Академический Документы
Профессиональный Документы
Культура Документы
Página 1:
Para pequenas e médias empresas, a comunicação digital utilizando dados, voz e vídeo é
essencial para sua sobrevivência. Logo, uma rede local (LAN) projetada corretamente é
um requisito fundamental para fazer negócios atualmente. Você deve ser capaz de
reconhecer uma rede local bem projetada e escolher os dispositivos para suportar as
especificações da rede de uma empresa pequena ou média.
Neste capítulo, você começará a explorar a arquitetura da rede local comutada e alguns
dos princípios usados para projetar uma rede hierárquica. Você obterá informações
sobre redes convergidas. Você também saberá como escolher o switch correto para uma
rede hierárquica e que switches Cisco são os mais apropriados para cada camada de
rede. As atividades e os laboratórios confirmam e reforçam sua aprendizagem.
Página 1:
Ao criar uma rede local que atenda às necessidades uma empresa pequena ou média, é
mais provável que haja êxito no seu plano caso seja usado um modelo de design
hierárquico. Comparada com outros designs de rede, uma rede hierárquica é mais fácil
de gerenciar e expandir, e os problemas são resolvidos mais rapidamente.
Camada de acesso
A camada de acesso faz interface com dispositivos finais, como PCs, impressoras e
telefones IP, para fornecer acesso ao restante da rede. Na camada de acesso podem estar
roteadores, switches, bridges, hubs e pontos de acesso wireless (AP). O principal
propósito da camada de acesso é fornecer um meio de conectar dispositivos à rede e
controlar quais têm permissão de comunicação na rede.
Camada de distribuição
Camada de núcleo
Página 2:
Página 3:
Escalabilidade
A escala das redes hierárquicas é muito boa. A modularidade do design permite replicar
elementos de design na medida em que a rede cresce. Como cada instância do módulo é
consistente, é fácil de planejar e implementar a expansão. Por exemplo, se o modelo de
design consistir em dois switches da camada de distribuição para dez switches da
camada de acesso, será possível continuar adicionando switches da camada de acesso
até que haja dez switches da camada de acesso em conexão cruzada com os dois
switches da camada de distribuição antes que seja necessário acrescentar switches da
camada de distribuição adicionais à topologia de rede. Além disso, na medida em que
adiciona mais switches da camada de distribuição para acomodar a carga dos switches
da camada de acesso, você pode acrescentar switches da camada de núcleo adicionais
para tratar a carga adicional no núcleo.
Redundância
Na medida em que uma rede cresce, a disponibilidade se torna mais importante. Você
pode aumentar drasticamente a disponibilidade por meio de implementações
redundantes simples com redes hierárquicas. Os switches da camada de acesso são
conectados a dois switches da camada de distribuição diferentes para assegurar uma
redundância de caminho. Caso haja falha nos switches da camada de distribuição, o
switch da camada de acesso pode comutar para o outro switch da camada de
distribuição. Além disso, os switches da camada de distribuição são conectados a dois
ou mais switches da camada de núcleo para assegurar uma disponibilidade de caminho
em caso de falha de um dos switches do núcleo. A única camada onde a redundância
está limitada é a camada de acesso. Normalmente, os dispositivos de nó finais, como
PCs, impressoras e telefones IP, não têm a capacidade de se conectar a vários switches
da camada de acesso para ter uma redundância. Se houvesse falha em um switch da
camada de acesso, apenas os dispositivos conectados a ele seriam afetados pela queda.
O restante da rede continuaria funcionando sem ser afetado.
Desempenho
Segurança
Gerenciabilidade
Sustentabilidade
Como as redes hierárquicas são modulares por natureza e a escalabilidade é muito boa,
elas são fáceis de serem mantidas. Com outros designs da topologia de rede, a
gerenciabilidade fica cada vez mais complicada na medida em que a rede cresce. Além
disso, em alguns modelos de design de rede, há um limite claro quanto ao tamanho a
que a rede pode chegar antes de se tornar complicada e de manutenção cara. No modelo
de design hierárquico, as funções do switch são definidas em cada camada, o que
simplifica a seleção do switch correto. Adicionar switches a uma camada não
necessariamente significa que não haverá um gargalo ou outra limitação em outra
camada. Para que uma topologia de rede em malha completa atinja o desempenho
máximo, todos os switches precisam ser switches de alto desempenho, porque cada um
precisa ser capaz de executar todas as funções da rede. No modelo hierárquico, as
funções de switch são diferentes em cada camada. Você pode economizar, usando
switches da camada de acesso mais baratos na camada mais baixa e gastar mais nas
camadas de distribuição e do núcleo para obter um alto desempenho na rede.
Página 1:
Só porque uma rede parece ter um design hierárquico não significa que ela foi bem
projetada. Estas diretrizes simples ajudarão a diferenciar redes hierárquicas bem e mal
projetadas. Esta seção não pretende fornecer todas as habilidades e o conhecimento de
que você precisa para criar uma rede hierárquica, mas oferece uma oportunidade de
começar a praticar suas habilidades, transformando uma topologia de rede plana em
uma topologia de rede hierárquica.
Diâmetro da rede
Durante a criação de uma topologia de rede hierárquica, a primeira coisa a ser
considerada é o diâmetro da rede. O diâmetro costuma ser uma medida de distância,
mas, neste caso, estamos usando o termo para medir o número de dispositivos. O
diâmetro da rede é o número de dispositivos que um pacote precisa cruzar antes de
chegar até seu destino. Manter o diâmetro da rede baixo assegura uma latência baixa e
previsível entre os dispositivos.
Na figura, PC1 se comunica com PC3. Talvez haja até seis switches interconectados
entre PC1 e PC3. Neste caso, o diâmetro da rede é 6. Cada switch no caminho apresenta
algum grau de latência. A latência do dispositivo de rede é o tempo gasto por um
dispositivo quando ele processa um pacote ou quadro. Cada switch precisa determinar o
endereço MAC de destino do quadro, verificar sua tabela de endereços MAC e
encaminhar o quadro pela porta apropriada. Mesmo que todo o processo ocorra em uma
fração de segundo, aumenta o tempo quando o quadro precisa cruzar muitos switches.
Redundância
Implementar links redundantes pode ser caro. Imagine se todos os switches em cada
camada da hierarquia de rede tivesse uma conexão com todos os switches na próxima
camada. É improvável que você consiga implementar redundância na camada de acesso
por causa do custo e dos recursos limitados nos dispositivos finais, mas você pode criar
uma redundância nas camadas de distribuição e do núcleo da rede.
Alguns cenários de falha na rede jamais podem ser evitados, por exemplo, se acaba a
energia na cidade inteira, ou se todo o edifício é demolido por causa de um terremoto. A
redundância não tenta resolver esses tipos de desastres.
Imagine que um novo design de rede seja obrigatório. Requisitos de design, como o
nível de desempenho ou a redundância necessária, são determinados pelas metas
comerciais da organização. Quando os requisitos de design são documentados, o
designer pode começar a escolher o equipamento e a infra-estrutura para implementar o
design.
Uma discussão completa sobre como determinar que switch escolher com base no fluxo
de tráfego e quantos switches do núcleo são obrigatórios para manter o desempenho está
além do escopo deste curso. Para uma boa introdução ao design de rede, leia este livro,
disponível em Ciscopress.com: Top-Down Network Design de Priscilla Oppenheimer
(2004).
Página 1:
As pequenas e médias empresas estão aceitando a idéia de executar serviços de voz e de
vídeo em suas redes de dados. Vejamos como voz e vídeo sobre IP (VoIP) afetam uma
rede hierárquica.
Equipamento legado
Tecnologia avançada
Um benefício de uma rede convergente é que existe apenas uma rede para gerenciar.
Com redes de voz, vídeo e dados separadas, as alterações feitas na rede precisam ser
coordenadas através da rede. Também há custos adicionais resultantes de usar três
conjuntos de cabeamento de rede. Usar uma única rede significa que você precisa
gerenciar apenas uma infra-estrutura cabeada.
Novas opções
As redes convergentes dão opções que não existiam até então. Agora você pode vincular
a comunicação por voz e vídeo diretamente ao sistema de computador pessoal de um
funcionário, conforme mostrado na figura. Não há nenhuma necessidade de um
monofone caro ou de um equipamento de videoconferência. É possível realizar a mesma
função usando um software especial integrado a um computador pessoal. Softphones,
como o Cisco IP Communicator, oferecem muita flexibilidade para as empresas. A
pessoa no canto superior esquerdo da figura está usando um softphone no computador.
Quando o software é usado em lugar de um telefone físico, uma empresa pode converter
rapidamente para redes convergentes, porque não há nenhuma grande despesa na
compra de telefones IP e dos switches necessários para alimentar os telefones. Com a
adição de webcams baratas, as videoconferências podem ser adicionadas a um
softphone. Esses são apenas alguns exemplos fornecidos por um portfólio de soluções
em comunicação mais amplo que redefinem os processos atuais da empresa.
Como você pode ver na figura, uma rede de voz contém linhas telefônicas isoladas no
sentido de um switch PABX para permitir a conectividade telefônica com a Rede de
telefonia pública comutada (PSTN). Quando um novo telefone é adicionado, uma nova
linha deve ser acoplada ao PABX. O PABX costuma estar localizado em um wiring
closet telco, separado dos wiring closet de dados e de vídeo. Os wiring closet
normalmente são separados porque pessoal de suporte diferente exige acesso a cada
sistema. No entanto, usando uma rede hierárquica projetada corretamente e
implementando políticas de QoS que priorizem os dados de áudio, os dados de voz
podem ser convergidos em uma rede de dados existente com mínimo ou nenhum
impacto sobre a qualidade de áudio.
Clique no botão Rede de vídeo na figura para ver um exemplo de uma rede de vídeo
separada.
Clique no botão Rede de dados na figura para ver um exemplo de uma rede de dados
separada.
Página 3:
Exibir meio visual
Página 1:
Para escolher o switch apropriado a uma camada em uma rede hierárquica, você precisa
ter as especificações que detalham os fluxos de tráfego de destino, as comunidades de
usuários, os servidores de dados e os servidores de armazenamento de dados.
As empresas precisam de uma rede capaz de atender aos requisitos sempre em evolução.
Uma empresa pode começar com alguns PCs interconectados de forma que eles possam
compartilhar dados. À medida que a empresa adiciona mais funcionários, dispositivos,
como PCs, impressoras e servidores, são adicionados à rede. Acompanhando os novos
dispositivos está um aumento no tráfego da rede. Algumas empresas estão substituindo
seus sistemas de telefonia existentes por sistemas de telefonia de voz sobre IP (VoIP), o
que acrescenta um tráfego adicional.
Os dados do fluxo de tráfego podem ser usados para ajudar a determinar quanto tempo
você pode continuar usando o hardware de rede existente antes que se justifique
atualizar para acomodar os requisitos de largura de banda adicionais. Ao tomar suas
decisões sobre que hardware comprar, você deve considerar as densidades de porta e as
taxas de encaminhamento do switch para assegurar uma função de crescimento
apropriada. As taxas de encaminhamento e de densidade de porta serão explicadas
posteriormente neste capítulo.
Ferramentas de análise
Em um edifício comercial típico, os usuários finais são agrupados de acordo com seus
cargos, porque eles precisam de acesso semelhante a recursos e aplicativos. Você pode
encontrar o departamento de Recursos Humanos (RH) localizado em um andar de um
edifício comercial, enquanto o de Finanças está localizado em outro andar. Cada
departamento tem um número de usuários e necessidades de aplicativos diferentes,
exigindo acesso a recursos de dados diferentes disponíveis em toda a rede. Por exemplo,
ao selecionar switches para os wiring closets dos departamentos de RH e de finanças,
você escolheria um switch que tivesse portas o suficiente para atender às necessidades
do departamento e fosse bastante eficiente para acomodar os requisitos de tráfego de
todos os dispositivos nesse andar. Além disso, um bom plano de design da rede leva em
conta o crescimento de cada departamento para assegurar que haja portas de switch
disponíveis o suficiente que possam ser utilizadas antes da próxima melhoria planejada
para a rede.
Crescimento futuro
Mas esse plano não leva em conta um crescimento futuro. Considere o que acontecerá
se o departamento de RH receber mais cinco funcionários. Um plano de rede sólido
inclui a taxa de crescimento do pessoal nos últimos cinco anos para ser capaz de prever
o crescimento futuro. Tendo isso em mente, você deseja comprar um switch capaz de
acomodar mais de 24 portas, como os switches empilháveis ou modulares podem
escalar.
Página 3:
Como você pode ver na figura, o tráfego cliente/servidor é o tráfego gerado quando um
dispositivo cliente acessa dados dos repositórios de dados ou dos servidores. O tráfego
cliente/servidor normalmente passa por vários switches até alcançar seu destino. A
agregação de largura de banda e as taxas de encaminhamento do switch são fatores
importantes a serem considerados durante a tentativa de eliminação de gargalos para
esse tipo de tráfego.
Página 4:
Diagramas de topologia
Pode ser muito difícil montar uma topologia de rede depois, se você não fizer parte do
processo de design. Os cabos de rede nos wiring closets desaparecem no chão e no
telhado, o que dificulta o rastreamento até seus destinos. E como os dispositivos estão
espalhados por todo o edifício, é difícil saber como todos os equipamentos são
conectados entre si. Com paciência, é possível determinar com exatidão como tudo está
interconectado e, em seguida, documentar a infra-estrutura de rede em um diagrama de
topologia.
Página 1:
Características físicas do switch
Quais são os principais recursos dos switches usados em redes hierárquicas? Quando
você observa as especificações de um switch, o que significam todos os acrônimos e
frases? O que significa "PoE" e o que é "taxa de encaminhamento"? Neste tópico, você
obterá informações sobre esses recursos.
Ao selecionar um switch, você precisa optar por uma configuração fixa ou modular e
empilhável ou não empilhável. Outra consideração é a espessura do switch expressada
em número de unidades de rack. Por exemplo, todos os Switches de Configuração Fixa
mostrados na figura têm uma unidade de rack (1U). Às vezes, essas opções são
conhecidas como características físicas do switch..
Os switches de configuração fixa são exatamente aquilo que você espera, fixos quanto à
sua configuração. Isso significa que não é possível adicionar recursos ou opções ao
switch além dos que acompanham originalmente o switch. O modelo específico que
você compra determina os recursos e as opções disponíveis. Por exemplo, se comprar
um switch fixo gigabit com 24 portas, não será possível adicionar portas quando você
precisar. Normalmente, há opções de configuração diferentes que variam quanto ao
número e aos tipos de portas incluídas.
Switches modulares
Switches empilháveis
Os switches empilháveis podem ser interconectados usando um cabo backplane que
fornece produtividade em grande largura de banda entre os switches. A Cisco
apresentou a tecnologia StackWise em uma de suas linhas de produto de switch. A
StackWise permite interconectar até nove switches usando conexões backplane
completamente redundantes. Como você pode ver na figura, os switches são empilhados
um sobre o outro, e os cabos conectam os switches em interligação de equipamentos em
cascata. Os switches empilhados funcionam efetivamente como um único switch maior.
Os switches empilháveis são desejados onde a tolerância a falhas e a disponibilidade de
largura de banda são essenciais e um switch modular é muito caro para ser
implementado. Usando conexões cruzadas, a rede poderá se recuperar rapidamente se
houver falha em único switch. Os switches empilháveis usam uma porta especial para
interconexões e não usam portas de linha para conexões de inter-switch. As velocidades
também costumam ser mais rápidas que usar portas de linha para switches de conexão.
Página 2:
Desempenho
Densidade de porta
Você também deve abordar o problema dos gargalos de uplink. Uma série de switches
de configuração fixa pode usar muitas portas adicionais para agregação de largura de
banda entre switches com a finalidade de obter o desempenho desejado. Com um único
switch modular, a agregação de largura de banda não chega a ser um problema porque o
backplane do chassi pode fornecer a largura de banda necessária para acomodar os
dispositivos conectados às placas de linha de porta de switch.
Taxas de encaminhamento
Clique no botão Taxas de encaminhamento na figura para ver um exemplo das taxas
de encaminhamento em switches com densidades de porta diferentes.
Como você pode ver na figura, são usadas quatro portas separadas nos switches C1 e D1
para criar um EtherChannel de quatro portas. A tecnologia EtherChannel permite a um
grupo de links físicos Ethernet criar um link Ethernet lógico com a finalidade de
fornecer tolerância a falhas e links de alta velocidade entre switches, roteadores e
servidores. Nesse exemplo, há quatro vezes mais produtividade em comparação com a
conexão de porta única entre os switches C1 e D2.
Página 3:
Clique no ícone de ponto de acesso sem fio para ver suas portas.
Funções da camada 3
Página 1:
Agora que você sabe quais fatores considerar ao escolher um switch, nos permita
examinar quais recursos são obrigatórios em cada camada de uma rede hierárquica.
Assim, você poderá comparar a especificação do switch com sua capacidade em
funcionar como um switch das camadas de acesso, de distribuição ou de núcleo.
A velocidade de porta também é uma característica que você precisa considerar para os
switches da camada de acesso. Dependendo dos requisitos de desempenho da rede, você
deve escolher entre as portas de switch Fast Ethernet e Gigabit Ethernet. Fast Ethernet
permite até 100 Mb/s de tráfego por porta de switch. Fast Ethernet é adequado para a
telefonia IP e o tráfego de dados na maior parte das redes comerciais. No entanto, o
desempenho é mais lento do que o de portas Gigabit Ethernet. Gigabit Ethernet permite
até 1000 Mb/s de tráfego por porta de switch. A maioria dos dispositivos modernos,
como estações de trabalho, notebooks e telefones IP, suportam Gigabit Ethernet. Isso
permite transferências de dados muito mais eficientes, o que permite aos usuários serem
mais produtivos. Gigabit Ethernet tem uma desvantagem: os switches que suportam
Gigabit Ethernet são mais caros.
Outro requisito de recurso para alguns switches da camada de acesso é PoE. Como a
PoE aumenta drasticamente o preço geral do switch em todas as linhas de produto de
switch Cisco Catalyst, ela só deverá ser considerada quando a convergência de voz for
obrigatória ou quando pontos de acesso sem fio estiverem sendo implementados e for
difícil ou caro o transporte da energia até o local desejado.
Agregação de link é outro recurso comum à maioria dos switches da camada de acesso.
A agregação de link permite ao switch usar vários links simultaneamente. Os switches
da camada de acesso usufruem a agregação de link ao agregar largura de banda até os
switches da camada de distribuição.
Em uma rede convergente que suporta tráfegos de voz, de vídeo e de dados, os switches
da camada de acesso precisam suportar QoS para manter a priorização do tráfego. Os
telefones IP Cisco são tipos de equipamento encontrados na camada de acesso. Quando
um telefone IP Cisco é conectado a uma porta de switch da camada de acesso
configurada para suportar tráfego de voz, essa porta do switch informa ao telefone IP
como enviar seu tráfego de voz. O QoS precisa estar habilitado nos switches da camada
de acesso para que o tráfego de voz tenha prioridade no telefone IP sobre, por exemplo,
o tráfego de dados.
Página 2:
Os switches da camada de distribuição têm uma função muito importante na rede. Eles
coletam os dados de todos os switches da camada de acesso e os encaminha para os
switches da camada de núcleo. Como você saberá posteriormente neste curso, o tráfego
gerado na Camada 2 em uma rede comutada precisa ser gerenciado ou segmentado em
VLANs, para que ele não consuma largura de banda desnecessária em toda a rede. Os
switches da camada de distribuição fornecem as funções de roteamento entre VLANs
para que uma VLAN possa se comunicar com outra na rede. Esse roteamento
normalmente acontece na camada de distribuição porque os switches da camada de
distribuição têm recursos de processamento melhores que os switches da camada de
acesso. Os switches da camada de distribuição impedem que os switches do núcleo
precisem executar essa tarefa porque o núcleo está ocupado, tratando o encaminhamento
de volumes de tráfego muito altos. Como o roteamento entre VLANs é realizado na
camada de distribuição, os switches nessa camada precisam suportar funções da
Camada 3.
Políticas de segurança
Qualidade de serviço
Página 3:
Agregação de link
A camada de núcleo também precisa suportar agregação de link para assegurar uma
largura de banda adequada no núcleo em relação aos switches da camada de
distribuição. Os switches da camada de núcleo devem ter suporte a conexões 10GbE
agregadas, que atualmente formam a opção de conectividade Ethernet mais rápida
disponível. Isso permite aos switches da camada de distribuição correspondentes
distribuir tráfego com a máxima eficiência possível para o núcleo.
Redundância
Por exemplo, interromperia desligar um switch da camada de núcleo para trocar uma
fonte de alimentação ou um ventilador durante o dia quando o uso da rede está em seu
máximo. Para trocar um hardware, você pode ter uma queda da rede de pelo menos
cinco minutos, e isso se for muito rápido na manutenção. Em uma situação mais real, o
switch pode permanecer desligado durante 30 minutos ou mais, o que não costuma ser
muito aceitável. Com hardware hot-swappable, não há nenhuma indisponibilidade
durante a manutenção do switch.
A QoS é uma parte importante dos serviços fornecidos por switches da camada de
núcleo. Por exemplo, as operadoras (que fornecem serviços de IP, armazenamento de
dados, email e outros) e as redes remotas (WANs) estão adicionando mais tráfego de
voz e vídeo a uma quantidade já em crescimento do tráfego de dados. No núcleo e na
borda da rede, o tráfego de missão crítica e sensível ao tempo, como voz, deve receber
garantias de QoS maiores que o tráfego sensível ao tempo, como transferências de
arquivo ou email. Como o acesso WAN da alta velocidade costuma ser proibitivamente
caro, adicionar largura de banda na camada de núcleo não é uma opção. Como a QoS
fornece uma solução com base em software para priorizar o tráfego, os switches da
camada de núcleo podem fornecer uma forma acessível de suportar o uso ideal e
diferenciado da largura de banda existente.
Página 1:
Agora que você sabe quais são os recursos do switch usados nas camadas de uma rede
hierárquica, você obterá informações sobre os switches Cisco aplicáveis a cada camada
no modelo de rede hierárquico. Hoje, não é possível selecionar um switch Cisco apenas
considerando o tamanho de uma empresa. Uma pequena empresa com 12 funcionários
pode ser integrada à rede de uma grande empresa multinacional e exigir todos os
serviços de rede local avançados disponíveis na matriz corporativa. A seguinte
classificação de switches Cisco segundo o modelo de rede hierárquica representa um
ponto de partida para suas deliberações quanto ao switch mais apropriado a um
determinado aplicativo. A classificação apresentada reflete como você poderia ver a
faixa de switches Cisco se fosse uma empresa multinacional. Por exemplo, as
densidades de porta do switch Cisco 6500 só têm sentido como um switch da camada de
acesso em que há muitas centenas de usuários em uma área, como um pavimento de
uma bolsa de valores. Se você pensar nas necessidades de uma empresa de médio porte,
um switch mostrado como um switch da camada de acesso, o Cisco 3560, por exemplo,
pode ser usado como um switch da camada de distribuição se atende aos critérios
determinados pelo designer de rede daquela aplicação.
A Cisco tem sete linhas de produto de switch. Cada linha de produto tem recursos e
características diferentes, o que permite localizar o switch certo para atender aos
requisitos funcionais da rede. As linhas de produto de switch Cisco são:
Catalyst Express 500 é o switch da camada de entrada da Cisco. Ele oferece o seguinte:
Os switches da série Catalyst Express 500 não permitem o gerenciamento por meio da
CLI IOS Cisco. Eles são gerenciados com uma interface de gerenciamento Web
integrada, o Cisco Network Assistant ou o novo Cisco Configuration Manager
desenvolvido especificamente para os switches da série Catalyst Express 500. O
Catalyst Express não suporta o acesso da console.
Para obter mais informações sobre a série de switches Cisco Express 500, acesse
http://www.cisco.com/en/US/products/ps6545/index.html (em inglês).
Catalyst 2960
A série Catalyst 2960 suporta a CLI Cisco IOS, a interface de gerenciamento integrada
e o Cisco Network Assistant. Essa série de switches suporta o acesso de console e
auxiliar ao switch.
Para obter mais informações sobre a série de switches Cisco Catalyst 2960, visite
http://www.cisco.com/en/US/products/ps6406/index.html (em inglês).
Catalyst 3560
A série Cisco Catalyst 3560 é uma linha de switches de classe corporativa que inclui
suporte a PoE, QoS e a recursos de segurança avançados, como ACLs. Esses switches
são switches da camada de acesso ideais para o acesso de rede local de pequenas
empresas ou os ambientes de rede convergentes de filiais.
A série Cisco Catalyst 3560 suporta taxas de encaminhamento de 32 Gb/s a 128 Gb/s
(série de switches Catalyst 3560-E).
Os switches da série Catalyst 3560 estão disponíveis em diferentes configurações fixas:
Para obter mais informações sobre a série de switches Cisco Catalyst 3560, visite
http://www.cisco.com/en/US/products/hw/switches/ps5528/index.html (em inglês).
Catalyst 3750
A série de switches Cisco Catalyst 3750 é ideal para switches da camada de acesso em
organizações de médio porte e filiais corporativas. Essa série oferece taxas de
encaminhamento de 32 Gb/s a 128 Gb/s (série de switches Catalyst 3750-E). A série
Catalyst 3750 suporta a tecnologia Cisco StackWise. A tecnologia StackWise permite
interconectar até nove switches Catalyst 3750 físicos em um só switch lógico usando
uma conexão backplane, redundante, de alto desempenho (32 Gb/s).
Para obter mais informações sobre a série de switches Cisco Catalyst 3750, visite
http://www.cisco.com/en/US/products/hw/switches/ps5023/index.html (em inglês).
Catalyst 4500
Com taxas de encaminhamento de até 136 Gb/s, a série Catalyst 4500 é capaz de
gerenciar tráfego na camada de distribuição. O recurso modular da série Catalyst 4500
permite densidades de porta muito altas com a adição de placas de linha da porta de
switch ao seu chassi modular. A série Catalyst 4500 oferece QoS multicamada e
funções de roteamento sofisticadas.
Chassi modular com três, seis, sete e dez slots que oferece camadas diferentes de
escalabilidade
Alta densidade de porta: até 384 portas Fast Ethernet ou Gigabit Ethernet
disponíveis em cobre ou fibra com uplinks 10 Gigabit
PoE (Cisco pré-padrão e IEEE 802.3af)
Duas fontes de alimentação CA ou CC internas hot-swappable
Recursos de roteamento IP assistido por hardware avançados
Para obter mais informações sobre a série de switches Cisco Catalyst 4500, visite
http://www.cisco.com/en/US/products/hw/switches/ps4324/index.html (em inglês).
Catalyst 4900
Para obter mais informações sobre a série de switches Cisco Catalyst 4900, visite
http://www.cisco.com/en/US/products/ps6021/index.html (em inglês).
Catalyst 6500
Para obter mais informações sobre a série de switches Cisco Catalyst 6500, visite
http://www.cisco.com/en/US/products/hw/switches/ps708/index.html (em inglês).
Página 2:
Exibir meio visual
Página 3:
O Packet Tracer é integrado ao longo deste curso. Você deve saber como navegar no
ambiente do Packet Tracer para concluir este curso. Use os tutoriais se você precisar de
uma revisão dos princípios básicos do Packet Tracer. Os tutoriais estão localizados no
menu Ajuda do Packet Tracer.
Esta atividade vai ensinar a criar uma topologia hierárquica, da camada de núcleo às
camadas de distribuição e de acesso.
Página 1:
Neste laboratório, você irá criar e configurar uma pequena rede roteada e verificar a
conectividade em vários dispositivos de rede. Para isso, é necessário criar e atribuir dois
blocos de sub-rede, conectar hosts e dispositivos de rede e configurar computadores
host e um roteador Cisco para conectividade de rede básica. Switch1 tem uma
configuração padrão e não exige uma configuração adicional. Você utilizará comandos
comuns para testar e documentar a rede. A sub-rede zero é usada.
Página 2:
Nesta atividade, você irá criar e configurar uma pequena rede roteada e verificar a
conectividade em vários dispositivos de rede. Para isso, é necessário criar e atribuir dois
blocos de sub-rede, conectar hosts e dispositivos de rede e configurar computadores
host e um roteador Cisco para conectividade de rede básica. Switch1 tem uma
configuração padrão e não exige uma configuração adicional. Você utilizará comandos
comuns para testar e documentar a rede. A sub-rede zero é usada.
São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.
Página 1:
Neste laboratório, você irá criar e configurar uma pequena rede roteada e verificar a
conectividade em vários dispositivos de rede. Para isso, é necessário criar e atribuir dois
blocos de sub-rede, conectar hosts e dispositivos de rede e configurar computadores
host e um roteador Cisco para conectividade de rede básica. Switch1 tem uma
configuração padrão e não exige uma configuração adicional. Você utilizará comandos
comuns para testar e documentar a rede. A sub-rede zero é usada.
Página 2:
Nesta atividade, você irá criar e configurar uma pequena rede roteada e verificar a
conectividade em vários dispositivos de rede. Para isso, é necessário criar e atribuir dois
blocos de sub-rede, conectar hosts e dispositivos de rede e configurar computadores
host e um roteador Cisco para conectividade de rede básica. Switch1 tem uma
configuração padrão e não exige uma configuração adicional. Você utilizará comandos
comuns para testar e documentar a rede. A sub-rede zero é usada.
São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.
Página 1:
Neste laboratório, você recebe uma configuração concluída para uma pequena rede
roteada. A configuração contém erros de design e de configuração que entram em
conflito com requisitos determinados e impedem a comunicação fim-a-fim. Você
examinará o projeto dado e identificará e corrigirá os possíveis erros de design. Depois
você cabeará a rede, configurará os hosts e carregará as configurações sobre o roteador.
Por fim, você irá solucionar os problemas de conectividade para determinar onde os
erros estão ocorrendo e corrigi-los usando os comandos apropriados. Quando todos os
erros forem corrigidos, cada host poderá se comunicar com todos os outros elementos
de rede configurados e com o outro host.
Exibir meio visual
Página 2:
São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.
Página 1:
Página 2:
Exibir meio visual
Página 3:
Esta atividade revisa as habilidades que você adquiriu no CCNA - Cisco Certified
Networking Associated Exploration: Curso básico de rede. As habilidades incluem
criação de sub-redes, criação de uma rede, aplicação de um esquema de endereçamento
e testes de conectividade. Você deve revisar essas habilidades antes de continuar. Além
disso, essa atividade revisa os fundamentos de uso do programa Packet Tracer. O Packet
Tracer é integrado ao longo desse curso. Você deve saber como navegar no ambiente do
Packet Tracer para concluir este curso. Use os tutoriais se precisar de uma revisão dos
princípios básicos do Packet Tracer. Os tutoriais estão localizados no menu Ajuda do
Packet Tracer.
São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.
CCNA Exploration -
1.5.1 Teste do capítulo
Página 1:
Página 1:
CSMA/CD
Os sinais Ethernet são transmitidos para todos os hosts conectados à LAN que usam um
conjunto especial de regras para determinar que estação pode acessar a rede. O conjunto
de regras que a Ethernet usa se baseia na tecnologia de detecção de colisão/acesso
múltiplo com verificação de operadora (CSMA/CD) IEEE. Você pode se lembrar de
Exploração CCNA: Fundamentos de Rede que o CSMA/CD só costuma ser usado com
uma comunicação half-duplex normalmente encontrada em hubs. Switches em full
duplex não usam CSMA/CD.
Verificação de operadora
Multiacesso
Se a distância entre dispositivos for tanta que a latência dos sinais de um dispositivo
significa que esses sinais não são detectados por um segundo dispositivo, este também
poderá começar a transmitir. O meio agora tem dois dispositivos transmitindo sinais ao
mesmo tempo. As mensagens se propagarão pelo meio até se encontrarem. A essa
altura, os sinais se misturam e as mensagens são destruídas; houve uma colisão. Embora
as mensagens estejam corrompidas, o restante dos sinais continua se propagando pelo
meio.
Detecção de colisões
Quando um dispositivo está no modo ouvinte, ele não pode detectar a ocorrência de
uma colisão na mídia compartilhada, porque todos os dispositivos podem detectar um
aumento na amplitude do sinal acima do nível normal.
Quando ocorre uma colisão, os outros dispositivos no modo ouvinte, bem como todos
os dispositivos transmissores, detectam o aumento na amplitude do sinal. Todos os
dispositivos transmissores continuam transmitindo para assegurar que todos os
dispositivos na rede detectem a colisão.
