exemplo, o switch S1 é a bridge raiz e os switches S2 e S3 possuemportas raiz definidas nos links de tronco, conectando-se de volta a S1.

Porta designada

A porta designada existe em bridges de raiz e não-raiz. Para bridges de raiz, todas as portas de switch são portas designadas. Para bridges não-raiz, uma porta designada é a porta de switch que recebe e encaminha os quadros para a bridge raiz conforme o necessário. Permite-se somente uma porta designada por segmento. Se vários switches existirem no mesmo segmento, um processo de escolha determinará o switch designado e a porta de switch correspondente começará a encaminhar quadros para o segmento. As portas designadas são capazes de preencher a tabela de MAC.

No exemplo, o switch S1 possui ambos os conjuntos de portas para seus dois links de tronco configurados como portas designadas. O switch S2 possui uma porta designada configurada no link de tronco que vai para o switch S3.

Porta não designada

A porta não-designada é uma porta de switch que está bloqueada, assim ela não encaminha estruturas de dados e não preenche a tabela de endereços MAC com endereços de origem. Uma porta não-designada não é uma porta raiz ou uma porta designada. Para algumas variantes de STP, a porta não-designada é chamada de porta alternativa.

No exemplo, o switch S3 possui as únicas portas não-designadas na topologia. As portas não-designadas impedem a ocorrência de loops.

Porta desabilitada

A porta desabilitada é uma porta de switch que está administrativamente desligada. Uma porta desabilitada não funciona no processo de spanning tree. Não existem portas desabilitadas no exemplo.

Página 2:

Funções de porta

O STA determina qual função de porta é atribuída a cada porta de switch.

Ao determinar a porta raiz em um switch, o switch compara os custos de caminho em todas as portas de switch que participam do spanning tree. A porta de switch com o custo de caminho geral mais baixo para a raiz é atribuída automaticamente à função de raiz, pois ela está mais perto da bridge raiz. Em uma topologia de rede, todos os switches que estão utilizando o spanning tree, com exceção da bridge raiz, possuem uma única porta raiz definida.

Quando existem duas portas de switch que possuem o mesmo custo de caminho para a bridge raiz e ambas são o caminho com custo mais baixo no switch, o switch precisa determinar qual porta de switch é a porta raiz. O switch utiliza o valor de prioridade de porta personalizável, ou a ID de porta mais baixa, se os valores de prioridade de porta forem os mesmos.

A ID de porta é a ID de interface da porta de switch. Por exemplo, a figura mostra quatro switches. As portas F0/1 e F0/2 no switch S2 possuem o mesmo valor de custo

de caminho de volta para a bridge raiz. Entretanto, a porta F0/1 no switch S2 é a porta preferida porque possui um valor de ID de porta mais baixo.

A ID de porta é adicionada à prioridade de porta. Por exemplo, a porta de switch F0/1 possui um valor de prioridade de porta padrão de 128.1, onde 128 é o valor de prioridade de porta configurável e .1 é a ID da porta. A porta de switch F0/2 possui um valor de prioridade de porta de 128.2, por padrão.

Página 3:

Configurar prioridade de porta

Você pode configurar o valor de prioridade de porta utilizando o comando do modo de configuração de interface spanning-tree port-priority value. Os valores de prioridade de porta variam de 0 a 240, em acréscimos de 16. O valor de prioridade de porta padrão é 128. Da mesma forma que acontece com a prioridade de bridge, os valores de prioridade de porta mais baixos conferem à porta uma maior prioridade.

No exemplo, a prioridade de porta para a porta F0/1 foi definida em 112, que está abaixo da prioridade de porta padrão de 128. Isto garante que esta porta seja a porta preferida ao competir com outra porta para uma função de porta específica.

Quando o switch decidir utilizar uma porta em vez de outra porta raiz, a outra é configurada como uma porta não-designada para impedir a ocorrência de um loop.

Página 4:

Decisões de função de porta

No exemplo, o switch S1 é a bridge raiz. Os switches S2 e S3 possuemportas raiz configuradas para as portas que se conectam de volta a S1.

Depois que um switch determina qual de suas portas é configurada na função de porta raiz, ele precisa decidir quais portas possuem as funções de designadas e não-designadas.

A bridge raiz configura automaticamente todas as suas portas de switch na função designada. Outros switches na topologia configuram suas portas não-raiz como portas designadas ou não-designadas.

As portas designadas são configuradas para todos os segmentos de rede local. Quando são conectados dois switches ao mesmo segmento de rede local e asportas raiz já foram definidas, os dois switches devem decidir qual porta fica configurada como a porta designada e qual é deixada como a porta não-designada.

Os switches no segmento de rede local em questão trocam quadros de BPDU, que contém o BID do switch. Geralmente, o switch com o BID mais baixo tem sua porta configurada como uma porta designada, enquanto o switch com o BID mais alto tem sua porta configurada como uma porta não-designada. Porém, lembre-se de que a

primeira prioridade é o custo de caminho mais baixo para a bridge raiz e que, somente se os custos de porta forem iguais, o BID do remetente será utilizado.

Como resultado, cada switch determina quais funções de porta serão atribuídas a cada uma de suas portas a fim de criar um spanning tree sem loops.

Clique em cada etapa na figura para saber como as funções de porta são determinadas.

Página 5:

Verificando as funções de porta e prioridade de porta

Agora que o spanning tree determinou a topologia de rede lógica sem loop, talvez você deseje confirmar quais funções de porta e prioridades de porta estão configuradas para as diversas portas de switch na rede.

Para verificar as funções de porta e as prioridades de porta para as portas de switch, utilize o comando de modo EXEC privilegiado show spanning-tree.

No exemplo, a saída de dados do comando show spanning-tree exibe todas as portas do switch e suas funções definidas. As portas do switch F0/1 e F0/2 estão configuradas como portas designadas. A saída de dados também exibe a prioridade de porta de cada porta de switch. A porta de switch F0/1 possui uma prioridade de porta de 128.1.

5.2.5 Estados de porta de STP e temporizadores de BPDU

Página 1:

Estados de porta

O STP determina o caminho lógico sem loop ao longo do domínio de broadcast. O spanning tree é determinado através das informações obtidas pela troca de quadros de BPDU entre os switches interconectados. Para facilitar a obtenção do spanning tree lógico, cada porta de switch muda através de cinco estados de porta possíveis e três temporizadores de BPDU.

O spanning tree é determinado imediatamente depois que um switch acaba de ser inicializado. Se uma porta de switch fosse fazer a transição diretamente do estado de bloqueio para o estado de encaminhamento, a porta poderia criar temporariamente um loop de dados se o switch não soubesse de todas as informações da topologia neste momento. Por esta razão, o STP introduz cinco estados de porta. A tabela resume o que faz cada estado de porta. Veja a seguir algumas informações adicionais sobre como os estados de porta asseguram que nenhum loop seja criado durante a criação do spanning tree lógico.

Bloqueio - A porta é uma porta não-designada e não participa do encaminhamento de quadros. Ela recebe quadros de BPDU para determinar o local e a ID de raiz do switch de bridge raiz e quais funções de porta cada porta de switch deve assumir na topologia de STP ativa final.

Escuta - O STP determinou que a porta pode participar do encaminhamento de quadros de acordo com os quadros de BPDU que o switch recebeu até o momento. Neste momento, a porta de switch não só recebe quadros de BPDU, como também transmite seus próprios quadros de BPDU e informa os switches adjacentes de que a porta de switch está se preparando para participar da topologia ativa.

Aprendizagem - A porta se prepara para participar do encaminhamento de quadros e começa a preencher a tabela de endereços MAC.

Encaminhamento - A porta é considerada parte da topologia ativa e encaminha quadros, bem como envia e recebe quadros de BPDU.

Desabilitado - A porta de Camada 2 não participa de spanning tree e não encaminha quadros. O estado desabilitado é definido quando a porta de switch é desabilitada administrativamente.

Página 2:

Temporizadores de BPDU

A quantidade de tempo que uma porta permanece nos diversos estados de porta depende dos temporizadores de BPDU. Somente o switch na função de bridge raiz pode enviar informações por spanning tree para ajustar os temporizadores. Os seguintes temporizadores determinam o desempenho de STP e as mudanças de estado:

Tempo hello Atraso de encaminhamento Idade máxima

Clique no botão Funções e Temporizadores na figura.

Quando o STP está habilitado, cada porta de switch na rede passa pelo estado de bloqueio e os estados transitórios de escuta e aprendizagem em atividade. As portas se estabilizam então para o estado de encaminhamento ou bloqueio, conforme visto no exemplo. Durante uma mudança de topologia, uma porta implementa temporariamente os estados de escuta e aprendizagem por um período especificado chamado intervalo de atraso de encaminhamento.

Estes valores permitem o tempo adequado para convergência em uma rede com um diâmetro de switch de sete. Para revisar, o diâmetro de switch é o número de switches que um quadro tem para atravessar para chegar dos dois pontos mais distantes no domínio de broadcast. Um diâmetro de sete switches é o maior diâmetro que o STP permite por causa dos tempos de convergência. A convergência em relação ao spanning tree é o tempo necessário para recalcular o spanning tree se um switch ou link falhar. Você aprenderá como a convergência funciona na próxima seção.

Clique no botão Configurar diâmetro de rede na figura.

Recomenda-se que os temporizadores de BPDU não sejam ajustados diretamente porque os valores foram otimizados para o diâmetro de sete switches. O ajuste do valor de diâmetro de spanning tree na bridge raiz para um valor inferior ajusta automaticamente o atraso de encaminhamento e proporcionalmente os temporizadores

de idade máximos para o novo diâmetro. Normalmente, você não ajusta os temporizadores de BPDU nem reconfigura o diâmetro de rede. Porém, se, depois de uma pesquisa, um administrador de rede determinou que o tempo de convergência da rede deve ser otimizado, o administrador o faria reconfigurando o diâmetro de rede, não os temporizadores de BPDU.

Para configurar um diâmetro de rede diferente para o STP, utilize o comando do modo de configuração global spanning-tree vlan vlan id root primary diameter value no switch da bridge raiz.

No exemplo, o comando do modo de configuração global spanning-tree vlan 1 root primary diameter 5 foi digitado para ajustar o diâmetro de spanning tree para cinco switches.

Página 3:

Tecnologia Cisco PortFast

O PortFast é uma tecnologia da Cisco. Quando uma porta de switch configurada com o PortFast é configurada como uma porta de acesso, aquela porta faz imediatamente a transição do estado de bloqueio para o estado de encaminhamento, ignorando os estados típicos de escuta e aprendizagem do STP. Você pode utilizar o PortFast em portas de acesso, que são conectadas a uma única estação de trabalho ou servidor, para permitir que esses dispositivos sejam conectados a uma rede imediatamente em vez de esperar até que o spanning tree seja convergido. Se uma interface configurada com PortFast recebe um quadro de BPDU, o spanning tree pode colocar a porta no estado de bloqueio utilizando um recurso chamado proteção de BPDU. A configuração da proteção de BPDU está além do escopo deste curso.

Nota: A tecnologia Cisco PortFast pode ser utilizada para suportar o DHCP. Sem o PortFast, um PC pode enviar uma solicitação DHCP antes de a porta estar no estado de encaminhamento, impedindo o host de adquirir um endereço IP utilizável e outras informações. Como o PortFast altera imediatamente o estado para estado de encaminhamento, o PC sempre obtém um endereço IP utilizável.

Para obter mais informações sobre como configurar a proteção de BPDU, consulte:

http://www.cisco.com/en/US/tech/tk389/tk621/technologies_tech_note09186a008009482f.shtml (em inglês).

Nota: Como o objetivo do PortFast é diminuir o tempo que as portas de acesso devem esperar para que o spanning tree seja convergido, ele é utilizado somente nas portas de acesso. Se você habilitar o PortFast em uma porta que se conecta a outro switch, existe o risco de criar um loop de spanning tree.

Clique no botão Configurar PortFast na figura.

Para configurar o PortFast em uma porta de switch, digite o comando do modo de configuração de interface spanning-tree portfast em cada interface em que o PortFast deva ser habilitado.

http://www.cisco.com/en/US/tech/tk389/tk621/technologies_tech_note09186a008009482f.shtml

http://www.cisco.com/en/US/tech/tk389/tk621/technologies_tech_note09186a008009482f.shtml

Para desabilitar o PortFast, digite o comando do modo de configuração de interface no spanning-tree portfast em cada interface em que o PortFast deva ser desabilitado.

Clique no botão Verificar PortFast na figura.

Para verificar se o PortFast foi habilitado para uma porta de switch, utilize o comando do modo EXEC privilegiado show running-config. A ausência do comando spanning-tree portfast na configuração de execução para uma interface indica que o PortFast foi desabilitado para tal interface. PortFast está desabilitado por padrão em todas as interfaces.

5.3 Convergência de STP

5.3.1 Convergência de STP

Página 1:

Etapas da convergência de STP

A seção anterior descreveu os componentes que permitem que o STP crie a topologia de rede lógica sem loop. Nesta seção, você examinará o processo de STP inteiro, desde o começo até o fim.

A convergência é um aspecto importante do processo de spanning tree. A convergência é o tempo necessário para que a rede determine qual switch vai assumir a função de bridge raiz, o tempo para que ela passe por todos os diferentes estados de porta e defina todas as portas de switch a suas funções de porta de spanning tree finais, onde todos os loops potenciais são eliminados. O processo de convergência demora para ser concluído por causa dos diferentes temporizadores utilizados para coordenar o processo.

Para entender o processo de convergência de forma mais completa, ele foi dividido em três etapas diferentes:

Etapa 1. Eleger uma bridge raiz

Etapa 2. Eleger portas raiz

Etapa 3. Eleger portas designadas e não designadas

O resto desta seção explora cada etapa no processo de convergência.

5.3.2 Etapa 1. Elegendo uma bridge raiz

Página 1:

Etapa 1. Elegendo uma bridge raiz

A primeira etapa do processo de convergência de spanning tree é eleger uma bridge raiz. A bridge raiz é a base para todos os cálculos de custo de caminho do spanning tree

e leva basicamente à atribuição das diferentes funções de porta utilizadas para impedir a ocorrência de loops.

Uma escolha de bridge raiz é disparada depois que um switch acaba de ser inicializado ou quando uma falha de caminho é detectada em uma rede. Inicialmente, todas as portas de switch são configuradas para o estado de bloqueio que, por padrão, dura 20 segundos. Isto é feito para impedir a ocorrência de um loop antes de o STP ter tempo de calcular os melhores caminhos de raiz e configurar todas as portas de switch em suas funções específicas. Enquanto as portas de switch estiverem em um estado de bloqueio, eles ainda podem enviar e receber quadros de BPDU de forma que a escolha de raiz de spanning tree possa continuar. O spanning tree suporta um diâmetro de rede máximo de sete saltos de switch de fim a fim. Isto permite que o processo de escolha de bridge raiz inteiro ocorra em 14 segundos, menos do que o tempo que as portas de switch gastam no estado de bloqueio.

Imediatamente após o término da inicialização dos switches, eles iniciam o envio de quadros de BPDU anunciando seu BID em uma tentativa de tornar-se a bridge raiz. Inicialmente, todos os switches na rede assumem que eles são a bridge raiz para o domínio de broadcast. A inundação de quadros de BPDU na rede faz com que o campo de ID de raiz corresponda ao campo de BID, indicando que cada switch se considera a bridge raiz. Estes quadros de BPDU são enviados a cada 2 segundos com base no valor do temporizador hello padrão.

Como cada switch recebe os quadros de BPDU de seus switches vizinhos, eles comparam a ID de raiz do quadro de BPDU recebido com a ID de raiz configurada localmente. Se a ID de raiz do quadro de BPDU recebido for mais baixa que a ID de raiz que possui atualmente, o campo de ID de raiz será atualizado, indicando o novo melhor candidato para a função de bridge raiz.

Depois que o campo de ID de raiz é atualizado em um switch, o switch incorpora a nova ID de raiz em todas as transmissões de quadros de BPDU futuras. Isto garante que a ID de raiz mais baixa seja sempre comunicada a todos os outros switches adjacentes na rede. A escolha de bridge raiz termina uma vez que a ID de bridge mais baixa preenche o campo de ID de raiz de todos os switches no domínio de broadcast.

Embora o processo de escolha da bridge raiz tenha sido concluído, os switches continuam a encaminhar seus quadros de BPDU anunciando a ID de raiz da bridge raiz a cada 2 segundos. Cada switch é configurado com um temporizador de idade máxima que determina quanto tempo um switch retém a configuração de BPDU atual no caso de ele parar de receber atualizações de seus switches vizinhos. Por padrão, o temporizador de idade máxima é definido em 20 segundos. Portanto, se um switch não recebe 10 quadros de BPDU sucessivos de um de seus vizinhos, o switch assumirá que um caminho lógico no spanning tree falhou e que as informações de BPDU não são mais válidas. Isto dispara outra escolha de bridge raiz de spanning tree.

Clique no botão Reproduzir na figura para rever as etapas que o STP utiliza para eleger uma bridge raiz.

Enquanto você revê como o STP elege uma bridge raiz, lembre-se de que o processo de escolha de bridge raiz ocorre com todos os switches que enviam e recebem quadros de

BPDU simultaneamente. Executar o processo de escolha simultaneamente permite que os switches determinem qual switch se tornará a bridge raiz muito mais rápido.

Página 2:

Verificar escolha da bridge raiz

Quando a escolha de bridge raiz for concluída, você poderá verificar a identidade da bridge raiz utilizando o comando de modo EXEC privilegiado show spanning-tree

No exemplo da topologia, o switch S1 possui o valor de prioridade mais baixo dos três switches, assim podemos supor que ele se tornará a bridge raiz.

Clique no botão Saída do comando do switch S1 na figura.

No exemplo, a saída de dados do comando show spanning-tree para o switch S1 revela que ele é a bridge raiz. Você pode ver que o BID corresponde à ID de raiz, confirmando que S1 é a bridge raiz.


No exemplo, a saída de dados do comando show spanning-tree para o switch S2 mostra que a ID de raiz corresponde à ID de raiz esperada do switch S1, indicando que S2 considera S1 como a bridge raiz.


No exemplo, a saída de dados do comando show spanning-tree para o switch S3 mostra que a ID de raiz corresponde à ID de raiz esperada do switch S1, indicando que S3 considera S1 como a bridge raiz.

5.3.3 Etapa 2. Eleger portas raiz

Página 1:

Etapa 2. Eleger portas raiz

Agora que a bridge raiz foi determinada, os switches iniciam a configuração das funções de porta para cada uma de suas portas de switch. A primeira função de porta que precisa ser determinada é a função de porta raiz.

Cada switch em uma topologia spanning-tree, exceto a bridge raiz, possui uma única porta raiz definida. A porta raiz é a porta de switch com o custo de caminho mais baixo para a bridge raiz. Normalmente só o custo de caminho determina qual porta de switch se torna a porta raiz. Porém, características adicionais de porta determinam a porta raiz quando duas ou mais portas no mesmo switch tiverem o mesmo custo de caminho até a raiz. Isto pode acontecer quando são utilizados links redundantes para realizar um uplink de um switch para outro quando uma configuração EtherChannel não for utilizada. Lembre-se de que a tecnologia Cisco EtherChannel permite que você configure diversos links físicos do tipo Ethernet como um link lógico.

As portas de switch com custos de caminho equivalentes para a raiz utilizam o valor de prioridade de porta configurável. Elas utilizam a ID de porta para a determinação final. Quando um switch escolhe uma porta de custo de caminho igual em vez de outro, a porta que perdeu é configurada como a não-designada para evitar um loop.

O processo de determinar qual porta se torna uma porta raiz acontece durante a troca de BPDU de escolha de bridge raiz. Os custos de caminho são imediatamente atualizados quando os quadros de BPDU chegam, indicando uma nova ID de raiz ou caminho redundante. Quando o custo de caminho é atualizado, o switch entra em modo de decisão para determinar se as configurações de porta precisam ser atualizadas. As decisões de função de porta não esperam até que todos os switches resolvam qual switch será a bridge raiz final. Desse modo, a função de porta para uma determinada porta de switch pode mudar várias vezes durante a convergência, até que se resolva finalmente sua função de porta final após a ID de raiz mudar pela última vez.

Clique em cada etapa na figura para obter informações sobre a escolha dasportas raiz.

Página 2:

Verificar a porta raiz

Quando a escolha de bridge raiz for concluída, você poderá verificar a configuração dasportas raiz utilizando o comando do modo EXEC privilegiado show spanning-tree.

No exemplo de topologia, o switch S1 foi identificado como a bridge raiz. A porta F0/1 do switch S2 e a porta F0/1 do switch S3 são as duas portas mais próximas da bridge raiz e, portanto, devem ser configuradas comoportas raiz. Você pode confirmar a configuração de porta utilizando o comando do modo EXEC privilegiado show spanning-tree.


No exemplo, a saída do comando show spanning-tree para o switch S1 revela que ele é a bridge raiz e, conseqüentemente, não possui nenhuma porta raiz configurada.


No exemplo, a saída de dados do comando show spanning-tree para o switch S2 mostra que a porta F0/1 do switch está configurada como uma porta raiz. A ID de raiz mostra a Prioridade e o Endereço MAC do switch S1.


No exemplo, a saída do comando show spanning-tree para o switch S3 mostra que a porta F0/1 do switch está configurada como a porta raiz. A ID de raiz mostra a Prioridade e o Endereço MAC do switch S1.

5.3.4 Etapa 3. Elegendo portas designadas e portas não-designadas

Página 1:

Etapa 3. Elegendo portas designadas e portas não-designadas

Depois que um switch determina quais de suas portas é a porta raiz, as portas restantes devem ser configuradas como porta designada (DP) ou porta não-designada (não-DP) para concluir a criação do spanning tree lógico sem loop.

Cada segmento em uma rede comutada pode ter somente uma porta designada. Quando duas portas de switch de porta não-raiz são conectadas ao mesmo segmento de rede local, ocorre uma competição pelas funções de porta. O dois switches trocam quadros de BPDU para classificar qual porta de switch será designada e qual será a não-designada.

Geralmente, quando uma porta de switch está configurada como uma porta designada, isto se baseia no BID. Porém, lembre-se de que a primeira prioridade é o custo de caminho mais baixo para a bridge raiz e que, somente se os custos de porta forem iguais, o BID do remetente será utilizado.

Quando dois switches trocam seus quadros de BPDU, eles examinam o BID de envio do quadro de BPDU recebido para ver se ele é inferior ao seu próprio BID. O switch com o BID mais baixo ganha a competição e sua porta é configurada na função designada. O switch perdedor configura sua porta de switch como não-designada e, portanto, no estado de bloqueio para impedir que ocorram loops.

O processo de determinar as funções de porta acontece ao mesmo tempo que a escolha da bridge raiz e da designação de porta raiz. Desse modo, as funções designadas e não-designadas podem mudar diversas vezes durante o processo de convergência até que a bridge raiz final seja determinada. O processo inteiro de eleger a bridge raiz, determinar asportas raiz e determinar as portas designadas e não-designadas acontece dentro do estado da porta de bloqueio de 20 segundos. Este tempo de convergência se baseia no temporizador hello de dois segundos para a transmissão de quadros de BPDU e no diâmetro de sete switches suportado pelo STP. O atraso de idade de máximo de 20 segundos fornece tempo suficiente para o diâmetro de sete switches com o temporizador hello de dois segundos entre as transmissões de quadros de BPDU.

Clique em cada etapa na figura para obter informações sobre a escolha das portas designadas e portas não-designadas.

Página 2:

Verificar DP e não-DP

Depois que asportas raiz foram atribuídas, os switches determinam quais portas restantes são configuradas como portas designadas e não-designadas. Você pode verificar a configuração das portas designadas e não-designadas utilizando o comando do modo EXEC privilegiado show spanning-tree.

Na topologia:

1. O switch S1 é identificado como a bridge raiz e, portanto, configura ambas as suas portas de switch como portas designadas.

