CAPITULO 1 O design de rede hierrquico envolve a diviso da rede em camadas discretas.

Cada camada fornece funes especficas que definem sua funo dentro da rede geral. Separando as vrias funes existentes em uma rede, o design de rede fica modular, o que facilita a escalabilidade e o desempenho. O modelo de design hierrquico tpico dividido em at trs camadas: acesso, distribuio e ncleo. Um exemplo de um design de rede hierrquico de trs camadas exibido na figura. Camada de acesso A camada de acesso faz interface com dispositivos finais, como PCs, impressoras e telefones IP, para fornecer acesso ao restante da rede. Na camada de acesso podem estar roteadores, switches, bridges, hubs e pontos de acesso wireless (AP). O principal propsito da camada de acesso fornecer um meio de conectar dispositivos rede e controlar quais tm permisso de comunicao na rede. Passe o mouse sobre o boto ACESSO na figura. Camada de distribuio A camada de distribuio agrega os dados recebidos dos switches da camada de acesso antes de serem transmitidos para a camada de ncleo para que haja o roteamento at seu destino final. A camada de distribuio controla o fluxo do trfego da rede usando polticas e determina domnios de broadcast, realizando funes de roteamento entre redes locais virtuais (VLANs) definidas na camada de acesso. As VLANs permitem segmentar o trfego de um switch em sub-redes separadas. Por exemplo, em uma universidade, voc pode separar o trfego de acordo com o corpo docente, os alunos e os convidados. Switches da camada de distribuio costumam ser dispositivos de alto desempenho que tm alta disponibilidade e redundncia para assegurar a confiabilidade. Voc obter mais informaes sobre VLANs, domnios de broadcast e roteamento entre VLANs posteriormente neste curso. Passe o mouse sobre o boto DISTRIBUIO na figura. Camada de ncleo A camada de ncleo do design hierrquico o backbone de alta velocidade das redes interconectadas. Como a camada de ncleo essencial interconectividade entre os dispositivos da camada de distribuio, importante que o ncleo seja altamente disponvel e redundante. A rea do ncleo tambm pode se conectar a recursos de Internet. Como o ncleo agrega o trfego de todos os dispositivos da camada de distribuio, ele deve ser capaz de encaminhar grandes quantidades de dados rapidamente. Passe o mouse sobre o boto NCLEO na figura. Nota: Em redes menores, no incomum implementar um modelo de ncleo recolhido, no qual a camada de distribuio e a camada de ncleo so integradas em uma s camada. Uma rede hierrquica em uma empresa de mdio porte Vejamos o modelo de rede hierrquico aplicado a uma empresa. Na figura, as camadas de acesso, distribuio e ncleo esto separadas em uma hierarquia bem definida. Essa representao lgica

facilita ver a funo desempenhada pelos switches. muito mais difcil ver essas camadas hierrquicas quando a rede instalada em uma empresa. Clique no boto Layout fsico na figura. A figura mostra dois andares de um edifcio. Os computadores e os dispositivos de rede do usurio que precisam de acesso rede esto em um andar. Os recursos, como servidores de e-mail e servidores de banco de dados, esto localizados em outro andar. Para assegurar que cada andar tenha acesso a rede, os switches das camadas de acesso e de distribuio so instalados nos wiring closets de cada andar e conectados a todos os dispositivos que precisam de acesso rede. A figura mostra um rack pequeno de switches. Os switches das camadas de acesso e de distribuio esto um sobre o outro no armrio de instalao eltrica. Embora o switch da camada de ncleo e os demais da camada de distribuio no sejam mostrados, possvel ver como o layout fsico de uma rede diferente do layout lgico de uma rede. Benefcios de uma rede hierrquica H muitos benefcios associados aos designs de rede hierrquica. Escalabilidade A escala das redes hierrquicas muito boa. A modularidade do design permite replicar elementos de design na medida em que a rede cresce. Como cada instncia do mdulo consistente, fcil de planejar e implementar a expanso. Por exemplo, se o modelo de design consistir em dois switches da camada de distribuio para dez switches da camada de acesso, ser possvel continuar adicionando switches da camada de acesso at que haja dez switches da camada de acesso em conexo cruzada com os dois switches da camada de distribuio antes que seja necessrio acrescentar switches da camada de distribuio adicionais topologia de rede. Alm disso, na medida em que adiciona mais switches da camada de distribuio para acomodar a carga dos switches da camada de acesso, voc pode acrescentar switches da camada de ncleo adicionais para tratar a carga adicional no ncleo. Redundncia Na medida em que uma rede cresce, a disponibilidade se torna mais importante. Voc pode aumentar drasticamente a disponibilidade por meio de implementaes redundantes simples com redes hierrquicas. Os switches da camada de acesso so conectados a dois switches da camada de distribuio diferentes para assegurar uma redundncia de caminho. Caso haja falha nos switches da camada de distribuio, o switch da camada de acesso pode comutar para o outro switch da camada de distribuio. Alm disso, os switches da camada de distribuio so conectados a dois ou mais switches da camada de ncleo para assegurar uma disponibilidade de caminho em caso de falha de um dos switches do ncleo. A nica camada onde a redundncia est limitada a camada de acesso. Normalmente, os dispositivos de n finais, como PCs, impressoras e telefones IP, no tm a capacidade de se conectar a vrios switches da camada de acesso para ter uma redundncia. Se houvesse falha em um switch da camada de acesso, apenas os dispositivos conectados a ele seriam afetados pela queda. O restante da rede continuaria funcionando sem ser afetado. Desempenho Comunicao cujo desempenho aprimorado, evitando-se a transmisso de dados por meio de switches intermedirios de baixo desempenho. Os dados so enviados por meio de links de porta de

switch agregados da camada de acesso at a camada de distribuio com aproximadamente a velocidade do fio na maioria dos casos. Em seguida, a camada de distribuio usa suas funes de comutao de alto desempenho para encaminhar o trfego at o ncleo, onde roteado at seu destino final. Como as camadas do ncleo e de distribuio executam suas operaes em velocidades muito altas, h menos conteno para a largura de banda da rede. Dessa forma, redes hierrquicas criadas corretamente podem chegar prximo velocidade do fio entre todos os dispositivos. Segurana A segurana aprimorada e mais fcil de gerenciar. Os switches da camada de acesso podem ser configurados com vrias opes de segurana de porta que fornecem controle sobre que dispositivos tm permisso para se conectar rede. Voc tambm tem a flexibilidade de usar polticas de segurana mais avanadas na camada de distribuio. Convm aplicar polticas de controle de acesso que definam quais protocolos de comunicao so implantados na rede e onde eles tm permisso para avanar. Por exemplo, se quisesse limitar o uso de HTTP a uma comunidade de usurios especfica conectada na camada de acesso, voc poderia aplicar uma poltica que bloqueasse o trfego HTTP na camada de distribuio. Restringir o trfego com base em protocolos de camada mais altos, como IP e HTTP, exige que os switches possam processar polticas nessa camada. Alguns switches da camada de acesso suportam a funcionalidade de Camada 3, mas esse costuma ser o trabalho dos switches da camada de distribuio para processar dados da Camada 3, porque eles podem process-los com muito mais eficincia. Gerenciabilidade A gerenciabilidade relativamente simples em uma rede hierrquica. Cada camada do design hierrquico executa funes especficas, consistentes ao longo de toda a camada. Por isso, se precisasse alterar a funcionalidade de um switch da camada de acesso, voc poderia repetir essa alterao em todos os switches da camada de acesso na rede porque eles devem executar as mesmas funes em sua camada. A implantao de novos switches tambm simplificada porque as configuraes de switch podem ser copiadas entre dispositivos com pouqussimas modificaes. A consistncia entre os switches em cada camada permite uma rpida recuperao e uma soluo de problemas mais simples. Em algumas situaes especiais, talvez haja inconsistncias na configurao entre dispositivos, logo, voc deve assegurar que as configuraes sejam bem documentadas para que voc possa compar-las antes da implantao. Sustentabilidade Como as redes hierrquicas so modulares por natureza e a escalabilidade muito boa, elas so fceis de serem mantidas. Com outros designs da topologia de rede, a gerenciabilidade fica cada vez mais complicada na medida em que a rede cresce. Alm disso, em alguns modelos de design de rede, h um limite claro quanto ao tamanho a que a rede pode chegar antes de se tornar complicada e de manuteno cara. No modelo de design hierrquico, as funes do switch so definidas em cada camada, o que simplifica a seleo do switch correto. Adicionar switches a uma camada no necessariamente significa que no haver um gargalo ou outra limitao em outra camada. Para que uma topologia de rede em malha completa atinja o desempenho mximo, todos os switches precisam ser switches de alto desempenho, porque cada um precisa ser capaz de executar todas as funes da rede. No modelo hierrquico, as funes de switch so diferentes em cada camada. Voc pode economizar, usando switches da camada de acesso mais baratos na camada mais baixa e gastar mais nas camadas de distribuio e do ncleo para obter um alto desempenho na rede. Princpios do design de rede hierrquico

S porque uma rede parece ter um design hierrquico no significa que ela foi bem projetada. Estas diretrizes simples ajudaro a diferenciar redes hierrquicas bem e mal projetadas. Esta seo no pretende fornecer todas as habilidades e o conhecimento de que voc precisa para criar uma rede hierrquica, mas oferece uma oportunidade de comear a praticar suas habilidades, transformando uma topologia de rede plana em uma topologia de rede hierrquica. Dimetro da rede Durante a criao de uma topologia de rede hierrquica, a primeira coisa a ser considerada o dimetro da rede. O dimetro costuma ser uma medida de distncia, mas, neste caso, estamos usando o termo para medir o nmero de dispositivos. O dimetro da rede o nmero de dispositivos que um pacote precisa cruzar antes de chegar at seu destino. Manter o dimetro da rede baixo assegura uma latncia baixa e previsvel entre os dispositivos. Passe o mouse sobre o boto Dimetro da rede na figura. Na figura, PC1 se comunica com PC3. Talvez haja at seis switches interconectados entre PC1 e PC3. Neste caso, o dimetro da rede 6. Cada switch no caminho apresenta algum grau de latncia. A latncia do dispositivo de rede o tempo gasto por um dispositivo quando ele processa um pacote ou quadro. Cada switch precisa determinar o endereo MAC de destino do quadro, verificar sua tabela de endereos MAC e encaminhar o quadro pela porta apropriada. Mesmo que todo o processo ocorra em uma frao de segundo, aumenta o tempo quando o quadro precisa cruzar muitos switches. No modelo hierrquico de trs camadas, a segmentao de Camada 2 na camada de distribuio praticamente elimina o dimetro da rede como problema. Em uma rede hierrquica, o dimetro da rede sempre ser um nmero previsvel de saltos entre os dispositivos de origem e de destino. Agregao da largura de banda Cada camada no modelo de rede hierrquico uma possvel candidata agregao da largura de banda. A agregao da largura de banda a prtica de considerar os requisitos de largura de banda especficos de cada parte da hierarquia. Depois que os requisitos de largura de banda da rede so conhecidos, os links entre os switches especficos podem ser agregados, o que chamado de agregao de link. A agregao de link permite a integrao de vrios links de porta de switch, o que proporciona maior produtividade entre os switches. A Cisco tem uma tecnologia de agregao de link prpria chamada EtherChannel, que permite a consolidao de vrios links Ethernet. Uma discusso da EtherChannel est alm do escopo deste curso. Para saber mais, visite: http://www.cisco.com/en/US/tech/tk389/tk213/tsd_technology_support_protocol_home.html (em ingls). Passe o mouse sobre o boto Agregao da largura de banda na figura. Na figura, os computadores PC1 e PC3 exigem uma quantidade significativa de largura de banda porque so usados para desenvolver simulaes climticas. O gerente de rede determinou que os switches da camada de acesso S1, S3 e S5 exigem uma largura de banda maior. Acompanhando a hierarquia, esses switches da camada de acesso se conectam aos switches de distribuio D1, D2 e D4. Os switches da camada de acesso se conectam aos switches da camada de ncleo C1 e C2. Observe como links especficos em portas especficas em cada switch so agregados. Dessa forma, uma largura de banda maior fornecida para uma parte especfica da rede. Observe que, nesta figura, os links agregados so indicados por duas linhas pontilhadas com uma elipse ligando-os. Em

outras figuras, os links agregados so representados por uma nica linha pontilhada com uma elipse. Redundncia Redundncia uma parte da criao de uma rede altamente disponvel. A redundncia pode ser fornecida de vrias formas. Por exemplo, possvel duplicar as conexes de rede entre dispositivos ou duplicar os prprios dispositivos. Este captulo explora como empregar caminhos de rede redundantes entre switches. Uma discusso sobre como duplicar dispositivos de rede e empregar protocolos de rede especiais para assegurar alta disponibilidade est alm do escopo deste curso. Para ver uma discusso interessante sobre alta disponibilidade, visite: http://www.cisco.com/en/US/products/ps6550/products_ios_technology_home.html (em ingls). Implementar links redundantes pode ser caro. Imagine se todos os switches em cada camada da hierarquia de rede tivesse uma conexo com todos os switches na prxima camada. improvvel que voc consiga implementar redundncia na camada de acesso por causa do custo e dos recursos limitados nos dispositivos finais, mas voc pode criar uma redundncia nas camadas de distribuio e do ncleo da rede. Passe o mouse sobre o boto Links redundantes na figura. Na figura, os links redundantes so mostrados nas camadas de distribuio e do ncleo. Na camada de distribuio, h dois switches da camada de distribuio, o mnimo exigido para suportar redundncia nessa camada. Os switches da camada de acesso, S1, S3, S4 e S6, so conectados de maneira cruzada aos switches da camada de distribuio. Isso protege sua rede em caso de falha de um dos switches de distribuio. No caso de uma falha, o switch da camada de acesso ajusta seu caminho de transmisso e encaminha o trfego at o outro switch de distribuio. Alguns cenrios de falha na rede jamais podem ser evitados, por exemplo, se acaba a energia na cidade inteira, ou se todo o edifcio demolido por causa de um terremoto. A redundncia no tenta resolver esses tipos de desastres. Comece na camada de acesso Imagine que um novo design de rede seja obrigatrio. Requisitos de design, como o nvel de desempenho ou a redundncia necessria, so determinados pelas metas comerciais da organizao. Quando os requisitos de design so documentados, o designer pode comear a escolher o equipamento e a infra-estrutura para implementar o design. Ao iniciar a seleo de equipamento na camada de acesso, voc pode assegurar que acomoda todos os dispositivos de rede que precisam de acesso rede. Depois de contabilizar todos os dispositivos finais, voc tem uma idia melhor de quantos switches da camada de acesso voc precisa. O nmero de switches da camada de acesso, e o trfego estimado que cada um gera, ajuda a determinar quantos switches da camada de distribuio so obrigatrios para obter o desempenho e a redundncia necessrios para a rede. Depois de determinar o nmero de switches da camada de distribuio, voc poder identificar quantos switches do ncleo so obrigatrios para manter o desempenho da rede. Uma discusso completa sobre como determinar que switch escolher com base no fluxo de trfego e quantos switches do ncleo so obrigatrios para manter o desempenho est alm do escopo deste curso. Para uma boa introduo ao design de rede, leia este livro, disponvel em Ciscopress.com: Top-Down Network Design de Priscilla Oppenheimer (2004).

As pequenas e mdias empresas esto aceitando a idia de executar servios de voz e de vdeo em suas redes de dados. Vejamos como voz e vdeo sobre IP (VoIP) afetam uma rede hierrquica. Equipamento legado Convergncia o processo de integrar comunicao por voz e vdeo em uma rede de dados. As redes convergentes j existem h algum tempo, mas s eram possveis em organizaes de grande porte por causa dos requisitos de infra-estrutura da rede e do gerenciamento complexo envolvido para que elas funcionassem sem apresentar problemas. Havia custos altos de rede associados convergncia porque um hardware de switch mais caro era obrigatrio para suportar os requisitos de largura de banda adicionais. As redes convergentes tambm exigiam um amplo gerenciamento em relao Qualidade de Servio (QoS), porque o trfego de dados de voz e de vdeo precisava ser classificado e priorizado na rede. Poucas pessoas tinham experincia em redes de voz, vdeo e dados para viabilizar a convergncia e torn-la funcional. Alm disso, o equipamento legado impede o processo. A figura mostra o switch legado de uma empresa telefnica. A maioria das empresas telefnicas fez a transio para switches digitais. No entanto, como h muitos escritrios que continuam usando telefones analgicos, eles ainda tm os wiring closets dos telefones analgicos existentes. Como os telefones analgicos ainda no foram substitudos, voc tambm ver o equipamento que precisa suportar os sistemas telefnicos legados e PABX, alm dos telefones baseados em IP. Esse tipo de equipamento ser migrado lentamente para switches telefnicos modernos com base em IP. Clique no boto Tecnologia avanada na figura. Tecnologia avanada As redes de voz, vdeo e dados convergentes se tornaram mais populares recentemente no mercado de pequenas e mdias empresas por conta dos avanos feitos na tecnologia. Agora a convergncia mais fcil de implementar e gerenciar, alm de ser mais barata. A figura mostra uma integrao entre telefone VoIP e switch apropriada a uma empresa de mdio porte entre 250 e 400 funcionrios. A figura tambm mostra um switch Cisco Catalyst Express 500 e um telefone Cisco 7906G apropriados a empresas de mdio porte. Essa tecnologia VoIP s costumava ser acessvel a empresas e governos. Migrar para uma rede convergente pode ser uma deciso difcil caso a empresa j tenha investido em redes de voz, vdeo e dados separadas. difcil abandonar um investimento que continua funcionando, mas h vrias vantagens na convergncia de voz, vdeo e dados em uma nica infraestrutura de rede. Um benefcio de uma rede convergente que existe apenas uma rede para gerenciar. Com redes de voz, vdeo e dados separadas, as alteraes feitas na rede precisam ser coordenadas atravs da rede. Tambm h custos adicionais resultantes de usar trs conjuntos de cabeamento de rede. Usar uma nica rede significa que voc precisa gerenciar apenas uma infra-estrutura cabeada. Outro benefcio so os custos mais baixos de implementao e de gerenciamento. mais barato implementar uma nica infra-estrutura de rede do que trs infra-estruturas de rede distintas. Gerenciar uma nica rede tambm mais barato. Tradicionalmente, se uma empresa tiver uma rede de voz e de dados separada, ela ter um grupo de pessoas gerenciando a rede de voz e outro gerenciando a rede de dados. Com uma rede convergente, voc tem um grupo gerenciando as redes de voz e de dados. Clique no boto Novas opes na figura.

Novas opes As redes convergentes do opes que no existiam at ento. Agora voc pode vincular a comunicao por voz e vdeo diretamente ao sistema de computador pessoal de um funcionrio, conforme mostrado na figura. No h nenhuma necessidade de um monofone caro ou de um equipamento de videoconferncia. possvel realizar a mesma funo usando um software especial integrado a um computador pessoal. Softphones, como o Cisco IP Communicator, oferecem muita flexibilidade para as empresas. A pessoa no canto superior esquerdo da figura est usando um softphone no computador. Quando o software usado em lugar de um telefone fsico, uma empresa pode converter rapidamente para redes convergentes, porque no h nenhuma grande despesa na compra de telefones IP e dos switches necessrios para alimentar os telefones. Com a adio de webcams baratas, as videoconferncias podem ser adicionadas a um softphone. Esses so apenas alguns exemplos fornecidos por um portflio de solues em comunicao mais amplo que redefinem os processos atuais da empresa. Redes de voz, de vdeo e de dados separadas Como voc pode ver na figura, uma rede de voz contm linhas telefnicas isoladas no sentido de um switch PABX para permitir a conectividade telefnica com a Rede de telefonia pblica comutada (PSTN). Quando um novo telefone adicionado, uma nova linha deve ser acoplada ao PABX. O PABX costuma estar localizado em um wiring closet telco, separado dos wiring closet de dados e de vdeo. Os wiring closet normalmente so separados porque pessoal de suporte diferente exige acesso a cada sistema. No entanto, usando uma rede hierrquica projetada corretamente e implementando polticas de QoS que priorizem os dados de udio, os dados de voz podem ser convergidos em uma rede de dados existente com mnimo ou nenhum impacto sobre a qualidade de udio. Clique no boto Rede de vdeo na figura para ver um exemplo de uma rede de vdeo separada. Nessa figura, o equipamento de videoconferncia cabeado separadamente das redes de voz e de dados. Os dados de videoconferncias podem consumir uma largura de banda significativa de uma rede. Dessa forma, as redes de vdeo foram mantidas separadamente para permitir o funcionamento do equipamento de videoconferncias em velocidade mxima sem competir pela largura de banda com os fluxos de voz e de dados. Usando uma rede hierrquica projetada corretamente e implementando polticas de QoS que priorizem os dados de vdeo, os dados de vdeo podem ser convergidos em uma rede de dados existente com mnimo ou nenhum impacto sobre a qualidade de vdeo. Clique no boto Rede de dados na figura para ver um exemplo de uma rede de dados separada. A rede de dados interconecta as estaes de trabalho e os servidores em uma rede para facilitar o compartilhamento de recursos. As redes de dados podem consumir uma largura de banda de comando significativa, razo pela qual as redes de voz, de vdeo e de dados foram mantidas segregadas por tanto tempo. Agora que as redes hierrquicas projetadas corretamente podem acomodar os requisitos de largura de banda da comunicao de voz, de vdeo e de dados simultaneamente, faz sentido convergi-las em uma nica rede hierrquica. Anlise do fluxo de trfego Para escolher o switch apropriado a uma camada em uma rede hierrquica, voc precisa ter as especificaes que detalham os fluxos de trfego de destino, as comunidades de usurios, os servidores de dados e os servidores de armazenamento de dados.

As empresas precisam de uma rede capaz de atender aos requisitos sempre em evoluo. Uma empresa pode comear com alguns PCs interconectados de forma que eles possam compartilhar dados. medida que a empresa adiciona mais funcionrios, dispositivos, como PCs, impressoras e servidores, so adicionados rede. Acompanhando os novos dispositivos est um aumento no trfego da rede. Algumas empresas esto substituindo seus sistemas de telefonia existentes por sistemas de telefonia de voz sobre IP (VoIP), o que acrescenta um trfego adicional. Ao escolher o hardware do switch, determine quais switches so necessrios nas camadas do ncleo, de distribuio e de acesso para acomodar os requisitos de largura de banda da sua rede. O seu plano deve levar em conta requisitos de largura de banda futuros. Compre o hardware do switch Cisco apropriado para acomodar tanto as necessidades atuais quanto as futuras. Para ajudar a escolher os switches apropriados com mais preciso, faa e registre anlises do fluxo de trfego regularmente. Anlise do fluxo de trfego Anlise do fluxo de trfego o processo de medir o uso da largura de banda em uma rede e de analisar os dados com a finalidade de ajustar o desempenho, planejar a capacidade e tomar decises quanto melhoria do hardware. A anlise do fluxo de trfego feita usando o software de anlise do fluxo de trfego. Embora no haja nenhuma definio precisa do fluxo de trfego da rede, tendo em vista a anlise do fluxo de trfego, podemos dizer que o trfego da rede a quantidade de dados enviados por meio de uma rede durante um determinado perodo. Todos os dados da rede contribuem para o trfego, independentemente de seu propsito ou origem. Analisar as vrias origens de trfego e seu impacto na rede permite ajustar com mais preciso e atualizar a rede para obter o melhor desempenho possvel. Os dados do fluxo de trfego podem ser usados para ajudar a determinar quanto tempo voc pode continuar usando o hardware de rede existente antes que se justifique atualizar para acomodar os requisitos de largura de banda adicionais. Ao tomar suas decises sobre que hardware comprar, voc deve considerar as densidades de porta e as taxas de encaminhamento do switch para assegurar uma funo de crescimento apropriada. As taxas de encaminhamento e de densidade de porta sero explicadas posteriormente neste captulo. H muitas formas de monitorar o fluxo de trfego em uma rede. possvel monitorar as portas individuais do switch manualmente para obter a utilizao da largura de banda com o passar do tempo. Ao analisar os dados do fluxo de trfego, voc deseja determinar requisitos futuros do fluxo de trfego com base na capacidade em determinadas horas do dia e onde grande parte dos dados gerada e enviada. No entanto, para obter resultados precisos, voc precisa registrar dados o suficiente. Registrar manualmente os dados de trfego um processo entediante que exige muito tempo e dedicao. Felizmente, h algumas solues automatizadas. Ferramentas de anlise H muitas ferramentas de anlise de fluxo do trfego que registram dados do fluxo de trfego em um banco de dados e fazem uma anlise da tendncia disponveis. Em redes maiores, as solues em coleta de software so o nico mtodo efetivo para executar uma anlise do fluxo de trfego. A figura exibe um exemplo da Solarwinds Orion 8.1 NetFlow Analysis, que monitora o fluxo de trfego em uma rede. Enquanto o software est coletando dados, possvel ver como cada interface est se saindo em um determinado momento na rede. Usando os grficos includos, possvel identificar problemas do fluxo de trfego visualmente. Isso muito mais fcil do que precisar interpretar os nmeros em uma coluna de dados do fluxo de trfego.

Anlise das comunidades de usurios Anlise da comunidade de usurios o processo de identificao de vrios grupos de usurios e de seu impacto sobre o desempenho da rede. A forma como os usurios so agrupados afeta aspectos relacionados densidade de porta e ao fluxo de trfego, que, por sua vez, influencia a seleo dos switches da rede. A densidade de porta ser explicada posteriormente neste captulo. Em um edifcio comercial tpico, os usurios finais so agrupados de acordo com seus cargos, porque eles precisam de acesso semelhante a recursos e aplicativos. Voc pode encontrar o departamento de Recursos Humanos (RH) localizado em um andar de um edifcio comercial, enquanto o de Finanas est localizado em outro andar. Cada departamento tem um nmero de usurios e necessidades de aplicativos diferentes, exigindo acesso a recursos de dados diferentes disponveis em toda a rede. Por exemplo, ao selecionar switches para os wiring closets dos departamentos de RH e de finanas, voc escolheria um switch que tivesse portas o suficiente para atender s necessidades do departamento e fosse bastante eficiente para acomodar os requisitos de trfego de todos os dispositivos nesse andar. Alm disso, um bom plano de design da rede leva em conta o crescimento de cada departamento para assegurar que haja portas de switch disponveis o suficiente que possam ser utilizadas antes da prxima melhoria planejada para a rede. Como mostrado na figura, o departamento de RH requer 20 estaes de trabalho para seus 20 usurios. Isso quer dizer 20 portas de switch necessrias conexo das estaes de trabalho com a rede. Se fosse selecionar um switch da camada de acesso apropriado para acomodar o departamento de RH, voc provavelmente escolheria um switch com 24 portas que tivesse portas o suficiente para acomodar as 20 estaes de trabalho e os uplinks para os switches da camada de distribuio. Crescimento futuro Mas esse plano no leva em conta um crescimento futuro. Considere o que acontecer se o departamento de RH receber mais cinco funcionrios. Um plano de rede slido inclui a taxa de crescimento do pessoal nos ltimos cinco anos para ser capaz de prever o crescimento futuro. Tendo isso em mente, voc deseja comprar um switch capaz de acomodar mais de 24 portas, como os switches empilhveis ou modulares podem escalar. Assim tambm como, observando o nmero de dispositivos em um determinado switch de uma rede, voc deve investigar o trfego da rede gerado por aplicativos de usurio final. Algumas comunidades de usurios usam aplicativos que geram muito trfego da rede, enquanto outras comunidades de usurios, no. Medindo o trfego da rede gerado para todos os aplicativos sendo usados por comunidades de usurios diferentes e determinando o local da fonte de dados, possvel identificar o efeito de adicionar mais usurios a essa comunidade. Uma comunidade de usurios do tamanho de um grupo de trabalho em uma pequena empresa suportada por alguns switches, estando normalmente conectada ao mesmo switch que o servidor. Em empresas de mdio porte, as comunidades de usurios so suportadas por muitos switches. Os recursos de que as empresas de mdio porte ou as comunidades de usurios corporativos precisam podem estar localizados em reas separadas geograficamente. Conseqentemente, o local das comunidades de usurios influencia onde armazenamentos de dados e server farms so localizados. Clique no boto Departamento de finanas na figura. Se os usurios do departamento de Finanas estiverem usando um aplicativo que use muito a rede e que troque dados com um servidor especfico na rede, talvez faa sentido localizar a comunidade de

usurios do departamento de finanas prximo desse servidor. Localizando os usurios prximos de seus servidores e armazenamentos de dados, possvel reduzir o dimetro da rede para a comunicao, ao mesmo tempo em que se reduz o impacto do trfego em todo o resto da rede. Uma complicao da anlise do uso de aplicativo por comunidades de usurios que esse uso nem sempre est ligado por departamento ou local fsico. Talvez seja necessrio analisar o impacto do aplicativo em muitos switches de rede para determinar seu impacto geral. Armazenamentos de dados e anlise de servidores de dados Ao analisar o trfego em uma rede, considere onde esto localizados os armazenamentos e os servidores de dados para que seja possvel determinar o impacto do trfego na rede. Os Data Stores podem ser servidores, storage area networks (SANs), network-attached storage (NAS), unidades de fita de backup ou qualquer outro dispositivo ou componente onde grandes quantidades de dados so armazenadas. Ao considerar o trfego para armazenamentos de dados e servidores, considere os trfegos do modelo cliente/servidor e servidor/servidor. Como voc pode ver na figura, o trfego cliente/servidor o trfego gerado quando um dispositivo cliente acessa dados dos repositrios de dados ou dos servidores. O trfego cliente/servidor normalmente passa por vrios switches at alcanar seu destino. A agregao de largura de banda e as taxas de encaminhamento do switch so fatores importantes a serem considerados durante a tentativa de eliminao de gargalos para esse tipo de trfego. Clique no boto Comunicao servidor/servidor na figura. O trfego servidor/servidor o trfego gerado entre dispositivos de armazenamento de dados na rede. Alguns aplicativos para servidores geram volumes muito altos de trfego entre armazenamentos de dados e outros servidores. Para otimizar o trfego servidor/servidor, os servidores que precisam de acesso freqente a determinados recursos devem estar localizados prximos uns dos outros para que o trfego gerado por eles no afete o desempenho do restante da rede. Os servidores e os armazenamentos de dados costumam estar localizados em data centers dentro de uma empresa. Um data center uma rea protegida do edifcio onde servidores, armazenamentos de dados e outros equipamentos de rede esto localizados. Um dispositivo pode estar localizado fisicamente no data center, mas representado em um local bem diferente na topologia lgica. O trfego nos switches do data center costuma ser bastante alto devido ao trfego servidor/servidor e cliente/servidor que percorre os switches. Dessa forma, os switches selecionados para data centers devem ser switches de desempenho mais alto que os switches que voc encontraria nos wiring closets na camada de acesso. Examinando os caminhos de dados para vrios aplicativos usados por comunidades de usurios diferentes, possvel identificar gargalos potenciais em que o desempenho do aplicativo pode ser afetado pela largura de banda inadequada. Para melhorar o desempenho, voc pode agregar links para acomodar a largura de banda ou substituir os switches mais lentos por switches mais rpidos capazes de tratar a carga do trfego. Diagramas de topologia Um diagrama de topologia mostra como todos os switches so interconectados, detalhando at que porta do switch interconecta os dispositivos. Um diagrama de topologia mostra como todos os switches so interconectados, detalhado at que porta do switch interconecta os dispositivos. Um

diagrama de topologia exibe graficamente qualquer caminho redundante ou portas agregadas entre os switches que fornecem resilincia e desempenho. Ele mostra onde e quantos switches esto sendo usados na rede, bem como tambm identifica sua configurao. Os diagramas de topologia tambm podem conter informaes sobre densidades de dispositivo e comunidades de usurios. Ter um diagrama de topologia permite identificar visualmente gargalos potenciais no trfego da rede de forma que seja possvel se concentrar na coleta de dados da anlise de trfego em reas nas quais as melhorias podem ter o impacto mais significativo sobre o desempenho. Pode ser muito difcil montar uma topologia de rede depois, se voc no fizer parte do processo de design. Os cabos de rede nos wiring closets desaparecem no cho e no telhado, o que dificulta o rastreamento at seus destinos. E como os dispositivos esto espalhados por todo o edifcio, difcil saber como todos os equipamentos so conectados entre si. Com pacincia, possvel determinar com exatido como tudo est interconectado e, em seguida, documentar a infra-estrutura de rede em um diagrama de topologia. A figura exibe um diagrama de topologia de rede simples. Observe quantos switches esto presentes na rede, bem como a forma de interconexo de cada um deles. O diagrama de topologia identifica cada porta de switch usada na comunicao inter-switch e nos caminhos redundantes entre os switches das camadas de acesso e de distribuio. O diagrama de topologia tambm exibe onde esto localizadas as diferentes comunidades de usurios na rede e o local dos servidores e dos armazenamentos de dados.

