CCNA Exploration Module2

CCNA Exploration - Comutação de rede
local e sem fio

1 Design de rede local
1.0 Introdução do capítulo
1.0.1 Introdução do capítulo
Página 1:
Para pequenas e médias empresas, a comunicação digital utilizando dados, voz e vídeo é
essencial para sua sobrevivência. Logo, uma rede local (LAN) projetada corretamente é
um requisito fundamental para fazer negócios atualmente. Você deve ser capaz de
reconhecer uma rede local bem projetada e escolher os dispositivos para suportar as
especificações da rede de uma empresa pequena ou média.
Neste capítulo, você começará a explorar a arquitetura da rede local comutada e alguns
dos princípios usados para projetar uma rede hierárquica. Você obterá informações
sobre redes convergidas. Você também saberá como escolher o switch correto para uma
rede hierárquica e que switches Cisco são os mais apropriados para cada camada de
rede. As atividades e os laboratórios confirmam e reforçam sua aprendizagem.
Exibir meio visual
1.1 Arquitetura da rede local comutada
1.1.1 O modelo de rede hierárquico
Página 1:
Ao criar uma rede local que atenda às necessidades uma empresa pequena ou média, é
mais provável que haja êxito no seu plano caso seja usado um modelo de design
hierárquico. Comparada com outros designs de rede, uma rede hierárquica é mais fácil
de gerenciar e expandir, e os problemas são resolvidos mais rapidamente.
O design de rede hierárquico envolve a divisão da rede em camadas discretas. Cada

camada fornece funções específicas que definem sua função dentro da rede geral.
Separando as várias funções existentes em uma rede, o design de rede fica modular, o
que facilita a escalabilidade e o desempenho. O modelo de design hierárquico típico é
dividido em até três camadas: acesso, distribuição e núcleo. Um exemplo de um design
de rede hierárquico de três camadas é exibido na figura.
Camada de acesso
A camada de acesso faz interface com dispositivos finais, como PCs, impressoras e
telefones IP, para fornecer acesso ao restante da rede. Na camada de acesso podem estar
roteadores, switches, bridges, hubs e pontos de acesso wireless (AP). O principal
propósito da camada de acesso é fornecer um meio de conectar dispositivos à rede e
controlar quais têm permissão de comunicação na rede.
Passe o mouse sobre o botão ACESSO na figura.
Camada de distribuição
A camada de distribuição agrega os dados recebidos dos switches da camada de acesso

antes de serem transmitidos para a camada de núcleo para que haja o roteamento até seu
destino final. A camada de distribuição controla o fluxo do tráfego da rede usando
políticas e determina domínios de broadcast, realizando funções de roteamento entre
redes locais virtuais (VLANs) definidas na camada de acesso. As VLANs permitem
segmentar o tráfego de um switch em sub-redes separadas. Por exemplo, em uma
universidade, você pode separar o tráfego de acordo com o corpo docente, os alunos e
os convidados. Switches da camada de distribuição costumam ser dispositivos de alto
desempenho que têm alta disponibilidade e redundância para assegurar a confiabilidade.
Você obterá mais informações sobre VLANs, domínios de broadcast e roteamento entre
VLANs posteriormente neste curso.
Passe o mouse sobre o botão DISTRIBUIÇÃO na figura.
Camada de núcleo
A camada de núcleo do design hierárquico é o backbone de alta velocidade das redes

interconectadas. Como a camada de núcleo é essencial à interconectividade entre os
dispositivos da camada de distribuição, é importante que o núcleo seja altamente
disponível e redundante. A área do núcleo também pode se conectar a recursos de
Internet. Como o núcleo agrega o tráfego de todos os dispositivos da camada de
distribuição, ele deve ser capaz de encaminhar grandes quantidades de dados
rapidamente.
Passe o mouse sobre o botão NÚCLEO na figura.
Nota: Em redes menores, não é incomum implementar um modelo de núcleo

recolhido, no qual a camada de distribuição e a camada de núcleo são integradas em
uma só camada.
Exibir meio visual
Página 2:
Uma rede hierárquica em uma empresa de médio porte
Vejamos o modelo de rede hierárquico aplicado a uma empresa. Na figura, as camadas

de acesso, distribuição e núcleo estão separadas em uma hierarquia bem definida. Essa
representação lógica facilita ver a função desempenhada pelos switches. É muito mais
difícil ver essas camadas hierárquicas quando a rede é instalada em uma empresa.
Clique no botão Layout físico na figura.
A figura mostra dois andares de um edifício. Os computadores e os dispositivos de rede

do usuário que precisam de acesso à rede estão em um andar. Os recursos, como
servidores de e-mail e servidores de banco de dados, estão localizados em outro andar.
Para assegurar que cada andar tenha acesso a rede, os switches das camadas de acesso e
de distribuição são instalados nos wiring closets de cada andar e conectados a todos os
dispositivos que precisam de acesso à rede. A figura mostra um rack pequeno de
switches. Os switches das camadas de acesso e de distribuição estão um sobre o outro
no armário de instalação elétrica.
Embora o switch da camada de núcleo e os demais da camada de distribuição não sejam

mostrados, é possível ver como o layout físico de uma rede é diferente do layout lógico
de uma rede.
Exibir meio visual
Página 3:
Benefícios de uma rede hierárquica
Há muitos benefícios associados aos designs de rede hierárquica.
Escalabilidade
A escala das redes hierárquicas é muito boa. A modularidade do design permite replicar
elementos de design na medida em que a rede cresce. Como cada instância do módulo é
consistente, é fácil de planejar e implementar a expansão. Por exemplo, se o modelo de
design consistir em dois switches da camada de distribuição para dez switches da
camada de acesso, será possível continuar adicionando switches da camada de acesso
até que haja dez switches da camada de acesso em conexão cruzada com os dois
switches da camada de distribuição antes que seja necessário acrescentar switches da
camada de distribuição adicionais à topologia de rede. Além disso, na medida em que
adiciona mais switches da camada de distribuição para acomodar a carga dos switches
da camada de acesso, você pode acrescentar switches da camada de núcleo adicionais
para tratar a carga adicional no núcleo.
Redundância
Na medida em que uma rede cresce, a disponibilidade se torna mais importante. Você
pode aumentar drasticamente a disponibilidade por meio de implementações
redundantes simples com redes hierárquicas. Os switches da camada de acesso são
conectados a dois switches da camada de distribuição diferentes para assegurar uma
redundância de caminho. Caso haja falha nos switches da camada de distribuição, o
switch da camada de acesso pode comutar para o outro switch da camada de
distribuição. Além disso, os switches da camada de distribuição são conectados a dois
ou mais switches da camada de núcleo para assegurar uma disponibilidade de caminho
em caso de falha de um dos switches do núcleo. A única camada onde a redundância
está limitada é a camada de acesso. Normalmente, os dispositivos de nó finais, como
PCs, impressoras e telefones IP, não têm a capacidade de se conectar a vários switches
da camada de acesso para ter uma redundância. Se houvesse falha em um switch da
camada de acesso, apenas os dispositivos conectados a ele seriam afetados pela queda.
O restante da rede continuaria funcionando sem ser afetado.
Desempenho
Comunicação cujo desempenho é aprimorado, evitando-se a transmissão de dados por

meio de switches intermediários de baixo desempenho. Os dados são enviados por meio
de links de porta de switch agregados da camada de acesso até a camada de distribuição
com aproximadamente a velocidade do fio na maioria dos casos. Em seguida, a camada
de distribuição usa suas funções de comutação de alto desempenho para encaminhar o
tráfego até o núcleo, onde é roteado até seu destino final. Como as camadas do núcleo e
de distribuição executam suas operações em velocidades muito altas, há menos
contenção para a largura de banda da rede. Dessa forma, redes hierárquicas criadas
corretamente podem chegar próximo à velocidade do fio entre todos os dispositivos.
Segurança
A segurança é aprimorada e mais fácil de gerenciar. Os switches da camada de acesso

podem ser configurados com várias opções de segurança de porta que fornecem controle
sobre que dispositivos têm permissão para se conectar à rede. Você também tem a
flexibilidade de usar políticas de segurança mais avançadas na camada de distribuição.
Convém aplicar políticas de controle de acesso que definam quais protocolos de
comunicação são implantados na rede e onde eles têm permissão para avançar. Por
exemplo, se quisesse limitar o uso de HTTP a uma comunidade de usuários específica
conectada na camada de acesso, você poderia aplicar uma política que bloqueasse o
tráfego HTTP na camada de distribuição. Restringir o tráfego com base em protocolos
de camada mais altos, como IP e HTTP, exige que os switches possam processar
políticas nessa camada. Alguns switches da camada de acesso suportam a
funcionalidade de Camada 3, mas esse costuma ser o trabalho dos switches da camada
de distribuição para processar dados da Camada 3, porque eles podem processá-los com
muito mais eficiência.
Gerenciabilidade
A gerenciabilidade é relativamente simples em uma rede hierárquica. Cada camada do

design hierárquico executa funções específicas, consistentes ao longo de toda a camada.
Por isso, se precisasse alterar a funcionalidade de um switch da camada de acesso, você
poderia repetir essa alteração em todos os switches da camada de acesso na rede porque
eles devem executar as mesmas funções em sua camada. A implantação de novos
switches também é simplificada porque as configurações de switch podem ser copiadas
entre dispositivos com pouquíssimas modificações. A consistência entre os switches em
cada camada permite uma rápida recuperação e uma solução de problemas mais
simples. Em algumas situações especiais, talvez haja inconsistências na configuração
entre dispositivos, logo, você deve assegurar que as configurações sejam bem
documentadas para que você possa compará-las antes da implantação.
Sustentabilidade
Como as redes hierárquicas são modulares por natureza e a escalabilidade é muito boa,
elas são fáceis de serem mantidas. Com outros designs da topologia de rede, a
gerenciabilidade fica cada vez mais complicada na medida em que a rede cresce. Além
disso, em alguns modelos de design de rede, há um limite claro quanto ao tamanho a
que a rede pode chegar antes de se tornar complicada e de manutenção cara. No modelo
de design hierárquico, as funções do switch são definidas em cada camada, o que
simplifica a seleção do switch correto. Adicionar switches a uma camada não
necessariamente significa que não haverá um gargalo ou outra limitação em outra
camada. Para que uma topologia de rede em malha completa atinja o desempenho
máximo, todos os switches precisam ser switches de alto desempenho, porque cada um
precisa ser capaz de executar todas as funções da rede. No modelo hierárquico, as
funções de switch são diferentes em cada camada. Você pode economizar, usando
switches da camada de acesso mais baratos na camada mais baixa e gastar mais nas
camadas de distribuição e do núcleo para obter um alto desempenho na rede.
Exibir meio visual
1.1.2 Princípios do design de rede hierárquico
Página 1:
Princípios do design de rede hierárquico
Só porque uma rede parece ter um design hierárquico não significa que ela foi bem
projetada. Estas diretrizes simples ajudarão a diferenciar redes hierárquicas bem e mal
projetadas. Esta seção não pretende fornecer todas as habilidades e o conhecimento de
que você precisa para criar uma rede hierárquica, mas oferece uma oportunidade de
começar a praticar suas habilidades, transformando uma topologia de rede plana em
uma topologia de rede hierárquica.
Diâmetro da rede
Durante a criação de uma topologia de rede hierárquica, a primeira coisa a ser
considerada é o diâmetro da rede. O diâmetro costuma ser uma medida de distância,
mas, neste caso, estamos usando o termo para medir o número de dispositivos. O
diâmetro da rede é o número de dispositivos que um pacote precisa cruzar antes de
chegar até seu destino. Manter o diâmetro da rede baixo assegura uma latência baixa e
previsível entre os dispositivos.
Passe o mouse sobre o botão Diâmetro da rede na figura.
Na figura, PC1 se comunica com PC3. Talvez haja até seis switches interconectados
entre PC1 e PC3. Neste caso, o diâmetro da rede é 6. Cada switch no caminho apresenta
algum grau de latência. A latência do dispositivo de rede é o tempo gasto por um
dispositivo quando ele processa um pacote ou quadro. Cada switch precisa determinar o
endereço MAC de destino do quadro, verificar sua tabela de endereços MAC e
encaminhar o quadro pela porta apropriada. Mesmo que todo o processo ocorra em uma
fração de segundo, aumenta o tempo quando o quadro precisa cruzar muitos switches.
No modelo hierárquico de três camadas, a segmentação de Camada 2 na camada de

distribuição praticamente elimina o diâmetro da rede como problema. Em uma rede
hierárquica, o diâmetro da rede sempre será um número previsível de saltos entre os
dispositivos de origem e de destino.
Agregação da largura de banda
Cada camada no modelo de rede hierárquico é uma possível candidata à agregação da

largura de banda. A agregação da largura de banda é a prática de considerar os
requisitos de largura de banda específicos de cada parte da hierarquia. Depois que os
requisitos de largura de banda da rede são conhecidos, os links entre os switches
específicos podem ser agregados, o que é chamado de agregação de link. A agregação
de link permite a integração de vários links de porta de switch, o que proporciona maior
produtividade entre os switches. A Cisco tem uma tecnologia de agregação de link
própria chamada EtherChannel, que permite a consolidação de vários links Ethernet.
Uma discussão da EtherChannel está além do escopo deste curso. Para saber mais,
visite:
http://www.cisco.com/en/US/tech/tk389/tk213/tsd_technology_support_protocol_home.
html (em inglês).
Passe o mouse sobre o botão Agregação da largura de banda na figura.

Na figura, os computadores PC1 e PC3 exigem uma quantidade significativa de largura
de banda porque são usados para desenvolver simulações climáticas. O gerente de rede
determinou que os switches da camada de acesso S1, S3 e S5 exigem uma largura de
banda maior. Acompanhando a hierarquia, esses switches da camada de acesso se
conectam aos switches de distribuição D1, D2 e D4. Os switches da camada de acesso
se conectam aos switches da camada de núcleo C1 e C2. Observe como links
específicos em portas específicas em cada switch são agregados. Dessa forma, uma
largura de banda maior é fornecida para uma parte específica da rede. Observe que,
nesta figura, os links agregados são indicados por duas linhas pontilhadas com uma
elipse ligando-os. Em outras figuras, os links agregados são representados por uma
única linha pontilhada com uma elipse.
Redundância
Redundância é uma parte da criação de uma rede altamente disponível. A redundância

pode ser fornecida de várias formas. Por exemplo, é possível duplicar as conexões de
rede entre dispositivos ou duplicar os próprios dispositivos. Este capítulo explora como
empregar caminhos de rede redundantes entre switches. Uma discussão sobre como
duplicar dispositivos de rede e empregar protocolos de rede especiais para assegurar alta
disponibilidade está além do escopo deste curso. Para ver uma discussão interessante
sobre alta disponibilidade, visite:
http://www.cisco.com/en/US/products/ps6550/products_ios_technology_home.html
(em inglês).
Implementar links redundantes pode ser caro. Imagine se todos os switches em cada
camada da hierarquia de rede tivesse uma conexão com todos os switches na próxima
camada. É improvável que você consiga implementar redundância na camada de acesso
por causa do custo e dos recursos limitados nos dispositivos finais, mas você pode criar
uma redundância nas camadas de distribuição e do núcleo da rede.
Passe o mouse sobre o botão Links redundantes na figura.
Na figura, os links redundantes são mostrados nas camadas de distribuição e do núcleo.

Na camada de distribuição, há dois switches da camada de distribuição, o mínimo
exigido para suportar redundância nessa camada. Os switches da camada de acesso, S1,
S3, S4 e S6, são conectados de maneira cruzada aos switches da camada de distribuição.
Isso protege sua rede em caso de falha de um dos switches de distribuição. No caso de
uma falha, o switch da camada de acesso ajusta seu caminho de transmissão e
encaminha o tráfego até o outro switch de distribuição.
Alguns cenários de falha na rede jamais podem ser evitados, por exemplo, se acaba a
energia na cidade inteira, ou se todo o edifício é demolido por causa de um terremoto. A
redundância não tenta resolver esses tipos de desastres.
Comece na camada de acesso
Imagine que um novo design de rede seja obrigatório. Requisitos de design, como o
nível de desempenho ou a redundância necessária, são determinados pelas metas
comerciais da organização. Quando os requisitos de design são documentados, o
designer pode começar a escolher o equipamento e a infra-estrutura para implementar o
design.
Ao iniciar a seleção de equipamento na camada de acesso, você pode assegurar que

acomoda todos os dispositivos de rede que precisam de acesso à rede. Depois de
contabilizar todos os dispositivos finais, você tem uma idéia melhor de quantos switches
da camada de acesso você precisa. O número de switches da camada de acesso, e o
tráfego estimado que cada um gera, ajuda a determinar quantos switches da camada de
distribuição são obrigatórios para obter o desempenho e a redundância necessários para
a rede. Depois de determinar o número de switches da camada de distribuição, você
poderá identificar quantos switches do núcleo são obrigatórios para manter o
desempenho da rede.
Uma discussão completa sobre como determinar que switch escolher com base no fluxo
de tráfego e quantos switches do núcleo são obrigatórios para manter o desempenho está
além do escopo deste curso. Para uma boa introdução ao design de rede, leia este livro,
disponível em Ciscopress.com: Top-Down Network Design de Priscilla Oppenheimer
(2004).
Exibir meio visual
1.1.3 O que é uma rede convergente?
Página 1:
As pequenas e médias empresas estão aceitando a idéia de executar serviços de voz e de
vídeo em suas redes de dados. Vejamos como voz e vídeo sobre IP (VoIP) afetam uma
rede hierárquica.
Equipamento legado
Convergência é o processo de integrar comunicação por voz e vídeo em uma rede de

dados. As redes convergentes já existem há algum tempo, mas só eram possíveis em
organizações de grande porte por causa dos requisitos de infra-estrutura da rede e do
gerenciamento complexo envolvido para que elas funcionassem sem apresentar
problemas. Havia custos altos de rede associados à convergência porque um hardware
de switch mais caro era obrigatório para suportar os requisitos de largura de banda
adicionais. As redes convergentes também exigiam um amplo gerenciamento em
relação à Qualidade de Serviço (QoS), porque o tráfego de dados de voz e de vídeo
precisava ser classificado e priorizado na rede. Poucas pessoas tinham experiência em
redes de voz, vídeo e dados para viabilizar a convergência e torná-la funcional. Além
disso, o equipamento legado impede o processo. A figura mostra o switch legado de
uma empresa telefônica. A maioria das empresas telefônicas fez a transição para
switches digitais. No entanto, como há muitos escritórios que continuam usando
telefones analógicos, eles ainda têm os wiring closets dos telefones analógicos
existentes. Como os telefones analógicos ainda não foram substituídos, você também
verá o equipamento que precisa suportar os sistemas telefônicos legados e PABX, além
dos telefones baseados em IP. Esse tipo de equipamento será migrado lentamente para
switches telefônicos modernos com base em IP.
Clique no botão Tecnologia avançada na figura.
Tecnologia avançada
As redes de voz, vídeo e dados convergentes se tornaram mais populares recentemente

no mercado de pequenas e médias empresas por conta dos avanços feitos na tecnologia.
Agora a convergência é mais fácil de implementar e gerenciar, além de ser mais barata.
A figura mostra uma integração entre telefone VoIP e switch apropriada a uma empresa
de médio porte entre 250 e 400 funcionários. A figura também mostra um switch Cisco
Catalyst Express 500 e um telefone Cisco 7906G apropriados a empresas de médio
porte. Essa tecnologia VoIP só costumava ser acessível a empresas e governos.
Migrar para uma rede convergente pode ser uma decisão difícil caso a empresa já tenha
investido em redes de voz, vídeo e dados separadas. É difícil abandonar um
investimento que continua funcionando, mas há várias vantagens na convergência de
voz, vídeo e dados em uma única infra-estrutura de rede.
Um benefício de uma rede convergente é que existe apenas uma rede para gerenciar.
Com redes de voz, vídeo e dados separadas, as alterações feitas na rede precisam ser
coordenadas através da rede. Também há custos adicionais resultantes de usar três
conjuntos de cabeamento de rede. Usar uma única rede significa que você precisa
gerenciar apenas uma infra-estrutura cabeada.
Outro benefício são os custos mais baixos de implementação e de gerenciamento. É

mais barato implementar uma única infra-estrutura de rede do que três infra-estruturas
de rede distintas. Gerenciar uma única rede também é mais barato. Tradicionalmente, se
uma empresa tiver uma rede de voz e de dados separada, ela terá um grupo de pessoas
gerenciando a rede de voz e outro gerenciando a rede de dados. Com uma rede
convergente, você tem um grupo gerenciando as redes de voz e de dados.
Clique no botão Novas opções na figura.
Novas opções
As redes convergentes dão opções que não existiam até então. Agora você pode vincular
a comunicação por voz e vídeo diretamente ao sistema de computador pessoal de um
funcionário, conforme mostrado na figura. Não há nenhuma necessidade de um
monofone caro ou de um equipamento de videoconferência. É possível realizar a mesma
função usando um software especial integrado a um computador pessoal. Softphones,
como o Cisco IP Communicator, oferecem muita flexibilidade para as empresas. A
pessoa no canto superior esquerdo da figura está usando um softphone no computador.
Quando o software é usado em lugar de um telefone físico, uma empresa pode converter
rapidamente para redes convergentes, porque não há nenhuma grande despesa na
compra de telefones IP e dos switches necessários para alimentar os telefones. Com a
adição de webcams baratas, as videoconferências podem ser adicionadas a um
softphone. Esses são apenas alguns exemplos fornecidos por um portfólio de soluções
em comunicação mais amplo que redefinem os processos atuais da empresa.
Exibir meio visual

Página 2:
Redes de voz, de vídeo e de dados separadas
Como você pode ver na figura, uma rede de voz contém linhas telefônicas isoladas no
sentido de um switch PABX para permitir a conectividade telefônica com a Rede de
telefonia pública comutada (PSTN). Quando um novo telefone é adicionado, uma nova
linha deve ser acoplada ao PABX. O PABX costuma estar localizado em um wiring
closet telco, separado dos wiring closet de dados e de vídeo. Os wiring closet
normalmente são separados porque pessoal de suporte diferente exige acesso a cada
sistema. No entanto, usando uma rede hierárquica projetada corretamente e
implementando políticas de QoS que priorizem os dados de áudio, os dados de voz
podem ser convergidos em uma rede de dados existente com mínimo ou nenhum
impacto sobre a qualidade de áudio.
Clique no botão Rede de vídeo na figura para ver um exemplo de uma rede de vídeo
separada.
Nessa figura, o equipamento de videoconferência é cabeado separadamente das redes de

voz e de dados. Os dados de videoconferências podem consumir uma largura de banda
significativa de uma rede. Dessa forma, as redes de vídeo foram mantidas
separadamente para permitir o funcionamento do equipamento de videoconferências em
velocidade máxima sem competir pela largura de banda com os fluxos de voz e de
dados. Usando uma rede hierárquica projetada corretamente e implementando políticas
de QoS que priorizem os dados de vídeo, os dados de vídeo podem ser convergidos em
uma rede de dados existente com mínimo ou nenhum impacto sobre a qualidade de
vídeo.
Clique no botão Rede de dados na figura para ver um exemplo de uma rede de dados
separada.
A rede de dados interconecta as estações de trabalho e os servidores em uma rede para

facilitar o compartilhamento de recursos. As redes de dados podem consumir uma
largura de banda de comando significativa, razão pela qual as redes de voz, de vídeo e
de dados foram mantidas segregadas por tanto tempo. Agora que as redes hierárquicas
projetadas corretamente podem acomodar os requisitos de largura de banda da
comunicação de voz, de vídeo e de dados simultaneamente, faz sentido convergi-las em
uma única rede hierárquica.
Exibir meio visual
Página 3:
Exibir meio visual
1.2 Comparando switches com funções de rede local específicas
1.2.1 Considerações sobre switches de rede hierárquica
Página 1:
Análise do fluxo de tráfego
Para escolher o switch apropriado a uma camada em uma rede hierárquica, você precisa
ter as especificações que detalham os fluxos de tráfego de destino, as comunidades de
usuários, os servidores de dados e os servidores de armazenamento de dados.
As empresas precisam de uma rede capaz de atender aos requisitos sempre em evolução.
Uma empresa pode começar com alguns PCs interconectados de forma que eles possam
compartilhar dados. À medida que a empresa adiciona mais funcionários, dispositivos,
como PCs, impressoras e servidores, são adicionados à rede. Acompanhando os novos
dispositivos está um aumento no tráfego da rede. Algumas empresas estão substituindo
seus sistemas de telefonia existentes por sistemas de telefonia de voz sobre IP (VoIP), o
que acrescenta um tráfego adicional.
Ao escolher o hardware do switch, determine quais switches são necessários nas

camadas do núcleo, de distribuição e de acesso para acomodar os requisitos de largura
de banda da sua rede. O seu plano deve levar em conta requisitos de largura de banda
futuros. Compre o hardware do switch Cisco apropriado para acomodar tanto as
necessidades atuais quanto as futuras. Para ajudar a escolher os switches apropriados
com mais precisão, faça e registre análises do fluxo de tráfego regularmente.
Análise do fluxo de tráfego
Análise do fluxo de tráfego é o processo de medir o uso da largura de banda em uma

rede e de analisar os dados com a finalidade de ajustar o desempenho, planejar a
capacidade e tomar decisões quanto à melhoria do hardware. A análise do fluxo de
tráfego é feita usando o software de análise do fluxo de tráfego. Embora não haja
nenhuma definição precisa do fluxo de tráfego da rede, tendo em vista a análise do fluxo
de tráfego, podemos dizer que o tráfego da rede é a quantidade de dados enviados por
meio de uma rede durante um determinado período. Todos os dados da rede contribuem
para o tráfego, independentemente de seu propósito ou origem. Analisar as várias
origens de tráfego e seu impacto na rede permite ajustar com mais precisão e atualizar a
rede para obter o melhor desempenho possível.
Os dados do fluxo de tráfego podem ser usados para ajudar a determinar quanto tempo
você pode continuar usando o hardware de rede existente antes que se justifique
atualizar para acomodar os requisitos de largura de banda adicionais. Ao tomar suas
decisões sobre que hardware comprar, você deve considerar as densidades de porta e as
taxas de encaminhamento do switch para assegurar uma função de crescimento
apropriada. As taxas de encaminhamento e de densidade de porta serão explicadas
posteriormente neste capítulo.
Há muitas formas de monitorar o fluxo de tráfego em uma rede. É possível monitorar as

portas individuais do switch manualmente para obter a utilização da largura de banda
com o passar do tempo. Ao analisar os dados do fluxo de tráfego, você deseja
determinar requisitos futuros do fluxo de tráfego com base na capacidade em
determinadas horas do dia e onde grande parte dos dados é gerada e enviada. No
entanto, para obter resultados precisos, você precisa registrar dados o suficiente.
Registrar manualmente os dados de tráfego é um processo entediante que exige muito
tempo e dedicação. Felizmente, há algumas soluções automatizadas.
Ferramentas de análise
Há muitas ferramentas de análise de fluxo do tráfego que registram dados do fluxo de

tráfego em um banco de dados e fazem uma análise da tendência disponíveis. Em redes
maiores, as soluções em coleta de software são o único método efetivo para executar
uma análise do fluxo de tráfego. A figura exibe um exemplo da Solarwinds Orion 8.1
NetFlow Analysis, que monitora o fluxo de tráfego em uma rede. Enquanto o software
está coletando dados, é possível ver como cada interface está se saindo em um
determinado momento na rede. Usando os gráficos incluídos, é possível identificar
problemas do fluxo de tráfego visualmente. Isso é muito mais fácil do que precisar
interpretar os números em uma coluna de dados do fluxo de tráfego.
Exibir meio visual

Página 2:
Análise das comunidades de usuários
Análise da comunidade de usuários é o processo de identificação de vários grupos de

usuários e de seu impacto sobre o desempenho da rede. A forma como os usuários são
agrupados afeta aspectos relacionados à densidade de porta e ao fluxo de tráfego, que,
por sua vez, influencia a seleção dos switches da rede. A densidade de porta será
explicada posteriormente neste capítulo.
Em um edifício comercial típico, os usuários finais são agrupados de acordo com seus
cargos, porque eles precisam de acesso semelhante a recursos e aplicativos. Você pode
encontrar o departamento de Recursos Humanos (RH) localizado em um andar de um
edifício comercial, enquanto o de Finanças está localizado em outro andar. Cada
departamento tem um número de usuários e necessidades de aplicativos diferentes,
exigindo acesso a recursos de dados diferentes disponíveis em toda a rede. Por exemplo,
ao selecionar switches para os wiring closets dos departamentos de RH e de finanças,
você escolheria um switch que tivesse portas o suficiente para atender às necessidades
do departamento e fosse bastante eficiente para acomodar os requisitos de tráfego de
todos os dispositivos nesse andar. Além disso, um bom plano de design da rede leva em
conta o crescimento de cada departamento para assegurar que haja portas de switch
disponíveis o suficiente que possam ser utilizadas antes da próxima melhoria planejada
para a rede.
Como mostrado na figura, o departamento de RH requer 20 estações de trabalho para

seus 20 usuários. Isso quer dizer 20 portas de switch necessárias à conexão das estações
de trabalho com a rede. Se fosse selecionar um switch da camada de acesso apropriado
para acomodar o departamento de RH, você provavelmente escolheria um switch com
24 portas que tivesse portas o suficiente para acomodar as 20 estações de trabalho e os
uplinks para os switches da camada de distribuição.
Crescimento futuro
Mas esse plano não leva em conta um crescimento futuro. Considere o que acontecerá
se o departamento de RH receber mais cinco funcionários. Um plano de rede sólido
inclui a taxa de crescimento do pessoal nos últimos cinco anos para ser capaz de prever
o crescimento futuro. Tendo isso em mente, você deseja comprar um switch capaz de
acomodar mais de 24 portas, como os switches empilháveis ou modulares podem
escalar.
Assim também como, observando o número de dispositivos em um determinado switch

de uma rede, você deve investigar o tráfego da rede gerado por aplicativos de usuário
final. Algumas comunidades de usuários usam aplicativos que geram muito tráfego da
rede, enquanto outras comunidades de usuários, não. Medindo o tráfego da rede gerado
para todos os aplicativos sendo usados por comunidades de usuários diferentes e
determinando o local da fonte de dados, é possível identificar o efeito de adicionar mais
usuários a essa comunidade.
Uma comunidade de usuários do tamanho de um grupo de trabalho em uma pequena

empresa é suportada por alguns switches, estando normalmente conectada ao mesmo
switch que o servidor. Em empresas de médio porte, as comunidades de usuários são
suportadas por muitos switches. Os recursos de que as empresas de médio porte ou as
comunidades de usuários corporativos precisam podem estar localizados em áreas
separadas geograficamente. Conseqüentemente, o local das comunidades de usuários
influencia onde armazenamentos de dados e server farms são localizados.
Clique no botão Departamento de finanças na figura.
Se os usuários do departamento de Finanças estiverem usando um aplicativo que use

muito a rede e que troque dados com um servidor específico na rede, talvez faça sentido
localizar a comunidade de usuários do departamento de finanças próximo desse
servidor. Localizando os usuários próximos de seus servidores e armazenamentos de
dados, é possível reduzir o diâmetro da rede para a comunicação, ao mesmo tempo em
que se reduz o impacto do tráfego em todo o resto da rede.
Uma complicação da análise do uso de aplicativo por comunidades de usuários é que

esse uso nem sempre está ligado por departamento ou local físico. Talvez seja
necessário analisar o impacto do aplicativo em muitos switches de rede para determinar
seu impacto geral.
Exibir meio visual
Página 3:
Armazenamentos de dados e análise de servidores de dados

Ao analisar o tráfego em uma rede, considere onde estão localizados os
armazenamentos e os servidores de dados para que seja possível determinar o impacto
do tráfego na rede. Os Data Stores podem ser servidores, storage area networks (SANs),
network-attached storage (NAS), unidades de fita de backup ou qualquer outro
dispositivo ou componente onde grandes quantidades de dados são armazenadas.
Ao considerar o tráfego para armazenamentos de dados e servidores, considere os

tráfegos do modelo cliente/servidor e servidor/servidor.
Como você pode ver na figura, o tráfego cliente/servidor é o tráfego gerado quando um
dispositivo cliente acessa dados dos repositórios de dados ou dos servidores. O tráfego
cliente/servidor normalmente passa por vários switches até alcançar seu destino. A
agregação de largura de banda e as taxas de encaminhamento do switch são fatores
importantes a serem considerados durante a tentativa de eliminação de gargalos para
esse tipo de tráfego.
Clique no botão Comunicação servidor/servidor na figura.
O tráfego servidor/servidor é o tráfego gerado entre dispositivos de armazenamento de

dados na rede. Alguns aplicativos para servidores geram volumes muito altos de tráfego
entre armazenamentos de dados e outros servidores. Para otimizar o tráfego
servidor/servidor, os servidores que precisam de acesso freqüente a determinados
recursos devem estar localizados próximos uns dos outros para que o tráfego gerado por
eles não afete o desempenho do restante da rede. Os servidores e os armazenamentos de
dados costumam estar localizados em data centers dentro de uma empresa. Um data
center é uma área protegida do edifício onde servidores, armazenamentos de dados e
outros equipamentos de rede estão localizados. Um dispositivo pode estar localizado
fisicamente no data center, mas representado em um local bem diferente na topologia
lógica. O tráfego nos switches do data center costuma ser bastante alto devido ao
tráfego servidor/servidor e cliente/servidor que percorre os switches. Dessa forma, os
switches selecionados para data centers devem ser switches de desempenho mais alto
que os switches que você encontraria nos wiring closets na camada de acesso.
Examinando os caminhos de dados para vários aplicativos usados por comunidades de

usuários diferentes, é possível identificar gargalos potenciais em que o desempenho do
aplicativo pode ser afetado pela largura de banda inadequada. Para melhorar o
desempenho, você pode agregar links para acomodar a largura de banda ou substituir os
switches mais lentos por switches mais rápidos capazes de tratar a carga do tráfego.
Exibir meio visual
Página 4:
Diagramas de topologia
Um diagrama de topologia mostra como todos os switches são interconectados,

detalhando até que porta do switch interconecta os dispositivos. Um diagrama de
topologia mostra como todos os switches são interconectados, detalhado até que porta
do switch interconecta os dispositivos. Um diagrama de topologia exibe graficamente
qualquer caminho redundante ou portas agregadas entre os switches que fornecem
resiliência e desempenho. Ele mostra onde e quantos switches estão sendo usados na
rede, bem como também identifica sua configuração. Os diagramas de topologia
também podem conter informações sobre densidades de dispositivo e comunidades de
usuários. Ter um diagrama de topologia permite identificar visualmente gargalos
potenciais no tráfego da rede de forma que seja possível se concentrar na coleta de
dados da análise de tráfego em áreas nas quais as melhorias podem ter o impacto mais
significativo sobre o desempenho.
Pode ser muito difícil montar uma topologia de rede depois, se você não fizer parte do
processo de design. Os cabos de rede nos wiring closets desaparecem no chão e no
telhado, o que dificulta o rastreamento até seus destinos. E como os dispositivos estão
espalhados por todo o edifício, é difícil saber como todos os equipamentos são
conectados entre si. Com paciência, é possível determinar com exatidão como tudo está
interconectado e, em seguida, documentar a infra-estrutura de rede em um diagrama de
topologia.
A figura exibe um diagrama de topologia de rede simples. Observe quantos switches

estão presentes na rede, bem como a forma de interconexão de cada um deles. O
diagrama de topologia identifica cada porta de switch usada na comunicação inter-
switch e nos caminhos redundantes entre os switches das camadas de acesso e de
distribuição. O diagrama de topologia também exibe onde estão localizadas as
diferentes comunidades de usuários na rede e o local dos servidores e dos
armazenamentos de dados.
Exibir meio visual
1.2.2 Recursos do switch
Página 1:
Características físicas do switch
Quais são os principais recursos dos switches usados em redes hierárquicas? Quando
você observa as especificações de um switch, o que significam todos os acrônimos e
frases? O que significa "PoE" e o que é "taxa de encaminhamento"? Neste tópico, você
obterá informações sobre esses recursos.
Ao selecionar um switch, você precisa optar por uma configuração fixa ou modular e
empilhável ou não empilhável. Outra consideração é a espessura do switch expressada
em número de unidades de rack. Por exemplo, todos os Switches de Configuração Fixa
mostrados na figura têm uma unidade de rack (1U). Às vezes, essas opções são
conhecidas como características físicas do switch..
Switches de configuração fixa
Os switches de configuração fixa são exatamente aquilo que você espera, fixos quanto à
sua configuração. Isso significa que não é possível adicionar recursos ou opções ao
switch além dos que acompanham originalmente o switch. O modelo específico que
você compra determina os recursos e as opções disponíveis. Por exemplo, se comprar
um switch fixo gigabit com 24 portas, não será possível adicionar portas quando você
precisar. Normalmente, há opções de configuração diferentes que variam quanto ao
número e aos tipos de portas incluídas.
Switches modulares
Os switches modulares oferecem mais flexibilidade em sua configuração. Os switches

modulares normalmente acompanham um chassi de tamanho diferente que permite a
instalação de várias placas de linha modulares. Na verdade, as placas de linha contêm as
portas. A placa de linha se encaixa no chassi do switch como as placas de expansão
encaixadas em um PC. Quanto maior for o chassi, mais módulos ele poderá suportar.
Como você pode ver na figura, talvez haja muitos tamanhos de chassi diferentes para
escolher. Se comprasse um switch modular com uma placa de linha com 24 portas, você
poderia adicionar facilmente uma placa de linha de 24 portas, aumentando o número
total de portas para até 48.
Switches empilháveis
Os switches empilháveis podem ser interconectados usando um cabo backplane que
fornece produtividade em grande largura de banda entre os switches. A Cisco
apresentou a tecnologia StackWise em uma de suas linhas de produto de switch. A
StackWise permite interconectar até nove switches usando conexões backplane
completamente redundantes. Como você pode ver na figura, os switches são empilhados
um sobre o outro, e os cabos conectam os switches em interligação de equipamentos em
cascata. Os switches empilhados funcionam efetivamente como um único switch maior.
Os switches empilháveis são desejados onde a tolerância a falhas e a disponibilidade de
largura de banda são essenciais e um switch modular é muito caro para ser
implementado. Usando conexões cruzadas, a rede poderá se recuperar rapidamente se
houver falha em único switch. Os switches empilháveis usam uma porta especial para
interconexões e não usam portas de linha para conexões de inter-switch. As velocidades
também costumam ser mais rápidas que usar portas de linha para switches de conexão.
Exibir meio visual
Página 2:
Desempenho
Ao selecionar um switch para as camadas de acesso, de distribuição ou de núcleo,

considere a capacidade do switch de suportar a densidade de porta, as taxas de
encaminhamento e os requisitos de agregação de largura de banda da rede.
Densidade de porta
Densidade de porta é o número de portas disponíveis em um único switch. Os switches

de configuração fixa normalmente suportam até 48 portas em um único dispositivo, com
opções para até quatro portas adicionais para dispositivos conectáveis de características
físicas pequena, como mostrado na figura. As altas densidades de porta permitem um
melhor uso do espaço e da energia quando ambos se encontram limitados. Se tivesse
dois switches, cada um contendo 24 portas, você poderia suportar até 46 dispositivos,
porque perde pelo menos uma porta por switch para conectar cada um ao resto da rede.
Além disso, duas tomadas são necessárias. Por outro lado, se você tiver um único switch
com 48 portas, 47 dispositivos podem ser suportados, com apenas uma porta sendo
usada para conectar o switch ao resto da rede e só uma tomada necessária para
acomodar o único switch.
Os switches modulares podem suportar densidades de porta muito altas pela adição de
várias placas de linha de porta de switch, como mostrado na figura. Por exemplo, o
switch Catalyst 6500 pode suportar mais de 1.000 portas de switch em um único
dispositivo.
Grandes redes corporativas que suportam muitos milhares de dispositivos de rede

exigem alta densidade, switches modulares para usar melhor o espaço e a energia. Sem
usar um switch modular de alta densidade, a rede precisaria de muitos switches de
configuração fixa para acomodar o número de dispositivos que precisam de acesso à
rede. Essa abordagem pode usar muitas tomadas e ocupar muito espaço do armário.
Você também deve abordar o problema dos gargalos de uplink. Uma série de switches
de configuração fixa pode usar muitas portas adicionais para agregação de largura de
banda entre switches com a finalidade de obter o desempenho desejado. Com um único
switch modular, a agregação de largura de banda não chega a ser um problema porque o
backplane do chassi pode fornecer a largura de banda necessária para acomodar os
dispositivos conectados às placas de linha de porta de switch.
Taxas de encaminhamento
Clique no botão Taxas de encaminhamento na figura para ver um exemplo das taxas
de encaminhamento em switches com densidades de porta diferentes.
As taxas de encaminhamento definem os recursos de processamento de um switch,

classificando quantos dados podem ser processados pelo switch por segundo. As linhas
de produto de switch são classificadas por taxas de encaminhamento. Os switches da
camada de entrada têm taxas de encaminhamento inferiores às dos switches da camada
corporativa. É importante considerar as taxas de encaminhamento ao selecionar um
switch. Se a taxa de encaminhamento do switch for muito baixa, ele não poderá
acomodar a comunicação completa na velocidade do fio em todas as portas de switch.
Velocidade do fio é a taxa de dados que cada porta no switch é capaz de atingir, Fast
Ethernet 100 Mb/s ou Gigabit Ethernet 1000 Mb/s. Por exemplo, um switch gigabit de
48 portas que funciona com total velocidade de fio gera 48 Gb/s de tráfego. Se só
suportar uma taxa de encaminhamento de 32 Gb/s, o switch não poderá operar em total
velocidade de fio em todas as portas simultaneamente. Felizmente, os switches da
camada de acesso normalmente não precisam operar em total velocidade de fio porque
eles são limitados fisicamente pelos uplinks para a camada de distribuição. Isso permite
usar switches mais baratos, de menor desempenho, na camada de acesso e usar os mais
caros, de maior desempenho, nas camadas de distribuição e de núcleo, nas quais a taxa
de encaminhamento tem uma grande diferença.
Agregação de link
Clique no botão Agregação de link na figura.
Como parte da agregação de largura de banda, você deve determinar se há portas o

suficiente em um switch a serem agregadas para suportar a largura de banda exigida.
Por exemplo, considere um porta Ethernet Gigabit que transporta até 1 Gb/s de tráfego.
Se tivesse um switch de 24 portas, com todas elas capazes de operar em velocidades
gigabit, você poderia gerar até 24 Gb/s de tráfego da rede. Se estiver conectado ao resto
da rede por um único cabo de rede, o switch poderá encaminhar apenas 1 Gb/s dos
dados para o resto da rede. Devido à contenção da largura de banda, os dados seriam
encaminhados mais lentamente. Isso resulta na disponibilidade da velocidade do fio em
1/24 avos para cada um dos 24 dispositivos conectados ao switch. Velocidade de fio
descreve a taxa de transmissão de dados máxima teórica de uma conexão. Por exemplo,
a velocidade de fio de uma conexão Ethernet depende das propriedades físicas e
elétricas do cabo, em combinação com a camada mais baixa dos protocolos de conexão.
A agregação de link ajuda a reduzir esses gargalos de tráfego, permitindo a integração

de até oito portas de switch para a comunicação de dados, fornecendo até 8 Gb/s de
produtividade de dados quando as portas Ethernet Gigabit são usadas. Com a adição de
vários uplinks Ethernet Gigabit 10 (10GbE) em alguns switches da camada corporativa,
taxas de produtividade muito altas podem ser obtidas. A Cisco usa o termo
EtherChannel ao descrever portas de switch agregadas.
Como você pode ver na figura, são usadas quatro portas separadas nos switches C1 e D1
para criar um EtherChannel de quatro portas. A tecnologia EtherChannel permite a um
grupo de links físicos Ethernet criar um link Ethernet lógico com a finalidade de
fornecer tolerância a falhas e links de alta velocidade entre switches, roteadores e
servidores. Nesse exemplo, há quatro vezes mais produtividade em comparação com a
conexão de porta única entre os switches C1 e D2.
Exibir meio visual
Página 3:
PoE e funcionalidade da camada 3

Duas outras características que você talvez queira considerar ao selecionar um switch
são Power over Ethernet (PoE) e a funcionalidade da Camada 3.
Power over Ethernet
Power over Ethernet (PoE) permite ao switch alimentar um dispositivo usando o

cabeamento Ethernet existente. Como você pode ver na figura, esse recurso pode ser
usado por telefones IP e alguns pontos de acesso sem fio. A PoE dá mais flexibilidade
quando você instala pontos de acesso sem fio e telefones IP porque é possível instalá-los
em qualquer lugar em que haja um cabo Ethernet. Você não precisa considerar como
transmitir energia básica para o dispositivo. Você só deverá selecionar um switch que
suporte PoE se for aproveitar o recurso, porque ela agrega um custo considerável ao
switch.
Clique no ícone do switch para ver as portas PoE.
Clique no ícone do telefone para ver as portas do telefone.
Clique no ícone de ponto de acesso sem fio para ver suas portas.
Funções da camada 3
Clique no botão Funções da Camada 3 na figura para ver algumas funções da

Camada 3 que podem ser fornecidas por switches em uma rede hierárquica.
Normalmente, os switches funcionam na Camada 2 do modelo de referência OSI, na

qual eles lidam principalmente com os endereços MAC de dispositivos conectados a
portas de switch. Os switches da Camada 3 oferecem funcionalidade avançada. Os
switches da Camada 3 também são conhecidos como switches multicamada.
Exibir meio visual

1.2.3 Recursos do switch em uma rede hierárquica
Página 1:
Recursos do switch da camada de acesso
Agora que você sabe quais fatores considerar ao escolher um switch, nos permita
examinar quais recursos são obrigatórios em cada camada de uma rede hierárquica.
Assim, você poderá comparar a especificação do switch com sua capacidade em
funcionar como um switch das camadas de acesso, de distribuição ou de núcleo.
Os switches da camada de acesso facilitam a conexão de dispositivos de nó final com a

rede. Por esse motivo, eles precisam suportar recursos como a segurança de porta,
VLANs, Fast Ethernet/Gigabit Ethernet, PoE e agregação de link.
A segurança de porta permite ao switch decidir quantos ou quais dispositivos

específicos têm permissão para se conectar ao switch. Todos os switches Cisco
suportam a segurança da camada de porta. A segurança de porta é aplicada à camada de
acesso. Conseqüentemente, trata-se de uma primeira linha de defesa importante para
uma rede. Você obterá informações sobre a segurança de porta no Capítulo 2.
As VLANs são um componente importante de uma rede convergente. O tráfego de voz

costuma receber uma VLAN separada. Dessa forma, o tráfego de voz pode ser
suportado com mais largura de banda, mais conexões redundantes e segurança
aprimorada. Os switches da camada de acesso permitem definir as VLANs para os
dispositivos de nó final em sua rede.
A velocidade de porta também é uma característica que você precisa considerar para os
switches da camada de acesso. Dependendo dos requisitos de desempenho da rede, você
deve escolher entre as portas de switch Fast Ethernet e Gigabit Ethernet. Fast Ethernet
permite até 100 Mb/s de tráfego por porta de switch. Fast Ethernet é adequado para a
telefonia IP e o tráfego de dados na maior parte das redes comerciais. No entanto, o
desempenho é mais lento do que o de portas Gigabit Ethernet. Gigabit Ethernet permite
até 1000 Mb/s de tráfego por porta de switch. A maioria dos dispositivos modernos,
como estações de trabalho, notebooks e telefones IP, suportam Gigabit Ethernet. Isso
permite transferências de dados muito mais eficientes, o que permite aos usuários serem
mais produtivos. Gigabit Ethernet tem uma desvantagem: os switches que suportam
Gigabit Ethernet são mais caros.
Outro requisito de recurso para alguns switches da camada de acesso é PoE. Como a
PoE aumenta drasticamente o preço geral do switch em todas as linhas de produto de
switch Cisco Catalyst, ela só deverá ser considerada quando a convergência de voz for
obrigatória ou quando pontos de acesso sem fio estiverem sendo implementados e for
difícil ou caro o transporte da energia até o local desejado.
Agregação de link é outro recurso comum à maioria dos switches da camada de acesso.
A agregação de link permite ao switch usar vários links simultaneamente. Os switches
da camada de acesso usufruem a agregação de link ao agregar largura de banda até os
switches da camada de distribuição.
Como a conexão uplink entre o switch da camada de acesso e o switch da camada de

distribuição costuma ser o gargalo na comunicação, a taxa de encaminhamento interna
dos switches da camada de acesso não precisa ser tão alta quanto o link entre os
switches das camadas de distribuição e de acesso. Características como a taxa de
encaminhamento interna não chegam a ser uma preocupação para switches da camada
de acesso porque eles só tratam tráfego dos dispositivos finais e o encaminham para os
switches da camada de distribuição.
Em uma rede convergente que suporta tráfegos de voz, de vídeo e de dados, os switches
da camada de acesso precisam suportar QoS para manter a priorização do tráfego. Os
telefones IP Cisco são tipos de equipamento encontrados na camada de acesso. Quando
um telefone IP Cisco é conectado a uma porta de switch da camada de acesso
configurada para suportar tráfego de voz, essa porta do switch informa ao telefone IP
como enviar seu tráfego de voz. O QoS precisa estar habilitado nos switches da camada
de acesso para que o tráfego de voz tenha prioridade no telefone IP sobre, por exemplo,
o tráfego de dados.
Exibir meio visual
Página 2:
Recursos do switch da camada de distribuição
Os switches da camada de distribuição têm uma função muito importante na rede. Eles
coletam os dados de todos os switches da camada de acesso e os encaminha para os
switches da camada de núcleo. Como você saberá posteriormente neste curso, o tráfego
gerado na Camada 2 em uma rede comutada precisa ser gerenciado ou segmentado em
VLANs, para que ele não consuma largura de banda desnecessária em toda a rede. Os
switches da camada de distribuição fornecem as funções de roteamento entre VLANs
para que uma VLAN possa se comunicar com outra na rede. Esse roteamento
normalmente acontece na camada de distribuição porque os switches da camada de
distribuição têm recursos de processamento melhores que os switches da camada de
acesso. Os switches da camada de distribuição impedem que os switches do núcleo
precisem executar essa tarefa porque o núcleo está ocupado, tratando o encaminhamento
de volumes de tráfego muito altos. Como o roteamento entre VLANs é realizado na
camada de distribuição, os switches nessa camada precisam suportar funções da
Camada 3.
Políticas de segurança
Outro motivo pelo qual a funcionalidade da Camada 3 é obrigatória para os switches da

camada de distribuição é por conta das políticas de segurança avançadas que podem ser
aplicadas ao tráfego da rede. As listas de acesso são usadas para controlar como o
tráfego flui pela rede. Uma lista de controle de acesso (ACL) permite ao switch impedir
determinados tipos de tráfego e permitir outros. As ACLs também permitem controlar
quais dispositivos de rede podem se comunicar na rede. Usar as ACLs consome muito
processamento porque o switch precisa inspecionar todos os pacotes e ver se eles
correspondem a uma das regras ACL definidas no switch. Essa inspeção é realizada na
camada de distribuição, porque os switches nessa camada normalmente têm o recurso
de processamento para tratar a carga adicional, além de simplificar o uso de ACLs. Em
vez de usar as ACLs para todos os switches da camada de acesso na rede, elas são
definidas nos switches da camada de distribuição, o que simplifica muito o
gerenciamento das ACLs.
Qualidade de serviço
Os switches da camada de distribuição também precisam suportar QoS para manter a

priorização do tráfego proveniente dos switches da camada de acesso que
implementaram QoS. As políticas de prioridade asseguram uma largura de banda
adequada para a comunicação de áudio e de vídeo a fim de manter uma qualidade de
serviço aceitável. Para manter a prioridade dos dados de voz em toda a rede, todos os
switches que encaminham dados de voz devem suportar QoS; se nem todos os
dispositivos de rede suportarem QoS, os benefícios da QoS serão reduzidos. Isso resulta
em baixo desempenho e qualidade para comunicação de áudio e vídeo.
Os switches da camada de distribuição estão enfrentando uma forte demanda na rede

por conta das funções que eles fornecem. É importante que os switches de distribuição
suportem a redundância para uma disponibilidade adequada. A perda de um switch da
camada de distribuição pode ter um impacto significativo no resto da rede porque todo o
tráfego da camada de acesso passa pelos switches da camada de distribuição. Os
switches da camada de distribuição costumam ser implementados em pares para
assegurar a disponibilidade. Também é recomendável que os switches da camada de
distribuição suportem várias fontes de alimentação de permutação automática (hot
swappable). Ter mais de uma fonte de alimentação permite ao switch continuar
funcionando mesmo que haja falha em uma das fontes de alimentação durante o
funcionamento. Ter fontes de alimentação hot swappable permite trocar uma fonte de
alimentação com falha ainda com o switch em funcionamento. Isso permite reparar o
componente com falha sem que haja impacto sobre a funcionalidade da rede.
Por fim, os switches da camada de distribuição precisam suportar a agregação de link.

Normalmente, os switches da camada de acesso usam vários links para se conectar a um
switch da camada de distribuição a fim de assegurar que uma largura de banda adequada
acomode o tráfego gerado na camada de acesso e fornecer tolerância a falhas no caso de
perda de um link. Como os switches da camada de distribuição aceitam tráfego de
entrada de vários switches da camada de acesso, eles precisam ser capazes de
encaminhar todo esse tráfego o mais rápido possível para os switches da camada de
núcleo. Dessa forma, os switches da camada de distribuição também precisam de links
agregados com alta largura de banda para os switches da camada de núcleo. Os switches
da camada de distribuição mais novos suportam uplinks 10 Gigabit Ethernet (10GbE)
para os switches da camada de núcleo.
Exibir meio visual
Página 3:
Recursos do switch da camada de núcleo
A camada de núcleo de uma topologia hierárquica é o backbone de alta velocidade da

rede e exige switches capazes de tratar taxas de encaminhamento muito altas. A taxa de
encaminhamento obrigatória depende muito do número de dispositivos que participam
da rede. Você determina a taxa de encaminhamento necessária, realizando e
examinando vários relatórios de fluxo de tráfego e análises de comunidades de usuários.
Com base nos resultados, é possível identificar um switch apropriado para suportar a
rede. Tome cuidado para avaliar as necessidades do presente e de um futuro próximo.
Se optar por um switch inadequado a ser usado no núcleo da rede, você enfrentará
possíveis problemas de gargalo no núcleo, o que reduz a velocidade de toda a
comunicação na rede.
Agregação de link
A camada de núcleo também precisa suportar agregação de link para assegurar uma
largura de banda adequada no núcleo em relação aos switches da camada de
distribuição. Os switches da camada de núcleo devem ter suporte a conexões 10GbE
agregadas, que atualmente formam a opção de conectividade Ethernet mais rápida
disponível. Isso permite aos switches da camada de distribuição correspondentes
distribuir tráfego com a máxima eficiência possível para o núcleo.
Redundância
Como a disponibilidade da camada de núcleo também é essencial, você dever integrar a

máxima redundância que puder. A redundância da Camada 3 normalmente apresenta
uma convergência mais rápida que a da Camada 2 em caso de falha do hardware. Nesse
contexto, convergência se refere ao tempo necessário para que a rede se adapte a uma
alteração; não confundir com uma rede convergente, que suporta comunicação de
dados, de áudio e de vídeo. Tendo isso em mente, você deseja assegurar que os switches
da camada de núcleo suportem funções da Camada 3. Uma discussão completa sobre as
implicações da redundância da Camada 3 está além do escopo deste curso. Nesse
contexto, permanece uma pergunta em aberto sobre a necessidade da redundância da
Camada 2. A redundância da Camada 2 é examinada no Capítulo 5 quando abordamos o
protocolo spanning tree (STP). Além disso, procure switches da camada de núcleo que
suportem recursos de redundância de hardware adicionais como fontes de alimentação
redundantes que possam ser trocados ainda com o switch em funcionamento. Por conta
da alta carga de trabalho transportada por switches da camada de núcleo, eles tendem a
funcionar mais quentes do que os switches da camada de distribuição, logo, devem ter
opções de resfriamento mais sofisticadas. Muitos switches efetivamente compatíveis
com a camada de núcleo têm a possibilidade de trocar ventiladores sem que seja
necessário desligá-los.
Por exemplo, interromperia desligar um switch da camada de núcleo para trocar uma
fonte de alimentação ou um ventilador durante o dia quando o uso da rede está em seu
máximo. Para trocar um hardware, você pode ter uma queda da rede de pelo menos
cinco minutos, e isso se for muito rápido na manutenção. Em uma situação mais real, o
switch pode permanecer desligado durante 30 minutos ou mais, o que não costuma ser
muito aceitável. Com hardware hot-swappable, não há nenhuma indisponibilidade
durante a manutenção do switch.
A QoS é uma parte importante dos serviços fornecidos por switches da camada de
núcleo. Por exemplo, as operadoras (que fornecem serviços de IP, armazenamento de
dados, email e outros) e as redes remotas (WANs) estão adicionando mais tráfego de
voz e vídeo a uma quantidade já em crescimento do tráfego de dados. No núcleo e na
borda da rede, o tráfego de missão crítica e sensível ao tempo, como voz, deve receber
garantias de QoS maiores que o tráfego sensível ao tempo, como transferências de
arquivo ou email. Como o acesso WAN da alta velocidade costuma ser proibitivamente
caro, adicionar largura de banda na camada de núcleo não é uma opção. Como a QoS
fornece uma solução com base em software para priorizar o tráfego, os switches da
camada de núcleo podem fornecer uma forma acessível de suportar o uso ideal e
diferenciado da largura de banda existente.
Exibir meio visual
1.2.4 Switches para pequenas e médias empresas (SMB)
Página 1:
Os recursos dos switches Cisco Catalyst
Agora que você sabe quais são os recursos do switch usados nas camadas de uma rede
hierárquica, você obterá informações sobre os switches Cisco aplicáveis a cada camada
no modelo de rede hierárquico. Hoje, não é possível selecionar um switch Cisco apenas
considerando o tamanho de uma empresa. Uma pequena empresa com 12 funcionários
pode ser integrada à rede de uma grande empresa multinacional e exigir todos os
serviços de rede local avançados disponíveis na matriz corporativa. A seguinte
classificação de switches Cisco segundo o modelo de rede hierárquica representa um
ponto de partida para suas deliberações quanto ao switch mais apropriado a um
determinado aplicativo. A classificação apresentada reflete como você poderia ver a
faixa de switches Cisco se fosse uma empresa multinacional. Por exemplo, as
densidades de porta do switch Cisco 6500 só têm sentido como um switch da camada de
acesso em que há muitas centenas de usuários em uma área, como um pavimento de
uma bolsa de valores. Se você pensar nas necessidades de uma empresa de médio porte,
um switch mostrado como um switch da camada de acesso, o Cisco 3560, por exemplo,
pode ser usado como um switch da camada de distribuição se atende aos critérios
determinados pelo designer de rede daquela aplicação.
A Cisco tem sete linhas de produto de switch. Cada linha de produto tem recursos e
características diferentes, o que permite localizar o switch certo para atender aos
requisitos funcionais da rede. As linhas de produto de switch Cisco são:
 Catalyst Express 500

 Catalyst 2960
 Catalyst 3560
 Catalyst 3750
 Catalyst 4500
 Catalyst 4900
 Catalyst 6500
Catalyst Express 500
Catalyst Express 500 é o switch da camada de entrada da Cisco. Ele oferece o seguinte:
 Taxas de encaminhamento de 8,8 Gb/s a 24 Gb/s

 Segurança de porta da Camada 2
 Gerenciamento baseado na Web
 Convergência de dados/Suporte à comunicação IP
Essa série de switches é apropriada a implementações da camada de acesso em que a

alta densidade de porta não é obrigatória. Os switches da série Cisco Catalyst Express
500 são dimensionados para ambientes de pequena empresa que variam entre 20 e 250
funcionários. Os switches da série Catalyst Express 500 estão disponíveis em diferentes
configurações fixas:
 Conectividade Fast Ethernet e Gigabit Ethernet

 Até 24 portas 10/100 com PoE opcional ou 12 portas 10/100/1000
Os switches da série Catalyst Express 500 não permitem o gerenciamento por meio da
CLI IOS Cisco. Eles são gerenciados com uma interface de gerenciamento Web
integrada, o Cisco Network Assistant ou o novo Cisco Configuration Manager
desenvolvido especificamente para os switches da série Catalyst Express 500. O
Catalyst Express não suporta o acesso da console.
Para obter mais informações sobre a série de switches Cisco Express 500, acesse
http://www.cisco.com/en/US/products/ps6545/index.html (em inglês).
Catalyst 2960
Os switches da série Catalyst 2960 permitem a redes de filiais, empresas de pequeno

porte e corporativas da camada de entrada fornecer serviços de rede local aprimorados.
Os switches da série Catalyst 2960 são apropriados para implementações da camada de
acesso em que o acesso à energia e ao espaço são limitados. Os laboratórios CCNA
Exploration: Comutação de rede local e sem fio se baseiam nos recursos do switch
Cisco 2960.
Os switches da série Catalyst 2960 oferecem o seguinte:
 Taxas de encaminhamento de 16 Gb/s a 32 Gb/s

 Comutação multicamada
 Recursos de QoS para suportar a comunicação IP
 Listas de controle de acesso (ACLs)
 Até 48 portas 10/100 ou 10/100/1000 com uplinks gigabit adicionais de dupla
finalidade
A série de switches Catalyst 2960 não suporta PoE.
A série Catalyst 2960 suporta a CLI Cisco IOS, a interface de gerenciamento integrada
e o Cisco Network Assistant. Essa série de switches suporta o acesso de console e
auxiliar ao switch.
Para obter mais informações sobre a série de switches Cisco Catalyst 2960, visite
Catalyst 3560
A série Cisco Catalyst 3560 é uma linha de switches de classe corporativa que inclui
suporte a PoE, QoS e a recursos de segurança avançados, como ACLs. Esses switches
são switches da camada de acesso ideais para o acesso de rede local de pequenas
empresas ou os ambientes de rede convergentes de filiais.
A série Cisco Catalyst 3560 suporta taxas de encaminhamento de 32 Gb/s a 128 Gb/s
(série de switches Catalyst 3560-E).
Os switches da série Catalyst 3560 estão disponíveis em diferentes configurações fixas:

 Até 48 portas 10/100/1000, mais quatro portas small form-factor pluggable
(SFP)
 Conectividade opcional 10 Gigabit Ethernet nos modelos Catalyst 3560-E
 PoE integrada opcional (Cisco pré-padrão e IEEE 802.3af); até 24 portas com
15,4 watts ou 48 portas com 7,3 watts
http://www.cisco.com/en/US/products/hw/switches/ps5528/index.html (em inglês).
Catalyst 3750
A série de switches Cisco Catalyst 3750 é ideal para switches da camada de acesso em
organizações de médio porte e filiais corporativas. Essa série oferece taxas de
encaminhamento de 32 Gb/s a 128 Gb/s (série de switches Catalyst 3750-E). A série
Catalyst 3750 suporta a tecnologia Cisco StackWise. A tecnologia StackWise permite
interconectar até nove switches Catalyst 3750 físicos em um só switch lógico usando
uma conexão backplane, redundante, de alto desempenho (32 Gb/s).
Os switches da série Catalyst 3750 estão disponíveis em diferentes configurações fixas

empilháveis:

 Até 48 portas 10/100/1000, mais quatro portas SFP
 Conectividade opcional 10 Gigabit Ethernet nos modelos Catalyst 3750-E
 PoE integrada opcional (Cisco pré-padrão e IEEE 802.3af); até 24 portas com
15,4 watts ou 48 portas com 7,3 watts
Catalyst 4500
Catalyst 4500 é a primeira plataforma de comutação modular de médio alcance que

oferece comutação multicamada para empresas, pequenas e médias e operadoras.
Com taxas de encaminhamento de até 136 Gb/s, a série Catalyst 4500 é capaz de
gerenciar tráfego na camada de distribuição. O recurso modular da série Catalyst 4500
permite densidades de porta muito altas com a adição de placas de linha da porta de
switch ao seu chassi modular. A série Catalyst 4500 oferece QoS multicamada e
funções de roteamento sofisticadas.
Os switches da série Catalyst 4500 estão disponíveis em diferentes configurações

modulares:
 Chassi modular com três, seis, sete e dez slots que oferece camadas diferentes de
escalabilidade
 Alta densidade de porta: até 384 portas Fast Ethernet ou Gigabit Ethernet
disponíveis em cobre ou fibra com uplinks 10 Gigabit
 PoE (Cisco pré-padrão e IEEE 802.3af)
 Duas fontes de alimentação CA ou CC internas hot-swappable
 Recursos de roteamento IP assistido por hardware avançados
Catalyst 4900
Os switches da série Catalyst 4900 foram projetados e otimizados para a comutação de

servidores, permitindo taxas de encaminhamento muito altas. O Cisco Catalyst 4900
não é um switch de camada de acesso típico. Trata-se de um switch de camada de
acesso especialmente criado para implantações de data center em que muitos servidores
podem estar muito próximos. Essa série de switches suporta fontes de alimentação
redundantes, duplas, e ventiladores que podem ser trocados ainda com o switch em
funcionamento. Isso permite aos switches obter maior disponibilidade, o que é essencial
em implantações de data center.
Os switches da série Catalyst 4900 suporta recursos QoS avançados, o que faz deles
candidatos ideais para o hardware de telefonia IP back end. Os switches da série
Catalyst 4900 não suportam o recurso StackWise da série Catalyst 3750, nem suportam
PoE.
Os switches da série Catalyst 4900 estão disponíveis em diferentes configurações fixas:
 Até 48 portas 10/100/1000 com quatro portas SFP ou 48 portas 10/100/1000

com duas portas 10GbE
 Ventiladores hot-swappable
Catalyst 6500
O switch modular da série Catalyst 6500 é otimizado para segurança e convergência de

voz, vídeo e dados. O Catalyst 6500 é capaz de gerenciar o tráfego nas camadas de
distribuição e de núcleo. A série Catalyst 6500 é o switch Cisco de melhor desempenho,
suportando taxas de encaminhamento de até 720 Gb/s. O Catalyst 6500 é ideal para
ambientes de rede muito grandes encontrados em empresas, de médio porte e
operadoras.
Os switches da série Catalyst 6500 estão disponíveis em diferentes configurações

modulares:
 Chassi modular com 3, 4, 6, 9 e 13 slots

 Módulos de serviço de rede local/WAN
 PoE de até 420 dispositivos IEEE 802.3af Classe 3 (15,4W) PoE
 Até 1152 portas 10/100, 577 portas 10/100/1000, 410 portas SFP Gigabit
Ethernet ou 64 portas 10 Gigabit Ethernet
 Recursos de roteamento IP assistido por hardware avançados
A seguinte ferramenta pode ajudar a identificar o switch correto para uma

implementação:
http://www.cisco.com/en/US/products/hw/switches/products_promotion0900aecd80503
64f.html (em inglês).
A seguinte guia fornece uma comparação detalhada de opções de switch atuais da

Cisco:
http://www.cisco.com/en/US/prod/switches/ps5718/ps708/networking_solutions_produ
cts_genericcontent0900aecd805f0955.pdf (em inglês).
Exibir meio visual
Página 2:
Exibir meio visual
Página 3:
O Packet Tracer é integrado ao longo deste curso. Você deve saber como navegar no
ambiente do Packet Tracer para concluir este curso. Use os tutoriais se você precisar de
uma revisão dos princípios básicos do Packet Tracer. Os tutoriais estão localizados no
menu Ajuda do Packet Tracer.
Esta atividade vai ensinar a criar uma topologia hierárquica, da camada de núcleo às
camadas de distribuição e de acesso.
Instruções da atividade (PDF)
Clique no ícone do Packet Tracer para obter mais detalhes.