2. A porta F0/1 do switch S2 e a porta F0/1 do switch S3 são as duas portas mais próximas da bridge raiz e são configuradas comoportas raiz.

3. As portas restantes F0/2 do switch S2 e F0/2 do switch S3 precisam decidir quais das duas portas restantes serão a porta designada e a porta não-designada.

4. O switch S2 e switch S3 comparam os valores de BID para determinar qual é o mais baixo. Aquele com o BID mais baixo é configurado como a porta designada.

5. Como ambos os switches possuem a mesma prioridade, o endereço MAC se torna o fator decisivo.

6. Como o switch S2 possui um endereço MAC inferior, ele configura sua porta F0/2 como uma porta designada.

7. Como conseqüência, o switch S3 configura sua porta F0/2 como uma porta não-designada para impedir a ocorrência de loop.

Você pode confirmar a configuração de porta utilizando o comando do modo EXEC privilegiado show spanning-tree.


No exemplo, a saída do comando show spanning-tree para o switch S1 revela que ele é a bridge raiz e, conseqüentemente, possui ambas as suas portas configuradas como portas designadas.


No exemplo, a saída de dados do comando show spanning-tree para o switch S2 mostra que a porta F0/2 do switch está configurada como uma porta designada.


No exemplo, a saída de dados do comando show spanning-tree para o switch S3 mostra que a porta F0/2 do switch está configurada como uma porta não-designada.

5.3.5 Mudança na topologia de STP

Página 1:

Processo de notificação de mudança na topologia de STP

Um switch considera que detectou uma mudança na topologia quando uma porta que estava encaminhando torna-se inativa (por exemplo, em estado de bloqueio) ou quando uma porta faz a transição para o estado de encaminhamento e o switch tiver uma porta designada. Quando uma mudança é detectada, o switch notifica a bridge raiz do spanning tree. A bridge raiz transmite, então, as informações em broadcast por toda a rede.

Em operação de STP normal, um switch continua recebendo configuração de quadros de BPDU da bridge raiz em sua porta raiz. Porém, ele nunca envia um BPDU para a bridge raiz. Para que isso aconteça, um BPDU especial chamado de BPDU de notificação de mudança de topologia (Topology, Change Notification, TCN) foi introduzido. Quando um switch precisa sinalizar uma mudança na topologia, ele começa a enviar TCNs em sua porta raiz. O TCN é um BPDU muito simples que não contém nenhuma informação e é enviado no intervalo de tempo hello. O switch de recebimento é chamado de bridge designada e reconhece o TCN pelo envio imediato de um BPDU normal com o conjunto de bits de confirmação de mudança na topologia (Topology Change Acknowledgement, TCA). Esta troca continua até que a bridge raiz responda.

Por exemplo, na figura, o switch S2 passa por uma mudança na topologia. Ele envia um TCN para sua bridge designada que, neste caso, é o switch D1. O switch D1 recebe o TCN e o confirma para o switch S2 com um TCA. O switch D1 gera um TCN e o encaminha para sua bridge designada que, neste caso, é a bridge raiz.

Clique no botão Notificação de Broadcast na figura.

Notificação de broadcast

Quando a bridge raiz fica sabendo que houve um evento de mudança de topologia na rede, ele começa a enviar seus BPDUs de configuração com o conjunto de bits de mudança de topologia (TC). Estes BPDUs são retransmitidos por todos os switches na rede com este conjunto de bits. Como resultado, todos os switches ficam cientes da mudança na topologia e podem reduzir seu tempo de validade para o atraso de encaminhamento. Os switches recebem os BPDUs de mudança de topologia em ambas as portas de encaminhamento e bloqueio.

O bit de TC é definido pela raiz por um período máximo de idade + segundos de atraso de encaminhamento, que são, por padrão, 20+15=35 segundos.

5.4 PVST+, RSTP e Rapid-PVST+

5.4.1 Cisco e as variantes de STP

Página 1:

Como muitos padrões de rede, a evolução de STP foi orientada pela necessidade de criar especificações em toda a indústria quando os protocolos proprietários se tornaram normas de facto. Quando um protocolo proprietário se torna superior, todos os concorrentes no mercado precisam suportá-lo, e agências como o IEEE intervêm e criam uma especificação pública. A evolução do STP seguiu este mesmo caminho, conforme visto na tabela.

Quando você lê sobre o STP no site Cisco.com, percebe que existem muitos tipos de variantes do STP. Algumas destas variantes são de propriedade da Cisco e outras são padrões do IEEE. Você obterá mais detalhes sobre algumas destas variantes de STP, mas, para iniciar, você precisa ter um conhecimento geral do que são as principais variantes de STP. A tabela resume as seguintes descrições das principais variantes de STP da Cisco e do IEEE.

Propriedade da Cisco

Protocolo por spanning tree de VLAN (PVST) - Mantém uma instância de spanning tree para cada VLAN configurada na rede. Ele utiliza um protocolo de entroncamento ISL de propriedade da Cisco que permite que um tronco de VLAN encaminhe para algumas VLANs enquanto bloqueia para outras VLANs. Como o PVST trata cada VLAN como uma rede separada, ele pode fazer o balanceamento de carga na Camada 2 encaminhando algumas VLANs em um tronco e outras VLANs em outro tronco sem causar um loop. Para o PVST, a Cisco desenvolveu diversas extensões proprietárias ao STP 802.1D do IEEE original, como o BackboneFast, UplinkFast e PortFast. Estas extensões de STP da Cisco não são abordadas neste curso. Para obter mais informações sobre estas extensões, visite http://www.cisco.com/en/US/docs/switches/lan/catalyst4000/7.4/configuration/guide/stp_enha.html (em inglês).

Protocolo spanning tree por-VLAN plus (PVST+) - a Cisco desenvolveu o PVST+ para fornecer suporte ao entroncamento do 802.1Q de IEEE. O PVST+ fornece a mesma funcionalidade que o PVST, incluindo as extensões de STP de propriedade da Cisco. O PVST+ não é suportado em dispositivos que não sejam da Cisco. O PVST+ inclui o aprimoramento do PortFast chamado de proteção de BPDU e proteção de raiz. Para obter mais informações sobre a proteção de BPDU, visite: http://www.cisco.com/en/US/tech/tk389/tk621/technologies_tech_note09186a008009482f.shtml (em inglês).

Para obter mais informações sobre a proteção de raiz, visite: http://www.cisco.com/en/US/tech/tk389/tk621/technologies_tech_note09186a00800ae96b.shtml (em inglês).

Protocolo spanning tree por VLAN Rápido (rapid-PVST+) - Baseado no padrão 802.1w do IEEE e possui uma convergência mais rápida do que STP (padrão 802.1D). O Rapid-PVST+ inclui extensões de propriedade da Cisco como o BackboneFast, UplinkFast e PortFast.

Padrões IEEE

Protocolo spanning tree rápido (RSTP) - Introduzido pela primeira vez em 1982 como uma evolução do STP (802.1D padrão). Ele fornece uma convergência de spanning tree mais rápida depois de uma mudança de topologia. O RSTP implementa, no padrão público, as extensões de STP de propriedade da Cisco, o BackboneFast, UplinkFast e PortFast. A partir de 2004, o IEEE incorporou o RSTP no 802.1D, identificando a especificação como IEEE 802.1D-2004. Assim, quando você ouvir falar em STP, pense no RSTP. Você obterá mais informações sobre o RSTP posteriormente nesta seção.

STP Múltiplo (MSTP) - Permite que várias VLANs sejam mapeadas para a mesma instância de spanning tree, reduzindo o número de instâncias necessárias para suportar um grande número de VLANs. O MSTP foi inspirado pelo STP de Instâncias Múltiplas (MISTP) de propriedade da Cisco e se trata de uma evolução do STP e RSTP. Ele foi introduzido no IEEE 802.1s como uma emenda ao 802.1Q, edição de 1998. O IEEE 802.1Q-2003 padrão inclui agora o MSTP. O MSTP fornece diversos caminhos de

encaminhamento para o tráfego de dados e permite o balanceamento de carga. Uma discussão sobre o MSTP está além do escopo deste curso. Para obter mais informações sobre o MSTP, visite http://www.cisco.com/en/US/docs/switches/lan/catalyst2950/software/release/12.1_19_ea1/configuration/guide/swmstp.html (em inglês).

5.4.2 PVST+

Página 1:

PVST+

A Cisco desenvolveu o PVST+ de forma que uma rede possa executar uma instância de STP para cada VLAN na rede. Com o PVST+, mais de um tronco pode bloquear para uma VLAN e o compartilhamento de carga pode ser implementado. Entretanto, implementar o PVST+ significa que todos os switches na rede estão ocupados em convergir a rede e as portas do switch precisam acomodar a largura de banda adicional utilizada para cada instância de PVST+ para enviar seus próprios BPDUs.

Em um ambiente Cisco PVST+, você pode ajustar os parâmetros de spanning tree de forma que metade das VLANs encaminhe cada tronco de uplink. Na figura, a porta F0/3 no switch S2 é a porta de encaminhamento para a VLAN 20 e a porta F0/2 no switch S2 é a porta de encaminhamento para a VLAN 10. Isto é realizado configurando um switch para ser escolhido a bridge raiz para metade do número total de VLANs na rede e um segundo switch para ser escolhido a bridge raiz para a outra metade das VLANs. Na figura, o switch S3 é a bridge raiz para a VLAN 20 e o switch S1 é a bridge raiz para a VLAN 10. Criar switches de raiz de STP diferentes por VLAN cria uma rede mais redundante.

Página 2:

ID da bridge de PVST+

Como você se lembra, no padrão do 802.1D original, um BID de 8 bytes é composto de uma prioridade de bridge de 2 bytes e um endereço MAC de 6 bytes do switch. Não havia necessidade de identificar uma VLAN porque havia somente um spanning tree em uma rede. O PVST+ requer que uma instância separada de spanning tree seja executada para cada VLAN. Para suportar o PVST+, o campo de BID de 8 bytes é modificado para levar uma ID de VLAN (VID). Na figura, o campo de prioridade de bridge é reduzido a 4 bits e um novo campo de 12 bits, o campo de ID de sistema, contém o VID. O endereço MAC de 6 bytes permanece inalterado.

A seguir, fornecemos mais detalhes sobre os campos de PVST+:

Prioridade de bridge – Um campo de 4 bits que leva a prioridade de bridge. Devido à contagem limitada de bits, a prioridade é comunicada em valores discretos em acréscimos de 4096 em vez de valores discretos em acréscimos de 1, como seriam se o campo de 16 bits inteiro estivesse disponível. A prioridade padrão, conforme o IEEE 802.1D, é de 32.768, que é o valor médio.

ID de sistema estendido - Um campo de 12 bits que leva o VID para PVST+.

Endereço MAC - Um campo de 6 bytes com o endereço MAC de um único switch.

O endereço MAC é o que torna o BID exclusivo. Quando a prioridade e a ID de sistema estendido são incluídas desde o início ao endereço MAC do switch, cada VLAN no switch pode ser representada por um BID exclusivo.

Clique no botão Exemplo de ID de bridge de PVST+ na figura.

Na figura, são mostrados os valores para prioridade, VLAN e endereço MAC para o switch S1. Eles são combinados para formar o BID.

Cuidado:Se nenhuma prioridade foi configurada, todos os switches terão a mesma prioridade padrão e a escolha da bridge raiz para cada VLAN se baseia no endereço MAC. Portanto, para assegurar que você obtenha a bridge raiz que deseja, aconselha-se atribuir um valor de prioridade inferior ao switch que deve servir como a bridge raiz.

Página 3:

A tabela mostra a configuração de spanning tree padrão para um switch da série Cisco Catalyst 2960. Observe que o modo padrão de spanning tree é o PVST+.

Página 4:

Configurar PVST+

A topologia mostra três switches conectados com troncos de 802.1Q. Existem duas VLANs, 10 e 20, que estão sendo entroncadas através destes links. Esta rede não foi configurada para spanning tree. O objetivo é configurar S3 como a bridge raiz para a VLAN 20 e S1 como a bridge raiz para a VLAN 10. A porta F0/3 em S2 é a porta de encaminhamento para a VLAN 20 e a porta de bloqueio para a VLAN 10. A porta F0/2 em S2 é a porta de encaminhamento para a VLAN 10 e a porta de bloqueio para a VLAN 20. As etapas para configurar o PVST+ nesta topologia de exemplo são:

Etapa 1. Selecione os switches que você deseja que sejam as bridges de raiz primária e secundária para cada VLAN.

Etapa 2. Configure o switch para ser uma bridge primária para uma VLAN, por exemplo, o switch S3, que é uma bridge primária para a VLAN 20.

Etapa 3. Configure o switch para ser uma bridge secundária para a outra VLAN, por exemplo, o switch S3, que é uma bridge secundária para a VLAN 10.

Opcionalmente, defina a prioridade de spanning tree para ser baixa o bastante em cada switch de forma que ela seja selecionada como a bridge primária.

Clique no botão Bridges de raiz primária e secundária na figura.

Configurar as Bridges de Raiz Primárias

O objetivo é configurar o switch S3 como a bridge raiz primária para a VLAN 20 e configurar o switch S1 como a bridge raiz primária para a VLAN 10. Para configurar um switch de modo que ele se torne a bridge raiz para uma VLAN específica, utilize o comando do modo de configuração global spanning-tree vlan vlan-ID root primary. Lembre-se de que você está começando com uma rede que não foi configurada com o spanning tree, assim suponha que todos os switches estejam em sua configuração padrão. Neste exemplo, o switch S1, que está com as VLANs 10 e 20 habilitadas, retém sua prioridade de STP padrão.

Configurar as Bridges de Raiz Secundárias

Uma raiz secundária é um switch que pode se tornar a bridge raiz para uma VLAN se a bridge raiz primária falhar. Para configurar um switch como a bridge raiz secundária, utilize o comando do modo de configuração global spanning-tree vlan vlan-ID root secondary. Supondo que as outras bridges na VLAN retêm sua prioridade de STP padrão, este switch se torna a bridge raiz se a bridge raiz primária falhar. Este comando pode ser executado em mais de um switch para configurar diversas bridges de raiz de backup.

O gráfico mostra a sintaxe do comando Cisco IOS para especificar o switch S3 como a bridge raiz primária para a VLAN 20 e como a bridge raiz secundária para a VLAN 10. Além disso, o switch S1 se torna a bridge raiz primária para a VLAN 10 e a bridge raiz secundária para a VLAN 20. Esta configuração permite o balanceamento de carga de spanning tree, com o tráfego da VLAN 10 passando através do switch S1 e o tráfego da VLAN 20 passando pelo switch S3.

Clique no botão Prioridade do switch de PVST+ na figura.

Prioridade do switch de PVST+

Você aprendeu anteriormente neste capítulo que as configurações padrão utilizadas para configurar o spanning tree são adequadas para a maioria das redes. Isto também é válido para o Cisco PVST+. Existem várias formas de ajustar o PVST+. Uma discussão sobre como ajustar uma implementação de PVST+ está além do escopo deste curso. Porém, você pode definir a prioridade do switch para a instância de spanning tree especificada. Esta configuração afeta a probabilidade de este switch ser selecionado como o switch de raiz. Um valor inferior aumenta a probabilidade de o switch ser selecionado. O intervalo é de 0 a 61440 em acréscimos de 4096. Por exemplo, um valor de prioridade válido é 4096x2 = 8192. Todos os outros valores são rejeitados.

Os exemplos mostram a sintaxe de comando do Cisco IOS.

Clique no botão Verificar na figura.

O comando EXEC privilegiado show spanning tree active mostra os detalhes de configuração de spanning tree somente para as interfaces ativas. A saída de dados mostrada é do switch S1 configurado com PVST+. Existem muitos parâmetros de comando do Cisco IOS associados ao comando show spanning tree. Para obter uma descrição completa, visite:

http://www.cisco.com/en/US/docs/switches/lan/catalyst2960/software/release/12.2_37_se/command/reference/cli2.html#wpxref47293.

Clique no botão show run na figura.

Você pode ver na saída de dados que a prioridade para a VLAN 10 é 4096, a mais baixa das três prioridades de VLAN. Esta configuração de prioridade assegura que este switch seja a bridge raiz primária para a VLAN 10.

5.4.3 RSTP

Página 1:

O que é RSTP?

O RSTP (IEEE 802.1w) é uma evolução do 802.1D padrão. A terminologia de STP do 802.1w permanece essencialmente igual à terminologia de STP do IEEE 802.1D. A maioria dos parâmetros permaneceu inalterada, assim os usuários familiarizados com o STP podem configurar rapidamente o novo protocolo.

Na figura, uma rede mostra um exemplo de RSTP. O switch S1 é a bridge raiz com duas portas designadas em um estado de encaminhamento. O RSTP suporta um novo tipo de porta. A porta F0/3 no switch S2 é uma porta alternativa no estado de descarte. Observe que não há nenhuma porta de bloqueio. O RSTP não possui um estado de porta de bloqueio. Ele define os estados de porta como descarte, aprendizagem ou encaminhamento. Você obterá mais informações sobre os tipos de porta posteriormente no capítulo.

Clique no botão Características de RSTP na figura.

Características do RSTP

O RSTP adianta o novo cálculo do spanning tree quando a topologia de rede de Camada 2 é alterada. O RSTP pode obter uma convergência muito mais rápida em uma rede corretamente configurada, às vezes em menos de cem milésimos de segundos. O RSTP redefine o tipo de portas e seus estados. Se uma porta for configurada como uma porta alternativa ou de backup, ela pode mudar imediatamente para um estado de encaminhamento sem esperar que a rede seja convergida. Descreve-se brevemente, a seguir, as características de RSTP:

O RSTP é o protocolo preferido para impedir loops de Camada 2 em um ambiente de rede comutado. Muitas das diferenças foram informadas pelas melhorias de propriedade da Cisco para o 802.1D. Tais melhorias, como o carregamento e o envio de informações pelos BPDUs sobre as funções de porta para switches vizinhos, não exigem nenhuma configuração adicional e geralmente são melhor executadas do que nas versões anteriores de propriedade da Cisco. Elas são, agora, transparentes e integradas na operação do protocolo.

As melhorias de propriedade da Cisco ao 802.1D, como o UplinkFast e BackboneFast, não são compatíveis com o RSTP.

O RSTP (802.1w) substitui o STP (802.1D) ao mesmo tempo em que mantém a compatibilidade com versões anteriores. Grande parte da terminologia de STP permanece e a maioria dos parâmetros está inalterada. Além disso, o 802.1w pode ser revertido novamente para 802.1D para interoperar com switches herdados por porta. Por exemplo, o algoritmo spanning tree (STA) de RSTP elege uma bridge raiz exatamente do mesmo modo que o 802.1D.

O RSTP mantém o mesmo formato de BPDU que o IEEE 802.1D, a não ser pelo campo de versão, definido como 2 para indicar RSTP, e o campo de flags, que utiliza todos os 8 bits. O BPDU de RSTP é discutido posteriormente.

O RSTP é capaz de confirmar ativamente que uma porta pode fazer a transição de modo seguro para o estado de encaminhamento sem ter que confiar em qualquer configuração de temporizador.

Página 2:

BPDU de RSTP

O RSTP (802.1w) utiliza os BPDUs de tipo 2 da versão 2, assim uma bridge de RSTP pode comunicar-se com 802.1D em qualquer link compartilhado ou com qualquer switch que execute o 802.1D. O RSTP envia BPDUs e preenche o byte de flag de uma maneira ligeiramente diferente do que no 802.1D:

As informações de protocolo podem expirar imediatamente em uma porta se os hellos não forem recebidos para três temporizadores hello consecutivos, 6 segundos por padrão, ou se o temporizador de idade máxima expirar.

Como os BPDUs são utilizados como um mecanismo keepalive, três BPDUs perdidos consecutivamente indicam perda de conectividade entre uma bridge e sua raiz de vizinho ou bridge designada. A rápida duração das informações permite que as falhas sejam rapidamente detectadas.

Nota: Como no STP, uma bridge de RSTP envia um BPDU com suas informações atuais a cada período de tempo hello (2 segundos, por padrão), mesmo se a bridge de RSTP não receber nenhum BPDU da bridge raiz.

O RSTP utiliza o byte de flag do BPDU de versão 2 conforme mostrado na figura:

Os bits 0 e 7 são utilizados para a mudança de topologia e confirmação (ACK) como no 802.1D.

Os bits 1 e 6 são utilizados para o processo de Acordo de Proposta (utilizado para convergência rápida).

Os bits 2-5 codificam a função e o estado da porta que origina o BPDU. Os bits 4 e 5 são utilizados para codificar a função de porta utilizando um código

de 2 bits.

5.4.4 Portas de extremidade

Página 1:

Portas de extremidade

Uma porta de extremidade de RSTP é uma porta de switch cujo destino nunca é a conexão a outro dispositivo de switch. Ela faz a transição imediatamente para o estado de encaminhamento quando habilitada.

O conceito de extremidade de porta é muito conhecido pelos usuários de spanning tree da Cisco, porque ele corresponde ao recurso de PortFast no qual todas as portas diretamente conectadas a estações finais antecipam que nenhum dispositivo de switch está conectado a eles. As portas do PortFast fazem imediatamente a transição para o estado de encaminhamento de STP, enquanto pulam os estágios demorados de escuta e aprendizagem. As portas de extremidade e as portas habilitadas para PortFast não geram mudanças de topologia quando a porta faz a transição para um status desabilitado ou habilitado.

Diferentemente do PortFast, uma porta de extremidade de RSTP que recebe um BPDU perde imediatamente seu status de porta de extremidade e se torna uma porta de spanning tree normal.

A implementação de Cisco RSTP mantém a palavra-chave PortFast utilizando o comando spanning-tree portfast para configuração de porta de extremidade. Desse modo, faz-se uma transição geral de rede para RSTP de uma maneira mais contínua. A configuração de uma porta de extremidade para ser anexada a outro switch pode resultar em implicações negativas para o RSTP quando ele estiver em estado de sincronização, uma vez que um loop temporário pode resultar, possivelmente, no atraso da convergência de RSTP devido à contenção do BPDU com tráfego de loop.

5.4.5 Tipos de link

Página 1:

Tipos de link

O tipo de link fornece uma categorização para cada porta que participa de RSTP. O tipo de link pode pré-determinar a função ativa que a porta desempenha enquanto ele espera a transição imediata para o estado de encaminhamento caso certas condições sejam atendidas. Estas condições são diferentes para portas de extremidade e portas de não-extremidade. As portas de não-extremidade são classificadas em dois tipos de link, ponto-a-ponto e compartilhado. O tipo de link é determinado automaticamente, mas pode ser substituído com uma configuração de porta explícita.

As portas de extremidade, as equivalentes às portas habilitadas por PortFast, e os links ponto-a-ponto são os candidatos para a transição rápida para um estado de encaminhamento. Entretanto, antes de o parâmetro de tipo de link ser considerado, o RSTP deve determinar a função de porta. Você obterá mais informações sobre as funções de porta adiante, mas saiba por enquanto que:

Asportas raiz não utilizam o parâmetro de tipo de link. Asportas raiz podem realizar uma transição rápida para o estado de encaminhamento assim que a porta estiver em sincronização.

As portas alternativas e de backup não utilizam o parâmetro de tipo de link na maioria dos casos.

As portas designadas utilizam o máximo do parâmetro de tipo de link. A transição rápida para o estado de encaminhamento para a porta designada ocorrerá somente se o parâmetro de tipo de link indicar um link ponto-a-ponto.

5.4.6 Estados de porta e funções de porta de RSTP

Página 1:

Estados de porta de RSTP

O RSTP fornece uma rápida convergência após uma falha ou durante o restabelecimento de um switch, porta de switch ou link. Uma mudança na topologia de RSTP causa uma transição nas portas de switch apropriadas para o estado de encaminhamento através de reconhecimentos explícitos ou de um processo de proposta e acordo, e sincronização. Você obterá mais informações sobre o processo de proposta e acordo adiante.