Caractersticas fsicas do switch Quais so os principais recursos dos switches usados em redes hierrquicas? Quando voc observa as especificaes de um switch, o que significam todos os acrnimos e frases? O que significa "PoE" e o que "taxa de encaminhamento"? Neste tpico, voc obter informaes sobre esses recursos. Ao selecionar um switch, voc precisa optar por uma configurao fixa ou modular e empilhvel ou no empilhvel. Outra considerao a espessura do switch expressada em nmero de unidades de rack. Por exemplo, todos os Switches de Configurao Fixa mostrados na figura tm uma unidade de rack (1U). s vezes, essas opes so conhecidas como caractersticas fsicas do switch.. Switches de configurao fixa Os switches de configurao fixa so exatamente aquilo que voc espera, fixos quanto sua

configurao. Isso significa que no possvel adicionar recursos ou opes ao switch alm dos que acompanham originalmente o switch. O modelo especfico que voc compra determina os recursos e as opes disponveis. Por exemplo, se comprar um switch fixo gigabit com 24 portas, no ser possvel adicionar portas quando voc precisar. Normalmente, h opes de configurao diferentes que variam quanto ao nmero e aos tipos de portas includas. Switches modulares Os switches modulares oferecem mais flexibilidade em sua configurao. Os switches modulares normalmente acompanham um chassi de tamanho diferente que permite a instalao de vrias placas de linha modulares. Na verdade, as placas de linha contm as portas. A placa de linha se encaixa no chassi do switch como as placas de expanso encaixadas em um PC. Quanto maior for o chassi, mais mdulos ele poder suportar. Como voc pode ver na figura, talvez haja muitos tamanhos de chassi diferentes para escolher. Se comprasse um switch modular com uma placa de linha com 24 portas, voc poderia adicionar facilmente uma placa de linha de 24 portas, aumentando o nmero total de portas para at 48. Switches empilhveis Os switches empilhveis podem ser interconectados usando um cabo backplane que fornece produtividade em grande largura de banda entre os switches. A Cisco apresentou a tecnologia StackWise em uma de suas linhas de produto de switch. A StackWise permite interconectar at nove switches usando conexes backplane completamente redundantes. Como voc pode ver na figura, os switches so empilhados um sobre o outro, e os cabos conectam os switches em interligao de equipamentos em cascata. Os switches empilhados funcionam efetivamente como um nico switch maior. Os switches empilhveis so desejados onde a tolerncia a falhas e a disponibilidade de largura de banda so essenciais e um switch modular muito caro para ser implementado. Usando conexes cruzadas, a rede poder se recuperar rapidamente se houver falha em nico switch. Os switches empilhveis usam uma porta especial para interconexes e no usam portas de linha para conexes de inter-switch. As velocidades tambm costumam ser mais rpidas que usar portas de linha para switches de conexo. Desempenho Ao selecionar um switch para as camadas de acesso, de distribuio ou de ncleo, considere a capacidade do switch de suportar a densidade de porta, as taxas de encaminhamento e os requisitos de agregao de largura de banda da rede. Densidade de porta Densidade de porta o nmero de portas disponveis em um nico switch. Os switches de configurao fixa normalmente suportam at 48 portas em um nico dispositivo, com opes para at quatro portas adicionais para dispositivos conectveis de caractersticas fsicas pequena, como mostrado na figura. As altas densidades de porta permitem um melhor uso do espao e da energia quando ambos se encontram limitados. Se tivesse dois switches, cada um contendo 24 portas, voc poderia suportar at 46 dispositivos, porque perde pelo menos uma porta por switch para conectar cada um ao resto da rede. Alm disso, duas tomadas so necessrias. Por outro lado, se voc tiver um nico switch com 48 portas, 47 dispositivos podem ser suportados, com apenas uma porta sendo usada para conectar o switch ao resto da rede e s uma tomada necessria para acomodar o nico switch. Os switches modulares podem suportar densidades de porta muito altas pela adio de vrias placas

de linha de porta de switch, como mostrado na figura. Por exemplo, o switch Catalyst 6500 pode suportar mais de 1.000 portas de switch em um nico dispositivo. Grandes redes corporativas que suportam muitos milhares de dispositivos de rede exigem alta densidade, switches modulares para usar melhor o espao e a energia. Sem usar um switch modular de alta densidade, a rede precisaria de muitos switches de configurao fixa para acomodar o nmero de dispositivos que precisam de acesso rede. Essa abordagem pode usar muitas tomadas e ocupar muito espao do armrio. Voc tambm deve abordar o problema dos gargalos de uplink. Uma srie de switches de configurao fixa pode usar muitas portas adicionais para agregao de largura de banda entre switches com a finalidade de obter o desempenho desejado. Com um nico switch modular, a agregao de largura de banda no chega a ser um problema porque o backplane do chassi pode fornecer a largura de banda necessria para acomodar os dispositivos conectados s placas de linha de porta de switch. Taxas de encaminhamento Clique no boto Taxas de encaminhamento na figura para ver um exemplo das taxas de encaminhamento em switches com densidades de porta diferentes. As taxas de encaminhamento definem os recursos de processamento de um switch, classificando quantos dados podem ser processados pelo switch por segundo. As linhas de produto de switch so classificadas por taxas de encaminhamento. Os switches da camada de entrada tm taxas de encaminhamento inferiores s dos switches da camada corporativa. importante considerar as taxas de encaminhamento ao selecionar um switch. Se a taxa de encaminhamento do switch for muito baixa, ele no poder acomodar a comunicao completa na velocidade do fio em todas as portas de switch. Velocidade do fio a taxa de dados que cada porta no switch capaz de atingir, Fast Ethernet 100 Mb/s ou Gigabit Ethernet 1000 Mb/s. Por exemplo, um switch gigabit de 48 portas que funciona com total velocidade de fio gera 48 Gb/s de trfego. Se s suportar uma taxa de encaminhamento de 32 Gb/s, o switch no poder operar em total velocidade de fio em todas as portas simultaneamente. Felizmente, os switches da camada de acesso normalmente no precisam operar em total velocidade de fio porque eles so limitados fisicamente pelos uplinks para a camada de distribuio. Isso permite usar switches mais baratos, de menor desempenho, na camada de acesso e usar os mais caros, de maior desempenho, nas camadas de distribuio e de ncleo, nas quais a taxa de encaminhamento tem uma grande diferena. Agregao de link Clique no boto Agregao de link na figura. Como parte da agregao de largura de banda, voc deve determinar se h portas o suficiente em um switch a serem agregadas para suportar a largura de banda exigida. Por exemplo, considere um porta Ethernet Gigabit que transporta at 1 Gb/s de trfego. Se tivesse um switch de 24 portas, com todas elas capazes de operar em velocidades gigabit, voc poderia gerar at 24 Gb/s de trfego da rede. Se estiver conectado ao resto da rede por um nico cabo de rede, o switch poder encaminhar apenas 1 Gb/s dos dados para o resto da rede. Devido conteno da largura de banda, os dados seriam encaminhados mais lentamente. Isso resulta na disponibilidade da velocidade do fio em 1/24 avos para cada um dos 24 dispositivos conectados ao switch. Velocidade de fio descreve a taxa de transmisso de dados mxima terica de uma conexo. Por exemplo, a velocidade de fio de uma conexo Ethernet depende das propriedades fsicas e eltricas do cabo, em combinao com a camada mais baixa dos protocolos de conexo.

A agregao de link ajuda a reduzir esses gargalos de trfego, permitindo a integrao de at oito portas de switch para a comunicao de dados, fornecendo at 8 Gb/s de produtividade de dados quando as portas Ethernet Gigabit so usadas. Com a adio de vrios uplinks Ethernet Gigabit 10 (10GbE) em alguns switches da camada corporativa, taxas de produtividade muito altas podem ser obtidas. A Cisco usa o termo EtherChannel ao descrever portas de switch agregadas. Como voc pode ver na figura, so usadas quatro portas separadas nos switches C1 e D1 para criar um EtherChannel de quatro portas. A tecnologia EtherChannel permite a um grupo de links fsicos Ethernet criar um link Ethernet lgico com a finalidade de fornecer tolerncia a falhas e links de alta velocidade entre switches, roteadores e servidores. Nesse exemplo, h quatro vezes mais produtividade em comparao com a conexo de porta nica entre os switches C1 e D2. PoE e funcionalidade da camada 3 Duas outras caractersticas que voc talvez queira considerar ao selecionar um switch so Power over Ethernet (PoE) e a funcionalidade da Camada 3. Power over Ethernet Power over Ethernet (PoE) permite ao switch alimentar um dispositivo usando o cabeamento Ethernet existente. Como voc pode ver na figura, esse recurso pode ser usado por telefones IP e alguns pontos de acesso sem fio. A PoE d mais flexibilidade quando voc instala pontos de acesso sem fio e telefones IP porque possvel instal-los em qualquer lugar em que haja um cabo Ethernet. Voc no precisa considerar como transmitir energia bsica para o dispositivo. Voc s dever selecionar um switch que suporte PoE se for aproveitar o recurso, porque ela agrega um custo considervel ao switch. Clique no cone do switch para ver as portas PoE. Clique no cone do telefone para ver as portas do telefone. Clique no cone de ponto de acesso sem fio para ver suas portas. Funes da camada 3 Clique no boto Funes da Camada 3 na figura para ver algumas funes da Camada 3 que podem ser fornecidas por switches em uma rede hierrquica. Normalmente, os switches funcionam na Camada 2 do modelo de referncia OSI, na qual eles lidam principalmente com os endereos MAC de dispositivos conectados a portas de switch. Os switches da Camada 3 oferecem funcionalidade avanada. Os switches da Camada 3 tambm so conhecidos como switches multicamada. Recursos do switch da camada de acesso Agora que voc sabe quais fatores considerar ao escolher um switch, nos permita examinar quais recursos so obrigatrios em cada camada de uma rede hierrquica. Assim, voc poder comparar a especificao do switch com sua capacidade em funcionar como um switch das camadas de acesso, de distribuio ou de ncleo. Os switches da camada de acesso facilitam a conexo de dispositivos de n final com a rede. Por esse motivo, eles precisam suportar recursos como a segurana de porta, VLANs, Fast

Ethernet/Gigabit Ethernet, PoE e agregao de link. A segurana de porta permite ao switch decidir quantos ou quais dispositivos especficos tm permisso para se conectar ao switch. Todos os switches Cisco suportam a segurana da camada de porta. A segurana de porta aplicada camada de acesso. Conseqentemente, trata-se de uma primeira linha de defesa importante para uma rede. Voc obter informaes sobre a segurana de porta no Captulo 2. As VLANs so um componente importante de uma rede convergente. O trfego de voz costuma receber uma VLAN separada. Dessa forma, o trfego de voz pode ser suportado com mais largura de banda, mais conexes redundantes e segurana aprimorada. Os switches da camada de acesso permitem definir as VLANs para os dispositivos de n final em sua rede. A velocidade de porta tambm uma caracterstica que voc precisa considerar para os switches da camada de acesso. Dependendo dos requisitos de desempenho da rede, voc deve escolher entre as portas de switch Fast Ethernet e Gigabit Ethernet. Fast Ethernet permite at 100 Mb/s de trfego por porta de switch. Fast Ethernet adequado para a telefonia IP e o trfego de dados na maior parte das redes comerciais. No entanto, o desempenho mais lento do que o de portas Gigabit Ethernet. Gigabit Ethernet permite at 1000 Mb/s de trfego por porta de switch. A maioria dos dispositivos modernos, como estaes de trabalho, notebooks e telefones IP, suportam Gigabit Ethernet. Isso permite transferncias de dados muito mais eficientes, o que permite aos usurios serem mais produtivos. Gigabit Ethernet tem uma desvantagem: os switches que suportam Gigabit Ethernet so mais caros. Outro requisito de recurso para alguns switches da camada de acesso PoE. Como a PoE aumenta drasticamente o preo geral do switch em todas as linhas de produto de switch Cisco Catalyst, ela s dever ser considerada quando a convergncia de voz for obrigatria ou quando pontos de acesso sem fio estiverem sendo implementados e for difcil ou caro o transporte da energia at o local desejado. Agregao de link outro recurso comum maioria dos switches da camada de acesso. A agregao de link permite ao switch usar vrios links simultaneamente. Os switches da camada de acesso usufruem a agregao de link ao agregar largura de banda at os switches da camada de distribuio. Como a conexo uplink entre o switch da camada de acesso e o switch da camada de distribuio costuma ser o gargalo na comunicao, a taxa de encaminhamento interna dos switches da camada de acesso no precisa ser to alta quanto o link entre os switches das camadas de distribuio e de acesso. Caractersticas como a taxa de encaminhamento interna no chegam a ser uma preocupao para switches da camada de acesso porque eles s tratam trfego dos dispositivos finais e o encaminham para os switches da camada de distribuio. Em uma rede convergente que suporta trfegos de voz, de vdeo e de dados, os switches da camada de acesso precisam suportar QoS para manter a priorizao do trfego. Os telefones IP Cisco so tipos de equipamento encontrados na camada de acesso. Quando um telefone IP Cisco conectado a uma porta de switch da camada de acesso configurada para suportar trfego de voz, essa porta do switch informa ao telefone IP como enviar seu trfego de voz. O QoS precisa estar habilitado nos switches da camada de acesso para que o trfego de voz tenha prioridade no telefone IP sobre, por exemplo, o trfego de dados. Recursos do switch da camada de distribuio

Os switches da camada de distribuio tm uma funo muito importante na rede. Eles coletam os dados de todos os switches da camada de acesso e os encaminha para os switches da camada de ncleo. Como voc saber posteriormente neste curso, o trfego gerado na Camada 2 em uma rede comutada precisa ser gerenciado ou segmentado em VLANs, para que ele no consuma largura de banda desnecessria em toda a rede. Os switches da camada de distribuio fornecem as funes de roteamento entre VLANs para que uma VLAN possa se comunicar com outra na rede. Esse roteamento normalmente acontece na camada de distribuio porque os switches da camada de distribuio tm recursos de processamento melhores que os switches da camada de acesso. Os switches da camada de distribuio impedem que os switches do ncleo precisem executar essa tarefa porque o ncleo est ocupado, tratando o encaminhamento de volumes de trfego muito altos. Como o roteamento entre VLANs realizado na camada de distribuio, os switches nessa camada precisam suportar funes da Camada 3. Polticas de segurana Outro motivo pelo qual a funcionalidade da Camada 3 obrigatria para os switches da camada de distribuio por conta das polticas de segurana avanadas que podem ser aplicadas ao trfego da rede. As listas de acesso so usadas para controlar como o trfego flui pela rede. Uma lista de controle de acesso (ACL) permite ao switch impedir determinados tipos de trfego e permitir outros. As ACLs tambm permitem controlar quais dispositivos de rede podem se comunicar na rede. Usar as ACLs consome muito processamento porque o switch precisa inspecionar todos os pacotes e ver se eles correspondem a uma das regras ACL definidas no switch. Essa inspeo realizada na camada de distribuio, porque os switches nessa camada normalmente tm o recurso de processamento para tratar a carga adicional, alm de simplificar o uso de ACLs. Em vez de usar as ACLs para todos os switches da camada de acesso na rede, elas so definidas nos switches da camada de distribuio, o que simplifica muito o gerenciamento das ACLs. Qualidade de servio Os switches da camada de distribuio tambm precisam suportar QoS para manter a priorizao do trfego proveniente dos switches da camada de acesso que implementaram QoS. As polticas de prioridade asseguram uma largura de banda adequada para a comunicao de udio e de vdeo a fim de manter uma qualidade de servio aceitvel. Para manter a prioridade dos dados de voz em toda a rede, todos os switches que encaminham dados de voz devem suportar QoS; se nem todos os dispositivos de rede suportarem QoS, os benefcios da QoS sero reduzidos. Isso resulta em baixo desempenho e qualidade para comunicao de udio e vdeo. Os switches da camada de distribuio esto enfrentando uma forte demanda na rede por conta das funes que eles fornecem. importante que os switches de distribuio suportem a redundncia para uma disponibilidade adequada. A perda de um switch da camada de distribuio pode ter um impacto significativo no resto da rede porque todo o trfego da camada de acesso passa pelos switches da camada de distribuio. Os switches da camada de distribuio costumam ser implementados em pares para assegurar a disponibilidade. Tambm recomendvel que os switches da camada de distribuio suportem vrias fontes de alimentao de permutao automtica (hot swappable). Ter mais de uma fonte de alimentao permite ao switch continuar funcionando mesmo que haja falha em uma das fontes de alimentao durante o funcionamento. Ter fontes de alimentao hot swappable permite trocar uma fonte de alimentao com falha ainda com o switch em funcionamento. Isso permite reparar o componente com falha sem que haja impacto sobre a funcionalidade da rede. Por fim, os switches da camada de distribuio precisam suportar a agregao de link. Normalmente, os switches da camada de acesso usam vrios links para se conectar a um switch da

camada de distribuio a fim de assegurar que uma largura de banda adequada acomode o trfego gerado na camada de acesso e fornecer tolerncia a falhas no caso de perda de um link. Como os switches da camada de distribuio aceitam trfego de entrada de vrios switches da camada de acesso, eles precisam ser capazes de encaminhar todo esse trfego o mais rpido possvel para os switches da camada de ncleo. Dessa forma, os switches da camada de distribuio tambm precisam de links agregados com alta largura de banda para os switches da camada de ncleo. Os switches da camada de distribuio mais novos suportam uplinks 10 Gigabit Ethernet (10GbE) para os switches da camada de ncleo. Recursos do switch da camada de ncleo A camada de ncleo de uma topologia hierrquica o backbone de alta velocidade da rede e exige switches capazes de tratar taxas de encaminhamento muito altas. A taxa de encaminhamento obrigatria depende muito do nmero de dispositivos que participam da rede. Voc determina a taxa de encaminhamento necessria, realizando e examinando vrios relatrios de fluxo de trfego e anlises de comunidades de usurios. Com base nos resultados, possvel identificar um switch apropriado para suportar a rede. Tome cuidado para avaliar as necessidades do presente e de um futuro prximo. Se optar por um switch inadequado a ser usado no ncleo da rede, voc enfrentar possveis problemas de gargalo no ncleo, o que reduz a velocidade de toda a comunicao na rede. Agregao de link A camada de ncleo tambm precisa suportar agregao de link para assegurar uma largura de banda adequada no ncleo em relao aos switches da camada de distribuio. Os switches da camada de ncleo devem ter suporte a conexes 10GbE agregadas, que atualmente formam a opo de conectividade Ethernet mais rpida disponvel. Isso permite aos switches da camada de distribuio correspondentes distribuir trfego com a mxima eficincia possvel para o ncleo. Redundncia Como a disponibilidade da camada de ncleo tambm essencial, voc dever integrar a mxima redundncia que puder. A redundncia da Camada 3 normalmente apresenta uma convergncia mais rpida que a da Camada 2 em caso de falha do hardware. Nesse contexto, convergncia se refere ao tempo necessrio para que a rede se adapte a uma alterao; no confundir com uma rede convergente, que suporta comunicao de dados, de udio e de vdeo. Tendo isso em mente, voc deseja assegurar que os switches da camada de ncleo suportem funes da Camada 3. Uma discusso completa sobre as implicaes da redundncia da Camada 3 est alm do escopo deste curso. Nesse contexto, permanece uma pergunta em aberto sobre a necessidade da redundncia da Camada 2. A redundncia da Camada 2 examinada no Captulo 5 quando abordamos o protocolo spanning tree (STP). Alm disso, procure switches da camada de ncleo que suportem recursos de redundncia de hardware adicionais como fontes de alimentao redundantes que possam ser trocados ainda com o switch em funcionamento. Por conta da alta carga de trabalho transportada por switches da camada de ncleo, eles tendem a funcionar mais quentes do que os switches da camada de distribuio, logo, devem ter opes de resfriamento mais sofisticadas. Muitos switches efetivamente compatveis com a camada de ncleo tm a possibilidade de trocar ventiladores sem que seja necessrio deslig-los. Por exemplo, interromperia desligar um switch da camada de ncleo para trocar uma fonte de alimentao ou um ventilador durante o dia quando o uso da rede est em seu mximo. Para trocar um hardware, voc pode ter uma queda da rede de pelo menos cinco minutos, e isso se for muito rpido na manuteno. Em uma situao mais real, o switch pode permanecer desligado durante 30 minutos ou mais, o que no costuma ser muito aceitvel. Com hardware hot-swappable, no h

nenhuma indisponibilidade durante a manuteno do switch. A QoS uma parte importante dos servios fornecidos por switches da camada de ncleo. Por exemplo, as operadoras (que fornecem servios de IP, armazenamento de dados, email e outros) e as redes remotas (WANs) esto adicionando mais trfego de voz e vdeo a uma quantidade j em crescimento do trfego de dados. No ncleo e na borda da rede, o trfego de misso crtica e sensvel ao tempo, como voz, deve receber garantias de QoS maiores que o trfego sensvel ao tempo, como transferncias de arquivo ou email. Como o acesso WAN da alta velocidade costuma ser proibitivamente caro, adicionar largura de banda na camada de ncleo no uma opo. Como a QoS fornece uma soluo com base em software para priorizar o trfego, os switches da camada de ncleo podem fornecer uma forma acessvel de suportar o uso ideal e diferenciado da largura de banda existente. Os recursos dos switches Cisco Catalyst Agora que voc sabe quais so os recursos do switch usados nas camadas de uma rede hierrquica, voc obter informaes sobre os switches Cisco aplicveis a cada camada no modelo de rede hierrquico. Hoje, no possvel selecionar um switch Cisco apenas considerando o tamanho de uma empresa. Uma pequena empresa com 12 funcionrios pode ser integrada rede de uma grande empresa multinacional e exigir todos os servios de rede local avanados disponveis na matriz corporativa. A seguinte classificao de switches Cisco segundo o modelo de rede hierrquica representa um ponto de partida para suas deliberaes quanto ao switch mais apropriado a um determinado aplicativo. A classificao apresentada reflete como voc poderia ver a faixa de switches Cisco se fosse uma empresa multinacional. Por exemplo, as densidades de porta do switch Cisco 6500 s tm sentido como um switch da camada de acesso em que h muitas centenas de usurios em uma rea, como um pavimento de uma bolsa de valores. Se voc pensar nas necessidades de uma empresa de mdio porte, um switch mostrado como um switch da camada de acesso, o Cisco 3560, por exemplo, pode ser usado como um switch da camada de distribuio se atende aos critrios determinados pelo designer de rede daquela aplicao. A Cisco tem sete linhas de produto de switch. Cada linha de produto tem recursos e caractersticas diferentes, o que permite localizar o switch certo para atender aos requisitos funcionais da rede. As linhas de produto de switch Cisco so: Catalyst Express 500 Catalyst 2960 Catalyst 3560 Catalyst 3750 Catalyst 4500 Catalyst 4900 Catalyst 6500 Catalyst Express 500 Catalyst Express 500 o switch da camada de entrada da Cisco. Ele oferece o seguinte: Taxas de encaminhamento de 8,8 Gb/s a 24 Gb/s Segurana de porta da Camada 2 Gerenciamento baseado na Web Convergncia de dados/Suporte comunicao IP

Essa srie de switches apropriada a implementaes da camada de acesso em que a alta densidade de porta no obrigatria. Os switches da srie Cisco Catalyst Express 500 so dimensionados para ambientes de pequena empresa que variam entre 20 e 250 funcionrios. Os switches da srie Catalyst Express 500 esto disponveis em diferentes configuraes fixas: Conectividade Fast Ethernet e Gigabit Ethernet At 24 portas 10/100 com PoE opcional ou 12 portas 10/100/1000 Os switches da srie Catalyst Express 500 no permitem o gerenciamento por meio da CLI IOS Cisco. Eles so gerenciados com uma interface de gerenciamento Web integrada, o Cisco Network Assistant ou o novo Cisco Configuration Manager desenvolvido especificamente para os switches da srie Catalyst Express 500. O Catalyst Express no suporta o acesso da console. Para obter mais informaes sobre a srie de switches Cisco Express 500, acesse http://www.cisco.com/en/US/products/ps6545/index.html (em ingls). Catalyst 2960 Os switches da srie Catalyst 2960 permitem a redes de filiais, empresas de pequeno porte e corporativas da camada de entrada fornecer servios de rede local aprimorados. Os switches da srie Catalyst 2960 so apropriados para implementaes da camada de acesso em que o acesso energia e ao espao so limitados. Os laboratrios CCNA Exploration: Comutao de rede local e sem fio se baseiam nos recursos do switch Cisco 2960. Os switches da srie Catalyst 2960 oferecem o seguinte: Taxas de encaminhamento de 16 Gb/s a 32 Gb/s Comutao multicamada Recursos de QoS para suportar a comunicao IP Listas de controle de acesso (ACLs) Conectividade Fast Ethernet e Gigabit Ethernet At 48 portas 10/100 ou 10/100/1000 com uplinks gigabit adicionais de dupla finalidade A srie de switches Catalyst 2960 no suporta PoE. A srie Catalyst 2960 suporta a CLI Cisco IOS, a interface de gerenciamento integrada e o Cisco Network Assistant. Essa srie de switches suporta o acesso de console e auxiliar ao switch. Para obter mais informaes sobre a srie de switches Cisco Catalyst 2960, visite http://www.cisco.com/en/US/products/ps6406/index.html (em ingls). Catalyst 3560 A srie Cisco Catalyst 3560 uma linha de switches de classe corporativa que inclui suporte a PoE, QoS e a recursos de segurana avanados, como ACLs. Esses switches so switches da camada de acesso ideais para o acesso de rede local de pequenas empresas ou os ambientes de rede convergentes de filiais. A srie Cisco Catalyst 3560 suporta taxas de encaminhamento de 32 Gb/s a 128 Gb/s (srie de

switches Catalyst 3560-E). Os switches da srie Catalyst 3560 esto disponveis em diferentes configuraes fixas: Conectividade Fast Ethernet e Gigabit Ethernet At 48 portas 10/100/1000, mais quatro portas small form-factor pluggable (SFP) Conectividade opcional 10 Gigabit Ethernet nos modelos Catalyst 3560-E PoE integrada opcional (Cisco pr-padro e IEEE 802.3af); at 24 portas com 15,4 watts ou 48 portas com 7,3 watts Para obter mais informaes sobre a srie de switches Cisco Catalyst 3560, visite http://www.cisco.com/en/US/products/hw/switches/ps5528/index.html (em ingls). Catalyst 3750 A srie de switches Cisco Catalyst 3750 ideal para switches da camada de acesso em organizaes de mdio porte e filiais corporativas. Essa srie oferece taxas de encaminhamento de 32 Gb/s a 128 Gb/s (srie de switches Catalyst 3750-E). A srie Catalyst 3750 suporta a tecnologia Cisco StackWise. A tecnologia StackWise permite interconectar at nove switches Catalyst 3750 fsicos em um s switch lgico usando uma conexo backplane, redundante, de alto desempenho (32 Gb/s). Os switches da srie Catalyst 3750 esto disponveis em diferentes configuraes fixas empilhveis: Conectividade Fast Ethernet e Gigabit Ethernet At 48 portas 10/100/1000, mais quatro portas SFP Conectividade opcional 10 Gigabit Ethernet nos modelos Catalyst 3750-E PoE integrada opcional (Cisco pr-padro e IEEE 802.3af); at 24 portas com 15,4 watts ou 48 portas com 7,3 watts Para obter mais informaes sobre a srie de switches Cisco Catalyst 3750, visite http://www.cisco.com/en/US/products/hw/switches/ps5023/index.html (em ingls). Catalyst 4500 Catalyst 4500 a primeira plataforma de comutao modular de mdio alcance que oferece comutao multicamada para empresas, pequenas e mdias e operadoras. Com taxas de encaminhamento de at 136 Gb/s, a srie Catalyst 4500 capaz de gerenciar trfego na camada de distribuio. O recurso modular da srie Catalyst 4500 permite densidades de porta muito altas com a adio de placas de linha da porta de switch ao seu chassi modular. A srie Catalyst 4500 oferece QoS multicamada e funes de roteamento sofisticadas. Os switches da srie Catalyst 4500 esto disponveis em diferentes configuraes modulares: Chassi modular com trs, seis, sete e dez slots que oferece camadas diferentes de escalabilidade Alta densidade de porta: at 384 portas Fast Ethernet ou Gigabit Ethernet disponveis em cobre ou fibra com uplinks 10 Gigabit PoE (Cisco pr-padro e IEEE 802.3af) Duas fontes de alimentao CA ou CC internas hot-swappable Recursos de roteamento IP assistido por hardware avanados

Para obter mais informaes sobre a srie de switches Cisco Catalyst 4500, visite http://www.cisco.com/en/US/products/hw/switches/ps4324/index.html (em ingls). Catalyst 4900 Os switches da srie Catalyst 4900 foram projetados e otimizados para a comutao de servidores, permitindo taxas de encaminhamento muito altas. O Cisco Catalyst 4900 no um switch de camada de acesso tpico. Trata-se de um switch de camada de acesso especialmente criado para implantaes de data center em que muitos servidores podem estar muito prximos. Essa srie de switches suporta fontes de alimentao redundantes, duplas, e ventiladores que podem ser trocados ainda com o switch em funcionamento. Isso permite aos switches obter maior disponibilidade, o que essencial em implantaes de data center. Os switches da srie Catalyst 4900 suporta recursos QoS avanados, o que faz deles candidatos ideais para o hardware de telefonia IP back end. Os switches da srie Catalyst 4900 no suportam o recurso StackWise da srie Catalyst 3750, nem suportam PoE. Os switches da srie Catalyst 4900 esto disponveis em diferentes configuraes fixas: At 48 portas 10/100/1000 com quatro portas SFP ou 48 portas 10/100/1000 com duas portas 10GbE Duas fontes de alimentao CA ou CC internas hot-swappable Ventiladores hot-swappable Para obter mais informaes sobre a srie de switches Cisco Catalyst 4900, visite http://www.cisco.com/en/US/products/ps6021/index.html (em ingls). Catalyst 6500 O switch modular da srie Catalyst 6500 otimizado para segurana e convergncia de voz, vdeo e dados. O Catalyst 6500 capaz de gerenciar o trfego nas camadas de distribuio e de ncleo. A srie Catalyst 6500 o switch Cisco de melhor desempenho, suportando taxas de encaminhamento de at 720 Gb/s. O Catalyst 6500 ideal para ambientes de rede muito grandes encontrados em empresas, de mdio porte e operadoras. Os switches da srie Catalyst 6500 esto disponveis em diferentes configuraes modulares: Chassi modular com 3, 4, 6, 9 e 13 slots Mdulos de servio de rede local/WAN PoE de at 420 dispositivos IEEE 802.3af Classe 3 (15,4W) PoE At 1152 portas 10/100, 577 portas 10/100/1000, 410 portas SFP Gigabit Ethernet ou 64 portas 10 Gigabit Ethernet Duas fontes de alimentao CA ou CC internas hot-swappable Recursos de roteamento IP assistido por hardware avanados CAPITULO 2 Neste tpico, voc obter informaes sobre os principais componentes do padro Ethernet que tm um papel significativo no design e na implementao de redes comutadas. Voc explorar como funciona a comunicao Ethernet e como os switches tm um papel no processo de comunicao.

CSMA/CD Os sinais Ethernet so transmitidos para todos os hosts conectados LAN que usam um conjunto especial de regras para determinar que estao pode acessar a rede. O conjunto de regras que a Ethernet usa se baseia na tecnologia de deteco de coliso/acesso mltiplo com verificao de operadora (CSMA/CD) IEEE. Voc pode se lembrar de Explorao CCNA: Fundamentos de Rede que o CSMA/CD s costuma ser usado com uma comunicao half-duplex normalmente encontrada em hubs. Switches em full duplex no usam CSMA/CD. Verificao de operadora No mtodo de acesso CSMA/CD, todos os dispositivos de rede com mensagens a serem enviadas devem ouvir antes de transmitir. Se detectar um sinal de outro dispositivo, um dispositivo aguardar um tempo especificado antes de tentar transmitir. Quando no h trfego detectado, um dispositivo transmite sua mensagem. Enquanto essa transmisso ocorre, o dispositivo continua ouvindo o trfego ou as colises na rede local. Depois que a mensagem enviada, o dispositivo retorna a seu modo ouvinte padro. Multiacesso Se a distncia entre dispositivos for tanta que a latncia dos sinais de um dispositivo significa que esses sinais no so detectados por um segundo dispositivo, este tambm poder comear a transmitir. O meio agora tem dois dispositivos transmitindo sinais ao mesmo tempo. As mensagens se propagaro pelo meio at se encontrarem. A essa altura, os sinais se misturam e as mensagens so destrudas; houve uma coliso. Embora as mensagens estejam corrompidas, o restante dos sinais continua se propagando pelo meio. Deteco de colises Quando um dispositivo est no modo ouvinte, ele no pode detectar a ocorrncia de uma coliso na mdia compartilhada, porque todos os dispositivos podem detectar um aumento na amplitude do sinal acima do nvel normal. Quando ocorre uma coliso, os outros dispositivos no modo ouvinte, bem como todos os dispositivos transmissores, detectam o aumento na amplitude do sinal. Todos os dispositivos transmissores continuam transmitindo para assegurar que todos os dispositivos na rede detectem a coliso. Sinal de interferncia e backoff aleatrio Quando uma coliso detectada, os dispositivos transmissores enviam um sinal de interferncia. O sinal de interferncia notifica os demais dispositivos sobre uma coliso, para que eles possam invocar um um algoritmo back off. Esse algoritmo de back off faz com que todos os dispositivos parem de transmitir por um intervalo aleatrio, o que permite a reduo dos sinais de coliso. Depois que o atraso expira em um dispositivo, este retorna ao modo "ouvir antes de transmitir". Um perodo de back off aleatrio assegura que os dispositivos envolvidos na coliso no tentem reenviar o trfego ao mesmo tempo, o que poderia fazer com que todo o processo fosse repetido. No

entanto, durante o perodo de back off, um terceiro dispositivo pode transmitir antes de qualquer um dos dois dispositivos envolvidos na coliso ter uma chance de retransmitir. Clique no boto Reproduzir para ver a animao. Comunicao Ethernet Consulte a rea Comunicao Ethernet selecionada na figura. A comunicao em uma rede local comutada ocorre de trs formas: unicast, broadcast e multicast: Unicast: Comunicao na qual um quadro enviado de um host e endereado a um destino especfico. Na transmisso unicast, h apenas um remetente e um receptor. A transmisso unicast a forma predominante de transmisso em redes locais e na Internet. Entre os exemplos de protocolos que usam transmisses unicast esto HTTP, SMTP, FTP e Telnet. Broadcast: Comunicao na qual um quadro enviado de um endereo para todos os outros endereos. Nesse caso, h apenas um remetente, mas as informaes so enviadas para todos os receptores conectados. A transmisso de broadcast essencial durante o envio da mesma mensagem para todos os dispositivos na rede local. Um exemplo de transmisso de broadcast a consulta de resoluo de endereo que o protocolo de resoluo de endereos (ARP, Address Resolution Protocol) envia para todos os computadores em uma rede local. Multicast: Comunicao na qual um quadro enviado para um grupo especfico de dispositivos ou clientes. Os clientes da transmisso multicast devem ser membros de um grupo multicast lgico para receber as informaes. Um exemplo de transmisso multicast a transmisso de vdeo e de voz associada a uma reunio de negcios colaborativa, com base em rede. Quadro Ethernet Clique no boto Quadro Ethernet na figura. O primeiro curso da nossa srie, Explorao CCNA: Fundamentos de Rede, descreveu a estrutura do quadro Ethernet em detalhes. Como uma reviso rpida, a estrutura do quadro Ethernet adiciona cabealhos e trailers na PDU da Camada 3 para encapsular a mensagem enviada. O cabealho e o trailer Ethernet tm vrias sees (ou campos) de informaes usadas pelo protocolo Ethernet. A figura mostra a estrutura do quadro Ethernet padro atual, o IEEE 802.3 (Ethernet) revisado. Passe o mouse sobre cada nome de campo para ver sua descrio. Campos Prembulo e Incio do delimitador de quadro Os campos Prembulo (7 bytes) e Incio do delimitador de quadro (SFD) (1 byte) so usados na sincronizao entre os dispositivos remetentes e receptores. Esses primeiros oito bytes do quadro so usados para chamar a ateno dos ns receptores. Basicamente, os primeiros bytes informam aos receptores para se prepararem para receber um novo quadro. Campo Endereo MAC de destino O campo Endereo MAC de Destino (6 bytes) o identificador do receptor desejado. Esse endereo usado pela Camada 2 para auxiliar um dispositivo a determinar se um quadro est endereado a ele. O endereo no quadro comparado com o endereo MAC no dispositivo. Se houver

correspondncia, o dispositivo aceitar o quadro. Campo Endereo MAC de origem O campo Endereo MAC de origem (6 bytes) identifica a placa de rede (NIC) ou a interface de origem do quadro. Os switches usam esse endereo para adicionar a suas tabelas de pesquisa. Campo Tamanho/Tipo O campo Tamanhp/Tipo (2 bytes) define o comprimento exato do campo de dados do quadro. Esse campo usado posteriormente como parte da Sequncia de verificao do quadro (FCS) para assegurar que a mensagem tenha sido recebida corretamente. Apenas um comprimento ou um tipo de quadro pode ser informado aqui. Se a finalidade do campo for designar um tipo, o campo Tipo descrever que protocolo est implementado. Quando um n recebe um quadro e o quadro Tamanho/Tipo designa um tipo, o n determina que protocolo de camada superior est presente. Se o valor de dois octetos for igual ou maior que 0x0600 hexadecimal ou 1536 decimal, o contedo do campo Dados ser decodificado de acordo com o protocolo indicado; se o valor de dois bytes for inferior a 0x0600, o valor representar o comprimento dos dados no quadro. Campos Dados e Pad Os campos Dados e Pad (de 46 a 1500 bytes) contm os dados encapsulados de uma camada de nvel superior, que uma PDU de Camada 3 genrica ou, mais normalmente, um pacote IPv4. Todos os quadros devem ter pelo menos 64 bytes (tamanho mximo auxilia na deteco de colises). Se um pacote pequeno for encapsulado, o campo Pad ser usado para aumentar o tamanho do quadro at o mnimo. Campo Sequncia de verificao de quadro O campo FCS (4 bytes) detecta erros em um quadro. Ele usa uma verificao de redundncia cclica (CRC). O dispositivo emissor inclui os resultados de uma CRC no campo FCS do quadro. O dispositivo receptor recebe o quadro e gera uma CRC para procurar erros. Se o clculo for correspondente, sinal de que no ocorreu nenhum erro. Se os clculos no corresponderem, o quadro ser ignorado. Endereo MAC Clique no boto Endereo MAC na figura. Em Explorao CCNA: Fundamentos de Rede, voc obteve informaes sobre o endereo MAC. Um endereo MAC Ethernet um valor em duas partes com 48 bits binrio expresso como 12 dgitos hexadecimais. Os formatos de endereo podem ser semelhantes a 00-05-9A-3C-78-00, 00:05:9A:3C:78:00 ou 0005.9A3C.7800. Todos os dispositivos conectados a uma rede local Ethernet tm interfaces com endereos MAC. A placa de rede usa o endereo MAC para determinar se uma mensagem deve ser passada s camadas superiores para processamento. O endereo MAC codificado permanentemente em um chip ROM em uma placa de rede. Esse tipo de endereo MAC conhecido como um endereo gravado na ROM (BIA). Alguns fornecedores permitem a modificao local do endereo MAC. O endereo MAC composto do identificador exclusivo organizacional (OUI) e o nmero de atribuio do fornecedor.

