Você está na página 1de 160

Manual do usurio

SF 2842 MR
Switch Gerencivel 24 Portas Fast Ethernet + 4 Portas Gigabit Ethernet com 2 Portas
Mini-GBIC Compartilhadas.
SF 2842 MR
Parabns, voc acaba de adquirir um produto com a qualidade e segurana Intelbras.
O switch SF 2842 MR possui 24 portas Fast Ethernet 10/100 Mbps e mais 4 portas Gigabit Ethernet com 2 slots Mini-GBIC
compartilhadas, proporcionando altas taxas de transferncia de dados, permite a integrao de computadores, impresso-
ras, dispositivos VoIP como ATA e telefone IP, alm de compartilhamento de internet para os demais dispositivos conecta-
dos a ele (dependendo do tipo de acesso e equipamento de banda larga disponvel). Este switch integra mltiplas funes
com excelente desempenho e fcil confgurao.
ndice
1. Sobre o manual 5
1.1. Pblico destinado para o manual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5
1.2. Convenes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5
1.3. Estrutura do manual. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5
2. Introduo 7
2.1. Especifcaes tcnicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7
2.2. Viso geral do switch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9
2.3. Principais funes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9
2.4. Descrio do produto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9
3. Acesso interface de gerenciamento 11
3.1. Login . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11
3.2. Confgurao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12
4. System 12
4.1. System info . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12
4.2. User manage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17
4.3. System tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18
4.4. Access security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20
5. Switching 27
5.1. Port . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27
5.2. LAG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .32
5.3. Traffc monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35
5.4. MAC address . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37
6. VLAN 42
6.1. 802.1Q VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .43
6.2.Protocol VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .47
6.3. Exemplos de aplicao para 802.1Q VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .50
6.4. Exemplos de aplicao de VLAN por protocolo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .51
6.5. GVRP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .52
7. Spanning tree 55
7.1. STP confg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .58
7.2. Port confg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .60
7.3. MSTP instance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .62
7.4. STP security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .65
7.5. Exemplos de aplicaes para STP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .67
8. Multicast 70
8.1. IGMP snooping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .72
8.2. Multicast IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .78
8.3. Multicast flter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .80
8.4. Packet statistics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .83
9. QoS 84
9.1. DiffServ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .86
9.2. Bandwidth control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .90
9.3. Voice VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .92
10. ACL 96
10.1. Time-Range . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .96
10.2. ACL confg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .98
10.3. Policy confg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .102
10.4. Policy binding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .104
10.5. Exemplos de aplicao para ACL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .106
11. Network security 107
11.1. IP-MAC binding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .107
11.2. ARP inspection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .114
11.3. DoS defend . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .120
11.4. 802.1X . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .122
12. SNMP 128
12.1. SNMP confg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .129
12.2. Notifcation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .135
12.3. RMON . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .136
13. Cluster 139
13.1. NDP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .140
13.2. NTDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .143
13.3. Cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .146
13.4. Exemplo de aplicao da funo Cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .148
14. Maintenance 149
14.1. System monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .149
14.2. Log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .150
14.3. Device diagnose . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .153
14.4. Network diagnose . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .155
15. Restaurando para o padro de fbrica 156
Termo de garantia 158
5
1. Sobre o manual
Esse manual contm informaes para instalao e gerenciamento do switch SF 2842 MR. Por favor, leia esse manual com
ateno antes de operar o produto.
1.1. Pblico destinado para o manual
Esse manual destinado a gerentes de redes familiarizados com conceitos de TI.
1.2. Convenes
Nesse manual as seguintes convenes sero usadas:
System System Info System Sumary: signifca que a pgina System Sumary est dentro do submenu System Info,
que est localizada dentro do menu System Menu.
Itlico indica um boto, um cone na barra de ferramentas, menu ou um item de menu.
Avisos Descrio
Obs.: Ignorar esse tipo de aviso pode resultar em mau funcionamento ou danos ao produto.
1.3. Estrutura do manual
Captulo Introduo
1 - Sobre o manual Introduo de como o manual est estruturado.
2 - Introduo Introduo das funes, aplicao e aparncia do SF 2842 MR.
3. Acesso Interface
de Gerenciamento
Introduo para logar na interface de gerenciamento web do produto.
4 - System
Este mdulo utilizado para confguraes do sistema e propriedades do switch.
A seguir as principais informaes:
- System Info: confgurar a descrio, tempo do sistema e parmetros de redes do switch.
- User Manage: confgurao de usurios e senhas, alm de confgurar o nvel de acesso para cada usurio.
- System Tools: gerenciamento dos arquivos de confgurao do switch.
- Access Security: fornece diferentes medidas de segurana para acessar o gerenciamento web do switch.
5 - Switching
Este mdulo utilizado para confguraes bsicas do switch.
A seguir as principais informaes:
- Port - Confgurao bsica de portas.
- LAG - Confgurao de Agregao de Link (Link Aggregation Group - LAG). LAG permite a utilizao de mltiplas portas
para permitir o aumento da velocidade do link.
- Traffc Monitor - monitor de trfego em cada porta.
- MAC Address - confgurao da tabela de endereos MAC do switch.
6 - VLAN
Este mdulo utilizado para confgurar VLANs. A seguir as principais informaes:
- 802.1Q VLAN: Confgurao de VLANs baseada em portas.
- Protocol VLAN: Confgurao de VLANs baseada em protocolos.
- GVRP: O switch adiciona e remove VLANs automaticamente e transmite as novas informaes de registros de VLANs
para outros switches, sem a necessidade de confgurar cada VLAN individualmente.
7 - Spanning Tree
Este mdulo utilizado para confgurar a funo de spanning tree no switch.
A seguir as principais informaes:
- STP Confg: confgura e visualiza as confguraes globais da funo spanning tree.
- Port Confg: confgura parmetros da funo STP para cada porta.
- MSTP Instance: confgura a instncia MSTP.
- STP Security: confgura a proteo contra ataques maliciosos funo STP.
8 - Multicast
Este mdulo utilizado para confgurar a funo Multicast do switch.
A seguir as principais informaes:
- IGMP Snooping: confgurao global dos parmetros IGMP Snooping, propriedade da porta, VLAN e Multicast VLAN.
- Multicast IP: confgurao da tabela de IP Multicast.
- Multicast Filter: confgurao dos recursos de fltros de endereos Multicast.
- Packet Statistics: visualiza o trfego de mensagens IGMP em cada porta do switch.
9 - QoS
Este mdulo utilizado para confgurao de QoS, provendo qualidade e priorizando servios desejados.
A seguir as principais informaes:
- DiffServ: confgurao de prioridade por porta, 802.1P e DSCP, alm de confgurao do algoritmo de escalonamento.
- Bandwidth Control: controle de Banda por porta e confgurao do Storm Control.
- Voice VLAN: confgurao de Voice VLAN para garantir a prioridade e qualidade na transmisso do fuxo de voz dentro de
uma VLAN especfca.
6
10 - ACL
Este mdulo utilizado para fltrar pacotes atravs de regras e polticas predeterminadas, a fm de controlar o acesso de
usurios e pacotes ilegais rede.
A seguir as principais informaes:
- Time-Range: confgurao do tempo efetivo para a aplicao das regras de ACL.
- ACL Confg: criao e confgurao de regras para as ACLs.
- Policy Confg: confgurao de polticas de ACL.
- Policy Binding: vincula a poltica de ACL para uma porta ou VLAN especfca.
11 - Network Security
Este mdulo utilizado para confgurar medidas de proteo para a segurana da rede.
A seguir as principais informaes:
- IP-MAC Binding: permite vincular o endereo IP, endereo MAC, VLAN ID e o nmero da porta do switch que o host est
conectado, permitindo o acesso rede.
- ARP Inspection: confgurar a inspeo ARP para prevenir ataques ARP na rede.
- DoS Defend: confgurao de proteo a ataques de negao de servio (Denial of Service).
- 802.1X: confgurao de controle de acesso rede baseado em portas, provendo um mecanismo de autenticao
aumentando o segurana da rede.
12 - SNMP
Este mdulo utilizado para confgurar a funo SNMP, provendo um monitoramento e gerenciamento do switch na rede.
A seguir as principais informaes:
- SNMP Confg: defne as confguraes globais da funo SNMP.
- Notifcation: confgurao das notifcaes (Trap e Inform) para gerenciamento e monitoramento dos eventos.
- RMON: confgurao da funo RMON para monitorar a rede de forma mais efciente.
13 - CLUSTER
Este mdulo utilizado para confgurar a funo de cluster, utilizando os protocolos NDP e NTDP para descoberta de
vizinhos e manuteno da Topologia que envolve os dispositivos do Cluster.
A seguir as principais informaes:
- NDP: protocolo utilizado para obter informaes dos dispositivos vizinhos diretamente conectados.
- NTDP: protocolo utilizado pelo switch principal para coletar as informaes da topologia da rede.
- Cluster: permite confgurar o switch para pertencer a uma topologia com cluster ativo.
14 - Maintenance
Este mdulo utilizado para monitorar e gerenciar o switch.
A seguir as principais informaes:
- System Monitor: monitoramento da memria e CPU do Switch.
- Log: permite classifcar, visualizar e gerenciar informaes do sistema de forma efcaz.
- Device Diagnose: testa o status da conexo do cabo conectado ao switch, testa se a porta do switch e o dispositivo
conectado esto disponveis.
- Network Diagnose: testa se o endereo IP de destino est ao alcance do switch, bem como a quantidade de saltos
necessrios at alcan-lo.
15 - Restaurando para
o padro de fbrica
Como restaurar o switch ao padro de fbrica.
7
2. Introduo
Chipset Marvell 98DX1035 + 88E3083*3 + 88E1543*2
Dimenses (CxAxL) 440x220x44 mm - Padro EIA 19 com 1 U de altura
Material Ao
LED
Power Verde
System Verde
10/100 e 1000 Mbps Verde e amarelo
Portas
10/100M (RJ45) 24
10/100/1000M (RJ45) 4
Mini GBIC (SFP) 2 (compartilhadas com as portas 27 e 28)
Console (RJ45) 1
Cabeamento suportado
10BASE-T
Cabo UTP/STP categoria 3, 4, 5 (mximo 100m)
EIA/TIA-568 100 STP (mximo 100m)
100BASE-TX
Cabo UTP/STP categoria 5, 5e (mximo 100m)
EIA/TIA-568 100 STP (mximo 100m)
1000BASE-T
Cabo UTP/STP categoria 5e, 6 (mximo 100m)
EIA/TIA-568 100 STP (mximo 100m)
1000BASE-X Fibras Monomodo e Multimodo
Padres e protocolos
Padro IEEE
IEEE802.3, 802.3u, 802.3ab, 802.3z, 802.3x, 802.1p, 802.1Q ,
802.1x, 802.1d, 802.1w, 802.1s, 802.1v, 802.3ac
Padro IETF
RFC1541, RFC1112, RFC2236, RFC2618, RFC1757, RFC1157,
RFC2571, RFC2030
Outros padres e protocolos CSMA/CD, TCP/IP, SNMPv1/v2c/v3, HTTP, HTTPS, SSHv1/v2
Caractersticas bsicas
Mtodo de comutao Armazena e envia (Store-and-Forward)
Capacidade comutao 12.8 G
Tabela endereo MAC 8 K
Jumbo Frame 10240 Bytes
Taxa de encaminhamento de pacote 9.5 Mpps
VLAN
4 K VLANs ativas
4 K VID
Agregao de link (LAG)
8 grupos
8 portas por grupos
Multicast 256 grupos
QOS (Quality of Service) 4 Filas de prioridade
IP-MAC-PORT-VLAN Binding 512 entradas
Nmero de ACL 200
Caractersticas
Confgurao de portas
Auto negociao
Controle de fuxo
Espelhamento de portas
Estatsticas de trfego
Agregao de link
Agregao de link Manual
Agregao de link Dinmica (LACP)
Algoritmo baseado em endereo MAC de origem e destino
Algoritmo baseado em endereo IP de origem e destino
Tabela MAC
Filtro de endereo MAC
Endereo MAC Esttico
Endereo MAC Dinmico
2.1. Especifcaes tcnicas
8
Caractersticas
VLAN
VLAN baseado em porta
802.1Q Tag VLAN
VLAN por protocolo
VLAN de gerenciamento
Voice VLAN
GARP/GVRP
Spanning tree
802.1d spanning tree protocol (STP)
802.1w rapid spanning tree protocol (RSTP)
802.1s multiple spanning tree protocol (MSTP)
Loop Guard
Root Guard
TC-BPDU Guard
BPDU Guard
BPDU Filter
Gerenciamento Multicast
IGMP v1/v2/v3
IGMP Snooping
Fast Leave
Multicast VLAN
Static Multicast groups
Multicast Filter
IGMP statistics
QOS
4 Filas de prioridade
Algoritmos de escalonamento: SP, WRR, SP+WRR
Prioridade por porta
802.1p
DSCP
Storm Control (Broadcast, Multicast, Unknown unicast)
Controle de banda por porta
Segurana
Port Security
ARP Guard
DoS (Denial of Service)
ACL nas camadas 2,3,4 (L2/L3/L4)
Autenticao 802.1x (baseado por porta e endereo MAC)
Autenticao RADIUS
Guest VLAN
SSLv2/SSLv3/TLSv1
SSHv1/SSHv2
Restrio interface de gerenciamento baseado em endereo IP,
MAC e Porta
Gerenciamento
SNMP v1/v2c/v3
RMON (4 grupos)
Gerenciamento web (http/https)
CLI (Telnet, Console, SSHv1/v2)
Espelhamento de porta
Atualizao de frmware via TFTP/web
Confgurao backup/reload
Manuteno
DHCP Cliente
DHCP Snooping
DHCP Option 82
SNTP Cliente
BOOTP Cliente
Teste de Loopback
Ping
Tracert
System Log
CPU monitor
Alimentao Entrada 100-240 VAC, 50/60 Hz
9
Ambiente
Temperatura de operao 0C a 40C
Temperatura de armazenamento -40C a 70C
Umidade de operao 10% a 90% sem condensao
Umidade de armazenamento 5% a 90% sem condensao
Emisso de segurana e outros
Anatel
FCC Part 15 B Class A
CE: EN55022, EN61000-3-2, EN61000-3-3, EN55024, EN60950-1
RoHS
2.2. Viso geral do switch
Projetado para grupos de trabalho e departamentos, o switch SF 2842 MR da intelbras possui um alto desempenho e um
conjunto completo de recursos de gerenciamento de camada 2. Ele fornece uma variedade de caractersticas com elevado
nvel de segurana. A capacidade de confgurao inteligente fornece solues fexveis para uma escala varivel de redes.
ACL, 802.1x e inspeo ARP fornecem uma robusta estratgia de segurana. QoS e IGMP snooping/fltering otimizam as
aplicaes de voz e vdeo. O LACP aumenta a largura de banda agregada, otimizando o transporte de dados, evitando
gargalos na rede. SNMP, RMON, WEB/CLI/TELNET trazem uma grande variedade de polticas de gerenciamento. O SF 2842
MR traz mltiplas funes com excelente desempenho e facilidade de gerenciamento, o que corresponde a total necessi-
dade dos usurios que exigem um grande desempenho da rede.
2.3. Principais funes
Resilincia e disponibilidade
Agregao de Link (LACP), aumenta a largura de banda agregada, otimizando o transporte de dados crticos.
IEEE802.1s Multiple Spanning Tree, oferece alta disponibilidade de link em ambientes com vrias VLANs.
Snooping Multicast previne automaticamente a inundao de trfego Multicast IP.
Root Guard, proteje a bridge raiz de um ataque malicioso ou erros de confgurao.
Protocolos da camada de enlae
GVRP, (GARP VLAN Registration Protocol) permite a criao automtica de VLANs.
Suporte a 4K VLANs ativas e 4K VLAN ID.
Qualidade de servio
Suporte QoS nas camadas 2/3 com at 4 flas de prioridade por porta.
Controle de banda por porta, limitando o trfego de acordo com o valor determinado.
Segurana
Suporta vrios padres estabelecidos pela indstria e mtodos de autenticao de usurio, como 802,1x, RADIUS.
Inspeo de ARP dinmico, impedindo mensagens ARP no autorizado.
Lista de controle de acesso nas camadas 2/3/4 restringindo o acesso no confvel em um determinado recurso da rede.
Fornece criptografa de acesso SSHv1/v2, SSL 2.0/3.0 e TLS v1.
Gerenciamento
Suporta Telnet, CLI, SNMP v1/v2/v3, RMON e acesso web.
2.4. Descrio do produto
Painel frontal
O painel frontal do SF 2842 MR possui 24 portas Fast Ethernet 10/100 Mbps e mais 4 portas Gigabit Ethernet com 2
slots Mini-GBIC compartilhadas, 1 porta console (RJ45) para gerenciamento via linha de comando, alm de LEDs de
monitoramento.
10
Portas 10/100 Mbps: 24 portas 10/100 Mbps para conectar dispositivos com velocidade de 10 Mbps ou 100 Mbps.
Cada porta possui um LED correspondente.
Portas 10/100/1000 Mbps: 4 portas 10/100/1000 Mbps para conectar dispositivos com velocidade de 10 Mbps, 100
Mbps ou 1000 Mbps. Cada porta possui um LED correspondente.
Portas SFP: 2 portas Mini-Gbic para conectar mdulos SFP. As portas Mini-Gbic (27 e 28) so compartilhadas respec-
tivamente com as portas RJ45 (27 e 28). As portas compartilhadas no podem ser utilizadas simultaneamente, caso
contrrio, somente as portas Mini-Gbic sero ativadas.
Porta Console: 1 porta RJ45 para conectar com a porta serial de um computador para o gerenciamento e monitora-
mento do switch.
LEDs
No painel frontal so apresentados 30 LEDs de monitoramento, que seguem o comportamento a seguir:
LED STATUS INDICAO
PWR
Aceso Switch conectado a energia eltrica
Piscando Switch com problema na fonte de alimentao
Apagado Switch desligado ou com problema na fonte de alimentao
SYS
Aceso Switch est funcionando de forma anormal
Piscando Switch funcionando normalmente
Apagado Switch est funcionando de forma anormal
10/100 Mbps
Aceso Conexo vlida estabelecida, sem recepo/transmisso de dados
Piscando Conexo vlida estabelecida, com transmisso/recepo de dados
Verde Conexo vlida a 100 Mbps na porta correspondente
Amarelo Conexo vlida a 10 Mbps na porta correspondente
Apagado Nenhuma conexo vlida nesta porta, ou a porta est desativada
1000 Mbps
Aceso Conexo vlida estabelecida, sem recepo/transmisso de dados
Piscando Conexo vlida estabelecida, com transmisso/recepo de dados
Verde Conexo vlida a 1000 Mbps na porta correspondente
Amarelo Conexo vlida a 10/100 Mbps na porta correspondente
Apagado Nenhuma conexo vlida nesta porta, ou a porta est desativada
Ateno: os slots mini-GBIC (SFP) compartilham os mesmos LEDs indicadores com as portas 27 e 28.
Obs.: ao utilizar o slot mini-GBIC (SFP) com um mdulo de 100 Mbps ou 1000 Mbps, necessrio confgurar a velocidade
e o modo de transmisso correspondente ao mdulo, acessando a interface de confgurao no item Switching>Port>Port
Confg.
Para mdulos de 100 Mbps selecione 100 MFD, enquanto para os mdulos de 1000 Mbps selecione 1000 MFD.