Com o RSTP, a função de uma porta está separada do estado de uma porta. Por exemplo, uma porta designada pode estar temporariamente no estado de descarte, embora seu estado final seja o de encaminhamento. A figura mostra os três estados de porta possíveis de RSTP: descarte, aprendizagem e encaminhamento.

Clique no botão Descrições na figura.

A tabela na figura descreve as características de cada um dos três estados de porta de RSTP. Em todos os estados de porta, uma porta aceita e processa quadros de BPDU.

Clique no botão Portas de STP e RSTP na figura.

A tabela na figura compara os estados de porta de STP e RSTP. Lembre-se de como as portas nos estados de porta de bloqueio, escuta e desabilitado do STP não encaminham nenhum quadro. Estes estados de porta foram mesclados no estado de porta de descarte de RSTP. Página 2:

Funções de porta de RSTP

A função de porta define o objetivo principal de uma porta de switch e como ela trata as estruturas de dados. As funções de porta e estados de porta podem fazer uma transição independentemente da outra. A criação de funções adicionais de porta permite que o RSTP defina uma porta de switch auxiliar antes de uma falha ou mudança de topologia. A porta alternativa vai para o estado de encaminhamento se houver uma falha na porta designada para o segmento.

Passe o mouse sobre as funções de porta na figura para saber mais sobre cada função de porta de RSTP.

Página 3:

Processo de proposta e acordo de RSTP

No STP do IEEE 802.1D, quando uma porta for selecionada pelo spanning tree para se tornar uma porta designada, ela deverá esperar duas vezes o atraso de encaminhamento antes de fazer a transição da porta para o estado de encaminhamento. O RSTP apressa significativamente o processo do novo cálculo após uma mudança de topologia, uma vez que ele se converge link a link e não depende da expiração dos temporizadores para a transição das portas. A rápida transição para o estado de encaminhamento só pode ser obtida em portas de extremidade e links ponto-a-ponto. No RSTP, esta condição corresponde a uma porta designada no estado de descarte.


5.4.7 Configurando o Rapid-PVST+

Página 1:

O Rapid-PVST+ é uma implementação da Cisco de RSTP. Ele suporta o spanning tree para cada VLAN e é a variante de STP rápida para ser utilizada em redes baseadas na tecnologia da Cisco. A topologia na figura possui duas VLANs: 10 e 20. A configuração final implementará o rapid-PVST+ no switch S1, que é a bridge raiz.

Diretrizes de configuração

Convém revisar algumas das diretrizes de configuração de spanning tree. Se você deseja revisar a configuração de spanning tree padrão em um switch Cisco 2960, veja a seção de Configuração de Switch Padrão no início deste capítulo. Não se esqueça destas diretrizes quando for implementar o Rapid-PVST+.

Os comandos de rapid-PVST+ controlam a configuração das instâncias de spanning tree da VLAN. Uma instância de spanning tree é criada quando uma interface for atribuída a uma VLAN e é removida quando a última interface for transferida para outra VLAN. Da mesma forma, você pode configurar o switch de STP e os parâmetros de porta antes de uma instância de spanning tree ser criada. Estes parâmetros são aplicados quando são criados um loop e uma instância de spanning tree. Entretanto, certifique-se de que pelo menos um switch em cada loop na VLAN esteja executando o spanning tree, caso contrário poderá ocorrer uma broadcast storm.

Um switch Cisco 2960 suporta o PVST+, rapid-PVST+ e MSTP, mas só uma versão pode estar ativa por vez para todas as VLANs.

Clique no botão Comandos de configuração na figura.

A figura mostra a sintaxe de comando do Cisco IOS necessária para configurar o rapid-PVST+ em um switch da Cisco. Existem outros parâmetros que também podem ser configurados.

Nota: Se você conectar uma porta configurada com o comando ponto-a-ponto de tipo de link spanning tree a uma porta remota através de um link ponto-a-ponto e a porta local se tornar uma porta designada, o switch negociará com a porta remota e mudará rapidamente a porta local para o estado de encaminhamento.

Nota: Quando uma porta é configurada com o comando de protocolos detectados de spanning tree e esta porta for conectada a uma porta em um switch IEEE 802.1D herdado, o software IOS Cisco reiniciará o processo de migração de protocolo em todo o switch. Esta etapa é opcional, entretanto recomenda-se uma prática padrão, mesmo se o switch designado detectar que este switch está executando o rapid-PVST+.

Para obter detalhes completos sobre todos os parâmetros associados aos comando específicos do Cisco IOS, visite: http://www.cisco.com/en/US/docs/switches/lan/catalyst2960/software/release/12.2_37_se/command/reference/cli3.html (em inglês).

Clique no botão Exemplo de configuração na figura.

O exemplo de configuração mostra a habilitação dos comandos do rapid-PVST+ no switch S1.

Clique no botão Verificar na figura.

O comando show spanning-tree vlan vlan-id mostra a configuração da VLAN 10 no switch S1. Observe que a prioridade de BID é definida a 4096. O BID foi definido utilizando o comando spanning-tree vlan vlan-id priority priority-number.

Clique no botão show run na figura.

Neste exemplo, o comando show running-configuration foi utilizado para verificar a configuração do rapid-PVST+ em S1.

5.4.8 Design de STP para evitar problemas

Página 1:

Saiba onde está a raiz

Você sabe agora que a função primária do STA é interromper os loops criados pelos links redundantes nas redes de bridge. O STP opera na Camada 2 do modelo OSI. O STP pode falhar em alguns casos específicos. Solucionar o problema pode ser muito difícil e depende do design da rede. Esta é a razão pela qual recomenda-se que você realize a parte mais importante da solução de problemas antes de eles ocorrerem.

É muito comum as informações sobre o local da rota não estarem disponíveis no momento da solução de problemas. Não deixe que o STP decida qual bridge é a raiz. Para cada VLAN, você pode geralmente identificar qual switch pode servir melhor como raiz. No geral, escolha uma bridge avançada no meio da rede. Se você colocar a bridge raiz no centro da rede com uma conexão direta com os servidores e roteadores, reduzirá a distância média dos clientes para os servidores e roteadores.

A figura mostra:

Se o switch S2 for a raiz, o link de S1 para S3 será bloqueado em S1 ou S3. Neste caso, os hosts que se conectam ao switch S2 podem acessar o servidor e o

roteador em dois saltos. Os hosts que se conectam à bridge S3 podem acessar o servidor e o roteador em três saltos. A distância média é dois saltos e meio.

Se o switch S1 for a raiz, o roteador e o servidor poderão ser alcançados em dois saltos para ambos os hosts que se conectam em S2 e S3. A distância média é agora de dois saltos.

A lógica por trás deste simples exemplo vale para topologias mais complexas.

Nota: Para cada VLAN, configure a bridge raiz e a bridge raiz de backup que utilizar as prioridades mais baixas.

Página 2:

Para que a resolução de problemas do STP fique mais fácil, planeje a organização dos seus links redundantes. Em redes não-hierárquicas, você deverá ajustar o parâmetro de custo do STP para decidir quais portas bloquear. Entretanto, este ajuste normalmente não é necessário caso você tenha um design hierárquico e uma bridge raiz em um bom local.

Nota: Para cada VLAN, saiba quais portas devem ser bloqueadas na rede estável. Obtenha um diagrama de rede que mostre claramente cada loop físico na rede e quais portas bloqueadas interrompem os loops.

Conhecer o local dos links redundantes ajuda a identificar um loop de bridging acidental e sua causa. Além disso, conhecer o local das portas bloqueadas permite que você determine o local do erro.

Diminua o número de portas bloqueadas

A única ação crítica desempenhada pelo STP é o bloqueio de portas. Uma única porta de bloqueio que faz a transição incorreta para o encaminhamento pode afetar de modo negativo uma grande parte da rede. Uma boa maneira de limitar o risco inerente no uso de STP é reduzir o máximo do número de portas bloqueadas possível.

Corte de VTP

Você não precisa de mais de dois links redundantes entre dois nós em uma rede comutada. Porém, o tipo de configuração mostrado na figura é comum. Os switches de distribuição são anexados duplamente a dois switches de núcleo, switches C1 e C2. Os usuários nos switches S1 e S2 que se conectam a switches de distribuição estão somente em um subconjunto de VLANs disponíveis na rede. Na figura, todos os usuários que se conectam ao switch D1 estão na VLAN 20; o switch D2 conecta os usuários somente na VLAN 30. Por padrão, os troncos levam todas as VLANs definidas no domínio de VTP. Somente o switch D1 recebe do tráfego de broadcast e multicast desnecessário para a VLAN 20, mas ele também bloqueia uma de suas portas para a VLAN 30. Existem três caminhos redundantes entre o switch de núcleo C1 e o switch de núcleo C2. Esta redundância resulta em mais portas bloqueadas e em uma probabilidade mais alta de loops.

Nota: Corte todas as VLANs de seu tronco que não sejam necessárias.

Clique no botão Corte Manual na figura.

Corte manual

O corte de VTP pode ajudar, mas este recurso não é necessário no núcleo da rede. Nesta figura, somente uma VLAN de acesso é utilizada para conectar os switches de distribuição ao núcleo. Neste design, somente uma porta é bloqueada por VLAN. Além disso, com este design, você pode remover todos os links redundantes em apenas uma etapa se você desligar C1 ou C2.

Página 3:

Utilize a comutação da camada 3

A comutação da camada 3 significa rotear aproximadamente na velocidade da comutação. Um roteador executa duas funções principais:

Ele cria uma tabela de encaminhamento. O roteador geralmente troca informações com pontos por meio de protocolos de roteamento.

Ele recebe os pacotes e os encaminha à interface correta com base no endereço de destino.

Os switches de Camada 3 da Cisco agora são capazes de desempenhar esta segunda função, na mesma velocidade que a função de comutação da Camada 2. Na figura:

Não há nenhuma penalidade de velocidade com o salto de roteamento e um segmento adicional entre C1 e C2.

O switch de núcleo C1 e o switch de núcleo C2 são switches de Camada 3. A VLAN 20 e VLAN 30 não estão mais interligadas entre C1 e C2, assim não há nenhuma possibilidade de loop.

A redundância ainda acontece, contando com os protocolos de roteamento de Camada 3. O design garante uma convergência que chega a ser mais rápida que a convergência com STP.

O STP não bloqueia mais nenhuma porta, assim não há nenhum potencial para um loop de bridging.

Deixar a VLAN pela comutação da Camada 3 é tão rápido quanto o bridging dentro da VLAN.

Página 4:

Pontos finais

Mantenha o STP mesmo se ele for desnecessário

Supondo que você tenha removido todas as portas bloqueadas da rede e que não tenha qualquer redundância física, aconselha-se que você não desabilite o STP.

O STP geralmente não utiliza muito o processador. A comutação de pacotes não envolve a CPU na maioria dos switches da Cisco. Além disso, os poucos BPDUs que são enviados em cada link não reduzem a largura de banda disponível de modo significativo. Entretanto, se um técnico cometer um erro de conexão em um patch panel e criar acidentalmente um loop, a rede será prejudicada. No geral, não compensa desabilitar o STP em uma rede comutada.

Mantenha o tráfego fora da VLAN Administrativa e não deixe que uma única VLAN ocupe toda a rede

Um switch da Cisco geralmente possui um único endereço IP que se liga a uma VLAN, conhecido como a VLAN administrativa. Nesta VLAN, o switch se comporta como um host IP genérico. Em particular, todos os pacotes de broadcast e multicast são encaminhados à CPU. Uma alta taxa de tráfego de broadcast ou multicast na VLAN administrativa pode afetar de modo negativo a CPU e sua capacidade de processar BPDUs essenciais. Portanto, mantenha o tráfego do usuário fora da VLAN administrativa.

Até recentemente, não havia nenhum modo de remover a VLAN 1 de um tronco em uma implementação da Cisco. A VLAN 1 geralmente serve como uma VLAN administrativa, onde todos os switches são acessíveis na mesma sub-rede de IP. Embora seja útil, esta configuração pode ser perigosa porque um loop de bridging na VLAN 1 afeta todos os troncos, o que pode derrubar toda a rede. Claro que o mesmo problema existe, não importa qual VLAN você utiliza. Tente segmentar os domínios de bridging utilizando os switches de Camada 3 de alta velocidade.

Nota: A partir do Software IOS Cisco Release 12.1 (11b)E, você pode remover aVLAN 1 dos troncos. A VLAN 1 ainda existe, mas ela bloqueia o tráfego, impedindo qualquer possibilidade de loop.

5.4.9 Identificação e solução de problemas de operação STP

Página 1:

Falha de switch ou link

Na animação você vê que, quando uma porta falha em uma rede configurada com o STP, o resultado pode ser uma broadcast storm.

No estado inicial da falha do STP, o switch S3 possui um BID inferior ao de S2. Conseqüentemente, a porta designada entre S3 e S2 é a porta F0/1 no switch S3. Considera-se que o switch S3 possui uma "BPDU melhor" que o switch S2.

Clique no botão Reproduzir na figura para ver a falha do STP.

Página 2:

Solucionar uma falha

Infelizmente, não há nenhum procedimento sistemático para solucionar um problema de STP. Esta seção resume algumas das medidas que estão disponíveis para você. A maioria das etapas se aplicam à solução de loops de bridging em geral. Você pode utilizar uma abordagem mais convencional para identificar outras falhas de STP que levam a uma perda de conectividade. Por exemplo, você pode explorar o caminho que é levado pelo tráfego que está passando por um problema.

Nota: O acesso dentro da banda pode não ficar disponível durante um loop de bridging. Por exemplo, durante uma broadcast storm, talvez você não seja capaz realizar um Telnet para os dispositivos de infra-estrutura. Portanto, a conectividade fora da banda, como o acesso de console, pode ser necessária.

Antes de você solucionar problemas de um loop de bridging, é necessário saber pelo menos os seguintes itens:

Topologia da rede de bridge Localização da bridge raiz Localização das portas bloqueadas e dos links redundantes

Este conhecimento é essencial. Para saber o que corrigir na rede, você precisa saber como a rede fica quando ela funciona corretamente. A maioria das etapas de solução de problemas simplesmente utilizam os comandos show para tentar identificar as condições de erro. O conhecimento da rede ajuda a focalizar nas portas essenciais nos principais dispositivos.

O resto deste tópico observa brevemente dois problemas de spanning tree comuns, um erro de configuração de PortFast e problemas de diâmetro de rede. Para obter mais informações sobre outros problemas de STP, visite: http://www.cisco.com/en/US/tech/tk389/tk621/technologies_tech_note09186a00800951ac.shtml (em inglês).

Página 3:

Erro de configuração de PortFast

Geralmente você habilita o PortFast somente para uma porta ou interface que se conecta a um host. Quando o link surgir nesta porta, a bridge pula as primeiras fases do STA e faz uma transição direta para o modo de encaminhamento.

Cuidado: Não utilize o PortFast em portas de switch ou interfaces que se conectam a outros switches, hubs ou roteadores. Caso contrário, você pode criar um loop de rede.

Neste exemplo, a porta F0/1 no switch S1 já está encaminhando. A porta F0/2 foi configurada incorretamente com o recurso do PortFast. Portanto, quando uma segunda conexão de switch S2 é conectada a F0/2 em S1, a porta faz a transição automaticamente para o modo de encaminhamento e cria um loop.

Eventualmente, um dos switches encaminhará um BPDU e um destes switches fará a transição de uma porta para o modo de bloqueio.

Porém, há um problema com este tipo de loop passageiro. Se o tráfego com loops for muito intenso, o switch pode ter dificuldade para transmitir com sucesso o BPDU que interrompe o loop. Este problema pode atrasar a convergência de modo considerável ou, em alguns casos extremos, pode derrubar a rede de fato.

Mesmo com uma configuração de PortFast, a porta ou interface ainda participa de STP. Se um switch com uma prioridade de bridge inferior que a da bridge raiz ativa atual for anexado a uma porta ou interface configurada por PortFast, ele poderá ser escolhido a bridge raiz. Esta alteração de bridge raiz pode afetar a topologia de STP ativa de modo negativo e pode fazer com que a rede não seja mais ideal. Para impedir esta situação, a maioria dos switches Catalyst que executam o software IOS Cisco possuem um recurso chamado proteção de BPDU. A proteção de BPDU desabilita uma porta ou interface configurada por PortFast se a porta ou interface receber um BPDU.

Para obter mais informações sobre como utilizar o PortFast nos switches que executam o software IOS Cisco, consulte o documento "Utilizando o PortFast e outros comandos para corrigir atrasos de conectividade de inicialização da estação de trabalho", disponível em: http://www.cisco.com/en/US/products/hw/switches/ps700/products_tech_note09186a00800b1500.shtml.

Para obter mais informações sobre o uso do recurso de proteção de BPDU em switches que executam o software IOS Cisco, visite: http://www.cisco.com/en/US/tech/tk389/tk621/technologies_tech_note09186a008009482f.shtml (em inglês).

Página 4:

Problemas de diâmetro de rede

Outro problema que não é muito conhecido está relacionado com o diâmetro da rede comutada. Os valores padrão conservadores para os temporizadores de STP impõem um diâmetro de rede máximo de sete. Na figura, este design cria um diâmetro de rede de oito. O diâmetro de rede máximo restringe a distância que os switches podem estar um do outro na rede. Neste caso, dois switches distintos não podem estar mais longe do que a sete saltos de distância. Parte desta restrição vem do campo idade que os BPDUs carregam.

Quando um BPDU propaga a partir da bridge raiz até as folhas da árvore, o campo de validade aumenta a cada vez que o BPDU vai através de um switch. Eventualmente, o switch descarta o BPDU quando o campo de idade estiver além da idade máxima. Se a raiz estiver muito longe de alguns switches da rede, o BPDUs será descartado. Este problema afeta a convergência do spanning tree.

Tome um cuidado especial se você planeja alterar o valor padrão dos temporizadores de STP. Pode ser perigoso se você tentar obter uma convergência mais rápida deste modo. Uma mudança de temporizador de STP causa um impacto no diâmetro da rede e na estabilidade do STP. Você pode alterar a prioridade de switch para selecionar a bridge raiz e alterar o custo de porta ou prioridade de parâmetro para controlar a redundância ou balanceamento de carga.


5.6.1 Resumo

Página 1:

A implementação da redundância em uma rede hierárquica introduz loops físicos que resultam em problemas de Camada 2 que afetam a disponibilidade da rede. O protocolo spanning tree foi desenvolvido para impedir problemas resultantes dos loops físicos introduzidos para aprimorar a redundância. Este protocolo utiliza o algoritmo spanning tree para computar uma topologia lógica sem loops para um domínio de broadcast.

O processo spanning tree utiliza estados de porta e temporizadores diferentes para evitar logicamente os loops construindo uma topologia sem loops. A determinação da topologia spanning tree é construída em termos de distância da bridge raiz. A distância é determinada pela troca de BPDUs e algoritmo spanning tree. No processo, as funções de porta são determinadas: portas designadas, portas não-designadas eportas raiz.

Utilizar o protocolo spanning tree IEEE 802.1D original envolve um tempo de convergência de até 50 segundos. Este atraso é inaceitável em redes comutadas modernas, assim o protocolo spanning tree rápido IEEE 802.1w foi desenvolvido. A implementação do IEEE 802.1D por VLAN da Cisco é chamada PVST+ e a implementação do protocolo spanning tree rápido da Cisco é chamada rapid-PVST+. O RSTP reduz o tempo de convergência para aproximadamente 6 segundos ou menos.

Nós discutimos os tipos de link ponto a ponto e compartilhado com RSTP, bem como as portas de extremidade. Nós também discutimos os novos conceitos de portas alternativas e portas de backup utilizados com o RSTP.

O rapid-PVST+ é a implementação de protocolo spanning tree preferida utilizada em uma rede comutada que utiliza os switches Cisco Catalyst.

6 Roteamento entre VLANs


6.0.1 Introdução

Página 1:

Nos capítulos anteriores deste curso, discutimos como você pode usar VLANs e troncos para segmentar uma rede. A limitação do escopo de cada domínio de broadcast na LAN por segmentação de VLAN proporciona melhor desempenho e segurança através da rede. Você também aprendeu como o VTP é usado para compartilhar as informações de VLAN por switches múltiplos em um ambiente de LAN para simplificar o gerenciamento de VLANs. Agora que você tem uma rede com muitas VLANs diferentes, a próxima pergunta é: "Como permitir a comunicação entre dispositivos em VLANs separadas?"

Neste capítulo, você aprenderá sobre o roteamento entre VLANs e como ele é usado para permitir a comunicação entre dispositivos em VLANs separadas. Aprenderá diferentes métodos para realizar o roteamento entre VLANs, e as vantagens e as desvantagens de cada um. Aprenderá também como diferentes configurações de interface do roteador facilitam o roteamento entre VLANs. Enfim, estudará os possíveis problemas enfrentados durante a implementação do roteamento entre VLANs, como identificá-los e também corrigi-los.

6.1 Roteamento entre VLANs

6.1.1 Apresentação do roteamento entre VLANs

Página 1:

Agora que você sabe configurar VLANs em um switch de rede, o próximo passo é permitir a comunicação entre dispositivos conectados às várias VLANs. Em um capítulo anterior, você aprendeu que cada VLAN é um domínio de broadcast exclusivo; portanto, por padrão, computadores em VLANs separadas não podem se comunicar. Há um modo de permitir a comunicação entre essas estações finais chamado roteamento entre VLANs. Neste tópico, você descobrirá o que é o roteamento entre VLANs e alguns dos diferentes modos de realizá-lo em uma rede.

Neste capítulo, nós abordamos um tipo de roteamento entre VLANs usando um roteador separado conectado à infra-estrutura de switch. Definimos o roteamento entre VLANs como um processo de encaminhamento do tráfego de rede de uma VLAN para outra com o uso de um roteador. VLANs são associadas a sub-redes de IP exclusivas na rede. Essa configuração de sub-rede facilita o processo de roteamento em um ambiente de várias VLANs. Com o uso de um roteador para facilitar o roteamento entre VLANs, as interfaces de roteador podem ser conectadas a VLANs separadas. Dispositivos nessas VLANs enviam tráfego pelo roteador para alcançar outras VLANs.

Como você pode ver na figura, o tráfego do PC1 na VLAN10 é roteado pelo roteador R1 para alcançar o PC3 na VLAN30.

Página 2:

Tradicionalmente, o roteamento de LAN usava roteadores com interfaces físicas múltiplas. Cada interface precisava estar conectada a uma rede separada e configurada para uma sub-rede diferente.

Em uma rede tradicional que usa VLANs múltiplas para segmentar o tráfego de rede em domínios de broadcast lógicos, o roteamento é executado pela conexão de diferentes interfaces físicas de roteador a diferentes portas físicas de switch. As portas de switch conectam-se ao roteador em modo de acesso, e em modo de acesso são atribuídas VLANs estáticas diferentes a cada interface de porta. Cada interface de switch é atribuída a uma VLAN estática diferente. Em seguida, cada interface de roteador pode aceitar tráfego da VLAN associada à interface de switch à qual está conectada, e o tráfego pode ser roteado às outras VLANs conectadas às outras interfaces.

Clique no botão Reproduzir na figura para exibir o roteamento entre VLANs tradicional.


1. O PC1 na VLAN10 está se comunicando com o PC3 na VLAN30 pelo roteador R1.

2. O PC1 e o PC3 estão em VLANs diferentes e têm endereços IP em sub-redes diferentes.

3. O roteador R1 tem uma interface separada configurada para cada VLAN.

4. O PC1 envia tráfego unicast destinado para o PC3 ao switch S2 na VLAN10, de onde o tráfego é encaminhado pela interface de tronco para o switch S1.

5. O switch S1 encaminha o tráfego unicast para o roteador R1 na interface F0/0.

6. O roteador roteia o tráfego unicast para a interface F0/1, que está conectada à VLAN30.

7. O roteador encaminha o tráfego unicast para o switch S1 na VLAN 30.

8. Em seguida, o switch S1 encaminha o tráfego unicast para o switch S2 pelo link de tronco; depois disso, o switch S2 pode encaminhar o tráfego unicast para o PC3 na VLAN30.