Exibir meio visual
1.3 Laboratórios do capítulo
1.3.1 Revisão dos conceitos do Exploration 1
Página 1:
Neste laboratório, você irá criar e configurar uma pequena rede roteada e verificar a
conectividade em vários dispositivos de rede. Para isso, é necessário criar e atribuir dois
blocos de sub-rede, conectar hosts e dispositivos de rede e configurar computadores
host e um roteador Cisco para conectividade de rede básica. Switch1 tem uma
configuração padrão e não exige uma configuração adicional. Você utilizará comandos
comuns para testar e documentar a rede. A sub-rede zero é usada.
Exibir meio visual
Página 2:
Nesta atividade, você irá criar e configurar uma pequena rede roteada e verificar a
São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.
Exibir meio visual
1.3.2 Revisão dos conceitos do Exploration 1 – Desafio
Página 1:
Neste laboratório, você irá criar e configurar uma pequena rede roteada e verificar a
Exibir meio visual
Página 2:
Nesta atividade, você irá criar e configurar uma pequena rede roteada e verificar a
Exibir meio visual
1.3.3 Identificação e solução de problemas de uma rede pequena
Página 1:
Neste laboratório, você recebe uma configuração concluída para uma pequena rede
roteada. A configuração contém erros de design e de configuração que entram em
conflito com requisitos determinados e impedem a comunicação fim-a-fim. Você
examinará o projeto dado e identificará e corrigirá os possíveis erros de design. Depois
você cabeará a rede, configurará os hosts e carregará as configurações sobre o roteador.
Por fim, você irá solucionar os problemas de conectividade para determinar onde os
erros estão ocorrendo e corrigi-los usando os comandos apropriados. Quando todos os
erros forem corrigidos, cada host poderá se comunicar com todos os outros elementos
de rede configurados e com o outro host.
Exibir meio visual
Página 2:
A configuração contém erros de programação e de configuração que entram em conflito

com requisitos determinados e impedem a comunicação fim-a-fim. Você solucionará os
problemas de conectividade para determinar onde os erros estão ocorrendo e irá corrigi-
los utilizando os comandos apropriados. Quando todos os erros forem corrigidos, cada
host poderá se comunicar com todos os outros elementos de rede configurados e com o
outro host.
Exibir meio visual
1.4 Resumo do capítulo
1.4.1 Resumo do capítulo
Página 1:
Neste capítulo, abordamos o modelo de design hierárquico. Implementar esse modelo

melhora o desempenho, a escalabilidade, a disponibilidade, a gerenciabilidade e a
sustentabilidade da rede. As topologias de rede hierárquicas facilitam a convergência de
rede, aprimorando o desempenho necessário à integração de dados de voz e vídeo na
rede de dados existente.
O fluxo de tráfego, as comunidades de usuários, os armazenamentos de dados e o local

do servidor, além da análise do diagrama de topologia, são usados para ajudar a
identificar gargalos de rede. Dessa forma, os gargalos podem ser resolvidos para
melhorar o desempenho da rede e determinar com precisão os requisitos de hardware
apropriados para atender ao desempenho desejado da rede.
Pesquisamos os recursos de switch diferentes, como características físicas, desempenho,
PoE e suporte à Camada 3 e como eles se relacionam às camadas diferentes do design
de rede hierárquico. Um arranjo das linhas de produtos de switch Cisco Catalyst está
disponível para suportar qualquer aplicativo ou empresa.
Exibir meio visual
Página 2:
Exibir meio visual
Página 3:
Esta atividade revisa as habilidades que você adquiriu no CCNA - Cisco Certified
Networking Associated Exploration: Curso básico de rede. As habilidades incluem
criação de sub-redes, criação de uma rede, aplicação de um esquema de endereçamento
e testes de conectividade. Você deve revisar essas habilidades antes de continuar. Além
disso, essa atividade revisa os fundamentos de uso do programa Packet Tracer. O Packet
Tracer é integrado ao longo desse curso. Você deve saber como navegar no ambiente do
Packet Tracer para concluir este curso. Use os tutoriais se precisar de uma revisão dos
princípios básicos do Packet Tracer. Os tutoriais estão localizados no menu Ajuda do
Packet Tracer.
Exibir meio visual
1.5 Teste do capítulo
CCNA Exploration -
1.5.1 Teste do capítulo
Comutação de rede local e sem fio

2 Configuração e conceitos básicos de switch
Página 1:
Neste capítulo, você aproveitará as habilidades aprendidas em CCNA Exploration 4.0:

Fundamentos de rede, revisando e reforçando essas habilidades com atividades de
prática detalhadas. Você obterá informações sobre algumas ameaças mal-intencionadas
importantes a switches e aprenderá a habilitar um switch com uma configuração inicial
segura.
Exibir meio visual
2.1 Introdução a redes locais Ethernet/802.3
2.1.1 Principais elementos de redes Ethernet/802.3
Página 1:
Neste tópico, você obterá informações sobre os principais componentes do padrão

Ethernet que têm um papel significativo no design e na implementação de redes
comutadas. Você explorará como funciona a comunicação Ethernet e como os switches
têm um papel no processo de comunicação.
CSMA/CD
Os sinais Ethernet são transmitidos para todos os hosts conectados à LAN que usam um
conjunto especial de regras para determinar que estação pode acessar a rede. O conjunto
de regras que a Ethernet usa se baseia na tecnologia de detecção de colisão/acesso
múltiplo com verificação de operadora (CSMA/CD) IEEE. Você pode se lembrar de
Exploração CCNA: Fundamentos de Rede que o CSMA/CD só costuma ser usado com
uma comunicação half-duplex normalmente encontrada em hubs. Switches em full
duplex não usam CSMA/CD.
Verificação de operadora
No método de acesso CSMA/CD, todos os dispositivos de rede com mensagens a serem

enviadas devem ouvir antes de transmitir.
Se detectar um sinal de outro dispositivo, um dispositivo aguardará um tempo
especificado antes de tentar transmitir.
Quando não há tráfego detectado, um dispositivo transmite sua mensagem. Enquanto

essa transmissão ocorre, o dispositivo continua ouvindo o tráfego ou as colisões na rede
local. Depois que a mensagem é enviada, o dispositivo retorna a seu modo ouvinte
padrão.
Multiacesso
Se a distância entre dispositivos for tanta que a latência dos sinais de um dispositivo
significa que esses sinais não são detectados por um segundo dispositivo, este também
poderá começar a transmitir. O meio agora tem dois dispositivos transmitindo sinais ao
mesmo tempo. As mensagens se propagarão pelo meio até se encontrarem. A essa
altura, os sinais se misturam e as mensagens são destruídas; houve uma colisão. Embora
as mensagens estejam corrompidas, o restante dos sinais continua se propagando pelo
meio.
Detecção de colisões
Quando um dispositivo está no modo ouvinte, ele não pode detectar a ocorrência de
uma colisão na mídia compartilhada, porque todos os dispositivos podem detectar um
aumento na amplitude do sinal acima do nível normal.
Quando ocorre uma colisão, os outros dispositivos no modo ouvinte, bem como todos
os dispositivos transmissores, detectam o aumento na amplitude do sinal. Todos os
dispositivos transmissores continuam transmitindo para assegurar que todos os
dispositivos na rede detectem a colisão.
Sinal de interferência e backoff aleatório

Quando uma colisão é detectada, os dispositivos transmissores enviam um sinal de
interferência. O sinal de interferência notifica os demais dispositivos sobre uma colisão,
para que eles possam invocar um um algoritmo back off. Esse algoritmo de back off faz
com que todos os dispositivos parem de transmitir por um intervalo aleatório, o que
permite a redução dos sinais de colisão.
Depois que o atraso expira em um dispositivo, este retorna ao modo "ouvir antes de
transmitir". Um período de back off aleatório assegura que os dispositivos envolvidos
na colisão não tentem reenviar o tráfego ao mesmo tempo, o que poderia fazer com que
todo o processo fosse repetido. No entanto, durante o período de back off, um terceiro
dispositivo pode transmitir antes de qualquer um dos dois dispositivos envolvidos na
colisão ter uma chance de retransmitir.
Clique no botão Reproduzir para ver a animação.
Exibir meio visual
Página 2:
Comunicação Ethernet
Consulte a área Comunicação Ethernet selecionada na figura.
A comunicação em uma rede local comutada ocorre de três formas: unicast, broadcast e
multicast:
Unicast: Comunicação na qual um quadro é enviado de um host e endereçado a um

destino específico. Na transmissão unicast, há apenas um remetente e um receptor. A
transmissão unicast é a forma predominante de transmissão em redes locais e na
Internet. Entre os exemplos de protocolos que usam transmissões unicast estão HTTP,
SMTP, FTP e Telnet.
Broadcast: Comunicação na qual um quadro é enviado de um endereço para todos os

outros endereços. Nesse caso, há apenas um remetente, mas as informações são
enviadas para todos os receptores conectados. A transmissão de broadcast é essencial
durante o envio da mesma mensagem para todos os dispositivos na rede local. Um
exemplo de transmissão de broadcast é a consulta de resolução de endereço que o
protocolo de resolução de endereços (ARP, Address Resolution Protocol) envia para
todos os computadores em uma rede local.
Multicast: Comunicação na qual um quadro é enviado para um grupo específico de

dispositivos ou clientes. Os clientes da transmissão multicast devem ser membros de um
grupo multicast lógico para receber as informações. Um exemplo de transmissão
multicast é a transmissão de vídeo e de voz associada a uma reunião de negócios
colaborativa, com base em rede.
Quadro Ethernet
Clique no botão Quadro Ethernet na figura.
O primeiro curso da nossa série, Exploração CCNA: Fundamentos de Rede, descreveu a

estrutura do quadro Ethernet em detalhes. Como uma revisão rápida, a estrutura do
quadro Ethernet adiciona cabeçalhos e trailers na PDU da Camada 3 para encapsular a
mensagem enviada. O cabeçalho e o trailer Ethernet têm várias seções (ou campos) de
informações usadas pelo protocolo Ethernet. A figura mostra a estrutura do quadro
Ethernet padrão atual, o IEEE 802.3 (Ethernet) revisado.
Passe o mouse sobre cada nome de campo para ver sua descrição.
Campos Preâmbulo e Início do delimitador de quadro
Os campos Preâmbulo (7 bytes) e Início do delimitador de quadro (SFD) (1 byte) são

usados na sincronização entre os dispositivos remetentes e receptores. Esses primeiros
oito bytes do quadro são usados para chamar a atenção dos nós receptores. Basicamente,
os primeiros bytes informam aos receptores para se prepararem para receber um novo
quadro.
Campo Endereço MAC de destino

O campo Endereço MAC de Destino (6 bytes) é o identificador do receptor desejado.
Esse endereço é usado pela Camada 2 para auxiliar um dispositivo a determinar se um
quadro está endereçado a ele. O endereço no quadro é comparado com o endereço MAC
no dispositivo. Se houver correspondência, o dispositivo aceitará o quadro.
Campo Endereço MAC de origem
O campo Endereço MAC de origem (6 bytes) identifica a placa de rede (NIC) ou a

interface de origem do quadro. Os switches usam esse endereço para adicionar a suas
tabelas de pesquisa.
Campo Tamanho/Tipo
O campo Tamanhp/Tipo (2 bytes) define o comprimento exato do campo de dados do

quadro. Esse campo é usado posteriormente como parte da Sequência de verificação do
quadro (FCS) para assegurar que a mensagem tenha sido recebida corretamente. Apenas
um comprimento ou um tipo de quadro pode ser informado aqui. Se a finalidade do
campo for designar um tipo, o campo Tipo descreverá que protocolo está implementado.
Quando um nó recebe um quadro e o quadro Tamanho/Tipo designa um tipo, o nó
determina que protocolo de camada superior está presente. Se o valor de dois octetos for
igual ou maior que 0x0600 hexadecimal ou 1536 decimal, o conteúdo do campo Dados
será decodificado de acordo com o protocolo indicado; se o valor de dois bytes for
inferior a 0x0600, o valor representará o comprimento dos dados no quadro.
Campos Dados e Pad
Os campos Dados e Pad (de 46 a 1500 bytes) contêm os dados encapsulados de uma
camada de nível superior, que é uma PDU de Camada 3 genérica ou, mais normalmente,
um pacote IPv4. Todos os quadros devem ter pelo menos 64 bytes (tamanho máximo
auxilia na detecção de colisões). Se um pacote pequeno for encapsulado, o campo Pad
será usado para aumentar o tamanho do quadro até o mínimo.
Campo Sequência de verificação de quadro

O campo FCS (4 bytes) detecta erros em um quadro. Ele usa uma verificação de
redundância cíclica (CRC). O dispositivo emissor inclui os resultados de uma CRC no
campo FCS do quadro. O dispositivo receptor recebe o quadro e gera uma CRC para
procurar erros. Se o cálculo for correspondente, é sinal de que não ocorreu nenhum erro.
Se os cálculos não corresponderem, o quadro será ignorado.
Endereço MAC
Clique no botão Endereço MAC na figura.
Em Exploração CCNA: Fundamentos de Rede, você obteve informações sobre o

endereço MAC. Um endereço MAC Ethernet é um valor em duas partes com 48
bits binário expresso como 12 dígitos hexadecimais. Os formatos de endereço podem
ser semelhantes a 00-05-9A-3C-78-00, 00:05:9A:3C:78:00 ou 0005.9A3C.7800.
Todos os dispositivos conectados a uma rede local Ethernet têm interfaces com
endereços MAC. A placa de rede usa o endereço MAC para determinar se uma
mensagem deve ser passada às camadas superiores para processamento. O endereço
MAC é codificado permanentemente em um chip ROM em uma placa de rede. Esse tipo
de endereço MAC é conhecido como um endereço gravado na ROM (BIA). Alguns
fornecedores permitem a modificação local do endereço MAC. O endereço MAC é
composto do identificador exclusivo organizacional (OUI) e o número de atribuição do
fornecedor.
Passe o mouse sobre cada nome de campo para ver sua descrição.
Identificador exclusivo organizacional
A OUI é a primeira parte de um endereço MAC. Ela tem 24 bits e identifica o fabricante
da placa de rede. O IEEE regula a atribuição de números OUI. No OUI, há dois bits que
só têm significado quando usados no endereço de destino, da seguinte forma:
Bit de broadcast ou multicast: Indica para a interface receptora que o destino do quadro
é todos ou um grupo de estações finais no segmento de rede local.
Bit de endereço administrado localmente: Se o endereço MAC atribuído por fornecedor
puder ser modificado localmente, esse bit deverá ser definido.
Número de atribuição do fornecedor
A parte atribuída por fornecedor do endereço MAC tem 24 bits e identifica

exclusivamente o hardware Ethernet. Ela pode ser BIA ou modificado pelo software
indicado pelo bit local.
Exibir meio visual
Página 3:
Configurações bidirecionais
Há dois tipos de configurações bidirecionais usados na comunicação em uma rede

Ethernet: half duplex e full duplex. A figura mostra as duas configurações bidirecionais
disponíveis em equipamentos de rede modernos.
Half duplex: A comunicação em half duplex depende do fluxo de dados unidirecional

quando o envio e o recebimento de dados não são executados ao mesmo tempo. Isso é
semelhante à forma de funcionamento de walkie-talkies ou rádios bidirecionais à
medida que apenas uma pessoa pode falar por vez. Se alguém fala com outra pessoa já
falando, ocorre uma colisão. Dessa forma, a comunicação em half duplex implementa
CSMA/CD para ajudar a reduzir o potencial de colisões e as detectar quando elas
acontecerem. A comunicação em half duplex tem problemas de desempenho devido à
espera constante, porque os dados só podem fluir em uma direção por vez. A conexão
em half duplex costuma ser vista em hardwares mais antigos, como hubs. Os nós
acoplados a hubs que compartilham sua conexão com uma porta de switch devem
funcionar em modo half duplex porque os computadores finais devem ser capazes de
detectar colisões. Os nós poderão funcionar em um modo half duplex se a placa de rede
não puder ser configurada para operações em full duplex. Nesse caso, a porta no switch
também usa como padrão um modo half duplex. Por causa dessas limitações, a
comunicação em full duplex substituiu half duplex nos hardwares mais atuais.
Full duplex: Na comunicação em full duplex, como o fluxo de dados é bidirecional, os
dados podem ser enviados e recebidos ao mesmo tempo. O suporte bidirecional
aprimora o desempenho, reduzindo o tempo de espera entre as transmissões. Grande
parte das placas de rede Ethernet, Fast Ethernet e Gigabit Ethernet vendidas atualmente
oferece recursos em full duplex. No modo full duplex, o circuito de detecção de colisões
é desabilitado. Os quadros enviados pelos dois nós finais conectados não podem colidir
porque os nós finais usam dois circuitos separados no cabo de rede. Cada conexão em
full duplex usa apenas uma porta. As conexões em full duplex exigem um switch que
suporte full duplex ou uma conexão direta entre dois nós em que cada um suporte full
duplex. Os nós acoplados diretamente a uma porta de switch dedicada com placas de
rede que suportam full duplex devem ser conectados a portas de switch configuradas
para funcionar no modo full duplex.
A eficiência da configuração Ethernet compartilhada, padrão, baseada em hub costuma

ser de 50 a 60 por cento da largura de banda 10-Mb/s. A Fast Ethernet em full duplex,
em comparação com a largura de banda de 10-Mb/s, oferece 100 por cento de eficiência
em ambas as direções (100-Mb/s na transmissão e 100-Mb/s na recepção).
Exibir meio visual
Página 4:
Configurações de porta de switch
Uma porta em um switch precisa ser configurada com configurações bidirecionais

correspondentes ao tipo de meio. Posteriormente neste capítulo, você definirá
configurações bidirecionais. Os switches Cisco Catalyst têm três configurações:
 A opção auto define a negociação automática do modo bidirecional. Com a

negociação automática habilitada, as duas portas se comunicam para decidir o
melhor modo de funcionamento.
 A opção full define o modo full duplex.
 A opção half define o modo half duplex.
Para as portas Fast Ethernet e 10/100/1000, o padrão é auto. Para portas 100BASE-FX,
o padrão é full. As portas 10/100/1000 funcionam no modo half ou full duplex quando
são definidas como 10 ou 100 Mb/s, mas quando definidas como 1.000 Mb/s, elas
funcionam apenas no modo full duplex.
Nota: A negociação automática pode gerar resultados imprevisíveis. Por padrão,
quando a negociação automática falha, o switch Catalyst define a porta de switch
correspondente no modo half duplex. Esse tipo de falha acontece quando um dispositivo
acoplado não suporta a negociação automática. Se for configurado manualmente para
funcionar no modo half duplex, o dispositivo corresponderá ao modo padrão do switch.
No entanto, erros de negociação automática poderão acontecer se o dispositivo for
configurado manualmente para funcionar no modo full duplex. Ter half duplex em uma
extremidade e full duplex em outra causa erros de colisão na extremidade half duplex.
Para evitar essa situação, defina manualmente os parâmetros bidirecionais do switch de
acordo com o dispositivo acoplado. Se a porta de switch estiver no modo full duplex e o
dispositivo acoplado estiver no modo half duplex, verifique os erros de FCS na porta
full duplex do switch.
auto-MDIX
As conexões entre dispositivos específicos, como switch-a-switch ou switch-a-roteador,

costumavam exigir o uso de determinados tipos de cabo (crossover, straight-through).
Na verdade, agora é possível usar o comando de configuração da interface mdix auto
na CLI para ativar o recurso de interface que depende do meio automático (auto-
MDIX).
Quando o recurso auto-MDIX é habilitado, o switch detecta o tipo de cabo exigido para
conexões Ethernet de cobre e configura as interfaces corretamente. Por isso, é possível
usar um cabo crossover ou straight-through para conexões com uma porta 10/100/1000
de cobre no switch, independentemente do tipo de dispositivo na outra extremidade da
conexão.
Por padrão, o recurso auto-MDIX é habilitado em switches que executam o Cisco IOS
versão 12.2(18)SE ou posterior. Para versões entre o Cisco IOS versão 12.1(14)EA1 e
12.2(18)SE, o recurso auto-MDIX é desabilitado por padrão.
Exibir meio visual
Página 5:
Endereçamento MAC e tabelas de endereços MAC do switch

Os switches usam endereços MAC para direcionar a comunicação de rede por meio da
trama do switch para a porta apropriada no sentido do nó de destino. A trama do switch
são os circuitos integrados e a programação da máquina complementar que permite os
caminhos de dados em todo o switch a ser controlado. Para que um switch saiba qual
porta usar para transmitir um quadro unicast, ele deve aprender primeiro quais são os
nós em cada uma de suas portas.
Um switch determina como tratar estruturas de dados recebidos, usando sua tabela de
endereços MAC. Um switch cria sua tabela de endereços MAC, registrando os
endereços MAC dos nós conectados a cada uma de suas portas. Quando um endereço
MAC de um nó específico em uma porta específica é registrado na tabela de endereços,
o switch sabe enviar tráfego com destino a esse nó específico pela porta mapeada para
esse nó em transmissões subseqüentes.
Quando uma estrutura de dados de entrada é recebida por um switch e o endereço MAC
de destino não está na tabela, o switch encaminha o quadro por todas as portas, com
exceção da porta em que foi recebido. Quando o nó de destino responde, o switch
registra o endereço MAC do nó na tabela de endereços do campo de endereço de origem
do quadro. Em redes com vários switches interconectados, as tabelas de endereços
MAC registram vários endereços MAC para as portas que conectam os switches que
refletem o que há além do nó. Normalmente, as portas de switch usadas para
interconectar dois switches têm vários endereços MAC registrados na tabela de
endereços MAC.
Para ver como isso funciona, clique nas etapas na figura.
Isto descreve esse processo:
Etapa 1. O switch recebe um quadro de broadcast do PC 1 na Porta 1.
Etapa 2. O switch insere o endereço MAC de origem e a porta de switch que recebeu o
quadro na tabela de endereços.
Etapa 3. Como o endereço de destino é um broadcast, o switch inunda o quadro a todas

as portas, exceto a porta em que ele recebeu o quadro.
Etapa 4. O dispositivo de destino responde ao broadcast com um quadro unicast
endereçado a PC 1.
Etapa 5. O switch insere o endereço MAC de origem de PC 2 e o número de porta do

switch que recebeu o quadro na tabela de endereços. O endereço de destino do quadro e
de sua porta associada é encontrado na tabela de endereços MAC.
Etapa 6. Agora o switch pode encaminhar quadros entre os dispositivos de origem e de

destino sem envio, porque tem entradas na tabela de endereços que identificam as portas
associadas.
Exibir meio visual
2.1.2 Considerações de design para redes Ethernet/802.3
Página 1:
Neste tópico, você obterá informações sobre as diretrizes de design Ethernet necessárias
à interpretação de designs de rede hierárquica para pequenas e médias empresas. Este
tópico se concentra no broadcast e em domínios de colisão, além da forma como eles
afetam os designs de rede local.
Largura de banda e produtividade
Uma grande desvantagem das redes Ethernet 802.3 são as colisões. Colisões ocorrem
quando dois hosts transmitem quadros simultaneamente. Quando uma colisão ocorre, os
quadros transmitidos são danificados ou destruídos. Os hosts de envio param de enviar
mais transmissões durante um período aleatório, com base nas regras Ethernet 802.3 de
CSMA/CD.
Como a Ethernet não tem como controlar que nó estará em transmissão em qualquer
momento, sabemos que as colisões ocorrerão quando mais de um nó tentar obter acesso
à rede. A resolução de Ethernet para colisões não ocorre instantaneamente. Além disso,
um nó envolvido em uma colisão não pode começar a transmitir até que o assunto seja
resolvido. Na medida em que mais dispositivos são adicionados ao meio compartilhada,
cresce a probabilidade de colisões. Por isso, é importante compreender que, durante a
declaração da largura de banda da rede Ethernet de 10 Mb/s, a largura de banda
completa para transmissão só está disponível após a resolução de todas as colisões. A
produtividade líquida da porta (os dados médios efetivamente transmitidos) será
reduzida consideravelmente em decorrência da função de quantos nós desejam usar a
rede. Um hub não oferece nenhum mecanismo para eliminar ou reduzir essas colisões, e
a largura de banda disponível que qualquer nó precisa transmitir é reduzida de maneira
correspondente. Dessa forma, o número de nós que compartilham a rede Ethernet
afetará a produtividade da rede.
Domínios de colisão
Durante a expansão de uma rede local Ethernet para acomodar mais usuários com mais
requisitos de largura de banda, o potencial de colisões aumenta. Para reduzir o número
de nós em um determinado segmento de rede, é possível criar segmentos de rede física
separados, chamados de domínios de colisão.
A área de rede na qual quadros têm origem e colidem é chamada de domínio de colisão.
Todos os ambientes de meio compartilhados, como os criados usando-se hubs, são
domínios de colisão. Quando um host é conectado a uma porta de switch, o switch cria
uma conexão dedicada. Essa conexão é considerada um domínio de colisão individual
porque o tráfego é mantido separado de todos os demais tráfegos, o que elimina o
potencial para uma colisão. A figura mostra domínios de colisão exclusivos em um
ambiente comutado. Por exemplo, se um switch com 12 portas tem um dispositivo
conectado em cada porta, 12 domínios de colisão são criados.
Como você sabe agora, um switch cria uma tabela de endereços MAC, aprendendo os
endereços MAC dos hosts conectados a cada porta de switch. Quando dois hosts
conectados desejam se comunicar, o switch usa a tabela de comutação para estabelecer
uma conexão entre as portas. O circuito é mantido até que a sessão seja finalizada. Na
figura, Host A e Host B desejam se comunicar. O switch cria a conexão conhecida
como um microssegmento. O microssegmento se comporta como se a rede tivesse
apenas dois hosts, um host de envio e um de recebimento, fornecendo utilização
máxima da largura de banda disponível.
Os switches reduzem colisões e melhoram o uso da largura de banda em segmentos de

rede porque eles fornecem largura de banda dedicada a cada segmento de rede.
Exibir meio visual

Página 2:
Domínios de broadcast
Embora os switches filtrem a maioria dos quadros com base nos endereços MAC, eles
não filtram quadros de broadcast. Para que outros switches na LAN obtenham quadros
difundidos, estes devem ser encaminhados por switches. Uma coleção de switches
interconectados forma um único domínio de broadcast. Apenas uma entidade da
Camada 3, como um roteador ou uma rede LAN virtual (VLAN), pode parar um
domínio de broadcast da Camada 3. Os roteadores e as VLANs são usados para
segmentar os domínios de colisão e de broadcast. O uso de VLANs para segmentar
domínios de broadcast será abordado no próximo capítulo.
Quando um dispositivo deseja enviar um broadcast de Camada 2, o endereço MAC de

destino no quadro é definido como unidade. Definindo o destino como esse valor, todos
os dispositivos aceitam e processam o quadro difundido.
O domínio de broadcast na Camada 2 é conhecido como o domínio de broadcast MAC.

O domínio de broadcast MAC consiste em todos os dispositivos na rede local que
recebem broadcasts de quadro por um host em todas as demais máquinas na rede local.
Isso é mostrado na primeira metade da animação.
Quando um switch recebe um quadro difundido, ele encaminha o quadro para todas as
suas portas, exceto a porta de entrada em que o switch recebeu o quadro de broadcast.
Cada dispositivo acoplado reconhece o quadro de broadcast e o processa. Isso acarreta
uma eficiência de rede reduzida, porque a largura de banda é usada para propagar o
tráfego de broadcast.
Quando dois switches são conectados, o domínio de broadcast aumenta. Neste exemplo,
um quadro de broadcast é encaminhado para todas as portas conectadas no switch S1. O
switch S1 é conectado ao switch S2. O quadro é propagado para todos os dispositivos
conectados ao switch S2. Isso é mostrado na segunda metade da animação.
Exibir meio visual
Página 3:
Latência de rede
Latência é o tempo que um quadro ou um pacote demora para ir da estação de origem

para o destino final. Os usuários dos aplicativos baseados em rede enfrentam latência
quando precisam aguardar muitos minutos para acessar os dados armazenados em uma
central de dados ou quando um site demora muitos minutos para ser carregado em um
navegador. A latência tem pelo menos três origens.
Primeiro, existe o tempo necessário para que a placa de rede de origem insira pulsos de
tensão no fio e o tempo necessário à placa de rede de destino para interpretar esses
pulsos. Às vezes, isso é chamado de atraso de placa de rede, normalmente cerca de um
microssegundo para uma placa de rede 10BASE-T.
Segundo, existe o atraso de propagação real à medida que o sinal demora para percorrer
o cabo. Normalmente, são aproximadamente 0,556 microssegundos por 100 m para
UTP Cat 5. O cabo mais longo e a velocidade nominal menor da propagação (NVP)
resultam em mais atraso de propagação.
Terceiro, a latência é adicionada com base nos dispositivos de rede que estão no
caminho entre dois dispositivos. Eles são dispositivos de camadas 1, 2 ou 3. Essas três
contribuições para com a latência podem ser identificadas na animação na medida em
que o quadro atravessa a rede.
A latência não depende exclusivamente da distância e do número de dispositivos. Por

exemplo, se três switches configurados corretamente separarem dois computadores, os
computadores poderão apresentar menos latência que se dois roteadores configurados
corretamente os separassem. Isso é porque os roteadores realizam funções mais
complexas e demoradas. Por exemplo, um roteador deve analisar os dados da Camada 3,
enquanto os switches apenas analisam os dados da Camada 2. Como os dados da
Camada 2 estão presentes na estrutura do quadro antes dos dados da Camada 2, os
switches podem processar o quadro mais rapidamente. Os switches também suportam as
altas taxas de transmissão das redes de voz, vídeo e dados, empregando circuitos
integrados específicos de aplicativo (ASIC) para fornecer suporte a hardware para
muitas tarefas de networking. Os recursos de switch adicionais, como o armazenamento
em buffer da memória baseada na porta, a QoS do nível de porta e o gerenciamento de
congestionamento, também ajudam a reduzir a latência de rede.
A latência com base no switch também pode se dever à trama do switch substituída.
Muitos switches de nível de entrada não têm produtividade interna o suficiente para
gerenciar os recursos da largura de banda completa em todas as portas simultaneamente.
O switch precisa ser capaz de gerenciar a quantidade de dados de pico esperada na rede.
Na medida em que a tecnologia de comutação melhora, a latência no switch deixa de ser
o problema. A causa predominante da latência de rede em uma rede local comutada é
mais uma função da mídia transmitida, os protocolos de roteamento usados e os tipos de
aplicativos executados na rede.
Exibir meio visual
Página 4:
Congestionamento de rede
O principal motivo para segmentar uma rede local em partes menores é isolar o tráfego
e obter um uso melhor da largura de banda por usuário. Sem segmentação, uma rede
local fica rapidamente obstruída com tráfego e colisões. A figura mostra uma rede
sujeita ao congestionamento por vários dispositivos de nó em uma rede com base em
hub.
Estas são as causas mais comuns do congestionamento de rede:
 tecnologias de computador e de rede cada vez mais eficientes. Hoje, CPUs,

barramentos e periféricos são muito mais rápidos e eficientes que os usados nas
primeiras redes locais, logo, eles podem enviar mais dados em taxas maiores
pela rede, podendo processar mais dados com taxas maiores.
 Maior volume do tráfego da rede. O tráfego da rede agora é mais comum porque
os recursos remotos são necessários para realizar o trabalho básico. Além disso,
as mensagens de broadcast, como consultas de resolução enviadas por ARP,
podem afetar negativamente a estação final e o desempenho da rede.
 Aplicativos de largura de banda alta. Os aplicativos estão ficando cada vez mais
avançados em sua funcionalidade, exigindo mais e mais largura de banda.
Editoração eletrônica, design de engenharia, vídeo sob demanda (VoD),
aprendizagem eletrônica (e-learning) e streaming de vídeo, todos exigem uma
eficiência e uma velocidade de processamento considerável.
Exibir meio visual
Página 5:
Segmentação de rede local
As redes locais são segmentadas em vários domínios de colisão e de broadcast menores

usando roteadores e switches. Anteriormente, eram usadas bridges, mas esse tipo de
equipamento de rede é raramente visto em uma rede local comutada moderna. A figura
mostra os roteadores e os switches que segmentam uma rede local.
Na figura, a rede é segmentada em quatro domínios de colisão que usam o switch.
Passe o mouse sobre o domínio de colisão para ver o tamanho de cada domínio de
colisão.
No entanto, o domínio de broadcast na figura abrange toda a rede.
Passe o mouse sobre o domínio de broadcast para ver o tamanho do domínio de

broadcast.
Bridges e switches
Embora as bridges e os switches compartilhem muitos atributos, várias distinções

diferenciam essas tecnologias. As bridges costumam ser usadas para segmentar uma
rede local para um alguns segmentos menores. Os switches costumam ser usados para
segmentar uma rede local grande em muitos segmentos menores. As bridges só têm
algumas portas para conectividade de rede local, e os switches têm muitas.
Roteadores
Embora o switch de rede local reduza o tamanho dos domínios de colisão, todos os
hosts conectados ao switch e na mesma VLAN ainda estão no mesmo domínio de
broadcast. Como os roteadores não encaminham tráfego de broadcast por padrão, eles
podem ser usados para criar domínios de broadcast. Criar domínios de broadcast
adicionais, menores, com um roteador reduz o tráfego de broadcast e fornece mais
largura de banda disponível para uma comunicação unicast. Cada interface do roteador
se conecta a uma rede separada, contendo tráfego de broadcast no segmento de rede
local no qual se originou.
Clique no botão Domínio de colisão e de broadcast com controle para ver o efeito da
introdução de roteadores e mais switches na rede.
Passe o mouse sobre as duas áreas de texto para identificar os domínios de broadcast
e de colisão diferentes.
Exibir meio visual
2.1.3 Considerações sobre o design da rede local
Página 1:
Controlando latência de rede
Ao criar uma rede para reduzir a latência, você precisa considerar a latência causada por
cada dispositivo na rede. Os switches podem introduzir latência em uma rede quando
estão em excesso em uma rede ocupada. Por exemplo, se um switch do nível de núcleo
precisar suportar 48 portas, cada uma sendo capaz de funcionar em full duplex 1000
Mb/s, o switch deverá suportar cerca de 96 Gb/s de produtividade interna se precisar
manter velocidade de fio total em todas as portas simultaneamente. Nesse exemplo, os
requisitos de produtividade informados são típicos de switches do nível de núcleo, e não
de switches do nível de acesso.
O uso de dispositivos de camada mais alta também pode aumentar a latência em uma
rede. Quando um dispositivo da Camada 3, como um roteador, precisa examinar as
informações de endereçamento da Camada 3 contidas no quadro, ele deve ir além do
quadro de um dispositivo da Camada 2, que cria um tempo de processamento maior.
Limitar o uso de dispositivos de camada mais alta pode ajudar a reduzir a latência de
rede. No entanto, o uso apropriado de dispositivos da Camada 3 ajuda a evitar a
contenção no tráfego de broadcast em um domínio de broadcast grande ou a taxa de
colisão alta em um domínio de colisão grande.
Removendo gargalos
Gargalos em uma rede são locais em que um alto congestionamento de rede resulta em
desempenho lento.
Clique no botão Removendo gargalos de rede na figura.
Nesta figura, que mostra seis computadores conectados a um switch, um único servidor
também é conectado ao mesmo switch. Cada estação de trabalho e o servidor são todos
conectados usando uma placa de rede 1000 Mb/s. O que acontece quando todos os seis
computadores tentam acessar o servidor ao mesmo tempo? Cada estação de trabalho
obtém um acesso dedicado de 1000 Mb/s ao servidor? Não, todos os computadores
precisam compartilhar a conexão de 1000 Mb/s que o servidor tem com o switch.
Cumulativamente, os computadores são capazes de 6000 Mb/s com o switch. Se cada
conexão fosse usada com total capacidade, cada computador poderia usar apenas 167
Mb/s, um sexto da largura de banda de 1000 Mb/s. Para reduzir o gargalo no servidor,
placas de rede adicionais podem ser instaladas, o que aumenta a largura de banda total
que o servidor é capaz de receber. A figura mostra cinco placas de rede no servidor e
aproximadamente cinco vezes a largura de banda. A mesma lógica se aplica a
topologias de rede. Quando switches com vários nós são interconectados por uma única
conexão de 1000 Mb/s, um gargalo é criado nessa única interconexão.
Links de maior capacidade (por exemplo, atualizando de conexões de 100 Mb/s para
1000 Mb/s) e usar tecnologias de agregação de links para vários links (por exemplo,
integrando dois links como se eles fossem um para dobrar a capacidade de uma
conexão) podem ajudar a reduzir os gargalos criados por links de inter-switch e de
roteador. Embora a configuração da agregação de link esteja fora do escopo deste curso,
é importante considerar os recursos de um dispositivo ao avaliar as necessidades de uma
rede. Quantas portas e de que velocidade o dispositivo é capaz? Qual é a produtividade
interna do dispositivo? Ele pode tratar as cargas de tráfego antecipadas considerando
sua posição na rede?
Exibir meio visual
Página 2:
Exibir meio visual
2.2 Encaminhando quadros usando um switch

2.2.1 Métodos de encaminhamento de switch
Página 1:
Métodos de encaminhamento de pacotes do switch
Neste tópico, você saberá como os switches encaminham quadros Ethernet em uma
rede. Os switches podem funcionar em modos diferentes, que podem ter efeitos
positivos e negativos.
Antigamente, os switches usavam um dos seguintes métodos de encaminhamento para

comutar dados entre portas de rede: armazenar e encaminhar ou direta. Consultar o
botão Métodos de Encaminhamento do Switch mostra esses dois métodos. No entanto,
armazenar e encaminhar é o único método de encaminhamento usado nos modelos
atuais dos switches Cisco Catalyst.
Comutação armazenar e encaminhar
Na comutação armazenar e encaminhar, quando o switch recebe o quadro, ele armazena

os dados em buffers até que o quadro completo seja recebido. Durante o processo de
armazenamento, o switch analisa o quadro para obter informações sobre seu destino.
Nesse processo, o switch também executa uma verificação de erros usando a porção de
trailer da verificação de redundância cíclica (CRC) do quadro Ethernet.
A CRC usa uma fórmula matemática, baseada no número de bits (1s) no quadro, para
determinar se o quadro recebido tem um erro. Depois de confirmar a integridade do
quadro, o quadro é encaminhado pela porta apropriada até seu destino. Quando um erro
é detectado em um quadro, o switch descarta o quadro. Descartar quadros com erros
reduz a quantidade de largura de banda consumida por dados corrompidos. A
comutação armazenar e encaminhar é obrigatória para a análise da Qualidade de Serviço
(QoS) em redes convergidas nas quais a classificação de quadro para priorização de
tráfego é necessária. Por exemplo, os fluxos de dados de voz sobre IP precisam ter
prioridade sobre o tráfego da navegação na Web.
Clique no botão Comutação “armazenar e encaminhar” e reproduza a animação

para uma demonstração do processo armazenar e encaminhar.
Comutação direta
Na comutação direta, o switch age nos dados assim que eles são recebidos, mesmo que
a transmissão não seja concluída. O switch armazena em buffer o suficiente do quadro
para ler o endereço MAC de destino de forma que possa determinar para qual porta
encaminhar os dados. O endereço MAC de destino está localizado nos seis primeiros
bytes do quadro após o preâmbulo. O switch observa o endereço MAC de destino em
sua tabela de comutação, determina a porta da interface de saída e encaminha o quadro
para seu destino pela porta de switch designada. O switch não executa nenhuma
verificação de erros no quadro. Como o switch não precisa aguardar que todo quadro
seja armazenado em buffer e como ele não executa nenhuma verificação de erros, a
comutação direta é mais rápida que a comutação armazenar e encaminhar. No entanto,
como o switch não executa nenhuma verificação de erros, ele encaminha quadros
corrompidos ao longo da rede. Os quadros corrompidos consomem largura de banda
enquanto são encaminhados. A placa de rede de destino acaba descartando os quadros
corrompidos.
Clique no botão Comutação direta e reproduza a animação para uma demonstração

do processo de comutação direta.
Há duas variantes da comutação direta:
 Comutação fast forward: A comutação fast forward oferece o nível mais baixo
de latência. A comutação fast forward encaminha imediatamente um pacote
depois de ler o endereço de destino. Como a comutação fast forward inicia o
encaminhamento antes de todo o pacote ser recebido, talvez haja momentos em
que os pacotes sejam retransmitidos com erros. Isso raramente ocorre, e o
adaptador de rede de destino descarta o pacote com defeito assim que ele é
recebido. No modo fast forward, a latência é medida do primeiro bit recebido até
o primeiro bit transmitido. A comutação fast forward é o método direto típico de
comutação.
 Comutação sem fragmentos: Na comutação sem fragmentos, o switch armazena
os primeiros 64 bytes do quadro antes de encaminhar. A comutação sem
fragmentos pode ser vista como um compromisso entre as comutações
armazenar e encaminhar e direta. O motivo pelo qual a comutação sem
fragmentos armazena apenas os primeiros 64 bytes do quadro é que a maioria
dos erros de rede e das colisões ocorre durante os primeiros 64 bytes. A
comutação sem fragmentos tenta aprimorar a comutação direta, executando uma
pequena verificação de erros nos primeiros 64 bytes do quadro para assegurar
que uma colisão não tenha ocorrido antes do encaminhamento do quadro. A
comutação sem fragmentos é um compromisso entre a latência alta e a
integridade alta da comutação armazenar e encaminhar e a baixa latência e a
integridade reduzida da comutação direta.
Alguns switches são configurados para executar a comutação direta base por base até
que um limite de erro definido pelo usuário seja alcançado e, em seguida, eles alteram
automaticamente para armazenar e encaminhar. Quando a taxa de erros fica abaixo do
limite, a porta retorna automaticamente à comutação direta.
Exibir meio visual
2.2.2 Comutação simétrica e assimétrica
Página 1:
Comutação simétrica e assimétrica
Neste tópico, você saberá as diferenças entre a comutação simétrica e assimétrica em

uma rede. A comutação de rede local pode ser classificada como simétrica ou
assimétrica com base na forma como a largura de banda é alocada para portas de switch.
A comutação simétrica fornece conexões comutadas entre portas com a mesma largura
de banda, como todas as portas de 100 Mb/s ou todas as portas de 1000 Mb/s. Um
switch de rede local assimétrico fornece conexões comutadas entre portas de largura de
banda diferente, como uma combinação de portas de 10 Mb/s, 100 Mb/s e 1000 Mb/s. A
figura mostra as diferenças entre as comutações simétrica e assimétrica.
Assimétrica
A comutação assimétrica permite que mais largura de banda seja dedicada a uma porta
de switch do servidor para impedir um gargalo. Isso permite fluxos de tráfego melhores
onde vários clientes estão se comunicando com um servidor ao mesmo tempo. O
armazenamento em buffer da memória é obrigatório em um switch assimétrico. Para
que o switch seja compatível com as taxas de dados diferentes em portas diferentes,
todos os quadros são mantidos no buffer da memória e movidos para a porta um a um
conforme necessário.
Simétrica
Em um switch simétrico, todas as portas têm a mesma largura de banda. A comutação

simétrica é otimizada para uma carga de tráfego distribuída razoavelmente, como em
um ambiente da área de trabalho ponto-a-ponto.
Um gerente de rede deve avaliar a quantidade necessária da largura de banda para

conexões entre os dispositivos para acomodar o fluxo de dados dos aplicativos baseados
na rede. A maioria dos switches atuais é assimétrica porque esse tipo de switch oferece
a maior flexibilidade.
Exibir meio visual
2.2.3 Armazenamento em buffer da memória
Página 1:
Armazenamento em buffer na memória compartilhada e baseado na porta
Como você aprendeu em um tópico anterior, um switch analisa alguns ou todos os

pacotes antes de encaminhá-los para o host de destino com base no método de
encaminhamento. O switch armazena o pacote enquanto ele está em um buffer de
memória. Neste tópico, você saberá como dois tipos de buffers de memória são usados
durante o encaminhamento do switch.
Um switch Ethernet pode usar uma técnica de armazenamento em buffer para

armazenar quadros antes de encaminhá-los. O armazenamento em buffer também
poderá ser usado quando a porta de destino estiver ocupada devido ao congestionamento
e o switch armazenará o quadro até que ele possa ser transmitido. O uso da memória
para armazenar os dados é chamado de armazenamento em buffer de memória. O
armazenamento em buffer de memória é criado no hardware do switch e,
diferentemente do aumento da quantidade de memória disponível, não é configurável.
Há dois métodos de armazenamento em buffer de memória: memória compartilhada e

baseada na porta.
Armazenamento em buffer da memória baseado na porta
No armazenamento em buffer de memória baseada na porta, os quadros são

armazenados em filas vinculadas a portas de entrada e de saída específicas. Um quadro
só será transmitido para a porta de saída quando todos os quadros à frente dele na fila
forem transmitidos com êxito. É possível para um único quadro atrasar a transmissão de
todos os quadros na memória por conta de uma porta de destino ocupada. Esse atraso
ocorre mesmo que os demais quadros possam ser transmitidos para portas de destino
abertas.
Armazenamento em buffer de memória compartilhada
O armazenamento em buffer de memória compartilhada deposita todos os quadros em

um buffer de memória comum compartilhado por todas as portas no compartilhamento
do switch. A quantidade da memória de buffer exigida por uma porta é alocada
dinamicamente. Os quadros no buffer são vinculados dinamicamente à porta de destino.
Isso permite que o pacote seja recebido em uma porta e, em seguida, transmitido em
outra porta, sem movê-lo para uma fila diferente.
O switch mantém um mapa do quadro para links de porta que mostra onde um pacote
precisa ser transmitido. O link de mapa será limpo depois que o quadro for transmitido
com êxito. O número de quadros armazenados no buffer é restringido pelo tamanho de
todo o buffer de memória, não estando limitado a um único buffer de porta. Isso permite
a transmissão de quadros maiores com menos quadros descartados. Isso é importante
para a comutação assimétrica, em que os quadros são trocados entre portas de taxas
diferentes.
Exibir meio visual
2.2.4 Comutação das camadas 2 e 3
Página 1:
Comutação das camadas 2 e 3
Neste tópico, você revisará o conceito da comutação de Camada 2 e obterá informações

sobre a comutação de Camada 3.
Um switch de rede local de Camada 2 executa a comutação e a filtragem
exclusivamente com base no endereço MAC (Camada 2) camada de enlace de dados de
OSI. Um switch da Camada 2 é totalmente transparente a protocolos de rede e
aplicativos de usuário. Lembre-se de que um switch da Camada 2 cria uma tabela de
endereços MAC usada para tomar decisões de encaminhamento.
Um switch da Camada 3, como o Catalyst 3560, funciona de maneira semelhante ao

switch da Camada 2, como o Catalyst 2960, mas em vez de usar apenas as informações
de endereço MAC da Camada 2 para decisões de encaminhamento, um switch da
Camada 3 também pode usar as informações de endereço IP. Em vez de apenas
aprender que endereços MAC estão associados a quais portas, um switch da Camada 3
também pode aprender quais endereços IP estão associados às suas interfaces. Isso
permite ao switch da Camada 3 direcionar tráfego por toda a rede com base nas
informações de endereço IP.
Os switches da Camada 3 também são capazes de executar funções de roteamento da

Camada 3, o que reduz a necessidade de roteadores dedicados em uma rede local. Como
os switches da Camada 3 têm hardware de comutação especializado, eles normalmente
podem rotear dados com a mesma velocidade que os comutam.
Exibir meio visual
Página 2:
Comparação entre switch e roteador da Camada 3
No tópico anterior, você aprendeu que os switches da Camada 3 examinam informações

da Camada 3 em um pacote Ethernet para tomar decisões de encaminhamento. Os
switches da Camada 3 podem rotear pacotes entre segmentos de rede local diferentes
para roteadores dedicados de maneira semelhante. No entanto, os switches da Camada 3
não substituem por completo a necessidade de roteadores em uma rede.
Os roteadores executam serviços adicionais de Camada 3 que os switches da Camada 3

não são capazes de realizar. Os roteadores também são capazes de executar tarefas de
encaminhamento de pacotes não encontradas em switches da Camada 3, como
estabelecer conexões de acesso remoto com redes remotas e dispositivos. Os roteadores
dedicados são mais flexíveis quanto ao suporte de placas de interface WAN (WIC), o
que faz deles os preferenciais e, apenas às vezes, a opção para se conectar a uma WAN.
Os switches da Camada 3 podem fornecer funções de roteamento básicas em uma rede
local e reduzir a necessidade de roteadores dedicados.
Exibir meio visual
Página 3:
Exibir meio visual
2.3 Configuração do gerenciamento do switch
2.3.1 Navegando nos modos da interface de linha de comando
Página 1:
Os modos da interface de linha de comando
Neste tópico, você revisará o que aprendeu em Exploração CCNA: Fundamentos de

rede sobre como navegar nos vários modos da interface de linha de comando (CLI).
Como recurso de segurança, o software IOS Cisco separou as sessões EXEC nestes
níveis de acesso:
 EXEC do usuário: Permite a uma pessoa acessar apenas um número limitado

de comandos de monitoramento básicos. O modo EXEC do usuário é o modo
padrão em que você ingressa depois de fazer login em um switch Cisco na CLI.
O modo EXEC do usuário é identificado pelo > prompt.
 EXEC privilegiado: Permite a uma pessoa acessar todos os comandos do
dispositivo, como os usados na configuração e no gerenciamento, podendo ser
protegido por senha para só permitir que usuários autorizados acessem o
dispositivo. O modo EXEC privilegiado é identificado pelo # prompt.
Para passar do modo EXEC do usuário para o modo EXEC privilegiado, digite o
comando enable. Para passar do modo EXEC privilegiado para o modo EXEC do
usuário, digite o comando disable. Em uma rede real, o switch solicita a senha. Digite a
senha correta. Por padrão, a senha não é configurada. A figura mostra os comandos do
Cisco IOS usados para navegar do modo EXEC do usuário para o modo EXEC
privilegiado e vice-versa.
Clique no botão EXEC do usuário e modo EXEC privilegiado na figura.
Navegando em modos de configuração
Ao ingressar no modo EXEC privilegiado no switch Cisco, você pode acessar outros
modos de configuração. O software IOS Cisco usa uma hierarquia de comandos em sua
estrutura do modo de comandos. Cada modo de comandos suporta comandos do Cisco
IOS específicos relacionados a um tipo de operação no dispositivo.
Há muitos modos de configuração. Por ora, você explorará como navegar em dois
modos de configuração comuns: modo de configuração global e modo de configuração
de interface.
Clique no botão Navegando em modos de configuração na figura.
Modo de configuração global
O exemplo começa com o switch no modo EXEC privilegiado. Para configurar

parâmetros de switch globais, como o nome de host do switch ou o endereço IP do
switch usado para fins de gerenciamento, use o modo de configuração global. Para
acessar o modo de configuração local, digite o comando configure terminal no modo
EXEC privilegiado. O prompt muda para (config)#.
Modo de configuração de interface
Configurar parâmetros específicos de interface é uma tarefa comum. Para acessar o

modo de configuração da interface no modo de configuração global, digite o comando
interface <interface name> command. O prompt muda para (config-if)#. Para sair do
modo de configuração da interface, use o comando exit. O prompt muda novamente
para (config)#, informando você de que está no modo de configuração global. Para sair
do modo de configuração global, digite novamente o comando exit. O prompt muda
para #, o que significa modo EXEC privilegiado.
Exibir meio visual
Página 2:
Alternativas baseadas na interface gráfica do usuário à CLI
Há várias alternativas de gerenciamento gráfico ao gerenciamento de um switch Cisco.

Usar uma interface gráfica do usuário (GUI) oferece um gerenciamento de switch
simplificado e uma configuração sem conhecimento detalhado da Cisco CLI.
Clique no botão Assistente de rede Cisco na figura.
Assistente de rede Cisco
Assistente de rede Cisco é um aplicativo de gerenciamento de rede da interface gráfica

do usuário baseada em PC otimizada para redes locais de pequenas e médias empresas.
É possível configurar e gerenciar grupos de switches ou switches autônomos. A figura
mostra a interface de gerenciamento do Assistente de Rede. O Assistente de rede Cisco
está disponível a nenhum custo, podendo ser baixado em Cisco (nome de usuário/senha
CCO obrigatórios):
http://www.cisco.com/en/US/prod/collateral/netmgtsw/ps6504/ps5931/product_data_sh
eet0900aecd8068820a.html
Clique no botão CiscoView na figura.
Aplicativo CiscoView
O aplicativo de gerenciamento de dispositivo CiscoView mostra uma exibição física do

switch que é possível usar para definir parâmetros de configuração e exibir o status do
switch e as informações de desempenho. O aplicativo CiscoView, comprado
separadamente, pode ser um aplicativo autônomo ou parte de um protocolo de
gerenciamento de rede comum (SNMP). A figura mostra a interface de gerenciamento
do CiscoView Device Manager. Obtenha mais informações sobre o CiscoView Device
Manager em:
http://www.cisco.com/en/US/products/sw/cscowork/ps4565/prod_bulletin0900aecd802
948b0.html (em inglês)
Clique no botão Gerenciador de dispositivo Cisco na figura.
Gerente de dispositivo Cisco
Gerente de dispositivo Cisco é um software baseado na Web armazenado na memória

do switch. É possível usar o Device Manager para configurar e gerenciar switches. É
possível acessar o Device Manager em qualquer lugar da sua rede usando um
navegador. A figura mostra a interface de gerenciamento.
Clique no botão Gerenciamento de rede SNMP na figura.
Gerenciamento de rede SNMP
É possível gerenciar switches em uma estação de gerenciamento compatível com

SNMP, como HP OpenView. O switch pode fornecer informações de gerenciamento
abrangentes e fornecer quatro grupos de monitoramento remoto (RMON). O
gerenciamento de rede SNMP é mais comum em redes de grandes empresas.
Exibir meio visual
2.3.2 Usando o recurso de ajuda
Página 1:
Ajuda sensível ao contexto

A CLI do Cisco IOS oferece dois tipos de ajuda:
 Ajuda da palavra: Se você não se lembrar de um comando inteiro, mas se

lembrar dos primeiros caracteres, digite a seqüência de caracteres seguida de um
ponto de interrogação (?). Não inclua um espaço antes do ponto de interrogação.
Uma lista de comandos que começam com os caracteres digitados é exibida. Por
exemplo, digitar sh? retorna uma lista de todos os comandos que começam com a
seqüência de caracteres sh.
 Ajuda da sintaxe de comando: Se você não estiver familiarizado com os

comandos disponíveis em seu contexto atual na CLI do Cisco IOS ou se você
não souber os parâmetros obrigatórios ou disponíveis para concluir um
determinado comando, digite o comando ?.
Quando apenas ? é digitado, uma lista de todos os comandos disponíveis no contexto

atual é exibida. Se o comando ? for digitado depois de um comando específico, os
argumentos do comando serão exibidos. Se <cr> for exibido, nenhum outro argumento
será necessário para fazer o comando funcionar. Não se esqueça de incluir um espaço
antes do ponto de interrogação para impedir que a CLI do Cisco IOS execute a ajuda de
palavra, e não a ajuda de sintaxe do comando. Por exemplo, digite show ? para obter
uma lista das opções de comando suportadas pelo comando show.
A figura mostra as funções de ajuda Cisco.
Usando o exemplo da configuração do relógio do dispositivo, vejamos como a ajuda de

CLI funciona. Se o relógio do dispositivo precisar ser definido, mas a sintaxe de
comando clock não for conhecida, a janela sensível ao contexto fornecerá um meio de
verificar a sintaxe.
A ajuda sensível ao contexto fornece todo o comando, mesmo que você digite apenas a
primeira parte do comando, como cl?.
Se você digitar o comando clock seguido da tecla Enter, uma mensagem de erro
indicará que o comando está incompleto. Para exibir os parâmetros exigidos do
comando clock, digite ?, antecedido por um espaço. No exemplo clock ?, a saída de
comando da ajuda mostra que a palavra-chave set é obrigatória depois de clock.
Se agora você digitar o comando clock set, outra mensagem de erro será exibida,
indicando que o comando ainda está incompleto. Agora adicione um espaço e digite o
comando ? para exibir uma lista de argumentos do comando que estão disponíveis a
essa altura para o determinado comando.
Os argumentos adicionais necessários à definição do relógio são exibidos: a hora atual

que usa horas, minutos e segundos. Para obter um excelente recurso sobre como usar a
CLI do Cisco IOS, visite:
http://www.cisco.com/univercd/cc/td/doc/product/software/ios124/124cg/hcf_c/ch10/in
dex.htm (em inglês).
Exibir meio visual
Página 2:
Mensagens de erro da console
As mensagens de erro da console ajudam a identificar problemas quando um comando

incorreto é digitado. A figura fornece mensagens de erro de exemplo, o que elas
significam e como obter ajuda quando elas são exibidas.
Exibir meio visual
2.3.3 Acessando o histórico de comandos
Página 1:
O buffer do histórico de comandos

Quando você está configurando muitas interfaces em um switch, é possível economizar
tempo ao redigitar comandos, usando o buffer do histórico de comandos do Cisco IOS.
Neste tópico, você aprenderá a configurar o buffer do histórico de comandos para
suportar suas iniciativas de configuração.
A CLI Cisco fornece um histórico ou um registro de comandos digitados. Esse recurso,

chamado de histórico de comandos, é especialmente útil para ajudar a relembrar
comandos ou entradas longas ou complexas.
Com o recurso do histórico de comandos, é possível concluir as seguintes tarefas:
 Exiba o conteúdo do buffer de comandos.

 Defina o tamanho do buffer do histórico de comandos.
 Lembre comandos digitados anteriormente armazenados no buffer do histórico.
Há um buffer para cada modo de configuração.
Por padrão, o histórico de comandos é habilitado e o sistema registra as últimas dez

linhas de comando em seu buffer de histórico. É possível usar o comando show history
para exibir os comandos EXEC digitados recentemente.
Exibir meio visual
Página 2:
Configurar o buffer do histórico de comandos
Nos produtos de rede Cisco que suportam o software Cisco IOS, o histórico de
comandos permanece habilitado por padrão e as últimas dez linhas de comando são
registradas no buffer do histórico.
O histórico de comandos pode ser desabilitado durante a sessão terminal atual apenas
usando o comando terminal no history no modo EXEC do usuário ou privilegiado.
Quando o histórico de comandos é desabilitado, o dispositivo deixa de manter todas as
linhas de comando digitadas anteriormente.
Para restaurar o valor padrão de dez linhas para o tamanho do histórico do terminal,
digite o comando terminal no history size no modo EXEC privilegiado. A figura
fornece uma explicação e um exemplo desses comandos do Cisco IOS.
Exibir meio visual
2.3.4 A sequência de inicialização do switch
Página 1:
Descrever a sequência de inicialização
Neste tópico, você aprenderá a sequência de comandos do Cisco IOS que um switch
executa no estado desligado para exibir o prompt de login. Depois que um switch Cisco
for ligado, ele passará pela seguinte seqüência de inicialização:
O switch carrega o software boot loader. Boot loader é um programa pequeno

armazenado na ROM, sendo executado quando o switch é ligado pela primeira vez.
O boot loader:
 Executa a inicialização de CPU de baixo nível. Ele inicializa os registradores de

CPU, que controlam onde a memória física é mapeada, a quantidade de memória
e sua velocidade.
 Executa auto-teste de inicialização (POST, power-on self-test) no subsistema de
CPU. Ele testa a DRAM da CPU e a porção do dispositivo de rede que constitui
o sistema de arquivos flash.
 Inicializa o sistema de arquivos flash na placa do sistema.
 Carrega uma imagem do software de sistema operacional padrão na memória e
inicializa o switch. O boot loader localiza a imagem do Cisco IOS no switch,
procurando inicialmente um diretório com o mesmo nome do arquivo da
imagem (exceto a extensão .bin). Se ele não localizá-la lá, o software boot loader
pesquisa todos os subdiretórios antes de continuar pesquisando o diretório
original.
Em seguida, o sistema operacional inicializa as interfaces usando os comandos do Cisco

IOS localizados no arquivo de configuração do sistema operacional, config.text,
armazenado na memória flash do switch.
Recuperando-se de uma falha do sistema
O boot loader também fornecerá acesso no switch se o sistema operacional não puder
ser usado. O boot loader tem um recurso de linha de comando que fornece acesso aos
arquivos armazenados na memória flash antes do sistema operacional ser carregado. Na
linha de comando do boot loader, é possível digitar comandos para formatar o sistema
de arquivos da memória flash, reinstalar a imagem de software do sistema operacional
ou recuperar uma senha perdida ou esquecida.
Exibir meio visual
2.3.5 Preparar a configuração do switch
Página 1:
Preparar a configuração do switch
A inicialização inicial de um switch Catalyst exige a conclusão das seguintes etapas:
Etapa 1. Antes de iniciar o switch, verifique o seguinte:
Todas as conexões de cabo do rede estão seguras.
O seu PC ou terminal está conectado à porta console.
O seu aplicativo emulador terminal, como HyperTerminal, está em execução e

configurado corretamente.
A figura ilustra como conectar um PC a um switch que usa a porta console.

Clique no botão Configurar HyperTerminal na figura.
A figura mostra a configuração correta do HyperTerminal, que pode ser usado para
exibir a console de um dispositivo Cisco.
Etapa 2. Acople o cabo de energia ao soquete da fonte de alimentação do switch. O

switch será reiniciado. Alguns switches Catalyst, inclusive a série Cisco Catalyst 2960,
não têm botões de energia.
Etapa 3. Observe a seguinte seqüência de inicialização:
Quando o switch for ligado, o POST começará. Durante o POST, os LEDs piscam
enquanto uma série de testes determinam se o switch está funcionando corretamente.
Quando o POST é concluído, o LED SYST pisca rapidamente em verde. Se houver
falha no switch durante o POST, o LED SYST acenderá em âmbar. Quando um switch
falha durante o teste POST, é necessário repará-lo.
Observe o texto da saída de comando do software Cisco IOS na console.
Clique no botão Exibir processo de inicialização na console na figura.
A figura mostra o processo de inicialização na console de um switch Cisco.
Durante a inicialização inicial do switch, se forem detectadas falhas durante o POST,

elas serão informadas à console, e o switch não iniciará. Se o POST for concluído com
êxito, e o switch não tiver sido configurado antes, você será solicitado a configurar o
switch.
Exibir meio visual
2.3.6 Configuração básica do switch

Página 1:
Considerações sobre a interface de gerenciamento
Um switch da camada de acesso é muito semelhante a um PC quanto à sua necessidade

de configurar um endereço IP, uma máscara de sub-rede e um gateway padrão. Para
gerenciar um switch remotamente usando TCP/IP, você precisa atribuir um endereço IP
ao switch. Na figura, você deseja gerenciar S1 em PC1, um computador usado para
gerenciar a rede. Para fazer isso, você precisa atribuir um endereço IP ao switch S1.
Esse endereço IP é atribuído a uma interface virtual chamada rede LAN virtual
(VLAN), logo, é necessário assegurar que a VLAN seja atribuída a uma porta específica
ou portas no switch.
Na configuração padrão do switch, seu gerenciamento é controlado por meio da VLAN

1. Porém, uma prática recomendada para a configuração básica do switch é alterar a
VLAN de gerenciamento para outra que não seja a VLAN 1. Os motivos para isso são
explicados no próximo capítulo. A figura ilustra o uso de VLAN 99 como a VLAN de
gerenciamento. No entanto, é importante considerar que uma interface diferente de
VLAN 99 pode ser considerada para a interface de gerenciamento.
Nota: Você obterá mais informações sobre VLANs no próximo capítulo. Aqui o foco
está em como fornecer acesso de gerenciamento ao switch que usa uma VLAN
alternativa. Alguns dos comandos apresentados aqui são explicados mais
detalhadamente no próximo capítulo.
Por ora, a VLAN 99 é criada e recebe um endereço IP. Dessa forma, a porta apropriada
no switch S1 é atribuída à VLAN 99. A figura também mostra essas informações de
configuração.
Clique no botão Configurar interface de gerenciamento na figura.
Configurar interface de gerenciamento
Para configurar um endereço IP e a máscara de sub-rede na VLAN de gerenciamento do

switch, você deve estar no modo de configuração de interface VLAN. Use o comando
interface vlan 99 e digite o comando de configuração do endereço IP. Você deve usar o
comando de configuração da interface no shutdown para tornar essa interface da
Camada 3 operacional. Quando você vê "interface VLAN x", isso se refere à interface
da Camada 3 associada à VLAN x. Apenas a VLAN de gerenciamento tem uma VLAN
de interface associada.
Observe que um switch da Camada 2, como o Cisco Catalyst 2960, só permite a uma
única interface VLAN ser ativa por vez. Isso significa que a interface da Camada 3, a
interface VLAN 99, está ativa, mas que a interface da Camada 3, a interface VLAN 1,
não.
Clique no botão Configurar gateway padrão na figura.
Configurar gateway padrão
Você precisa configurar o switch para que ele possa encaminhar pacotes IP para redes
distantes. O gateway padrão é o mecanismo para fazer isso. O switch encaminha
pacotes IP com endereços IP de destino fora da rede local para o gateway padrão. Na
figura, o roteador R1 é o roteador de próximo salto. Seu endereço IP é 172.17.99.1.
Para configurar um gateway padrão para o switch, use o comando ip default-gateway.