Por padro, a velocidade e o modo de transmisso de uma porta SFP 1000 MFD.
Painel frontal
LEDs
11
Painel posterior
Painel posterior
O painel posterior possui um conector de alimentao de energia eltrica e um terminal de aterramento (representado
pelo smbolo ).
Terminal de aterramento: alm do mecanismo de proteo a surto eltrico que o switch possui, voc pode utilizar
o terminal de aterramento a fm de garantir uma maior proteo. Para informaes mais detalhadas, consulte o Guia
de instalao.
Conector do cabo de energia: para ligar o switch, conecte o cabo de energia (fornecido com o switch) no conector
do switch e a outra ponta em uma tomada eltrica no padro brasileiro de 3 pinos. Aps energiz-lo, verifque se o LED
PWR est aceso, indicando que o switch est conectado rede eltrica e pronto para ser utilizado. Para compatibilidade
com os padres eltricos mundiais, este switch projetado para trabalhar com uma fonte de alimentao automtica
com variao de tenso de 100 a 240 VAC, 50/60 Hz. Certifque-se que sua rede eltrica esteja dentro desta faixa.
3. Acesso interface de gerenciamento
3.1. Login
1. Para acessar a interface de confgurao, abra o navegador e na barra de endereos coloque o endereo
http://192.168.0.1, pressione a tecla Enter.
Dicas: para efetuar o login no switch, o endereo IP do seu computador deve estar defnido na mesma sub-rede. O endereo IP
192.168.0.x (x sendo qualquer nmero de 2 254), e mscara de rede igual a 255.255.255.0.
2. Logo aps uma tela de login ir aparecer, conforme imagem a seguir. Digite admin para o nome de usurio e senha,
ambos em letras minsculas. Em seguida, clique no boto Login ou pressione a tecla Enter.
Endereo IP
Tela de login
12
3.2. Confgurao
Depois de realizado o Login com sucesso, a pgina ir aparecer como mostra a fgura a seguir, e possvel confgurar as
funes clicando no menu de confgurao no lado esquerdo da tela.
Tela de confgurao
Obs.: clicando em Apply as novas confguraes fcaro ativas momentaneamente e sero perdidas ao reiniciar o switch.
Para tornar as modifcaes permanentes no switch, por favor, clique em Saving Confg.
4. System
O menu System utilizado para confgurao do sistema e possui quatro sub-menus: System Info, User Manage, System
Tools e Access Security.
4.1. System info
O sub-menu System Info utilizado principalmente para as confguraes bsicas do switch. Este sub-menu possui os
seguintes itens que podem ser confgurados: System Summary, Device Description, System Time e System IP.
System summary
Nesta pgina possvel visualizar o status das conexes das portas e as informaes do sistema.
O diagrama exibe o status das 24 portas 10/100 Mbps RJ45, 4 portas 10/100/1000 Mbps e 2 portas SFP do switch.
Escolha o menu System System Info System Summary para carregar a seguinte pgina:
Sumrio do sistema
13
Status das portas

Indica que a porta 100 Mbps no possui dispositivo conectado.

Indica que a porta 100 Mbps possui um dispositivo 100 Mbps conectado.

Indica que a porta 100 Mbps possui um dispositivo 10 Mbps conectado.
Indica que a porta 1000 Mbps no possui dispositivo conectado.

Indica que a porta 1000 Mbps possui um dispositivo 1000 Mbps conectado.

Indica que a porta 1000 Mbps possui um dispositivo 10 Mbps ou 100 Mbps conectado.
Indica que a porta SFP no possui dispositivo conectado.

Indicao de porta SFP possui um dispositivo 1000 Mbps conectado.

Indicao de porta SFP possui um dispositivo 100 Mbps conectado.

Ao passar o cursor do mouse por uma das portas, sero exibidas informaes detalhadas referentes porta desejada.
Informaes das portas
Port: exibe o nmero da porta do switch.
Type: exibe o tipo de porta do switch.
Speed: exibe a taxa de transmisso mxima da porta.
Status: exibe o status de conexo da porta.
Clique na porta desejada para visualizar a largura de banda utilizada. A fgura seguinte exibe a largura de banda utilizada
pela porta. O monitoramento realizado a cada quatro segundos, facilitando a anlise de deteco de problemas.
Detalhes da porta
14
Bandwidth utilization
Rx: selecione Rx para exibir a banda utilizada no recebimento de pacotes pela porta.
Tx: selecione Tx para exibir a banda utilizada na transmisso de pacotes pela porta.
Device Description
Nesta pgina voc pode confgurar a descrio do switch, incluindo o nome do dispositivo, localizao do dispositivo e
contato do sistema.
Escolha o menu System System Info Device Description para carregar a seguinte pgina.
Grfco de utilizao da porta
Descrio do switch
15
As seguintes opes so exibidas na tela:
Time info
Current system date: informa a data e hora atual do sistema.
Current time source: informa o modo de confgurao da data e hora.
Time confg
Manual: quando essa opo estiver selecionada, voc pode confgurar a data e hora manualmente.
Get GMT: quando essa opo estiver selecionada, voc pode confgurar o fuso horrio e o IP do servidor NTP. A
mudana somente ocorrer aps o switch se conectar ao servidor NTP.
Data/Hora do sistema
As seguintes opes so exibidas na tela:
Device description
Device name: digite o nome de identifcao do switch. Este campo permite no mximo 32 caracteres.
Device location: digite a localizao do switch. Este campo permite no mximo 32 caracteres.
System contact: digite o contato do switch. Este campo permite no mximo 32 caracteres.
System time
Nesta pgina voc pode confgurar a data e hora do sistema que sero utilizadas por outras funes que necessitam deste
tipo de informao, como por exemplo, ACL.
A confgurao poder ser realizada de forma automtica conectando-se a um servidor NTP, manualmente ou ainda
sincronizando com a data e hora do computador.
Escolha o menu System System info System Time para carregar a seguinte pgina:
16
Time zone: selecione o fuso horrio desejado.
Primary/Secondary NTP server: digite o endereo IP primrio e secundrio do servidor NTP.
Synchronize with PC's clock: ao selecionar esta opo, a data e hora do switch sero sincronizadas com a data
e hora do computador que est administrando o switch.
DST confg
DST status: habilita ou desabilita a funo DST (Horrio de vero).
Start time: selecione o dia e hora de incio do horrio de vero.
End time: selecione o dia e hora do trmino do horrio de vero.
Obs.: A Data/Hora do sistema ser reiniciada para o padro quando o switch for reiniciado.
Quando a opo Get GMT est selecionada e nenhum servidor NTP for encontrado, o switch receber a data e
hora do servidor de internet, se o switch estiver conectado a internet.
System IP
Cada dispositivo na rede possui um endereo IP nico. Voc pode fazer Login na interface web de gerenciamento atravs
deste endereo IP. O switch suporta trs modos para obteno do endereo IP: Static IP, DHCP e BOOTP. Um endereo IP
obtido usando um novo modo, substituir o endereo IP original.
Escolha o menu System System Info System IP para carregar a seguinte pgina:
Endereo IP
As seguintes opes so exibidas na tela:
IP confg
MAC address: exibe o endereo MAC do switch.
IP address mode: selecione o modo como o switch obter o endereo IP.
Static IP: quando essa opo for selecionada, voc dever colocar o endereo IP, mscara de rede e gateway
padro manualmente.
DHCP: quando essa opo estiver habilitada, o switch receber o endereo IP e parmetros de rede atravs de
um servidor DHCP.
BOOTP: quando essa opo estiver habilitada, o switch receber o endereo IP e parmetros de rede atravs de
um servidor BOOTP.
Management VLAN: digite a VLAN de gerenciamento do switch. Somente atravs da VLAN de Gerenciamento que
possvel obter acesso interface de gerenciamento web do switch. Por padro, a VLAN de Gerenciamento e todas
as portas do switch esto confguradas na VLAN 1. No entanto, se outra VLAN criada e defnida para ser a VLAN
de Gerenciamento, ser necessrio reconectar o computador em uma porta que pertence a VLAN de Gerenciamento
para poder ter acesso interface web do switch.
Subnet MASK: entre com a mscara de sub-rede do switch quando estiver selecionado o modo Static IP.
Default gateway: digite o gateway padro do switch quando estiver selecionado o modo Static IP.
17
Tabela de usurios
User confg
Nesta pgina voc pode confgurar os nveis de acesso que os usurios tero ao logar na pgina de gerenciamento web.
O switch possui dois nveis de acesso: Guest e Admin. No nvel de acesso guest somente possvel visualizar as conf-
guraes a serem realizadas, j no nvel admin possvel realizar a confgurao de qualquer funo presente no switch.
Escolha o menu System User Manage User Confg para carregar a seguinte pgina:
Confgurao dos usurios
Obs.: Alterando o endereo IP, para um IP localizado em uma sub-rede diferente, ocorrer perda na comunicao com o switch.
Para isso no acontecer, mantenha o endereo IP do switch dentro da mesma sub-rede da rede local.
O switch possui somente um endereo IP. O endereo IP confgurvel substituindo o endereo IP original.
Se voc confgurar o switch para receber o endereo IP de um servidor DHCP, voc poder ver a confgurao do
endereamento IP no servidor DHCP, se a opo DHCP for selecionada e no existir um servidor DHCP na rede,
aps alguns minutos o switch ir restaurar a confgurao padro.
Se for escolhida a opo DHCP ou BOOTP, o switch ir receber parmetros de rede dinmicamente, ento o
endereo IP, mscara de rede e gateway padro no podero ser confgurados.
Por padro, o endereo IP do switch 192.168.0.1.
4.2. User manage
O sub-menu User Manage utilizado para realizar a confgurao de usurios e senhas com nveis de acessos diferentes
ao logar na pgina de gerenciamento web. Este sub-menu possui os seguintes itens: User Table e User Confg.
User table
Nesta pgina voc pode visualizar informaes sobre os usurios correntes do switch.
Escolha o menu System User Manage User Table para carregar a seguinte pgina:
18
As seguintes opes so exibidas na tela:
User info
User name: digite o nome de usurio que ser criado.
Access level: selecione o nvel de acesso do usurio ao realizar login.
admin: admin pode editar, modifcar e visualizar todas as confguraes.
guest: guest somente pode visualizar as confguraes sem poder confgur-las.
User status: selecione Enable/Disable para habilitar ou desabilitar o usurio.
Password: digite a senha desejada para o usurio realizar o login.
Confrm password: repita a senha para confrm-la.
User table
Select: selecione o usurio desejado e clique no boto Delete para remover o usurio do sistema. O usurio corrente
no poder ser removido.
User ID, name, access level and status: exibe o ID, nome, nvel de acesso e status do usurio.
Operation: clique no boto Edit para editar as informaes do usurio correspondente. Aps modifcar as confgura-
es, clique no boto Modify para valid-las. No possvel modifcar a confgurao do usurio corrente.
4.3. System tools
No sub-menu System Tools, possvel gerenciar os arquivos de confgurao do switch, atualizar o frmware, reiniciar e
restaurar ao padro de fbrica. Este sub-menu possui cinco itens de confgurao: Confg Restore, Confg Backup, Firmwa-
re Upgrade, System Reboot e System Reset.
Confg restore
Nesta pgina voc pode realizar o upload de um arquivo de confgurao previamente salvo, restaurando o switch para
uma confgurao anterior.
Escolha o menu System System Tools Confg Restore para carregar a seguinte pgina:
Restaurao das confguraes
As seguintes opes so exibidas na tela:
Confg restore:
Restore confg: selecione o arquivo de confgurao previamente salvo em seu computador e clique no boto
Restore Confg para restaurar as confguraes.
Obs.: A restaurao das confguraes levar alguns segundos. Por favor, espere sem realizar nenhuma outra operao.
Enquanto as confguraes estiverem sendo restauradas, no desligue o switch da alimentao eltrica.
Aps serem restauradas, as confguraes atuais sero perdidas, fazer o upload de um arquivo de backup errado
pode fazer com que o switch perca o gerenciamento.
Confg backup
Nesta pgina voc poder realizar o backup das confguraes atuais do switch e salv-los em um arquivo no seu com-
putador, para uma restaurao futura.
Escolha o menu System System Tools Confg Backup para carregar a pgina.
19
As seguintes opes so exibidas na tela:
Confg backup
Backup confg: clique no boto Backup Confg para salvar as confguraes atuais em um arquivo no seu computa-
dor. Essa sugesto pode ser adotada antes de realizar uma atualizao.
Obs.: o backup das confguraes poder levar alguns segundos.
Firmware upgrade
O switch pode ser atualizado pela pgina de gerenciamento web. Para atualizar o sistema com a verso mais atualizada
do frmware, faa o download atravs do site da Intelbras www.intelbras.com.br. recomendvel que seja feito um backup
das confguraes do switch antes do procedimento, pois a atualizao do frmware pode causar a perda de todas as
confguraes existentes.
Escolha no menu System System Tools Firmware Upgrade para carregar a seguinte pgina:
Obs.: No interrompa a atualizao do switch.
Selecione a verso de software apropriada para seu hardware.
Aps a atualizao do frmware, o switch reiniciar automaticamente. Esta atualizao poder levar alguns
minutos.
sugerido que voc faa um backup das confguraes antes de atualizar.
System reboot
Nesta pgina possvel reiniciar o switch e retornar a pgina de login. Salve as confguraes atuais antes de reiniciar o
switch para evitar a perda de confguraes realizadas que no foram salvas.
Escolha o menu System System Tools System Reboot para carregar a seguinte pgina.
Backup das confguraes
Atualizao do frmware
20
Obs.: para evitar danos, por favor, no desligue o switch durante a reinicializao.
System reset
Nesta pgina voc pode restaurar o switch para a confgurao padro de fbrica. Todas as confguraes sero perdidas
aps o switch reiniciar.
Escolha no menu System System Tools System Reset para carregar a pgina.
Reiniciando o Sistema
Restaurando para o padro de fbrica
Obs.: depois que o sistema reiniciar, todas as confguraes sero apagadas, o switch fcar com a confgurao de fbrica.
4.4. Access security
O sub-menu Access Security possui diferentes tipos de segurana para login remoto, aumentando o nvel de segurana no
gerenciamento de confgurao do switch. Voc pode realizar essas confguraes atravs de trs itens de confgurao:
Access Control, SSL Confg e SSH Confg.
Access control
Nesta pgina voc pode controlar os usurios que podero acessar a pgina de gerenciamento web. Para melhorar as
confguraes de segurana, utilize os nveis de acesso de usurio, explicado no tem User Manage.
Escolha o menu System Access Security Access Control para carregar a seguinte pgina.
21
As seguintes informaes so exibidas na tela:
Access control confg
Control mode: selecione o modo de controle de login para a pgina de gerenciamento web dos usurios.
IP-based: selecione essa opo para especifcar os endereos IPs dos computadores que podero realizar login
no switch.
MAC-based: selecione essa opo para especifcar os endereos MACs dos computadores que podero realizar
login no switch.
Port-based: selecione essa opo para especifcar em quais portas do switch os computadores devero estar
conectados para poder realizar login no switch.
IP Address&Mask: este campo somente estar disponvel quando for selecionado o modo de controle IP-based.
Somente o computador atual e os que estiverem dentro da faixa de endereos IPs podero realizar login no switch.
MAC address: este campo somente estar disponvel quando for selecionado o modo de controle MAC-based.
Somente o computador atual e os que estiverem dentro da faixa de endereos MAC podero realizar login no switch.
PORT: este campo somente estar disponvel quando for selecionado o modo de controle Port-based. Somente o
computador atual e os que estiverem conectados as portas correspondentes podero realizar login no switch.
Session confg
Session timeout: tempo em minutos de ociosidade do switch para desconectar o usurio. O tempo varia entre 5 e
30 minutos, o padro de 10 minutos.
Access user number
Number control: selecione Enable/Disable para habilitar ou desabilitar a funo de controle do nmero de usurio.
Admin number: digite o nmero mximo de usurios que podero logar no switch com nvel de acesso admin. Este
nmero varia de 1 a 16 usurios simultaneamente.
Guest number: digite o nmero mximo de usurio que podero logar no switch com nvel de acesso guest. Este
nmero varia de 0 a 15 usurios simultaneamente.
Controle de acesso
22
Confgurao SSL
SSL confg
SSL (Secure Sockets Layer) um protocolo de segurana, fornece uma conexo segura na camada de aplicao do modelo
OSI (por exemplo, HTTP). SSL utilizado para proteger a transmisso de dados entre o navegador da web e o servidor.
amplamente utilizado pelo comrcio eletrnico e servios bancrios on-line. O SSL oferece os seguintes servios:
1. Autenticar os usurios e os servidores com base em certifcados, assegurando que os dados sero transmitidos para os
servidores e usurios corretos.
2. Encriptao dos dados transmitidos, prevenindo uma interceptao ilegal dos pacotes.
3. Manter a integridade dos dados, garantindo que no sero alterados na transmisso.
Adotando a tecnologia de criptografa assimtrica, o SSL utiliza um par de chaves para criptografar e descriptografar in-
formaes. Este par de chaves referenciado como chave pblica (contidas no certifcado) e sua chave privada correspon-
dente. Por padro o switch possui um certifcado autoassinado e uma chave privada correspondente. A opo Certifcate
Download e Key Download permite ao usurio substituir o par de chaves padro do switch.
Aps o SSL estar em funcionamento, voc pode realizar login na interface web de gerenciamento do switch de forma
segura, digitando https://192.168.0.1. Na primeira vez que voc logar no switch com o SSL ativado, ser exibida uma men-
sagem de erro de certifcado, como por exemplo, O Certifcado de Segurana apresentado pelo site no foi emitido por
uma Autoridade de Certifcao confvel ou Erros de certifcado. Por favor, adicione este certifcado para certifcados
confveis ou clique em continuar no site.
Escolha no menu System Access Security SSL Confg para carregar a seguinte pgina:
As seguintes opes so exibidas na tela:
Global confg
SSL: selecione Enable/Disable para habilitar ou desabilitar a funo SSL do switch.
Certifcate download
Certifcate File: selecione o certifcado que deseja transferir para o switch, o certifcado dever ser codifcado em
BASE64.
Key download
Key File: selecione a chave que deseja transferir para o switch. A chave deve ser codifcada em BASE64.
Obs.: O certifcado SSL e a chave devem ser correspondidas, caso contrrio a conexo SSL no ir funcionar.
O certifcado SSL e a chave no tero efeitos at que o switch reinicie.
Para estabelecer uma conexo segura durante a confgurao do switch, digite na barra de endereo de seu
navegador https://192.168.0.1.
Uma conexo HTTPS pode demorar um pouco mais que uma conexo HTTP, isso porque em uma conexo HTTPS
envolve autenticao, criptografa e descriptografa.
23
As seguintes informaes so exibidas na tela:
Global confg
SSH: selecione Enable/Disable para habilitar ou desabilitar a funo SSH.
Protocol V1: selecione Enable/Disable para habilitar ou desabilitar a verso v1 do SSH.
Protocol V2: selecione Enable/Disable para habilitar ou desabilitar a verso v2 do SSH.
Idle timeout: digite o tempo em segundos, em que o switch aguardar para desconectar a conexo SSH, caso esteja
ociosa. Por padro este tempo de 500 segundos e pode variar de 1 a 999 segundos.
Max connect: digite o nmero mximo de conexes SSH que o switch suportar simultaneamente. O valor padro
5 e pode variar de 1 a 5.