Neste exemplo, o roteador foi configurado com duas interfaces físicas separadas para interagir com as diferentes VLANs e executar o roteamento.

Página 3:

O roteamento entre VLANs tradicional exige interfaces físicas múltiplas no roteador e no switch. Entretanto, nem todas as configurações de roteamento entre VLANs são assim. Alguns softwares de roteador permitem configurar interfaces de roteador como links de tronco. Isso abre novas possibilidades para o roteamento entre VLANs.

"Router on a Stick" é um tipo de configuração de roteador na qual uma única interface física roteia o tráfego entre VLANs múltiplas em uma rede. Como você pode ver na figura, o roteador está conectado ao switch S1 usando uma única conexão de rede física.

A interface do roteador é configurada para operar como um link de tronco e está conectada a uma porta de switch configurada em modo de tronco. O roteador executa o roteamento entre VLANs aceitando o tráfego com etiqueta de VLAN, que vem do switch adjacente na interface de tronco, e roteando internamente entre as VLANs que usam subinterfaces. Em seguida, o roteador encaminha o tráfego roteado – com etiqueta de VLAN para a VLAN de destino – pela mesma interface física.

Subinterfaces são interfaces virtuais múltiplas, associadas a uma interface física. Elas são configuradas em software, em um roteador configurado independentemente com um endereço IP e uma atribuição de VLAN para operar em uma VLAN específica. Subinterfaces são configuradas para sub-redes diferentes que correspondem à sua atribuição de VLAN para facilitarem o roteamento lógico antes das as estruturas de dados terem etiquetas de VLAN e serem enviadas de volta pela interface física. Você obterá mais informações sobre interfaces e subinterfaces no próximo tópico.

Clique no botão Reproduzir na figura para ver como um roteador fixo executa a função de roteamento.


1. O PC1 na VLAN10 está se comunicando com o PC3 na VLAN30 pelo roteador R1, usando uma única interface de roteador física.

2. O PC1 envia o tráfego unicast ao switch S2.

3. Em seguida, o switch S2 etiqueta o tráfego unicast como tendo origem na VLAN10 e encaminha-o pelo link de tronco para o switch S1.

4. O switch S1 encaminha o tráfego etiquetado pela outra interface de tronco na porta F0/5 para a interface no roteador R1.

5. O roteador R1 aceita o tráfego unicast etiquetado na VLAN10 e roteia-o para a VLAN30 usando suas subinterfaces configuradas.

6. O tráfego unicast recebe a etiqueta da VLAN30 ao ser enviado pela interface do roteador para o switch S1.

7. O switch S1 encaminha o tráfego unicast etiquetado pelo outro link de tronco para o switch S2.

8. O switch S2 remove a etiqueta de VLAN do quadro unicast e encaminha o quadro para o PC3 na porta F0/6.

Página 4:

Alguns switches podem executar funções de Camada 3, substituindo a necessidade de roteadores dedicados executarem roteamento básico em uma rede. Switches multicamada podem executar roteamento entre VLANs.

Clique no botão Reproduzir na figura para ver como ocorre o roteamento entre VLANs baseado em switch.


1. O PC1 na VLAN10 está se comunicando com o PC3 na VLAN30 pelo switch S1, usando interfaces VLAN configuradas para cada VLAN.

2. O PC1 envia o tráfego unicast ao switch S2.

3. O switch S2 etiqueta o tráfego unicast como tendo origem na VLAN10, enquanto encaminha o tráfego unicast pelo link de tronco para o switch S1.

4. O switch S1 remove a etiqueta de VLAN e encaminha o tráfego unicast para a interface VLAN10.

5. O switch S1 roteia o tráfego unicast para a interface VLAN30.

6. Em seguida, o switch S1 reetiqueta o tráfego unicast, desta vez como VLAN30, e encaminha-o pelo link de tronco de volta para o switch S2.

7. O switch S2 remove a etiqueta de VLAN do quadro unicast e encaminha o quadro para o PC3 na porta F0/6.

Para permitir que um switch multicamada execute funções de roteamento, as interfaces VLAN no switch precisam ser configuradas com os endereços IP apropriados que correspondam à sub-rede à qual a VLAN está associada na rede. O switch multicamada também deve ter roteamento de IP habilitado. A comutação multicamada é complexa e está fora do escopo deste curso. Para uma visão geral considerável da comutação multicamada, visite: http://cisco.com/en/US/docs/ios/12_0/switch/configuration/guide/xcmls.html.

A configuração do roteamento entre VLANs em um switch multicamada está fora do escopo deste curso. Entretanto, o currículo do CCNP aborda o conceito de forma abrangente. Para explorar informações adicionais, visite: http://www.cisco.com/en/US/tech/tk389/tk815/technologies_configuration_example09186a008019e74e.shtml.

6.1.2 Interfaces e subinterfaces

Página 1:

Como já mencionamos, há várias opções de roteamento entre VLANs. Cada uma delas usa uma configuração de roteador diferente para realizar a tarefa de roteamento entre VLANs. Neste tópico, estudaremos o modo como cada tipo de configuração de interface de roteador roteia entre VLANs, além das vantagens e das desvantagens. Começaremos revisando o modelo tradicional.

Usando o roteador como um gateway

O roteamento tradicional exige que roteadores tenham interfaces físicas múltiplas para facilitar o roteamento entre VLANs. O roteador realiza o roteamento conectando cada uma de suas interfaces físicas a uma VLAN exclusiva. Cada interface é também configurada com um endereço IP para a sub-rede associada à VLAN específica à qual está conectada. Com a configuração dos endereços IP nas interfaces físicas, dispositivos de rede conectados a cada uma das VLANs podem comunicar-se com o roteador que usa a interface física conectada à mesma VLAN. Nessa configuração, dispositivos de rede podem usar o roteador como um gateway para acessar os dispositivos conectados às outras VLANs.

O processo de roteamento exige que o dispositivo de origem determine se o dispositivo de destino está local ou remoto em relação à sub-rede local. O dispositivo de origem realiza essa tarefa comparando os endereços de origem e destino com a máscara de sub-rede. Quando é determinado que o endereço de destino está em uma rede remota, o dispositivo de origem deve identificar para onde precisa encaminhar o pacote a fim de alcançar o dispositivo de destino. O dispositivo de origem examina a tabela de roteamento local para determinar para onde precisa enviar os dados. Normalmente, dispositivos usam o gateway padrão como o destino para todo tráfego que precise deixar a sub-rede local. O gateway padrão é a rota que o dispositivo usa quando não tem nenhuma outra rota explicitamente definida até a rede de destino. A interface do roteador na sub-rede local age como o gateway padrão para o dispositivo remetente.

Quando o dispositivo de origem determina que o pacote deve viajar pela interface do roteador local na VLAN conectada, o dispositivo de origem envia uma solicitação ARP para determinar o endereço MAC da interface do roteador local. Quando o roteador envia sua resposta ARP ao dispositivo de origem, o dispositivo de origem pode usar o endereço MAC para terminar de estruturar o pacote antes de enviá-lo na rede como tráfego unicast.

Considerando que o quadro ethernet tenha o endereço MAC de destino da interface do roteador, o switch sabe exatamente para qual porta de switch encaminhar o tráfego unicast, a fim de alcançar a interface do roteador naquela VLAN. Quando o quadro chega ao roteador, o roteador remove as informações do endereço MAC de origem e destino para examinar o endereço IP de destino do pacote. O roteador compara o endereço de destino a entradas na tabela de roteamento para determinar para onde precisa encaminhar os dados a fim de alcançar seu destino final. Se o roteador determina que a rede de destino é uma rede localmente conectada, como seria o caso em roteamento entre VLANs, o roteador envia uma solicitação ARP pela interface fisicamente conectada para a VLAN de destino. O dispositivo de destino responde ao roteador com seu endereço MAC, o qual é usado pelo roteador para estruturar o pacote. Em seguida, o roteador envia o tráfego unicast ao switch, e este encaminha-o pela porta à qual o dispositivo de destino está conectado.

Clique no botão Reproduzir na figura para ver como o roteamento tradicional é realizado.

Embora haja muitos passos no processo de roteamento entre VLANs quando dois dispositivos em VLANs diferentes se comunicam por um roteador, todo o processo acontece em uma fração de segundo.

Configuração da interface

Clique no botão Configuração de interface na figura para ver um exemplo de configuração de interfaces de roteador.

A configuração de interfaces de roteador é semelhante à configuração de interfaces VLAN em switches. No modo de configuração global, alterne para modo de configuração de interface para a interface específica que você deseja configurar.

Como você pode ver no exemplo, a interface F0/0 está configurada com endereço IP 172.17.10.1 e máscara de sub-rede 255.255.255.0 com o uso do comando ip address 172.17.10.1 255.255.255.0.

Para habilitar uma interface de roteador, o comando no shutdown deve ser digitado para a interface. Observe também que a interface F0/1 foi configurada. Depois que ambos os endereços IP são atribuídos a cada uma das interfaces físicas, o roteador pode executar o roteamento.

Clique no botão Tabela de roteamento na figura para ver um exemplo de tabela de roteamento em um roteador Cisco.

Tabela de roteamento

Como você pode ver no exemplo, a tabela de roteamento tem duas entradas, uma para a rede 172.17.10.0 e outra para a rede 172.17.30.0. Observe a letra C à esquerda de cada entrada de rota. Esta letra indica que a rota é local para uma interface conectada que também é identificada na entrada de rota. Usando a saída do comando neste exemplo, se o tráfego for destinado para a sub-rede 172.17.30.0, o roteador encaminhará o tráfego pela interface F0/1.

O roteamento entre VLANs tradicional que usa interfaces físicas tem uma limitação. Conforme o número de VLANs aumenta em uma rede, a abordagem física de ter uma interface de roteador por VLAN é rapidamente impedida pelas limitações físicas de hardware de um roteador. Roteadores têm um número limitado de interfaces físicas que eles podem usar para se conectarem a VLANs diferentes. Redes grandes com muitas VLANs devem usar entroncamento de VLAN para atribuir VLANs múltiplas a uma única interface do roteador para funcionar dentro das restrições de hardware de roteadores dedicados.

Página 3:

Para superar as limitações de hardware do roteamento entre VLANs baseado em interfaces físicas de roteador, são usados subinterfaces virtuais e links de tronco, como no exemplo do roteador fixo descrito anteriormente. Subinterfaces são interfaces virtuais baseadas em software atribuídas a interfaces físicas. Cada subinterface é configurada com seu próprio endereço IP, sua máscara de sub-rede e sua atribuição de VLAN exclusiva, permitindo que uma única interface física faça parte de redes lógicas

múltiplas simultaneamente. Isso é útil ao executar o roteamento entre VLANs em redes com VLANs múltiplas e poucas interfaces físicas de roteador.

Ao configurar o roteamento entre VLANs usando o modelo de roteador fixo, a interface física do roteador deve ser conectada a um link de tronco no switch adjacente. São criadas subinterfaces para cada VLAN/sub-rede exclusiva na rede. A cada subinterface é atribuído um endereço IP específico à sub-rede da qual a subinterface fará parte, e configurado a quadros de etiqueta de VLAN para a VLAN com a qual a interface deverá interagir. Desse modo, o roteador pode manter o tráfego de cada subinterface separado um do outro, enquanto ele volta ao switch através do link de tronco.

Do ponto de vista funcional, o modelo de roteador fixo para o roteamento entre VLANs é igual ao modelo de roteamento tradicional, mas em vez de usar as interfaces físicas para executar o roteamento, ele usa subinterfaces de uma única interface.

Vejamos um exemplo. Na figura, o PC1 precisa comunicar-se com o PC3. O PC1 está na VLAN10, e o PC3 está na VLAN30. Para comunicar-se com o PC3, o PC1 precisa ter seus dados roteados através do roteador R1 com o uso de subinterfaces configuradas.

Clique no botão Reproduzir na figura para ver como subinterfaces são usadas para rotear entre VLANs.

Página 4:

Configuração da subinterface

A configuração de subinterfaces de roteador é semelhante à configuração de interfaces físicas, exceto que você precisa criar a subinterface e atribuí-la a uma VLAN.

No exemplo, crie a subinterface de roteador digitando o comando interface f0/0.10 em modo de configuração global. A sintaxe para a subinterface sempre é a interface física, neste caso f0/0, seguido por um ponto e um número de subinterface. O número da subinterface é configurável, mas geralmente é associado para refletir o número da VLAN. No exemplo, as subinterfaces usam 10 e 30 como números de subinterface para ficar mais fácil de lembrar com quais VLANs estão associadas. A interface física é especificada porque pode haver interfaces múltiplas no roteador, e cada uma delas pode ser configurada para suportar várias subinterfaces.

Antes da atribuição de um endereço IP a uma subinterface, a subinterface precisa ser configurada para funcionar em uma VLAN específica por meio do comando encapsulation dot1q vlan id. No exemplo, a subinterface Fa0/0.10 foi atribuída à VLAN10. Depois que a VLAN é atribuída, o comando ip address 172.17.10.1 255.255.255.0 atribui a subinterface ao endereço IP apropriado para aquela VLAN.

Ao contrário de uma interface física comum, subinterfaces não são habilitadas com o comando no shutdown no nível do modo de configuração de subinterface do software IOS Cisco. Em vez disso, quando a interface física é habilitada com o comando no shutdown, todas as subinterfaces configuradas são habilitadas. Da mesma forma, se a interface física é desabilitada, todas as subinterfaces são desabilitadas.

Clique no botão Tabela de roteamento na figura para ver um exemplo de tabela de roteamento do momento em que subinterfaces são configuradas.

Saída do comando da tabela do roteador

Como você pode ver na figura, as rotas definidas na tabela de roteamento indicam que elas estão associadas com subinterfaces específicas, em vez de interfaces físicas separadas.

Uma vantagem do uso de um link de tronco é que o número de roteadores e portas de switch usados é reduzido. Isso não só ajuda a economizar dinheiro, como também pode reduzir a complexidade da configuração. Por conseguinte, é possível escalar a abordagem da subinterface de roteador para um número muito maior de VLANs que uma configuração com uma interface física por design de VLAN.

Página 5:

Como acabamos de ver, são usadas interfaces físicas e subinterfaces para executar o roteamento entre VLANs. Cada método tem suas vantagens e desvantagens.

Limites de porta

Interfaces físicas são configuradas para ter uma interface por VLAN na rede. Em redes com muitas VLANs, não é possível usar um único roteador para executar o roteamento entre VLANs. Roteadores têm limitações físicas que os impedem de conter muitas interfaces físicas. Em vez disso, você pode usar roteadores múltiplos para executar o roteamento entre VLANs para todas as VLANs quando é necessário evitar o uso de subinterfaces.

Subinterfaces permitem a escala de um roteador para acomodar mais VLANs do que as interfaces físicas permitem. O roteamento entre VLANs em ambientes grandes com muitas VLANs normalmente pode ser acomodado de maneira melhor com o uso de uma única interface física com muitas subinterfaces.

Desempenho

Como não há nenhuma contenção de largura de banda em interfaces físicas separadas, interfaces físicas têm melhor desempenho quando comparadas com o uso de subinterfaces. O tráfego de cada VLAN conectada tem acesso à largura de banda total da interface física do roteador conectada à VLAN para roteamento entre VLANs.

Quando subinterfaces são usadas no roteamento entre VLANs, o tráfego que está sendo roteado compete pela largura de banda na única interface física. Em uma rede ocupada, isso pode causar um gargalo na comunicação. Para equilibrar a carga de tráfego em uma interface física, subinterfaces são configuradas em interfaces físicas múltiplas, o que resulta em menos contenção entre o tráfego de VLAN.

Portas de acesso e portas de tronco

A conexão de interfaces físicas para o roteamento entre VLANs exige que as portas de switch sejam configuradas como portas de acesso. Subinterfaces exigem que a porta de switch seja configurada como uma porta de tronco para poder aceitar o tráfego com etiqueta de VLAN no link de tronco. Usando subinterfaces, muitas VLANs podem ser roteadas em um único link de tronco em lugar de uma única interface física para cada VLAN.

Custo

Financeiramente, é mais econômico usar subinterfaces em interfaces físicas separadas. Roteadores que têm muitas interfaces físicas custam mais que roteadores com uma única interface. Além disso, se você tem um roteador com muitas interfaces físicas, cada interface é conectada a uma porta de switch separada, consumindo portas de switch adicionais na rede. Portas de switch são um recurso caro em switches de alto desempenho. Consumindo portas adicionais para funções do roteamento entre VLANs, o switch e o roteador aumentam o custo global da solução de roteamento entre VLANs.

Complexidade

O uso de subinterfaces no roteamento entre VLANs resulta em uma configuração física menos complexa do que o uso de interfaces físicas separadas, porque há menos cabos de rede física interconectando o roteador ao switch. Com menos cabos, há menos confusão em relação ao local em que o cabo é conectado ao switch. Como o entroncamento das VLANs está sendo feito em um único link, é mais fácil solucionar os problemas das conexões físicas.

Por outro lado, o uso de subinterfaces com uma porta de tronco resulta em uma configuração de software mais complexa, o que pode ser difícil de solucionar. No modelo de roteador fixo, apenas uma interface é usada para acomodar todas as diferentes VLANs. Se uma VLAN está com dificuldade para rotear a outras VLANs, você não pode simplesmente rastrear o cabo para saber se ele está conectado à porta correta. É necessário verificar se a porta de switch está configurada para ser um tronco e se a VLAN não está sendo filtrada em algum link de tronco antes de alcançar a interface do roteador. Também é necessário verificar se a subinterface do roteador está configurada para usar a ID de VLAN e o endereço IP corretos para a sub-rede associada a essa VLAN.

6.2 Configuração do roteamento entre VLANs

6.2.1 Configuração do roteamento entre VLANs

Página 1:

Neste tópico, você aprenderá a configurar um roteador Cisco IOS para o roteamento entre VLANs e verá novamente os comandos necessários para configurar um switch para suportar o roteamento entre VLANs.

Antes de configurar o roteador, configure o switch ao qual ele será conectado. Como você pode ver na figura, o roteador R1 está conectado às portas de switch F0/4 e F0/5, que foram configuradas para as VLANs 10 e 30 respectivamente.

Clique no botão Configuração do switch na figura para ver um exemplo de configuração de switch.

Como revisão, VLANs são criadas no modo de configuração global com o uso do comando vlan vlan id. Neste exemplo, foram criadas as VLANs 10 e 30 no switch S1.

Depois que as VLANs são criadas, elas são atribuídas às portas de switch às quais o roteador se conectará. Para realizar esta tarefa, o comando switchport access vlan vlan id é executado no modo de configuração de interface no switch para cada interface à qual o roteador se conectará.

Neste exemplo, as interfaces F0/4 e F0/11 foram configuradas na VLAN 10 com o comando switchport access vlan 10. O mesmo processo é usado para atribuir a VLAN 30 às interfaces F0/5 e F0/6 no switch S1.

Por fim, para proteger a configuração de forma que ela não se perca depois de uma recarga do switch, o comando copy running-config startup-config é executado no modo EXEC privilegiado para fazer backup da configuração em execução para a configuração de inicialização.

Clique no botão Configuração da interface do roteador na figura para ver um exemplo de configuração do roteador.

Em seguida, o roteador pode ser configurado para executar o roteamento entre VLANs.

Como você pode ver na figura, cada interface é configurada com um endereço IP com o uso do comando ip address ip_address subnet_mask no modo de configuração de interface.

Por padrão, interfaces de roteador estão desabilitadas e precisam ser habilitadas pelo comando no shutdown antes de serem usadas.

Neste exemplo, o endereço IP de 172.17.10.1 foi atribuído à interface F0/0 com o uso do comando ip address 172.17.10.1 255.255.255.0. Observe também que, após a execução do comando do modo de configuração da interface no shutdown, é exibida uma notificação indicando que o estado da interface mudou para ativo (up). Isso indica que agora a interface está habilitada.

O processo é repetido para todas as interfaces de roteador. Cada interface de roteador precisa ser atribuída a uma sub-rede exclusiva para haver roteamento. Neste exemplo, a outra interface de roteador, F0/1, foi configurada para usar o endereço IP 172.17.30.1, que está em uma sub-rede diferente daquela em que está a interface F0/0.

Por padrão, os roteadores Cisco são configurados para rotear tráfego entre as interfaces locais. Como resultado, o roteamento não precisa especificamente ser habilitado. Entretanto, se roteadores múltiplos estão sendo configurados para executar o roteamento

entre VLANs, é possível habilitar um protocolo de roteamento dinâmico para simplificar o gerenciamento da tabela de roteamento.

Página 2:


Agora examine a tabela de roteamento usando o comando do modo EXEC privilegiado show ip route.

No exemplo, há duas rotas na tabela de roteamento. Uma rota é para a sub-rede 172.17.10.0, que está anexada à interface local F0/0. A outra rota é para a sub-rede 172.17.30.0, que está anexada à interface local F0/1. Utilizando esta tabela de roteamento, o roteador determina para onde enviar o tráfego recebido. Por exemplo, se o roteador recebe um pacote na interface F0/0 destinado para a sub-rede 172.17.30.0, ele identifica que deve enviar o pacote pela interface F0/1 para alcançar os hosts na sub-rede 172.17.30.0.

Clique no botão Verificar configuração do roteador na figura para ver um exemplo de configuração do roteador.

Verificar a configuração do roteador

Para verificar a configuração do roteador, use o comando do modo EXEC privilegiado show running-config. Esse comando exibe a configuração operacional atual do roteador. É possível ver quais endereços IP foram configurados para cada interface de roteador, bem como o status operacional da interface.

Neste exemplo, observe que a interface F0/0 está configurada corretamente com o endereço IP 172.17.10.1. Observe também a falta do comando shutdown abaixo da interface F0/0. A ausência do comando shutdown confirma que o comando no shutdown foi emitido e que a interface está habilitada.

Com o comando show interface no modo EXEC privilegiado, você pode obter informações mais detalhadas sobre interfaces de roteador, como informações de diagnóstico, status, endereço MAC e erros de transmissão ou recebimento.

6.2.2 Configurar o roteamento entre VLANs de roteador fixo

Página 1:

Antes de configurar o roteador, configure o switch ao qual ele será conectado.

Como você pode ver na figura, o roteador R1 está conectado ao switch S1 na porta de tronco F0/5. As VLANs 10 e 30 também foram adicionadas ao switch S1.

Clique no botão Configuração do switch na figura para ver um exemplo de configuração de switch.

Como revisão, VLANs são criadas no modo de configuração global com o uso do comando vlan vlan id. Neste exemplo, foram criadas as VLANs 10 e 30 no switch S1 com o uso dos comandos vlan 10 e vlan 30.

Como a porta de switch F0/5 será configurada como uma porta de tronco, você não terá que atribuir nenhuma VLAN à porta. Para configurar a porta de switch F0/5 como uma porta de tronco, execute o comando switchport mode trunk no modo de configuração de interface na interface F0/5. Você não pode usar o comando switchport mode dynamic auto ou switchport mode dynamic desirable porque o roteador não suporta o protocolo de entroncamento dinâmico.

Por fim, para proteger a configuração de forma que ela não se perca depois de uma recarga do switch, o comando copy running-config startup-config é executado no modo EXEC privilegiado para fazer backup da configuração em execução para a configuração de inicialização.

Clique no botão Configuração do roteador na figura para ver um exemplo de configuração do roteador.

Configuração do roteador

Em seguida, o roteador pode ser configurado para executar o roteamento entre VLANs.

Como você pode ver na figura, a configuração de subinterfaces múltiplas é diferente de quando são usadas interfaces físicas.

Cada subinterface é criada com o uso do comando do modo de configuração global de interface interface_id.Subinterface_id. Neste exemplo, a subinterface Fa0/0.10 é criada com o uso do comando do modo de configuração global interface fa0/0.10. Depois que a subinterface é criada, a ID de VLAN é atribuída com o uso do comando do modo de configuração de subinterface encapsulation dot1q vlan_id.