Passe o mouse sobre cada nome de campo para ver sua descrio. Identificador exclusivo organizacional A OUI a primeira parte de um endereo MAC. Ela tem 24 bits e identifica o fabricante da placa de rede. O IEEE regula a atribuio de nmeros OUI. No OUI, h dois bits que s tm significado quando usados no endereo de destino, da seguinte forma: Bit de broadcast ou multicast: Indica para a interface receptora que o destino do quadro todos ou um grupo de estaes finais no segmento de rede local. Bit de endereo administrado localmente: Se o endereo MAC atribudo por fornecedor puder ser modificado localmente, esse bit dever ser definido. Nmero de atribuio do fornecedor A parte atribuda por fornecedor do endereo MAC tem 24 bits e identifica exclusivamente o hardware Ethernet. Ela pode ser BIA ou modificado pelo software indicado pelo bit local. Configuraes bidirecionais H dois tipos de configuraes bidirecionais usados na comunicao em uma rede Ethernet: half duplex e full duplex. A figura mostra as duas configuraes bidirecionais disponveis em equipamentos de rede modernos. Half duplex: A comunicao em half duplex depende do fluxo de dados unidirecional quando o envio e o recebimento de dados no so executados ao mesmo tempo. Isso semelhante forma de funcionamento de walkie-talkies ou rdios bidirecionais medida que apenas uma pessoa pode falar por vez. Se algum fala com outra pessoa j falando, ocorre uma coliso. Dessa forma, a comunicao em half duplex implementa CSMA/CD para ajudar a reduzir o potencial de colises e as detectar quando elas acontecerem. A comunicao em half duplex tem problemas de desempenho devido espera constante, porque os dados s podem fluir em uma direo por vez. A conexo em half duplex costuma ser vista em hardwares mais antigos, como hubs. Os ns acoplados a hubs que compartilham sua conexo com uma porta de switch devem funcionar em modo half duplex porque os computadores finais devem ser capazes de detectar colises. Os ns podero funcionar em um modo half duplex se a placa de rede no puder ser configurada para operaes em full duplex. Nesse caso, a porta no switch tambm usa como padro um modo half duplex. Por causa dessas limitaes, a comunicao em full duplex substituiu half duplex nos hardwares mais atuais. Full duplex: Na comunicao em full duplex, como o fluxo de dados bidirecional, os dados podem ser enviados e recebidos ao mesmo tempo. O suporte bidirecional aprimora o desempenho, reduzindo o tempo de espera entre as transmisses. Grande parte das placas de rede Ethernet, Fast Ethernet e Gigabit Ethernet vendidas atualmente oferece recursos em full duplex. No modo full duplex, o circuito de deteco de colises desabilitado. Os quadros enviados pelos dois ns finais conectados no podem colidir porque os ns finais usam dois circuitos separados no cabo de rede. Cada conexo em full duplex usa apenas uma porta. As conexes em full duplex exigem um switch que suporte full duplex ou uma conexo direta entre dois ns em que cada um suporte full duplex. Os ns acoplados diretamente a uma porta de switch dedicada com placas de rede que suportam full duplex devem ser conectados a portas de switch configuradas para funcionar no modo full duplex. A eficincia da configurao Ethernet compartilhada, padro, baseada em hub costuma ser de 50 a 60 por cento da largura de banda 10-Mb/s. A Fast Ethernet em full duplex, em comparao com a

largura de banda de 10-Mb/s, oferece 100 por cento de eficincia em ambas as direes (100-Mb/s na transmisso e 100-Mb/s na recepo). Configuraes de porta de switch Uma porta em um switch precisa ser configurada com configuraes bidirecionais correspondentes ao tipo de meio. Posteriormente neste captulo, voc definir configuraes bidirecionais. Os switches Cisco Catalyst tm trs configuraes: A opo auto define a negociao automtica do modo bidirecional. Com a negociao automtica habilitada, as duas portas se comunicam para decidir o melhor modo de funcionamento. A opo full define o modo full duplex. A opo half define o modo half duplex. Para as portas Fast Ethernet e 10/100/1000, o padro auto. Para portas 100BASE-FX, o padro full. As portas 10/100/1000 funcionam no modo half ou full duplex quando so definidas como 10 ou 100 Mb/s, mas quando definidas como 1.000 Mb/s, elas funcionam apenas no modo full duplex. Nota: A negociao automtica pode gerar resultados imprevisveis. Por padro, quando a negociao automtica falha, o switch Catalyst define a porta de switch correspondente no modo half duplex. Esse tipo de falha acontece quando um dispositivo acoplado no suporta a negociao automtica. Se for configurado manualmente para funcionar no modo half duplex, o dispositivo corresponder ao modo padro do switch. No entanto, erros de negociao automtica podero acontecer se o dispositivo for configurado manualmente para funcionar no modo full duplex. Ter half duplex em uma extremidade e full duplex em outra causa erros de coliso na extremidade half duplex. Para evitar essa situao, defina manualmente os parmetros bidirecionais do switch de acordo com o dispositivo acoplado. Se a porta de switch estiver no modo full duplex e o dispositivo acoplado estiver no modo half duplex, verifique os erros de FCS na porta full duplex do switch. auto-MDIX As conexes entre dispositivos especficos, como switch-a-switch ou switch-a-roteador, costumavam exigir o uso de determinados tipos de cabo (crossover, straight-through). Na verdade, agora possvel usar o comando de configurao da interface mdix auto na CLI para ativar o recurso de interface que depende do meio automtico (auto-MDIX). Quando o recurso auto-MDIX habilitado, o switch detecta o tipo de cabo exigido para conexes Ethernet de cobre e configura as interfaces corretamente. Por isso, possvel usar um cabo crossover ou straight-through para conexes com uma porta 10/100/1000 de cobre no switch, independentemente do tipo de dispositivo na outra extremidade da conexo. Por padro, o recurso auto-MDIX habilitado em switches que executam o Cisco IOS verso 12.2(18)SE ou posterior. Para verses entre o Cisco IOS verso 12.1(14)EA1 e 12.2(18)SE, o recurso auto-MDIX desabilitado por padro. Endereamento MAC e tabelas de endereos MAC do switch Os switches usam endereos MAC para direcionar a comunicao de rede por meio da trama do switch para a porta apropriada no sentido do n de destino. A trama do switch so os circuitos integrados e a programao da mquina complementar que permite os caminhos de dados em todo o switch a ser controlado. Para que um switch saiba qual porta usar para transmitir um quadro unicast, ele deve aprender primeiro quais so os ns em cada uma de suas portas.

Um switch determina como tratar estruturas de dados recebidos, usando sua tabela de endereos MAC. Um switch cria sua tabela de endereos MAC, registrando os endereos MAC dos ns conectados a cada uma de suas portas. Quando um endereo MAC de um n especfico em uma porta especfica registrado na tabela de endereos, o switch sabe enviar trfego com destino a esse n especfico pela porta mapeada para esse n em transmisses subseqentes. Quando uma estrutura de dados de entrada recebida por um switch e o endereo MAC de destino no est na tabela, o switch encaminha o quadro por todas as portas, com exceo da porta em que foi recebido. Quando o n de destino responde, o switch registra o endereo MAC do n na tabela de endereos do campo de endereo de origem do quadro. Em redes com vrios switches interconectados, as tabelas de endereos MAC registram vrios endereos MAC para as portas que conectam os switches que refletem o que h alm do n. Normalmente, as portas de switch usadas para interconectar dois switches tm vrios endereos MAC registrados na tabela de endereos MAC. Para ver como isso funciona, clique nas etapas na figura. Isto descreve esse processo: Etapa 1. O switch recebe um quadro de broadcast do PC 1 na Porta 1. Etapa 2. O switch insere o endereo MAC de origem e a porta de switch que recebeu o quadro na tabela de endereos. Etapa 3. Como o endereo de destino um broadcast, o switch inunda o quadro a todas as portas, exceto a porta em que ele recebeu o quadro. Etapa 4. O dispositivo de destino responde ao broadcast com um quadro unicast endereado a PC 1. Etapa 5. O switch insere o endereo MAC de origem de PC 2 e o nmero de porta do switch que recebeu o quadro na tabela de endereos. O endereo de destino do quadro e de sua porta associada encontrado na tabela de endereos MAC. Etapa 6. Agora o switch pode encaminhar quadros entre os dispositivos de origem e de destino sem envio, porque tem entradas na tabela de endereos que identificam as portas associadas. Neste tpico, voc obter informaes sobre as diretrizes de design Ethernet necessrias interpretao de designs de rede hierrquica para pequenas e mdias empresas. Este tpico se concentra no broadcast e em domnios de coliso, alm da forma como eles afetam os designs de rede local. Largura de banda e produtividade Uma grande desvantagem das redes Ethernet 802.3 so as colises. Colises ocorrem quando dois hosts transmitem quadros simultaneamente. Quando uma coliso ocorre, os quadros transmitidos so danificados ou destrudos. Os hosts de envio param de enviar mais transmisses durante um perodo aleatrio, com base nas regras Ethernet 802.3 de CSMA/CD. Como a Ethernet no tem como controlar que n estar em transmisso em qualquer momento, sabemos que as colises ocorrero quando mais de um n tentar obter acesso rede. A resoluo de Ethernet para colises no ocorre instantaneamente. Alm disso, um n envolvido em uma coliso no pode comear a transmitir at que o assunto seja resolvido. Na medida em que mais dispositivos so adicionados ao meio compartilhada, cresce a probabilidade de colises. Por isso,

importante compreender que, durante a declarao da largura de banda da rede Ethernet de 10 Mb/s, a largura de banda completa para transmisso s est disponvel aps a resoluo de todas as colises. A produtividade lquida da porta (os dados mdios efetivamente transmitidos) ser reduzida consideravelmente em decorrncia da funo de quantos ns desejam usar a rede. Um hub no oferece nenhum mecanismo para eliminar ou reduzir essas colises, e a largura de banda disponvel que qualquer n precisa transmitir reduzida de maneira correspondente. Dessa forma, o nmero de ns que compartilham a rede Ethernet afetar a produtividade da rede. Domnios de coliso Durante a expanso de uma rede local Ethernet para acomodar mais usurios com mais requisitos de largura de banda, o potencial de colises aumenta. Para reduzir o nmero de ns em um determinado segmento de rede, possvel criar segmentos de rede fsica separados, chamados de domnios de coliso. A rea de rede na qual quadros tm origem e colidem chamada de domnio de coliso. Todos os ambientes de meio compartilhados, como os criados usando-se hubs, so domnios de coliso. Quando um host conectado a uma porta de switch, o switch cria uma conexo dedicada. Essa conexo considerada um domnio de coliso individual porque o trfego mantido separado de todos os demais trfegos, o que elimina o potencial para uma coliso. A figura mostra domnios de coliso exclusivos em um ambiente comutado. Por exemplo, se um switch com 12 portas tem um dispositivo conectado em cada porta, 12 domnios de coliso so criados. Como voc sabe agora, um switch cria uma tabela de endereos MAC, aprendendo os endereos MAC dos hosts conectados a cada porta de switch. Quando dois hosts conectados desejam se comunicar, o switch usa a tabela de comutao para estabelecer uma conexo entre as portas. O circuito mantido at que a sesso seja finalizada. Na figura, Host A e Host B desejam se comunicar. O switch cria a conexo conhecida como um microssegmento. O microssegmento se comporta como se a rede tivesse apenas dois hosts, um host de envio e um de recebimento, fornecendo utilizao mxima da largura de banda disponvel. Os switches reduzem colises e melhoram o uso da largura de banda em segmentos de rede porque eles fornecem largura de banda dedicada a cada segmento de rede. Domnios de broadcast Embora os switches filtrem a maioria dos quadros com base nos endereos MAC, eles no filtram quadros de broadcast. Para que outros switches na LAN obtenham quadros difundidos, estes devem ser encaminhados por switches. Uma coleo de switches interconectados forma um nico domnio de broadcast. Apenas uma entidade da Camada 3, como um roteador ou uma rede LAN virtual (VLAN), pode parar um domnio de broadcast da Camada 3. Os roteadores e as VLANs so usados para segmentar os domnios de coliso e de broadcast. O uso de VLANs para segmentar domnios de broadcast ser abordado no prximo captulo. Quando um dispositivo deseja enviar um broadcast de Camada 2, o endereo MAC de destino no quadro definido como unidade. Definindo o destino como esse valor, todos os dispositivos aceitam e processam o quadro difundido. O domnio de broadcast na Camada 2 conhecido como o domnio de broadcast MAC. O domnio de broadcast MAC consiste em todos os dispositivos na rede local que recebem broadcasts de quadro por um host em todas as demais mquinas na rede local. Isso mostrado na primeira metade da animao.

Quando um switch recebe um quadro difundido, ele encaminha o quadro para todas as suas portas, exceto a porta de entrada em que o switch recebeu o quadro de broadcast. Cada dispositivo acoplado reconhece o quadro de broadcast e o processa. Isso acarreta uma eficincia de rede reduzida, porque a largura de banda usada para propagar o trfego de broadcast. Quando dois switches so conectados, o domnio de broadcast aumenta. Neste exemplo, um quadro de broadcast encaminhado para todas as portas conectadas no switch S1. O switch S1 conectado ao switch S2. O quadro propagado para todos os dispositivos conectados ao switch S2. Isso mostrado na segunda metade da animao. Latncia de rede Latncia o tempo que um quadro ou um pacote demora para ir da estao de origem para o destino final. Os usurios dos aplicativos baseados em rede enfrentam latncia quando precisam aguardar muitos minutos para acessar os dados armazenados em uma central de dados ou quando um site demora muitos minutos para ser carregado em um navegador. A latncia tem pelo menos trs origens. Primeiro, existe o tempo necessrio para que a placa de rede de origem insira pulsos de tenso no fio e o tempo necessrio placa de rede de destino para interpretar esses pulsos. s vezes, isso chamado de atraso de placa de rede, normalmente cerca de um microssegundo para uma placa de rede 10BASE-T. Segundo, existe o atraso de propagao real medida que o sinal demora para percorrer o cabo. Normalmente, so aproximadamente 0,556 microssegundos por 100 m para UTP Cat 5. O cabo mais longo e a velocidade nominal menor da propagao (NVP) resultam em mais atraso de propagao. Terceiro, a latncia adicionada com base nos dispositivos de rede que esto no caminho entre dois dispositivos. Eles so dispositivos de camadas 1, 2 ou 3. Essas trs contribuies para com a latncia podem ser identificadas na animao na medida em que o quadro atravessa a rede. A latncia no depende exclusivamente da distncia e do nmero de dispositivos. Por exemplo, se trs switches configurados corretamente separarem dois computadores, os computadores podero apresentar menos latncia que se dois roteadores configurados corretamente os separassem. Isso porque os roteadores realizam funes mais complexas e demoradas. Por exemplo, um roteador deve analisar os dados da Camada 3, enquanto os switches apenas analisam os dados da Camada 2. Como os dados da Camada 2 esto presentes na estrutura do quadro antes dos dados da Camada 2, os switches podem processar o quadro mais rapidamente. Os switches tambm suportam as altas taxas de transmisso das redes de voz, vdeo e dados, empregando circuitos integrados especficos de aplicativo (ASIC) para fornecer suporte a hardware para muitas tarefas de networking. Os recursos de switch adicionais, como o armazenamento em buffer da memria baseada na porta, a QoS do nvel de porta e o gerenciamento de congestionamento, tambm ajudam a reduzir a latncia de rede. A latncia com base no switch tambm pode se dever trama do switch substituda. Muitos switches de nvel de entrada no tm produtividade interna o suficiente para gerenciar os recursos da largura de banda completa em todas as portas simultaneamente. O switch precisa ser capaz de gerenciar a quantidade de dados de pico esperada na rede. Na medida em que a tecnologia de comutao melhora, a latncia no switch deixa de ser o problema. A causa predominante da latncia de rede em uma rede local comutada mais uma funo da mdia transmitida, os protocolos de

roteamento usados e os tipos de aplicativos executados na rede. Congestionamento de rede O principal motivo para segmentar uma rede local em partes menores isolar o trfego e obter um uso melhor da largura de banda por usurio. Sem segmentao, uma rede local fica rapidamente obstruda com trfego e colises. A figura mostra uma rede sujeita ao congestionamento por vrios dispositivos de n em uma rede com base em hub. Estas so as causas mais comuns do congestionamento de rede: tecnologias de computador e de rede cada vez mais eficientes. Hoje, CPUs, barramentos e perifricos so muito mais rpidos e eficientes que os usados nas primeiras redes locais, logo, eles podem enviar mais dados em taxas maiores pela rede, podendo processar mais dados com taxas maiores. Maior volume do trfego da rede. O trfego da rede agora mais comum porque os recursos remotos so necessrios para realizar o trabalho bsico. Alm disso, as mensagens de broadcast, como consultas de resoluo enviadas por ARP, podem afetar negativamente a estao final e o desempenho da rede. Aplicativos de largura de banda alta. Os aplicativos esto ficando cada vez mais avanados em sua funcionalidade, exigindo mais e mais largura de banda. Editorao eletrnica, design de engenharia, vdeo sob demanda (VoD), aprendizagem eletrnica (e-learning) e streaming de vdeo, todos exigem uma eficincia e uma velocidade de processamento considervel. Segmentao de rede local As redes locais so segmentadas em vrios domnios de coliso e de broadcast menores usando roteadores e switches. Anteriormente, eram usadas bridges, mas esse tipo de equipamento de rede raramente visto em uma rede local comutada moderna. A figura mostra os roteadores e os switches que segmentam uma rede local. Na figura, a rede segmentada em quatro domnios de coliso que usam o switch. Passe o mouse sobre o domnio de coliso para ver o tamanho de cada domnio de coliso. No entanto, o domnio de broadcast na figura abrange toda a rede. Passe o mouse sobre o domnio de broadcast para ver o tamanho do domnio de broadcast. Bridges e switches Embora as bridges e os switches compartilhem muitos atributos, vrias distines diferenciam essas tecnologias. As bridges costumam ser usadas para segmentar uma rede local para um alguns segmentos menores. Os switches costumam ser usados para segmentar uma rede local grande em muitos segmentos menores. As bridges s tm algumas portas para conectividade de rede local, e os switches tm muitas. Roteadores Embora o switch de rede local reduza o tamanho dos domnios de coliso, todos os hosts conectados ao switch e na mesma VLAN ainda esto no mesmo domnio de broadcast. Como os roteadores no encaminham trfego de broadcast por padro, eles podem ser usados para criar domnios de broadcast. Criar domnios de broadcast adicionais, menores, com um roteador reduz o trfego de broadcast e fornece mais largura de banda disponvel para uma comunicao unicast.

Cada interface do roteador se conecta a uma rede separada, contendo trfego de broadcast no segmento de rede local no qual se originou. Controlando latncia de rede Ao criar uma rede para reduzir a latncia, voc precisa considerar a latncia causada por cada dispositivo na rede. Os switches podem introduzir latncia em uma rede quando esto em excesso em uma rede ocupada. Por exemplo, se um switch do nvel de ncleo precisar suportar 48 portas, cada uma sendo capaz de funcionar em full duplex 1000 Mb/s, o switch dever suportar cerca de 96 Gb/s de produtividade interna se precisar manter velocidade de fio total em todas as portas simultaneamente. Nesse exemplo, os requisitos de produtividade informados so tpicos de switches do nvel de ncleo, e no de switches do nvel de acesso. O uso de dispositivos de camada mais alta tambm pode aumentar a latncia em uma rede. Quando um dispositivo da Camada 3, como um roteador, precisa examinar as informaes de endereamento da Camada 3 contidas no quadro, ele deve ir alm do quadro de um dispositivo da Camada 2, que cria um tempo de processamento maior. Limitar o uso de dispositivos de camada mais alta pode ajudar a reduzir a latncia de rede. No entanto, o uso apropriado de dispositivos da Camada 3 ajuda a evitar a conteno no trfego de broadcast em um domnio de broadcast grande ou a taxa de coliso alta em um domnio de coliso grande. Removendo gargalos Gargalos em uma rede so locais em que um alto congestionamento de rede resulta em desempenho lento. Clique no boto Removendo gargalos de rede na figura. Nesta figura, que mostra seis computadores conectados a um switch, um nico servidor tambm conectado ao mesmo switch. Cada estao de trabalho e o servidor so todos conectados usando uma placa de rede 1000 Mb/s. O que acontece quando todos os seis computadores tentam acessar o servidor ao mesmo tempo? Cada estao de trabalho obtm um acesso dedicado de 1000 Mb/s ao servidor? No, todos os computadores precisam compartilhar a conexo de 1000 Mb/s que o servidor tem com o switch. Cumulativamente, os computadores so capazes de 6000 Mb/s com o switch. Se cada conexo fosse usada com total capacidade, cada computador poderia usar apenas 167 Mb/s, um sexto da largura de banda de 1000 Mb/s. Para reduzir o gargalo no servidor, placas de rede adicionais podem ser instaladas, o que aumenta a largura de banda total que o servidor capaz de receber. A figura mostra cinco placas de rede no servidor e aproximadamente cinco vezes a largura de banda. A mesma lgica se aplica a topologias de rede. Quando switches com vrios ns so interconectados por uma nica conexo de 1000 Mb/s, um gargalo criado nessa nica interconexo. Links de maior capacidade (por exemplo, atualizando de conexes de 100 Mb/s para 1000 Mb/s) e usar tecnologias de agregao de links para vrios links (por exemplo, integrando dois links como se eles fossem um para dobrar a capacidade de uma conexo) podem ajudar a reduzir os gargalos criados por links de inter-switch e de roteador. Embora a configurao da agregao de link esteja fora do escopo deste curso, importante considerar os recursos de um dispositivo ao avaliar as necessidades de uma rede. Quantas portas e de que velocidade o dispositivo capaz? Qual a produtividade interna do dispositivo? Ele pode tratar as cargas de trfego antecipadas considerando sua posio na rede? Mtodos de encaminhamento de pacotes do switch Neste tpico, voc saber como os switches encaminham quadros Ethernet em uma rede. Os

switches podem funcionar em modos diferentes, que podem ter efeitos positivos e negativos. Antigamente, os switches usavam um dos seguintes mtodos de encaminhamento para comutar dados entre portas de rede: armazenar e encaminhar ou direta. Consultar o boto Mtodos de Encaminhamento do Switch mostra esses dois mtodos. No entanto, armazenar e encaminhar o nico mtodo de encaminhamento usado nos modelos atuais dos switches Cisco Catalyst. Comutao armazenar e encaminhar Na comutao armazenar e encaminhar, quando o switch recebe o quadro, ele armazena os dados em buffers at que o quadro completo seja recebido. Durante o processo de armazenamento, o switch analisa o quadro para obter informaes sobre seu destino. Nesse processo, o switch tambm executa uma verificao de erros usando a poro de trailer da verificao de redundncia cclica (CRC) do quadro Ethernet. A CRC usa uma frmula matemtica, baseada no nmero de bits (1s) no quadro, para determinar se o quadro recebido tem um erro. Depois de confirmar a integridade do quadro, o quadro encaminhado pela porta apropriada at seu destino. Quando um erro detectado em um quadro, o switch descarta o quadro. Descartar quadros com erros reduz a quantidade de largura de banda consumida por dados corrompidos. A comutao armazenar e encaminhar obrigatria para a anlise da Qualidade de Servio (QoS) em redes convergidas nas quais a classificao de quadro para priorizao de trfego necessria. Por exemplo, os fluxos de dados de voz sobre IP precisam ter prioridade sobre o trfego da navegao na Web. Clique no boto Comutao armazenar e encaminhar e reproduza a animao para uma demonstrao do processo armazenar e encaminhar. Comutao direta Na comutao direta, o switch age nos dados assim que eles so recebidos, mesmo que a transmisso no seja concluda. O switch armazena em buffer o suficiente do quadro para ler o endereo MAC de destino de forma que possa determinar para qual porta encaminhar os dados. O endereo MAC de destino est localizado nos seis primeiros bytes do quadro aps o prembulo. O switch observa o endereo MAC de destino em sua tabela de comutao, determina a porta da interface de sada e encaminha o quadro para seu destino pela porta de switch designada. O switch no executa nenhuma verificao de erros no quadro. Como o switch no precisa aguardar que todo quadro seja armazenado em buffer e como ele no executa nenhuma verificao de erros, a comutao direta mais rpida que a comutao armazenar e encaminhar. No entanto, como o switch no executa nenhuma verificao de erros, ele encaminha quadros corrompidos ao longo da rede. Os quadros corrompidos consomem largura de banda enquanto so encaminhados. A placa de rede de destino acaba descartando os quadros corrompidos. Clique no boto Comutao direta e reproduza a animao para uma demonstrao do processo de comutao direta. H duas variantes da comutao direta: Comutao fast forward: A comutao fast forward oferece o nvel mais baixo de latncia. A comutao fast forward encaminha imediatamente um pacote depois de ler o endereo de destino. Como a comutao fast forward inicia o encaminhamento antes de todo o pacote ser recebido, talvez haja momentos em que os pacotes sejam retransmitidos com erros. Isso raramente ocorre, e o adaptador de rede de destino descarta o pacote com defeito assim que ele recebido. No modo fast

forward, a latncia medida do primeiro bit recebido at o primeiro bit transmitido. A comutao fast forward o mtodo direto tpico de comutao. Comutao sem fragmentos: Na comutao sem fragmentos, o switch armazena os primeiros 64 bytes do quadro antes de encaminhar. A comutao sem fragmentos pode ser vista como um compromisso entre as comutaes armazenar e encaminhar e direta. O motivo pelo qual a comutao sem fragmentos armazena apenas os primeiros 64 bytes do quadro que a maioria dos erros de rede e das colises ocorre durante os primeiros 64 bytes. A comutao sem fragmentos tenta aprimorar a comutao direta, executando uma pequena verificao de erros nos primeiros 64 bytes do quadro para assegurar que uma coliso no tenha ocorrido antes do encaminhamento do quadro. A comutao sem fragmentos um compromisso entre a latncia alta e a integridade alta da comutao armazenar e encaminhar e a baixa latncia e a integridade reduzida da comutao direta. Alguns switches so configurados para executar a comutao direta base por base at que um limite de erro definido pelo usurio seja alcanado e, em seguida, eles alteram automaticamente para armazenar e encaminhar. Quando a taxa de erros fica abaixo do limite, a porta retorna automaticamente comutao direta. Comutao simtrica e assimtrica Neste tpico, voc saber as diferenas entre a comutao simtrica e assimtrica em uma rede. A comutao de rede local pode ser classificada como simtrica ou assimtrica com base na forma como a largura de banda alocada para portas de switch. A comutao simtrica fornece conexes comutadas entre portas com a mesma largura de banda, como todas as portas de 100 Mb/s ou todas as portas de 1000 Mb/s. Um switch de rede local assimtrico fornece conexes comutadas entre portas de largura de banda diferente, como uma combinao de portas de 10 Mb/s, 100 Mb/s e 1000 Mb/s. A figura mostra as diferenas entre as comutaes simtrica e assimtrica. Assimtrica A comutao assimtrica permite que mais largura de banda seja dedicada a uma porta de switch do servidor para impedir um gargalo. Isso permite fluxos de trfego melhores onde vrios clientes esto se comunicando com um servidor ao mesmo tempo. O armazenamento em buffer da memria obrigatrio em um switch assimtrico. Para que o switch seja compatvel com as taxas de dados diferentes em portas diferentes, todos os quadros so mantidos no buffer da memria e movidos para a porta um a um conforme necessrio. Simtrica Em um switch simtrico, todas as portas tm a mesma largura de banda. A comutao simtrica otimizada para uma carga de trfego distribuda razoavelmente, como em um ambiente da rea de trabalho ponto-a-ponto. Um gerente de rede deve avaliar a quantidade necessria da largura de banda para conexes entre os dispositivos para acomodar o fluxo de dados dos aplicativos baseados na rede. A maioria dos switches atuais assimtrica porque esse tipo de switch oferece a maior flexibilidade. Armazenamento em buffer na memria compartilhada e baseado na porta Como voc aprendeu em um tpico anterior, um switch analisa alguns ou todos os pacotes antes de encaminh-los para o host de destino com base no mtodo de encaminhamento. O switch armazena o pacote enquanto ele est em um buffer de memria. Neste tpico, voc saber como dois tipos de buffers de memria so usados durante o encaminhamento do switch.