Confgurao SSH
SSH confg
Conforme estipulado pela IETF (Internet Engineering Task Force), o SSH (Secure Shell) um protocolo de segurana es-
tabelecido nas camadas de transporte e aplicao. A conexo criptografada do ssh semelhante a uma conexo telnet,
porm as conexes remotas como o telnet no so seguras, pois as senhas e os dados so transmitidos em forma de texto
claro, isto , no possui criptografa, sendo facilmente captadas e interpretadas por pessoas no autorizadas. O SSH prov
informaes de autenticao segura mesmo que voc se autentique no switch atravs de um ambiente de rede inseguro.
Ele criptografa todos os dados envolvidos na transmisso e evita que as informaes sejam interceptadas.
O SSH composto por um servidor e um cliente, possui duas verses, V1 e V2 que no so compatveis entre si. Na co-
municao entre o servidor e o cliente, o SSH pode negociar em qual verso ir operar e qual algoritmo de criptografa ir
usar. Aps realizar com sucesso a auto negociao o cliente envia a solicitao de autenticao ao servidor para o login,
s depois de autenticado que podero se comunicar.
O switch possui a funo de servidor SSH, com isso voc pode instalar em seu computador um software SSH cliente para se
conectar com o switch. A chave SSH pode ser salva no switch, se a chave for salva com xito a autenticao de certifcado
dar preferncia a essa chave.
Escolha no menu System Access Security SSH Confg para carregar a seguinte pgina:
24
Key download
Key Type: selecione o tipo da chave que ser utilizado pelo SSH. O switch suporta trs tipos: SSH-1 RSA, SSH-2 RSA
e SSH2-DSA.
Key File: selecione a chave correspondente ao tipo de chave utilizado para download.
Download: clique no boto Download para salvar chave no switch.
Obs.: Por favor, tenha certeza que a chave SSH transferida possua tamanho entre 256 e 3072 bits.
Aps salvar a nova chave SSH, a chave original ser substituda.
Caso uma chave SSH seja salva erradamente, o acesso SSH ser realizado atravs da senha de autenticao.
Primeiro exemplo de aplicao SSH
Requisitos de rede
1. Faa Login no switch utilizando um software cliente SSH. A funo SSH do switch dever estar habilitada.
2. Recomendamos o uso do programa PuTTY como software cliente SSH.
Procedimento de confgurao
1. Abra o programa PuTTY e digite o endereo IP do Switch no campo Host Name (or IP address), mantenha o valor
padro do campo Port como 22, selecione Connection type como SSH, conforme imagem a seguir.
2. Clique no boto Open para fazer o login no switch. Ser exibido um terminal de linha de comandos, digite o nome
de usurio e senha do switch (usurio e senha padro do switch admin), aps realizado o login, ser possvel
gerenciar o switch atravs do terminal de linha de comando, conforme imagem a seguir.
Confgurao do PuTTY
Terminal de linha de comandos
25
Segundo exemplo de aplicao SSH
Requisitos de rede
1. Faa Login no switch utilizando um software cliente SSH, com chaves criptogrfcas geradas pelo usurio. A funo
SSH do switch dever estar habilitada.
2. Recomendamos o uso do programa PuTTY como software cliente SSH, PuTTY Key Generator para a gerao das
novas chaves criptogrfcas e Pageant Key List para carregar a chave privada gerada. Todos estes programas esto
disponveis para download gratuitamente no site do fabricante do software PuTTY.
Procedimento de confgurao
1. Abra o programa PuTTY Key Generator e selecione o tipo e o comprimento da chave SSH e clique no boto Gene-
rate, conforme imagem a seguir:
Obs.: O comprimento da chave SSH dever possuir tamanho entre 256 e 3072 bits.
Durante a gerao da chave SSH, mova o cursor do mouse aleatoriamente para auxiliar no processo de gerao
da chave.
2. Aps as chaves serem geradas com sucesso, por favor, salve-as em seu computador, utilizando os botes Save public Key
e Save private Key, conforme imagem a seguir:
PuTTY Key Generator
PuTTY Key Generator
26
3. Na pgina de gerenciamento web do switch, faa o download da chave pblica gerada que est salva em seu computa-
dor para o switch, conforme imagem a seguir:
Obs.: O tipo de chave confgurada no switch dever estar de acordo com o tipo de chave criada.
No interrompa o download da chave SSH.
4. Utilize o programa Pageant Key List para carregar a chave privada criada, que ser utilizada pelo software cliente SSH,
conforme imagem a seguir:
Download da chave SSH
5. Aps os procedimentos de criao e carregamento das chaves criptogrfcas, por favor acesse a interface do PuTTY e
insira o endereo IP para login no switch, conforme imagem a seguir:
Carregando a chave privada
Conectando no switch via SSH
27
5. Switching
O menu Switching usado para confguraes bsicas do switch, incluindo quatro sub-menus: Port, LAG, Traffc Monitor
e MAC Address.
5.1. Port
O sub-menu Port permite confgurar recursos bsicos utilizados pelas portas do switch, a confgurao pode ser realizada
nas seguintes pginas: Port Confg, Port Mirror, Port Security e Port Isolation.
Port confg
Nesta pgina so confgurados os parmetros bsicos para as portas, quando a porta est desativada todos os pacotes
sero descartados. Todos os parmetros afetaro o modo de funcionamento das portas, por favor, defna os parmetros
adequados conforme sua necessidade.
Escolha o menu Switching Port Port Confg para carregar a seguinte pgina:
Autenticao bem sucedida
Parmetros das portas
Aps autenticao bem sucedida, digite o nome de usurio. Se voc fzer login no switch sem precisar digitar a senha,
signifca que a chave foi salva com xito, conforme imagem a seguir.
28
As seguintes informaes so exibidas na tela:
Port: digite o nmero da porta desejada dentro do campo correspondente e clique no boto Select para selecionar a porta.
Select: selecione a porta desejada para realizar a confgurao. Nesta opo possvel selecionar mais de uma porta
simultaneamente.
Port: exibe o nmero da porta.
Description: digite uma descrio para a porta.
Status: permite Habilitar/Desabilitar a porta. Quando a porta estiver habilitada o switch poder encaminhar os pacotes
normalmente.
Speed and duplex: escolha a velocidade e o modo Duplex para porta. O dispositivo conectado ao switch deve estar na
mesma velocidade e modo Duplex . Quando o modo Auto for selecionado o modo Duplex ser determinado pela auto
negociao. As portas SFP no suportam auto negociao.
Flow control: permite Habilitar/Desabilitar o controle de fuxo. Quando o Flow Control ativado, o switch pode sincroni-
zar a transmisso de dados, evitando a perda de pacotes causada por congestionamentos na rede.
LAG: exibe o nmero do grupo LAG a qual a porta pertence.
Obs.: No desabilite a porta usada para o gerenciamento do switch.
As portas membros de um grupo LAG devem possuir os mesmos parmetros de confgurao de porta.
Ao utilizar mdulos SFP de 100 Mbps ou 1000 Mbps, necessrio confgurar o parmetro Speed and Duplex.
Para mdulos de 100 Mbps, selecione o modo 100MFD, para mdulos Gigabit selecione 1000MFD. Por padro
o switch vem confgurado com o modo 1000MFD.
Port mirror
Nesta pgina possvel confgurar o espelhamento de portas. Esta funo permite o encaminhamento de cpias de
pacotes de uma ou mais portas (mirrored port) para uma porta defnida como porta espelho (mirroring port). Geralmente
o espelhamento de portas utilizado para realizar diagnsticos e anlise de pacotes, a fm de monitorar e solucionar
problemas na rede.
Escolha o menu Switching Port Port Mirror para carregar a seguinte pgina:
Espelhamento de portas
29
As seguintes informaes so exibidas na tela:
Mirror group
Number: selecione o grupo de portas espelhadas que deseja confgurar.
Mirroring port
Mirroring port: selecione a porta espelho (Mirroring Port)
Mirrored port
Port: digite o nmero da porta espelhada (mirrored port) dentro do campo correspondente e clique no boto Select
para selecionar a porta.
Select: selecione a porta espelhada (mirrored port). Nesta opo possvel selecionar mais de uma porta simultane-
amente.
Port: exibe o nmero da porta.
Confgurao do espelhamento de portas
As seguintes opes so exibidas na tela:
Mirror group list
Group: exibe o nmero do grupo das portas espelhadas.
Mirroring: exibe o nmero da porta espelho (mirroring port).
Mode: exibe a direo dos pacotes espelhados, Ingress pacotes recebidos, Egress pacotes enviados.
Mirrored port: exibe as portas espelhadas (mirrored port).
Operation: clique em Edit para confgurar o grupo de portas espelhadas desejado.
Ao clicar em Edit, ser exibido a seguinte pgina:
30
Ingress: selecione Enable/Disable para habilitar ou desabilitar o recurso de encaminhamento dos pacotes recebidos pela
porta espelhada. Uma cpia desses pacotes ser enviada para a porta espelho.
Egress: selecione Enable/Disable para habilitar ou desabilitar o recurso de encaminhamento dos pacotes enviados pela
porta espelhada. Uma cpia desses pacotes ser enviada para a porta espelho.
LAG: exibe o nmero do grupo LAG que a porta pertence. Uma porta membro de um grupo LAG no pode ser selecio-
nada como porta espelhada ou porta espelho.
Obs.: Portas membros de um grupo LAG no podem ser selecionadas como porta espelhada ou porta espelho.
Uma porta no pode ser simultaneamente porta espelhada ou porta espelho.
A funo de espelhamento abrange varias VLANs.
Port security
Quando um equipamento de rede conectado a uma das portas do switch, este aprende o endereo MAC do dispositivo
e cria uma associao entre o endereo MAC e o nmero da porta, criando uma entrada na tabela de encaminhamento
(Tabela de Endereos MAC). Esta tabela a base para que o switch possa encaminhar os pacotes rapidamente, entre o en-
dereo de origem e destino, diminuindo o trfego em broadcast. Existem tambm recursos de fltragem de endereos MAC,
permitindo que o switch fltre pacotes indesejados proibindo seu encaminhamento, melhorando a segurana da rede.
Escolha no menu Switching Port Port Security para carregar a seguinte pgina:
Port security
As seguintes informaes so apresentadas na tela:
Port security
Select: selecione a porta que ser confgurada o Port Security. Nesta opo possvel selecionar mais de uma porta
simultaneamente.
Port: exibe o nmero da porta.
Max learnerd MAC: especifque o nmero mximo de endereos MAC que podero ser aprendido pelo switch na
porta desejada.
Learned num: exibe o nmero de endereos MAC que j fora aprendidos pela porta.
31
As seguintes informaes so apresentadas na tela:
Port isolation confg
Port: selecione a porta que ser confgurada como Port Security.
Forward portlist: selecione as portas que podero se comunicar com a porta confgurada como Port Security. Nesta
opo possvel selecionar mais de uma porta simultaneamente.
Port isolation list
Port: exibe o nmero da porta do switch.
Forward portlist: exibe a lista de portas que podero se comunicar com a porta confgurada como Port Security.
Port isolation
Leran Mode: selecione o modo de aprendizagem da porta.
Dynamic: neste modo, o endereo MAC aprendido ser excludo da tabela de endereos MAC automaticamente
aps terminar o tempo de envelhecimento (aging time).
Static: neste modo, o endereo MAC dever ser includo ou removido manualmente, os endereos MAC esttico
no possuem tempo de envelhecimento (aging time).
Permanent: neste modo, as entradas aprendidas somente podero ser removidas manualmente, no participar
do processo de envelhecimento (aging time) e tambm no sero apagadas ao reiniciar o switch.
Status: selecione Enable/Disable para habilitar ou desabilitar a funo Port Security para a porta especifcada.
Obs.: A funo Port Security ser desabilitada para as portas membros de grupos LAG.
A funo Port Security desabilitada quando a funo 802.1X est ativada.
Port isolation
Port Isolation fornece um mtodo para restringir o fuxo do trfego para melhorar a segurana da rede. Esta funo
basicamente permite que uma porta somente possa encaminhar pacotes para as portas que esto em sua lista de en-
caminhamento. Este mtodo de segmentar o fuxo do trfego semelhante a utilizar VLANs, porm com mais restrio.
Escolha no menu Switching Port Port Isolation para carregar a seguinte pgina:
32
5.2. LAG
LAG (Link Aggregation Group) a funo de agregao de links, permite a utilizao de mltiplas portas para permitir o
aumento da velocidade do link alm dos limites nominais de uma nica porta, introduz controle de falhas e redundncia
para a conexo a outro dispositivo que disponha do mesmo recurso. As portas pertencentes a um grupo LAG devem
possuir as mesmas confguraes caso utilizadas com as seguintes funes: STP, QoS, GVRP, VLAN, MAC Address Learning.
Seguem as explicaes.
Portas que estiverem habilitadas as funes GVRP, 802.1Q VLAN, Voice VLAN, STP, QoS, DHCP Snooping e Port Confgu-
ration (Speed e Duplex, Flow Control) e que participam de um mesmo grupo LAG, devero obrigatoriamente possuir as
mesmas confguraes.
Portas que estiverem habilitadas as funes Port Security, Port Mirror, MAC Address Filtering, Static MAC Address Binding
e 802.1X, no podero ser adicionadas a um grupo LAG.
No recomendado adicionar portas a um grupo LAG que estejam habilitadas com as funes ARP inspection e DoS
Defend.
recomendvel confgurar primeiramente os grupos LAG antes de confgurar as demais funes.
Dicas: Como calcular a largura de banda em uma Agregao de Link: Suponhamos que um grupo LAG possua quatro portas com
velocidade de 1000 Mbps Full Duplex, a largura de banda total do grupo LAG de 8000 Mbps (2000 Mbps * 4) isto porque a
largura de banda de cada porta de 2000 Mbps, sendo 1000 Mbps de uplink e 1000 Mbps de downlink.
O balanceamento de carga entre as portas pertencentes a um grupo LAG ser de acordo com o algoritmo de balanceamento
confgurado. Se a conexo de uma porta estiver com perdas de pacotes, o trfego ser transmitido pelas portas que estejam
normais. De modo a garantir a confabilidade da conexo.
A funo de Agregao de Link confgurada nas pginas LAG Table, Static LAG e LACP Confg.
LAG table
Nesta pgina voc pode visualizar e confgurar as informaes atuais dos grupos LAG.
Escolha no menu Switching LAG LAG Table para carregar a seguinte pgina:
As seguintes informaes so exibidas na tela:
Global confg
Hash algorithm: selecione o algoritmo de balanceamento de carga utilizado pelas portas de um grupo LAG.
SRC MAC + DST MAC: este algoritmo utiliza o endereo de MAC de origem e de destino para realizar o balan-
ceamento de carga.
SRC IP + IP DST: este algoritmo utiliza o endereo IP de origem e de destino para realizar o balanceamento de carga.
LAG table
Select: selecione o grupo LAG desejado. Nesta opo possvel selecionar mais de um grupo simultaneamente.
Group number: exibe o nmero do grupo LAG.
Description: exibe a descrio do grupo LAG.
Tabela de agregao de link (LAG)
33
Static LAG
Nesta pgina possvel confgurar grupos LAGs estaticamente. O recurso LACP est desabilitado para as portas membros
de grupos LAGs adicionados manualmente.
Escolha no menu Switch LAG Static LAG para carregar a seguinte pgina:
Detalhes do grupo LAG
Agregao de link esttica
Member: exibe as portas membros do grupo LAG.
Operation: permite visualizar informaes detalhadas ou modifcar as confguraes de cada grupo LAG.
Edit: clique em Edit para modifcar as confguraes do grupo LAG desejado.
Detail: clique em Detail para exibir informaes detalhadas do grupo LAG desejado.
34
As seguintes informaes so exibidas na tela:
LAG confg
Group number: selecione o nmero do grupo LAG.
Description: digite uma descrio para o grupo LAG.
LAG Table
Member port: selecione as portas que participaro do grupo LAG. Para apagar um grupo LAG, remova todas as
portas participantes do grupo.
Dicas: Para apagar um grupo LAG, remova todas as portas participantes do grupo.
Uma porta somente poder participar de um grupo LAG. Se a porta j membro de um grupo LAG ou se est confgurado para
um grupo de agregao dinmica (LACP) a porta ter seu nmero exibido em cinza e no poder ser selecionada.
LACP confg
LACP (Link Aggregation Control Protocol) defnida pela norma IEEE802.3ad, e permite a agregao e desagregao
de link de forma dinmica, realizado atravs de trocas de pacotes LACP. Com o recurso LACP ativado, o switch enviar
pacotes contendo a identifcao da agregao de link (ID) para o seu parceiro e outras informaes como Prioridade,
Endereo MAC do switch e Chave Administrativa. Uma agregao de link dinmica, somente ser realizada entre portas
de switches com o mesmo ID de agregao de link.
Pode se formar at catorze grupos de agregao de link no switch. Se a quantidade confgurada de grupos de agregao
exceder o nmero mximo, o grupo que possuir o menor valor em System Priority ter prioridade na realizao da
agregao de link.
Do mesmo modo, at oito portas podem ser selecionadas para um grupo de agregao, portanto a porta tambm possui
uma prioridade para ser selecionada como membro de um grupo de agregao de link dinmico. A porta com menor valor
em Port Piority ter prioridade para realizar a agregao. Se duas portas possurem prioridades iguais, a porta de nmero
mais baixo ter a preferncia.
Nesta pgina voc pode confgurar a funo LACP para o switch.
Escolha o menu Switching LACP LACP Confg para carregar a seguinte pgina:
LACP (agregao de link dinmica)
35
As seguintes informaes so exibidas na tela:
Global confg
System Priority: especifque o valor para a Prioridade do Sistema LACP. A prioridade do sistema combinado com
o endereo MAC do switch constituem o ID de agregao. A agregao dinmica s ser formada com grupos de
agregao contendo o mesmo ID de agregao.
LACP confg
Port: digite o nmero da porta desejada dentro do campo correspondente e clique no boto Select para selecionar
a porta.
Select: selecione a porta desejada para confgurao LACP. Nesta opo possvel selecionar mais de uma porta
simultaneamente.
Port: exibe o nmero da porta.
Description: digite uma descrio para a porta.
Admin key: especifque o valor da chave administrativa para a porta. Esta opo defne a capacidade de agregao
entre as portas. As portas membros da agregao dinmica devem possuir a mesma chave de admin.
Port priority: especifque o valor para o Port Priority. possvel confgurar a priorizao de portas que pertencem ao
mesmo grupo de agregao dinmica. A porta com menor valor em Port Priority ter maior prioridade para realizar
a agregao. Se duas portas possurem prioridades iguais, a porta de nmero mais baixo ter a preferncia.
Status: enable/disable habilita ou desabilita a funo LACP para a porta selecionada.
LAG: exibe o nmero do grupo LAG a qual a porta pertence.
5.3. Traffc monitor
No sub-menu Traffc Monitor possvel monitorar e visualizar informaes detalhadas do trfego em cada porta do switch
atravs das pginas Traffc Summary e Traffc Statistics.
Traffc summary
A pgina Traffc Summary exibe informaes do trfego em cada porta, o que facilita o monitoramento do trfego da rede
como um todo.
Escolha no menu Switching Traffc Monitor Traffc Summary para carregar a seguinte pgina:
Informaes do trfego
36
As seguintes informaes so exibidas na tela:
Auto refresh
Auto refresh: permite habilitar ou desabilitar a atualizao automtica da pgina Traffc Summary.