Digite o endereço IP da interface do roteador de próximo salto conectada diretamente ao
switch em que há um gateway padrão em configuração. Não se esqueça de salvar a
configuração de execução em um switch ou roteador. Use o comando copy running-
config startup-config para fazer backup da sua configuração.
Clique no botão Verificar configuração na figura.
Verificar configuração
A captura de tela na parte superior da figura é uma saída de comando na tela abreviada
mostrando que a VLAN 99 foi configurada com um endereço IP e uma máscara de sub-
rede, e que uma porta Fast Ethernet F0/18 recebeu a interface de gerenciamento VLAN
99.
Mostrar as interfaces IP
Use show ip interface brief para verificar o funcionamento e o status da porta. Você
praticará usando o comando switchport access vlan 99 em um laboratório prático e
uma atividade do Packet Tracer.
O comando mdix auto
Você costuma ser solicitado a usar determinados tipos de cabo (crossover, straight-
through) ao conectar dispositivos específicos, switch-a-switch ou switch-a-roteador. Na
verdade, agora é possível usar o comando de configuração da interface mdix auto na
CLI para ativar o recurso de interface que depende do meio automático (auto-MDIX).
Quando o recurso auto-MDIX é habilitado, o switch detecta o tipo de cabo exigido para
conexões Ethernet de cobre e configura as interfaces corretamente. Por isso, é possível
usar um cabo crossover ou straight-through para conexões com uma porta 10/100/1000
de cobre no switch, independentemente do tipo de dispositivo na outra extremidade da
conexão.
O recurso auto-MDIX foi apresentado no Cisco IOS Release 12.2(25)FX.
Exibir meio visual
Página 2:
Configurar o modo duplex e a velocidade
É possível usar o comando de configuração da interface duplex para especificar o modo

bidirecional de funcionamento das portas de switch. É possível definir o modo
bidirecional e a velocidade das portas de switch manualmente para evitar problemas do
inter-fornecedor com negociação automática. Embora possa haver problemas quando
você define configurações bidirecionais da porta de switch como auto, neste exemplo,
os switches S1 e S2 têm as mesmas configurações bidirecionais e velocidades. A figura
descreve as etapas para configurar a porta F0/1 no switch S1.
Exibir meio visual
Página 3:
Configurar uma interface da Web
Os switches Cisco modernos têm várias ferramentas de configuração baseadas na Web

que exigem a configuração do switch como um servidor HTTP. Entre esses aplicativos
estão a interface de usuário do navegador Cisco e os aplicativos Cisco Router and
Security Device Manager (SDM) e IP Phone and Cisco IOS Telephony Service.
Para controlar quem pode acessar os serviços HTTP no switch, é possível configurar a
autenticação. Os métodos de autenticação podem ser complexos. Você pode ter tantas
pessoas usando os serviços HTTP que acaba precisando de um servidor separado para
tratar especificamente a autenticação do usuário. Os modos de autenticação AAA e
TACACS são exemplos que usam esse tipo de método de autenticação remota. AAA e
TACACS são protocolos de autenticação que podem ser usados em redes para validar
credenciais de usuário. Talvez você precise ter um método de autenticação menos
complexo. O método enable exige que os usuários usem a senha de habilitar do
servidor. O método de autenticação local exige que o usuário use o nome de usuário de
login, a senha e o acesso do nível de privilégio especificados na configuração do
sistema local (com o comando de configuração global username).
Para obter mais informações sobre TACACS, visite:

http://www.cisco.com/en/US/tech/tk583/tk642/tsd_technology_support_sub-
protocol_home.html (em inglês).
Para obter mais informações sobre AAA, visite:

http://www.cisco.com/en/US/products/ps6638/products_data_sheet09186a00804fe332.h
tml (em inglês).
Exibir meio visual
Página 4:
Gerenciando a tabela de endereços MAC

Os switches usam tabelas de endereços MAC para determinar como encaminhar tráfego
entre portas. Essas tabelas MAC incluem endereços dinâmicos e estáticos. A figura
mostra uma tabela de endereços MAC de exemplo da saída de comando show mac-
address-table que inclui endereços MAC estáticos e dinâmicos.
Nota: A tabela de endereços MAC era conhecida como memória endereçável de

conteúdo (CAM) ou como tabela CAM.
Os endereços dinâmicos são endereços MAC de origem que o switch aprende,

expirando quando não estão em uso. É possível alterar a configuração de tempo limite
para endereços MAC. O tempo padrão é de 300 segundos. Definir uma tempo limite
muito breve pode fazer com que os endereços sejam removidos prematuramente da
tabela. Dessa forma, quando o switch recebe um pacote para um destino desconhecido,
ele envia o pacote a todas as portas na mesma rede local (ou VLAN) como a porta
receptora. Este envio desnecessário pode afetar o desempenho. Definir uma tempo
limite muito longa pode fazer com que a tabela de endereços seja preenchida com
endereços não usados, o que impede a aprendizagem de novos endereços. Isso também
pode causar envio excessivo (flooding).
O switch fornece endereçamento dinâmico, aprendendo o endereço MAC de origem de

todos os quadros recebidos em cada porta e adicionando o endereço MAC de origem e
seu número de porta associado à tabela de endereços MAC. Na medida em que os
computadores são adicionados à ou removidos da rede, o switch atualiza a tabela de
endereços MAC, adicionando novas entradas e expirando as que não estiverem em uso
no momento.
Um administrador de rede pode atribuir especificamente endereços MAC estáticos a

determinadas portas. Os endereços estáticos não expiram e o switch sempre sabe que
porta usar para enviar o tráfego com destino a esse endereço MAC específico. Dessa
forma, não há necessidade de reaprender ou atualizar a porta a que o endereço MAC
está conectado. Uma razão para implementar endereços MAC estáticos é dar ao
administrador de rede controle completo sobre o acesso à rede. Apenas esses
dispositivos conhecidos do administrador de rede podem se conectar à rede.
Para criar um mapeamento estático na tabela de endereços MAC, use o comando mac-
address-table static <MAC address> vlan {1-4096, ALL} interface interface-id.
Para remover um mapeamento estático na tabela de endereços MAC, use o comando no
mac-address-table static <MAC address> vlan {1-4096, ALL} interface interface-id.
O tamanho máximo da tabela de endereços MAC varia de switch para switch. Por
exemplo, o switch da série Catalyst 2960 pode armazenar até 8.192 endereços MAC. Há
outros protocolos que podem limitar o número absoluto de endereço MAC disponíveis
para um switch.
Exibir meio visual
2.3.7 Verificando a configuração do switch
Página 1:
Usando os comandos show
Agora que executou a configuração inicial do switch, você deve confirmar se o switch
foi configurado corretamente. Neste tópico, você aprenderá a verificar a configuração
do switch usando vários comandos show.
Clique no botão Comandos show na figura.
Quando você precisa verificar a configuração do seu switch Cisco, o comando show é
muito útil. O comando show é executado no modo EXEC privilegiado. A figura
apresenta algumas das principais opções do comando show que verificam praticamente
todos os recursos configuráveis do switch. Há muitos comandos show adicionais que
você aprenderá ao longo deste curso.
Clique no botão show running-config na figura.
Um dos comandos show mais importantes é o comando show running-config. Esse

comando exibe a configuração atualmente em execução no switch. Use esse comando
para verificar se você configurou o switch corretamente. A figura mostra uma saída de
comando abreviada do comando show running-config. As reticências indicam um
conteúdo não encontrado. A figura realçou a saída de comando na tela do switch S1 que
mostra:
 Interface Fast Ethernet 0/18 configurada com a VLAN 99 de gerenciamento
 VLAN 99 configurada com um endereço IP 172.17.99.11 255.255.0.0
 Gateway padrão definido como 172.17.50.1
 Servidor HTTP configurado
Clique no botão show interfaces na figura.
Outro comando muito usado é o comando show interfaces, que exibe informações
estatísticas e de status sobre as interfaces de rede do switch. O comando show
interfaces costuma ser usado durante a configuração e o monitoramento dos
dispositivos de rede. Lembre-se de que é possível digitar comandos parciais no prompt
de comando e, desde que nenhuma outra opção de comando seja igual, o software Cisco
IOS interpreta o comando corretamente. Por exemplo, é possível usar show int para este
comando. A figura mostra a saída de comando de um comando show interfaces
FastEthernet 0/1. A primeira linha realçada na figura indica que o a interface Fast
Ethernet 0/1 está ativa e em execução. A próxima linha realçada mostra que o
bidirecional é automático e que a velocidade é automática.
Exibir meio visual
2.3.8 Gerenciamento básico do switch
Página 1:
Fazer backup e restaurar configurações de switch
Um trabalho típico para um técnico de rede iniciante é carregar um switch com uma
configuração. Neste tópico, você aprenderá como carregar e armazenar uma
configuração na memória flash do switch e em um servidor TFTP.
Clique no botão Fazer backup de configurações na figura.
Fazendo backup da configuração

Você já aprendeu como fazer backup da configuração de execução de um switch no
arquivo de configuração de inicialização. Você usou o comando EXEC privilegiado
copy running-config startup-config para fazer backup das configurações feitas até
então. Como você talvez já saiba, a configuração de execução é salva na DRAM, e a
configuração de inicialização é armazenada na seção NVRAM da memória Flash.
Quando você emite o comando copy running-config startup-config, o software Cisco
IOS copia a configuração de execução para NVRAM de forma que, quando o switch for
inicializado, o startup-config com sua nova configuração seja carregado.
Você nem sempre deseja salvar alterações feitas na configuração de execução de um

switch. Por exemplo, você talvez queira alterar a configuração por um curto período, e
não permanentemente.
Se quiser manter vários arquivos startup-config diferentes no dispositivo, você poderá

copiar a configuração para nomes de arquivos diferentes, usando o comando copy
startup-config flash:filename. Armazenar várias versões de startup-config permite
restaurar um ponto caso a sua configuração tenha problemas. A figura mostra três
exemplos de backup da configuração feitos na memória flash. O primeiro é a sintaxe
formal e completa. O segundo é a sintaxe mais usada. Use a primeira sintaxe quando
você não estiver familiarizado com o dispositivo de rede com o qual está trabalhando e
use a segunda sintaxe quando você souber que o destino é a NVRAM flash instalada no
switch. O terceiro é a sintaxe usada para salvar uma cópia do arquivo startup-config na
memória flash.
Clique no botão Restaurar configurações na figura.
Restaurando a Configuração
Restaurar uma configuração é um processo simples. Basta copiar a configuração salva

sobre a configuração atual. Por exemplo, se tivesse uma configuração salva chamada
config.bak1, você poderia restaurá-la sobre seu startup-config existente, digitando este
comando do Cisco IOS copy flash:config.bak1 startup-config. Quando a configuração
foi restaurada no startup-config, você reinicia o switch para que ele recarregue a nova
configuração de inicialização, usando o comando reload no modo EXEC privilegiado.
O comando reload pára o sistema. Se o sistema for definido para ser reiniciado em caso
de erro, ele será reinicializado. Use o comando reload depois que as informações de
configuração forem inseridas em um arquivo e salvas na configuração de inicialização.
Nota: Não será possível recarregar a partir de um terminal virtual, se o switch não
estiver definido para inicialização automática. Essa restrição impede que o sistema seja
descartado no monitor de ROM (ROMMON), fazendo com que o sistema seja retirado
do controle de usuário remoto.
Após a emissão do comando reload, o sistema solicita a você responder se você deve ou
não salvar a configuração. Normalmente, você indicaria "sim", mas neste caso
específico, você precisa responder "não". Se você respondesse "sim", o arquivo que
você acabou de restaurar seria substituído. Em todos os casos, você precisa considerar
se a configuração de execução é ou não a que você deseja ativar depois de recarregar.
Para obter mais detalhes sobre o comando reload, revise o Cisco IOS Configuration
Fundamentals Command Reference, Release 12.4, encontrado neste site:
http://www.cisco.com/en/US/docs/ios/fundamentals/command/reference/cf_book.html
(em inglês).
Nota: Também existe a opção de digitar o comando copy startup-config running-

config. Infelizmente, esse comando não substitui por completo a configuração de
execução; ele só adiciona comandos existentes da configuração de inicialização à
configuração de execução. Como isso pode causar resultados não desejados, tome
cuidado ao fazê-lo.
Exibir meio visual
Página 2:
Fazer backup de arquivos de configuração para um servidor TFTP
Depois de configurar o seu switch com todas as opções que deseja definir, é uma boa
idéia fazer backup da configuração na rede em que ela pode ser arquivada com o
restante dos dados de rede em backup durante a noite. Ter a configuração armazenada
com segurança fora do switch a protege em caso de um grande problema de proporções
catastróficas com o seu switch.
Algumas configurações de switch demoram muitas horas para funcionar corretamente.

Se você perdeu a configuração por conta de uma falha no hardware do switch, um novo
switch precisará ser configurado. Se houver uma configuração de backup para o switch
com falha, ela poderá ser carregada rapidamente no novo switch. Se não houver
nenhuma configuração de backup, você deverá configurar o novo switch do zero.
É possível usar TFTP para fazer backup dos seus arquivos de configuração na rede. O
software Cisco IOS acompanha um cliente TFTP interno que permite a conexão com
um servidor TFTP na sua rede.
Nota: Há pacotes de software do servidor TFTP gratuitos disponíveis na Internet que é

possível usar caso você ainda não tenha um servidor TFTP em execução. Um servidor
TFTP normalmente usado é de www.solarwinds.com.
Fazendo backup da configuração
Para carregar um arquivo de configuração de um switch para um servidor TFTP para

armazenamento, siga estas etapas:
Etapa 1. Verifique se o servidor TFTP está em execução na sua rede.
Etapa 2. Faça login no switch usando a porta console ou uma sessão Telnet. Habilite o
switch e execute ping no servidor TFTP.
Etapa 3. Carregue a configuração do switch no servidor TFTP. Especifique o endereço

IP ou o nome de host do servidor TFTP e o nome do arquivo de destino. O comando do
Cisco IOS é: #copy system:running-config tftp:[[[//location]/directory]/filename] ou
#copy nvram:startup-config tftp:[[[//location]/directory]/filename].
A figura mostra um exemplo do backup da configuração feitos em um servidor TFTP.
Restaurando a configuração
Depois que a configuração for armazenada com êxito no servidor TFTP, ela poderá ser
copiada para o switch usando as seguintes etapas:
Etapa 1. Copie o arquivo de configuração para o TFTP diretório apropriado no servidor

TFTP, se ele ainda não estiver lá.
Etapa 2. Verifique se o servidor TFTP está em execução na sua rede.
Etapa 3. Faça login no switch usando a porta console ou uma sessão Telnet. Habilite o
switch e execute ping no servidor TFTP.
Etapa 4. Faça o download do arquivo de configuração no servidor TFTP para

configurar o switch. Especifique o endereço IP ou o nome de host do servidor TFTP e o
nome do arquivo de download. O comando do Cisco IOS é: #copy tftp:
[[[//location]/directory]/filename] system:running-config ou #copy tftp:
[[[//location]/directory]/filename] nvram:startup-config.
Se o download do arquivo de configuração for feito no running-config, os comandos

serão executados na medida em que o arquivo é analisado linha a linha. Se o download
do arquivo de configuração for feito no startup-config, o switch deverá ser recarregado
para que as alterações entrem vigor.
Exibir meio visual
Página 3:
Limpando informações de configuração
É possível limpar as informações de configuração da configuração de inicialização.

Você pode fazer isso para preparar um switch usado a ser enviado para um cliente ou
para um departamento diferente, e você deseja assegurar que o switch seja
reconfigurado. Quando você apaga o arquivo de configuração de inicialização durante a
reinicialização, ele entra no programa de configuração de forma que seja possível
reconfigurar o switch usando novas configurações.
Para limpar o conteúdo da configuração de inicialização, use o comando erase nvram:
ou o comando EXEC privilegiado erase startup-config. A figura mostra um exemplo
de como apagar os arquivos de configuração armazenados na NVRAM.
Cuidado: Como não é possível restaurar o arquivo de configuração de inicialização

depois que ele foi apagado, verifique se você tem um backup da configuração caso você
precise restaurá-lo posteriormente.
Excluindo um arquivo de configuração armazenado
Você talvez esteja trabalhando em uma tarefa de configuração complexa e armazenou

muitas cópias de backup dos seus arquivos na memória flash. Para excluir um arquivo
da memória flash, use o comando EXEC privilegiado delete flash:filename.
Dependendo da configuração do comando de configuração global do prompt de arquivo,
você pode ser solicitado a confirmar antes de excluir um arquivo. Por padrão, o switch
solicita a confirmação durante a exclusão de um arquivo.
Cuidado: Como não é possível restaurar o arquivo de configuração de inicialização

depois que ele foi excluído, verifique se você tem um backup da configuração caso você
precise restaurá-lo posteriormente.
Depois que a configuração for apagada ou excluída, você poderá recarregar o switch
para iniciar uma nova configuração para o switch.
Exibir meio visual
Página 4:
O gerenciamento básico de switch é essencial para configurar switches. Esta atividade

vai ensinar a navegar em modos de interface de linha de comando, usar funções de
ajuda, acessar o histórico de comandos, configurar parâmetros de seqüência de
inicialização, definir velocidade e configurações bidirecionais, e gerenciar a tabela de
endereços MAC e o arquivo de configuração do switch. Habilidades aprendidas nesta
atividade são necessárias para configurar a segurança de switch básica em capítulos
posteriores. São fornecidas instruções detalhadas na atividade, bem como no link do
PDF abaixo.
Exibir meio visual
2.4 Configurando a segurança do switch
2.4.1 Configurar opções de senha
Página 1:
Configurar o acesso à console
Neste tópico, você aprenderá a configurar senhas para o acesso de console, terminal
virtual e modo EXEC. Você também aprenderá como criptografar e recuperar senhas
em um switch.
Os dados são muito importantes, devendo ser cuidadosamente guardados e protegidos.

O Federal Bureau of Investigation (FBI) dos Estados Unidos estima que as empresas
percam US$ 67,2 bilhões anualmente por conta de crimes relacionados a computador.
Os dados pessoais do cliente específico são especificamente vendidos por preços altos.
Estes são alguns dos preços atuais para dados roubados:
 caixa eletrônico ou cartão de débito com PIN (Número de Identificação

Pessoal): $500
 O número da carteira de habilitação: $150
 Número da Previdência Social: $100
 Número do cartão de crédito com data de validade: de US$ 15 a US$ 20
A proteção dos seus switches começa com a proteção contra o acesso não autorizado.
É possível executar todas as opções de configuração diretamente na console. Para

acessar a console, você precisa ter um acesso físico local ao dispositivo. Se você não
protegesse a porta console corretamente, um usuário mal-intencionado poderia
comprometer a configuração do switch.
Proteger a console
Para proteger a porta console do acesso não autorizado, defina uma senha na porta
console usando o comando do modo de configuração da linha password <password>.
Use o comando line console 0 para passar do modo de configuração da linha para o
modo de configuração da linha para o console 0, que é a porta console em switches
Cisco. O prompt muda para (config-line)#, o que indica que o switch agora está no
modo de configuração da linha. No modo de configuração da linha, é possível definir a
senha para o console, digitando o comando password <password>. Para assegurar que
um usuário na porta console seja obrigado a digitar a senha, use o comando login.
Mesmo quando uma senha está definida, não é necessário digitá-la até que o comando
login seja emitido.
A figura mostra os comandos usados para configurar e exigir a senha para o acesso ao
console. Lembre-se de que é possível usar o comando show running-config para
verificar a sua configuração. Antes de concluir a configuração do switch, não se esqueça
de salvar o arquivo de configuração de execução na configuração de inicialização.
Remover senha da console
Se você precisar remover a senha e o requisito para digitar a senha durante o login, use
as seguintes etapas:
Etapa 1. Alterne do modo EXEC privilegiado para o modo de configuração global.

Digite o comando configure terminal.
Etapa 2. Passe do modo de configuração global para o modo de configuração de linha

para o console 0. O prompt de comando (config-line)# indica que você está no modo de
configuração de linha. Digite o comando line console 0.
Etapa 3. Remova a senha da linha de console usando o comando no password.

Etapa 4. Remova o requisito para digitar a senha durante o login para a linha de
console, usando o comando no login.
Etapa 5. Saia do modo de configuração de linha e volte ao modo EXEC privilegiado,

usando o comando end.
Exibir meio visual
Página 2:
Proteger as portas vty
As portas vty em um switch Cisco permitem acessar o dispositivo remotamente. É

possível executar todas as opções de configuração usando as portas de terminal vty.
Como você não precisa de acesso físico ao switch para acessar as portas vty, é muito
importante proteger as portas vty. Qualquer usuário com acesso de rede ao switch pode
estabelecer uma conexão de terminal remota vty. Se as portas vty não fossem
devidamente protegidas, um usuário mal-intencionado poderia comprometer a
configuração do switch.
Para proteger as portas vty do acesso não autorizado, é possível definir uma senha vty
obrigatória antes do acesso ser concedido.
Para definir a senha nas portas vty, você deve estar no modo de configuração de linha.
Talvez haja muitas portas vty disponíveis em um switch Cisco. Várias portas permitem
a mais de um administrador se conectar e gerenciar o switch. Para proteger todas as
linhas vty, verifique se uma senha está definida e se o login foi aplicado em todas as
linhas. Deixar algumas linhas desprotegidas compromete a segurança e permite a
usuários não autorizados acessar o switch.
Use o comando line vty 0 4 para passar do modo de configuração global para o modo
de configuração de linha das linhas vty de 0 a 4.
Nota: Se o switch tiver mais linhas vty disponíveis, ajuste a faixa para proteger todas
elas. Por exemplo, um Cisco 2960 tem linhas de 0 a 15 disponíveis.
A figura mostra os comandos usados para configurar e exigir a senha para o acesso a
vty. É possível usar o comando show running-config para verificar a sua configuração
e o comando copy running-config startup config para salvar o seu trabalho.
Remover a senha vty
Se você precisar remover a senha e o requisito para digitar a senha durante o login, use
as seguintes etapas:
Etapa 1. Alterne do modo EXEC privilegiado para o modo de configuração global.

Digite o comando configure terminal.
Etapa 2. Passe do modo de configuração global para o modo de configuração de linha

para os terminais vty de 0 a 4. O prompt de comando (config-line)# indica que você está
no modo de configuração de linha. Digite o comando line vty 0 4.
Etapa 3. Remova a senha das linhas vty usando o comando no password.
Cuidado: Se nenhuma senha for definida e o login continuar habilitado, não haverá
nenhum acesso às linhas vty.
Etapa 4. Remova o requisito para digitar a senha durante o login para as linhas vty,
usando o comando no login.
Etapa 5. Saia do modo de configuração de linha e volte ao modo EXEC privilegiado,

usando o comando end.
Exibir meio visual

Página 3:
Configurar senhas no modo EXEC
O modo EXEC privilegiado permite a qualquer usuário que habilite esse modo em um
switch Cisco configurar qualquer opção disponível no switch. Também é possível exibir
todas as configurações definidas atualmente no switch, inclusive algumas das senhas
não criptografadas! Por essas razões, é importante proteger o acesso ao modo EXEC
privilegiado.
O comando de configuração global enable password permite especificar uma senha

para restringir o acesso ao modo EXEC privilegiado. No entanto, uma problema com o
comando enable password é que ele armazena a senha em texto legível no startup-
config e no running-config. Se alguém fosse ganhar acesso a um arquivo startup-config
armazenado ou acesso temporário a uma sessão Telnet ou de console registrados no
modo EXEC privilegiado, essa pessoa poderia ver a senha. Dessa forma, a Cisco
apresentou uma nova opção de senha para controlar o acesso ao modo EXEC
privilegiado que armazena a senha em um formato criptografado.
É possível atribuir uma forma criptografada da senha de habilitar, chamada de senha

secreta de habilitação, digitando o comando enable secret com a senha desejada no
prompt do modo de configuração global. Se a senha secreta de habilitação for
configurada, ela será usada em lugar da senha de habilitar, não em adição a ela.
Também há uma proteção incorporada no software Cisco IOS que notifica quando a
definição da senha secreta de habilitação usada para a senha de habilitar. Se forem
digitadas senhas idênticas, o IOS aceitará a senha, mas avisará que elas são iguais e
orientará uma nova digitação de uma nova senha.
A figura mostra os comandos usados para configurar senhas no modo EXEC

privilegiado. É possível usar o comando show running-config para verificar a sua
configuração e o comando copy running-config startup config para salvar o seu
trabalho.
Remover senha no modo EXEC

Se precisar remover o requisito de senha para acessar o modo EXEC privilegiado, será
possível usar os comandos no enable password e no enable secret no modo de
configuração global.
Exibir meio visual
Página 4:
Configurar senhas criptografadas
Durante a configuração de senhas na CLI do Cisco IOS, por padrão, todas as senhas,
exceto a senha secreta de habilitação, são armazenadas em formato de texto sem
formatação em startup-config e running-config. A figura mostra uma saída de comando
abreviada na tela do comando show running-config no switch S1. As senhas de texto
sem formatação são realçadas em laranja. É universalmente aceito que as senhas devem
ser criptografadas, e não armazenadas em formato de texto sem formatação. O comando
service password-encryption do Cisco IOS permite a criptografia da senha de serviço.
Quando o comando service password-encryption é digitado no modo de configuração

global, todas as senhas de sistema são armazenadas em uma forma criptografada. Assim
que o comando for digitado, todas as senhas atualmente definidas são convertidas em
senhas criptografadas. Na parte inferior da figura, as senhas criptografadas são realçadas
em laranja.
Se você quiser remover o requisito para armazenar todas as senhas de sistema em um

formato criptografado, digite o comando no service password-encryption no modo de
configuração global. Remover a criptografia de senha não converte senhas
criptografadas atualmente em texto legível. No entanto, todas as senhas recém-definidas
são armazenadas em formato de texto sem formatação.
Nota: O padrão de criptografia usado pelo comando service password-encryption é

conhecido como tipo 7. Esse padrão de criptografia é muito fraco, e há ferramentas
facilmente acessíveis na Internet para descriptografar senhas criptografadas com esse
padrão. O Tipo 5 é mais seguro, mas deve ser invocado manualmente para cada senha
configurada.
Exibir meio visual

Página 5:
Habilitar recuperação de senha
Depois de definir senhas para controlar o acesso à CLI do Cisco IOS, você precisará ter
certeza de que se lembra delas. Caso você tenha perdido ou esquecido as senhas de
acesso, a Cisco tem um mecanismo de recuperação de senha que permite aos
administradores obter acesso aos dispositivos Cisco. O processo de recuperação de
senha exige acesso físico ao dispositivo. A figura mostra uma captura de tela do vídeo
da exibição na console que indica que a recuperação de senha foi habilitada. Você verá
essa exibição depois da Etapa 3 abaixo.
Observe que você talvez não possa recuperar efetivamente as senhas no dispositivo
Cisco, especialmente se a criptografia de senha foi habilitada, mas você pode redefini-
las com um novo valor.
Para obter mais informações sobre o procedimento de senha, visite:

http://www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_tech_note09186a0
0801746e6.shtml (em inglês).
Para recuperar a senha em um switch Cisco 2960, siga as seguintes etapas:
Etapa 1. Conecte um terminal ou PC com software da emulação de terminal com a

porta console de switch.
Etapa 2. Defina a velocidade de linha no software de emulação como 9600 bauds.
Etapa 3. Desligue o switch. Reconecte o cabo de alimentação para o switch e, em 15

segundos, pressione o botão Modo enquanto o LED de sistema ainda estiver piscando
em verde. Continue pressionando o botão Modo até que o LED de sistema permaneça
em âmbar rapidamente e, em seguida, em verde permanentemente. Em seguida, solte o
botão Modo.
Etapa 4. Inicialize o sistema de arquivos da memória flash, usando o comando
flash_init.
Etapa 5. Carregue todos os arquivos auxiliares usando o comando load_helper.
Etapa 6. Exibe o conteúdo da memória flash usando o comando dir flash:
O sistema de arquivos de switch aparece:
Directory of flash:
13 drwx 192 Mar 01 1993 22:30:48 c2960-lanbase-mz.122-25.FX
11 -rwx 5825 Mar 01 1993 22:31:59 config.text
18 -rwx 720 Mar 01 1993 02:21:30 vlan.dat
16128000 bytes total (10003456 bytes free)
Etapa 7. Renomeie o arquivo de configuração para config.text.old, que contém a

definição de senha, usando o comando rename flash:config.text flash:config.text.old.
Etapa 8. Inicialize o sistema usando o comando boot.
Etapa 9. É solicitado que você inicie o programa de configuração. Digite N no prompt

e, em seguida, quando o sistema perguntar se você deseja continuar na caixa de diálogo
da configuração, digite N.
Etapa 10. No prompt de switch, digite o modo EXEC privilegiado, usando o comando
enable.
Etapa 11. Renomeie o arquivo de configuração para seu nome original, usando o
comando rename flash:config.text.old flash:config.text.
Etapa 12. Copie o arquivo de configuração para a memória, usando o comando copy
flash:config.text system:running-config. Depois que esse comando for digitado, isto
será exibido no console:
Source filename [config.text]?
Destination filename [running-config]?
Pressione Retornar em resposta à solicitação da confirmação. O arquivo de configuração

foi recarregado e você já pode alterar a senha.
Etapa 13. Entre no modo de configuração global, usando o comando configure

terminal.
Etapa 14. Altere a senha, usando o comando enable secret password.
Etapa 15. Retorne ao modo EXEC privilegiado, usando o comando exit.
Etapa 16. Grave a configuração de execução no arquivo de configuração de

inicialização, usando o comando copy running-config startup-config.
Etapa 17. Recarregue o switch, usando o comando reload.
Nota: Como o procedimento para recuperação de senha pode ser diferente dependendo
da série de switches Cisco, você deve consultar a documentação de produto antes de
tentar uma recuperação de senha.
Exibir meio visual
2.4.2 Banners de login

Página 1:
Configurar um banner de login
O conjunto de comandos do Cisco IOS inclui um recurso que permite configurar

mensagens que qualquer pessoa que tiver feito login no switch verá. Essas mensagens
são chamadas de banners de login e banners da mensagem do dia (MOTD). Neste
tópico, você aprenderá a configurá-las.
É possível definir um banner personalizado a ser exibido antes dos prompts do nome de
usuário e senha e de login, usando o comando banner login no modo de configuração
global. Inclua o texto do banner entre aspas ou usando um delimitador diferente de
qualquer caracter exibido na cadeia de caracteres MOTD.
A figura mostra o switch S1 configurado com um banner de login Authorized

Personnel Only! (Somente pessoal autorizado!)
Para remover o banner MOTD, digite o formato no desse comando no modo de

configuração global, por exemplo, S1(config)#no banner login.
Exibir meio visual
Página 2:
Configurar um banner MOTD
O banner MOTD é exibido em todos os terminais conectados no login, sendo útil para
enviar mensagens que afetam todos os usuários de rede (como desligamentos de sistema
impedidos). O banner MOTD será exibido antes do banner de login for configurado.
Defina o banner MOTD usando o comando banner motd no modo de configuração

global. Inclua o texto do banner entre aspas.
A figura mostra o switch S1 configurado com um banner MOTD para exibir Device
maintenance will be occurring on Friday! (Manutenção de desempenho ocorrerá na
sexta-feira!)
Para remover o banner de login, digite o formato no desse comando no modo de

configuração global, por exemplo, S1(config)#no banner motd.
Exibir meio visual
2.4.3 Configurar Telnet e SSH
Página 1:
Telnet e SSH
Os switches mais antigos talvez não suportem a comunicação segura com Shell Seguro
(SSH). Este tópico ajudará a escolher entre os métodos Telnet e SSH de comunicação
com um switch.
Há duas opções para acessar remotamente um vty em um switch Cisco.
Telnet é o método original suportado nos primeiros modelos de switch Cisco. Telnet é
um protocolo popular usado em acesso terminal porque a maioria dos sistemas
operacionais atuais acompanha um cliente Telnet integrado. No entanto, Telnet é uma
forma insegura de acessar um dispositivo de rede, porque ela envia todas as
comunicações através da rede em texto sem formatação. Usando o software de
monitoramento de rede, um invasor pode ler todos os pressionamentos de tecla enviados
entre o cliente Telnet e o serviço Telnet em execução no switch Cisco. Por conta das
preocupações de segurança do protocolo Telnet, SSH se tornou o protocolo preferido
para acessar linhas de terminal virtual (vty) remotamente em um dispositivo Cisco.
SSH dá o mesmo tipo de acesso como Telnet com o benefício adicional de segurança. A
comunicação entre o cliente e o servidor SSH é criptografada. SSH passou por alguns
versões, com dispositivos Cisco que atualmente suportam SSHv1 e SSHv2. É
recomendável que você implemente SSHv2 quando possível, porque ele usa um
algoritmo de criptografia de segurança mais aprimorado que SSHv1.
A figura apresenta as diferenças entre os dois protocolos.
Exibir meio visual
Página 2:
Configurando Telnet
Telnet é o protocolo suportado por vty padrão em um switch Cisco. Quando um

endereço IP de gerenciamento é atribuído ao switch Cisco, é possível se conectar a ele
usando um cliente Telnet. Inicialmente, as linhas vty não são protegidas, o que permite
acesso a qualquer usuário que se conecte a elas.
No tópico anterior, você aprendeu a proteger o acesso ao switch pelas linhas vty,
exigindo uma autenticação por senha. Isso torna a execução do serviço Telnet um pouco
mais segura.
Como Telnet é o transporte padrão para as linhas vty, você não precisa especificá-lo
depois que a configuração inicial do switch é executada. No entanto, se trocou o
protocolo de transporte nas linhas vty para permitir apenas SSH, você precisará habilitar
o protocolo Telnet para permitir o acesso Telnet manualmente.
Se você precisar reabilitar o protocolo Telnet em um switch Cisco 2960, use o seguinte
comando no modo de configuração de linha: (config-line)#transport input telnet or
(config-line)#transport input all.
Permitindo todos os protocolos de transporte, você continua permitindo o acesso SSH,

bem como o acesso Telnet.
Exibir meio visual
Página 3:
Configurando SSH
SSH é um recurso de segurança criptográfica sujeito a restrições de exportação. Para
usar esse recurso, uma imagem criptográfica deve ser instalada no seu switch.
O recurso SSH tem um servidor SSH e um cliente integrado SSH, que são aplicativos
executados no switch. É possível usar qualquer cliente SSH em execução em um PC ou
o cliente SSH Cisco em execução no switch para se conectar a um switch em execução
no servidor SSH.
O switch suporta SSHv1 ou SSHv2 para o componente do servidor. O switch suporta

apenas SSHv1 para o componente cliente.
SSH suporta o algoritmo de criptografia padrão de dados (DES), o algoritmo Triple

DES (3DES), além da autenticação de usuário baseada em senha. DES oferece uma
criptografia de 56 bits e 3DES oferece uma criptografia de 168 bits. A criptografia é
demorada, mas DES demora menos hora para criptografar texto que 3DES.
Normalmente, como os padrões de criptografia são especificados pelo cliente, se você
tiver que configurar SSH, pergunte qual usar. (A discussão dos métodos de criptografia
de dados está além do escopo deste curso.)
Para implementar SSH, você precisa gerar chaves RSA. RSA envolve uma chave
pública, mantida em um servidor RSA público, e uma chave particular, mantida apenas
pelo remetente e pelo receptor. A chave pública pode ser conhecida por todos, sendo
usada para criptografar mensagens. As mensagens criptografadas com a chave pública
só podem ser descriptografadas usando a chave particular. Isso é conhecido como
criptografia assimétrica, sendo abordado com mais detalhes no curso CCNA
Exploration: Acessando a WAN.
Você precisa gerar as chaves RSA criptografadas que usam o comando crypto key
generate rsa.
Esse procedimento será obrigatório se você estiver configurando o switch como um

servidor SSH. Começando no modo EXEC privilegiado, siga estas etapas para
configurar um nome de host e um nome de domínio IP, além de gerar um par de chaves
RSA.
terminal.
Etapa 2. Configure um nome de host para o seu switch usando o comando hostname
hostname.
Etapa 3. Configure um domínio de host para o seu switch usando o comando ip

domain-name domain_name command.
Etapa 4. Habilite o servidor SSH para a autenticação local e remota no switch e gere
um par de chaves RSA usando o comando crypto key generate rsa.
Ao gerar chaves RSA, você é solicitado a digitar um comprimento de módulo. A Cisco

recomenda usar um tamanho de módulo de 1024 bits. Um comprimento de módulo mais
longo pode ser mais seguro, mas demora mais para gerar e ser usado.
Etapa 5. Retorne ao modo EXEC privilegiado, usando o comando end.
Etapa 6. Mostre o status do servidor SSH no switch, usando o comando show ip ssh ou
show ssh.
Para excluir o par de chaves RSA, use o comando de configuração global crypto key
zeroize rsa. Depois que o par de chaves RSA for excluído, o servidor SSH será
desabilitado automaticamente.
Configurando o servidor SSH
Começando no modo EXEC privilegiado, siga estas etapas para configurar o servidor
SSH.
terminal.
Etapa 2. (Opcional) Configure o switch para executar SSHv1 ou SSHv2 usando o

comando ip ssh version [1 | 2].
Se você não digitar esse comando ou não especificar uma palavra-chave, o servidor
SSH selecionará a versão SSH mais recente suportada pelo cliente SSH. Por exemplo,
se o cliente SSH suportar SSHv1 e SSHv2, o servidor SSH selecionará SSHv2.
Etapa 3. Configure os parâmetros de controle SSH:
 Especifique o valor do tempo limite em segundos; o padrão é de 120 segundos.

O intervalo é de 0 a 120 segundos. Para que uma conexão SSH seja estabelecida,
várias fases devem ser concluídas, como conexão, protocolo, negociação e
negação de parâmetro. O valor de tempo limite se aplica ao tempo que o switch
permite ao estabelecimento de uma conexão.
Por padrão, estão disponíveis até cinco conexões SSH criptografadas, simultâneas, para
várias sessões baseadas em CLI na rede (da sessão 0 à sessão 4). Depois que o shell de
execução é iniciado, o valor de tempo limite da sessão baseada em CLI retorna ao
padrão de 10 minutos.
 Especifique por quantas horas um cliente pode se reautenticar no servidor. O

padrão é 3; o intervalo é de 0 a 5. Por exemplo, um usuário pode permitir que a
sessão SSH permaneça por mais 10 minutos três vezes antes do encerramento da
sessão SSH.
Repita essa etapa ao configurar ambos os parâmetros. Para configurar ambos os

parâmetros, use o comando ip ssh {timeout seconds | authentication-retries number}.
Etapa 4. Retorne ao modo EXEC privilegiado, usando o comando end.

Etapa 5. Exiba o status das conexões do servidor SSH no switch, usando o comando
show ip ssh ou o comando show ssh.
Etapa 6. (Opcional) Salve suas entradas no arquivo de configuração de inicialização,

usando o comando copy running-config startup-config.
Se você quiser impedir conexões que não sejam SSH, adicione o comando transport
input ssh no modo de configuração de linha para limitar o switch apenas a conexões
SSH. As conexões Telnet diretas (que não são SSH) são recusadas.
Para obter uma discussão detalhada sobre SSH, visite:

http://www.cisco.com/en/US/tech/tk583/tk617/tsd_technology_support_protocol_home.
html.
Para obter uma visão geral da tecnologia RSA, visite

http://en.wikipedia.org/wiki/Public-key_cryptography.
Para obter uma discussão detalhada sobre a tecnologia RSA, visite:

http://www.rsa.com/rsalabs/node.asp?id=2152.
Exibir meio visual
2.4.4 Ataques à segurança comuns
Página 1:
Ataques à segurança
Infelizmente, a segurança de switch básica não impede ataques mal-intencionados.

Neste tópico, você obterá informações sobre alguns ataques à segurança comuns e como
eles são perigosos. Este tópico fornece informações em nível introdutório sobre ataques
à segurança. Os detalhes de como alguns desses ataques comuns funcionam estão além
do escopo do curso. Se achar uma segurança de rede de interesse, você deve explorar a
curso CCNA Exploração: Acessando a WAN.
Envio de endereço MAC
O envio (flooding) de endereço MAC é um ataque comum. Lembre-se de que a tabela

de endereços MAC em um switch contém os endereços MAC disponíveis em uma
determinada porta física de um switch e os parâmetros de VLAN associados. Quando
um switch da Camada 2 recebe um quadro, o switch procura na tabela de endereços
MAC o endereço MAC de destino. Todos os modelos de switch Catalyst usam uma
tabela de endereços MAC para a comutação da Camada 2. Na medida em que os
quadros chegam a portas de switch, os endereços MAC de origem são aprendidos e
registrados na tabela de endereços MAC. Se houver uma entrada para o endereço MAC,
o switch encaminhará o quadro para a porta de endereço MAC designada na tabela de
endereços MAC. Se não houver o endereço MAC, o switch funcionará como um hub e
encaminhará o quadro por todas as demais portas no switch. Às vezes, os ataques de
sobrecarga da tabela de endereços MAC são conhecidos como ataques de envio MAC.
Para compreender o mecanismo de um ataque de sobrecarga da tabela de endereços
MAC, lembre-se do funcionamento básico de um switch.
Clique no botão Etapa 1 na figura para ver como começa o ataque de sobrecarga da
tabela de endereços MAC.
Na figura, o host A envia tráfego para o host B. O switch recebe os quadros e pesquisa
os endereços MAC de destino em sua tabela de endereços MAC. Se o switch não
conseguir localizar o MAC de destino na tabela de endereços MAC, o switch copiará o
quadro e o difundirá por todas as portas de switch.
Clique no botão Etapa 2 na figura para ver a próxima etapa.
O host B recebe o quadro e envia uma resposta para o host A. Dessa forma, o switch
sabe que o endereço MAC do host B está localizado na porta 2 e grava essas
informações na tabela de endereços MAC.
O host C também recebe o quadro do host A para o host B, mas como o endereço MAC
de destino desse quadro é o host B, o host C descarta esse pacote.

Agora, qualquer quadro enviado pelo host A (ou qualquer outro host) para o host B é
encaminhado para a porta 2 do switch, não o difundindo por todas as portas.
A chave para compreender como os ataques de sobrecarga da tabela de endereços MAC

é saber que as tabelas de endereços MAC têm o tamanho limitado. O envio MAC usa
essa limitação para bombardear o switch com falsos endereços MAC de origem até que
a tabela de endereços MAC do switch fique cheia. Em seguida, o switch entra naquilo
que é conhecido como modo aberto a falhas, começando a funcionar como um hub, e
difunde pacotes para todas as máquinas na rede. Dessa forma, o invasor pode ver todos
os quadros enviados de um host de vítima para outro host sem uma entrada na tabela de
endereços MAC.
Clique no botão Etapa 4 na figura para ver como um invasor usa ferramentas
legítimas de maneira mal-intencionada.
A figura mostra como um invasor pode usar os recursos operacionais normais do switch
para impedir o funcionamento do switch.
O envio MAC pode ser executado com uma ferramenta de ataque à rede. O intruso na
rede usa a ferramenta de ataque para enviar o switch com um grande número de
endereços MAC de origem inválidos até que a tabela de endereços MAC seja
preenchida. Quando a tabela de endereços MAC está cheia, o switch envia todas as
portas com tráfego de entrada porque não pode localizar o número de porta para um
endereço MAC específico na tabela de endereços MAC. O switch, basicamente,
funciona como um hub.
Algumas ferramentas de ataque à rede podem gerar 155.000 entradas MAC em um

switch por minuto. Dependendo do switch, o tamanho máximo da tabela de endereços
MAC varia. Na figura, a ferramenta de ataque está em execução no host com o endereço
C MAC na parte inferior da tela. Essa ferramenta envia um switch com pacotes que
contêm endereços MAC e IP de origem e de destino gerados aleatoriamente. Durante
um curto período, a tabela de endereços MAC no switch é preenchida até que seja
incapaz de aceitar novas entradas. Quando a tabela de endereços MAC for preenchida
com endereços MAC de origem inválidos, o switch começará a encaminhar todos os
quadros recebidos para todas as portas.
Desde que a ferramenta de ataque à rede esteja em execução, a tabela de endereços

MAC no switch permanece cheia. Quando isso acontece, o switch começa a transmitir
todos os quadros recebidos por todas as portas de forma que os quadros enviados do
host A para o host B também sejam difundidos pela porta 3 do switch.
Exibir meio visual
Página 2:
Ataques de falsificação
Clique no botão Falsificação na figura.
Uma forma de um invasor ganhar acesso ao tráfego da rede é falsificar respostas que
seriam enviadas por um servidor DHCP válido. O dispositivo de falsificação DHCP
responde às solicitações DHCP do cliente. O servidor legítimo também pode responder,
mas se o dispositivo de falsificação estiver no mesmo segmento do cliente, sua resposta
para o cliente poderá chegar primeiro. A resposta DHCP do intruso oferece um
endereço IP e informações de suporte que designam o intruso como o gateway padrão
ou o servidor do Sistema de Nome de Domínio (DNS). No caso de um gateway, os
clientes encaminham pacotes para o dispositivo de ataque, que, por sua vez, os envia
para o destino desejado. Isso é conhecido como um ataque de interceptação, podendo
passar totalmente despercebido porque o intruso intercepta o fluxo de dados pela rede.
Você deve estar atento a outro tipo de ataque DHCP chamado de fome DHCP. O PC
invasor solicita continuamente endereços IP de um servidor DHCP real, alterando seus
endereços MAC de origem. Se houver êxito, esse tipo de ataque DHCP fará com que
todos os empréstimos no servidor DHCP real sejam alocados, o que impede os usuários
reais (clientes DHCP) de obter um endereço IP.
Para impedir ataques DHCP, use os recursos de segurança de porta e de detecção DHCP
nos switches Cisco Catalyst.
Recursos de segurança de porta e de detecção DHCP Cisco Catalyst

A detecção DHCP um recurso Cisco Catalyst que determina quais portas de switch
podem responder a solicitações DHCP. As portas são identificadas como confiáveis e
não confiáveis. As portas confiáveis podem dar origem a todas as mensagens DHCP; as
não confiáveis, apenas solicitações. As portas confiáveis hospedam um servidor DHCP
ou podem ser um uplink no servidor DHCP. Se um dispositivo invasor estiver em uma
porta não confiável para tentar enviar um pacote de resposta DHCP na rede, a porta será
desligada. Esse recurso pode ser somado a opções DHCP nas quais informações do
switch, como a ID de porta da solicitação DHCP, podem ser inseridas no pacote de
solicitação DHCP.
Clique no botão Detecção DHCP.
As portas não confiáveis são aquelas não explicitamente configuradas como confiáveis.
Uma tabela de ligação DHCP foi criada para portas não confiáveis. Cada entrada
contém um endereço MAC de cliente, endereço IP, tempo de empréstimo, tipo de
ligação, número de VLAN e a ID de porta registrada quando os clientes fazem
solicitações DHCP. Em seguida, a tabela é usada para filtrar o tráfego DHCP
subseqüente. De uma perspectiva de detecção DHCP, as portas de acesso não confiáveis
não devem enviar nenhuma resposta de servidor DHCP.
Essas etapas ilustram como configurar a detecção DHCP em um switch Cisco IOS:
Etapa 1. Habilite a detecção DHCP usando o comando de configuração global ip dhcp

snooping.
Etapa 2. Habilite a detecção DHCP para VLANs específicas, usando o comando ip

dhcp snooping vlan number [number].
Etapa 3. Defina portas como confiáveis ou não confiáveis no nível da interface,

definindo as portas confiáveis com o comando ip dhcp snooping trust.
Etapa 4. (Opcional) Limite a taxa na qual um invasor pode continuar enviando

solicitações DHCP fictícias por meio de portas não confiáveis para o servidor DHCP
usando o comando ip dhcp snooping limit rate rate.
Exibir meio visual
Página 3:
Ataques CDP
O Cisco Discovery Protocol (CDP) é um protocolo próprio que todos os dispositivos

Cisco podem ser configurados para usar. CDP descobre outros dispositivos Cisco
conectados diretamente, o que permite aos dispositivos configurar automaticamente sua
conexão em alguns casos, o que simplifica a configuração e a conectividade. As
mensagens CDP não são criptografadas.
Por padrão, a maioria dos roteadores e dos switches Cisco tem CDP habilitado. As
informações de CDP são enviadas em broadcasts periódicos, atualizadas localmente no
banco de dados CDP de cada dispositivo. Como CDP é um protocolo da Camada 2, ele
não é propagado por roteadores.
O CDP contém informações sobre o dispositivo, como o endereço IP, a versão de

software, a plataforma, os recursos e a VLAN nativa. Quando essas informações
estiverem disponíveis para um invasor, ele poderá usá-las para localizar explorações
para atacar sua rede, normalmente na forma de um ataque de negação de serviço (DOS).
A figura é uma porção de um rastreamento de pacote Ethereal, que mostra a parte

interna de um pacote CDP. A versão do software Cisco IOS descoberta por CDP, em
especial, permitiria ao invasor pesquisar e determinar se havia alguma vulnerabilidade
de segurança específica para essa versão em especial do código. Além disso, como o
CDP não é autenticado, um invasor poderia criar pacotes CDP falsos e fazer com que
eles fossem recebidos pelo dispositivo Cisco diretamente conectado do invasor.
Para corrigir essa vulnerabilidade, é recomendável desabilitar o uso do CDP em

dispositivos que não precisem usá-lo.
Exibir meio visual
Página 4:
Ataques Telnet
O protocolo Telnet pode ser usado por um invasor para ganhar acesso remoto a um
switch de rede Cisco. Em um tópico anterior, você configurou uma senha de login para
as linhas vty e as definiu para exigir autenticação por senha para ganhar acesso. Isso
fornece um nível essencial e básico de segurança para ajudar a proteger o switch do
acesso não autorizado. No entanto, não se trata de um método seguro de garantir acesso
às linhas vty. Há ferramentas disponíveis que permitem a um invasor iniciar um ataque
de força bruta para romper a senha nas linhas vty do switch.
Ataque de força bruta de senha
A primeira fase de um ataque de força bruta de senha começa com o invasor usando
uma lista de senhas comuns e um programa projetado para tentar estabelecer uma sessão
Telnet usando cada palavra na lista de dicionário. Felizmente, como você é inteligente o
bastante para não usar uma palavra do dicionário, está seguro por enquanto. Na segunda
fase de um ataque de força bruta, o invasor usa um programa que cria combinações de
caracteres seqüenciais em uma tentativa de "adivinhar" a senha. Com tempo o
suficiente, um ataque de força bruta de senha pode romper praticamente todas as senhas
usadas.
A coisa mais simples a se fazer para limitar a vulnerabilidade a ataques de força bruta
de senha é alterar suas senhas freqüentemente e usar senhas fortes que misturem
aleatoriamente letras maiúsculas e minúsculas com números. Configurações mais
avançadas permitem limitar quem pode se comunicar com as linhas vty, usando listas de
acesso, mas isso está além do escopo deste curso.
Ataque DoS
Outro tipo de ataque Telnet é o ataque DoS. Em um ataque DOS, o invasor explora uma
falha no software do servidor Telnet em execução no switch que torna o serviço Telnet
indisponível. Esse tipo de ataque costuma ser incômodo porque impede um
administrador de realizar funções de gerenciamento do switch.
As vulnerabilidade no serviço Telnet que permitem ataques DoS costumam ser

corrigidas nos patches de segurança incluídos em revisões do Cisco IOS mais recentes.
Se você estiver enfrentando um ataque DoS contra o serviço Telnet ou outro serviço em
um dispositivo Cisco, veja se há uma revisão do Cisco IOS mais recente disponível.
Exibir meio visual
2.4.5 Ferramentas de segurança
Página 1:
Depois de configurar a segurança do switch, você precisa verificar se não deixou

nenhuma deficiência que possa explorada por um invasor. A segurança de rede é um
tópico complexo e em constante evolução. Nesta seção, você é apresentado à forma
como as ferramentas de segurança de rede formam um componente usado para proteger
uma rede de ataques mal-intencionados.
As ferramentas de segurança da rede ajudam a testar sua rede quanto a várias

deficiências. Elas são ferramentas que permitem desempenhar as funções de um hacker
e de um analista da segurança da rede. Usando essas ferramentas, é possível iniciar um
ataque e auditar os resultados para determinar como ajustar suas políticas de segurança
para impedir um determinado ataque.
Os recursos usados por ferramentas de segurança da rede estão em constante evolução.

Por exemplo, as ferramentas de segurança da rede já se concentraram exclusivamente
nos serviços de escuta na rede e examinavam esses serviços em busca de falhas.
Atualmente, vírus e worms podem se propagar por causa das falhas em clientes de email
e navegadores. As ferramentas de segurança da rede modernas não apenas detectam as
falhas remotas dos hosts na rede, mas também determinam se há falhas no nível de
aplicativo, como patches não encontrados em computadores clientes. A segurança de
rede vai além dos dispositivos de rede, até a área de trabalho dos usuários. A auditoria
de segurança e o teste de penetração são duas funções básicas executadas por
ferramentas de segurança da rede.
Auditoria de segurança da rede
As ferramentas de segurança da rede permitem executar uma auditoria de segurança na

sua rede. Uma auditoria de segurança revela que tipo de informação um invasor pode
obter simplesmente monitorando o tráfego da rede. As ferramentas de auditoria de
segurança da rede permitem enviar a tabela MAC com endereços MAC fictícios. Assim,
é possível auditar as portas de switch quando o switch começa a enviar o tráfego por
todas as portas na medida em que os mapeamentos de endereço MAC expiram e são
substituídos por mais mapeamentos de endereço MAC fictício. Dessa forma, é possível
determinar quais portas estão comprometidas e não foram configuradas corretamente
para impedir esse tipo de ataque.
Timing é um fator importante na execução de uma auditoria bem-sucedida. Switches

diferente suportam números de endereços MAC variáveis em sua tabela MAC. Pode ser
difícil determinar a quantidade ideal de endereços MAC falsificados a serem jogados
fora na rede. Você também precisa concordar com o período de tempo limite da tabela
MAC. Se os endereços MAC falsificados começarem expirar enquanto você estiver
executando sua auditoria de rede, os endereços MAC válidos começarão a preencher a
tabela MAC, o que limita os dados que é possível monitorar usando uma ferramenta de
auditoria da rede.
Testes de penetração da rede
As ferramentas de segurança da rede também podem ser usadas em testes de penetração

na sua rede. Isso permite identificar deficiências na configuração de seus dispositivos de
networking. Há vários ataques que é possível executar, e a maioria dos pacotes de
ferramentas acompanha uma ampla documentação detalhando a sintaxe necessária à
execução do ataque desejado. Como esses tipos de testes podem ter efeitos colaterais na
rede, eles são executados sob condições muito rígidas, seguindo os procedimentos
documentados detalhados em um política de segurança de rede abrangente. Obviamente,
se tiver uma rede baseada em uma pequena sala de aula, você poderá se organizar para
trabalhar com seu instrutor para tentar seus próprios testes de penetração na rede.
No próximo tópico, você aprenderá como implementar a segurança de porta em seus

switches Cisco de forma que seja possível assegurar que esses testes de segurança da
rede não revelem nenhuma falha na sua configuração de segurança.
Exibir meio visual
Página 2:
Recursos das ferramentas de segurança da rede
Uma rede efetivamente segura é processo, e não um produto. Não basta habilitar um
switch apenas com uma configuração segura e dizer que o trabalho está concluído. Para
dizer que tem uma rede segura, você precisa ter um plano de segurança de rede
abrangente que defina como verificar regularmente se a sua rede pode resistir aos
ataques à rede mal-intencionados mais recentes. O panorama variável dos riscos de
segurança significa que você precisa de ferramentas de auditoria e penetração capazes
de ser atualizados para procurar os riscos de segurança mais recentes. Entre os recursos
comuns de uma ferramenta de segurança da rede moderna estão:
 Identificação de serviço: as ferramentas são usadas para definir hosts usando

números de porta Internet Assigned Numbers Authority (IANA). Essas
ferramentas também devem ser capazes de detectar um servidor FTP em
execução em uma porta que não seja padrão ou um servidor Web em execução
na porta 8080. A ferramenta também deve ser capaz de testar todos os serviços
em execução em um host.
 Suporte de serviços SLL: serviços de teste que usam a segurança de nível SSL,
inclusive HTTPS, SMTPS, IMAPS e certificado de segurança.
 Testes destrutivos e não destrutivos: execução de auditorias de segurança não
destrutivas regularmente que não comprometem ou comprometem
moderadamente o desempenho da rede. As ferramentas também devem deixar
executar auditorias destrutivas que afetam significativamente o desempenho da
rede. A auditoria destrutiva permite ver como a sua rede suporta ataques de
intrusos.
 Banco de dados de vulnerabilidades: vulnerabilidades mudam o tempo todo.
As ferramentas de segurança da rede precisam ser criadas para que possam ser
conectadas a um módulo de código e executar um teste à procura dessa vulnerabilidade.
Dessa forma, um grande banco de dados de vulnerabilidades pode ser mantido e
carregado na ferramenta para assegurar que as mais recentes vulnerabilidade estejam
sendo testadas.
É possível usar ferramentas de segurança de rede para:
 Capturar mensagens de bate-papo

 Capturar arquivos do tráfego NFS
 Capturar solicitações HTTP no Formato de Log Comum
 Capturar mensagens de email no formato Berkeley mbox
 Capture senhas
 Exibir URLs capturados no navegador em tempo real
 Enviar uma rede local comutada com endereços MAC aleatórios
 Forjar respostas para consultas DNS de endereço/apontador
 Interceptar pacotes em uma rede local comutada
Exibir meio visual

2.4.6 Configurando a segurança da porta
Página 1:
Usando a segurança de porta para atenuar ataques
Neste tópico, você obterá informações sobre os problemas a serem considerados ao

configurar a segurança de porta em um switch. Os principais comandos de segurança de
porta do Cisco IOS são sumarizados. Você também obterá informações sobre como
configurar a segurança de porta estática e dinâmica.
Clique no botão Segurança de porta na figura.
Segurança de porta
Um switch que não fornece a segurança de porta permite a um invasor anexar um

sistema a uma porta não usada, habilitada, e executar a coleta de informações ou
ataques. Um switch pode ser configurado para funcionar como um hub, o que significa
que todos os sistemas conectados ao switch podem exibir todo o tráfego da rede que
passa pelo switch até todos os sistemas conectados ao switch. Assim, um invasor
poderia coletar tráfego que contivesse nomes de usuário, senhas ou informações de
configuração sobre os sistemas na rede.
Todas as portas de switch ou interfaces devem ser protegidas antes da implantação do

switch. A segurança de porta limita o número de endereços MAC válidos permitidos em
uma porta. Quando você atribui endereços MAC seguros a uma porta segura, a porta
não encaminha pacotes com endereços de origem fora do grupo de endereços definidos.
Se você limitar o número de endereços MAC seguros a um e atribuir um único endereço

MAC seguro a essa porta, a estação de trabalho acoplada à porta terá toda a largura de
banda da porta, e somente essa estação de trabalho com o endereço MAC seguro
determinado poderá se conectar com êxito à porta de switch.
Se uma porta for configurada como uma porta segura e o número máximo de endereços
MAC seguros for alcançado, ocorrerá uma violação de segurança quando o endereço
MAC de uma estação de trabalho que tenta acessar a porta for diferente dos endereços
MAC seguros identificados. A figura resume esses pontos.
Clique no botão Tipos de endereço MAC seguro na figura.
Tipos de endereço MAC seguro
Há várias formas de configurar a segurança de porta. Esta é uma descrição das formas
como é possível configurar a segurança de porta em um switch Cisco:
 Endereços MAC seguros estáticos: os endereços MAC são configurados

manualmente, usando o comando de configuração da interface switchport port-
security mac-address mac-address. Os endereços MAC configurados dessa
forma são armazenados na tabela de endereços, sendo adicionados à
configuração de execução no switch.
 Endereços MAC seguros dinâmicos: os endereços MAC são aprendidos
dinamicamente e armazenados apenas na tabela de endereços. Os endereços
MAC configurados dessa forma são removidos quando o switch reinicia.
 Endereços MAC seguros fixos: é possível configurar uma porta para saber
endereços MAC dinamicamente e salvar esses endereços MAC na configuração
de execução.
Endereços MAC fixos
Endereços MAC fixos seguros têm estas características:
 Quando você habilita a aprendizagem fixa em uma interface usando o comando

de configuração da interface switchport port-security mac-address sticky, a
interface converte todos os endereços MAC seguros dinâmicos, inclusive os que
foram aprendidos dinamicamente antes da habilitação da aprendizagem fixa,
para fixar endereços MAC seguros e adiciona todos os endereços MAC seguros
à configuração de execução.
 Se você desabilitar a aprendizagem fixa usando o comando de configuração da
interface no switchport port-security mac-address sticky, os endereços MAC
seguros fixos continuarão parte da tabela de endereços, mas serão removidos da
configuração de execução.
 Quando você configura endereços MAC seguros fixos usando o comando de
configuração da interface switchport port-security mac-address sticky mac-
address, esses endereços serão adicionados à tabela de endereços e à
configuração de execução. Se a segurança de porta for desabilitada, os endereços
MAC seguros fixos permanecerão na configuração de execução.
 Se você salvar os endereços MAC seguros fixos no arquivo de configuração,
quando o switch for reiniciado ou a interface for desligada, a interface não
precisará reaprender esses endereços. Se você não salvar os endereços seguros
fixos, eles serão perdidos.
 Se você desabilitar a aprendizagem fixa e digitar o comando de configuração da
interface switchport port-security mac-address sticky mac-address, uma
mensagem de erro será exibida, e o endereço MAC seguro fixo não será
adicionado à configuração de execução.
Clique no botão Modos de violação da segurança na figura.
Modos de violação da segurança
É uma violação de segurança quando uma destas situações ocorre:
 O número máximo de endereços MAC seguros foi adicionado à tabela de

endereços e uma estação cujo endereço MAC não está na tabela de endereços
tenta acessar a interface.
 Um endereço aprendido ou configurado em uma interface segura é visto em
outra interface segura na mesma VLAN.
É possível configurar a interface para um dos três modos de violação, com base na ação
ser executada em caso de uma violação. A figura apresenta que tipos de tráfego de
dados são encaminhados quando um dos seguintes modos de violação de segurança é
configurado em uma porta:
 proteger: quando o número de endereços MAC seguros atinge o limite

permitido na porta, pacotes com endereços de origem desconhecidos são
ignorados até que você remova um número suficiente de endereços MAC
seguros ou aumente o número máximo de endereços permitidos. Você não é
notificado de que houve uma violação de segurança.
 restringir: quando o número de endereços MAC seguros atinge o limite
permitido na porta, pacotes com endereços de origem desconhecidos são
ignorados até que você remova um número suficiente de endereços MAC
seguros ou aumente o número máximo de endereços permitidos. Nesse modo,
você é notificado de que houve uma violação de segurança. Especificamente,
uma interceptação SNMP é enviada, uma mensagem syslog é registrada em log
e o contador de violação é incrementado.
 desligamento: nesse modo, uma violação de segurança de porta faz com que a
interface seja desabilitada para erro imediatamente e apaga o LED da porta. Ele
também envia uma interceptação SNMP, registra em log uma mensagem syslog
e incrementa o contador de violação. Quando uma porta segura estiver no estado
desabilitado para erro, será possível tirá-la desse estado, digitando-se os
comandos de configuração da interface shutdown e no shutdown. Este é o
modo padrão.
Exibir meio visual
Página 2:
Configurar segurança da porta
Clique no botão Configuração padrão na figura.
As portas em um switch Cisco são pré-configuradas com padrões. A figura resume a

configuração da segurança de porta padrão.
Clique no botão Configurar segurança de porta dinâmica na figura.
A figura mostra os comandos CLI do Cisco IOS necessários à configuração da

segurança de porta na porta Fast Ethernet F0/18 do switch S1. Observe que o exemplo
não especifica um modo de violação. Neste exemplo, o modo de violação é definido
como shutdown.
Clique no botão Configurar segurança de porta fixa na figura.

A figura mostra os como habilitar a segurança de porta fixa na porta Fast Ethernet 0/18
do switch S1. Conforme dito antes, é possível configurar o número máximo de
endereços MAC seguros. Neste exemplo, você pode ver a sintaxe de comando do Cisco
IOS usada para definir o número máximo de endereços MAC como 50. Por padrão, o
modo de violação é definido como shutdown.
Há outras configurações de segurança de porta que você talvez considere úteis. Para
obter uma listagem completa das opções de configuração da segurança de porta, visite:
http://www.cisco.com/en/US/docs/switches/lan/catalyst2960/software/release/12.2_44_
se/configuration/guide/swtrafc.html
Exibir meio visual
Página 3:
Verificar segurança de porta
Depois de configurar a segurança de porta para o seu switch, você deseja verificar se ele
foi configurado corretamente. Você precisa verificar cada interface para ver se definiu a
segurança de porta corretamente. Você também precisa verificar para ter certeza de que
configurou endereços MAC estáticos corretamente.
Verificar configurações de segurança de porta
Para exibir as configurações de segurança de porta do switch ou da interface

especificada, use o comando show port-security [interface interface-id].
A saída de comando exibe o seguinte:
 Número de endereços MAC seguros máximo permitido para cada interface

 Número de endereços MAC seguros na interface
 Número de violações de segurança ocorridas
 Modo de violação
Verificar endereços MAC seguros
Clique no botão Verificar endereços MAC seguros na figura.
Para exibir todos os endereços MAC seguros configurados em todas as interfaces de

switch em uma interface especificada com as informações de tempo limite de cada uma,
use o comando de endereço show port-security [interface interface-id].
Exibir meio visual
2.4.7 Protegendo portas não usadas
Página 1:
Desabilitar portas não usadas
Neste tópico, você aprenderá a usar um comando simples do Cisco IOS para proteger as
portas de switch não usadas. Um método simples usado por muitos administradores para
ajudar na proteção de sua rede contra o acesso não autorizado é desabilitar todas as
portas não usadas em um switch de rede. Por exemplo, imagine que um switch Cisco
2960 tenha 24 portas. Se houver três conexões Fast Ethernet sendo usadas, a prática
recomendada de segurança exigirá que você desabilite as 21 portas não usadas. A figura
mostra a saída de comando parcial dessa configuração.
É simples desabilitar várias portas em um switch. Navegue até cada uma das portas não
usadas e emita esse comando shutdown do Cisco IOS. Uma forma alternativa de
desligar várias portas é usando o comando interface range. Se uma porta precisar ser
ativada, será possível digitar o comando no shutdown nessa interface.
O processo de habilitar e desabilitar portas pode se tornar uma tarefa entediante, mas o
valor em termos de aprimoramento da segurança em sua rede vale bem o esforço.
Exibir meio visual
Página 2:
Nesta atividade, você configurará comandos de switch básicos e definirá e testará a
segurança da porta. São fornecidas instruções detalhadas na atividade, bem como no
link do PDF abaixo.
Exibir meio visual
2.5.1 Configuração básica do switch
Página 1:
Neste laboratório, você irá examinar e configurar um switch de LAN autônomo.

Embora um switch execute funções básicas em sua condição padrão pronta para uso, há
vários parâmetros que um administrador de rede deve modificar para assegurar uma
LAN segura e otimizada. Este laboratório apresenta os fundamentos da configuração do
switch.
Exibir meio visual
Página 2:
Nesta atividade, você irá examinar e configurar um switch de LAN autônomo. Embora
um switch execute funções básicas em sua condição padrão pronta para uso, há vários
parâmetros que um administrador de rede deve modificar para assegurar uma LAN
segura e otimizada. Esta atividade apresenta os fundamentos da configuração do switch.

Exibir meio visual
2.5.2 Gerenciando o sistema operacional do switch e os arquivos de configuração
Página 1:
Neste laboratório, você criará e salvará uma configuração de switch básica em um

servidor TFTP. Você usará um servidor TFTP para carregar uma configuração no
switch e atualizar o software do Cisco IOS. Você também usará procedimentos de
recuperação de senha para acessar um switch para o qual a senha é desconhecida.
Exibir meio visual
2.5.3 Gerenciando o sistema operacional do switch e os arquivos de configuração -

Desafio
Página 1:
Cabo de rede semelhante ao do diagrama de topologia. Em seguida, crie uma conexão

de console com o switch. Se necessário, consulte o Laboratório 1.3.1. A saída mostrada
neste laboratório é de um switch 2960. Se você usar outros switches, as saídas do switch
e as descrições de interface poderão ser diferentes.
Exibir meio visual
Página 1:
Neste capítulo, abordamos a comunicação Ethernet IEEE 802.3 que usa tráfego de
unicast, de broadcast e de multicast. As primeiras implementações de redes Ethernet
precisaram usar CSMA/CD para ajudar a impedir e a detectar colisões entre quadros na
rede. As configurações bidirecionais e a segmentação de rede local melhoram o
desempenho e reduzem a necessidade de CSMA/CD.
O design da rede local é um processo tendo como resultado final desejado uma
determinação de como a rede local deve ser implementada. Entre as considerações
quanto ao design da rede local estão domínios de colisão, domínios de broadcast,
latência de rede e segmentação de rede local.
Abordamos como os métodos de encaminhamento do switch influenciam o desempenho
da rede local e a latência. O armazenamento em buffer de memória tem uma função no
encaminhamento do switch, na comutação simétrica e assimétrica e na comutação
multicamada.
Uma introdução à navegação na CLI do Cisco IOS em um switch Cisco Catalyst 2960
foi apresentada. As funções de ajuda internas são usadas para identificar comandos e
opções de comando. A CLI do Cisco IOS mantém um histórico de comandos que
permite configurar funções de switch repetitivas mais rapidamente.
Abordamos a configuração de switch inicial e como verificar a configuração do switch.

Fazer backup da configuração de um switch e restaurá-la são habilidades essenciais para
qualquer um que administre um switch.
Aprendemos como proteger o acesso ao switch: implementando senhas para proteger

linhas de console e de terminal virtual, implementando senhas para limitar o acesso ao
modo EXEC privilegiado, configurando criptografia de senha em todo o sistema e
habilitando SSH. Há vários riscos de segurança comuns a switches Cisco Catalyst,
muitos dos quais são atenuados pelo uso da segurança de porta.
Exibir meio visual
Página 2:
Exibir meio visual
Página 3:
Nesta atividade avançada de integração das habilidades no Packet Tracer, você irá
configurar o gerenciamento de switch básico, incluindo comandos de manutenção
gerais, senhas e segurança de porta. Esta atividade fornece uma oportunidade de revisar
habilidades previamente adquiridas. São fornecidas instruções detalhadas na atividade,
bem como no link do PDF abaixo.

Exibir meio visual
Página 1:
Exibir meio visual
CCNA Exploration - Comutação de rede

local e sem fio
3 VLANs
Página 1:
O desempenho da rede pode ser um fator na produtividade de uma organização e na sua

reputação em cumprir o que promete. Uma das tecnologias que contribuem com a
excelência do desempenho da rede é a separação dos grandes domínios de broadcast em
domínios menores com VLANs. Domínios de broadcast menores limitam o número de
dispositivos que participam de broadcasts e permitem separar dispositivos em
agrupamentos funcionais, como serviços de banco de dados para um departamento de
contabilidade e de transferência de dados em alta velocidade para um departamento de
engenharia. Neste capítulo, você aprenderá como configurar, gerenciar e solucionar
problemas de VLANs e troncos.
Exibir meio visual
3.1 Apresentando as VLANs
3.1.1 Apresentando as VLANs
Página 1:
Antes das VLANs
Para observar por que as VLANs estão sendo amplamente usadas atualmente, considere
uma pequena universidade comunitária com os alojamentos de aluno e as salas dos
funcionários em um só edifício. A figura mostra os computadores dos alunos em uma
rede local e os computadores dos funcionários em outra. Isso funciona bem porque,
como cada departamento está fisicamente ligado, é fácil fornecer recursos de rede a
eles.
Clique no botão Muitos edifícios na figura.
Um ano depois, a universidade cresceu e agora tem três edifícios. Na figura, a rede
original é igual, mas os computadores dos alunos e dos funcionários estão espalhados
em três edifícios. Os alojamentos dos alunos continuam no quinto andar e as salas dos
funcionários continuam no terceiro andar. No entanto, agora o departamento de TI
deseja assegurar que todos os computadores dos alunos compartilhem os mesmos
recursos de segurança os controles da largura de banda. Como a rede pode acomodar as
necessidades compartilhadas dos departamentos separados geograficamente? Você cria
uma rede local grande e conecta todos os departamentos? Qual seria a facilidade para
fazer alterações nessa rede? Seria ótimo agrupar as pessoas com os recursos que elas
usam independentemente do seu local geográfico e isso facilitaria o gerenciamento das
suas necessidades específicas de segurança e largura de banda.
Exibir meio visual
Página 2:
Visão geral de VLAN
A solução para a universidade comunitária é usar uma tecnologia chamada rede LAN
virtual (VLAN). Uma VLAN permite a um administrador de rede criar grupos de
dispositivos logicamente em rede que funcionam como se eles estivessem em sua
própria rede independente, mesmo se compartilharem uma mesma infra-estrutura com
outras VLANs. Quando você configura uma VLAN, é possível nomeá-la para descrever
a função primária dos usuários dessa VLAN. Como outro exemplo, todos os
computadores dos alunos de uma escola podem ser configurados na VLAN "Aluno".
Usando VLANs, é possível segmentar redes comutadas logicamente com base em
funções, departamentos ou equipes de projeto. Também é possível usar uma VLAN para
estruturar geograficamente a sua rede e suportar a crescente dependência das empresas
de funcionários que trabalham em casa. Na figura, uma VLAN é criada para alunos e
outra, para os funcionários. Essas VLANs permitem ao administrador de rede
implementar políticas de acesso e de segurança a grupos específicos de usuários. Por
exemplo, os funcionários, e não os alunos, podem ter o acesso permitido a servidores de
gerenciamento de e-learning para desenvolver materiais de curso on-line.
Clique no botão Detalhes na figura.
Detalhes de VLAN
VLAN é uma sub-rede IP separada logicamente. As VLANs permitem a existência de

várias redes IP e sub-redes na mesma rede comutada. A figura mostra uma rede com
três computadores. Para que os computadores se comuniquem na mesma VLAN, cada
um deve ter um endereço IP e uma máscara de sub-rede correspondentes a essa VLAN.
O switch precisa ser configurado com a VLAN e cada porta correspondente deve ser
atribuída a essa VLAN. Uma porta de switch com uma única VLAN configurada é
chamada de porta de acesso. Lembre-se: só porque dois computadores estão conectados
fisicamente ao mesmo switch não significa que eles podem se comunicar. Os
dispositivos separados por redes ou sub-redes devem se comunicar por meio de um
roteador (Camada 3), independentemente das VLANs serem usadas ou não. Você não
precisa de VLANs para ter várias redes e sub-redes em uma rede comutada, mas há
vantagens definitivas em usar VLANs.
Exibir meio visual
Página 3:
Benefícios de uma VLAN
A produtividade do usuário e a capacidade de adaptação da rede são os principais

responsáveis pelo crescimento e o sucesso dos negócios. Implementar a tecnologia
VLAN permite a uma rede suportar metas comerciais com mais flexibilidade. Os
benefícios primários de usar VLANs são os seguintes:
 Segurança – Grupos que têm dados confidenciais são separados do restante da

rede, o que diminui as chances de violações das informações confidenciais. Os
computadores dos funcionários estão na VLAN 10, estando totalmente
separados do tráfego de dados dos alunos e dos convidados.
 Redução de custo – Economia de custos é resultante da menor necessidade das
atualizações de rede caras e do uso mais eficiente da largura de banda e dos
uplinks existentes.
 Desempenho mais alto – Dividir as redes da Camada 2 simplesmente em vários
grupos de trabalho lógicos (domínios de broadcast) reduz um tráfego
desnecessário na rede e aumenta o desempenho.
 Atenuação da tempestade de broadcast – Dividir uma rede em VLANs reduz
o número de dispositivos que podem participar de uma situação de descontrole
por excesso de broadcast. Conforme abordado no capítulo "Configurar um
Switch", a segmentação de rede local impede uma situação de descontrole em
uma rede devido a excesso de broadcast. Na figura, é possível ver que, embora
haja seis computadores na rede, só há três domínios de broadcast: Funcionários,
Aluno e Convidado.
 Maior eficiência do pessoal de TI – VLANs simplificam o gerenciamento da
rede porque os usuários com requisitos de rede semelhantes compartilham a
mesma VLAN. Quando você provisiona um novo switch, todas as políticas e
procedimentos já configurados para a VLAN específica são implementados
quando as portas são atribuídas. Também é fácil para o pessoal de TI identificar
a função de uma VLAN, dando a ela um nome apropriado. Na figura, tendo em
vista uma identificação mais simples, a VLAN 20 foi nomeada como "Aluno", a
VLAN 10 poderia ser nomeada como "Funcionários" e a VLAN 30,
"Convidado".
 Projeto mais simples ou gerenciamento de aplicativo – VLANs agregam
usuários e dispositivos de rede para suportar requisitos de negócios ou
geográficos. Ter funções separadas simplifica o gerenciamento de um projeto ou
o trabalho com um aplicativo especializado, por exemplo, uma plataforma de
desenvolvimento de e-learning para os funcionários. Também é mais fácil
determinar o escopo dos efeitos de atualizar os serviços de rede.
Exibir meio visual
Página 4:
Intervalos de ID de VLAN
As VLANs de acesso são divididas em um intervalo normal ou estendido.
VLANs de intervalo normal
 Usadas em redes corporativas de pequeno e médio porte.