Um switch Ethernet pode usar uma tcnica de armazenamento em buffer para armazenar quadros antes de encaminh-los. O armazenamento em buffer tambm poder ser usado quando a porta de destino estiver ocupada devido ao congestionamento e o switch armazenar o quadro at que ele possa ser transmitido. O uso da memria para armazenar os dados chamado de armazenamento em buffer de memria. O armazenamento em buffer de memria criado no hardware do switch e, diferentemente do aumento da quantidade de memria disponvel, no configurvel. H dois mtodos de armazenamento em buffer de memria: memria compartilhada e baseada na porta. Armazenamento em buffer da memria baseado na porta No armazenamento em buffer de memria baseada na porta, os quadros so armazenados em filas vinculadas a portas de entrada e de sada especficas. Um quadro s ser transmitido para a porta de sada quando todos os quadros frente dele na fila forem transmitidos com xito. possvel para um nico quadro atrasar a transmisso de todos os quadros na memria por conta de uma porta de destino ocupada. Esse atraso ocorre mesmo que os demais quadros possam ser transmitidos para portas de destino abertas. Armazenamento em buffer de memria compartilhada O armazenamento em buffer de memria compartilhada deposita todos os quadros em um buffer de memria comum compartilhado por todas as portas no compartilhamento do switch. A quantidade da memria de buffer exigida por uma porta alocada dinamicamente. Os quadros no buffer so vinculados dinamicamente porta de destino. Isso permite que o pacote seja recebido em uma porta e, em seguida, transmitido em outra porta, sem mov-lo para uma fila diferente. O switch mantm um mapa do quadro para links de porta que mostra onde um pacote precisa ser transmitido. O link de mapa ser limpo depois que o quadro for transmitido com xito. O nmero de quadros armazenados no buffer restringido pelo tamanho de todo o buffer de memria, no estando limitado a um nico buffer de porta. Isso permite a transmisso de quadros maiores com menos quadros descartados. Isso importante para a comutao assimtrica, em que os quadros so trocados entre portas de taxas diferentes. Comutao das camadas 2 e 3 Neste tpico, voc revisar o conceito da comutao de Camada 2 e obter informaes sobre a comutao de Camada 3. Um switch de rede local de Camada 2 executa a comutao e a filtragem exclusivamente com base no endereo MAC (Camada 2) camada de enlace de dados de OSI. Um switch da Camada 2 totalmente transparente a protocolos de rede e aplicativos de usurio. Lembre-se de que um switch da Camada 2 cria uma tabela de endereos MAC usada para tomar decises de encaminhamento. Um switch da Camada 3, como o Catalyst 3560, funciona de maneira semelhante ao switch da Camada 2, como o Catalyst 2960, mas em vez de usar apenas as informaes de endereo MAC da Camada 2 para decises de encaminhamento, um switch da Camada 3 tambm pode usar as informaes de endereo IP. Em vez de apenas aprender que endereos MAC esto associados a quais portas, um switch da Camada 3 tambm pode aprender quais endereos IP esto associados s suas interfaces. Isso permite ao switch da Camada 3 direcionar trfego por toda a rede com base nas informaes de endereo IP. Os switches da Camada 3 tambm so capazes de executar funes de roteamento da Camada 3, o

que reduz a necessidade de roteadores dedicados em uma rede local. Como os switches da Camada 3 tm hardware de comutao especializado, eles normalmente podem rotear dados com a mesma velocidade que os comutam. Comparao entre switch e roteador da Camada 3 No tpico anterior, voc aprendeu que os switches da Camada 3 examinam informaes da Camada 3 em um pacote Ethernet para tomar decises de encaminhamento. Os switches da Camada 3 podem rotear pacotes entre segmentos de rede local diferentes para roteadores dedicados de maneira semelhante. No entanto, os switches da Camada 3 no substituem por completo a necessidade de roteadores em uma rede. Os roteadores executam servios adicionais de Camada 3 que os switches da Camada 3 no so capazes de realizar. Os roteadores tambm so capazes de executar tarefas de encaminhamento de pacotes no encontradas em switches da Camada 3, como estabelecer conexes de acesso remoto com redes remotas e dispositivos. Os roteadores dedicados so mais flexveis quanto ao suporte de placas de interface WAN (WIC), o que faz deles os preferenciais e, apenas s vezes, a opo para se conectar a uma WAN. Os switches da Camada 3 podem fornecer funes de roteamento bsicas em uma rede local e reduzir a necessidade de roteadores dedicados. Os modos da interface de linha de comando Neste tpico, voc revisar o que aprendeu em Explorao CCNA: Fundamentos de rede sobre como navegar nos vrios modos da interface de linha de comando (CLI). Como recurso de segurana, o software IOS Cisco separou as sesses EXEC nestes nveis de acesso: EXEC do usurio: Permite a uma pessoa acessar apenas um nmero limitado de comandos de monitoramento bsicos. O modo EXEC do usurio o modo padro em que voc ingressa depois de fazer login em um switch Cisco na CLI. O modo EXEC do usurio identificado pelo > prompt. EXEC privilegiado: Permite a uma pessoa acessar todos os comandos do dispositivo, como os usados na configurao e no gerenciamento, podendo ser protegido por senha para s permitir que usurios autorizados acessem o dispositivo. O modo EXEC privilegiado identificado pelo # prompt. Para passar do modo EXEC do usurio para o modo EXEC privilegiado, digite o comando enable. Para passar do modo EXEC privilegiado para o modo EXEC do usurio, digite o comando disable. Em uma rede real, o switch solicita a senha. Digite a senha correta. Por padro, a senha no configurada. A figura mostra os comandos do Cisco IOS usados para navegar do modo EXEC do usurio para o modo EXEC privilegiado e vice-versa. Clique no boto EXEC do usurio e modo EXEC privilegiado na figura. Navegando em modos de configurao Ao ingressar no modo EXEC privilegiado no switch Cisco, voc pode acessar outros modos de configurao. O software IOS Cisco usa uma hierarquia de comandos em sua estrutura do modo de comandos. Cada modo de comandos suporta comandos do Cisco IOS especficos relacionados a um tipo de operao no dispositivo. H muitos modos de configurao. Por ora, voc explorar como navegar em dois modos de configurao comuns: modo de configurao global e modo de configurao de interface.

Clique no boto Navegando em modos de configurao na figura. Modo de configurao global O exemplo comea com o switch no modo EXEC privilegiado. Para configurar parmetros de switch globais, como o nome de host do switch ou o endereo IP do switch usado para fins de gerenciamento, use o modo de configurao global. Para acessar o modo de configurao local, digite o comando configure terminal no modo EXEC privilegiado. O prompt muda para (config)#. Modo de configurao de interface Configurar parmetros especficos de interface uma tarefa comum. Para acessar o modo de configurao da interface no modo de configurao global, digite o comando interface <interface name> command. O prompt muda para (config-if)#. Para sair do modo de configurao da interface, use o comando exit. O prompt muda novamente para (config)#, informando voc de que est no modo de configurao global. Para sair do modo de configurao global, digite novamente o comando exit. O prompt muda para #, o que significa modo EXEC privilegiado. Alternativas baseadas na interface grfica do usurio CLI H vrias alternativas de gerenciamento grfico ao gerenciamento de um switch Cisco. Usar uma interface grfica do usurio (GUI) oferece um gerenciamento de switch simplificado e uma configurao sem conhecimento detalhado da Cisco CLI. Clique no boto Assistente de rede Cisco na figura. Assistente de rede Cisco Assistente de rede Cisco um aplicativo de gerenciamento de rede da interface grfica do usurio baseada em PC otimizada para redes locais de pequenas e mdias empresas. possvel configurar e gerenciar grupos de switches ou switches autnomos. A figura mostra a interface de gerenciamento do Assistente de Rede. O Assistente de rede Cisco est disponvel a nenhum custo, podendo ser baixado em Cisco (nome de usurio/senha CCO obrigatrios): http://www.cisco.com/en/US/prod/collateral/netmgtsw/ps6504/ps5931/product_data_sheet0900aecd 8068820a.html Clique no boto CiscoView na figura. Aplicativo CiscoView O aplicativo de gerenciamento de dispositivo CiscoView mostra uma exibio fsica do switch que possvel usar para definir parmetros de configurao e exibir o status do switch e as informaes de desempenho. O aplicativo CiscoView, comprado separadamente, pode ser um aplicativo autnomo ou parte de um protocolo de gerenciamento de rede comum (SNMP). A figura mostra a interface de gerenciamento do CiscoView Device Manager. Obtenha mais informaes sobre o CiscoView Device Manager em: http://www.cisco.com/en/US/products/sw/cscowork/ps4565/prod_bulletin0900aecd802948b0.html (em ingls) Clique no boto Gerenciador de dispositivo Cisco na figura.

Gerente de dispositivo Cisco Gerente de dispositivo Cisco um software baseado na Web armazenado na memria do switch. possvel usar o Device Manager para configurar e gerenciar switches. possvel acessar o Device Manager em qualquer lugar da sua rede usando um navegador. A figura mostra a interface de gerenciamento. Clique no boto Gerenciamento de rede SNMP na figura. Gerenciamento de rede SNMP possvel gerenciar switches em uma estao de gerenciamento compatvel com SNMP, como HP OpenView. O switch pode fornecer informaes de gerenciamento abrangentes e fornecer quatro grupos de monitoramento remoto (RMON). O gerenciamento de rede SNMP mais comum em redes de grandes empresas. Ajuda sensvel ao contexto A CLI do Cisco IOS oferece dois tipos de ajuda: Ajuda da palavra: Se voc no se lembrar de um comando inteiro, mas se lembrar dos primeiros caracteres, digite a seqncia de caracteres seguida de um ponto de interrogao (?). No inclua um espao antes do ponto de interrogao. Uma lista de comandos que comeam com os caracteres digitados exibida. Por exemplo, digitar sh? retorna uma lista de todos os comandos que comeam com a seqncia de caracteres sh. Ajuda da sintaxe de comando: Se voc no estiver familiarizado com os comandos disponveis em seu contexto atual na CLI do Cisco IOS ou se voc no souber os parmetros obrigatrios ou disponveis para concluir um determinado comando, digite o comando ?. Quando apenas ? digitado, uma lista de todos os comandos disponveis no contexto atual exibida. Se o comando ? for digitado depois de um comando especfico, os argumentos do comando sero exibidos. Se <cr> for exibido, nenhum outro argumento ser necessrio para fazer o comando funcionar. No se esquea de incluir um espao antes do ponto de interrogao para impedir que a CLI do Cisco IOS execute a ajuda de palavra, e no a ajuda de sintaxe do comando. Por exemplo, digite show ? para obter uma lista das opes de comando suportadas pelo comando show. A figura mostra as funes de ajuda Cisco. Usando o exemplo da configurao do relgio do dispositivo, vejamos como a ajuda de CLI funciona. Se o relgio do dispositivo precisar ser definido, mas a sintaxe de comando clock no for conhecida, a janela sensvel ao contexto fornecer um meio de verificar a sintaxe. A ajuda sensvel ao contexto fornece todo o comando, mesmo que voc digite apenas a primeira parte do comando, como cl?. Se voc digitar o comando clock seguido da tecla Enter, uma mensagem de erro indicar que o comando est incompleto. Para exibir os parmetros exigidos do comando clock, digite ?, antecedido por um espao. No exemplo clock ?, a sada de comando da ajuda mostra que a palavra-

chave set obrigatria depois de clock. Se agora voc digitar o comando clock set, outra mensagem de erro ser exibida, indicando que o comando ainda est incompleto. Agora adicione um espao e digite o comando ? para exibir uma lista de argumentos do comando que esto disponveis a essa altura para o determinado comando. Os argumentos adicionais necessrios definio do relgio so exibidos: a hora atual que usa horas, minutos e segundos. Para obter um excelente recurso sobre como usar a CLI do Cisco IOS, O buffer do histrico de comandos Quando voc est configurando muitas interfaces em um switch, possvel economizar tempo ao redigitar comandos, usando o buffer do histrico de comandos do Cisco IOS. Neste tpico, voc aprender a configurar o buffer do histrico de comandos para suportar suas iniciativas de configurao. A CLI Cisco fornece um histrico ou um registro de comandos digitados. Esse recurso, chamado de histrico de comandos, especialmente til para ajudar a relembrar comandos ou entradas longas ou complexas. Com o recurso do histrico de comandos, possvel concluir as seguintes tarefas: Exiba o contedo do buffer de comandos. Defina o tamanho do buffer do histrico de comandos. Lembre comandos digitados anteriormente armazenados no buffer do histrico. H um buffer para cada modo de configurao. Por padro, o histrico de comandos habilitado e o sistema registra as ltimas dez linhas de comando em seu buffer de histrico. possvel usar o comando show history para exibir os comandos EXEC digitados recentemente. Configurar o buffer do histrico de comandos Nos produtos de rede Cisco que suportam o software Cisco IOS, o histrico de comandos permanece habilitado por padro e as ltimas dez linhas de comando so registradas no buffer do histrico. O histrico de comandos pode ser desabilitado durante a sesso terminal atual apenas usando o comando terminal no history no modo EXEC do usurio ou privilegiado. Quando o histrico de comandos desabilitado, o dispositivo deixa de manter todas as linhas de comando digitadas anteriormente. Para restaurar o valor padro de dez linhas para o tamanho do histrico do terminal, digite o comando terminal no history size no modo EXEC privilegiado. A figura fornece uma explicao e um exemplo desses comandos do Cisco IOS. Descrever a sequncia de inicializao Neste tpico, voc aprender a sequncia de comandos do Cisco IOS que um switch executa no estado desligado para exibir o prompt de login. Depois que um switch Cisco for ligado, ele passar pela seguinte seqncia de inicializao: O switch carrega o software boot loader. Boot loader um programa pequeno armazenado na ROM, sendo executado quando o switch ligado pela primeira vez.

O boot loader: Executa a inicializao de CPU de baixo nvel. Ele inicializa os registradores de CPU, que controlam onde a memria fsica mapeada, a quantidade de memria e sua velocidade. Executa auto-teste de inicializao (POST, power-on self-test) no subsistema de CPU. Ele testa a DRAM da CPU e a poro do dispositivo de rede que constitui o sistema de arquivos flash. Inicializa o sistema de arquivos flash na placa do sistema. Carrega uma imagem do software de sistema operacional padro na memria e inicializa o switch. O boot loader localiza a imagem do Cisco IOS no switch, procurando inicialmente um diretrio com o mesmo nome do arquivo da imagem (exceto a extenso .bin). Se ele no localiz-la l, o software boot loader pesquisa todos os subdiretrios antes de continuar pesquisando o diretrio original. Em seguida, o sistema operacional inicializa as interfaces usando os comandos do Cisco IOS localizados no arquivo de configurao do sistema operacional, config.text, armazenado na memria flash do switch. Recuperando-se de uma falha do sistema O boot loader tambm fornecer acesso no switch se o sistema operacional no puder ser usado. O boot loader tem um recurso de linha de comando que fornece acesso aos arquivos armazenados na memria flash antes do sistema operacional ser carregado. Na linha de comando do boot loader, possvel digitar comandos para formatar o sistema de arquivos da memria flash, reinstalar a imagem de software do sistema operacional ou recuperar uma senha perdida ou esquecida. Preparar a configurao do switch A inicializao inicial de um switch Catalyst exige a concluso das seguintes etapas: Etapa 1. Antes de iniciar o switch, verifique o seguinte: Todas as conexes de cabo do rede esto seguras. O seu PC ou terminal est conectado porta console. O seu aplicativo emulador terminal, como HyperTerminal, est em execuo e configurado corretamente. A figura ilustra como conectar um PC a um switch que usa a porta console. Clique no boto Configurar HyperTerminal na figura. A figura mostra a configurao correta do HyperTerminal, que pode ser usado para exibir a console de um dispositivo Cisco. Etapa 2. Acople o cabo de energia ao soquete da fonte de alimentao do switch. O switch ser reiniciado. Alguns switches Catalyst, inclusive a srie Cisco Catalyst 2960, no tm botes de energia. Etapa 3. Observe a seguinte seqncia de inicializao:

Quando o switch for ligado, o POST comear. Durante o POST, os LEDs piscam enquanto uma srie de testes determinam se o switch est funcionando corretamente. Quando o POST concludo, o LED SYST pisca rapidamente em verde. Se houver falha no switch durante o POST, o LED SYST acender em mbar. Quando um switch falha durante o teste POST, necessrio repar-lo. Observe o texto da sada de comando do software Cisco IOS na console. Clique no boto Exibir processo de inicializao na console na figura. A figura mostra o processo de inicializao na console de um switch Cisco. Durante a inicializao inicial do switch, se forem detectadas falhas durante o POST, elas sero informadas console, e o switch no iniciar. Se o POST for concludo com xito, e o switch no tiver sido configurado antes, voc ser solicitado a configurar o switch. Consideraes sobre a interface de gerenciamento Um switch da camada de acesso muito semelhante a um PC quanto sua necessidade de configurar um endereo IP, uma mscara de sub-rede e um gateway padro. Para gerenciar um switch remotamente usando TCP/IP, voc precisa atribuir um endereo IP ao switch. Na figura, voc deseja gerenciar S1 em PC1, um computador usado para gerenciar a rede. Para fazer isso, voc precisa atribuir um endereo IP ao switch S1. Esse endereo IP atribudo a uma interface virtual chamada rede LAN virtual (VLAN), logo, necessrio assegurar que a VLAN seja atribuda a uma porta especfica ou portas no switch. Na configurao padro do switch, seu gerenciamento controlado por meio da VLAN 1. Porm, uma prtica recomendada para a configurao bsica do switch alterar a VLAN de gerenciamento para outra que no seja a VLAN 1. Os motivos para isso so explicados no prximo captulo. A figura ilustra o uso de VLAN 99 como a VLAN de gerenciamento. No entanto, importante considerar que uma interface diferente de VLAN 99 pode ser considerada para a interface de gerenciamento. Nota: Voc obter mais informaes sobre VLANs no prximo captulo. Aqui o foco est em como fornecer acesso de gerenciamento ao switch que usa uma VLAN alternativa. Alguns dos comandos apresentados aqui so explicados mais detalhadamente no prximo captulo. Por ora, a VLAN 99 criada e recebe um endereo IP. Dessa forma, a porta apropriada no switch S1 atribuda VLAN 99. A figura tambm mostra essas informaes de configurao. Clique no boto Configurar interface de gerenciamento na figura. Configurar interface de gerenciamento Para configurar um endereo IP e a mscara de sub-rede na VLAN de gerenciamento do switch, voc deve estar no modo de configurao de interface VLAN. Use o comando interface vlan 99 e digite o comando de configurao do endereo IP. Voc deve usar o comando de configurao da interface no shutdown para tornar essa interface da Camada 3 operacional. Quando voc v "interface VLAN x", isso se refere interface da Camada 3 associada VLAN x. Apenas a VLAN de gerenciamento tem uma VLAN de interface associada. Observe que um switch da Camada 2, como o Cisco Catalyst 2960, s permite a uma nica interface VLAN ser ativa por vez. Isso significa que a interface da Camada 3, a interface VLAN 99, est ativa, mas que a interface da Camada 3, a interface VLAN 1, no.

Clique no boto Configurar gateway padro na figura. Configurar gateway padro Voc precisa configurar o switch para que ele possa encaminhar pacotes IP para redes distantes. O gateway padro o mecanismo para fazer isso. O switch encaminha pacotes IP com endereos IP de destino fora da rede local para o gateway padro. Na figura, o roteador R1 o roteador de prximo salto. Seu endereo IP 172.17.99.1. Para configurar um gateway padro para o switch, use o comando ip default-gateway. Digite o endereo IP da interface do roteador de prximo salto conectada diretamente ao switch em que h um gateway padro em configurao. No se esquea de salvar a configurao de execuo em um switch ou roteador. Use o comando copy running-config startup-config para fazer backup da sua configurao. Clique no boto Verificar configurao na figura. Verificar configurao A captura de tela na parte superior da figura uma sada de comando na tela abreviada mostrando que a VLAN 99 foi configurada com um endereo IP e uma mscara de sub-rede, e que uma porta Fast Ethernet F0/18 recebeu a interface de gerenciamento VLAN 99. Mostrar as interfaces IP Use show ip interface brief para verificar o funcionamento e o status da porta. Voc praticar usando o comando switchport access vlan 99 em um laboratrio prtico e uma atividade do Packet Tracer. O comando mdix auto Voc costuma ser solicitado a usar determinados tipos de cabo (crossover, straight-through) ao conectar dispositivos especficos, switch-a-switch ou switch-a-roteador. Na verdade, agora possvel usar o comando de configurao da interface mdix auto na CLI para ativar o recurso de interface que depende do meio automtico (auto-MDIX). Quando o recurso auto-MDIX habilitado, o switch detecta o tipo de cabo exigido para conexes Ethernet de cobre e configura as interfaces corretamente. Por isso, possvel usar um cabo crossover ou straight-through para conexes com uma porta 10/100/1000 de cobre no switch, independentemente do tipo de dispositivo na outra extremidade da conexo. O recurso auto-MDIX foi apresentado no Cisco IOS Release 12.2(25)FX. Configurar uma interface da Web Os switches Cisco modernos tm vrias ferramentas de configurao baseadas na Web que exigem a configurao do switch como um servidor HTTP. Entre esses aplicativos esto a interface de usurio do navegador Cisco e os aplicativos Cisco Router and Security Device Manager (SDM) e IP Phone and Cisco IOS Telephony Service. Para controlar quem pode acessar os servios HTTP no switch, possvel configurar a autenticao. Os mtodos de autenticao podem ser complexos. Voc pode ter tantas pessoas usando os servios

HTTP que acaba precisando de um servidor separado para tratar especificamente a autenticao do usurio. Os modos de autenticao AAA e TACACS so exemplos que usam esse tipo de mtodo de autenticao remota. AAA e TACACS so protocolos de autenticao que podem ser usados em redes para validar credenciais de usurio. Talvez voc precise ter um mtodo de autenticao menos complexo. O mtodo enable exige que os usurios usem a senha de habilitar do servidor. O mtodo de autenticao local exige que o usurio use o nome de usurio de login, a senha e o acesso do nvel de privilgio especificados na configurao do sistema local (com o comando de configurao global username). Gerenciando a tabela de endereos MAC Os switches usam tabelas de endereos MAC para determinar como encaminhar trfego entre portas. Essas tabelas MAC incluem endereos dinmicos e estticos. A figura mostra uma tabela de endereos MAC de exemplo da sada de comando show mac-address-table que inclui endereos MAC estticos e dinmicos. Nota: A tabela de endereos MAC era conhecida como memria enderevel de contedo (CAM) ou como tabela CAM. Os endereos dinmicos so endereos MAC de origem que o switch aprende, expirando quando no esto em uso. possvel alterar a configurao de tempo limite para endereos MAC. O tempo padro de 300 segundos. Definir uma tempo limite muito breve pode fazer com que os endereos sejam removidos prematuramente da tabela. Dessa forma, quando o switch recebe um pacote para um destino desconhecido, ele envia o pacote a todas as portas na mesma rede local (ou VLAN) como a porta receptora. Este envio desnecessrio pode afetar o desempenho. Definir uma tempo limite muito longa pode fazer com que a tabela de endereos seja preenchida com endereos no usados, o que impede a aprendizagem de novos endereos. Isso tambm pode causar envio excessivo (flooding). O switch fornece endereamento dinmico, aprendendo o endereo MAC de origem de todos os quadros recebidos em cada porta e adicionando o endereo MAC de origem e seu nmero de porta associado tabela de endereos MAC. Na medida em que os computadores so adicionados ou removidos da rede, o switch atualiza a tabela de endereos MAC, adicionando novas entradas e expirando as que no estiverem em uso no momento. Um administrador de rede pode atribuir especificamente endereos MAC estticos a determinadas portas. Os endereos estticos no expiram e o switch sempre sabe que porta usar para enviar o trfego com destino a esse endereo MAC especfico. Dessa forma, no h necessidade de reaprender ou atualizar a porta a que o endereo MAC est conectado. Uma razo para implementar endereos MAC estticos dar ao administrador de rede controle completo sobre o acesso rede. Apenas esses dispositivos conhecidos do administrador de rede podem se conectar rede. Para criar um mapeamento esttico na tabela de endereos MAC, use o comando mac-address-table static <MAC address> vlan {1-4096, ALL} interface interface-id. Para remover um mapeamento esttico na tabela de endereos MAC, use o comando no macaddress-table static <MAC address> vlan {1-4096, ALL} interface interface-id. O tamanho mximo da tabela de endereos MAC varia de switch para switch. Por exemplo, o switch da srie Catalyst 2960 pode armazenar at 8.192 endereos MAC. H outros protocolos que podem limitar o nmero absoluto de endereo MAC disponveis para um switch. Usando os comandos show

Agora que executou a configurao inicial do switch, voc deve confirmar se o switch foi configurado corretamente. Neste tpico, voc aprender a verificar a configurao do switch usando vrios comandos show. Clique no boto Comandos show na figura. Quando voc precisa verificar a configurao do seu switch Cisco, o comando show muito til. O comando show executado no modo EXEC privilegiado. A figura apresenta algumas das principais opes do comando show que verificam praticamente todos os recursos configurveis do switch. H muitos comandos show adicionais que voc aprender ao longo deste curso. Clique no boto show running-config na figura. Um dos comandos show mais importantes o comando show running-config. Esse comando exibe a configurao atualmente em execuo no switch. Use esse comando para verificar se voc configurou o switch corretamente. A figura mostra uma sada de comando abreviada do comando show running-config. As reticncias indicam um contedo no encontrado. A figura realou a sada de comando na tela do switch S1 que mostra: Interface Fast Ethernet 0/18 configurada com a VLAN 99 de gerenciamento VLAN 99 configurada com um endereo IP 172.17.99.11 255.255.0.0 Gateway padro definido como 172.17.50.1 Servidor HTTP configurado Clique no boto show interfaces na figura. Outro comando muito usado o comando show interfaces, que exibe informaes estatsticas e de status sobre as interfaces de rede do switch. O comando show interfaces costuma ser usado durante a configurao e o monitoramento dos dispositivos de rede. Lembre-se de que possvel digitar comandos parciais no prompt de comando e, desde que nenhuma outra opo de comando seja igual, o software Cisco IOS interpreta o comando corretamente. Por exemplo, possvel usar show int para este comando. A figura mostra a sada de comando de um comando show interfaces FastEthernet 0/1. A primeira linha realada na figura indica que o a interface Fast Ethernet 0/1 est ativa e em execuo. A prxima linha realada mostra que o bidirecional automtico e que a velocidade automtica. Fazer backup e restaurar configuraes de switch Um trabalho tpico para um tcnico de rede iniciante carregar um switch com uma configurao. Neste tpico, voc aprender como carregar e armazenar uma configurao na memria flash do switch e em um servidor TFTP. Clique no boto Fazer backup de configuraes na figura. Fazendo backup da configurao Voc j aprendeu como fazer backup da configurao de execuo de um switch no arquivo de configurao de inicializao. Voc usou o comando EXEC privilegiado copy running-config startup-config para fazer backup das configuraes feitas at ento. Como voc talvez j saiba, a configurao de execuo salva na DRAM, e a configurao de inicializao armazenada na seo NVRAM da memria Flash. Quando voc emite o comando copy running-config startupconfig, o software Cisco IOS copia a configurao de execuo para NVRAM de forma que,

quando o switch for inicializado, o startup-config com sua nova configurao seja carregado. Voc nem sempre deseja salvar alteraes feitas na configurao de execuo de um switch. Por exemplo, voc talvez queira alterar a configurao por um curto perodo, e no permanentemente. Se quiser manter vrios arquivos startup-config diferentes no dispositivo, voc poder copiar a configurao para nomes de arquivos diferentes, usando o comando copy startup-config flash:filename. Armazenar vrias verses de startup-config permite restaurar um ponto caso a sua configurao tenha problemas. A figura mostra trs exemplos de backup da configurao feitos na memria flash. O primeiro a sintaxe formal e completa. O segundo a sintaxe mais usada. Use a primeira sintaxe quando voc no estiver familiarizado com o dispositivo de rede com o qual est trabalhando e use a segunda sintaxe quando voc souber que o destino a NVRAM flash instalada no switch. O terceiro a sintaxe usada para salvar uma cpia do arquivo startup-config na memria flash. Clique no boto Restaurar configuraes na figura. Restaurando a Configurao Restaurar uma configurao um processo simples. Basta copiar a configurao salva sobre a configurao atual. Por exemplo, se tivesse uma configurao salva chamada config.bak1, voc poderia restaur-la sobre seu startup-config existente, digitando este comando do Cisco IOS copy flash:config.bak1 startup-config. Quando a configurao foi restaurada no startup-config, voc reinicia o switch para que ele recarregue a nova configurao de inicializao, usando o comando reload no modo EXEC privilegiado. O comando reload pra o sistema. Se o sistema for definido para ser reiniciado em caso de erro, ele ser reinicializado. Use o comando reload depois que as informaes de configurao forem inseridas em um arquivo e salvas na configurao de inicializao. Nota: No ser possvel recarregar a partir de um terminal virtual, se o switch no estiver definido para inicializao automtica. Essa restrio impede que o sistema seja descartado no monitor de ROM (ROMMON), fazendo com que o sistema seja retirado do controle de usurio remoto. Aps a emisso do comando reload, o sistema solicita a voc responder se voc deve ou no salvar a configurao. Normalmente, voc indicaria "sim", mas neste caso especfico, voc precisa responder "no". Se voc respondesse "sim", o arquivo que voc acabou de restaurar seria substitudo. Em todos os casos, voc precisa considerar se a configurao de execuo ou no a que voc deseja ativar depois de recarregar. Para obter mais detalhes sobre o comando reload, revise o Cisco IOS Configuration Fundamentals Command Reference, Release 12.4, encontrado neste site: http://www.cisco.com/en/US/docs/ios/fundamentals/command/reference/cf_book.html (em ingls). Nota: Tambm existe a opo de digitar o comando copy startup-config running-config. Infelizmente, esse comando no substitui por completo a configurao de execuo; ele s adiciona comandos existentes da configurao de inicializao configurao de execuo. Como isso pode causar resultados no desejados, tome cuidado ao faz-lo. Fazer backup de arquivos de configurao para um servidor TFTP Depois de configurar o seu switch com todas as opes que deseja definir, uma boa idia fazer backup da configurao na rede em que ela pode ser arquivada com o restante dos dados de rede em

backup durante a noite. Ter a configurao armazenada com segurana fora do switch a protege em caso de um grande problema de propores catastrficas com o seu switch. Algumas configuraes de switch demoram muitas horas para funcionar corretamente. Se voc perdeu a configurao por conta de uma falha no hardware do switch, um novo switch precisar ser configurado. Se houver uma configurao de backup para o switch com falha, ela poder ser carregada rapidamente no novo switch. Se no houver nenhuma configurao de backup, voc dever configurar o novo switch do zero. possvel usar TFTP para fazer backup dos seus arquivos de configurao na rede. O software Cisco IOS acompanha um cliente TFTP interno que permite a conexo com um servidor TFTP na sua rede. Nota: H pacotes de software do servidor TFTP gratuitos disponveis na Internet que possvel usar caso voc ainda no tenha um servidor TFTP em execuo. Um servidor TFTP normalmente usado de www.solarwinds.com. Fazendo backup da configurao Para carregar um arquivo de configurao de um switch para um servidor TFTP para armazenamento, siga estas etapas: Etapa 1. Verifique se o servidor TFTP est em execuo na sua rede. Etapa 2. Faa login no switch usando a porta console ou uma sesso Telnet. Habilite o switch e execute ping no servidor TFTP. Etapa 3. Carregue a configurao do switch no servidor TFTP. Especifique o endereo IP ou o nome de host do servidor TFTP e o nome do arquivo de destino. O comando do Cisco IOS : #copy system:running-config tftp:[[[//location]/directory]/filename] ou #copy nvram:startup-config tftp: [[[//location]/directory]/filename]. A figura mostra um exemplo do backup da configurao feitos em um servidor TFTP. Restaurando a configurao Depois que a configurao for armazenada com xito no servidor TFTP, ela poder ser copiada para o switch usando as seguintes etapas: Etapa 1. Copie o arquivo de configurao para o TFTP diretrio apropriado no servidor TFTP, se ele ainda no estiver l. Etapa 2. Verifique se o servidor TFTP est em execuo na sua rede. Etapa 3. Faa login no switch usando a porta console ou uma sesso Telnet. Habilite o switch e execute ping no servidor TFTP. Etapa 4. Faa o download do arquivo de configurao no servidor TFTP para configurar o switch. Especifique o endereo IP ou o nome de host do servidor TFTP e o nome do arquivo de download. O comando do Cisco IOS : #copy tftp:[[[//location]/directory]/filename] system:running-config ou #copy tftp:[[[//location]/directory]/filename] nvram:startup-config.

Se o download do arquivo de configurao for feito no running-config, os comandos sero executados na medida em que o arquivo analisado linha a linha. Se o download do arquivo de configurao for feito no startup-config, o switch dever ser recarregado para que as alteraes entrem vigor. Limpando informaes de configurao possvel limpar as informaes de configurao da configurao de inicializao. Voc pode fazer isso para preparar um switch usado a ser enviado para um cliente ou para um departamento diferente, e voc deseja assegurar que o switch seja reconfigurado. Quando voc apaga o arquivo de configurao de inicializao durante a reinicializao, ele entra no programa de configurao de forma que seja possvel reconfigurar o switch usando novas configuraes. Para limpar o contedo da configurao de inicializao, use o comando erase nvram: ou o comando EXEC privilegiado erase startup-config. A figura mostra um exemplo de como apagar os arquivos de configurao armazenados na NVRAM. Cuidado: Como no possvel restaurar o arquivo de configurao de inicializao depois que ele foi apagado, verifique se voc tem um backup da configurao caso voc precise restaur-lo posteriormente. Excluindo um arquivo de configurao armazenado Voc talvez esteja trabalhando em uma tarefa de configurao complexa e armazenou muitas cpias de backup dos seus arquivos na memria flash. Para excluir um arquivo da memria flash, use o comando EXEC privilegiado delete flash:filename. Dependendo da configurao do comando de configurao global do prompt de arquivo, voc pode ser solicitado a confirmar antes de excluir um arquivo. Por padro, o switch solicita a confirmao durante a excluso de um arquivo. Cuidado: Como no possvel restaurar o arquivo de configurao de inicializao depois que ele foi excludo, verifique se voc tem um backup da configurao caso voc precise restaur-lo posteriormente. Depois que a configurao for apagada ou excluda, voc poder recarregar o switch para iniciar uma nova configurao para o switch. Configurar o acesso console Neste tpico, voc aprender a configurar senhas para o acesso de console, terminal virtual e modo EXEC. Voc tambm aprender como criptografar e recuperar senhas em um switch. Os dados so muito importantes, devendo ser cuidadosamente guardados e protegidos. O Federal Bureau of Investigation (FBI) dos Estados Unidos estima que as empresas percam US$ 67,2 bilhes anualmente por conta de crimes relacionados a computador. Os dados pessoais do cliente especfico so especificamente vendidos por preos altos. Estes so alguns dos preos atuais para dados roubados: caixa eletrnico ou carto de dbito com PIN (Nmero de Identificao Pessoal): $500 O nmero da carteira de habilitao: $150 Nmero da Previdncia Social: $100 Nmero do carto de crdito com data de validade: de US$ 15 a US$ 20 A proteo dos seus switches comea com a proteo contra o acesso no autorizado.

 possvel executar todas as opes de configurao diretamente na console. Para acessar a console, voc precisa ter um acesso fsico local ao dispositivo. Se voc no protegesse a porta console corretamente, um usurio mal-intencionado poderia comprometer a configurao do switch. Proteger a console Para proteger a porta console do acesso no autorizado, defina uma senha na porta console usando o comando do modo de configurao da linha password <password>. Use o comando line console 0 para passar do modo de configurao da linha para o modo de configurao da linha para o console 0, que a porta console em switches Cisco. O prompt muda para (config-line)#, o que indica que o switch agora est no modo de configurao da linha. No modo de configurao da linha, possvel definir a senha para o console, digitando o comando password <password>. Para assegurar que um usurio na porta console seja obrigado a digitar a senha, use o comando login. Mesmo quando uma senha est definida, no necessrio digit-la at que o comando login seja emitido. A figura mostra os comandos usados para configurar e exigir a senha para o acesso ao console. Lembre-se de que possvel usar o comando show running-config para verificar a sua configurao. Antes de concluir a configurao do switch, no se esquea de salvar o arquivo de configurao de execuo na configurao de inicializao. Remover senha da console Se voc precisar remover a senha e o requisito para digitar a senha durante o login, use as seguintes etapas: Etapa 1. Alterne do modo EXEC privilegiado para o modo de configurao global. Digite o comando configure terminal. Etapa 2. Passe do modo de configurao global para o modo de configurao de linha para o console 0. O prompt de comando (config-line)# indica que voc est no modo de configurao de linha. Digite o comando line console 0. Etapa 3. Remova a senha da linha de console usando o comando no password. Etapa 4. Remova o requisito para digitar a senha durante o login para a linha de console, usando o comando no login. Etapa 5. Saia do modo de configurao de linha e volte ao modo EXEC privilegiado, usando o comando end. Proteger as portas vty As portas vty em um switch Cisco permitem acessar o dispositivo remotamente. possvel executar todas as opes de configurao usando as portas de terminal vty. Como voc no precisa de acesso fsico ao switch para acessar as portas vty, muito importante proteger as portas vty. Qualquer usurio com acesso de rede ao switch pode estabelecer uma conexo de terminal remota vty. Se as portas vty no fossem devidamente protegidas, um usurio mal-intencionado poderia comprometer a configurao do switch. Para proteger as portas vty do acesso no autorizado, possvel definir uma senha vty obrigatria antes do acesso ser concedido.