Refresh date: digite o valor do intervalo (em segundos) de atualizao da pgina Traffc Summary. O valor pode
variar de 3 a 300 segundos.
Traffc summary
Port select: digite o nmero da porta desejada dentro do campo correspondente e clique no boto Select para
selecionar a porta.
Port: exibe o nmero da porta.
Packets RX: exibe o nmero de pacotes recebidos pela porta. Os pacotes com erro no participam desta estatstica.
Packets TX: exibe o nmero de pacotes transmitidos pela porta.
Octets RX: exibe o nmero de bytes recebidos pela porta.
Octets TX: exibe o nmero de bytes transmitidos pela porta.
Statistics: clique em Statistics para visualizar as estatsticas detalhadas dos pacotes recebidos pela porta.
Traffc statistics
A pgina de Traffc Statistics exibe as informaes detalhadas do trfego em cada porta, o que pode facilitar o monitora-
mento do trfego da rede e localizar falhas rapidamente.
Escolha no menu Switiching Traffc Monitor Traffc Statistics para carregar a seguinte pgina:
Estatsticas do trfego
37
As seguintes informaes sero exibidas:
Auto refresh
Auto refresh: permite habilitar ou desabilitar a atualizao automtica da pgina Traffc Statistics.
Refresh date: digite o valor do intervalo (em segundos) de atualizao da pgina Traffc Statistics. O valor pode
variar de 3 a 300 segundos.
Statistics
Port: digite o nmero da porta desejada dentro do campo correspondente e clique no boto Select para selecionar
a porta.
Received: exibe os detalhes dos pacotes recebidos pela porta selecionada.
Sent: exibe os detalhes dos pacotes enviados pela porta selecionada.
Broadcast: exibe o nmero de pacotes broadcast transmitidos ou recebidos na porta especfca. Os pacotes com
erros no so catalogados nessa pgina.
Multicast: exibe o nmero de pacotes Multicast transmitidos ou recebidos na porta especfca. Os pacotes com erros
no so catalogados nessa pgina.
Unicast: exibe o nmero de pacotes unicast transmitidos ou recebidos na porta especfca. Os pacotes com erros no
so catalogados nessa pgina.
Alignment errors: exibe o nmero dos pacotes recebidos que possuam erros de FCS (frame Check Sequence)
ocasionados por erros nos bytes recebidos (Alignment Errors). O comprimento dos pacotes devero possuir entre 64
e 1518 bytes de tamanho.
UndersizePkts: exibe o nmero de pacotes recebidos menores que 64 bytes (pacotes com erros no so contabilizados).
Pkts64Octets: exibe o nmero de pacotes recebidos iguais a 64 bytes (pacotes com erros no so contabilizados).
Pkts65to127Octets: exibe o nmero de pacotes recebidos que possuem comprimento entre 65 e 127 bytes (paco-
tes com erros no so contabilizados).
Pkts128to255Octets: exibe o nmero de pacotes recebidos que possuem comprimento entre 128 e 255 bytes
(pacotes com erros no so contabilizados).
Pkts256to511Octets: exibe o nmero de pacotes recebidos que possuem comprimento entre 256 e 511 bytes
(pacotes com erros no so contabilizados).
Pkts512to1023Octets: exibe o nmero de pacotes recebidos que possuem comprimento entre 512 e 1023 bytes
(pacotes com erros no so contabilizados).
PktsOver1023Octets: exibe o nmero de pacotes recebidos maiores que 1023 bytes (pacotes com erros no so
contabilizados).
Collisions: exibe o nmero de colises detectadas em uma porta durante a transmisso de pacotes.
5.4. MAC address
Quando um equipamento de rede conectado a uma das portas do switch, este aprende o endereo MAC do dispositivo
e cria uma associao entre o endereo MAC e o nmero da porta, criando uma entrada na tabela de encaminhamento
(Tabela de endereos MAC). Esta tabela a base para que o switch possa encaminhar os pacotes rapidamente, entre
o endereo de origem e destino, diminuindo o trfego em broadcast. Os endereos MAC so adicionados na tabela de
endereos de forma dinmica (auto-aprendizagem) ou confgurado manualmente.
Existem tambm recursos de fltragem de endereos MAC, permitindo que o switch fltre pacotes indesejados, proibindo
seu encaminhamento e melhorando a segurana da rede.
38
Modo de entrada dos
endereos na Tabela
de Endereos MAC
Modo de confgurao
As entradas da Tabela de
Endereo MAC possui tempo
de envelhecimento (aging
time)
A Tabela de Endereos MAC
mantida aps reiniciar o
switch (se a confgurao
for salva).
Relao entre o endereo
MAC e a porta do switch.
Endereos Estticos Confgurao Manual No Sim
O endereo MAC aprendido
por uma porta no pode ser
aprendido por outra porta
em uma mesma VLAN.
Endereos Dinmicos Aprendizado automtico Sim No
O endereo MAC aprendido
por uma porta pode ser
aprendido por outra porta
em uma mesma VLAN.
Filtro de Endereos Confgurao Manual No Sim -
O sub-menu MAC Address possui as seguintes pginas de confgurao: Address Table, Static Address, Dynamic Address
e Filtering Address.
Address table
Nesta pgina, voc poder visualizar as informaes da Tabela de Endereos MAC.
Escolha no menu Switching MAC Address Address Table para carregar a seguinte pgina:
Caractersticas da tabela de endereos MAC.
Tabela de endereo MAC
As seguintes informaes so exibidas na tela:
Search option
MAC address: digite o endereo MAC para fltrar os resultados desejados e clique em Search. Utilize o formato:
00-00-00-00-00-01.
VLAN ID: digite a VLAN ID para fltrar os resultados de acordo com a VLAN desejada e clique em Search.
Port: selecione o nmero da porta desejado para visualizar as entradas correspondentes e clique em Search.
Type: selecione o tipo de entrada desejado para fltrar os endereos MAC.
All: essa opo exibe todas as entradas da Tabela de Endereos MAC.
Static: essa opo exibe todas as entradas estticas da Tabela de Endereos MAC.
Dynamic: essa opo exibe todas as entradas dinmicas da Tabela de Endereos MAC.
39
Filtering: essa opo exibe todos os endereos fltrados da Tabela de Endereos MAC.
Address table
MAC address: exibe o endereo MAC aprendido pelo switch.
VLAN ID: exibe a VLAN ID que est vinculada ao endereo MAC.
Port: exibe o nmero da porta que est vinculado ao endereo MAC.
Type: exibe o modo de aprendizagem dos endereos MAC.
Aging status: exibe se a entrada possui ou no tempo de envelhecimento (aging time).
Static address
Nesta pgina possvel confgurar entradas estticas a Tabela de Endereos MAC. As entradas estticas somente podem
ser adicionadas ou removidas manualmente, independentemente do tempo de envelhecimento da entrada (aging time).
Em redes estveis, as entradas de endereos MAC esttico pode aumentar consideravelmente o desempenho de encami-
nhamento de pacotes do switch. O endereo MAC esttico aprendido com Port Security ativo ser exibido na Tabela de
Endereos MAC.
Escolha o menu Switching MAC Address Static Address para carregar a seguinte pgina:
As seguintes mensagens so exibidas na tela:
Create static address
MAC address: digite o endereo MAC que ser adicionado a Tabela de Endereos MAC, utilize o formato: 00-00-00-
00-00-01 e clique em Create ( necessrio preencher os campos VLAN ID e Port para validar a entrada).
VLAN ID: digite a VLAN ID que ser associada ao endereo MAC que ser adicionado a Tabela de Endereos MAC
e clique em Create.
Port: selecione a porta que ser atrelada ao endereo MAC que ser adicionado a Tabela de endereo MAC e clique
em Create.
Tabela de endereos MAC estticos
40
Search option
Search option: selecione o modo de pesquisa da lista de opo e clique no boto Search, para encontrar a entrada
esttica na Tabela de Endereos MAC.
MAC: digite o endereo MAC para sua pesquisa.
VLAN ID: digite o nmero da VLAN ID para sua pesquisa.
Port: digite o nmero da porta para sua pesquisa.
Static address table
Select: selecione a entrada desejada para remover da Tabela de Endereos MAC clicando em Delete ou para modif-
car a porta correspondente que a entrada pertence selecionando uma nova porta.
MAC address: exibe o endereo MAC aprendido pelo switch.
VLAN ID: exibe a VLAN ID que est vinculada ao endereo MAC.
Port: exibe o nmero da porta que est vinculado ao endereo MAC.
Type: exibe o modo de aprendizagem dos endereos MAC.
Aging status: exibe se a entrada possui ou no tempo de envelhecimento (aging time).
Obs.: Se o endereo MAC confgurado para a porta correspondente estiver errado, ou o dispositivo conectado a porta
for alterado, o switch no realizar o encaminhamento de pacotes. Por favor, redefna as entradas de endereo MAC de
forma adequada.
Se o endereo MAC de um dispositivo for confgurado para uma porta e o dispositivo for conectado em outra
porta, o switch no reconhecer o endereo MAC dinamicamente. Portanto certifque-se que as entradas na
Tabela de Endereos MAC sejam vlidas e corretas.
Os endereos MAC confgurados estaticamente no podem ser adicionados na tabela de endereos fltrados, ou
vinculados a uma porta de forma dinmica.
Dynamic address
As entradas de endereos MAC realizadas de forma dinmica so geradas pelo mecanismo de auto-aprendizagem do
switch, atravs deste recurso, juntamente com o recurso de tempo de envelhecimento (aging time) so responsveis pela
manuteno da Tabela de Endereos MAC.
O Aging Time faz com que o switch remova cada entrada da Tabela de Endereos MAC dentro de um determinado perodo
de tempo (tempo de envelhecimento) em que a entrada permanecer ociosa dentro da Tabela de Endereos MAC.
Nesta pgina voc pode confgurar os endereos MAC dinmico.
Escolha o menu Switching MAC Address Dynamic Address para carregar a seguinte pgina:
Tabela de endereos MAC dinmica
41
As seguintes opes so exibidas na tela:
Aging confg
Auto aging: selecione Enable/Disable para habilitar ou desabilitar o recurso de tempo de envelhecimento (aging
time) de uma entrada na Tabela de Endereos MAC.
Aging time: digite o valor do intervalo (em segundos) do tempo de envelhecimento (aging time) de uma entrada
na Tabela de Endereos MAC. O valor pode variar de 10 a 630 segundos, por padro este valor de 300 segundos.
Search option
Search option: selecione o modo de pesquisa da lista de opo e clique no boto Search, para encontrar a entrada
dinmica na Tabela de Endereos MAC.
ALL: essa opo exibe todas as entradas dinmicas da Tabela de Endereos MAC.
MAC address: digite o endereo MAC para sua pesquisa.
VLAN ID: digite o nmero da VLAN ID para sua pesquisa.
Port: digite o nmero da porta para sua pesquisa
Dynamic address table
Select: selecione a entrada desejada para remover da Tabela de Endereos MAC clicando em Delete ou para vincular
a entrada a uma porta de forma esttica clicando em Bind.
MAC address: exibe o endereo MAC aprendido pelo switch.
VLAN ID: exibe a VLAN ID que est vinculada ao endereo MAC.
Port: exibe o nmero da porta que est vinculado ao endereo MAC.
Type: exibe o modo de aprendizagem dos endereos MAC.
Aging status: exibe se a entrada possui ou no tempo de envelhecimento (aging time).
Bind: clique no boto Bind para vincular o endereo MAC a uma porta de forma esttica.
Dicas: se o tempo de envelhecimento (aging time) do endereo MAC for muito longo ou muito curto poder resultar em perda de
desempenho do switch. Se o tempo for muito longo, pode ocorrer o esgotamento da Tabela de Endereos MAC, por estar com excesso de
endereos MAC o switch no aprender novos endereos, impedindo que as tabelas se atualizem com as mudanas ocorridas na rede.
Se o tempo for muito curto, o switch poder remover endereos MAC vlidos, isso far com que o switch tenha que aprender vrias vezes
o mesmo endereo MAC, ocasionando uma perda de desempenho. Recomenda-se que mantenha o valor padro.
Filtering address
A fltragem de endereos MAC, probe que pacotes indesejveis sejam encaminhados pelo switch. Os endereos para
fltragem podem ser adicionados ou removidos manualmente, independente do tempo de envelhecimento (aging time)
do endereo MAC.
A fltragem de endereos MAC permite que o switch fltre os pacotes que incluem o endereo MAC especifcado, como
endereo de origem ou destino, de modo a garantir a segurana da rede. As regras de fltragem de endereos MAC atuaro
em todas na VLAN correspondente.
Escolha no menu Switching MAC Address Filtering Address para carregar a seguinte pgina:
Filtro de endereo MAC
42
As seguintes informaes so exibidas:
Create fltering address
MAC address: digite o endereo MAC que ser fltrado, proibindo a sua incluso na Tabela de Endereos MAC, utilize
o formato: 00-00-00-00-00-01 e clique em Create ( necessrio preencher o campo VLAN ID para validar a entrada).
VLAN ID: digite a VLAN ID que ser atrelada ao endereo MAC que ser fltrado na Tabela de Endereos MAC e
clique em Create.
Search option
Search option: selecione o modo de pesquisa da lista de opo e clique no boto Search, para encontrar o fltro
desejado na Tabela de Endereos MAC.
MAC address: digite o endereo MAC para sua pesquisa.
VLAN ID: digite o nmero da VLAN ID para sua pesquisa.
Filtering address table
Select: selecione a entrada desejada para remover o fltro da Tabela de Endereos MAC clicando em Delete.
MAC address: exibe o endereo MAC que ser fltrado pelo switch.
VLAN ID: exibe a VLAN ID que est vinculada ao endereo MAC fltrado.
Port: exibe o nmero da porta que est vinculado ao endereo MAC fltrado.
Type: exibe o modo de aprendizagem dos endereos MAC.
Aging status: exibe se a entrada possui ou no tempo de envelhecimento (aging time).
Obs.: Os endereos MAC fltrados no podero ser inclusos na Tabela de Endereos MAC, utilizando os recursos de
modo esttico ou dinmico.
O recurso de fltro de endereos MAC no estar disponvel se a funo 802.1X estiver habilitada.
6. VLAN
VLAN (Virtual Local Area Network) o modo que torna possvel dividir um nico segmento de rede "LAN" em vrios
segmentos lgicos "VLAN".
Cada VLAN se torna um domnio de broadcast, evitando assim a inundao de pacotes broadcast, otimizando a perfor-
mance do switch, alm facilitar o gerenciamento e segurana da rede. Para haver comunicao entre computadores em
VLANs diferentes necessria a utilizao de roteadores ou switch layer 3 para o encaminhamento dos pacotes. A fgura
a seguir ilustra uma implementao de VLAN.
Router
Switch A
VLAN 6
VLAN 2
Switch B
VLAN
43
Principais vantagens na utilizao de VLAN:
1. As transmisses em broadcast esto restritas a cada VLAN. Isso diminui a utilizao de banda e melhora o desempenho
da rede.
2. Melhoria na segurana da rede: VLANs no podem se comunicar umas com as outras diretamente, ou seja, um compu-
tador em uma VLAN no pode acessar os recursos contidos em outra VLAN, a menos que seja usado um roteador ou
switch camada 3 para realizar esta comunicao.
3. Flexibilidade na alterao de layout: possvel ter computadores separados geografcamente (por exemplo, computa-
dores em andares diferentes) pertencerem mesma VLAN sem a necessidade de alterao fsica da topologia da rede.
Este switch suporta dois modos de classifcao de VLAN: 802.1Q VLAN e Protocol VLAN.
6.1. 802.1Q VLAN
As tags de VLANs so necessrias para o switch identifcar os pacotes de diferentes VLANs. O switch trabalha na camada
de enlace no modelo OSI, podendo desta forma, analisar e gerenciar os quadros que possuam a tag de VLAN.
Em 1999, o IEEE padronizou a aplicao 802.1Q VLAN, defnindo uma estrutura de tags de VLAN nos quadros Ethernet. O
protocolo IEEE802.1Q defne que 4 bytes so adicionados ao quadro Ethernet (esta insero ocorre logo aps os campos
de endereo MAC de destino e origem do frame Ethernet) para tornar possvel a utilizao de VLANs em redes Ethernet.
A fgura a seguir, exibe quatro novos campos que o protocolo 802.1Q (tag de VLAN) adiciona ao frame Ethernet: TPID (Tag
Protocol identifer), Prioridade, CFI (Canonical Format Indicator) e VLAN ID.
1. TPID: campo de 16 bits, indicando que a estrutura do frame baseada em tag de VLAN, por padro este valor igual
a 0x8100.
2. Priority: campo de 3 bits, referindo-se a prioridade 802.1p. Consulte a seo QoS para mais detalhes.
3. CFI: campo de 1 bit, indicando que o endereo MAC encapsulado na forma cannica 0 ou no-cannica 1. Isso
usado no mtodo de acesso ao meio roteados por FDDI/Token-Ring para sinalizar a ordem da informao de endereo
encapsulado no quadro. Esse campo no descrito em detalhes nesse manual.
4. VLAN ID: campo de 12 bits, que indentifca o VLAN ID (Identifcao da VLAN) a qual o quadro pertence. Este intervalo
varia entre 1 a 4094, normalmente os valores 0 e 4095 no so utilizados.
VLAN ID identifca a VLAN a qual o quadro pertence. Quando o switch recebe um pacote que no possui uma tag de VLAN
(untagged), o switch ir encapsular o quadro com a tag de VLAN padro da porta correspondente (PVID).
Modo de funcionamento das portas
As portas do switch podem operar de trs modos diferentes, a seguir a descrio de cada um dos modos:
1. ACCESS: a porta em modo ACCESS s pode ser adicionada em uma nica VLAN, e a regra de sada da porta UNTAG.
O PVID o mesmo que o ID de VLAN atual. Se a VLAN atual excluida, o PVID ser defnido como 1 por padro.
2. TRUNK: a porta TRUNK pode ser adicionada em vrias VLANs, e a regra de sada da porta TAG. O PVID pode ser
defnido como o nmero VID de qualquer VLAN que a porta pertena.
3. GENERAL: a porta GENERAL pode ser adicionada em vrias VLANs e estabelecer regras de sadas diferentes de acordo
com as diferentes VLANs. A regra de sada padro UNTAG. O PVID pode ser defnido como o nmero VID de qualquer
VLAN a qual a porta pertence.
VLAN Tag
VLAN Tag
44
PVID
PVID (Port Vlan ID) o VID (Identifcao da VLAN) padro da porta. Quando o switch recebe um pacote sem marcao
(untagged), ele ir adicionar uma tag de VLAN no pacote de acordo com o PVID de sua porta. Ao criar VLANs, o PVID de
cada porta indica a VLAN padro a qual porta pertence. um parmetro importante com a seguinte fnalidade.
1. Quando o switch recebe um pacote sem marcao (untagged), ele ir adicionar uma tag de VLAN no pacote de acordo
com o PVID confgurado em sua porta.
2. O PVID determina o domnio de broadcast padro da porta, ou seja, quando a porta recebe pacotes de broadcast, a porta
transmitir os pacotes apenas para as portas do seu domnio de broadcast.
Pacotes marcados (tagged) ou no marcados (untagged) sero processados de maneiras diferentes, se recebidos por
portas com diferentes modos de funcionamento. A tabela a seguir mostra como so tratados os pacotes.