Depois que o atraso expira em um dispositivo, este retorna ao modo "ouvir antes de
transmitir". Um período de back off aleatório assegura que os dispositivos envolvidos
na colisão não tentem reenviar o tráfego ao mesmo tempo, o que poderia fazer com que
todo o processo fosse repetido. No entanto, durante o período de back off, um terceiro
dispositivo pode transmitir antes de qualquer um dos dois dispositivos envolvidos na
colisão ter uma chance de retransmitir.
Página 2:
Comunicação Ethernet
A comunicação em uma rede local comutada ocorre de três formas: unicast, broadcast e
multicast:
Quadro Ethernet
Passe o mouse sobre cada nome de campo para ver sua descrição.
Campo Tamanho/Tipo
Os campos Dados e Pad (de 46 a 1500 bytes) contêm os dados encapsulados de uma
camada de nível superior, que é uma PDU de Camada 3 genérica ou, mais normalmente,
um pacote IPv4. Todos os quadros devem ter pelo menos 64 bytes (tamanho máximo
auxilia na detecção de colisões). Se um pacote pequeno for encapsulado, o campo Pad
será usado para aumentar o tamanho do quadro até o mínimo.
Endereço MAC
Todos os dispositivos conectados a uma rede local Ethernet têm interfaces com
endereços MAC. A placa de rede usa o endereço MAC para determinar se uma
mensagem deve ser passada às camadas superiores para processamento. O endereço
MAC é codificado permanentemente em um chip ROM em uma placa de rede. Esse tipo
de endereço MAC é conhecido como um endereço gravado na ROM (BIA). Alguns
fornecedores permitem a modificação local do endereço MAC. O endereço MAC é
composto do identificador exclusivo organizacional (OUI) e o número de atribuição do
fornecedor.
Passe o mouse sobre cada nome de campo para ver sua descrição.
A OUI é a primeira parte de um endereço MAC. Ela tem 24 bits e identifica o fabricante
da placa de rede. O IEEE regula a atribuição de números OUI. No OUI, há dois bits que
só têm significado quando usados no endereço de destino, da seguinte forma:
Bit de broadcast ou multicast: Indica para a interface receptora que o destino do quadro
é todos ou um grupo de estações finais no segmento de rede local.
Bit de endereço administrado localmente: Se o endereço MAC atribuído por fornecedor
puder ser modificado localmente, esse bit deverá ser definido.
Página 3:
Configurações bidirecionais
Página 4:
Para as portas Fast Ethernet e 10/100/1000, o padrão é auto. Para portas 100BASE-FX,
o padrão é full. As portas 10/100/1000 funcionam no modo half ou full duplex quando
são definidas como 10 ou 100 Mb/s, mas quando definidas como 1.000 Mb/s, elas
funcionam apenas no modo full duplex.
Nota: A negociação automática pode gerar resultados imprevisíveis. Por padrão,
quando a negociação automática falha, o switch Catalyst define a porta de switch
correspondente no modo half duplex. Esse tipo de falha acontece quando um dispositivo
acoplado não suporta a negociação automática. Se for configurado manualmente para
funcionar no modo half duplex, o dispositivo corresponderá ao modo padrão do switch.
No entanto, erros de negociação automática poderão acontecer se o dispositivo for
configurado manualmente para funcionar no modo full duplex. Ter half duplex em uma
extremidade e full duplex em outra causa erros de colisão na extremidade half duplex.
Para evitar essa situação, defina manualmente os parâmetros bidirecionais do switch de
acordo com o dispositivo acoplado. Se a porta de switch estiver no modo full duplex e o
dispositivo acoplado estiver no modo half duplex, verifique os erros de FCS na porta
full duplex do switch.
auto-MDIX
Quando o recurso auto-MDIX é habilitado, o switch detecta o tipo de cabo exigido para
conexões Ethernet de cobre e configura as interfaces corretamente. Por isso, é possível
usar um cabo crossover ou straight-through para conexões com uma porta 10/100/1000
de cobre no switch, independentemente do tipo de dispositivo na outra extremidade da
conexão.
Por padrão, o recurso auto-MDIX é habilitado em switches que executam o Cisco IOS
versão 12.2(18)SE ou posterior. Para versões entre o Cisco IOS versão 12.1(14)EA1 e
12.2(18)SE, o recurso auto-MDIX é desabilitado por padrão.
Página 5:
Um switch determina como tratar estruturas de dados recebidos, usando sua tabela de
endereços MAC. Um switch cria sua tabela de endereços MAC, registrando os
endereços MAC dos nós conectados a cada uma de suas portas. Quando um endereço
MAC de um nó específico em uma porta específica é registrado na tabela de endereços,
o switch sabe enviar tráfego com destino a esse nó específico pela porta mapeada para
esse nó em transmissões subseqüentes.
Quando uma estrutura de dados de entrada é recebida por um switch e o endereço MAC
de destino não está na tabela, o switch encaminha o quadro por todas as portas, com
exceção da porta em que foi recebido. Quando o nó de destino responde, o switch
registra o endereço MAC do nó na tabela de endereços do campo de endereço de origem
do quadro. Em redes com vários switches interconectados, as tabelas de endereços
MAC registram vários endereços MAC para as portas que conectam os switches que
refletem o que há além do nó. Normalmente, as portas de switch usadas para
interconectar dois switches têm vários endereços MAC registrados na tabela de
endereços MAC.
Etapa 2. O switch insere o endereço MAC de origem e a porta de switch que recebeu o
quadro na tabela de endereços.
Página 1:
Neste tópico, você obterá informações sobre as diretrizes de design Ethernet necessárias
à interpretação de designs de rede hierárquica para pequenas e médias empresas. Este
tópico se concentra no broadcast e em domínios de colisão, além da forma como eles
afetam os designs de rede local.
Uma grande desvantagem das redes Ethernet 802.3 são as colisões. Colisões ocorrem
quando dois hosts transmitem quadros simultaneamente. Quando uma colisão ocorre, os
quadros transmitidos são danificados ou destruídos. Os hosts de envio param de enviar
mais transmissões durante um período aleatório, com base nas regras Ethernet 802.3 de
CSMA/CD.
Como a Ethernet não tem como controlar que nó estará em transmissão em qualquer
momento, sabemos que as colisões ocorrerão quando mais de um nó tentar obter acesso
à rede. A resolução de Ethernet para colisões não ocorre instantaneamente. Além disso,
um nó envolvido em uma colisão não pode começar a transmitir até que o assunto seja
resolvido. Na medida em que mais dispositivos são adicionados ao meio compartilhada,
cresce a probabilidade de colisões. Por isso, é importante compreender que, durante a
declaração da largura de banda da rede Ethernet de 10 Mb/s, a largura de banda
completa para transmissão só está disponível após a resolução de todas as colisões. A
produtividade líquida da porta (os dados médios efetivamente transmitidos) será
reduzida consideravelmente em decorrência da função de quantos nós desejam usar a
rede. Um hub não oferece nenhum mecanismo para eliminar ou reduzir essas colisões, e
a largura de banda disponível que qualquer nó precisa transmitir é reduzida de maneira
correspondente. Dessa forma, o número de nós que compartilham a rede Ethernet
afetará a produtividade da rede.
Domínios de colisão
Durante a expansão de uma rede local Ethernet para acomodar mais usuários com mais
requisitos de largura de banda, o potencial de colisões aumenta. Para reduzir o número
de nós em um determinado segmento de rede, é possível criar segmentos de rede física
separados, chamados de domínios de colisão.
A área de rede na qual quadros têm origem e colidem é chamada de domínio de colisão.
Todos os ambientes de meio compartilhados, como os criados usando-se hubs, são
domínios de colisão. Quando um host é conectado a uma porta de switch, o switch cria
uma conexão dedicada. Essa conexão é considerada um domínio de colisão individual
porque o tráfego é mantido separado de todos os demais tráfegos, o que elimina o
potencial para uma colisão. A figura mostra domínios de colisão exclusivos em um
ambiente comutado. Por exemplo, se um switch com 12 portas tem um dispositivo
conectado em cada porta, 12 domínios de colisão são criados.
Como você sabe agora, um switch cria uma tabela de endereços MAC, aprendendo os
endereços MAC dos hosts conectados a cada porta de switch. Quando dois hosts
conectados desejam se comunicar, o switch usa a tabela de comutação para estabelecer
uma conexão entre as portas. O circuito é mantido até que a sessão seja finalizada. Na
figura, Host A e Host B desejam se comunicar. O switch cria a conexão conhecida
como um microssegmento. O microssegmento se comporta como se a rede tivesse
apenas dois hosts, um host de envio e um de recebimento, fornecendo utilização
máxima da largura de banda disponível.
Domínios de broadcast
Embora os switches filtrem a maioria dos quadros com base nos endereços MAC, eles
não filtram quadros de broadcast. Para que outros switches na LAN obtenham quadros
difundidos, estes devem ser encaminhados por switches. Uma coleção de switches
interconectados forma um único domínio de broadcast. Apenas uma entidade da
Camada 3, como um roteador ou uma rede LAN virtual (VLAN), pode parar um
domínio de broadcast da Camada 3. Os roteadores e as VLANs são usados para
segmentar os domínios de colisão e de broadcast. O uso de VLANs para segmentar
domínios de broadcast será abordado no próximo capítulo.
Quando um switch recebe um quadro difundido, ele encaminha o quadro para todas as
suas portas, exceto a porta de entrada em que o switch recebeu o quadro de broadcast.
Cada dispositivo acoplado reconhece o quadro de broadcast e o processa. Isso acarreta
uma eficiência de rede reduzida, porque a largura de banda é usada para propagar o
tráfego de broadcast.
Quando dois switches são conectados, o domínio de broadcast aumenta. Neste exemplo,
um quadro de broadcast é encaminhado para todas as portas conectadas no switch S1. O
switch S1 é conectado ao switch S2. O quadro é propagado para todos os dispositivos
conectados ao switch S2. Isso é mostrado na segunda metade da animação.
Página 3:
Latência de rede
Primeiro, existe o tempo necessário para que a placa de rede de origem insira pulsos de
tensão no fio e o tempo necessário à placa de rede de destino para interpretar esses
pulsos. Às vezes, isso é chamado de atraso de placa de rede, normalmente cerca de um
microssegundo para uma placa de rede 10BASE-T.
Segundo, existe o atraso de propagação real à medida que o sinal demora para percorrer
o cabo. Normalmente, são aproximadamente 0,556 microssegundos por 100 m para
UTP Cat 5. O cabo mais longo e a velocidade nominal menor da propagação (NVP)
resultam em mais atraso de propagação.
Terceiro, a latência é adicionada com base nos dispositivos de rede que estão no
caminho entre dois dispositivos. Eles são dispositivos de camadas 1, 2 ou 3. Essas três
contribuições para com a latência podem ser identificadas na animação na medida em
que o quadro atravessa a rede.
Página 4:
Congestionamento de rede
O principal motivo para segmentar uma rede local em partes menores é isolar o tráfego
e obter um uso melhor da largura de banda por usuário. Sem segmentação, uma rede
local fica rapidamente obstruída com tráfego e colisões. A figura mostra uma rede
sujeita ao congestionamento por vários dispositivos de nó em uma rede com base em
hub.
Página 5:
Segmentação de rede local
Passe o mouse sobre o domínio de colisão para ver o tamanho de cada domínio de
colisão.
Bridges e switches
Roteadores
Embora o switch de rede local reduza o tamanho dos domínios de colisão, todos os
hosts conectados ao switch e na mesma VLAN ainda estão no mesmo domínio de
broadcast. Como os roteadores não encaminham tráfego de broadcast por padrão, eles
podem ser usados para criar domínios de broadcast. Criar domínios de broadcast
adicionais, menores, com um roteador reduz o tráfego de broadcast e fornece mais
largura de banda disponível para uma comunicação unicast. Cada interface do roteador
se conecta a uma rede separada, contendo tráfego de broadcast no segmento de rede
local no qual se originou.
Clique no botão Domínio de colisão e de broadcast com controle para ver o efeito da
introdução de roteadores e mais switches na rede.
Passe o mouse sobre as duas áreas de texto para identificar os domínios de broadcast
e de colisão diferentes.
Página 1:
Ao criar uma rede para reduzir a latência, você precisa considerar a latência causada por
cada dispositivo na rede. Os switches podem introduzir latência em uma rede quando
estão em excesso em uma rede ocupada. Por exemplo, se um switch do nível de núcleo
precisar suportar 48 portas, cada uma sendo capaz de funcionar em full duplex 1000
Mb/s, o switch deverá suportar cerca de 96 Gb/s de produtividade interna se precisar
manter velocidade de fio total em todas as portas simultaneamente. Nesse exemplo, os
requisitos de produtividade informados são típicos de switches do nível de núcleo, e não
de switches do nível de acesso.
O uso de dispositivos de camada mais alta também pode aumentar a latência em uma
rede. Quando um dispositivo da Camada 3, como um roteador, precisa examinar as
informações de endereçamento da Camada 3 contidas no quadro, ele deve ir além do
quadro de um dispositivo da Camada 2, que cria um tempo de processamento maior.
Limitar o uso de dispositivos de camada mais alta pode ajudar a reduzir a latência de
rede. No entanto, o uso apropriado de dispositivos da Camada 3 ajuda a evitar a
contenção no tráfego de broadcast em um domínio de broadcast grande ou a taxa de
colisão alta em um domínio de colisão grande.
Removendo gargalos
Gargalos em uma rede são locais em que um alto congestionamento de rede resulta em
desempenho lento.
Nesta figura, que mostra seis computadores conectados a um switch, um único servidor
também é conectado ao mesmo switch. Cada estação de trabalho e o servidor são todos
conectados usando uma placa de rede 1000 Mb/s. O que acontece quando todos os seis
computadores tentam acessar o servidor ao mesmo tempo? Cada estação de trabalho
obtém um acesso dedicado de 1000 Mb/s ao servidor? Não, todos os computadores
precisam compartilhar a conexão de 1000 Mb/s que o servidor tem com o switch.
Cumulativamente, os computadores são capazes de 6000 Mb/s com o switch. Se cada
conexão fosse usada com total capacidade, cada computador poderia usar apenas 167
Mb/s, um sexto da largura de banda de 1000 Mb/s. Para reduzir o gargalo no servidor,
placas de rede adicionais podem ser instaladas, o que aumenta a largura de banda total
que o servidor é capaz de receber. A figura mostra cinco placas de rede no servidor e
aproximadamente cinco vezes a largura de banda. A mesma lógica se aplica a
topologias de rede. Quando switches com vários nós são interconectados por uma única
conexão de 1000 Mb/s, um gargalo é criado nessa única interconexão.
Links de maior capacidade (por exemplo, atualizando de conexões de 100 Mb/s para
1000 Mb/s) e usar tecnologias de agregação de links para vários links (por exemplo,
integrando dois links como se eles fossem um para dobrar a capacidade de uma
conexão) podem ajudar a reduzir os gargalos criados por links de inter-switch e de
roteador. Embora a configuração da agregação de link esteja fora do escopo deste curso,
é importante considerar os recursos de um dispositivo ao avaliar as necessidades de uma
rede. Quantas portas e de que velocidade o dispositivo é capaz? Qual é a produtividade
interna do dispositivo? Ele pode tratar as cargas de tráfego antecipadas considerando
sua posição na rede?
Página 2:
Exibir meio visual
Página 1:
Neste tópico, você saberá como os switches encaminham quadros Ethernet em uma
rede. Os switches podem funcionar em modos diferentes, que podem ter efeitos
positivos e negativos.
A CRC usa uma fórmula matemática, baseada no número de bits (1s) no quadro, para
determinar se o quadro recebido tem um erro. Depois de confirmar a integridade do
quadro, o quadro é encaminhado pela porta apropriada até seu destino. Quando um erro
é detectado em um quadro, o switch descarta o quadro. Descartar quadros com erros
reduz a quantidade de largura de banda consumida por dados corrompidos. A
comutação armazenar e encaminhar é obrigatória para a análise da Qualidade de Serviço
(QoS) em redes convergidas nas quais a classificação de quadro para priorização de
tráfego é necessária. Por exemplo, os fluxos de dados de voz sobre IP precisam ter
prioridade sobre o tráfego da navegação na Web.
Na comutação direta, o switch age nos dados assim que eles são recebidos, mesmo que
a transmissão não seja concluída. O switch armazena em buffer o suficiente do quadro
para ler o endereço MAC de destino de forma que possa determinar para qual porta
encaminhar os dados. O endereço MAC de destino está localizado nos seis primeiros
bytes do quadro após o preâmbulo. O switch observa o endereço MAC de destino em
sua tabela de comutação, determina a porta da interface de saída e encaminha o quadro
para seu destino pela porta de switch designada. O switch não executa nenhuma
verificação de erros no quadro. Como o switch não precisa aguardar que todo quadro
seja armazenado em buffer e como ele não executa nenhuma verificação de erros, a
comutação direta é mais rápida que a comutação armazenar e encaminhar. No entanto,
como o switch não executa nenhuma verificação de erros, ele encaminha quadros
corrompidos ao longo da rede. Os quadros corrompidos consomem largura de banda
enquanto são encaminhados. A placa de rede de destino acaba descartando os quadros
corrompidos.
Comutação fast forward: A comutação fast forward oferece o nível mais baixo
de latência. A comutação fast forward encaminha imediatamente um pacote
depois de ler o endereço de destino. Como a comutação fast forward inicia o
encaminhamento antes de todo o pacote ser recebido, talvez haja momentos em
que os pacotes sejam retransmitidos com erros. Isso raramente ocorre, e o
adaptador de rede de destino descarta o pacote com defeito assim que ele é
recebido. No modo fast forward, a latência é medida do primeiro bit recebido até
o primeiro bit transmitido. A comutação fast forward é o método direto típico de
comutação.
Comutação sem fragmentos: Na comutação sem fragmentos, o switch armazena
os primeiros 64 bytes do quadro antes de encaminhar. A comutação sem
fragmentos pode ser vista como um compromisso entre as comutações
armazenar e encaminhar e direta. O motivo pelo qual a comutação sem
fragmentos armazena apenas os primeiros 64 bytes do quadro é que a maioria
dos erros de rede e das colisões ocorre durante os primeiros 64 bytes. A
comutação sem fragmentos tenta aprimorar a comutação direta, executando uma
pequena verificação de erros nos primeiros 64 bytes do quadro para assegurar
que uma colisão não tenha ocorrido antes do encaminhamento do quadro. A
comutação sem fragmentos é um compromisso entre a latência alta e a
integridade alta da comutação armazenar e encaminhar e a baixa latência e a
integridade reduzida da comutação direta.
Alguns switches são configurados para executar a comutação direta base por base até
que um limite de erro definido pelo usuário seja alcançado e, em seguida, eles alteram
automaticamente para armazenar e encaminhar. Quando a taxa de erros fica abaixo do
limite, a porta retorna automaticamente à comutação direta.
Página 1:
A comutação simétrica fornece conexões comutadas entre portas com a mesma largura
de banda, como todas as portas de 100 Mb/s ou todas as portas de 1000 Mb/s. Um
switch de rede local assimétrico fornece conexões comutadas entre portas de largura de
banda diferente, como uma combinação de portas de 10 Mb/s, 100 Mb/s e 1000 Mb/s. A
figura mostra as diferenças entre as comutações simétrica e assimétrica.
Assimétrica
A comutação assimétrica permite que mais largura de banda seja dedicada a uma porta
de switch do servidor para impedir um gargalo. Isso permite fluxos de tráfego melhores
onde vários clientes estão se comunicando com um servidor ao mesmo tempo. O
armazenamento em buffer da memória é obrigatório em um switch assimétrico. Para
que o switch seja compatível com as taxas de dados diferentes em portas diferentes,
todos os quadros são mantidos no buffer da memória e movidos para a porta um a um
conforme necessário.
Simétrica
Página 1:
O switch mantém um mapa do quadro para links de porta que mostra onde um pacote
precisa ser transmitido. O link de mapa será limpo depois que o quadro for transmitido
com êxito. O número de quadros armazenados no buffer é restringido pelo tamanho de
todo o buffer de memória, não estando limitado a um único buffer de porta. Isso permite
a transmissão de quadros maiores com menos quadros descartados. Isso é importante
para a comutação assimétrica, em que os quadros são trocados entre portas de taxas
diferentes.
Página 1:
Página 2:
Página 3:
Exibir meio visual
Página 1:
Como recurso de segurança, o software IOS Cisco separou as sessões EXEC nestes
níveis de acesso:
Para passar do modo EXEC do usuário para o modo EXEC privilegiado, digite o
comando enable. Para passar do modo EXEC privilegiado para o modo EXEC do
usuário, digite o comando disable. Em uma rede real, o switch solicita a senha. Digite a
senha correta. Por padrão, a senha não é configurada. A figura mostra os comandos do
Cisco IOS usados para navegar do modo EXEC do usuário para o modo EXEC
privilegiado e vice-versa.
Clique no botão EXEC do usuário e modo EXEC privilegiado na figura.
Ao ingressar no modo EXEC privilegiado no switch Cisco, você pode acessar outros
modos de configuração. O software IOS Cisco usa uma hierarquia de comandos em sua
estrutura do modo de comandos. Cada modo de comandos suporta comandos do Cisco
IOS específicos relacionados a um tipo de operação no dispositivo.
Há muitos modos de configuração. Por ora, você explorará como navegar em dois
modos de configuração comuns: modo de configuração global e modo de configuração
de interface.
Página 2:
http://www.cisco.com/en/US/prod/collateral/netmgtsw/ps6504/ps5931/product_data_sh
eet0900aecd8068820a.html
Aplicativo CiscoView
http://www.cisco.com/en/US/products/sw/cscowork/ps4565/prod_bulletin0900aecd802
948b0.html (em inglês)
Página 1:
Uma lista de comandos que começam com os caracteres digitados é exibida. Por
exemplo, digitar sh? retorna uma lista de todos os comandos que começam com a
seqüência de caracteres sh.
A ajuda sensível ao contexto fornece todo o comando, mesmo que você digite apenas a
primeira parte do comando, como cl?.
Se você digitar o comando clock seguido da tecla Enter, uma mensagem de erro
indicará que o comando está incompleto. Para exibir os parâmetros exigidos do
comando clock, digite ?, antecedido por um espaço. No exemplo clock ?, a saída de
comando da ajuda mostra que a palavra-chave set é obrigatória depois de clock.
Se agora você digitar o comando clock set, outra mensagem de erro será exibida,
indicando que o comando ainda está incompleto. Agora adicione um espaço e digite o
comando ? para exibir uma lista de argumentos do comando que estão disponíveis a
essa altura para o determinado comando.
http://www.cisco.com/univercd/cc/td/doc/product/software/ios124/124cg/hcf_c/ch10/in
dex.htm (em inglês).
Página 2:
Página 1:
Página 2:
Nos produtos de rede Cisco que suportam o software Cisco IOS, o histórico de
comandos permanece habilitado por padrão e as últimas dez linhas de comando são
registradas no buffer do histórico.
O histórico de comandos pode ser desabilitado durante a sessão terminal atual apenas
usando o comando terminal no history no modo EXEC do usuário ou privilegiado.
Quando o histórico de comandos é desabilitado, o dispositivo deixa de manter todas as
linhas de comando digitadas anteriormente.
Para restaurar o valor padrão de dez linhas para o tamanho do histórico do terminal,
digite o comando terminal no history size no modo EXEC privilegiado. A figura
fornece uma explicação e um exemplo desses comandos do Cisco IOS.
Página 1:
Neste tópico, você aprenderá a sequência de comandos do Cisco IOS que um switch
executa no estado desligado para exibir o prompt de login. Depois que um switch Cisco
for ligado, ele passará pela seguinte seqüência de inicialização:
O boot loader:
O boot loader também fornecerá acesso no switch se o sistema operacional não puder
ser usado. O boot loader tem um recurso de linha de comando que fornece acesso aos
arquivos armazenados na memória flash antes do sistema operacional ser carregado. Na
linha de comando do boot loader, é possível digitar comandos para formatar o sistema
de arquivos da memória flash, reinstalar a imagem de software do sistema operacional
ou recuperar uma senha perdida ou esquecida.
Página 1:
A figura mostra a configuração correta do HyperTerminal, que pode ser usado para
exibir a console de um dispositivo Cisco.
Quando o switch for ligado, o POST começará. Durante o POST, os LEDs piscam
enquanto uma série de testes determinam se o switch está funcionando corretamente.
Quando o POST é concluído, o LED SYST pisca rapidamente em verde. Se houver
falha no switch durante o POST, o LED SYST acenderá em âmbar. Quando um switch
falha durante o teste POST, é necessário repará-lo.
Nota: Você obterá mais informações sobre VLANs no próximo capítulo. Aqui o foco
está em como fornecer acesso de gerenciamento ao switch que usa uma VLAN
alternativa. Alguns dos comandos apresentados aqui são explicados mais
detalhadamente no próximo capítulo.
Por ora, a VLAN 99 é criada e recebe um endereço IP. Dessa forma, a porta apropriada
no switch S1 é atribuída à VLAN 99. A figura também mostra essas informações de
configuração.
Observe que um switch da Camada 2, como o Cisco Catalyst 2960, só permite a uma
única interface VLAN ser ativa por vez. Isso significa que a interface da Camada 3, a
interface VLAN 99, está ativa, mas que a interface da Camada 3, a interface VLAN 1,
não.
Você precisa configurar o switch para que ele possa encaminhar pacotes IP para redes
distantes. O gateway padrão é o mecanismo para fazer isso. O switch encaminha
pacotes IP com endereços IP de destino fora da rede local para o gateway padrão. Na
figura, o roteador R1 é o roteador de próximo salto. Seu endereço IP é 172.17.99.1.
Verificar configuração
A captura de tela na parte superior da figura é uma saída de comando na tela abreviada
mostrando que a VLAN 99 foi configurada com um endereço IP e uma máscara de sub-
rede, e que uma porta Fast Ethernet F0/18 recebeu a interface de gerenciamento VLAN
99.
Mostrar as interfaces IP
Use show ip interface brief para verificar o funcionamento e o status da porta. Você
praticará usando o comando switchport access vlan 99 em um laboratório prático e
uma atividade do Packet Tracer.
Você costuma ser solicitado a usar determinados tipos de cabo (crossover, straight-
through) ao conectar dispositivos específicos, switch-a-switch ou switch-a-roteador. Na
verdade, agora é possível usar o comando de configuração da interface mdix auto na
CLI para ativar o recurso de interface que depende do meio automático (auto-MDIX).
Quando o recurso auto-MDIX é habilitado, o switch detecta o tipo de cabo exigido para
conexões Ethernet de cobre e configura as interfaces corretamente. Por isso, é possível
usar um cabo crossover ou straight-through para conexões com uma porta 10/100/1000
de cobre no switch, independentemente do tipo de dispositivo na outra extremidade da
conexão.
Página 2:
Página 3:
Para controlar quem pode acessar os serviços HTTP no switch, é possível configurar a
autenticação. Os métodos de autenticação podem ser complexos. Você pode ter tantas
pessoas usando os serviços HTTP que acaba precisando de um servidor separado para
tratar especificamente a autenticação do usuário. Os modos de autenticação AAA e
TACACS são exemplos que usam esse tipo de método de autenticação remota. AAA e
TACACS são protocolos de autenticação que podem ser usados em redes para validar
credenciais de usuário. Talvez você precise ter um método de autenticação menos
complexo. O método enable exige que os usuários usem a senha de habilitar do
servidor. O método de autenticação local exige que o usuário use o nome de usuário de
login, a senha e o acesso do nível de privilégio especificados na configuração do
sistema local (com o comando de configuração global username).
Página 4:
Para criar um mapeamento estático na tabela de endereços MAC, use o comando mac-
address-table static <MAC address> vlan {1-4096, ALL} interface interface-id.
Para remover um mapeamento estático na tabela de endereços MAC, use o comando no
mac-address-table static <MAC address> vlan {1-4096, ALL} interface interface-id.
O tamanho máximo da tabela de endereços MAC varia de switch para switch. Por
exemplo, o switch da série Catalyst 2960 pode armazenar até 8.192 endereços MAC. Há
outros protocolos que podem limitar o número absoluto de endereço MAC disponíveis
para um switch.
Página 1:
Agora que executou a configuração inicial do switch, você deve confirmar se o switch
foi configurado corretamente. Neste tópico, você aprenderá a verificar a configuração
do switch usando vários comandos show.
Quando você precisa verificar a configuração do seu switch Cisco, o comando show é
muito útil. O comando show é executado no modo EXEC privilegiado. A figura
apresenta algumas das principais opções do comando show que verificam praticamente
todos os recursos configuráveis do switch. Há muitos comandos show adicionais que
você aprenderá ao longo deste curso.
Outro comando muito usado é o comando show interfaces, que exibe informações
estatísticas e de status sobre as interfaces de rede do switch. O comando show
interfaces costuma ser usado durante a configuração e o monitoramento dos
dispositivos de rede. Lembre-se de que é possível digitar comandos parciais no prompt
de comando e, desde que nenhuma outra opção de comando seja igual, o software Cisco
IOS interpreta o comando corretamente. Por exemplo, é possível usar show int para este
comando. A figura mostra a saída de comando de um comando show interfaces
FastEthernet 0/1. A primeira linha realçada na figura indica que o a interface Fast
Ethernet 0/1 está ativa e em execução. A próxima linha realçada mostra que o
bidirecional é automático e que a velocidade é automática.
Página 1:
Um trabalho típico para um técnico de rede iniciante é carregar um switch com uma
configuração. Neste tópico, você aprenderá como carregar e armazenar uma
configuração na memória flash do switch e em um servidor TFTP.
Restaurando a Configuração
O comando reload pára o sistema. Se o sistema for definido para ser reiniciado em caso
de erro, ele será reinicializado. Use o comando reload depois que as informações de
configuração forem inseridas em um arquivo e salvas na configuração de inicialização.
Nota: Não será possível recarregar a partir de um terminal virtual, se o switch não
estiver definido para inicialização automática. Essa restrição impede que o sistema seja
descartado no monitor de ROM (ROMMON), fazendo com que o sistema seja retirado
do controle de usuário remoto.
Após a emissão do comando reload, o sistema solicita a você responder se você deve ou
não salvar a configuração. Normalmente, você indicaria "sim", mas neste caso
específico, você precisa responder "não". Se você respondesse "sim", o arquivo que
você acabou de restaurar seria substituído. Em todos os casos, você precisa considerar
se a configuração de execução é ou não a que você deseja ativar depois de recarregar.
Para obter mais detalhes sobre o comando reload, revise o Cisco IOS Configuration
Fundamentals Command Reference, Release 12.4, encontrado neste site:
http://www.cisco.com/en/US/docs/ios/fundamentals/command/reference/cf_book.html
(em inglês).
Página 2:
Depois de configurar o seu switch com todas as opções que deseja definir, é uma boa
idéia fazer backup da configuração na rede em que ela pode ser arquivada com o
restante dos dados de rede em backup durante a noite. Ter a configuração armazenada
com segurança fora do switch a protege em caso de um grande problema de proporções
catastróficas com o seu switch.
É possível usar TFTP para fazer backup dos seus arquivos de configuração na rede. O
software Cisco IOS acompanha um cliente TFTP interno que permite a conexão com
um servidor TFTP na sua rede.
Etapa 2. Faça login no switch usando a porta console ou uma sessão Telnet. Habilite o
switch e execute ping no servidor TFTP.
Restaurando a configuração
Depois que a configuração for armazenada com êxito no servidor TFTP, ela poderá ser
copiada para o switch usando as seguintes etapas:
Etapa 3. Faça login no switch usando a porta console ou uma sessão Telnet. Habilite o
switch e execute ping no servidor TFTP.
Página 3:
Depois que a configuração for apagada ou excluída, você poderá recarregar o switch
para iniciar uma nova configuração para o switch.
Página 4:
Página 1:
Neste tópico, você aprenderá a configurar senhas para o acesso de console, terminal
virtual e modo EXEC. Você também aprenderá como criptografar e recuperar senhas
em um switch.
A proteção dos seus switches começa com a proteção contra o acesso não autorizado.
Para proteger a porta console do acesso não autorizado, defina uma senha na porta
console usando o comando do modo de configuração da linha password <password>.
Use o comando line console 0 para passar do modo de configuração da linha para o
modo de configuração da linha para o console 0, que é a porta console em switches
Cisco. O prompt muda para (config-line)#, o que indica que o switch agora está no
modo de configuração da linha. No modo de configuração da linha, é possível definir a
senha para o console, digitando o comando password <password>. Para assegurar que
um usuário na porta console seja obrigado a digitar a senha, use o comando login.