Para definir a senha nas portas vty, voc deve estar no modo de configurao de linha. Talvez haja muitas portas vty disponveis em um switch Cisco. Vrias portas permitem a mais de um administrador se conectar e gerenciar o switch. Para proteger todas as linhas vty, verifique se uma senha est definida e se o login foi aplicado em todas as linhas. Deixar algumas linhas desprotegidas compromete a segurana e permite a usurios no autorizados acessar o switch. Use o comando line vty 0 4 para passar do modo de configurao global para o modo de configurao de linha das linhas vty de 0 a 4. Nota: Se o switch tiver mais linhas vty disponveis, ajuste a faixa para proteger todas elas. Por exemplo, um Cisco 2960 tem linhas de 0 a 15 disponveis. A figura mostra os comandos usados para configurar e exigir a senha para o acesso a vty. possvel usar o comando show running-config para verificar a sua configurao e o comando copy runningconfig startup config para salvar o seu trabalho. Remover a senha vty Se voc precisar remover a senha e o requisito para digitar a senha durante o login, use as seguintes etapas: Etapa 1. Alterne do modo EXEC privilegiado para o modo de configurao global. Digite o comando configure terminal. Etapa 2. Passe do modo de configurao global para o modo de configurao de linha para os terminais vty de 0 a 4. O prompt de comando (config-line)# indica que voc est no modo de configurao de linha. Digite o comando line vty 0 4. Etapa 3. Remova a senha das linhas vty usando o comando no password. Cuidado: Se nenhuma senha for definida e o login continuar habilitado, no haver nenhum acesso s linhas vty. Etapa 4. Remova o requisito para digitar a senha durante o login para as linhas vty, usando o comando no login. Etapa 5. Saia do modo de configurao de linha e volte ao modo EXEC privilegiado, usando o comando end. Configurar senhas no modo EXEC O modo EXEC privilegiado permite a qualquer usurio que habilite esse modo em um switch Cisco configurar qualquer opo disponvel no switch. Tambm possvel exibir todas as configuraes definidas atualmente no switch, inclusive algumas das senhas no criptografadas! Por essas razes, importante proteger o acesso ao modo EXEC privilegiado. O comando de configurao global enable password permite especificar uma senha para restringir o acesso ao modo EXEC privilegiado. No entanto, uma problema com o comando enable password que ele armazena a senha em texto legvel no startup-config e no running-config. Se algum fosse ganhar acesso a um arquivo startup-config armazenado ou acesso temporrio a uma sesso Telnet ou de console registrados no modo EXEC privilegiado, essa pessoa poderia ver a senha. Dessa forma, a Cisco apresentou uma nova opo de senha para controlar o acesso ao modo EXEC

privilegiado que armazena a senha em um formato criptografado. possvel atribuir uma forma criptografada da senha de habilitar, chamada de senha secreta de habilitao, digitando o comando enable secret com a senha desejada no prompt do modo de configurao global. Se a senha secreta de habilitao for configurada, ela ser usada em lugar da senha de habilitar, no em adio a ela. Tambm h uma proteo incorporada no software Cisco IOS que notifica quando a definio da senha secreta de habilitao usada para a senha de habilitar. Se forem digitadas senhas idnticas, o IOS aceitar a senha, mas avisar que elas so iguais e orientar uma nova digitao de uma nova senha. A figura mostra os comandos usados para configurar senhas no modo EXEC privilegiado. possvel usar o comando show running-config para verificar a sua configurao e o comando copy running-config startup config para salvar o seu trabalho. Remover senha no modo EXEC Se precisar remover o requisito de senha para acessar o modo EXEC privilegiado, ser possvel usar os comandos no enable password e no enable secret no modo de configurao global. Configurar senhas criptografadas Durante a configurao de senhas na CLI do Cisco IOS, por padro, todas as senhas, exceto a senha secreta de habilitao, so armazenadas em formato de texto sem formatao em startup-config e running-config. A figura mostra uma sada de comando abreviada na tela do comando show running-config no switch S1. As senhas de texto sem formatao so realadas em laranja. universalmente aceito que as senhas devem ser criptografadas, e no armazenadas em formato de texto sem formatao. O comando service password-encryption do Cisco IOS permite a criptografia da senha de servio. Quando o comando service password-encryption digitado no modo de configurao global, todas as senhas de sistema so armazenadas em uma forma criptografada. Assim que o comando for digitado, todas as senhas atualmente definidas so convertidas em senhas criptografadas. Na parte inferior da figura, as senhas criptografadas so realadas em laranja. Se voc quiser remover o requisito para armazenar todas as senhas de sistema em um formato criptografado, digite o comando no service password-encryption no modo de configurao global. Remover a criptografia de senha no converte senhas criptografadas atualmente em texto legvel. No entanto, todas as senhas recm-definidas so armazenadas em formato de texto sem formatao. Nota: O padro de criptografia usado pelo comando service password-encryption conhecido como tipo 7. Esse padro de criptografia muito fraco, e h ferramentas facilmente acessveis na Internet para descriptografar senhas criptografadas com esse padro. O Tipo 5 mais seguro, mas deve ser invocado manualmente para cada senha configurada. Habilitar recuperao de senha Depois de definir senhas para controlar o acesso CLI do Cisco IOS, voc precisar ter certeza de que se lembra delas. Caso voc tenha perdido ou esquecido as senhas de acesso, a Cisco tem um mecanismo de recuperao de senha que permite aos administradores obter acesso aos dispositivos Cisco. O processo de recuperao de senha exige acesso fsico ao dispositivo. A figura mostra uma captura de tela do vdeo da exibio na console que indica que a recuperao de senha foi habilitada. Voc ver essa exibio depois da Etapa 3 abaixo. Observe que voc talvez no possa recuperar efetivamente as senhas no dispositivo Cisco,

especialmente se a criptografia de senha foi habilitada, mas voc pode redefini-las com um novo valor. Para obter mais informaes sobre o procedimento de senha, visite: http://www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_tech_note09186a00801746e6.s html (em ingls). Para recuperar a senha em um switch Cisco 2960, siga as seguintes etapas: Etapa 1. Conecte um terminal ou PC com software da emulao de terminal com a porta console de switch. Etapa 2. Defina a velocidade de linha no software de emulao como 9600 bauds. Etapa 3. Desligue o switch. Reconecte o cabo de alimentao para o switch e, em 15 segundos, pressione o boto Modo enquanto o LED de sistema ainda estiver piscando em verde. Continue pressionando o boto Modo at que o LED de sistema permanea em mbar rapidamente e, em seguida, em verde permanentemente. Em seguida, solte o boto Modo. Etapa 4. Inicialize o sistema de arquivos da memria flash, usando o comando flash_init. Etapa 5. Carregue todos os arquivos auxiliares usando o comando load_helper. Etapa 6. Exibe o contedo da memria flash usando o comando dir flash: O sistema de arquivos de switch aparece: Directory of flash: 13 drwx 192 Mar 01 1993 22:30:48 c2960-lanbase-mz.122-25.FX 11 -rwx 5825 Mar 01 1993 22:31:59 config.text 18 -rwx 720 Mar 01 1993 02:21:30 vlan.dat 16128000 bytes total (10003456 bytes free) Etapa 7. Renomeie o arquivo de configurao para config.text.old, que contm a definio de senha, usando o comando rename flash:config.text flash:config.text.old. Etapa 8. Inicialize o sistema usando o comando boot. Etapa 9. solicitado que voc inicie o programa de configurao. Digite N no prompt e, em seguida, quando o sistema perguntar se voc deseja continuar na caixa de dilogo da configurao, digite N. Etapa 10. No prompt de switch, digite o modo EXEC privilegiado, usando o comando enable. Etapa 11. Renomeie o arquivo de configurao para seu nome original, usando o comando rename flash:config.text.old flash:config.text. Etapa 12. Copie o arquivo de configurao para a memria, usando o comando copy flash:config.text system:running-config. Depois que esse comando for digitado, isto ser exibido no console: Source filename [config.text]?

Destination filename [running-config]? Pressione Retornar em resposta solicitao da confirmao. O arquivo de configurao foi recarregado e voc j pode alterar a senha. Etapa 13. Entre no modo de configurao global, usando o comando configure terminal. Etapa 14. Altere a senha, usando o comando enable secret password. Etapa 15. Retorne ao modo EXEC privilegiado, usando o comando exit. Etapa 16. Grave a configurao de execuo no arquivo de configurao de inicializao, usando o comando copy running-config startup-config. Etapa 17. Recarregue o switch, usando o comando reload. Nota: Como o procedimento para recuperao de senha pode ser diferente dependendo da srie de switches Cisco, voc deve consultar a documentao de produto antes de tentar uma recuperao de senha. Configurar um banner de login O conjunto de comandos do Cisco IOS inclui um recurso que permite configurar mensagens que qualquer pessoa que tiver feito login no switch ver. Essas mensagens so chamadas de banners de login e banners da mensagem do dia (MOTD). Neste tpico, voc aprender a configur-las. possvel definir um banner personalizado a ser exibido antes dos prompts do nome de usurio e senha e de login, usando o comando banner login no modo de configurao global. Inclua o texto do banner entre aspas ou usando um delimitador diferente de qualquer caracter exibido na cadeia de caracteres MOTD. A figura mostra o switch S1 configurado com um banner de login Authorized Personnel Only! (Somente pessoal autorizado!) Para remover o banner MOTD, digite o formato no desse comando no modo de configurao global, por exemplo, S1(config)#no banner login. Configurar um banner MOTD O banner MOTD exibido em todos os terminais conectados no login, sendo til para enviar mensagens que afetam todos os usurios de rede (como desligamentos de sistema impedidos). O banner MOTD ser exibido antes do banner de login for configurado. Defina o banner MOTD usando o comando banner motd no modo de configurao global. Inclua o texto do banner entre aspas. A figura mostra o switch S1 configurado com um banner MOTD para exibir Device maintenance will be occurring on Friday! (Manuteno de desempenho ocorrer na sexta-feira!) Para remover o banner de login, digite o formato no desse comando no modo de configurao global, por exemplo, S1(config)#no banner motd. Telnet e SSH

Os switches mais antigos talvez no suportem a comunicao segura com Shell Seguro (SSH). Este tpico ajudar a escolher entre os mtodos Telnet e SSH de comunicao com um switch. H duas opes para acessar remotamente um vty em um switch Cisco. Telnet o mtodo original suportado nos primeiros modelos de switch Cisco. Telnet um protocolo popular usado em acesso terminal porque a maioria dos sistemas operacionais atuais acompanha um cliente Telnet integrado. No entanto, Telnet uma forma insegura de acessar um dispositivo de rede, porque ela envia todas as comunicaes atravs da rede em texto sem formatao. Usando o software de monitoramento de rede, um invasor pode ler todos os pressionamentos de tecla enviados entre o cliente Telnet e o servio Telnet em execuo no switch Cisco. Por conta das preocupaes de segurana do protocolo Telnet, SSH se tornou o protocolo preferido para acessar linhas de terminal virtual (vty) remotamente em um dispositivo Cisco. SSH d o mesmo tipo de acesso como Telnet com o benefcio adicional de segurana. A comunicao entre o cliente e o servidor SSH criptografada. SSH passou por alguns verses, com dispositivos Cisco que atualmente suportam SSHv1 e SSHv2. recomendvel que voc implemente SSHv2 quando possvel, porque ele usa um algoritmo de criptografia de segurana mais aprimorado que SSHv1. Configurando Telnet Telnet o protocolo suportado por vty padro em um switch Cisco. Quando um endereo IP de gerenciamento atribudo ao switch Cisco, possvel se conectar a ele usando um cliente Telnet. Inicialmente, as linhas vty no so protegidas, o que permite acesso a qualquer usurio que se conecte a elas. No tpico anterior, voc aprendeu a proteger o acesso ao switch pelas linhas vty, exigindo uma autenticao por senha. Isso torna a execuo do servio Telnet um pouco mais segura. Como Telnet o transporte padro para as linhas vty, voc no precisa especific-lo depois que a configurao inicial do switch executada. No entanto, se trocou o protocolo de transporte nas linhas vty para permitir apenas SSH, voc precisar habilitar o protocolo Telnet para permitir o acesso Telnet manualmente. Se voc precisar reabilitar o protocolo Telnet em um switch Cisco 2960, use o seguinte comando no modo de configurao de linha: (config-line)#transport input telnet or (config-line)#transport input all. Permitindo todos os protocolos de transporte, voc continua permitindo o acesso SSH, bem como o acesso Telnet. Configurando SSH SSH um recurso de segurana criptogrfica sujeito a restries de exportao. Para usar esse recurso, uma imagem criptogrfica deve ser instalada no seu switch. O recurso SSH tem um servidor SSH e um cliente integrado SSH, que so aplicativos executados no switch. possvel usar qualquer cliente SSH em execuo em um PC ou o cliente SSH Cisco em execuo no switch para se conectar a um switch em execuo no servidor SSH. O switch suporta SSHv1 ou SSHv2 para o componente do servidor. O switch suporta apenas SSHv1 para o componente cliente.

SSH suporta o algoritmo de criptografia padro de dados (DES), o algoritmo Triple DES (3DES), alm da autenticao de usurio baseada em senha. DES oferece uma criptografia de 56 bits e 3DES oferece uma criptografia de 168 bits. A criptografia demorada, mas DES demora menos hora para criptografar texto que 3DES. Normalmente, como os padres de criptografia so especificados pelo cliente, se voc tiver que configurar SSH, pergunte qual usar. (A discusso dos mtodos de criptografia de dados est alm do escopo deste curso.) Para implementar SSH, voc precisa gerar chaves RSA. RSA envolve uma chave pblica, mantida em um servidor RSA pblico, e uma chave particular, mantida apenas pelo remetente e pelo receptor. A chave pblica pode ser conhecida por todos, sendo usada para criptografar mensagens. As mensagens criptografadas com a chave pblica s podem ser descriptografadas usando a chave particular. Isso conhecido como criptografia assimtrica, sendo abordado com mais detalhes no curso CCNA Exploration: Acessando a WAN. Voc precisa gerar as chaves RSA criptografadas que usam o comando crypto key generate rsa. Esse procedimento ser obrigatrio se voc estiver configurando o switch como um servidor SSH. Comeando no modo EXEC privilegiado, siga estas etapas para configurar um nome de host e um nome de domnio IP, alm de gerar um par de chaves RSA. Etapa 1. Entre no modo de configurao global, usando o comando configure terminal. Etapa 2. Configure um nome de host para o seu switch usando o comando hostname hostname. Etapa 3. Configure um domnio de host para o seu switch usando o comando ip domain-name domain_name command. Etapa 4. Habilite o servidor SSH para a autenticao local e remota no switch e gere um par de chaves RSA usando o comando crypto key generate rsa. Ao gerar chaves RSA, voc solicitado a digitar um comprimento de mdulo. A Cisco recomenda usar um tamanho de mdulo de 1024 bits. Um comprimento de mdulo mais longo pode ser mais seguro, mas demora mais para gerar e ser usado. Etapa 5. Retorne ao modo EXEC privilegiado, usando o comando end. Etapa 6. Mostre o status do servidor SSH no switch, usando o comando show ip ssh ou show ssh. Para excluir o par de chaves RSA, use o comando de configurao global crypto key zeroize rsa. Depois que o par de chaves RSA for excludo, o servidor SSH ser desabilitado automaticamente. Configurando o servidor SSH Comeando no modo EXEC privilegiado, siga estas etapas para configurar o servidor SSH. Etapa 1. Entre no modo de configurao global, usando o comando configure terminal. Etapa 2. (Opcional) Configure o switch para executar SSHv1 ou SSHv2 usando o comando ip ssh version [1 | 2]. Se voc no digitar esse comando ou no especificar uma palavra-chave, o servidor SSH selecionar a verso SSH mais recente suportada pelo cliente SSH. Por exemplo, se o cliente SSH

suportar SSHv1 e SSHv2, o servidor SSH selecionar SSHv2. Etapa 3. Configure os parmetros de controle SSH: Especifique o valor do tempo limite em segundos; o padro de 120 segundos. O intervalo de 0 a 120 segundos. Para que uma conexo SSH seja estabelecida, vrias fases devem ser concludas, como conexo, protocolo, negociao e negao de parmetro. O valor de tempo limite se aplica ao tempo que o switch permite ao estabelecimento de uma conexo. Por padro, esto disponveis at cinco conexes SSH criptografadas, simultneas, para vrias sesses baseadas em CLI na rede (da sesso 0 sesso 4). Depois que o shell de execuo iniciado, o valor de tempo limite da sesso baseada em CLI retorna ao padro de 10 minutos. Especifique por quantas horas um cliente pode se reautenticar no servidor. O padro 3; o intervalo de 0 a 5. Por exemplo, um usurio pode permitir que a sesso SSH permanea por mais 10 minutos trs vezes antes do encerramento da sesso SSH. Repita essa etapa ao configurar ambos os parmetros. Para configurar ambos os parmetros, use o comando ip ssh {timeout seconds | authentication-retries number}. Etapa 4. Retorne ao modo EXEC privilegiado, usando o comando end. Etapa 5. Exiba o status das conexes do servidor SSH no switch, usando o comando show ip ssh ou o comando show ssh. Etapa 6. (Opcional) Salve suas entradas no arquivo de configurao de inicializao, usando o comando copy running-config startup-config. Se voc quiser impedir conexes que no sejam SSH, adicione o comando transport input ssh no modo de configurao de linha para limitar o switch apenas a conexes SSH. As conexes Telnet diretas (que no so SSH) so recusadas. Ataques segurana Infelizmente, a segurana de switch bsica no impede ataques mal-intencionados. Neste tpico, voc obter informaes sobre alguns ataques segurana comuns e como eles so perigosos. Este tpico fornece informaes em nvel introdutrio sobre ataques segurana. Os detalhes de como alguns desses ataques comuns funcionam esto alm do escopo do curso. Se achar uma segurana de rede de interesse, voc deve explorar a curso CCNA Explorao: Acessando a WAN. Envio de endereo MAC O envio (flooding) de endereo MAC um ataque comum. Lembre-se de que a tabela de endereos MAC em um switch contm os endereos MAC disponveis em uma determinada porta fsica de um switch e os parmetros de VLAN associados. Quando um switch da Camada 2 recebe um quadro, o switch procura na tabela de endereos MAC o endereo MAC de destino. Todos os modelos de switch Catalyst usam uma tabela de endereos MAC para a comutao da Camada 2. Na medida em que os quadros chegam a portas de switch, os endereos MAC de origem so aprendidos e registrados na tabela de endereos MAC. Se houver uma entrada para o endereo MAC, o switch encaminhar o quadro para a porta de endereo MAC designada na tabela de endereos MAC. Se no houver o endereo MAC, o switch funcionar como um hub e encaminhar o quadro por todas

as demais portas no switch. s vezes, os ataques de sobrecarga da tabela de endereos MAC so conhecidos como ataques de envio MAC. Para compreender o mecanismo de um ataque de sobrecarga da tabela de endereos MAC, lembre-se do funcionamento bsico de um switch. Clique no boto Etapa 1 na figura para ver como comea o ataque de sobrecarga da tabela de endereos MAC. Na figura, o host A envia trfego para o host B. O switch recebe os quadros e pesquisa os endereos MAC de destino em sua tabela de endereos MAC. Se o switch no conseguir localizar o MAC de destino na tabela de endereos MAC, o switch copiar o quadro e o difundir por todas as portas de switch. Clique no boto Etapa 2 na figura para ver a prxima etapa. O host B recebe o quadro e envia uma resposta para o host A. Dessa forma, o switch sabe que o endereo MAC do host B est localizado na porta 2 e grava essas informaes na tabela de endereos MAC. O host C tambm recebe o quadro do host A para o host B, mas como o endereo MAC de destino desse quadro o host B, o host C descarta esse pacote. Clique no boto Etapa 3 na figura para ver a prxima etapa. Agora, qualquer quadro enviado pelo host A (ou qualquer outro host) para o host B encaminhado para a porta 2 do switch, no o difundindo por todas as portas. A chave para compreender como os ataques de sobrecarga da tabela de endereos MAC saber que as tabelas de endereos MAC tm o tamanho limitado. O envio MAC usa essa limitao para bombardear o switch com falsos endereos MAC de origem at que a tabela de endereos MAC do switch fique cheia. Em seguida, o switch entra naquilo que conhecido como modo aberto a falhas, comeando a funcionar como um hub, e difunde pacotes para todas as mquinas na rede. Dessa forma, o invasor pode ver todos os quadros enviados de um host de vtima para outro host sem uma entrada na tabela de endereos MAC. Clique no boto Etapa 4 na figura para ver como um invasor usa ferramentas legtimas de maneira mal-intencionada. A figura mostra como um invasor pode usar os recursos operacionais normais do switch para impedir o funcionamento do switch. O envio MAC pode ser executado com uma ferramenta de ataque rede. O intruso na rede usa a ferramenta de ataque para enviar o switch com um grande nmero de endereos MAC de origem invlidos at que a tabela de endereos MAC seja preenchida. Quando a tabela de endereos MAC est cheia, o switch envia todas as portas com trfego de entrada porque no pode localizar o nmero de porta para um endereo MAC especfico na tabela de endereos MAC. O switch, basicamente, funciona como um hub. Algumas ferramentas de ataque rede podem gerar 155.000 entradas MAC em um switch por minuto. Dependendo do switch, o tamanho mximo da tabela de endereos MAC varia. Na figura, a ferramenta de ataque est em execuo no host com o endereo C MAC na parte inferior da tela. Essa ferramenta envia um switch com pacotes que contm endereos MAC e IP de origem e de destino gerados aleatoriamente. Durante um curto perodo, a tabela de endereos MAC no switch

preenchida at que seja incapaz de aceitar novas entradas. Quando a tabela de endereos MAC for preenchida com endereos MAC de origem invlidos, o switch comear a encaminhar todos os quadros recebidos para todas as portas. Clique no boto Etapa 5 na figura para ver a prxima etapa. Desde que a ferramenta de ataque rede esteja em execuo, a tabela de endereos MAC no switch permanece cheia. Quando isso acontece, o switch comea a transmitir todos os quadros recebidos por todas as portas de forma que os quadros enviados do host A para o host B tambm sejam difundidos pela porta 3 do switch. Ataques de falsificao Clique no boto Falsificao na figura. Uma forma de um invasor ganhar acesso ao trfego da rede falsificar respostas que seriam enviadas por um servidor DHCP vlido. O dispositivo de falsificao DHCP responde s solicitaes DHCP do cliente. O servidor legtimo tambm pode responder, mas se o dispositivo de falsificao estiver no mesmo segmento do cliente, sua resposta para o cliente poder chegar primeiro. A resposta DHCP do intruso oferece um endereo IP e informaes de suporte que designam o intruso como o gateway padro ou o servidor do Sistema de Nome de Domnio (DNS). No caso de um gateway, os clientes encaminham pacotes para o dispositivo de ataque, que, por sua vez, os envia para o destino desejado. Isso conhecido como um ataque de interceptao, podendo passar totalmente despercebido porque o intruso intercepta o fluxo de dados pela rede. Voc deve estar atento a outro tipo de ataque DHCP chamado de fome DHCP. O PC invasor solicita continuamente endereos IP de um servidor DHCP real, alterando seus endereos MAC de origem. Se houver xito, esse tipo de ataque DHCP far com que todos os emprstimos no servidor DHCP real sejam alocados, o que impede os usurios reais (clientes DHCP) de obter um endereo IP. Para impedir ataques DHCP, use os recursos de segurana de porta e de deteco DHCP nos switches Cisco Catalyst. Recursos de segurana de porta e de deteco DHCP Cisco Catalyst A deteco DHCP um recurso Cisco Catalyst que determina quais portas de switch podem responder a solicitaes DHCP. As portas so identificadas como confiveis e no confiveis. As portas confiveis podem dar origem a todas as mensagens DHCP; as no confiveis, apenas solicitaes. As portas confiveis hospedam um servidor DHCP ou podem ser um uplink no servidor DHCP. Se um dispositivo invasor estiver em uma porta no confivel para tentar enviar um pacote de resposta DHCP na rede, a porta ser desligada. Esse recurso pode ser somado a opes DHCP nas quais informaes do switch, como a ID de porta da solicitao DHCP, podem ser inseridas no pacote de solicitao DHCP. Clique no boto Deteco DHCP. As portas no confiveis so aquelas no explicitamente configuradas como confiveis. Uma tabela de ligao DHCP foi criada para portas no confiveis. Cada entrada contm um endereo MAC de cliente, endereo IP, tempo de emprstimo, tipo de ligao, nmero de VLAN e a ID de porta registrada quando os clientes fazem solicitaes DHCP. Em seguida, a tabela usada para filtrar o trfego DHCP subseqente. De uma perspectiva de deteco DHCP, as portas de acesso no confiveis no devem enviar nenhuma resposta de servidor DHCP.

Essas etapas ilustram como configurar a deteco DHCP em um switch Cisco IOS: Etapa 1. Habilite a deteco DHCP usando o comando de configurao global ip dhcp snooping. Etapa 2. Habilite a deteco DHCP para VLANs especficas, usando o comando ip dhcp snooping vlan number [number]. Etapa 3. Defina portas como confiveis ou no confiveis no nvel da interface, definindo as portas confiveis com o comando ip dhcp snooping trust. Etapa 4. (Opcional) Limite a taxa na qual um invasor pode continuar enviando solicitaes DHCP fictcias por meio de portas no confiveis para o servidor DHCP usando o comando ip dhcp snooping limit rate rate. Ataques CDP O Cisco Discovery Protocol (CDP) um protocolo prprio que todos os dispositivos Cisco podem ser configurados para usar. CDP descobre outros dispositivos Cisco conectados diretamente, o que permite aos dispositivos configurar automaticamente sua conexo em alguns casos, o que simplifica a configurao e a conectividade. As mensagens CDP no so criptografadas. Por padro, a maioria dos roteadores e dos switches Cisco tem CDP habilitado. As informaes de CDP so enviadas em broadcasts peridicos, atualizadas localmente no banco de dados CDP de cada dispositivo. Como CDP um protocolo da Camada 2, ele no propagado por roteadores. O CDP contm informaes sobre o dispositivo, como o endereo IP, a verso de software, a plataforma, os recursos e a VLAN nativa. Quando essas informaes estiverem disponveis para um invasor, ele poder us-las para localizar exploraes para atacar sua rede, normalmente na forma de um ataque de negao de servio (DOS). A figura uma poro de um rastreamento de pacote Ethereal, que mostra a parte interna de um pacote CDP. A verso do software Cisco IOS descoberta por CDP, em especial, permitiria ao invasor pesquisar e determinar se havia alguma vulnerabilidade de segurana especfica para essa verso em especial do cdigo. Alm disso, como o CDP no autenticado, um invasor poderia criar pacotes CDP falsos e fazer com que eles fossem recebidos pelo dispositivo Cisco diretamente conectado do invasor. Para corrigir essa vulnerabilidade, recomendvel desabilitar o uso do CDP em dispositivos que no precisem us-lo. Ataques Telnet O protocolo Telnet pode ser usado por um invasor para ganhar acesso remoto a um switch de rede Cisco. Em um tpico anterior, voc configurou uma senha de login para as linhas vty e as definiu para exigir autenticao por senha para ganhar acesso. Isso fornece um nvel essencial e bsico de segurana para ajudar a proteger o switch do acesso no autorizado. No entanto, no se trata de um mtodo seguro de garantir acesso s linhas vty. H ferramentas disponveis que permitem a um invasor iniciar um ataque de fora bruta para romper a senha nas linhas vty do switch. Ataque de fora bruta de senha A primeira fase de um ataque de fora bruta de senha comea com o invasor usando uma lista de senhas comuns e um programa projetado para tentar estabelecer uma sesso Telnet usando cada palavra na lista de dicionrio. Felizmente, como voc inteligente o bastante para no usar uma

palavra do dicionrio, est seguro por enquanto. Na segunda fase de um ataque de fora bruta, o invasor usa um programa que cria combinaes de caracteres seqenciais em uma tentativa de "adivinhar" a senha. Com tempo o suficiente, um ataque de fora bruta de senha pode romper praticamente todas as senhas usadas. A coisa mais simples a se fazer para limitar a vulnerabilidade a ataques de fora bruta de senha alterar suas senhas freqentemente e usar senhas fortes que misturem aleatoriamente letras maisculas e minsculas com nmeros. Configuraes mais avanadas permitem limitar quem pode se comunicar com as linhas vty, usando listas de acesso, mas isso est alm do escopo deste curso. Ataque DoS Outro tipo de ataque Telnet o ataque DoS. Em um ataque DOS, o invasor explora uma falha no software do servidor Telnet em execuo no switch que torna o servio Telnet indisponvel. Esse tipo de ataque costuma ser incmodo porque impede um administrador de realizar funes de gerenciamento do switch. As vulnerabilidade no servio Telnet que permitem ataques DoS costumam ser corrigidas nos patches de segurana includos em revises do Cisco IOS mais recentes. Se voc estiver enfrentando um ataque DoS contra o servio Telnet ou outro servio em um dispositivo Cisco, veja se h uma reviso do Cisco IOS mais recente disponvel. Depois de configurar a segurana do switch, voc precisa verificar se no deixou nenhuma deficincia que possa explorada por um invasor. A segurana de rede um tpico complexo e em constante evoluo. Nesta seo, voc apresentado forma como as ferramentas de segurana de rede formam um componente usado para proteger uma rede de ataques mal-intencionados. As ferramentas de segurana da rede ajudam a testar sua rede quanto a vrias deficincias. Elas so ferramentas que permitem desempenhar as funes de um hacker e de um analista da segurana da rede. Usando essas ferramentas, possvel iniciar um ataque e auditar os resultados para determinar como ajustar suas polticas de segurana para impedir um determinado ataque. Os recursos usados por ferramentas de segurana da rede esto em constante evoluo. Por exemplo, as ferramentas de segurana da rede j se concentraram exclusivamente nos servios de escuta na rede e examinavam esses servios em busca de falhas. Atualmente, vrus e worms podem se propagar por causa das falhas em clientes de email e navegadores. As ferramentas de segurana da rede modernas no apenas detectam as falhas remotas dos hosts na rede, mas tambm determinam se h falhas no nvel de aplicativo, como patches no encontrados em computadores clientes. A segurana de rede vai alm dos dispositivos de rede, at a rea de trabalho dos usurios. A auditoria de segurana e o teste de penetrao so duas funes bsicas executadas por ferramentas de segurana da rede. Auditoria de segurana da rede As ferramentas de segurana da rede permitem executar uma auditoria de segurana na sua rede. Uma auditoria de segurana revela que tipo de informao um invasor pode obter simplesmente monitorando o trfego da rede. As ferramentas de auditoria de segurana da rede permitem enviar a tabela MAC com endereos MAC fictcios. Assim, possvel auditar as portas de switch quando o switch comea a enviar o trfego por todas as portas na medida em que os mapeamentos de endereo MAC expiram e so substitudos por mais mapeamentos de endereo MAC fictcio. Dessa forma, possvel determinar quais portas esto comprometidas e no foram configuradas corretamente para impedir esse tipo de ataque.