Em seguida, atribua o endereço IP para a subinterface com o uso do comando do modo de configuração de subinterface ip address ip_address subnet_mask. Neste exemplo, a subinterface F0/0.10 está atribuída ao endereço IP 172.17.10.1 com o uso do comando ip address 172.17.10.1 255.255.255.0. Não é necessário executar um comando no shutdown no nível da subinterface porque ele não habilita a interface física.

Este processo é repetido para todas as subinterfaces de roteador que precisam ser roteadas entre as VLANs configuradas na rede. É necessário atribuir um endereço IP para cada subinterface de roteador em uma sub-rede exclusiva para haver roteamento. Neste exemplo, a outra subinterface de roteador, F0/0.30, foi configurada para usar o endereço IP 172.17.30.1, que está em uma sub-rede diferente daquela em que está a interface F0/0.10.

Uma vez que todas as subinterfaces são configuradas na interface física do roteador, a interface física é habilitada. No exemplo, o comando no shutdown é executado na

interface F0/0 para habilitá-la; ela, por sua vez, habilita todas as subinterfaces configuradas.

Por padrão, os roteadores Cisco são configurados para rotear tráfego entre as subinterfaces locais. Como resultado, o roteamento não precisa especificamente ser habilitado.

Página 2:


Agora, examine a tabela de roteamento usando o comando do modo EXEC privilegiado show ip route. No exemplo, há duas rotas na tabela de roteamento. Uma rota é para a sub-rede 172.17.10.0, que está anexada à subinterface local F0/0.10. A outra rota é para a sub-rede 172.17.30.0, que está anexada à subinterface local F0/0.30. Utilizando esta tabela de roteamento, o roteador determina para onde enviar o tráfego recebido. Por exemplo, se o roteador recebe um pacote na subinterface F0/0.10 destinado para a sub-rede 172.17.30.0, o roteador identifica que deve enviar o pacote pela subinterface F0/0.30 para alcançar os hosts na sub-rede 172.17.30.0.

Clique no botão Verificar configuração do roteador na figura para ver um exemplo de configuração do roteador.


Para verificar a configuração do roteador, use o comando no modo EXEC privilegiado show running-config. O comando show running-config exibe a configuração operacional atual do roteador. Verifique quais endereços IP foram configurados para cada subinterface de roteador, como também se a interface física foi deixada desabilitada ou habilitada com o uso do comando no shutdown.

Neste exemplo, observe que a interface F0/0.10 foi configurada corretamente com o endereço IP 172.17.10.1. Observe também a falta do comando shutdown abaixo da interface F0/0. A ausência do comando shutdown confirma que o comando no shutdown foi emitido e que a interface está habilitada.

Com o comando show interface no modo EXEC privilegiado, você pode obter informações mais detalhadas sobre interfaces de roteador, como informações de diagnóstico, status, endereço MAC e erros de transmissão ou recebimento.

Página 3:

A próxima etapa após o roteador e o switch terem sido configurados para executar o roteamento entre VLANs é verificar se o roteador está funcionando corretamente. Você pode testar o acesso aos dispositivos em VLANs remotas com o uso do comando ping.

Para o exemplo mostrado na figura, você iniciará um ping e um tracert a partir do PC1 para o endereço de destino do PC3.

O teste de ping

O comando ping envia uma solicitação de eco ICMP ao endereço de destino. Quando um host recebe uma solicitação de eco ICMP, ele envia uma resposta de eco ICMP para confirmar que recebeu a solicitação de eco ICMP. O comando ping calcula o tempo decorrido utilizando a diferença entre a hora em que o ping foi enviado e a hora em que a resposta de eco foi recebida. Esse tempo decorrido é usado para determinar a latência da conexão. O recebimento bem-sucedido de uma resposta confirma que há um caminho entre o dispositivo remetente e o dispositivo receptor.

O teste Tracert

O tracert é um recurso útil para confirmar o caminho roteado percorrido entre dois dispositivos. Em sistemas UNIX, o utilitário é especificado pelo traceroute. O tracert também usa o ICMP para determinar o caminho percorrido, mas usa solicitações de eco ICMP com valores de tempo de vida específicos definidos no quadro.

O valor de tempo de vida determina exatamente quantos saltos de roteador o eco ICMP pode alcançar. A primeira solicitação de eco ICMP é enviada com um valor de tempo de vida definido para expirar no primeiro roteador a caminho do dispositivo de destino.

Quando a solicitação de eco ICMP expira na primeira rota, uma confirmação é enviada pelo roteador para o dispositivo de origem. O dispositivo registra a resposta do roteador e prepara-se para enviar outra solicitação de eco ICMP, mas desta vez com um valor de tempo de vida maior. Isso permite que a solicitação de eco ICMP passe pelo primeiro roteador e alcance o segundo dispositivo a caminho do destino final. O processo é repetido até que a solicitação de eco ICMP tenha passado por todo o caminho até o dispositivo de destino final. Após o término da execução do utilitário tracert, é apresentada uma lista de todas as interfaces de roteador que a solicitação de eco ICMP alcançou em seu caminho até o destino.

Clique no botão Saídas do comando do dispositivo na figura para ver um exemplo de saída dos comandos ping e tracert.

No exemplo, o utilitário ping pôde enviar uma solicitação de eco ICMP ao endereço IP do PC3. Além disso, o utilitário tracert confirma que o caminho para PC3 é através do endereço IP da subinterface 172.17.10.1 do roteador R1.

6.3 Identificação e solução de problemas do roteamento entre VLANs6.3.1 Problemas na configuração do switch

Página 1:

Neste tópico, abordamos os desafios associados com a configuração de VLANs múltiplas em uma rede. Este tópico explora problemas comuns e descreve métodos de solução de problemas para identificá-los e corrigi-los.

Ao usar o modelo de roteamento tradicional no roteamento entre VLANs, assegure-se de que as portas de switch que se conectam às interfaces de roteador estejam configuradas nas VLANs corretas. Se as portas de switch não forem configuradas na VLAN correta, os dispositivos configurados nessa VLAN não poderão se conectar à interface do roteador e, conseqüentemente, não poderão rotear para as outras VLANs.

Clique no botão Topologia 1 na figura.

Como você pode ver na Topologia 1, o PC1 e a interface F0/0 do roteador R1 foram configurados para estar na mesma sub-rede lógica, como indicado pela atribuição de endereço IP. Entretanto, a porta de switch F0/4 que se conecta à interface F0/0 do roteador R1 não foi configurada e permaneceu na VLAN padrão. Como o roteador R1 está em uma VLAN diferente daquela em que está o PC1, eles não podem se comunicar.

Para solucionar este problema, execute o comando de configuração de interface switchport access vlan 10 na porta de switch F0/4 do switch S1. Quando a porta de switch é configurada para a VLAN correta, o PC1 pode comunicar-se com a interface F0/0 do roteador R1, o que permite que ele acesse as outras VLANs conectadas ao roteador R1.

Clique no botão Topologia 2 na figura para ver outro problema de configuração de switch.

Em Topologia 2, foi escolhido o modelo de roteamento com roteador fixo. Porém, a interface F0/5 no switch S1 não está configurada como um tronco e, subseqüentemente, partiu na VLAN padrão para a porta. Como resultado, o roteador não pode funcionar corretamente porque nenhuma de suas subinterfaces configuradas pode enviar ou receber tráfego com etiqueta de VLAN. Isso impede todas as VLANs configuradas de rotear pelo roteador R1 para alcançar as outras VLANs.

Para solucionar este problema, execute o comando de configuração de interface switchport mode trunk na porta de switch F0/5 do switch S1. Isso converte a interface em um tronco, permitindo que o tronco estabeleça com êxito uma conexão com o roteador R1. Quando o tronco é estabelecido com êxito, os dispositivos conectados a cada uma das VLANs podem comunicar-se com a subinterface atribuída à VLAN deles, possibilitando o roteamento entre VLANs.

Clique no botão Topologia 3 na figura para ver outro problema de configuração de switch.

Em Topologia 3, o link de tronco entre o switch S1 e o switch S2 está para inativo. Como não há nenhuma conexão ou caminho redundante entre os dispositivos, nenhum dispositivo conectado ao switch S2 pode alcançar o roteador R1. Como resultado, nenhum dispositivo conectado ao switch S2 pode rotear a outras VLANs pelo roteador R1.

Para reduzir o risco de interrupção do roteamento entre VLANs por um link inter-switch com falha, links redundantes e caminhos alternativos devem ser configurados entre os switches S1 e S2. Links redundantes são configurados na forma de um EtherChannel que protege contra uma única falha de link. A tecnologia Cisco EtherChannel permite agregar links físicos múltiplos em um link lógico. Isso pode proporcionar até 80 Gb/s de largura de banda agregada com 10 Gigabit EtherChannel.

Além disso, podem ser configurados caminhos alternativos através de outros switches interconectados. Esta abordagem depende do Protocolo Spanning Tree (STP) para impedir a possibilidade de loops dentro do ambiente de switch. Pode haver também uma

pequena interrupção no acesso de roteador enquanto o STP determina se o link atual está para inativo e localiza uma rota alternativa.

O currículo do CCNP aborda a tecnologia EtherChannel; para obter mais informações sobre a tecnologia Cisco EtherChannel, visite: http://www.cisco.com/en/US/tech/tk389/tk213/technologies_white_paper09186a0080092944.shtml (em inglês).

Página 2:

Comandos do IOS Cisco do switch

Quando você suspeitar de um problema com uma configuração de switch, use os vários comandos de verificação para examinar a configuração e identificar o problema.

Clique no botão Atribuição de VLAN incorreta na figura.

A saída de comandos na tela mostra os resultados do comando show interface interface-id switchport. Suponha que você tenha emitido esses comandos por suspeitar que a VLAN 10 não foi atribuída à porta F0/4 no switch S1. A área superior realçada mostra que a porta F0/4 no switch S1 está em modo de acesso, mas não mostra que ela foi atribuída diretamente à VLAN 10. A área inferior realçada confirma que a porta F0/4 ainda está definida para a VLAN padrão. Os comandos show running-config e show interface interface-id switchport são úteis para identificar problemas de atribuição de VLAN e configuração de porta.

Clique no botão Modo de acesso incorreto na figura.

Após a alteração da configuração do dispositivo, a comunicação entre o roteador R1 e o switch S1 parou. O link entre o roteador e o switch deve ser um link de tronco. A saída do comando na tela mostra os resultados dos comandos show interface interface-id switchport e show running-config. A área superior realçada confirma que a porta F0/4 no switch S1 está em modo de acesso, não em modo de tronco. A área inferior realçada também confirma que a porta F0/4 foi configurada para modo de acesso.

6.3.2 Problemas de configuração do roteador

Página 1:

Um dos erros mais comuns na configuração do roteador entre VLANs é conectar a interface física do roteador à porta de switch errada, colocando-a na VLAN incorreta e impedindo-a de alcançar as outras VLANs.

Como você pode ver em Topologia 1, a interface F0/0 do roteador R1 está conectada ao switch S1 na porta de tronco F0/9. A porta de switch F0/9 está configurada para a VLAN padrão, não para a VLAN10. Isso impede que o PC1 se comunique com a interface do roteador, e conseqüentemente, o PC1 não pode rotear para a VLAN30.

Para solucionar este problema, conecte fisicamente a interface F0/0 do roteador R1 à porta F0/4 do switch S1. Assim, a interface do roteador é colocada na VLAN correta,

possibilitando o funcionamento do roteamento entre VLANs. Como alternativa, é possível alterar a atribuição de VLAN da porta de switch F0/9 para que ela esteja na VLAN10. Essa ação também permite que o PC1 se comunique com a interface F0/0 do roteador R1.

Clique no botão Topologia 2 na figura para ver outro problema de configuração de roteador.

Em Topologia 2, o roteador R1 foi configurado para usar a VLAN errada na subinterface F0/0.10, impedindo dispositivos configurados na VLAN10 de se comunicarem com a subinterface F0/0.10. Dessa forma, esses dispositivos não podem rotear para outras VLANs na rede.

Para solucionar este problema, configure a subinterface F0/0.10 para estar na VLAN correta com o uso do comando do modo de configuração de subinterface encapsulation dot1q 10. Quando a subinterface tiver sido atribuída à VLAN correta, ela poderá ser acessada por dispositivos naquela VLAN e executar o roteamento entre VLANs.

Página 2:


Neste cenário de solução de problemas, você suspeita de um problema com o roteador R1. A subinterface F0/0.10 deve permitir acesso ao tráfego da VLAN 10, e a subinterface F0/0.30 deve permitir acesso ao tráfego da VLAN 30. A captura de tela mostra os resultados da execução dos comandos show interface e show running-config.

A seção superior realçada mostra que a subinterface F0/0.10 no roteador R1 usa a VLAN 100. O comando show interface gera muitos comandos de saída, algumas vezes tornando difícil a visualização do problema.

O comando show running-config confirma que a subinterface F0/0.10 no roteador R1 foi configurada para permitir acesso ao tráfego da VLAN 100 e não ao da VLAN 10. Talvez seja um erro de digitação.

Com a verificação adequada, problemas de configuração do roteador são rapidamente resolvidos, fazendo o roteamento entre VLANs funcionar corretamente outra vez. Lembre-se de que as VLANs são conectadas diretamente: é assim que elas ingressam na tabela de roteamento.

6.3.3 Problemas de endereçamento IP

Página 1:

Já sabemos que sub-redes são a chave para a implementação do roteamento entre VLANs. VLANs correspondem a sub-redes exclusivas na rede. Para o roteamento entre VLANs funcionar, um roteador precisa estar conectado a todas as VLANs, seja por interfaces físicas separadas, seja por subinterfaces entroncadas. Cada interface, ou subinterface, precisa de um endereço IP que corresponda à sub-rede à qual ela está

conectada. Isso permite que dispositivos na VLAN se comuniquem com a interface do roteador e habilitem o roteamento de tráfego para outras VLANs conectadas ao roteador.

Vejamos alguns erros comuns.

Como você pode ver em Topologia 1, o roteador R1 foi configurado com um endereço IP incorreto na interface F0/0. Isso impede que o PC1 se comunique com o roteador R1 na VLAN10.

Para solucionar este problema, atribua o endereço IP correto à interface F0/0 do roteador R1 com o uso do comando de interface ip address 172.17.10.1 255.255.255.0 no modo de configuração. Após a atribuição do endereço IP correto à interface do roteador, o PC1 pode usar a interface como um gateway padrão para acessar outras VLANs.

Clique no botão Topologia 2 na figura para ver outro problema de configuração de endereço IP.

Em Topologia 2, o PC1 foi configurado com um endereço IP incorreto para a sub-rede associada à VLAN10. Isso impede que o PC1 se comunique com o roteador R1 na VLAN10.

Para solucionar este problema, atribua o endereço IP correto ao PC1. Dependendo do tipo de PC em uso, os detalhes de configuração podem ser diferentes.

Clique no botão Topologia 3 na figura para ver outro problema de configuração de endereço IP.

Em Topologia 3, o PC1 foi configurado com a máscara de sub-rede incorreta. De acordo com a máscara de sub-rede configurada para o PC1, ele está na rede 172.17.0.0. Resultado: o PC1 determina que o PC3, com endereço IP 172.17.30.23, está na sub-rede local. Consequentemente, o PC1 não encaminha o tráfego destinado para o PC3 à interface F0/0 do roteador R1. Portanto, o tráfego nunca alcança o PC3.

Para solucionar este problema, altere a máscara de sub-rede no PC1 para 255.255.255.0. Dependendo do tipo de PC em uso, os detalhes de configuração podem ser diferentes.

Página 2:

Comandos de verificação

Você aprendeu anteriormente que cada interface, ou subinterface, precisa de um endereço IP que corresponda à sub-rede à qual ela está conectada. Um erro comum é configurar um endereço IP incorretamente para uma subinterface. A captura de tela mostra os resultados do comando show running-config. A área realçada mostra que a subinterface F 0/0.10 no roteador R1 tem um endereço IP de 172.17.20.1. A VLAN para esta subinterface deve permitir o tráfego da VLAN 10. Há um endereço IP configurado incorretamente. Outro comando útil é o ip interface. O segundo realce mostra o endereço IP incorreto.

Clique no botão Problema de endereçamento IP do PC.

Muitas vezes, o culpado é o dispositivo de usuário final, por exemplo, o computador pessoal. Na configuração de saída do comando na tela do computador PC1, o endereço IP é 172.17.20.21, com uma máscara de sub-rede de 255.255.255.0. Mas neste cenário, o PC1 deveria estar na VLAN10, com um endereço de 172.17.10.21 e uma máscara de sub-rede de 255.255.255.0.

6.5 Resumo do capítulo6.5.1 Resumo do capítulo

Página 1:

O roteamento entre VLANs é o processo de roteamento do tráfego entre VLANs diferentes, com o uso de um roteador dedicado ou de um switch multicamada. O roteamento entre VLANs facilita a comunicação entre dispositivos isolados por limites de VLAN.

A topologia de roteamento entre VLANs que usa um roteador externo com subinterfaces entroncadas para um switch de camada 2 é chamada de roteador fixo. Com essa opção, é importante configurar um endereço IP em cada subinterface lógica, bem como o número de VLAN associado.

Redes comutadas modernas usam interfaces virtuais de switch em switches multicamada para habilitar o roteamento entre VLANs.

Switches Catalyst 2960 podem ser usados em um cenário de roteador fixo, enquanto switches Catalyst 3560 podem ser usados para a opção de comutação multicamada do roteamento entre VLANs.

7 Conceitos básicos e configuração de rede sem fio



Página 1:

Nos capítulos anteriores, você aprendeu como funções de switch podem facilitar a interconexão de dispositivos em uma rede conectada por fios. Redes de negócios típicas utilizam redes cabeadas. São feitas conexões físicas entre sistemas de computadores, sistemas telefônicos e outros dispositivos periféricos com switches localizados nos wiring closets.

O gerenciamento de uma infraestrutura cabeada pode ser um desafio. Considere o que acontece quando um funcionário decide que prefere seu sistema de computadores em outro local do escritório, ou quando um gerente deseja levar um notebook para uma sala de reuniões e conectar-se de lá à rede. Em uma rede cabeada, você precisa mover o cabo de conexão de rede para um novo local no escritório e certificar-se de que haja uma

conexão de rede disponível na sala de reuniões. Para evitar essas mudanças físicas, redes sem fio estão ficando cada vez mais comuns.

Neste capítulo, você aprenderá como uma rede local sem fio (WLANs) oferece às empresas um ambiente de rede flexível. Conhecerá os diferentes padrões sem fio disponíveis atualmente e as características de cada um. Você saberá quais componentes de hardware são normalmente necessários em uma infraestrutura sem fio, como as WLANs operam, e como protegê-las. Para concluir, você aprenderá a configurar um ponto de acesso sem fio e um cliente para rede sem fio.

7.1 A rede local sem fio

7.1.1 Por que usar tecnologia wireless?

Página 1:

Por que redes locais sem fio se tornaram tão populares?

Clique no botão Reproduzir na figura para exibir o vídeo.

Atualmente, redes de negócios estão evoluindo para oferecer suporte às pessoas na correria do dia-a-dia. Funcionários e empregadores, alunos e corpo docente, agentes do governo e seus superiores, fãs de esporte e consumidores, todos têm aparelhos móveis, e muitos deles estão "conectados" uns aos outros. Talvez você transfira mensagens instantâneas para um telefone celular quando está longe do computador. Esta é a visão de mobilidade: um ambiente em que as pessoas podem se locomover para onde quiserem sem perder a conexão com a rede.

Há muitas infraestruturas diferentes (rede local cabeada, redes de provedores de serviços) que possibilitam essa mobilidade, mas em um ambiente de negócios, a mais importante é a WLAN.

A produtividade já não é restringida a um local de trabalho fixo ou um período de tempo determinado. Agora o que as pessoas querem é permanecer conectadas, a qualquer hora e em qualquer lugar, do escritório para o aeroporto ou até mesmo em casa. Antes, funcionários que estivessem viajando ficavam limitados a telefones públicos para verificar mensagens e retornar chamadas entre um voo e outro. Agora eles podem verificar email, correio de voz e o status de produtos em assistentes digitais pessoais (PDAs) enquanto vão de um lugar para outro.

Em casa, muitas pessoas mudaram o modo de viver e de aprender. A Internet tornou-se um serviço padrão em muitas casas, juntamente com a TV e o telefone. Até mesmo o modo de acessar a Internet mudou rapidamente de serviço temporário de discagem com modem para DSL dedicado ou serviço de cabo. Usuários domésticos estão buscando muitas das mesmas soluções sem fio flexíveis que funcionários em um escritório já possuem. Pela primeira vez, em 2005, foram comprados mais laptops móveis habilitados com Wi-Fi do que desktops fixos.

Além da flexibilidade que as WLANs oferecem, outro benefício importante é o custo reduzido. Por exemplo, com uma infraestrutura sem fio já em operação, a economia é

percebida quando uma pessoa muda de local em um prédio, quando um laboratório é reorganizado, ou quando a equipe muda para locais temporários. Em média, o custo de TI para mover um funcionário para um novo local dentro de um prédio é de US$375.

Outro exemplo é a mudança de uma empresa para um novo prédio que não tem nenhuma infraestrutura cabeada. Neste caso, a economia resultante do uso de WLANs pode ser ainda mais notável porque evita o custo de passar cabos por paredes, teto e chão.

Embora seja mais difícil provar com números, as WLANs podem resultar em produtividade melhor e funcionários menos tensos, trazendo melhores resultados para clientes e maiores lucros.

Página 2:

Redes locais sem fio

Nos capítulos anteriores, você aprendeu sobre tecnologias de switch e funções. A maioria das redes de negócio atuais fazem uso de redes locais baseadas em switch para operações cotidianas dentro do escritório. Porém, trabalhadores estão utilizando mais tecnologia móvel e desejam manter acesso a seus recursos comerciais de rede local a partir de locais que não sejam a escrivaninhaem suas mesas. Os funcionários no escritório desejam levar os laptops para reuniões ou para o escritório de um colega de trabalho. Ao usar um laptop em outro local, não é conveniente confiar em uma conexão cabeada. Neste tópico, você aprenderá sobre redes locais sem fio (WLANs) e como elas beneficiam um negócio. Você também explorará as questões de segurança associadas a WLANs.

A comunicação portátil tornou-se uma expectativa em muitos países em todo o mundo. Existe portabilidade e mobilidade em tudo, desde teclados e fones de ouvido sem fio a telefones via satélite e sistemas de posicionamento global (GPS). A mistura de tecnologias sem fio em tipos diferentes de redes permite a mobilidade dos funcionários.

Clique no botão Redes locais sem fio na figura.

Você pode ver que a WLAN é uma extensão da Rede local Ethernet. A função da rede local agora é móvel. Você vai conhecer a tecnologia WLAN e os padrões por trás da mobilidade que permitem que pessoas continuem uma reunião enquanto caminham, andam de táxi ou estão no aeroporto.

Página 3:

Comparando uma WLAN com uma rede local

Redes locais sem fio compartilham uma origem semelhante com redes locais Ethernet. O IEEE adotou o portfólio de rede local 802/MAN de padrões de arquitetura de rede de computadores. Os dois grupos 802 dominantes em funcionamento são Ethernet 802.3 e rede local sem fio IEEE 802.11. No entanto, há diferenças importantes entre os dois.

WLANs usam frequências de rádio (RF) em vez de cabos na Camada física e na subcamada MAC da camada de enlace de dados. Em comparação com cabo, RF tem as seguintes características:

RF não tem limites, como os limites de uma cerca em volta de um quintal. A ausência de tais limites permite que estruturas de dados viajem pelas mídias de RF para estarem disponíveis a qualquer um que possa receber o sinal de RF.