Mesmo quando uma senha está definida, não é necessário digitá-la até que o comando
login seja emitido.
A figura mostra os comandos usados para configurar e exigir a senha para o acesso ao
console. Lembre-se de que é possível usar o comando show running-config para
verificar a sua configuração. Antes de concluir a configuração do switch, não se esqueça
de salvar o arquivo de configuração de execução na configuração de inicialização.
Se você precisar remover a senha e o requisito para digitar a senha durante o login, use
as seguintes etapas:
Página 2:
Para proteger as portas vty do acesso não autorizado, é possível definir uma senha vty
obrigatória antes do acesso ser concedido.
Para definir a senha nas portas vty, você deve estar no modo de configuração de linha.
Talvez haja muitas portas vty disponíveis em um switch Cisco. Várias portas permitem
a mais de um administrador se conectar e gerenciar o switch. Para proteger todas as
linhas vty, verifique se uma senha está definida e se o login foi aplicado em todas as
linhas. Deixar algumas linhas desprotegidas compromete a segurança e permite a
usuários não autorizados acessar o switch.
Use o comando line vty 0 4 para passar do modo de configuração global para o modo
de configuração de linha das linhas vty de 0 a 4.
Nota: Se o switch tiver mais linhas vty disponíveis, ajuste a faixa para proteger todas
elas. Por exemplo, um Cisco 2960 tem linhas de 0 a 15 disponíveis.
A figura mostra os comandos usados para configurar e exigir a senha para o acesso a
vty. É possível usar o comando show running-config para verificar a sua configuração
e o comando copy running-config startup config para salvar o seu trabalho.
Se você precisar remover a senha e o requisito para digitar a senha durante o login, use
as seguintes etapas:
Cuidado: Se nenhuma senha for definida e o login continuar habilitado, não haverá
nenhum acesso às linhas vty.
Etapa 4. Remova o requisito para digitar a senha durante o login para as linhas vty,
usando o comando no login.
O modo EXEC privilegiado permite a qualquer usuário que habilite esse modo em um
switch Cisco configurar qualquer opção disponível no switch. Também é possível exibir
todas as configurações definidas atualmente no switch, inclusive algumas das senhas
não criptografadas! Por essas razões, é importante proteger o acesso ao modo EXEC
privilegiado.
Página 4:
Durante a configuração de senhas na CLI do Cisco IOS, por padrão, todas as senhas,
exceto a senha secreta de habilitação, são armazenadas em formato de texto sem
formatação em startup-config e running-config. A figura mostra uma saída de comando
abreviada na tela do comando show running-config no switch S1. As senhas de texto
sem formatação são realçadas em laranja. É universalmente aceito que as senhas devem
ser criptografadas, e não armazenadas em formato de texto sem formatação. O comando
service password-encryption do Cisco IOS permite a criptografia da senha de serviço.
Depois de definir senhas para controlar o acesso à CLI do Cisco IOS, você precisará ter
certeza de que se lembra delas. Caso você tenha perdido ou esquecido as senhas de
acesso, a Cisco tem um mecanismo de recuperação de senha que permite aos
administradores obter acesso aos dispositivos Cisco. O processo de recuperação de
senha exige acesso físico ao dispositivo. A figura mostra uma captura de tela do vídeo
da exibição na console que indica que a recuperação de senha foi habilitada. Você verá
essa exibição depois da Etapa 3 abaixo.
Observe que você talvez não possa recuperar efetivamente as senhas no dispositivo
Cisco, especialmente se a criptografia de senha foi habilitada, mas você pode redefini-
las com um novo valor.
Directory of flash:
13 drwx 192 Mar 01 1993 22:30:48 c2960-lanbase-mz.122-25.FX
11 -rwx 5825 Mar 01 1993 22:31:59 config.text
18 -rwx 720 Mar 01 1993 02:21:30 vlan.dat
16128000 bytes total (10003456 bytes free)
Etapa 10. No prompt de switch, digite o modo EXEC privilegiado, usando o comando
enable.
Etapa 11. Renomeie o arquivo de configuração para seu nome original, usando o
comando rename flash:config.text.old flash:config.text.
Etapa 12. Copie o arquivo de configuração para a memória, usando o comando copy
flash:config.text system:running-config. Depois que esse comando for digitado, isto
será exibido no console:
Nota: Como o procedimento para recuperação de senha pode ser diferente dependendo
da série de switches Cisco, você deve consultar a documentação de produto antes de
tentar uma recuperação de senha.
É possível definir um banner personalizado a ser exibido antes dos prompts do nome de
usuário e senha e de login, usando o comando banner login no modo de configuração
global. Inclua o texto do banner entre aspas ou usando um delimitador diferente de
qualquer caracter exibido na cadeia de caracteres MOTD.
Página 2:
O banner MOTD é exibido em todos os terminais conectados no login, sendo útil para
enviar mensagens que afetam todos os usuários de rede (como desligamentos de sistema
impedidos). O banner MOTD será exibido antes do banner de login for configurado.
Página 1:
Telnet e SSH
Os switches mais antigos talvez não suportem a comunicação segura com Shell Seguro
(SSH). Este tópico ajudará a escolher entre os métodos Telnet e SSH de comunicação
com um switch.
Telnet é o método original suportado nos primeiros modelos de switch Cisco. Telnet é
um protocolo popular usado em acesso terminal porque a maioria dos sistemas
operacionais atuais acompanha um cliente Telnet integrado. No entanto, Telnet é uma
forma insegura de acessar um dispositivo de rede, porque ela envia todas as
comunicações através da rede em texto sem formatação. Usando o software de
monitoramento de rede, um invasor pode ler todos os pressionamentos de tecla enviados
entre o cliente Telnet e o serviço Telnet em execução no switch Cisco. Por conta das
preocupações de segurança do protocolo Telnet, SSH se tornou o protocolo preferido
para acessar linhas de terminal virtual (vty) remotamente em um dispositivo Cisco.
SSH dá o mesmo tipo de acesso como Telnet com o benefício adicional de segurança. A
comunicação entre o cliente e o servidor SSH é criptografada. SSH passou por alguns
versões, com dispositivos Cisco que atualmente suportam SSHv1 e SSHv2. É
recomendável que você implemente SSHv2 quando possível, porque ele usa um
algoritmo de criptografia de segurança mais aprimorado que SSHv1.
A figura apresenta as diferenças entre os dois protocolos.
Página 2:
Configurando Telnet
No tópico anterior, você aprendeu a proteger o acesso ao switch pelas linhas vty,
exigindo uma autenticação por senha. Isso torna a execução do serviço Telnet um pouco
mais segura.
Como Telnet é o transporte padrão para as linhas vty, você não precisa especificá-lo
depois que a configuração inicial do switch é executada. No entanto, se trocou o
protocolo de transporte nas linhas vty para permitir apenas SSH, você precisará habilitar
o protocolo Telnet para permitir o acesso Telnet manualmente.
Se você precisar reabilitar o protocolo Telnet em um switch Cisco 2960, use o seguinte
comando no modo de configuração de linha: (config-line)#transport input telnet or
(config-line)#transport input all.
Página 3:
Configurando SSH
SSH é um recurso de segurança criptográfica sujeito a restrições de exportação. Para
usar esse recurso, uma imagem criptográfica deve ser instalada no seu switch.
O recurso SSH tem um servidor SSH e um cliente integrado SSH, que são aplicativos
executados no switch. É possível usar qualquer cliente SSH em execução em um PC ou
o cliente SSH Cisco em execução no switch para se conectar a um switch em execução
no servidor SSH.
Para implementar SSH, você precisa gerar chaves RSA. RSA envolve uma chave
pública, mantida em um servidor RSA público, e uma chave particular, mantida apenas
pelo remetente e pelo receptor. A chave pública pode ser conhecida por todos, sendo
usada para criptografar mensagens. As mensagens criptografadas com a chave pública
só podem ser descriptografadas usando a chave particular. Isso é conhecido como
criptografia assimétrica, sendo abordado com mais detalhes no curso CCNA
Exploration: Acessando a WAN.
Você precisa gerar as chaves RSA criptografadas que usam o comando crypto key
generate rsa.
Etapa 2. Configure um nome de host para o seu switch usando o comando hostname
hostname.
Etapa 4. Habilite o servidor SSH para a autenticação local e remota no switch e gere
um par de chaves RSA usando o comando crypto key generate rsa.
Etapa 6. Mostre o status do servidor SSH no switch, usando o comando show ip ssh ou
show ssh.
Para excluir o par de chaves RSA, use o comando de configuração global crypto key
zeroize rsa. Depois que o par de chaves RSA for excluído, o servidor SSH será
desabilitado automaticamente.
Começando no modo EXEC privilegiado, siga estas etapas para configurar o servidor
SSH.
Etapa 1. Entre no modo de configuração global, usando o comando configure
terminal.
Se você não digitar esse comando ou não especificar uma palavra-chave, o servidor
SSH selecionará a versão SSH mais recente suportada pelo cliente SSH. Por exemplo,
se o cliente SSH suportar SSHv1 e SSHv2, o servidor SSH selecionará SSHv2.
Por padrão, estão disponíveis até cinco conexões SSH criptografadas, simultâneas, para
várias sessões baseadas em CLI na rede (da sessão 0 à sessão 4). Depois que o shell de
execução é iniciado, o valor de tempo limite da sessão baseada em CLI retorna ao
padrão de 10 minutos.
Se você quiser impedir conexões que não sejam SSH, adicione o comando transport
input ssh no modo de configuração de linha para limitar o switch apenas a conexões
SSH. As conexões Telnet diretas (que não são SSH) são recusadas.
Página 1:
Ataques à segurança
Clique no botão Etapa 1 na figura para ver como começa o ataque de sobrecarga da
tabela de endereços MAC.
Na figura, o host A envia tráfego para o host B. O switch recebe os quadros e pesquisa
os endereços MAC de destino em sua tabela de endereços MAC. Se o switch não
conseguir localizar o MAC de destino na tabela de endereços MAC, o switch copiará o
quadro e o difundirá por todas as portas de switch.
O host B recebe o quadro e envia uma resposta para o host A. Dessa forma, o switch
sabe que o endereço MAC do host B está localizado na porta 2 e grava essas
informações na tabela de endereços MAC.
O host C também recebe o quadro do host A para o host B, mas como o endereço MAC
de destino desse quadro é o host B, o host C descarta esse pacote.
Clique no botão Etapa 4 na figura para ver como um invasor usa ferramentas
legítimas de maneira mal-intencionada.
A figura mostra como um invasor pode usar os recursos operacionais normais do switch
para impedir o funcionamento do switch.
O envio MAC pode ser executado com uma ferramenta de ataque à rede. O intruso na
rede usa a ferramenta de ataque para enviar o switch com um grande número de
endereços MAC de origem inválidos até que a tabela de endereços MAC seja
preenchida. Quando a tabela de endereços MAC está cheia, o switch envia todas as
portas com tráfego de entrada porque não pode localizar o número de porta para um
endereço MAC específico na tabela de endereços MAC. O switch, basicamente,
funciona como um hub.
Página 2:
Ataques de falsificação
Uma forma de um invasor ganhar acesso ao tráfego da rede é falsificar respostas que
seriam enviadas por um servidor DHCP válido. O dispositivo de falsificação DHCP
responde às solicitações DHCP do cliente. O servidor legítimo também pode responder,
mas se o dispositivo de falsificação estiver no mesmo segmento do cliente, sua resposta
para o cliente poderá chegar primeiro. A resposta DHCP do intruso oferece um
endereço IP e informações de suporte que designam o intruso como o gateway padrão
ou o servidor do Sistema de Nome de Domínio (DNS). No caso de um gateway, os
clientes encaminham pacotes para o dispositivo de ataque, que, por sua vez, os envia
para o destino desejado. Isso é conhecido como um ataque de interceptação, podendo
passar totalmente despercebido porque o intruso intercepta o fluxo de dados pela rede.
Você deve estar atento a outro tipo de ataque DHCP chamado de fome DHCP. O PC
invasor solicita continuamente endereços IP de um servidor DHCP real, alterando seus
endereços MAC de origem. Se houver êxito, esse tipo de ataque DHCP fará com que
todos os empréstimos no servidor DHCP real sejam alocados, o que impede os usuários
reais (clientes DHCP) de obter um endereço IP.
Para impedir ataques DHCP, use os recursos de segurança de porta e de detecção DHCP
nos switches Cisco Catalyst.
As portas não confiáveis são aquelas não explicitamente configuradas como confiáveis.
Uma tabela de ligação DHCP foi criada para portas não confiáveis. Cada entrada
contém um endereço MAC de cliente, endereço IP, tempo de empréstimo, tipo de
ligação, número de VLAN e a ID de porta registrada quando os clientes fazem
solicitações DHCP. Em seguida, a tabela é usada para filtrar o tráfego DHCP
subseqüente. De uma perspectiva de detecção DHCP, as portas de acesso não confiáveis
não devem enviar nenhuma resposta de servidor DHCP.
Essas etapas ilustram como configurar a detecção DHCP em um switch Cisco IOS:
Página 3:
Ataques CDP
Por padrão, a maioria dos roteadores e dos switches Cisco tem CDP habilitado. As
informações de CDP são enviadas em broadcasts periódicos, atualizadas localmente no
banco de dados CDP de cada dispositivo. Como CDP é um protocolo da Camada 2, ele
não é propagado por roteadores.
Página 4:
Ataques Telnet
O protocolo Telnet pode ser usado por um invasor para ganhar acesso remoto a um
switch de rede Cisco. Em um tópico anterior, você configurou uma senha de login para
as linhas vty e as definiu para exigir autenticação por senha para ganhar acesso. Isso
fornece um nível essencial e básico de segurança para ajudar a proteger o switch do
acesso não autorizado. No entanto, não se trata de um método seguro de garantir acesso
às linhas vty. Há ferramentas disponíveis que permitem a um invasor iniciar um ataque
de força bruta para romper a senha nas linhas vty do switch.
A primeira fase de um ataque de força bruta de senha começa com o invasor usando
uma lista de senhas comuns e um programa projetado para tentar estabelecer uma sessão
Telnet usando cada palavra na lista de dicionário. Felizmente, como você é inteligente o
bastante para não usar uma palavra do dicionário, está seguro por enquanto. Na segunda
fase de um ataque de força bruta, o invasor usa um programa que cria combinações de
caracteres seqüenciais em uma tentativa de "adivinhar" a senha. Com tempo o
suficiente, um ataque de força bruta de senha pode romper praticamente todas as senhas
usadas.
A coisa mais simples a se fazer para limitar a vulnerabilidade a ataques de força bruta
de senha é alterar suas senhas freqüentemente e usar senhas fortes que misturem
aleatoriamente letras maiúsculas e minúsculas com números. Configurações mais
avançadas permitem limitar quem pode se comunicar com as linhas vty, usando listas de
acesso, mas isso está além do escopo deste curso.
Ataque DoS
Outro tipo de ataque Telnet é o ataque DoS. Em um ataque DOS, o invasor explora uma
falha no software do servidor Telnet em execução no switch que torna o serviço Telnet
indisponível. Esse tipo de ataque costuma ser incômodo porque impede um
administrador de realizar funções de gerenciamento do switch.
Página 1:
Página 2:
Uma rede efetivamente segura é processo, e não um produto. Não basta habilitar um
switch apenas com uma configuração segura e dizer que o trabalho está concluído. Para
dizer que tem uma rede segura, você precisa ter um plano de segurança de rede
abrangente que defina como verificar regularmente se a sua rede pode resistir aos
ataques à rede mal-intencionados mais recentes. O panorama variável dos riscos de
segurança significa que você precisa de ferramentas de auditoria e penetração capazes
de ser atualizados para procurar os riscos de segurança mais recentes. Entre os recursos
comuns de uma ferramenta de segurança da rede moderna estão:
As ferramentas de segurança da rede precisam ser criadas para que possam ser
conectadas a um módulo de código e executar um teste à procura dessa vulnerabilidade.
Dessa forma, um grande banco de dados de vulnerabilidades pode ser mantido e
carregado na ferramenta para assegurar que as mais recentes vulnerabilidade estejam
sendo testadas.
Página 1:
Segurança de porta
Há várias formas de configurar a segurança de porta. Esta é uma descrição das formas
como é possível configurar a segurança de porta em um switch Cisco:
É possível configurar a interface para um dos três modos de violação, com base na ação
ser executada em caso de uma violação. A figura apresenta que tipos de tráfego de
dados são encaminhados quando um dos seguintes modos de violação de segurança é
configurado em uma porta:
Página 2:
Há outras configurações de segurança de porta que você talvez considere úteis. Para
obter uma listagem completa das opções de configuração da segurança de porta, visite:
http://www.cisco.com/en/US/docs/switches/lan/catalyst2960/software/release/12.2_44_
se/configuration/guide/swtrafc.html
Página 3:
Depois de configurar a segurança de porta para o seu switch, você deseja verificar se ele
foi configurado corretamente. Você precisa verificar cada interface para ver se definiu a
segurança de porta corretamente. Você também precisa verificar para ter certeza de que
configurou endereços MAC estáticos corretamente.
Página 1:
Neste tópico, você aprenderá a usar um comando simples do Cisco IOS para proteger as
portas de switch não usadas. Um método simples usado por muitos administradores para
ajudar na proteção de sua rede contra o acesso não autorizado é desabilitar todas as
portas não usadas em um switch de rede. Por exemplo, imagine que um switch Cisco
2960 tenha 24 portas. Se houver três conexões Fast Ethernet sendo usadas, a prática
recomendada de segurança exigirá que você desabilite as 21 portas não usadas. A figura
mostra a saída de comando parcial dessa configuração.
É simples desabilitar várias portas em um switch. Navegue até cada uma das portas não
usadas e emita esse comando shutdown do Cisco IOS. Uma forma alternativa de
desligar várias portas é usando o comando interface range. Se uma porta precisar ser
ativada, será possível digitar o comando no shutdown nessa interface.
O processo de habilitar e desabilitar portas pode se tornar uma tarefa entediante, mas o
valor em termos de aprimoramento da segurança em sua rede vale bem o esforço.
Página 2:
Nesta atividade, você configurará comandos de switch básicos e definirá e testará a
segurança da porta. São fornecidas instruções detalhadas na atividade, bem como no
link do PDF abaixo.
Página 1:
Página 2:
Nesta atividade, você irá examinar e configurar um switch de LAN autônomo. Embora
um switch execute funções básicas em sua condição padrão pronta para uso, há vários
parâmetros que um administrador de rede deve modificar para assegurar uma LAN
segura e otimizada. Esta atividade apresenta os fundamentos da configuração do switch.
São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.
Página 1:
Página 1:
Página 1:
Neste capítulo, abordamos a comunicação Ethernet IEEE 802.3 que usa tráfego de
unicast, de broadcast e de multicast. As primeiras implementações de redes Ethernet
precisaram usar CSMA/CD para ajudar a impedir e a detectar colisões entre quadros na
rede. As configurações bidirecionais e a segmentação de rede local melhoram o
desempenho e reduzem a necessidade de CSMA/CD.
O design da rede local é um processo tendo como resultado final desejado uma
determinação de como a rede local deve ser implementada. Entre as considerações
quanto ao design da rede local estão domínios de colisão, domínios de broadcast,
latência de rede e segmentação de rede local.
Abordamos como os métodos de encaminhamento do switch influenciam o desempenho
da rede local e a latência. O armazenamento em buffer de memória tem uma função no
encaminhamento do switch, na comutação simétrica e assimétrica e na comutação
multicamada.
Uma introdução à navegação na CLI do Cisco IOS em um switch Cisco Catalyst 2960
foi apresentada. As funções de ajuda internas são usadas para identificar comandos e
opções de comando. A CLI do Cisco IOS mantém um histórico de comandos que
permite configurar funções de switch repetitivas mais rapidamente.
Página 2:
Exibir meio visual
Página 3:
Nesta atividade avançada de integração das habilidades no Packet Tracer, você irá
configurar o gerenciamento de switch básico, incluindo comandos de manutenção
gerais, senhas e segurança de porta. Esta atividade fornece uma oportunidade de revisar
habilidades previamente adquiridas. São fornecidas instruções detalhadas na atividade,
bem como no link do PDF abaixo.
Página 1:
Exibir meio visual
Página 1:
Página 1:
Antes das VLANs
Para observar por que as VLANs estão sendo amplamente usadas atualmente, considere
uma pequena universidade comunitária com os alojamentos de aluno e as salas dos
funcionários em um só edifício. A figura mostra os computadores dos alunos em uma
rede local e os computadores dos funcionários em outra. Isso funciona bem porque,
como cada departamento está fisicamente ligado, é fácil fornecer recursos de rede a
eles.
Um ano depois, a universidade cresceu e agora tem três edifícios. Na figura, a rede
original é igual, mas os computadores dos alunos e dos funcionários estão espalhados
em três edifícios. Os alojamentos dos alunos continuam no quinto andar e as salas dos
funcionários continuam no terceiro andar. No entanto, agora o departamento de TI
deseja assegurar que todos os computadores dos alunos compartilhem os mesmos
recursos de segurança os controles da largura de banda. Como a rede pode acomodar as
necessidades compartilhadas dos departamentos separados geograficamente? Você cria
uma rede local grande e conecta todos os departamentos? Qual seria a facilidade para
fazer alterações nessa rede? Seria ótimo agrupar as pessoas com os recursos que elas
usam independentemente do seu local geográfico e isso facilitaria o gerenciamento das
suas necessidades específicas de segurança e largura de banda.
Página 2:
A solução para a universidade comunitária é usar uma tecnologia chamada rede LAN
virtual (VLAN). Uma VLAN permite a um administrador de rede criar grupos de
dispositivos logicamente em rede que funcionam como se eles estivessem em sua
própria rede independente, mesmo se compartilharem uma mesma infra-estrutura com
outras VLANs. Quando você configura uma VLAN, é possível nomeá-la para descrever
a função primária dos usuários dessa VLAN. Como outro exemplo, todos os
computadores dos alunos de uma escola podem ser configurados na VLAN "Aluno".
Usando VLANs, é possível segmentar redes comutadas logicamente com base em
funções, departamentos ou equipes de projeto. Também é possível usar uma VLAN para
estruturar geograficamente a sua rede e suportar a crescente dependência das empresas
de funcionários que trabalham em casa. Na figura, uma VLAN é criada para alunos e
outra, para os funcionários. Essas VLANs permitem ao administrador de rede
implementar políticas de acesso e de segurança a grupos específicos de usuários. Por
exemplo, os funcionários, e não os alunos, podem ter o acesso permitido a servidores de
gerenciamento de e-learning para desenvolver materiais de curso on-line.
Detalhes de VLAN
Página 3:
Página 4:
Intervalos de ID de VLAN
Um switch Cisco Catalyst 2960 pode suportar até 255 VLANs de intervalos normal e
estendido, muito embora o número configurado afete o desempenho do hardware de
switch. Como uma rede corporativa pode precisar de um switch com muitas portas, a
Cisco desenvolveu switches de nível corporativo que podem ser agrupados ou
empilhados para criar uma única unidade de comutação consistindo em nove switches
separados. Cada switch separado pode ter 48 portas, o que totaliza 432 portas em uma
única unidade de comutação. Nesse caso, o limite de 255 VLANs por um único switch
pode ser uma restrição para alguns clientes corporativos.
Página 1:
VLAN de dados
Uma VLAN de dados é uma VLAN configurada para transportar apenas o tráfego
gerado pelo usuário. Uma VLAN pode transportar o tráfego baseado em voz ou o
tráfego usado para gerenciar o switch, mas esse tráfego não faria parte de uma VLAN
de dados. É uma prática comum para separar o tráfego de voz e de gerenciamento do
tráfego de dados. A importância de separar dados de usuário dos dados de controle de
gerenciamento do switch e do tráfego de voz é realçada pelo uso de um termo especial
para identificar VLANs que só transportam dados de usuário – uma "VLAN de dados".
Às vezes, uma VLAN de dados é conhecida como VLAN de usuário.
VLAN padrão
VLAN nativa
Uma VLAN nativa é atribuída a uma porta de tronco 802.1Q. Uma porta de tronco
802.1Q oferece suporte ao tráfego de muitas VLANs (tráfego marcado), bem como
também ao tráfego que não vem de uma VLAN (tráfego sem marcação). A porta de
tronco 802.1Q posiciona o tráfego sem marcação na VLAN nativa. Na figura, a VLAN
nativa é a VLAN 99. O tráfego sem marcação é gerado por um computador conectado a
uma porta de switch configurada com a VLAN nativa. As VLANs nativas são definidas
na especificação IEEE 802.1Q para manter a compatibilidade com versões anteriores
com tráfego sem marcação comum a cenários de rede local antigos. Tendo em vista as
nossas finalidades, uma VLAN nativa serve como um identificador comum em
extremidades opostas de um link de tronco. É uma prática recomendada usar uma
VLAN diferente da VLAN 1 como a VLAN nativa.
VLAN de gerenciamento
Página 2:
VLANs de voz
É fácil perceber por que uma VLAN separada é necessária para suportar Voz sobre IP
(VoIP). Imagine que você esteja recebendo uma chamada de emergência e, de repente, a
qualidade da transmissão cai tanto que não é possível compreender o que está sendo
dito. O tráfego VoIP exige:
Para atender a esses requisitos, toda a rede precisa ser projetada para suportar VoIP. Os
detalhes de como configurar uma rede para suportar VoIP estão além do escopo do
curso, mas é útil resumir como uma VLAN de voz funciona entre um switch, um
telefone IP Cisco e um computador.
Na figura, a VLAN 150 foi projetada para transportar tráfego de voz. O computador de
aluno PC5 é acoplado ao telefone IP Cisco, e o telefone é acoplado ao switch S3. PC5
está na VLAN 20, usada para obter dados do aluno. A porta F0/18 em S3 é configurada
para estar no modo de voz para que informe ao telefone para marcar quadros de voz
com VLAN 150. As estruturas de dados provenientes de PC5 e que passam pelo
telefone IP Cisco permanecem sem marcação. Dados com destino a PC5 provenientes
da porta F0/18 são marcados com VLAN 20 a caminho do telefone, o que tira a marca
de VLAN antes dos dados serem encaminhados para PC5. Marcação de quadros se
refere à adição de bytes a um campo na estrutura de dados, usada pelo switch para
identificar a qual VLAN a estrutura de dados deve ser enviada. Você obterá
informações posteriormente sobre como as estruturas de dados são marcadas.
Exemplo de configuração
A figura mostra um exemplo. Uma discussão dos comandos do Cisco IOS está além do
escopo deste curso, mas é possível ver que as áreas realçadas no exemplo mostram a
interface F0/18 configurada com uma VLAN de dados (VLAN 20) e uma VLAN
configurada para voz (VLAN 150).
Telefonia IP
Multicast IP
O tráfego multicast IP é enviado de um endereço de origem específico para um grupo
multicast identificado por um único IP e um par de endereços do grupo de destino
MAC. Exemplos de aplicativos que geram esse tipo de tráfego são as broadcasts IP/TV
Cisco. O tráfego de multicast pode gerar uma grande quantidade de dados que passam
através da rede. Quando a rede precisa suportar tráfego de multicast, as VLANs devem
ser configuradas para assegurar que o tráfego de multicast só vá para esses dispositivos
de usuário que usam o serviço fornecido, como aplicativos de vídeo ou de áudio
remotos. Os roteadores devem ser configurados para assegurar que o tráfego de
multicast seja encaminhado para as áreas da rede onde é solicitado.
Dados normais
Classe de aproveitamento
Portas de switch
As portas de switch são interfaces apenas da Camada 2 associadas a uma porta física.
As portas de switch são usadas para gerenciar a interface física e os protocolos
associados da Camada 2. Elas não tratam roteamento ou bridging. As portas de switch
pertencem a uma ou mais VLANs.
Ao configurar uma VLAN, você deve atribuir a ela uma ID numérica, podendo também
dar-lhe um nome. A finalidade das implementações VLAN é associar criteriosamente
portas com VLANs específicas. Você configura a porta para encaminhar um quadro
para uma VLAN específica. Conforme mencionado anteriormente, é possível configurar
uma VLAN no modo de voz para suportar o tráfego de voz e de dados proveniente de
um telefone IP Cisco. É possível configurar uma porta para pertencer a uma VLAN,
atribuindo um modo de associação que especifica o tipo de tráfego transportado pela
porta e as VLANs às quais ela pode pertencer. Uma porta pode ser configurada para
suportar estes tipos de VLAN:
Para examinar partes de uma configuração no modo de voz, clique no botão Exemplo
do modo de voz na figura:
O comando de configuração mls qos trust cos assegura que o tráfego de voz
seja identificado como tráfego de prioridade. Lembre-se de que toda a rede deve
ser configurada para priorizar o tráfego de voz. Não é possível configurar a porta
apenas com esse comando.
O comando switchport voice vlan 150 identifica a VLAN 150 como a VLAN
de voz. É possível observar isso na captura na parte inferior da tela: Voice
VLAN: 150 (VLAN0150).
O comando switchport access vlan 20 configura a VLAN 20 como a VLAN do
modo de acesso (dados). É possível observar isso na captura na parte inferior da
tela: Access Mode VLAN: 20 (VLAN0020).
Para obter detalhes sobre a configuração de uma VLAN de voz, visite este site em
Cisco.com:
http://www.cisco.com/en/US/docs/switches/lan/catalyst2975/software/release/12.2_46_
ex/configuration/guide/swvoip.html (em inglês).
Página 1:
Na figura, as portas que formam a conexão entre switches S2 e S1 (a porta F0/1) e entre
S1 e S3 (a porta F0/3) foram configuradas para suportar todas as VLANs na rede. Essa
conexão é chamada de tronco. Você obterá mais informações sobre troncos
posteriormente neste capítulo.
Página 2:
Comunicação intra-VLAN
Na figura, PC1, deseja se comunicar com outro dispositivo, PC4. PC1 e PC4 estão
ambos na VLAN 10. A comunicação com um dispositivo na mesma VLAN é chamada
de comunicação intra-VLAN. Isto descreve como este processo é realizado:
Etapa 1. PC1 na VLAN 10 envia seu quadro de solicitação ARP (broadcast) para o
switch S2. Os switches S2 e S1 enviam o quadro de solicitação ARP por todas as portas
na VLAN 10. O switch S3 envia a solicitação ARP pela porta F0/11 para PC4 na VLAN
10.
Etapa 3. PC1 agora tem o endereço MAC de PC4 e o usa para criar um quadro unicast
com o endereço MAC de PC4 como o destino. Os switches S2, S1 e S3 entregam o
quadro para PC4.
Etapa 1. PC1 na VLAN 10 deseja se comunicar com PC5 na VLAN 20. PC1 envia um
quadro de solicitação ARP para o endereço MAC do gateway padrão R1.
Etapa 3. PC1 cria um quadro Ethernet com o endereço MAC do gateway padrão. O
quadro é enviado do switch S2 para S1.
Etapa 5. PC5 na VLAN 20 envia um quadro de resposta ARP para o switch S3. Os
switches S3 e S1 encaminham o quadro de resposta ARP para o roteador R1 com o
endereço MAC de destino da interface F0/2 no roteador R1.
Etapa 6. Roteador R1 envia o quadro recebido de PC1 por S1 e S3 para PC5 (na VLAN
20).
Página 3:
No capítulo anterior, você obteve informações sobre algumas das diferenças entre os
switches das camadas 2 e 3. A figura mostra o switch Catalyst 3750G-24PS, um dos
muitos switches Cisco que suportam o roteamento da Camada 3. O ícone que representa
um switch da Camada 3 é mostrado. Uma discussão da comutação da Camada 3 está
além do escopo deste curso, mas uma breve descrição da tecnologia interface virtual de
switch (SVI) que permite a um switch da Camada 3 rotear transmissões entre VLANs é
útil.
SVI
SVI é uma interface lógica configurada para uma VLAN específica. Você precisará
configurar uma SVI para uma VLAN, se quiser rotear entre VLANs ou fornecer
conectividade de host IP ao switch. Por padrão, uma SVI é criada para a VLAN padrão
(VLAN 1) a fim de permitir uma administração de switch remota.
Encaminhamento da camada 3
Etapa 1. PC1 envia uma broadcast de solicitação ARP na VLAN 10. S2 encaminha a
solicitação ARP por todas as portas configuradas para a VLAN 10.
Etapa 4. PC1 envia dados, com destino ao PC5, como um quadro unicast pelo switch
S2 para a SVI da VLAN 10 no switch S1.