Tipo de Porta
Recebendo pacotes
Enviando pacotes Pacotes UNTAG Pacotes TAG
Access
Quando pacotes untagged so
recebidos, a porta ir adicionar a
TAG padro da porta, isto , o PVID
da porta de entrada.
Se o VID de pacote o mesmo que
o PVID da porta, o pacote ser
recebido.
O pacote ser enviado aps retirar
sua tag de VLAN.
Trunk
Se o VID de pacote no o mesmo
que o PVID da porta, o pacote ser
descartado.
O pacote ser enviado com a sua tag
de VLAN atual.
General
Se o VID do pacote permitido pela
porta, o pacote ser recebido.
Se o VID do pacote proibido pela
porta, o pacote ser descartado.
Se a regra de sada da porta TAG,
o pacote ser enviado com a sua tag
de VLAN atual.
Se a regra de sada da porta
UNTAG, o pacote ser enviado aps
retirar sua tag de VLAN.
A funo IEEE802.1Q VLAN pode ser confgurada nas pginas VLAN Confg e Port Confg.
VLAN confg
Nesta pgina voc poder criar e visualizar as VLAN 802.1Q.
Escolha no menu VLAN 802.1Q VLAN VLAN Confg para carregar a pgina seguinte.
Visualizao das VLANs
Para garantir a comunicao com o switch, por padro, a VLAN de Gerenciamento e todas as portas do switch esto
confguradas na VLAN 1, sendo esta a nica VLAN que no pode ser excluda.
As seguintes informaes so exibidas na tela:
VLAN table
VLAN ID: digite o VLAN ID desejado no campo correspondente e clique em Select para selecionar a VLAN desejada.
Select: selecione a VLAN desejada. Nesta opo possvel selecionar mais de uma simultaneamente.
VLAN ID: exibe o VLAN ID da VLAN (identifcao da VLAN).
Description: exibe a descrio defnida para a VLAN.
Members: exibe as portas membros da VLAN criada.
Operation: permite voc visualizar ou modifcar as informaes de cada VLAN.
Edit: clique para modifcar as confguraes da VLAN desejada.
Detail: clique para visualizar as informaes da VLAN desejada.
45
As seguintes informaes so exibidas na tela:
VLAN confg
VLAN ID: digite o ID de identifcao da VLAN.
Description: digite uma descrio para a VLAN de no mximo 16 caracteres.
Check: clique no boto Check para verifcar se o VLAN ID digitado vlido ou no.
VLAN members
Port Select: digite a porta desejada no campo correspondente e clique em Select para selecionar a porta.
SELECT: selecione a porta desejada. Nesta opo possvel selecionar mais de uma porta simultaneamente.
Port: exibe o nmero de porta.
Link type: exibe o modo de funcionamento da porta. Este campo defnido na pgina de confgurao Port Confg.
Egress rule: exibe a regra de sada confgurada para a porta. Se o modo de funcionamento da porta estiver confgu-
rado em General, ser possvel modifcar esta opo.
TAG: todos os pacotes transmitidos pela porta sero marcados (tagged pacotes contendo informaes de VLAN).
UNTAG: os pacotes transmitidos pela porta no sero marcados (untagged).
LAG: exibe o grupo LAG a qual a porta pertence.
Port confg
Nesta pgina possvel confgurar e visualizar o modo de funcionamento das portas e seus respectivos PVID quando
permitido.
Escolha no menu VLAN 802.1Q VLAN Port Confg para carregar a pgina seguinte:
Confgurao de VLAN
Create:
Ao clicar no boto Create ou Edit ser exibido a tela de confgurao de VLAN, conforme imagem a seguir.
46
Modo de funcionamento das portas
As seguintes informaes so exibidas:
VLAN port confg
Port select: digite a porta desejada no campo correspondente e clique em Select para selecionar a porta.
Select: selecione a porta desejada. Nesta opo possvel selecionar mais de uma porta simultaneamente.
Port: exibe o nmero da porta.
Link type: selecione o modo de funcionamento da porta.
ACCESS: a porta em modo ACCESS s pode ser adicionada em uma nica VLAN, e a regra de sada da porta UN-
TAG. O PVID o mesmo que o ID de VLAN atual. Se a VLAN atual excluda, o PVID ser defnido como 1 por padro.
TRUNK: a porta TRUNK pode ser adicionada em vrias VLANs, e a regra de sada da porta TAG. O PVID pode ser
defnido como o nmero VID de qualquer VLAN que a porta pertena.
GENERAL: a porta GENERAL pode ser adicionada em vrias VLANs e estabelecer regras de sadas diferentes de
acordo com as diferentes VLANs. A regra de sada padro UNTAG. O PVID pode ser defnido como o nmero VID
de qualquer VLAN a qual a porta pertena.
PVID: digite o PVID a qual a porta pertence.
LAG: exibe o grupo LAG a qual a porta pertence.
VLAN: clique no boto Detail para exibir as informaes da VLAN a qual a porta pertence.
Ao clicar em Detail sero exibidas as informaes da VLAN da porta correspondente, conforme imagem a seguir:
Detalhes da VLAN (Porta 1)
47
As seguintes informaes so exibidas na tela:
VLAN of port
VLAN ID select: digite o VLAN ID desejado no campo correspondente e clique em Select para selecionar a VLAN.
VLAN ID: exibe o VLAN ID da VLAN (identifcao da VLAN).
VLAN description: exibe a descrio defnida para a VLAN.
Operation: permite remover a porta da VLAN atual.
Procedimento de confgurao
Passo Operao Descrio
1
Defnir o modo de
funcionamento da porta.
Obrigatrio, no menu VLAN 802.1Q VLAN Port Confg, defna o modo de
funcionamento da porta baseado no dispositivo conectado ao switch.
2 Criao da VLAN
Obrigatrio, no menu VLAN 802.1Q VLAN VLAN Confg, clique no boto Create
para criar a VLAN. Entre com a VLAN ID e a descrio para a VLAN. Especifque as portas
membros.
3 Modifcar/Visualizar a VLAN
Opcional, no menu VLAN 802.1Q VLAN VLAN Confg clique no boto Edit/Detail
para modifcar ou visualizar as informaes da VLAN correspondente.
4 Remover a VLAN
Opcional, no menu VLAN 802.1Q VLAN VLAN Confg, selecione a VLAN que
deseja excluir e clique no boto Remove.
6.2.Protocol VLAN
VLAN por Protocolo a maneira de classifcar as VLANs de acordo com o protocolo de rede utilizado, entre eles o IP, IPX,
DECnet, AppleTalk, Banyan e assim por diante. Com a criao de VLANs por Protocolo, o administrador de rede pode
gerenciar os clientes da rede baseando-se em suas aplicaes e servios reais de forma efcaz.
Este switch pode classifcar VLANs baseando-se nos tipos de protocolos comuns listados na tabela a seguir. Por favor, crie
a VLAN por Protocolo conforme sua necessidade real.
Os pacotes so processados pela VLAN por Protocolo da seguinte maneira:
1. Ao receber um pacote no marcado (untagged), o switch verifca o protocolo de rede do pacote com o protocolo confgu-
rado na VLAN por Protocolo. Se o pacote corresponder com a VLAN por Protocolo, o switch ir adicionar a tag de VLAN
por Protocolo para o pacote. Se o pacote no for correspondido, nenhuma tag de VLAN por Protocolo ser adicionado,
ento o switch ir adicionar uma tag de VLAN de acordo com o PVID da porta que recebeu o pacote. Assim, o pacote
ser atribudo automaticamente para a VLAN correspondente para a transmisso.
2. Ao receber um pacote marcado (tagged), o switch ir process-lo baseando-se na confgurao VLAN 802.1Q. Caso
a porta seja membro da VLAN do pacote identifcado, o pacote ser transmitido normalmente, se no, o pacote ser
descartado.
3. Ao criar VLANs por Protocolo, necessrio habilitar a porta para ser membro correspondente da VLAN 802.1Q, de modo
a garantir que os pacotes sejam transmitidos normalmente.
Protocol VLAN
Nesta pgina possvel criar VLANs por Protocolo e visualizar as informaes das atuais VLANs por Protocolos j defnidas.
Escolha no menu VLAN Protocol VLAN Protocol VLAN para carregar a seguinte pgina:
Tabela de alguns protocolos de rede
48
As seguintes informaes so exibidas:
Create protocol VLAN
Protocol: selecione o protocolo de rede utilizado na VLAN por Protocolo.
VLAN ID: digite o VLAN ID (identifcao de VLAN) que ser atribudo a VLAN por Protocolo.
Protocol VLAN table
Select: selecione a VLAN por Protocolo desejada. Nesta opo possvel selecionar opo simultaneamente.
Protocol: exibe o nome do protocolo de rede confgurado para a VLAN por Protocolo.
Ethertype: exibe o valor em hexadecimal correspondente ao protocolo de rede confgurado para a VLAN por Pro-
tocolo.
VLAN ID: exibe o VLAN ID (identifcao de VLAN) correspondente ao protocolo de rede.
Operation: clique em Edit para modifcar as confguraes das VLANs por Protocolo. Aps realizar as modifcaes,
clique em Modify para aplicar as mudanas.
Protocol template
Nesta pgina, possvel criar modelos de protocolos de rede, o modelo de protocolo deve ser criado antes de confgurar
as VLANs por Protocolo. O switch tem defnido por padro os seguintes modelos de protocolos: IP, ARP, RARP, IPX e AT.
Escolha no menu VLAN Protocol VLAN Protocol Template para carregar a seguinte pgina:
VLAN por protocolo
Modelos de protocolos
49
As seguintes informaes so apresentadas na tela:
Create protocol template
Protocol name: digite um nome para o modelo de protocolo.
Ether type: digite o valor em hexadecimal correspondente ao protocolo de rede a ser utilizado no modelo.
Protocol template table
Select: selecione o modelo desejado. Nesta opo possvel selecionar opo simultaneamente.
ID: exibe a identifcao do modelo criado.
Protocol: exibe o nome do modelo criado.
Ethertype: exibe o valor em hexadecimal correspondente ao protocolo de rede pelo modelo criado.
Port enable
Esta pgina utilizada para habilitar determinadas portas do switch a participarem da funo de VLAN por Protocolo.
Escolha no menu VLAN Protocol VLAN Port Enable para carregar a seguinte pgina:
As seguintes informaes so exibidas na tela:
Port enable
Selecione as portas habilitadas para a funo de VLAN por Protocolo. Todas as portas por padro esto desabilitadas.
Portas da VLAN por protocolo
Passo Operao Descrio
1 Defnir o modo de funcionamento da porta.
Obrigatrio, VLAN 802.1Q VLAN Port Confg, defna o modo de
funcionamento da porta baseado no dispositivo conectado ao switch.
2 Criao da VLAN
Obrigatrio, VLAN 802.1Q VLAN VLAN Confg, clique no boto
Create para criar a VLAN. Entre com a VLAN ID e a descrio para a VLAN.
3 Criao do Modelo de Protocolo
Obrigatrio, VLAN Protocol VLAN Protocol Template, Defna o
Modelo de Protocolo antes de confgurar a VLAN por Protocolo.
4
Selecione as portas participantes da VLAN por
Protocolo
Obrigatrio, VLAN Protocol VLAN Port Enable, selecione as portas
membros da VLAN por Protocolo.
5 Criao da VLAN por Protocolo
Obrigatrio, VLAN Protocol VLAN Protocol VLAN, defna o tipo de
protocolo e associe a uma VLAN ID para criar a VLAN por Protocolo.
6 Modifcao/Visualizao da VLAN por Protocolo
Opcional, VLAN Protocol VLAN Protocol VLAN, clique em Edit para
modifcar ou visualizar a VLAN por Protocolo correspondente.
7 Remover a VLAN por Protocolo
Opcional, VLAN Protocol VLAN Protocol VLAN, selecione a VLAN
por Protocolo desejado e clique no boto Delete
Procedimento de confgurao
50
6.3. Exemplos de aplicao para 802.1Q VLAN
Requisitos da rede
O switch A est conectado ao PC A e Server B.
O switch B est conectado ao PC B e Server A.
O PC A e o Server A esto na mesma VLAN.
O PC B e o Server B esto na mesma VLAN.
Os PCs em VLANs diferentes no podem se comunicar uns com os outros.
Diagrama da rede
Server B
Switch A Switch B
PC B PC B PC A
Server A
Port 8 Port 4
Port 3 Port 6
Port 7 Port 2 Port 2
Aplicao de VLAN 802.1Q
Procedimento de confgurao
Confgurao do switch A
Passo Operao Descrio
1 Defnir o modo de funcionamento da porta
Obrigatrio, VLAN 802.1Q VLAN Port Confg. Confgurar o modo de funcionamento
da porta 2, porta 3 e porta 4 como ACCESS, TRUNK e ACESS respectivamente.
2 Criar a VLAN 10
Obrigatrio, VLAN 802.1Q VLAN VLAN confg, criar a VLAN com o VLANID 10 nas
portas 2 e 3.
3 Criar a VLAN 20
Obrigatrio, VLAN 802.1Q VLAN VLAN Confg. Criar a VLAN com o VLANID 20 nas
portas 3 e 4.
51
Confgurao do switch B
Passo Operao Descrio
1 Defnir o modo de funcionamento da porta
Obrigatrio, VLAN 802.1Q VLAN Port Confg. Confgurar o modo de funcionamento
da porta 7, porta 6 e porta 8 como ACCESS, TRUNK e ACESS respectivamente.
2 Criar a VLAN 10
Obrigatrio, VLAN 802.1Q VLAN VLAN Confg, criar VLAN com o VLANID 10 nas
portas 6 e 8.
3 Criar a VLAN 20
Obrigatrio, VLAN 802.1Q VLAN VLAN Confg. Criar a VLAN com o VLANID 20 nas
portas 6 e 7.
6.4. Exemplos de aplicao de VLAN por protocolo
Requisitos da rede
O departamento A est conectado a rede da empresa pela porta 12 do switch A.
O departamento A possui computadores que utilizam o protocolo IP e AppleTalk.
Os computadores que utilizam o protocolo IP so membros da VLAN 10 e utilizam o servidor IP Server, enquanto os
computadores que utilizam AppleTalk so membros da VLAN 20 e utilizam o servidor AppleTalk server.
Os servidores IP server e AppleTalk esto conectados ao switch B.
Diagrama da rede
IP Server Apple Talk Server
Switch B
Switch A
Port 5 Port 4
Port 2 Port 2 Port 3
Port 12
Port 11
IP host
Apple Talk
host
Port 13
Aplicao de VLAN por protocolo
52
Confgurao do switch A
Passo Operao Descrio
1 Defnir o modo de funcionamento da porta
Obrigatrio, VLAN802.1Q VLANPort Confg. Confgure o modo de
funcionamento das portas 11 e 13 como ACCESS, e da porta 12 como General.
2 Criar a VLAN 10
Obrigatrio, VLAN802.1Q VLANVLAN Confg. Criar a VLAN com o
VLANID 10 nas portas 12 e 13 e confgure a regra de sada da porta 12 como
UNTAGGED.
3 Criar a VLAN 20
Obrigatrio, VLAN802.1Q VLANVLAN Confg. Criar a VLAN com o
VLANID 20 nas portas 11 e 12 e confgure a regra de sada da porta 12 como
UNTAGGED.
Confgurao do switch B
Passo Operao Descrio
1 Defnir o modo de funcionamento da porta
Obrigatrio, VLAN802.1Q VLANPort Confg. Confgure o modo de
funcionamento das portas 4 e 5 como ACCESS, e da porta 3 como General.
2 Criar a VLAN 10
Obrigatrio, VLAN802.1Q VLANVLAN Confg. Criar a VLAN com o
VLANID 10 nas portas 3 e 4 e confgure a regra de sada da porta 3 como
UNTAGGED.
3 Criar a VLAN 20
Obrigatrio, VLAN802.1Q VLANVLAN Confg. Criar a VLAN com o
VLANID 20 nas portas 3 e 5 e confgure a regra de sada da porta 3 como
UNTAGGED.
4 Criao do Modelo de Protocolo
Obrigatrio, VLANProtocol VLANProtocol Template. Criar os Modelos
de Protocolos utilizados. Ex: pacotes que utilizam o protocolo de rede IP,
possuem o campo EtherType igual a 0800 j os pacotes que utilizam o
protocolo AppleTalk possuem o campo EtherType igual a 809B. Por padro
estes dois Modelos de Protocolos j esto defnidos.
5
Selecionar as portas participantes da VLAN
por Protocolo
Obrigatrio, VLANProtocol VLANPort Enable. Habilite as portas 3, 4
e 5 para participarem da VLAN por Protocolo.
6 Criar a VLAN por Protocolo 10
Obrigatrio, VLANProtocol VLANProtocol VLAN. Criar a VLAN por
Protocolo com VLANID 10 para o protocolo de rede IP.
7 Criar a VLAN por Protocolo 20
Obrigatrio, VLANProtocol VLANProtocol VLAN. Criar a VLAN por
Protocolo com VLANID 20 para o protocolo de rede Apple Talk.
6.5. GVRP
GVRP (GARP VLAN Registration Protocol) uma implementao do GARP (Generic Attribute Registration Protocol). GVRP
permite que o switch adicione ou remova VLANs automaticamente atravs de informaes dinmicas de registro de VLANs,
propagando as informaes de registro da VLAN local para outras sem ter de confgurar individualmente cada VLAN.
GARP
GARP fornece mecanismo de auxlio a switches membros de uma LAN a entregar, propagar e registrar as informaes de
atributos de registros entre os switches. A aplicao que utiliza GARP chamada de implementao GARP e o GVRP
uma implementao do GARP. Quando o GARP implementado na porta do switch, a porta chamada de entidade GARP.
A troca de informaes entre as entidades GARP complementada por mensagens. GARP defne as mensagens em trs
tipos: Join, Leave and LeaveAll.
Mensagem Join: uma entidade GARP envia mensagens Join para registrar seus atributos a outras entidades GARP,
esta mensagem tambm pode ser enviada quando a entidade GARP recebe mensagens Join de outras entidades GARP
ou quando o registro de seus atributos confgurado manualmente.
Mensagem Leave: uma entidade GARP envia mensagens Leave para remover seus atributos registrados por outras
entidades GARP, esta mensagem tambm pode ser enviada quando a entidade GARP recebe mensagens Leave de outras
entidades GARP ou quando os registros de seus atributos so removidos manualmente.
Mensagem LeaveAll: durante a inicializao, a entidade GARP inicia o timer LeaveAll, quando este timer expira
enviada uma mensagem LeaveAll para cancelar todos os seus atributos registrados a todas as entidades GARP partici-
pantes.
Procedimento de confgurao
53
Atravs da troca de mensagens, todas as informaes de registro dos atributos podem ser propagadas para todos os
switches da mesma rede.
Hold timer: quando uma entidade GARP recebe um pedao de informao de registro, ele no envia imediatamente a
mensagem Join. Para economizar recursos de largura de banda ele inicia um temporizador, coloca todas as informaes
que recebe antes do temporizador acabar e ai sim envia uma mensagem de Join.
Join timer: para transmitir as mensagens Join de forma confvel, a entidade GARP envia duas vezes a mensagem Join.
O Join Timer o temporizador usado para defnir o intervalo entre o envio das mensagens.
Leave timer: quando uma entidade GARP deseja remover informaes de registro de um atributo, ele envia uma men-
sagem Leave. Quando a entidade GARP recebe essa mensagem, iniciado um temporizador, caso nenhuma mensagem
Join for recebida pela entidade at o temporizador expirar, o registro do atributo ser removido da entidade GARP.