 Identificadas por uma ID VLAN entre 1 e 1005.
 As IDs 1002 até 1005 são reservadas para VLANs Token Ring e FDDI.
 As IDs 1 e 1002 a 1005 são criadas automaticamente, não podendo ser
removidas. Você obterá mais informações sobre VLAN posteriormente neste
capítulo.
 As configurações são armazenadas em um arquivo do banco de dados de VLAN,
chamado vlan.dat. O arquivo vlan.dat é localizado na memória flash do switch.
 O protocolo de entroncamento VLAN (VTP), que ajuda a gerenciar
configurações de VLAN entre switches, só pode aprender VLANs de intervalo
normal e as armazenar no arquivo de banco de dados da VLAN.
VLANs de intervalo estendido
 Permite a operadoras estender sua infra-estrutura para um número maior de

clientes. Algumas empresas globais podem ser grandes o bastante para precisar
de IDs de VLAN de intervalo estendido.
 Elas são identificadas por uma ID VLAN entre 1006 e 4094.
 Elas suportam menos recursos VLAN que as VLANs de intervalo normal.
 Elas são salvas no arquivo de configuração de execução.
 VTP não aprende VLANs de intervalo estendido.
255 VLANs configuráveis
Um switch Cisco Catalyst 2960 pode suportar até 255 VLANs de intervalos normal e
estendido, muito embora o número configurado afete o desempenho do hardware de
switch. Como uma rede corporativa pode precisar de um switch com muitas portas, a
Cisco desenvolveu switches de nível corporativo que podem ser agrupados ou
empilhados para criar uma única unidade de comutação consistindo em nove switches
separados. Cada switch separado pode ter 48 portas, o que totaliza 432 portas em uma
única unidade de comutação. Nesse caso, o limite de 255 VLANs por um único switch
pode ser uma restrição para alguns clientes corporativos.
Exibir meio visual
3.1.2 Tipos de VLANs
Página 1:
Atualmente, há basicamente uma forma de implementar VLANs – VLANs baseadas em

porta. Uma VLAN baseada em porta é associada a uma porta chamada de VLAN de
acesso.
No entanto, na rede há vários termos para VLANs. Alguns termos definem o tipo de
tráfego da rede que eles transportam e outros definem uma função específica executada
por uma VLAN. Isto descreve a terminologia VLAN comum:
Passe o mouse sobre o botão VLAN de dados na figura.
VLAN de dados
Uma VLAN de dados é uma VLAN configurada para transportar apenas o tráfego
gerado pelo usuário. Uma VLAN pode transportar o tráfego baseado em voz ou o
tráfego usado para gerenciar o switch, mas esse tráfego não faria parte de uma VLAN
de dados. É uma prática comum para separar o tráfego de voz e de gerenciamento do
tráfego de dados. A importância de separar dados de usuário dos dados de controle de
gerenciamento do switch e do tráfego de voz é realçada pelo uso de um termo especial
para identificar VLANs que só transportam dados de usuário – uma "VLAN de dados".
Às vezes, uma VLAN de dados é conhecida como VLAN de usuário.
Passe o mouse sobre o botão VLAN padrão na figura.
VLAN padrão
Todas as portas de switch se tornam um membro da VLAN padrão após a inicialização

do switch. Ter todas as portas de switch participando da VLAN padrão torna essas
portas parte do mesmo domínio de broadcast. Isso permite a qualquer dispositivo
conectado a qualquer porta de switch se comunicar com outros dispositivos em outras
portas . A VLAN padrão de switches Cisco é VLAN 1. A VLAN 1 tem todos os
recursos de qualquer VLAN, exceto por não ser possível renomeá-la e excluí-la. Por
padrão, o tráfego de controle da Camada 2, como CDP e o tráfego de protocolo
spanning tree, é associado à VLAN 1. Na figura, o tráfego da VLAN é encaminhado
pelos troncos VLAN que conectam os switches S1, S2 e S3. Trata-se de uma prática
recomendada de segurança alterar a VLAN padrão para uma VLAN diferente da VLAN
1; isso significa configurar todas as portas no switch a serem associadas a uma VLAN
padrão diferente da VLAN 1. Os troncos VLAN suportam a transmissão do tráfego de
mais de uma VLAN. Embora os troncos VLAN sejam mencionados ao longo desta
seção, eles são explicados na próxima seção sobre o entroncamento VLAN.
Nota: Alguns administradores de rede usam o termo "VLAN padrão" para se referir a
uma VLAN, diferenteda VLAN 1, definida pelo administrador de rede como a VLAN a
que todas as portas são atribuídas quando não estão em uso. Nesse caso, a única função
que a VLAN 1 desempenha é a de tratar o tráfego de controle da Camada 2 da rede.
Passe o mouse sobre o botão VLAN nativa na figura.
VLAN nativa
Uma VLAN nativa é atribuída a uma porta de tronco 802.1Q. Uma porta de tronco
802.1Q oferece suporte ao tráfego de muitas VLANs (tráfego marcado), bem como
também ao tráfego que não vem de uma VLAN (tráfego sem marcação). A porta de
tronco 802.1Q posiciona o tráfego sem marcação na VLAN nativa. Na figura, a VLAN
nativa é a VLAN 99. O tráfego sem marcação é gerado por um computador conectado a
uma porta de switch configurada com a VLAN nativa. As VLANs nativas são definidas
na especificação IEEE 802.1Q para manter a compatibilidade com versões anteriores
com tráfego sem marcação comum a cenários de rede local antigos. Tendo em vista as
nossas finalidades, uma VLAN nativa serve como um identificador comum em
extremidades opostas de um link de tronco. É uma prática recomendada usar uma
VLAN diferente da VLAN 1 como a VLAN nativa.
Passe o mouse sobre o botão VLAN de gerenciamento na figura.
VLAN de gerenciamento
VLAN de gerenciamento é uma VLAN configurada para acessar os recursos de

gerenciamento de um switch. A VLAN 1 serviria como a VLAN de gerenciamento se
você não tivesse definido alguma outra para este propósito. Você atribui à VLAN de
gerenciamento um endereço IP e uma máscara de sub-rede. Um switch pode ser
gerenciado por HTTP, Telnet, SSH ou SNMP. Pelo fato de a VLAN 1 ser a padrão para
gerenciamento do switch, ela não é a melhor opção em função de possibilitar a um
usuário arbitrário se conectar ao switch para usar o gerenciamento . Lembre-se de que
você configurou a VLAN de gerenciamento como VLAN 99 no capítulo Configuração e
Conceitos Básicos de Switch.
Na próxima página, exploraremos outro tipo VLAN : VLANs de voz.
Exibir meio visual
Página 2:
VLANs de voz
É fácil perceber por que uma VLAN separada é necessária para suportar Voz sobre IP
(VoIP). Imagine que você esteja recebendo uma chamada de emergência e, de repente, a
qualidade da transmissão cai tanto que não é possível compreender o que está sendo
dito. O tráfego VoIP exige:
 Largura de banda assegurada para garantir qualidade de voz

 Prioridade de transmissão sobre outros tipos de tráfego da rede
 Capacidade de roteamento em áreas congestionadas na rede
 Atraso inferior a 150 milissegundos (ms) através da rede
Para atender a esses requisitos, toda a rede precisa ser projetada para suportar VoIP. Os
detalhes de como configurar uma rede para suportar VoIP estão além do escopo do
curso, mas é útil resumir como uma VLAN de voz funciona entre um switch, um
telefone IP Cisco e um computador.
Na figura, a VLAN 150 foi projetada para transportar tráfego de voz. O computador de
aluno PC5 é acoplado ao telefone IP Cisco, e o telefone é acoplado ao switch S3. PC5
está na VLAN 20, usada para obter dados do aluno. A porta F0/18 em S3 é configurada
para estar no modo de voz para que informe ao telefone para marcar quadros de voz
com VLAN 150. As estruturas de dados provenientes de PC5 e que passam pelo
telefone IP Cisco permanecem sem marcação. Dados com destino a PC5 provenientes
da porta F0/18 são marcados com VLAN 20 a caminho do telefone, o que tira a marca
de VLAN antes dos dados serem encaminhados para PC5. Marcação de quadros se
refere à adição de bytes a um campo na estrutura de dados, usada pelo switch para
identificar a qual VLAN a estrutura de dados deve ser enviada. Você obterá
informações posteriormente sobre como as estruturas de dados são marcadas.
Clique no botão Detalhes na figura.

Telefone Cisco é um switch
O telefone IP Cisco contém um switch integrado de três portas 10/100 conforme

mostrado na Figura. As portas fornecem conexões dedicadas a esses dispositivos:
 A porta 1 se conecta ao switch ou a outro dispositivo voz sobre IP (VoIP).

 A porta 2 é uma interface 10/100 interna que transporta o tráfego do telefone IP.
 A porta 3 (porta de acesso) se conecta a um PC ou a outro dispositivo.
A figura mostra uma forma de conectar um telefone IP.
O recurso da VLAN de voz permite a portas de switch transportar tráfego de voz IP de

um telefone IP. Quando o switch é conectado a um telefone IP, o switch envia
mensagens que instruem o telefone IP conectado a enviar tráfego de voz marcado com a
ID VLAN de voz 150. O tráfego do PC acoplado ao telefone IP passa pelo telefone IP
sem marcação. Quando a porta de switch for configurada com uma VLAN de voz, o
link entre o switch e o telefone IP funcionará como um tronco para transportar o tráfego
de voz marcado e o tráfego de dados sem marcação.
Nota: A comunicação entre o switch e o telefone IP é facilitada pelo protocolo CDP.

Esse protocolo é abordado com mais detalhes no curso CCNA Exploration: Protocolos e
Conceitos de Roteamento.
Clique no botão Exemplo de configuração na figura.
Exemplo de configuração
A figura mostra um exemplo. Uma discussão dos comandos do Cisco IOS está além do
escopo deste curso, mas é possível ver que as áreas realçadas no exemplo mostram a
interface F0/18 configurada com uma VLAN de dados (VLAN 20) e uma VLAN
configurada para voz (VLAN 150).
Exibir meio visual

Página 3:
Tipos de tráfego da rede
Em CCNA Exploration: Fundamentos de Rede, você aprendeu os diferentes tipos de

tráfego tratados por uma rede local. Como uma VLAN tem todas as características de
uma rede local, ela deve acomodar o mesmo tráfego de uma LAN.
Gerenciamento de rede e tráfego de controle
Muitos tipos diferentes de gerenciamento de rede e tráfego de controle podem estar

presentes na rede, como atualizações Cisco Discovery Protocol (CDP), protocolo de
gerenciamento de rede comum (SNMP) e tráfego de Monitoramento Remoto (RMON).
Passe o mouse sobre o botão Gerenciamento de rede na figura.
Telefonia IP
Os tipos de tráfego de telefonia IP são tráfegos de sinalização e de voz. O tráfego de

sinalização é responsável pela configuração da chamada, pelo progresso e pelo
encerramento, passando de uma extremidade da rede à outra. O outro tipo de tráfego de
telefonia consiste em pacotes de dados de voz . Como você acabou de aprender, em uma
rede configurada com VLANs, é altamente recomendável atribuir o gerenciamento a
uma VLAN diferente da VLAN 1. O tráfego de dados deve ser associado a uma VLAN
de dados (diferente da VLAN 1) e o tráfego de voz, associado a uma VLAN de voz.
Passe o mouse sobre o botão Telefonia IP na figura.
Multicast IP
O tráfego multicast IP é enviado de um endereço de origem específico para um grupo
multicast identificado por um único IP e um par de endereços do grupo de destino
MAC. Exemplos de aplicativos que geram esse tipo de tráfego são as broadcasts IP/TV
Cisco. O tráfego de multicast pode gerar uma grande quantidade de dados que passam
através da rede. Quando a rede precisa suportar tráfego de multicast, as VLANs devem
ser configuradas para assegurar que o tráfego de multicast só vá para esses dispositivos
de usuário que usam o serviço fornecido, como aplicativos de vídeo ou de áudio
remotos. Os roteadores devem ser configurados para assegurar que o tráfego de
multicast seja encaminhado para as áreas da rede onde é solicitado.
Passe o mouse sobre o botão Multicast IP na figura.
Dados normais
O tráfego de dados normal está relacionado à criação e ao armazenamento de arquivo,

aos serviços de impressão, ao acesso a banco de dados de email e a outros aplicativos de
rede compartilhada comuns a usos comerciais. As VLANs são uma solução natural para
esse tipo de tráfego porque é possível segmentar usuários por suas funções ou áreas
geográficas para gerenciar suas necessidades específicas mais facilmente.
Passe o mouse sobre o botão Dados normais na figura.
Classe de aproveitamento
A classe de aproveitamento deve fornecer serviços inferiores ao melhor esforço para

determinados aplicativos. Os aplicativos atribuídos a essa classe dão pouca ou nenhuma
contribuição para os objetivos organizacionais da empresa, sendo normalmente
orientados ao entretenimento por natureza. Entre eles estão aplicativos de
compartilhamento de mídia ponto-a-ponto (KaZaa, Morpheus, Groekster, Napster,
iMesh etc.), jogos (Doom, Quake, Unreal Tournament etc.) e qualquer aplicativo de
vídeo de entretenimento.
Exibir meio visual
3.1.3 Modos de associação de porta de switch

Página 1:
Portas de switch
As portas de switch são interfaces apenas da Camada 2 associadas a uma porta física.
As portas de switch são usadas para gerenciar a interface física e os protocolos
associados da Camada 2. Elas não tratam roteamento ou bridging. As portas de switch
pertencem a uma ou mais VLANs.
Modos de porta de switch VLAN
Ao configurar uma VLAN, você deve atribuir a ela uma ID numérica, podendo também
dar-lhe um nome. A finalidade das implementações VLAN é associar criteriosamente
portas com VLANs específicas. Você configura a porta para encaminhar um quadro
para uma VLAN específica. Conforme mencionado anteriormente, é possível configurar
uma VLAN no modo de voz para suportar o tráfego de voz e de dados proveniente de
um telefone IP Cisco. É possível configurar uma porta para pertencer a uma VLAN,
atribuindo um modo de associação que especifica o tipo de tráfego transportado pela
porta e as VLANs às quais ela pode pertencer. Uma porta pode ser configurada para
suportar estes tipos de VLAN:
 VLAN estática – As portas em um switch são atribuídas manualmente a uma

VLAN. As VLANs estáticas são configuradas usando a CLI Cisco. Isso também
pode ser realizado com aplicativos de gerenciamento de interface gráfica do
usuário, como o Cisco Network Assistant . No entanto, um recurso prático da
CLI é que se você atribuir uma interface a uma VLAN que não existe, a nova
VLAN será criada para você. Para ver um exemplo de configuração VLAN
estática, clique no botão Exemplo de modo estático na figura. Quando
terminar, clique no botão Modos de porta na figura. Esta configuração não
será examinada em detalhes agora. Você verá essa configuração posteriormente
no capítulo.
 VLAN dinâmica – Este modo não é amplamente usado em redes de produção,
não sendo explorado neste curso. No entanto, é útil saber o que é uma VLAN
dinâmica. Uma associação VLAN de porta dinâmica é configurada usando um
servidor especial chamado VLAN Membership Policy Server (VMPS). Com o
VMPS, você atribui portas de switch a VLANs dinamicamente, com base no
endereço MAC de origem do dispositivo conectado à porta. O benefício vem
quando você move um host entre portas e switches na rede; o switch atribui
dinamicamente a nova porta à VLAN correta para esse host.
 VLAN de voz – Uma porta é configurada para estar no modo de voz para que
seja capaz de suportar um telefone IP acoplado. Antes de configurar uma VLAN
de voz na porta, você primeiro precisa configurar uma VLAN para voz e uma
VLAN para dados. Na figura, a VLAN 150 é a VLAN de voz e a VLAN 20 é a
VLAN de dados. Supõe-se que a rede tenha sido configurada para assegurar que
o tráfego de voz pudesse ser transmitido com um status de prioridade sobre
outros. Quando um telefone é conectado pela primeira vez a uma porta de switch
que está no modo de voz, a porta de switch envia mensagens para o telefone,
fornecendo a ele a ID da VLAN de voz e a configuração apropriadas. O telefone
IP marca as estruturas de voz com a ID da VLAN de voz e encaminha todo o
tráfego por essa VLAN específica.
Para examinar partes de uma configuração no modo de voz, clique no botão Exemplo
do modo de voz na figura:
 O comando de configuração mls qos trust cos assegura que o tráfego de voz
seja identificado como tráfego de prioridade. Lembre-se de que toda a rede deve
ser configurada para priorizar o tráfego de voz. Não é possível configurar a porta
apenas com esse comando.
 O comando switchport voice vlan 150 identifica a VLAN 150 como a VLAN
de voz. É possível observar isso na captura na parte inferior da tela: Voice
VLAN: 150 (VLAN0150).
 O comando switchport access vlan 20 configura a VLAN 20 como a VLAN do
modo de acesso (dados). É possível observar isso na captura na parte inferior da
tela: Access Mode VLAN: 20 (VLAN0020).
Para obter detalhes sobre a configuração de uma VLAN de voz, visite este site em
Cisco.com:
ex/configuration/guide/swvoip.html (em inglês).
Exibir meio visual
3.1.4 Controlando domínios de broadcast com VLANs
Página 1:
Redes sem VLANS
Em operação normal, quando um switch recebe um quadro de broadcast em uma das

portas, ele encaminha o quadro por todas as demais portas no switch. Na figura, toda a
rede está configurada na mesma sub-rede, 172.17.40.0/24. Dessa forma, quando o
computador dos funcionários, PC1, envia um quadro de broadcast, o switch S2 envia
esse quadro por todas as suas portas. Toda a rede acaba recebendo-o; a rede é um
domínio de broadcast.
Clique no botão Broadcasts de rede com segmentação por VLAN na figura.
Rede com VLANs
Na figura, a rede foi segmentada em duas VLANs: Funcionários como VLAN 10 e

Aluno como VLAN 20. Quando o quadro de broadcast é enviado do computador dos
funcionários, PC1, para o switch S2, o switch só encaminha esse quadro de broadcast
para essas portas de switch configuradas para suportar VLAN 10.
Na figura, as portas que formam a conexão entre switches S2 e S1 (a porta F0/1) e entre
S1 e S3 (a porta F0/3) foram configuradas para suportar todas as VLANs na rede. Essa
conexão é chamada de tronco. Você obterá mais informações sobre troncos
posteriormente neste capítulo.
Quando S1 recebe o quadro de broadcast na porta F0/1, S1 encaminha esse quadro de

broadcast pela única porta configurada para suportar VLAN 10, a porta F0/3. Quando
S3 recebe o quadro de broadcast na porta F0/3, ele encaminha esse quadro de broadcast
pela única porta configurada para suportar VLAN 10, a porta F0/11. O quadro de
broadcast chega ao único computador na rede configurado na VLAN 10, o computador
dos funcionários PC4.
Quando as VLANs são implementadas em um switch, a transmissão de tráfego unicast,

multicast e broadcast de um host em uma VLAN específica é restringida aos
dispositivos que estão na VLAN.
Exibir meio visual
Página 2:
Controlando domínios de broadcast com switches e roteadores

Dividir um grande domínio de broadcast em vários menores reduz o tráfego de
broadcast e melhora o desempenho da rede. Dividir domínios em VLANs também
permite maior confidencialidade das informações em uma organização. A divisão de
domínios de broadcast pode ser feita com VLANs (em switches) ou com roteadores.
Um roteador é necessário sempre que dispositivos em redes da Camada 3 diferentes
precisarem se comunicar, independentemente de serem usadas VLANs.
Clique no botão Comunicação intra-VLAN e clique no botão Reproduzir para

iniciar a animação.
Comunicação intra-VLAN
Na figura, PC1, deseja se comunicar com outro dispositivo, PC4. PC1 e PC4 estão
ambos na VLAN 10. A comunicação com um dispositivo na mesma VLAN é chamada
de comunicação intra-VLAN. Isto descreve como este processo é realizado:
Etapa 1. PC1 na VLAN 10 envia seu quadro de solicitação ARP (broadcast) para o
switch S2. Os switches S2 e S1 enviam o quadro de solicitação ARP por todas as portas
na VLAN 10. O switch S3 envia a solicitação ARP pela porta F0/11 para PC4 na VLAN
10.
Etapa 2. Os switches na rede encaminham o quadro de resposta ARP (unicast) para

PC1. PC1 recebe a resposta que contém o endereço MAC de PC4.
Etapa 3. PC1 agora tem o endereço MAC de PC4 e o usa para criar um quadro unicast
com o endereço MAC de PC4 como o destino. Os switches S2, S1 e S3 entregam o
quadro para PC4.
Clique no botão Comunicação entre VLANs e clique no botão Reproduzir para

iniciar a animação.
Comunicação entre VLANs

Na figura, PC1 na VLAN 10 deseja se comunicar com PC5 na VLAN 20. A
comunicação com um dispositivo em outra VLAN é chamada de comunicação entre
VLANs.
Nota: Há duas conexões do switch S1 com o roteador: uma para transportar

transmissões na VLAN 10 e outra para transportar transmissões na VLAN 20 para a
interface do roteador.
Isto descreve como este processo é realizado:
Etapa 1. PC1 na VLAN 10 deseja se comunicar com PC5 na VLAN 20. PC1 envia um
quadro de solicitação ARP para o endereço MAC do gateway padrão R1.
Etapa 2. O roteador R1 responde com um quadro de resposta ARP da sua interface

configurada na VLAN 10.
Todos os switches encaminham o quadro de resposta ARP e PC1 o recebe. A resposta

ARP contém o endereço MAC do gateway padrão.
Etapa 3. PC1 cria um quadro Ethernet com o endereço MAC do gateway padrão. O
quadro é enviado do switch S2 para S1.
Etapa 4. O roteador R1 envia um quadro de solicitação ARP na VLAN 20 para

determinar o endereço MAC de PC5. Os switches S1, S2 e S3 difundem o quadro de
solicitação ARP pelas portas configuradas para a VLAN 20. PC5 na VLAN 20 recebe o
quadro de solicitação ARP do roteador R1.
Etapa 5. PC5 na VLAN 20 envia um quadro de resposta ARP para o switch S3. Os
switches S3 e S1 encaminham o quadro de resposta ARP para o roteador R1 com o
endereço MAC de destino da interface F0/2 no roteador R1.
Etapa 6. Roteador R1 envia o quadro recebido de PC1 por S1 e S3 para PC5 (na VLAN
20).
Exibir meio visual
Página 3:
Controlando domínios de broadcast com VLANs e encaminhamento da Camada 3
No capítulo anterior, você obteve informações sobre algumas das diferenças entre os
switches das camadas 2 e 3. A figura mostra o switch Catalyst 3750G-24PS, um dos
muitos switches Cisco que suportam o roteamento da Camada 3. O ícone que representa
um switch da Camada 3 é mostrado. Uma discussão da comutação da Camada 3 está
além do escopo deste curso, mas uma breve descrição da tecnologia interface virtual de
switch (SVI) que permite a um switch da Camada 3 rotear transmissões entre VLANs é
útil.
SVI
SVI é uma interface lógica configurada para uma VLAN específica. Você precisará
configurar uma SVI para uma VLAN, se quiser rotear entre VLANs ou fornecer
conectividade de host IP ao switch. Por padrão, uma SVI é criada para a VLAN padrão
(VLAN 1) a fim de permitir uma administração de switch remota.
Clique no botão de Exemplo de encaminhamento da camada 3 na figura para ver

uma animação que apresenta uma representação simplificada de como um switch da
Camada 3 controla domínios de broadcast.
Encaminhamento da camada 3
Um switch da Camada 3 tem a capacidade de rotear transmissões entre VLANs. O

procedimento é o mesmo descrito para a comunicação entre VLANs que usa um
roteador separado, exceto pelas SVIs funcionarem como as interfaces do roteador para
rotear os dados entre VLANs. Esta animação descreve esse processo.
Na animação, PC1 deseja se comunicar com PC5. As seguintes etapas descrevem a
comunicação pelo switch S1 da Camada 3:
Etapa 1. PC1 envia uma broadcast de solicitação ARP na VLAN 10. S2 encaminha a
solicitação ARP por todas as portas configuradas para a VLAN 10.
Etapa 2. O switch S1 encaminha a solicitação ARP por todas as portas configuradas

para a VLAN 10, inclusive a SVI da VLAN 10. O switch S3 encaminha a solicitação
ARP por todas as portas configuradas para a VLAN 10.
Etapa 3. A SVI da VLAN 10 no switch S1 conhece o local da VLAN 20. A SVI da

VLAN 10 no switch S1 retorna uma resposta ARP para PC1 com essas informações.
Etapa 4. PC1 envia dados, com destino ao PC5, como um quadro unicast pelo switch
S2 para a SVI da VLAN 10 no switch S1.
Etapa 5. A SVI da VLAN 20 envia uma broadcast de solicitação ARP por todas as
portas de switch configuradas para a VLAN 20. O switch S3 envia essa broadcast de
solicitação ARP por todas as portas de switch configuradas para a VLAN 20.
Etapa 6. PC5 na VLAN 20 envia um quadro de resposta ARP. O switch S3 envia essa
resposta ARP para S1. O switch S1 encaminha a resposta ARP à SVI da VLAN 20.
Etapa 7. A SVI da VLAN 20 encaminha os dados, enviados de PC1, em um quadro

unicast para PC5, usando o endereço de destino aprendido com a resposta ARP na etapa
6.
Exibir meio visual
Página 4:
Essa atividade é aberta no modo de simulação e com conclusão em 100%. O objetivo da

atividade é observar como o tráfego de transmissão é encaminhado pelos switches
quando as VLANs estão configuradas e também quando elas não estão configuradas.
Exibir meio visual
3.2 Entroncamento de VLAN
3.2.1 Troncos de VLAN
Página 1:
O que é um tronco?
É difícil descrever VLANs sem mencionar os troncos de VLAN. Você obteve

informações sobre como controlar broadcasts de rede com segmentação VLAN e viu
como os troncos VLAN transmitiram tráfego para partes diferentes da rede configurada
em uma VLAN. Na figura, os links entre os switches S1 e S2 e S1 e S3 são
configurados para transmitir tráfego proveniente das VLANs 10, 20, 30 e 99. Essa rede
simplesmente não funcionaria sem troncos de VLAN. Você verá que a maioria das
redes encontradas é configurada com troncos de VLAN. Esta seção reúne o
conhecimento que você já tem do entroncamento VLAN e fornece os detalhes para que
você seja capaz de configurar o entroncamento VLAN em uma rede.
Definição de um tronco de VLAN
Tronco é um link ponto-a-ponto entre dois dispositivos de rede que transporta mais de
uma VLAN. Um tronco de VLAN permite estender as VLANs através de uma rede
inteira. A Cisco suporta IEEE 802.1Q para coordenar troncos em interfaces Fast
Ethernet e Gigabit Ethernet. Você obterá mais informações sobre 802.1Q
posteriormente nesta seção.
Um tronco de VLAN não pertence a uma VLAN específica, sendo mais um canal para
VLANs entre switches e roteadores.
Exibir meio visual
Página 2:
Que problema um tronco resolve?
Na figura, você vê a topologia padrão usada neste capítulo, mas em vez do tronco de
VLAN que você está acostumado a ver entre os switches S1 e S2, há um link separado
para cada sub-rede. Há quatro links separados conectando os switches S1 e S2,
deixando três portas menos a serem alocadas a dispositivos de usuário final. Sempre que
uma nova sub-rede é considerada, um novo link é necessário para cada switch na rede.
Clique no botão Com troncos de VLAN na figura.
Na figura, a topologia de rede mostra um tronco de VLAN conectando switches S1 e S2

com um único link físico. Essa é a forma que uma rede deve ser configurada.
Exibir meio visual
Página 3:
Quadro 802.1Q marcado
Lembre-se de que switches são dispositivos da Camada 2. Eles só usam as informações

de cabeçalho do quadro Ethernet para encaminhar pacotes. O cabeçalho do quadro não
contém informações sobre a que VLAN o quadro deve pertencer. Logo, quando os
quadros Ethernet são colocados em um tronco, eles precisam de informações adicionais
sobre as VLANs a que pertencem. Isso é feito usando-se o cabeçalho de
encapsulamento 802.1Q. Esse cabeçalho adiciona uma etiqueta ao quadro Ethernet
original, especificando a VLAN a que o quadro pertence.
A marcação de quadros foi mencionada várias vezes. A primeira vez foi em referência à
configuração do modo de voz em uma porta de switch. Lá você aprendeu que uma vez
configurado, um telefone Cisco (que inclui um switch pequeno) marca quadros de voz
com uma ID de VLAN. Você também aprendeu que as IDs de VLAN podem estar em
um intervalo normal, 1-1005 e em um intervalo estendido, 1006-4094. Como as IDs de
VLAN são inseridas em um quadro?
Visão geral do quadro de marcação de VLAN
Antes de explorar os detalhes de um quadro 802.1Q, é útil compreender o que um

switch faz quando encaminha um quadro por um link de tronco. Quando o switch
recebe um quadro em uma porta configurada no modo de acesso com uma VLAN
estática, ele retira o quadro e insere uma etiqueta VLAN, recalcula a FCS e envia o
quadro etiquetado por uma porta do tronco.
Nota: Uma animação da operação de entroncamento será apresentada posteriormente

nesta seção.
Detalhes do campo de marcação de VLAN
O campo de marcação de VLAN consiste em um campo EtherType, um campo de

informações do controle da marca e o campo FCS.
Campo EtherType
Define como o valor hexadecimal 0x8100. Esse valor é chamado de tag protocol ID
(TPID). Com o campo EtherType definido como o valor TPID, o switch que recebe o
quadro sabe procurar informações no campo correto de controle de marcação.
Campo de informações de controle da marcação
O campo de informações de controle da marcação contém:

 3 bits de prioridade do usuário – Usados pelo padrão 802.1p, que especifica
como fornecer a transmissão dos quadros da Camada 2. Uma descrição do IEEE
802.1p está além do escopo deste curso. No entanto, você aprendeu um pouco
sobre ele anteriormente, na discussão sobre VLANs de voz.
 1 bit de Identificador de formato canônico (CFI) – Permite que quadros
Token Ring sejam transportados por links Ethernet facilmente.
 12 bits da ID de VLAN (VID) – Números de identificação da VLAN; suporta
até 4096 IDs de VLAN.
Campo FCS
Depois que o switch insere os campos de EtherType e de informações de controle da

marcação, ele recalcula os valores da FCS e os insere no quadro.
Exibir meio visual
Página 4:
VLANs nativas e entroncamento 802.1Q
Agora que você sabe mais sobre como um switch marca um quadro com a VLAN
correta, está na hora de explorar como a VLAN nativa suporta o switch ao tratar
quadros com e sem etiqueta que chegam em uma porta de tronco 802.1Q.
Quadros com marcação na VLAN nativa
Alguns dispositivos que suportam o entroncamento marcam o tráfego VLAN como

comportamento padrão. O tráfego de controle enviado na VLAN nativa deve estar sem
marcação. Se uma porta de tronco 802.1Q recebe um quadro marcado na VLAN nativa,
ela o descarta. Dessa forma, ao configurar uma porta em um switch Cisco, você precisa
identificar esses dispositivos e os configurar de forma que eles não enviem quadros
marcados na VLAN nativa. Entre os dispositivos de outros fornecedores que suportam
quadros marcados na VLAN nativa estão telefones IP, servidores, roteadores e switches
que não são Cisco.
Quadros sem marcação na VLAN nativa

Quando uma porta de tronco do switch Cisco recebe quadros sem marcação, ela
encaminha esses quadros para a VLAN nativa. Como você deve se lembrar, a VLAN
nativa padrão é VLAN 1. Quando você configura uma porta de tronco 802.1Q, uma ID
de VLAN de porta padrão (PVID) recebe o valor da ID de VLAN nativa. Todo o
tráfego sem marcação que chega ou sai da porta 802.1Q é encaminhado com base no
valor PVID. Por exemplo, se a VLAN 99 for configurada como a VLAN nativa, a PVID
será 99 e todo o tráfego sem marcação será encaminhado para a VLAN 99. Se a VLAN
nativa não foi reconfigurada, o valor PVID será definido como sendo a VLAN 1.
Clique no botão Exemplo de configuração da VLAN nativa na figura.
Neste exemplo, a VLAN 99 será configurada como a VLAN nativa na porta F0/1 no
switch S1. Este exemplo mostra como reconfigurar a VLAN nativa usando sua
configuração padrão de VLAN 1.
Começando no modo EXEC privilegiado, a figura descreve como configurar a VLAN

nativa na porta F0/1 do switch S1 como um tronco IEEE 802.1Q com a VLAN 99
nativa.
Clique no botão Verificação de VLAN nativa na figura.
Usando o comando show interfaces interface-id switchport, é possível verificar

rapidamente se você reconfigurou corretamente a VLAN nativa de VLAN 1 para VLAN
99. A saída de dados realçada na captura de tela indica que a configuração foi bem-
sucedida.
Exibir meio visual
3.2.2 Operação de entroncamento
Página 1:
Um tronco em ação
Você aprendeu como um switch trata o tráfego sem marcação em um link de tronco.
Agora você sabe que os quadros que passam por um tronco são marcados com a ID de
VLAN da porta de acesso em que o quadro é recebido. Na figura, PC1 na VLAN 10 e
PC3 na VLAN 30 enviam quadros de broadcast para o switch S2. O switch S2 marca
esses quadros com a ID de VLAN apropriada e encaminha os quadros pelo tronco para
o switch S1. O switch S1 lê a ID de VLAN nos quadros e os transmite para todas as
portas configuradas para suportar VLAN 10 e VLAN 30. O switch S3 recebe esses
quadros, retira as IDs de VLAN e os encaminha como quadros sem marcação para PC4
na VLAN 10 e PC6 na VLAN 30.
Clique no botão Reproduzir na barra de ferramentas de animação na figura.
Exibir meio visual
3.2.3 Modos de entroncamento
Página 1:
Você aprendeu como o entroncamento 802.1Q funciona em portas de switch Cisco.

Agora é hora de examinar as opções de configuração do modo de porta de tronco
802.1Q. Primeiro, precisamos abordar um protocolo de entroncamento legado da Cisco,
link entre switches (ISL, inter-switch link), porque você verá essa opção nos guias de
configuração do software do switch.
IEEE, não ISL
Embora um switch Cisco possa ser configurado para suportar dois tipos de portas de
tronco, IEEE 802.1Q e ISL, hoje apenas 802.1Q é usado. No entanto, redes antigas
ainda podem usar ISL, sendo útil obter informações sobre cada tipo de porta de tronco.
 Uma porta de tronco IEEE 802.1Q suporta tráfego com e sem marcação
simultaneamente. Uma porta de tronco 802.1Q recebe um PVID padrão, e todo o
tráfego sem marcação percorre no PVID padrão de porta. Pressupõe-se que todo
o tráfego com e sem marcação com uma ID de VLAN nula pertença ao PVID
padrão de porta. Um pacote com uma ID de VLAN igual ao PVID padrão de
porta de saída é enviado sem marcação. Todo o tráfego restante é enviado com
uma marcação de VLAN.
 Em uma porta de tronco ISL, todos os pacotes recebidos devem ser
encapsulados com um cabeçalho ISL e todos os pacotes transmitidos são
enviados com um cabeçalho ISL. Os quadros nativos (sem etiqueta) recebidos de
uma porta de tronco ISL são descartados. ISL deixa de ser um modo de porta de
tronco recomendado, não sendo suportado em vários switches Cisco.
DTP
O Protocolo de entroncamento dinâmico (DTP, Dynamic Trunking Protocol) é um

protocolo próprio da Cisco. Os switches de outros fornecedores não suportam DTP.
DTP é habilitado automaticamente em uma porta de switch quando determinados
modos de entroncamento são configurados na porta de switch.
O DTP só gerenciará a negociação de tronco se a porta no outro switch estiver

configurada em um modo de tronco que suporte DTP. DTP suporta troncos ISL e
802.1Q. Este curso se concentra na implementação 802.1Q do DTP. Uma discussão
detalhada do DTP está além do escopo deste curso. No entanto, você o habilitará nos
laboratórios e em atividades associadas ao capítulo. Os switches não precisam de DTP
para fazer o entroncamento e alguns switches e roteadores Cisco não suportam DTP.
Para obter informações sobre o suporte DTP em switches Cisco, visite:
http://www.cisco.com/en/US/tech/tk389/tk689/technologies_tech_note09186a008017f8
6a.shtml (em inglês).
Modos de entroncamento
Uma porta de switch em switch Cisco suporta vários modos de entroncamento. O modo
de entroncamento define como a porta é negociada usando DTP para configurar um link
de tronco com sua porta de mesmo nível. Aqui está uma breve descrição dos modos de
entroncamento disponíveis e como o DTP é implementado em cada um deles.
Ativado (padrão)
A porta de switch envia periodicamente quadros DTP, chamados de anúncios, para a

porta remota. O comando usado é switchport mode trunk. A porta de switch local
anuncia para a porta remota que está mudando dinamicamente para um estado de
entroncamento. Em seguida, a porta local, independentemente das informações DTP
que a porta remota envia como uma resposta ao anúncio, muda para um estado de
entroncamento. A porta local é considerada em estado de entroncamento incondicional
(sempre ativada).
Dinâmico automático
A porta de switch envia periodicamente quadros DTP para a porta remota. O comando
usado é switchport mode dynamic auto. A porta de switch local anuncia para a porta
de switch remota que é capaz de entroncar, mas não solicita a passagem para o estado
de entroncamento. Depois de uma negociação DTP, a porta local só acabaria no estado
de entroncamento se o modo e tronco da porta remota fosse configurado como ativo ou
desejável (desirable). Se ambas as portas nos switches forem definidas como auto, elas
não negociarão para estar em um estado de entroncamento. Elas negociam para estar no
estado do modo de acesso (não-tronco).
Dinâmico desejável
Os quadros DTP são enviados periodicamente para a porta remota. O comando usado é
switchport mode dynamic desirable. A porta de switch local anuncia para a porta de
switch remota que é capaz de entroncar e solicita à porta de switch remota a passagem
para o estado de entroncamento. Se a porta local detectar que a remota foi configurada
como ativada, desejável (desirable) ou no modo automático, a porta local acabará no
estado de entroncamento. Se a porta de switch remota estiver no modo de não-
negociação, a porta de switch permanecerá como uma porta de não-entroncamento.
Desativar DTP
É possível desativar o DTP para o tronco de forma que a porta local não envie quadros
DTP para a porta remota. Use o comando switchport nonegotiate. Dessa forma, a porta
local é considerada em estado de entroncamento incondicional. Use esse recurso quando
você precisar configurar um tronco com um switch de outro fornecedor.
Um exemplo do modo de tronco
Na figura, as portas F0/1 nos switches S1 e S2 são configuradas com o modo de tronco
ativado. As portas F0/3 nos switches S1 e S3 são configuradas no modo de tronco
automático. Quando as configurações de switch forem concluídas e os switches
estiverem totalmente configurados, qual link será um tronco?
Clique no botão Qual link será configurado como um tronco? na figura.
O link entre os switches S1 e S2 se torna um tronco porque as portas F0/1 nos switches
S1 e S2 são configuradas para ignorar todos os anúncios DTP e surgem e permanecem
no modo de porta do tronco. Como as portas F0/3 nos switches S1 e S3 são definidas
como automáticas, elas negociam para permanecer no estado padrão, o estado do modo
de acesso (não-tronco). Isso resulta em um link de tronco inativo. Quando você
configura uma porta de tronco para permanecer no modo de tronco, não há nenhuma
ambigüidade quanto a que estado o tronco está sempre ativado. Também é fácil se
lembrar de qual estado as portas estão caso a porta seja um tronco e o modo de tronco
esteja ativado.
Nota: O modo de porta de switch padrão para uma interface em um switch Catalyst
2950 é dinâmico desejável (dynamic desirable), mas o modo de porta de switch padrão
para uma interface em um switch Catalyst 2960 dinâmico automático. Se S1 e S3
fossem switches Catalyst 2950 com uma interface F0/3 no modo de porta de switch
padrão, o link entre S1 e S3 se tornaria um tronco ativo.
Clique no botão Modos DTP na figura para revisar as interações de modo.
Para obter informações sobre quais switches Cisco suportam 802.1Q, ISL e DTP, visite:
http://www.cisco.com/en/US/tech/tk389/tk689/technologies_tech_note09186a008017f8
6a.shtml#topic1 (em inglês).
Para obter informações sobre como suportar ISL em redes legadas, visite:
http://www.cisco.com/en/US/tech/tk389/tk689/tsd_technology_support_troubleshooting
_technotes_list.html (em inglês).
Exibir meio visual
Página 2:
Os troncos transmitem o tráfego de várias VLANs através de um único link. É por isso
que eles são essenciais à comunicação entre os switches e as VLANs. Esta atividade se
concentra em exibir a configuração do switch, a configuração do tronco e as
informações de marcação de VLAN. São fornecidas instruções detalhadas na atividade,
bem como no link do PDF abaixo.
Exibir meio visual
3.3 Configurar VLANs e troncos
3.3.1 Configurando VLANs e visão geral dos troncos
Página 1:
Neste capítulo, você já viu exemplos dos comandos usados para configurar VLANs e
troncos de VLAN. Nesta seção, você aprenderá os principais comandos do Cisco IOS
necessários à criação, à exclusão e à verificação de VLANs e troncos de VLAN.
Normalmente, esses comandos têm muitos parâmetros opcionais que estendem os
recursos da VLAN e da tecnologia de tronco de VLAN. Esses comandos opcionais não
são apresentados. No entanto, são fornecidas referências caso você queira pesquisar
essas opções. O foco desta seção é fornecer as habilidades e o conhecimento necessários
para configurar VLANs e troncos de VLAN com seus principais recursos.
Nesta seção, você vê a configuração e a sintaxe de verificação para um lado de uma

VLAN ou tronco. Nos laboratórios e nas atividades, você configurará ambos os lados e
verificará se o link (VLAN ou tronco de VLAN) está configurado corretamente.
Nota: Se quiser manter a configuração de execução recém-configurada, você deve

salvá-la na startup configuration .
Exibir meio visual
3.3.2 Configurar uma VLAN
Página 1:
Adicionar uma VLAN

Neste tópico, você aprenderá como criar uma VLAN estática em um switch Cisco
Catalyst que usa o modo de configuração global de VLAN. Há dois modos diferentes de
configurar VLANs em um switch Cisco Catalyst: modo de configuração de banco de
dados e modo de configuração global. Embora a documentação Cisco mencione o modo
de configuração de banco de dados, ele está sendo substituído pelo modo de
configuração global de VLAN.
Você configurará VLANs com IDs no intervalo normal. Lembre-se de que há dois
intervalos de IDs de VLAN. O intervalo normal inclui IDs de 1 a 1001 e o intervalo
estendido consiste em IDs de 1006 a 4094. A VLAN 1 e de 1002 a 1005 são números de
ID reservados. Quando você configura VLANs de intervalo normal, os detalhes da
configuração são armazenados automaticamente na memória flash no switch em um
arquivo chamado vlan.dat. Como você sempre configura outros aspectos de um switch
Cisco ao mesmo tempo, trata-se de uma prática recomendada salvar alterações feitas na
configuração corrente para a NVRAM.
Clique no botão Sintaxe de comando na figura.
A figura mostra os comandos do Cisco IOS usados para adicionar uma VLAN a um
switch.
Clique no botão Exemplo na figura.
A figura mostra como a VLAN de aluno, VLAN 20, é configurada no switch S1. No
exemplo de topologia, o computador do aluno, PC2, ainda não está em uma VLAN, mas
tem um endereço IP 172.17.20.22.
Clique no botão Verificação na figura.
A figura mostra um exemplo de uso do comando show vlan brief para exibir o
conteúdo do arquivo vlan.dat. A VLAN do aluno, VLAN 20, é realçada na captura de
tela. As IDs de VLAN padrão 1 e de 1002 a 1005 são mostradas na saída de dados da
tela.
Nota: Além de inserir uma única ID de VLAN, é possível inserir uma série de IDs de
VLAN separadas por vírgulas, ou um intervalo de IDs de VLAN separadas por hífens
usando o comando vlan vlan-id, por exemplo: switch(config)#vlan 100,102,105-107.
Exibir meio visual
Página 2:
Atribuir uma porta de switch
Depois de criar uma VLAN, atribua uma ou mais portas à VLAN. Quando você atribui
manualmente uma porta de switch a uma VLAN, isso é conhecido como uma porta de
acesso estático. Uma porta de acesso estático pode pertencer a apenas uma VLAN por
vez.
Clique no botão Sintaxe de comando na figura para revisar os comandos do Cisco

IOS usados para atribuir uma porta de acesso estático à VLAN.
Clique no botão Exemplo na figura para ver como a VLAN de aluno, VLAN 20, é
atribuída estaticamente à porta F0/18 no switch S1. Como a porta F0/18 foi atribuída à
VLAN 20, o computador de aluno, PC2, está na VLAN 20. Quando a VLAN 20 é
configurada em outros switches, o administrador de rede deve configurar os outros
computadores de aluno para que eles estejam na mesma sub-rede do PC2: 172.17.20.0 /
24.
Clique no botão Verificação na figura para confirmar se o comando show vlan brief
exibe o conteúdo do arquivo vlan.dat. A VLAN do aluno, VLAN 20, é realçada na
captura de tela.
Exibir meio visual
3.3.3 Gerenciando VLANs
Página 1:
Verificar VLANs e associações de porta

Depois de configurar a VLAN, é possível validar as configurações de VLAN usando os
comandos show do Cisco IOS.
Clique no botão Sintaxe de comando na figura.
A sintaxe de vários comandos show do Cisco IOS deve ser bem conhecida. Você já
usou o comando show vlan brief. Exemplos desses comandos podem ser vistos
clicando-se nos botões na figura.
Clique no botão Mostrar VLAN na figura.
Neste exemplo, é possível ver que o comando show vlan name student não produz
uma saída de dados muito legível. A preferência aqui é usar o comando show vlan
brief. O comando show vlan summary exibe a contagem de todas as VLANs
configuradas. A saída de dados mostra seis VLANs: 1, 1002-1005 e a VLAN do aluno,
VLAN 20.
Clique no botão interfaces de VLAN na figura.
Esse comando exibe muitos detalhes que estão além do escopo deste capítulo. As
principais informações são exibidas na segunda linha da captura de tela, indicando que a
VLAN 20 está ativa.
Clique no botão Interfaces Switchport na figura.
Esse comando exibe informações que são úteis para você. É possível determinar que a
porta F0/18 está atribuída à VLAN 20 e que a VLAN nativa é VLAN 1. Você usou esse
comando para revisar a configuração de uma VLAN de voz.
Para obter detalhes sobre os campos da saída de dados do comando show vlan, visite:
http://www.cisco.com/en/US/docs/ios/lanswitch/command/reference/lsw_s2.html#wp10
11412 (em inglês).
Para obter detalhes sobre os campos da saída de dados do comando show interfaces,
visite:
http://www.cisco.com/en/US/docs/ios/12_0/interface/command/reference/irshowin.html
#wp1017387 (em inglês).
Exibir meio visual
Página 2:
Gerenciar associações de porta
Há várias formas de gerenciar VLANs e associações de porta de VLAN. A figura

mostra a sintaxe de comando no switchport access vlan.
Clique no botão Remover VLAN na figura.
Reatribuir uma porta à VLAN 1
Para reatribuir uma porta à VLAN 1, é possível usar o comando no switchport access
vlan no modo de configuração de interface. Examine a saída de dados no comando
show vlan brief logo abaixo. Observe como a VLAN 20 ainda está ativa. Ela só foi
removida de interface F0/18. No comando show interfaces f0/18 switchport,é possível
ver que a VLAN de acesso da interface F0/18 foi redefinida como VLAN 1.
Clique no botão Reatribuir VLAN na figura.
Reatribuir a VLAN a outra porta

Uma porta de acesso estático só pode ter uma VLAN. Com o software Cisco IOS, você
não precisa primeiro remover uma porta de uma VLAN para alterar sua associação.
Quando você reatribui uma porta de acesso estático a uma VLAN existente, a VLAN é
removida automaticamente da porta anterior. No exemplo, a porta F0/11is foi
reatribuída à VLAN 20.
Exibir meio visual
Página 3:
Excluir VLANs
A figura fornece um exemplo de uso do comando de configuração global no vlan vlan-

id para remover a VLAN 20 do sistema. O comando show vlan brief verifica se a
VLAN 20 não está mais no arquivo vlan.dat.
Como alternativa, todo o arquivo vlan.dat pode ser excluído usando-se o comando
delete flash:vlan.dat no modo EXEC privilegiado. Depois que o switch for
recarregado, as VLANs configuradas anteriormente já não estarão mais presentes. Isso
coloca o switch efetivamente no "padrão de fábrica" em relação a configurações de
VLAN.
Nota: Antes de excluir uma VLAN, não se esqueça de primeiro reatribuir todas as suas
portas a uma VLAN diferente. Qualquer porta pertencente a uma VLAN ativa não pode
se comunicar com outras estações depois que você exclui essa VLAN.
Exibir meio visual
3.3.4 Configurar um tronco
Página 1:
Configurar um tronco 802.1Q
Para configurar um tronco em uma porta de switch, use o comando switchport mode
tronco. Quando você entra no modo de tronco, a interface muda para o modo de
entroncamento permanente e a porta participa de uma negociação DTP para converter o
link em um link de tronco mesmo que a interface de conexão não esteja de acordo com
a alteração. Neste curso, você configurará um tronco usando apenas o comando
switchport mode tronco. A sintaxe de comando do Cisco IOS para especificar uma
VLAN nativa que não seja a VLAN 1 é mostrada na figura. No exemplo, você
configura a VLAN 99 como a VLAN nativa.
Clique no botão Topologia na figura.
Você está familiarizado com essa topologia. As VLANs 10, 20 e 30 suportarão os

computadores de Funcionários, Aluno e Convidado, PC1, PC2 e PC3. A porta F0/1 no
switch S1 será configurada como uma porta de tronco e encaminhará o tráfego para as
VLANs 10, 20 e 30. A VLAN 99 será configurada como a VLAN nativa.
Clique no botão Exemplo na figura.
O exemplo configura a porta F0/1 no switch S1 como a porta de tronco. Ele reconfigura
a VLAN nativa como sendo a VLAN 99.
Uma discussão sobre DTP e sobre os detalhes de como cada opção do modo de acesso
da porta de switch funciona está além do escopo do curso. Para obter detalhes sobre
todos os parâmetros associados ao comando de interface switchport mode, visite:
se/command/reference/cli3.html#wp1948171 (em inglês).
Exibir meio visual
Página 2:
Verificar configuração de tronco
A figura exibe a configuração da porta de switch F0/1 no switch S1. O comando usado é
show interfaces interface-ID switchport.
A primeira área realçada mostra que a porta F0/1 tem seu modo administrativo definido
como Tronco – a porta está no modo de entroncamento. A próxima área realçada
verifica que a VLAN nativa é VLAN 99, a VLAN de gerenciamento. Na parte inferior
da saída de dados, a última área realçada mostra que as VLANs com entroncamento
habilitado são as VLANs 10, 20 e 30.
Exibir meio visual
Página 3:
Gerenciando uma configuração de tronco
Na figura, os comandos para redefinir as VLANs permitidas e a VLAN nativa do tronco

para o estado padrão são mostrados. O comando para redefinir a porta de switch para o
modo de acesso e, assim, excluir a configuração tronco também é mostrada.
Clique no botão Exemplo de redefinição na figura.
Na figura, os comandos usados para redefinir todos os recursos de uma interface de

entroncamento para as configurações padrão são realçados no mesmo exemplo. O
comando show interfaces f0/1 switchport revela que o tronco foi reconfigurado para
um estado padrão.
Clique no botão Exemplo de remoção na figura.
Na figura, o exemplo mostra os comandos usados para remover o recurso de tronco da

porta de switch F0/1 no switch S1. O comando show interfaces f0/1 switchport revela
que a interface F0/1 agora está no modo de acesso estático.
Exibir meio visual
Página 4:
As VLANs são úteis na administração de grupos lógicos, permitindo que os membros

de um grupo sejam facilmente movidos, alterados ou adicionados. Esta atividade vai
ensinar a criar e nomear VLANs, atribuir portas de acesso a VLANs específicas, alterar
a VLAN nativa e configurar links de tronco. São fornecidas instruções detalhadas na
atividade, bem como no link do PDF abaixo.
Exibir meio visual
3.4 Solucionando problemas de VLANs e troncos
3.4.1 Problemas comuns com troncos
Página 1:
Problemas comuns com troncos
Neste tópico, você obtém informações sobre problemas comuns de VLAN e de

entroncamento normalmente associados a configurações incorretas. Quando você está
configurando VLANs e troncos em uma infra-estrutura comutada, esses tipos de erros
de configuração são muito comuns na seguinte ordem:
 Incompatibilidades de VLAN nativa – As portas de tronco são configuradas

com VLANs nativas diferentes, por exemplo, se uma porta definiu VLAN 99
como a VLAN nativa e a outra porta de tronco definiu VLAN 100 como a
VLAN nativa. Esse erro de configuração gera notificações da console, faz com
que o tráfego de controle e de gerenciamento seja orientado incorretamente e,
como você aprendeu, oferece um risco à segurança.
 Incompatibilidades do modo de tronco – Uma porta de tronco é configurada
com o modo de tronco "desativado" e a outra como "ativado". Esse erro de
configuração faz com que o link de tronco deixe de funcionar.
 VLANs e sub-redes IP – Os dispositivos de usuário final configurados com
endereços IP incorretos não terão conectividade de rede. Cada VLAN é uma
sub-rede IP separada logicamente. Os dispositivos devem ser configurados
dentro da VLAN com as configurações de IP corretas.
 VLANs permitidas em troncos – A lista de VLANs permitidas em um tronco
não foi atualizada com os requisitos de entroncamento de VLAN atuais. Nessa
situação, tráfego inesperado ou nenhum tráfego está sendo enviado pelo tronco.
Se você detectou algo errado em uma VLAN ou tronco e não sabe qual é o problema,
comece usa solução de problemas examinando os troncos em busca de uma
incompatibilidade de VLAN nativa e siga a lista. O restante deste tópico examina como
corrigir os problemas comuns com troncos. O próximo tópico apresenta como
identificar e resolver VLANs e sub-redes IP configuradas incorretamente.
Exibir meio visual
Página 2:
Incompatibilidades de VLAN nativa
Você é um administrador de rede e recebe uma chamada informando que a pessoa que
usa o computador PC4 não consegue se conectar ao servidor Web interno, servidor
WEB/TFTP na figura. Você sabe que um novo técnico esteve configurando o switch S3
recentemente. Como o diagrama de topologia parece correto, qual será o problema?
Você opta por verificar a configuração em S3.
Clique no botão Configurações na figura.
Assim que você se conecta ao switch S3, a mensagem de erro mostrada na parte
superior da área realçada na figura é exibida na sua janela da console. Você observa a
interface usando o comando show interfaces f0/3 switchport. Você observe que a
VLAN nativa, a segunda área realçada na figura, foi definida como VLAN 100, estando
inativa. Como você pode ver mais adiante na saída de dados, as VLANs permitidas são
10 e 99, mostradas na área realçada inferior.
Clique no botão Solução na figura.
Você precisa reconfigurar a VLAN nativa na porta de tronco Fast Ethernet F0/3 para ser
a VLAN 99. Na figura, a área realçada superior mostra o comando para configurar a
VLAN nativa para ser a VLAN 99. As duas próximas áreas realçadas confirmam que a
porta de tronco Fast Ethernet F0/3 tem a VLAN nativa redefinida para VLAN 99.
A saída de dados da tela do computador PC4 mostra que conectividade foi restaurada no
servidor WEB/TFTP encontrado no endereço IP 172.17.10.30.
Exibir meio visual

Página 3:
Inconsistências do modo de tronco
Neste curso, você aprendeu que os links de tronco são configurados estaticamente com
o comando switchport mode trunk. Você aprendeu que as portas de tronco usam
anúncios DTP para negociar o estado do link com a porta remota. Quando uma porta em
um link de tronco é configurada com um modo incompatível com a outra porta, um link
de tronco não se forma entre os dois switches.
Neste cenário, surge o mesmo problema: a pessoa que usa o computador PC4 não
consegue se conectar ao servidor Web interno. Novamente, o diagrama de topologia foi
mantido e mostra uma configuração correta. Qual é o problema?
A primeira coisa que você faz é verificar o status das portas de tronco no switch S1
usando o comando show interfaces trunk. Ele revela na figura que não há um tronco
na interface F0/3 no switch S1. Você examina a interface F0/3 para saber que a porta de
switch está no modo dynamic auto , a primeira área realçada na parte superior da figura.
Um exame dos troncos no switch S3 revela que não há nenhuma porta de tronco ativa.
Uma verificação adicional revela que a interface F0/3 também está no modo dynamic
auto, a primeira área realçada na parte inferior da figura. Agora você sabe por que o
tronco está desativado.
Você precisa reconfigurar o modo de tronco das portas Fast Ethernet F0/3 nos switches
S1 e S3. No canto superior esquerdo da figura, a área realçada mostra que a porta agora
está no modo de entroncamento. A saída de dados no canto superior direito do switch
S3 mostra os comandos usados para reconfigurar a porta e os resultados do comando
show interfaces trunk, o que revela que a interface F0/3 foi reconfigurada como um
tronco. A saída de dados do computador PC4 indica que ele recuperou a conectividade
com o servidor WEB/TFTP encontrado no endereço IP 172.17.10.30.
Exibir meio visual

Página 4:
Lista de VLANs incorreta
Você aprendeu que, para o tráfego de uma VLAN ser transmitido por um tronco, deve
haver permissão de acesso no tronco. O comando usado para isso é switchport access
trunk allowed vlan add vlan-id. Na figura, a VLAN 20 (Aluno) e o computador PC5
foram adicionados à rede. A documentação foi atualizada para mostrar que as VLANs
permitidas no tronco são 10, 20 e 99.
Neste cenário, a pessoa que usa o computador PC5 não consegue se conectar ao
servidor de email do aluno mostrado na figura.
Verifique as portas de tronco no switch S1 usando o comando show interfaces trunk.