RF não é isolada de sinais externos, embora o cabo fique isolado. Rádios que operam independentemente na mesma área geográfica, mas usando a mesma RF ou uma RF semelhante podem interferir entre si.

A transmissão de RF está sujeita aos mesmos desafios inerentes a qualquer tecnologia baseada em onda, como rádio de casa. Por exemplo, conforme você se afasta da origem, você pode ouvir estações tocando e se sobrepondo, ou pode ouvir estática na transmissão. Consequentemente, você pode perder todo o sinal. Redes locais cabeadas têm cabos de comprimento apropriado para manter a intensidade do sinal.

Faixas de RF são regulamentadas de maneira diferente em vários países. O uso de WLANs é sujeito a regulamentos e conjuntos de padrões adicionais que não se aplicam a redes locais cabeadas.

WLANs conectam clientes à rede por um ponto de acesso sem fio (AP) em vez de um switch Ethernet.

WLANs conectam dispositivos móveis que frequentemente funcionam com bateria, ao contrário de dispositivos de rede local que funcionam conectados à tomada. Placas de interface de rede sem fio tendem a reduzir a vida útil da bateria de um dispositivo móvel.

WLANs suportam hosts que disputam acesso nas mídias de RF (faixas de frequência). Redes 802.11 determinam prevenção contra colisão em vez de detecção de colisão para o acesso de mídia evitar colisões preventivamente na mídia.

WLANs usam um formato de quadro diferente do formato usado pelas redes locais Ethernet cabeadas. WLANs exigem informações adicionais no cabeçalho do quadro da Camada 2.

WLANs aumentam os problemas de privacidade porque as frequências de rádio podem ir além das instalações.

Página 4:

Apresentando as redes locais sem fio

Redes locais sem fio 802.11 estendem as infraestruturas de rede local Ethernet 802.3 para fornecer opções de conectividade adicionais. Entretanto, são usados componentes e protocolos adicionais para concluir as conexões sem fio.

Em uma rede local Ethernet 802.3, cada cliente tem um cabo que conecta a placa de rede de cliente a um switch. O switch é o ponto em que o cliente ganha acesso à rede.

Clique no botão Dispositivos WLAN na figura.

Em uma rede local sem fio, cada cliente usa um adaptador sem fio para ganhar acesso à rede por um dispositivo sem fio como um roteador ou ponto de acesso sem fio.

Clique no botão Clientes na figura.

O adaptador sem fio no cliente comunica-se com o roteador ou ponto de acesso sem fio que usa sinais de RF. Uma vez conectados à rede, clientes da rede sem fio podem acessar recursos de rede como se estivessem conectados a ela por cabos.

7.1.2 Padrões de redes locais sem fio

Página 1:

Padrões de redes locais sem fio

Rede local sem fio 802.11 é um padrão de IEEE que define como a frequência de rádio (RF) nas faixas de frequência industriais, científicas e médicas (ISM) sem licença é usada para a camada física e para a subcamada MAC de links sem fio.

Na primeira vez em que o 802.11 foi lançado, ele determinava taxas de dados de 1 a 2 Mb/s na faixa de 2,4 GHz. Naquela época, redes locais cabeadas operavam a 10 Mb/s, então a nova tecnologia sem fio não foi adotada com entusiasmo. Desde então, os padrões de redes locais sem fio melhoraram continuamente com o lançamento do IEEE 802.11a, do IEEE 802.11b, do IEEE 802.11g e do 802.11n, em fase de testes.

Normalmente, a escolha do padrão WLAN a ser usado é baseada em taxas de dados. Por exemplo, os 802.11a e g podem suportar até 54 Mb/s, enquanto o 802.11b suporta no máximo 11 Mb/s, sendo este o padrão "lento", fazendo os 802.11 a e g os mais preferidos. Um quarto padrão de WLAN em fase de testes, o 802.11n, excede as taxas de dados disponíveis atualmente. O IEEE 802.11n deve ser aprovado em setembro de 2008. A figura compara os padrões aprovados IEEE 802.11a, b e g.

Clique no botão Tabela na figura para ver detalhes de cada padrão.

As taxas de dados de padrões de redes locais sem fio diferentes são afetadas por algo chamado de técnica de modulação. As duas técnicas de modulação que serão abordadas neste curso são Espectro distribuído de sequência direta (DSSS, Direct Sequence Spread Spectrum) e Multiplexação da divisão de frequência ortogonal (OFDM, Orthogonal Frequency Division Multiplexing). Você não precisa saber como essas técnicas funcionam para este curso, mas deve saber que quando um padrão usa a técnica OFDM, ele tem taxas de dados mais rápidas. Entretanto, a DSSS é mais simples que a OFDM, portanto a implementação dela é menos dispendiosa.

802.11a

O IEEE 802.11a adota a técnica de modulação OFDM e usa a faixa de 5 GHz.

Dispositivos 802.11a que operam na faixa de 5 GHz apresentam menos problemas de interferência do que dispositivos que operam na faixa de 2,4 GHz porque há menos dispositivos consumidores usando a faixa de 5 GHz. Além disso, frequências mais altas permitem o uso de antenas menores.

Há algumas desvantagens relevantes quanto ao uso da faixa 5 de GHz. A primeira é que ondas de rádio de frequência mais altas são absorvidas mais facilmente por obstáculos como paredes, tornando o 802.11a suscetível a baixo desempenho devido a bloqueios. A segunda é que essa faixa de frequência mais alta tem alcance ligeiramente mais limitado que o 802.11b ou g. Além disso, alguns países, inclusive a Rússia, não permitem o uso da faixa de 5 GHz, o que pode continuar restringindo sua implantação.

802.11b e 802.11g

O 802.11b especifica taxas de dados de 1, 2, 5.5 e 11 Mb/s na faixa de ISM de 2,4 GHz usando DSSS. O 802.11g obtém taxas de dados mais altas nessa faixa usando a técnica de modulação OFDM. O IEEE 802.11g também especifica o uso de DSSS para compatibilidade com sistemas do IEEE 802.11b. São suportadas taxas de dados DSSS de 1, 2, 5.5 e 11 Mb/s, assim como taxas de dados OFDM de 6, 9, 12, 18, 24, 48 e 54 Mb/s.

Há vantagens quanto ao uso da faixa de 2,4 GHz. Dispositivos na faixa de 2,4 GHz têm alcance melhor que os da faixa de 5GHz. Além disso, as transmissões nesta faixa não são bloqueadas tão facilmente quanto o 802.11a.

Há uma desvantagem relevante quanto ao uso da faixa de 2,4 GHz. Muitos dispositivos consumidores também usam a faixa de 2,4 GHz e tornam os dispositivos 802.11b e g propensos a interferência.

802.11n

O objetivo do padrão IEEE 802.11n em fase de teste é melhorar as taxas de dados WLAN e o intervalo sem exigir alimentação ou alocação de faixas de RF adicionais. O 802.11n usa rádios e antenas múltiplos em extremidades, cada um transmitindo na mesma frequência para estabelecer fluxos múltiplos. A tecnologia de entradas múltiplas/saídas múltiplas (MIMO) divide um fluxo de taxa de dados alta em múltiplos fluxos de taxa menores e os transmite simultaneamente através de rádios e antenas disponíveis. Isso possibilita uma taxa de dados máxima teórica de 248 Mb/s usando dois fluxos.

A ratificação do padrão é esperada para setembro de 2008.

Importante: Faixas RF são alocadas pelo setor de comunicação de rádio da International Telecommunication Union (ITU-R). O ITU-R designa as faixas de frequência de 900 MHz, 2,4 GHz e 5 GHz ata como não licenciadas para comunidades ISM. Mesmo que as faixas ISM sejam não licenciadas no mundo todo, elas estão sujeitas a regulamentações locais. O uso dessas faixas é administrado pela FCC (Federal Communications Commission, Comissão Federal de Comunicações) nos Estados Unidos e pelo ETSI (European Telecommunications Standards Institute, Instituto

Europeu de Normas de Telecomunicações) na Europa. Esses problemas afetarão a seleção de componentes sem fio em uma implementação sem fio.

Página 2:

Certificação Wi-Fi

A certificação Wi-Fi é fornecida pela Wi-Fi Alliance (http://www.wi-fi.org), uma associação global de comércio industrial sem fins financeiros dedicada a elevar o crescimento e a aceitação de WLANs. Você entenderá melhor a importância da certificação Wi-Fi se considerar a função da Wi-Fi Alliance no contexto de padrões de WLAN.

Os padrões garantem a interoperabilidade entre dispositivos feitos por fabricantes diferentes. Internacionalmente, as três principais organizações que influenciam os padrões de WLAN são:

ITU-R IEEE Wi-Fi Alliance

O ITU-R regulamenta a alocação do espectro de RF e das órbitas de satélite. Eles são descritos como recursos naturais finitos que estão em demanda de consumidores como redes fixas sem fio, redes móveis sem fio e sistemas de posicionamento global.

O IEEE desenvolveu e mantém os padrões para redes locais e de áreas metropolitanas com a família de padrões IEEE 802 LAN/MAN. O IEEE 802 é gerenciado pelo Comitê de Padrões IEEE 802 LAN/MAN (LMSC), que administra grupos de trabalho múltiplos. Os padrões dominantes na família IEEE 802 são Ethernet 802.3, 802.5 Token Ring e Rede local sem fio 802.11.

Embora o IEEE tenha especificado padrões para dispositivos de modulação RF, ele não especificou padrões de fabricação, fazendo interpretações dos padrões 802.11 por fornecedores diferentes causarem problemas de interoperabilidade entre os dispositivos.

A Wi-Fi Alliance é uma associação de fornecedores cujo objetivo é melhorar a interoperabilidade de produtos baseados no padrão 802.11, certificando fornecedores para estarem em conformidade com as normas da indústria e aderirem aos padrões. A certificação inclui as três tecnologias RF IEEE 802.11, bem como a adoção prévia de padrões IEEE em fase de teste, como o 802.11n, e os padrões de segurança WPA e WPA2 baseados no IEEE 802.11i.

As funções dessas três organizações podem ser resumidas da seguinte forma:

O ITU-R regulamenta a alocação de faixas de RF. O IEEE especifica como o RF é modulado para transmitir informações. A Wi-Fi assegura que fornecedores façam dispositivos interoperáveis.

7.1.3 Componentes de infraestrutura sem fio

Página 1:

Placas de rede sem fio

Talvez você já use uma rede sem fio em casa, em uma lan house ou na sua escola. Já imaginou que componentes de hardware estão envolvidos para permitir o acesso sem fio à rede local ou à Internet? Neste tópico, você saberá quais componentes estão disponíveis para implementar WLANs e como cada um é usado na infraestrutura sem fio.

Revisão: os componentes básicos de uma WLAN são estações clientes que se conectam a pontos de acesso que, por sua vez, se conectam à infraestrutura de rede. O dispositivo que permite que uma estação cliente possa enviar e receber sinais de RF é a placa de rede sem fio.

Como uma placa de rede Ethernet, a placa de rede sem fio, usando a técnica de modulação à qual está configurada para usar, codifica um fluxo de dados sobre um sinal de RF. Placas de rede sem fio são frequentemente associadas a dispositivos móveis, como laptops. Nos anos 90, placas de rede sem fio para laptops eram placas que deslizavam para dentro do slot PCMCIA. Placas de rede sem fio PCMCIA ainda são comuns, mas muitos fabricantes começaram a fazer a placa de rede sem fio já dentro do laptop. Ao contrário das interfaces 802.3 Ethernet feitas em PCs, a placa de rede sem fio não é visível porque não há nenhuma necessidade de conectar um cabo ao PC.

Outras opções surgiram ao longo dos anos. Desktops localizados em instalações não cabeadas podem ter uma placa PCI sem fio. Há também várias opções USB disponíveis para configurar rapidamente um PC, um dispositivo móvel ou um desktop com uma placa de rede sem fio.

Página 2:

Pontos de acesso sem fio

Um ponto de acesso conecta clientes para rede sem fio (ou estações) à rede local cabeada. Dispositivos de cliente normalmente não se comunicam diretamente entre si; eles se comunicam com o AP. Essencialmente, um ponto de acesso converte os pacotes de dados TCP/IP de seu formato de encapsulamento de quadro 802.11 no ar para o formato de quadro 802.3 Ethernet na rede Ethernet cabeada.

Em uma rede de infraestrutura, clientes devem associar-se a um ponto de acesso para obter serviços de rede. Associação é o processo pelo qual um cliente se une a uma rede 802.11. É semelhante a conectar-se a uma rede local cabeada. A associação é discutida em tópicos posteriores.

Um ponto de acesso é um dispositivo de Camada 2 que funciona como um hub 802.3 Ethernet. RF é um meio compartilhado, e pontos de acesso escutam todo o tráfego de rádio. Da mesma maneira que com o 802.3 Ethernet, os dispositivos que desejam usar o meio disputam por ele. Apesar disso, diferentemente das placas de rede Ethernet, é caro

fazer placas de rede sem fio que possam transmitir e receber ao mesmo tempo; assim, dispositivos de rádio não detectam colisões. Em vez disso, dispositivos de WLAN são criados para evitá-las.

CSMA/CA

Pontos de acesso supervisionam uma função de coordenação distribuída (DCF) chamada Acesso Múltiplo com Verificação de Portadora (Carrier Sense Multiple Access with Collision Avoidance,CSMA) com Anulação de Colisão (CSMA/CA). Isso simplesmente significa que dispositivos em uma WLAN devem sentir o meio para verificar alimentação (estímulo de RF acima de um certo limite) e esperar até que o meio esteja livre antes de transmitir. Como todos os dispositivos precisam fazer isso, a função de coordenação do acesso ao meio é distribuída. Se um ponto de acesso recebe dados de uma estação cliente, ele envia ao cliente uma confirmação do recebimento dos dados. Essa confirmação impede que o cliente suponha que houve uma colisão e que ele transmita os dados novamente.

Clique no botão Nós ocultos na figura.

Sinais de RF atenuam-se. Isso significa que eles perdem energia conforme se afastam do ponto de origem. É como uma estação de rádio saindo de sintonia. Esta atenuação de sinal pode ser um problema em uma WLAN na qual estações disputam pelo meio.

Imagine duas estações cliente conectadas ao mesmo ponto de acesso, mas em lados opostos. Se eles estiverem ao intervalo máximo para alcançar o ponto de acesso, eles não poderão alcançar um ao outro. Assim, nenhuma dessas estações sente a outra no meio, e eles podem acabar transmitindo simultaneamente. Isso é conhecido como o problema de nó oculto (ou estação oculta).

Uma maneira de solucionar o problema de nó oculto é um recurso do CSMA/CA chamado Solicitar para enviar/Limpar para enviar (RTS/CTS). O RTS/CTS foram desenvolvidos para permitir uma negociação entre um cliente e um ponto de acesso. Quando eles estão habilitados em uma rede, pontos de acesso alocam o meio à estação solicitante pelo tempo necessário para concluir a transmissão. Quando a transmissão termina, outras estações podem solicitar o canal de maneira semelhante. Caso contrário, a função de prevenção contra colisão normal continua.

Página 3:

Roteadores sem fio

Roteadores sem fio executam a função de ponto de acesso, switch Ethernet e roteador. Por exemplo, o Linksys WRT300N usado tem na realidade três dispositivos em uma caixa. O primeiro é o ponto de acesso sem fio, que executa as funções normais de um ponto de acesso. O segundo é um switch 10/100 em full duplex interno que fornece conectividade a dispositivos cabeados. Finalmente, a função de roteador fornece um gateway para conexão com outras infraestruturas de rede.

É mais comum o WRT300N ser usado como um dispositivo de acesso wireless em uma pequena empresa ou em uma residência. A carga esperada no dispositivo é baixa o

suficiente para ele gerenciar a provisão de WLAN e 802.3 Ethernet e conectar-se a um ISP.

7.1.4 Operação sem fio

Página 1:

Parâmetros configuráveis para pontos de extremidade sem fio

A figura mostra a tela inicial da configuração sem fio em um roteador para rede sem fio Linksys. Vários processos podem ser seguidos para estabelecer uma conexão entre cliente e ponto de acesso. É necessário configurar parâmetros no ponto de acesso - e subsequentemente no dispositivo de cliente para habilitar a negociação desses processos.

Clique no botão Modos na figura para exibir o parâmetro Modo de Rede Sem Fio.

O modo de rede sem fio refere-se aos protocolos de WLAN: 802.11a, b, g, ou n. Como o 802.11g é compatível com o antecessor 802.11b, pontos de acesso suportam os dois. Lembre-se: se todos os clientes se conectarem a um ponto de acesso com o 802.11g, todos eles terão as melhores taxas de dados à sua disposição. Quando clientes do 802.11b se associam ao ponto de acesso, todos os clientes mais rápidos que estejam competindo pelo canal devem esperar, antes de transmitir, que os clientes do 802.11b liberem o canal. Quando um ponto de acesso Linksys está configurado para aceitar tanto clientes do 802.11b quanto do 802.11g, ele está operando em modo misto.

Para um ponto de acesso suportar o 802.11a, assim como o 802.11b e o 802.11g, ele deve ter um segundo rádio para operar na faixa RF diferente.

Clique no botão SSID na figura para exibir uma lista de SSIDs para um cliente Windows.

Um identificador do conjunto de serviços compartilhado (SSID) é um identificador exclusivo usado por dispositivos cliente para distinguir entre redes sem fio múltiplas na mesma área. Um SSID pode ser compartilhado entre vários pontos de acesso em uma rede. A figura mostra um exemplo de SSIDs que distinguem entre WLANs. Cada qual pode ser qualquer entrada alfanumérica, com diferenciação de maiúsculas e minúsculas, de 2 a 32 caracteres.

Clique no botão Canal na figura para exibir um gráfico de canais não sobrepostos.

O padrão IEEE 802.11 estabelece o esquema de canalização para o uso das faixas de RF ISM não licenciadas em WLANs. A faixa de 2.4 GHz é interrompida em 11 canais na América do Norte e 13 canais na Europa. Estes canais têm uma separação de frequência de centro de apenas 5 MHz e uma largura de banda de canal geral (ou ocupação de frequência) de 22 MHz. A largura de banda de canal de 22 MHz combinada com a separação de 5 MHz entre de frequências de centro significa que há uma sobreposição de canais sucessivos. Práticas recomendadas para WLANs que exigem múltiplos pontos de acesso são definidas para o uso de canais não sobrepostos. Se houver três pontos de acesso adjacentes, use os canais 1, 6 e 11. Se houver apenas dois, selecione quaisquer

dois que estejam separados por cinco canais, como os canais 5 e 10. Muitos pontos de acesso podem selecionar um canal automaticamente, baseando-se no uso de canal adjacente. Alguns produtos monitoram o espaço de rádio continuamente para ajustar as configurações de canal de maneira dinâmica de acordo com alterações no ambiente.

Página 2:

Topologias 802.11

Redes locais sem fio podem acomodar várias topologias de rede. Ao descrever essas topologias, o componente básico da arquitetura de WLAN do IEEE 802.11 é o conjunto de serviços básico (BSS). O padrão define um BSS como um grupo de estações que se comunicam entre si.

Clique no botão Ad hoc na figura.

Redes ad hoc

Redes sem fio podem operar sem pontos de acesso; isso é chamado de topologia ad hoc. Estações clientes configuradas para operar em modo ad hoc configuram os parâmetros sem fio entre si. O padrão IEEE 802.11 refere-se a uma rede ad hoc como sendo um BSS independente (IBSS).

Clique no botão BSS na figura.

Conjunto de serviços básico

Pontos de acesso fornecem uma infraestrutura que adiciona serviços e melhora o intervalo para clientes. Um único ponto de acesso em modo de infraestrutura gerencia os parâmetros sem fio, e a topologia é simplesmente um BSS. A área de cobertura para um IBSS e um BSS é a área de serviço básica (BSA).

Clique no botão ESS na figura.

Conjunto de serviços estendidos

Quando um único BSS fornece cobertura de RF insuficiente, um ou mais podem ser unidos por um sistema de distribuição comum em um conjunto estendido de serviços (ESS). Em um ESS, um BSS é diferenciado de outro pelo identificador de BSS (BSSID), que é o endereço MAC do ponto de acesso que serve o BSS. A área de cobertura é a área de serviço estendida (ESA).

Sistema de distribuição comum

O sistema de distribuição comum permite que múltiplos pontos de acesso em um ESS pareçam ser um único BSS. Um ESS geralmente inclui um SSID comum para permitir que um usuário migre entre pontos de acesso.

Células representam a área de cobertura fornecida por um único canal. Um ESS deve ter de 10 a 15% de sobreposição entre células em uma área de serviço estendida. Com uma

sobreposição de 15% entre células, um SSID, e canais não sobrepostos (uma célula no canal 1 e outra no canal 6), pode ser criado o recurso de roaming.

Clique no botão Resumo na figura para ver uma comparação entre topologias de WLAN.

Página 3:

Associação entre cliente e ponto de acesso

Um dos pontos principais do processo 802.11 é descobrir uma WLAN e subsequentemente conectar-se a ela. Os componentes principais desse processo são:

Beacons - Quadros usados pela rede de WLAN para anunciar sua presença. Investigações - Quadros usados por clientes WLAN para localizar suas redes. Autenticação - Um processo que é um artefato do padrão 802.11 original, mas

ainda assim exigido pelo padrão. Associação - O processo para estabelecer o enlace entre um ponto de acesso e

um cliente WLAN.

O propósito principal da beacon é permitir que clientes WLAN saibam quais redes e pontos de acesso estão disponíveis em uma determinada área e escolham qual rede e ponto de acesso usar. Pontos de acesso podem transmitir beacons periodicamente.

Embora os beacons possam ser regularmente transmitidos por um ponto de acesso, os quadros de investigação, autenticação e associação são usados apenas durante o processo de associação (ou reassociação).

O processo de união 802.11 (Associação)

Antes de um cliente 802.11 poder enviar dados por uma rede de WLAN, ele passa pelo processo de três estágios a seguir:

Clique no botão Investigação na figura.

Estágio 1 – investigação 802.11

Clientes procuram uma rede específica enviando uma solicitação de investigação em canais múltiplos. A solicitação de investigação especifica o nome da rede (SSID) e as taxas de bits. Um cliente WLAN típico é configurado com um SSID desejado. Assim, solicitações de investigação do cliente WLAN contêm o SSID da rede de WLAN desejada.

Se o cliente WLAN está simplesmente tentando descobrir redes de WLAN disponíveis, ele pode enviar uma solicitação de investigação sem SSID, e respondem todos os pontos de acesso configurados para responder a esse tipo de consulta. WLANs com o recurso de broadcast de SSID desabilitado não respondem.

Clique no botão Autenticação na figura.

Estágio 2 – autenticação 802.11

O 802.11 foi originalmente desenvolvido com dois mecanismos de autenticação. O primeiro, chamado autenticação aberta, é essencialmente uma autenticação NULA em que o cliente diz "autentique-me" e o ponto de acesso responde com "sim". Esse é o mecanismo usado em quase todas as implantações 802.11.

Um segundo mecanismo de autenticação é chamado de autenticação de chave compartilhada. Essa técnica baseia-se em uma chave de Wired Equivalency Protection (WEP) compartilhada entre o cliente e o ponto de acesso. Nessa técnica, o cliente envia uma solicitação de autenticação ao ponto de acesso. Em seguida, o ponto de acesso envia um texto de desafio ao cliente, que por sua vez criptografa a mensagem usando sua chave compartilhada e devolve o texto criptografado ao ponto de acesso. Então, o ponto de acesso descriptografa o texto usando sua chave e, se o texto descriptografado corresponde ao texto de desafio, o cliente e o ponto de acesso compartilham a mesma chave, e o ponto de acesso autentica a estação. Se as mensagens não correspondem, o cliente não é autenticado.