Etapa 5. A SVI da VLAN 20 envia uma broadcast de solicitação ARP por todas as
portas de switch configuradas para a VLAN 20. O switch S3 envia essa broadcast de
solicitação ARP por todas as portas de switch configuradas para a VLAN 20.
Etapa 6. PC5 na VLAN 20 envia um quadro de resposta ARP. O switch S3 envia essa
resposta ARP para S1. O switch S1 encaminha a resposta ARP à SVI da VLAN 20.
Página 4:
Página 1:
O que é um tronco?
Tronco é um link ponto-a-ponto entre dois dispositivos de rede que transporta mais de
uma VLAN. Um tronco de VLAN permite estender as VLANs através de uma rede
inteira. A Cisco suporta IEEE 802.1Q para coordenar troncos em interfaces Fast
Ethernet e Gigabit Ethernet. Você obterá mais informações sobre 802.1Q
posteriormente nesta seção.
Um tronco de VLAN não pertence a uma VLAN específica, sendo mais um canal para
VLANs entre switches e roteadores.
Página 2:
Na figura, você vê a topologia padrão usada neste capítulo, mas em vez do tronco de
VLAN que você está acostumado a ver entre os switches S1 e S2, há um link separado
para cada sub-rede. Há quatro links separados conectando os switches S1 e S2,
deixando três portas menos a serem alocadas a dispositivos de usuário final. Sempre que
uma nova sub-rede é considerada, um novo link é necessário para cada switch na rede.
Página 3:
A marcação de quadros foi mencionada várias vezes. A primeira vez foi em referência à
configuração do modo de voz em uma porta de switch. Lá você aprendeu que uma vez
configurado, um telefone Cisco (que inclui um switch pequeno) marca quadros de voz
com uma ID de VLAN. Você também aprendeu que as IDs de VLAN podem estar em
um intervalo normal, 1-1005 e em um intervalo estendido, 1006-4094. Como as IDs de
VLAN são inseridas em um quadro?
Campo EtherType
Define como o valor hexadecimal 0x8100. Esse valor é chamado de tag protocol ID
(TPID). Com o campo EtherType definido como o valor TPID, o switch que recebe o
quadro sabe procurar informações no campo correto de controle de marcação.
Campo FCS
Página 4:
Agora que você sabe mais sobre como um switch marca um quadro com a VLAN
correta, está na hora de explorar como a VLAN nativa suporta o switch ao tratar
quadros com e sem etiqueta que chegam em uma porta de tronco 802.1Q.
Neste exemplo, a VLAN 99 será configurada como a VLAN nativa na porta F0/1 no
switch S1. Este exemplo mostra como reconfigurar a VLAN nativa usando sua
configuração padrão de VLAN 1.
Página 1:
Um tronco em ação
Você aprendeu como um switch trata o tráfego sem marcação em um link de tronco.
Agora você sabe que os quadros que passam por um tronco são marcados com a ID de
VLAN da porta de acesso em que o quadro é recebido. Na figura, PC1 na VLAN 10 e
PC3 na VLAN 30 enviam quadros de broadcast para o switch S2. O switch S2 marca
esses quadros com a ID de VLAN apropriada e encaminha os quadros pelo tronco para
o switch S1. O switch S1 lê a ID de VLAN nos quadros e os transmite para todas as
portas configuradas para suportar VLAN 10 e VLAN 30. O switch S3 recebe esses
quadros, retira as IDs de VLAN e os encaminha como quadros sem marcação para PC4
na VLAN 10 e PC6 na VLAN 30.
Página 1:
Embora um switch Cisco possa ser configurado para suportar dois tipos de portas de
tronco, IEEE 802.1Q e ISL, hoje apenas 802.1Q é usado. No entanto, redes antigas
ainda podem usar ISL, sendo útil obter informações sobre cada tipo de porta de tronco.
Uma porta de tronco IEEE 802.1Q suporta tráfego com e sem marcação
simultaneamente. Uma porta de tronco 802.1Q recebe um PVID padrão, e todo o
tráfego sem marcação percorre no PVID padrão de porta. Pressupõe-se que todo
o tráfego com e sem marcação com uma ID de VLAN nula pertença ao PVID
padrão de porta. Um pacote com uma ID de VLAN igual ao PVID padrão de
porta de saída é enviado sem marcação. Todo o tráfego restante é enviado com
uma marcação de VLAN.
Em uma porta de tronco ISL, todos os pacotes recebidos devem ser
encapsulados com um cabeçalho ISL e todos os pacotes transmitidos são
enviados com um cabeçalho ISL. Os quadros nativos (sem etiqueta) recebidos de
uma porta de tronco ISL são descartados. ISL deixa de ser um modo de porta de
tronco recomendado, não sendo suportado em vários switches Cisco.
DTP
Modos de entroncamento
Uma porta de switch em switch Cisco suporta vários modos de entroncamento. O modo
de entroncamento define como a porta é negociada usando DTP para configurar um link
de tronco com sua porta de mesmo nível. Aqui está uma breve descrição dos modos de
entroncamento disponíveis e como o DTP é implementado em cada um deles.
Ativado (padrão)
A porta de switch envia periodicamente quadros DTP para a porta remota. O comando
usado é switchport mode dynamic auto. A porta de switch local anuncia para a porta
de switch remota que é capaz de entroncar, mas não solicita a passagem para o estado
de entroncamento. Depois de uma negociação DTP, a porta local só acabaria no estado
de entroncamento se o modo e tronco da porta remota fosse configurado como ativo ou
desejável (desirable). Se ambas as portas nos switches forem definidas como auto, elas
não negociarão para estar em um estado de entroncamento. Elas negociam para estar no
estado do modo de acesso (não-tronco).
Dinâmico desejável
Os quadros DTP são enviados periodicamente para a porta remota. O comando usado é
switchport mode dynamic desirable. A porta de switch local anuncia para a porta de
switch remota que é capaz de entroncar e solicita à porta de switch remota a passagem
para o estado de entroncamento. Se a porta local detectar que a remota foi configurada
como ativada, desejável (desirable) ou no modo automático, a porta local acabará no
estado de entroncamento. Se a porta de switch remota estiver no modo de não-
negociação, a porta de switch permanecerá como uma porta de não-entroncamento.
Desativar DTP
É possível desativar o DTP para o tronco de forma que a porta local não envie quadros
DTP para a porta remota. Use o comando switchport nonegotiate. Dessa forma, a porta
local é considerada em estado de entroncamento incondicional. Use esse recurso quando
você precisar configurar um tronco com um switch de outro fornecedor.
Na figura, as portas F0/1 nos switches S1 e S2 são configuradas com o modo de tronco
ativado. As portas F0/3 nos switches S1 e S3 são configuradas no modo de tronco
automático. Quando as configurações de switch forem concluídas e os switches
estiverem totalmente configurados, qual link será um tronco?
Clique no botão Qual link será configurado como um tronco? na figura.
O link entre os switches S1 e S2 se torna um tronco porque as portas F0/1 nos switches
S1 e S2 são configuradas para ignorar todos os anúncios DTP e surgem e permanecem
no modo de porta do tronco. Como as portas F0/3 nos switches S1 e S3 são definidas
como automáticas, elas negociam para permanecer no estado padrão, o estado do modo
de acesso (não-tronco). Isso resulta em um link de tronco inativo. Quando você
configura uma porta de tronco para permanecer no modo de tronco, não há nenhuma
ambigüidade quanto a que estado o tronco está sempre ativado. Também é fácil se
lembrar de qual estado as portas estão caso a porta seja um tronco e o modo de tronco
esteja ativado.
Nota: O modo de porta de switch padrão para uma interface em um switch Catalyst
2950 é dinâmico desejável (dynamic desirable), mas o modo de porta de switch padrão
para uma interface em um switch Catalyst 2960 dinâmico automático. Se S1 e S3
fossem switches Catalyst 2950 com uma interface F0/3 no modo de porta de switch
padrão, o link entre S1 e S3 se tornaria um tronco ativo.
Para obter informações sobre quais switches Cisco suportam 802.1Q, ISL e DTP, visite:
http://www.cisco.com/en/US/tech/tk389/tk689/technologies_tech_note09186a008017f8
6a.shtml#topic1 (em inglês).
Para obter informações sobre como suportar ISL em redes legadas, visite:
http://www.cisco.com/en/US/tech/tk389/tk689/tsd_technology_support_troubleshooting
_technotes_list.html (em inglês).
Página 2:
Os troncos transmitem o tráfego de várias VLANs através de um único link. É por isso
que eles são essenciais à comunicação entre os switches e as VLANs. Esta atividade se
concentra em exibir a configuração do switch, a configuração do tronco e as
informações de marcação de VLAN. São fornecidas instruções detalhadas na atividade,
bem como no link do PDF abaixo.
Página 1:
Neste capítulo, você já viu exemplos dos comandos usados para configurar VLANs e
troncos de VLAN. Nesta seção, você aprenderá os principais comandos do Cisco IOS
necessários à criação, à exclusão e à verificação de VLANs e troncos de VLAN.
Normalmente, esses comandos têm muitos parâmetros opcionais que estendem os
recursos da VLAN e da tecnologia de tronco de VLAN. Esses comandos opcionais não
são apresentados. No entanto, são fornecidas referências caso você queira pesquisar
essas opções. O foco desta seção é fornecer as habilidades e o conhecimento necessários
para configurar VLANs e troncos de VLAN com seus principais recursos.
Página 1:
Você configurará VLANs com IDs no intervalo normal. Lembre-se de que há dois
intervalos de IDs de VLAN. O intervalo normal inclui IDs de 1 a 1001 e o intervalo
estendido consiste em IDs de 1006 a 4094. A VLAN 1 e de 1002 a 1005 são números de
ID reservados. Quando você configura VLANs de intervalo normal, os detalhes da
configuração são armazenados automaticamente na memória flash no switch em um
arquivo chamado vlan.dat. Como você sempre configura outros aspectos de um switch
Cisco ao mesmo tempo, trata-se de uma prática recomendada salvar alterações feitas na
configuração corrente para a NVRAM.
A figura mostra os comandos do Cisco IOS usados para adicionar uma VLAN a um
switch.
A figura mostra como a VLAN de aluno, VLAN 20, é configurada no switch S1. No
exemplo de topologia, o computador do aluno, PC2, ainda não está em uma VLAN, mas
tem um endereço IP 172.17.20.22.
A figura mostra um exemplo de uso do comando show vlan brief para exibir o
conteúdo do arquivo vlan.dat. A VLAN do aluno, VLAN 20, é realçada na captura de
tela. As IDs de VLAN padrão 1 e de 1002 a 1005 são mostradas na saída de dados da
tela.
Nota: Além de inserir uma única ID de VLAN, é possível inserir uma série de IDs de
VLAN separadas por vírgulas, ou um intervalo de IDs de VLAN separadas por hífens
usando o comando vlan vlan-id, por exemplo: switch(config)#vlan 100,102,105-107.
Página 2:
Depois de criar uma VLAN, atribua uma ou mais portas à VLAN. Quando você atribui
manualmente uma porta de switch a uma VLAN, isso é conhecido como uma porta de
acesso estático. Uma porta de acesso estático pode pertencer a apenas uma VLAN por
vez.
Clique no botão Exemplo na figura para ver como a VLAN de aluno, VLAN 20, é
atribuída estaticamente à porta F0/18 no switch S1. Como a porta F0/18 foi atribuída à
VLAN 20, o computador de aluno, PC2, está na VLAN 20. Quando a VLAN 20 é
configurada em outros switches, o administrador de rede deve configurar os outros
computadores de aluno para que eles estejam na mesma sub-rede do PC2: 172.17.20.0 /
24.
Clique no botão Verificação na figura para confirmar se o comando show vlan brief
exibe o conteúdo do arquivo vlan.dat. A VLAN do aluno, VLAN 20, é realçada na
captura de tela.
Página 1:
A sintaxe de vários comandos show do Cisco IOS deve ser bem conhecida. Você já
usou o comando show vlan brief. Exemplos desses comandos podem ser vistos
clicando-se nos botões na figura.
Neste exemplo, é possível ver que o comando show vlan name student não produz
uma saída de dados muito legível. A preferência aqui é usar o comando show vlan
brief. O comando show vlan summary exibe a contagem de todas as VLANs
configuradas. A saída de dados mostra seis VLANs: 1, 1002-1005 e a VLAN do aluno,
VLAN 20.
Esse comando exibe muitos detalhes que estão além do escopo deste capítulo. As
principais informações são exibidas na segunda linha da captura de tela, indicando que a
VLAN 20 está ativa.
Esse comando exibe informações que são úteis para você. É possível determinar que a
porta F0/18 está atribuída à VLAN 20 e que a VLAN nativa é VLAN 1. Você usou esse
comando para revisar a configuração de uma VLAN de voz.
Para obter detalhes sobre os campos da saída de dados do comando show vlan, visite:
http://www.cisco.com/en/US/docs/ios/lanswitch/command/reference/lsw_s2.html#wp10
11412 (em inglês).
Para obter detalhes sobre os campos da saída de dados do comando show interfaces,
visite:
http://www.cisco.com/en/US/docs/ios/12_0/interface/command/reference/irshowin.html
#wp1017387 (em inglês).
Página 2:
Para reatribuir uma porta à VLAN 1, é possível usar o comando no switchport access
vlan no modo de configuração de interface. Examine a saída de dados no comando
show vlan brief logo abaixo. Observe como a VLAN 20 ainda está ativa. Ela só foi
removida de interface F0/18. No comando show interfaces f0/18 switchport,é possível
ver que a VLAN de acesso da interface F0/18 foi redefinida como VLAN 1.
Página 3:
Excluir VLANs
Como alternativa, todo o arquivo vlan.dat pode ser excluído usando-se o comando
delete flash:vlan.dat no modo EXEC privilegiado. Depois que o switch for
recarregado, as VLANs configuradas anteriormente já não estarão mais presentes. Isso
coloca o switch efetivamente no "padrão de fábrica" em relação a configurações de
VLAN.
Nota: Antes de excluir uma VLAN, não se esqueça de primeiro reatribuir todas as suas
portas a uma VLAN diferente. Qualquer porta pertencente a uma VLAN ativa não pode
se comunicar com outras estações depois que você exclui essa VLAN.
Página 1:
Para configurar um tronco em uma porta de switch, use o comando switchport mode
tronco. Quando você entra no modo de tronco, a interface muda para o modo de
entroncamento permanente e a porta participa de uma negociação DTP para converter o
link em um link de tronco mesmo que a interface de conexão não esteja de acordo com
a alteração. Neste curso, você configurará um tronco usando apenas o comando
switchport mode tronco. A sintaxe de comando do Cisco IOS para especificar uma
VLAN nativa que não seja a VLAN 1 é mostrada na figura. No exemplo, você
configura a VLAN 99 como a VLAN nativa.
O exemplo configura a porta F0/1 no switch S1 como a porta de tronco. Ele reconfigura
a VLAN nativa como sendo a VLAN 99.
Uma discussão sobre DTP e sobre os detalhes de como cada opção do modo de acesso
da porta de switch funciona está além do escopo do curso. Para obter detalhes sobre
todos os parâmetros associados ao comando de interface switchport mode, visite:
http://www.cisco.com/en/US/docs/switches/lan/catalyst2960/software/release/12.2_37_
se/command/reference/cli3.html#wp1948171 (em inglês).
Página 2:
A figura exibe a configuração da porta de switch F0/1 no switch S1. O comando usado é
show interfaces interface-ID switchport.
A primeira área realçada mostra que a porta F0/1 tem seu modo administrativo definido
como Tronco – a porta está no modo de entroncamento. A próxima área realçada
verifica que a VLAN nativa é VLAN 99, a VLAN de gerenciamento. Na parte inferior
da saída de dados, a última área realçada mostra que as VLANs com entroncamento
habilitado são as VLANs 10, 20 e 30.
Página 3:
Página 4:
Página 1:
Se você detectou algo errado em uma VLAN ou tronco e não sabe qual é o problema,
comece usa solução de problemas examinando os troncos em busca de uma
incompatibilidade de VLAN nativa e siga a lista. O restante deste tópico examina como
corrigir os problemas comuns com troncos. O próximo tópico apresenta como
identificar e resolver VLANs e sub-redes IP configuradas incorretamente.
Página 2:
Você é um administrador de rede e recebe uma chamada informando que a pessoa que
usa o computador PC4 não consegue se conectar ao servidor Web interno, servidor
WEB/TFTP na figura. Você sabe que um novo técnico esteve configurando o switch S3
recentemente. Como o diagrama de topologia parece correto, qual será o problema?
Você opta por verificar a configuração em S3.
Assim que você se conecta ao switch S3, a mensagem de erro mostrada na parte
superior da área realçada na figura é exibida na sua janela da console. Você observa a
interface usando o comando show interfaces f0/3 switchport. Você observe que a
VLAN nativa, a segunda área realçada na figura, foi definida como VLAN 100, estando
inativa. Como você pode ver mais adiante na saída de dados, as VLANs permitidas são
10 e 99, mostradas na área realçada inferior.
Você precisa reconfigurar a VLAN nativa na porta de tronco Fast Ethernet F0/3 para ser
a VLAN 99. Na figura, a área realçada superior mostra o comando para configurar a
VLAN nativa para ser a VLAN 99. As duas próximas áreas realçadas confirmam que a
porta de tronco Fast Ethernet F0/3 tem a VLAN nativa redefinida para VLAN 99.
A saída de dados da tela do computador PC4 mostra que conectividade foi restaurada no
servidor WEB/TFTP encontrado no endereço IP 172.17.10.30.
Neste curso, você aprendeu que os links de tronco são configurados estaticamente com
o comando switchport mode trunk. Você aprendeu que as portas de tronco usam
anúncios DTP para negociar o estado do link com a porta remota. Quando uma porta em
um link de tronco é configurada com um modo incompatível com a outra porta, um link
de tronco não se forma entre os dois switches.
Neste cenário, surge o mesmo problema: a pessoa que usa o computador PC4 não
consegue se conectar ao servidor Web interno. Novamente, o diagrama de topologia foi
mantido e mostra uma configuração correta. Qual é o problema?
A primeira coisa que você faz é verificar o status das portas de tronco no switch S1
usando o comando show interfaces trunk. Ele revela na figura que não há um tronco
na interface F0/3 no switch S1. Você examina a interface F0/3 para saber que a porta de
switch está no modo dynamic auto , a primeira área realçada na parte superior da figura.
Um exame dos troncos no switch S3 revela que não há nenhuma porta de tronco ativa.
Uma verificação adicional revela que a interface F0/3 também está no modo dynamic
auto, a primeira área realçada na parte inferior da figura. Agora você sabe por que o
tronco está desativado.
Você precisa reconfigurar o modo de tronco das portas Fast Ethernet F0/3 nos switches
S1 e S3. No canto superior esquerdo da figura, a área realçada mostra que a porta agora
está no modo de entroncamento. A saída de dados no canto superior direito do switch
S3 mostra os comandos usados para reconfigurar a porta e os resultados do comando
show interfaces trunk, o que revela que a interface F0/3 foi reconfigurada como um
tronco. A saída de dados do computador PC4 indica que ele recuperou a conectividade
com o servidor WEB/TFTP encontrado no endereço IP 172.17.10.30.
Você aprendeu que, para o tráfego de uma VLAN ser transmitido por um tronco, deve
haver permissão de acesso no tronco. O comando usado para isso é switchport access
trunk allowed vlan add vlan-id. Na figura, a VLAN 20 (Aluno) e o computador PC5
foram adicionados à rede. A documentação foi atualizada para mostrar que as VLANs
permitidas no tronco são 10, 20 e 99.
Neste cenário, a pessoa que usa o computador PC5 não consegue se conectar ao
servidor de email do aluno mostrado na figura.
VLAN e sub-redes IP
Como você aprendeu, cada VLAN deve corresponder a uma sub-rede IP exclusiva. Se
dois dispositivos na mesma VLAN tiverem endereços de sub-rede diferentes, eles não
poderão se comunicar. Esse tipo de configuração incorreta é um problema comum,
sendo fácil de resolver, identificando o dispositivo afetado e alterando o endereço de
sub-rede para o correto.
Neste cenário, a pessoa que usa o computador PC1 não consegue se conectar ao
servidor WEB/TFTP mostrado na figura.
Na figura, uma verificação das definições de configuração IP de PC1 revela o erro mais
comum na configuração de VLANs: um endereço IP configurado incorretamente. O
computador PC1 é configurado com um endereço IP 172.172.10.21, mas deveria ter
sido configurado com 172.17.10.21.
Página 2:
Nesta atividade, você irá solucionar problemas de conectividade entre PCs na mesma
VLAN. A atividade será concluída quando você atingir 100% e os PCs puderem
executar ping para os outros PCs da mesma VLAN. Qualquer solução implementada
deve estar de acordo com o diagrama de topologia. São fornecidas instruções detalhadas
na atividade, bem como no link do PDF abaixo.
Página 1:
Em uma rede, é essencial ser capaz de limitar os efeitos dos broadcasts. Uma forma de
fazer isso é dividindo uma grande rede física em várias redes virtuais ou lógicas
menores. Essa é uma das metas das VLANs. Este laboratório ensinará os fundamentos
da configuração de VLANs.
Página 2:
Esta atividade é uma variação do laboratório 3.5.1. O Packet Tracer pode não suportar
todas as tarefas especificadas no laboratório prático. Esta atividade não deve ser
considerada equivalente à conclusão do laboratório prático. O Packet Tracer não é um
substituto para um exercício prático com equipamento real. São fornecidas instruções
detalhadas na atividade, bem como no link do PDF abaixo.
Página 1:
Página 2:
Esta atividade é uma variação do laboratório 3.5.2. O Packet Tracer pode não suportar
todas as tarefas especificadas no laboratório prático. Esta atividade não deve ser
considerada equivalente à conclusão do laboratório prático. O Packet Tracer não
substitui um experimento em laboratório prático com equipamento real. São fornecidas
instruções detalhadas na atividade, bem como no link do PDF abaixo.
Página 1:
Página 2:
Nesta atividade, você irá praticar a solução de problemas em um ambiente de VLAN
configurado incorretamente. A rede inicial contém erros. Seu objetivo é localizar e
corrigir todos os erros nas configurações e estabelecer a conectividade fim-a-fim. Sua
configuração final deve corresponder ao diagrama de topologia e à tabela de
endereçamento. São fornecidas instruções detalhadas na atividade, bem como no link do
PDF abaixo.
Página 1:
Página 3:
Página 1:
CCNA Exploration -
Exibir meio visual
4.0.1 Introdução
Página 1:
Página 1:
Página 2:
O que é VTP?
O VTP permite que um gerente de rede configure um switch de forma que ele propague
as configurações de VLAN a outros switches na rede. O switch pode ser configurado na
função de um servidor VTP ou de um cliente VTP. O VTP somente obtém informações
sobre VLANs de intervalo normal (IDs de VLAN de 1 a 1005). VLANs de intervalos
estendidos (IDs maiores que 1005) não são suportadas pelo VTP.
Clique em Reproduzir na figura para exibir uma animação de uma visão geral de
como o VTP funciona.
O VTP permite que um gerente de rede faça alterações em um switch que está
configurado como um servidor VTP. Basicamente, o servidor VTP distribui e sincroniza
as informações de VLAN para switches habilitados para VTP em toda a rede comutada,
o que diminui os problemas causados por configurações incorretas e inconsistências de
configuração. O VTP armazena as configurações de VLAN no banco de dados de
VLAN, chamado vlan.dat.
Dois switches
Clique em Reproduzir na figura para exibir uma animação sobre a interação básica do
VTP entre um servidor VTP e um cliente VTP.
Na figura, um link tronco é adicionado entre o switch S1, um servidor VTP, e S2, um
cliente VTP. Depois que um tronco é estabelecido entre os dois switches, são trocados
anúncios VTP entre eles. O servidor e o cliente aproveitam os anúncios um do outro
para assegurar que cada um tenha um registro preciso das informações de VLAN. Não
serão trocados anúncios VTP se o link tronco entre os switches estiver inativo. Os
detalhes sobre como o VTP funciona são explicados no restante deste capítulo.
Página 3:
Benefícios do VTP
Página 4:
Componentes do VTP
Existem alguns componentes principais que você já deve conhecer para poder aprender
sobre o VTP. Aqui está uma breve descrição dos componentes, que serão explicados
mais adiante conforme você avança pelo capítulo.
Passe o mouse sobre os principais componentes do VTP na figura para ver onde eles
estão na rede.
Página 5:
Exibir meio visual
Página 1:
No CCNA Exploration: Fundamentos de rede, você aprendeu que um switch Cisco vem
de fábrica com configurações padrão. As configurações padrão do VTP são mostradas
na figura. A vantagem do VTP é que ele distribui e sincroniza automaticamente o
domínio e as configurações de VLAN em toda a rede. Porém, esta vantagem traz um
custo: você só pode adicionar switches que estão em sua configuração VTP padrão. Se
você adicionar um switch habilitado para VTP que está definido com configurações que
substituem as configurações existentes do VTP da rede, as mudanças difíceis de corrigir
serão propagadas automaticamente ao longo da rede. Sendo assim, só adicione switches
que estão em sua configuração VTP padrão. Você aprenderá a adicionar switches a uma
rede VTP posteriormente neste capítulo.
Versões do VTP
A figura mostra como exibir as configurações do VTP para um switch Cisco 2960, S1.
O comando do Cisco IOS show VTP status exibe o status do VTP. A saída do
comando mostra que o switch S1 está, por padrão, no modo de servidor VTP e que não
há nenhum nome de domínio VTP atribuído. A saída do comando também mostra que a
versão máxima do VTP disponível para o switch é a versão 2, e que o VTP versão 2 está
desabilitado. Você utilizará o comando show VTP status freqüentemente ao configurar
e gerenciar o VTP em uma rede. A seguir, veja uma breve descrição dos parâmetros do
comando show VTP status:
Versão do VTP - Exibe a versão do VTP que o switch é capaz de executar. Por
padrão, o switch implementa a versão 1, mas pode ser definido para a versão 2.
Revisão de configuração - Número de revisão de configuração atual neste
switch. Você obterá mais informações sobre números de revisão neste capítulo.
Máximo de VLANs localmente suportadas - Número máximo de VLANs
suportadas localmente.
Número de VLANs existentes - Número de VLANs existentes.
Modo de operação do VTP - Pode ser servidor, cliente ou transparente.
Nome de domínio VTP - Nome que identifica o domínio administrativo para o
switch.
Modo de corte do VTP - Exibe se o corte está habilitado ou desabilitado.
Modo VTP V2- Exibe se o modo VTP versão 2 está habilitado. VTP versão 2
vem desabilitado por padrão.
Geração de interceptações do VTP - Exibe se são enviadas interceptações do
VTP a uma estação de gerenciamento de rede.
MD5 Digest - Uma soma de verificação de 16 bytes da configuração do VTP.
Última configuração modificada - Data e hora da última modificação à
configuração. Exibe o endereço IP do switch que causou a alteração de
configuração ao banco de dados.
Página 1:
Domínios VTP
O VTP permite que você separe sua rede em domínios de gerenciamento menores para
ajudar a reduzir o gerenciamento de VLAN. Um benefício adicional de configurar os
domínios VTP é que isto limita a extensão em que as mudanças de configuração são
propagadas na rede se um erro ocorrer. A figura mostra uma rede com dois domínios
VTP: cisco2 e cisco3. Neste capítulo, os três switches, S1, S2 e S3, serão configurados
para VTP.
Página 2:
Para que um switch no modo servidor ou cliente VTP participe de uma rede habilitada
para VTP, ele deve fazer parte do mesmo domínio. Quando os switches estão em
domínios VTP diferentes, eles não trocam mensagens VTP. Um servidor VTP propaga
o nome de domínio VTP a todos os switches para você. A propagação de nome de
domínio utiliza três componentes do VTP: servidores, clientes e anúncios.
Clique em Reproduzir na figura para ver como um servidor VTP propaga o nome de
domínio VTP em uma rede.
A rede na figura mostra três switches, S1, S2 e S3, em sua configuração VTP padrão.
Eles estão configurados como servidores VTP. Os nomes de domínio VTP não foram
configurados em nenhum dos switches.
Página 1:
Na figura, você pode ver a estrutura do quadro VTP de forma mais detalhada. Lembre-
se que um quadro VTP encapsulado como um quadro 802.1Q não é estático. O
conteúdo da mensagem VTP determina quais campos estão presentes. O switch de
recebimento habilitado para VTP procura campos e valores específicos no quadro
802.1Q para saber o que processar. Os campos principais a seguir estão presentes
quando um quadro VTP é encapsulado como um quadro 802.1Q:
Campo LLC- O campo controle de enlace lógico (LLC) contém o ponto de acesso ao
serviço de destino (DSAP, destination service access point) e um ponto de acesso ao
serviço de origem (SSAP, source service access point) definidos ao valor de AA.
Página 2:
Nota: Uma alteração do nome de domínio VTP não aumenta o número de revisão. Ao
contrário, ela redefine o número de revisão para zero.
Clique no botão de Saída do comando do switch na figura para ver como o número
de revisão foi alterado.
Página 3:
Anúncios de VTP
Anúncios sumarizados
Anúncios de subconjunto
Anúncios de solicitação
Clique no botão Solicitação na figura e então clique em Reproduzir para exibir uma
animação sobre os anúncios de solicitação do VTP.
Página 4:
Cada tipo de anúncio VTP envia informações sobre diversos parâmetros utilizados pelo
VTP. Uma descrição dos campos em cada um dos anúncios VTP é apresentada.
Anúncios sumarizados
Anúncios de subconjunto
Anúncios de Solicitação
Os campos encontrados em um anúncio de solicitação são descritos brevemente.
Página 1:
Um switch da Cisco, configurado com o software IOS Cisco, pode ser configurado nos
modos servidor, cliente ou transparente. Estes modos diferem em como eles são
utilizados para gerenciar e anunciar domínios VTP e VLANs.
Modo servidor
No modo servidor, você pode criar, modificar e excluir VLANs para todo o domínio
VTP. O modo servidor do VTP é o modo padrão para um switch Cisco. Os servidores
VTP anunciam suas configurações de VLAN a outros switches no mesmo domínio VTP
e sincronizam suas configurações de VLAN com outros switches com base nos
anúncios recebidos sobre links tronco. Os servidores VTP mantêm o monitoramento das
atualizações através de um número de revisão de configuração. Outros switches no
mesmo domínio VTP comparam seus números de revisão de configuração com o
número de revisão recebido de um servidor VTP para ver se eles precisam sincronizar
seus banco de dados de VLAN.
Modo cliente
Se um switch estiver no modo cliente, você não poderá criar, alterar ou excluir as
VLANs. Além disso, as informações de configuração de VLAN que um switch cliente
VTP recebe de um switch servidor VTP são armazenadas em um banco de dados de
VLAN, não em NVRAM. Conseqüentemente, os clientes VTP exigem menos memória
do que os servidores VTP. Quando um cliente VTP é desligado e reiniciado, ele envia
um anúncio de solicitação a um servidor VTP para obter informações de configuração
de VLAN atualizadas.
Os switches configurados como clientes VTP são encontrados com mais freqüência em
redes maiores, porque em uma rede com centenas de switches é mais difícil coordenar
melhorias de rede. É freqüente haver muitos administradores de rede trabalhando em
diferentes horas do dia. Ter apenas alguns switches que sejam fisicamente capazes de
manter as configurações de VLAN facilita o controle das atualizações de VLAN e ajuda
a monitorar quais administradores de rede as executaram.
Para redes grandes, ter switches no modo cliente é também mais econômico. Por
padrão, todos os switches são configurados como servidores VTP. Esta configuração é
adequada para redes menores nas quais o tamanho das informações de VLAN é
pequeno e as informações são armazenadas facilmente em NVRAM nos switches. Em
uma rede grande com centenas de switches, o administrador de rede deve decidir se o
custo de comprar switches com NVRAM suficiente para armazenar as informações de
VLAN duplicadas é muito alto. Um administrador de rede com consciência de custo
pode escolher configurar alguns poucos switches bem equipados como servidores VTP,
usando, então, switches com menos memória como clientes VTP. Embora uma
discussão de redundância de rede esteja além do escopo deste curso, saiba que o número
de servidores VTP deve ser escolhido com o intuito de fornecer o grau de redundância
desejada na rede.
Modo transparente
VTP em ação
Você verá agora como os diversos recursos do VTP se reúnem para distribuir e
sincronizar as configurações de domínio e de VLAN em uma rede habilitada por VTP.
A animação é iniciada com três novos switches, S1, S2 e S3, com suas configurações
padrão de fábrica, e termina com os três switches configurados e participando de uma
rede habilitada por VTP.