Timing um fator importante na execuo de uma auditoria bem-sucedida. Switches diferente suportam nmeros de endereos MAC variveis em sua tabela MAC. Pode ser difcil determinar a quantidade ideal de endereos MAC falsificados a serem jogados fora na rede. Voc tambm precisa concordar com o perodo de tempo limite da tabela MAC. Se os endereos MAC falsificados comearem expirar enquanto voc estiver executando sua auditoria de rede, os endereos MAC vlidos comearo a preencher a tabela MAC, o que limita os dados que possvel monitorar usando uma ferramenta de auditoria da rede. Testes de penetrao da rede As ferramentas de segurana da rede tambm podem ser usadas em testes de penetrao na sua rede. Isso permite identificar deficincias na configurao de seus dispositivos de networking. H vrios ataques que possvel executar, e a maioria dos pacotes de ferramentas acompanha uma ampla documentao detalhando a sintaxe necessria execuo do ataque desejado. Como esses tipos de testes podem ter efeitos colaterais na rede, eles so executados sob condies muito rgidas, seguindo os procedimentos documentados detalhados em um poltica de segurana de rede abrangente. Obviamente, se tiver uma rede baseada em uma pequena sala de aula, voc poder se organizar para trabalhar com seu instrutor para tentar seus prprios testes de penetrao na rede. No prximo tpico, voc aprender como implementar a segurana de porta em seus switches Cisco de forma que seja possvel assegurar que esses testes de segurana da rede no revelem nenhuma falha na sua configurao de segurana. Recursos das ferramentas de segurana da rede Uma rede efetivamente segura processo, e no um produto. No basta habilitar um switch apenas com uma configurao segura e dizer que o trabalho est concludo. Para dizer que tem uma rede segura, voc precisa ter um plano de segurana de rede abrangente que defina como verificar regularmente se a sua rede pode resistir aos ataques rede mal-intencionados mais recentes. O panorama varivel dos riscos de segurana significa que voc precisa de ferramentas de auditoria e penetrao capazes de ser atualizados para procurar os riscos de segurana mais recentes. Entre os recursos comuns de uma ferramenta de segurana da rede moderna esto: Identificao de servio: as ferramentas so usadas para definir hosts usando nmeros de porta Internet Assigned Numbers Authority (IANA). Essas ferramentas tambm devem ser capazes de detectar um servidor FTP em execuo em uma porta que no seja padro ou um servidor Web em execuo na porta 8080. A ferramenta tambm deve ser capaz de testar todos os servios em execuo em um host. Suporte de servios SLL: servios de teste que usam a segurana de nvel SSL, inclusive HTTPS, SMTPS, IMAPS e certificado de segurana. Testes destrutivos e no destrutivos: execuo de auditorias de segurana no destrutivas regularmente que no comprometem ou comprometem moderadamente o desempenho da rede. As ferramentas tambm devem deixar executar auditorias destrutivas que afetam significativamente o desempenho da rede. A auditoria destrutiva permite ver como a sua rede suporta ataques de intrusos. Banco de dados de vulnerabilidades: vulnerabilidades mudam o tempo todo. As ferramentas de segurana da rede precisam ser criadas para que possam ser conectadas a um mdulo de cdigo e executar um teste procura dessa vulnerabilidade. Dessa forma, um grande banco de dados de vulnerabilidades pode ser mantido e carregado na ferramenta para assegurar que as mais recentes vulnerabilidade estejam sendo testadas. possvel usar ferramentas de segurana de rede para:

Capturar mensagens de bate-papo Capturar arquivos do trfego NFS Capturar solicitaes HTTP no Formato de Log Comum Capturar mensagens de email no formato Berkeley mbox Capture senhas Exibir URLs capturados no navegador em tempo real Enviar uma rede local comutada com endereos MAC aleatrios Forjar respostas para consultas DNS de endereo/apontador Interceptar pacotes em uma rede local comutada Usando a segurana de porta para atenuar ataques Neste tpico, voc obter informaes sobre os problemas a serem considerados ao configurar a segurana de porta em um switch. Os principais comandos de segurana de porta do Cisco IOS so sumarizados. Voc tambm obter informaes sobre como configurar a segurana de porta esttica e dinmica. Clique no boto Segurana de porta na figura. Segurana de porta Um switch que no fornece a segurana de porta permite a um invasor anexar um sistema a uma porta no usada, habilitada, e executar a coleta de informaes ou ataques. Um switch pode ser configurado para funcionar como um hub, o que significa que todos os sistemas conectados ao switch podem exibir todo o trfego da rede que passa pelo switch at todos os sistemas conectados ao switch. Assim, um invasor poderia coletar trfego que contivesse nomes de usurio, senhas ou informaes de configurao sobre os sistemas na rede. Todas as portas de switch ou interfaces devem ser protegidas antes da implantao do switch. A segurana de porta limita o nmero de endereos MAC vlidos permitidos em uma porta. Quando voc atribui endereos MAC seguros a uma porta segura, a porta no encaminha pacotes com endereos de origem fora do grupo de endereos definidos. Se voc limitar o nmero de endereos MAC seguros a um e atribuir um nico endereo MAC seguro a essa porta, a estao de trabalho acoplada porta ter toda a largura de banda da porta, e somente essa estao de trabalho com o endereo MAC seguro determinado poder se conectar com xito porta de switch. Se uma porta for configurada como uma porta segura e o nmero mximo de endereos MAC seguros for alcanado, ocorrer uma violao de segurana quando o endereo MAC de uma estao de trabalho que tenta acessar a porta for diferente dos endereos MAC seguros identificados. A figura resume esses pontos. Clique no boto Tipos de endereo MAC seguro na figura. Tipos de endereo MAC seguro H vrias formas de configurar a segurana de porta. Esta uma descrio das formas como possvel configurar a segurana de porta em um switch Cisco: Endereos MAC seguros estticos: os endereos MAC so configurados manualmente, usando o comando de configurao da interface switchport port-security mac-address mac-address. Os

endereos MAC configurados dessa forma so armazenados na tabela de endereos, sendo adicionados configurao de execuo no switch. Endereos MAC seguros dinmicos: os endereos MAC so aprendidos dinamicamente e armazenados apenas na tabela de endereos. Os endereos MAC configurados dessa forma so removidos quando o switch reinicia. Endereos MAC seguros fixos: possvel configurar uma porta para saber endereos MAC dinamicamente e salvar esses endereos MAC na configurao de execuo. Endereos MAC fixos Endereos MAC fixos seguros tm estas caractersticas: Quando voc habilita a aprendizagem fixa em uma interface usando o comando de configurao da interface switchport port-security mac-address sticky, a interface converte todos os endereos MAC seguros dinmicos, inclusive os que foram aprendidos dinamicamente antes da habilitao da aprendizagem fixa, para fixar endereos MAC seguros e adiciona todos os endereos MAC seguros configurao de execuo. Se voc desabilitar a aprendizagem fixa usando o comando de configurao da interface no switchport port-security mac-address sticky, os endereos MAC seguros fixos continuaro parte da tabela de endereos, mas sero removidos da configurao de execuo. Quando voc configura endereos MAC seguros fixos usando o comando de configurao da interface switchport port-security mac-address sticky mac-address, esses endereos sero adicionados tabela de endereos e configurao de execuo. Se a segurana de porta for desabilitada, os endereos MAC seguros fixos permanecero na configurao de execuo. Se voc salvar os endereos MAC seguros fixos no arquivo de configurao, quando o switch for reiniciado ou a interface for desligada, a interface no precisar reaprender esses endereos. Se voc no salvar os endereos seguros fixos, eles sero perdidos. Se voc desabilitar a aprendizagem fixa e digitar o comando de configurao da interface switchport port-security mac-address sticky mac-address, uma mensagem de erro ser exibida, e o endereo MAC seguro fixo no ser adicionado configurao de execuo. Clique no boto Modos de violao da segurana na figura. Modos de violao da segurana uma violao de segurana quando uma destas situaes ocorre: O nmero mximo de endereos MAC seguros foi adicionado tabela de endereos e uma estao cujo endereo MAC no est na tabela de endereos tenta acessar a interface. Um endereo aprendido ou configurado em uma interface segura visto em outra interface segura na mesma VLAN. possvel configurar a interface para um dos trs modos de violao, com base na ao ser executada em caso de uma violao. A figura apresenta que tipos de trfego de dados so encaminhados quando um dos seguintes modos de violao de segurana configurado em uma porta: proteger: quando o nmero de endereos MAC seguros atinge o limite permitido na porta, pacotes com endereos de origem desconhecidos so ignorados at que voc remova um nmero suficiente

de endereos MAC seguros ou aumente o nmero mximo de endereos permitidos. Voc no notificado de que houve uma violao de segurana. restringir: quando o nmero de endereos MAC seguros atinge o limite permitido na porta, pacotes com endereos de origem desconhecidos so ignorados at que voc remova um nmero suficiente de endereos MAC seguros ou aumente o nmero mximo de endereos permitidos. Nesse modo, voc notificado de que houve uma violao de segurana. Especificamente, uma interceptao SNMP enviada, uma mensagem syslog registrada em log e o contador de violao incrementado. desligamento: nesse modo, uma violao de segurana de porta faz com que a interface seja desabilitada para erro imediatamente e apaga o LED da porta. Ele tambm envia uma interceptao SNMP, registra em log uma mensagem syslog e incrementa o contador de violao. Quando uma porta segura estiver no estado desabilitado para erro, ser possvel tir-la desse estado, digitando-se os comandos de configurao da interface shutdown e no shutdown. Este o modo padro. Configurar segurana da porta Clique no boto Configurao padro na figura. As portas em um switch Cisco so pr-configuradas com padres. A figura resume a configurao da segurana de porta padro. Clique no boto Configurar segurana de porta dinmica na figura. A figura mostra os comandos CLI do Cisco IOS necessrios configurao da segurana de porta na porta Fast Ethernet F0/18 do switch S1. Observe que o exemplo no especifica um modo de violao. Neste exemplo, o modo de violao definido como shutdown. Clique no boto Configurar segurana de porta fixa na figura. A figura mostra os como habilitar a segurana de porta fixa na porta Fast Ethernet 0/18 do switch S1. Conforme dito antes, possvel configurar o nmero mximo de endereos MAC seguros. Neste exemplo, voc pode ver a sintaxe de comando do Cisco IOS usada para definir o nmero mximo de endereos MAC como 50. Por padro, o modo de violao definido como shutdown. H outras configuraes de segurana de porta que voc talvez considere teis. Para obter uma listagem completa das opes de configurao da segurana de porta Verificar segurana de porta Depois de configurar a segurana de porta para o seu switch, voc deseja verificar se ele foi configurado corretamente. Voc precisa verificar cada interface para ver se definiu a segurana de porta corretamente. Voc tambm precisa verificar para ter certeza de que configurou endereos MAC estticos corretamente. Verificar configuraes de segurana de porta Para exibir as configuraes de segurana de porta do switch ou da interface especificada, use o comando show port-security [interface interface-id]. A sada de comando exibe o seguinte: Nmero de endereos MAC seguros mximo permitido para cada interface Nmero de endereos MAC seguros na interface Nmero de violaes de segurana ocorridas

Modo de violao Verificar endereos MAC seguros Clique no boto Verificar endereos MAC seguros na figura. Para exibir todos os endereos MAC seguros configurados em todas as interfaces de switch em uma interface especificada com as informaes de tempo limite de cada uma, use o comando de endereo show port-security [interface interface-id]. Desabilitar portas no usadas Neste tpico, voc aprender a usar um comando simples do Cisco IOS para proteger as portas de switch no usadas. Um mtodo simples usado por muitos administradores para ajudar na proteo de sua rede contra o acesso no autorizado desabilitar todas as portas no usadas em um switch de rede. Por exemplo, imagine que um switch Cisco 2960 tenha 24 portas. Se houver trs conexes Fast Ethernet sendo usadas, a prtica recomendada de segurana exigir que voc desabilite as 21 portas no usadas. A figura mostra a sada de comando parcial dessa configurao. simples desabilitar vrias portas em um switch. Navegue at cada uma das portas no usadas e emita esse comando shutdown do Cisco IOS. Uma forma alternativa de desligar vrias portas usando o comando interface range. Se uma porta precisar ser ativada, ser possvel digitar o comando no shutdown nessa interface. O processo de habilitar e desabilitar portas pode se tornar uma tarefa entediante, mas o valor em termos de aprimoramento da segurana em sua rede vale bem o esforo. CAPITULO 3 Viso geral de VLAN A soluo para a universidade comunitria usar uma tecnologia chamada rede LAN virtual (VLAN). Uma VLAN permite a um administrador de rede criar grupos de dispositivos logicamente em rede que funcionam como se eles estivessem em sua prpria rede independente, mesmo se compartilharem uma mesma infra-estrutura com outras VLANs. Quando voc configura uma VLAN, possvel nome-la para descrever a funo primria dos usurios dessa VLAN. Como outro exemplo, todos os computadores dos alunos de uma escola podem ser configurados na VLAN "Aluno". Usando VLANs, possvel segmentar redes comutadas logicamente com base em funes, departamentos ou equipes de projeto. Tambm possvel usar uma VLAN para estruturar geograficamente a sua rede e suportar a crescente dependncia das empresas de funcionrios que trabalham em casa. Na figura, uma VLAN criada para alunos e outra, para os funcionrios. Essas VLANs permitem ao administrador de rede implementar polticas de acesso e de segurana a grupos especficos de usurios. Por exemplo, os funcionrios, e no os alunos, podem ter o acesso permitido a servidores de gerenciamento de e-learning para desenvolver materiais de curso on-line. Clique no boto Detalhes na figura. Detalhes de VLAN VLAN uma sub-rede IP separada logicamente. As VLANs permitem a existncia de vrias redes IP e sub-redes na mesma rede comutada. A figura mostra uma rede com trs computadores. Para que os computadores se comuniquem na mesma VLAN, cada um deve ter um endereo IP e uma

mscara de sub-rede correspondentes a essa VLAN. O switch precisa ser configurado com a VLAN e cada porta correspondente deve ser atribuda a essa VLAN. Uma porta de switch com uma nica VLAN configurada chamada de porta de acesso. Lembre-se: s porque dois computadores esto conectados fisicamente ao mesmo switch no significa que eles podem se comunicar. Os dispositivos separados por redes ou sub-redes devem se comunicar por meio de um roteador (Camada 3), independentemente das VLANs serem usadas ou no. Voc no precisa de VLANs para ter vrias redes e sub-redes em uma rede comutada, mas h vantagens definitivas em usar VLANs. Benefcios de uma VLAN A produtividade do usurio e a capacidade de adaptao da rede so os principais responsveis pelo crescimento e o sucesso dos negcios. Implementar a tecnologia VLAN permite a uma rede suportar metas comerciais com mais flexibilidade. Os benefcios primrios de usar VLANs so os seguintes: Segurana Grupos que tm dados confidenciais so separados do restante da rede, o que diminui as chances de violaes das informaes confidenciais. Os computadores dos funcionrios esto na VLAN 10, estando totalmente separados do trfego de dados dos alunos e dos convidados. Reduo de custo Economia de custos resultante da menor necessidade das atualizaes de rede caras e do uso mais eficiente da largura de banda e dos uplinks existentes. Desempenho mais alto Dividir as redes da Camada 2 simplesmente em vrios grupos de trabalho lgicos (domnios de broadcast) reduz um trfego desnecessrio na rede e aumenta o desempenho. Atenuao da tempestade de broadcast Dividir uma rede em VLANs reduz o nmero de dispositivos que podem participar de uma situao de descontrole por excesso de broadcast. Conforme abordado no captulo "Configurar um Switch", a segmentao de rede local impede uma situao de descontrole em uma rede devido a excesso de broadcast. Na figura, possvel ver que, embora haja seis computadores na rede, s h trs domnios de broadcast: Funcionrios, Aluno e Convidado. Maior eficincia do pessoal de TI VLANs simplificam o gerenciamento da rede porque os usurios com requisitos de rede semelhantes compartilham a mesma VLAN. Quando voc provisiona um novo switch, todas as polticas e procedimentos j configurados para a VLAN especfica so implementados quando as portas so atribudas. Tambm fcil para o pessoal de TI identificar a funo de uma VLAN, dando a ela um nome apropriado. Na figura, tendo em vista uma identificao mais simples, a VLAN 20 foi nomeada como "Aluno", a VLAN 10 poderia ser nomeada como "Funcionrios" e a VLAN 30, "Convidado". Projeto mais simples ou gerenciamento de aplicativo VLANs agregam usurios e dispositivos de rede para suportar requisitos de negcios ou geogrficos. Ter funes separadas simplifica o gerenciamento de um projeto ou o trabalho com um aplicativo especializado, por exemplo, uma plataforma de desenvolvimento de e-learning para os funcionrios. Tambm mais fcil determinar o escopo dos efeitos de atualizar os servios de rede. Intervalos de ID de VLAN As VLANs de acesso so divididas em um intervalo normal ou estendido. VLANs de intervalo normal Usadas em redes corporativas de pequeno e mdio porte. Identificadas por uma ID VLAN entre 1 e 1005. As IDs 1002 at 1005 so reservadas para VLANs Token Ring e FDDI. As IDs 1 e 1002 a 1005 so criadas automaticamente, no podendo ser removidas. Voc obter mais informaes sobre VLAN posteriormente neste captulo. As configuraes so armazenadas em um arquivo do banco de dados de VLAN, chamado vlan.dat.

O arquivo vlan.dat localizado na memria flash do switch. O protocolo de entroncamento VLAN (VTP), que ajuda a gerenciar configuraes de VLAN entre switches, s pode aprender VLANs de intervalo normal e as armazenar no arquivo de banco de dados da VLAN. VLANs de intervalo estendido Permite a operadoras estender sua infra-estrutura para um nmero maior de clientes. Algumas empresas globais podem ser grandes o bastante para precisar de IDs de VLAN de intervalo estendido. Elas so identificadas por uma ID VLAN entre 1006 e 4094. Elas suportam menos recursos VLAN que as VLANs de intervalo normal. Elas so salvas no arquivo de configurao de execuo. VTP no aprende VLANs de intervalo estendido. 255 VLANs configurveis Um switch Cisco Catalyst 2960 pode suportar at 255 VLANs de intervalos normal e estendido, muito embora o nmero configurado afete o desempenho do hardware de switch. Como uma rede corporativa pode precisar de um switch com muitas portas, a Cisco desenvolveu switches de nvel corporativo que podem ser agrupados ou empilhados para criar uma nica unidade de comutao consistindo em nove switches separados. Cada switch separado pode ter 48 portas, o que totaliza 432 portas em uma nica unidade de comutao. Nesse caso, o limite de 255 VLANs por um nico switch pode ser uma restrio para alguns clientes corporativos. Atualmente, h basicamente uma forma de implementar VLANs VLANs baseadas em porta. Uma VLAN baseada em porta associada a uma porta chamada de VLAN de acesso. No entanto, na rede h vrios termos para VLANs. Alguns termos definem o tipo de trfego da rede que eles transportam e outros definem uma funo especfica executada por uma VLAN. Isto descreve a terminologia VLAN comum: Passe o mouse sobre o boto VLAN de dados na figura. VLAN de dados Uma VLAN de dados uma VLAN configurada para transportar apenas o trfego gerado pelo usurio. Uma VLAN pode transportar o trfego baseado em voz ou o trfego usado para gerenciar o switch, mas esse trfego no faria parte de uma VLAN de dados. uma prtica comum para separar o trfego de voz e de gerenciamento do trfego de dados. A importncia de separar dados de usurio dos dados de controle de gerenciamento do switch e do trfego de voz realada pelo uso de um termo especial para identificar VLANs que s transportam dados de usurio uma "VLAN de dados". s vezes, uma VLAN de dados conhecida como VLAN de usurio. Passe o mouse sobre o boto VLAN padro na figura. VLAN padro Todas as portas de switch se tornam um membro da VLAN padro aps a inicializao do switch. Ter todas as portas de switch participando da VLAN padro torna essas portas parte do mesmo domnio de broadcast. Isso permite a qualquer dispositivo conectado a qualquer porta de switch se

comunicar com outros dispositivos em outras portas . A VLAN padro de switches Cisco VLAN 1. A VLAN 1 tem todos os recursos de qualquer VLAN, exceto por no ser possvel renome-la e exclu-la. Por padro, o trfego de controle da Camada 2, como CDP e o trfego de protocolo spanning tree, associado VLAN 1. Na figura, o trfego da VLAN encaminhado pelos troncos VLAN que conectam os switches S1, S2 e S3. Trata-se de uma prtica recomendada de segurana alterar a VLAN padro para uma VLAN diferente da VLAN 1; isso significa configurar todas as portas no switch a serem associadas a uma VLAN padro diferente da VLAN 1. Os troncos VLAN suportam a transmisso do trfego de mais de uma VLAN. Embora os troncos VLAN sejam mencionados ao longo desta seo, eles so explicados na prxima seo sobre o entroncamento VLAN. Nota: Alguns administradores de rede usam o termo "VLAN padro" para se referir a uma VLAN, diferenteda VLAN 1, definida pelo administrador de rede como a VLAN a que todas as portas so atribudas quando no esto em uso. Nesse caso, a nica funo que a VLAN 1 desempenha a de tratar o trfego de controle da Camada 2 da rede. Passe o mouse sobre o boto VLAN nativa na figura. VLAN nativa Uma VLAN nativa atribuda a uma porta de tronco 802.1Q. Uma porta de tronco 802.1Q oferece suporte ao trfego de muitas VLANs (trfego marcado), bem como tambm ao trfego que no vem de uma VLAN (trfego sem marcao). A porta de tronco 802.1Q posiciona o trfego sem marcao na VLAN nativa. Na figura, a VLAN nativa a VLAN 99. O trfego sem marcao gerado por um computador conectado a uma porta de switch configurada com a VLAN nativa. As VLANs nativas so definidas na especificao IEEE 802.1Q para manter a compatibilidade com verses anteriores com trfego sem marcao comum a cenrios de rede local antigos. Tendo em vista as nossas finalidades, uma VLAN nativa serve como um identificador comum em extremidades opostas de um link de tronco. uma prtica recomendada usar uma VLAN diferente da VLAN 1 como a VLAN nativa. Passe o mouse sobre o boto VLAN de gerenciamento na figura. VLAN de gerenciamento VLAN de gerenciamento uma VLAN configurada para acessar os recursos de gerenciamento de um switch. A VLAN 1 serviria como a VLAN de gerenciamento se voc no tivesse definido alguma outra para este propsito. Voc atribui VLAN de gerenciamento um endereo IP e uma mscara de sub-rede. Um switch pode ser gerenciado por HTTP, Telnet, SSH ou SNMP. Pelo fato de a VLAN 1 ser a padro para gerenciamento do switch, ela no a melhor opo em funo de possibilitar a um usurio arbitrrio se conectar ao switch para usar o gerenciamento . Lembre-se de que voc configurou a VLAN de gerenciamento como VLAN 99 no captulo Configurao e Conceitos Bsicos de Switch. Na prxima pgina, exploraremos outro tipo VLAN : VLANs de voz. VLANs de voz fcil perceber por que uma VLAN separada necessria para suportar Voz sobre IP (VoIP). Imagine que voc esteja recebendo uma chamada de emergncia e, de repente, a qualidade da transmisso cai tanto que no possvel compreender o que est sendo dito. O trfego VoIP exige: Largura de banda assegurada para garantir qualidade de voz

Prioridade de transmisso sobre outros tipos de trfego da rede Capacidade de roteamento em reas congestionadas na rede Atraso inferior a 150 milissegundos (ms) atravs da rede Para atender a esses requisitos, toda a rede precisa ser projetada para suportar VoIP. Os detalhes de como configurar uma rede para suportar VoIP esto alm do escopo do curso, mas til resumir como uma VLAN de voz funciona entre um switch, um telefone IP Cisco e um computador. Na figura, a VLAN 150 foi projetada para transportar trfego de voz. O computador de aluno PC5 acoplado ao telefone IP Cisco, e o telefone acoplado ao switch S3. PC5 est na VLAN 20, usada para obter dados do aluno. A porta F0/18 em S3 configurada para estar no modo de voz para que informe ao telefone para marcar quadros de voz com VLAN 150. As estruturas de dados provenientes de PC5 e que passam pelo telefone IP Cisco permanecem sem marcao. Dados com destino a PC5 provenientes da porta F0/18 so marcados com VLAN 20 a caminho do telefone, o que tira a marca de VLAN antes dos dados serem encaminhados para PC5. Marcao de quadros se refere adio de bytes a um campo na estrutura de dados, usada pelo switch para identificar a qual VLAN a estrutura de dados deve ser enviada. Voc obter informaes posteriormente sobre como as estruturas de dados so marcadas. Clique no boto Detalhes na figura. Telefone Cisco um switch O telefone IP Cisco contm um switch integrado de trs portas 10/100 conforme mostrado na Figura. As portas fornecem conexes dedicadas a esses dispositivos: A porta 1 se conecta ao switch ou a outro dispositivo voz sobre IP (VoIP). A porta 2 uma interface 10/100 interna que transporta o trfego do telefone IP. A porta 3 (porta de acesso) se conecta a um PC ou a outro dispositivo. A figura mostra uma forma de conectar um telefone IP. O recurso da VLAN de voz permite a portas de switch transportar trfego de voz IP de um telefone IP. Quando o switch conectado a um telefone IP, o switch envia mensagens que instruem o telefone IP conectado a enviar trfego de voz marcado com a ID VLAN de voz 150. O trfego do PC acoplado ao telefone IP passa pelo telefone IP sem marcao. Quando a porta de switch for configurada com uma VLAN de voz, o link entre o switch e o telefone IP funcionar como um tronco para transportar o trfego de voz marcado e o trfego de dados sem marcao. Nota: A comunicao entre o switch e o telefone IP facilitada pelo protocolo CDP. Esse protocolo abordado com mais detalhes no curso CCNA Exploration: Protocolos e Conceitos de Roteamento. Clique no boto Exemplo de configurao na figura. Exemplo de configurao A figura mostra um exemplo. Uma discusso dos comandos do Cisco IOS est alm do escopo deste curso, mas possvel ver que as reas realadas no exemplo mostram a interface F0/18 configurada com uma VLAN de dados (VLAN 20) e uma VLAN configurada para voz (VLAN 150).

Tipos de trfego da rede Em CCNA Exploration: Fundamentos de Rede, voc aprendeu os diferentes tipos de trfego tratados por uma rede local. Como uma VLAN tem todas as caractersticas de uma rede local, ela deve acomodar o mesmo trfego de uma LAN. Gerenciamento de rede e trfego de controle Muitos tipos diferentes de gerenciamento de rede e trfego de controle podem estar presentes na rede, como atualizaes Cisco Discovery Protocol (CDP), protocolo de gerenciamento de rede comum (SNMP) e trfego de Monitoramento Remoto (RMON). Passe o mouse sobre o boto Gerenciamento de rede na figura. Telefonia IP Os tipos de trfego de telefonia IP so trfegos de sinalizao e de voz. O trfego de sinalizao responsvel pela configurao da chamada, pelo progresso e pelo encerramento, passando de uma extremidade da rede outra. O outro tipo de trfego de telefonia consiste em pacotes de dados de voz . Como voc acabou de aprender, em uma rede configurada com VLANs, altamente recomendvel atribuir o gerenciamento a uma VLAN diferente da VLAN 1. O trfego de dados deve ser associado a uma VLAN de dados (diferente da VLAN 1) e o trfego de voz, associado a uma VLAN de voz. Passe o mouse sobre o boto Telefonia IP na figura. Multicast IP O trfego multicast IP enviado de um endereo de origem especfico para um grupo multicast identificado por um nico IP e um par de endereos do grupo de destino MAC. Exemplos de aplicativos que geram esse tipo de trfego so as broadcasts IP/TV Cisco. O trfego de multicast pode gerar uma grande quantidade de dados que passam atravs da rede. Quando a rede precisa suportar trfego de multicast, as VLANs devem ser configuradas para assegurar que o trfego de multicast s v para esses dispositivos de usurio que usam o servio fornecido, como aplicativos de vdeo ou de udio remotos. Os roteadores devem ser configurados para assegurar que o trfego de multicast seja encaminhado para as reas da rede onde solicitado. Passe o mouse sobre o boto Multicast IP na figura. Dados normais O trfego de dados normal est relacionado criao e ao armazenamento de arquivo, aos servios de impresso, ao acesso a banco de dados de email e a outros aplicativos de rede compartilhada comuns a usos comerciais. As VLANs so uma soluo natural para esse tipo de trfego porque possvel segmentar usurios por suas funes ou reas geogrficas para gerenciar suas necessidades especficas mais facilmente. Passe o mouse sobre o boto Dados normais na figura. Classe de aproveitamento A classe de aproveitamento deve fornecer servios inferiores ao melhor esforo para determinados

aplicativos. Os aplicativos atribudos a essa classe do pouca ou nenhuma contribuio para os objetivos organizacionais da empresa, sendo normalmente orientados ao entretenimento por natureza. Entre eles esto aplicativos de compartilhamento de mdia ponto-a-ponto (KaZaa, Morpheus, Groekster, Napster, iMesh etc.), jogos (Doom, Quake, Unreal Tournament etc.) e qualquer aplicativo de vdeo de entretenimento. Portas de switch As portas de switch so interfaces apenas da Camada 2 associadas a uma porta fsica. As portas de switch so usadas para gerenciar a interface fsica e os protocolos associados da Camada 2. Elas no tratam roteamento ou bridging. As portas de switch pertencem a uma ou mais VLANs. Modos de porta de switch VLAN Ao configurar uma VLAN, voc deve atribuir a ela uma ID numrica, podendo tambm dar-lhe um nome. A finalidade das implementaes VLAN associar criteriosamente portas com VLANs especficas. Voc configura a porta para encaminhar um quadro para uma VLAN especfica. Conforme mencionado anteriormente, possvel configurar uma VLAN no modo de voz para suportar o trfego de voz e de dados proveniente de um telefone IP Cisco. possvel configurar uma porta para pertencer a uma VLAN, atribuindo um modo de associao que especifica o tipo de trfego transportado pela porta e as VLANs s quais ela pode pertencer. Uma porta pode ser configurada para suportar estes tipos de VLAN: VLAN esttica As portas em um switch so atribudas manualmente a uma VLAN. As VLANs estticas so configuradas usando a CLI Cisco. Isso tambm pode ser realizado com aplicativos de gerenciamento de interface grfica do usurio, como o Cisco Network Assistant . No entanto, um recurso prtico da CLI que se voc atribuir uma interface a uma VLAN que no existe, a nova VLAN ser criada para voc. Para ver um exemplo de configurao VLAN esttica, clique no boto Exemplo de modo esttico na figura. Quando terminar, clique no boto Modos de porta na figura. Esta configurao no ser examinada em detalhes agora. Voc ver essa configurao posteriormente no captulo. VLAN dinmica Este modo no amplamente usado em redes de produo, no sendo explorado neste curso. No entanto, til saber o que uma VLAN dinmica. Uma associao VLAN de porta dinmica configurada usando um servidor especial chamado VLAN Membership Policy Server (VMPS). Com o VMPS, voc atribui portas de switch a VLANs dinamicamente, com base no endereo MAC de origem do dispositivo conectado porta. O benefcio vem quando voc move um host entre portas e switches na rede; o switch atribui dinamicamente a nova porta VLAN correta para esse host. VLAN de voz Uma porta configurada para estar no modo de voz para que seja capaz de suportar um telefone IP acoplado. Antes de configurar uma VLAN de voz na porta, voc primeiro precisa configurar uma VLAN para voz e uma VLAN para dados. Na figura, a VLAN 150 a VLAN de voz e a VLAN 20 a VLAN de dados. Supe-se que a rede tenha sido configurada para assegurar que o trfego de voz pudesse ser transmitido com um status de prioridade sobre outros. Quando um telefone conectado pela primeira vez a uma porta de switch que est no modo de voz, a porta de switch envia mensagens para o telefone, fornecendo a ele a ID da VLAN de voz e a configurao apropriadas. O telefone IP marca as estruturas de voz com a ID da VLAN de voz e encaminha todo o trfego por essa VLAN especfica. Para examinar partes de uma configurao no modo de voz, clique no boto Exemplo do modo de voz na figura: O comando de configurao mls qos trust cos assegura que o trfego de voz seja identificado como

trfego de prioridade. Lembre-se de que toda a rede deve ser configurada para priorizar o trfego de voz. No possvel configurar a porta apenas com esse comando. O comando switchport voice vlan 150 identifica a VLAN 150 como a VLAN de voz. possvel observar isso na captura na parte inferior da tela: Voice VLAN: 150 (VLAN0150). O comando switchport access vlan 20 configura a VLAN 20 como a VLAN do modo de acesso (dados). possvel observar isso na captura na parte inferior da tela: Access Mode VLAN: 20 (VLAN0020). Redes sem VLANS Em operao normal, quando um switch recebe um quadro de broadcast em uma das portas, ele encaminha o quadro por todas as demais portas no switch. Na figura, toda a rede est configurada na mesma sub-rede, 172.17.40.0/24. Dessa forma, quando o computador dos funcionrios, PC1, envia um quadro de broadcast, o switch S2 envia esse quadro por todas as suas portas. Toda a rede acaba recebendo-o; a rede um domnio de broadcast. Clique no boto Broadcasts de rede com segmentao por VLAN na figura. Rede com VLANs Na figura, a rede foi segmentada em duas VLANs: Funcionrios como VLAN 10 e Aluno como VLAN 20. Quando o quadro de broadcast enviado do computador dos funcionrios, PC1, para o switch S2, o switch s encaminha esse quadro de broadcast para essas portas de switch configuradas para suportar VLAN 10. Na figura, as portas que formam a conexo entre switches S2 e S1 (a porta F0/1) e entre S1 e S3 (a porta F0/3) foram configuradas para suportar todas as VLANs na rede. Essa conexo chamada de tronco. Voc obter mais informaes sobre troncos posteriormente neste captulo. Quando S1 recebe o quadro de broadcast na porta F0/1, S1 encaminha esse quadro de broadcast pela nica porta configurada para suportar VLAN 10, a porta F0/3. Quando S3 recebe o quadro de broadcast na porta F0/3, ele encaminha esse quadro de broadcast pela nica porta configurada para suportar VLAN 10, a porta F0/11. O quadro de broadcast chega ao nico computador na rede configurado na VLAN 10, o computador dos funcionrios PC4. Quando as VLANs so implementadas em um switch, a transmisso de trfego unicast, multicast e broadcast de um host em uma VLAN especfica restringida aos dispositivos que esto na VLAN. Controlando domnios de broadcast com switches e roteadores Dividir um grande domnio de broadcast em vrios menores reduz o trfego de broadcast e melhora o desempenho da rede. Dividir domnios em VLANs tambm permite maior confidencialidade das informaes em uma organizao. A diviso de domnios de broadcast pode ser feita com VLANs (em switches) ou com roteadores. Um roteador necessrio sempre que dispositivos em redes da Camada 3 diferentes precisarem se comunicar, independentemente de serem usadas VLANs. Clique no boto Comunicao intra-VLAN e clique no boto Reproduzir para iniciar a animao. Comunicao intra-VLAN Na figura, PC1, deseja se comunicar com outro dispositivo, PC4. PC1 e PC4 esto ambos na VLAN 10. A comunicao com um dispositivo na mesma VLAN chamada de comunicao intra-VLAN. Isto descreve como este processo realizado:

Etapa 1. PC1 na VLAN 10 envia seu quadro de solicitao ARP (broadcast) para o switch S2. Os switches S2 e S1 enviam o quadro de solicitao ARP por todas as portas na VLAN 10. O switch S3 envia a solicitao ARP pela porta F0/11 para PC4 na VLAN 10. Etapa 2. Os switches na rede encaminham o quadro de resposta ARP (unicast) para PC1. PC1 recebe a resposta que contm o endereo MAC de PC4. Etapa 3. PC1 agora tem o endereo MAC de PC4 e o usa para criar um quadro unicast com o endereo MAC de PC4 como o destino. Os switches S2, S1 e S3 entregam o quadro para PC4. Clique no boto Comunicao entre VLANs e clique no boto Reproduzir para iniciar a animao. Comunicao entre VLANs Na figura, PC1 na VLAN 10 deseja se comunicar com PC5 na VLAN 20. A comunicao com um dispositivo em outra VLAN chamada de comunicao entre VLANs. Nota: H duas conexes do switch S1 com o roteador: uma para transportar transmisses na VLAN 10 e outra para transportar transmisses na VLAN 20 para a interface do roteador. Isto descreve como este processo realizado: Etapa 1. PC1 na VLAN 10 deseja se comunicar com PC5 na VLAN 20. PC1 envia um quadro de solicitao ARP para o endereo MAC do gateway padro R1. Etapa 2. O roteador R1 responde com um quadro de resposta ARP da sua interface configurada na VLAN 10. Todos os switches encaminham o quadro de resposta ARP e PC1 o recebe. A resposta ARP contm o endereo MAC do gateway padro. Etapa 3. PC1 cria um quadro Ethernet com o endereo MAC do gateway padro. O quadro enviado do switch S2 para S1. Etapa 4. O roteador R1 envia um quadro de solicitao ARP na VLAN 20 para determinar o endereo MAC de PC5. Os switches S1, S2 e S3 difundem o quadro de solicitao ARP pelas portas configuradas para a VLAN 20. PC5 na VLAN 20 recebe o quadro de solicitao ARP do roteador R1. Etapa 5. PC5 na VLAN 20 envia um quadro de resposta ARP para o switch S3. Os switches S3 e S1 encaminham o quadro de resposta ARP para o roteador R1 com o endereo MAC de destino da interface F0/2 no roteador R1. Etapa 6. Roteador R1 envia o quadro recebido de PC1 por S1 e S3 para PC5 (na VLAN 20). Controlando domnios de broadcast com VLANs e encaminhamento da Camada 3 No captulo anterior, voc obteve informaes sobre algumas das diferenas entre os switches das camadas 2 e 3. A figura mostra o switch Catalyst 3750G-24PS, um dos muitos switches Cisco que suportam o roteamento da Camada 3. O cone que representa um switch da Camada 3 mostrado. Uma discusso da comutao da Camada 3 est alm do escopo deste curso, mas uma breve descrio da tecnologia interface virtual de switch (SVI) que permite a um switch da Camada 3 rotear transmisses entre VLANs til.