Embora a autenticação de chave compartilhada deva ser incluída nas implementações do cliente e do ponto de acesso para conformidade de padrões gerais, ela não é usada ou recomendada. O problema é que a chave WEP é normalmente usada para criptografar dados durante o processo de transmissão. O uso da mesma chave WEP no processo de autenticação proporciona um invasor com a capacidade de extrair a chave detectando e comparando o texto de desafio não criptografado e, em seguida, a mensagem de retorno criptografada. Quando a chave WEP é extraída, qualquer informação criptografada transmitida pelo link pode ser facilmente descriptografada.

Clique no botão Associação na figura.

Estágio 3 – associação 802.11

Este estágio finaliza as opções de segurança e taxa de bits, e estabelece o enlace entre o cliente WLAN e o ponto de acesso. Como parte deste estágio, o cliente aprende sobre o BSSID, que é o endereço MAC do ponto de acesso, e o ponto de acesso mapeia uma porta lógica conhecida como o identificador de associação (AID) para o cliente WLAN. A AID é equivalente a uma porta em um switch. O processo de associação permite que o switch de infraestrutura mantenha um controle dos quadros destinados ao cliente WLAN de forma que eles possam ser encaminhados.

Uma vez que um cliente WLAN está associado a um ponto de acesso, o tráfego pode ir de um lado para outro entre os dois dispositivos.

7.1.5 Planejamento da rede local sem fio

Página 1:

Planejamento da rede local sem fio

A implementação de uma WLAN que explora ao máximo os recursos e fornece o melhor serviço pode exigir planejamento cuidadoso. WLANs podem variar de

instalações relativamente simples a designs bem mais complexos e detalhados. É preciso haver um plano bem documentado antes que uma rede sem fio possa ser implementada. Neste tópico, apresentaremos o que deve ser considerado no design e no planejamento de uma rede local sem fio.

O número de usuários que uma WLAN pode suportar não é um cálculo simples. O número dos usuários depende do layout geográfico de suas instalações (quantos corpos e dispositivos cabem em um espaço), das taxas de dados esperadas pelos usuários (porque o RF é um meio compartilhado, e quanto mais usuários houver, maior será a contenção para RF), do uso de canais não sobrepostos por diversos pontos de acesso em um ESS e das configurações de capacidade de transmissão (que são limitados por um regulamento local). Você terá suporte sem fio suficiente para seus clientes se você planejar sua rede para cobertura apropriada de RF em um ESS. Os detalhes sobre o planejamento de números específicos de usuários está além do escopo deste curso.

Clique no botão Mapa na figura.

Ao planejar o local de pontos de acesso, talvez você não possa simplesmente desenhar círculos de área de cobertura e jogá-los em um mapa. A área de cobertura circular aproximada é importante, mas há algumas recomendações adicionais.

Se os pontos de acesso vão usar cabeamento existente, ou se há locais em que pontos de acesso não podem ser colocados, indique esses locais no mapa.

Posicione os pontos de acesso acima de obstruções. Posicione os pontos de acesso verticalmente perto do teto no centro de cada área

de cobertura, se possível. Posicione os pontos de acesso em locais onde se espera que os usuários estejam.

Por exemplo, salas de conferência são normalmente um local melhor para pontos de acesso do que um corredor.

Quando os pontos tiverem sido endereçados, estime a área de cobertura esperada de um ponto de acesso. Esse valor varia, dependendo do padrão ou da mescla de padrões de WLAN que você está implantando, da natureza das instalações, da capacidade de transmissão para a qual o ponto de acesso está configurado, e assim por diante. Consulte sempre as especificações para o ponto de acesso ao planejar áreas de cobertura.

Com base em seu plano, coloque os pontos de acesso na planta baixa de forma que os círculos de cobertura se sobreponham, como mostra o exemplo a seguir.

Cálculo de exemplo

O auditório aberto (uma construção semelhante a um depósito ou a uma fábrica) mostrado na figura tem aproximadamente 1.800 m2 (20,000 ft2).

Os requisitos de rede especificam que deve haver uma produtividade de 802.11b de 6 Mb/s, no mínimo, em cada BSA, porque há uma implementação de voz sobre WLAN sem fio sobreposta nesta rede. Com pontos de acesso, 6 Mbps podem ser obtidos em áreas abertas como as do mapa, com uma área de cobertura de 464 m2 (5,000 ft2) em muitos ambientes.

Observação: a área de cobertura de 464 m2 é para um quadrado. O BSA leva seu raio na diagonal a partir do centro desse quadrado.

Vamos determinar onde colocar os pontos de acesso.

Clique no botão Área de cobertura na figura.

As instalações têm 1.800 m2. Logo, a divisão de 1.800 m2 por uma área de cobertura de 464 m2 por ponto de acesso resulta em pelo menos quatro pontos de acesso necessários para o auditório. Em seguida, determine a dimensão das áreas de cobertura e organize-as na planta baixa.

Já que a área de cobertura é um quadrado de lateral "Z", o círculo que é tangente a seus quatro cantos tem um raio de 15,24 m (50 ft), como mostram os cálculos.

Quando as dimensões da área de cobertura tiverem sido determinadas, você as organizará de maneira semelhante às mostradas em Alinhar Áreas de Cobertura na figura. Clique no botão Alinhar áreas de cobertura na figura.

Na planta baixa, organize quatro círculos de cobertura de raio de 15,24 m de forma que eles se sobreponham, como mostra o plano. Clique no botão Plano na figura.

7.2 Segurança sem fio

7.2.1 Ameaças para a segurança sem fio

Página 1:

Acesso não autorizado

Segurança deve ser uma prioridade para qualquer um que usa ou administra redes. Se já é difícil manter a segurança de uma rede cabeada, é ainda mais difícil no caso de uma rede sem fio. Uma WLAN está aberta a qualquer um no intervalo de um ponto de acesso e das credenciais apropriadas para associação a ele. Com uma placa de rede sem fio e o conhecimento de técnicas de cracking, um invasor pode não precisar entrar no local de trabalho fisicamente para obter acesso a uma WLAN.

No primeiro tópico desta seção, mostramos como as ameaças para a segurança sem fio têm aumentado. As preocupações com a segurança é ainda mais séria quando se trata de redes de negócios porque a subsistência dos negócios depende da proteção de suas informações. Para os negócios, falhas na segurança podem trazer consequências desastrosas, principalmente se estiverem envolvidas informações financeiras relacionadas a clientes.

Há três categorias principais de ameaças que levam ao acesso não autorizado:

War drivers Hackers (crackers) Funcionários

"War driving" originalmente se referia ao uso de um dispositivo de varredura para localizar números de telefones celulares e explorá-los. Atualmente, war driving também se refere ao ato de dirigir por um bairro com um laptop e uma placa de cliente 802.11b/g procurando um sistema 802.11b/g desprotegido e explorá-lo.

No início, hacker era todo aquele que se aprofundava em sistemas de computadores para entender, e talvez explorar, por questões criativas, a estrutura e a complexidade de um sistema. Hoje, ambos hacker e cracker são intrusos mal-intencionados que entram em sistemas como criminosos e roubam dados ou danificam esses sistemas deliberadamente. Hackers têm a intenção de prejudicar e explorar medidas de segurança frágeis.

A maioria dos dispositivos sem fio vendidos atualmente já vêm prontos para WLANs. Em outras palavras, os dispositivos têm configurações padrão e podem ser instalados e utilizados com pouca ou nenhuma configuração feita pelos usuários. Na maioria das vezes, usuários finais não alteram configurações padrão, deixando a autenticação de cliente aberta, ou implementam apenas a segurança WEP padrão. Infelizmente, como já foi dito, chaves WEP compartilhadas têm falhas e consequentemente são fáceis de atacar.

Ferramentas com um propósito legítimo, como detectores sem fio, permitem que engenheiros de rede capturem pacotes de dados para depuração de sistema. Essas mesmas ferramentas podem ser usadas por intrusos para explorar falhas na segurança.

Pontos de acesso invasores

Um ponto de acesso invasor é um ponto de acesso colocado em uma WLAN para interferir na operação normal da rede. Se um ponto de acesso invasor é configurado com as configurações de segurança corretas, dados de clientes podem ser capturados. Um ponto de acesso invasor também pode ser configurado para passar informações como os endereços MAC de clientes (tanto sem-fio quanto cabeados) para usuários não autorizados, capturar e mascarar pacotes de dados ou, na pior das hipóteses, obter acesso a servidores e arquivos.

Exemplos simples e comuns de pontos de acesso invasores são os instalados por funcionários sem autorização. Funcionários instalam pontos de acesso na rede corporativa para uso doméstico. Esses pontos de acesso geralmente não têm a configuração de segurança necessária, assim a rede acaba ficando com uma brecha de segurança.

Página 2:

Ataques de interceptação

Um dos ataques mais sofisticados que pode ser realizado por um usuário não autorizado é chamado ataque de interceptação ou ataque man-in-the-middle (MITM). Invasores selecionam um host como destino e se posicionam de forma lógica entre o destino e o roteador ou gateway do destino. Em um ambiente de rede local cabeada, o invasor

precisa conseguir acessar a rede local fisicamente para inserir de forma lógica um dispositivo na topologia. Com uma WLAN, as ondas de rádio emitidas por pontos de acesso podem fornecer a conexão.

Sinais de radiofrequência de estações e pontos de acesso podem ser "ouvidos" por qualquer um em um BSS com o equipamento apropriado, como um laptop com uma placa de rede. Pontos de acesso agem como hubs Ethernet, e por isso cada placa de rede em um BSS ouve todo o tráfego. O dispositivo descarta qualquer tráfego não endereçado a ele. Invasores podem modificar a placa de rede de seus laptops com um software especial de forma a aceitar todo o tráfego. Com essa modificação, o invasor pode consumar ataques de interceptação sem fio usando a placa de rede do laptop como um ponto de acesso.

Para realizar esse ataque, um hacker seleciona uma estação como destino e usa um software detector de pacotes, como o Wireshark, para observar a estação cliente conectando-se a um ponto de acesso. O hacker pode conseguir ler e copiar o nome do usuário-alvo, o nome do servidor, o endereço IP do cliente e do servidor, a ID usada para computar a resposta, e a resposta de desafio e associação, que é transmitida em texto não criptografado entre a estação e o ponto de acesso.

Se um invasor conseguir comprometer um ponto de acesso, o invasor poderá prejudicar gravemente todos os usuários no BSS. O invasor pode monitorar um segmento inteiro de redes sem fio e causar danos a quaisquer usuários conectados às redes.

Impedir um ataque como o de interceptação depende da sofisticação da infraestrutura da WLAN e do monitoramento das atividade na rede. O processo começa com a identificação de dispositivos legítimos em sua WLAN. Para isso, você deve autenticar os usuários em sua WLAN.

Quando todos os usuários legítimos se tornam conhecidos, você monitora a rede para detectar dispositivos e tráfego que não devem estar nela. WLANs empresariais que utilizam dispositivos de WLAN de última geração fornecem aos administradores ferramentas que funcionam juntas como um sistema de prevenção contra invasões sem fio (IPS). Essas ferramentas incluem scanners que identificam pontos de acesso invasores e redes ad hoc e gerenciamento de recursos de rádio (RRM) que monitora a faixa de RF para atividade e carga de ponto de acesso. Um ponto de acesso mais ocupado que o normal alerta o administrador de possível tráfego sem autorização.

Uma explicação mais aprofundada dessas técnicas de prevenção está fora do escopo deste curso.

Página 3:

Negação de serviço

WLANs 802.11b e g usam a faixa de ISM de 2,4 GHz sem licença. Essa é a mesma faixa usada pela maioria dos produtos sem fio de consumidor, inclusive babás eletrônicas, telefones sem fio e fornos micro-ondas. Com esses dispositivos lotando a faixa de RF, invasores podem criar ruído em todos os canais na faixa com dispositivos geralmente disponíveis.

Clique no botão DoS 2 na figura.

Anteriormente, mostramos como um invasor pode transformar uma placa de rede em um ponto de acesso. Esse truque também pode ser usado para criar um ataque DoS. O invasor, usando um PC como um ponto de acesso, pode inundar o BSS com mensagens clear-to-send (CTS), que atrapalha a função CSMA/CA usada pelas estações. Os pontos de acesso, por sua vez, inundam o BSS com tráfego simultâneo, causando um fluxo constante de colisões.

Outro ataque DoS que pode ser iniciado em um BSS é o envio, pelo invasor, de uma série de comandos de desassociação que fazem todas as estações no BSS se desconectarem. Quando as estações são desconectadas, elas imediatamente tentam se reassociar, e isso cria um estouro no tráfego. O invasor envia outro comando de desassociação, e o ciclo se repete.

7.2.2 Protocolos de segurança sem fio

Página 1:

Visão geral do protocolo de rede sem fio

Neste tópico, você conhecerá as características dos protocolos sem fio comuns e o nível de segurança proporcionado por cada um.

Dois tipos de autenticação foram introduzidos com o padrão 802.11 original: autenticação de chave WEP aberta e compartilhada. Enquanto a autenticação aberta realmente não é " nenhuma autenticação", (um cliente solicita autenticação e o ponto de acesso o concede) a autenticação WEP foi criada para proporcionar privacidade a um link, fazendo-o ser como um cabo que conecta um PC a uma tomada Ethernet. Como foi mencionado anteriormente, as chaves WEP compartilhadas apresentaram falhas, e algo melhor era necessário. A primeira coisa feita pelas empresas para combater a fragilidade das chaves WEP compartilhadas foi tentar técnicas como disfarçar SSIDs e filtrar endereços MAC. Essas técnicas também eram muito frágeis. Mais adiante, você saberá mais sobre isso.

As falhas com a criptografia das chaves WEP compartilhadas foram duas. Primeiro, o algoritmo usado para criptografar os dados era descoberto facilmente. Segundo, a escalabilidade era um problema. As chaves WEP de 32 bits foram gerenciadas manualmente, sendo acessadas manualmente pelos usuários, de maneira frequentemente incorreta, criando chamadas aos serviços de suporte técnico.

Após as falhas na segurança baseada em WEP, houve um período intermediário de medidas de segurança. Fornecedores como a Cisco, desejando atender a demanda por maior segurança, desenvolveu seus próprios sistemas ao mesmo tempo em que ajudava a aprimorar o padrão 802.11i. Enquanto isso, o algoritmo de criptografia TKIP foi criado e vinculado ao método de segurança Wi-Fi Alliance WiFi Protected Access (WPA).

Atualmente, o padrão que deve ser seguido na maioria das redes empresariais é o 802.11i. Ele é como o padrão Wi-Fi Alliance WPA2. Para empresas, o WPA2 inclui

uma conexão com um banco de dados Remote Authentication Dial In User Service (RADIUS). RADIUS será descrito mais adiante no capítulo.

Para obter mais informações sobre as falhas na segurança WEP, consulte o papel "Segurança do algoritmo WEP" disponível em http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html.

Página 2:

Autenticação à rede local sem fio

Em uma rede aberta, como uma rede doméstica, a associação pode ser o necessário para conceder a um cliente acesso a dispositivos e serviços na WLAN. Em redes com requisitos de segurança mais rígidos, uma autenticação adicional ou um login é exigido para conceder tal acesso a clientes. O processo de login é gerenciado pelo Extensible Authentication Protocol (EAP). O EAP é uma estrutura para autenticar o acesso de rede. O IEEE desenvolveu o padrão 802.11i para autenticação de WLAN e autorização para usar o IEEE 802.1x.

Clique no botão EAP na figura para ver o processo de autenticação.

O processo de autenticação de WLAN empresarial é resumido a seguir:

O processo de associação 802.11 cria uma porta virtual para cada cliente de WLAN no ponto de acesso.

O ponto de acesso bloqueia todas as estruturas de dados, com exceção do tráfego baseado em 802.1x.

Os quadros 802.1x levam os pacotes de autenticação EAP pelo ponto de acesso para um servidor que mantém credenciais de autenticação. Trata-se de um servidor de autenticação, autorização e contabilidade (AAA) que executa um protocolo RADIUS.

Se a autenticação EAP obtém êxito, o servidor de AAA envia uma mensagem EAP de êxito ao ponto de acesso, que então permite que o tráfego de dados do cliente de WLAN passe pela porta virtual.

Antes de abrir a porta virtual, é estabelecida uma criptografia de enlace entre o cliente de WLAN e o ponto de acesso para assegurar que nenhum outro cliente de WLAN possa acessar a porta estabelecida para um determinado cliente autenticado.

Antes de o 802.11i (WPA2) ou mesmo o WPA serem utilizados, algumas empresas tentavam proteger suas WLANs através da filtragem de endereços MAC e da não transmissão de SSIDs. Nos dias atuais, é fácil usar um software para modificar endereços MAC anexados a adaptadores para enganar facilmente a filtragem de endereços MAC. Não quer dizer que você não deva fazer isto, mas se você estiver usando este método, será melhor utilizar segurança adicional, como o WPA2.

Mesmo que um SSID não seja transmitido por um ponto de acesso, o tráfego que passa de um lado para outro entre o cliente e o ponto de acesso acaba revelando o SSID. Se

um invasor está monitorando a faixa de RF passivamente, o SSID pode ser detectado em uma dessas transações porque é enviado em texto não criptografado. A facilidade para descobrir SSIDs levou algumas pessoas a deixar a transmissão de SSIDs ativada. Nesse caso, isso provavelmente deve ser uma decisão organizacional registrada na política de segurança.

A ideia que você pode proteger sua WLAN apenas com a filtragem de MAC e desativação das transmissões de SSIDs pode tornar uma WLAN completamente desprotegida. A melhor maneira de certificar-se de que os usuários finais supostamente estejam na WLAN é usar um método de segurança que incorpore controle de acesso à rede baseado em porta, como o WPA2.

Página 3:

Criptografia

Dois mecanismos de criptografia de nível empresarial especificados pelo 802.11i são certificados como WPA e WPA2 pela Wi-Fi Alliance: o Temporal Key Integrity Protocol (TKIP) e a criptografia (AES).

TKIP é o método de criptografia certificado como WPA. Ele dá suporte para equipamentos de WLAN herdados direcionando-se às falhas originais associadas com o método de criptografia 802.11 WEP. Usa o algoritmo de criptografia original usado pelo WEP.

O TKIP tem duas funções principais:

Criptografa o payload da Camada 2 Executa uma verificação de integridade da mensagem (MIC) no pacote

criptografado. Isso ajuda a impedir a adulteração de uma mensagem.

Embora o TKIP lide com todas as falhas de WEP conhecidas, a criptografia AES de WPA2 é o método preferido, porque alinha os padrões de criptografia de WLAN com práticas recomendadas e padrões mais amplos da indústria de TI, notavelmente o IEEE 802.11i.

O AES tem as mesmas funções do TKIP, mas usa dados adicionais do cabeçalho de MAC que permitem que hosts de destino verifiquem se os bits não criptografados foram adulterados. Além disso, ele adiciona um número de sequência ao cabeçalho dos dados criptografados.

Quando você configura pontos de acesso Linksys ou roteadores sem fio, como o WRT300N, talvez você não veja WPA ou WPA2. Em vez disso, talvez você veja referências a algo chamado chave pré-compartilhada (PSK). Veja a seguir alguns tipos de PSK:

PSK ou PSK2 com TKIP é o mesmo que WPA PSK ou PSK2 com AES é o mesmo que WPA2

PSK2, sem um método de criptografia especificado, é o mesmo que WPA2

7.2.3 Segurança sem fio

Página 1:

Controle de acesso à rede local sem fio

O conceito de profundidade significa ter várias soluções disponíveis. É como ter um sistema de segurança em casa e ainda bloqueando todas as portas e janelas, e ainda pedir aos vizinhos para tomar conta dele para você. Os métodos de segurança apresentados, principalmente o WPA2, são como um sistema de segurança. Se você deseja segurança adicional para o acesso à sua WLAN, você pode adicionar profundidade, como mostra a figura, implementando esta abordagem de três passos:

Disfarce de SSID - Desabilite transmissões de SSID de pontos de acesso Filtragem de endereços MAC – Tabelas são construídas manualmente no ponto

de acesso para permitir ou não clientes baseados em seu endereço de hardware físico

Implementação de segurança de WLAN - WPA ou WPA2

Uma consideração adicional para um administrador de rede cuidadoso é configurar pontos de acesso localizados próximos a paredes externas de edifícios para transmitir em uma opção de alimentação mais baixa que outros pontos de acesso mais próximos ao centro do edifício. Isso é simplesmente reduzir a assinatura de RF no lado de fora do prédio, onde qualquer pessoa executando uma aplicação como Netstumbler (http://www.netstumbler.com), Wireshark ou até mesmo o Windows XP pode mapear WLANs.

Nem o disfarce de SSID nem a filtragem de endereços MAC são considerados meios válidos para proteger uma WLAN pelas seguintes razões:

Endereços MAC são facilmente driblados. SSIDs são facilmente descobertos mesmo que os pontos de acesso não os

transmitam.

7.3 Configurar o acesso à rede local sem fio

7.3.1 Configuração do ponto de acesso sem fio

Página 1:

Visão geral da configuração do ponto de acesso sem fio

Neste tópico, você aprenderá a configurar um ponto de acesso sem fio. Aprenderá a definir o SSID, habilitar a segurança, configurar o canal e ajustar as opções de alimentação de um ponto de acesso sem fio. Também saberá como fazer backup e restaurar a configuração de um típico ponto de acesso sem fio.

A abordagem básica para implementação sem fio, como em qualquer rede básica, é configurar e testar de forma incremental. Antes de implementar qualquer dispositivo sem fio, verifique a rede existente e o acesso à Internet para os hosts cabeados. Inicie a processo de implementação de WLAN com um único ponto de acesso e um único cliente, sem habilitar a segurança sem fio. Verifique se o cliente para rede sem fio recebeu um endereço IP de DHCP e se ele pode executar ping do roteador padrão cabeado local e, em seguida, navegue até a Internet externa. Por fim, configure a segurança sem fio com o WPA2. Só use o WEP se o hardware não suportar o WPA.

A maioria dos pontos de acesso foi criada para vir com as configurações padrão funcionais diretamente de fábrica. É recomendável alterar as configurações padrão iniciais. Muitos pontos de acesso podem ser configurados por uma interface de web gráfica do usuário.

Com um plano de implementação em mente, conectividade de rede cabeada confirmada e o ponto de acesso instalado, agora você vai configurá-lo. O exemplo a seguir usa o dispositivo multifuncional Linksys WRT300N. Esse dispositivo inclui um ponto de acesso.

As etapas de configuração do Linksys WRT300N são estas:

Assegure-se de que o PC esteja conectado ao ponto de acesso por cabos e acesse o utilitário de web com um navegador. Para acessar o utilitário baseado na web do ponto de acesso, inicie o Internet Explorer ou o Netscape Navigator e entre no endereço IP padrão WRT300N, 192.168.1.1, no campo de endereço. Pressione a tecla Enter.

Uma tela aparece solicitando seu nome de usuário e sua senha. Deixe o campo Username em branco. Digite admin no campo Password. Essas são as configurações padrão para um Linksys WRT300N. Se o dispositivo já tiver sido configurado, o nome de usuário e a senha podem ter sido alterados. Clique em OK para continuar.

Para uma instalação de rede básica, use as telas seguintes, como aparecem quando você clica nos botões Setup, Management e Wireless na figura:

Configuração - Insira suas configurações de rede básicas (endereço IP). Gerenciamento - Clique na guia Administration e selecione a tela

Management. A senha padrão é admin. Para proteger o ponto de acesso, altere a senha.

Sem fio - Altere o SSID padrão na guia Basic Wireless Settings. Selecione o nível de segurança na guia Wireless Security e conclua as opções para o modo de segurança selecionado.

Faça as alterações necessárias pelo utilitário. Quando terminar de fazer alterações a uma tela, clique no botão Save Settings ou no botão Cancel Changes para desfazer suas alterações. Para obter informações sobre uma guia, clique em Help.

A figura resume as etapas de implementação para um ponto de acesso.

Definindo configurações sem fio básicas.

A tela Basic Setup é a primeira tela que você vê ao acessar o utilitário baseado na web. Clique na guia Wireless e então selecione a guia Basic Wireless Settings.