Você pode pausar e retroceder a animação para pensar sobre este processo e revisá-lo.
Página 3:
Você viu como o VTP funciona com três switches. Esta animação examina mais
detalhadamente como um switch configurado em modo transparente do VTP suporta a
funcionalidade de VTP.
Você pode pausar e retroceder a animação para pensar sobre este processo e revisá-lo.
Página 1:
Página 2:
Lembre-se de que uma VLAN cria um domínio de broadcast isolado. Um switch inunda
o tráfego de broadcast, multicast e unicast desconhecido por todos os links tronco dentro
de um domínio VTP. Quando um computador ou dispositivo é transmitido em uma
VLAN, por exemplo a VLAN 10 na figura, o tráfego de broadcast viaja por todos os
links tronco ao longo da rede para todas as portas em todos os switches na VLAN 10.
Na figura, os switches S1, S2 e S3 recebem os quadros de broadcast do computador
PC1. O tráfego de broadcast do PC1 consome a largura de banda no link tronco entre os
3 switches e consome o tempo do processador nos 3 switches. O link entre os switches
S1 e S3 não carrega nenhum tráfego de VLAN 10, então ele é um candidato para o corte
de VTP.
Clique no botão Reproduzir na figura para ver o que acontece com o tráfego de
inundação de VLAN em uma rede sem corte de VTP.
Corte de VTP
Clique no botão Corte de VTP e clique em Reproduzir para ver uma animação sobre
o que acontece com o tráfego de inundação de VLAN em uma rede com corte de VTP.
A figura mostra uma topologia de rede que possui os switches S1, S2 e S3 configurados
com corte de VTP. Quando o corte de VTP estiver habilitado em uma rede, ele
reconfigurará os links tronco com base em quais portas estão configuradas com quais
VLANs.
A área destacada mostra que o tronco na porta F0/1 permite o tráfego de VLAN 10. O
corte de VTP somente corta a porta de egresso.
A área destacada mostra que o tronco na porta F0/1 não permite o tráfego da VLAN 10.
A VLAN 10 não é listada. Para obter mais detalhes sobre o corte de VTP, visite:
http://www.cisco.com/univercd/cc/td/doc/product/lan/cat5000/rel_4_2/config/vlans.htm
#xtocid798016 (em inglês).
Página 4:
Exibir meio visual
Página 1:
Siga estas etapas e diretrizes associadas para garantir o sucesso da sua configuração do
VTP:
Confirme se todos os switches que você vai configurar foram definidos com
suas configurações padrão.
Sempre redefina o número de revisão de configuração antes de instalar um
switch previamente configurado em um domínio VTP. Se você não conseguir
redefinir o número de revisão de configuração, poderá haver interrupção na
configuração de VLAN no restante dos switches no domínio VTP.
Configure pelo menos dois switches como servidor VTP em sua rede. Como
somente os switches no modo servidor podem criar, excluir e modificar as
VLANs, você deve garantir que tenha um servidor VTP de backup no caso de o
servidor VTP primário ser desabilitado. Se todos os switches na rede forem
configurados no modo cliente do VTP, você não poderá criar novas VLANs na
rede.
Configure um domínio VTP no servidor VTP. Configurar o domínio VTP no
primeiro switch permite que o VTP comece a enviar anúncios das informações
de VLAN. Outros switches conectados por links tronco recebem as informações
do domínio VTP automaticamente através dos anúncios VTP.
Se houver um domínio VTP existente, verifique se você fez a correspondência
exata do nome. Os nomes de domínio de VLAN diferenciam maiúsculas e
minúsculas.
Se você estiver configurando uma senha de VTP, defina a mesma senha em
todos os switches no domínio que precisam ser capazes de trocar informações
VTP. Os switches sem uma senha ou com a senha incorreta rejeitam os anúncios
VTP.
Certifique-se de que todos os switches estejam configurados para utilizar a
mesma versão do protocolo VTP. A versão 1 do VTP não é compatível com a
versão 2 do VTP. Por padrão, os switches Cisco Catalyst 2960 executam a
versão 1, mas são capazes de executar a versão 2. Quando a versão do VTP
estiver definida como a versão 2, todos os switches habilitados para a versão 2
no domínio serão auto-configurados para utilizar a versão 2 através do processo
de anúncio VTP. Os switches que estiverem habilitados somente para a versão 1
não poderão participar do domínio VTP a partir daquele ponto.
Crie a VLAN depois de habilitar o VTP no servidor VTP. As VLANs criadas
antes da habilitação do VTP são removidas. Certifique-se sempre de que as
portas do tronco sejam configuradas para interconectar os switches em um
domínio VTP. As informações do VTP são trocadas somente nas portas tronco.
Página 2:
Os próximos três tópicos mostrarão como configurar um servidor e dois clientes VTP.
No início, nenhum dos dispositivos está conectado.
A topologia destaca o switch S1. Você irá configurar este switch como um servidor
VTP. São fornecidos os comandos para configurar as portas tronco para a interface
F0/1.
Se o switch ainda não foi configurado como um servidor VTP, você deve configurá-lo
utilizando o comando vtp mode {server}.
Por razões de segurança, uma senha pode ser configurada com o uso do comando vtp
password password.
Suponha que três VLANs foram configuradas e receberam nomes de VLANs. A saída
do comando na figura está exibindo o resultado destas alterações.
A topologia destaca os switches S2 e S3. Você verá a configuração de cliente VTP para
S2. Para configurar S3 como um cliente VTP, você seguirá o mesmo procedimento.
Antes de configurar um switch como um cliente VTP, verifique o status atual do VTP .
Após confirmar o status, você configurará o switch para operar no modo cliente VTP.
Clique no botão Habilitar modo cliente VTP para ver como configurar um switch
para o modo cliente VTP.
Configure o modo cliente VTP utilizando a seguinte sintaxe de comando do Cisco IOS:
Se você precisar redefinir a configuração do VTP para os valores padrão, poderá utilizar
a versão no dos comandos.
Clique no botão Verificar status do VTP para ver o resto da configuração de cliente
VTP.
Página 4:
O destaque da parte superior na saída do comando da tela confirma que o switch S2 está
no modo cliente do VTP. Agora a tarefa é configurar a porta F0/18 no switch S2 para
que ela esteja na VLAN 20. A área inferior destacada mostra o comando do Cisco IOS
utilizado para configurar a porta F0/18 no switch S2 para que ela esteja na VLAN 20.
Página 1:
Você aprendeu como o VTP pode ser utilizado para simplificar o gerenciamento de um
banco de dados de VLAN nos diversos switches. Neste tópico, você aprenderá sobre os
problemas comuns de configuração do VTP. Estas informações, combinadas com suas
habilidades de configuração do VTP, ajudarão a solucionar problemas de configuração
do VTP.
Página 2:
Ao utilizar uma senha de VTP para controlar a participação no domínio VTP, verifique
se a senha está definida corretamente em todos os switches no domínio VTP. Esquecer
de definir uma senha de VTP é um problema muito comum. Se for utilizada uma senha,
ela deverá ser configurada em cada switch no domínio. Por padrão, um switch Cisco
não utiliza uma senha de VTP. O switch não define o parâmetro de senha
automaticamente, diferentemente de outros parâmetros que são definidos
automaticamente quando um anúncio VTP é recebido.
Página 3:
Solução
Página 4:
É possível alterar o modo de operação de todos os switches para o modo cliente VTP.
Desse modo, você perde toda a capacidade de criar, excluir e gerenciar as VLANs
dentro de seu ambiente de rede. Como os switches cliente VTP não armazenam as
informações de VLAN em NVRAM, eles precisam atualizar as informações de VLAN
depois de uma reinicialização.
Solução
Página 5:
Clique no botão Número de revisão incorreto na figura para executar uma animação
que mostra como a adição de um switch com um número de revisão de configuração
mais alto afeta o resto dos switches no domínio VTP.
S4, que foi configurado anteriormente como um cliente VTP, é adicionado à rede. O
número de revisão do switch S4 é 35, mais alto que o número de revisão de 17 na rede
existente. S4 vem pré-configurado com duas VLANs, 30 e 40, que não estão
configuradas na rede existente. A rede existente possui as VLANs 10 e 20.
Solução
Página 1:
Você aprendeu sobre o VTP e como ele pode ser utilizado para simplificar as VLANs
de gerenciamento em uma rede habilitada para VTP. Observe a topologia na figura.
Quando uma nova VLAN, por exemplo, a VLAN 10, for adicionada à rede, o gerente de
rede adicionará a VLAN ao servidor VTP, o switch S1 na figura. Como você sabe, o
VTP trata de propagar os detalhes de configuração de VLAN para o resto da rede. Ele
não tem nenhuma influência sobre quais portas estão configuradas na VLAN 10 nos
switches S1, S2 e S3.
A saída do comando confirma que a nova VLAN foi adicionada a F0/1 no switch S2. A
área destacada mostra que a VLAN 10 está agora ativa no domínio de gerenciamento do
VTP.
4.5.1 Resumo
Página 1:
O corte de VTP limita a propagação desnecessária de tráfego de VLAN por uma rede
local. O VTP determina quais portas tronco encaminham determinado tráfego de
VLAN. O corte de VTP aprimora o desempenho geral da rede restringindo a inundação
desnecessária de tráfego pelos links tronco. O corte permite somente o tráfego de
VLAN para VLANs que são atribuídas a alguma porta de switch na outra extremidade
de um link tronco. Reduzindo a quantidade total de tráfego inundado na rede, a largura
de banda é liberada para outros tráfegos .
5 STP
5.0 Introdução do capítulo
5.0.1 Introdução
Página 1:
5.1.1 Redundância
Página 1:
Página 2:
Examinar um design redundante
Neste exemplo, há uma rede hierárquica com camadas de acesso, distribuição e núcleo.
Cada switch de camada de acesso é conectado a dois switches de camada de distribuição
diferentes. Além disso, cada switch de camada de distribuição é conectado a ambos os
switches da camada de núcleo. Devido à existência de diversos caminhos entre PC1 e
PC4, há uma redundância que pode acomodar um único ponto de falha entre a camada
de acesso e de distribuição, e entre a camada de distribuição e a do núcleo.
O STP está habilitado em todos os switches. O STP é o tópico deste capítulo e será
explicado detalhadamente. Por enquanto, observe que o STP colocou algumas portas de
switch em estado de encaminhamento e outras em estado de bloqueio. Isto impede loops
de camada 2 na rede. O STP somente utilizará um link redundante se houver falha no
link primário.
O switch C2 falhou, evitando que os dados de PC1 que eram destinados a PC4
alcançassem o switch D4 em seu caminho original. Entretanto, como o switch D1
possui um segundo caminho para PC4 através do switch C1, o caminho é atualizado e
os dados podem chegar ao PC4.
A redundância fornece muita flexibilidade nas escolhas de caminho em uma rede,
permitindo que os dados sejam transmitidos independentemente da falha de um
caminho ou dispositivo nas camadas de distribuição ou núcleo. A redundância tem
algumas complicações que precisam ser abordadas antes de poder ser implementada de
forma segura em uma rede hierárquica.
Página 1:
Loops de camada 2
Quando existem diversos caminhos entre dois dispositivos na rede e o STP foi
desabilitado nesses switches, pode ocorrer um loop de Camada 2. Se o STP estiver
habilitado nestes switches, o que é o padrão, um loop de Camada 2 não ocorre.
Quadros Ethernet não possuem um tempo de vida (TTL, Time To Live) como os
pacotes IP que atravessam os roteadores. Como resultado, se eles não forem finalizados
corretamente em uma rede comutada, eles continuarão saltando de switch para switch
interminavelmente, ou até que um link seja interrompido e quebre o loop.
Os quadros de broadcast são encaminhados por todas as portas de switch, exceto pela
porta de origem. Isto garante que todos os dispositivos no domínio de broadcast possam
receber o quadro. Se houver mais de um caminho para que o quadro seja encaminhado,
o resultado poderá ser um loop ininterrupto.
Na animação:
2. Quando o S2 recebe o quadro de broadcast, ele atualiza sua tabela de endereços MAC
para registrar que o PC1 está disponível na porta F0/11.
4. Quando o quadro de broadcast chega aos switches S3 e S1, eles atualizam suas
tabelas de endereços MAC para indicar que PC1 está disponível na porta F0/1 em S1 e
porta F0/2 em S3.
7. Cada switch encaminha o quadro de broadcast novamente para todas as suas portas,
exceto aquela pela qual ele chegou, resultando no encaminhamento do quadro para S2
em ambos os switches.
Este processo se repete inúmeras vezes até que o loop seja interrompido pela
desconexão física das portas causadoras ou pelo desligamento de um dos switches no
loop.
Os loops resultam em uma carga de CPU alta em todos os switches envolvidos. Como
os mesmos quadros estão sendo encaminhados constantemente de um lado para outro
entre todos os switches, a CPU dos equipamentos acaba tendo que processar muitos
dados. Isto reduz a velocidade de desempenho no switch quando para o tráfego
necessário.
Um host envolvido em um loop de rede não pode ser acessado por outros hosts na rede.
Como a tabela de endereços MAC está constantemente mudando com as atualizações
dos quadros de broadcast, o switch não sabe para qual porta encaminhar os quadros de
unicast para alcançar o destino final. Os quadros de unicast também param de sofrer
loop na rede. Como os quadros param cada vez mais de sofrer o loop na rede, ocorre
uma broadcast storm.
Página 2:
Broadcast storms
Uma broadcast storm ocorre quando existem tantos quadros de broadcast presentes em
um loop de Camada 2 que toda a largura de banda disponível é consumida.
Conseqüentemente, não há nenhuma largura de banda disponível para tráfego legítimo e
a rede fica indisponível para a comunicação de dados.
Uma broadcast storm é inevitável em uma rede com loops. À medida que mais
dispositivos enviam broadcasts na rede, cada vez mais tráfego é adicionado ao loop,
criando eventualmente uma broadcast storm que causa a falha da rede.
Na animação:
1. PC1 envia um quadro de broadcast para a rede com loops.
4. O quadro de broadcast do PC4 também é capturado no loop e sofre loops entre todos
os switches interconectados, da mesma forma que o quadro de broadcast do PC1.
5. À medida que cada vez mais quadros de broadcast são enviados na rede por outros
dispositivos, mais tráfego é capturado no loop, resultando eventualmente em uma
broadcast storm.
Página 3:
Os quadros de broadcast não são o único tipo de quadro afetado por loops. Quadros de
unicast enviados em uma rede com loops podem resultar na chegada de quadros
duplicados ao dispositivo de destino.
Na animação:
2. O switch S2 não possui uma entrada para PC4 em sua tabela de MAC, assim ele
envia o quadro de unicast para todas as portas de switch na tentativa de localizar o PC4.
4. S1 possui uma entrada de endereço MAC para PC4, assim ele encaminha o quadro
para PC4.
5. S3 também possui uma entrada em sua tabela de endereços MAC para PC4, desse
modo ele encaminha o quadro de unicast pelo Tronco3 para S1.
Página 1:
O cabeamento de redes para pequenos e médios negócios pode tornar-se muito confuso.
Cabos de rede entre os switches de camada de acesso, situados nos wiring closets,
desaparecem nas paredes, nos pisos e nos tetos onde eles voltam para os switches de
camada de distribuição na rede. Se os cabos de rede não receberem os rótulos
adequados quando forem finalizados no patch panel no wiring closet, será difícil
determinar onde está o destino para a porta do patch panel na rede. São comuns os loops
de rede resultantes de conexões duplicadas acidentais nos wiring closets.
O exemplo exibe um loop que ocorre se duas conexões do mesmo switch forem
conectadas a outro switch. O loop está localizado nos switches que estão
interconectados. Entretanto, o loop afeta o resto da rede devido ao alto encaminhamento
de broadcast, que alcança todos os outros switches na rede. O impacto nos outros
switches pode não ser suficiente para romper as comunicações legítimas, mas pode
afetar consideravelmente o desempenho geral dos outros switches.
Este tipo de loop é comum no wiring closet. Isto acontece quando um administrador
acidentalmente conecta um cabo ao mesmo switch para o qual ele já está conectado. Isto
normalmente ocorre quando os cabos de rede não recebem os rótulos ou os recebem de
modo errado, ou quando o administrador não conferiu com calma onde os cabos estão
conectados.
Clique no botão Loop de uma conexão com um segundo switch na mesma rede na
figura.
O exemplo mostra um loop que ocorre se um switch for conectado a dois switches
diferentes que estão interconectados em uma rede. O impacto deste tipo de loop é muito
maior, pois afeta mais switches diretamente.
Página 2:
Os wiring closets são normalmente protegidos para impedir o acesso não autorizado.
Dessa forma, o administrador de rede geralmente é o único que possui total controle
sobre como e quais dispositivos são conectados à rede. Diferentemente do wiring closet,
o administrador não tem o controle de como os hubs e switches pessoais estão sendo
utilizados ou conectados, então o usuário final pode interconectar os switches ou hubs
acidentalmente.
Página 1:
Topologia de STP
O STP assegura que haja somente um caminho lógico entre todos os destinos na rede
fazendo o bloqueio intencional dos caminhos redundantes que poderiam causar um
loop. Uma porta é considerada bloqueada quando o tráfego da rede é impedido de entrar
ou deixar aquela porta. Isto não inclui os quadros da unidade de dados de protocolo de
bridge (BPDU, bridge protocol data unit) que são utilizados pelo STP para impedir
loops. Você obterá mais informações sobre os quadros de BPDU de STP posteriormente
no capítulo. Bloquear os caminhos redundantes é essencial para impedir loops na rede.
Os caminhos físicos ainda existem para fornecer a redundância, mas estes caminhos são
desabilitados para impedir a ocorrência de loops. Se o caminho for necessário em algum
momento para compensar a falha de um cabo de rede ou switch, o STP recalcula os
caminhos e desbloqueia as portas necessárias para permitir que o caminho redundante
fique ativo.
Neste exemplo:
O STP impede que os loops ocorram configurando um caminho sem loops pela rede,
utilizando portas de estado de bloqueio estrategicamente posicionadas. Os switches que
executam o STP são capazes de compensar as falhas desbloqueando dinamicamente as
portas bloqueadas anteriormente e permitindo que o tráfego atravesse os caminhos
alternativos. O próximo tópico descreve como o STP realiza este processo
automaticamente.
Página 2:
Algoritmo STP
O STP utiliza o Algoritmo spanning tree (STA, Spanning Tree Algorithm) para
determinar quais portas de switch em uma rede precisam ser configuradas para bloqueio
a fim de impedir a ocorrência de loops. O STA designa um único switch como a bridge
raiz e o utiliza como ponto de referência para todos os cálculos de caminho. Na figura, a
bridge raiz, switch S1, é escolhida através de um processo de escolha. Todos os
switches que participam de STP trocam quadros de BPDU para determinar qual switch
possui a ID de bridge (BID) mais baixa na rede. O switch com o BID mais baixo se
torna automaticamente a bridge raiz para os cálculos de STA. O processo de escolha de
bridge raiz será discutido em detalhes posteriormente neste capítulo.
O BPDU é o quadro de mensagem trocado pelos switches para STP. Cada BPDU
contém um BID que identifica o switch que enviou o BPDU. O BID contém um valor
de prioridade, o endereço MAC do switch de envio, e uma ID de sistema estendido
opcional. Determina-se o valor de BID mais baixo através da combinação destes três
campos. Você obterá mais informações sobre a bridge raiz, BPDU e BID em tópicos
posteriores.
Depois que a bridge raiz tiver sido determinada, o STA calcula o caminho mais curto
para a bridge raiz. Cada switch utiliza o STA para determinar quais portas bloquear.
Enquanto o STA determina os melhores caminhos para a bridge raiz para todos os
destinos no domínio de broadcast, todo o tráfego é impedido de ser encaminhado pela
rede. O STA considera ambos os custos do caminho e porta ao determinar qual caminho
permanecerá desbloqueado. Um custo do caminho é calculado utilizando os valores de
custo de porta associados com as velocidades de cada porta de switch ao longo de um
determinado caminho. A soma dos valores de custo de porta determina o custo de
caminho geral para a bridge raiz. Se houver mais de um caminho a ser escolhido, o STA
escolherá o caminho com o custo de caminho mais baixo. Você obterá mais
informações sobre os custos de caminho e porta em tópicos posteriores.
Portas raiz - As portas de switch mais próximas da bridge raiz. No exemplo, a porta
raiz no switch S2 é F0/1 configurada para o link de trunk entre o switch S2 e o switch
S1. A porta raiz no switch S3 é F0/1, configurada para o link de trunk entre o switch S3
e o switch S1.
Portas designadas - Todas as portas não-raiz que ainda podem encaminhar o tráfego na
rede. No exemplo, as portas F0/1 e F0/2 no switch S1 são portas designadas. O switch
S2 também está com sua porta F0/2 configurada como uma porta designada.
Página 3:
A bridge raiz
Toda instância de spanning tree (rede local comutada ou domínio de broadcast) possui
um switch designado como bridge raiz. A bridge raiz serve como um ponto de
referência para que todos os cálculos de spanning tree determinem quais caminhos
redundantes bloquear.
A figura mostra os campos de BID. Os detalhes de cada campo de BID são discutidos
posteriormente, mas convém saber agora que o BID é determinado a partir de um valor
de prioridade, de uma ID de sistema estendido e do endereço MAC do switch.
Página 4:
Quando a bridge raiz for designada para a instância de spanning tree, o STA iniciará o
processo de determinar os melhores caminhos para a bridge raiz de todos os destinos no
domínio de broadcast. As informações de caminho são determinadas somando os custos
de portas individuais ao longo do caminho, desde o destino até a bridge raiz.
Os custos de porta padrão são definidos pela velocidade na qual a porta opera. Na
tabela, você pode ver que as portas Ethernet de 10 Gb/s possuem um custo de 2, as
portas Ethernet de 1 Gb/s possuem um custo de 4, as portas Fast Ethernet de 100 Mb/s
têm um custo de 19 e as portas Ethernet de10 Mb/s têm um custo de 100.
Nota: O IEEE define os valores de custo de porta utilizados pelo STP. Conforme
tecnologias de Ethernet mais recentes e rápidas entram no mercado, os valores de custo
de caminho podem ser alterados para acomodar as diferentes velocidades disponíveis.
Os números não lineares acomodam algumas melhorias ao padrão da Ethernet, mas
esteja ciente de que os números podem ser alterados pelo IEEE caso seja necessário. Na
tabela, os valores já foram alterados para acomodar o mais novo padrão de Ethernet de
10 Gb/s.
Embora as portas de switch possuam um custo de porta padrão associado a elas, este
custo é configurável. A capacidade de configurar os custos de portas individuais
proporciona ao administrador a flexibilidade para controlar os caminhos de spanning
tree até a bridge raiz.
Para configurar o custo de porta de uma interface, digite o comando spanning-tree cost
value no modo de configuração de interface. O range value (valor do intervalo) pode
estar entre 1 e 200.000.000.
Para reverter o custo de porta de volta para o valor padrão, digite o comando de
configuração de interface no spanning-tree cost.
Para verificar o custo de porta e caminho para a bridge raiz, digite o comando de modo
EXEC privilegiado show spanning-tree. O campo Custo na saída de dados é o custo de
caminho total para a bridge raiz. Este valor muda dependendo de quantas portas de
switch precisem ser atravessadas para que se chegue à bridge raiz. Na saída de dados,
cada interface também é identificada com um custo de porta individual de 19.
Página 1:
Os campos BPDU
No tópico anterior, você aprendeu que o STP determina uma bridge raiz para a instância
de spanning tree trocando BPDUs. Neste tópico, você aprenderá os detalhes do quadro
de BPDU e como ele facilita o processo de spanning tree.
O quadro de BPDU contém 12 campos distintos que são utilizados para comunicar
informações de caminho e prioridade que o STP utiliza para determinar a bridge raiz e
os caminhos para a bridge raiz.
Passe o mouse sobre os Campos BPDU na figura para saber o que eles contêm.
Página 2:
O processo BPDU
Cada switch no domínio de broadcast presume inicialmente que é a bridge raiz para a
instância de spanning tree, desse modo os quadros de BPDU enviados contêm o BID do
switch local como a ID de raiz. Por padrão, os quadros de BPDU são enviados a cada 2
segundos depois de um switch ser inicializado; ou seja, o valor padrão do temporizador
hello especificado no quadro de BPDU é de 2 segundos. Cada switch mantém as
informações locais sobre seu próprio BID, ID de raiz e o custo de caminho para a raiz.
Depois que uma ID de raiz for atualizada para identificar uma nova bridge raiz, todos os
quadros de BPDU subseqüentes enviados daquele switch conterão a nova ID de raiz e o
custo de caminho atualizado. Desse modo, todos os outros switches adjacentes podem
ver a ID de raiz mais baixa sempre identificada. Como os quadros de BPDU passam
entre outros switches adjacentes, o custo de caminho é atualizado continuamente para
indicar o custo de caminho total até a bridge raiz. Cada switch no spanning tree utiliza
seus custos de caminho para identificar o melhor caminho possível para a bridge raiz.
Nota: A prioridade é o fator decisivo inicial ao escolher uma bridge raiz. Se a prioridade
de todos os switches fosse a mesma, o endereço MAC seria o fator decisivo.
Etapa 2. Quando o switch S3 recebe um BPDU do switch S2, ele compara sua ID de
raiz com o quadro de BPDU que recebeu. As prioridades são iguais, desse modo o
switch é forçado a examinar a parte de endereço MAC para determinar qual endereço
MAC possui um valor inferior. Como o S2 possui um valor de endereço MAC inferior,
S3 atualiza sua ID de raiz com a ID de raiz de S2. Neste ponto, S3 considera S2 como a
bridge raiz.
Etapa 5. Quando S2 recebe o quadro de BPDU, ele o descarta depois de verificar que a
ID de raiz no BPDU correspondeu à sua ID de raiz local.
Etapa 6. Como S1 tem um valor de prioridade inferior em sua ID de raiz, ele descarta o
quadro de BPDU recebido de S3.
Etapa 7. S1 envia seus quadros de BPDU.
5.2.3 ID de bridge
Página 1:
Campos BID
A ID de bridge (BID) é utilizada para determinar a bridge raiz em uma rede. Este tópico
descreve o que compõe um BID e como configurá-lo em um switch para influenciar o
processo de escolha a fim de assegurar que switches específicos sejam atribuídos à
função de bridge raiz na rede.
Prioridade de bridge
A prioridade de bridge é um valor personalizável que você pode utilizar para influenciar
qual switch se torna a bridge raiz. O switch com a prioridade mais baixa, que significa o
BID mais baixo, se torna a bridge raiz (quanto menor for o valor de prioridade, maior a
prioridade). Por exemplo, para assegurar que um switch específico seja sempre a bridge
raiz, você define a prioridade como um valor inferior do que o resto dos switches na
rede. O valor padrão para a prioridade de todos os switches da Cisco é 32768. O
intervalo de prioridade está entre 1 e 65536; portanto, 1 é a prioridade mais alta.
ID de sistema estendido
Endereço MAC
Quando dois switches são configurados com a mesma prioridade e possuem a mesma
ID de sistema estendido, o switch com o endereço MAC com o valor hexadecimal mais
baixo tem o BID mais baixo. Inicialmente, todos os switches são configurados com o
mesmo valor de prioridade padrão. O endereço MAC é, então, o fator decisivo com
relação ao qual o switch vai se tornar a bridge raiz. Isto resulta em uma escolha
imprevisível pela bridge raiz. Recomenda-se configurar o switch de bridge raiz desejado
com uma prioridade inferior para assegurar que ele seja a bridge raiz escolhida. Isto
também garante que a adição de novos switches à rede não dispare uma nova escolha de
spanning tree, o que poderia interromper a comunicação da rede enquanto uma nova
bridge raiz estiver sendo selecionada.
No exemplo, S1 possui uma prioridade mais baixa que a dos outros switches; portanto,
é a bridge raiz preferida para aquela instância de spanning tree.
Quando todos os switches estão configurados com a mesma prioridade, como é o caso
com todos os switches mantidos na configuração padrão, com uma prioridade de 32768,
o endereço MAC se torna o fator decisivo pelo qual um switch se torna a bridge raiz.
O endereço MAC com o valor hexadecimal mais baixo é considerado a bridge raiz
preferida. No exemplo, S2 tem o valor mais baixo para seu endereço MAC e é
designado, portanto, como a bridge raiz para aquela instância de spanning tree.
Página 2:
Método 1 - Para assegurar que o switch tenha o valor de prioridade mais baixo, utilize o
comando spanning-tree vlan vlan-id root primary no modo de configuração global. A
prioridade para o switch é estabelecida como o valor pré-definido de 24576 ou para o
valor de diminuição de 4096 seguinte, abaixo da prioridade de bridge mais baixa
detectada na rede.
Se uma bridge raiz alternativa for desejada, utilize o comando do modo de configuração
global spanning-tree vlan vlan-id root secondary. Este comando define a prioridade
para o switch ao valor pré-definido de 28672. Isto assegura que este switch se tornará a
bridge raiz no caso de a bridge raiz inicial falhar e caso ocorra uma nova escolha de
bridge raiz e supondo que o resto dos switches na rede tenha o valor de prioridade
padrão de 32768 definido.
Página 1:
Funções de porta
A bridge raiz é escolhida para a instância de spanning tree. O local da bridge raiz na
topologia de rede determina como as funções de porta são calculadas. Este tópico
descreve como as portas de switch são configuradas para as funções específicas a fim de
impedirem a possibilidade de loops na rede.
Existem quatro funções de porta diferentes nas quais as portas de switch são
automaticamente configuradas durante o processo de spanning tree.
Porta raiz
A porta raiz existe em bridges não-raiz. Trata-se da porta de switch com o melhor
caminho para a bridge raiz. Asportas raiz encaminham o tráfego para a bridge raiz. O
endereço MAC de origem dos quadros recebido na porta raiz é capaz de preencher a
tabela de MAC. Somente uma porta raiz é permitida por bridge.
A porta designada existe em bridges de raiz e não-raiz. Para bridges de raiz, todas as
portas de switch são portas designadas. Para bridges não-raiz, uma porta designada é a
porta de switch que recebe e encaminha os quadros para a bridge raiz conforme o
necessário. Permite-se somente uma porta designada por segmento. Se vários switches
existirem no mesmo segmento, um processo de escolha determinará o switch designado
e a porta de switch correspondente começará a encaminhar quadros para o segmento. As
portas designadas são capazes de preencher a tabela de MAC.
No exemplo, o switch S1 possui ambos os conjuntos de portas para seus dois links de
tronco configurados como portas designadas. O switch S2 possui uma porta designada
configurada no link de tronco que vai para o switch S3.
A porta não-designada é uma porta de switch que está bloqueada, assim ela não
encaminha estruturas de dados e não preenche a tabela de endereços MAC com
endereços de origem. Uma porta não-designada não é uma porta raiz ou uma porta
designada. Para algumas variantes de STP, a porta não-designada é chamada de porta
alternativa.
Porta desabilitada
Página 2:
Funções de porta
Quando existem duas portas de switch que possuem o mesmo custo de caminho para a
bridge raiz e ambas são o caminho com custo mais baixo no switch, o switch precisa
determinar qual porta de switch é a porta raiz. O switch utiliza o valor de prioridade de
porta personalizável, ou a ID de porta mais baixa, se os valores de prioridade de porta
forem os mesmos.
A ID de porta é a ID de interface da porta de switch. Por exemplo, a figura mostra
quatro switches. As portas F0/1 e F0/2 no switch S2 possuem o mesmo valor de custo
de caminho de volta para a bridge raiz. Entretanto, a porta F0/1 no switch S2 é a porta
preferida porque possui um valor de ID de porta mais baixo.
Página 3:
No exemplo, a prioridade de porta para a porta F0/1 foi definida em 112, que está
abaixo da prioridade de porta padrão de 128. Isto garante que esta porta seja a porta
preferida ao competir com outra porta para uma função de porta específica.
Quando o switch decidir utilizar uma porta em vez de outra porta raiz, a outra é
configurada como uma porta não-designada para impedir a ocorrência de um loop.
Página 4:
Depois que um switch determina qual de suas portas é configurada na função de porta
raiz, ele precisa decidir quais portas possuem as funções de designadas e não-
designadas.
As portas designadas são configuradas para todos os segmentos de rede local. Quando
são conectados dois switches ao mesmo segmento de rede local e asportas raiz já foram
definidas, os dois switches devem decidir qual porta fica configurada como a porta
designada e qual é deixada como a porta não-designada.