O comando revela que a interface F0/3 no switch S3 foi configurada corretamente para
permitir as VLANs 10, 20 e 99. Um exame da interface F0/3 no switch S1 revela que as
interfaces F0/1 e F0/3 só permitem as VLANs 10 e 99. Parece que alguém atualizou a
documentação, mas se esqueceu de reconfigurar as portas no switch S1.
Você precisa reconfigurar as portas F0/1 e F0/3 no switch S1 usando o comando

switchport trunk allowed vlan 10,20,99. A saída de dados na parte superior da tela
mostra que as VLANs 10, 20 e 99 agora são adicionadas às portas F0/1 e F0/3 no switch
S1. O comando show interfaces trunk é uma ferramenta excelente para revelar
problemas de entroncamento comuns. A figura inferior indica que PC5 recuperou a
conectividade com o servidor de email do aluno encontrado no endereço IP
172.17.20.10.
Exibir meio visual
3.4.2 Problemas comuns em configurações de VLAN

Página 1:
VLAN e sub-redes IP
Como você aprendeu, cada VLAN deve corresponder a uma sub-rede IP exclusiva. Se
dois dispositivos na mesma VLAN tiverem endereços de sub-rede diferentes, eles não
poderão se comunicar. Esse tipo de configuração incorreta é um problema comum,
sendo fácil de resolver, identificando o dispositivo afetado e alterando o endereço de
sub-rede para o correto.
Neste cenário, a pessoa que usa o computador PC1 não consegue se conectar ao
servidor WEB/TFTP mostrado na figura.
Na figura, uma verificação das definições de configuração IP de PC1 revela o erro mais
comum na configuração de VLANs: um endereço IP configurado incorretamente. O
computador PC1 é configurado com um endereço IP 172.172.10.21, mas deveria ter
sido configurado com 172.17.10.21.
A captura de tela da caixa de diálogo da configuração Fast Ethernet de PC1 mostra o

endereço IP atualizado 172.17.10.21. A captura de tela na parte inferior revela que PC1
recuperou a conectividade com o servidor WEB/TFTP encontrado no endereço IP
172.17.10.30.
Exibir meio visual
Página 2:
Nesta atividade, você irá solucionar problemas de conectividade entre PCs na mesma
VLAN. A atividade será concluída quando você atingir 100% e os PCs puderem
executar ping para os outros PCs da mesma VLAN. Qualquer solução implementada
deve estar de acordo com o diagrama de topologia. São fornecidas instruções detalhadas
na atividade, bem como no link do PDF abaixo.
Exibir meio visual
3.5.1 Configuração de VLAN básica
Página 1:
Em uma rede, é essencial ser capaz de limitar os efeitos dos broadcasts. Uma forma de
fazer isso é dividindo uma grande rede física em várias redes virtuais ou lógicas
menores. Essa é uma das metas das VLANs. Este laboratório ensinará os fundamentos
da configuração de VLANs.
Exibir meio visual
Página 2:
Esta atividade é uma variação do laboratório 3.5.1. O Packet Tracer pode não suportar
todas as tarefas especificadas no laboratório prático. Esta atividade não deve ser
considerada equivalente à conclusão do laboratório prático. O Packet Tracer não é um
substituto para um exercício prático com equipamento real. São fornecidas instruções
detalhadas na atividade, bem como no link do PDF abaixo.
Exibir meio visual

3.5.2 Configuração de VLAN avançada
Página 1:
Tendo configurado as VLANs no laboratório básico, este laboratório verificará o quanto

você aprendeu. Tente fazer o máximo possível sem consultar o laboratório Básico.
Quando você concluir o máximo possível do laboratório sem ajuda, verifique o seu
trabalho usando a resposta que o seu instrutor fornecerá.
Exibir meio visual
Página 2:
Esta atividade é uma variação do laboratório 3.5.2. O Packet Tracer pode não suportar
todas as tarefas especificadas no laboratório prático. Esta atividade não deve ser
considerada equivalente à conclusão do laboratório prático. O Packet Tracer não
substitui um experimento em laboratório prático com equipamento real. São fornecidas
instruções detalhadas na atividade, bem como no link do PDF abaixo.
Exibir meio visual
3.5.3 Identificação e solução de problemas de configurações de VLAN
Página 1:
Neste laboratório, você irá praticar a solução de problemas em um ambiente de VLAN

configurado incorretamente. Carregue ou peça ao instrutor para carregar as
configurações abaixo em sua estrutura de laboratório. Seu objetivo é localizar e corrigir
todos os erros nas configurações e estabelecer a conectividade fim-a-fim. Sua
configuração final deve corresponder ao diagrama de topologia e à tabela de
endereçamento.
Exibir meio visual
Página 2:
Nesta atividade, você irá praticar a solução de problemas em um ambiente de VLAN
configurado incorretamente. A rede inicial contém erros. Seu objetivo é localizar e
corrigir todos os erros nas configurações e estabelecer a conectividade fim-a-fim. Sua
configuração final deve corresponder ao diagrama de topologia e à tabela de
endereçamento. São fornecidas instruções detalhadas na atividade, bem como no link do
PDF abaixo.
Exibir meio visual
Página 1:
Neste capítulo, apresentamos as VLANs. As VLANs são usadas para segmentar

domínios de broadcast em uma rede local comutada. Isso melhora o desempenho e a
gerenciabilidade das redes locais. As VLANs dão aos administradores de rede um
controle flexível sobre o tráfego associado aos dispositivos na rede local.
Há vários tipos de VLANs: padrão, de gerenciamento, nativas, de usuário/dados e de

voz.
Os troncos de VLAN facilitam a comunicação entre switches com várias VLANs. A

marcação do quadro IEEE 802.1Q possibilita uma diferenciação entre os quadros
Ethernet associados com VLANs distintas quando eles passam por links de tronco
comuns.
Abordamos a configuração, a verificação e a solução de problemas das VLANs e dos

troncos que usam a CLI do Cisco IOS.
Exibir meio visual

Página 2:
Exibir meio visual
Página 3:
Nesta atividade, você irá conectar e configurar completamente a topologia do Capítulo

3, incluindo adicionar e conectar dispositivos, além de configurar a segurança e as
VLANs. São fornecidas instruções detalhadas na atividade, bem como no link do PDF
abaixo.
Exibir meio visual
Página 1:
CCNA Exploration -
Exibir meio visual
Comutação de rede local e sem fio

4 VTP
4.0 Introdução
4.0.1 Introdução
Página 1:
Conforme cresce o tamanho da rede para um negócio de pequeno ou médio porte,

cresce o gerenciamento envolvido na manutenção da rede. No capítulo anterior, você
aprendeu a criar e gerenciar VLANs e troncos utilizando os comandos do Cisco IOS. O
foco estava no gerenciamento de informações de VLAN em um único switch. Mas e se
você tiver muitos switches para gerenciar? Como você gerenciará o banco de dados de
VLAN distribuído em muitos switches? Neste capítulo, você aprenderá a utilizar o
Protocolo de entroncamento de VLAN (VTP, VLAN Trunking Protocol) dos switches
Cisco Catalyst para simplificar o gerenciamento do banco de dados de VLAN em
diversos switches.
Exibir meio visual
4.1 Conceitos de VTP
4.1.1 O que é VTP?
Página 1:
O desafio do gerenciamento de VLANs
Conforme cresce o número de switches em uma rede de negócios de pequeno ou médio

porte, fica mais difícil gerenciar VLANs e links tronco em uma rede.
Clique em Reproduzir para exibir a animação do desafio do gerenciamento de

VLAN.
Gerenciamento de VLAN em uma rede pequena
Na animação, a figura mostra um gerente de rede adicionando uma nova VLAN, a

VLAN30. O gerente de rede precisa atualizar os três links tronco para permitir as
VLANs 10, 20, 30 e 99. Lembre-se de que é um erro comum esquecer de atualizar a
lista permitida de VLANS em links tronco.
Clique no botão Rede maior na figura.
Gerenciamento de VLAN de rede maior
Quando você pensar na rede maior na figura, o desafio do gerenciamento de VLAN

torna-se claro. Depois que você atualizar esta rede manualmente algumas vezes, pode
ser que você deseje saber se há uma maneira para que os switches saibam quais são a
VLAN e links tronco, de modo que você não precise configurá-los manualmente. Você
está pronto para aprender sobre o protocolo de entroncamento de VLAN (VTP).
Exibir meio visual
Página 2:
O que é VTP?
O VTP permite que um gerente de rede configure um switch de forma que ele propague
as configurações de VLAN a outros switches na rede. O switch pode ser configurado na
função de um servidor VTP ou de um cliente VTP. O VTP somente obtém informações
sobre VLANs de intervalo normal (IDs de VLAN de 1 a 1005). VLANs de intervalos
estendidos (IDs maiores que 1005) não são suportadas pelo VTP.
Clique em Reproduzir na figura para exibir uma animação de uma visão geral de
como o VTP funciona.
Visão geral do VTP
O VTP permite que um gerente de rede faça alterações em um switch que está
configurado como um servidor VTP. Basicamente, o servidor VTP distribui e sincroniza
as informações de VLAN para switches habilitados para VTP em toda a rede comutada,
o que diminui os problemas causados por configurações incorretas e inconsistências de
configuração. O VTP armazena as configurações de VLAN no banco de dados de
VLAN, chamado vlan.dat.
Clique no botão Dois switches na figura.
Dois switches
Clique em Reproduzir na figura para exibir uma animação sobre a interação básica do
VTP entre um servidor VTP e um cliente VTP.
Na figura, um link tronco é adicionado entre o switch S1, um servidor VTP, e S2, um
cliente VTP. Depois que um tronco é estabelecido entre os dois switches, são trocados
anúncios VTP entre eles. O servidor e o cliente aproveitam os anúncios um do outro
para assegurar que cada um tenha um registro preciso das informações de VLAN. Não
serão trocados anúncios VTP se o link tronco entre os switches estiver inativo. Os
detalhes sobre como o VTP funciona são explicados no restante deste capítulo.
Exibir meio visual
Página 3:
Benefícios do VTP
Você aprendeu que o VTP mantém a consistência de configuração de VLAN

gerenciando a adição, a exclusão e a renomeação das VLANs em diversos switches
Cisco em uma rede. O VTP oferece muitos benefícios para gerentes de rede, como
mostrado na figura.
Exibir meio visual
Página 4:
Componentes do VTP
Existem alguns componentes principais que você já deve conhecer para poder aprender
sobre o VTP. Aqui está uma breve descrição dos componentes, que serão explicados
mais adiante conforme você avança pelo capítulo.
 Domínio de VTP - Consiste em um ou mais switches interconectados. Todos os

switches em um domínio compartilham os detalhes de configuração de VLAN
utilizando anúncios VTP. Um roteador ou um switch de Camada 3 define o
limite de cada domínio.
 Anúncios de VTP - O VTP utiliza uma hierarquia de anúncios para distribuir e
sincronizar configurações de VLAN pela rede.
 Modos de VTP - Um switch pode ser configurado de três modos: servidor,
cliente ou transparente.
 Servidor de VTP - Os servidores VTP anunciam as informações de VLAN do
domínio VTP para outros switches habilitados para VTP nesse mesmo domínio.
Os servidores de VTP armazenam as informações de VLAN para o todo o
domínio em NVRAM (Non-Volatile RAM, RAM não-volátil). O servidor é
onde as VLANs podem ser criadas, excluídas ou renomeadas para o domínio.
 Cliente de VTP - Os clientes VTP funcionam do mesmo modo que os
servidores VTP, mas você não pode criar, alterar ou excluir as VLANs em um
cliente VTP. Um cliente VTP somente armazena as informações de VLAN para
o todo o domínio enquanto o switch estiver ativo. Caso um switch seja resetado
serão excluídas as informações de VLAN. Você deve configurar o modo cliente
do VTP em um switch.
 VTP Transparente - Switches no modo transparente encaminham anúncios
VTP para clientes VTP e servidores VTP. Switches no modo transparente não
participam do VTP. As VLANs que são criadas, renomeadas ou excluídas em
switches no modo transparente são tem efeito somente para este switch.
 Corte de VTP - O corte de VTP aumenta a largura de banda disponível na rede
restringindo o tráfego inundado aos links tronco que o tráfego deve utilizar para
alcançar os dispositivos de destino. Sem o corte de VTP, um switch inunda o
tráfego de broadcast, multicast e unicast desconhecido para todos os links tronco
dentro de um domínio VTP mesmo que os switches de recebimento o descartem.
Passe o mouse sobre os principais componentes do VTP na figura para ver onde eles
estão na rede.
Exibir meio visual
Página 5:
Exibir meio visual
4.2 Operação de VTP
4.2.1 Configuração padrão de VTP
Página 1:
No CCNA Exploration: Fundamentos de rede, você aprendeu que um switch Cisco vem
de fábrica com configurações padrão. As configurações padrão do VTP são mostradas
na figura. A vantagem do VTP é que ele distribui e sincroniza automaticamente o
domínio e as configurações de VLAN em toda a rede. Porém, esta vantagem traz um
custo: você só pode adicionar switches que estão em sua configuração VTP padrão. Se
você adicionar um switch habilitado para VTP que está definido com configurações que
substituem as configurações existentes do VTP da rede, as mudanças difíceis de corrigir
serão propagadas automaticamente ao longo da rede. Sendo assim, só adicione switches
que estão em sua configuração VTP padrão. Você aprenderá a adicionar switches a uma
rede VTP posteriormente neste capítulo.
Versões do VTP
O VTP possui três versões: 1, 2 e 3. Somente uma versão do VTP é permitida em um

domínio VTP. O padrão é o VTP versão 1. Um switch Cisco 2960 suporta o VTP
versão 2, mas está desabilitado. Uma discussão sobre as versões do VTP está além do
escopo deste curso.
Clique no botão de Saída do comando do switch na figura para ver as configurações

padrão do VTP no switch S1.
Exibindo o status do VTP
A figura mostra como exibir as configurações do VTP para um switch Cisco 2960, S1.
O comando do Cisco IOS show VTP status exibe o status do VTP. A saída do
comando mostra que o switch S1 está, por padrão, no modo de servidor VTP e que não
há nenhum nome de domínio VTP atribuído. A saída do comando também mostra que a
versão máxima do VTP disponível para o switch é a versão 2, e que o VTP versão 2 está
desabilitado. Você utilizará o comando show VTP status freqüentemente ao configurar
e gerenciar o VTP em uma rede. A seguir, veja uma breve descrição dos parâmetros do
comando show VTP status:
 Versão do VTP - Exibe a versão do VTP que o switch é capaz de executar. Por
padrão, o switch implementa a versão 1, mas pode ser definido para a versão 2.
 Revisão de configuração - Número de revisão de configuração atual neste
switch. Você obterá mais informações sobre números de revisão neste capítulo.
 Máximo de VLANs localmente suportadas - Número máximo de VLANs
suportadas localmente.
 Número de VLANs existentes - Número de VLANs existentes.
 Modo de operação do VTP - Pode ser servidor, cliente ou transparente.
 Nome de domínio VTP - Nome que identifica o domínio administrativo para o
switch.
 Modo de corte do VTP - Exibe se o corte está habilitado ou desabilitado.
 Modo VTP V2- Exibe se o modo VTP versão 2 está habilitado. VTP versão 2
vem desabilitado por padrão.
 Geração de interceptações do VTP - Exibe se são enviadas interceptações do
VTP a uma estação de gerenciamento de rede.
 MD5 Digest - Uma soma de verificação de 16 bytes da configuração do VTP.
 Última configuração modificada - Data e hora da última modificação à
configuração. Exibe o endereço IP do switch que causou a alteração de
configuração ao banco de dados.
Exibir meio visual
4.2.2 Domínios de VTP
Página 1:
Domínios VTP
O VTP permite que você separe sua rede em domínios de gerenciamento menores para
ajudar a reduzir o gerenciamento de VLAN. Um benefício adicional de configurar os
domínios VTP é que isto limita a extensão em que as mudanças de configuração são
propagadas na rede se um erro ocorrer. A figura mostra uma rede com dois domínios
VTP: cisco2 e cisco3. Neste capítulo, os três switches, S1, S2 e S3, serão configurados
para VTP.
Um domínio VTP consiste em um switch ou diversos switches interconectados que

compartilham o mesmo nome de domínio VTP. Posteriormente neste capítulo, você
aprenderá como os switches habilitados para VTP adquirem um nome de domínio
comum. Um switch pode ser membro de somente um domínio VTP por vez. Até que o
nome de domínio VTP seja especificado, você não poderá criar ou modificar as VLANs
em um servidor VTP, e as informações de VLAN não serão propagadas pela rede.
Clique no botão de Saída do comando do switch na figura para ver a saída do

comando do S4.
Exibir meio visual
Página 2:
Propagação do nome de domínio de VTP
Para que um switch no modo servidor ou cliente VTP participe de uma rede habilitada
para VTP, ele deve fazer parte do mesmo domínio. Quando os switches estão em
domínios VTP diferentes, eles não trocam mensagens VTP. Um servidor VTP propaga
o nome de domínio VTP a todos os switches para você. A propagação de nome de
domínio utiliza três componentes do VTP: servidores, clientes e anúncios.
Clique em Reproduzir na figura para ver como um servidor VTP propaga o nome de
domínio VTP em uma rede.
A rede na figura mostra três switches, S1, S2 e S3, em sua configuração VTP padrão.
Eles estão configurados como servidores VTP. Os nomes de domínio VTP não foram
configurados em nenhum dos switches.
O gerente de rede configura o nome de domínio VTP como cisco1 no switch S1 do

servidor VTP. O servidor VTP envia um anúncio VTP com o novo nome de domínio
incorporado. Os switches do servidor VTP, S2 e S3, atualizam sua configuração VTP
para o novo nome de domínio.
Nota: A Cisco recomenda que o acesso para as funções de configuração de nome de

domínio seja protegido por senha. Os detalhes da configuração de senha serão
apresentados posteriormente no curso.
Como o nome de domínio é colocado em um anúncio VTP? Quais informações são

trocadas entre os switches habilitados para VTP? No próximo tópico, você aprenderá
sobre os detalhes de anúncios VTP e encontrará as respostas a estas perguntas.
Exibir meio visual
4.2.3 Envio de anúncios de VTP
Página 1:
Estrutura de quadros de VTP
Os anúncios (ou mensagens) VTP distribuem o nome de domínio VTP e alterações de

configuração de VLAN para switches habilitados para VTP. Neste tópico, você obterá
informações sobre a estrutura de quadros do VTP e como os três tipos de anúncios
permitem que o VTP distribua e sincronize as configurações de VLAN ao longo da
rede.
Clique no botão Visão geral na figura e clique em Reproduzir para exibir uma
animação sobre a estrutura de um quadro VTP.
Encapsulamento de quadro de VTP
Um quadro VTP consiste em um campo de cabeçalho e um campo de mensagem. As

informações do VTP são inseridas no campo de dados de um quadro Ethernet. O quadro
Ethernet é, então, encapsulado como um quadro de tronco 802.1Q (ou quadro ISL).
Cada switch no domínio envia anúncios periódicos para cada porta do tronco para um
endereço multicast reservado. Estes anúncios são recebidos por switches vizinhos que
atualizam suas configurações VTP e VLAN, conforme o necessário.
Clique no botão Detalhes do quadro de VTP na figura.
Detalhes do quadro de VTP
Na figura, você pode ver a estrutura do quadro VTP de forma mais detalhada. Lembre-
se que um quadro VTP encapsulado como um quadro 802.1Q não é estático. O
conteúdo da mensagem VTP determina quais campos estão presentes. O switch de
recebimento habilitado para VTP procura campos e valores específicos no quadro
802.1Q para saber o que processar. Os campos principais a seguir estão presentes
quando um quadro VTP é encapsulado como um quadro 802.1Q:
Endereço MAC de destino- Este endereço é definido como 01-00-0C-CC-CC-CC, que

é o endereço multicast reservado para todas as mensagens VTP.
Campo LLC- O campo controle de enlace lógico (LLC) contém o ponto de acesso ao
serviço de destino (DSAP, destination service access point) e um ponto de acesso ao
serviço de origem (SSAP, source service access point) definidos ao valor de AA.
Campo SNAP - O campo Protocolo de acesso de sub-rede (SNAP, Subnetwork Access

Protocol) possui um OUI definido como AAAA e tipo definido como 2003.
Campo de cabeçalho de VTP - O conteúdo varia, dependendo do resumo de tipo, sub-
conjunto ou solicitação da mensagem VTP, mas sempre contém estes campos VTP:
 Nome de domínio - Identifica o domínio administrativo para o switch.

 Tamanho do nome de domínio - Tamanho do nome de domínio.
 Versão - Definido como VTP 1, VTP 2 ou VTP 3. O switch Cisco 2960 suporta
somente VTP 1 e VTP 2.
 Número de revisão de configuração - O número de revisão de configuração
atual neste switch.
Campo de mensagem de VTP - Varia dependendo do tipo de mensagem.
Clique no botão Conteúdo da mensagem de VTP na figura.
Conteúdo da mensagem de VTP
Os quadros VTP contêm as seguintes informações do domínio global de tamanho fixo:
 nome de domínio VTP

 Identidade do switch que envia a mensagem e a hora em que ela foi enviada
 Configuração de VLAN de MD5 digest, incluindo a unidade máxima de
transmissão (MTU) para cada VLAN
 Formato de quadro: ISL ou 802.1Q
Os quadros VTP contêm as seguintes informações para cada VLAN configurada:
 IDs de VLAN (IEEE 802.1Q)

 Nome da VLAN
 Tipo da VLAN
 Estado da VLAN
 Informações de configuração de VLAN adicionais específicas para o tipo de
VLAN
Nota: Um quadro VTP é encapsulado em um quadro Ethernet 802.1Q. O quadro

Ethernet 802.1Q inteiro é o anúncio VTP geralmente chamado de mensagem VTP. O
termos quadro, anúncio e mensagem são geralmente utilizados de forma intercambiável.
Exibir meio visual
Página 2:
Número de revisão de VTP
O número de revisão de configuração é um número de 32 bits que indica o nível de

revisão para um quadro VTP. O número de configuração padrão para um switch é zero.
Cada vez que uma VLAN é adicionada ou removida, aumenta o número de revisão de
configuração. Cada dispositivo VTP monitora o número de revisão de configuração do
VTP que é definido para ele.
Nota: Uma alteração do nome de domínio VTP não aumenta o número de revisão. Ao
contrário, ela redefine o número de revisão para zero.
O número de revisão de configuração determina se as informações de configuração

recebidas de outro switch habilitado para VTP é mais recente do que a versão
armazenada no switch. A figura mostra um gerente de rede adicionando três VLANs
para o switch S1.
Clique no botão de Saída do comando do switch na figura para ver como o número
de revisão foi alterado.
A área destacada mostra que o número de revisão no switch S1 é 3, o número de

VLANs deve ser até oito, porque foram acrescentadas três VLANs às cinco VLANs
padrão.
O número de revisão desempenha uma função importante e complexa ao permitir que o

VTP distribua e sincronize o domínio VTP e informações de configuração de VLAN.
Para compreender o que o número de revisão faz, você precisa aprender primeiro sobre
os três tipos de anúncios e os três modos do VTP.
Exibir meio visual
Página 3:
Anúncios de VTP
Anúncios sumarizados
O anúncio de sumarização contém o nome de domínio VTP, o número de revisão atual e

outros detalhes de configuração do VTP.
São enviados anúncios de sumarização:
 A cada 5 minutos por um servidor ou cliente VTP para informar switches

habilitados por VTP vizinhos do número de revisão de configuração do VTP
atual para seu domínio VTP
 Imediatamente após uma configuração ser feita
Clique no botão Resumo na figura e, em seguida, clique em Reproduzir para exibir

uma animação sobre os anúncios sumarizados do VTP.
Anúncios de subconjunto
Um anúncio de subconjunto contém as informações de VLAN. As alterações que

disparam o anúncio do subconjunto incluem:
 Criação ou exclusão de uma VLAN

 Suspensão ou ativação de uma VLAN
 Alteração do nome de uma VLAN
 Alteração do MTU de uma VLAN
Podem ser necessários vários anúncios de subconjunto para atualizar as informações de

VLAN completamente.
Clique no botão Subconjunto na figura e, em seguida, clique em Reproduzir para

exibir uma animação sobre os anúncios de subconjunto do VTP.
Anúncios de solicitação
Quando um anúncio de solicitação é enviado a um servidor VTP no mesmo domínio

VTP, o servidor VTP responde enviando um anúncio de sumarização e, em seguida, um
anúncio de subconjunto.
Os anúncios de solicitação são enviados se:
 O nome de domínio VTP foi alterado

 O switch recebe um anúncio de sumarização com um número de revisão de
configuração mais alto do que seu próprio número
 Uma mensagem de anúncio de subconjunto é perdido por alguma razão
 O switch foi reiniciado
Clique no botão Solicitação na figura e então clique em Reproduzir para exibir uma
animação sobre os anúncios de solicitação do VTP.
Exibir meio visual
Página 4:
Detalhes dos anúncios de VTP

O VTP utiliza anúncios para distribuir e sincronizar as informações sobre domínios e
configurações de VLAN. Existem três anúncios VTP principais.
Cada tipo de anúncio VTP envia informações sobre diversos parâmetros utilizados pelo
VTP. Uma descrição dos campos em cada um dos anúncios VTP é apresentada.
Clique no botão Detalhes da sumarização na figura.
Anúncios sumarizados
Os anúncios sumarizados compreendem a maioria do tráfego de anúncio VTP. Passe o

mouse sobre os campos no anúncio de sumarização para exibir as descrições.
Passe o mouse sobre os campos no anúncio de sumarização para exibir as descrições.
Clique no botão Detalhes do subconjunto na figura.
Anúncios de subconjunto
Os campos encontrados em um anúncio de subconjunto são descritos brevemente. Não

são descritos os campos nas informações de VLAN.
Passe o mouse sobre os campos no anúncio de subconjunto para exibir as descrições.
Clique no botão Detalhes da solicitação na figura.
Anúncios de Solicitação
Os campos encontrados em um anúncio de solicitação são descritos brevemente.
Passe o mouse sobre os campos no anúncio de solicitação para exibir as descrições.
Exibir meio visual
4.2.4 Modos de VTP
Página 1:
Visão geral dos modos de VTP
Um switch da Cisco, configurado com o software IOS Cisco, pode ser configurado nos
modos servidor, cliente ou transparente. Estes modos diferem em como eles são
utilizados para gerenciar e anunciar domínios VTP e VLANs.
Modo servidor
No modo servidor, você pode criar, modificar e excluir VLANs para todo o domínio
VTP. O modo servidor do VTP é o modo padrão para um switch Cisco. Os servidores
VTP anunciam suas configurações de VLAN a outros switches no mesmo domínio VTP
e sincronizam suas configurações de VLAN com outros switches com base nos
anúncios recebidos sobre links tronco. Os servidores VTP mantêm o monitoramento das
atualizações através de um número de revisão de configuração. Outros switches no
mesmo domínio VTP comparam seus números de revisão de configuração com o
número de revisão recebido de um servidor VTP para ver se eles precisam sincronizar
seus banco de dados de VLAN.
Modo cliente
Se um switch estiver no modo cliente, você não poderá criar, alterar ou excluir as
VLANs. Além disso, as informações de configuração de VLAN que um switch cliente
VTP recebe de um switch servidor VTP são armazenadas em um banco de dados de
VLAN, não em NVRAM. Conseqüentemente, os clientes VTP exigem menos memória
do que os servidores VTP. Quando um cliente VTP é desligado e reiniciado, ele envia
um anúncio de solicitação a um servidor VTP para obter informações de configuração
de VLAN atualizadas.
Os switches configurados como clientes VTP são encontrados com mais freqüência em
redes maiores, porque em uma rede com centenas de switches é mais difícil coordenar
melhorias de rede. É freqüente haver muitos administradores de rede trabalhando em
diferentes horas do dia. Ter apenas alguns switches que sejam fisicamente capazes de
manter as configurações de VLAN facilita o controle das atualizações de VLAN e ajuda
a monitorar quais administradores de rede as executaram.
Para redes grandes, ter switches no modo cliente é também mais econômico. Por
padrão, todos os switches são configurados como servidores VTP. Esta configuração é
adequada para redes menores nas quais o tamanho das informações de VLAN é
pequeno e as informações são armazenadas facilmente em NVRAM nos switches. Em
uma rede grande com centenas de switches, o administrador de rede deve decidir se o
custo de comprar switches com NVRAM suficiente para armazenar as informações de
VLAN duplicadas é muito alto. Um administrador de rede com consciência de custo
pode escolher configurar alguns poucos switches bem equipados como servidores VTP,
usando, então, switches com menos memória como clientes VTP. Embora uma
discussão de redundância de rede esteja além do escopo deste curso, saiba que o número
de servidores VTP deve ser escolhido com o intuito de fornecer o grau de redundância
desejada na rede.
Modo transparente
Os switches configurados em modo transparente encaminham anúncios VTP que eles

recebem em portas tronco para outros switches na rede. Os switches do modo
transparente do VTP não anunciam suas configurações de VLAN e não sincronizam
suas configurações de VLAN com qualquer outro switch. Configure um switch em
modo transparente do VTP quando você tiver configurações de VLAN que possuem
importância local e não devem ser compartilhadas com o resto da rede.
No modo transparente, as configurações de VLAN são salvas em NVRAM (mas não

anunciadas a outros switches), assim a configuração fica disponível após uma
reinicialização do switch. Isto significa que, quando um switch em modo transparente
do VTP é reiniciado, ele não é revertido para um modo servidor do VTP padrão, mas
permanece em modo transparente do VTP.
Exibir meio visual

Página 2:
VTP em ação
Você verá agora como os diversos recursos do VTP se reúnem para distribuir e
sincronizar as configurações de domínio e de VLAN em uma rede habilitada por VTP.
A animação é iniciada com três novos switches, S1, S2 e S3, com suas configurações
padrão de fábrica, e termina com os três switches configurados e participando de uma
rede habilitada por VTP.
Você pode pausar e retroceder a animação para pensar sobre este processo e revisá-lo.
Exibir meio visual
Página 3:
Você viu como o VTP funciona com três switches. Esta animação examina mais
detalhadamente como um switch configurado em modo transparente do VTP suporta a
funcionalidade de VTP.
Clique no botão Reproduzir na figura.
Você pode pausar e retroceder a animação para pensar sobre este processo e revisá-lo.
Exibir meio visual
4.2.5 Corte de VTP
Página 1:
O corte de VTP evita a inundação desnecessária de informações de broadcast de uma

VLAN por todos os troncos em um domínio VTP. Ele permite que os switches
negociem quais VLANs são atribuídas às portas na outra extremidade de um tronco e,
conseqüentemente, corta as VLANs que não estão atribuídas a portas no switch remoto.
O corte está, por padrão, desabilitado. O corte de VTP é habilitado utilizando o
comando de configuração global vtp pruning. Só é necessário habilitar o corte em um
único switch servidor VTP no domínio. Na figura, você habilitaria o corte de VTP no
switch S1. A figura mostra uma rede com a VLAN 10 e VLAN 20 configuradas. O
switch S3 tem a VLAN 20 configurada e o switch S2 tem a VLAN 10 e VLAN 20
configuradas. Examine a topologia na figura e, em seguida, clique para ver as
configurações do switch.
Exibir meio visual
Página 2:
Corte de VTP em ação
Lembre-se de que uma VLAN cria um domínio de broadcast isolado. Um switch inunda
o tráfego de broadcast, multicast e unicast desconhecido por todos os links tronco dentro
de um domínio VTP. Quando um computador ou dispositivo é transmitido em uma
VLAN, por exemplo a VLAN 10 na figura, o tráfego de broadcast viaja por todos os
links tronco ao longo da rede para todas as portas em todos os switches na VLAN 10.
Na figura, os switches S1, S2 e S3 recebem os quadros de broadcast do computador
PC1. O tráfego de broadcast do PC1 consome a largura de banda no link tronco entre os
3 switches e consome o tempo do processador nos 3 switches. O link entre os switches
S1 e S3 não carrega nenhum tráfego de VLAN 10, então ele é um candidato para o corte
de VTP.
Clique no botão Reproduzir na figura para ver o que acontece com o tráfego de
inundação de VLAN em uma rede sem corte de VTP.
Corte de VTP
Clique no botão Corte de VTP e clique em Reproduzir para ver uma animação sobre
o que acontece com o tráfego de inundação de VLAN em uma rede com corte de VTP.
O tráfego de inundação é impedido de entrar no tronco que conecta os switches S1 e S2.

O corte de VTP somente corta a porta de egresso F0/1 no switch S2.
Exibir meio visual

Página 3:
Corte de VTP habilitado
A figura mostra uma topologia de rede que possui os switches S1, S2 e S3 configurados
com corte de VTP. Quando o corte de VTP estiver habilitado em uma rede, ele
reconfigurará os links tronco com base em quais portas estão configuradas com quais
VLANs.
Clique no botão Switch S1 na figura.
A área destacada mostra que o tronco na porta F0/1 permite o tráfego de VLAN 10. O
corte de VTP somente corta a porta de egresso.
Clique no botão Switch S2 na figura.
A área destacada mostra que o tronco na porta F0/1 não permite o tráfego da VLAN 10.
A VLAN 10 não é listada. Para obter mais detalhes sobre o corte de VTP, visite:
http://www.cisco.com/univercd/cc/td/doc/product/lan/cat5000/rel_4_2/config/vlans.htm
#xtocid798016 (em inglês).
Exibir meio visual
Página 4:
Exibir meio visual
4.3 Configurar o VTP
4.3.1 Configurando o VTP
Página 1:
Diretrizes de configuração do VTP

Agora que você já conhece a funcionalidade do VTP, você está pronto para aprender a
configurar um switch Cisco Catalyst para utilizar o VTP. A topologia mostra a
topologia de referência para este capítulo. O VTP será configurado nesta topologia.
Clique no botão Tabela na figura.
Switches do servidor VTP
Siga estas etapas e diretrizes associadas para garantir o sucesso da sua configuração do
VTP:
 Confirme se todos os switches que você vai configurar foram definidos com
suas configurações padrão.
 Sempre redefina o número de revisão de configuração antes de instalar um
switch previamente configurado em um domínio VTP. Se você não conseguir
redefinir o número de revisão de configuração, poderá haver interrupção na
configuração de VLAN no restante dos switches no domínio VTP.
 Configure pelo menos dois switches como servidor VTP em sua rede. Como
somente os switches no modo servidor podem criar, excluir e modificar as
VLANs, você deve garantir que tenha um servidor VTP de backup no caso de o
servidor VTP primário ser desabilitado. Se todos os switches na rede forem
configurados no modo cliente do VTP, você não poderá criar novas VLANs na
rede.
 Configure um domínio VTP no servidor VTP. Configurar o domínio VTP no
primeiro switch permite que o VTP comece a enviar anúncios das informações
de VLAN. Outros switches conectados por links tronco recebem as informações
do domínio VTP automaticamente através dos anúncios VTP.
 Se houver um domínio VTP existente, verifique se você fez a correspondência
exata do nome. Os nomes de domínio de VLAN diferenciam maiúsculas e
minúsculas.
 Se você estiver configurando uma senha de VTP, defina a mesma senha em
todos os switches no domínio que precisam ser capazes de trocar informações
VTP. Os switches sem uma senha ou com a senha incorreta rejeitam os anúncios
VTP.
 Certifique-se de que todos os switches estejam configurados para utilizar a
mesma versão do protocolo VTP. A versão 1 do VTP não é compatível com a
versão 2 do VTP. Por padrão, os switches Cisco Catalyst 2960 executam a
versão 1, mas são capazes de executar a versão 2. Quando a versão do VTP
estiver definida como a versão 2, todos os switches habilitados para a versão 2
no domínio serão auto-configurados para utilizar a versão 2 através do processo
de anúncio VTP. Os switches que estiverem habilitados somente para a versão 1
não poderão participar do domínio VTP a partir daquele ponto.
 Crie a VLAN depois de habilitar o VTP no servidor VTP. As VLANs criadas
antes da habilitação do VTP são removidas. Certifique-se sempre de que as
portas do tronco sejam configuradas para interconectar os switches em um
domínio VTP. As informações do VTP são trocadas somente nas portas tronco.
Switches de cliente VTP
 Assim como no switch servidor VTP, confirme se as configurações padrão estão

presentes.
 Configure o modo cliente do VTP. Lembre-se de que o switch não está em modo
cliente VTP por padrão. Você tem que configurar este modo.
 Configure os troncos. O VTP funciona através dos links tronco.
 Conecte-se a um servidor VTP. Quando você se conectar a um servidor VTP ou
a outro switch habilitado para VTP, aguarde alguns instantes para que os
diversos anúncios façam os trajetos de ida e volta para o servidor VTP.
 Verifique o status do VTP. Antes de começar a configurar as portas de acesso,
confirme se o modo e o número de revisão das VLANs foram atualizados.
 Configure as portas de acesso. Quando um switch estiver no modo cliente VTP,
você não poderá adicionar novas VLANs. Você só pode atribuir portas de acesso
a VLANs existentes.
Exibir meio visual
Página 2:
Configurando o VTP Etapa 1 - Configurar o servidor VTP
Os próximos três tópicos mostrarão como configurar um servidor e dois clientes VTP.
No início, nenhum dos dispositivos está conectado.
A topologia destaca o switch S1. Você irá configurar este switch como um servidor
VTP. São fornecidos os comandos para configurar as portas tronco para a interface
F0/1.
Clique no botão Confirmar detalhes na figura.

A saída do comando show vtp status confirma se o switch é, por padrão, um servidor
VTP. Considerando que nenhuma VLAN foi configurada ainda, o número de revisão
ainda está definido em 0 e o switch não pertence ao domínio VTP.
Se o switch ainda não foi configurado como um servidor VTP, você deve configurá-lo
utilizando o comando vtp mode {server}.
Clique no botão Configurar nome de domínio na figura.
O nome de domínio é configurado com o uso do comando vtp domain domain-name.

Na figura, o switch S1 foi configurado com o nome de domínio cisco1.
Por razões de segurança, uma senha pode ser configurada com o uso do comando vtp
password password.
Clique no botão Configurar versão na figura.
A maioria dos switches pode suportar as versões 1 e 2 do VTP. Porém, a configuração

padrão para os switches Catalyst 2960 é a versão 1. Quando o comando vtp version 1 é
digitado no switch, ele nos informa que o switch já está configurado para a versão 1.
Clique no botão Adicionar VLANs e Troncos na figura.
Suponha que três VLANs foram configuradas e receberam nomes de VLANs. A saída
do comando na figura está exibindo o resultado destas alterações.
Você pode utilizar a versão no dos comandos.
Exibir meio visual

Página 3:
A topologia destaca os switches S2 e S3. Você verá a configuração de cliente VTP para
S2. Para configurar S3 como um cliente VTP, você seguirá o mesmo procedimento.
Clique no botão Confirmar padrões para verificar o status do switch.
Antes de configurar um switch como um cliente VTP, verifique o status atual do VTP .
Após confirmar o status, você configurará o switch para operar no modo cliente VTP.
Clique no botão Habilitar modo cliente VTP para ver como configurar um switch
para o modo cliente VTP.
Configure o modo cliente VTP utilizando a seguinte sintaxe de comando do Cisco IOS:
Entre no modo de configuração global com o comando configure terminal.
Configure o switch no modo cliente com o comando vtp mode {client}.
Se você precisar redefinir a configuração do VTP para os valores padrão, poderá utilizar
a versão no dos comandos.
Clique no botão Verificar status do VTP para ver o resto da configuração de cliente
VTP.
Exibir meio visual
Página 4:
Configurando o VTP Etapa 3 - Confirmar e conectar

Após configurar o servidor VTP principal e os clientes VTP, você conectará o switch S2
que é um cliente VTP ao servidor VTP que é o switch S1.
A topologia destaca os troncos que serão adicionados a esta topologia. Na figura, o

switch S2 será conectado ao switch S1. Em seguida, o switch S2 será configurado para
suportar os computadores, PC1 até PC3. O mesmo procedimento será aplicado ao
switch S3, embora os comandos para S3 não sejam mostrados.
Confirmar a operação do VTP
Clique no botão Confirmar operação do VTP na figura.
Existem dois comandos do Cisco IOS para confirmar se as configurações do domínio

VTP e da VLAN foram transmitidas ao switch S2. Utilize o comando show VTP status
para verificar se:
 O número de revisão de configuração foi aumentado para 6.

 Existem agora três novas VLANs indicadas pelo número existente de VLANs
mostrando 8.
 O nome de domínio foi alterado para cisco1.
Utilize o comando show vtp counters para confirmar se os anúncios aconteceram.
Configurar portas de acesso
Clique no botão Configurar portas de acesso na figura.
O destaque da parte superior na saída do comando da tela confirma que o switch S2 está
no modo cliente do VTP. Agora a tarefa é configurar a porta F0/18 no switch S2 para
que ela esteja na VLAN 20. A área inferior destacada mostra o comando do Cisco IOS
utilizado para configurar a porta F0/18 no switch S2 para que ela esteja na VLAN 20.
Exibir meio visual
4.3.2 Identificação e solução de problemas de configuração do VTP
Página 1:
Identificação e solução de problemas de conexão do VTP
Você aprendeu como o VTP pode ser utilizado para simplificar o gerenciamento de um
banco de dados de VLAN nos diversos switches. Neste tópico, você aprenderá sobre os
problemas comuns de configuração do VTP. Estas informações, combinadas com suas
habilidades de configuração do VTP, ajudarão a solucionar problemas de configuração
do VTP.
A figura relaciona os problemas comuns de configuração do VTP que serão explorados

neste tópico.
Exibir meio visual
Página 2:
Versões incompatíveis do VTP
As versões 1 e 2 do VTP são incompatíveis entre si. Os modernos switches Cisco

Catalyst, como o 2960, são configurados para utilizar a versão 1 do VTP por padrão.
Porém, os switches mais antigos somente podem suportar a versão 1 do VTP. Os
switches que suportam somente a versão 1 não podem participar do domínio VTP junto
com switches da versão 2. Se sua rede contém switches que suportam somente a versão
1, é necessário que você configure os switches de versão 2 manualmente para que
operem no modo da versão 1.
Clique no botão Solução de versão de VTP na figura.

Problemas de senha de VTP
Ao utilizar uma senha de VTP para controlar a participação no domínio VTP, verifique
se a senha está definida corretamente em todos os switches no domínio VTP. Esquecer
de definir uma senha de VTP é um problema muito comum. Se for utilizada uma senha,
ela deverá ser configurada em cada switch no domínio. Por padrão, um switch Cisco
não utiliza uma senha de VTP. O switch não define o parâmetro de senha
automaticamente, diferentemente de outros parâmetros que são definidos
automaticamente quando um anúncio VTP é recebido.
Clique no botão Solução de senha de VTP na figura.
Exibir meio visual
Página 3:
Nome de domínio VTP incorreto
O nome de domínio VTP é um parâmetro principal definido em um switch. Um

domínio VTP configurado de modo inadequado afeta a sincronização de VLAN entre
switches. Conforme aprendido anteriormente, se um switch recebe o anúncio VTP
incorreto, ele descarta a mensagem. Se a mensagem descartada contiver informações de
configuração legítimas, o switch não sincronizará seu banco de dados de VLAN
conforme o esperado.
Clique em Reproduzir na figura para ver uma animação deste problema.
Clique no botão Solução de domínio VTP na figura.
Solução
Para evitar a configuração incorreta de um nome de domínio VTP, defina apenas o

nome de domínio VTP em um switch servidor VTP. Todos os outros switches no
mesmo domínio VTP aceitarão e automaticamente configurarão seu nome de domínio
VTP quando eles receberem o primeiro anúncio sumarizado do VTP.
Exibir meio visual
Página 4:
Switches definidos no modo cliente de VTP
É possível alterar o modo de operação de todos os switches para o modo cliente VTP.
Desse modo, você perde toda a capacidade de criar, excluir e gerenciar as VLANs
dentro de seu ambiente de rede. Como os switches cliente VTP não armazenam as
informações de VLAN em NVRAM, eles precisam atualizar as informações de VLAN
depois de uma reinicialização.
Clique em Reproduzir na figura para ver uma animação deste problema.
Solução
Para evitar a perda de todas as configurações de VLAN em um domínio VTP

reconfigurando o único servidor VTP no domínio acidentalmente como um cliente
VTP, você poderá configurar um segundo switch no mesmo domínio como um servidor
VTP. É comum que redes pequenas que utilizam o VTP tenham todos os switches no
modo servidor VTP. Se a rede estiver sendo gerenciada por dois administradores, será
improvável o surgimento de conflito entre configurações de VLAN.
Exibir meio visual
Página 5:
Número de revisão incorreto

Mesmo depois de configurar os switches corretamente em seu domínio VTP, existem
outros fatores que podem afetar negativamente a funcionalidade do VTP.
Problemas de número de revisão de configuração
A topologia na figura está configurada com o VTP. Há um switch no modo servidor

VTP, S1, e dois switches no modo VTP, S2 e S3.
Clique no botão Número de revisão incorreto na figura para executar uma animação
que mostra como a adição de um switch com um número de revisão de configuração
mais alto afeta o resto dos switches no domínio VTP.
S4, que foi configurado anteriormente como um cliente VTP, é adicionado à rede. O
número de revisão do switch S4 é 35, mais alto que o número de revisão de 17 na rede
existente. S4 vem pré-configurado com duas VLANs, 30 e 40, que não estão
configuradas na rede existente. A rede existente possui as VLANs 10 e 20.
Quando o switch S4 é conectado ao switch S3, os anúncios sumarizados do VTP

anunciam a chegada de um switch habilitado para VTP com o número de revisão mais
alto na rede. A animação mostra como o switch S3, o switch S1 e, finalmente, o switch
S2 são reconfigurados para a configuração localizada no switch S4. Como cada switch
se reconfigura com as VLANs que não são suportadas na rede, as portas não
encaminham mais o tráfego dos computadores porque eles são configurados com as
VLANs que não existem mais nos switches recentemente reconfigurados.
Clique no botão Redefinir número de revisão na figura.
Solução
A solução para o problema é redefinir a configuração de cada switch para a anterior e

então reconfigurar as VLANs corretas, 10 e 20, no switch S1. Para evitar este problema,
em primeiro lugar, redefina o número de revisão de configuração nos switches
previamente configurados que estão sendo acrescentados a uma rede habilitada para
VTP. A figura mostra os comandos necessários para redefinir o número de revisão do
switch S4 de volta para o padrão.
Clique no botão Verificar número de revisão na figura para ver se o número de

revisão do switch S4 foi redefinido.
Exibir meio visual
4.3.3 Gerenciando VLANs em um servidor VTP
Página 1:
Gerenciando VLANs em um servidor VTP
Você aprendeu sobre o VTP e como ele pode ser utilizado para simplificar as VLANs
de gerenciamento em uma rede habilitada para VTP. Observe a topologia na figura.
Quando uma nova VLAN, por exemplo, a VLAN 10, for adicionada à rede, o gerente de
rede adicionará a VLAN ao servidor VTP, o switch S1 na figura. Como você sabe, o
VTP trata de propagar os detalhes de configuração de VLAN para o resto da rede. Ele
não tem nenhuma influência sobre quais portas estão configuradas na VLAN 10 nos
switches S1, S2 e S3.
Clique no botão Configurar novas VLANs e portas na figura.
A figura exibe os comandos utilizados para configurar a VLAN 10 e a porta F0/11 no

switch S1. Os comandos para configurar as portas corretas para os switches S2 e S3 não
são exibidos.
Depois de configurar a nova VLAN no switch S1 e configurar as portas nos switches

S1, S2 e S3 para suportar a nova VLAN, confirme se o VTP atualizou o banco de dados
de VLAN nos switches S2 e S3.
Clique no botão show vtp status na figura.

A saída do comando do comando é utilizada para verificar a configuração no switch S2.
A verificação para S3 não é exibida.
Clique no botão show interfaces trunk na figura.
A saída do comando confirma que a nova VLAN foi adicionada a F0/1 no switch S2. A
área destacada mostra que a VLAN 10 está agora ativa no domínio de gerenciamento do
VTP.
4.5.1 Resumo
Página 1:
Neste capítulo, nós discutimos o protocolo de entroncamento de VLAN. O VTP é um

protocolo da Cisco utilizado para trocar informações de VLAN através de links tronco,
reduzindo a administração de VLAN e erros de configuração. O VTP permite que você
crie uma VLAN quando estiver dentro de um domínio VTP e que você tenha esta
VLAN propagada a todos os outros switches no domínio VTP.
Existem três modos de operação do VTP: servidor, cliente e transparente. Os switches

no modo cliente VTP são predominantes em redes grandes, onde sua definição reduz a
administração de informações de VLAN. Em redes pequenas, os gerentes de rede
podem monitorar com mais facilidade as alterações de rede; desse modo, os switches
são freqüentemente deixados no modo servidor VTP padrão.
O corte de VTP limita a propagação desnecessária de tráfego de VLAN por uma rede
local. O VTP determina quais portas tronco encaminham determinado tráfego de
VLAN. O corte de VTP aprimora o desempenho geral da rede restringindo a inundação
desnecessária de tráfego pelos links tronco. O corte permite somente o tráfego de
VLAN para VLANs que são atribuídas a alguma porta de switch na outra extremidade
de um link tronco. Reduzindo a quantidade total de tráfego inundado na rede, a largura
de banda é liberada para outros tráfegos .
Nós discutimos a configuração e medidas preventivas para evitar problemas comuns do

VTP.
5 STP
5.0.1 Introdução
Página 1:
As redes de computadores são, evidentemente, componentes críticos da maioria dos

pequenos e médios negócios. Consequentemente, os administradores de TI têm que
implementar a redundância em suas redes hierárquicas. Entretanto, adicionar links
extras aos switches e roteadores na rede introduz loops de tráfego que precisam ser
gerenciados de uma forma dinâmica: quando uma conexão de switch é perdida, outro
link precisa assumir seu lugar rapidamente sem introduzir novos loops de tráfego. Neste
capítulo, você aprenderá como o protocolo spanning tree (STP, Spanning Tree Protocol)
impede problemas de loop na rede e como o STP evoluiu para um protocolo que calcula
rapidamente quais portas devem ser bloqueadas de forma que uma rede baseada em
VLAN seja mantida livre de loops de tráfego.
5.1 Topologias redundantes de camada 2
5.1.1 Redundância
Página 1:
Redundância em uma rede hierárquica
O modelo de design hierárquico foi apresentado no Capítulo 1. Este modelo abrange os

problemas encontrados nas topologias de rede do modelo plano. Um dos problemas é a
redundância. A redundância de camada 2 aprimora a disponibilidade da rede
implementando caminhos alternativos através da adição de equipamentos e
cabeamento.Possuir diversos caminhos para que os dados atravessem a rede permite que
ocorra a interrupção de um deles sem que haja impacto sobre a conectividade dos
dispositivos na rede.
Como você pode ver na animação:
1. O PC1 está se comunicando com PC4 em uma topologia de rede configurada de

forma redundante.
2. Quando o link de rede entre o switch S1 e o switch S2 é interrompido, o caminho

entre PC1 e PC4 é automaticamente ajustado para compensar a interrupção.
3. Quando a conexão de rede entre S1 e S2 é restaurada, o caminho é reajustado para

rotear o tráfego diretamente de S2 através de S1 para chegar ao PC4.
Como os negócios tornam-se cada vez mais dependentes da rede, a disponibilidade da

infra-estrutura de rede se torna uma preocupação crítica e isso deve ser resolvido. A
redundância é a solução para obter a disponibilidade necessária.
Página 2:
Examinar um design redundante
Em um design hierárquico, a redundância é obtida nas camadas de distribuição e do

núcleo através de hardware adicional e caminhos alternativos por esses equipamentos.
Clique no botão Início – Acesso para camada de distribuição na figura.
Neste exemplo, há uma rede hierárquica com camadas de acesso, distribuição e núcleo.
Cada switch de camada de acesso é conectado a dois switches de camada de distribuição
diferentes. Além disso, cada switch de camada de distribuição é conectado a ambos os
switches da camada de núcleo. Devido à existência de diversos caminhos entre PC1 e
PC4, há uma redundância que pode acomodar um único ponto de falha entre a camada
de acesso e de distribuição, e entre a camada de distribuição e a do núcleo.
O STP está habilitado em todos os switches. O STP é o tópico deste capítulo e será
explicado detalhadamente. Por enquanto, observe que o STP colocou algumas portas de
switch em estado de encaminhamento e outras em estado de bloqueio. Isto impede loops
de camada 2 na rede. O STP somente utilizará um link redundante se houver falha no
link primário.
No exemplo, PC1 pode comunicar-se com PC4 pelo caminho identificado.
Clique no botão Falha de caminho – Acesso para camada de distribuição na figura.
O link entre o switch S1 e o switch D1 foi interrompido, impedindo que os dados de

PC1 que eram destinados a PC4 alcançassem o switch D1 em seu caminho original.
Entretanto, como o switch S1 possui um segundo caminho para PC4 através do switch
D2, o caminho é atualizado e os dados podem chegar ao PC4.
Clique no botão Falha de caminho – Distribuição para camada de núcleo na

figura.
O link entre o switch D1 e o switch D2 foi interrompido, impedindo que os dados do

PC1 que eram destinados a PC4 alcançassem o switch C2 em seu caminho original.
Entretanto, como o switch D1 possui um segundo caminho para PC4 através do switch
C1, o caminho é atualizado e os dados podem chegar ao PC4.
Clique no botão Falha de switch – Camada de distribuição na figura.
O switch D1 falhou, evitando que os dados de PC1, destinados a PC4, alcançassem o

switch C2 em seu caminho original. Entretanto, desde que o switch S1 possua um
segundo caminho para PC4 através do switch D2, o caminho é atualizado e os dados
podem chegar ao PC4.
Clique no botão Falha de switch – Camada de núcleo na figura.
O switch C2 falhou, evitando que os dados de PC1 que eram destinados a PC4
alcançassem o switch D4 em seu caminho original. Entretanto, como o switch D1
possui um segundo caminho para PC4 através do switch C1, o caminho é atualizado e
os dados podem chegar ao PC4.
A redundância fornece muita flexibilidade nas escolhas de caminho em uma rede,
permitindo que os dados sejam transmitidos independentemente da falha de um
caminho ou dispositivo nas camadas de distribuição ou núcleo. A redundância tem
algumas complicações que precisam ser abordadas antes de poder ser implementada de
forma segura em uma rede hierárquica.
5.1.2 Problemas com a redundância
Página 1:
Loops de camada 2
A redundância é uma parte importante do design hierárquico. Embora ela seja

importante para a disponibilidade, existem algumas considerações que devem ser feitas
antes de a redundância ser possível em uma rede.
Quando existem diversos caminhos entre dois dispositivos na rede e o STP foi
desabilitado nesses switches, pode ocorrer um loop de Camada 2. Se o STP estiver
habilitado nestes switches, o que é o padrão, um loop de Camada 2 não ocorre.
Quadros Ethernet não possuem um tempo de vida (TTL, Time To Live) como os
pacotes IP que atravessam os roteadores. Como resultado, se eles não forem finalizados
corretamente em uma rede comutada, eles continuarão saltando de switch para switch
interminavelmente, ou até que um link seja interrompido e quebre o loop.
Os quadros de broadcast são encaminhados por todas as portas de switch, exceto pela
porta de origem. Isto garante que todos os dispositivos no domínio de broadcast possam
receber o quadro. Se houver mais de um caminho para que o quadro seja encaminhado,
o resultado poderá ser um loop ininterrupto.
Clique no botão Reproduzir na figura para iniciar a animação.
Na animação:
1. PC1 envia um quadro de broadcast para o switch S2.
2. Quando o S2 recebe o quadro de broadcast, ele atualiza sua tabela de endereços MAC
para registrar que o PC1 está disponível na porta F0/11.
3. Como se trata de um quadro de broadcast, o S2 encaminha o quadro para todas as

portas de switch, inclusive o Tronco1 e o Tronco2.
4. Quando o quadro de broadcast chega aos switches S3 e S1, eles atualizam suas
tabelas de endereços MAC para indicar que PC1 está disponível na porta F0/1 em S1 e
porta F0/2 em S3.
5. Como se trata de um quadro de broadcast, S3 e S1 o encaminham para todas as portas

de switch, exceto a porta na qual eles receberam o quadro.
6. S3 envia, então, o quadro para S1 e vice-versa. Cada switch atualiza sua tabela de
endereços MAC com a porta incorreta para PC1.
7. Cada switch encaminha o quadro de broadcast novamente para todas as suas portas,
exceto aquela pela qual ele chegou, resultando no encaminhamento do quadro para S2
em ambos os switches.
8. Quando S2 recebe os quadros de broadcast de S3 e S1, a tabela de endereços MAC é

atualizada mais uma vez, neste momento com a última entrada recebida dos outros dois
switches.
Este processo se repete inúmeras vezes até que o loop seja interrompido pela
desconexão física das portas causadoras ou pelo desligamento de um dos switches no
loop.
Os loops resultam em uma carga de CPU alta em todos os switches envolvidos. Como
os mesmos quadros estão sendo encaminhados constantemente de um lado para outro
entre todos os switches, a CPU dos equipamentos acaba tendo que processar muitos
dados. Isto reduz a velocidade de desempenho no switch quando para o tráfego
necessário.
Um host envolvido em um loop de rede não pode ser acessado por outros hosts na rede.
Como a tabela de endereços MAC está constantemente mudando com as atualizações
dos quadros de broadcast, o switch não sabe para qual porta encaminhar os quadros de
unicast para alcançar o destino final. Os quadros de unicast também param de sofrer
loop na rede. Como os quadros param cada vez mais de sofrer o loop na rede, ocorre
uma broadcast storm.
Página 2:
Broadcast storms
Uma broadcast storm ocorre quando existem tantos quadros de broadcast presentes em
um loop de Camada 2 que toda a largura de banda disponível é consumida.
Conseqüentemente, não há nenhuma largura de banda disponível para tráfego legítimo e
a rede fica indisponível para a comunicação de dados.
Uma broadcast storm é inevitável em uma rede com loops. À medida que mais
dispositivos enviam broadcasts na rede, cada vez mais tráfego é adicionado ao loop,
criando eventualmente uma broadcast storm que causa a falha da rede.
Existem outras conseqüências das broadcast storms. Como o tráfego de broadcast é

encaminhado para todas as portas em um switch, todos os dispositivos conectados têm
que processar esse tráfego que está sendo inundado interminavelmente pela rede com
loops. Isto pode levar à falha de funcionamento do dispositivo devido aos requisitos de
alto processamento para sustentar uma carga tão alta de tráfego na placa de rede.
Na animação:
1. PC1 envia um quadro de broadcast para a rede com loops.
2. O quadro de broadcast acaba sofrendo loops entre todos os switches interconectados

na rede.
3. PC4 também envia um quadro de broadcast para a rede com loops.
4. O quadro de broadcast do PC4 também é capturado no loop e sofre loops entre todos
os switches interconectados, da mesma forma que o quadro de broadcast do PC1.
5. À medida que cada vez mais quadros de broadcast são enviados na rede por outros
dispositivos, mais tráfego é capturado no loop, resultando eventualmente em uma
broadcast storm.
6. Quando a rede estiver completamente saturada com o tráfego de broadcast sofrendo

loop entre os switches, novos tráfegos serão descartados pelo switch porque ele não será
capaz de processá-los.
Como os dispositivos conectados a uma rede enviam constantemente quadros de

broadcast, tais como solicitações de ARP, uma broadcast storm pode se desenvolver em
segundos. Como resultado, quando um loop é criado, a rede é desabilitada rapidamente.
Página 3:
Quadros de unicast duplicados
Os quadros de broadcast não são o único tipo de quadro afetado por loops. Quadros de
unicast enviados em uma rede com loops podem resultar na chegada de quadros
duplicados ao dispositivo de destino.
Na animação:
1. PC1 envia um quadro de unicast destinado ao PC4.
2. O switch S2 não possui uma entrada para PC4 em sua tabela de MAC, assim ele
envia o quadro de unicast para todas as portas de switch na tentativa de localizar o PC4.
3. O quadro chega aos switches S1 e S3.
4. S1 possui uma entrada de endereço MAC para PC4, assim ele encaminha o quadro
para PC4.
5. S3 também possui uma entrada em sua tabela de endereços MAC para PC4, desse
modo ele encaminha o quadro de unicast pelo Tronco3 para S1.
6. S1 recebe o quadro duplicado e, mais uma vez, o encaminha para PC4.
7. PC4 recebe agora o mesmo quadro duas vezes.

A maioria dos protocolos de camada superior não foi criada para reconhecer ou lidar
com transmissões duplicadas. Em geral, os protocolos que utilizam um mecanismo de
numeração de seqüência presumem que a transmissão falhou e que o número de
seqüência foi reciclado para outra sessão de comunicação. Outros protocolos tentam
entregar a transmissão duplicada ao protocolo de camada superior apropriado para que
ela seja processada e possivelmente descartada.
Felizmente, os switches são capazes de detectar loops em uma rede. O Protocolo

Spanning Tree (STP) elimina estes problemas de loop. Você aprenderá sobre o STP na
próxima seção.
5.1.3 Problemas de redundância do mundo real
Página 1:
Loops no wiring closet
A redundância é um componente importante de uma topologia de rede hierárquica

altamente disponível, mas podem surgir loops como resultado dos diversos caminhos
configurados na rede. Você pode impedir os loops utilizando o Protocolo Spanning Tree
(STP). Entretanto, se o STP não foi implementado na preparação para uma topologia
redundante, podem ocorrer loops inesperadamente.
O cabeamento de redes para pequenos e médios negócios pode tornar-se muito confuso.
Cabos de rede entre os switches de camada de acesso, situados nos wiring closets,
desaparecem nas paredes, nos pisos e nos tetos onde eles voltam para os switches de
camada de distribuição na rede. Se os cabos de rede não receberem os rótulos
adequados quando forem finalizados no patch panel no wiring closet, será difícil
determinar onde está o destino para a porta do patch panel na rede. São comuns os loops
de rede resultantes de conexões duplicadas acidentais nos wiring closets.
Clique no botão Loop de duas conexões com o mesmo switch na figura.
O exemplo exibe um loop que ocorre se duas conexões do mesmo switch forem
conectadas a outro switch. O loop está localizado nos switches que estão
interconectados. Entretanto, o loop afeta o resto da rede devido ao alto encaminhamento
de broadcast, que alcança todos os outros switches na rede. O impacto nos outros
switches pode não ser suficiente para romper as comunicações legítimas, mas pode
afetar consideravelmente o desempenho geral dos outros switches.
Este tipo de loop é comum no wiring closet. Isto acontece quando um administrador
acidentalmente conecta um cabo ao mesmo switch para o qual ele já está conectado. Isto
normalmente ocorre quando os cabos de rede não recebem os rótulos ou os recebem de
modo errado, ou quando o administrador não conferiu com calma onde os cabos estão
conectados.
Há uma exceção para este problema. Um EtherChannel é um agrupamento de portas

Ethernet em um switch que age como uma única conexão de rede lógica. Como o switch
trata as portas configuradas para o EtherChannel como um único link de rede, os loops
não são possíveis. A configuração dos EtherChannels está além do escopo deste curso.
Caso você queira saber mais sobre os EtherChannels, visite:
http://www.cisco.com/en/US/tech/tk389/tk213/technologies_white_paper09186a008009
2944.shtml (em inglês)
Clique no botão Loop de uma conexão com um segundo switch na mesma rede na
figura.
O exemplo mostra um loop que ocorre se um switch for conectado a dois switches
diferentes que estão interconectados em uma rede. O impacto deste tipo de loop é muito
maior, pois afeta mais switches diretamente.
Página 2:
Loops nos cubículos
Devido às conexões insuficientes de dados de rede, alguns usuários finais possuem um

hub ou switch pessoal localizado em seu ambiente de trabalho. Em vez de incorrer os
custos de executar conexões de dados de rede adicionais no espaço de trabalho, um hub
ou switch simples é conectado a uma conexão de rede existente, permitindo que todos
os dispositivos conectados ao hub ou switch pessoal obtenham acesso à rede.
Os wiring closets são normalmente protegidos para impedir o acesso não autorizado.
Dessa forma, o administrador de rede geralmente é o único que possui total controle
sobre como e quais dispositivos são conectados à rede. Diferentemente do wiring closet,
o administrador não tem o controle de como os hubs e switches pessoais estão sendo
utilizados ou conectados, então o usuário final pode interconectar os switches ou hubs
acidentalmente.
Clique no botão Loop de dois hubs interconectados na figura.
No exemplo, os dois hubs de usuário estão interconectados, resultando em um loop de

rede. O loop interrompe a comunicação entre todos os dispositivos conectados ao switch
S1.
5.2 Introdução ao STP

5.2.1 O algoritmo spanning tree
Página 1:
Topologia de STP
A redundância aumenta a disponibilidade da topologia de rede protegendo a rede de um

único ponto de falha, como um cabo de rede ou um switch com defeito. Quando a
redundância é introduzida em um design de Camada 2, podem ocorrer loops e quadros
duplicados. Os loops e os quadros duplicados podem trazer graves conseqüências a uma
rede. O Protocolo spanning tree (STP, Spanning Tree Protocol) foi desenvolvido para
resolver estes problemas.
O STP assegura que haja somente um caminho lógico entre todos os destinos na rede
fazendo o bloqueio intencional dos caminhos redundantes que poderiam causar um
loop. Uma porta é considerada bloqueada quando o tráfego da rede é impedido de entrar
ou deixar aquela porta. Isto não inclui os quadros da unidade de dados de protocolo de
bridge (BPDU, bridge protocol data unit) que são utilizados pelo STP para impedir
loops. Você obterá mais informações sobre os quadros de BPDU de STP posteriormente
no capítulo. Bloquear os caminhos redundantes é essencial para impedir loops na rede.
Os caminhos físicos ainda existem para fornecer a redundância, mas estes caminhos são
desabilitados para impedir a ocorrência de loops. Se o caminho for necessário em algum
momento para compensar a falha de um cabo de rede ou switch, o STP recalcula os
caminhos e desbloqueia as portas necessárias para permitir que o caminho redundante
fique ativo.
No exemplo, todos os switches estão com o STP habilitado:
1. PC1 envia um broadcast para a rede.
2. O switch S3 é configurado com o STP e define a porta do Trunk2 para um estado de

bloqueio. O estado de bloqueio impede que as portas sejam utilizadas para encaminhar o
tráfego do switch, impedindo a ocorrência de um loop. O switch S2 encaminha um
quadro de broadcast para todas as portas do switch, exceto a porta de origem do PC1, e
a porta no Trunk2, que leva à porta bloqueada em S3.
3. O switch S1 recebe o quadro de broadcast e o encaminha a todas as suas portas de

switch, onde ele chega ao PC4 e S3. O S3 não encaminha o quadro de volta a S2 pelo
Trunk2 por causa da porta bloqueada. O loop de Camada 2 é impedido.
Clique no botão STP compensa a falha da rede na figura e clique em Reproduzir

para iniciar a animação.
Neste exemplo:
1. PC1 envia um broadcast para a rede.
2. O broadcast é então encaminhado pela rede, assim como na animação anterior.
3. O link de trunk entre o switch S2 e o switch S1 falha, resultando na interrupção do

caminho anterior.
4. O switch S3 desbloqueia a porta bloqueada anteriormente para o Trunk2 e permite

que o tráfego de broadcast atravesse o caminho alternativo para a rede, permitindo que a
comunicação continue. Se este link ficar novamente ativo, o STP será reconvergido e a
porta em S3 será bloqueada novamente.
O STP impede que os loops ocorram configurando um caminho sem loops pela rede,
utilizando portas de estado de bloqueio estrategicamente posicionadas. Os switches que
executam o STP são capazes de compensar as falhas desbloqueando dinamicamente as
portas bloqueadas anteriormente e permitindo que o tráfego atravesse os caminhos
alternativos. O próximo tópico descreve como o STP realiza este processo
automaticamente.
Página 2:
Algoritmo STP
O STP utiliza o Algoritmo spanning tree (STA, Spanning Tree Algorithm) para
determinar quais portas de switch em uma rede precisam ser configuradas para bloqueio
a fim de impedir a ocorrência de loops. O STA designa um único switch como a bridge
raiz e o utiliza como ponto de referência para todos os cálculos de caminho. Na figura, a
bridge raiz, switch S1, é escolhida através de um processo de escolha. Todos os
switches que participam de STP trocam quadros de BPDU para determinar qual switch
possui a ID de bridge (BID) mais baixa na rede. O switch com o BID mais baixo se
torna automaticamente a bridge raiz para os cálculos de STA. O processo de escolha de
bridge raiz será discutido em detalhes posteriormente neste capítulo.
O BPDU é o quadro de mensagem trocado pelos switches para STP. Cada BPDU
contém um BID que identifica o switch que enviou o BPDU. O BID contém um valor
de prioridade, o endereço MAC do switch de envio, e uma ID de sistema estendido
opcional. Determina-se o valor de BID mais baixo através da combinação destes três
campos. Você obterá mais informações sobre a bridge raiz, BPDU e BID em tópicos
posteriores.
Depois que a bridge raiz tiver sido determinada, o STA calcula o caminho mais curto
para a bridge raiz. Cada switch utiliza o STA para determinar quais portas bloquear.
Enquanto o STA determina os melhores caminhos para a bridge raiz para todos os
destinos no domínio de broadcast, todo o tráfego é impedido de ser encaminhado pela
rede. O STA considera ambos os custos do caminho e porta ao determinar qual caminho
permanecerá desbloqueado. Um custo do caminho é calculado utilizando os valores de
custo de porta associados com as velocidades de cada porta de switch ao longo de um
determinado caminho. A soma dos valores de custo de porta determina o custo de
caminho geral para a bridge raiz. Se houver mais de um caminho a ser escolhido, o STA
escolherá o caminho com o custo de caminho mais baixo. Você obterá mais
informações sobre os custos de caminho e porta em tópicos posteriores.
Quando o STA determinar quais caminhos permanecerão disponíveis, ele configurará as

portas do switch em diferentes funções . As funções de porta descrevem sua relação na
rede até a bridge raiz e se elas podem encaminhar o tráfego.
Portas raiz - As portas de switch mais próximas da bridge raiz. No exemplo, a porta
raiz no switch S2 é F0/1 configurada para o link de trunk entre o switch S2 e o switch
S1. A porta raiz no switch S3 é F0/1, configurada para o link de trunk entre o switch S3
e o switch S1.
Portas designadas - Todas as portas não-raiz que ainda podem encaminhar o tráfego na
rede. No exemplo, as portas F0/1 e F0/2 no switch S1 são portas designadas. O switch
S2 também está com sua porta F0/2 configurada como uma porta designada.
Portas não-designadas - Todas as portas configuradas a um estado de bloqueio para

impedir loops. No exemplo, o STA configurou a porta F0/2 no switch S3 na função não-
designada. A porta F0/2 no switch S3 está no estado de bloqueio.
Você obterá mais informações sobre as funções de porta em um tópico posterior.
Página 3:
A bridge raiz
Toda instância de spanning tree (rede local comutada ou domínio de broadcast) possui
um switch designado como bridge raiz. A bridge raiz serve como um ponto de
referência para que todos os cálculos de spanning tree determinem quais caminhos
redundantes bloquear.
Um processo de escolha determina qual switch se torna a bridge raiz.
Clique no botão Campos de BID na figura.
A figura mostra os campos de BID. Os detalhes de cada campo de BID são discutidos
posteriormente, mas convém saber agora que o BID é determinado a partir de um valor
de prioridade, de uma ID de sistema estendido e do endereço MAC do switch.
Todos os switches no domínio de broadcast participam do processo de escolha. Depois

de um switch ser inicializado, ele envia os quadros de BPDU contendo o BID do switch
e a ID de raiz a cada 2 segundos. Por padrão, a ID de raiz corresponde ao BID local para
todos os switches na rede. A ID de raiz identifica a bridge raiz na rede. Inicialmente,
cada switch identifica-se como a bridge raiz depois de ser inicializado.
Conforme os switches encaminham seus quadros de BPDU, os switches adjacentes no

domínio de broadcast lêem as informações da ID de raiz do quadro de BPDU. Se a ID
de raiz do BPDU recebido for mais baixa do que a ID de raiz do switch de recebimento,
este atualizará sua ID de raiz identificando o switch adjacente como a bridge raiz. Nota:
Pode não ser um switch adjacente, mas qualquer outro switch no domínio de broadcast.
O switch encaminha então os novos quadros de BPDU com a ID de raiz mais baixa aos
outros switches adjacentes. O switch com o BID mais baixo acaba eventualmente sendo
identificado como a bridge raiz para a instância de spanning tree.
Página 4:
Melhores caminhos para a bridge raiz
Quando a bridge raiz for designada para a instância de spanning tree, o STA iniciará o
processo de determinar os melhores caminhos para a bridge raiz de todos os destinos no
domínio de broadcast. As informações de caminho são determinadas somando os custos
de portas individuais ao longo do caminho, desde o destino até a bridge raiz.
Os custos de porta padrão são definidos pela velocidade na qual a porta opera. Na
tabela, você pode ver que as portas Ethernet de 10 Gb/s possuem um custo de 2, as
portas Ethernet de 1 Gb/s possuem um custo de 4, as portas Fast Ethernet de 100 Mb/s
têm um custo de 19 e as portas Ethernet de10 Mb/s têm um custo de 100.
Nota: O IEEE define os valores de custo de porta utilizados pelo STP. Conforme
tecnologias de Ethernet mais recentes e rápidas entram no mercado, os valores de custo
de caminho podem ser alterados para acomodar as diferentes velocidades disponíveis.
Os números não lineares acomodam algumas melhorias ao padrão da Ethernet, mas
esteja ciente de que os números podem ser alterados pelo IEEE caso seja necessário. Na
tabela, os valores já foram alterados para acomodar o mais novo padrão de Ethernet de
10 Gb/s.
Embora as portas de switch possuam um custo de porta padrão associado a elas, este
custo é configurável. A capacidade de configurar os custos de portas individuais
proporciona ao administrador a flexibilidade para controlar os caminhos de spanning
tree até a bridge raiz.
Clique no botão Configurando os custos de porta na figura.
Para configurar o custo de porta de uma interface, digite o comando spanning-tree cost
value no modo de configuração de interface. O range value (valor do intervalo) pode
estar entre 1 e 200.000.000.
No exemplo, a porta de switch F0/1 foi configurada com o custo de porta de 25

utilizando o comando de configuração de interface spanning-tree cost 25 na interface
F0/1.
Para reverter o custo de porta de volta para o valor padrão, digite o comando de
configuração de interface no spanning-tree cost.
Clique no botão Custos de caminho na figura.
O custo de caminho é a soma de todos os custos de porta ao longo do caminho até a

bridge raiz. Os caminhos com o custo mais baixo tornam-se os preferidos e todos os
outros caminhos redundantes são bloqueados. No exemplo, o caminho de custo do
switch S2 ao S1 da bridge raiz pelo caminho 1 é 19 (baseado no custo de porta
individual especificado pelo IEEE), enquanto o custo de caminho pelo caminho 2 é 38.
Como o caminho 1 possui um custo de caminho geral mais baixo para a bridge raiz, ele
é o preferido. O STP configura então o caminho redundante para que ele seja
bloqueado, impedindo a ocorrência de um loop.
Clique no botão Verificar custos de porta e caminho na figura.
Para verificar o custo de porta e caminho para a bridge raiz, digite o comando de modo
EXEC privilegiado show spanning-tree. O campo Custo na saída de dados é o custo de
caminho total para a bridge raiz. Este valor muda dependendo de quantas portas de
switch precisem ser atravessadas para que se chegue à bridge raiz. Na saída de dados,
cada interface também é identificada com um custo de porta individual de 19.
Outro comando para explorar é o de modo EXEC privilegiado show spanning-tree

detail.
5.2.2 BPDU de STP
Página 1:
Os campos BPDU
No tópico anterior, você aprendeu que o STP determina uma bridge raiz para a instância
de spanning tree trocando BPDUs. Neste tópico, você aprenderá os detalhes do quadro
de BPDU e como ele facilita o processo de spanning tree.
O quadro de BPDU contém 12 campos distintos que são utilizados para comunicar
informações de caminho e prioridade que o STP utiliza para determinar a bridge raiz e
os caminhos para a bridge raiz.
Passe o mouse sobre os Campos BPDU na figura para saber o que eles contêm.
 Os primeiros quatro campos identificam o protocolo, a versão, o tipo de

mensagem e os flags de status.
 Os quatro campos seguintes são utilizados para identificar a bridge raiz e o custo
do caminho para a bridge raiz.
 Os últimos quatro campos são todos campos de temporizador, que determinam
com que freqüência as mensagens de BPDU são enviadas e por quanto tempo as
informações recebidas pelo processo de BPDU (próximo tópico) são retidas. A
função dos campos de temporizador será abordada posteriormente em mais
detalhes neste curso.
Clique no botão Exemplo de BPDU na figura.
O exemplo na figura foi capturado utilizando o Wireshark. No exemplo, o quadro de