LeaveAll timer: durante a inicializao de uma entidade GARP, iniciado o temporizador LeaveAll, aps o trmino
deste temporizador enviado a mensagem LeaveAll, a fm de informar a todas as outras entidades GARP para que
possam voltar a registrar todas as informaes do atributo da entidade. Aps esta etapa a entidade reinicia o LeaveAll
Timer e comea um novo ciclo.
GVRP
GVRP uma implementao do GARP. Esta implementao mantm o registro de informaes dinmicas de VLANs e pode
tambm, propagar estas informaes para outros switches, adotando o mesmo mecanismo do GARP.
Depois que a funo GVRP habilitada, o switch recebe as informaes de registro de VLAN de outros switches para
atualizar dinamicamente as informaes de registro da VLAN local, incluindo os membros da VLAN e as portas atravs
dos quais os membros de VLANs podem ser alcanados e assim por diante. O switch tambm propaga as informaes
de VLAN local para outros switches at que todos os swithes na mesma rede tenham as mesmas informaes de VLANs.
Informaes sobre a incluso, no inclui somente as informaes de registro esttico confgurado localmente, mas tambm
as informaes de registro dinmico recebido de outros switches.
Neste switch, somente a porta confgurada como TRUNK pode ser habilitada para o uso do GVRP. O switch possui os
seguintes modos de registro de porta. Normal, Fixed e Forbidden.
Normal: neste modo, a porta pode registrar ou remover dinamicamente uma VLAN alm de propagar as informaes
referente s VLANs dinmicas e estticas.
Fixed: neste modo, a porta no pode registrar ou remover dinamicamente uma VLAN, somente propaga informaes
referente s suas prprias VLANs confguradas manualmente.
Forbidden: neste modo a porta no pode registrar ou remover VLANs, somente propaga informaes da VLAN Padro
VLAN 1.
Escolha o menu VLAN GVRP para acessar a seguinte pgina:
Confgurao GVRP
54
Obs.: se o recurso GVRP est habilitado em uma porta membro de um grupo LAG, por favor, certifque-se que todas as
portas membros deste grupo LAG estejam com as mesmas confguraes e modos de registro.
As seguintes informaes so exibidas na tela:
Global confg
GVRP: selecione Enable/Disable para habilitar ou desabilitar a funo GVRP no switch e clique em Apply para validar
a escolha.
Port confg
Port select: digite a porta desejada no campo correspondente e clique em Select para selecionar a porta.
Select: selecione a porta desejada. Nesta opo possvel selecionar mais de uma porta simultaneamente.
Port: exibe o nmero da porta.
Status: selecione Enable/Disable para habilitar ou desabilitar a funo GVRP na porta desejada. O tipo de porta deve
estar defnido como TRUNK para aceitar o recurso GVRP.
Registration mode: selecione o modo de registro da porta.
Normal: neste modo a porta pode registrar/remover dinamicamente uma VLAN e propagar as informaes de
VLANs dinmicas e estticas.
Fixed: neste modo a porta no pode registrar/remover dinamicamente uma VLAN. Somente propaga as informa-
es de VLANs estticas.
Forbidden: neste modo a porta no pode registrar/remover VLANs. Somente propaga informaes da VLAN 1.
LeaveAll timer: quando o LeaveAll Timer defnido, a porta com GVRP habilitado pode enviar uma mensagem
LeaveAll aps o timer fnalizar, para que outras portas GARP possam registrar as informaes de atributos. Depois
disso o temporizador LeaveAll vai comear um novo ciclo. O temporizador LeaveAll varia de 1000 a 30000 centsimos
de segundo.
Join timer: para garantir a transmisso de mensagens Join, a porta GARP envia a mensagem duas vezes. O Join
Timer usado para defnir o intervalo entre o envio das duas mensagens. O Join Timer pode estar na faixa de 20 a
1000 centsimos de segundo.
Leave timer: quando o Leave Timer for defnido, a porta GARP recebe uma mensagem de Leave e ir iniciar o seu
Leave Timer e remover os atributos de informao se no receber uma mensagem Join antes do tempo acabar. O
Leave Timer est na faixa de 60 a 3000 centsimos de segundos.
LAG: exibe o grupo LAG a qual a porta pertence.
Obs.: LeaveAll Timer >=10* Leave Timer,
Leave Timer >=2* Join Timer
Procedimento de confgurao
Passo Operao Descrio
1 Confgurar o modo de funcionamento da porta
Obrigatrio, VLAN 802.1Q VLAN Port Confg, confgurar o modo de
funcionamento da porta como Trunk.
2 Habilitar a funo GVRP Obrigatrio, VLAN GVRP, habilite funo GVRP.
3
Confgurar o modo de registro e os tempos
para porta.
Obrigatrio, VLAN GVRP, confgure os parmetros da porta baseado nas aplicaes
atuais.
55
7. Spanning tree
STP (Spanning Tree Protocol), pertence norma IEEE802.1d e assegura que haja somente um caminho lgico entre todos
os destinos na camada de enlace em uma rede local, fazendo o bloqueio intencional dos caminhos redundantes que
poderiam causar um loop. Uma porta considerada bloqueada quando o trfego da rede impedido de entrar ou deixar
aquela porta. Isto no inclui os quadros BPDU (Bridge Protocol Data Unit) que so utilizados pelo STP para impedir loops.
BPDU (Bridge Protocol Data Unit) o quadro de mensagem trocado entre os switches que utilizam a funo STP. Cada
BPDU contm um campo chamado BID (Bridge ID) que identifca o switch que enviou o BPDU. O BID contm um valor de
prioridade, o endereo MAC do switch de envio, e uma ID de Sistema Estendido opcional. Determina-se o valor o BID mais
baixo atravs da combinao destes trs campos.
Elementos STP
Bridge ID: indica valor da prioridade e endereo MAC do switch. O switch que possuir o menor Bridge ID ter maior
prioridade.
Root bridge: indica o switch que possui o menor Bridge ID. O switch considerado Root Bridge serve como ponto de
referncia para todos os clculos STP para garantir melhor desempenho e confabilidade na rede.
Designated bridge: indica o switch que possui o caminho com menor custo at o Root Bridge em cada segmento
de rede. Os quadros BPDUs so encaminhados para o segmento de rede atravs dos switches Designated Bridge.
Root path cost: indica a soma de todos os custos de porta ao longo do caminho at a Root Bridge. O custo do
caminho da Root Bridge 0.
Bridge priority: a Bridge Priority pode ser ajustada para um valor no intervalo de 0 a 61440. O valor mais baixo da
Bridge Priority possui uma maior prioridade. O switch com a maior prioridade possui maior chance de ser escolhido
como Root Bridge.
Root port (porta raiz): indica a porta mais prxima (caminho com menor custo) para a Root Bridge. Por esta porta
que os pacotes sero encaminhados para a Root Bridge.
Designated port (porta designada): so todas as Portas No-Raiz que ainda podem encaminhar trfego na rede.
Port priority: a prioridade da porta pode ser ajustada em um intervalo de 0-255. O valor mais baixo para a Port
Priority possui maior prioridade. A porta com maior prioridade possui maior chance de ser escolhida como porta raiz.
Path cost: indica o parmetro para escolha do caminho do link STP. Ao calcular o custo do caminho, o STP escolhe
os melhores caminhos entre as ligaes redundantes.
O diagrama a seguir mostra o esboo de uma rede Spanning Tree. Os switch A, B e C esto conectados. Aps a gerao do
STP, o switch A escolhido como Root Bridge, o caminho da porta 2 para porta 6 fcar bloqueado.
Switches: switch A o Root Bridge da rede e o switch B o Designated Bridge do switch C.
Portas: a porta 3 a Root Port do switch B e a porta 5 a Root Port do switch C; a porta 1 a Designated Port do switch
A e a porta 4 a Designated Port do switch B; a porta 6 do switch C est bloqueada.
Port 1
Port 2
Port 6
Port 5
Port 4
Port 3
P
a
t
h

1
Switch A
Switch C Switch B
Rede spanning tree
56
STP timers
Hello time: especifca o intervalo de envio de pacotes BPDU. O valor pode variar de 1 10 segundos.
Max. age: especifca o tempo mximo que o switch aguarda para remover sua confgurao e iniciar uma nova
eleio do Root Bridge. O valor pode variar de 6 40 segundos.
Forward delay: especifca o tempo para a porta alterar seu estado aps uma alterao na topologia da rede. O valor
pode variar de 4 30 segundos.
Quando a regenerao do STP causada por um mau funcionamento da rede ou at mesmo uma alterao na topologia
da rede, a estrutura do STP comear a realizar as alteraes necessrias. No entanto, como os BPDUs da nova confgura-
o no podem ser enviados pela rede de uma s vez, um loop somente ocorreria se o estado da porta estivesse direta-
mente no estado de encaminhamento. Portanto, o STP adota um mecanismo de estados de portas STP, isto , a nova Root
Port e a Designated Port comeam a transmitir dados (estado de encaminhamento) aps duas vezes o tempo do Forward
Delay, o que garante que os novos BPDUs j tenham sido enviados para toda a rede.
Principio de comparao de quadros BPDU
Supondo dois BPDUs: BPDUx e BPDUy.
Se a ID da Root Bridge do x menor que a do y, x ter prioridade ao y.
Se a ID da Root Bridge do x igual a do y, mas o custo do caminho da bridge de x menor do que a de y, x ter prioridade
ao y.
Se a ID da Root Bridge e o custo do caminho de x igual ao de y, mas o ID da Bridge de x menor que a de y, x ter
prioridade ao y.
Se a ID da Root Bridge, custo do caminho e ID da Bridge de x for igual ao de y, mas a Port ID de x for menor do que a de
y, x ter prioridade.
Convergncia STP
Iniciando
Ao iniciar, cada switch se considera o Root Bridge e gera uma confgurao BPDU para cada porta, com Root Path
sendo 0 e o ID da Designated Bridge e Designated Port sendo do prprio switch.
Comparando BPDUs
Cada switch envia BPDUs com suas confguraes e recebe BPDUs de outros switches atravs de suas portas. A tabela
a seguir mostra a comparao de operaes.
Passo Operao
1
Se a prioridade da BPDU recebida na porta menor que a BPDU da prpria porta, o switch descarta a BPDU e no altera o BPDU da
porta.
2
Se a prioridade da BPDU maior que a BPDU da porta, o switch substitui o BPDU da porta com a BPDU recebida e compara com a das
outras portas no switch para obter a BPDU com maior prioridade.
Selecionando o Root Bridge
O Root Bridge selecionado pela comparao das BPDUs recebidas. O switch com o Root ID menor escolhido como
Root Bridge.
Selecionando a Root Port e a Designate Port
A operao realizada da seguinte maneira.
Passo Operao
1
Para cada switch da rede (exceto o escolhido como Root Bridge), a porta que recebe o BPDU com a prioridade mais alta
escolhida como o Root Port do switch.
2
Utilizando a Root Port BPDU e o Root Path Cost, o switch gera uma Designated Port BPDU para cada uma de suas portas.
- Root ID substitudo com o da Root Port.
- Root Path substitudo com a soma do Root Path Cost da Root Port e o Path Cost entre a porta e a Root Port.
- O ID da Designated Bridge substitudo com o do switch.
- O ID da Designated Port substitudo com o da porta.
3
O switch compara o BPDU resultante com o BPDU da porta desejada.
- Se o BPDU recebido tem prioridade sobre o BPDU da porta, a porta escolhida como Designated Port e o BPDU da porta
substitudo pelo o BDPU recebido. A porta ento envia regularmente o BPDU com maior prioridade.
- Se o BPDU da porta tem prioridade sobre o BPDU recebido, o BPDU da porta no ser substitudo, a porta entra em estado de
bloqueio e somente pode receber BPDUs.
57
Obs.: o STP em uma rede com topologia estvel, somente a Root Port e a Designated Port encaminham dados, as outras portas perma-
necem no estado de bloqueio. As portas bloqueadas somente podem receber BPDUs.
O RSTP (IEEE802.1w) uma evoluo do 802.1D padro. A terminologia de STP do 802.1w permanece essencialmente igual terminolo-
gia de STP do IEEE802.1d. A maioria dos parmetros permaneceu inalterada, assim os usurios familiarizados com o STP podem confgurar
rapidamente o novo protocolo.
O RSTP adianta o novo clculo do spanning tree quando a topologia de rede de Camada 2 alterada. O RSTP pode obter uma convergn-
cia muito mais rpida em uma rede corretamente confgurada.
Condio para a Root Port alterar o estado da porta para encaminhamento: quando a Root Port do switch deixa de encami-
nhar dados a Designated Port comea a transmitir dados imediatamente.
A condio para a Designated Port alterar o estado da porta para encaminhamento: a Designated Port pode operar de duas
formas: edge Port (Porta de Acesso) e Link P2P (conexo direta com outro switch).
Se a Designated Port uma Edge Port: a porta altera imediatamente seus estado para encaminhamento.
Se Designated Port um Link P2P: a porta somente mudar o estado para encaminhamento aps realizao do
handshake entre as portas do switch.
Elementos RSTP
Edge Port: indica que a porta do switch est conectada diretamente aos terminais.
P2P Link: indica que a porta do switch est conectada diretamente a outro switch.
MSTP (Multiple Spanning Tree Protocol), referente norma IEEE802.1s, compatvel tanto com o STP quanto o RSTP, alm de permitir a
convergncia do Spanning Tree, tambm permite que pacotes de diferentes VLANs sejam transmitidos ao longo de seus respectivos cami-
nhos de modo a proporcionar ligaes redundantes com um melhor mecanismo de balanceamento de carga.
Funes do MSTP
MSTP atravs das instncias de VLAN faz com que o switch economize largura de banda durante a convergncia e
manuteno do STP, interligando vrias VLANs a uma instncia.
MSTP divide uma rede com Spanning Tree em vrias regies. Cada regio possui sua prpria convergncia STP que so
independentes uma das outras.
MSTP fornece um mecanismo de equilbrio de carga para transmisses de pacotes na VLAN.
MSTP compatvel com STP e RSTP.
Elementos MSTP
Regies MST (Multiple Spanning Tree Region): uma regio MST corresponde aos switches que possuem a mesma
confgurao de regio e Instncias de VLAN.
IST (Internal Spanning Tree): uma IST a execuo interna do Spanning Tree dentro de uma regio MST.
CST (Common Spanning Tree): uma CST a execuo do Spanning Tree em uma rede que conecta todas as regies
MST na rede.
CIST (Common and Internal Spanning Tree): um CIST compreende a IST e CST, a execuo do Spanning Tree que
conecta todos os switches da rede.
A fgura a seguir exibe o diagrama de uma rede com MSTP:
CIST
MST
Region A
MST
Region C
MST
Region B
CST
Diagrama de rede MSTP
58
MSTP
O MSTP divide uma rede em vrias regies. O CST gerado entre estas regies do MST, cada regio MST pode executar o
Spanning Tree. Cada Spanning Tree chamado de instncia. Assim como o STP, o MSTP utiliza BPDUs para a execuo do
Spanning Tree. A nica diferena que o BPDU do MSTP transporta as informaes de confgurao MSTP dos switches.
Estado das portas
No MSTP, as portas podem estar nos seguintes estados.
Forwarding: neste estado a porta pode enviar e receber dados da rede alm de enviar e receber quadros BPDUs e
aprender endereos MAC.
Learning: neste estado a porta pode enviar e receber BPDUs e aprender endereos MAC.
Blocking: neste estado a porta somente receber pacotes BPDUs.
Disconnected: neste estado a porta no participa da execuo do STP.
Funes das portas
Em um MSTP, existem as seguintes funes para as portas.
Root Port: indica a porta que tem o caminho com menor custo (Path Cost) at o Root Bridge.
Designated Port: indica a porta que encaminha pacotes para um segmento de rede do switch.
Master Port: indica a porta que se conecta a regio MST de outro switch.
Alternate Port: indica a porta que pode ser utilizada como backup da Root Port ou Master Port.
Backup Port: indica a porta de backup da Designated Port.
Disable: indica a porta que no participa do STP.
O diagrama a seguir exibe as diferentes funes das portas.
A funo Spanning Tree possui quatros sub-menus de confgurao: STP Confg, Port Confg, MSTP instance e STP Security.
7.1. STP confg
O sub-menu STP Confg utilizado para realizar as confguraes globais da funo Spanning Tree e podem ser realizados
atravs das pginas: STP Confg e STP Summary.
STP confg
Antes de confgurar o Spanning Tree em uma rede, necessrio defnir a funo que cada switch ir desempenhar dentro
de uma instncia Spanning Tree. Apenas um switch pode ser o Root Bridge em cada instncia Spanning Tree.
Nesta pgina voc pode confgurar globalmente a funo de Spanning Tree e seus parmetros.
Escolha o menu Spanning Tree STP Confg STP Confg para carregar a seguinte pgina:
Connect to the root bridge
Region edge port: port 1, 2
Master port: port 1
Alternate port: port 2
Designated port: port 3, 5
Backup port: port 6
Port 1 Port 2
Switch A
Port 6
Port 5 Port 4 Port 3
Switch B Switch C
MST Region
Funes das portas em MSTP
59
Confgurao STP
As seguintes opes so exibidas na tela:
Global confg
STP: selecione Enable/Disable para habilitar ou desabilitar funo STP no switch.
Version: selecione a verso desejada do protocolo STP.
STP: Spanning Tree Protocol.
RSTP: Rapid Spanning Tree Protocol.
MSTP: Multiple Spanning Tree Protocol.
Parameters Confg
CIST priority: insira um valor de 0 a 61440 para especifcar a prioridade do switch durante a troca de quadros
BPDUs. A prioridade CIST um critrio importante na determinao da Root Bridge. O switch com a maior prioridade
ser escolhido como Root Bridge.
O valor mais baixo tem maior prioridade. O valor padro 32768 e deve ser um divisor exato de 4096.
Hello time: insira um valor de 1 a 10 em segundos para especifcar o intervalo de envios de quadros BPDUs. A
seguinte formula utilizada para testar o link 2 * (Hello Time + 1) <= Max Age. O valor padro 2.
Max age: insira um valor de 6 a 40 em segundos para especifcar o tempo mximo que o switch fcar aguardando
um quadro BPDU antes de tentar se reconfgurar. O valor padro 20 segundos.
Forward delay: insira um valor de 4 a 30 segundos para especifcar o tempo para a porta poder alterar seu estado
aps uma alterao na topologia da rede. A seguinte formula utilizada 2 * (Forward Delay -1) >= Max Age. O
valor padro 15 segundos.
TxHoldCount: insira um valor de 1 a 20 para defnir o nmero mximo de pacotes BPDUs transmitidos por intervalo
de Hello Time. O valor padro 5.
Max hops: insira um valor de 1 a 40 para especifcar o mximo de saltos possveis em uma regio especfca antes
do BPDU ser descartado. O valor padro 20 saltos.
Obs.: O parmetro Forward Delay e o dimetro da rede esto diretamente relacionados. Um pequeno Forward Delay
poder resultar em loops temporrios. Um grande Forward Delay poder resultar na incapacidade da rede voltar
ao seu estado normal de operao, durante a convergncia STP. O valor padro recomendado.