SVI SVI uma interface lgica configurada para uma VLAN especfica. Voc precisar configurar uma SVI para uma VLAN, se quiser rotear entre VLANs ou fornecer conectividade de host IP ao switch. Por padro, uma SVI criada para a VLAN padro (VLAN 1) a fim de permitir uma administrao de switch remota. Clique no boto de Exemplo de encaminhamento da camada 3 na figura para ver uma animao que apresenta uma representao simplificada de como um switch da Camada 3 controla domnios de broadcast. Encaminhamento da camada 3 Um switch da Camada 3 tem a capacidade de rotear transmisses entre VLANs. O procedimento o mesmo descrito para a comunicao entre VLANs que usa um roteador separado, exceto pelas SVIs funcionarem como as interfaces do roteador para rotear os dados entre VLANs. Esta animao descreve esse processo. Na animao, PC1 deseja se comunicar com PC5. As seguintes etapas descrevem a comunicao pelo switch S1 da Camada 3: Etapa 1. PC1 envia uma broadcast de solicitao ARP na VLAN 10. S2 encaminha a solicitao ARP por todas as portas configuradas para a VLAN 10. Etapa 2. O switch S1 encaminha a solicitao ARP por todas as portas configuradas para a VLAN 10, inclusive a SVI da VLAN 10. O switch S3 encaminha a solicitao ARP por todas as portas configuradas para a VLAN 10. Etapa 3. A SVI da VLAN 10 no switch S1 conhece o local da VLAN 20. A SVI da VLAN 10 no switch S1 retorna uma resposta ARP para PC1 com essas informaes. Etapa 4. PC1 envia dados, com destino ao PC5, como um quadro unicast pelo switch S2 para a SVI da VLAN 10 no switch S1. Etapa 5. A SVI da VLAN 20 envia uma broadcast de solicitao ARP por todas as portas de switch configuradas para a VLAN 20. O switch S3 envia essa broadcast de solicitao ARP por todas as portas de switch configuradas para a VLAN 20. Etapa 6. PC5 na VLAN 20 envia um quadro de resposta ARP. O switch S3 envia essa resposta ARP para S1. O switch S1 encaminha a resposta ARP SVI da VLAN 20. Etapa 7. A SVI da VLAN 20 encaminha os dados, enviados de PC1, em um quadro unicast para PC5, usando o endereo de destino aprendido com a resposta ARP na etapa 6. O que um tronco? difcil descrever VLANs sem mencionar os troncos de VLAN. Voc obteve informaes sobre como controlar broadcasts de rede com segmentao VLAN e viu como os troncos VLAN transmitiram trfego para partes diferentes da rede configurada em uma VLAN. Na figura, os links entre os switches S1 e S2 e S1 e S3 so configurados para transmitir trfego proveniente das VLANs 10, 20, 30 e 99. Essa rede simplesmente no funcionaria sem troncos de VLAN. Voc ver que a maioria das redes encontradas configurada com troncos de VLAN. Esta seo rene o

conhecimento que voc j tem do entroncamento VLAN e fornece os detalhes para que voc seja capaz de configurar o entroncamento VLAN em uma rede. Definio de um tronco de VLAN Tronco um link ponto-a-ponto entre dois dispositivos de rede que transporta mais de uma VLAN. Um tronco de VLAN permite estender as VLANs atravs de uma rede inteira. A Cisco suporta IEEE 802.1Q para coordenar troncos em interfaces Fast Ethernet e Gigabit Ethernet. Voc obter mais informaes sobre 802.1Q posteriormente nesta seo. Um tronco de VLAN no pertence a uma VLAN especfica, sendo mais um canal para VLANs entre switches e roteadores. Que problema um tronco resolve? Na figura, voc v a topologia padro usada neste captulo, mas em vez do tronco de VLAN que voc est acostumado a ver entre os switches S1 e S2, h um link separado para cada sub-rede. H quatro links separados conectando os switches S1 e S2, deixando trs portas menos a serem alocadas a dispositivos de usurio final. Sempre que uma nova sub-rede considerada, um novo link necessrio para cada switch na rede. Clique no boto Com troncos de VLAN na figura. Na figura, a topologia de rede mostra um tronco de VLAN conectando switches S1 e S2 com um nico link fsico. Essa a forma que uma rede deve ser configurada. Quadro 802.1Q marcado Lembre-se de que switches so dispositivos da Camada 2. Eles s usam as informaes de cabealho do quadro Ethernet para encaminhar pacotes. O cabealho do quadro no contm informaes sobre a que VLAN o quadro deve pertencer. Logo, quando os quadros Ethernet so colocados em um tronco, eles precisam de informaes adicionais sobre as VLANs a que pertencem. Isso feito usando-se o cabealho de encapsulamento 802.1Q. Esse cabealho adiciona uma etiqueta ao quadro Ethernet original, especificando a VLAN a que o quadro pertence. A marcao de quadros foi mencionada vrias vezes. A primeira vez foi em referncia configurao do modo de voz em uma porta de switch. L voc aprendeu que uma vez configurado, um telefone Cisco (que inclui um switch pequeno) marca quadros de voz com uma ID de VLAN. Voc tambm aprendeu que as IDs de VLAN podem estar em um intervalo normal, 1-1005 e em um intervalo estendido, 1006-4094. Como as IDs de VLAN so inseridas em um quadro? Viso geral do quadro de marcao de VLAN Antes de explorar os detalhes de um quadro 802.1Q, til compreender o que um switch faz quando encaminha um quadro por um link de tronco. Quando o switch recebe um quadro em uma porta configurada no modo de acesso com uma VLAN esttica, ele retira o quadro e insere uma etiqueta VLAN, recalcula a FCS e envia o quadro etiquetado por uma porta do tronco. Nota: Uma animao da operao de entroncamento ser apresentada posteriormente nesta seo. Detalhes do campo de marcao de VLAN O campo de marcao de VLAN consiste em um campo EtherType, um campo de informaes do controle da marca e o campo FCS.

Campo EtherType Define como o valor hexadecimal 0x8100. Esse valor chamado de tag protocol ID (TPID). Com o campo EtherType definido como o valor TPID, o switch que recebe o quadro sabe procurar informaes no campo correto de controle de marcao. Campo de informaes de controle da marcao O campo de informaes de controle da marcao contm: 3 bits de prioridade do usurio Usados pelo padro 802.1p, que especifica como fornecer a transmisso dos quadros da Camada 2. Uma descrio do IEEE 802.1p est alm do escopo deste curso. No entanto, voc aprendeu um pouco sobre ele anteriormente, na discusso sobre VLANs de voz. 1 bit de Identificador de formato cannico (CFI) Permite que quadros Token Ring sejam transportados por links Ethernet facilmente. 12 bits da ID de VLAN (VID) Nmeros de identificao da VLAN; suporta at 4096 IDs de VLAN. Campo FCS Depois que o switch insere os campos de EtherType e de informaes de controle da marcao, ele recalcula os valores da FCS e os insere no quadro. VLANs nativas e entroncamento 802.1Q Agora que voc sabe mais sobre como um switch marca um quadro com a VLAN correta, est na hora de explorar como a VLAN nativa suporta o switch ao tratar quadros com e sem etiqueta que chegam em uma porta de tronco 802.1Q. Quadros com marcao na VLAN nativa Alguns dispositivos que suportam o entroncamento marcam o trfego VLAN como comportamento padro. O trfego de controle enviado na VLAN nativa deve estar sem marcao. Se uma porta de tronco 802.1Q recebe um quadro marcado na VLAN nativa, ela o descarta. Dessa forma, ao configurar uma porta em um switch Cisco, voc precisa identificar esses dispositivos e os configurar de forma que eles no enviem quadros marcados na VLAN nativa. Entre os dispositivos de outros fornecedores que suportam quadros marcados na VLAN nativa esto telefones IP, servidores, roteadores e switches que no so Cisco. Quadros sem marcao na VLAN nativa Quando uma porta de tronco do switch Cisco recebe quadros sem marcao, ela encaminha esses quadros para a VLAN nativa. Como voc deve se lembrar, a VLAN nativa padro VLAN 1. Quando voc configura uma porta de tronco 802.1Q, uma ID de VLAN de porta padro (PVID) recebe o valor da ID de VLAN nativa. Todo o trfego sem marcao que chega ou sai da porta 802.1Q encaminhado com base no valor PVID. Por exemplo, se a VLAN 99 for configurada como a VLAN nativa, a PVID ser 99 e todo o trfego sem marcao ser encaminhado para a VLAN 99. Se a VLAN nativa no foi reconfigurada, o valor PVID ser definido como sendo a VLAN 1.

Clique no boto Exemplo de configurao da VLAN nativa na figura. Neste exemplo, a VLAN 99 ser configurada como a VLAN nativa na porta F0/1 no switch S1. Este exemplo mostra como reconfigurar a VLAN nativa usando sua configurao padro de VLAN 1. Comeando no modo EXEC privilegiado, a figura descreve como configurar a VLAN nativa na porta F0/1 do switch S1 como um tronco IEEE 802.1Q com a VLAN 99 nativa. Usando o comando show interfaces interface-id switchport, possvel verificar rapidamente se voc reconfigurou corretamente a VLAN nativa de VLAN 1 para VLAN 99. A sada de dados realada na captura de tela indica que a configurao foi bem-sucedida. Um tronco em ao Voc aprendeu como um switch trata o trfego sem marcao em um link de tronco. Agora voc sabe que os quadros que passam por um tronco so marcados com a ID de VLAN da porta de acesso em que o quadro recebido. Na figura, PC1 na VLAN 10 e PC3 na VLAN 30 enviam quadros de broadcast para o switch S2. O switch S2 marca esses quadros com a ID de VLAN apropriada e encaminha os quadros pelo tronco para o switch S1. O switch S1 l a ID de VLAN nos quadros e os transmite para todas as portas configuradas para suportar VLAN 10 e VLAN 30. O switch S3 recebe esses quadros, retira as IDs de VLAN e os encaminha como quadros sem marcao para PC4 na VLAN 10 e PC6 na VLAN 30. Voc aprendeu como o entroncamento 802.1Q funciona em portas de switch Cisco. Agora hora de examinar as opes de configurao do modo de porta de tronco 802.1Q. Primeiro, precisamos abordar um protocolo de entroncamento legado da Cisco, link entre switches (ISL, inter-switch link), porque voc ver essa opo nos guias de configurao do software do switch. IEEE, no ISL Embora um switch Cisco possa ser configurado para suportar dois tipos de portas de tronco, IEEE 802.1Q e ISL, hoje apenas 802.1Q usado. No entanto, redes antigas ainda podem usar ISL, sendo til obter informaes sobre cada tipo de porta de tronco. Uma porta de tronco IEEE 802.1Q suporta trfego com e sem marcao simultaneamente. Uma porta de tronco 802.1Q recebe um PVID padro, e todo o trfego sem marcao percorre no PVID padro de porta. Pressupe-se que todo o trfego com e sem marcao com uma ID de VLAN nula pertena ao PVID padro de porta. Um pacote com uma ID de VLAN igual ao PVID padro de porta de sada enviado sem marcao. Todo o trfego restante enviado com uma marcao de VLAN. Em uma porta de tronco ISL, todos os pacotes recebidos devem ser encapsulados com um cabealho ISL e todos os pacotes transmitidos so enviados com um cabealho ISL. Os quadros nativos (sem etiqueta) recebidos de uma porta de tronco ISL so descartados. ISL deixa de ser um modo de porta de tronco recomendado, no sendo suportado em vrios switches Cisco. DTP O Protocolo de entroncamento dinmico (DTP, Dynamic Trunking Protocol) um protocolo prprio da Cisco. Os switches de outros fornecedores no suportam DTP. DTP habilitado automaticamente em uma porta de switch quando determinados modos de entroncamento so configurados na porta de switch. O DTP s gerenciar a negociao de tronco se a porta no outro switch estiver configurada em um

modo de tronco que suporte DTP. DTP suporta troncos ISL e 802.1Q. Este curso se concentra na implementao 802.1Q do DTP. Uma discusso detalhada do DTP est alm do escopo deste curso. No entanto, voc o habilitar nos laboratrios e em atividades associadas ao captulo. Os switches no precisam de DTP para fazer o entroncamento e alguns switches e roteadores Cisco no suportam DTP. Para obter informaes sobre o suporte DTP em switches Cisco, visite: http://www.cisco.com/en/US/tech/tk389/tk689/technologies_tech_note09186a008017f86a.shtml (em ingls). Modos de entroncamento Uma porta de switch em switch Cisco suporta vrios modos de entroncamento. O modo de entroncamento define como a porta negociada usando DTP para configurar um link de tronco com sua porta de mesmo nvel. Aqui est uma breve descrio dos modos de entroncamento disponveis e como o DTP implementado em cada um deles. Ativado (padro) A porta de switch envia periodicamente quadros DTP, chamados de anncios, para a porta remota. O comando usado switchport mode trunk. A porta de switch local anuncia para a porta remota que est mudando dinamicamente para um estado de entroncamento. Em seguida, a porta local, independentemente das informaes DTP que a porta remota envia como uma resposta ao anncio, muda para um estado de entroncamento. A porta local considerada em estado de entroncamento incondicional (sempre ativada). Dinmico automtico A porta de switch envia periodicamente quadros DTP para a porta remota. O comando usado switchport mode dynamic auto. A porta de switch local anuncia para a porta de switch remota que capaz de entroncar, mas no solicita a passagem para o estado de entroncamento. Depois de uma negociao DTP, a porta local s acabaria no estado de entroncamento se o modo e tronco da porta remota fosse configurado como ativo ou desejvel (desirable). Se ambas as portas nos switches forem definidas como auto, elas no negociaro para estar em um estado de entroncamento. Elas negociam para estar no estado do modo de acesso (no-tronco). Dinmico desejvel Os quadros DTP so enviados periodicamente para a porta remota. O comando usado switchport mode dynamic desirable. A porta de switch local anuncia para a porta de switch remota que capaz de entroncar e solicita porta de switch remota a passagem para o estado de entroncamento. Se a porta local detectar que a remota foi configurada como ativada, desejvel (desirable) ou no modo automtico, a porta local acabar no estado de entroncamento. Se a porta de switch remota estiver no modo de no-negociao, a porta de switch permanecer como uma porta de no-entroncamento. Desativar DTP possvel desativar o DTP para o tronco de forma que a porta local no envie quadros DTP para a porta remota. Use o comando switchport nonegotiate. Dessa forma, a porta local considerada em estado de entroncamento incondicional. Use esse recurso quando voc precisar configurar um tronco com um switch de outro fornecedor. Um exemplo do modo de tronco

Na figura, as portas F0/1 nos switches S1 e S2 so configuradas com o modo de tronco ativado. As portas F0/3 nos switches S1 e S3 so configuradas no modo de tronco automtico. Quando as configuraes de switch forem concludas e os switches estiverem totalmente configurados, qual link ser um tronco? Clique no boto Qual link ser configurado como um tronco? na figura. O link entre os switches S1 e S2 se torna um tronco porque as portas F0/1 nos switches S1 e S2 so configuradas para ignorar todos os anncios DTP e surgem e permanecem no modo de porta do tronco. Como as portas F0/3 nos switches S1 e S3 so definidas como automticas, elas negociam para permanecer no estado padro, o estado do modo de acesso (no-tronco). Isso resulta em um link de tronco inativo. Quando voc configura uma porta de tronco para permanecer no modo de tronco, no h nenhuma ambigidade quanto a que estado o tronco est sempre ativado. Tambm fcil se lembrar de qual estado as portas esto caso a porta seja um tronco e o modo de tronco esteja ativado. Nota: O modo de porta de switch padro para uma interface em um switch Catalyst 2950 dinmico desejvel (dynamic desirable), mas o modo de porta de switch padro para uma interface em um switch Catalyst 2960 dinmico automtico. Se S1 e S3 fossem switches Catalyst 2950 com uma interface F0/3 no modo de porta de switch padro, o link entre S1 e S3 se tornaria um tronco ativo. Adicionar uma VLAN Neste tpico, voc aprender como criar uma VLAN esttica em um switch Cisco Catalyst que usa o modo de configurao global de VLAN. H dois modos diferentes de configurar VLANs em um switch Cisco Catalyst: modo de configurao de banco de dados e modo de configurao global. Embora a documentao Cisco mencione o modo de configurao de banco de dados, ele est sendo substitudo pelo modo de configurao global de VLAN. Voc configurar VLANs com IDs no intervalo normal. Lembre-se de que h dois intervalos de IDs de VLAN. O intervalo normal inclui IDs de 1 a 1001 e o intervalo estendido consiste em IDs de 1006 a 4094. A VLAN 1 e de 1002 a 1005 so nmeros de ID reservados. Quando voc configura VLANs de intervalo normal, os detalhes da configurao so armazenados automaticamente na memria flash no switch em um arquivo chamado vlan.dat. Como voc sempre configura outros aspectos de um switch Cisco ao mesmo tempo, trata-se de uma prtica recomendada salvar alteraes feitas na configurao corrente para a NVRAM. Clique no boto Sintaxe de comando na figura. A figura mostra os comandos do Cisco IOS usados para adicionar uma VLAN a um switch. Clique no boto Exemplo na figura. A figura mostra como a VLAN de aluno, VLAN 20, configurada no switch S1. No exemplo de topologia, o computador do aluno, PC2, ainda no est em uma VLAN, mas tem um endereo IP 172.17.20.22. Clique no boto Verificao na figura. A figura mostra um exemplo de uso do comando show vlan brief para exibir o contedo do arquivo vlan.dat. A VLAN do aluno, VLAN 20, realada na captura de tela. As IDs de VLAN padro 1 e de 1002 a 1005 so mostradas na sada de dados da tela.

Nota: Alm de inserir uma nica ID de VLAN, possvel inserir uma srie de IDs de VLAN separadas por vrgulas, ou um intervalo de IDs de VLAN separadas por hfens usando o comando vlan vlan-id, por exemplo: switch(config)#vlan 100,102,105-107. Atribuir uma porta de switch Depois de criar uma VLAN, atribua uma ou mais portas VLAN. Quando voc atribui manualmente uma porta de switch a uma VLAN, isso conhecido como uma porta de acesso esttico. Uma porta de acesso esttico pode pertencer a apenas uma VLAN por vez. Clique no boto Sintaxe de comando na figura para revisar os comandos do Cisco IOS usados para atribuir uma porta de acesso esttico VLAN. Clique no boto Exemplo na figura para ver como a VLAN de aluno, VLAN 20, atribuda estaticamente porta F0/18 no switch S1. Como a porta F0/18 foi atribuda VLAN 20, o computador de aluno, PC2, est na VLAN 20. Quando a VLAN 20 configurada em outros switches, o administrador de rede deve configurar os outros computadores de aluno para que eles estejam na mesma sub-rede do PC2: 172.17.20.0 /24. Clique no boto Verificao na figura para confirmar se o comando show vlan brief exibe o contedo do arquivo vlan.dat. A VLAN do aluno, VLAN 20, realada na captura de tela. Verificar VLANs e associaes de porta Depois de configurar a VLAN, possvel validar as configuraes de VLAN usando os comandos show do Cisco IOS. Clique no boto Sintaxe de comando na figura. A sintaxe de vrios comandos show do Cisco IOS deve ser bem conhecida. Voc j usou o comando show vlan brief. Exemplos desses comandos podem ser vistos clicando-se nos botes na figura. Clique no boto Mostrar VLAN na figura. Neste exemplo, possvel ver que o comando show vlan name student no produz uma sada de dados muito legvel. A preferncia aqui usar o comando show vlan brief. O comando show vlan summary exibe a contagem de todas as VLANs configuradas. A sada de dados mostra seis VLANs: 1, 1002-1005 e a VLAN do aluno, VLAN 20. Clique no boto interfaces de VLAN na figura. Esse comando exibe muitos detalhes que esto alm do escopo deste captulo. As principais informaes so exibidas na segunda linha da captura de tela, indicando que a VLAN 20 est ativa. Clique no boto Interfaces Switchport na figura. Esse comando exibe informaes que so teis para voc. possvel determinar que a porta F0/18 est atribuda VLAN 20 e que a VLAN nativa VLAN 1. Voc usou esse comando para revisar a configurao de uma VLAN de voz. Gerenciar associaes de porta H vrias formas de gerenciar VLANs e associaes de porta de VLAN. A figura mostra a sintaxe de comando no switchport access vlan.

Clique no boto Remover VLAN na figura. Reatribuir uma porta VLAN 1 Para reatribuir uma porta VLAN 1, possvel usar o comando no switchport access vlan no modo de configurao de interface. Examine a sada de dados no comando show vlan brief logo abaixo. Observe como a VLAN 20 ainda est ativa. Ela s foi removida de interface F0/18. No comando show interfaces f0/18 switchport, possvel ver que a VLAN de acesso da interface F0/18 foi redefinida como VLAN 1. Clique no boto Reatribuir VLAN na figura. Reatribuir a VLAN a outra porta Uma porta de acesso esttico s pode ter uma VLAN. Com o software Cisco IOS, voc no precisa primeiro remover uma porta de uma VLAN para alterar sua associao. Quando voc reatribui uma porta de acesso esttico a uma VLAN existente, a VLAN removida automaticamente da porta anterior. No exemplo, a porta F0/11is foi reatribuda VLAN 20. Excluir VLANs A figura fornece um exemplo de uso do comando de configurao global no vlan vlan-id para remover a VLAN 20 do sistema. O comando show vlan brief verifica se a VLAN 20 no est mais no arquivo vlan.dat. Como alternativa, todo o arquivo vlan.dat pode ser excludo usando-se o comando delete flash:vlan.dat no modo EXEC privilegiado. Depois que o switch for recarregado, as VLANs configuradas anteriormente j no estaro mais presentes. Isso coloca o switch efetivamente no "padro de fbrica" em relao a configuraes de VLAN. Nota: Antes de excluir uma VLAN, no se esquea de primeiro reatribuir todas as suas portas a uma VLAN diferente. Qualquer porta pertencente a uma VLAN ativa no pode se comunicar com outras estaes depois que voc exclui essa VLAN. Configurar um tronco 802.1Q Para configurar um tronco em uma porta de switch, use o comando switchport mode tronco. Quando voc entra no modo de tronco, a interface muda para o modo de entroncamento permanente e a porta participa de uma negociao DTP para converter o link em um link de tronco mesmo que a interface de conexo no esteja de acordo com a alterao. Neste curso, voc configurar um tronco usando apenas o comando switchport mode tronco. A sintaxe de comando do Cisco IOS para especificar uma VLAN nativa que no seja a VLAN 1 mostrada na figura. No exemplo, voc configura a VLAN 99 como a VLAN nativa. Clique no boto Topologia na figura. Voc est familiarizado com essa topologia. As VLANs 10, 20 e 30 suportaro os computadores de Funcionrios, Aluno e Convidado, PC1, PC2 e PC3. A porta F0/1 no switch S1 ser configurada como uma porta de tronco e encaminhar o trfego para as VLANs 10, 20 e 30. A VLAN 99 ser configurada como a VLAN nativa. Clique no boto Exemplo na figura.

O exemplo configura a porta F0/1 no switch S1 como a porta de tronco. Ele reconfigura a VLAN nativa como sendo a VLAN 99. Uma discusso sobre DTP e sobre os detalhes de como cada opo do modo de acesso da porta de switch funciona est alm do escopo do curso. Para obter detalhes sobre todos os parmetros associados ao comando de interface switchport mode, Gerenciando uma configurao de tronco Na figura, os comandos para redefinir as VLANs permitidas e a VLAN nativa do tronco para o estado padro so mostrados. O comando para redefinir a porta de switch para o modo de acesso e, assim, excluir a configurao tronco tambm mostrada. Clique no boto Exemplo de redefinio na figura. Na figura, os comandos usados para redefinir todos os recursos de uma interface de entroncamento para as configuraes padro so realados no mesmo exemplo. O comando show interfaces f0/1 switchport revela que o tronco foi reconfigurado para um estado padro. Clique no boto Exemplo de remoo na figura. Na figura, o exemplo mostra os comandos usados para remover o recurso de tronco da porta de switch F0/1 no switch S1. O comando show interfaces f0/1 switchport revela que a interface F0/1 agora est no modo de acesso esttico. Problemas comuns com troncos Neste tpico, voc obtm informaes sobre problemas comuns de VLAN e de entroncamento normalmente associados a configuraes incorretas. Quando voc est configurando VLANs e troncos em uma infra-estrutura comutada, esses tipos de erros de configurao so muito comuns na seguinte ordem: Incompatibilidades de VLAN nativa As portas de tronco so configuradas com VLANs nativas diferentes, por exemplo, se uma porta definiu VLAN 99 como a VLAN nativa e a outra porta de tronco definiu VLAN 100 como a VLAN nativa. Esse erro de configurao gera notificaes da console, faz com que o trfego de controle e de gerenciamento seja orientado incorretamente e, como voc aprendeu, oferece um risco segurana. Incompatibilidades do modo de tronco Uma porta de tronco configurada com o modo de tronco "desativado" e a outra como "ativado". Esse erro de configurao faz com que o link de tronco deixe de funcionar. VLANs e sub-redes IP Os dispositivos de usurio final configurados com endereos IP incorretos no tero conectividade de rede. Cada VLAN uma sub-rede IP separada logicamente. Os dispositivos devem ser configurados dentro da VLAN com as configuraes de IP corretas. VLANs permitidas em troncos A lista de VLANs permitidas em um tronco no foi atualizada com os requisitos de entroncamento de VLAN atuais. Nessa situao, trfego inesperado ou nenhum trfego est sendo enviado pelo tronco. Se voc detectou algo errado em uma VLAN ou tronco e no sabe qual o problema, comece usa soluo de problemas examinando os troncos em busca de uma incompatibilidade de VLAN nativa e siga a lista. O restante deste tpico examina como corrigir os problemas comuns com troncos. O prximo tpico apresenta como identificar e resolver VLANs e sub-redes IP configuradas incorretamente.

Incompatibilidades de VLAN nativa Voc um administrador de rede e recebe uma chamada informando que a pessoa que usa o computador PC4 no consegue se conectar ao servidor Web interno, servidor WEB/TFTP na figura. Voc sabe que um novo tcnico esteve configurando o switch S3 recentemente. Como o diagrama de topologia parece correto, qual ser o problema? Voc opta por verificar a configurao em S3. Clique no boto Configuraes na figura. Assim que voc se conecta ao switch S3, a mensagem de erro mostrada na parte superior da rea realada na figura exibida na sua janela da console. Voc observa a interface usando o comando show interfaces f0/3 switchport. Voc observe que a VLAN nativa, a segunda rea realada na figura, foi definida como VLAN 100, estando inativa. Como voc pode ver mais adiante na sada de dados, as VLANs permitidas so 10 e 99, mostradas na rea realada inferior. Clique no boto Soluo na figura. Voc precisa reconfigurar a VLAN nativa na porta de tronco Fast Ethernet F0/3 para ser a VLAN 99. Na figura, a rea realada superior mostra o comando para configurar a VLAN nativa para ser a VLAN 99. As duas prximas reas realadas confirmam que a porta de tronco Fast Ethernet F0/3 tem a VLAN nativa redefinida para VLAN 99. A sada de dados da tela do computador PC4 mostra que conectividade foi restaurada no servidor WEB/TFTP encontrado no endereo IP 172.17.10.30. Lista de VLANs incorreta Voc aprendeu que, para o trfego de uma VLAN ser transmitido por um tronco, deve haver permisso de acesso no tronco. O comando usado para isso switchport access trunk allowed vlan add vlan-id. Na figura, a VLAN 20 (Aluno) e o computador PC5 foram adicionados rede. A documentao foi atualizada para mostrar que as VLANs permitidas no tronco so 10, 20 e 99. Neste cenrio, a pessoa que usa o computador PC5 no consegue se conectar ao servidor de email do aluno mostrado na figura. Clique no boto Configuraes na figura. Verifique as portas de tronco no switch S1 usando o comando show interfaces trunk. O comando revela que a interface F0/3 no switch S3 foi configurada corretamente para permitir as VLANs 10, 20 e 99. Um exame da interface F0/3 no switch S1 revela que as interfaces F0/1 e F0/3 s permitem as VLANs 10 e 99. Parece que algum atualizou a documentao, mas se esqueceu de reconfigurar as portas no switch S1. Clique no boto Soluo na figura. Voc precisa reconfigurar as portas F0/1 e F0/3 no switch S1 usando o comando switchport trunk allowed vlan 10,20,99. A sada de dados na parte superior da tela mostra que as VLANs 10, 20 e 99 agora so adicionadas s portas F0/1 e F0/3 no switch S1. O comando show interfaces trunk uma ferramenta excelente para revelar problemas de entroncamento comuns. A figura inferior indica que PC5 recuperou a conectividade com o servidor de email do aluno encontrado no endereo IP 172.17.20.10. VLAN e sub-redes IP