BPDU contém mais campos do que o descrito anteriormente. A mensagem de BPDU é
encapsulada em um quadro Ethernet quando ela é transmitida através da rede. O
cabeçalho 802.3 indica os endereços de origem e destino do quadro de BPDU. Este
quadro possui um endereço MAC de destino de 01:80:C2:00:00:00, que é um endereço
de multicast para o grupo de spanning tree. Quando um quadro é mencionado com este
endereço MAC, cada switch que está configurado para spanning tree aceita e lê as
informações do quadro. Utilizando este endereço de grupo multicast, todos os outros
dispositivos na rede que recebem este quadro o desconsideram.
No exemplo, a ID de raiz e o BID são os mesmos no quadro de BPDU capturado. Isto

indica que o quadro foi capturado de um switch de bridge raiz.
Os temporizadores estão todos definidos com seus valores padrão.
Página 2:
O processo BPDU
Cada switch no domínio de broadcast presume inicialmente que é a bridge raiz para a
instância de spanning tree, desse modo os quadros de BPDU enviados contêm o BID do
switch local como a ID de raiz. Por padrão, os quadros de BPDU são enviados a cada 2
segundos depois de um switch ser inicializado; ou seja, o valor padrão do temporizador
hello especificado no quadro de BPDU é de 2 segundos. Cada switch mantém as
informações locais sobre seu próprio BID, ID de raiz e o custo de caminho para a raiz.
Quando os switches adjacentes recebem um quadro de BPDU, eles comparam a ID de

raiz do quadro de BPDU com a ID de raiz local. Se a ID de raiz no BPDU for mais
baixa do que a ID de raiz local, o switch atualiza a ID de raiz local e a ID em suas
mensagens de BPDU. Estas mensagens servem para indicar a nova bridge raiz na rede.
Além disso, o custo de caminho é atualizado para indicar a distância da bridge raiz. Por
exemplo, se o BPDU foi recebido em uma porta de switch Fast Ethernet, o custo de
caminho seria definido como 19. Se a ID de raiz local for inferior à ID de raiz recebida
no quadro de BPDU, o quadro de BPDU será descartado.
Depois que uma ID de raiz for atualizada para identificar uma nova bridge raiz, todos os
quadros de BPDU subseqüentes enviados daquele switch conterão a nova ID de raiz e o
custo de caminho atualizado. Desse modo, todos os outros switches adjacentes podem
ver a ID de raiz mais baixa sempre identificada. Como os quadros de BPDU passam
entre outros switches adjacentes, o custo de caminho é atualizado continuamente para
indicar o custo de caminho total até a bridge raiz. Cada switch no spanning tree utiliza
seus custos de caminho para identificar o melhor caminho possível para a bridge raiz.
Clique em cada etapa na figura para aprender sobre o processo de BPDU.
Segue um resumo do processo de BPDU:
Nota: A prioridade é o fator decisivo inicial ao escolher uma bridge raiz. Se a prioridade
de todos os switches fosse a mesma, o endereço MAC seria o fator decisivo.
Etapa 1. Inicialmente, cada switch se identifica como a bridge raiz. O switch S2

encaminha os quadros de BPDU para todas as portas de switch.
Etapa 2. Quando o switch S3 recebe um BPDU do switch S2, ele compara sua ID de
raiz com o quadro de BPDU que recebeu. As prioridades são iguais, desse modo o
switch é forçado a examinar a parte de endereço MAC para determinar qual endereço
MAC possui um valor inferior. Como o S2 possui um valor de endereço MAC inferior,
S3 atualiza sua ID de raiz com a ID de raiz de S2. Neste ponto, S3 considera S2 como a
bridge raiz.
Etapa 3. Quando S1 compara sua ID de raiz com a ID no quadro de BPDU recebido,

ele identifica a ID de raiz local como o valor inferior e descarta o BPDU de S2.
Etapa 4. Quando S3 envia seus quadros de BPDU, a ID de raiz contida no quadro de

BPDU é a de S2.
Etapa 5. Quando S2 recebe o quadro de BPDU, ele o descarta depois de verificar que a
ID de raiz no BPDU correspondeu à sua ID de raiz local.
Etapa 6. Como S1 tem um valor de prioridade inferior em sua ID de raiz, ele descarta o
quadro de BPDU recebido de S3.
Etapa 7. S1 envia seus quadros de BPDU.
Etapa 8. S3 identifica a ID de raiz no quadro de BPDU como tendo um valor inferior e,

portanto, atualiza seus valores de ID de raiz para indicar que S1 é agora a bridge raiz.
Etapa 9. S2 identifica a ID de raiz no quadro de BPDU como tendo um valor inferior e,

portanto, atualiza seus valores de ID de raiz para indicar que S1 é agora a bridge raiz.
5.2.3 ID de bridge
Página 1:
Campos BID
A ID de bridge (BID) é utilizada para determinar a bridge raiz em uma rede. Este tópico
descreve o que compõe um BID e como configurá-lo em um switch para influenciar o
processo de escolha a fim de assegurar que switches específicos sejam atribuídos à
função de bridge raiz na rede.
O campo BID de um quadro de BPDU contém três campos separados: prioridade de

bridge, a ID de sistema estendido e o endereço MAC. Cada campo é utilizado durante a
escolha de bridge raiz.
Prioridade de bridge
A prioridade de bridge é um valor personalizável que você pode utilizar para influenciar
qual switch se torna a bridge raiz. O switch com a prioridade mais baixa, que significa o
BID mais baixo, se torna a bridge raiz (quanto menor for o valor de prioridade, maior a
prioridade). Por exemplo, para assegurar que um switch específico seja sempre a bridge
raiz, você define a prioridade como um valor inferior do que o resto dos switches na
rede. O valor padrão para a prioridade de todos os switches da Cisco é 32768. O
intervalo de prioridade está entre 1 e 65536; portanto, 1 é a prioridade mais alta.
ID de sistema estendido
Conforme mostrado no exemplo, a ID de sistema estendido pode ser omitida em

quadros de BPDU em certas configurações. A implementação inicial de STP foi criada
para redes que não utilizam VLANs. Havia um único spanning tree comum em todos os
switches. Quando as VLANs começaram a ficar comuns para a segmentação de infra-
estrutura de rede, o STP foi aprimorado para incluir suporte para VLANs. Como
resultado, o campo de ID do sistema estendido contém a ID da VLAN com a qual o
BPDU está associado.
Quando a ID de sistema estendido é utilizada, ela altera o número de bits disponíveis

para o valor de prioridade de bridge, assim o aumento para o valor de prioridade de
bridge varia de 1 até 4096. Portanto, os valores de prioridade de bridge somente podem
ser múltiplos de 4096.
O valor de ID de sistema estendido é adicionado ao valor de prioridade de bridge no

BID para identificar a prioridade e a VLAN do quadro de BPDU.
Você aprenderá sobre o protocolo spanning tree de VLAN(per VLAN spanning tree,
PVST) em uma seção posterior deste capítulo.
Endereço MAC
Quando dois switches são configurados com a mesma prioridade e possuem a mesma
ID de sistema estendido, o switch com o endereço MAC com o valor hexadecimal mais
baixo tem o BID mais baixo. Inicialmente, todos os switches são configurados com o
mesmo valor de prioridade padrão. O endereço MAC é, então, o fator decisivo com
relação ao qual o switch vai se tornar a bridge raiz. Isto resulta em uma escolha
imprevisível pela bridge raiz. Recomenda-se configurar o switch de bridge raiz desejado
com uma prioridade inferior para assegurar que ele seja a bridge raiz escolhida. Isto
também garante que a adição de novos switches à rede não dispare uma nova escolha de
spanning tree, o que poderia interromper a comunicação da rede enquanto uma nova
bridge raiz estiver sendo selecionada.
Clique no botão Decisão baseada em prioridade na figura.
No exemplo, S1 possui uma prioridade mais baixa que a dos outros switches; portanto,
é a bridge raiz preferida para aquela instância de spanning tree.
Clique no botão Decisão baseada no Endereço MAC na figura.
Quando todos os switches estão configurados com a mesma prioridade, como é o caso
com todos os switches mantidos na configuração padrão, com uma prioridade de 32768,
o endereço MAC se torna o fator decisivo pelo qual um switch se torna a bridge raiz.
Nota: No exemplo, a prioridade de todos os switches é 32769. O valor é baseado na

prioridade padrão de 32768 e na atribuição de VLAN 1 associada a cada switch
(1+32768).
O endereço MAC com o valor hexadecimal mais baixo é considerado a bridge raiz
preferida. No exemplo, S2 tem o valor mais baixo para seu endereço MAC e é
designado, portanto, como a bridge raiz para aquela instância de spanning tree.
Página 2:
Configurar e verificar o BID
Quando um switch específico deve tornar-se a bridge raiz, o valor de prioridade da

bridge precisará ser ajustado para assegurar que ele seja mais baixo do que os valores de
prioridade de bridge de todos os outros switches na rede. Existem dois métodos de
configuração diferentes que você pode utilizar para configurar o valor de prioridade de
bridge em um switch Cisco Catalyst.
Método 1 - Para assegurar que o switch tenha o valor de prioridade mais baixo, utilize o
comando spanning-tree vlan vlan-id root primary no modo de configuração global. A
prioridade para o switch é estabelecida como o valor pré-definido de 24576 ou para o
valor de diminuição de 4096 seguinte, abaixo da prioridade de bridge mais baixa
detectada na rede.
Se uma bridge raiz alternativa for desejada, utilize o comando do modo de configuração
global spanning-tree vlan vlan-id root secondary. Este comando define a prioridade
para o switch ao valor pré-definido de 28672. Isto assegura que este switch se tornará a
bridge raiz no caso de a bridge raiz inicial falhar e caso ocorra uma nova escolha de
bridge raiz e supondo que o resto dos switches na rede tenha o valor de prioridade
padrão de 32768 definido.
No exemplo, o switch S1 foi atribuído como a bridge raiz primária utilizando o

comando do modo de configuração global spanning-tree vlan 1 root primary; e o
switch S2 foi configurado como a bridge raiz secundária utilizando o comando do modo
de configuração global spanning-tree vlan 1 root secondary.
Método 2 - Outro método para configurar o valor de prioridade de bridge é utilizar o

comando do modo de configuração global spanning-tree vlan vlan-id priority value.
Este comando proporciona um maior controle granular sobre o valor de prioridade de
bridge. O valor de prioridade é configurado em acréscimos de 4096 entre 0 e 65536.
No exemplo, o switch S3 recebeu um valor de prioridade de bridge de 24576 utilizando

o comando do modo de configuração global spanning-tree vlan 1 priority 24576.
Clique no botão Verificação na figura.
Para verificar a prioridade de bridge de um switch, utilize o comando do modo EXEC

privilegiado show spanning-tree. No exemplo, a prioridade do switch foi definida em
24576. Observe também que o switch está designado como a bridge raiz para a instância
de spanning tree.
5.2.4 Funções de porta
Página 1:
Funções de porta
A bridge raiz é escolhida para a instância de spanning tree. O local da bridge raiz na
topologia de rede determina como as funções de porta são calculadas. Este tópico
descreve como as portas de switch são configuradas para as funções específicas a fim de
impedirem a possibilidade de loops na rede.
Existem quatro funções de porta diferentes nas quais as portas de switch são
automaticamente configuradas durante o processo de spanning tree.
Porta raiz
A porta raiz existe em bridges não-raiz. Trata-se da porta de switch com o melhor
caminho para a bridge raiz. Asportas raiz encaminham o tráfego para a bridge raiz. O
endereço MAC de origem dos quadros recebido na porta raiz é capaz de preencher a
tabela de MAC. Somente uma porta raiz é permitida por bridge.
No exemplo, o switch S1 é a bridge raiz e os switches S2 e S3 possuemportas raiz

definidas nos links de tronco, conectando-se de volta a S1.
Porta designada
A porta designada existe em bridges de raiz e não-raiz. Para bridges de raiz, todas as
portas de switch são portas designadas. Para bridges não-raiz, uma porta designada é a
porta de switch que recebe e encaminha os quadros para a bridge raiz conforme o
necessário. Permite-se somente uma porta designada por segmento. Se vários switches
existirem no mesmo segmento, um processo de escolha determinará o switch designado
e a porta de switch correspondente começará a encaminhar quadros para o segmento. As
portas designadas são capazes de preencher a tabela de MAC.
No exemplo, o switch S1 possui ambos os conjuntos de portas para seus dois links de
tronco configurados como portas designadas. O switch S2 possui uma porta designada
configurada no link de tronco que vai para o switch S3.
Porta não designada
A porta não-designada é uma porta de switch que está bloqueada, assim ela não
encaminha estruturas de dados e não preenche a tabela de endereços MAC com
endereços de origem. Uma porta não-designada não é uma porta raiz ou uma porta
designada. Para algumas variantes de STP, a porta não-designada é chamada de porta
alternativa.
No exemplo, o switch S3 possui as únicas portas não-designadas na topologia. As portas

não-designadas impedem a ocorrência de loops.
Porta desabilitada
A porta desabilitada é uma porta de switch que está administrativamente desligada.

Uma porta desabilitada não funciona no processo de spanning tree. Não existem portas
desabilitadas no exemplo.
Página 2:
Funções de porta
O STA determina qual função de porta é atribuída a cada porta de switch.
Ao determinar a porta raiz em um switch, o switch compara os custos de caminho em

todas as portas de switch que participam do spanning tree. A porta de switch com o
custo de caminho geral mais baixo para a raiz é atribuída automaticamente à função de
raiz, pois ela está mais perto da bridge raiz. Em uma topologia de rede, todos os
switches que estão utilizando o spanning tree, com exceção da bridge raiz, possuem
uma única porta raiz definida.
Quando existem duas portas de switch que possuem o mesmo custo de caminho para a
bridge raiz e ambas são o caminho com custo mais baixo no switch, o switch precisa
determinar qual porta de switch é a porta raiz. O switch utiliza o valor de prioridade de
porta personalizável, ou a ID de porta mais baixa, se os valores de prioridade de porta
forem os mesmos.
A ID de porta é a ID de interface da porta de switch. Por exemplo, a figura mostra
quatro switches. As portas F0/1 e F0/2 no switch S2 possuem o mesmo valor de custo
de caminho de volta para a bridge raiz. Entretanto, a porta F0/1 no switch S2 é a porta
preferida porque possui um valor de ID de porta mais baixo.
A ID de porta é adicionada à prioridade de porta. Por exemplo, a porta de switch F0/1

possui um valor de prioridade de porta padrão de 128.1, onde 128 é o valor de
prioridade de porta configurável e .1 é a ID da porta. A porta de switch F0/2 possui um
valor de prioridade de porta de 128.2, por padrão.
Página 3:
Configurar prioridade de porta
Você pode configurar o valor de prioridade de porta utilizando o comando do modo de

configuração de interface spanning-tree port-priority value. Os valores de prioridade
de porta variam de 0 a 240, em acréscimos de 16. O valor de prioridade de porta padrão
é 128. Da mesma forma que acontece com a prioridade de bridge, os valores de
prioridade de porta mais baixos conferem à porta uma maior prioridade.
No exemplo, a prioridade de porta para a porta F0/1 foi definida em 112, que está
abaixo da prioridade de porta padrão de 128. Isto garante que esta porta seja a porta
preferida ao competir com outra porta para uma função de porta específica.
Quando o switch decidir utilizar uma porta em vez de outra porta raiz, a outra é
configurada como uma porta não-designada para impedir a ocorrência de um loop.
Página 4:
Decisões de função de porta
No exemplo, o switch S1 é a bridge raiz. Os switches S2 e S3 possuemportas raiz

configuradas para as portas que se conectam de volta a S1.
Depois que um switch determina qual de suas portas é configurada na função de porta
raiz, ele precisa decidir quais portas possuem as funções de designadas e não-
designadas.
A bridge raiz configura automaticamente todas as suas portas de switch na função

designada. Outros switches na topologia configuram suas portas não-raiz como portas
designadas ou não-designadas.
As portas designadas são configuradas para todos os segmentos de rede local. Quando
são conectados dois switches ao mesmo segmento de rede local e asportas raiz já foram
definidas, os dois switches devem decidir qual porta fica configurada como a porta
designada e qual é deixada como a porta não-designada.
Os switches no segmento de rede local em questão trocam quadros de BPDU, que

contém o BID do switch. Geralmente, o switch com o BID mais baixo tem sua porta
configurada como uma porta designada, enquanto o switch com o BID mais alto tem
sua porta configurada como uma porta não-designada. Porém, lembre-se de que a
primeira prioridade é o custo de caminho mais baixo para a bridge raiz e que, somente
se os custos de porta forem iguais, o BID do remetente será utilizado.
Como resultado, cada switch determina quais funções de porta serão atribuídas a cada
uma de suas portas a fim de criar um spanning tree sem loops.
Clique em cada etapa na figura para saber como as funções de porta são
determinadas.
Página 5:
Verificando as funções de porta e prioridade de porta
Agora que o spanning tree determinou a topologia de rede lógica sem loop, talvez você
deseje confirmar quais funções de porta e prioridades de porta estão configuradas para
as diversas portas de switch na rede.
Para verificar as funções de porta e as prioridades de porta para as portas de switch,

utilize o comando de modo EXEC privilegiado show spanning-tree.
No exemplo, a saída de dados do comando show spanning-tree exibe todas as portas

do switch e suas funções definidas. As portas do switch F0/1 e F0/2 estão configuradas
como portas designadas. A saída de dados também exibe a prioridade de porta de cada
porta de switch. A porta de switch F0/1 possui uma prioridade de porta de 128.1.
5.2.5 Estados de porta de STP e temporizadores de BPDU
Página 1:
Estados de porta
O STP determina o caminho lógico sem loop ao longo do domínio de broadcast. O

spanning tree é determinado através das informações obtidas pela troca de quadros de
BPDU entre os switches interconectados. Para facilitar a obtenção do spanning tree
lógico, cada porta de switch muda através de cinco estados de porta possíveis e três
temporizadores de BPDU.
O spanning tree é determinado imediatamente depois que um switch acaba de ser

inicializado. Se uma porta de switch fosse fazer a transição diretamente do estado de
bloqueio para o estado de encaminhamento, a porta poderia criar temporariamente um
loop de dados se o switch não soubesse de todas as informações da topologia neste
momento. Por esta razão, o STP introduz cinco estados de porta. A tabela resume o que
faz cada estado de porta. Veja a seguir algumas informações adicionais sobre como os
estados de porta asseguram que nenhum loop seja criado durante a criação do spanning
tree lógico.
 Bloqueio - A porta é uma porta não-designada e não participa do

encaminhamento de quadros. Ela recebe quadros de BPDU para determinar o
local e a ID de raiz do switch de bridge raiz e quais funções de porta cada porta
de switch deve assumir na topologia de STP ativa final.
 Escuta - O STP determinou que a porta pode participar do encaminhamento de
quadros de acordo com os quadros de BPDU que o switch recebeu até o
momento. Neste momento, a porta de switch não só recebe quadros de BPDU,
como também transmite seus próprios quadros de BPDU e informa os switches
adjacentes de que a porta de switch está se preparando para participar da
topologia ativa.
 Aprendizagem - A porta se prepara para participar do encaminhamento de
quadros e começa a preencher a tabela de endereços MAC.
 Encaminhamento - A porta é considerada parte da topologia ativa e encaminha
quadros, bem como envia e recebe quadros de BPDU.
 Desabilitado - A porta de Camada 2 não participa de spanning tree e não
encaminha quadros. O estado desabilitado é definido quando a porta de switch é
desabilitada administrativamente.
Página 2:
Temporizadores de BPDU
A quantidade de tempo que uma porta permanece nos diversos estados de porta depende
dos temporizadores de BPDU. Somente o switch na função de bridge raiz pode enviar
informações por spanning tree para ajustar os temporizadores. Os seguintes
temporizadores determinam o desempenho de STP e as mudanças de estado:
 Tempo hello
 Atraso de encaminhamento
 Idade máxima
Clique no botão Funções e Temporizadores na figura.
Quando o STP está habilitado, cada porta de switch na rede passa pelo estado de
bloqueio e os estados transitórios de escuta e aprendizagem em atividade. As portas se
estabilizam então para o estado de encaminhamento ou bloqueio, conforme visto no
exemplo. Durante uma mudança de topologia, uma porta implementa temporariamente
os estados de escuta e aprendizagem por um período especificado chamado intervalo de
atraso de encaminhamento.
Estes valores permitem o tempo adequado para convergência em uma rede com um
diâmetro de switch de sete. Para revisar, o diâmetro de switch é o número de switches
que um quadro tem para atravessar para chegar dos dois pontos mais distantes no
domínio de broadcast. Um diâmetro de sete switches é o maior diâmetro que o STP
permite por causa dos tempos de convergência. A convergência em relação ao spanning
tree é o tempo necessário para recalcular o spanning tree se um switch ou link falhar.
Você aprenderá como a convergência funciona na próxima seção.
Clique no botão Configurar diâmetro de rede na figura.
Recomenda-se que os temporizadores de BPDU não sejam ajustados diretamente

porque os valores foram otimizados para o diâmetro de sete switches. O ajuste do valor
de diâmetro de spanning tree na bridge raiz para um valor inferior ajusta
automaticamente o atraso de encaminhamento e proporcionalmente os temporizadores
de idade máximos para o novo diâmetro. Normalmente, você não ajusta os
temporizadores de BPDU nem reconfigura o diâmetro de rede. Porém, se, depois de
uma pesquisa, um administrador de rede determinou que o tempo de convergência da
rede deve ser otimizado, o administrador o faria reconfigurando o diâmetro de rede, não
os temporizadores de BPDU.
Para configurar um diâmetro de rede diferente para o STP, utilize o comando do modo
de configuração global spanning-tree vlan vlan id root primary diameter value no
switch da bridge raiz.
No exemplo, o comando do modo de configuração global spanning-tree vlan 1 root

primary diameter 5 foi digitado para ajustar o diâmetro de spanning tree para cinco
switches.
Página 3:
Tecnologia Cisco PortFast
O PortFast é uma tecnologia da Cisco. Quando uma porta de switch configurada com o
PortFast é configurada como uma porta de acesso, aquela porta faz imediatamente a
transição do estado de bloqueio para o estado de encaminhamento, ignorando os estados
típicos de escuta e aprendizagem do STP. Você pode utilizar o PortFast em portas de
acesso, que são conectadas a uma única estação de trabalho ou servidor, para permitir
que esses dispositivos sejam conectados a uma rede imediatamente em vez de esperar
até que o spanning tree seja convergido. Se uma interface configurada com PortFast
recebe um quadro de BPDU, o spanning tree pode colocar a porta no estado de bloqueio
utilizando um recurso chamado proteção de BPDU. A configuração da proteção de
BPDU está além do escopo deste curso.
Nota: A tecnologia Cisco PortFast pode ser utilizada para suportar o DHCP. Sem o
PortFast, um PC pode enviar uma solicitação DHCP antes de a porta estar no estado de
encaminhamento, impedindo o host de adquirir um endereço IP utilizável e outras
informações. Como o PortFast altera imediatamente o estado para estado de
encaminhamento, o PC sempre obtém um endereço IP utilizável.
Para obter mais informações sobre como configurar a proteção de BPDU, consulte:
http://www.cisco.com/en/US/tech/tk389/tk621/technologies_tech_note09186a00800948
2f.shtml (em inglês).
Nota: Como o objetivo do PortFast é diminuir o tempo que as portas de acesso devem
esperar para que o spanning tree seja convergido, ele é utilizado somente nas portas de
acesso. Se você habilitar o PortFast em uma porta que se conecta a outro switch, existe
o risco de criar um loop de spanning tree.
Clique no botão Configurar PortFast na figura.

Para configurar o PortFast em uma porta de switch, digite o comando do modo de
configuração de interface spanning-tree portfast em cada interface em que o PortFast
deva ser habilitado.
Para desabilitar o PortFast, digite o comando do modo de configuração de interface no

spanning-tree portfast em cada interface em que o PortFast deva ser desabilitado.
Clique no botão Verificar PortFast na figura.
Para verificar se o PortFast foi habilitado para uma porta de switch, utilize o comando
do modo EXEC privilegiado show running-config. A ausência do comando spanning-
tree portfast na configuração de execução para uma interface indica que o PortFast foi
desabilitado para tal interface. PortFast está desabilitado por padrão em todas as
interfaces.
5.3 Convergência de STP
5.3.1 Convergência de STP
Página 1:
Etapas da convergência de STP
A seção anterior descreveu os componentes que permitem que o STP crie a topologia de
rede lógica sem loop. Nesta seção, você examinará o processo de STP inteiro, desde o
começo até o fim.
A convergência é um aspecto importante do processo de spanning tree. A convergência

é o tempo necessário para que a rede determine qual switch vai assumir a função de
bridge raiz, o tempo para que ela passe por todos os diferentes estados de porta e defina
todas as portas de switch a suas funções de porta de spanning tree finais, onde todos os
loops potenciais são eliminados. O processo de convergência demora para ser concluído
por causa dos diferentes temporizadores utilizados para coordenar o processo.
Para entender o processo de convergência de forma mais completa, ele foi dividido em
três etapas diferentes:
Etapa 1. Eleger uma bridge raiz
Etapa 2. Eleger portas raiz
Etapa 3. Eleger portas designadas e não designadas
O resto desta seção explora cada etapa no processo de convergência.
5.3.2 Etapa 1. Elegendo uma bridge raiz
Página 1:
Etapa 1. Elegendo uma bridge raiz

A primeira etapa do processo de convergência de spanning tree é eleger uma bridge
raiz. A bridge raiz é a base para todos os cálculos de custo de caminho do spanning tree
e leva basicamente à atribuição das diferentes funções de porta utilizadas para impedir a
ocorrência de loops.
Uma escolha de bridge raiz é disparada depois que um switch acaba de ser inicializado
ou quando uma falha de caminho é detectada em uma rede. Inicialmente, todas as portas
de switch são configuradas para o estado de bloqueio que, por padrão, dura 20
segundos. Isto é feito para impedir a ocorrência de um loop antes de o STP ter tempo de
calcular os melhores caminhos de raiz e configurar todas as portas de switch em suas
funções específicas. Enquanto as portas de switch estiverem em um estado de bloqueio,
eles ainda podem enviar e receber quadros de BPDU de forma que a escolha de raiz de
spanning tree possa continuar. O spanning tree suporta um diâmetro de rede máximo de
sete saltos de switch de fim a fim. Isto permite que o processo de escolha de bridge raiz
inteiro ocorra em 14 segundos, menos do que o tempo que as portas de switch gastam
no estado de bloqueio.
Imediatamente após o término da inicialização dos switches, eles iniciam o envio de

quadros de BPDU anunciando seu BID em uma tentativa de tornar-se a bridge raiz.
Inicialmente, todos os switches na rede assumem que eles são a bridge raiz para o
domínio de broadcast. A inundação de quadros de BPDU na rede faz com que o campo
de ID de raiz corresponda ao campo de BID, indicando que cada switch se considera a
bridge raiz. Estes quadros de BPDU são enviados a cada 2 segundos com base no valor
do temporizador hello padrão.
Como cada switch recebe os quadros de BPDU de seus switches vizinhos, eles
comparam a ID de raiz do quadro de BPDU recebido com a ID de raiz configurada
localmente. Se a ID de raiz do quadro de BPDU recebido for mais baixa que a ID de
raiz que possui atualmente, o campo de ID de raiz será atualizado, indicando o novo
melhor candidato para a função de bridge raiz.
Depois que o campo de ID de raiz é atualizado em um switch, o switch incorpora a nova

ID de raiz em todas as transmissões de quadros de BPDU futuras. Isto garante que a ID
de raiz mais baixa seja sempre comunicada a todos os outros switches adjacentes na
rede. A escolha de bridge raiz termina uma vez que a ID de bridge mais baixa preenche
o campo de ID de raiz de todos os switches no domínio de broadcast.
Embora o processo de escolha da bridge raiz tenha sido concluído, os switches

continuam a encaminhar seus quadros de BPDU anunciando a ID de raiz da bridge raiz
a cada 2 segundos. Cada switch é configurado com um temporizador de idade máxima
que determina quanto tempo um switch retém a configuração de BPDU atual no caso de
ele parar de receber atualizações de seus switches vizinhos. Por padrão, o temporizador
de idade máxima é definido em 20 segundos. Portanto, se um switch não recebe 10
quadros de BPDU sucessivos de um de seus vizinhos, o switch assumirá que um
caminho lógico no spanning tree falhou e que as informações de BPDU não são mais
válidas. Isto dispara outra escolha de bridge raiz de spanning tree.
Clique no botão Reproduzir na figura para rever as etapas que o STP utiliza para
eleger uma bridge raiz.
Enquanto você revê como o STP elege uma bridge raiz, lembre-se de que o processo de
escolha de bridge raiz ocorre com todos os switches que enviam e recebem quadros de
BPDU simultaneamente. Executar o processo de escolha simultaneamente permite que
os switches determinem qual switch se tornará a bridge raiz muito mais rápido.
Página 2:
Verificar escolha da bridge raiz
Quando a escolha de bridge raiz for concluída, você poderá verificar a identidade da
bridge raiz utilizando o comando de modo EXEC privilegiado show spanning-tree
No exemplo da topologia, o switch S1 possui o valor de prioridade mais baixo dos três
switches, assim podemos supor que ele se tornará a bridge raiz.
Clique no botão Saída do comando do switch S1 na figura.
No exemplo, a saída de dados do comando show spanning-tree para o switch S1 revela

que ele é a bridge raiz. Você pode ver que o BID corresponde à ID de raiz, confirmando
que S1 é a bridge raiz.
No exemplo, a saída de dados do comando show spanning-tree para o switch S2

mostra que a ID de raiz corresponde à ID de raiz esperada do switch S1, indicando que
S2 considera S1 como a bridge raiz.

mostra que a ID de raiz corresponde à ID de raiz esperada do switch S1, indicando que
S3 considera S1 como a bridge raiz.
5.3.3 Etapa 2. Eleger portas raiz
Página 1:
Etapa 2. Eleger portas raiz
Agora que a bridge raiz foi determinada, os switches iniciam a configuração das funções
de porta para cada uma de suas portas de switch. A primeira função de porta que precisa
ser determinada é a função de porta raiz.
Cada switch em uma topologia spanning-tree, exceto a bridge raiz, possui uma única
porta raiz definida. A porta raiz é a porta de switch com o custo de caminho mais baixo
para a bridge raiz. Normalmente só o custo de caminho determina qual porta de switch
se torna a porta raiz. Porém, características adicionais de porta determinam a porta raiz
quando duas ou mais portas no mesmo switch tiverem o mesmo custo de caminho até a
raiz. Isto pode acontecer quando são utilizados links redundantes para realizar um
uplink de um switch para outro quando uma configuração EtherChannel não for
utilizada. Lembre-se de que a tecnologia Cisco EtherChannel permite que você
configure diversos links físicos do tipo Ethernet como um link lógico.
As portas de switch com custos de caminho equivalentes para a raiz utilizam o valor de
prioridade de porta configurável. Elas utilizam a ID de porta para a determinação final.
Quando um switch escolhe uma porta de custo de caminho igual em vez de outro, a
porta que perdeu é configurada como a não-designada para evitar um loop.
O processo de determinar qual porta se torna uma porta raiz acontece durante a troca de
BPDU de escolha de bridge raiz. Os custos de caminho são imediatamente atualizados
quando os quadros de BPDU chegam, indicando uma nova ID de raiz ou caminho
redundante. Quando o custo de caminho é atualizado, o switch entra em modo de
decisão para determinar se as configurações de porta precisam ser atualizadas. As
decisões de função de porta não esperam até que todos os switches resolvam qual switch
será a bridge raiz final. Desse modo, a função de porta para uma determinada porta de
switch pode mudar várias vezes durante a convergência, até que se resolva finalmente
sua função de porta final após a ID de raiz mudar pela última vez.
Clique em cada etapa na figura para obter informações sobre a escolha dasportas raiz.
Página 2:
Verificar a porta raiz
Quando a escolha de bridge raiz for concluída, você poderá verificar a configuração
dasportas raiz utilizando o comando do modo EXEC privilegiado show spanning-tree.
No exemplo de topologia, o switch S1 foi identificado como a bridge raiz. A porta F0/1
do switch S2 e a porta F0/1 do switch S3 são as duas portas mais próximas da bridge
raiz e, portanto, devem ser configuradas comoportas raiz. Você pode confirmar a
configuração de porta utilizando o comando do modo EXEC privilegiado show
spanning-tree.
No exemplo, a saída do comando show spanning-tree para o switch S1 revela que ele é
a bridge raiz e, conseqüentemente, não possui nenhuma porta raiz configurada.

mostra que a porta F0/1 do switch está configurada como uma porta raiz. A ID de raiz
mostra a Prioridade e o Endereço MAC do switch S1.
No exemplo, a saída do comando show spanning-tree para o switch S3 mostra que a

porta F0/1 do switch está configurada como a porta raiz. A ID de raiz mostra a
Prioridade e o Endereço MAC do switch S1.
5.3.4 Etapa 3. Elegendo portas designadas e portas não-designadas
Página 1:
Etapa 3. Elegendo portas designadas e portas não-designadas
Depois que um switch determina quais de suas portas é a porta raiz, as portas restantes
devem ser configuradas como porta designada (DP) ou porta não-designada (não-DP)
para concluir a criação do spanning tree lógico sem loop.
Cada segmento em uma rede comutada pode ter somente uma porta designada. Quando
duas portas de switch de porta não-raiz são conectadas ao mesmo segmento de rede
local, ocorre uma competição pelas funções de porta. O dois switches trocam quadros
de BPDU para classificar qual porta de switch será designada e qual será a não-
designada.
Geralmente, quando uma porta de switch está configurada como uma porta designada,
isto se baseia no BID. Porém, lembre-se de que a primeira prioridade é o custo de
caminho mais baixo para a bridge raiz e que, somente se os custos de porta forem
iguais, o BID do remetente será utilizado.
Quando dois switches trocam seus quadros de BPDU, eles examinam o BID de envio do
quadro de BPDU recebido para ver se ele é inferior ao seu próprio BID. O switch com o
BID mais baixo ganha a competição e sua porta é configurada na função designada. O
switch perdedor configura sua porta de switch como não-designada e, portanto, no
estado de bloqueio para impedir que ocorram loops.
O processo de determinar as funções de porta acontece ao mesmo tempo que a escolha

da bridge raiz e da designação de porta raiz. Desse modo, as funções designadas e não-
designadas podem mudar diversas vezes durante o processo de convergência até que a
bridge raiz final seja determinada. O processo inteiro de eleger a bridge raiz, determinar
asportas raiz e determinar as portas designadas e não-designadas acontece dentro do
estado da porta de bloqueio de 20 segundos. Este tempo de convergência se baseia no
temporizador hello de dois segundos para a transmissão de quadros de BPDU e no
diâmetro de sete switches suportado pelo STP. O atraso de idade de máximo de 20
segundos fornece tempo suficiente para o diâmetro de sete switches com o temporizador
hello de dois segundos entre as transmissões de quadros de BPDU.
Clique em cada etapa na figura para obter informações sobre a escolha das portas
designadas e portas não-designadas.
Página 2:
Verificar DP e não-DP
Depois que asportas raiz foram atribuídas, os switches determinam quais portas
restantes são configuradas como portas designadas e não-designadas. Você pode
verificar a configuração das portas designadas e não-designadas utilizando o comando
do modo EXEC privilegiado show spanning-tree.
Na topologia:
1. O switch S1 é identificado como a bridge raiz e, portanto, configura ambas as suas

portas de switch como portas designadas.
2. A porta F0/1 do switch S2 e a porta F0/1 do switch S3 são as duas portas mais
próximas da bridge raiz e são configuradas comoportas raiz.
3. As portas restantes F0/2 do switch S2 e F0/2 do switch S3 precisam decidir quais das
duas portas restantes serão a porta designada e a porta não-designada.
4. O switch S2 e switch S3 comparam os valores de BID para determinar qual é o mais

baixo. Aquele com o BID mais baixo é configurado como a porta designada.
5. Como ambos os switches possuem a mesma prioridade, o endereço MAC se torna o

fator decisivo.
6. Como o switch S2 possui um endereço MAC inferior, ele configura sua porta F0/2
como uma porta designada.
7. Como conseqüência, o switch S3 configura sua porta F0/2 como uma porta não-
designada para impedir a ocorrência de loop.
Você pode confirmar a configuração de porta utilizando o comando do modo EXEC

privilegiado show spanning-tree.
No exemplo, a saída do comando show spanning-tree para o switch S1 revela que ele é
a bridge raiz e, conseqüentemente, possui ambas as suas portas configuradas como
portas designadas.

mostra que a porta F0/2 do switch está configurada como uma porta designada.

mostra que a porta F0/2 do switch está configurada como uma porta não-designada.
5.3.5 Mudança na topologia de STP
Página 1:
Processo de notificação de mudança na topologia de STP
Um switch considera que detectou uma mudança na topologia quando uma porta que
estava encaminhando torna-se inativa (por exemplo, em estado de bloqueio) ou quando
uma porta faz a transição para o estado de encaminhamento e o switch tiver uma porta
designada. Quando uma mudança é detectada, o switch notifica a bridge raiz do
spanning tree. A bridge raiz transmite, então, as informações em broadcast por toda a
rede.
Em operação de STP normal, um switch continua recebendo configuração de quadros

de BPDU da bridge raiz em sua porta raiz. Porém, ele nunca envia um BPDU para a
bridge raiz. Para que isso aconteça, um BPDU especial chamado de BPDU de
notificação de mudança de topologia (Topology, Change Notification, TCN) foi
introduzido. Quando um switch precisa sinalizar uma mudança na topologia, ele começa
a enviar TCNs em sua porta raiz. O TCN é um BPDU muito simples que não contém
nenhuma informação e é enviado no intervalo de tempo hello. O switch de recebimento
é chamado de bridge designada e reconhece o TCN pelo envio imediato de um BPDU
normal com o conjunto de bits de confirmação de mudança na topologia (Topology
Change Acknowledgement, TCA). Esta troca continua até que a bridge raiz responda.
Por exemplo, na figura, o switch S2 passa por uma mudança na topologia. Ele envia um
TCN para sua bridge designada que, neste caso, é o switch D1. O switch D1 recebe o
TCN e o confirma para o switch S2 com um TCA. O switch D1 gera um TCN e o
encaminha para sua bridge designada que, neste caso, é a bridge raiz.
Clique no botão Notificação de Broadcast na figura.
Notificação de broadcast
Quando a bridge raiz fica sabendo que houve um evento de mudança de topologia na
rede, ele começa a enviar seus BPDUs de configuração com o conjunto de bits de
mudança de topologia (TC). Estes BPDUs são retransmitidos por todos os switches na
rede com este conjunto de bits. Como resultado, todos os switches ficam cientes da
mudança na topologia e podem reduzir seu tempo de validade para o atraso de
encaminhamento. Os switches recebem os BPDUs de mudança de topologia em ambas
as portas de encaminhamento e bloqueio.
O bit de TC é definido pela raiz por um período máximo de idade + segundos de atraso
de encaminhamento, que são, por padrão, 20+15=35 segundos.
5.4 PVST+, RSTP e Rapid-PVST+
5.4.1 Cisco e as variantes de STP
Página 1:
Como muitos padrões de rede, a evolução de STP foi orientada pela necessidade de
criar especificações em toda a indústria quando os protocolos proprietários se tornaram
normas de facto. Quando um protocolo proprietário se torna superior, todos os
concorrentes no mercado precisam suportá-lo, e agências como o IEEE intervêm e
criam uma especificação pública. A evolução do STP seguiu este mesmo caminho,
conforme visto na tabela.
Quando você lê sobre o STP no site Cisco.com, percebe que existem muitos tipos de
variantes do STP. Algumas destas variantes são de propriedade da Cisco e outras são
padrões do IEEE. Você obterá mais detalhes sobre algumas destas variantes de STP,
mas, para iniciar, você precisa ter um conhecimento geral do que são as principais
variantes de STP. A tabela resume as seguintes descrições das principais variantes de
STP da Cisco e do IEEE.
Propriedade da Cisco
Protocolo por spanning tree de VLAN (PVST) - Mantém uma instância de spanning
tree para cada VLAN configurada na rede. Ele utiliza um protocolo de entroncamento
ISL de propriedade da Cisco que permite que um tronco de VLAN encaminhe para
algumas VLANs enquanto bloqueia para outras VLANs. Como o PVST trata cada
VLAN como uma rede separada, ele pode fazer o balanceamento de carga na Camada 2
encaminhando algumas VLANs em um tronco e outras VLANs em outro tronco sem
causar um loop. Para o PVST, a Cisco desenvolveu diversas extensões proprietárias ao
STP 802.1D do IEEE original, como o BackboneFast, UplinkFast e PortFast. Estas
extensões de STP da Cisco não são abordadas neste curso. Para obter mais informações
sobre estas extensões, visite
http://www.cisco.com/en/US/docs/switches/lan/catalyst4000/7.4/configuration/guide/stp
_enha.html (em inglês).
Protocolo spanning tree por-VLAN plus (PVST+) - a Cisco desenvolveu o PVST+

para fornecer suporte ao entroncamento do 802.1Q de IEEE. O PVST+ fornece a
mesma funcionalidade que o PVST, incluindo as extensões de STP de propriedade da
Cisco. O PVST+ não é suportado em dispositivos que não sejam da Cisco. O PVST+
inclui o aprimoramento do PortFast chamado de proteção de BPDU e proteção de raiz.
Para obter mais informações sobre a proteção de BPDU, visite:
Para obter mais informações sobre a proteção de raiz, visite:

http://www.cisco.com/en/US/tech/tk389/tk621/technologies_tech_note09186a00800ae9
6b.shtml (em inglês).
Protocolo spanning tree por VLAN Rápido (rapid-PVST+) - Baseado no padrão

802.1w do IEEE e possui uma convergência mais rápida do que STP (padrão 802.1D).
O Rapid-PVST+ inclui extensões de propriedade da Cisco como o BackboneFast,
UplinkFast e PortFast.
Padrões IEEE
Protocolo spanning tree rápido (RSTP) - Introduzido pela primeira vez em 1982
como uma evolução do STP (802.1D padrão). Ele fornece uma convergência de
spanning tree mais rápida depois de uma mudança de topologia. O RSTP implementa,
no padrão público, as extensões de STP de propriedade da Cisco, o BackboneFast,
UplinkFast e PortFast. A partir de 2004, o IEEE incorporou o RSTP no 802.1D,
identificando a especificação como IEEE 802.1D-2004. Assim, quando você ouvir falar
em STP, pense no RSTP. Você obterá mais informações sobre o RSTP posteriormente
nesta seção.
STP Múltiplo (MSTP) - Permite que várias VLANs sejam mapeadas para a mesma
instância de spanning tree, reduzindo o número de instâncias necessárias para suportar
um grande número de VLANs. O MSTP foi inspirado pelo STP de Instâncias Múltiplas
(MISTP) de propriedade da Cisco e se trata de uma evolução do STP e RSTP. Ele foi
introduzido no IEEE 802.1s como uma emenda ao 802.1Q, edição de 1998. O IEEE
802.1Q-2003 padrão inclui agora o MSTP. O MSTP fornece diversos caminhos de
encaminhamento para o tráfego de dados e permite o balanceamento de carga. Uma
discussão sobre o MSTP está além do escopo deste curso. Para obter mais informações
sobre o MSTP, visite
ea1/configuration/guide/swmstp.html (em inglês).
5.4.2 PVST+
Página 1:
PVST+
A Cisco desenvolveu o PVST+ de forma que uma rede possa executar uma instância de
STP para cada VLAN na rede. Com o PVST+, mais de um tronco pode bloquear para
uma VLAN e o compartilhamento de carga pode ser implementado. Entretanto,
implementar o PVST+ significa que todos os switches na rede estão ocupados em
convergir a rede e as portas do switch precisam acomodar a largura de banda adicional
utilizada para cada instância de PVST+ para enviar seus próprios BPDUs.
Em um ambiente Cisco PVST+, você pode ajustar os parâmetros de spanning tree de

forma que metade das VLANs encaminhe cada tronco de uplink. Na figura, a porta F0/3
no switch S2 é a porta de encaminhamento para a VLAN 20 e a porta F0/2 no switch S2
é a porta de encaminhamento para a VLAN 10. Isto é realizado configurando um switch
para ser escolhido a bridge raiz para metade do número total de VLANs na rede e um
segundo switch para ser escolhido a bridge raiz para a outra metade das VLANs. Na
figura, o switch S3 é a bridge raiz para a VLAN 20 e o switch S1 é a bridge raiz para a
VLAN 10. Criar switches de raiz de STP diferentes por VLAN cria uma rede mais
redundante.
Página 2:
ID da bridge de PVST+
Como você se lembra, no padrão do 802.1D original, um BID de 8 bytes é composto de

uma prioridade de bridge de 2 bytes e um endereço MAC de 6 bytes do switch. Não
havia necessidade de identificar uma VLAN porque havia somente um spanning tree em
uma rede. O PVST+ requer que uma instância separada de spanning tree seja executada
para cada VLAN. Para suportar o PVST+, o campo de BID de 8 bytes é modificado
para levar uma ID de VLAN (VID). Na figura, o campo de prioridade de bridge é
reduzido a 4 bits e um novo campo de 12 bits, o campo de ID de sistema, contém o
VID. O endereço MAC de 6 bytes permanece inalterado.
A seguir, fornecemos mais detalhes sobre os campos de PVST+:

 Prioridade de bridge – Um campo de 4 bits que leva a prioridade de bridge.
Devido à contagem limitada de bits, a prioridade é comunicada em valores
discretos em acréscimos de 4096 em vez de valores discretos em acréscimos de
1, como seriam se o campo de 16 bits inteiro estivesse disponível. A prioridade
padrão, conforme o IEEE 802.1D, é de 32.768, que é o valor médio.
 ID de sistema estendido - Um campo de 12 bits que leva o VID para PVST+.
 Endereço MAC - Um campo de 6 bytes com o endereço MAC de um único
switch.
O endereço MAC é o que torna o BID exclusivo. Quando a prioridade e a ID de sistema

estendido são incluídas desde o início ao endereço MAC do switch, cada VLAN no
switch pode ser representada por um BID exclusivo.
Clique no botão Exemplo de ID de bridge de PVST+ na figura.
Na figura, são mostrados os valores para prioridade, VLAN e endereço MAC para o
switch S1. Eles são combinados para formar o BID.
Cuidado:Se nenhuma prioridade foi configurada, todos os switches terão a mesma

prioridade padrão e a escolha da bridge raiz para cada VLAN se baseia no endereço
MAC. Portanto, para assegurar que você obtenha a bridge raiz que deseja, aconselha-se
atribuir um valor de prioridade inferior ao switch que deve servir como a bridge raiz.
Página 3:
A tabela mostra a configuração de spanning tree padrão para um switch da série Cisco
Catalyst 2960. Observe que o modo padrão de spanning tree é o PVST+.
Página 4:
Configurar PVST+
A topologia mostra três switches conectados com troncos de 802.1Q. Existem duas
VLANs, 10 e 20, que estão sendo entroncadas através destes links. Esta rede não foi
configurada para spanning tree. O objetivo é configurar S3 como a bridge raiz para a
VLAN 20 e S1 como a bridge raiz para a VLAN 10. A porta F0/3 em S2 é a porta de
encaminhamento para a VLAN 20 e a porta de bloqueio para a VLAN 10. A porta F0/2
em S2 é a porta de encaminhamento para a VLAN 10 e a porta de bloqueio para a
VLAN 20. As etapas para configurar o PVST+ nesta topologia de exemplo são:
Etapa 1. Selecione os switches que você deseja que sejam as bridges de raiz primária e
secundária para cada VLAN.
Etapa 2. Configure o switch para ser uma bridge primária para uma VLAN, por
exemplo, o switch S3, que é uma bridge primária para a VLAN 20.
Etapa 3. Configure o switch para ser uma bridge secundária para a outra VLAN, por
exemplo, o switch S3, que é uma bridge secundária para a VLAN 10.
Opcionalmente, defina a prioridade de spanning tree para ser baixa o bastante em cada
switch de forma que ela seja selecionada como a bridge primária.
Clique no botão Bridges de raiz primária e secundária na figura.
Configurar as Bridges de Raiz Primárias
O objetivo é configurar o switch S3 como a bridge raiz primária para a VLAN 20 e

configurar o switch S1 como a bridge raiz primária para a VLAN 10. Para configurar
um switch de modo que ele se torne a bridge raiz para uma VLAN específica, utilize o
comando do modo de configuração global spanning-tree vlan vlan-ID root primary.
Lembre-se de que você está começando com uma rede que não foi configurada com o
spanning tree, assim suponha que todos os switches estejam em sua configuração
padrão. Neste exemplo, o switch S1, que está com as VLANs 10 e 20 habilitadas, retém
sua prioridade de STP padrão.
Configurar as Bridges de Raiz Secundárias
Uma raiz secundária é um switch que pode se tornar a bridge raiz para uma VLAN se a
bridge raiz primária falhar. Para configurar um switch como a bridge raiz secundária,
utilize o comando do modo de configuração global spanning-tree vlan vlan-ID root
secondary. Supondo que as outras bridges na VLAN retêm sua prioridade de STP
padrão, este switch se torna a bridge raiz se a bridge raiz primária falhar. Este comando
pode ser executado em mais de um switch para configurar diversas bridges de raiz de
backup.
O gráfico mostra a sintaxe do comando Cisco IOS para especificar o switch S3 como a
bridge raiz primária para a VLAN 20 e como a bridge raiz secundária para a VLAN 10.
Além disso, o switch S1 se torna a bridge raiz primária para a VLAN 10 e a bridge raiz
secundária para a VLAN 20. Esta configuração permite o balanceamento de carga de
spanning tree, com o tráfego da VLAN 10 passando através do switch S1 e o tráfego da
VLAN 20 passando pelo switch S3.
Clique no botão Prioridade do switch de PVST+ na figura.
Prioridade do switch de PVST+
Você aprendeu anteriormente neste capítulo que as configurações padrão utilizadas para
configurar o spanning tree são adequadas para a maioria das redes. Isto também é válido
para o Cisco PVST+. Existem várias formas de ajustar o PVST+. Uma discussão sobre
como ajustar uma implementação de PVST+ está além do escopo deste curso. Porém,
você pode definir a prioridade do switch para a instância de spanning tree especificada.
Esta configuração afeta a probabilidade de este switch ser selecionado como o switch de
raiz. Um valor inferior aumenta a probabilidade de o switch ser selecionado. O intervalo
é de 0 a 61440 em acréscimos de 4096. Por exemplo, um valor de prioridade válido é
4096x2 = 8192. Todos os outros valores são rejeitados.
Os exemplos mostram a sintaxe de comando do Cisco IOS.
Clique no botão Verificar na figura.

O comando EXEC privilegiado show spanning tree active mostra os detalhes de
configuração de spanning tree somente para as interfaces ativas. A saída de dados
mostrada é do switch S1 configurado com PVST+. Existem muitos parâmetros de
comando do Cisco IOS associados ao comando show spanning tree. Para obter uma
descrição completa, visite:
se/command/reference/cli2.html#wpxref47293.
Clique no botão show run na figura.
Você pode ver na saída de dados que a prioridade para a VLAN 10 é 4096, a mais baixa
das três prioridades de VLAN. Esta configuração de prioridade assegura que este switch
seja a bridge raiz primária para a VLAN 10.
5.4.3 RSTP
Página 1:
O que é RSTP?
O RSTP (IEEE 802.1w) é uma evolução do 802.1D padrão. A terminologia de STP do

802.1w permanece essencialmente igual à terminologia de STP do IEEE 802.1D. A
maioria dos parâmetros permaneceu inalterada, assim os usuários familiarizados com o
STP podem configurar rapidamente o novo protocolo.
Na figura, uma rede mostra um exemplo de RSTP. O switch S1 é a bridge raiz com duas
portas designadas em um estado de encaminhamento. O RSTP suporta um novo tipo de
porta. A porta F0/3 no switch S2 é uma porta alternativa no estado de descarte. Observe
que não há nenhuma porta de bloqueio. O RSTP não possui um estado de porta de
bloqueio. Ele define os estados de porta como descarte, aprendizagem ou
encaminhamento. Você obterá mais informações sobre os tipos de porta posteriormente
no capítulo.
Clique no botão Características de RSTP na figura.
Características do RSTP
O RSTP adianta o novo cálculo do spanning tree quando a topologia de rede de Camada
2 é alterada. O RSTP pode obter uma convergência muito mais rápida em uma rede
corretamente configurada, às vezes em menos de cem milésimos de segundos. O RSTP
redefine o tipo de portas e seus estados. Se uma porta for configurada como uma porta
alternativa ou de backup, ela pode mudar imediatamente para um estado de
encaminhamento sem esperar que a rede seja convergida. Descreve-se brevemente, a
seguir, as características de RSTP:
 O RSTP é o protocolo preferido para impedir loops de Camada 2 em um

ambiente de rede comutado. Muitas das diferenças foram informadas pelas
melhorias de propriedade da Cisco para o 802.1D. Tais melhorias, como o
carregamento e o envio de informações pelos BPDUs sobre as funções de porta
para switches vizinhos, não exigem nenhuma configuração adicional e
geralmente são melhor executadas do que nas versões anteriores de propriedade
da Cisco. Elas são, agora, transparentes e integradas na operação do protocolo.
 As melhorias de propriedade da Cisco ao 802.1D, como o UplinkFast e
BackboneFast, não são compatíveis com o RSTP.
 O RSTP (802.1w) substitui o STP (802.1D) ao mesmo tempo em que mantém a
compatibilidade com versões anteriores. Grande parte da terminologia de STP
permanece e a maioria dos parâmetros está inalterada. Além disso, o 802.1w
pode ser revertido novamente para 802.1D para interoperar com switches
herdados por porta. Por exemplo, o algoritmo spanning tree (STA) de RSTP
elege uma bridge raiz exatamente do mesmo modo que o 802.1D.
 O RSTP mantém o mesmo formato de BPDU que o IEEE 802.1D, a não ser pelo
campo de versão, definido como 2 para indicar RSTP, e o campo de flags, que
utiliza todos os 8 bits. O BPDU de RSTP é discutido posteriormente.
 O RSTP é capaz de confirmar ativamente que uma porta pode fazer a transição
de modo seguro para o estado de encaminhamento sem ter que confiar em
qualquer configuração de temporizador.
Página 2:
BPDU de RSTP
O RSTP (802.1w) utiliza os BPDUs de tipo 2 da versão 2, assim uma bridge de RSTP
pode comunicar-se com 802.1D em qualquer link compartilhado ou com qualquer
switch que execute o 802.1D. O RSTP envia BPDUs e preenche o byte de flag de uma
maneira ligeiramente diferente do que no 802.1D:
 As informações de protocolo podem expirar imediatamente em uma porta se os

hellos não forem recebidos para três temporizadores hello consecutivos, 6
segundos por padrão, ou se o temporizador de idade máxima expirar.
 Como os BPDUs são utilizados como um mecanismo keepalive, três BPDUs
perdidos consecutivamente indicam perda de conectividade entre uma bridge e
sua raiz de vizinho ou bridge designada. A rápida duração das informações
permite que as falhas sejam rapidamente detectadas.
Nota: Como no STP, uma bridge de RSTP envia um BPDU com suas informações
atuais a cada período de tempo hello (2 segundos, por padrão), mesmo se a bridge de
RSTP não receber nenhum BPDU da bridge raiz.
O RSTP utiliza o byte de flag do BPDU de versão 2 conforme mostrado na figura:
 Os bits 0 e 7 são utilizados para a mudança de topologia e confirmação (ACK)

como no 802.1D.
 Os bits 1 e 6 são utilizados para o processo de Acordo de Proposta (utilizado
para convergência rápida).
 Os bits 2-5 codificam a função e o estado da porta que origina o BPDU.
 Os bits 4 e 5 são utilizados para codificar a função de porta utilizando um código
de 2 bits.
5.4.4 Portas de extremidade
Página 1:
Portas de extremidade
Uma porta de extremidade de RSTP é uma porta de switch cujo destino nunca é a
conexão a outro dispositivo de switch. Ela faz a transição imediatamente para o estado
de encaminhamento quando habilitada.
O conceito de extremidade de porta é muito conhecido pelos usuários de spanning tree

da Cisco, porque ele corresponde ao recurso de PortFast no qual todas as portas
diretamente conectadas a estações finais antecipam que nenhum dispositivo de switch
está conectado a eles. As portas do PortFast fazem imediatamente a transição para o
estado de encaminhamento de STP, enquanto pulam os estágios demorados de escuta e
aprendizagem. As portas de extremidade e as portas habilitadas para PortFast não geram
mudanças de topologia quando a porta faz a transição para um status desabilitado ou
habilitado.
Diferentemente do PortFast, uma porta de extremidade de RSTP que recebe um BPDU

perde imediatamente seu status de porta de extremidade e se torna uma porta de
spanning tree normal.
A implementação de Cisco RSTP mantém a palavra-chave PortFast utilizando o

comando spanning-tree portfast para configuração de porta de extremidade. Desse
modo, faz-se uma transição geral de rede para RSTP de uma maneira mais contínua. A
configuração de uma porta de extremidade para ser anexada a outro switch pode resultar
em implicações negativas para o RSTP quando ele estiver em estado de sincronização,
uma vez que um loop temporário pode resultar, possivelmente, no atraso da
convergência de RSTP devido à contenção do BPDU com tráfego de loop.
5.4.5 Tipos de link
Página 1:
Tipos de link
O tipo de link fornece uma categorização para cada porta que participa de RSTP. O tipo
de link pode pré-determinar a função ativa que a porta desempenha enquanto ele espera
a transição imediata para o estado de encaminhamento caso certas condições sejam
atendidas. Estas condições são diferentes para portas de extremidade e portas de não-
extremidade. As portas de não-extremidade são classificadas em dois tipos de link,
ponto-a-ponto e compartilhado. O tipo de link é determinado automaticamente, mas
pode ser substituído com uma configuração de porta explícita.
As portas de extremidade, as equivalentes às portas habilitadas por PortFast, e os links

ponto-a-ponto são os candidatos para a transição rápida para um estado de
encaminhamento. Entretanto, antes de o parâmetro de tipo de link ser considerado, o
RSTP deve determinar a função de porta. Você obterá mais informações sobre as
funções de porta adiante, mas saiba por enquanto que:
 Asportas raiz não utilizam o parâmetro de tipo de link. Asportas raiz podem
realizar uma transição rápida para o estado de encaminhamento assim que a
porta estiver em sincronização.
 As portas alternativas e de backup não utilizam o parâmetro de tipo de link na
maioria dos casos.
 As portas designadas utilizam o máximo do parâmetro de tipo de link. A
transição rápida para o estado de encaminhamento para a porta designada
ocorrerá somente se o parâmetro de tipo de link indicar um link ponto-a-ponto.
5.4.6 Estados de porta e funções de porta de RSTP
Página 1:
Estados de porta de RSTP
O RSTP fornece uma rápida convergência após uma falha ou durante o

restabelecimento de um switch, porta de switch ou link. Uma mudança na topologia de
RSTP causa uma transição nas portas de switch apropriadas para o estado de
encaminhamento através de reconhecimentos explícitos ou de um processo de proposta
e acordo, e sincronização. Você obterá mais informações sobre o processo de proposta e
acordo adiante.
Com o RSTP, a função de uma porta está separada do estado de uma porta. Por
exemplo, uma porta designada pode estar temporariamente no estado de descarte,
embora seu estado final seja o de encaminhamento. A figura mostra os três estados de
porta possíveis de RSTP: descarte, aprendizagem e encaminhamento.
Clique no botão Descrições na figura.
A tabela na figura descreve as características de cada um dos três estados de porta de

RSTP. Em todos os estados de porta, uma porta aceita e processa quadros de BPDU.
Clique no botão Portas de STP e RSTP na figura.
A tabela na figura compara os estados de porta de STP e RSTP. Lembre-se de como as

portas nos estados de porta de bloqueio, escuta e desabilitado do STP não encaminham
nenhum quadro. Estes estados de porta foram mesclados no estado de porta de descarte
de RSTP.
Página 2:
Funções de porta de RSTP
A função de porta define o objetivo principal de uma porta de switch e como ela trata as
estruturas de dados. As funções de porta e estados de porta podem fazer uma transição
independentemente da outra. A criação de funções adicionais de porta permite que o
RSTP defina uma porta de switch auxiliar antes de uma falha ou mudança de topologia.
A porta alternativa vai para o estado de encaminhamento se houver uma falha na porta
designada para o segmento.
Passe o mouse sobre as funções de porta na figura para saber mais sobre cada função
de porta de RSTP.
Página 3:
Processo de proposta e acordo de RSTP
No STP do IEEE 802.1D, quando uma porta for selecionada pelo spanning tree para se
tornar uma porta designada, ela deverá esperar duas vezes o atraso de encaminhamento
antes de fazer a transição da porta para o estado de encaminhamento. O RSTP apressa
significativamente o processo do novo cálculo após uma mudança de topologia, uma
vez que ele se converge link a link e não depende da expiração dos temporizadores para
a transição das portas. A rápida transição para o estado de encaminhamento só pode ser
obtida em portas de extremidade e links ponto-a-ponto. No RSTP, esta condição
corresponde a uma porta designada no estado de descarte.
5.4.7 Configurando o Rapid-PVST+
Página 1:
O Rapid-PVST+ é uma implementação da Cisco de RSTP. Ele suporta o spanning tree

para cada VLAN e é a variante de STP rápida para ser utilizada em redes baseadas na
tecnologia da Cisco. A topologia na figura possui duas VLANs: 10 e 20. A
configuração final implementará o rapid-PVST+ no switch S1, que é a bridge raiz.
Diretrizes de configuração
Convém revisar algumas das diretrizes de configuração de spanning tree. Se você deseja
revisar a configuração de spanning tree padrão em um switch Cisco 2960, veja a seção
de Configuração de Switch Padrão no início deste capítulo. Não se esqueça destas
diretrizes quando for implementar o Rapid-PVST+.
Os comandos de rapid-PVST+ controlam a configuração das instâncias de spanning tree

da VLAN. Uma instância de spanning tree é criada quando uma interface for atribuída a
uma VLAN e é removida quando a última interface for transferida para outra VLAN.
Da mesma forma, você pode configurar o switch de STP e os parâmetros de porta antes
de uma instância de spanning tree ser criada. Estes parâmetros são aplicados quando são
criados um loop e uma instância de spanning tree. Entretanto, certifique-se de que pelo
menos um switch em cada loop na VLAN esteja executando o spanning tree, caso
contrário poderá ocorrer uma broadcast storm.
Um switch Cisco 2960 suporta o PVST+, rapid-PVST+ e MSTP, mas só uma versão
pode estar ativa por vez para todas as VLANs.
Clique no botão Comandos de configuração na figura.

A figura mostra a sintaxe de comando do Cisco IOS necessária para configurar o rapid-
PVST+ em um switch da Cisco. Existem outros parâmetros que também podem ser
configurados.
Nota: Se você conectar uma porta configurada com o comando ponto-a-ponto de tipo
de link spanning tree a uma porta remota através de um link ponto-a-ponto e a porta
local se tornar uma porta designada, o switch negociará com a porta remota e mudará
rapidamente a porta local para o estado de encaminhamento.
Nota: Quando uma porta é configurada com o comando de protocolos detectados de

spanning tree e esta porta for conectada a uma porta em um switch IEEE 802.1D
herdado, o software IOS Cisco reiniciará o processo de migração de protocolo em todo
o switch. Esta etapa é opcional, entretanto recomenda-se uma prática padrão, mesmo se
o switch designado detectar que este switch está executando o rapid-PVST+.
Para obter detalhes completos sobre todos os parâmetros associados aos comando
específicos do Cisco IOS, visite:
se/command/reference/cli3.html (em inglês).
Clique no botão Exemplo de configuração na figura.
O exemplo de configuração mostra a habilitação dos comandos do rapid-PVST+ no

switch S1.
Clique no botão Verificar na figura.
O comando show spanning-tree vlan vlan-id mostra a configuração da VLAN 10 no

switch S1. Observe que a prioridade de BID é definida a 4096. O BID foi definido
utilizando o comando spanning-tree vlan vlan-id priority priority-number.
Clique no botão show run na figura.
Neste exemplo, o comando show running-configuration foi utilizado para verificar a

configuração do rapid-PVST+ em S1.
5.4.8 Design de STP para evitar problemas
Página 1:
Saiba onde está a raiz
Você sabe agora que a função primária do STA é interromper os loops criados pelos
links redundantes nas redes de bridge. O STP opera na Camada 2 do modelo OSI. O
STP pode falhar em alguns casos específicos. Solucionar o problema pode ser muito
difícil e depende do design da rede. Esta é a razão pela qual recomenda-se que você
realize a parte mais importante da solução de problemas antes de eles ocorrerem.
É muito comum as informações sobre o local da rota não estarem disponíveis no

momento da solução de problemas. Não deixe que o STP decida qual bridge é a raiz.
Para cada VLAN, você pode geralmente identificar qual switch pode servir melhor
como raiz. No geral, escolha uma bridge avançada no meio da rede. Se você colocar a
bridge raiz no centro da rede com uma conexão direta com os servidores e roteadores,
reduzirá a distância média dos clientes para os servidores e roteadores.
A figura mostra:
 Se o switch S2 for a raiz, o link de S1 para S3 será bloqueado em S1 ou S3.

Neste caso, os hosts que se conectam ao switch S2 podem acessar o servidor e o
roteador em dois saltos. Os hosts que se conectam à bridge S3 podem acessar o
servidor e o roteador em três saltos. A distância média é dois saltos e meio.
 Se o switch S1 for a raiz, o roteador e o servidor poderão ser alcançados em dois
saltos para ambos os hosts que se conectam em S2 e S3. A distância média é
agora de dois saltos.
A lógica por trás deste simples exemplo vale para topologias mais complexas.
Nota: Para cada VLAN, configure a bridge raiz e a bridge raiz de backup que utilizar as
prioridades mais baixas.
Página 2:
Para que a resolução de problemas do STP fique mais fácil, planeje a organização dos
seus links redundantes. Em redes não-hierárquicas, você deverá ajustar o parâmetro de
custo do STP para decidir quais portas bloquear. Entretanto, este ajuste normalmente
não é necessário caso você tenha um design hierárquico e uma bridge raiz em um bom
local.
Nota: Para cada VLAN, saiba quais portas devem ser bloqueadas na rede estável.
Obtenha um diagrama de rede que mostre claramente cada loop físico na rede e quais
portas bloqueadas interrompem os loops.
Conhecer o local dos links redundantes ajuda a identificar um loop de bridging acidental
e sua causa. Além disso, conhecer o local das portas bloqueadas permite que você
determine o local do erro.
Diminua o número de portas bloqueadas
A única ação crítica desempenhada pelo STP é o bloqueio de portas. Uma única porta
de bloqueio que faz a transição incorreta para o encaminhamento pode afetar de modo
negativo uma grande parte da rede. Uma boa maneira de limitar o risco inerente no uso
de STP é reduzir o máximo do número de portas bloqueadas possível.
Corte de VTP
Você não precisa de mais de dois links redundantes entre dois nós em uma rede
comutada. Porém, o tipo de configuração mostrado na figura é comum. Os switches de
distribuição são anexados duplamente a dois switches de núcleo, switches C1 e C2. Os
usuários nos switches S1 e S2 que se conectam a switches de distribuição estão somente
em um subconjunto de VLANs disponíveis na rede. Na figura, todos os usuários que se
conectam ao switch D1 estão na VLAN 20; o switch D2 conecta os usuários somente na
VLAN 30. Por padrão, os troncos levam todas as VLANs definidas no domínio de VTP.
Somente o switch D1 recebe do tráfego de broadcast e multicast desnecessário para a
VLAN 20, mas ele também bloqueia uma de suas portas para a VLAN 30. Existem três
caminhos redundantes entre o switch de núcleo C1 e o switch de núcleo C2. Esta
redundância resulta em mais portas bloqueadas e em uma probabilidade mais alta de
loops.
Nota: Corte todas as VLANs de seu tronco que não sejam necessárias.
Clique no botão Corte Manual na figura.
Corte manual
O corte de VTP pode ajudar, mas este recurso não é necessário no núcleo da rede. Nesta
figura, somente uma VLAN de acesso é utilizada para conectar os switches de
distribuição ao núcleo. Neste design, somente uma porta é bloqueada por VLAN. Além
disso, com este design, você pode remover todos os links redundantes em apenas uma
etapa se você desligar C1 ou C2.
Página 3:
Utilize a comutação da camada 3
A comutação da camada 3 significa rotear aproximadamente na velocidade da

comutação. Um roteador executa duas funções principais:
 Ele cria uma tabela de encaminhamento. O roteador geralmente troca

informações com pontos por meio de protocolos de roteamento.
 Ele recebe os pacotes e os encaminha à interface correta com base no endereço
de destino.
Os switches de Camada 3 da Cisco agora são capazes de desempenhar esta segunda

função, na mesma velocidade que a função de comutação da Camada 2. Na figura:
 Não há nenhuma penalidade de velocidade com o salto de roteamento e um

segmento adicional entre C1 e C2.
 O switch de núcleo C1 e o switch de núcleo C2 são switches de Camada 3. A
VLAN 20 e VLAN 30 não estão mais interligadas entre C1 e C2, assim não há
nenhuma possibilidade de loop.
A redundância ainda acontece, contando com os protocolos de roteamento de Camada 3.