Como resultado, cada switch determina quais funções de porta serão atribuídas a cada
uma de suas portas a fim de criar um spanning tree sem loops.
Clique em cada etapa na figura para saber como as funções de porta são
determinadas.
Página 5:
Agora que o spanning tree determinou a topologia de rede lógica sem loop, talvez você
deseje confirmar quais funções de porta e prioridades de porta estão configuradas para
as diversas portas de switch na rede.
Página 1:
Estados de porta
Página 2:
Temporizadores de BPDU
A quantidade de tempo que uma porta permanece nos diversos estados de porta depende
dos temporizadores de BPDU. Somente o switch na função de bridge raiz pode enviar
informações por spanning tree para ajustar os temporizadores. Os seguintes
temporizadores determinam o desempenho de STP e as mudanças de estado:
Tempo hello
Atraso de encaminhamento
Idade máxima
Quando o STP está habilitado, cada porta de switch na rede passa pelo estado de
bloqueio e os estados transitórios de escuta e aprendizagem em atividade. As portas se
estabilizam então para o estado de encaminhamento ou bloqueio, conforme visto no
exemplo. Durante uma mudança de topologia, uma porta implementa temporariamente
os estados de escuta e aprendizagem por um período especificado chamado intervalo de
atraso de encaminhamento.
Estes valores permitem o tempo adequado para convergência em uma rede com um
diâmetro de switch de sete. Para revisar, o diâmetro de switch é o número de switches
que um quadro tem para atravessar para chegar dos dois pontos mais distantes no
domínio de broadcast. Um diâmetro de sete switches é o maior diâmetro que o STP
permite por causa dos tempos de convergência. A convergência em relação ao spanning
tree é o tempo necessário para recalcular o spanning tree se um switch ou link falhar.
Você aprenderá como a convergência funciona na próxima seção.
Para configurar um diâmetro de rede diferente para o STP, utilize o comando do modo
de configuração global spanning-tree vlan vlan id root primary diameter value no
switch da bridge raiz.
Página 3:
O PortFast é uma tecnologia da Cisco. Quando uma porta de switch configurada com o
PortFast é configurada como uma porta de acesso, aquela porta faz imediatamente a
transição do estado de bloqueio para o estado de encaminhamento, ignorando os estados
típicos de escuta e aprendizagem do STP. Você pode utilizar o PortFast em portas de
acesso, que são conectadas a uma única estação de trabalho ou servidor, para permitir
que esses dispositivos sejam conectados a uma rede imediatamente em vez de esperar
até que o spanning tree seja convergido. Se uma interface configurada com PortFast
recebe um quadro de BPDU, o spanning tree pode colocar a porta no estado de bloqueio
utilizando um recurso chamado proteção de BPDU. A configuração da proteção de
BPDU está além do escopo deste curso.
Nota: A tecnologia Cisco PortFast pode ser utilizada para suportar o DHCP. Sem o
PortFast, um PC pode enviar uma solicitação DHCP antes de a porta estar no estado de
encaminhamento, impedindo o host de adquirir um endereço IP utilizável e outras
informações. Como o PortFast altera imediatamente o estado para estado de
encaminhamento, o PC sempre obtém um endereço IP utilizável.
Para obter mais informações sobre como configurar a proteção de BPDU, consulte:
http://www.cisco.com/en/US/tech/tk389/tk621/technologies_tech_note09186a00800948
2f.shtml (em inglês).
Nota: Como o objetivo do PortFast é diminuir o tempo que as portas de acesso devem
esperar para que o spanning tree seja convergido, ele é utilizado somente nas portas de
acesso. Se você habilitar o PortFast em uma porta que se conecta a outro switch, existe
o risco de criar um loop de spanning tree.
Para verificar se o PortFast foi habilitado para uma porta de switch, utilize o comando
do modo EXEC privilegiado show running-config. A ausência do comando spanning-
tree portfast na configuração de execução para uma interface indica que o PortFast foi
desabilitado para tal interface. PortFast está desabilitado por padrão em todas as
interfaces.
Página 1:
A seção anterior descreveu os componentes que permitem que o STP crie a topologia de
rede lógica sem loop. Nesta seção, você examinará o processo de STP inteiro, desde o
começo até o fim.
Para entender o processo de convergência de forma mais completa, ele foi dividido em
três etapas diferentes:
Página 1:
Uma escolha de bridge raiz é disparada depois que um switch acaba de ser inicializado
ou quando uma falha de caminho é detectada em uma rede. Inicialmente, todas as portas
de switch são configuradas para o estado de bloqueio que, por padrão, dura 20
segundos. Isto é feito para impedir a ocorrência de um loop antes de o STP ter tempo de
calcular os melhores caminhos de raiz e configurar todas as portas de switch em suas
funções específicas. Enquanto as portas de switch estiverem em um estado de bloqueio,
eles ainda podem enviar e receber quadros de BPDU de forma que a escolha de raiz de
spanning tree possa continuar. O spanning tree suporta um diâmetro de rede máximo de
sete saltos de switch de fim a fim. Isto permite que o processo de escolha de bridge raiz
inteiro ocorra em 14 segundos, menos do que o tempo que as portas de switch gastam
no estado de bloqueio.
Como cada switch recebe os quadros de BPDU de seus switches vizinhos, eles
comparam a ID de raiz do quadro de BPDU recebido com a ID de raiz configurada
localmente. Se a ID de raiz do quadro de BPDU recebido for mais baixa que a ID de
raiz que possui atualmente, o campo de ID de raiz será atualizado, indicando o novo
melhor candidato para a função de bridge raiz.
Clique no botão Reproduzir na figura para rever as etapas que o STP utiliza para
eleger uma bridge raiz.
Enquanto você revê como o STP elege uma bridge raiz, lembre-se de que o processo de
escolha de bridge raiz ocorre com todos os switches que enviam e recebem quadros de
BPDU simultaneamente. Executar o processo de escolha simultaneamente permite que
os switches determinem qual switch se tornará a bridge raiz muito mais rápido.
Página 2:
Quando a escolha de bridge raiz for concluída, você poderá verificar a identidade da
bridge raiz utilizando o comando de modo EXEC privilegiado show spanning-tree
No exemplo da topologia, o switch S1 possui o valor de prioridade mais baixo dos três
switches, assim podemos supor que ele se tornará a bridge raiz.
Página 1:
Agora que a bridge raiz foi determinada, os switches iniciam a configuração das funções
de porta para cada uma de suas portas de switch. A primeira função de porta que precisa
ser determinada é a função de porta raiz.
Cada switch em uma topologia spanning-tree, exceto a bridge raiz, possui uma única
porta raiz definida. A porta raiz é a porta de switch com o custo de caminho mais baixo
para a bridge raiz. Normalmente só o custo de caminho determina qual porta de switch
se torna a porta raiz. Porém, características adicionais de porta determinam a porta raiz
quando duas ou mais portas no mesmo switch tiverem o mesmo custo de caminho até a
raiz. Isto pode acontecer quando são utilizados links redundantes para realizar um
uplink de um switch para outro quando uma configuração EtherChannel não for
utilizada. Lembre-se de que a tecnologia Cisco EtherChannel permite que você
configure diversos links físicos do tipo Ethernet como um link lógico.
As portas de switch com custos de caminho equivalentes para a raiz utilizam o valor de
prioridade de porta configurável. Elas utilizam a ID de porta para a determinação final.
Quando um switch escolhe uma porta de custo de caminho igual em vez de outro, a
porta que perdeu é configurada como a não-designada para evitar um loop.
O processo de determinar qual porta se torna uma porta raiz acontece durante a troca de
BPDU de escolha de bridge raiz. Os custos de caminho são imediatamente atualizados
quando os quadros de BPDU chegam, indicando uma nova ID de raiz ou caminho
redundante. Quando o custo de caminho é atualizado, o switch entra em modo de
decisão para determinar se as configurações de porta precisam ser atualizadas. As
decisões de função de porta não esperam até que todos os switches resolvam qual switch
será a bridge raiz final. Desse modo, a função de porta para uma determinada porta de
switch pode mudar várias vezes durante a convergência, até que se resolva finalmente
sua função de porta final após a ID de raiz mudar pela última vez.
Clique em cada etapa na figura para obter informações sobre a escolha dasportas raiz.
Página 2:
Quando a escolha de bridge raiz for concluída, você poderá verificar a configuração
dasportas raiz utilizando o comando do modo EXEC privilegiado show spanning-tree.
No exemplo de topologia, o switch S1 foi identificado como a bridge raiz. A porta F0/1
do switch S2 e a porta F0/1 do switch S3 são as duas portas mais próximas da bridge
raiz e, portanto, devem ser configuradas comoportas raiz. Você pode confirmar a
configuração de porta utilizando o comando do modo EXEC privilegiado show
spanning-tree.
No exemplo, a saída do comando show spanning-tree para o switch S1 revela que ele é
a bridge raiz e, conseqüentemente, não possui nenhuma porta raiz configurada.
Página 1:
Depois que um switch determina quais de suas portas é a porta raiz, as portas restantes
devem ser configuradas como porta designada (DP) ou porta não-designada (não-DP)
para concluir a criação do spanning tree lógico sem loop.
Cada segmento em uma rede comutada pode ter somente uma porta designada. Quando
duas portas de switch de porta não-raiz são conectadas ao mesmo segmento de rede
local, ocorre uma competição pelas funções de porta. O dois switches trocam quadros
de BPDU para classificar qual porta de switch será designada e qual será a não-
designada.
Geralmente, quando uma porta de switch está configurada como uma porta designada,
isto se baseia no BID. Porém, lembre-se de que a primeira prioridade é o custo de
caminho mais baixo para a bridge raiz e que, somente se os custos de porta forem
iguais, o BID do remetente será utilizado.
Quando dois switches trocam seus quadros de BPDU, eles examinam o BID de envio do
quadro de BPDU recebido para ver se ele é inferior ao seu próprio BID. O switch com o
BID mais baixo ganha a competição e sua porta é configurada na função designada. O
switch perdedor configura sua porta de switch como não-designada e, portanto, no
estado de bloqueio para impedir que ocorram loops.
Clique em cada etapa na figura para obter informações sobre a escolha das portas
designadas e portas não-designadas.
Página 2:
Verificar DP e não-DP
Depois que asportas raiz foram atribuídas, os switches determinam quais portas
restantes são configuradas como portas designadas e não-designadas. Você pode
verificar a configuração das portas designadas e não-designadas utilizando o comando
do modo EXEC privilegiado show spanning-tree.
Na topologia:
2. A porta F0/1 do switch S2 e a porta F0/1 do switch S3 são as duas portas mais
próximas da bridge raiz e são configuradas comoportas raiz.
3. As portas restantes F0/2 do switch S2 e F0/2 do switch S3 precisam decidir quais das
duas portas restantes serão a porta designada e a porta não-designada.
6. Como o switch S2 possui um endereço MAC inferior, ele configura sua porta F0/2
como uma porta designada.
7. Como conseqüência, o switch S3 configura sua porta F0/2 como uma porta não-
designada para impedir a ocorrência de loop.
No exemplo, a saída do comando show spanning-tree para o switch S1 revela que ele é
a bridge raiz e, conseqüentemente, possui ambas as suas portas configuradas como
portas designadas.
Página 1:
Um switch considera que detectou uma mudança na topologia quando uma porta que
estava encaminhando torna-se inativa (por exemplo, em estado de bloqueio) ou quando
uma porta faz a transição para o estado de encaminhamento e o switch tiver uma porta
designada. Quando uma mudança é detectada, o switch notifica a bridge raiz do
spanning tree. A bridge raiz transmite, então, as informações em broadcast por toda a
rede.
Por exemplo, na figura, o switch S2 passa por uma mudança na topologia. Ele envia um
TCN para sua bridge designada que, neste caso, é o switch D1. O switch D1 recebe o
TCN e o confirma para o switch S2 com um TCA. O switch D1 gera um TCN e o
encaminha para sua bridge designada que, neste caso, é a bridge raiz.
Notificação de broadcast
Quando a bridge raiz fica sabendo que houve um evento de mudança de topologia na
rede, ele começa a enviar seus BPDUs de configuração com o conjunto de bits de
mudança de topologia (TC). Estes BPDUs são retransmitidos por todos os switches na
rede com este conjunto de bits. Como resultado, todos os switches ficam cientes da
mudança na topologia e podem reduzir seu tempo de validade para o atraso de
encaminhamento. Os switches recebem os BPDUs de mudança de topologia em ambas
as portas de encaminhamento e bloqueio.
O bit de TC é definido pela raiz por um período máximo de idade + segundos de atraso
de encaminhamento, que são, por padrão, 20+15=35 segundos.
Página 1:
Como muitos padrões de rede, a evolução de STP foi orientada pela necessidade de
criar especificações em toda a indústria quando os protocolos proprietários se tornaram
normas de facto. Quando um protocolo proprietário se torna superior, todos os
concorrentes no mercado precisam suportá-lo, e agências como o IEEE intervêm e
criam uma especificação pública. A evolução do STP seguiu este mesmo caminho,
conforme visto na tabela.
Quando você lê sobre o STP no site Cisco.com, percebe que existem muitos tipos de
variantes do STP. Algumas destas variantes são de propriedade da Cisco e outras são
padrões do IEEE. Você obterá mais detalhes sobre algumas destas variantes de STP,
mas, para iniciar, você precisa ter um conhecimento geral do que são as principais
variantes de STP. A tabela resume as seguintes descrições das principais variantes de
STP da Cisco e do IEEE.
Propriedade da Cisco
Protocolo por spanning tree de VLAN (PVST) - Mantém uma instância de spanning
tree para cada VLAN configurada na rede. Ele utiliza um protocolo de entroncamento
ISL de propriedade da Cisco que permite que um tronco de VLAN encaminhe para
algumas VLANs enquanto bloqueia para outras VLANs. Como o PVST trata cada
VLAN como uma rede separada, ele pode fazer o balanceamento de carga na Camada 2
encaminhando algumas VLANs em um tronco e outras VLANs em outro tronco sem
causar um loop. Para o PVST, a Cisco desenvolveu diversas extensões proprietárias ao
STP 802.1D do IEEE original, como o BackboneFast, UplinkFast e PortFast. Estas
extensões de STP da Cisco não são abordadas neste curso. Para obter mais informações
sobre estas extensões, visite
http://www.cisco.com/en/US/docs/switches/lan/catalyst4000/7.4/configuration/guide/stp
_enha.html (em inglês).
Padrões IEEE
Protocolo spanning tree rápido (RSTP) - Introduzido pela primeira vez em 1982
como uma evolução do STP (802.1D padrão). Ele fornece uma convergência de
spanning tree mais rápida depois de uma mudança de topologia. O RSTP implementa,
no padrão público, as extensões de STP de propriedade da Cisco, o BackboneFast,
UplinkFast e PortFast. A partir de 2004, o IEEE incorporou o RSTP no 802.1D,
identificando a especificação como IEEE 802.1D-2004. Assim, quando você ouvir falar
em STP, pense no RSTP. Você obterá mais informações sobre o RSTP posteriormente
nesta seção.
STP Múltiplo (MSTP) - Permite que várias VLANs sejam mapeadas para a mesma
instância de spanning tree, reduzindo o número de instâncias necessárias para suportar
um grande número de VLANs. O MSTP foi inspirado pelo STP de Instâncias Múltiplas
(MISTP) de propriedade da Cisco e se trata de uma evolução do STP e RSTP. Ele foi
introduzido no IEEE 802.1s como uma emenda ao 802.1Q, edição de 1998. O IEEE
802.1Q-2003 padrão inclui agora o MSTP. O MSTP fornece diversos caminhos de
encaminhamento para o tráfego de dados e permite o balanceamento de carga. Uma
discussão sobre o MSTP está além do escopo deste curso. Para obter mais informações
sobre o MSTP, visite
http://www.cisco.com/en/US/docs/switches/lan/catalyst2950/software/release/12.1_19_
ea1/configuration/guide/swmstp.html (em inglês).
5.4.2 PVST+
Página 1:
PVST+
A Cisco desenvolveu o PVST+ de forma que uma rede possa executar uma instância de
STP para cada VLAN na rede. Com o PVST+, mais de um tronco pode bloquear para
uma VLAN e o compartilhamento de carga pode ser implementado. Entretanto,
implementar o PVST+ significa que todos os switches na rede estão ocupados em
convergir a rede e as portas do switch precisam acomodar a largura de banda adicional
utilizada para cada instância de PVST+ para enviar seus próprios BPDUs.
Página 2:
ID da bridge de PVST+
Na figura, são mostrados os valores para prioridade, VLAN e endereço MAC para o
switch S1. Eles são combinados para formar o BID.
Página 3:
A tabela mostra a configuração de spanning tree padrão para um switch da série Cisco
Catalyst 2960. Observe que o modo padrão de spanning tree é o PVST+.
Página 4:
Configurar PVST+
A topologia mostra três switches conectados com troncos de 802.1Q. Existem duas
VLANs, 10 e 20, que estão sendo entroncadas através destes links. Esta rede não foi
configurada para spanning tree. O objetivo é configurar S3 como a bridge raiz para a
VLAN 20 e S1 como a bridge raiz para a VLAN 10. A porta F0/3 em S2 é a porta de
encaminhamento para a VLAN 20 e a porta de bloqueio para a VLAN 10. A porta F0/2
em S2 é a porta de encaminhamento para a VLAN 10 e a porta de bloqueio para a
VLAN 20. As etapas para configurar o PVST+ nesta topologia de exemplo são:
Etapa 1. Selecione os switches que você deseja que sejam as bridges de raiz primária e
secundária para cada VLAN.
Etapa 2. Configure o switch para ser uma bridge primária para uma VLAN, por
exemplo, o switch S3, que é uma bridge primária para a VLAN 20.
Etapa 3. Configure o switch para ser uma bridge secundária para a outra VLAN, por
exemplo, o switch S3, que é uma bridge secundária para a VLAN 10.
Opcionalmente, defina a prioridade de spanning tree para ser baixa o bastante em cada
switch de forma que ela seja selecionada como a bridge primária.
Uma raiz secundária é um switch que pode se tornar a bridge raiz para uma VLAN se a
bridge raiz primária falhar. Para configurar um switch como a bridge raiz secundária,
utilize o comando do modo de configuração global spanning-tree vlan vlan-ID root
secondary. Supondo que as outras bridges na VLAN retêm sua prioridade de STP
padrão, este switch se torna a bridge raiz se a bridge raiz primária falhar. Este comando
pode ser executado em mais de um switch para configurar diversas bridges de raiz de
backup.
O gráfico mostra a sintaxe do comando Cisco IOS para especificar o switch S3 como a
bridge raiz primária para a VLAN 20 e como a bridge raiz secundária para a VLAN 10.
Além disso, o switch S1 se torna a bridge raiz primária para a VLAN 10 e a bridge raiz
secundária para a VLAN 20. Esta configuração permite o balanceamento de carga de
spanning tree, com o tráfego da VLAN 10 passando através do switch S1 e o tráfego da
VLAN 20 passando pelo switch S3.
Você aprendeu anteriormente neste capítulo que as configurações padrão utilizadas para
configurar o spanning tree são adequadas para a maioria das redes. Isto também é válido
para o Cisco PVST+. Existem várias formas de ajustar o PVST+. Uma discussão sobre
como ajustar uma implementação de PVST+ está além do escopo deste curso. Porém,
você pode definir a prioridade do switch para a instância de spanning tree especificada.
Esta configuração afeta a probabilidade de este switch ser selecionado como o switch de
raiz. Um valor inferior aumenta a probabilidade de o switch ser selecionado. O intervalo
é de 0 a 61440 em acréscimos de 4096. Por exemplo, um valor de prioridade válido é
4096x2 = 8192. Todos os outros valores são rejeitados.
Você pode ver na saída de dados que a prioridade para a VLAN 10 é 4096, a mais baixa
das três prioridades de VLAN. Esta configuração de prioridade assegura que este switch
seja a bridge raiz primária para a VLAN 10.
5.4.3 RSTP
Página 1:
O que é RSTP?
Na figura, uma rede mostra um exemplo de RSTP. O switch S1 é a bridge raiz com duas
portas designadas em um estado de encaminhamento. O RSTP suporta um novo tipo de
porta. A porta F0/3 no switch S2 é uma porta alternativa no estado de descarte. Observe
que não há nenhuma porta de bloqueio. O RSTP não possui um estado de porta de
bloqueio. Ele define os estados de porta como descarte, aprendizagem ou
encaminhamento. Você obterá mais informações sobre os tipos de porta posteriormente
no capítulo.
Características do RSTP
O RSTP adianta o novo cálculo do spanning tree quando a topologia de rede de Camada
2 é alterada. O RSTP pode obter uma convergência muito mais rápida em uma rede
corretamente configurada, às vezes em menos de cem milésimos de segundos. O RSTP
redefine o tipo de portas e seus estados. Se uma porta for configurada como uma porta
alternativa ou de backup, ela pode mudar imediatamente para um estado de
encaminhamento sem esperar que a rede seja convergida. Descreve-se brevemente, a
seguir, as características de RSTP:
Página 2:
BPDU de RSTP
O RSTP (802.1w) utiliza os BPDUs de tipo 2 da versão 2, assim uma bridge de RSTP
pode comunicar-se com 802.1D em qualquer link compartilhado ou com qualquer
switch que execute o 802.1D. O RSTP envia BPDUs e preenche o byte de flag de uma
maneira ligeiramente diferente do que no 802.1D:
Nota: Como no STP, uma bridge de RSTP envia um BPDU com suas informações
atuais a cada período de tempo hello (2 segundos, por padrão), mesmo se a bridge de
RSTP não receber nenhum BPDU da bridge raiz.
Página 1:
Portas de extremidade
Uma porta de extremidade de RSTP é uma porta de switch cujo destino nunca é a
conexão a outro dispositivo de switch. Ela faz a transição imediatamente para o estado
de encaminhamento quando habilitada.
Página 1:
Tipos de link
O tipo de link fornece uma categorização para cada porta que participa de RSTP. O tipo
de link pode pré-determinar a função ativa que a porta desempenha enquanto ele espera
a transição imediata para o estado de encaminhamento caso certas condições sejam
atendidas. Estas condições são diferentes para portas de extremidade e portas de não-
extremidade. As portas de não-extremidade são classificadas em dois tipos de link,
ponto-a-ponto e compartilhado. O tipo de link é determinado automaticamente, mas
pode ser substituído com uma configuração de porta explícita.
Página 1:
Com o RSTP, a função de uma porta está separada do estado de uma porta. Por
exemplo, uma porta designada pode estar temporariamente no estado de descarte,
embora seu estado final seja o de encaminhamento. A figura mostra os três estados de
porta possíveis de RSTP: descarte, aprendizagem e encaminhamento.
A função de porta define o objetivo principal de uma porta de switch e como ela trata as
estruturas de dados. As funções de porta e estados de porta podem fazer uma transição
independentemente da outra. A criação de funções adicionais de porta permite que o
RSTP defina uma porta de switch auxiliar antes de uma falha ou mudança de topologia.
A porta alternativa vai para o estado de encaminhamento se houver uma falha na porta
designada para o segmento.
Passe o mouse sobre as funções de porta na figura para saber mais sobre cada função
de porta de RSTP.
Página 3:
No STP do IEEE 802.1D, quando uma porta for selecionada pelo spanning tree para se
tornar uma porta designada, ela deverá esperar duas vezes o atraso de encaminhamento
antes de fazer a transição da porta para o estado de encaminhamento. O RSTP apressa
significativamente o processo do novo cálculo após uma mudança de topologia, uma
vez que ele se converge link a link e não depende da expiração dos temporizadores para
a transição das portas. A rápida transição para o estado de encaminhamento só pode ser
obtida em portas de extremidade e links ponto-a-ponto. No RSTP, esta condição
corresponde a uma porta designada no estado de descarte.
Página 1:
Diretrizes de configuração
Convém revisar algumas das diretrizes de configuração de spanning tree. Se você deseja
revisar a configuração de spanning tree padrão em um switch Cisco 2960, veja a seção
de Configuração de Switch Padrão no início deste capítulo. Não se esqueça destas
diretrizes quando for implementar o Rapid-PVST+.
Um switch Cisco 2960 suporta o PVST+, rapid-PVST+ e MSTP, mas só uma versão
pode estar ativa por vez para todas as VLANs.
Nota: Se você conectar uma porta configurada com o comando ponto-a-ponto de tipo
de link spanning tree a uma porta remota através de um link ponto-a-ponto e a porta
local se tornar uma porta designada, o switch negociará com a porta remota e mudará
rapidamente a porta local para o estado de encaminhamento.
Para obter detalhes completos sobre todos os parâmetros associados aos comando
específicos do Cisco IOS, visite:
http://www.cisco.com/en/US/docs/switches/lan/catalyst2960/software/release/12.2_37_
se/command/reference/cli3.html (em inglês).
Página 1:
Você sabe agora que a função primária do STA é interromper os loops criados pelos
links redundantes nas redes de bridge. O STP opera na Camada 2 do modelo OSI. O
STP pode falhar em alguns casos específicos. Solucionar o problema pode ser muito
difícil e depende do design da rede. Esta é a razão pela qual recomenda-se que você
realize a parte mais importante da solução de problemas antes de eles ocorrerem.
A figura mostra:
A lógica por trás deste simples exemplo vale para topologias mais complexas.
Nota: Para cada VLAN, configure a bridge raiz e a bridge raiz de backup que utilizar as
prioridades mais baixas.
Página 2:
Para que a resolução de problemas do STP fique mais fácil, planeje a organização dos
seus links redundantes. Em redes não-hierárquicas, você deverá ajustar o parâmetro de
custo do STP para decidir quais portas bloquear. Entretanto, este ajuste normalmente
não é necessário caso você tenha um design hierárquico e uma bridge raiz em um bom
local.
Nota: Para cada VLAN, saiba quais portas devem ser bloqueadas na rede estável.
Obtenha um diagrama de rede que mostre claramente cada loop físico na rede e quais
portas bloqueadas interrompem os loops.
Conhecer o local dos links redundantes ajuda a identificar um loop de bridging acidental
e sua causa. Além disso, conhecer o local das portas bloqueadas permite que você
determine o local do erro.
A única ação crítica desempenhada pelo STP é o bloqueio de portas. Uma única porta
de bloqueio que faz a transição incorreta para o encaminhamento pode afetar de modo
negativo uma grande parte da rede. Uma boa maneira de limitar o risco inerente no uso
de STP é reduzir o máximo do número de portas bloqueadas possível.
Corte de VTP
Você não precisa de mais de dois links redundantes entre dois nós em uma rede
comutada. Porém, o tipo de configuração mostrado na figura é comum. Os switches de
distribuição são anexados duplamente a dois switches de núcleo, switches C1 e C2. Os
usuários nos switches S1 e S2 que se conectam a switches de distribuição estão somente
em um subconjunto de VLANs disponíveis na rede. Na figura, todos os usuários que se
conectam ao switch D1 estão na VLAN 20; o switch D2 conecta os usuários somente na
VLAN 30. Por padrão, os troncos levam todas as VLANs definidas no domínio de VTP.
Somente o switch D1 recebe do tráfego de broadcast e multicast desnecessário para a
VLAN 20, mas ele também bloqueia uma de suas portas para a VLAN 30. Existem três
caminhos redundantes entre o switch de núcleo C1 e o switch de núcleo C2. Esta
redundância resulta em mais portas bloqueadas e em uma probabilidade mais alta de
loops.
Nota: Corte todas as VLANs de seu tronco que não sejam necessárias.
Corte manual
O corte de VTP pode ajudar, mas este recurso não é necessário no núcleo da rede. Nesta
figura, somente uma VLAN de acesso é utilizada para conectar os switches de
distribuição ao núcleo. Neste design, somente uma porta é bloqueada por VLAN. Além
disso, com este design, você pode remover todos os links redundantes em apenas uma
etapa se você desligar C1 ou C2.
Página 3:
O STP não bloqueia mais nenhuma porta, assim não há nenhum potencial para
um loop de bridging.
Deixar a VLAN pela comutação da Camada 3 é tão rápido quanto o bridging
dentro da VLAN.
Página 4:
Pontos finais
Supondo que você tenha removido todas as portas bloqueadas da rede e que não tenha
qualquer redundância física, aconselha-se que você não desabilite o STP.
Mantenha o tráfego fora da VLAN Administrativa e não deixe que uma única
VLAN ocupe toda a rede
Um switch da Cisco geralmente possui um único endereço IP que se liga a uma VLAN,
conhecido como a VLAN administrativa. Nesta VLAN, o switch se comporta como um
host IP genérico. Em particular, todos os pacotes de broadcast e multicast são
encaminhados à CPU. Uma alta taxa de tráfego de broadcast ou multicast na VLAN
administrativa pode afetar de modo negativo a CPU e sua capacidade de processar
BPDUs essenciais. Portanto, mantenha o tráfego do usuário fora da VLAN
administrativa.
Nota: A partir do Software IOS Cisco Release 12.1 (11b)E, você pode remover aVLAN
1 dos troncos. A VLAN 1 ainda existe, mas ela bloqueia o tráfego, impedindo qualquer
possibilidade de loop.
Página 1:
Na animação você vê que, quando uma porta falha em uma rede configurada com o
STP, o resultado pode ser uma broadcast storm.
No estado inicial da falha do STP, o switch S3 possui um BID inferior ao de S2.
Conseqüentemente, a porta designada entre S3 e S2 é a porta F0/1 no switch S3.
Considera-se que o switch S3 possui uma "BPDU melhor" que o switch S2.
Página 2:
Nota: O acesso dentro da banda pode não ficar disponível durante um loop de bridging.
Por exemplo, durante uma broadcast storm, talvez você não seja capaz realizar um
Telnet para os dispositivos de infra-estrutura. Portanto, a conectividade fora da banda,
como o acesso de console, pode ser necessária.
Este conhecimento é essencial. Para saber o que corrigir na rede, você precisa saber
como a rede fica quando ela funciona corretamente. A maioria das etapas de solução de
problemas simplesmente utilizam os comandos show para tentar identificar as
condições de erro. O conhecimento da rede ajuda a focalizar nas portas essenciais nos
principais dispositivos.
O resto deste tópico observa brevemente dois problemas de spanning tree comuns, um
erro de configuração de PortFast e problemas de diâmetro de rede. Para obter mais
informações sobre outros problemas de STP, visite:
http://www.cisco.com/en/US/tech/tk389/tk621/technologies_tech_note09186a00800951
ac.shtml (em inglês).
Página 3:
Geralmente você habilita o PortFast somente para uma porta ou interface que se conecta
a um host. Quando o link surgir nesta porta, a bridge pula as primeiras fases do STA e
faz uma transição direta para o modo de encaminhamento.
Cuidado: Não utilize o PortFast em portas de switch ou interfaces que se conectam a
outros switches, hubs ou roteadores. Caso contrário, você pode criar um loop de rede.
Neste exemplo, a porta F0/1 no switch S1 já está encaminhando. A porta F0/2 foi
configurada incorretamente com o recurso do PortFast. Portanto, quando uma segunda
conexão de switch S2 é conectada a F0/2 em S1, a porta faz a transição
automaticamente para o modo de encaminhamento e cria um loop.
Porém, há um problema com este tipo de loop passageiro. Se o tráfego com loops for
muito intenso, o switch pode ter dificuldade para transmitir com sucesso o BPDU que
interrompe o loop. Este problema pode atrasar a convergência de modo considerável ou,
em alguns casos extremos, pode derrubar a rede de fato.
Mesmo com uma configuração de PortFast, a porta ou interface ainda participa de STP.
Se um switch com uma prioridade de bridge inferior que a da bridge raiz ativa atual for
anexado a uma porta ou interface configurada por PortFast, ele poderá ser escolhido a
bridge raiz. Esta alteração de bridge raiz pode afetar a topologia de STP ativa de modo
negativo e pode fazer com que a rede não seja mais ideal. Para impedir esta situação, a
maioria dos switches Catalyst que executam o software IOS Cisco possuem um recurso
chamado proteção de BPDU. A proteção de BPDU desabilita uma porta ou interface
configurada por PortFast se a porta ou interface receber um BPDU.
Para obter mais informações sobre como utilizar o PortFast nos switches que executam
o software IOS Cisco, consulte o documento "Utilizando o PortFast e outros comandos
para corrigir atrasos de conectividade de inicialização da estação de trabalho",
disponível em:
http://www.cisco.com/en/US/products/hw/switches/ps700/products_tech_note09186a00
800b1500.shtml.
Para obter mais informações sobre o uso do recurso de proteção de BPDU em switches
que executam o software IOS Cisco, visite:
http://www.cisco.com/en/US/tech/tk389/tk621/technologies_tech_note09186a00800948
2f.shtml (em inglês).