Configurações sem fio básicas

Clique nos botões ao longo da parte inferior da figura para uma exibição da interface gráfica do usuário para cada configuração.

Network Mode (Modo de rede) - Se você tiver dispositivos Wireless-N (sem fio N), Wireless-G (sem fio G) e 802.11b em sua rede, mantenha a configuração padrão Mixed. Se você tiver dispositivos Wireless-G e 802.11b, selecione BG-Mixed. Se você só tiver dispositivos Wireless-N, selecione Wireless-N Only. Se você só tiver dispositivos Wireless-G, selecione Wireless-G Only. Se você só tiver dispositivos Wireless-B, selecione Wireless-B Only. Se você desejar desabilitar a rede sem fio, selecione Disabled.

Network Name (SSID) (Nome de rede) - O SSID é o nome de rede compartilhado entre todos os pontos em uma rede sem fio. O SSID deve ser idêntico para todos os dispositivos na rede sem fio. Diferencia maiúsculas e minúsculas, e não deve exceder 32 caracteres (use qualquer caractere no teclado). Para segurança adicional, você deve alterar o SSID padrão (linksys) para um nome exclusivo.

SSID Broadcast (Broadcast de SSID) - Quando clientes para rede sem fio procuram redes sem fio na área local para associarem-se a elas, eles detectam o broadcast de SSID pelo ponto de acesso. Para transmitir o SSID, mantenha a configuração padrão Enabled (Habilitado). Se você não desejar transmitir o SSID, selecione Disabled (Desabilitado). Quando terminar de fazer alterações à tela, clique no botão Save Settings, ou no botão Cancel Changes para desfazer suas alterações. Para obter mais informações, clique em Ajuda.

Radio Band (Faixa de rádio) - Para melhor desempenho em uma rede que usa dispositivos Wireless-N, Wireless-G e Wireless-B, mantenha o padrão Auto. Para dispositivos Wireless-N apenas, selecione Wide - 40MHz Channel. Para redes Wireless-G e Wireless-B apenas, selecione Standard - 20MHz Channel.

Wide Channel (Canal amplo) - Se você tiver selecionado Canal amplo de 40MHz para a configuração da Radio Band, esta configuração estará disponível para seu canal Wireless-N primário. Selecione qualquer canal no menu suspenso.

Standard Channel (Canal amplo) - Selecione o canal para redes Wireless-N, Wireless-G e Wireless-B. Se você tiver selecionado Canal amplo de 40MHz para a configuração da Radio Band, o canal padrão será um canal secundário para Wireless-N.

Página 3:

Configuração de segurança

Essas configurações definem a segurança de sua rede sem fio. Há sete modos de segurança sem fio suportados pelo WRT300N, listados aqui na ordem em que você os vê na interface gráfica do usuário, do mais fraco para o mais forte, com exceção da última opção, que é desabilitada:

WEP PSK-Personal ou WPA-Personal em firmware v0.93.9 ou mais recente PSK2-Personal ou WPA2-Personal em firmware v0.93.9 ou mais recente PSK-Enterprise, ou WPA-Enterprise em firmware v0.93.9 ou mais recente PSK2-Enterprise, ou WPA2-Enterprise em firmware v0.93.9 ou mais recente RADIUS Disabled

Quando você vê "Personal" em um modo de segurança, nenhum servidor de AAA está sendo usado. "Enterprise" no nome de modo de segurança indica que um servidor de AAA e uma autenticação de EAP estão sendo usados.

Você aprendeu que WEP é um modo de segurança com falhas. PSK2, que é o mesmo que o WPA2 ou o IEEE 802.11i, é a opção favorita para a maior segurança. Se o WPA2 é o melhor, você deve estar se perguntando por que há tantas outras opções. A resposta é que muitas redes locais sem fio suportam dispositivos sem fio antigos. Como todos os dispositivos de cliente que se associam a um ponto de acesso devem executar o mesmo modo de segurança que o ponto de acesso executa, o ponto de acesso precisa ser definido para suportar o dispositivo que executa o modo de segurança mais fraco. Todos os dispositivos de rede local sem fio fabricados após março de 2006 devem poder suportar o WPA2, ou no caso de roteadores Linksys, PSK2, conforme os dispositivos são atualizados, você pode comutar seu modo de segurança de rede para PSK2.

A opção RADIUS disponível para um roteador para rede sem fio Linksys permite que você use um servidor RADIUS em combinação com o WEP.

Clique nos botões ao longo da parte inferior da figura para uma exibição da interface gráfica do usuário para cada configuração.

Para configurar a segurança, faça o seguinte:

Security Mode (Modo de Segurança) - Selecione o modo desejado: PSK Personal, PSK2 Personal, PSK Enterprise, PSK2 Enterprise, RADIUS, ou WEP.

Mode Parameters (Parâmetros de Modo) - Cada um dos modos PSK e PSK2 tem parâmetros que podem ser configurados. Se você selecionar a versão de segurança PSK2 Enterprise, você deverá ter um servidor RADIUS anexado a seu ponto de acesso. Se você tiver esta configuração, precisará configurar o ponto de acesso para apontar ao servidor de RADIUS.

RADIUS Server IP Address (Endereço IP do servidor RADIUS) - Digite o endereço IP do servidor RADIUS.

RADIUS Server Port (Porta de servidor RADIUS) - Digite o número da porta usada pelo servidor RADIUS. O padrão é 1812.

Encryption (Criptografia) - Selecione o algoritmo desejado, AES ou TKIP. (O AES é um método de criptografia mais forte que o TKIP.)

Pre-shared Key (Chave pré-compartilhada)- Digite a chave compartilhada pelo roteador e pelos outros dispositivos de rede. Ela deve ter de 8 a 63 caracteres.

Key Renewal (Renovação da chave) - Digite o período de renovação da chave, que indica de quanto em quanto tempo o roteador deve alterar as chaves de criptografia.

Quando terminar de fazer alterações à tela, clique no botão Save Settings, ou no botão Cancel Changes para desfazer suas alterações.

7.3.2 Configuração de uma placa de rede sem fio

Página 1:

Busca por SSIDs

Quando o ponto de acesso tiver sido configurado, você precisará configurar a placa de rede sem fio em um dispositivo de cliente para que o ponto de acesso possa se conectar à rede sem fio. Você também deverá verificar se o cliente para rede sem fio se conectou com êxito à rede sem fio correta, especialmente porque pode haver muitas WLANs disponíveis às quais se conectar. Apresentaremos também alguns passos básicos de identificação e solução de problemas para identificar problemas comuns relacionados à conectividade de WLAN.

Se seu PC for equipado com uma placa de rede sem fio, você estará pronto para fazer uma busca por redes sem fio. PCs que executam o Microsoft Windows XP têm um monitor de redes sem fio interno e um utilitário de cliente. Você pode ter um utilitário diferente instalado e selecionado como preferência à versão nativa do Microsoft Windows XP.

As etapas abaixo são para o uso do recurso de exibição de redes sem fio no Microsoft Windows XP.

Etapa 1. Na bandeja do sistema na barra de ferramentas do Microsoft Windows XP, localize o ícone de conexão de rede que parece com o que é mostrado na figura. Clique duas vezes no ícone para abrir a caixa de diálogo Conexões de rede.

Etapa 2. Clique no botão View Wireless Networks na caixa de diálogo.

Etapa 3. Observe as redes sem fio que sua placa de rede sem fio pôde detectar.

Se você tiver uma WLAN que não esteja aparecendo na lista de redes, talvez o broadcast de SSID esteja desabilitado no ponto de acesso. Se esse for o caso, você deverá digitar o SSID manualmente.

Página 2:

Selecione o protocolo de segurança sem fio

Depois de haver configurado o ponto de acesso para autenticar clientes com um tipo de segurança forte, você deverá corresponder a sua configuração de cliente aos parâmetros de ponto de acesso. Os passos seguintes descrevem a configuração dos parâmetros de segurança de rede sem fio no cliente:

Etapa 1. Clique duas vezes no ícone de conexões de rede na bandeja do sistema do Microsoft Windows XP.

Etapa 2. Clique no botão Properties na caixa de diálogo Wireless Network Connections Status.

Etapa 3. Na caixa de diálogo Properties, clique na guia Wireless Networks.

Etapa 4. Na guia Wireless Networks, clique no botão Add. Além disso, você pode salvar vários perfis sem fio com parâmetros de segurança diferentes para se conectar rapidamente às WLANs que você usa regularmente.

Etapa 5. Na caixa de diálogo Wireless Network Properties, digite o SSID da WLAN que você deseja configurar.

Etapa 6. Na caixa de chave de rede sem fio, selecione o método de autenticação no menu suspenso Network Authentication. WPA2 e PSK2 são preferenciais por causa da força deles.

Etapa 7. Selecione o método de Data encryption no menu suspenso. Lembre-se de que o AES é um código mais forte que o TKIP, mas você deve corresponder à configuração do ponto de acesso no seu PC.

Depois de selecionar o método de criptografia, digite e confirme a Network key. Novamente, esse é um valor que você digitou no ponto de acesso.

Etapa 8. Clique em OK.

Página 3:

Verificar a conectividade com a rede local sem fio.

Com as configurações definidas para o ponto de acesso e para o cliente, a próxima etapa é confirmar a conectividade. Isso é feito com a execução de ping em dispositivos na rede.

Abra a janela de prompt de comando do DOS no PC.

Tente executar ping em um endereço IP conhecido para um dispositivo na rede. Na figura, o endereço IP é 192.168.1.254. O ping foi executado com êxito, indicando que a conexão foi estabelecida com êxito.

Página 4:

Nesta atividade, você fará a configuração de um roteador para rede sem fio Linksys, permitindo acesso remoto de PCs, bem como a conectividade sem fio com segurança WEP.

São fornecidas instruções detalhadas na atividade, bem como no link do arquivo PDF abaixo.

7.4 Identificação e solução de problemas simples de WLAN

7.4.1 Resolver problemas de acesso ao rádio e de firmware

Página 1:

Uma abordagem sistemática para a identificação e a solução de problemas de WLAN

A identificação e a solução de qualquer problema de rede devem seguir uma abordagem sistemática, subindo na pilha TCP/IP da Camada física para a Camada de aplicativo. Isso ajuda a eliminar qualquer problema que você possa resolver sozinho.

Você já deve estar familiarizado com os primeiros três passos da abordagem sistemática de identificação e solução de problemas por trabalhar com redes locais Ethernet 802.3. Eles são repetidos aqui no contexto da WLAN:

Etapa 1 – Descarte a hipótese de o PC do usuário ser a origem do problema.

Tente determinar a gravidade do problema. Se não houver conectividade, verifique o seguinte:

Confirme a configuração de rede no PC usando o comando ipconfig. Verifique se o PC recebeu um endereço IP por DHCP ou foi configurado com um endereço IP estático.

Certifique-se de que o dispositivo possa se conectar à rede cabeada. Conecte o dispositivo à rede local cabeada e execute ping em um endereço IP conhecido.

Talvez seja necessário tentar com uma placa de rede sem fio diferente. Se necessário, recarregue os drivers e o firmware de forma apropriada para o dispositivo de cliente.

Se a placa de rede sem fio do cliente estiver funcionando, verifique o modo de segurança e as configurações de criptografia no cliente. Se as configurações de segurança não corresponderem, o cliente não poderá acessar a WLAN.

Se o PC do usuário estiver funcionando, porém, com desempenho insatisfatório, verifique o seguinte:

Qual é a distância entre o PC e o ponto de acesso? O PC está fora da área de cobertura planejada (BSA).

Verifique as configurações de canal no cliente. O software cliente deve detectar o canal apropriado contanto que o SSID esteja correto.

Verifique se há outros dispositivos na área operando na faixa de 2,4 GHz. Exemplos de outros dispositivos são telefones sem fio, babás eletrônicas, fornos

micro-ondas, sistemas de segurança sem fio e pontos de acesso potencialmente invasores. Dados desses dispositivos podem causar interferência na WLAN e problemas de conexão intermitentes entre um cliente e um ponto de acesso.

Etapa 2 Confirme o status físico dos dispositivos.

Todos os dispositivos estão mesmo no lugar? Considere um possível problema de segurança físico.

A alimentação está distribuída para todos os dispositivos, e todos eles estão ligados?

Etapa 3 - Inspecione os links.

Inspecione os links entre dispositivos cabeados para descobrir se há conectores incorretos ou cabos estragados, ou até mesmo se faltam cabos.

Se a planta física estiver no local, use a rede local cabeada para saber se você pode executar ping em dispositivos incluindo o ponto de acesso.

Se a conectividade continuar falhando, talvez algo esteja errado com o ponto de acesso ou com a configuração dele.

Conforme você identifica e soluciona problemas de uma WLAN, é recomendável seguir um processo de eliminação, indo de possibilidades físicas àquelas relacionadas à aplicação. Se você tiver confirmado que o PC do usuário não é o problema, e também tiver verificado o status físico dos dispositivos, comece a investigar o desempenho do ponto de acesso. Verifique o status da alimentação do ponto de acesso.

Quando as configurações do ponto de acesso tiverem sido confirmadas, se o rádio continuar falhando, tente conectá-lo a um ponto de acesso diferente. Você pode tentar instalar novos drivers de rádio e de firmware. Explicaremos mais adiante.

Página 2:

Atualização do firmware do ponto de acesso

Atenção: Não atualize o firmware a menos que você tenha problemas com o ponto de acesso, ou o novo firmware tenha um recurso que você queira utilizar.

O firmware para um dispositivo Linksys, como o que é usado nos laboratórios deste curso, é atualizado com o uso do utilitário baseado na Web. Siga estas instruções:

Etapa 1. Faça download do firmware pela web. Para um Linksys WTR300N, acesse http://www.linksys.com.

Etapa 2. Extraia o arquivo de firmware no seu computador.

Etapa 3. Abra a utilitário baseado na web e clique na guia Administration.

Etapa 4. Selecione a guia Firmware Upgrade.

Etapa 5. Insira o local do arquivo de firmware ou clique no botão Browse para localizar o arquivo.

Clique no botão Executar atualização do firmware na figura.

Etapa 6. Clique no botão Start to Upgrade e siga as instruções.

7.4.2 Configurações de canal incorretas

Página 1:

Se os usuários relatarem problemas de conectividade na área entre pontos de acesso em uma WLAN de conjunto de serviços estendidos, poderá haver um problema de configuração de canal.

A maioria das WLANs opera atualmente na faixa de 2,4 GHz, que pode ter até 14 canais, cada um ocupando 22 MHz de largura de banda. A alimentação não é distribuída de maneira uniforme para todos os 22 MHz; o canal é mais forte em sua frequência central, e a alimentação diminui conforme se aproxima das extremidades do canal. O conceito de alimentação decrescente em um canal é mostrado pela linha curva usada para indicar cada canal. O ponto alto no meio de cada canal é o ponto de alimentação mais alta. A figura mostra uma representação gráfica dos canais na faixa de 2,4 GHz.

Uma explicação completa do modo como a alimentação é distribuída pelas frequências em um canal está fora do escopo deste curso.

Pode ocorrer interferência quando há sobreposição de canais. É pior se os canais se sobrepõem perto das frequências centrais, mas os sinais interferem entre si mesmo quando a interferência é mínima. Disponha os canais em intervalos de cinco canais, como canal 1, canal 6 e canal 11.

7.4.3 Resolva problemas de acesso ao rádio e de firmware

Página 1:

Resolvendo interferência de RF

Configurações de canal incorretas fazem parte do grupo maior de problemas com interferência de RF. Administradores de WLAN podem controlar a interferência causada por configurações de canal com um bom planejamento, incluindo o espaçamento de canais apropriado.

Outras fontes de interferência de RF podem ser encontradas por todo o seu local de trabalho ou em casa. Talvez você já tenha visto aquele chuviscado que aparece na tela da televisão quando alguém está usando um aspirador de pó por perto. Esse tipo de interferência pode ser moderado com um bom planejamento. Por exemplo, planeje colocar fornos micro-ondas longe de pontos de acesso e clientes potenciais. Infelizmente, é impossível planejar uma maneira de evitar todos os problemas de interferência de RF possíveis porque as possibilidades são muitíssimas.

O problema com dispositivos como telefones sem fio, babás eletrônicas e fornos micro-ondas é que eles não fazem parte de um BSS. Portanto, eles não competem pelo canal; eles simplesmente utilizam-no. Como descobrir quais canais em uma área estão mais congestionados?

Em um ambiente de WLAN pequeno, tente configurar seu ponto de acesso de WLAN para o canal 1 ou para o canal 11. Muitos itens consumidores, como telefones sem fio, operam no canal 6.

Pesquisa do local

Em ambientes mais congestionados, uma pesquisa do local pode ser necessária. Embora pesquisas do local não façam parte deste curso, vale a pena saber que há duas categorias de pesquisa do local: manual e com auxílio de utilitário.

Pesquisas manuais do local podem incluir uma avaliação do local seguida por uma pesquisa do local mais completa com auxílio de utilitário. Uma avaliação do local envolve a inspeção da área com o objetivo de identificar problemas significativos que possam afetar a rede. Especificamente, verifique se há várias WLANs, estruturas modernas de edifícios, como andares abertos e átrios, e altas variações de uso de cliente, como as causadas pelas diferenças entre o número de pessoas que trabalham em período diurno e noturno.

Há várias abordagens para a execução de pesquisas do local com auxílio de utilitários. Se você não tiver acesso a ferramentas de pesquisa do local dedicadas, como o Airmagnet, você poderá montar pontos de acesso em tripés e colocá-los nos locais que julgar apropriados conforme a planta projetada do local. Com os pontos de acesso montados, você poderá caminhar por suas instalações usando um medidor de pesquisa de local no utilitário de cliente de WLAN do seu PC, como mostra a captura de tela 1 na figura.

Como outra opção, estão disponíveis ferramentas sofisticadas que permitem inserir a planta das instalações. Você pode começar um registro das características de RF do site que são mostradas na planta conforme você se movimenta pelas instalações com seu laptop sem fio. Um exemplo de uma saída de dados da pesquisa de local Airmagnet é exibido na captura de tela 2 na figura.

Parte das vantagens das pesquisas de local com auxílio de utilitário é que a atividade de RF nos vários canais das várias faixas não licenciadas (900 MHz, 2,4 GHz e 5 GHz) é documentada, e você pode então escolher canais para sua WLAN, ou pelo menos identificar áreas de atividade de RF alta e tomar as medidas necessárias.7.4.4 Resolver problemas de acesso ao rádio e de firmware

Página 1:

Identificar problemas de posição incorreta de pontos de acesso

Neste tópico, você aprenderá a identificar quando um ponto de acesso está colocado incorretamente, e como colocar o ponto de acesso corretamente em uma pequena ou grande empresa.

Você pode ter utilizado uma WLAN que simplesmente não parecia funcionar como deveria. Talvez você esteja constantemente perdendo associação com um ponto de acesso, ou suas taxas de dados estejam muito mais baixas do que deveriam ser. Talvez tenha até dado uma volta pelas instalações para certificar-se de que podia realmente ver os pontos de acesso. Havendo confirmado que eles estão no lugar, você se pergunta por que o desempenho continua baixo.

Há dois grandes problemas de implantação que podem ocorrer na colocação de pontos de acesso:

A distância entre os pontos de acesso é muito grande para permitir sobreposição de cobertura.

A orientação das antenas de pontos de acesso em corredores e cantos diminuem a cobertura.


Corrija a colocação do ponto de acesso da seguinte forma:

Confirme as configurações de alimentação e os intervalos operacionais dos pontos de acesso e posicione-os para uma sobreposição de célula de no mínimo 10 a 15%, conforme ensinado anteriormente neste capítulo.

Altere a orientação e o posicionamento dos pontos de acesso:

Posicione os pontos de acesso acima de obstruções. Posicione os pontos de acesso verticalmente próximos ao teto no centro de cada

área de cobertura, se possível. Posicione os pontos de acesso em locais onde se suponha que os usuários

estejam. Por exemplo, salas amplas normalmente são um lugar melhor para pontos de acesso do que um corredor.

A figura explora esses problemas em uma sequência de problema, motivo e solução.

Estes são alguns detalhes específicos adicionais relativos à colocação de pontos de acesso e antena:

Assegure-se de que os pontos de acesso não sejam montados a menos de 20 cm (7,9 pol) das pessoas.

Não monte o ponto de acesso a menos de 91,4 cm (3 ft) de obstruções de metal. Instale o ponto de acesso longe de fornos micro-ondas. Fornos micro-ondas

operam na mesma frequência que o ponto de acesso e podem causar interferência de sinal.

Sempre monte o ponto de acesso verticalmente (apoiado sobre uma superfície ou pendurado).

Não monte o ponto de acesso do lado de fora de edifícios. Não monte o ponto de acesso nas paredes do perímetro do edifício, a menos que

seja necessária cobertura externa. Ao montar um ponto de acesso na esquina de uma interseção de corredor em

ângulo reto, monte-o a um ângulo de 45 graus para os dois corredores. As

antenas internas do ponto de acesso não são onidirecionais e abrangem uma área mais ampla quando são dispostas dessa forma.

7.4.5 Problemas com autenticação e criptografia

Página 1:

Os problemas de autenticação e criptografia de WLAN que você terá mais possibilidades de encontrar, e que você poderá resolver, são causados por configurações de cliente incorretas. Se um ponto de acesso está esperando um tipo de criptografia, e o cliente oferece um tipo diferente, o processo de autenticação falha.

Problemas de criptografia envolvendo a criação de chaves dinâmicas e as conversações entre um servidor de autenticação, como um servidor de RADIUS, e um cliente por um ponto de acesso estão fora do escopo deste curso.

Lembre-se, todos os dispositivos que se conectam a um ponto de acesso devem utilizar o mesmo tipo de segurança que o configurado no ponto de acesso. Portanto, se um ponto de acesso for configurado para WEP, tanto o tipo de criptografia (WEP) quanto a chave compartilhada deverão corresponder entre o cliente e o ponto de acesso. Se o WPA estiver sendo usado, o algoritmo de criptografia será TKIP. Semelhantemente, se o WPA2 ou o 802.11i estiver sendo usado, o AES será requerido como o algoritmo de criptografia.


7.6.1 Resumo do capítuloPágina 1:

Neste capítulo, discutimos a evolução dos padrões de redes locais sem fio, incluindo o IEEE 802.11a, b, g e agora, n, em fase de teste. Padrões mais novos levam em conta a necessidade de suportar voz e vídeo e a qualidade de serviço requerida.

Um único ponto de acesso conectado à rede local cabeada fornece um conjunto de serviços básicos a estações de cliente associadas a ela. Vários pontos de acesso que compartilham um identificador de conjunto de serviços combinam-se para formar um conjunto de serviços estendidos. Redes locais sem fio podem ser detectadas por qualquer dispositivo de cliente habilitado por rádio e podem, portanto, habilitar acesso por invasores que não têm acesso a uma rede apenas cabeada.

Métodos como filtragem de endereço MAC e mascaramento de SSID podem fazer parte da implementação de uma prática recomendada de segurança, mas esses métodos sozinhos são facilmente driblados por um invasor determinado. A autenticação de WPA2 e 802.1x fornece acesso altamente seguro a redes locais sem fio em uma rede empresarial.

Usuários finais têm que configurar placas de rede sem fio em suas estações de cliente, as quais se comunicam com e se associam a um ponto de acesso sem fio. O ponto de acesso as placas de rede sem fio devem ser configurados com parâmetros semelhantes, inclusive SSID, antes de a associação ser possível. Ao configurar uma rede local sem

fio, assegure-se de que os dispositivos tenham o firmware mais recente para poderem suportar as opções de segurança mais estritas. Além de assegurar a configuração compatível das definições de segurança sem fio, a identificação e a solução de problemas de redes locais sem fio envolvem a solução de problemas de RF.

CCNA Exploration module2

Documents

Transcript of CCNA Exploration module2