Como voc aprendeu, cada VLAN deve corresponder a uma sub-rede IP exclusiva. Se dois dispositivos na mesma VLAN tiverem endereos de sub-rede diferentes, eles no podero se comunicar. Esse tipo de configurao incorreta um problema comum, sendo fcil de resolver, identificando o dispositivo afetado e alterando o endereo de sub-rede para o correto. Neste cenrio, a pessoa que usa o computador PC1 no consegue se conectar ao servidor WEB/TFTP mostrado na figura. Clique no boto Configuraes na figura. Na figura, uma verificao das definies de configurao IP de PC1 revela o erro mais comum na configurao de VLANs: um endereo IP configurado incorretamente. O computador PC1 configurado com um endereo IP 172.172.10.21, mas deveria ter sido configurado com 172.17.10.21. Clique no boto Soluo na figura. A captura de tela da caixa de dilogo da configurao Fast Ethernet de PC1 mostra o endereo IP atualizado 172.17.10.21. A captura de tela na parte inferior revela que PC1 recuperou a conectividade com o servidor WEB/TFTP encontrado no endereo IP 172.17.10.30. CAPITULO 4 O desafio do gerenciamento de VLANs Conforme cresce o nmero de switches em uma rede de negcios de pequeno ou mdio porte, fica mais difcil gerenciar VLANs e links tronco em uma rede. Clique em Reproduzir para exibir a animao do desafio do gerenciamento de VLAN. Gerenciamento de VLAN em uma rede pequena Na animao, a figura mostra um gerente de rede adicionando uma nova VLAN, a VLAN30. O gerente de rede precisa atualizar os trs links tronco para permitir as VLANs 10, 20, 30 e 99. Lembre-se de que um erro comum esquecer de atualizar a lista permitida de VLANS em links tronco. Clique no boto Rede maior na figura. Gerenciamento de VLAN de rede maior Quando voc pensar na rede maior na figura, o desafio do gerenciamento de VLAN torna-se claro. Depois que voc atualizar esta rede manualmente algumas vezes, pode ser que voc deseje saber se h uma maneira para que os switches saibam quais so a VLAN e links tronco, de modo que voc no precise configur-los manualmente. Voc est pronto para aprender sobre o protocolo de entroncamento de VLAN (VTP). O que VTP? O VTP permite que um gerente de rede configure um switch de forma que ele propague as configuraes de VLAN a outros switches na rede. O switch pode ser configurado na funo de um servidor VTP ou de um cliente VTP. O VTP somente obtm informaes sobre VLANs de intervalo normal (IDs de VLAN de 1 a 1005). VLANs de intervalos estendidos (IDs maiores que 1005) no

so suportadas pelo VTP. Clique em Reproduzir na figura para exibir uma animao de uma viso geral de como o VTP funciona. Viso geral do VTP O VTP permite que um gerente de rede faa alteraes em um switch que est configurado como um servidor VTP. Basicamente, o servidor VTP distribui e sincroniza as informaes de VLAN para switches habilitados para VTP em toda a rede comutada, o que diminui os problemas causados por configuraes incorretas e inconsistncias de configurao. O VTP armazena as configuraes de VLAN no banco de dados de VLAN, chamado vlan.dat. Clique no boto Dois switches na figura. Dois switches Clique em Reproduzir na figura para exibir uma animao sobre a interao bsica do VTP entre um servidor VTP e um cliente VTP. Na figura, um link tronco adicionado entre o switch S1, um servidor VTP, e S2, um cliente VTP. Depois que um tronco estabelecido entre os dois switches, so trocados anncios VTP entre eles. O servidor e o cliente aproveitam os anncios um do outro para assegurar que cada um tenha um registro preciso das informaes de VLAN. No sero trocados anncios VTP se o link tronco entre os switches estiver inativo. Os detalhes sobre como o VTP funciona so explicados no restante deste captulo. Componentes do VTP Existem alguns componentes principais que voc j deve conhecer para poder aprender sobre o VTP. Aqui est uma breve descrio dos componentes, que sero explicados mais adiante conforme voc avana pelo captulo. Domnio de VTP - Consiste em um ou mais switches interconectados. Todos os switches em um domnio compartilham os detalhes de configurao de VLAN utilizando anncios VTP. Um roteador ou um switch de Camada 3 define o limite de cada domnio. Anncios de VTP - O VTP utiliza uma hierarquia de anncios para distribuir e sincronizar configuraes de VLAN pela rede. Modos de VTP - Um switch pode ser configurado de trs modos: servidor, cliente ou transparente. Servidor de VTP - Os servidores VTP anunciam as informaes de VLAN do domnio VTP para outros switches habilitados para VTP nesse mesmo domnio. Os servidores de VTP armazenam as informaes de VLAN para o todo o domnio em NVRAM (Non-Volatile RAM, RAM no-voltil). O servidor onde as VLANs podem ser criadas, excludas ou renomeadas para o domnio. Cliente de VTP - Os clientes VTP funcionam do mesmo modo que os servidores VTP, mas voc no pode criar, alterar ou excluir as VLANs em um cliente VTP. Um cliente VTP somente armazena as informaes de VLAN para o todo o domnio enquanto o switch estiver ativo. Caso um switch seja resetado sero excludas as informaes de VLAN. Voc deve configurar o modo cliente do VTP em um switch. VTP Transparente - Switches no modo transparente encaminham anncios VTP para clientes VTP e servidores VTP. Switches no modo transparente no participam do VTP. As VLANs que so criadas, renomeadas ou excludas em switches no modo transparente so tem efeito somente para este switch. Corte de VTP - O corte de VTP aumenta a largura de banda disponvel na rede restringindo o

trfego inundado aos links tronco que o trfego deve utilizar para alcanar os dispositivos de destino. Sem o corte de VTP, um switch inunda o trfego de broadcast, multicast e unicast desconhecido para todos os links tronco dentro de um domnio VTP mesmo que os switches de recebimento o descartem. No CCNA Exploration: Fundamentos de rede, voc aprendeu que um switch Cisco vem de fbrica com configuraes padro. As configuraes padro do VTP so mostradas na figura. A vantagem do VTP que ele distribui e sincroniza automaticamente o domnio e as configuraes de VLAN em toda a rede. Porm, esta vantagem traz um custo: voc s pode adicionar switches que esto em sua configurao VTP padro. Se voc adicionar um switch habilitado para VTP que est definido com configuraes que substituem as configuraes existentes do VTP da rede, as mudanas difceis de corrigir sero propagadas automaticamente ao longo da rede. Sendo assim, s adicione switches que esto em sua configurao VTP padro. Voc aprender a adicionar switches a uma rede VTP posteriormente neste captulo. Verses do VTP O VTP possui trs verses: 1, 2 e 3. Somente uma verso do VTP permitida em um domnio VTP. O padro o VTP verso 1. Um switch Cisco 2960 suporta o VTP verso 2, mas est desabilitado. Uma discusso sobre as verses do VTP est alm do escopo deste curso. Clique no boto de Sada do comando do switch na figura para ver as configuraes padro do VTP no switch S1. Exibindo o status do VTP A figura mostra como exibir as configuraes do VTP para um switch Cisco 2960, S1. O comando do Cisco IOS show VTP status exibe o status do VTP. A sada do comando mostra que o switch S1 est, por padro, no modo de servidor VTP e que no h nenhum nome de domnio VTP atribudo. A sada do comando tambm mostra que a verso mxima do VTP disponvel para o switch a verso 2, e que o VTP verso 2 est desabilitado. Voc utilizar o comando show VTP status freqentemente ao configurar e gerenciar o VTP em uma rede. A seguir, veja uma breve descrio dos parmetros do comando show VTP status: Verso do VTP - Exibe a verso do VTP que o switch capaz de executar. Por padro, o switch implementa a verso 1, mas pode ser definido para a verso 2. Reviso de configurao - Nmero de reviso de configurao atual neste switch. Voc obter mais informaes sobre nmeros de reviso neste captulo. Mximo de VLANs localmente suportadas - Nmero mximo de VLANs suportadas localmente. Nmero de VLANs existentes - Nmero de VLANs existentes. Modo de operao do VTP - Pode ser servidor, cliente ou transparente. Nome de domnio VTP - Nome que identifica o domnio administrativo para o switch. Modo de corte do VTP - Exibe se o corte est habilitado ou desabilitado. Modo VTP V2- Exibe se o modo VTP verso 2 est habilitado. VTP verso 2 vem desabilitado por padro. Gerao de interceptaes do VTP - Exibe se so enviadas interceptaes do VTP a uma estao de gerenciamento de rede. MD5 Digest - Uma soma de verificao de 16 bytes da configurao do VTP. ltima configurao modificada - Data e hora da ltima modificao configurao. Exibe o endereo IP do switch que causou a alterao de configurao ao banco de dados. Domnios VTP O VTP permite que voc separe sua rede em domnios de gerenciamento menores para ajudar a

reduzir o gerenciamento de VLAN. Um benefcio adicional de configurar os domnios VTP que isto limita a extenso em que as mudanas de configurao so propagadas na rede se um erro ocorrer. A figura mostra uma rede com dois domnios VTP: cisco2 e cisco3. Neste captulo, os trs switches, S1, S2 e S3, sero configurados para VTP. Um domnio VTP consiste em um switch ou diversos switches interconectados que compartilham o mesmo nome de domnio VTP. Posteriormente neste captulo, voc aprender como os switches habilitados para VTP adquirem um nome de domnio comum. Um switch pode ser membro de somente um domnio VTP por vez. At que o nome de domnio VTP seja especificado, voc no poder criar ou modificar as VLANs em um servidor VTP, e as informaes de VLAN no sero propagadas pela rede. Propagao do nome de domnio de VTP Para que um switch no modo servidor ou cliente VTP participe de uma rede habilitada para VTP, ele deve fazer parte do mesmo domnio. Quando os switches esto em domnios VTP diferentes, eles no trocam mensagens VTP. Um servidor VTP propaga o nome de domnio VTP a todos os switches para voc. A propagao de nome de domnio utiliza trs componentes do VTP: servidores, clientes e anncios. Clique em Reproduzir na figura para ver como um servidor VTP propaga o nome de domnio VTP em uma rede. A rede na figura mostra trs switches, S1, S2 e S3, em sua configurao VTP padro. Eles esto configurados como servidores VTP. Os nomes de domnio VTP no foram configurados em nenhum dos switches. O gerente de rede configura o nome de domnio VTP como cisco1 no switch S1 do servidor VTP. O servidor VTP envia um anncio VTP com o novo nome de domnio incorporado. Os switches do servidor VTP, S2 e S3, atualizam sua configurao VTP para o novo nome de domnio. Nota: A Cisco recomenda que o acesso para as funes de configurao de nome de domnio seja protegido por senha. Os detalhes da configurao de senha sero apresentados posteriormente no curso. Como o nome de domnio colocado em um anncio VTP? Quais informaes so trocadas entre os switches habilitados para VTP? No prximo tpico, voc aprender sobre os detalhes de anncios VTP e encontrar as respostas a estas perguntas. Estrutura de quadros de VTP Os anncios (ou mensagens) VTP distribuem o nome de domnio VTP e alteraes de configurao de VLAN para switches habilitados para VTP. Neste tpico, voc obter informaes sobre a estrutura de quadros do VTP e como os trs tipos de anncios permitem que o VTP distribua e sincronize as configuraes de VLAN ao longo da rede. Clique no boto Viso geral na figura e clique em Reproduzir para exibir uma animao sobre a estrutura de um quadro VTP. Encapsulamento de quadro de VTP Um quadro VTP consiste em um campo de cabealho e um campo de mensagem. As informaes do VTP so inseridas no campo de dados de um quadro Ethernet. O quadro Ethernet , ento, encapsulado como um quadro de tronco 802.1Q (ou quadro ISL). Cada switch no domnio envia

anncios peridicos para cada porta do tronco para um endereo multicast reservado. Estes anncios so recebidos por switches vizinhos que atualizam suas configuraes VTP e VLAN, conforme o necessrio. Clique no boto Detalhes do quadro de VTP na figura. Detalhes do quadro de VTP Na figura, voc pode ver a estrutura do quadro VTP de forma mais detalhada. Lembre-se que um quadro VTP encapsulado como um quadro 802.1Q no esttico. O contedo da mensagem VTP determina quais campos esto presentes. O switch de recebimento habilitado para VTP procura campos e valores especficos no quadro 802.1Q para saber o que processar. Os campos principais a seguir esto presentes quando um quadro VTP encapsulado como um quadro 802.1Q: Endereo MAC de destino- Este endereo definido como 01-00-0C-CC-CC-CC, que o endereo multicast reservado para todas as mensagens VTP. Campo LLC- O campo controle de enlace lgico (LLC) contm o ponto de acesso ao servio de destino (DSAP, destination service access point) e um ponto de acesso ao servio de origem (SSAP, source service access point) definidos ao valor de AA. Campo SNAP - O campo Protocolo de acesso de sub-rede (SNAP, Subnetwork Access Protocol) possui um OUI definido como AAAA e tipo definido como 2003. Campo de cabealho de VTP - O contedo varia, dependendo do resumo de tipo, sub-conjunto ou solicitao da mensagem VTP, mas sempre contm estes campos VTP: Nome de domnio - Identifica o domnio administrativo para o switch. Tamanho do nome de domnio - Tamanho do nome de domnio. Verso - Definido como VTP 1, VTP 2 ou VTP 3. O switch Cisco 2960 suporta somente VTP 1 e VTP 2. Nmero de reviso de configurao - O nmero de reviso de configurao atual neste switch. Campo de mensagem de VTP - Varia dependendo do tipo de mensagem. Clique no boto Contedo da mensagem de VTP na figura. Contedo da mensagem de VTP Os quadros VTP contm as seguintes informaes do domnio global de tamanho fixo: nome de domnio VTP Identidade do switch que envia a mensagem e a hora em que ela foi enviada Configurao de VLAN de MD5 digest, incluindo a unidade mxima de transmisso (MTU) para cada VLAN Formato de quadro: ISL ou 802.1Q Os quadros VTP contm as seguintes informaes para cada VLAN configurada: IDs de VLAN (IEEE 802.1Q)

Nome da VLAN Tipo da VLAN Estado da VLAN Informaes de configurao de VLAN adicionais especficas para o tipo de VLAN Nota: Um quadro VTP encapsulado em um quadro Ethernet 802.1Q. O quadro Ethernet 802.1Q inteiro o anncio VTP geralmente chamado de mensagem VTP. O termos quadro, anncio e mensagem so geralmente utilizados de forma intercambivel. Nmero de reviso de VTP O nmero de reviso de configurao um nmero de 32 bits que indica o nvel de reviso para um quadro VTP. O nmero de configurao padro para um switch zero. Cada vez que uma VLAN adicionada ou removida, aumenta o nmero de reviso de configurao. Cada dispositivo VTP monitora o nmero de reviso de configurao do VTP que definido para ele. Nota: Uma alterao do nome de domnio VTP no aumenta o nmero de reviso. Ao contrrio, ela redefine o nmero de reviso para zero. O nmero de reviso de configurao determina se as informaes de configurao recebidas de outro switch habilitado para VTP mais recente do que a verso armazenada no switch. A figura mostra um gerente de rede adicionando trs VLANs para o switch S1. Clique no boto de Sada do comando do switch na figura para ver como o nmero de reviso foi alterado. A rea destacada mostra que o nmero de reviso no switch S1 3, o nmero de VLANs deve ser at oito, porque foram acrescentadas trs VLANs s cinco VLANs padro. O nmero de reviso desempenha uma funo importante e complexa ao permitir que o VTP distribua e sincronize o domnio VTP e informaes de configurao de VLAN. Para compreender o que o nmero de reviso faz, voc precisa aprender primeiro sobre os trs tipos de anncios e os trs modos do VTP. Anncios de VTP Anncios sumarizados O anncio de sumarizao contm o nome de domnio VTP, o nmero de reviso atual e outros detalhes de configurao do VTP. So enviados anncios de sumarizao: A cada 5 minutos por um servidor ou cliente VTP para informar switches habilitados por VTP vizinhos do nmero de reviso de configurao do VTP atual para seu domnio VTP Imediatamente aps uma configurao ser feita Clique no boto Resumo na figura e, em seguida, clique em Reproduzir para exibir uma animao sobre os anncios sumarizados do VTP. Anncios de subconjunto Um anncio de subconjunto contm as informaes de VLAN. As alteraes que disparam o

anncio do subconjunto incluem: Criao ou excluso de uma VLAN Suspenso ou ativao de uma VLAN Alterao do nome de uma VLAN Alterao do MTU de uma VLAN Podem ser necessrios vrios anncios de subconjunto para atualizar as informaes de VLAN completamente. Clique no boto Subconjunto na figura e, em seguida, clique em Reproduzir para exibir uma animao sobre os anncios de subconjunto do VTP. Anncios de solicitao Quando um anncio de solicitao enviado a um servidor VTP no mesmo domnio VTP, o servidor VTP responde enviando um anncio de sumarizao e, em seguida, um anncio de subconjunto. Os anncios de solicitao so enviados se: O nome de domnio VTP foi alterado O switch recebe um anncio de sumarizao com um nmero de reviso de configurao mais alto do que seu prprio nmero Uma mensagem de anncio de subconjunto perdido por alguma razo O switch foi reiniciado Detalhes dos anncios de VTP O VTP utiliza anncios para distribuir e sincronizar as informaes sobre domnios e configuraes de VLAN. Existem trs anncios VTP principais. Cada tipo de anncio VTP envia informaes sobre diversos parmetros utilizados pelo VTP. Uma descrio dos campos em cada um dos anncios VTP apresentada. Clique no boto Detalhes da sumarizao na figura. Anncios sumarizados Os anncios sumarizados compreendem a maioria do trfego de anncio VTP. Passe o mouse sobre os campos no anncio de sumarizao para exibir as descries. Passe o mouse sobre os campos no anncio de sumarizao para exibir as descries. Clique no boto Detalhes do subconjunto na figura. Anncios de subconjunto Os campos encontrados em um anncio de subconjunto so descritos brevemente. No so descritos os campos nas informaes de VLAN. Passe o mouse sobre os campos no anncio de subconjunto para exibir as descries.

Clique no boto Detalhes da solicitao na figura. Anncios de Solicitao Os campos encontrados em um anncio de solicitao so descritos brevemente. Viso geral dos modos de VTP Um switch da Cisco, configurado com o software IOS Cisco, pode ser configurado nos modos servidor, cliente ou transparente. Estes modos diferem em como eles so utilizados para gerenciar e anunciar domnios VTP e VLANs. Modo servidor No modo servidor, voc pode criar, modificar e excluir VLANs para todo o domnio VTP. O modo servidor do VTP o modo padro para um switch Cisco. Os servidores VTP anunciam suas configuraes de VLAN a outros switches no mesmo domnio VTP e sincronizam suas configuraes de VLAN com outros switches com base nos anncios recebidos sobre links tronco. Os servidores VTP mantm o monitoramento das atualizaes atravs de um nmero de reviso de configurao. Outros switches no mesmo domnio VTP comparam seus nmeros de reviso de configurao com o nmero de reviso recebido de um servidor VTP para ver se eles precisam sincronizar seus banco de dados de VLAN. Modo cliente Se um switch estiver no modo cliente, voc no poder criar, alterar ou excluir as VLANs. Alm disso, as informaes de configurao de VLAN que um switch cliente VTP recebe de um switch servidor VTP so armazenadas em um banco de dados de VLAN, no em NVRAM. Conseqentemente, os clientes VTP exigem menos memria do que os servidores VTP. Quando um cliente VTP desligado e reiniciado, ele envia um anncio de solicitao a um servidor VTP para obter informaes de configurao de VLAN atualizadas. Os switches configurados como clientes VTP so encontrados com mais freqncia em redes maiores, porque em uma rede com centenas de switches mais difcil coordenar melhorias de rede. freqente haver muitos administradores de rede trabalhando em diferentes horas do dia. Ter apenas alguns switches que sejam fisicamente capazes de manter as configuraes de VLAN facilita o controle das atualizaes de VLAN e ajuda a monitorar quais administradores de rede as executaram. Para redes grandes, ter switches no modo cliente tambm mais econmico. Por padro, todos os switches so configurados como servidores VTP. Esta configurao adequada para redes menores nas quais o tamanho das informaes de VLAN pequeno e as informaes so armazenadas facilmente em NVRAM nos switches. Em uma rede grande com centenas de switches, o administrador de rede deve decidir se o custo de comprar switches com NVRAM suficiente para armazenar as informaes de VLAN duplicadas muito alto. Um administrador de rede com conscincia de custo pode escolher configurar alguns poucos switches bem equipados como servidores VTP, usando, ento, switches com menos memria como clientes VTP. Embora uma discusso de redundncia de rede esteja alm do escopo deste curso, saiba que o nmero de servidores VTP deve ser escolhido com o intuito de fornecer o grau de redundncia desejada na rede.

Modo transparente Os switches configurados em modo transparente encaminham anncios VTP que eles recebem em portas tronco para outros switches na rede. Os switches do modo transparente do VTP no anunciam suas configuraes de VLAN e no sincronizam suas configuraes de VLAN com qualquer outro switch. Configure um switch em modo transparente do VTP quando voc tiver configuraes de VLAN que possuem importncia local e no devem ser compartilhadas com o resto da rede. No modo transparente, as configuraes de VLAN so salvas em NVRAM (mas no anunciadas a outros switches), assim a configurao fica disponvel aps uma reinicializao do switch. Isto significa que, quando um switch em modo transparente do VTP reiniciado, ele no revertido para um modo servidor do VTP padro, mas permanece em modo transparente do VTP. O corte de VTP evita a inundao desnecessria de informaes de broadcast de uma VLAN por todos os troncos em um domnio VTP. Ele permite que os switches negociem quais VLANs so atribudas s portas na outra extremidade de um tronco e, conseqentemente, corta as VLANs que no esto atribudas a portas no switch remoto. O corte est, por padro, desabilitado. O corte de VTP habilitado utilizando o comando de configurao global vtp pruning. S necessrio habilitar o corte em um nico switch servidor VTP no domnio. Na figura, voc habilitaria o corte de VTP no switch S1. A figura mostra uma rede com a VLAN 10 e VLAN 20 configuradas. O switch S3 tem a VLAN 20 configurada e o switch S2 tem a VLAN 10 e VLAN 20 configuradas. Examine a topologia na figura e, em seguida, clique para ver as configuraes do switch. Corte de VTP em ao Lembre-se de que uma VLAN cria um domnio de broadcast isolado. Um switch inunda o trfego de broadcast, multicast e unicast desconhecido por todos os links tronco dentro de um domnio VTP. Quando um computador ou dispositivo transmitido em uma VLAN, por exemplo a VLAN 10 na figura, o trfego de broadcast viaja por todos os links tronco ao longo da rede para todas as portas em todos os switches na VLAN 10. Na figura, os switches S1, S2 e S3 recebem os quadros de broadcast do computador PC1. O trfego de broadcast do PC1 consome a largura de banda no link tronco entre os 3 switches e consome o tempo do processador nos 3 switches. O link entre os switches S1 e S3 no carrega nenhum trfego de VLAN 10, ento ele um candidato para o corte de VTP. Clique no boto Reproduzir na figura para ver o que acontece com o trfego de inundao de VLAN em uma rede sem corte de VTP. Corte de VTP Clique no boto Corte de VTP e clique em Reproduzir para ver uma animao sobre o que acontece com o trfego de inundao de VLAN em uma rede com corte de VTP. O trfego de inundao impedido de entrar no tronco que conecta os switches S1 e S2. O corte de VTP somente corta a porta de egresso F0/1 no switch S2. Corte de VTP habilitado A figura mostra uma topologia de rede que possui os switches S1, S2 e S3 configurados com corte de VTP. Quando o corte de VTP estiver habilitado em uma rede, ele reconfigurar os links tronco com base em quais portas esto configuradas com quais VLANs. Clique no boto Switch S1 na figura.

A rea destacada mostra que o tronco na porta F0/1 permite o trfego de VLAN 10. O corte de VTP somente corta a porta de egresso. Clique no boto Switch S2 na figura. A rea destacada mostra que o tronco na porta F0/1 no permite o trfego da VLAN 10. A VLAN 10 no listada. Para obter mais detalhes sobre o corte de VTP, Diretrizes de configurao do VTP Agora que voc j conhece a funcionalidade do VTP, voc est pronto para aprender a configurar um switch Cisco Catalyst para utilizar o VTP. A topologia mostra a topologia de referncia para este captulo. O VTP ser configurado nesta topologia. Clique no boto Tabela na figura. Switches do servidor VTP Siga estas etapas e diretrizes associadas para garantir o sucesso da sua configurao do VTP: Confirme se todos os switches que voc vai configurar foram definidos com suas configuraes padro. Sempre redefina o nmero de reviso de configurao antes de instalar um switch previamente configurado em um domnio VTP. Se voc no conseguir redefinir o nmero de reviso de configurao, poder haver interrupo na configurao de VLAN no restante dos switches no domnio VTP. Configure pelo menos dois switches como servidor VTP em sua rede. Como somente os switches no modo servidor podem criar, excluir e modificar as VLANs, voc deve garantir que tenha um servidor VTP de backup no caso de o servidor VTP primrio ser desabilitado. Se todos os switches na rede forem configurados no modo cliente do VTP, voc no poder criar novas VLANs na rede. Configure um domnio VTP no servidor VTP. Configurar o domnio VTP no primeiro switch permite que o VTP comece a enviar anncios das informaes de VLAN. Outros switches conectados por links tronco recebem as informaes do domnio VTP automaticamente atravs dos anncios VTP. Se houver um domnio VTP existente, verifique se voc fez a correspondncia exata do nome. Os nomes de domnio de VLAN diferenciam maisculas e minsculas. Se voc estiver configurando uma senha de VTP, defina a mesma senha em todos os switches no domnio que precisam ser capazes de trocar informaes VTP. Os switches sem uma senha ou com a senha incorreta rejeitam os anncios VTP. Certifique-se de que todos os switches estejam configurados para utilizar a mesma verso do protocolo VTP. A verso 1 do VTP no compatvel com a verso 2 do VTP. Por padro, os switches Cisco Catalyst 2960 executam a verso 1, mas so capazes de executar a verso 2. Quando a verso do VTP estiver definida como a verso 2, todos os switches habilitados para a verso 2 no domnio sero auto-configurados para utilizar a verso 2 atravs do processo de anncio VTP. Os switches que estiverem habilitados somente para a verso 1 no podero participar do domnio VTP a partir daquele ponto. Crie a VLAN depois de habilitar o VTP no servidor VTP. As VLANs criadas antes da habilitao do VTP so removidas. Certifique-se sempre de que as portas do tronco sejam configuradas para interconectar os switches em um domnio VTP. As informaes do VTP so trocadas somente nas portas tronco. Switches de cliente VTP

Assim como no switch servidor VTP, confirme se as configuraes padro esto presentes. Configure o modo cliente do VTP. Lembre-se de que o switch no est em modo cliente VTP por padro. Voc tem que configurar este modo. Configure os troncos. O VTP funciona atravs dos links tronco. Conecte-se a um servidor VTP. Quando voc se conectar a um servidor VTP ou a outro switch habilitado para VTP, aguarde alguns instantes para que os diversos anncios faam os trajetos de ida e volta para o servidor VTP. Verifique o status do VTP. Antes de comear a configurar as portas de acesso, confirme se o modo e o nmero de reviso das VLANs foram atualizados. Configure as portas de acesso. Quando um switch estiver no modo cliente VTP, voc no poder adicionar novas VLANs. Voc s pode atribuir portas de acesso a VLANs existentes. Configurando o VTP Etapa 1 - Configurar o servidor VTP Os prximos trs tpicos mostraro como configurar um servidor e dois clientes VTP. No incio, nenhum dos dispositivos est conectado. A topologia destaca o switch S1. Voc ir configurar este switch como um servidor VTP. So fornecidos os comandos para configurar as portas tronco para a interface F0/1. Clique no boto Confirmar detalhes na figura. A sada do comando show vtp status confirma se o switch , por padro, um servidor VTP. Considerando que nenhuma VLAN foi configurada ainda, o nmero de reviso ainda est definido em 0 e o switch no pertence ao domnio VTP. Se o switch ainda no foi configurado como um servidor VTP, voc deve configur-lo utilizando o comando vtp mode {server}. Clique no boto Configurar nome de domnio na figura. O nome de domnio configurado com o uso do comando vtp domain domain-name. Na figura, o switch S1 foi configurado com o nome de domnio cisco1. Por razes de segurana, uma senha pode ser configurada com o uso do comando vtp password password. Clique no boto Configurar verso na figura. A maioria dos switches pode suportar as verses 1 e 2 do VTP. Porm, a configurao padro para os switches Catalyst 2960 a verso 1. Quando o comando vtp version 1 digitado no switch, ele nos informa que o switch j est configurado para a verso 1. Clique no boto Adicionar VLANs e Troncos na figura. Suponha que trs VLANs foram configuradas e receberam nomes de VLANs. A sada do comando na figura est exibindo o resultado destas alteraes. Voc pode utilizar a verso no dos comandos. A topologia destaca os switches S2 e S3. Voc ver a configurao de cliente VTP para S2. Para configurar S3 como um cliente VTP, voc seguir o mesmo procedimento.

Clique no boto Confirmar padres para verificar o status do switch. Antes de configurar um switch como um cliente VTP, verifique o status atual do VTP . Aps confirmar o status, voc configurar o switch para operar no modo cliente VTP. Clique no boto Habilitar modo cliente VTP para ver como configurar um switch para o modo cliente VTP. Configure o modo cliente VTP utilizando a seguinte sintaxe de comando do Cisco IOS: Entre no modo de configurao global com o comando configure terminal. Configure o switch no modo cliente com o comando vtp mode {client}. Se voc precisar redefinir a configurao do VTP para os valores padro, poder utilizar a verso no dos comandos. Clique no boto Verificar status do VTP para ver o resto da configurao de cliente VTP. Configurando o VTP Etapa 3 - Confirmar e conectar Aps configurar o servidor VTP principal e os clientes VTP, voc conectar o switch S2 que um cliente VTP ao servidor VTP que o switch S1. A topologia destaca os troncos que sero adicionados a esta topologia. Na figura, o switch S2 ser conectado ao switch S1. Em seguida, o switch S2 ser configurado para suportar os computadores, PC1 at PC3. O mesmo procedimento ser aplicado ao switch S3, embora os comandos para S3 no sejam mostrados. Confirmar a operao do VTP Clique no boto Confirmar operao do VTP na figura. Existem dois comandos do Cisco IOS para confirmar se as configuraes do domnio VTP e da VLAN foram transmitidas ao switch S2. Utilize o comando show VTP status para verificar se: O nmero de reviso de configurao foi aumentado para 6. Existem agora trs novas VLANs indicadas pelo nmero existente de VLANs mostrando 8. O nome de domnio foi alterado para cisco1. Utilize o comando show vtp counters para confirmar se os anncios aconteceram. Configurar portas de acesso Clique no boto Configurar portas de acesso na figura. O destaque da parte superior na sada do comando da tela confirma que o switch S2 est no modo cliente do VTP. Agora a tarefa configurar a porta F0/18 no switch S2 para que ela esteja na VLAN 20. A rea inferior destacada mostra o comando do Cisco IOS utilizado para configurar a porta F0/18 no switch S2 para que ela esteja na VLAN 20. Verses incompatveis do VTP

As verses 1 e 2 do VTP so incompatveis entre si. Os modernos switches Cisco Catalyst, como o 2960, so configurados para utilizar a verso 1 do VTP por padro. Porm, os switches mais antigos somente podem suportar a verso 1 do VTP. Os switches que suportam somente a verso 1 no podem participar do domnio VTP junto com switches da verso 2. Se sua rede contm switches que suportam somente a verso 1, necessrio que voc configure os switches de verso 2 manualmente para que operem no modo da verso 1. Clique no boto Soluo de verso de VTP na figura. Problemas de senha de VTP Ao utilizar uma senha de VTP para controlar a participao no domnio VTP, verifique se a senha est definida corretamente em todos os switches no domnio VTP. Esquecer de definir uma senha de VTP um problema muito comum. Se for utilizada uma senha, ela dever ser configurada em cada switch no domnio. Por padro, um switch Cisco no utiliza uma senha de VTP. O switch no define o parmetro de senha automaticamente, diferentemente de outros parmetros que so definidos automaticamente quando um anncio VTP recebido. Nome de domnio VTP incorreto O nome de domnio VTP um parmetro principal definido em um switch. Um domnio VTP configurado de modo inadequado afeta a sincronizao de VLAN entre switches. Conforme aprendido anteriormente, se um switch recebe o anncio VTP incorreto, ele descarta a mensagem. Se a mensagem descartada contiver informaes de configurao legtimas, o switch no sincronizar seu banco de dados de VLAN conforme o esperado. Clique em Reproduzir na figura para ver uma animao deste problema. Clique no boto Soluo de domnio VTP na figura. Soluo Para evitar a configurao incorreta de um nome de domnio VTP, defina apenas o nome de domnio VTP em um switch servidor VTP. Todos os outros switches no mesmo domnio VTP aceitaro e automaticamente configuraro seu nome de domnio VTP quando eles receberem o primeiro anncio sumarizado do VTP. Switches definidos no modo cliente de VTP possvel alterar o modo de operao de todos os switches para o modo cliente VTP. Desse modo, voc perde toda a capacidade de criar, excluir e gerenciar as VLANs dentro de seu ambiente de rede. Como os switches cliente VTP no armazenam as informaes de VLAN em NVRAM, eles precisam atualizar as informaes de VLAN depois de uma reinicializao. Clique em Reproduzir na figura para ver uma animao deste problema. Clique no boto Soluo na figura. Soluo Para evitar a perda de todas as configuraes de VLAN em um domnio VTP reconfigurando o nico servidor VTP no domnio acidentalmente como um cliente VTP, voc poder configurar um segundo switch no mesmo domnio como um servidor VTP. comum que redes pequenas que utilizam o VTP tenham todos os switches no modo servidor VTP. Se a rede estiver sendo gerenciada

por dois administradores, ser improvvel o surgimento de conflito entre configuraes de VLAN. Nmero de reviso incorreto Mesmo depois de configurar os switches corretamente em seu domnio VTP, existem outros fatores que podem afetar negativamente a funcionalidade do VTP. Problemas de nmero de reviso de configurao A topologia na figura est configurada com o VTP. H um switch no modo servidor VTP, S1, e dois switches no modo VTP, S2 e S3. Clique no boto Nmero de reviso incorreto na figura para executar uma animao que mostra como a adio de um switch com um nmero de reviso de configurao mais alto afeta o resto dos switches no domnio VTP. S4, que foi configurado anteriormente como um cliente VTP, adicionado rede. O nmero de reviso do switch S4 35, mais alto que o nmero de reviso de 17 na rede existente. S4 vem prconfigurado com duas VLANs, 30 e 40, que no esto configuradas na rede existente. A rede existente possui as VLANs 10 e 20. Quando o switch S4 conectado ao switch S3, os anncios sumarizados do VTP anunciam a chegada de um switch habilitado para VTP com o nmero de reviso mais alto na rede. A animao mostra como o switch S3, o switch S1 e, finalmente, o switch S2 so reconfigurados para a configurao localizada no switch S4. Como cada switch se reconfigura com as VLANs que no so suportadas na rede, as portas no encaminham mais o trfego dos computadores porque eles so configurados com as VLANs que no existem mais nos switches recentemente reconfigurados. Clique no boto Redefinir nmero de reviso na figura. Soluo A soluo para o problema redefinir a configurao de cada switch para a anterior e ento reconfigurar as VLANs corretas, 10 e 20, no switch S1. Para evitar este problema, em primeiro lugar, redefina o nmero de reviso de configurao nos switches previamente configurados que esto sendo acrescentados a uma rede habilitada para VTP. A figura mostra os comandos necessrios para redefinir o nmero de reviso do switch S4 de volta para o padro. Gerenciando VLANs em um servidor VTP Voc aprendeu sobre o VTP e como ele pode ser utilizado para simplificar as VLANs de gerenciamento em uma rede habilitada para VTP. Observe a topologia na figura. Quando uma nova VLAN, por exemplo, a VLAN 10, for adicionada rede, o gerente de rede adicionar a VLAN ao servidor VTP, o switch S1 na figura. Como voc sabe, o VTP trata de propagar os detalhes de configurao de VLAN para o resto da rede. Ele no tem nenhuma influncia sobre quais portas esto configuradas na VLAN 10 nos switches S1, S2 e S3. Clique no boto Configurar novas VLANs e portas na figura. A figura exibe os comandos utilizados para configurar a VLAN 10 e a porta F0/11 no switch S1. Os comandos para configurar as portas corretas para os switches S2 e S3 no so exibidos. Depois de configurar a nova VLAN no switch S1 e configurar as portas nos switches S1, S2 e S3 para suportar a nova VLAN, confirme se o VTP atualizou o banco de dados de VLAN nos switches

S2 e S3. Clique no boto show vtp status na figura. A sada do comando do comando utilizada para verificar a configurao no switch S2. A verificao para S3 no exibida. Clique no boto show interfaces trunk na figura. A sada do comando confirma que a nova VLAN foi adicionada a F0/1 no switch S2. A rea destacada mostra que a VLAN 10 est agora ativa no domnio de gerenciamento do VTP.