Página 4:
Outro problema que não é muito conhecido está relacionado com o diâmetro da rede
comutada. Os valores padrão conservadores para os temporizadores de STP impõem um
diâmetro de rede máximo de sete. Na figura, este design cria um diâmetro de rede de
oito. O diâmetro de rede máximo restringe a distância que os switches podem estar um
do outro na rede. Neste caso, dois switches distintos não podem estar mais longe do que
a sete saltos de distância. Parte desta restrição vem do campo idade que os BPDUs
carregam.
Quando um BPDU propaga a partir da bridge raiz até as folhas da árvore, o campo de
validade aumenta a cada vez que o BPDU vai através de um switch. Eventualmente, o
switch descarta o BPDU quando o campo de idade estiver além da idade máxima. Se a
raiz estiver muito longe de alguns switches da rede, o BPDUs será descartado. Este
problema afeta a convergência do spanning tree.
Tome um cuidado especial se você planeja alterar o valor padrão dos temporizadores de
STP. Pode ser perigoso se você tentar obter uma convergência mais rápida deste modo.
Uma mudança de temporizador de STP causa um impacto no diâmetro da rede e na
estabilidade do STP. Você pode alterar a prioridade de switch para selecionar a bridge
raiz e alterar o custo de porta ou prioridade de parâmetro para controlar a redundância
ou balanceamento de carga.
5.6.1 Resumo
Página 1:
O processo spanning tree utiliza estados de porta e temporizadores diferentes para evitar
logicamente os loops construindo uma topologia sem loops. A determinação da
topologia spanning tree é construída em termos de distância da bridge raiz. A distância é
determinada pela troca de BPDUs e algoritmo spanning tree. No processo, as funções de
porta são determinadas: portas designadas, portas não-designadas eportas raiz.
Nós discutimos os tipos de link ponto a ponto e compartilhado com RSTP, bem como as
portas de extremidade. Nós também discutimos os novos conceitos de portas
alternativas e portas de backup utilizados com o RSTP.
O rapid-PVST+ é a implementação de protocolo spanning tree preferida utilizada em
uma rede comutada que utiliza os switches Cisco Catalyst.
6.0.1 Introdução
Página 1:
Nos capítulos anteriores deste curso, discutimos como você pode usar VLANs e troncos
para segmentar uma rede. A limitação do escopo de cada domínio de broadcast na LAN
por segmentação de VLAN proporciona melhor desempenho e segurança através da
rede. Você também aprendeu como o VTP é usado para compartilhar as informações de
VLAN por switches múltiplos em um ambiente de LAN para simplificar o
gerenciamento de VLANs. Agora que você tem uma rede com muitas VLANs
diferentes, a próxima pergunta é: "Como permitir a comunicação entre dispositivos em
VLANs separadas?"
Neste capítulo, você aprenderá sobre o roteamento entre VLANs e como ele é usado
para permitir a comunicação entre dispositivos em VLANs separadas. Aprenderá
diferentes métodos para realizar o roteamento entre VLANs, e as vantagens e as
desvantagens de cada um. Aprenderá também como diferentes configurações de
interface do roteador facilitam o roteamento entre VLANs. Enfim, estudará os possíveis
problemas enfrentados durante a implementação do roteamento entre VLANs, como
identificá-los e também corrigi-los.
Página 1:
Agora que você sabe configurar VLANs em um switch de rede, o próximo passo é
permitir a comunicação entre dispositivos conectados às várias VLANs. Em um capítulo
anterior, você aprendeu que cada VLAN é um domínio de broadcast exclusivo;
portanto, por padrão, computadores em VLANs separadas não podem se comunicar. Há
um modo de permitir a comunicação entre essas estações finais chamado roteamento
entre VLANs. Neste tópico, você descobrirá o que é o roteamento entre VLANs e
alguns dos diferentes modos de realizá-lo em uma rede.
Neste capítulo, nós abordamos um tipo de roteamento entre VLANs usando um roteador
separado conectado à infra-estrutura de switch. Definimos o roteamento entre VLANs
como um processo de encaminhamento do tráfego de rede de uma VLAN para outra
com o uso de um roteador. VLANs são associadas a sub-redes de IP exclusivas na rede.
Essa configuração de sub-rede facilita o processo de roteamento em um ambiente de
várias VLANs. Com o uso de um roteador para facilitar o roteamento entre VLANs, as
interfaces de roteador podem ser conectadas a VLANs separadas. Dispositivos nessas
VLANs enviam tráfego pelo roteador para alcançar outras VLANs.
Como você pode ver na figura, o tráfego do PC1 na VLAN10 é roteado pelo roteador
R1 para alcançar o PC3 na VLAN30.
Página 2:
Em uma rede tradicional que usa VLANs múltiplas para segmentar o tráfego de rede em
domínios de broadcast lógicos, o roteamento é executado pela conexão de diferentes
interfaces físicas de roteador a diferentes portas físicas de switch. As portas de switch
conectam-se ao roteador em modo de acesso, e em modo de acesso são atribuídas
VLANs estáticas diferentes a cada interface de porta. Cada interface de switch é
atribuída a uma VLAN estática diferente. Em seguida, cada interface de roteador pode
aceitar tráfego da VLAN associada à interface de switch à qual está conectada, e o
tráfego pode ser roteado às outras VLANs conectadas às outras interfaces.
1. O PC1 na VLAN10 está se comunicando com o PC3 na VLAN30 pelo roteador R1.
4. O PC1 envia tráfego unicast destinado para o PC3 ao switch S2 na VLAN10, de onde
o tráfego é encaminhado pela interface de tronco para o switch S1.
6. O roteador roteia o tráfego unicast para a interface F0/1, que está conectada à
VLAN30.
Neste exemplo, o roteador foi configurado com duas interfaces físicas separadas para
interagir com as diferentes VLANs e executar o roteamento.
Página 3:
Subinterfaces são interfaces virtuais múltiplas, associadas a uma interface física. Elas
são configuradas em software, em um roteador configurado independentemente com um
endereço IP e uma atribuição de VLAN para operar em uma VLAN específica.
Subinterfaces são configuradas para sub-redes diferentes que correspondem à sua
atribuição de VLAN para facilitarem o roteamento lógico antes das as estruturas de
dados terem etiquetas de VLAN e serem enviadas de volta pela interface física. Você
obterá mais informações sobre interfaces e subinterfaces no próximo tópico.
Clique no botão Reproduzir na figura para ver como um roteador fixo executa a
função de roteamento.
1. O PC1 na VLAN10 está se comunicando com o PC3 na VLAN30 pelo roteador R1,
usando uma única interface de roteador física.
7. O switch S1 encaminha o tráfego unicast etiquetado pelo outro link de tronco para o
switch S2.
8. O switch S2 remove a etiqueta de VLAN do quadro unicast e encaminha o quadro
para o PC3 na porta F0/6.
Página 4:
Clique no botão Reproduzir na figura para ver como ocorre o roteamento entre
VLANs baseado em switch.
1. O PC1 na VLAN10 está se comunicando com o PC3 na VLAN30 pelo switch S1,
usando interfaces VLAN configuradas para cada VLAN.
Página 1:
Como já mencionamos, há várias opções de roteamento entre VLANs. Cada uma delas
usa uma configuração de roteador diferente para realizar a tarefa de roteamento entre
VLANs. Neste tópico, estudaremos o modo como cada tipo de configuração de interface
de roteador roteia entre VLANs, além das vantagens e das desvantagens. Começaremos
revisando o modelo tradicional.
O roteamento tradicional exige que roteadores tenham interfaces físicas múltiplas para
facilitar o roteamento entre VLANs. O roteador realiza o roteamento conectando cada
uma de suas interfaces físicas a uma VLAN exclusiva. Cada interface é também
configurada com um endereço IP para a sub-rede associada à VLAN específica à qual
está conectada. Com a configuração dos endereços IP nas interfaces físicas, dispositivos
de rede conectados a cada uma das VLANs podem comunicar-se com o roteador que
usa a interface física conectada à mesma VLAN. Nessa configuração, dispositivos de
rede podem usar o roteador como um gateway para acessar os dispositivos conectados
às outras VLANs.
Quando o dispositivo de origem determina que o pacote deve viajar pela interface do
roteador local na VLAN conectada, o dispositivo de origem envia uma solicitação ARP
para determinar o endereço MAC da interface do roteador local. Quando o roteador
envia sua resposta ARP ao dispositivo de origem, o dispositivo de origem pode usar o
endereço MAC para terminar de estruturar o pacote antes de enviá-lo na rede como
tráfego unicast.
Embora haja muitos passos no processo de roteamento entre VLANs quando dois
dispositivos em VLANs diferentes se comunicam por um roteador, todo o processo
acontece em uma fração de segundo.
Página 2:
Configuração da interface
Como você pode ver no exemplo, a interface F0/0 está configurada com endereço IP
172.17.10.1 e máscara de sub-rede 255.255.255.0 com o uso do comando ip address
172.17.10.1 255.255.255.0.
Para habilitar uma interface de roteador, o comando no shutdown deve ser digitado
para a interface. Observe também que a interface F0/1 foi configurada. Depois que
ambos os endereços IP são atribuídos a cada uma das interfaces físicas, o roteador pode
executar o roteamento.
Tabela de roteamento
Como você pode ver no exemplo, a tabela de roteamento tem duas entradas, uma para a
rede 172.17.10.0 e outra para a rede 172.17.30.0. Observe a letra C à esquerda de cada
entrada de rota. Esta letra indica que a rota é local para uma interface conectada que
também é identificada na entrada de rota. Usando a saída do comando neste exemplo, se
o tráfego for destinado para a sub-rede 172.17.30.0, o roteador encaminhará o tráfego
pela interface F0/1.
O roteamento entre VLANs tradicional que usa interfaces físicas tem uma limitação.
Conforme o número de VLANs aumenta em uma rede, a abordagem física de ter uma
interface de roteador por VLAN é rapidamente impedida pelas limitações físicas de
hardware de um roteador. Roteadores têm um número limitado de interfaces físicas que
eles podem usar para se conectarem a VLANs diferentes. Redes grandes com muitas
VLANs devem usar entroncamento de VLAN para atribuir VLANs múltiplas a uma
única interface do roteador para funcionar dentro das restrições de hardware de
roteadores dedicados.
Página 3:
Para superar as limitações de hardware do roteamento entre VLANs baseado em
interfaces físicas de roteador, são usados subinterfaces virtuais e links de tronco, como
no exemplo do roteador fixo descrito anteriormente. Subinterfaces são interfaces
virtuais baseadas em software atribuídas a interfaces físicas. Cada subinterface é
configurada com seu próprio endereço IP, sua máscara de sub-rede e sua atribuição de
VLAN exclusiva, permitindo que uma única interface física faça parte de redes lógicas
múltiplas simultaneamente. Isso é útil ao executar o roteamento entre VLANs em redes
com VLANs múltiplas e poucas interfaces físicas de roteador.
Do ponto de vista funcional, o modelo de roteador fixo para o roteamento entre VLANs
é igual ao modelo de roteamento tradicional, mas em vez de usar as interfaces físicas
para executar o roteamento, ele usa subinterfaces de uma única interface.
Vejamos um exemplo. Na figura, o PC1 precisa comunicar-se com o PC3. O PC1 está
na VLAN10, e o PC3 está na VLAN30. Para comunicar-se com o PC3, o PC1 precisa
ter seus dados roteados através do roteador R1 com o uso de subinterfaces configuradas.
Clique no botão Reproduzir na figura para ver como subinterfaces são usadas para
rotear entre VLANs.
Página 4:
Configuração da subinterface
Como você pode ver na figura, as rotas definidas na tabela de roteamento indicam que
elas estão associadas com subinterfaces específicas, em vez de interfaces físicas
separadas.
Página 5:
Como acabamos de ver, são usadas interfaces físicas e subinterfaces para executar o
roteamento entre VLANs. Cada método tem suas vantagens e desvantagens.
Limites de porta
Interfaces físicas são configuradas para ter uma interface por VLAN na rede. Em redes
com muitas VLANs, não é possível usar um único roteador para executar o roteamento
entre VLANs. Roteadores têm limitações físicas que os impedem de conter muitas
interfaces físicas. Em vez disso, você pode usar roteadores múltiplos para executar o
roteamento entre VLANs para todas as VLANs quando é necessário evitar o uso de
subinterfaces.
Desempenho
A conexão de interfaces físicas para o roteamento entre VLANs exige que as portas de
switch sejam configuradas como portas de acesso. Subinterfaces exigem que a porta de
switch seja configurada como uma porta de tronco para poder aceitar o tráfego com
etiqueta de VLAN no link de tronco. Usando subinterfaces, muitas VLANs podem ser
roteadas em um único link de tronco em lugar de uma única interface física para cada
VLAN.
Custo
Complexidade
Por outro lado, o uso de subinterfaces com uma porta de tronco resulta em uma
configuração de software mais complexa, o que pode ser difícil de solucionar. No
modelo de roteador fixo, apenas uma interface é usada para acomodar todas as
diferentes VLANs. Se uma VLAN está com dificuldade para rotear a outras VLANs,
você não pode simplesmente rastrear o cabo para saber se ele está conectado à porta
correta. É necessário verificar se a porta de switch está configurada para ser um tronco e
se a VLAN não está sendo filtrada em algum link de tronco antes de alcançar a interface
do roteador. Também é necessário verificar se a subinterface do roteador está
configurada para usar a ID de VLAN e o endereço IP corretos para a sub-rede associada
a essa VLAN.
Página 1:
Neste tópico, você aprenderá a configurar um roteador Cisco IOS para o roteamento
entre VLANs e verá novamente os comandos necessários para configurar um switch
para suportar o roteamento entre VLANs.
Antes de configurar o roteador, configure o switch ao qual ele será conectado. Como
você pode ver na figura, o roteador R1 está conectado às portas de switch F0/4 e F0/5,
que foram configuradas para as VLANs 10 e 30 respectivamente.
Como revisão, VLANs são criadas no modo de configuração global com o uso do
comando vlan vlan id. Neste exemplo, foram criadas as VLANs 10 e 30 no switch S1.
Depois que as VLANs são criadas, elas são atribuídas às portas de switch às quais o
roteador se conectará. Para realizar esta tarefa, o comando switchport access vlan vlan
id é executado no modo de configuração de interface no switch para cada interface à
qual o roteador se conectará.
Por fim, para proteger a configuração de forma que ela não se perca depois de uma
recarga do switch, o comando copy running-config startup-config é executado no
modo EXEC privilegiado para fazer backup da configuração em execução para a
configuração de inicialização.
Em seguida, o roteador pode ser configurado para executar o roteamento entre VLANs.
Como você pode ver na figura, cada interface é configurada com um endereço IP com o
uso do comando ip address ip_address subnet_mask no modo de configuração de
interface.
Por padrão, interfaces de roteador estão desabilitadas e precisam ser habilitadas pelo
comando no shutdown antes de serem usadas.
Neste exemplo, o endereço IP de 172.17.10.1 foi atribuído à interface F0/0 com o uso
do comando ip address 172.17.10.1 255.255.255.0. Observe também que, após a
execução do comando do modo de configuração da interface no shutdown, é exibida
uma notificação indicando que o estado da interface mudou para ativo (up). Isso indica
que agora a interface está habilitada.
O processo é repetido para todas as interfaces de roteador. Cada interface de roteador
precisa ser atribuída a uma sub-rede exclusiva para haver roteamento. Neste exemplo, a
outra interface de roteador, F0/1, foi configurada para usar o endereço IP 172.17.30.1,
que está em uma sub-rede diferente daquela em que está a interface F0/0.
Por padrão, os roteadores Cisco são configurados para rotear tráfego entre as interfaces
locais. Como resultado, o roteamento não precisa especificamente ser habilitado.
Entretanto, se roteadores múltiplos estão sendo configurados para executar o roteamento
entre VLANs, é possível habilitar um protocolo de roteamento dinâmico para
simplificar o gerenciamento da tabela de roteamento.
Página 2:
Tabela de roteamento
Neste exemplo, observe que a interface F0/0 está configurada corretamente com o
endereço IP 172.17.10.1. Observe também a falta do comando shutdown abaixo da
interface F0/0. A ausência do comando shutdown confirma que o comando no
shutdown foi emitido e que a interface está habilitada.
Com o comando show interface no modo EXEC privilegiado, você pode obter
informações mais detalhadas sobre interfaces de roteador, como informações de
diagnóstico, status, endereço MAC e erros de transmissão ou recebimento.
Página 1:
Antes de configurar o roteador, configure o switch ao qual ele será conectado.
Como você pode ver na figura, o roteador R1 está conectado ao switch S1 na porta de
tronco F0/5. As VLANs 10 e 30 também foram adicionadas ao switch S1.
Como revisão, VLANs são criadas no modo de configuração global com o uso do
comando vlan vlan id. Neste exemplo, foram criadas as VLANs 10 e 30 no switch S1
com o uso dos comandos vlan 10 e vlan 30.
Como a porta de switch F0/5 será configurada como uma porta de tronco, você não terá
que atribuir nenhuma VLAN à porta. Para configurar a porta de switch F0/5 como uma
porta de tronco, execute o comando switchport mode trunk no modo de configuração
de interface na interface F0/5. Você não pode usar o comando switchport mode
dynamic auto ou switchport mode dynamic desirable porque o roteador não suporta
o protocolo de entroncamento dinâmico.
Por fim, para proteger a configuração de forma que ela não se perca depois de uma
recarga do switch, o comando copy running-config startup-config é executado no
modo EXEC privilegiado para fazer backup da configuração em execução para a
configuração de inicialização.
Configuração do roteador
Em seguida, o roteador pode ser configurado para executar o roteamento entre VLANs.
Este processo é repetido para todas as subinterfaces de roteador que precisam ser
roteadas entre as VLANs configuradas na rede. É necessário atribuir um endereço IP
para cada subinterface de roteador em uma sub-rede exclusiva para haver roteamento.
Neste exemplo, a outra subinterface de roteador, F0/0.30, foi configurada para usar o
endereço IP 172.17.30.1, que está em uma sub-rede diferente daquela em que está a
interface F0/0.10.
Uma vez que todas as subinterfaces são configuradas na interface física do roteador, a
interface física é habilitada. No exemplo, o comando no shutdown é executado na
interface F0/0 para habilitá-la; ela, por sua vez, habilita todas as subinterfaces
configuradas.
Por padrão, os roteadores Cisco são configurados para rotear tráfego entre as
subinterfaces locais. Como resultado, o roteamento não precisa especificamente ser
habilitado.
Página 2:
Tabela de roteamento
Neste exemplo, observe que a interface F0/0.10 foi configurada corretamente com o
endereço IP 172.17.10.1. Observe também a falta do comando shutdown abaixo da
interface F0/0. A ausência do comando shutdown confirma que o comando no
shutdown foi emitido e que a interface está habilitada.
Com o comando show interface no modo EXEC privilegiado, você pode obter
informações mais detalhadas sobre interfaces de roteador, como informações de
diagnóstico, status, endereço MAC e erros de transmissão ou recebimento.
Página 3:
A próxima etapa após o roteador e o switch terem sido configurados para executar o
roteamento entre VLANs é verificar se o roteador está funcionando corretamente. Você
pode testar o acesso aos dispositivos em VLANs remotas com o uso do comando ping.
Para o exemplo mostrado na figura, você iniciará um ping e um tracert a partir do PC1
para o endereço de destino do PC3.
O teste de ping
O comando ping envia uma solicitação de eco ICMP ao endereço de destino. Quando
um host recebe uma solicitação de eco ICMP, ele envia uma resposta de eco ICMP para
confirmar que recebeu a solicitação de eco ICMP. O comando ping calcula o tempo
decorrido utilizando a diferença entre a hora em que o ping foi enviado e a hora em que
a resposta de eco foi recebida. Esse tempo decorrido é usado para determinar a latência
da conexão. O recebimento bem-sucedido de uma resposta confirma que há um
caminho entre o dispositivo remetente e o dispositivo receptor.
O teste Tracert
O tracert é um recurso útil para confirmar o caminho roteado percorrido entre dois
dispositivos. Em sistemas UNIX, o utilitário é especificado pelo traceroute. O tracert
também usa o ICMP para determinar o caminho percorrido, mas usa solicitações de eco
ICMP com valores de tempo de vida específicos definidos no quadro.
O valor de tempo de vida determina exatamente quantos saltos de roteador o eco ICMP
pode alcançar. A primeira solicitação de eco ICMP é enviada com um valor de tempo de
vida definido para expirar no primeiro roteador a caminho do dispositivo de destino.
Quando a solicitação de eco ICMP expira na primeira rota, uma confirmação é enviada
pelo roteador para o dispositivo de origem. O dispositivo registra a resposta do roteador
e prepara-se para enviar outra solicitação de eco ICMP, mas desta vez com um valor de
tempo de vida maior. Isso permite que a solicitação de eco ICMP passe pelo primeiro
roteador e alcance o segundo dispositivo a caminho do destino final. O processo é
repetido até que a solicitação de eco ICMP tenha passado por todo o caminho até o
dispositivo de destino final. Após o término da execução do utilitário tracert, é
apresentada uma lista de todas as interfaces de roteador que a solicitação de eco ICMP
alcançou em seu caminho até o destino.
No exemplo, o utilitário ping pôde enviar uma solicitação de eco ICMP ao endereço IP
do PC3. Além disso, o utilitário tracert confirma que o caminho para PC3 é através do
endereço IP da subinterface 172.17.10.1 do roteador R1.
Página 1:
Como você pode ver na Topologia 1, o PC1 e a interface F0/0 do roteador R1 foram
configurados para estar na mesma sub-rede lógica, como indicado pela atribuição de
endereço IP. Entretanto, a porta de switch F0/4 que se conecta à interface F0/0 do
roteador R1 não foi configurada e permaneceu na VLAN padrão. Como o roteador R1
está em uma VLAN diferente daquela em que está o PC1, eles não podem se comunicar.
Para reduzir o risco de interrupção do roteamento entre VLANs por um link inter-switch
com falha, links redundantes e caminhos alternativos devem ser configurados entre os
switches S1 e S2. Links redundantes são configurados na forma de um EtherChannel
que protege contra uma única falha de link. A tecnologia Cisco EtherChannel permite
agregar links físicos múltiplos em um link lógico. Isso pode proporcionar até 80 Gb/s de
largura de banda agregada com 10 Gigabit EtherChannel.
Além disso, podem ser configurados caminhos alternativos através de outros switches
interconectados. Esta abordagem depende do Protocolo Spanning Tree (STP) para
impedir a possibilidade de loops dentro do ambiente de switch. Pode haver também uma
pequena interrupção no acesso de roteador enquanto o STP determina se o link atual
está para inativo e localiza uma rota alternativa.
Página 2:
Quando você suspeitar de um problema com uma configuração de switch, use os vários
comandos de verificação para examinar a configuração e identificar o problema.
Página 1:
Para solucionar este problema, configure a subinterface F0/0.10 para estar na VLAN
correta com o uso do comando do modo de configuração de subinterface encapsulation
dot1q 10. Quando a subinterface tiver sido atribuída à VLAN correta, ela poderá ser
acessada por dispositivos naquela VLAN e executar o roteamento entre VLANs.
Página 2:
Página 1:
Como você pode ver em Topologia 1, o roteador R1 foi configurado com um endereço
IP incorreto na interface F0/0. Isso impede que o PC1 se comunique com o roteador R1
na VLAN10.
Para solucionar este problema, altere a máscara de sub-rede no PC1 para 255.255.255.0.
Dependendo do tipo de PC em uso, os detalhes de configuração podem ser diferentes.
Página 2:
Comandos de verificação
Você aprendeu anteriormente que cada interface, ou subinterface, precisa de um
endereço IP que corresponda à sub-rede à qual ela está conectada. Um erro comum é
configurar um endereço IP incorretamente para uma subinterface. A captura de tela
mostra os resultados do comando show running-config. A área realçada mostra que a
subinterface F 0/0.10 no roteador R1 tem um endereço IP de 172.17.20.1. A VLAN para
esta subinterface deve permitir o tráfego da VLAN 10. Há um endereço IP configurado
incorretamente. Outro comando útil é o ip interface. O segundo realce mostra o
endereço IP incorreto.
Página 1:
Switches Catalyst 2960 podem ser usados em um cenário de roteador fixo, enquanto
switches Catalyst 3560 podem ser usados para a opção de comutação multicamada do
roteamento entre VLANs.
Página 1:
Nos capítulos anteriores, você aprendeu como funções de switch podem facilitar a
interconexão de dispositivos em uma rede conectada por fios. Redes de negócios típicas
utilizam redes cabeadas. São feitas conexões físicas entre sistemas de computadores,
sistemas telefônicos e outros dispositivos periféricos com switches localizados nos
wiring closets.
Neste capítulo, você aprenderá como uma rede local sem fio (WLANs) oferece às
empresas um ambiente de rede flexível. Conhecerá os diferentes padrões sem fio
disponíveis atualmente e as características de cada um. Você saberá quais componentes
de hardware são normalmente necessários em uma infraestrutura sem fio, como as
WLANs operam, e como protegê-las. Para concluir, você aprenderá a configurar um
ponto de acesso sem fio e um cliente para rede sem fio.
Página 1:
Outro exemplo é a mudança de uma empresa para um novo prédio que não tem
nenhuma infraestrutura cabeada. Neste caso, a economia resultante do uso de WLANs
pode ser ainda mais notável porque evita o custo de passar cabos por paredes, teto e
chão.
Embora seja mais difícil provar com números, as WLANs podem resultar em
produtividade melhor e funcionários menos tensos, trazendo melhores resultados para
clientes e maiores lucros.
Página 2:
Você pode ver que a WLAN é uma extensão da Rede local Ethernet. A função da rede
local agora é móvel. Você vai conhecer a tecnologia WLAN e os padrões por trás da
mobilidade que permitem que pessoas continuem uma reunião enquanto caminham,
andam de táxi ou estão no aeroporto.
Página 3:
Redes locais sem fio compartilham uma origem semelhante com redes locais Ethernet.
O IEEE adotou o portfólio de rede local 802/MAN de padrões de arquitetura de rede de
computadores. Os dois grupos 802 dominantes em funcionamento são Ethernet 802.3 e
rede local sem fio IEEE 802.11. No entanto, há diferenças importantes entre os dois.
WLANs conectam clientes à rede por um ponto de acesso sem fio (AP) em vez de um
switch Ethernet.
WLANs suportam hosts que disputam acesso nas mídias de RF (faixas de frequência).
Redes 802.11 determinam prevenção contra colisão em vez de detecção de colisão para
o acesso de mídia evitar colisões preventivamente na mídia.
WLANs usam um formato de quadro diferente do formato usado pelas redes locais
Ethernet cabeadas. WLANs exigem informações adicionais no cabeçalho do quadro da
Camada 2.
Página 4:
Apresentando as redes locais sem fio
Redes locais sem fio 802.11 estendem as infraestruturas de rede local Ethernet 802.3
para fornecer opções de conectividade adicionais. Entretanto, são usados componentes e
protocolos adicionais para concluir as conexões sem fio.
Em uma rede local Ethernet 802.3, cada cliente tem um cabo que conecta a placa de
rede de cliente a um switch. O switch é o ponto em que o cliente ganha acesso à rede.
Em uma rede local sem fio, cada cliente usa um adaptador sem fio para ganhar acesso à
rede por um dispositivo sem fio como um roteador ou ponto de acesso sem fio.
O adaptador sem fio no cliente comunica-se com o roteador ou ponto de acesso sem fio
que usa sinais de RF. Uma vez conectados à rede, clientes da rede sem fio podem
acessar recursos de rede como se estivessem conectados a ela por cabos.
Página 1:
Rede local sem fio 802.11 é um padrão de IEEE que define como a frequência de rádio
(RF) nas faixas de frequência industriais, científicas e médicas (ISM) sem licença é
usada para a camada física e para a subcamada MAC de links sem fio.
Na primeira vez em que o 802.11 foi lançado, ele determinava taxas de dados de 1 a 2
Mb/s na faixa de 2,4 GHz. Naquela época, redes locais cabeadas operavam a 10 Mb/s,
então a nova tecnologia sem fio não foi adotada com entusiasmo. Desde então, os
padrões de redes locais sem fio melhoraram continuamente com o lançamento do IEEE
802.11a, do IEEE 802.11b, do IEEE 802.11g e do 802.11n, em fase de testes.
Normalmente, a escolha do padrão WLAN a ser usado é baseada em taxas de dados. Por
exemplo, os 802.11a e g podem suportar até 54 Mb/s, enquanto o 802.11b suporta no
máximo 11 Mb/s, sendo este o padrão "lento", fazendo os 802.11 a e g os mais
preferidos. Um quarto padrão de WLAN em fase de testes, o 802.11n, excede as taxas
de dados disponíveis atualmente. O IEEE 802.11n deve ser aprovado em setembro de
2008. A figura compara os padrões aprovados IEEE 802.11a, b e g.
As taxas de dados de padrões de redes locais sem fio diferentes são afetadas por algo
chamado de técnica de modulação. As duas técnicas de modulação que serão abordadas
neste curso são Espectro distribuído de sequência direta (DSSS, Direct Sequence Spread
Spectrum) e Multiplexação da divisão de frequência ortogonal (OFDM, Orthogonal
Frequency Division Multiplexing). Você não precisa saber como essas técnicas
funcionam para este curso, mas deve saber que quando um padrão usa a técnica OFDM,
ele tem taxas de dados mais rápidas. Entretanto, a DSSS é mais simples que a OFDM,
portanto a implementação dela é menos dispendiosa.
802.11a
802.11b e 802.11g
O 802.11b especifica taxas de dados de 1, 2, 5.5 e 11 Mb/s na faixa de ISM de 2,4 GHz
usando DSSS. O 802.11g obtém taxas de dados mais altas nessa faixa usando a técnica
de modulação OFDM. O IEEE 802.11g também especifica o uso de DSSS para
compatibilidade com sistemas do IEEE 802.11b. São suportadas taxas de dados DSSS
de 1, 2, 5.5 e 11 Mb/s, assim como taxas de dados OFDM de 6, 9, 12, 18, 24, 48 e 54
Mb/s.
Há vantagens quanto ao uso da faixa de 2,4 GHz. Dispositivos na faixa de 2,4 GHz têm
alcance melhor que os da faixa de 5GHz. Além disso, as transmissões nesta faixa não
são bloqueadas tão facilmente quanto o 802.11a.
Há uma desvantagem relevante quanto ao uso da faixa de 2,4 GHz. Muitos dispositivos
consumidores também usam a faixa de 2,4 GHz e tornam os dispositivos 802.11b e g
propensos a interferência.
802.11n
Página 2:
Certificação Wi-Fi
ITU-R
IEEE
Wi-Fi Alliance
Embora o IEEE tenha especificado padrões para dispositivos de modulação RF, ele não
especificou padrões de fabricação, fazendo interpretações dos padrões 802.11 por
fornecedores diferentes causarem problemas de interoperabilidade entre os dispositivos.
Página 1:
Talvez você já use uma rede sem fio em casa, em uma lan house ou na sua escola. Já
imaginou que componentes de hardware estão envolvidos para permitir o acesso sem fio
à rede local ou à Internet? Neste tópico, você saberá quais componentes estão
disponíveis para implementar WLANs e como cada um é usado na infraestrutura sem
fio.
Revisão: os componentes básicos de uma WLAN são estações clientes que se conectam
a pontos de acesso que, por sua vez, se conectam à infraestrutura de rede. O dispositivo
que permite que uma estação cliente possa enviar e receber sinais de RF é a placa de
rede sem fio.
Como uma placa de rede Ethernet, a placa de rede sem fio, usando a técnica de
modulação à qual está configurada para usar, codifica um fluxo de dados sobre um sinal
de RF. Placas de rede sem fio são frequentemente associadas a dispositivos móveis,
como laptops. Nos anos 90, placas de rede sem fio para laptops eram placas que
deslizavam para dentro do slot PCMCIA. Placas de rede sem fio PCMCIA ainda são
comuns, mas muitos fabricantes começaram a fazer a placa de rede sem fio já dentro do
laptop. Ao contrário das interfaces 802.3 Ethernet feitas em PCs, a placa de rede sem fio
não é visível porque não há nenhuma necessidade de conectar um cabo ao PC.
Outras opções surgiram ao longo dos anos. Desktops localizados em instalações não
cabeadas podem ter uma placa PCI sem fio. Há também várias opções USB disponíveis
para configurar rapidamente um PC, um dispositivo móvel ou um desktop com uma
placa de rede sem fio.