Um Hello Time adequado faz com que o switch possa descobrir as falhas de link ocorridos na rede sem ocupar
muito os recursos. Um grande Hello Time, pode resultar em links normais serem detectados como invlidos. Um
Hello Time muito pequeno pode resultar em confguraes duplicadas sendo enviadas com frequncia, o que
aumenta a carga nos switches, desperdiando recursos da rede. O valor padro recomendado.
60
Sumrio STP
7.2. Port confg
Nesta pgina possvel confgurar os parmetros das portas STP e de todas as instncias STP da rede.
Escolha no menu Spanning Tree Port Confg para carregar a seguinte pgina:
Um Max Age pequeno poder resultar em switches regenerando seus Spanning Tree frequentemente e causando
um congestionamento na rede que pode ser confundido como um problema em um dos links. Um Max Age muito
grande pode deixar os switches incapazes de encontrar os problemas nos links, causando limitaes no Spanning
Tree. O valor padro recomendado.
Se o parmetro TxHoldCount for muito alto, o nmero de pacotes MSTP sendo enviados em cada Hello Time
aumentar a utilizao da largura de banda da rede. O valor padro recomendado.
STP summary
Nesta pgina possvel visualizar os parmetros relacionados funo Spanning Tree.
Escolha no menu Spanning Tree STP Confg STP Sumarry para carregar a seguinte pgina:
61
As seguintes informaes so exibidas na tela:
Port confg
Port select: digite a porta desejada no campo correspondente e clique em Select para selecionar a porta.
Select: selecione a porta desejada. Nesta opo possvel selecionar mais de uma porta simultaneamente.
Port: exibe o nmero da porta.
Status: selecione Enable/Disable para habilitar ou desabilitar a funo STP na porta desejada.
Priority: digite um valor de 0 a 240 divisvel por 16. Port Priority um importante critrio para determinar se a porta
conectada ser escolhida como Root Port. O valor mais baixo ter maior prioridade.
ExtPath cost: utilizado para escolher o caminho e calcular os Path Cost das portas em diferentes regies MST.
um critrio importante na defnio da Root Port. O valor mais baixo ter maior prioridade.
IntPath cost: utilizado para escolher o caminho e calcular os Path Cost das portas em uma regio MST. um
critrio importante na defnio da Root Port. O valor mais baixo ter maior prioridade.
Edge port: selecione Enable/Disable para habilitar ou desabilitar a funo. Esta opo utilizada conectar um
equipamento fnal (normalmente computadores) na porta do switch. Este modo faz com que o estado da porta se
modifque de Bloqueada para Encaminhamento de forma direta.
P2P link: selecione Auto/Enable/Disable para habilitar/desabilitar ou deixar em modo automtico o link P2P (portas
utilizadas na interconexo de switches). Se as duas portas do link P2P so Root Port ou Designated Port, eles podem
alterar o estado da porta para encaminhamento de forma mais rpida, reduzindo o tempo de convergncia do
Spanning Tree.
MCheck: selecione Enable para executar a operao Mcheck na porta ou Unchange para no realizar nenhuma
operao Mcheck.
STP version: exibe a verso do Spanning Tree da porta.
Port role: exibe a funo da porta na instncia STP.
Root port: indica a porta que tem o menor Path Cost para a Root Bridge.
Designated port: indica a porta do switch que encaminha pacotes para um segmento de rede.
Master port: indica a porta do switch, que se conecta a regio MST de outro switch.
Alternate port: indica a porta que pode ser utilizada como backup da Root Port ou Master Port.
Backup port: indica a porta de backup da Designated Port.
Disabled: indica a porta que no participa do STP.
Portas STP
62
Port status: exibe o estado de funcionamento da porta.
Forwarding (encaminhamento): neste estado a porta pode receber e enviar dados, receber e enviar quadros
BPDUs bem como aprender endereos MAC.
Learning (aprendizado): neste estado a porta pode receber e enviar quadros BPDUs e aprender o endereo MAC.
Blocking (bloqueado): neste estado a porta somente pode receber quadros BPDUs.
Disconnected (desconectado): neste estado a porta no participa do Spanning Tree.
LAG: exibe o nmero do grupo Lag que a porta pertence.
Obs.: Confgurar as portas que esto conectadas diretamente aos equipamentos fnais (como por exemplo, computa-
dores) como Edge Port e habilitar a funo de proteo BPDU. Alm de alterar o estado da porta para encami-
nhamento de forma mais rpida, aumenta tambm a segurana na rede.
Todas as portas pertencentes a grupos LAGs podem ser confguradas como links ponto-a-ponto (P2P Link).
Quando um link de uma porta confgurado como ponto-a-ponto, as instncias de Spanning Tree possuem suas
portas confguradas como ponto-a-ponto (P2P Link). Se a conexo fsica da porta no for um link ponto-a-ponto,
poder ocorrer loops temporrios na rede.
7.3. MSTP instance
O MSTP cria uma tabela de mapeamento entre VLANs e o Spanning Tree. Ao adicionar uma instncia MSTP, vrias VLANs
so conectadas a uma instncia MSTP. Somente os switches que possuem o mesmo nome, reviso e tabela de mapea-
mento pertencem a mesma regio MST.
A funo de instncia MSTP pode ser confgurada nas pginas: Region Confg, Instance Confg e Instance Port Confg.
Region confg
Nesta pgina voc pode confgurar o nome e reviso da regio MST.
Escolha o menu Spanning Tree MSTP Instance Region Confg para carregar a seguinte pgina:
As seguintes opes so exibidas na tela:
Region confg
Region name: insira um nome para identifcar a regio MST, utilizando no mximo 32 caracteres.
Revision: insira um valor de reviso de 0 a 65535 para identifcar a regio MST.
Instance confg
Nesta pgina possvel confgurar as instncias MSTP, uma propriedade da regio MST, usado para descrever a VLAN
e confgurao de mapeamento de instncia. Voc pode atribuir VLANs a diferentes instncias de acordo com suas ne-
cessidades.
Cada Instncia um grupo de VLANs independente uma das outras e do CIST.
Escolha no menu Spanning Tree MSTP Instance Intance Confg para carregar a seguinte pgina:
Regio MST
63
Instncias MSTP
As seguintes informaes so apresentadas na tela:
Instance table
Instance ID select: digite a ID da instncia desejada no campo correspondente e clique em Select para selecion-la.
Select: selecione a Instncia desejada. Nesta opo possvel selecionar mais de uma Instncia simultaneamente.
Instance: exibe o ID da instncia MSTP.
Status: selecione Enable/Disable para habilitar ou desabilitar o funcionamento da Instncia desejada.
Priority: digite a prioridade da instncia. um critrio importante para determinar se o switch ser escolhido como
Root Bridge na instncia selecionada.
VLAN ID: digite o VLAN ID que pertence ao ID da instncia correspondente. Aps a modifcao, a VLAN ID ser
apagada e mapeada para a CIST.
Clear: clique no boto Clear para apagar todas as VLANs ID da instncia desejada.
VLAN-instance mapping
VLAN ID: digite a VLAN ID desejada, Aps a modifcao, a nova VLAN ID ser adicionada a identifcao da instncia
correspondente e a VLAN ID anterior ser substituda.
Instance ID: digite o ID da instncia correspondente.
Obs.: em uma rede com GVRP e MSTP habilitados, pacotes GVRP so encaminhados ao longo da CIST. Se voc quiser
transmitir pacotes de uma VLAN especfca atravs do GVRP, por favor, certifque-se de mapear a VLAN para CIST durante
a confgurao da tabela de encaminhamento de VLAN.
64
As seguintes opes so exibidas na tela:
Port confg
Instance ID: selecione o ID da instncia desejada para confgurar os parmetros da porta.
Port select: digite a porta deseja no campo correspondente e clique em Select para selecionar a porta.
Select: selecione a porta desejada. Nesta opo possvel selecionar mais de uma porta simultaneamente.
Port: exibe o nmero da porta.
Priority: digite a prioridade da porta na instncia. um critrio importante ao determinar se a porta conectada ser
escolhida como Root Port.
Confgurao das instncias MSTP
Path cost: digite o valor utilizado para determinar o custo do caminho da porta em uma regio MST. um critrio
importante na determinao da Root Bridge. O valor mais baixo ter maior prioridade.
Port role: exibe a funo da porta em uma instncia MSTP.
Port status: exibe o status de funcionamento da porta.
LAG: apresenta o nmero do grupo LAG a qual a porta pertence.
Obs.: o Port Status de uma mesma porta pode ser diferente em instncias MSTP distintas.
Instance port confg
Uma porta pode desempenhar diferentes papis na instncia Spanning Tree. Nesta pgina voc pode confgurar os par-
metros das portas em IDs de instncias diferentes, bem como visualizar o status das portas.
Escolha o menu Spanning Tree MSTP Instance Instance Port Confg para carregar a seguinte pgina:
65
Passo Operao Descrio
1
Deixar claro os papis de cada switch nas instncias
de STP: Root Bridge ou Designated Bridge.
Preparao
2 Confgurao dos parmetros globais de MSTP.
Obrigatrio. Habilitar o STP no switch e confgurar os parmetros MSTP em:
Spanning Tree STP Confg STP Confg
3 Confgurao dos parmetros MSTP por porta.
Obrigatrio, Confgurar os parmetros MSTP para cada porta: Spanning Tree->Port
Confg-> Port Confg
4 Confgurao da regio MST
Obrigatrio, Criar a regio MST e confgurar a funo que o switch desempenhar
na regio MST em: Spanning Tree MSTP Instance Region Confg e Instance
Confg.
5
Confgurao dos parmetros das portas para cada
Instncia MSTP.
Opcional, Confgurar diferentes instncias na regio MST e confgurar os
parmetros das portas para cada instncia MSTP: Spanning Tree MSTP Instance
Instance Port.
7.4. STP security
Neste sub-menu possvel confgurar a funo de proteo STP, pode-se proteger o switch contra dispositivos maliciosos
que tentem realizar ataque contra recursos STP. A funo STP Security confgurada nas seguintes pginas: Port Protect
e TC Protect.
Port Protect evita que dispositivos maliciosos ataquem recursos do STP.
Port protect
Nesta pgina voc pode confgurar o recurso de proteo de loop, proteo de root, proteo TC, proteo de BPDU e
fltro de BPDU por portas.
Loop protect
Em uma rede estvel, o switch mantm o estado das portas recebendo e processando quadros BPDU. No entanto, quan-
do ocorre congestionamento no link, falhas na conexo ou alterao indevida na topologia da rede, o switch pode no
receber quadros BPDU por um determinado perodo, resultando em uma nova execuo do algoritmo Spanning Tree, po-
dendo ocorrer a alterao do estado das portas antes da convergncia STP da rede, isto , as portas passariam do estado
bloqueado (Blocked) para o estado de encaminhamento (Forwarding) precocemente, podendo ocasionar loops na rede.
Root protect
Um CIST e suas Root Bridges secundrias esto geralmente localizados no core da rede. Confguraes erradas ou ataques
maliciosos podem resultar com que quadros BPDUs com maior prioridades sejam recebidas pelo Root Bridge, o que faz
com que Root Bridge atual perca a sua posio, podendo ocasionar atrasos na rede.
Para evitar isso, o MSTP fornece a funo Root Protect. As portas que estiverem com esta funo habilitada s podem ser
defnidas como Designateds Ports em todas as instncias do Spanning Tree. Quando este recurso est habilitado na porta e
esta porta receber quadros BPDU com maior prioridade, a porta transitar seu estado para bloqueado Blocked negando
o encaminhamento de pacotes (como se o link estivesse desconectado). A porta retorna seu estado normal se no receber
quadros de confgurao BPDUs com prioridades maiores em um perodo igual a duas vezes o tempo do Forward Delay.
TC protect
O switch remove as entradas de endereos MAC ao receber pacotes TC-BPDU. Se um usurio mal intencionado envia
uma grande quantidade de pacotes TC-BPDU para um switch em um curto intervalo de tempo, o switch fcar ocupado
realizando a remoo das entradas de endereos MAC, ocasionando a diminuio do desempenho e estabilidade da rede.
Confgurao global da funo Spanning Tree.
66
Para evitar que o switch remova endereos MAC com frequncia, voc pode habilitar a funo TC Protect. Com o TC
Protect habilitado, ser possvel determinar a quantidade de pacotes TC-BPDU que a porta poder receber, defnindo um
nmero mximo de recebimento de pacotes no campo TC Threshold, desta forma, o switch no executar a operao de
remoo dos endereos MAC, impedindo que o switch fque removendo com frequncia as entradas de endereos MAC.
BPDU protect
As portas do switch conectadas diretamente em computadores ou servidores podem ser confguradas como Edge Port,
para que o estado da porta seja alterado rapidamente, otimizando o processo de convergncia STP. As portas confguradas
como Edge Port no podem receber quadros BPDUs. Quando essas portas recebem BPDUs, o sistema automaticamente
confgura essas portas como Non-Edge e regenera o Spanning Tree, podendo causar atrasos na convergncia do STP. Um
usurio mal intencionado pode atacar o switch enviando quadros BPDUs, que resultaria em atrasos na convergncia do
STP.
Para evitar esse tipo de ataque, o MSTP fornece a funo de BPDU Protect. Com essa funo habilitada, o switch desabilita
as portas confguradas como Edge Port ao receberem quadros BPDUs e relata esses casos ao administrador. Se uma porta
for desabilitada, somente o administrador poder restaur-la.
BPDU flter
Esta proteo utilizada para evitar uma inundao de BPDUs na rede STP. Se um switch recebe BPDUs maliciosos, ele
encaminha estas BPDUs para outros switches conectados na rede, podendo fazer com que o Spanning Tree seja cons-
tantemente regenerado. Neste caso o processador do switch fcar sobrecarregado alm destas BPDUs atrapalharem a
convergncia STP.
Com a funo BPDU Filter habilitada, uma porta no pode receber ou transmitir BPDUs, apenas envia seus prprios BPDUs.
Tal mecanismo evita que o switch seja atacado por BPDUs maliciosas, Garantido que a convergncia STP esteja correta.
Entre no menu Spanning Tree STP Security Port Protect para carregar a seguinte pgina:
Port protect
67
As seguintes opes so apresentadas a tela:
Port protect
Port select: digite a porta deseja no campo correspondente e clique em Select para selecionar a porta.
Select: selecione a porta desejada. Nesta opo possvel selecionar mais de uma porta simultaneamente.
Port: exibe o nmero da porta.
Loop protect: selecione Enable/Disable para habilitar ou desabilitar a funo Loop Protect na porta desejada. Esta
funo evita loops na rede, ocasionada por falhas nos links ou congestionamento na rede.
Root protect: selecione Enable/Disable para habilitar ou desabilitar a funo Root Protect na porta desejada. Esta
funo evita a alterao da topologia da rede de forma errada, causada pela alterao da Root Bridge atual.
TC protect: selecione Enable/Disable para habilitar ou desabilitar a funo TC Protect na porta desejada. Esta funo
previne a diminuio do desempenho e estabilidade do switch ao receber um nmero grande de pacotes TC-BPDUs.
BPDU protect: selecione Enable/Disable para habilitar ou desabilitar a funo BPDU Protect na porta desejada. Esta
funo previne que a Edge Port seja atacada por BPDUs maliciosas.
LAG: exibe o nmero do grupo LAG a qual a porta pertence.
TC protect
Quando a porta do switch est com a funo TC Protect habilitada, ser necessrio confgurar a quantidade de pacotes
TC-BPDUs e o intervalo de tempo de monitoramento utilizado pela funo. Estes parmetros so confgurados na pgina
de confgurao TC Protect.
Entre no menu Spanning Tree STP Security TC Protect para carregar a seguinte pgina:
TC protect
As seguintes opes so exibidas na tela:
TC protect
TC threshold: digite o nmero mximo de pacotes TC-BPDUs que podem ser recebidos em um ciclo TC Protect. A
quantidade varia de 1 a 100, o valor padro 20.
TC protect cycle: digite o tempo de durao de um ciclo TC Protect. O tempo varia de 1 a 10 segundos, o valor
padro 5 segundos.
7.5. Exemplos de aplicaes para STP
Requisitos de rede.
Switch A, B, C, D e E todos com suporte a MSTP.
Switch A, ser o switch central.
B e C so switches de convergncia. D, E e F so switches da camada de acesso.
Existem 6 VLANs, rotuladas como VLAN101 a VLAN106 na rede.
Todos os switches executam o MSTP pertencem mesma regio MSTP.
Os dados da VLAN101, 103 e 105 so transmitidos pelo STP com o switch B sendo o Root Bridge. Os dados da
VLAN102, 104 e 106 so transmitidos pelo STP com o switch C sendo o Root Bridge.
68
Switch A
Switch D Switch B
Switch C Switch E Switch F
Exemplo de aplicao para STP
Procedimento de confgurao
Confgurao do switch A:
Passo Operao Descrio
1
Confgurao do modo de funcionamento das
portas
VLAN 802.1Q VLAN, confgure o modo de funcionamento das portas como
TRUNK, e adicione nas portas correspondentes as VLAN 101 e VLAN 106. As
instrues detalhadas podem ser encontradas na seo 802.1Q VLAN.
2 Habilitar a funo STP
Spanning TreeSTP ConfgSTP Confg, habilite a funo STP e selecione a
verso MSTP.
Spanning TreeSTP ConfgPort Confg, habilite a funo MSTP para as portas.
3 Confgurao do nome e reviso da regio MST
Spanning TreeMSTP InstanceRegion Confg, confgure a regio como
INTELBRAS e mantenha a confgurao de reviso padro.
4
Confgurao da Tabela de Encaminhamento da
regio MST
Spanning TreeMSTP InstanceInstance Confg, confgure a tabela de
encaminhamento. Adicione a VLAN 101, 103 e 105 para a instncia 1 e mapeie a
VLAN 102. 104 e 106 para instncia 2.
Confgurao do switch B
Passo Operao Descrio
1
Confgurao do modo de funcionamento das
portas
VLAN 802.1Q VLAN, confgure o modo de funcionamento das portas como
TRUNK, e adicione nas portas correspondentes as VLAN 101 e VLAN 106. As
instrues detalhadas podem ser encontradas na seo 802.1Q
2 Habilitar a funo STP
Spanning TreeSTP ConfgSTP Confg, habilite a funo STP e selecione a
verso MSTP.
Spanning TreeSTP ConfgPort Confg, habilite a funo MSTP para as portas.
3 Confgurao do nome e reviso da regio MST
Spanning TreeMSTP InstanceRegion Confg, confgure a regio como
INTELBRAS e mantenha a confgurao de reviso padro.
4
Confgurao da Tabela de Encaminhamento da
regio MST
Spanning TreeMSTP InstanceInstance Confg, confgure a tabela de
encaminhamento. Adicione a VLAN 101, 103 e 105 para a instncia e mapeie a
VLAN 102. 104 e 106 para instncia 2.
5
Confgure o switch B como root bridge para
instncia 1
Spanning TreeMSTP InstanceInstance
Confg, confgure a prioridade da instncia 1 para 0.
6
Confgurao das Designated Bridge da instncia
2.
Spanning TreeMSTP InstanceInstance
Confg, confgure a prioridade da instncia 2 para 4096.
Diagrama de rede
69
Confgurao do switch C:
Passo Operao Descrio
1
Confgurao do modo de funcionamento das
portas
VLAN 802.1Q VLAN, confgure o modo de funcionamento das portas como
TRUNK, e adicione nas portas correspondentes as VLAN 101 e VLAN 106. As
instrues detalhadas podem ser encontradas na seo 802.1Q VLAN.