O design garante uma convergência que chega a ser mais rápida que a convergência
com STP.
 O STP não bloqueia mais nenhuma porta, assim não há nenhum potencial para
um loop de bridging.
 Deixar a VLAN pela comutação da Camada 3 é tão rápido quanto o bridging
dentro da VLAN.
Página 4:
Pontos finais
Mantenha o STP mesmo se ele for desnecessário
Supondo que você tenha removido todas as portas bloqueadas da rede e que não tenha
qualquer redundância física, aconselha-se que você não desabilite o STP.
O STP geralmente não utiliza muito o processador. A comutação de pacotes não

envolve a CPU na maioria dos switches da Cisco. Além disso, os poucos BPDUs que
são enviados em cada link não reduzem a largura de banda disponível de modo
significativo. Entretanto, se um técnico cometer um erro de conexão em um patch panel
e criar acidentalmente um loop, a rede será prejudicada. No geral, não compensa
desabilitar o STP em uma rede comutada.
Mantenha o tráfego fora da VLAN Administrativa e não deixe que uma única
VLAN ocupe toda a rede
Um switch da Cisco geralmente possui um único endereço IP que se liga a uma VLAN,
conhecido como a VLAN administrativa. Nesta VLAN, o switch se comporta como um
host IP genérico. Em particular, todos os pacotes de broadcast e multicast são
encaminhados à CPU. Uma alta taxa de tráfego de broadcast ou multicast na VLAN
administrativa pode afetar de modo negativo a CPU e sua capacidade de processar
BPDUs essenciais. Portanto, mantenha o tráfego do usuário fora da VLAN
administrativa.
Até recentemente, não havia nenhum modo de remover a VLAN 1 de um tronco em

uma implementação da Cisco. A VLAN 1 geralmente serve como uma VLAN
administrativa, onde todos os switches são acessíveis na mesma sub-rede de IP. Embora
seja útil, esta configuração pode ser perigosa porque um loop de bridging na VLAN 1
afeta todos os troncos, o que pode derrubar toda a rede. Claro que o mesmo problema
existe, não importa qual VLAN você utiliza. Tente segmentar os domínios de bridging
utilizando os switches de Camada 3 de alta velocidade.
Nota: A partir do Software IOS Cisco Release 12.1 (11b)E, você pode remover aVLAN
1 dos troncos. A VLAN 1 ainda existe, mas ela bloqueia o tráfego, impedindo qualquer
possibilidade de loop.
5.4.9 Identificação e solução de problemas de operação STP
Página 1:
Falha de switch ou link
Na animação você vê que, quando uma porta falha em uma rede configurada com o
STP, o resultado pode ser uma broadcast storm.
No estado inicial da falha do STP, o switch S3 possui um BID inferior ao de S2.
Conseqüentemente, a porta designada entre S3 e S2 é a porta F0/1 no switch S3.
Considera-se que o switch S3 possui uma "BPDU melhor" que o switch S2.
Clique no botão Reproduzir na figura para ver a falha do STP.
Página 2:
Solucionar uma falha
Infelizmente, não há nenhum procedimento sistemático para solucionar um problema de

STP. Esta seção resume algumas das medidas que estão disponíveis para você. A
maioria das etapas se aplicam à solução de loops de bridging em geral. Você pode
utilizar uma abordagem mais convencional para identificar outras falhas de STP que
levam a uma perda de conectividade. Por exemplo, você pode explorar o caminho que é
levado pelo tráfego que está passando por um problema.
Nota: O acesso dentro da banda pode não ficar disponível durante um loop de bridging.
Por exemplo, durante uma broadcast storm, talvez você não seja capaz realizar um
Telnet para os dispositivos de infra-estrutura. Portanto, a conectividade fora da banda,
como o acesso de console, pode ser necessária.
Antes de você solucionar problemas de um loop de bridging, é necessário saber pelo

menos os seguintes itens:
 Topologia da rede de bridge

 Localização da bridge raiz
 Localização das portas bloqueadas e dos links redundantes
Este conhecimento é essencial. Para saber o que corrigir na rede, você precisa saber
como a rede fica quando ela funciona corretamente. A maioria das etapas de solução de
problemas simplesmente utilizam os comandos show para tentar identificar as
condições de erro. O conhecimento da rede ajuda a focalizar nas portas essenciais nos
principais dispositivos.
O resto deste tópico observa brevemente dois problemas de spanning tree comuns, um
erro de configuração de PortFast e problemas de diâmetro de rede. Para obter mais
informações sobre outros problemas de STP, visite:
ac.shtml (em inglês).
Página 3:
Erro de configuração de PortFast
Geralmente você habilita o PortFast somente para uma porta ou interface que se conecta
a um host. Quando o link surgir nesta porta, a bridge pula as primeiras fases do STA e
faz uma transição direta para o modo de encaminhamento.
Cuidado: Não utilize o PortFast em portas de switch ou interfaces que se conectam a
outros switches, hubs ou roteadores. Caso contrário, você pode criar um loop de rede.
Neste exemplo, a porta F0/1 no switch S1 já está encaminhando. A porta F0/2 foi
configurada incorretamente com o recurso do PortFast. Portanto, quando uma segunda
conexão de switch S2 é conectada a F0/2 em S1, a porta faz a transição
automaticamente para o modo de encaminhamento e cria um loop.
Eventualmente, um dos switches encaminhará um BPDU e um destes switches fará a

transição de uma porta para o modo de bloqueio.
Porém, há um problema com este tipo de loop passageiro. Se o tráfego com loops for
muito intenso, o switch pode ter dificuldade para transmitir com sucesso o BPDU que
interrompe o loop. Este problema pode atrasar a convergência de modo considerável ou,
em alguns casos extremos, pode derrubar a rede de fato.
Mesmo com uma configuração de PortFast, a porta ou interface ainda participa de STP.
Se um switch com uma prioridade de bridge inferior que a da bridge raiz ativa atual for
anexado a uma porta ou interface configurada por PortFast, ele poderá ser escolhido a
bridge raiz. Esta alteração de bridge raiz pode afetar a topologia de STP ativa de modo
negativo e pode fazer com que a rede não seja mais ideal. Para impedir esta situação, a
maioria dos switches Catalyst que executam o software IOS Cisco possuem um recurso
chamado proteção de BPDU. A proteção de BPDU desabilita uma porta ou interface
configurada por PortFast se a porta ou interface receber um BPDU.
Para obter mais informações sobre como utilizar o PortFast nos switches que executam
o software IOS Cisco, consulte o documento "Utilizando o PortFast e outros comandos
para corrigir atrasos de conectividade de inicialização da estação de trabalho",
disponível em:
http://www.cisco.com/en/US/products/hw/switches/ps700/products_tech_note09186a00
800b1500.shtml.
Para obter mais informações sobre o uso do recurso de proteção de BPDU em switches
que executam o software IOS Cisco, visite:
Página 4:
Problemas de diâmetro de rede
Outro problema que não é muito conhecido está relacionado com o diâmetro da rede
comutada. Os valores padrão conservadores para os temporizadores de STP impõem um
diâmetro de rede máximo de sete. Na figura, este design cria um diâmetro de rede de
oito. O diâmetro de rede máximo restringe a distância que os switches podem estar um
do outro na rede. Neste caso, dois switches distintos não podem estar mais longe do que
a sete saltos de distância. Parte desta restrição vem do campo idade que os BPDUs
carregam.
Quando um BPDU propaga a partir da bridge raiz até as folhas da árvore, o campo de
validade aumenta a cada vez que o BPDU vai através de um switch. Eventualmente, o
switch descarta o BPDU quando o campo de idade estiver além da idade máxima. Se a
raiz estiver muito longe de alguns switches da rede, o BPDUs será descartado. Este
problema afeta a convergência do spanning tree.
Tome um cuidado especial se você planeja alterar o valor padrão dos temporizadores de
STP. Pode ser perigoso se você tentar obter uma convergência mais rápida deste modo.
Uma mudança de temporizador de STP causa um impacto no diâmetro da rede e na
estabilidade do STP. Você pode alterar a prioridade de switch para selecionar a bridge
raiz e alterar o custo de porta ou prioridade de parâmetro para controlar a redundância
ou balanceamento de carga.
5.6.1 Resumo
Página 1:
A implementação da redundância em uma rede hierárquica introduz loops físicos que

resultam em problemas de Camada 2 que afetam a disponibilidade da rede. O protocolo
spanning tree foi desenvolvido para impedir problemas resultantes dos loops físicos
introduzidos para aprimorar a redundância. Este protocolo utiliza o algoritmo spanning
tree para computar uma topologia lógica sem loops para um domínio de broadcast.
O processo spanning tree utiliza estados de porta e temporizadores diferentes para evitar
logicamente os loops construindo uma topologia sem loops. A determinação da
topologia spanning tree é construída em termos de distância da bridge raiz. A distância é
determinada pela troca de BPDUs e algoritmo spanning tree. No processo, as funções de
porta são determinadas: portas designadas, portas não-designadas eportas raiz.
Utilizar o protocolo spanning tree IEEE 802.1D original envolve um tempo de

convergência de até 50 segundos. Este atraso é inaceitável em redes comutadas
modernas, assim o protocolo spanning tree rápido IEEE 802.1w foi desenvolvido. A
implementação do IEEE 802.1D por VLAN da Cisco é chamada PVST+ e a
implementação do protocolo spanning tree rápido da Cisco é chamada rapid-PVST+. O
RSTP reduz o tempo de convergência para aproximadamente 6 segundos ou menos.
Nós discutimos os tipos de link ponto a ponto e compartilhado com RSTP, bem como as
portas de extremidade. Nós também discutimos os novos conceitos de portas
alternativas e portas de backup utilizados com o RSTP.
O rapid-PVST+ é a implementação de protocolo spanning tree preferida utilizada em
uma rede comutada que utiliza os switches Cisco Catalyst.
6 Roteamento entre VLANs

6.0.1 Introdução
Página 1:
Nos capítulos anteriores deste curso, discutimos como você pode usar VLANs e troncos
para segmentar uma rede. A limitação do escopo de cada domínio de broadcast na LAN
por segmentação de VLAN proporciona melhor desempenho e segurança através da
rede. Você também aprendeu como o VTP é usado para compartilhar as informações de
VLAN por switches múltiplos em um ambiente de LAN para simplificar o
gerenciamento de VLANs. Agora que você tem uma rede com muitas VLANs
diferentes, a próxima pergunta é: "Como permitir a comunicação entre dispositivos em
VLANs separadas?"
Neste capítulo, você aprenderá sobre o roteamento entre VLANs e como ele é usado
para permitir a comunicação entre dispositivos em VLANs separadas. Aprenderá
diferentes métodos para realizar o roteamento entre VLANs, e as vantagens e as
desvantagens de cada um. Aprenderá também como diferentes configurações de
interface do roteador facilitam o roteamento entre VLANs. Enfim, estudará os possíveis
problemas enfrentados durante a implementação do roteamento entre VLANs, como
identificá-los e também corrigi-los.
6.1 Roteamento entre VLANs
6.1.1 Apresentação do roteamento entre VLANs
Página 1:
Agora que você sabe configurar VLANs em um switch de rede, o próximo passo é
permitir a comunicação entre dispositivos conectados às várias VLANs. Em um capítulo
anterior, você aprendeu que cada VLAN é um domínio de broadcast exclusivo;
portanto, por padrão, computadores em VLANs separadas não podem se comunicar. Há
um modo de permitir a comunicação entre essas estações finais chamado roteamento
entre VLANs. Neste tópico, você descobrirá o que é o roteamento entre VLANs e
alguns dos diferentes modos de realizá-lo em uma rede.
Neste capítulo, nós abordamos um tipo de roteamento entre VLANs usando um roteador
separado conectado à infra-estrutura de switch. Definimos o roteamento entre VLANs
como um processo de encaminhamento do tráfego de rede de uma VLAN para outra
com o uso de um roteador. VLANs são associadas a sub-redes de IP exclusivas na rede.
Essa configuração de sub-rede facilita o processo de roteamento em um ambiente de
várias VLANs. Com o uso de um roteador para facilitar o roteamento entre VLANs, as
interfaces de roteador podem ser conectadas a VLANs separadas. Dispositivos nessas
VLANs enviam tráfego pelo roteador para alcançar outras VLANs.
Como você pode ver na figura, o tráfego do PC1 na VLAN10 é roteado pelo roteador
R1 para alcançar o PC3 na VLAN30.
Página 2:
Tradicionalmente, o roteamento de LAN usava roteadores com interfaces físicas

múltiplas. Cada interface precisava estar conectada a uma rede separada e configurada
para uma sub-rede diferente.
Em uma rede tradicional que usa VLANs múltiplas para segmentar o tráfego de rede em
domínios de broadcast lógicos, o roteamento é executado pela conexão de diferentes
interfaces físicas de roteador a diferentes portas físicas de switch. As portas de switch
conectam-se ao roteador em modo de acesso, e em modo de acesso são atribuídas
VLANs estáticas diferentes a cada interface de porta. Cada interface de switch é
atribuída a uma VLAN estática diferente. Em seguida, cada interface de roteador pode
aceitar tráfego da VLAN associada à interface de switch à qual está conectada, e o
tráfego pode ser roteado às outras VLANs conectadas às outras interfaces.
Clique no botão Reproduzir na figura para exibir o roteamento entre VLANs

tradicional.
1. O PC1 na VLAN10 está se comunicando com o PC3 na VLAN30 pelo roteador R1.
2. O PC1 e o PC3 estão em VLANs diferentes e têm endereços IP em sub-redes

diferentes.
3. O roteador R1 tem uma interface separada configurada para cada VLAN.
4. O PC1 envia tráfego unicast destinado para o PC3 ao switch S2 na VLAN10, de onde
o tráfego é encaminhado pela interface de tronco para o switch S1.
5. O switch S1 encaminha o tráfego unicast para o roteador R1 na interface F0/0.
6. O roteador roteia o tráfego unicast para a interface F0/1, que está conectada à
VLAN30.
7. O roteador encaminha o tráfego unicast para o switch S1 na VLAN 30.
8. Em seguida, o switch S1 encaminha o tráfego unicast para o switch S2 pelo link de

tronco; depois disso, o switch S2 pode encaminhar o tráfego unicast para o PC3 na
VLAN30.
Neste exemplo, o roteador foi configurado com duas interfaces físicas separadas para
interagir com as diferentes VLANs e executar o roteamento.
Página 3:
O roteamento entre VLANs tradicional exige interfaces físicas múltiplas no roteador e

no switch. Entretanto, nem todas as configurações de roteamento entre VLANs são
assim. Alguns softwares de roteador permitem configurar interfaces de roteador como
links de tronco. Isso abre novas possibilidades para o roteamento entre VLANs.
"Router on a Stick" é um tipo de configuração de roteador na qual uma única interface

física roteia o tráfego entre VLANs múltiplas em uma rede. Como você pode ver na
figura, o roteador está conectado ao switch S1 usando uma única conexão de rede física.
A interface do roteador é configurada para operar como um link de tronco e está

conectada a uma porta de switch configurada em modo de tronco. O roteador executa o
roteamento entre VLANs aceitando o tráfego com etiqueta de VLAN, que vem do
switch adjacente na interface de tronco, e roteando internamente entre as VLANs que
usam subinterfaces. Em seguida, o roteador encaminha o tráfego roteado – com etiqueta
de VLAN para a VLAN de destino – pela mesma interface física.
Subinterfaces são interfaces virtuais múltiplas, associadas a uma interface física. Elas
são configuradas em software, em um roteador configurado independentemente com um
endereço IP e uma atribuição de VLAN para operar em uma VLAN específica.
Subinterfaces são configuradas para sub-redes diferentes que correspondem à sua
atribuição de VLAN para facilitarem o roteamento lógico antes das as estruturas de
dados terem etiquetas de VLAN e serem enviadas de volta pela interface física. Você
obterá mais informações sobre interfaces e subinterfaces no próximo tópico.
Clique no botão Reproduzir na figura para ver como um roteador fixo executa a
função de roteamento.
1. O PC1 na VLAN10 está se comunicando com o PC3 na VLAN30 pelo roteador R1,
usando uma única interface de roteador física.
2. O PC1 envia o tráfego unicast ao switch S2.
3. Em seguida, o switch S2 etiqueta o tráfego unicast como tendo origem na VLAN10 e

encaminha-o pelo link de tronco para o switch S1.
4. O switch S1 encaminha o tráfego etiquetado pela outra interface de tronco na porta

F0/5 para a interface no roteador R1.
5. O roteador R1 aceita o tráfego unicast etiquetado na VLAN10 e roteia-o para a

VLAN30 usando suas subinterfaces configuradas.
6. O tráfego unicast recebe a etiqueta da VLAN30 ao ser enviado pela interface do

roteador para o switch S1.
7. O switch S1 encaminha o tráfego unicast etiquetado pelo outro link de tronco para o
switch S2.
8. O switch S2 remove a etiqueta de VLAN do quadro unicast e encaminha o quadro
para o PC3 na porta F0/6.
Página 4:
Alguns switches podem executar funções de Camada 3, substituindo a necessidade de

roteadores dedicados executarem roteamento básico em uma rede. Switches
multicamada podem executar roteamento entre VLANs.
Clique no botão Reproduzir na figura para ver como ocorre o roteamento entre
VLANs baseado em switch.
1. O PC1 na VLAN10 está se comunicando com o PC3 na VLAN30 pelo switch S1,
usando interfaces VLAN configuradas para cada VLAN.
2. O PC1 envia o tráfego unicast ao switch S2.
3. O switch S2 etiqueta o tráfego unicast como tendo origem na VLAN10, enquanto

encaminha o tráfego unicast pelo link de tronco para o switch S1.
4. O switch S1 remove a etiqueta de VLAN e encaminha o tráfego unicast para a

interface VLAN10.
5. O switch S1 roteia o tráfego unicast para a interface VLAN30.
6. Em seguida, o switch S1 reetiqueta o tráfego unicast, desta vez como VLAN30, e

encaminha-o pelo link de tronco de volta para o switch S2.
7. O switch S2 remove a etiqueta de VLAN do quadro unicast e encaminha o quadro

para o PC3 na porta F0/6.
Para permitir que um switch multicamada execute funções de roteamento, as interfaces

VLAN no switch precisam ser configuradas com os endereços IP apropriados que
correspondam à sub-rede à qual a VLAN está associada na rede. O switch multicamada
também deve ter roteamento de IP habilitado. A comutação multicamada é complexa e
está fora do escopo deste curso. Para uma visão geral considerável da comutação
multicamada, visite:
http://cisco.com/en/US/docs/ios/12_0/switch/configuration/guide/xcmls.html.
A configuração do roteamento entre VLANs em um switch multicamada está fora do

escopo deste curso. Entretanto, o currículo do CCNP aborda o conceito de forma
abrangente. Para explorar informações adicionais, visite:
http://www.cisco.com/en/US/tech/tk389/tk815/technologies_configuration_example091
86a008019e74e.shtml.
6.1.2 Interfaces e subinterfaces
Página 1:
Como já mencionamos, há várias opções de roteamento entre VLANs. Cada uma delas
usa uma configuração de roteador diferente para realizar a tarefa de roteamento entre
VLANs. Neste tópico, estudaremos o modo como cada tipo de configuração de interface
de roteador roteia entre VLANs, além das vantagens e das desvantagens. Começaremos
revisando o modelo tradicional.
Usando o roteador como um gateway
O roteamento tradicional exige que roteadores tenham interfaces físicas múltiplas para
facilitar o roteamento entre VLANs. O roteador realiza o roteamento conectando cada
uma de suas interfaces físicas a uma VLAN exclusiva. Cada interface é também
configurada com um endereço IP para a sub-rede associada à VLAN específica à qual
está conectada. Com a configuração dos endereços IP nas interfaces físicas, dispositivos
de rede conectados a cada uma das VLANs podem comunicar-se com o roteador que
usa a interface física conectada à mesma VLAN. Nessa configuração, dispositivos de
rede podem usar o roteador como um gateway para acessar os dispositivos conectados
às outras VLANs.
O processo de roteamento exige que o dispositivo de origem determine se o dispositivo

de destino está local ou remoto em relação à sub-rede local. O dispositivo de origem
realiza essa tarefa comparando os endereços de origem e destino com a máscara de sub-
rede. Quando é determinado que o endereço de destino está em uma rede remota, o
dispositivo de origem deve identificar para onde precisa encaminhar o pacote a fim de
alcançar o dispositivo de destino. O dispositivo de origem examina a tabela de
roteamento local para determinar para onde precisa enviar os dados. Normalmente,
dispositivos usam o gateway padrão como o destino para todo tráfego que precise deixar
a sub-rede local. O gateway padrão é a rota que o dispositivo usa quando não tem
nenhuma outra rota explicitamente definida até a rede de destino. A interface do
roteador na sub-rede local age como o gateway padrão para o dispositivo remetente.
Quando o dispositivo de origem determina que o pacote deve viajar pela interface do
roteador local na VLAN conectada, o dispositivo de origem envia uma solicitação ARP
para determinar o endereço MAC da interface do roteador local. Quando o roteador
envia sua resposta ARP ao dispositivo de origem, o dispositivo de origem pode usar o
endereço MAC para terminar de estruturar o pacote antes de enviá-lo na rede como
tráfego unicast.
Considerando que o quadro ethernet tenha o endereço MAC de destino da interface do

roteador, o switch sabe exatamente para qual porta de switch encaminhar o tráfego
unicast, a fim de alcançar a interface do roteador naquela VLAN. Quando o quadro
chega ao roteador, o roteador remove as informações do endereço MAC de origem e
destino para examinar o endereço IP de destino do pacote. O roteador compara o
endereço de destino a entradas na tabela de roteamento para determinar para onde
precisa encaminhar os dados a fim de alcançar seu destino final. Se o roteador
determina que a rede de destino é uma rede localmente conectada, como seria o caso em
roteamento entre VLANs, o roteador envia uma solicitação ARP pela interface
fisicamente conectada para a VLAN de destino. O dispositivo de destino responde ao
roteador com seu endereço MAC, o qual é usado pelo roteador para estruturar o pacote.
Em seguida, o roteador envia o tráfego unicast ao switch, e este encaminha-o pela porta
à qual o dispositivo de destino está conectado.
Clique no botão Reproduzir na figura para ver como o roteamento tradicional é
realizado.
Embora haja muitos passos no processo de roteamento entre VLANs quando dois
dispositivos em VLANs diferentes se comunicam por um roteador, todo o processo
acontece em uma fração de segundo.
Página 2:
Configuração da interface
Clique no botão Configuração de interface na figura para ver um exemplo de

configuração de interfaces de roteador.
A configuração de interfaces de roteador é semelhante à configuração de interfaces

VLAN em switches. No modo de configuração global, alterne para modo de
configuração de interface para a interface específica que você deseja configurar.
Como você pode ver no exemplo, a interface F0/0 está configurada com endereço IP
172.17.10.1 e máscara de sub-rede 255.255.255.0 com o uso do comando ip address
172.17.10.1 255.255.255.0.
Para habilitar uma interface de roteador, o comando no shutdown deve ser digitado
para a interface. Observe também que a interface F0/1 foi configurada. Depois que
ambos os endereços IP são atribuídos a cada uma das interfaces físicas, o roteador pode
executar o roteamento.
Clique no botão Tabela de roteamento na figura para ver um exemplo de tabela de

roteamento em um roteador Cisco.
Tabela de roteamento
Como você pode ver no exemplo, a tabela de roteamento tem duas entradas, uma para a
rede 172.17.10.0 e outra para a rede 172.17.30.0. Observe a letra C à esquerda de cada
entrada de rota. Esta letra indica que a rota é local para uma interface conectada que
também é identificada na entrada de rota. Usando a saída do comando neste exemplo, se
o tráfego for destinado para a sub-rede 172.17.30.0, o roteador encaminhará o tráfego
pela interface F0/1.
O roteamento entre VLANs tradicional que usa interfaces físicas tem uma limitação.
Conforme o número de VLANs aumenta em uma rede, a abordagem física de ter uma
interface de roteador por VLAN é rapidamente impedida pelas limitações físicas de
hardware de um roteador. Roteadores têm um número limitado de interfaces físicas que
eles podem usar para se conectarem a VLANs diferentes. Redes grandes com muitas
VLANs devem usar entroncamento de VLAN para atribuir VLANs múltiplas a uma
única interface do roteador para funcionar dentro das restrições de hardware de
roteadores dedicados.
Página 3:
Para superar as limitações de hardware do roteamento entre VLANs baseado em
interfaces físicas de roteador, são usados subinterfaces virtuais e links de tronco, como
no exemplo do roteador fixo descrito anteriormente. Subinterfaces são interfaces
virtuais baseadas em software atribuídas a interfaces físicas. Cada subinterface é
configurada com seu próprio endereço IP, sua máscara de sub-rede e sua atribuição de
VLAN exclusiva, permitindo que uma única interface física faça parte de redes lógicas
múltiplas simultaneamente. Isso é útil ao executar o roteamento entre VLANs em redes
com VLANs múltiplas e poucas interfaces físicas de roteador.
Ao configurar o roteamento entre VLANs usando o modelo de roteador fixo, a interface

física do roteador deve ser conectada a um link de tronco no switch adjacente. São
criadas subinterfaces para cada VLAN/sub-rede exclusiva na rede. A cada subinterface
é atribuído um endereço IP específico à sub-rede da qual a subinterface fará parte, e
configurado a quadros de etiqueta de VLAN para a VLAN com a qual a interface
deverá interagir. Desse modo, o roteador pode manter o tráfego de cada subinterface
separado um do outro, enquanto ele volta ao switch através do link de tronco.
Do ponto de vista funcional, o modelo de roteador fixo para o roteamento entre VLANs
é igual ao modelo de roteamento tradicional, mas em vez de usar as interfaces físicas
para executar o roteamento, ele usa subinterfaces de uma única interface.
Vejamos um exemplo. Na figura, o PC1 precisa comunicar-se com o PC3. O PC1 está
na VLAN10, e o PC3 está na VLAN30. Para comunicar-se com o PC3, o PC1 precisa
ter seus dados roteados através do roteador R1 com o uso de subinterfaces configuradas.
Clique no botão Reproduzir na figura para ver como subinterfaces são usadas para
rotear entre VLANs.
Página 4:
Configuração da subinterface
A configuração de subinterfaces de roteador é semelhante à configuração de interfaces

físicas, exceto que você precisa criar a subinterface e atribuí-la a uma VLAN.
No exemplo, crie a subinterface de roteador digitando o comando interface f0/0.10 em

modo de configuração global. A sintaxe para a subinterface sempre é a interface física,
neste caso f0/0, seguido por um ponto e um número de subinterface. O número da
subinterface é configurável, mas geralmente é associado para refletir o número da
VLAN. No exemplo, as subinterfaces usam 10 e 30 como números de subinterface para
ficar mais fácil de lembrar com quais VLANs estão associadas. A interface física é
especificada porque pode haver interfaces múltiplas no roteador, e cada uma delas pode
ser configurada para suportar várias subinterfaces.
Antes da atribuição de um endereço IP a uma subinterface, a subinterface precisa ser

configurada para funcionar em uma VLAN específica por meio do comando
encapsulation dot1q vlan id. No exemplo, a subinterface Fa0/0.10 foi atribuída à
VLAN10. Depois que a VLAN é atribuída, o comando ip address 172.17.10.1
255.255.255.0 atribui a subinterface ao endereço IP apropriado para aquela VLAN.
Ao contrário de uma interface física comum, subinterfaces não são habilitadas com o
comando no shutdown no nível do modo de configuração de subinterface do software
IOS Cisco. Em vez disso, quando a interface física é habilitada com o comando no
shutdown, todas as subinterfaces configuradas são habilitadas. Da mesma forma, se a
interface física é desabilitada, todas as subinterfaces são desabilitadas.
Clique no botão Tabela de roteamento na figura para ver um exemplo de tabela de

roteamento do momento em que subinterfaces são configuradas.
Saída do comando da tabela do roteador
Como você pode ver na figura, as rotas definidas na tabela de roteamento indicam que
elas estão associadas com subinterfaces específicas, em vez de interfaces físicas
separadas.
Uma vantagem do uso de um link de tronco é que o número de roteadores e portas de

switch usados é reduzido. Isso não só ajuda a economizar dinheiro, como também pode
reduzir a complexidade da configuração. Por conseguinte, é possível escalar a
abordagem da subinterface de roteador para um número muito maior de VLANs que
uma configuração com uma interface física por design de VLAN.
Página 5:
Como acabamos de ver, são usadas interfaces físicas e subinterfaces para executar o
roteamento entre VLANs. Cada método tem suas vantagens e desvantagens.
Limites de porta
Interfaces físicas são configuradas para ter uma interface por VLAN na rede. Em redes
com muitas VLANs, não é possível usar um único roteador para executar o roteamento
entre VLANs. Roteadores têm limitações físicas que os impedem de conter muitas
interfaces físicas. Em vez disso, você pode usar roteadores múltiplos para executar o
roteamento entre VLANs para todas as VLANs quando é necessário evitar o uso de
subinterfaces.
Subinterfaces permitem a escala de um roteador para acomodar mais VLANs do que as

interfaces físicas permitem. O roteamento entre VLANs em ambientes grandes com
muitas VLANs normalmente pode ser acomodado de maneira melhor com o uso de uma
única interface física com muitas subinterfaces.
Desempenho
Como não há nenhuma contenção de largura de banda em interfaces físicas separadas,

interfaces físicas têm melhor desempenho quando comparadas com o uso de
subinterfaces. O tráfego de cada VLAN conectada tem acesso à largura de banda total
da interface física do roteador conectada à VLAN para roteamento entre VLANs.
Quando subinterfaces são usadas no roteamento entre VLANs, o tráfego que está sendo
roteado compete pela largura de banda na única interface física. Em uma rede ocupada,
isso pode causar um gargalo na comunicação. Para equilibrar a carga de tráfego em uma
interface física, subinterfaces são configuradas em interfaces físicas múltiplas, o que
resulta em menos contenção entre o tráfego de VLAN.
Portas de acesso e portas de tronco
A conexão de interfaces físicas para o roteamento entre VLANs exige que as portas de
switch sejam configuradas como portas de acesso. Subinterfaces exigem que a porta de
switch seja configurada como uma porta de tronco para poder aceitar o tráfego com
etiqueta de VLAN no link de tronco. Usando subinterfaces, muitas VLANs podem ser
roteadas em um único link de tronco em lugar de uma única interface física para cada
VLAN.
Custo
Financeiramente, é mais econômico usar subinterfaces em interfaces físicas separadas.

Roteadores que têm muitas interfaces físicas custam mais que roteadores com uma
única interface. Além disso, se você tem um roteador com muitas interfaces físicas, cada
interface é conectada a uma porta de switch separada, consumindo portas de switch
adicionais na rede. Portas de switch são um recurso caro em switches de alto
desempenho. Consumindo portas adicionais para funções do roteamento entre VLANs,
o switch e o roteador aumentam o custo global da solução de roteamento entre VLANs.
Complexidade
O uso de subinterfaces no roteamento entre VLANs resulta em uma configuração física

menos complexa do que o uso de interfaces físicas separadas, porque há menos cabos de
rede física interconectando o roteador ao switch. Com menos cabos, há menos confusão
em relação ao local em que o cabo é conectado ao switch. Como o entroncamento das
VLANs está sendo feito em um único link, é mais fácil solucionar os problemas das
conexões físicas.
Por outro lado, o uso de subinterfaces com uma porta de tronco resulta em uma
configuração de software mais complexa, o que pode ser difícil de solucionar. No
modelo de roteador fixo, apenas uma interface é usada para acomodar todas as
diferentes VLANs. Se uma VLAN está com dificuldade para rotear a outras VLANs,
você não pode simplesmente rastrear o cabo para saber se ele está conectado à porta
correta. É necessário verificar se a porta de switch está configurada para ser um tronco e
se a VLAN não está sendo filtrada em algum link de tronco antes de alcançar a interface
do roteador. Também é necessário verificar se a subinterface do roteador está
configurada para usar a ID de VLAN e o endereço IP corretos para a sub-rede associada
a essa VLAN.
6.2 Configuração do roteamento entre VLANs

6.2.1 Configuração do roteamento entre VLANs
Página 1:
Neste tópico, você aprenderá a configurar um roteador Cisco IOS para o roteamento
entre VLANs e verá novamente os comandos necessários para configurar um switch
para suportar o roteamento entre VLANs.
Antes de configurar o roteador, configure o switch ao qual ele será conectado. Como
você pode ver na figura, o roteador R1 está conectado às portas de switch F0/4 e F0/5,
que foram configuradas para as VLANs 10 e 30 respectivamente.
Clique no botão Configuração do switch na figura para ver um exemplo de

configuração de switch.
Como revisão, VLANs são criadas no modo de configuração global com o uso do
comando vlan vlan id. Neste exemplo, foram criadas as VLANs 10 e 30 no switch S1.
Depois que as VLANs são criadas, elas são atribuídas às portas de switch às quais o
roteador se conectará. Para realizar esta tarefa, o comando switchport access vlan vlan
id é executado no modo de configuração de interface no switch para cada interface à
qual o roteador se conectará.
Neste exemplo, as interfaces F0/4 e F0/11 foram configuradas na VLAN 10 com o

comando switchport access vlan 10. O mesmo processo é usado para atribuir a VLAN
30 às interfaces F0/5 e F0/6 no switch S1.
Por fim, para proteger a configuração de forma que ela não se perca depois de uma
recarga do switch, o comando copy running-config startup-config é executado no
modo EXEC privilegiado para fazer backup da configuração em execução para a
configuração de inicialização.
Clique no botão Configuração da interface do roteador na figura para ver um

exemplo de configuração do roteador.
Em seguida, o roteador pode ser configurado para executar o roteamento entre VLANs.
Como você pode ver na figura, cada interface é configurada com um endereço IP com o
uso do comando ip address ip_address subnet_mask no modo de configuração de
interface.
Por padrão, interfaces de roteador estão desabilitadas e precisam ser habilitadas pelo
comando no shutdown antes de serem usadas.
Neste exemplo, o endereço IP de 172.17.10.1 foi atribuído à interface F0/0 com o uso
do comando ip address 172.17.10.1 255.255.255.0. Observe também que, após a
execução do comando do modo de configuração da interface no shutdown, é exibida
uma notificação indicando que o estado da interface mudou para ativo (up). Isso indica
que agora a interface está habilitada.
O processo é repetido para todas as interfaces de roteador. Cada interface de roteador
precisa ser atribuída a uma sub-rede exclusiva para haver roteamento. Neste exemplo, a
outra interface de roteador, F0/1, foi configurada para usar o endereço IP 172.17.30.1,
que está em uma sub-rede diferente daquela em que está a interface F0/0.
Por padrão, os roteadores Cisco são configurados para rotear tráfego entre as interfaces
locais. Como resultado, o roteamento não precisa especificamente ser habilitado.
Entretanto, se roteadores múltiplos estão sendo configurados para executar o roteamento
entre VLANs, é possível habilitar um protocolo de roteamento dinâmico para
simplificar o gerenciamento da tabela de roteamento.
Página 2:
Agora examine a tabela de roteamento usando o comando do modo EXEC privilegiado

show ip route.
No exemplo, há duas rotas na tabela de roteamento. Uma rota é para a sub-rede

172.17.10.0, que está anexada à interface local F0/0. A outra rota é para a sub-rede
172.17.30.0, que está anexada à interface local F0/1. Utilizando esta tabela de
roteamento, o roteador determina para onde enviar o tráfego recebido. Por exemplo, se o
roteador recebe um pacote na interface F0/0 destinado para a sub-rede 172.17.30.0, ele
identifica que deve enviar o pacote pela interface F0/1 para alcançar os hosts na sub-
rede 172.17.30.0.
Clique no botão Verificar configuração do roteador na figura para ver um exemplo

de configuração do roteador.
Verificar a configuração do roteador
Para verificar a configuração do roteador, use o comando do modo EXEC privilegiado

show running-config. Esse comando exibe a configuração operacional atual do
roteador. É possível ver quais endereços IP foram configurados para cada interface de
roteador, bem como o status operacional da interface.
Neste exemplo, observe que a interface F0/0 está configurada corretamente com o
endereço IP 172.17.10.1. Observe também a falta do comando shutdown abaixo da
interface F0/0. A ausência do comando shutdown confirma que o comando no
shutdown foi emitido e que a interface está habilitada.
Com o comando show interface no modo EXEC privilegiado, você pode obter
informações mais detalhadas sobre interfaces de roteador, como informações de
diagnóstico, status, endereço MAC e erros de transmissão ou recebimento.
6.2.2 Configurar o roteamento entre VLANs de roteador fixo
Página 1:
Antes de configurar o roteador, configure o switch ao qual ele será conectado.
Como você pode ver na figura, o roteador R1 está conectado ao switch S1 na porta de
tronco F0/5. As VLANs 10 e 30 também foram adicionadas ao switch S1.
Clique no botão Configuração do switch na figura para ver um exemplo de

configuração de switch.
Como revisão, VLANs são criadas no modo de configuração global com o uso do
comando vlan vlan id. Neste exemplo, foram criadas as VLANs 10 e 30 no switch S1
com o uso dos comandos vlan 10 e vlan 30.
Como a porta de switch F0/5 será configurada como uma porta de tronco, você não terá
que atribuir nenhuma VLAN à porta. Para configurar a porta de switch F0/5 como uma
porta de tronco, execute o comando switchport mode trunk no modo de configuração
de interface na interface F0/5. Você não pode usar o comando switchport mode
dynamic auto ou switchport mode dynamic desirable porque o roteador não suporta
o protocolo de entroncamento dinâmico.
Por fim, para proteger a configuração de forma que ela não se perca depois de uma
recarga do switch, o comando copy running-config startup-config é executado no
modo EXEC privilegiado para fazer backup da configuração em execução para a
configuração de inicialização.
Clique no botão Configuração do roteador na figura para ver um exemplo de

configuração do roteador.
Configuração do roteador
Em seguida, o roteador pode ser configurado para executar o roteamento entre VLANs.
Como você pode ver na figura, a configuração de subinterfaces múltiplas é diferente de

quando são usadas interfaces físicas.
Cada subinterface é criada com o uso do comando do modo de configuração global de

interface interface_id.Subinterface_id. Neste exemplo, a subinterface Fa0/0.10 é criada
com o uso do comando do modo de configuração global interface fa0/0.10. Depois que
a subinterface é criada, a ID de VLAN é atribuída com o uso do comando do modo de
configuração de subinterface encapsulation dot1q vlan_id.
Em seguida, atribua o endereço IP para a subinterface com o uso do comando do modo

de configuração de subinterface ip address ip_address subnet_mask. Neste exemplo, a
subinterface F0/0.10 está atribuída ao endereço IP 172.17.10.1 com o uso do comando
ip address 172.17.10.1 255.255.255.0. Não é necessário executar um comando no
shutdown no nível da subinterface porque ele não habilita a interface física.
Este processo é repetido para todas as subinterfaces de roteador que precisam ser
roteadas entre as VLANs configuradas na rede. É necessário atribuir um endereço IP
para cada subinterface de roteador em uma sub-rede exclusiva para haver roteamento.
Neste exemplo, a outra subinterface de roteador, F0/0.30, foi configurada para usar o
endereço IP 172.17.30.1, que está em uma sub-rede diferente daquela em que está a
interface F0/0.10.
Uma vez que todas as subinterfaces são configuradas na interface física do roteador, a
interface física é habilitada. No exemplo, o comando no shutdown é executado na
interface F0/0 para habilitá-la; ela, por sua vez, habilita todas as subinterfaces
configuradas.
Por padrão, os roteadores Cisco são configurados para rotear tráfego entre as
subinterfaces locais. Como resultado, o roteamento não precisa especificamente ser
habilitado.
Página 2:
Agora, examine a tabela de roteamento usando o comando do modo EXEC privilegiado

show ip route. No exemplo, há duas rotas na tabela de roteamento. Uma rota é para a
sub-rede 172.17.10.0, que está anexada à subinterface local F0/0.10. A outra rota é para
a sub-rede 172.17.30.0, que está anexada à subinterface local F0/0.30. Utilizando esta
tabela de roteamento, o roteador determina para onde enviar o tráfego recebido. Por
exemplo, se o roteador recebe um pacote na subinterface F0/0.10 destinado para a sub-
rede 172.17.30.0, o roteador identifica que deve enviar o pacote pela subinterface
F0/0.30 para alcançar os hosts na sub-rede 172.17.30.0.
Clique no botão Verificar configuração do roteador na figura para ver um exemplo

de configuração do roteador.
Para verificar a configuração do roteador, use o comando no modo EXEC privilegiado

show running-config. O comando show running-config exibe a configuração
operacional atual do roteador. Verifique quais endereços IP foram configurados para
cada subinterface de roteador, como também se a interface física foi deixada
desabilitada ou habilitada com o uso do comando no shutdown.
Neste exemplo, observe que a interface F0/0.10 foi configurada corretamente com o
endereço IP 172.17.10.1. Observe também a falta do comando shutdown abaixo da
interface F0/0. A ausência do comando shutdown confirma que o comando no
shutdown foi emitido e que a interface está habilitada.
Com o comando show interface no modo EXEC privilegiado, você pode obter
informações mais detalhadas sobre interfaces de roteador, como informações de
diagnóstico, status, endereço MAC e erros de transmissão ou recebimento.
Página 3:
A próxima etapa após o roteador e o switch terem sido configurados para executar o
roteamento entre VLANs é verificar se o roteador está funcionando corretamente. Você
pode testar o acesso aos dispositivos em VLANs remotas com o uso do comando ping.
Para o exemplo mostrado na figura, você iniciará um ping e um tracert a partir do PC1
para o endereço de destino do PC3.
O teste de ping
O comando ping envia uma solicitação de eco ICMP ao endereço de destino. Quando
um host recebe uma solicitação de eco ICMP, ele envia uma resposta de eco ICMP para
confirmar que recebeu a solicitação de eco ICMP. O comando ping calcula o tempo
decorrido utilizando a diferença entre a hora em que o ping foi enviado e a hora em que
a resposta de eco foi recebida. Esse tempo decorrido é usado para determinar a latência
da conexão. O recebimento bem-sucedido de uma resposta confirma que há um
caminho entre o dispositivo remetente e o dispositivo receptor.
O teste Tracert
O tracert é um recurso útil para confirmar o caminho roteado percorrido entre dois
dispositivos. Em sistemas UNIX, o utilitário é especificado pelo traceroute. O tracert
também usa o ICMP para determinar o caminho percorrido, mas usa solicitações de eco
ICMP com valores de tempo de vida específicos definidos no quadro.
O valor de tempo de vida determina exatamente quantos saltos de roteador o eco ICMP
pode alcançar. A primeira solicitação de eco ICMP é enviada com um valor de tempo de
vida definido para expirar no primeiro roteador a caminho do dispositivo de destino.
Quando a solicitação de eco ICMP expira na primeira rota, uma confirmação é enviada
pelo roteador para o dispositivo de origem. O dispositivo registra a resposta do roteador
e prepara-se para enviar outra solicitação de eco ICMP, mas desta vez com um valor de
tempo de vida maior. Isso permite que a solicitação de eco ICMP passe pelo primeiro
roteador e alcance o segundo dispositivo a caminho do destino final. O processo é
repetido até que a solicitação de eco ICMP tenha passado por todo o caminho até o
dispositivo de destino final. Após o término da execução do utilitário tracert, é
apresentada uma lista de todas as interfaces de roteador que a solicitação de eco ICMP
alcançou em seu caminho até o destino.
Clique no botão Saídas do comando do dispositivo na figura para ver um exemplo

de saída dos comandos ping e tracert.
No exemplo, o utilitário ping pôde enviar uma solicitação de eco ICMP ao endereço IP
do PC3. Além disso, o utilitário tracert confirma que o caminho para PC3 é através do
endereço IP da subinterface 172.17.10.1 do roteador R1.
6.3 Identificação e solução de problemas do roteamento entre VLANs

6.3.1 Problemas na configuração do switch
Página 1:
Neste tópico, abordamos os desafios associados com a configuração de VLANs

múltiplas em uma rede. Este tópico explora problemas comuns e descreve métodos de
solução de problemas para identificá-los e corrigi-los.
Ao usar o modelo de roteamento tradicional no roteamento entre VLANs, assegure-se
de que as portas de switch que se conectam às interfaces de roteador estejam
configuradas nas VLANs corretas. Se as portas de switch não forem configuradas na
VLAN correta, os dispositivos configurados nessa VLAN não poderão se conectar à
interface do roteador e, conseqüentemente, não poderão rotear para as outras VLANs.
Clique no botão Topologia 1 na figura.
Como você pode ver na Topologia 1, o PC1 e a interface F0/0 do roteador R1 foram
configurados para estar na mesma sub-rede lógica, como indicado pela atribuição de
endereço IP. Entretanto, a porta de switch F0/4 que se conecta à interface F0/0 do
roteador R1 não foi configurada e permaneceu na VLAN padrão. Como o roteador R1
está em uma VLAN diferente daquela em que está o PC1, eles não podem se comunicar.
Para solucionar este problema, execute o comando de configuração de interface

switchport access vlan 10 na porta de switch F0/4 do switch S1. Quando a porta de
switch é configurada para a VLAN correta, o PC1 pode comunicar-se com a interface
F0/0 do roteador R1, o que permite que ele acesse as outras VLANs conectadas ao
roteador R1.
Clique no botão Topologia 2 na figura para ver outro problema de configuração de

switch.
Em Topologia 2, foi escolhido o modelo de roteamento com roteador fixo. Porém, a

interface F0/5 no switch S1 não está configurada como um tronco e, subseqüentemente,
partiu na VLAN padrão para a porta. Como resultado, o roteador não pode funcionar
corretamente porque nenhuma de suas subinterfaces configuradas pode enviar ou
receber tráfego com etiqueta de VLAN. Isso impede todas as VLANs configuradas de
rotear pelo roteador R1 para alcançar as outras VLANs.
Para solucionar este problema, execute o comando de configuração de interface

switchport mode trunk na porta de switch F0/5 do switch S1. Isso converte a interface
em um tronco, permitindo que o tronco estabeleça com êxito uma conexão com o
roteador R1. Quando o tronco é estabelecido com êxito, os dispositivos conectados a
cada uma das VLANs podem comunicar-se com a subinterface atribuída à VLAN deles,
possibilitando o roteamento entre VLANs.

switch.
Em Topologia 3, o link de tronco entre o switch S1 e o switch S2 está para inativo.

Como não há nenhuma conexão ou caminho redundante entre os dispositivos, nenhum
dispositivo conectado ao switch S2 pode alcançar o roteador R1. Como resultado,
nenhum dispositivo conectado ao switch S2 pode rotear a outras VLANs pelo roteador
R1.
Para reduzir o risco de interrupção do roteamento entre VLANs por um link inter-switch
com falha, links redundantes e caminhos alternativos devem ser configurados entre os
switches S1 e S2. Links redundantes são configurados na forma de um EtherChannel
que protege contra uma única falha de link. A tecnologia Cisco EtherChannel permite
agregar links físicos múltiplos em um link lógico. Isso pode proporcionar até 80 Gb/s de
largura de banda agregada com 10 Gigabit EtherChannel.
Além disso, podem ser configurados caminhos alternativos através de outros switches
interconectados. Esta abordagem depende do Protocolo Spanning Tree (STP) para
impedir a possibilidade de loops dentro do ambiente de switch. Pode haver também uma
pequena interrupção no acesso de roteador enquanto o STP determina se o link atual
está para inativo e localiza uma rota alternativa.
O currículo do CCNP aborda a tecnologia EtherChannel; para obter mais informações

sobre a tecnologia Cisco EtherChannel, visite:
http://www.cisco.com/en/US/tech/tk389/tk213/technologies_white_paper09186a008009
2944.shtml (em inglês).
Página 2:
Comandos do IOS Cisco do switch
Quando você suspeitar de um problema com uma configuração de switch, use os vários
comandos de verificação para examinar a configuração e identificar o problema.
Clique no botão Atribuição de VLAN incorreta na figura.
A saída de comandos na tela mostra os resultados do comando show interface

interface-id switchport. Suponha que você tenha emitido esses comandos por suspeitar
que a VLAN 10 não foi atribuída à porta F0/4 no switch S1. A área superior realçada
mostra que a porta F0/4 no switch S1 está em modo de acesso, mas não mostra que ela
foi atribuída diretamente à VLAN 10. A área inferior realçada confirma que a porta
F0/4 ainda está definida para a VLAN padrão. Os comandos show running-config e
show interface interface-id switchport são úteis para identificar problemas de
atribuição de VLAN e configuração de porta.
Clique no botão Modo de acesso incorreto na figura.
Após a alteração da configuração do dispositivo, a comunicação entre o roteador R1 e o

switch S1 parou. O link entre o roteador e o switch deve ser um link de tronco. A saída
do comando na tela mostra os resultados dos comandos show interface interface-id
switchport e show running-config. A área superior realçada confirma que a porta F0/4
no switch S1 está em modo de acesso, não em modo de tronco. A área inferior realçada
também confirma que a porta F0/4 foi configurada para modo de acesso.
6.3.2 Problemas de configuração do roteador
Página 1:
Um dos erros mais comuns na configuração do roteador entre VLANs é conectar a

interface física do roteador à porta de switch errada, colocando-a na VLAN incorreta e
impedindo-a de alcançar as outras VLANs.
Como você pode ver em Topologia 1, a interface F0/0 do roteador R1 está conectada ao
switch S1 na porta de tronco F0/9. A porta de switch F0/9 está configurada para a
VLAN padrão, não para a VLAN10. Isso impede que o PC1 se comunique com a
interface do roteador, e conseqüentemente, o PC1 não pode rotear para a VLAN30.
Para solucionar este problema, conecte fisicamente a interface F0/0 do roteador R1 à

porta F0/4 do switch S1. Assim, a interface do roteador é colocada na VLAN correta,
possibilitando o funcionamento do roteamento entre VLANs. Como alternativa, é
possível alterar a atribuição de VLAN da porta de switch F0/9 para que ela esteja na
VLAN10. Essa ação também permite que o PC1 se comunique com a interface F0/0 do
roteador R1.

roteador.
Em Topologia 2, o roteador R1 foi configurado para usar a VLAN errada na

subinterface F0/0.10, impedindo dispositivos configurados na VLAN10 de se
comunicarem com a subinterface F0/0.10. Dessa forma, esses dispositivos não podem
rotear para outras VLANs na rede.
Para solucionar este problema, configure a subinterface F0/0.10 para estar na VLAN
correta com o uso do comando do modo de configuração de subinterface encapsulation
dot1q 10. Quando a subinterface tiver sido atribuída à VLAN correta, ela poderá ser
acessada por dispositivos naquela VLAN e executar o roteamento entre VLANs.
Página 2:
Neste cenário de solução de problemas, você suspeita de um problema com o roteador

R1. A subinterface F0/0.10 deve permitir acesso ao tráfego da VLAN 10, e a
subinterface F0/0.30 deve permitir acesso ao tráfego da VLAN 30. A captura de tela
mostra os resultados da execução dos comandos show interface e show running-
config.
A seção superior realçada mostra que a subinterface F0/0.10 no roteador R1 usa a

VLAN 100. O comando show interface gera muitos comandos de saída, algumas vezes
tornando difícil a visualização do problema.
O comando show running-config confirma que a subinterface F0/0.10 no roteador R1

foi configurada para permitir acesso ao tráfego da VLAN 100 e não ao da VLAN 10.
Talvez seja um erro de digitação.
Com a verificação adequada, problemas de configuração do roteador são rapidamente

resolvidos, fazendo o roteamento entre VLANs funcionar corretamente outra vez.
Lembre-se de que as VLANs são conectadas diretamente: é assim que elas ingressam na
tabela de roteamento.
6.3.3 Problemas de endereçamento IP
Página 1:
Já sabemos que sub-redes são a chave para a implementação do roteamento entre

VLANs. VLANs correspondem a sub-redes exclusivas na rede. Para o roteamento entre
VLANs funcionar, um roteador precisa estar conectado a todas as VLANs, seja por
interfaces físicas separadas, seja por subinterfaces entroncadas. Cada interface, ou
subinterface, precisa de um endereço IP que corresponda à sub-rede à qual ela está
conectada. Isso permite que dispositivos na VLAN se comuniquem com a interface do
roteador e habilitem o roteamento de tráfego para outras VLANs conectadas ao
roteador.
Vejamos alguns erros comuns.
Como você pode ver em Topologia 1, o roteador R1 foi configurado com um endereço
IP incorreto na interface F0/0. Isso impede que o PC1 se comunique com o roteador R1
na VLAN10.
Para solucionar este problema, atribua o endereço IP correto à interface F0/0 do

roteador R1 com o uso do comando de interface ip address 172.17.10.1 255.255.255.0
no modo de configuração. Após a atribuição do endereço IP correto à interface do
roteador, o PC1 pode usar a interface como um gateway padrão para acessar outras
VLANs.

endereço IP.
Em Topologia 2, o PC1 foi configurado com um endereço IP incorreto para a sub-rede

associada à VLAN10. Isso impede que o PC1 se comunique com o roteador R1 na
VLAN10.
Para solucionar este problema, atribua o endereço IP correto ao PC1. Dependendo do

tipo de PC em uso, os detalhes de configuração podem ser diferentes.

endereço IP.
Em Topologia 3, o PC1 foi configurado com a máscara de sub-rede incorreta. De acordo

com a máscara de sub-rede configurada para o PC1, ele está na rede 172.17.0.0.
Resultado: o PC1 determina que o PC3, com endereço IP 172.17.30.23, está na sub-rede
local. Consequentemente, o PC1 não encaminha o tráfego destinado para o PC3 à
interface F0/0 do roteador R1. Portanto, o tráfego nunca alcança o PC3.
Para solucionar este problema, altere a máscara de sub-rede no PC1 para 255.255.255.0.
Dependendo do tipo de PC em uso, os detalhes de configuração podem ser diferentes.
Página 2:
Comandos de verificação
Você aprendeu anteriormente que cada interface, ou subinterface, precisa de um
endereço IP que corresponda à sub-rede à qual ela está conectada. Um erro comum é
configurar um endereço IP incorretamente para uma subinterface. A captura de tela
mostra os resultados do comando show running-config. A área realçada mostra que a
subinterface F 0/0.10 no roteador R1 tem um endereço IP de 172.17.20.1. A VLAN para
esta subinterface deve permitir o tráfego da VLAN 10. Há um endereço IP configurado
incorretamente. Outro comando útil é o ip interface. O segundo realce mostra o
endereço IP incorreto.
Clique no botão Problema de endereçamento IP do PC.
Muitas vezes, o culpado é o dispositivo de usuário final, por exemplo, o computador

pessoal. Na configuração de saída do comando na tela do computador PC1, o endereço
IP é 172.17.20.21, com uma máscara de sub-rede de 255.255.255.0. Mas neste cenário,
o PC1 deveria estar na VLAN10, com um endereço de 172.17.10.21 e uma máscara de
sub-rede de 255.255.255.0.

Página 1:
O roteamento entre VLANs é o processo de roteamento do tráfego entre VLANs

diferentes, com o uso de um roteador dedicado ou de um switch multicamada. O
roteamento entre VLANs facilita a comunicação entre dispositivos isolados por limites
de VLAN.
A topologia de roteamento entre VLANs que usa um roteador externo com

subinterfaces entroncadas para um switch de camada 2 é chamada de roteador fixo.
Com essa opção, é importante configurar um endereço IP em cada subinterface lógica,
bem como o número de VLAN associado.
Redes comutadas modernas usam interfaces virtuais de switch em switches

multicamada para habilitar o roteamento entre VLANs.
Switches Catalyst 2960 podem ser usados em um cenário de roteador fixo, enquanto
switches Catalyst 3560 podem ser usados para a opção de comutação multicamada do
roteamento entre VLANs.
7 Conceitos básicos e configuração de rede sem fio

Página 1:
Nos capítulos anteriores, você aprendeu como funções de switch podem facilitar a
interconexão de dispositivos em uma rede conectada por fios. Redes de negócios típicas
utilizam redes cabeadas. São feitas conexões físicas entre sistemas de computadores,
sistemas telefônicos e outros dispositivos periféricos com switches localizados nos
wiring closets.
O gerenciamento de uma infraestrutura cabeada pode ser um desafio. Considere o que

acontece quando um funcionário decide que prefere seu sistema de computadores em
outro local do escritório, ou quando um gerente deseja levar um notebook para uma sala
de reuniões e conectar-se de lá à rede. Em uma rede cabeada, você precisa mover o cabo
de conexão de rede para um novo local no escritório e certificar-se de que haja uma
conexão de rede disponível na sala de reuniões. Para evitar essas mudanças físicas,
redes sem fio estão ficando cada vez mais comuns.
Neste capítulo, você aprenderá como uma rede local sem fio (WLANs) oferece às
empresas um ambiente de rede flexível. Conhecerá os diferentes padrões sem fio
disponíveis atualmente e as características de cada um. Você saberá quais componentes
de hardware são normalmente necessários em uma infraestrutura sem fio, como as
WLANs operam, e como protegê-las. Para concluir, você aprenderá a configurar um
ponto de acesso sem fio e um cliente para rede sem fio.
7.1 A rede local sem fio
7.1.1 Por que usar tecnologia wireless?
Página 1:
Por que redes locais sem fio se tornaram tão populares?
Clique no botão Reproduzir na figura para exibir o vídeo.
Atualmente, redes de negócios estão evoluindo para oferecer suporte às pessoas na

correria do dia-a-dia. Funcionários e empregadores, alunos e corpo docente, agentes do
governo e seus superiores, fãs de esporte e consumidores, todos têm aparelhos móveis, e
muitos deles estão "conectados" uns aos outros. Talvez você transfira mensagens
instantâneas para um telefone celular quando está longe do computador. Esta é a visão
de mobilidade: um ambiente em que as pessoas podem se locomover para onde
quiserem sem perder a conexão com a rede.
Há muitas infraestruturas diferentes (rede local cabeada, redes de provedores de

serviços) que possibilitam essa mobilidade, mas em um ambiente de negócios, a mais
importante é a WLAN.
A produtividade já não é restringida a um local de trabalho fixo ou um período de tempo

determinado. Agora o que as pessoas querem é permanecer conectadas, a qualquer hora
e em qualquer lugar, do escritório para o aeroporto ou até mesmo em casa. Antes,
funcionários que estivessem viajando ficavam limitados a telefones públicos para
verificar mensagens e retornar chamadas entre um voo e outro. Agora eles podem
verificar email, correio de voz e o status de produtos em assistentes digitais pessoais
(PDAs) enquanto vão de um lugar para outro.
Em casa, muitas pessoas mudaram o modo de viver e de aprender. A Internet tornou-se
um serviço padrão em muitas casas, juntamente com a TV e o telefone. Até mesmo o
modo de acessar a Internet mudou rapidamente de serviço temporário de discagem com
modem para DSL dedicado ou serviço de cabo. Usuários domésticos estão buscando
muitas das mesmas soluções sem fio flexíveis que funcionários em um escritório já
possuem. Pela primeira vez, em 2005, foram comprados mais laptops móveis
habilitados com Wi-Fi do que desktops fixos.
Além da flexibilidade que as WLANs oferecem, outro benefício importante é o custo

reduzido. Por exemplo, com uma infraestrutura sem fio já em operação, a economia é
percebida quando uma pessoa muda de local em um prédio, quando um laboratório é
reorganizado, ou quando a equipe muda para locais temporários. Em média, o custo de
TI para mover um funcionário para um novo local dentro de um prédio é de US$375.
Outro exemplo é a mudança de uma empresa para um novo prédio que não tem
nenhuma infraestrutura cabeada. Neste caso, a economia resultante do uso de WLANs
pode ser ainda mais notável porque evita o custo de passar cabos por paredes, teto e
chão.
Embora seja mais difícil provar com números, as WLANs podem resultar em
produtividade melhor e funcionários menos tensos, trazendo melhores resultados para
clientes e maiores lucros.
Página 2:
Redes locais sem fio
Nos capítulos anteriores, você aprendeu sobre tecnologias de switch e funções. A

maioria das redes de negócio atuais fazem uso de redes locais baseadas em switch para
operações cotidianas dentro do escritório. Porém, trabalhadores estão utilizando mais
tecnologia móvel e desejam manter acesso a seus recursos comerciais de rede local a
partir de locais que não sejam a escrivaninhaem suas mesas. Os funcionários no
escritório desejam levar os laptops para reuniões ou para o escritório de um colega de
trabalho. Ao usar um laptop em outro local, não é conveniente confiar em uma conexão
cabeada. Neste tópico, você aprenderá sobre redes locais sem fio (WLANs) e como elas
beneficiam um negócio. Você também explorará as questões de segurança associadas a
WLANs.
A comunicação portátil tornou-se uma expectativa em muitos países em todo o mundo.

Existe portabilidade e mobilidade em tudo, desde teclados e fones de ouvido sem fio a
telefones via satélite e sistemas de posicionamento global (GPS). A mistura de
tecnologias sem fio em tipos diferentes de redes permite a mobilidade dos funcionários.
Clique no botão Redes locais sem fio na figura.
Você pode ver que a WLAN é uma extensão da Rede local Ethernet. A função da rede
local agora é móvel. Você vai conhecer a tecnologia WLAN e os padrões por trás da
mobilidade que permitem que pessoas continuem uma reunião enquanto caminham,
andam de táxi ou estão no aeroporto.
Página 3:
Comparando uma WLAN com uma rede local
Redes locais sem fio compartilham uma origem semelhante com redes locais Ethernet.
O IEEE adotou o portfólio de rede local 802/MAN de padrões de arquitetura de rede de
computadores. Os dois grupos 802 dominantes em funcionamento são Ethernet 802.3 e
rede local sem fio IEEE 802.11. No entanto, há diferenças importantes entre os dois.
WLANs usam frequências de rádio (RF) em vez de cabos na Camada física e na

subcamada MAC da camada de enlace de dados. Em comparação com cabo, RF tem as
seguintes características:
 RF não tem limites, como os limites de uma cerca em volta de um quintal. A

ausência de tais limites permite que estruturas de dados viajem pelas mídias de
RF para estarem disponíveis a qualquer um que possa receber o sinal de RF.
 RF não é isolada de sinais externos, embora o cabo fique isolado. Rádios que
operam independentemente na mesma área geográfica, mas usando a mesma RF
ou uma RF semelhante podem interferir entre si.
 A transmissão de RF está sujeita aos mesmos desafios inerentes a qualquer
tecnologia baseada em onda, como rádio de casa. Por exemplo, conforme você
se afasta da origem, você pode ouvir estações tocando e se sobrepondo, ou pode
ouvir estática na transmissão. Consequentemente, você pode perder todo o sinal.
Redes locais cabeadas têm cabos de comprimento apropriado para manter a
intensidade do sinal.
 Faixas de RF são regulamentadas de maneira diferente em vários países. O uso
de WLANs é sujeito a regulamentos e conjuntos de padrões adicionais que não
se aplicam a redes locais cabeadas.
WLANs conectam clientes à rede por um ponto de acesso sem fio (AP) em vez de um
switch Ethernet.
WLANs conectam dispositivos móveis que frequentemente funcionam com bateria, ao

contrário de dispositivos de rede local que funcionam conectados à tomada. Placas de
interface de rede sem fio tendem a reduzir a vida útil da bateria de um dispositivo
móvel.
WLANs suportam hosts que disputam acesso nas mídias de RF (faixas de frequência).
Redes 802.11 determinam prevenção contra colisão em vez de detecção de colisão para
o acesso de mídia evitar colisões preventivamente na mídia.
WLANs usam um formato de quadro diferente do formato usado pelas redes locais
Ethernet cabeadas. WLANs exigem informações adicionais no cabeçalho do quadro da
Camada 2.
WLANs aumentam os problemas de privacidade porque as frequências de rádio podem

ir além das instalações.
Página 4:
Apresentando as redes locais sem fio
Redes locais sem fio 802.11 estendem as infraestruturas de rede local Ethernet 802.3
para fornecer opções de conectividade adicionais. Entretanto, são usados componentes e
protocolos adicionais para concluir as conexões sem fio.
Em uma rede local Ethernet 802.3, cada cliente tem um cabo que conecta a placa de
rede de cliente a um switch. O switch é o ponto em que o cliente ganha acesso à rede.
Clique no botão Dispositivos WLAN na figura.
Em uma rede local sem fio, cada cliente usa um adaptador sem fio para ganhar acesso à
rede por um dispositivo sem fio como um roteador ou ponto de acesso sem fio.
Clique no botão Clientes na figura.
O adaptador sem fio no cliente comunica-se com o roteador ou ponto de acesso sem fio
que usa sinais de RF. Uma vez conectados à rede, clientes da rede sem fio podem
acessar recursos de rede como se estivessem conectados a ela por cabos.
7.1.2 Padrões de redes locais sem fio
Página 1:
Padrões de redes locais sem fio
Rede local sem fio 802.11 é um padrão de IEEE que define como a frequência de rádio
(RF) nas faixas de frequência industriais, científicas e médicas (ISM) sem licença é
usada para a camada física e para a subcamada MAC de links sem fio.
Na primeira vez em que o 802.11 foi lançado, ele determinava taxas de dados de 1 a 2
Mb/s na faixa de 2,4 GHz. Naquela época, redes locais cabeadas operavam a 10 Mb/s,
então a nova tecnologia sem fio não foi adotada com entusiasmo. Desde então, os
padrões de redes locais sem fio melhoraram continuamente com o lançamento do IEEE
802.11a, do IEEE 802.11b, do IEEE 802.11g e do 802.11n, em fase de testes.
Normalmente, a escolha do padrão WLAN a ser usado é baseada em taxas de dados. Por
exemplo, os 802.11a e g podem suportar até 54 Mb/s, enquanto o 802.11b suporta no
máximo 11 Mb/s, sendo este o padrão "lento", fazendo os 802.11 a e g os mais
preferidos. Um quarto padrão de WLAN em fase de testes, o 802.11n, excede as taxas
de dados disponíveis atualmente. O IEEE 802.11n deve ser aprovado em setembro de
2008. A figura compara os padrões aprovados IEEE 802.11a, b e g.
Clique no botão Tabela na figura para ver detalhes de cada padrão.
As taxas de dados de padrões de redes locais sem fio diferentes são afetadas por algo
chamado de técnica de modulação. As duas técnicas de modulação que serão abordadas
neste curso são Espectro distribuído de sequência direta (DSSS, Direct Sequence Spread
Spectrum) e Multiplexação da divisão de frequência ortogonal (OFDM, Orthogonal
Frequency Division Multiplexing). Você não precisa saber como essas técnicas
funcionam para este curso, mas deve saber que quando um padrão usa a técnica OFDM,
ele tem taxas de dados mais rápidas. Entretanto, a DSSS é mais simples que a OFDM,
portanto a implementação dela é menos dispendiosa.
802.11a
O IEEE 802.11a adota a técnica de modulação OFDM e usa a faixa de 5 GHz.
Dispositivos 802.11a que operam na faixa de 5 GHz apresentam menos problemas de

interferência do que dispositivos que operam na faixa de 2,4 GHz porque há menos
dispositivos consumidores usando a faixa de 5 GHz. Além disso, frequências mais altas
permitem o uso de antenas menores.
Há algumas desvantagens relevantes quanto ao uso da faixa 5 de GHz. A primeira é que

ondas de rádio de frequência mais altas são absorvidas mais facilmente por obstáculos
como paredes, tornando o 802.11a suscetível a baixo desempenho devido a bloqueios. A
segunda é que essa faixa de frequência mais alta tem alcance ligeiramente mais limitado
que o 802.11b ou g. Além disso, alguns países, inclusive a Rússia, não permitem o uso
da faixa de 5 GHz, o que pode continuar restringindo sua implantação.
802.11b e 802.11g
O 802.11b especifica taxas de dados de 1, 2, 5.5 e 11 Mb/s na faixa de ISM de 2,4 GHz
usando DSSS. O 802.11g obtém taxas de dados mais altas nessa faixa usando a técnica
de modulação OFDM. O IEEE 802.11g também especifica o uso de DSSS para
compatibilidade com sistemas do IEEE 802.11b. São suportadas taxas de dados DSSS
de 1, 2, 5.5 e 11 Mb/s, assim como taxas de dados OFDM de 6, 9, 12, 18, 24, 48 e 54
Mb/s.
Há vantagens quanto ao uso da faixa de 2,4 GHz. Dispositivos na faixa de 2,4 GHz têm
alcance melhor que os da faixa de 5GHz. Além disso, as transmissões nesta faixa não
são bloqueadas tão facilmente quanto o 802.11a.
Há uma desvantagem relevante quanto ao uso da faixa de 2,4 GHz. Muitos dispositivos
consumidores também usam a faixa de 2,4 GHz e tornam os dispositivos 802.11b e g
propensos a interferência.
802.11n
O objetivo do padrão IEEE 802.11n em fase de teste é melhorar as taxas de dados

WLAN e o intervalo sem exigir alimentação ou alocação de faixas de RF adicionais. O
802.11n usa rádios e antenas múltiplos em extremidades, cada um transmitindo na
mesma frequência para estabelecer fluxos múltiplos. A tecnologia de entradas
múltiplas/saídas múltiplas (MIMO) divide um fluxo de taxa de dados alta em múltiplos
fluxos de taxa menores e os transmite simultaneamente através de rádios e antenas
disponíveis. Isso possibilita uma taxa de dados máxima teórica de 248 Mb/s usando dois
fluxos.
A ratificação do padrão é esperada para setembro de 2008.