Página 2:
Um ponto de acesso conecta clientes para rede sem fio (ou estações) à rede local
cabeada. Dispositivos de cliente normalmente não se comunicam diretamente entre si;
eles se comunicam com o AP. Essencialmente, um ponto de acesso converte os pacotes
de dados TCP/IP de seu formato de encapsulamento de quadro 802.11 no ar para o
formato de quadro 802.3 Ethernet na rede Ethernet cabeada.
CSMA/CA
Sinais de RF atenuam-se. Isso significa que eles perdem energia conforme se afastam do
ponto de origem. É como uma estação de rádio saindo de sintonia. Esta atenuação de
sinal pode ser um problema em uma WLAN na qual estações disputam pelo meio.
Imagine duas estações cliente conectadas ao mesmo ponto de acesso, mas em lados
opostos. Se eles estiverem ao intervalo máximo para alcançar o ponto de acesso, eles
não poderão alcançar um ao outro. Assim, nenhuma dessas estações sente a outra no
meio, e eles podem acabar transmitindo simultaneamente. Isso é conhecido como o
problema de nó oculto (ou estação oculta).
Página 3:
Roteadores sem fio executam a função de ponto de acesso, switch Ethernet e roteador.
Por exemplo, o Linksys WRT300N usado tem na realidade três dispositivos em uma
caixa. O primeiro é o ponto de acesso sem fio, que executa as funções normais de um
ponto de acesso. O segundo é um switch 10/100 em full duplex interno que fornece
conectividade a dispositivos cabeados. Finalmente, a função de roteador fornece um
gateway para conexão com outras infraestruturas de rede.
É mais comum o WRT300N ser usado como um dispositivo de acesso wireless em uma
pequena empresa ou em uma residência. A carga esperada no dispositivo é baixa o
suficiente para ele gerenciar a provisão de WLAN e 802.3 Ethernet e conectar-se a um
ISP.
Página 1:
A figura mostra a tela inicial da configuração sem fio em um roteador para rede sem fio
Linksys. Vários processos podem ser seguidos para estabelecer uma conexão entre
cliente e ponto de acesso. É necessário configurar parâmetros no ponto de acesso - e
subsequentemente no dispositivo de cliente para habilitar a negociação desses
processos.
Clique no botão Modos na figura para exibir o parâmetro Modo de Rede Sem Fio.
O modo de rede sem fio refere-se aos protocolos de WLAN: 802.11a, b, g, ou n. Como
o 802.11g é compatível com o antecessor 802.11b, pontos de acesso suportam os dois.
Lembre-se: se todos os clientes se conectarem a um ponto de acesso com o 802.11g,
todos eles terão as melhores taxas de dados à sua disposição. Quando clientes do
802.11b se associam ao ponto de acesso, todos os clientes mais rápidos que estejam
competindo pelo canal devem esperar, antes de transmitir, que os clientes do 802.11b
liberem o canal. Quando um ponto de acesso Linksys está configurado para aceitar tanto
clientes do 802.11b quanto do 802.11g, ele está operando em modo misto.
Para um ponto de acesso suportar o 802.11a, assim como o 802.11b e o 802.11g, ele
deve ter um segundo rádio para operar na faixa RF diferente.
Clique no botão SSID na figura para exibir uma lista de SSIDs para um cliente
Windows.
Clique no botão Canal na figura para exibir um gráfico de canais não sobrepostos.
O padrão IEEE 802.11 estabelece o esquema de canalização para o uso das faixas de RF
ISM não licenciadas em WLANs. A faixa de 2.4 GHz é interrompida em 11 canais na
América do Norte e 13 canais na Europa. Estes canais têm uma separação de frequência
de centro de apenas 5 MHz e uma largura de banda de canal geral (ou ocupação de
frequência) de 22 MHz. A largura de banda de canal de 22 MHz combinada com a
separação de 5 MHz entre de frequências de centro significa que há uma sobreposição
de canais sucessivos. Práticas recomendadas para WLANs que exigem múltiplos pontos
de acesso são definidas para o uso de canais não sobrepostos. Se houver três pontos de
acesso adjacentes, use os canais 1, 6 e 11. Se houver apenas dois, selecione quaisquer
dois que estejam separados por cinco canais, como os canais 5 e 10. Muitos pontos de
acesso podem selecionar um canal automaticamente, baseando-se no uso de canal
adjacente. Alguns produtos monitoram o espaço de rádio continuamente para ajustar as
configurações de canal de maneira dinâmica de acordo com alterações no ambiente.
Página 2:
Topologias 802.11
Redes locais sem fio podem acomodar várias topologias de rede. Ao descrever essas
topologias, o componente básico da arquitetura de WLAN do IEEE 802.11 é o conjunto
de serviços básico (BSS). O padrão define um BSS como um grupo de estações que se
comunicam entre si.
Redes ad hoc
Redes sem fio podem operar sem pontos de acesso; isso é chamado de topologia ad hoc.
Estações clientes configuradas para operar em modo ad hoc configuram os parâmetros
sem fio entre si. O padrão IEEE 802.11 refere-se a uma rede ad hoc como sendo um
BSS independente (IBSS).
Células representam a área de cobertura fornecida por um único canal. Um ESS deve ter
de 10 a 15% de sobreposição entre células em uma área de serviço estendida. Com uma
sobreposição de 15% entre células, um SSID, e canais não sobrepostos (uma célula no
canal 1 e outra no canal 6), pode ser criado o recurso de roaming.
Clique no botão Resumo na figura para ver uma comparação entre topologias de
WLAN.
Página 3:
Beacons - Quadros usados pela rede de WLAN para anunciar sua presença.
Investigações - Quadros usados por clientes WLAN para localizar suas redes.
Autenticação - Um processo que é um artefato do padrão 802.11 original, mas
ainda assim exigido pelo padrão.
Associação - O processo para estabelecer o enlace entre um ponto de acesso e
um cliente WLAN.
O propósito principal da beacon é permitir que clientes WLAN saibam quais redes e
pontos de acesso estão disponíveis em uma determinada área e escolham qual rede e
ponto de acesso usar. Pontos de acesso podem transmitir beacons periodicamente.
Antes de um cliente 802.11 poder enviar dados por uma rede de WLAN, ele passa pelo
processo de três estágios a seguir:
Este estágio finaliza as opções de segurança e taxa de bits, e estabelece o enlace entre o
cliente WLAN e o ponto de acesso. Como parte deste estágio, o cliente aprende sobre o
BSSID, que é o endereço MAC do ponto de acesso, e o ponto de acesso mapeia uma
porta lógica conhecida como o identificador de associação (AID) para o cliente WLAN.
A AID é equivalente a uma porta em um switch. O processo de associação permite que
o switch de infraestrutura mantenha um controle dos quadros destinados ao cliente
WLAN de forma que eles possam ser encaminhados.
Uma vez que um cliente WLAN está associado a um ponto de acesso, o tráfego pode ir
de um lado para outro entre os dois dispositivos.
7.1.5 Planejamento da rede local sem fio
Página 1:
O número de usuários que uma WLAN pode suportar não é um cálculo simples. O
número dos usuários depende do layout geográfico de suas instalações (quantos corpos
e dispositivos cabem em um espaço), das taxas de dados esperadas pelos usuários
(porque o RF é um meio compartilhado, e quanto mais usuários houver, maior será a
contenção para RF), do uso de canais não sobrepostos por diversos pontos de acesso em
um ESS e das configurações de capacidade de transmissão (que são limitados por um
regulamento local). Você terá suporte sem fio suficiente para seus clientes se você
planejar sua rede para cobertura apropriada de RF em um ESS. Os detalhes sobre o
planejamento de números específicos de usuários está além do escopo deste curso.
Ao planejar o local de pontos de acesso, talvez você não possa simplesmente desenhar
círculos de área de cobertura e jogá-los em um mapa. A área de cobertura circular
aproximada é importante, mas há algumas recomendações adicionais.
Com base em seu plano, coloque os pontos de acesso na planta baixa de forma que os
círculos de cobertura se sobreponham, como mostra o exemplo a seguir.
Cálculo de exemplo
O auditório aberto (uma construção semelhante a um depósito ou a uma fábrica)
mostrado na figura tem aproximadamente 1.800 m2 (20,000 ft2).
Observação: a área de cobertura de 464 m2 é para um quadrado. O BSA leva seu raio
na diagonal a partir do centro desse quadrado.
As instalações têm 1.800 m2. Logo, a divisão de 1.800 m2 por uma área de cobertura de
464 m2 por ponto de acesso resulta em pelo menos quatro pontos de acesso necessários
para o auditório. Em seguida, determine a dimensão das áreas de cobertura e organize-
as na planta baixa.
Página 1:
Segurança deve ser uma prioridade para qualquer um que usa ou administra redes. Se já
é difícil manter a segurança de uma rede cabeada, é ainda mais difícil no caso de uma
rede sem fio. Uma WLAN está aberta a qualquer um no intervalo de um ponto de
acesso e das credenciais apropriadas para associação a ele. Com uma placa de rede sem
fio e o conhecimento de técnicas de cracking, um invasor pode não precisar entrar no
local de trabalho fisicamente para obter acesso a uma WLAN.
No primeiro tópico desta seção, mostramos como as ameaças para a segurança sem fio
têm aumentado. As preocupações com a segurança é ainda mais séria quando se trata de
redes de negócios porque a subsistência dos negócios depende da proteção de suas
informações. Para os negócios, falhas na segurança podem trazer consequências
desastrosas, principalmente se estiverem envolvidas informações financeiras
relacionadas a clientes.
War drivers
Hackers (crackers)
Funcionários
No início, hacker era todo aquele que se aprofundava em sistemas de computadores para
entender, e talvez explorar, por questões criativas, a estrutura e a complexidade de um
sistema. Hoje, ambos hacker e cracker são intrusos mal-intencionados que entram em
sistemas como criminosos e roubam dados ou danificam esses sistemas
deliberadamente. Hackers têm a intenção de prejudicar e explorar medidas de segurança
frágeis.
A maioria dos dispositivos sem fio vendidos atualmente já vêm prontos para WLANs.
Em outras palavras, os dispositivos têm configurações padrão e podem ser instalados e
utilizados com pouca ou nenhuma configuração feita pelos usuários. Na maioria das
vezes, usuários finais não alteram configurações padrão, deixando a autenticação de
cliente aberta, ou implementam apenas a segurança WEP padrão. Infelizmente, como já
foi dito, chaves WEP compartilhadas têm falhas e consequentemente são fáceis de
atacar.
Ferramentas com um propósito legítimo, como detectores sem fio, permitem que
engenheiros de rede capturem pacotes de dados para depuração de sistema. Essas
mesmas ferramentas podem ser usadas por intrusos para explorar falhas na segurança.
Ataques de interceptação
Um dos ataques mais sofisticados que pode ser realizado por um usuário não autorizado
é chamado ataque de interceptação ou ataque man-in-the-middle (MITM). Invasores
selecionam um host como destino e se posicionam de forma lógica entre o destino e o
roteador ou gateway do destino. Em um ambiente de rede local cabeada, o invasor
precisa conseguir acessar a rede local fisicamente para inserir de forma lógica um
dispositivo na topologia. Com uma WLAN, as ondas de rádio emitidas por pontos de
acesso podem fornecer a conexão.
Para realizar esse ataque, um hacker seleciona uma estação como destino e usa um
software detector de pacotes, como o Wireshark, para observar a estação cliente
conectando-se a um ponto de acesso. O hacker pode conseguir ler e copiar o nome do
usuário-alvo, o nome do servidor, o endereço IP do cliente e do servidor, a ID usada
para computar a resposta, e a resposta de desafio e associação, que é transmitida em
texto não criptografado entre a estação e o ponto de acesso.
Quando todos os usuários legítimos se tornam conhecidos, você monitora a rede para
detectar dispositivos e tráfego que não devem estar nela. WLANs empresariais que
utilizam dispositivos de WLAN de última geração fornecem aos administradores
ferramentas que funcionam juntas como um sistema de prevenção contra invasões sem
fio (IPS). Essas ferramentas incluem scanners que identificam pontos de acesso
invasores e redes ad hoc e gerenciamento de recursos de rádio (RRM) que monitora a
faixa de RF para atividade e carga de ponto de acesso. Um ponto de acesso mais
ocupado que o normal alerta o administrador de possível tráfego sem autorização.
Uma explicação mais aprofundada dessas técnicas de prevenção está fora do escopo
deste curso.
Página 3:
Negação de serviço
WLANs 802.11b e g usam a faixa de ISM de 2,4 GHz sem licença. Essa é a mesma
faixa usada pela maioria dos produtos sem fio de consumidor, inclusive babás
eletrônicas, telefones sem fio e fornos micro-ondas. Com esses dispositivos lotando a
faixa de RF, invasores podem criar ruído em todos os canais na faixa com dispositivos
geralmente disponíveis.
Outro ataque DoS que pode ser iniciado em um BSS é o envio, pelo invasor, de uma
série de comandos de desassociação que fazem todas as estações no BSS se
desconectarem. Quando as estações são desconectadas, elas imediatamente tentam se
reassociar, e isso cria um estouro no tráfego. O invasor envia outro comando de
desassociação, e o ciclo se repete.
Página 1:
Neste tópico, você conhecerá as características dos protocolos sem fio comuns e o nível
de segurança proporcionado por cada um.
As falhas com a criptografia das chaves WEP compartilhadas foram duas. Primeiro, o
algoritmo usado para criptografar os dados era descoberto facilmente. Segundo, a
escalabilidade era um problema. As chaves WEP de 32 bits foram gerenciadas
manualmente, sendo acessadas manualmente pelos usuários, de maneira frequentemente
incorreta, criando chamadas aos serviços de suporte técnico.
Após as falhas na segurança baseada em WEP, houve um período intermediário de
medidas de segurança. Fornecedores como a Cisco, desejando atender a demanda por
maior segurança, desenvolveu seus próprios sistemas ao mesmo tempo em que ajudava
a aprimorar o padrão 802.11i. Enquanto isso, o algoritmo de criptografia TKIP foi
criado e vinculado ao método de segurança Wi-Fi Alliance WiFi Protected Access
(WPA).
Atualmente, o padrão que deve ser seguido na maioria das redes empresariais é o
802.11i. Ele é como o padrão Wi-Fi Alliance WPA2. Para empresas, o WPA2 inclui
uma conexão com um banco de dados Remote Authentication Dial In User Service
(RADIUS). RADIUS será descrito mais adiante no capítulo.
Para obter mais informações sobre as falhas na segurança WEP, consulte o papel
"Segurança do algoritmo WEP" disponível em
http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html.
Página 2:
Em uma rede aberta, como uma rede doméstica, a associação pode ser o necessário para
conceder a um cliente acesso a dispositivos e serviços na WLAN. Em redes com
requisitos de segurança mais rígidos, uma autenticação adicional ou um login é exigido
para conceder tal acesso a clientes. O processo de login é gerenciado pelo Extensible
Authentication Protocol (EAP). O EAP é uma estrutura para autenticar o acesso de rede.
O IEEE desenvolveu o padrão 802.11i para autenticação de WLAN e autorização para
usar o IEEE 802.1x.
O processo de associação 802.11 cria uma porta virtual para cada cliente de
WLAN no ponto de acesso.
O ponto de acesso bloqueia todas as estruturas de dados, com exceção do tráfego
baseado em 802.1x.
Os quadros 802.1x levam os pacotes de autenticação EAP pelo ponto de acesso
para um servidor que mantém credenciais de autenticação. Trata-se de um
servidor de autenticação, autorização e contabilidade (AAA) que executa um
protocolo RADIUS.
Se a autenticação EAP obtém êxito, o servidor de AAA envia uma mensagem
EAP de êxito ao ponto de acesso, que então permite que o tráfego de dados do
cliente de WLAN passe pela porta virtual.
Antes de abrir a porta virtual, é estabelecida uma criptografia de enlace entre o
cliente de WLAN e o ponto de acesso para assegurar que nenhum outro cliente
de WLAN possa acessar a porta estabelecida para um determinado cliente
autenticado.
Antes de o 802.11i (WPA2) ou mesmo o WPA serem utilizados, algumas empresas
tentavam proteger suas WLANs através da filtragem de endereços MAC e da não
transmissão de SSIDs. Nos dias atuais, é fácil usar um software para modificar
endereços MAC anexados a adaptadores para enganar facilmente a filtragem de
endereços MAC. Não quer dizer que você não deva fazer isto, mas se você estiver
usando este método, será melhor utilizar segurança adicional, como o WPA2.
Mesmo que um SSID não seja transmitido por um ponto de acesso, o tráfego que passa
de um lado para outro entre o cliente e o ponto de acesso acaba revelando o SSID. Se
um invasor está monitorando a faixa de RF passivamente, o SSID pode ser detectado
em uma dessas transações porque é enviado em texto não criptografado. A facilidade
para descobrir SSIDs levou algumas pessoas a deixar a transmissão de SSIDs ativada.
Nesse caso, isso provavelmente deve ser uma decisão organizacional registrada na
política de segurança.
A ideia que você pode proteger sua WLAN apenas com a filtragem de MAC e
desativação das transmissões de SSIDs pode tornar uma WLAN completamente
desprotegida. A melhor maneira de certificar-se de que os usuários finais supostamente
estejam na WLAN é usar um método de segurança que incorpore controle de acesso à
rede baseado em porta, como o WPA2.
Página 3:
Criptografia
Embora o TKIP lide com todas as falhas de WEP conhecidas, a criptografia AES de
WPA2 é o método preferido, porque alinha os padrões de criptografia de WLAN com
práticas recomendadas e padrões mais amplos da indústria de TI, notavelmente o IEEE
802.11i.
O AES tem as mesmas funções do TKIP, mas usa dados adicionais do cabeçalho de
MAC que permitem que hosts de destino verifiquem se os bits não criptografados foram
adulterados. Além disso, ele adiciona um número de sequência ao cabeçalho dos dados
criptografados.
Quando você configura pontos de acesso Linksys ou roteadores sem fio, como o
WRT300N, talvez você não veja WPA ou WPA2. Em vez disso, talvez você veja
referências a algo chamado chave pré-compartilhada (PSK). Veja a seguir alguns tipos
de PSK:
Página 1:
Nem o disfarce de SSID nem a filtragem de endereços MAC são considerados meios
válidos para proteger uma WLAN pelas seguintes razões:
Página 1:
Neste tópico, você aprenderá a configurar um ponto de acesso sem fio. Aprenderá a
definir o SSID, habilitar a segurança, configurar o canal e ajustar as opções de
alimentação de um ponto de acesso sem fio. Também saberá como fazer backup e
restaurar a configuração de um típico ponto de acesso sem fio.
A abordagem básica para implementação sem fio, como em qualquer rede básica, é
configurar e testar de forma incremental. Antes de implementar qualquer dispositivo
sem fio, verifique a rede existente e o acesso à Internet para os hosts cabeados. Inicie a
processo de implementação de WLAN com um único ponto de acesso e um único
cliente, sem habilitar a segurança sem fio. Verifique se o cliente para rede sem fio
recebeu um endereço IP de DHCP e se ele pode executar ping do roteador padrão
cabeado local e, em seguida, navegue até a Internet externa. Por fim, configure a
segurança sem fio com o WPA2. Só use o WEP se o hardware não suportar o WPA.
A maioria dos pontos de acesso foi criada para vir com as configurações padrão
funcionais diretamente de fábrica. É recomendável alterar as configurações padrão
iniciais. Muitos pontos de acesso podem ser configurados por uma interface de web
gráfica do usuário.
Uma tela aparece solicitando seu nome de usuário e sua senha. Deixe o campo
Username em branco. Digite admin no campo Password. Essas são as configurações
padrão para um Linksys WRT300N. Se o dispositivo já tiver sido configurado, o nome
de usuário e a senha podem ter sido alterados. Clique em OK para continuar.
Para uma instalação de rede básica, use as telas seguintes, como aparecem quando você
clica nos botões Setup, Management e Wireless na figura:
Faça as alterações necessárias pelo utilitário. Quando terminar de fazer alterações a uma
tela, clique no botão Save Settings ou no botão Cancel Changes para desfazer suas
alterações. Para obter informações sobre uma guia, clique em Help.
Página 2:
A tela Basic Setup é a primeira tela que você vê ao acessar o utilitário baseado na web.
Clique na guia Wireless e então selecione a guia Basic Wireless Settings.
Clique nos botões ao longo da parte inferior da figura para uma exibição da interface
gráfica do usuário para cada configuração.
Network Mode (Modo de rede) - Se você tiver dispositivos Wireless-N (sem fio
N), Wireless-G (sem fio G) e 802.11b em sua rede, mantenha a configuração
padrão Mixed. Se você tiver dispositivos Wireless-G e 802.11b, selecione BG-
Mixed. Se você só tiver dispositivos Wireless-N, selecione Wireless-N Only.
Se você só tiver dispositivos Wireless-G, selecione Wireless-G Only. Se você
só tiver dispositivos Wireless-B, selecione Wireless-B Only. Se você desejar
desabilitar a rede sem fio, selecione Disabled.
Network Name (SSID) (Nome de rede) - O SSID é o nome de rede
compartilhado entre todos os pontos em uma rede sem fio. O SSID deve ser
idêntico para todos os dispositivos na rede sem fio. Diferencia maiúsculas e
minúsculas, e não deve exceder 32 caracteres (use qualquer caractere no
teclado). Para segurança adicional, você deve alterar o SSID padrão (linksys)
para um nome exclusivo.
SSID Broadcast (Broadcast de SSID) - Quando clientes para rede sem fio
procuram redes sem fio na área local para associarem-se a elas, eles detectam o
broadcast de SSID pelo ponto de acesso. Para transmitir o SSID, mantenha a
configuração padrão Enabled (Habilitado). Se você não desejar transmitir o
SSID, selecione Disabled (Desabilitado). Quando terminar de fazer alterações à
tela, clique no botão Save Settings, ou no botão Cancel Changes para desfazer
suas alterações. Para obter mais informações, clique em Ajuda.
Radio Band (Faixa de rádio) - Para melhor desempenho em uma rede que usa
dispositivos Wireless-N, Wireless-G e Wireless-B, mantenha o padrão Auto.
Para dispositivos Wireless-N apenas, selecione Wide - 40MHz Channel. Para
redes Wireless-G e Wireless-B apenas, selecione Standard - 20MHz Channel.
Wide Channel (Canal amplo) - Se você tiver selecionado Canal amplo de
40MHz para a configuração da Radio Band, esta configuração estará disponível
para seu canal Wireless-N primário. Selecione qualquer canal no menu
suspenso.
Standard Channel (Canal amplo) - Selecione o canal para redes Wireless-N,
Wireless-G e Wireless-B. Se você tiver selecionado Canal amplo de 40MHz
para a configuração da Radio Band, o canal padrão será um canal secundário
para Wireless-N.
Página 3:
Configuração de segurança
Essas configurações definem a segurança de sua rede sem fio. Há sete modos de
segurança sem fio suportados pelo WRT300N, listados aqui na ordem em que você os
vê na interface gráfica do usuário, do mais fraco para o mais forte, com exceção da
última opção, que é desabilitada:
WEP
PSK-Personal ou WPA-Personal em firmware v0.93.9 ou mais recente
PSK2-Personal ou WPA2-Personal em firmware v0.93.9 ou mais recente
PSK-Enterprise, ou WPA-Enterprise em firmware v0.93.9 ou mais recente
PSK2-Enterprise, ou WPA2-Enterprise em firmware v0.93.9 ou mais recente
RADIUS
Disabled
Você aprendeu que WEP é um modo de segurança com falhas. PSK2, que é o mesmo
que o WPA2 ou o IEEE 802.11i, é a opção favorita para a maior segurança. Se o WPA2
é o melhor, você deve estar se perguntando por que há tantas outras opções. A resposta
é que muitas redes locais sem fio suportam dispositivos sem fio antigos. Como todos os
dispositivos de cliente que se associam a um ponto de acesso devem executar o mesmo
modo de segurança que o ponto de acesso executa, o ponto de acesso precisa ser
definido para suportar o dispositivo que executa o modo de segurança mais fraco. Todos
os dispositivos de rede local sem fio fabricados após março de 2006 devem poder
suportar o WPA2, ou no caso de roteadores Linksys, PSK2, conforme os dispositivos
são atualizados, você pode comutar seu modo de segurança de rede para PSK2.
A opção RADIUS disponível para um roteador para rede sem fio Linksys permite que
você use um servidor RADIUS em combinação com o WEP.
Clique nos botões ao longo da parte inferior da figura para uma exibição da interface
gráfica do usuário para cada configuração.
Quando terminar de fazer alterações à tela, clique no botão Save Settings, ou no botão
Cancel Changes para desfazer suas alterações.
Página 1:
Quando o ponto de acesso tiver sido configurado, você precisará configurar a placa de
rede sem fio em um dispositivo de cliente para que o ponto de acesso possa se conectar
à rede sem fio. Você também deverá verificar se o cliente para rede sem fio se conectou
com êxito à rede sem fio correta, especialmente porque pode haver muitas WLANs
disponíveis às quais se conectar. Apresentaremos também alguns passos básicos de
identificação e solução de problemas para identificar problemas comuns relacionados à
conectividade de WLAN.
Se seu PC for equipado com uma placa de rede sem fio, você estará pronto para fazer
uma busca por redes sem fio. PCs que executam o Microsoft Windows XP têm um
monitor de redes sem fio interno e um utilitário de cliente. Você pode ter um utilitário
diferente instalado e selecionado como preferência à versão nativa do Microsoft
Windows XP.
As etapas abaixo são para o uso do recurso de exibição de redes sem fio no Microsoft
Windows XP.
Etapa 3. Observe as redes sem fio que sua placa de rede sem fio pôde detectar.
Se você tiver uma WLAN que não esteja aparecendo na lista de redes, talvez o
broadcast de SSID esteja desabilitado no ponto de acesso. Se esse for o caso, você
deverá digitar o SSID manualmente.
Página 2:
Depois de haver configurado o ponto de acesso para autenticar clientes com um tipo de
segurança forte, você deverá corresponder a sua configuração de cliente aos parâmetros
de ponto de acesso. Os passos seguintes descrevem a configuração dos parâmetros de
segurança de rede sem fio no cliente:
Etapa 4. Na guia Wireless Networks, clique no botão Add. Além disso, você pode
salvar vários perfis sem fio com parâmetros de segurança diferentes para se conectar
rapidamente às WLANs que você usa regularmente.
Página 3:
Página 4:
Nesta atividade, você fará a configuração de um roteador para rede sem fio Linksys,
permitindo acesso remoto de PCs, bem como a conectividade sem fio com segurança
WEP.
São fornecidas instruções detalhadas na atividade, bem como no link do arquivo PDF
abaixo.
Página 1:
Você já deve estar familiarizado com os primeiros três passos da abordagem sistemática
de identificação e solução de problemas por trabalhar com redes locais Ethernet 802.3.
Eles são repetidos aqui no contexto da WLAN:
Se a conectividade continuar falhando, talvez algo esteja errado com o ponto de acesso
ou com a configuração dele.
Página 2:
Atenção: Não atualize o firmware a menos que você tenha problemas com o ponto de
acesso, ou o novo firmware tenha um recurso que você queira utilizar.
O firmware para um dispositivo Linksys, como o que é usado nos laboratórios deste
curso, é atualizado com o uso do utilitário baseado na Web. Siga estas instruções:
Etapa 1. Faça download do firmware pela web. Para um Linksys WTR300N, acesse
http://www.linksys.com.
Etapa 5. Insira o local do arquivo de firmware ou clique no botão Browse para localizar
o arquivo.
Página 1:
A maioria das WLANs opera atualmente na faixa de 2,4 GHz, que pode ter até 14
canais, cada um ocupando 22 MHz de largura de banda. A alimentação não é distribuída
de maneira uniforme para todos os 22 MHz; o canal é mais forte em sua frequência
central, e a alimentação diminui conforme se aproxima das extremidades do canal. O
conceito de alimentação decrescente em um canal é mostrado pela linha curva usada
para indicar cada canal. O ponto alto no meio de cada canal é o ponto de alimentação
mais alta. A figura mostra uma representação gráfica dos canais na faixa de 2,4 GHz.
Página 1:
Resolvendo interferência de RF
Configurações de canal incorretas fazem parte do grupo maior de problemas com
interferência de RF. Administradores de WLAN podem controlar a interferência
causada por configurações de canal com um bom planejamento, incluindo o
espaçamento de canais apropriado.
Outras fontes de interferência de RF podem ser encontradas por todo o seu local de
trabalho ou em casa. Talvez você já tenha visto aquele chuviscado que aparece na tela
da televisão quando alguém está usando um aspirador de pó por perto. Esse tipo de
interferência pode ser moderado com um bom planejamento. Por exemplo, planeje
colocar fornos micro-ondas longe de pontos de acesso e clientes potenciais.
Infelizmente, é impossível planejar uma maneira de evitar todos os problemas de
interferência de RF possíveis porque as possibilidades são muitíssimas.
O problema com dispositivos como telefones sem fio, babás eletrônicas e fornos micro-
ondas é que eles não fazem parte de um BSS. Portanto, eles não competem pelo canal;
eles simplesmente utilizam-no. Como descobrir quais canais em uma área estão mais
congestionados?
Pesquisa do local
Em ambientes mais congestionados, uma pesquisa do local pode ser necessária. Embora
pesquisas do local não façam parte deste curso, vale a pena saber que há duas categorias
de pesquisa do local: manual e com auxílio de utilitário.
Pesquisas manuais do local podem incluir uma avaliação do local seguida por uma
pesquisa do local mais completa com auxílio de utilitário. Uma avaliação do local
envolve a inspeção da área com o objetivo de identificar problemas significativos que
possam afetar a rede. Especificamente, verifique se há várias WLANs, estruturas
modernas de edifícios, como andares abertos e átrios, e altas variações de uso de cliente,
como as causadas pelas diferenças entre o número de pessoas que trabalham em período
diurno e noturno.
Como outra opção, estão disponíveis ferramentas sofisticadas que permitem inserir a
planta das instalações. Você pode começar um registro das características de RF do site
que são mostradas na planta conforme você se movimenta pelas instalações com seu
laptop sem fio. Um exemplo de uma saída de dados da pesquisa de local Airmagnet é
exibido na captura de tela 2 na figura.
Parte das vantagens das pesquisas de local com auxílio de utilitário é que a atividade de
RF nos vários canais das várias faixas não licenciadas (900 MHz, 2,4 GHz e 5 GHz) é
documentada, e você pode então escolher canais para sua WLAN, ou pelo menos
identificar áreas de atividade de RF alta e tomar as medidas necessárias.
7.4.4 Resolver problemas de acesso ao rádio e de firmware
Página 1:
Neste tópico, você aprenderá a identificar quando um ponto de acesso está colocado
incorretamente, e como colocar o ponto de acesso corretamente em uma pequena ou
grande empresa.
Você pode ter utilizado uma WLAN que simplesmente não parecia funcionar como
deveria. Talvez você esteja constantemente perdendo associação com um ponto de
acesso, ou suas taxas de dados estejam muito mais baixas do que deveriam ser. Talvez
tenha até dado uma volta pelas instalações para certificar-se de que podia realmente ver
os pontos de acesso. Havendo confirmado que eles estão no lugar, você se pergunta por
que o desempenho continua baixo.
Página 1:
Neste capítulo, discutimos a evolução dos padrões de redes locais sem fio, incluindo o
IEEE 802.11a, b, g e agora, n, em fase de teste. Padrões mais novos levam em conta a
necessidade de suportar voz e vídeo e a qualidade de serviço requerida.
Métodos como filtragem de endereço MAC e mascaramento de SSID podem fazer parte
da implementação de uma prática recomendada de segurança, mas esses métodos
sozinhos são facilmente driblados por um invasor determinado. A autenticação de
WPA2 e 802.1x fornece acesso altamente seguro a redes locais sem fio em uma rede
empresarial.
Usuários finais têm que configurar placas de rede sem fio em suas estações de cliente,
as quais se comunicam com e se associam a um ponto de acesso sem fio. O ponto de
acesso as placas de rede sem fio devem ser configurados com parâmetros semelhantes,
inclusive SSID, antes de a associação ser possível. Ao configurar uma rede local sem
fio, assegure-se de que os dispositivos tenham o firmware mais recente para poderem
suportar as opções de segurança mais estritas. Além de assegurar a configuração
compatível das definições de segurança sem fio, a identificação e a solução de
problemas de redes locais sem fio envolvem a solução de problemas de RF.