Importante: Faixas RF são alocadas pelo setor de comunicação de rádio da
International Telecommunication Union (ITU-R). O ITU-R designa as faixas de
frequência de 900 MHz, 2,4 GHz e 5 GHz ata como não licenciadas para comunidades
ISM. Mesmo que as faixas ISM sejam não licenciadas no mundo todo, elas estão
sujeitas a regulamentações locais. O uso dessas faixas é administrado pela FCC (Federal
Communications Commission, Comissão Federal de Comunicações) nos Estados
Unidos e pelo ETSI (European Telecommunications Standards Institute, Instituto
Europeu de Normas de Telecomunicações) na Europa. Esses problemas afetarão a
seleção de componentes sem fio em uma implementação sem fio.
Página 2:
Certificação Wi-Fi
A certificação Wi-Fi é fornecida pela Wi-Fi Alliance (http://www.wi-fi.org), uma

associação global de comércio industrial sem fins financeiros dedicada a elevar o
crescimento e a aceitação de WLANs. Você entenderá melhor a importância da
certificação Wi-Fi se considerar a função da Wi-Fi Alliance no contexto de padrões de
WLAN.
Os padrões garantem a interoperabilidade entre dispositivos feitos por fabricantes

diferentes. Internacionalmente, as três principais organizações que influenciam os
padrões de WLAN são:
 ITU-R
 IEEE
 Wi-Fi Alliance
O ITU-R regulamenta a alocação do espectro de RF e das órbitas de satélite. Eles são

descritos como recursos naturais finitos que estão em demanda de consumidores como
redes fixas sem fio, redes móveis sem fio e sistemas de posicionamento global.
O IEEE desenvolveu e mantém os padrões para redes locais e de áreas metropolitanas

com a família de padrões IEEE 802 LAN/MAN. O IEEE 802 é gerenciado pelo Comitê
de Padrões IEEE 802 LAN/MAN (LMSC), que administra grupos de trabalho
múltiplos. Os padrões dominantes na família IEEE 802 são Ethernet 802.3, 802.5 Token
Ring e Rede local sem fio 802.11.
Embora o IEEE tenha especificado padrões para dispositivos de modulação RF, ele não
especificou padrões de fabricação, fazendo interpretações dos padrões 802.11 por
fornecedores diferentes causarem problemas de interoperabilidade entre os dispositivos.
A Wi-Fi Alliance é uma associação de fornecedores cujo objetivo é melhorar a

interoperabilidade de produtos baseados no padrão 802.11, certificando fornecedores
para estarem em conformidade com as normas da indústria e aderirem aos padrões. A
certificação inclui as três tecnologias RF IEEE 802.11, bem como a adoção prévia de
padrões IEEE em fase de teste, como o 802.11n, e os padrões de segurança WPA e
WPA2 baseados no IEEE 802.11i.
As funções dessas três organizações podem ser resumidas da seguinte forma:

 O ITU-R regulamenta a alocação de faixas de RF.
 O IEEE especifica como o RF é modulado para transmitir informações.
 A Wi-Fi assegura que fornecedores façam dispositivos interoperáveis.
7.1.3 Componentes de infraestrutura sem fio
Página 1:
Placas de rede sem fio
Talvez você já use uma rede sem fio em casa, em uma lan house ou na sua escola. Já
imaginou que componentes de hardware estão envolvidos para permitir o acesso sem fio
à rede local ou à Internet? Neste tópico, você saberá quais componentes estão
disponíveis para implementar WLANs e como cada um é usado na infraestrutura sem
fio.
Revisão: os componentes básicos de uma WLAN são estações clientes que se conectam
a pontos de acesso que, por sua vez, se conectam à infraestrutura de rede. O dispositivo
que permite que uma estação cliente possa enviar e receber sinais de RF é a placa de
rede sem fio.
Como uma placa de rede Ethernet, a placa de rede sem fio, usando a técnica de
modulação à qual está configurada para usar, codifica um fluxo de dados sobre um sinal
de RF. Placas de rede sem fio são frequentemente associadas a dispositivos móveis,
como laptops. Nos anos 90, placas de rede sem fio para laptops eram placas que
deslizavam para dentro do slot PCMCIA. Placas de rede sem fio PCMCIA ainda são
comuns, mas muitos fabricantes começaram a fazer a placa de rede sem fio já dentro do
laptop. Ao contrário das interfaces 802.3 Ethernet feitas em PCs, a placa de rede sem fio
não é visível porque não há nenhuma necessidade de conectar um cabo ao PC.
Outras opções surgiram ao longo dos anos. Desktops localizados em instalações não
cabeadas podem ter uma placa PCI sem fio. Há também várias opções USB disponíveis
para configurar rapidamente um PC, um dispositivo móvel ou um desktop com uma
placa de rede sem fio.
Página 2:
Pontos de acesso sem fio
Um ponto de acesso conecta clientes para rede sem fio (ou estações) à rede local
cabeada. Dispositivos de cliente normalmente não se comunicam diretamente entre si;
eles se comunicam com o AP. Essencialmente, um ponto de acesso converte os pacotes
de dados TCP/IP de seu formato de encapsulamento de quadro 802.11 no ar para o
formato de quadro 802.3 Ethernet na rede Ethernet cabeada.
Em uma rede de infraestrutura, clientes devem associar-se a um ponto de acesso para

obter serviços de rede. Associação é o processo pelo qual um cliente se une a uma rede
802.11. É semelhante a conectar-se a uma rede local cabeada. A associação é discutida
em tópicos posteriores.
Um ponto de acesso é um dispositivo de Camada 2 que funciona como um hub 802.3
Ethernet. RF é um meio compartilhado, e pontos de acesso escutam todo o tráfego de
rádio. Da mesma maneira que com o 802.3 Ethernet, os dispositivos que desejam usar o
meio disputam por ele. Apesar disso, diferentemente das placas de rede Ethernet, é caro
fazer placas de rede sem fio que possam transmitir e receber ao mesmo tempo; assim,
dispositivos de rádio não detectam colisões. Em vez disso, dispositivos de WLAN são
criados para evitá-las.
CSMA/CA
Pontos de acesso supervisionam uma função de coordenação distribuída (DCF)

chamada Acesso Múltiplo com Verificação de Portadora (Carrier Sense Multiple Access
with Collision Avoidance,CSMA) com Anulação de Colisão (CSMA/CA). Isso
simplesmente significa que dispositivos em uma WLAN devem sentir o meio para
verificar alimentação (estímulo de RF acima de um certo limite) e esperar até que o
meio esteja livre antes de transmitir. Como todos os dispositivos precisam fazer isso, a
função de coordenação do acesso ao meio é distribuída. Se um ponto de acesso recebe
dados de uma estação cliente, ele envia ao cliente uma confirmação do recebimento dos
dados. Essa confirmação impede que o cliente suponha que houve uma colisão e que ele
transmita os dados novamente.
Clique no botão Nós ocultos na figura.
Sinais de RF atenuam-se. Isso significa que eles perdem energia conforme se afastam do
ponto de origem. É como uma estação de rádio saindo de sintonia. Esta atenuação de
sinal pode ser um problema em uma WLAN na qual estações disputam pelo meio.
Imagine duas estações cliente conectadas ao mesmo ponto de acesso, mas em lados
opostos. Se eles estiverem ao intervalo máximo para alcançar o ponto de acesso, eles
não poderão alcançar um ao outro. Assim, nenhuma dessas estações sente a outra no
meio, e eles podem acabar transmitindo simultaneamente. Isso é conhecido como o
problema de nó oculto (ou estação oculta).
Uma maneira de solucionar o problema de nó oculto é um recurso do CSMA/CA

chamado Solicitar para enviar/Limpar para enviar (RTS/CTS). O RTS/CTS foram
desenvolvidos para permitir uma negociação entre um cliente e um ponto de acesso.
Quando eles estão habilitados em uma rede, pontos de acesso alocam o meio à estação
solicitante pelo tempo necessário para concluir a transmissão. Quando a transmissão
termina, outras estações podem solicitar o canal de maneira semelhante. Caso contrário,
a função de prevenção contra colisão normal continua.
Página 3:
Roteadores sem fio
Roteadores sem fio executam a função de ponto de acesso, switch Ethernet e roteador.
Por exemplo, o Linksys WRT300N usado tem na realidade três dispositivos em uma
caixa. O primeiro é o ponto de acesso sem fio, que executa as funções normais de um
ponto de acesso. O segundo é um switch 10/100 em full duplex interno que fornece
conectividade a dispositivos cabeados. Finalmente, a função de roteador fornece um
gateway para conexão com outras infraestruturas de rede.
É mais comum o WRT300N ser usado como um dispositivo de acesso wireless em uma
pequena empresa ou em uma residência. A carga esperada no dispositivo é baixa o
suficiente para ele gerenciar a provisão de WLAN e 802.3 Ethernet e conectar-se a um
ISP.
7.1.4 Operação sem fio
Página 1:
Parâmetros configuráveis para pontos de extremidade sem fio
A figura mostra a tela inicial da configuração sem fio em um roteador para rede sem fio
Linksys. Vários processos podem ser seguidos para estabelecer uma conexão entre
cliente e ponto de acesso. É necessário configurar parâmetros no ponto de acesso - e
subsequentemente no dispositivo de cliente para habilitar a negociação desses
processos.
Clique no botão Modos na figura para exibir o parâmetro Modo de Rede Sem Fio.
O modo de rede sem fio refere-se aos protocolos de WLAN: 802.11a, b, g, ou n. Como
o 802.11g é compatível com o antecessor 802.11b, pontos de acesso suportam os dois.
Lembre-se: se todos os clientes se conectarem a um ponto de acesso com o 802.11g,
todos eles terão as melhores taxas de dados à sua disposição. Quando clientes do
802.11b se associam ao ponto de acesso, todos os clientes mais rápidos que estejam
competindo pelo canal devem esperar, antes de transmitir, que os clientes do 802.11b
liberem o canal. Quando um ponto de acesso Linksys está configurado para aceitar tanto
clientes do 802.11b quanto do 802.11g, ele está operando em modo misto.
Para um ponto de acesso suportar o 802.11a, assim como o 802.11b e o 802.11g, ele
deve ter um segundo rádio para operar na faixa RF diferente.
Clique no botão SSID na figura para exibir uma lista de SSIDs para um cliente
Windows.
Um identificador do conjunto de serviços compartilhado (SSID) é um identificador

exclusivo usado por dispositivos cliente para distinguir entre redes sem fio múltiplas na
mesma área. Um SSID pode ser compartilhado entre vários pontos de acesso em uma
rede. A figura mostra um exemplo de SSIDs que distinguem entre WLANs. Cada qual
pode ser qualquer entrada alfanumérica, com diferenciação de maiúsculas e minúsculas,
de 2 a 32 caracteres.
Clique no botão Canal na figura para exibir um gráfico de canais não sobrepostos.
O padrão IEEE 802.11 estabelece o esquema de canalização para o uso das faixas de RF
ISM não licenciadas em WLANs. A faixa de 2.4 GHz é interrompida em 11 canais na
América do Norte e 13 canais na Europa. Estes canais têm uma separação de frequência
de centro de apenas 5 MHz e uma largura de banda de canal geral (ou ocupação de
frequência) de 22 MHz. A largura de banda de canal de 22 MHz combinada com a
separação de 5 MHz entre de frequências de centro significa que há uma sobreposição
de canais sucessivos. Práticas recomendadas para WLANs que exigem múltiplos pontos
de acesso são definidas para o uso de canais não sobrepostos. Se houver três pontos de
acesso adjacentes, use os canais 1, 6 e 11. Se houver apenas dois, selecione quaisquer
dois que estejam separados por cinco canais, como os canais 5 e 10. Muitos pontos de
acesso podem selecionar um canal automaticamente, baseando-se no uso de canal
adjacente. Alguns produtos monitoram o espaço de rádio continuamente para ajustar as
configurações de canal de maneira dinâmica de acordo com alterações no ambiente.
Página 2:
Topologias 802.11
Redes locais sem fio podem acomodar várias topologias de rede. Ao descrever essas
topologias, o componente básico da arquitetura de WLAN do IEEE 802.11 é o conjunto
de serviços básico (BSS). O padrão define um BSS como um grupo de estações que se
comunicam entre si.
Clique no botão Ad hoc na figura.
Redes ad hoc
Redes sem fio podem operar sem pontos de acesso; isso é chamado de topologia ad hoc.
Estações clientes configuradas para operar em modo ad hoc configuram os parâmetros
sem fio entre si. O padrão IEEE 802.11 refere-se a uma rede ad hoc como sendo um
BSS independente (IBSS).
Clique no botão BSS na figura.
Conjunto de serviços básico
Pontos de acesso fornecem uma infraestrutura que adiciona serviços e melhora o

intervalo para clientes. Um único ponto de acesso em modo de infraestrutura gerencia
os parâmetros sem fio, e a topologia é simplesmente um BSS. A área de cobertura para
um IBSS e um BSS é a área de serviço básica (BSA).
Clique no botão ESS na figura.
Conjunto de serviços estendidos
Quando um único BSS fornece cobertura de RF insuficiente, um ou mais podem ser

unidos por um sistema de distribuição comum em um conjunto estendido de serviços
(ESS). Em um ESS, um BSS é diferenciado de outro pelo identificador de BSS
(BSSID), que é o endereço MAC do ponto de acesso que serve o BSS. A área de
cobertura é a área de serviço estendida (ESA).
Sistema de distribuição comum

O sistema de distribuição comum permite que múltiplos pontos de acesso em um ESS
pareçam ser um único BSS. Um ESS geralmente inclui um SSID comum para permitir
que um usuário migre entre pontos de acesso.
Células representam a área de cobertura fornecida por um único canal. Um ESS deve ter
de 10 a 15% de sobreposição entre células em uma área de serviço estendida. Com uma
sobreposição de 15% entre células, um SSID, e canais não sobrepostos (uma célula no
canal 1 e outra no canal 6), pode ser criado o recurso de roaming.
Clique no botão Resumo na figura para ver uma comparação entre topologias de
WLAN.
Página 3:
Associação entre cliente e ponto de acesso
Um dos pontos principais do processo 802.11 é descobrir uma WLAN e

subsequentemente conectar-se a ela. Os componentes principais desse processo são:
 Beacons - Quadros usados pela rede de WLAN para anunciar sua presença.
 Investigações - Quadros usados por clientes WLAN para localizar suas redes.
 Autenticação - Um processo que é um artefato do padrão 802.11 original, mas
ainda assim exigido pelo padrão.
 Associação - O processo para estabelecer o enlace entre um ponto de acesso e
um cliente WLAN.
O propósito principal da beacon é permitir que clientes WLAN saibam quais redes e
pontos de acesso estão disponíveis em uma determinada área e escolham qual rede e
ponto de acesso usar. Pontos de acesso podem transmitir beacons periodicamente.
Embora os beacons possam ser regularmente transmitidos por um ponto de acesso, os

quadros de investigação, autenticação e associação são usados apenas durante o
processo de associação (ou reassociação).
O processo de união 802.11 (Associação)
Antes de um cliente 802.11 poder enviar dados por uma rede de WLAN, ele passa pelo
processo de três estágios a seguir:
Clique no botão Investigação na figura.
Estágio 1 – investigação 802.11
Clientes procuram uma rede específica enviando uma solicitação de investigação em

canais múltiplos. A solicitação de investigação especifica o nome da rede (SSID) e as
taxas de bits. Um cliente WLAN típico é configurado com um SSID desejado. Assim,
solicitações de investigação do cliente WLAN contêm o SSID da rede de WLAN
desejada.
Se o cliente WLAN está simplesmente tentando descobrir redes de WLAN disponíveis,
ele pode enviar uma solicitação de investigação sem SSID, e respondem todos os pontos
de acesso configurados para responder a esse tipo de consulta. WLANs com o recurso
de broadcast de SSID desabilitado não respondem.
Clique no botão Autenticação na figura.
Estágio 2 – autenticação 802.11
O 802.11 foi originalmente desenvolvido com dois mecanismos de autenticação. O

primeiro, chamado autenticação aberta, é essencialmente uma autenticação NULA em
que o cliente diz "autentique-me" e o ponto de acesso responde com "sim". Esse é o
mecanismo usado em quase todas as implantações 802.11.
Um segundo mecanismo de autenticação é chamado de autenticação de chave

compartilhada. Essa técnica baseia-se em uma chave de Wired Equivalency Protection
(WEP) compartilhada entre o cliente e o ponto de acesso. Nessa técnica, o cliente envia
uma solicitação de autenticação ao ponto de acesso. Em seguida, o ponto de acesso
envia um texto de desafio ao cliente, que por sua vez criptografa a mensagem usando
sua chave compartilhada e devolve o texto criptografado ao ponto de acesso. Então, o
ponto de acesso descriptografa o texto usando sua chave e, se o texto descriptografado
corresponde ao texto de desafio, o cliente e o ponto de acesso compartilham a mesma
chave, e o ponto de acesso autentica a estação. Se as mensagens não correspondem, o
cliente não é autenticado.
Embora a autenticação de chave compartilhada deva ser incluída nas implementações

do cliente e do ponto de acesso para conformidade de padrões gerais, ela não é usada ou
recomendada. O problema é que a chave WEP é normalmente usada para criptografar
dados durante o processo de transmissão. O uso da mesma chave WEP no processo de
autenticação proporciona um invasor com a capacidade de extrair a chave detectando e
comparando o texto de desafio não criptografado e, em seguida, a mensagem de retorno
criptografada. Quando a chave WEP é extraída, qualquer informação criptografada
transmitida pelo link pode ser facilmente descriptografada.
Clique no botão Associação na figura.
Estágio 3 – associação 802.11
Este estágio finaliza as opções de segurança e taxa de bits, e estabelece o enlace entre o
cliente WLAN e o ponto de acesso. Como parte deste estágio, o cliente aprende sobre o
BSSID, que é o endereço MAC do ponto de acesso, e o ponto de acesso mapeia uma
porta lógica conhecida como o identificador de associação (AID) para o cliente WLAN.
A AID é equivalente a uma porta em um switch. O processo de associação permite que
o switch de infraestrutura mantenha um controle dos quadros destinados ao cliente
WLAN de forma que eles possam ser encaminhados.
Uma vez que um cliente WLAN está associado a um ponto de acesso, o tráfego pode ir
de um lado para outro entre os dois dispositivos.
7.1.5 Planejamento da rede local sem fio
Página 1:
Planejamento da rede local sem fio
A implementação de uma WLAN que explora ao máximo os recursos e fornece o

melhor serviço pode exigir planejamento cuidadoso. WLANs podem variar de
instalações relativamente simples a designs bem mais complexos e detalhados. É
preciso haver um plano bem documentado antes que uma rede sem fio possa ser
implementada. Neste tópico, apresentaremos o que deve ser considerado no design e no
planejamento de uma rede local sem fio.
O número de usuários que uma WLAN pode suportar não é um cálculo simples. O
número dos usuários depende do layout geográfico de suas instalações (quantos corpos
e dispositivos cabem em um espaço), das taxas de dados esperadas pelos usuários
(porque o RF é um meio compartilhado, e quanto mais usuários houver, maior será a
contenção para RF), do uso de canais não sobrepostos por diversos pontos de acesso em
um ESS e das configurações de capacidade de transmissão (que são limitados por um
regulamento local). Você terá suporte sem fio suficiente para seus clientes se você
planejar sua rede para cobertura apropriada de RF em um ESS. Os detalhes sobre o
planejamento de números específicos de usuários está além do escopo deste curso.
Clique no botão Mapa na figura.
Ao planejar o local de pontos de acesso, talvez você não possa simplesmente desenhar
círculos de área de cobertura e jogá-los em um mapa. A área de cobertura circular
aproximada é importante, mas há algumas recomendações adicionais.
Se os pontos de acesso vão usar cabeamento existente, ou se há locais em que pontos de

acesso não podem ser colocados, indique esses locais no mapa.
 Posicione os pontos de acesso acima de obstruções.

 Posicione os pontos de acesso verticalmente perto do teto no centro de cada área
de cobertura, se possível.
 Posicione os pontos de acesso em locais onde se espera que os usuários estejam.
Por exemplo, salas de conferência são normalmente um local melhor para pontos
de acesso do que um corredor.
Quando os pontos tiverem sido endereçados, estime a área de cobertura esperada de um

ponto de acesso. Esse valor varia, dependendo do padrão ou da mescla de padrões de
WLAN que você está implantando, da natureza das instalações, da capacidade de
transmissão para a qual o ponto de acesso está configurado, e assim por diante. Consulte
sempre as especificações para o ponto de acesso ao planejar áreas de cobertura.
Com base em seu plano, coloque os pontos de acesso na planta baixa de forma que os
círculos de cobertura se sobreponham, como mostra o exemplo a seguir.
Cálculo de exemplo
O auditório aberto (uma construção semelhante a um depósito ou a uma fábrica)
mostrado na figura tem aproximadamente 1.800 m2 (20,000 ft2).
Os requisitos de rede especificam que deve haver uma produtividade de 802.11b de 6

Mb/s, no mínimo, em cada BSA, porque há uma implementação de voz sobre WLAN
sem fio sobreposta nesta rede. Com pontos de acesso, 6 Mbps podem ser obtidos em
áreas abertas como as do mapa, com uma área de cobertura de 464 m2 (5,000 ft2) em
muitos ambientes.
Observação: a área de cobertura de 464 m2 é para um quadrado. O BSA leva seu raio
na diagonal a partir do centro desse quadrado.
Vamos determinar onde colocar os pontos de acesso.
Clique no botão Área de cobertura na figura.
As instalações têm 1.800 m2. Logo, a divisão de 1.800 m2 por uma área de cobertura de
464 m2 por ponto de acesso resulta em pelo menos quatro pontos de acesso necessários
para o auditório. Em seguida, determine a dimensão das áreas de cobertura e organize-
as na planta baixa.
 Já que a área de cobertura é um quadrado de lateral "Z", o círculo que é tangente

a seus quatro cantos tem um raio de 15,24 m (50 ft), como mostram os cálculos.
 Quando as dimensões da área de cobertura tiverem sido determinadas, você as
organizará de maneira semelhante às mostradas em Alinhar Áreas de Cobertura
na figura. Clique no botão Alinhar áreas de cobertura na figura.
 Na planta baixa, organize quatro círculos de cobertura de raio de 15,24 m de
forma que eles se sobreponham, como mostra o plano. Clique no botão Plano
na figura.
7.2 Segurança sem fio

7.2.1 Ameaças para a segurança sem fio
Página 1:
Acesso não autorizado
Segurança deve ser uma prioridade para qualquer um que usa ou administra redes. Se já
é difícil manter a segurança de uma rede cabeada, é ainda mais difícil no caso de uma
rede sem fio. Uma WLAN está aberta a qualquer um no intervalo de um ponto de
acesso e das credenciais apropriadas para associação a ele. Com uma placa de rede sem
fio e o conhecimento de técnicas de cracking, um invasor pode não precisar entrar no
local de trabalho fisicamente para obter acesso a uma WLAN.
No primeiro tópico desta seção, mostramos como as ameaças para a segurança sem fio
têm aumentado. As preocupações com a segurança é ainda mais séria quando se trata de
redes de negócios porque a subsistência dos negócios depende da proteção de suas
informações. Para os negócios, falhas na segurança podem trazer consequências
desastrosas, principalmente se estiverem envolvidas informações financeiras
relacionadas a clientes.
Há três categorias principais de ameaças que levam ao acesso não autorizado:
 War drivers
 Hackers (crackers)
 Funcionários
"War driving" originalmente se referia ao uso de um dispositivo de varredura para

localizar números de telefones celulares e explorá-los. Atualmente, war driving também
se refere ao ato de dirigir por um bairro com um laptop e uma placa de cliente 802.11b/g
procurando um sistema 802.11b/g desprotegido e explorá-lo.
No início, hacker era todo aquele que se aprofundava em sistemas de computadores para
entender, e talvez explorar, por questões criativas, a estrutura e a complexidade de um
sistema. Hoje, ambos hacker e cracker são intrusos mal-intencionados que entram em
sistemas como criminosos e roubam dados ou danificam esses sistemas
deliberadamente. Hackers têm a intenção de prejudicar e explorar medidas de segurança
frágeis.
A maioria dos dispositivos sem fio vendidos atualmente já vêm prontos para WLANs.
Em outras palavras, os dispositivos têm configurações padrão e podem ser instalados e
utilizados com pouca ou nenhuma configuração feita pelos usuários. Na maioria das
vezes, usuários finais não alteram configurações padrão, deixando a autenticação de
cliente aberta, ou implementam apenas a segurança WEP padrão. Infelizmente, como já
foi dito, chaves WEP compartilhadas têm falhas e consequentemente são fáceis de
atacar.
Ferramentas com um propósito legítimo, como detectores sem fio, permitem que
engenheiros de rede capturem pacotes de dados para depuração de sistema. Essas
mesmas ferramentas podem ser usadas por intrusos para explorar falhas na segurança.
Pontos de acesso invasores
Um ponto de acesso invasor é um ponto de acesso colocado em uma WLAN para

interferir na operação normal da rede. Se um ponto de acesso invasor é configurado com
as configurações de segurança corretas, dados de clientes podem ser capturados. Um
ponto de acesso invasor também pode ser configurado para passar informações como os
endereços MAC de clientes (tanto sem-fio quanto cabeados) para usuários não
autorizados, capturar e mascarar pacotes de dados ou, na pior das hipóteses, obter
acesso a servidores e arquivos.
Exemplos simples e comuns de pontos de acesso invasores são os instalados por

funcionários sem autorização. Funcionários instalam pontos de acesso na rede
corporativa para uso doméstico. Esses pontos de acesso geralmente não têm a
configuração de segurança necessária, assim a rede acaba ficando com uma brecha de
segurança.
Página 2:
Ataques de interceptação
Um dos ataques mais sofisticados que pode ser realizado por um usuário não autorizado
é chamado ataque de interceptação ou ataque man-in-the-middle (MITM). Invasores
selecionam um host como destino e se posicionam de forma lógica entre o destino e o
roteador ou gateway do destino. Em um ambiente de rede local cabeada, o invasor
precisa conseguir acessar a rede local fisicamente para inserir de forma lógica um
dispositivo na topologia. Com uma WLAN, as ondas de rádio emitidas por pontos de
acesso podem fornecer a conexão.
Sinais de radiofrequência de estações e pontos de acesso podem ser "ouvidos" por

qualquer um em um BSS com o equipamento apropriado, como um laptop com uma
placa de rede. Pontos de acesso agem como hubs Ethernet, e por isso cada placa de rede
em um BSS ouve todo o tráfego. O dispositivo descarta qualquer tráfego não
endereçado a ele. Invasores podem modificar a placa de rede de seus laptops com um
software especial de forma a aceitar todo o tráfego. Com essa modificação, o invasor
pode consumar ataques de interceptação sem fio usando a placa de rede do laptop como
um ponto de acesso.
Para realizar esse ataque, um hacker seleciona uma estação como destino e usa um
software detector de pacotes, como o Wireshark, para observar a estação cliente
conectando-se a um ponto de acesso. O hacker pode conseguir ler e copiar o nome do
usuário-alvo, o nome do servidor, o endereço IP do cliente e do servidor, a ID usada
para computar a resposta, e a resposta de desafio e associação, que é transmitida em
texto não criptografado entre a estação e o ponto de acesso.
Se um invasor conseguir comprometer um ponto de acesso, o invasor poderá prejudicar

gravemente todos os usuários no BSS. O invasor pode monitorar um segmento inteiro
de redes sem fio e causar danos a quaisquer usuários conectados às redes.
Impedir um ataque como o de interceptação depende da sofisticação da infraestrutura da

WLAN e do monitoramento das atividade na rede. O processo começa com a
identificação de dispositivos legítimos em sua WLAN. Para isso, você deve autenticar
os usuários em sua WLAN.
Quando todos os usuários legítimos se tornam conhecidos, você monitora a rede para
detectar dispositivos e tráfego que não devem estar nela. WLANs empresariais que
utilizam dispositivos de WLAN de última geração fornecem aos administradores
ferramentas que funcionam juntas como um sistema de prevenção contra invasões sem
fio (IPS). Essas ferramentas incluem scanners que identificam pontos de acesso
invasores e redes ad hoc e gerenciamento de recursos de rádio (RRM) que monitora a
faixa de RF para atividade e carga de ponto de acesso. Um ponto de acesso mais
ocupado que o normal alerta o administrador de possível tráfego sem autorização.
Uma explicação mais aprofundada dessas técnicas de prevenção está fora do escopo
deste curso.
Página 3:
Negação de serviço
WLANs 802.11b e g usam a faixa de ISM de 2,4 GHz sem licença. Essa é a mesma
faixa usada pela maioria dos produtos sem fio de consumidor, inclusive babás
eletrônicas, telefones sem fio e fornos micro-ondas. Com esses dispositivos lotando a
faixa de RF, invasores podem criar ruído em todos os canais na faixa com dispositivos
geralmente disponíveis.
Clique no botão DoS 2 na figura.
Anteriormente, mostramos como um invasor pode transformar uma placa de rede em

um ponto de acesso. Esse truque também pode ser usado para criar um ataque DoS. O
invasor, usando um PC como um ponto de acesso, pode inundar o BSS com mensagens
clear-to-send (CTS), que atrapalha a função CSMA/CA usada pelas estações. Os pontos
de acesso, por sua vez, inundam o BSS com tráfego simultâneo, causando um fluxo
constante de colisões.
Outro ataque DoS que pode ser iniciado em um BSS é o envio, pelo invasor, de uma
série de comandos de desassociação que fazem todas as estações no BSS se
desconectarem. Quando as estações são desconectadas, elas imediatamente tentam se
reassociar, e isso cria um estouro no tráfego. O invasor envia outro comando de
desassociação, e o ciclo se repete.
7.2.2 Protocolos de segurança sem fio
Página 1:
Visão geral do protocolo de rede sem fio
Neste tópico, você conhecerá as características dos protocolos sem fio comuns e o nível
de segurança proporcionado por cada um.
Dois tipos de autenticação foram introduzidos com o padrão 802.11 original:

autenticação de chave WEP aberta e compartilhada. Enquanto a autenticação aberta
realmente não é " nenhuma autenticação", (um cliente solicita autenticação e o ponto de
acesso o concede) a autenticação WEP foi criada para proporcionar privacidade a um
link, fazendo-o ser como um cabo que conecta um PC a uma tomada Ethernet. Como foi
mencionado anteriormente, as chaves WEP compartilhadas apresentaram falhas, e algo
melhor era necessário. A primeira coisa feita pelas empresas para combater a fragilidade
das chaves WEP compartilhadas foi tentar técnicas como disfarçar SSIDs e filtrar
endereços MAC. Essas técnicas também eram muito frágeis. Mais adiante, você saberá
mais sobre isso.
As falhas com a criptografia das chaves WEP compartilhadas foram duas. Primeiro, o
algoritmo usado para criptografar os dados era descoberto facilmente. Segundo, a
escalabilidade era um problema. As chaves WEP de 32 bits foram gerenciadas
manualmente, sendo acessadas manualmente pelos usuários, de maneira frequentemente
incorreta, criando chamadas aos serviços de suporte técnico.
Após as falhas na segurança baseada em WEP, houve um período intermediário de
medidas de segurança. Fornecedores como a Cisco, desejando atender a demanda por
maior segurança, desenvolveu seus próprios sistemas ao mesmo tempo em que ajudava
a aprimorar o padrão 802.11i. Enquanto isso, o algoritmo de criptografia TKIP foi
criado e vinculado ao método de segurança Wi-Fi Alliance WiFi Protected Access
(WPA).
Atualmente, o padrão que deve ser seguido na maioria das redes empresariais é o
802.11i. Ele é como o padrão Wi-Fi Alliance WPA2. Para empresas, o WPA2 inclui
uma conexão com um banco de dados Remote Authentication Dial In User Service
(RADIUS). RADIUS será descrito mais adiante no capítulo.
Para obter mais informações sobre as falhas na segurança WEP, consulte o papel
"Segurança do algoritmo WEP" disponível em
http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html.
Página 2:
Autenticação à rede local sem fio
Em uma rede aberta, como uma rede doméstica, a associação pode ser o necessário para
conceder a um cliente acesso a dispositivos e serviços na WLAN. Em redes com
requisitos de segurança mais rígidos, uma autenticação adicional ou um login é exigido
para conceder tal acesso a clientes. O processo de login é gerenciado pelo Extensible
Authentication Protocol (EAP). O EAP é uma estrutura para autenticar o acesso de rede.
O IEEE desenvolveu o padrão 802.11i para autenticação de WLAN e autorização para
usar o IEEE 802.1x.
Clique no botão EAP na figura para ver o processo de autenticação.
O processo de autenticação de WLAN empresarial é resumido a seguir:
 O processo de associação 802.11 cria uma porta virtual para cada cliente de
WLAN no ponto de acesso.
 O ponto de acesso bloqueia todas as estruturas de dados, com exceção do tráfego
baseado em 802.1x.
 Os quadros 802.1x levam os pacotes de autenticação EAP pelo ponto de acesso
para um servidor que mantém credenciais de autenticação. Trata-se de um
servidor de autenticação, autorização e contabilidade (AAA) que executa um
protocolo RADIUS.
 Se a autenticação EAP obtém êxito, o servidor de AAA envia uma mensagem
EAP de êxito ao ponto de acesso, que então permite que o tráfego de dados do
cliente de WLAN passe pela porta virtual.
 Antes de abrir a porta virtual, é estabelecida uma criptografia de enlace entre o
cliente de WLAN e o ponto de acesso para assegurar que nenhum outro cliente
de WLAN possa acessar a porta estabelecida para um determinado cliente
autenticado.
Antes de o 802.11i (WPA2) ou mesmo o WPA serem utilizados, algumas empresas
tentavam proteger suas WLANs através da filtragem de endereços MAC e da não
transmissão de SSIDs. Nos dias atuais, é fácil usar um software para modificar
endereços MAC anexados a adaptadores para enganar facilmente a filtragem de
endereços MAC. Não quer dizer que você não deva fazer isto, mas se você estiver
usando este método, será melhor utilizar segurança adicional, como o WPA2.
Mesmo que um SSID não seja transmitido por um ponto de acesso, o tráfego que passa
de um lado para outro entre o cliente e o ponto de acesso acaba revelando o SSID. Se
um invasor está monitorando a faixa de RF passivamente, o SSID pode ser detectado
em uma dessas transações porque é enviado em texto não criptografado. A facilidade
para descobrir SSIDs levou algumas pessoas a deixar a transmissão de SSIDs ativada.
Nesse caso, isso provavelmente deve ser uma decisão organizacional registrada na
política de segurança.
A ideia que você pode proteger sua WLAN apenas com a filtragem de MAC e
desativação das transmissões de SSIDs pode tornar uma WLAN completamente
desprotegida. A melhor maneira de certificar-se de que os usuários finais supostamente
estejam na WLAN é usar um método de segurança que incorpore controle de acesso à
rede baseado em porta, como o WPA2.
Página 3:
Criptografia
Dois mecanismos de criptografia de nível empresarial especificados pelo 802.11i são

certificados como WPA e WPA2 pela Wi-Fi Alliance: o Temporal Key Integrity
Protocol (TKIP) e a criptografia (AES).
TKIP é o método de criptografia certificado como WPA. Ele dá suporte para

equipamentos de WLAN herdados direcionando-se às falhas originais associadas com o
método de criptografia 802.11 WEP. Usa o algoritmo de criptografia original usado
pelo WEP.
O TKIP tem duas funções principais:
 Criptografa o payload da Camada 2

 Executa uma verificação de integridade da mensagem (MIC) no pacote
criptografado. Isso ajuda a impedir a adulteração de uma mensagem.
Embora o TKIP lide com todas as falhas de WEP conhecidas, a criptografia AES de
WPA2 é o método preferido, porque alinha os padrões de criptografia de WLAN com
práticas recomendadas e padrões mais amplos da indústria de TI, notavelmente o IEEE
802.11i.
O AES tem as mesmas funções do TKIP, mas usa dados adicionais do cabeçalho de
MAC que permitem que hosts de destino verifiquem se os bits não criptografados foram
adulterados. Além disso, ele adiciona um número de sequência ao cabeçalho dos dados
criptografados.
Quando você configura pontos de acesso Linksys ou roteadores sem fio, como o
WRT300N, talvez você não veja WPA ou WPA2. Em vez disso, talvez você veja
referências a algo chamado chave pré-compartilhada (PSK). Veja a seguir alguns tipos
de PSK:
 PSK ou PSK2 com TKIP é o mesmo que WPA

 PSK ou PSK2 com AES é o mesmo que WPA2
 PSK2, sem um método de criptografia especificado, é o mesmo que WPA2
7.2.3 Segurança sem fio
Página 1:
Controle de acesso à rede local sem fio
O conceito de profundidade significa ter várias soluções disponíveis. É como ter um

sistema de segurança em casa e ainda bloqueando todas as portas e janelas, e ainda pedir
aos vizinhos para tomar conta dele para você. Os métodos de segurança apresentados,
principalmente o WPA2, são como um sistema de segurança. Se você deseja segurança
adicional para o acesso à sua WLAN, você pode adicionar profundidade, como mostra a
figura, implementando esta abordagem de três passos:
 Disfarce de SSID - Desabilite transmissões de SSID de pontos de acesso

 Filtragem de endereços MAC – Tabelas são construídas manualmente no ponto
de acesso para permitir ou não clientes baseados em seu endereço de hardware
físico
 Implementação de segurança de WLAN - WPA ou WPA2
Uma consideração adicional para um administrador de rede cuidadoso é configurar

pontos de acesso localizados próximos a paredes externas de edifícios para transmitir
em uma opção de alimentação mais baixa que outros pontos de acesso mais próximos ao
centro do edifício. Isso é simplesmente reduzir a assinatura de RF no lado de fora do
prédio, onde qualquer pessoa executando uma aplicação como Netstumbler
(http://www.netstumbler.com), Wireshark ou até mesmo o Windows XP pode mapear
WLANs.
Nem o disfarce de SSID nem a filtragem de endereços MAC são considerados meios
válidos para proteger uma WLAN pelas seguintes razões:
 Endereços MAC são facilmente driblados.

 SSIDs são facilmente descobertos mesmo que os pontos de acesso não os
transmitam.
7.3 Configurar o acesso à rede local sem fio

7.3.1 Configuração do ponto de acesso sem fio
Página 1:
Visão geral da configuração do ponto de acesso sem fio
Neste tópico, você aprenderá a configurar um ponto de acesso sem fio. Aprenderá a
definir o SSID, habilitar a segurança, configurar o canal e ajustar as opções de
alimentação de um ponto de acesso sem fio. Também saberá como fazer backup e
restaurar a configuração de um típico ponto de acesso sem fio.
A abordagem básica para implementação sem fio, como em qualquer rede básica, é
configurar e testar de forma incremental. Antes de implementar qualquer dispositivo
sem fio, verifique a rede existente e o acesso à Internet para os hosts cabeados. Inicie a
processo de implementação de WLAN com um único ponto de acesso e um único
cliente, sem habilitar a segurança sem fio. Verifique se o cliente para rede sem fio
recebeu um endereço IP de DHCP e se ele pode executar ping do roteador padrão
cabeado local e, em seguida, navegue até a Internet externa. Por fim, configure a
segurança sem fio com o WPA2. Só use o WEP se o hardware não suportar o WPA.
A maioria dos pontos de acesso foi criada para vir com as configurações padrão
funcionais diretamente de fábrica. É recomendável alterar as configurações padrão
iniciais. Muitos pontos de acesso podem ser configurados por uma interface de web
gráfica do usuário.
Com um plano de implementação em mente, conectividade de rede cabeada confirmada

e o ponto de acesso instalado, agora você vai configurá-lo. O exemplo a seguir usa o
dispositivo multifuncional Linksys WRT300N. Esse dispositivo inclui um ponto de
acesso.
As etapas de configuração do Linksys WRT300N são estas:
Assegure-se de que o PC esteja conectado ao ponto de acesso por cabos e acesse o

utilitário de web com um navegador. Para acessar o utilitário baseado na web do ponto
de acesso, inicie o Internet Explorer ou o Netscape Navigator e entre no endereço IP
padrão WRT300N, 192.168.1.1, no campo de endereço. Pressione a tecla Enter.
Uma tela aparece solicitando seu nome de usuário e sua senha. Deixe o campo
Username em branco. Digite admin no campo Password. Essas são as configurações
padrão para um Linksys WRT300N. Se o dispositivo já tiver sido configurado, o nome
de usuário e a senha podem ter sido alterados. Clique em OK para continuar.
Para uma instalação de rede básica, use as telas seguintes, como aparecem quando você
clica nos botões Setup, Management e Wireless na figura:
 Configuração - Insira suas configurações de rede básicas (endereço IP).

 Gerenciamento - Clique na guia Administration e selecione a tela
Management. A senha padrão é admin. Para proteger o ponto de acesso, altere
a senha.
 Sem fio - Altere o SSID padrão na guia Basic Wireless Settings. Selecione o
nível de segurança na guia Wireless Security e conclua as opções para o modo
de segurança selecionado.
Faça as alterações necessárias pelo utilitário. Quando terminar de fazer alterações a uma
tela, clique no botão Save Settings ou no botão Cancel Changes para desfazer suas
alterações. Para obter informações sobre uma guia, clique em Help.
A figura resume as etapas de implementação para um ponto de acesso.
Página 2:
Definindo configurações sem fio básicas.
A tela Basic Setup é a primeira tela que você vê ao acessar o utilitário baseado na web.
Clique na guia Wireless e então selecione a guia Basic Wireless Settings.
Configurações sem fio básicas
Clique nos botões ao longo da parte inferior da figura para uma exibição da interface
gráfica do usuário para cada configuração.
 Network Mode (Modo de rede) - Se você tiver dispositivos Wireless-N (sem fio
N), Wireless-G (sem fio G) e 802.11b em sua rede, mantenha a configuração
padrão Mixed. Se você tiver dispositivos Wireless-G e 802.11b, selecione BG-
Mixed. Se você só tiver dispositivos Wireless-N, selecione Wireless-N Only.
Se você só tiver dispositivos Wireless-G, selecione Wireless-G Only. Se você
só tiver dispositivos Wireless-B, selecione Wireless-B Only. Se você desejar
desabilitar a rede sem fio, selecione Disabled.
 Network Name (SSID) (Nome de rede) - O SSID é o nome de rede
compartilhado entre todos os pontos em uma rede sem fio. O SSID deve ser
idêntico para todos os dispositivos na rede sem fio. Diferencia maiúsculas e
minúsculas, e não deve exceder 32 caracteres (use qualquer caractere no
teclado). Para segurança adicional, você deve alterar o SSID padrão (linksys)
para um nome exclusivo.
 SSID Broadcast (Broadcast de SSID) - Quando clientes para rede sem fio
procuram redes sem fio na área local para associarem-se a elas, eles detectam o
broadcast de SSID pelo ponto de acesso. Para transmitir o SSID, mantenha a
configuração padrão Enabled (Habilitado). Se você não desejar transmitir o
SSID, selecione Disabled (Desabilitado). Quando terminar de fazer alterações à
tela, clique no botão Save Settings, ou no botão Cancel Changes para desfazer
suas alterações. Para obter mais informações, clique em Ajuda.
 Radio Band (Faixa de rádio) - Para melhor desempenho em uma rede que usa
dispositivos Wireless-N, Wireless-G e Wireless-B, mantenha o padrão Auto.
Para dispositivos Wireless-N apenas, selecione Wide - 40MHz Channel. Para
redes Wireless-G e Wireless-B apenas, selecione Standard - 20MHz Channel.
 Wide Channel (Canal amplo) - Se você tiver selecionado Canal amplo de
40MHz para a configuração da Radio Band, esta configuração estará disponível
para seu canal Wireless-N primário. Selecione qualquer canal no menu
suspenso.
 Standard Channel (Canal amplo) - Selecione o canal para redes Wireless-N,
Wireless-G e Wireless-B. Se você tiver selecionado Canal amplo de 40MHz
para a configuração da Radio Band, o canal padrão será um canal secundário
para Wireless-N.
Página 3:
Configuração de segurança
Essas configurações definem a segurança de sua rede sem fio. Há sete modos de
segurança sem fio suportados pelo WRT300N, listados aqui na ordem em que você os
vê na interface gráfica do usuário, do mais fraco para o mais forte, com exceção da
última opção, que é desabilitada:
 WEP
 PSK-Personal ou WPA-Personal em firmware v0.93.9 ou mais recente
 PSK2-Personal ou WPA2-Personal em firmware v0.93.9 ou mais recente
 PSK-Enterprise, ou WPA-Enterprise em firmware v0.93.9 ou mais recente
 PSK2-Enterprise, ou WPA2-Enterprise em firmware v0.93.9 ou mais recente
 RADIUS
 Disabled
Quando você vê "Personal" em um modo de segurança, nenhum servidor de AAA está

sendo usado. "Enterprise" no nome de modo de segurança indica que um servidor de
AAA e uma autenticação de EAP estão sendo usados.
Você aprendeu que WEP é um modo de segurança com falhas. PSK2, que é o mesmo
que o WPA2 ou o IEEE 802.11i, é a opção favorita para a maior segurança. Se o WPA2
é o melhor, você deve estar se perguntando por que há tantas outras opções. A resposta
é que muitas redes locais sem fio suportam dispositivos sem fio antigos. Como todos os
dispositivos de cliente que se associam a um ponto de acesso devem executar o mesmo
modo de segurança que o ponto de acesso executa, o ponto de acesso precisa ser
definido para suportar o dispositivo que executa o modo de segurança mais fraco. Todos
os dispositivos de rede local sem fio fabricados após março de 2006 devem poder
suportar o WPA2, ou no caso de roteadores Linksys, PSK2, conforme os dispositivos
são atualizados, você pode comutar seu modo de segurança de rede para PSK2.
A opção RADIUS disponível para um roteador para rede sem fio Linksys permite que
você use um servidor RADIUS em combinação com o WEP.
Clique nos botões ao longo da parte inferior da figura para uma exibição da interface
gráfica do usuário para cada configuração.
Para configurar a segurança, faça o seguinte:

 Security Mode (Modo de Segurança) - Selecione o modo desejado: PSK
Personal, PSK2 Personal, PSK Enterprise, PSK2 Enterprise, RADIUS, ou WEP.
 Mode Parameters (Parâmetros de Modo) - Cada um dos modos PSK e PSK2
tem parâmetros que podem ser configurados. Se você selecionar a versão de
segurança PSK2 Enterprise, você deverá ter um servidor RADIUS anexado a
seu ponto de acesso. Se você tiver esta configuração, precisará configurar o
ponto de acesso para apontar ao servidor de RADIUS.
 RADIUS Server IP Address (Endereço IP do servidor RADIUS) - Digite o
endereço IP do servidor RADIUS.
 RADIUS Server Port (Porta de servidor RADIUS) - Digite o número da porta
usada pelo servidor RADIUS. O padrão é 1812.
 Encryption (Criptografia) - Selecione o algoritmo desejado, AES ou TKIP. (O
AES é um método de criptografia mais forte que o TKIP.)
 Pre-shared Key (Chave pré-compartilhada)- Digite a chave compartilhada pelo
roteador e pelos outros dispositivos de rede. Ela deve ter de 8 a 63 caracteres.
 Key Renewal (Renovação da chave) - Digite o período de renovação da chave,
que indica de quanto em quanto tempo o roteador deve alterar as chaves de
criptografia.
Quando terminar de fazer alterações à tela, clique no botão Save Settings, ou no botão
Cancel Changes para desfazer suas alterações.
7.3.2 Configuração de uma placa de rede sem fio
Página 1:
Busca por SSIDs
Quando o ponto de acesso tiver sido configurado, você precisará configurar a placa de
rede sem fio em um dispositivo de cliente para que o ponto de acesso possa se conectar
à rede sem fio. Você também deverá verificar se o cliente para rede sem fio se conectou
com êxito à rede sem fio correta, especialmente porque pode haver muitas WLANs
disponíveis às quais se conectar. Apresentaremos também alguns passos básicos de
identificação e solução de problemas para identificar problemas comuns relacionados à
conectividade de WLAN.
Se seu PC for equipado com uma placa de rede sem fio, você estará pronto para fazer
uma busca por redes sem fio. PCs que executam o Microsoft Windows XP têm um
monitor de redes sem fio interno e um utilitário de cliente. Você pode ter um utilitário
diferente instalado e selecionado como preferência à versão nativa do Microsoft
Windows XP.
As etapas abaixo são para o uso do recurso de exibição de redes sem fio no Microsoft
Windows XP.
Etapa 1. Na bandeja do sistema na barra de ferramentas do Microsoft Windows XP,

localize o ícone de conexão de rede que parece com o que é mostrado na figura. Clique
duas vezes no ícone para abrir a caixa de diálogo Conexões de rede.
Etapa 2. Clique no botão View Wireless Networks na caixa de diálogo.
Etapa 3. Observe as redes sem fio que sua placa de rede sem fio pôde detectar.
Se você tiver uma WLAN que não esteja aparecendo na lista de redes, talvez o
broadcast de SSID esteja desabilitado no ponto de acesso. Se esse for o caso, você
deverá digitar o SSID manualmente.
Página 2:
Selecione o protocolo de segurança sem fio
Depois de haver configurado o ponto de acesso para autenticar clientes com um tipo de
segurança forte, você deverá corresponder a sua configuração de cliente aos parâmetros
de ponto de acesso. Os passos seguintes descrevem a configuração dos parâmetros de
segurança de rede sem fio no cliente:
Etapa 1. Clique duas vezes no ícone de conexões de rede na bandeja do sistema do

Microsoft Windows XP.
Etapa 2. Clique no botão Properties na caixa de diálogo Wireless Network

Connections Status.
Etapa 3. Na caixa de diálogo Properties, clique na guia Wireless Networks.
Etapa 4. Na guia Wireless Networks, clique no botão Add. Além disso, você pode
salvar vários perfis sem fio com parâmetros de segurança diferentes para se conectar
rapidamente às WLANs que você usa regularmente.
Etapa 5. Na caixa de diálogo Wireless Network Properties, digite o SSID da WLAN

que você deseja configurar.
Etapa 6. Na caixa de chave de rede sem fio, selecione o método de autenticação no

menu suspenso Network Authentication. WPA2 e PSK2 são preferenciais por causa
da força deles.
Etapa 7. Selecione o método de Data encryption no menu suspenso. Lembre-se de que

o AES é um código mais forte que o TKIP, mas você deve corresponder à configuração
do ponto de acesso no seu PC.
Depois de selecionar o método de criptografia, digite e confirme a Network key.

Novamente, esse é um valor que você digitou no ponto de acesso.
Etapa 8. Clique em OK.
Página 3:
Verificar a conectividade com a rede local sem fio.

Com as configurações definidas para o ponto de acesso e para o cliente, a próxima etapa
é confirmar a conectividade. Isso é feito com a execução de ping em dispositivos na
rede.
Abra a janela de prompt de comando do DOS no PC.
Tente executar ping em um endereço IP conhecido para um dispositivo na rede. Na

figura, o endereço IP é 192.168.1.254. O ping foi executado com êxito, indicando que a
conexão foi estabelecida com êxito.
Página 4:
Nesta atividade, você fará a configuração de um roteador para rede sem fio Linksys,
permitindo acesso remoto de PCs, bem como a conectividade sem fio com segurança
WEP.
São fornecidas instruções detalhadas na atividade, bem como no link do arquivo PDF
abaixo.
7.4 Identificação e solução de problemas simples de WLAN
7.4.1 Resolver problemas de acesso ao rádio e de firmware
Página 1:
Uma abordagem sistemática para a identificação e a solução de problemas de

WLAN
A identificação e a solução de qualquer problema de rede devem seguir uma abordagem

sistemática, subindo na pilha TCP/IP da Camada física para a Camada de aplicativo.
Isso ajuda a eliminar qualquer problema que você possa resolver sozinho.
Você já deve estar familiarizado com os primeiros três passos da abordagem sistemática
de identificação e solução de problemas por trabalhar com redes locais Ethernet 802.3.
Eles são repetidos aqui no contexto da WLAN:
Etapa 1 – Descarte a hipótese de o PC do usuário ser a origem do problema.
Tente determinar a gravidade do problema. Se não houver conectividade, verifique o

seguinte:
 Confirme a configuração de rede no PC usando o comando ipconfig. Verifique

se o PC recebeu um endereço IP por DHCP ou foi configurado com um
endereço IP estático.
 Certifique-se de que o dispositivo possa se conectar à rede cabeada. Conecte o
dispositivo à rede local cabeada e execute ping em um endereço IP conhecido.
 Talvez seja necessário tentar com uma placa de rede sem fio diferente. Se
necessário, recarregue os drivers e o firmware de forma apropriada para o
dispositivo de cliente.
 Se a placa de rede sem fio do cliente estiver funcionando, verifique o modo de
segurança e as configurações de criptografia no cliente. Se as configurações de
segurança não corresponderem, o cliente não poderá acessar a WLAN.
Se o PC do usuário estiver funcionando, porém, com desempenho insatisfatório,

verifique o seguinte:
 Qual é a distância entre o PC e o ponto de acesso? O PC está fora da área de

cobertura planejada (BSA).
 Verifique as configurações de canal no cliente. O software cliente deve detectar
o canal apropriado contanto que o SSID esteja correto.
 Verifique se há outros dispositivos na área operando na faixa de 2,4 GHz.
Exemplos de outros dispositivos são telefones sem fio, babás eletrônicas, fornos
micro-ondas, sistemas de segurança sem fio e pontos de acesso potencialmente
invasores. Dados desses dispositivos podem causar interferência na WLAN e
problemas de conexão intermitentes entre um cliente e um ponto de acesso.
Etapa 2 Confirme o status físico dos dispositivos.
 Todos os dispositivos estão mesmo no lugar? Considere um possível problema

de segurança físico.
 A alimentação está distribuída para todos os dispositivos, e todos eles estão
ligados?
Etapa 3 - Inspecione os links.
 Inspecione os links entre dispositivos cabeados para descobrir se há conectores

incorretos ou cabos estragados, ou até mesmo se faltam cabos.
 Se a planta física estiver no local, use a rede local cabeada para saber se você
pode executar ping em dispositivos incluindo o ponto de acesso.
Se a conectividade continuar falhando, talvez algo esteja errado com o ponto de acesso
ou com a configuração dele.
Conforme você identifica e soluciona problemas de uma WLAN, é recomendável seguir

um processo de eliminação, indo de possibilidades físicas àquelas relacionadas à
aplicação. Se você tiver confirmado que o PC do usuário não é o problema, e também
tiver verificado o status físico dos dispositivos, comece a investigar o desempenho do
ponto de acesso. Verifique o status da alimentação do ponto de acesso.
Quando as configurações do ponto de acesso tiverem sido confirmadas, se o rádio

continuar falhando, tente conectá-lo a um ponto de acesso diferente. Você pode tentar
instalar novos drivers de rádio e de firmware. Explicaremos mais adiante.
Página 2:
Atualização do firmware do ponto de acesso
Atenção: Não atualize o firmware a menos que você tenha problemas com o ponto de
acesso, ou o novo firmware tenha um recurso que você queira utilizar.
O firmware para um dispositivo Linksys, como o que é usado nos laboratórios deste
curso, é atualizado com o uso do utilitário baseado na Web. Siga estas instruções:
Etapa 1. Faça download do firmware pela web. Para um Linksys WTR300N, acesse
http://www.linksys.com.
Etapa 2. Extraia o arquivo de firmware no seu computador.
Etapa 3. Abra a utilitário baseado na web e clique na guia Administration.
Etapa 4. Selecione a guia Firmware Upgrade.
Etapa 5. Insira o local do arquivo de firmware ou clique no botão Browse para localizar
o arquivo.
Clique no botão Executar atualização do firmware na figura.
Etapa 6. Clique no botão Start to Upgrade e siga as instruções.
7.4.2 Configurações de canal incorretas
Página 1:
Se os usuários relatarem problemas de conectividade na área entre pontos de acesso em

uma WLAN de conjunto de serviços estendidos, poderá haver um problema de
configuração de canal.
A maioria das WLANs opera atualmente na faixa de 2,4 GHz, que pode ter até 14
canais, cada um ocupando 22 MHz de largura de banda. A alimentação não é distribuída
de maneira uniforme para todos os 22 MHz; o canal é mais forte em sua frequência
central, e a alimentação diminui conforme se aproxima das extremidades do canal. O
conceito de alimentação decrescente em um canal é mostrado pela linha curva usada
para indicar cada canal. O ponto alto no meio de cada canal é o ponto de alimentação
mais alta. A figura mostra uma representação gráfica dos canais na faixa de 2,4 GHz.
Uma explicação completa do modo como a alimentação é distribuída pelas frequências

em um canal está fora do escopo deste curso.
Pode ocorrer interferência quando há sobreposição de canais. É pior se os canais se

sobrepõem perto das frequências centrais, mas os sinais interferem entre si mesmo
quando a interferência é mínima. Disponha os canais em intervalos de cinco canais,
como canal 1, canal 6 e canal 11.
7.4.3 Resolva problemas de acesso ao rádio e de firmware
Página 1:
Resolvendo interferência de RF
Configurações de canal incorretas fazem parte do grupo maior de problemas com
interferência de RF. Administradores de WLAN podem controlar a interferência
causada por configurações de canal com um bom planejamento, incluindo o
espaçamento de canais apropriado.
Outras fontes de interferência de RF podem ser encontradas por todo o seu local de
trabalho ou em casa. Talvez você já tenha visto aquele chuviscado que aparece na tela
da televisão quando alguém está usando um aspirador de pó por perto. Esse tipo de
interferência pode ser moderado com um bom planejamento. Por exemplo, planeje
colocar fornos micro-ondas longe de pontos de acesso e clientes potenciais.
Infelizmente, é impossível planejar uma maneira de evitar todos os problemas de
interferência de RF possíveis porque as possibilidades são muitíssimas.
O problema com dispositivos como telefones sem fio, babás eletrônicas e fornos micro-
ondas é que eles não fazem parte de um BSS. Portanto, eles não competem pelo canal;
eles simplesmente utilizam-no. Como descobrir quais canais em uma área estão mais
congestionados?
Em um ambiente de WLAN pequeno, tente configurar seu ponto de acesso de WLAN

para o canal 1 ou para o canal 11. Muitos itens consumidores, como telefones sem fio,
operam no canal 6.
Pesquisa do local
Em ambientes mais congestionados, uma pesquisa do local pode ser necessária. Embora
pesquisas do local não façam parte deste curso, vale a pena saber que há duas categorias
de pesquisa do local: manual e com auxílio de utilitário.
Pesquisas manuais do local podem incluir uma avaliação do local seguida por uma
pesquisa do local mais completa com auxílio de utilitário. Uma avaliação do local
envolve a inspeção da área com o objetivo de identificar problemas significativos que
possam afetar a rede. Especificamente, verifique se há várias WLANs, estruturas
modernas de edifícios, como andares abertos e átrios, e altas variações de uso de cliente,
como as causadas pelas diferenças entre o número de pessoas que trabalham em período
diurno e noturno.
Há várias abordagens para a execução de pesquisas do local com auxílio de utilitários.

Se você não tiver acesso a ferramentas de pesquisa do local dedicadas, como o
Airmagnet, você poderá montar pontos de acesso em tripés e colocá-los nos locais que
julgar apropriados conforme a planta projetada do local. Com os pontos de acesso
montados, você poderá caminhar por suas instalações usando um medidor de pesquisa
de local no utilitário de cliente de WLAN do seu PC, como mostra a captura de tela 1 na
figura.
Como outra opção, estão disponíveis ferramentas sofisticadas que permitem inserir a
planta das instalações. Você pode começar um registro das características de RF do site
que são mostradas na planta conforme você se movimenta pelas instalações com seu
laptop sem fio. Um exemplo de uma saída de dados da pesquisa de local Airmagnet é
exibido na captura de tela 2 na figura.
Parte das vantagens das pesquisas de local com auxílio de utilitário é que a atividade de
RF nos vários canais das várias faixas não licenciadas (900 MHz, 2,4 GHz e 5 GHz) é
documentada, e você pode então escolher canais para sua WLAN, ou pelo menos
identificar áreas de atividade de RF alta e tomar as medidas necessárias.
7.4.4 Resolver problemas de acesso ao rádio e de firmware
Página 1:
Identificar problemas de posição incorreta de pontos de acesso
Neste tópico, você aprenderá a identificar quando um ponto de acesso está colocado
incorretamente, e como colocar o ponto de acesso corretamente em uma pequena ou
grande empresa.
Você pode ter utilizado uma WLAN que simplesmente não parecia funcionar como
deveria. Talvez você esteja constantemente perdendo associação com um ponto de
acesso, ou suas taxas de dados estejam muito mais baixas do que deveriam ser. Talvez
tenha até dado uma volta pelas instalações para certificar-se de que podia realmente ver
os pontos de acesso. Havendo confirmado que eles estão no lugar, você se pergunta por
que o desempenho continua baixo.
Há dois grandes problemas de implantação que podem ocorrer na colocação de pontos

de acesso:
 A distância entre os pontos de acesso é muito grande para permitir sobreposição

de cobertura.
 A orientação das antenas de pontos de acesso em corredores e cantos diminuem
a cobertura.
Corrija a colocação do ponto de acesso da seguinte forma:
Confirme as configurações de alimentação e os intervalos operacionais dos pontos de

acesso e posicione-os para uma sobreposição de célula de no mínimo 10 a 15%,
conforme ensinado anteriormente neste capítulo.
Altere a orientação e o posicionamento dos pontos de acesso:
 Posicione os pontos de acesso acima de obstruções.

 Posicione os pontos de acesso verticalmente próximos ao teto no centro de cada
área de cobertura, se possível.
 Posicione os pontos de acesso em locais onde se suponha que os usuários
estejam. Por exemplo, salas amplas normalmente são um lugar melhor para
pontos de acesso do que um corredor.
A figura explora esses problemas em uma sequência de problema, motivo e solução.
Estes são alguns detalhes específicos adicionais relativos à colocação de pontos de

acesso e antena:
 Assegure-se de que os pontos de acesso não sejam montados a menos de 20 cm
(7,9 pol) das pessoas.
 Não monte o ponto de acesso a menos de 91,4 cm (3 ft) de obstruções de metal.
 Instale o ponto de acesso longe de fornos micro-ondas. Fornos micro-ondas
operam na mesma frequência que o ponto de acesso e podem causar
interferência de sinal.
 Sempre monte o ponto de acesso verticalmente (apoiado sobre uma superfície ou
pendurado).
 Não monte o ponto de acesso do lado de fora de edifícios.
 Não monte o ponto de acesso nas paredes do perímetro do edifício, a menos que
seja necessária cobertura externa.
 Ao montar um ponto de acesso na esquina de uma interseção de corredor em
ângulo reto, monte-o a um ângulo de 45 graus para os dois corredores. As
antenas internas do ponto de acesso não são onidirecionais e abrangem uma área
mais ampla quando são dispostas dessa forma.
7.4.5 Problemas com autenticação e criptografia
Página 1:
Os problemas de autenticação e criptografia de WLAN que você terá mais

possibilidades de encontrar, e que você poderá resolver, são causados por configurações
de cliente incorretas. Se um ponto de acesso está esperando um tipo de criptografia, e o
cliente oferece um tipo diferente, o processo de autenticação falha.
Problemas de criptografia envolvendo a criação de chaves dinâmicas e as conversações

entre um servidor de autenticação, como um servidor de RADIUS, e um cliente por um
ponto de acesso estão fora do escopo deste curso.
Lembre-se, todos os dispositivos que se conectam a um ponto de acesso devem utilizar

o mesmo tipo de segurança que o configurado no ponto de acesso. Portanto, se um
ponto de acesso for configurado para WEP, tanto o tipo de criptografia (WEP) quanto a
chave compartilhada deverão corresponder entre o cliente e o ponto de acesso. Se o
WPA estiver sendo usado, o algoritmo de criptografia será TKIP. Semelhantemente, se
o WPA2 ou o 802.11i estiver sendo usado, o AES será requerido como o algoritmo de
criptografia.

Página 1:
Neste capítulo, discutimos a evolução dos padrões de redes locais sem fio, incluindo o
IEEE 802.11a, b, g e agora, n, em fase de teste. Padrões mais novos levam em conta a
necessidade de suportar voz e vídeo e a qualidade de serviço requerida.
Um único ponto de acesso conectado à rede local cabeada fornece um conjunto de

serviços básicos a estações de cliente associadas a ela. Vários pontos de acesso que
compartilham um identificador de conjunto de serviços combinam-se para formar um
conjunto de serviços estendidos. Redes locais sem fio podem ser detectadas por
qualquer dispositivo de cliente habilitado por rádio e podem, portanto, habilitar acesso
por invasores que não têm acesso a uma rede apenas cabeada.
Métodos como filtragem de endereço MAC e mascaramento de SSID podem fazer parte
da implementação de uma prática recomendada de segurança, mas esses métodos
sozinhos são facilmente driblados por um invasor determinado. A autenticação de
WPA2 e 802.1x fornece acesso altamente seguro a redes locais sem fio em uma rede
empresarial.
Usuários finais têm que configurar placas de rede sem fio em suas estações de cliente,
as quais se comunicam com e se associam a um ponto de acesso sem fio. O ponto de
acesso as placas de rede sem fio devem ser configurados com parâmetros semelhantes,
inclusive SSID, antes de a associação ser possível. Ao configurar uma rede local sem
fio, assegure-se de que os dispositivos tenham o firmware mais recente para poderem
suportar as opções de segurança mais estritas. Além de assegurar a configuração
compatível das definições de segurança sem fio, a identificação e a solução de
problemas de redes locais sem fio envolvem a solução de problemas de RF.

CCNA Exploration Module2

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

CCNA Exploration Module2

Загружено:

Авторское право:

Доступные форматы

CCNA Exploration - Comutação de rede

local e sem fio

1.0.1 Introdução do capítulo

Exibir meio visual

1.1 Arquitetura da rede local comutada

1.1.1 O modelo de rede hierárquico

O design de rede hierárquico envolve a divisão da rede em camadas discretas. Cada

Passe o mouse sobre o botão ACESSO na figura.

A camada de distribuição agrega os dados recebidos dos switches da camada de acesso

Passe o mouse sobre o botão DISTRIBUIÇÃO na figura.

A camada de núcleo do design hierárquico é o backbone de alta velocidade das redes

Passe o mouse sobre o botão NÚCLEO na figura.

Nota: Em redes menores, não é incomum implementar um modelo de núcleo

Exibir meio visual

Uma rede hierárquica em uma empresa de médio porte

Vejamos o modelo de rede hierárquico aplicado a uma empresa. Na figura, as camadas

Clique no botão Layout físico na figura.

A figura mostra dois andares de um edifício. Os computadores e os dispositivos de rede

Embora o switch da camada de núcleo e os demais da camada de distribuição não sejam

Benefícios de uma rede hierárquica

Há muitos benefícios associados aos designs de rede hierárquica.

Comunicação cujo desempenho é aprimorado, evitando-se a transmissão de dados por

A segurança é aprimorada e mais fácil de gerenciar. Os switches da camada de acesso

A gerenciabilidade é relativamente simples em uma rede hierárquica. Cada camada do

Exibir meio visual

1.1.2 Princípios do design de rede hierárquico

Princípios do design de rede hierárquico

Passe o mouse sobre o botão Diâmetro da rede na figura.

No modelo hierárquico de três camadas, a segmentação de Camada 2 na camada de

Agregação da largura de banda

Cada camada no modelo de rede hierárquico é uma possível candidata à agregação da

Passe o mouse sobre o botão Agregação da largura de banda na figura.

Redundância é uma parte da criação de uma rede altamente disponível. A redundância

Passe o mouse sobre o botão Links redundantes na figura.

Na figura, os links redundantes são mostrados nas camadas de distribuição e do núcleo.

Comece na camada de acesso

Ao iniciar a seleção de equipamento na camada de acesso, você pode assegurar que

Exibir meio visual

1.1.3 O que é uma rede convergente?

Convergência é o processo de integrar comunicação por voz e vídeo em uma rede de

Clique no botão Tecnologia avançada na figura.

As redes de voz, vídeo e dados convergentes se tornaram mais populares recentemente

Outro benefício são os custos mais baixos de implementação e de gerenciamento. É

Clique no botão Novas opções na figura.

Exibir meio visual

Redes de voz, de vídeo e de dados separadas

Nessa figura, o equipamento de videoconferência é cabeado separadamente das redes de

A rede de dados interconecta as estações de trabalho e os servidores em uma rede para

1.2 Comparando switches com funções de rede local específicas

1.2.1 Considerações sobre switches de rede hierárquica

Análise do fluxo de tráfego

Ao escolher o hardware do switch, determine quais switches são necessários nas

Análise do fluxo de tráfego

Análise do fluxo de tráfego é o processo de medir o uso da largura de banda em uma

Há muitas formas de monitorar o fluxo de tráfego em uma rede. É possível monitorar as

Há muitas ferramentas de análise de fluxo do tráfego que registram dados do fluxo de

Exibir meio visual

Análise das comunidades de usuários

Análise da comunidade de usuários é o processo de identificação de vários grupos de

Como mostrado na figura, o departamento de RH requer 20 estações de trabalho para

Assim também como, observando o número de dispositivos em um determinado switch

Uma comunidade de usuários do tamanho de um grupo de trabalho em uma pequena

Clique no botão Departamento de finanças na figura.