2 Habilitar a funo STP
Spanning TreeSTP ConfgSTP Confg, habilite a funo STP e selecione a
verso MSTP.
Spanning TreeSTP ConfgPort Confg habilite a funo MSTP para as portas.
3 Confgurao do nome e reviso da regio MST
Spanning TreeMSTP InstanceRegion Confg, confgure a regio como
INTELBRAS e mantenha a confgurao de reviso padro.
4
Confgurao da Tabela de Encaminhamento da
regio MST
Spanning TreeMSTP InstanceInstance Confg, confgure a tabela de
encaminhamento. Adicione a VLAN 101, 103 e 105 para a instncia 1e mapeie a
VLAN 102. 104 e 106 para instncia 2.
5
Confgure o switch C como Root Bridge para
instncia 1
Spanning TreeMSTP InstanceInstance
Confg, confgure a prioridade da instncia 1 para 0.
6
Confgure o switch C como Designated Bridge
para a instncia 2.
Spanning TreeMSTP InstanceInstance
Confg, confgure a prioridade da instncia 2 para 4096.
Confgurao do switch D
Passo Operao Descrio
1
Confgurao do modo de funcionamento das
portas
VLAN 802.1Q VLAN, confgure o modo de funcionamento das portas como
TRUNK, e adicione nas portas correspondentes as VLAN 101 e VLAN 106. As
instrues detalhadas podem ser encontradas na seo 802.1Q VLAN.
2 Habilitar a funo STP
Spanning TreeSTP ConfgSTP Confg, habilite a funo STP e selecione a
verso MSTP.
Spanning TreeSTP ConfgPort Confg, habilite a funo MSTP para as portas.
3 Confgurao do nome e reviso da regio MST
Spanning TreeMSTP InstanceRegion Confg, confgure a regio como
INTELBRAS e mantenha a confgurao de reviso padro.
4
Confgurao da Tabela de Encaminhamento da
regio MST
Spanning TreeMSTP InstanceInstance Confg, confgure a tabela de
encaminhamento. Adicione a VLAN 101, 103 e 105 para a instncia 1e mapeie a
VLAN 102. 104 e 106 para instncia 2.
O procedimento de confgurao dos switches E e F so as mesmas do switch D.
O diagrama de topologia das duas instncias, aps a convergncia STP
Para a instncia 1 (VLAN 101,103 e 105), os caminhos em vermelhos na fgura a seguir so os links ativos, os
caminhos cinza so os links bloqueados.
Switch A
Switch D Switch B
Switch C Switch E Switch F
Diagrama da Instncia 1 aps a convergncia STP
70
Switch A
Switch D Switch B
Switch C Switch E Switch F
Diagrama da Instncia 2 aps a convergncia STP
Para a instncia 2 (VLAN 102, 104 e 106) os caminhos em azul na fgura a seguir so os links ativos, os caminhos
cinza so os links bloqueados.
Sugestes para confgurao
Habilitar o TC Protect para todas as portas dos switches.
Habilitar o Root Protect em todas as portas do switch Root Bridges.
Habilitar o Loop Protect nas portas Non-Edge.
Habilitar a BPDU Protect ou BPDU Filter para as portas que esto conectadas diretamente em computadores ou servidores.
8. Multicast
Viso global do Multicast
Multicast o mtodo de transmisso de um pacote de dados a mltiplos destinos ao mesmo tempo. O servidor Multicast
envia os pacotes de dados somente uma vez, fcando a cargo dos clientes captarem esta transmisso e reproduzi-la, esta
tcnica diminui consideravelmente o trfego da rede e utilizado principalmente em aplicaes de streaming de udio e
vdeo conferncia. Este mtodo possui uma alta efcincia na entrega dos pacotes a mltiplos clientes, reduzindo a carga
da rede.
Este switch utiliza o protocolo IGMP (Internet Group Management Protocol) para consultar quais clientes desejam receber
o servio Multicast ofertado. Com a utilizao deste procolo o switch consegue identifcar em qual porta o cliente est co-
nectado para receber a transmisso Multicast, a partir desta identifcao, o switch encaminha o trfego Multicast apenas
para as portas onde houver solicitante.
A fgura a seguir mostra como o trfego Multicast transmitido.
71
Multicast Streams
Multicast Source
Router
Router
Switch 1
Switch 3
PC PC Receiver 1 Receiver 2
Switch 2
Trfego Multicast
Funes do Multicast
1. Em uma rede ponto-a-multiponto, o nmero de clientes solicitando um servio desconhecido, neste caso, o Multicast
otimiza os recursos da rede.
2. Os clientes que recebem a mesma informao do servidor Multicast, formam um Grupo Multicast, Deste modo o servidor
Multicast necessita enviar apenas uma nica vez a mensagem.
3. Cada cliente pode entrar ou sair do Grupo Multicast a qualquer momento.
4. Em aplicaes em tempo real, aceitvel ocorrer algumas perdas de pacotes (dentro de um limite que no prejudique
o servio).
Endereos Multicast
1. Endereos IP Multicast:
Conforme especifcado pelo IANA (Internet Assigned Numbers Authority), os endereos Ips de classe D so usados
como endereos Multicast. O intervalo de endereos Multicast vai de 224.0.0.0 a 239.255.255.255. A tabela a seguir
exibe o intervalo e descrio de vrios endereos Multicast especiais.
Faixa de endereos Multicast Descrio
224.0.0.0 ~ 224.0.0.255
Endereos Multicast reservados para protocolos de roteamento e outros
protocolos de rede.
224.0.1.0 ~ 224.0.1.255 Endereos para videoconferncia
239.0.0.0 ~ 239.255.255.255 Endereos Multicast utilizados no gerenciamento da rede local
72
Tabela de endereos Multicast
O switch encaminha pacotes Multicast com base na Tabela de Endereos Multicast. Como a transmisso de pacotes Mul-
ticast no pode se estender a VLANs, a primeira parte da Tabela de Endereos Multicast o VLAN ID, a partir do qual, os
pacotes Multicast recebidos so transmitidos somente na VLAN que a porta pertence.
A Tabela de Endereos Multicast no est mapeada para uma porta de sada, mas sim, para uma lista de portas perten-
centes a um grupo. Ao encaminhar um pacote Multicast, o switch verifca sua Tabela de Endereos Multicast, baseado no
endereo de destino do pacote Multicast. Se a entrada correspondente no for encontrada na tabela, o switch ir transmitir
via broadcast o pacote na VLAN. Se a entrada correspondente for encontrada na tabela, isso indica que o endereo MAC
de destino deve estar na lista de grupos de portas, de modo que o switch ir duplicar estes dados de destino e entregar
uma cpia para cada porta. O formato geral da tabela de endereos Multicast descrito na fgura a seguir:
MAC Address
IP Address
0
1110
01 - - 00 5E
00000001 00000000 0101 1110 0
5 bits
7 15 23 23
The low-order 23 bits of the Multicast IP are mapped
to the low-order 23 bits of the Multicast MAC address
31
VLAN ID Multicast IP Port
Endereo MAC Multicast
Tabela de endereos Multicast
IGMP snooping
O IGMP Snooping um mecanismo de controle Multicast, que pode ser usado no switch para registrar dinamicamente um
grupo Multicast. O switch executando o IGMP snooping, gerencia e controla o grupo Multicast escutando e processando
mensagens IGMP transmitidas entre os clientes e servidores Multicast, determinando os dispositivos conectados a ele e
que pertencem ao mesmo grupo, evitando desta forma que os grupos Multicast transmitam pacotes via broadcast na rede.
A funo Multicast possui quatro sub-menus de confgurao: IGMP Snooping, Multicast IP, Multicast Filter e Packet
Statistic.
8.1. IGMP snooping
Processo IGMP snooping
O switch executando IGMP Snooping fca escutando as mensagens transmitidas entre os clientes e o servidor Multicast,
controlando e registrando as mensagens IGMP que passam por suas portas. Ao receber mensagens IGMP Report, o switch
adiciona a porta na Tabela de Endereos MAC Multicast, quando o switch escuta mensagens IGMP Leave a partir de um
cliente, ele aguarda o servidor Multicast enviar mensagens IGMP Query ao Grupo Multicast especifco para verifcar se
os outros clientes do grupo ainda necessitam das mensagens Multicast: se sim, o servidor Multicast receber mensagem
IGMP Report, se no, o servidor Multicast no receber mensagens IGMP Report, portanto o switch remover a porta
especfca da Tabela de Endereos Multicast.
O servidor Multicast envia regularmente mensagens IGMP Query, aps o envio destas mensagens, o switch ir remover a
porta da Tabela de Endereos Multicast, caso no escute nenhuma mensagem IGMP Report do cliente em um determinado
perodo de tempo.
2. Endereos MAC de Multicast
Quando um pacote Unicast transmitido em uma rede Ethernet, o endereo MAC de destino o endereo MAC do
receptor. Quando um pacote Multicast transmitido em uma rede Ethernet, o destino no apenas um receptor, mas
um grupo com um nmero indeterminado de membros. Para um determinado endereo MAC Multicast, criado um
endereo MAC lgico, utilizado como endereos de destino do pacote.
Conforme estipulado pela IANA, os 24 bits de maior ordem de um endereo MAC Multicast inicia-se com 01-00-5E
enquanto os 23 bits de menor ordem do endereo IP Multicast substituem os 23 bits de menor ordem do endereo
MAC, formando assim o endereo MAC Multicast, como mostra a fgura a seguir:
73
Mensagens IGMP
O switch, executando IGMP Snooping, processa as mensagens IGMP das seguintes formas:
1. IGMP Query (Consulta IGMP)
As mensagens IGMP Query (Consulta IGMP) enviadas pelo servidor Multicast podem ser classifcadas de duas formas:
IGMP General Query (Consulta Geral) ou Group-Specifc-Query (Consulta a Grupo Especfco). O servidor envia regular-
mente mensagens de consulta geral, para verifcar se os grupos Multicast possuem membros. Ao receber mensagens
IGMP Leave, o switch encaminhar as mensagens de consulta ao grupo Multicast especfco enviadas pelo servidor
Multicast para as portas pertencentes ao grupo, para verifcar se outros membros do grupo ainda necessitam do servio
Multicast.
2. IGMP Report (Relatrio IGMP)
As mensagens IGMP Report so enviadas pelos clientes quando ele deseja se associar (join) a um grupo Multicast ou
responder as mensagens de consulta IGMP (IGMP Query) do servidor Multicast.
Ao receber uma mensagem IGMP Report, o switch encaminhar a mensagem de relatrio atravs da porta denominada
Router Port para o servidor Multicast, alm de analisar a mensagem para obter o endereo do grupo Multicast que
o cliente ir se juntar.
A porta de recepo do switch proceder da seguinte maneira: se a porta que o cliente est conectado no switch um
novo membro para um grupo Multicast, a porta ser adicionada a Tabela de Endereos Multicast, se a porta que o cliente
est conectado j pertence ao grupo Multicast, o tempo de permanncia da porta ao grupo Multicast ser reiniciado.
3. IGMP Leave (Remoo do Grupo Multicast)
Clientes que executam o IGMP v1 no enviam mensagens IGMP Leave ao sair de um grupo Multicast, como resultado, o
switch somente remover a porta da Tabela de Endereos Multicast aps o trmino do tempo de vida da porta na tabela
de endereos. Os clientes que executam IGMP v2 ou IGMP v3, enviam mensagens IGMP Leave ao sair de um grupo
Multicast para informar ao servidor Multicast a sua sada.
Ao receber mensagens IGMP Leave, o switch encaminha as mensagens de consulta ao grupo Multicast especfco en-
viadas pelo servidor Multicast para as portas pertencentes ao grupo, para verifcar se outros membros do grupo ainda
necessitam do servio Multicast e reiniciar o tempo de permanncia da porta na Tabela de Endereos Multicast.
Fundamentos do IGMP snooping
1. Portas
Router port: indica a porta do switch conectada diretamente ao servidor Multicast.
Member port: indica a porta do switch conectado diretamente a um membro (cliente) do grupo Multicast.
2. Temporizadores
Router port time: se o switch no receber mensagens IGMP Query da porta em que o servidor Multicast est conecta-
do dentro de um intervalo de tempo, a porta no ser mais considerada como Router Port. O valor padro 300 segundos.
Member port time: se o switch no receber mensagens IGMP Report da porta em que os membros (cliente) de um
grupo Multicast esto conectados dentro de um intervalo de tempo, a porta no ser mais considerada como Member
Port. O valor padro 260 segundos.
Leave time: indica o intervalo entre o switch receber uma mensagem Leave a partir de um cliente e o servidor Multicast
remover o cliente do grupo Multicast. O valor padro 1 segundo.
A funo IGMP Snooping pode ser confgurada nas seguintes pginas: Snooping Confg, Port Confg, Vlan Confg e
Multicast VLAN.
Snooping confg
Nesta pgina possvel habilitar a funo IGMP Snooping no switch.
Se o endereo Multicast dos dados recebidos no estiver na tabela de endereos Multicast, o switch ir enviar um bro-
adcast na VLAN.
Quando a funo Multicast desconhecido est selecionada em Discard, o switch descartar os pacotes de Multicast des-
conhecidos que so recebidos, evitando assim o uso desnecessrio de largura de banda e melhorando a performance do
sistema. Por favor, confgure esse recurso de acordo com suas necessidades.
Escolha o menu Multicast IGMP Snooping Snooping Confg para carregar a seguinte pgina.
74
Global confg
IGMP snooping: selecione Enable/Disable para habilitar ou desabilitar a funo IGMP Snooping no switch.
Unknown multicast: selecione a operao que o switch ir fazer ao receber Multicast desconhecido:
Forward: o switch encaminhar o pacote Multicast em forma de broadcast todas as portas pertencentes
VLAN.
Discard: o switch descartar os pacotes Multicast desconhecido que so recebidos, evitando assim o uso desne-
cessrio de largura de banda e melhorando a performance do sistema.
IGMP snooping status
Description: exibe o status da confgurao IGMP Snooping.
Member: exibe as portas e VLANs habilitadas para a funo IGMP Snooping.
Port confg
Nesta pgina voc pode confgurar a funo IGMP nas portas desejadas do switch.
Entre no menu Multicast IGMP Snooping Port Confg para carregar a seguinte pgina:
Confgurao IGMP snooping
Port confg
75
As seguintes opes so exibidas na tela:
Port confg
Port select: digite a porta deseja no campo correspondente e clique em Select para selecionar a porta.
Select: selecione a porta desejada. Nesta opo possvel selecionar mais de uma porta simultaneamente.
Port: exibe o nmero da porta.
IGMP snooping: selecione Enable/Disable para habilitar ou desabilitar a funo IGMP Snooping na porta desejada.
Fast leave: selecione Enable/Disable para habilitar ou desabilitar a funo Fast Leave na porta desejada. A funo
Fast Leave faz com o switch remova imediatamente a porta da Tabela de Endereos Multicast, assim que receber uma
mensagem IGMP Leave.
LAG: exibe o nmero do grupo LAG a qual a porta pertence.
Obs.: fast Leave somente suportado na porta do switch quando o cliente utiliza o IGMP v2 ou v3.
VLAN confg
Grupos Multicast estabelecidos com a utilizao de IGMP Snooping so baseados em VLANs. Nesta pgina voc pode
confgurar diferentes parmetros do IGMP para diferentes VLANs.
Escolha no menu Multicast IGMP Snooping VLAN Confg, para carregar a seguinte pgina:
VLAN confg
As seguintes opes so exibidas na tela:
VLAN confg
VLAN ID: digite a VLAN ID para habilitar o IGMP Snooping na VLAN desejada.
Router port time: especifque o tempo de vida do Router Port. Se o switch no receber mensagens IGMP Query da
porta em que o servidor Multicast est conecta do dentro de um intervalo de tempo, a porta no ser mais considerada
como Router Port. O valor padro 300 segundos.
Member port time: especifque o tempo de vida do Member Port. Se o switch no receber mensagens IGMP Report
da porta em que os membros (cliente) de um grupo Multicast esto conectados dentro de um intervalo de tempo, a
porta ser removida da Tabela de Endereos Multicast. O valor padro 260 segundos.
Leave time: especifque o intervalo de tempo entre o switch receber uma mensagem de Leave de um cliente e o
servidor Multicast remover o cliente do grupo Multicast. O valor padro 1 segundo.
Static router port: selecione a Router Port manualmente.
76
Passo Operao Descrio
1 Habilitar a funo IGMP snooping
Obrigatrio, Habilitar as confguraes globais do IGMP Snooping do switch e das
portas em: MulticastIGMP SnoopingSnooping Confg e Port Confg.
2
Confgurar os parmetros de Multicast para as
VLANs
Opcional, Confgurar os parmetros Multicast das VLANs em: MulticastIGMP
SnoopingVLAN Confg. Se uma VLAN no tem parmetros de confgurao
Multicast, indica que o IGMP Snooping no est habilitado na VLAN, assim os
dados Multicast na VLAN sero enviados em broadcast.
Multicast VLAN
Em transmisses Multicast, quando usurios de diferentes VLANs participam do mesmo grupo Multicast, o servidor Mul-
ticast ir duplicar as informaes e encaminhar para as VLANs correspondentes, desperdiando largura de banda e
recursos do switch.
Este problema pode ser resolvido por meio do recurso Multicast VLAN. Ao adicionar as portas do switch para Multicast
VLAN e habilitar o IGMP Snooping possvel compartilhar a Multicast VLAN entre clientes de diferentes VLANs, econo-
mizando largura de banda e recursos do switch, pois os fuxos Multicast so transmitidos somente na Multicast VLAN.
Antes de confgurar uma Multicast VLAN necessrio criar uma VLAN (802.1Q) e adicionar as portas correspondentes.
Ao ativar uma Multicast VLAN as confguraes Multicast das outras VLANs sero desabilitadas, isto , o trfego Multicast
somente ser permitido dentro da Multicast VLAN.
Escolha no menu Multicast IGMP Snooping Multicast VLAN para carregar as pginas.
Multicast VLAN
VLAN table
VLAN ID select: digite a VLAN ID no campo correspondente e clique em Select para selecionar a VLAN desejada.
Select: selecione a VLAN ID desejada. Nesta opo possvel selecionar mais de uma VLAN ID simultaneamente.
Router port time: exibe o tempo de vida confgurado para o Router Port.
Member port time: exibe o tempo de vida confgurado para o Member Port.
Leave time: exibe o Leave Time confgurado.
Router port: exibe o nmero da porta confgurado como Router Port.
Obs.: essas confguraes no sero vlidas se a funo Multicast VLAN estiver habilitada.
Procedimento de confgurao
77
As seguintes opes so exibidas na tela:
Multicast VLAN
Multicast VLAN: selecione Enable/Disable para habilitar ou desabilitar a funo Multicast VLAN.
VLAN ID: digite o VLAN ID utilizado pelo Multicast VLAN.
Router port time: especifque o tempo de vida do Router Port. Se o switch no receber mensagens IGMP Query da
porta em que o servidor Multicast est conecta do dentro de um intervalo de tempo, a porta no ser mais considerada
como Router Port. O valor padro 300.
Member port time: especifque o tempo de vida do Member Port. Se o switch no receber mensagens IGMP Report
da porta em que os membros (cliente) de um grupo Multicast esto conectados dentro de um intervalo de tempo, a
porta ser removida da Tabela de Endereos Multicast. O valor padro 260 segundos.
Leave time: especifque o intervalo de tempo entre o switch receber uma mensagem de Leave de um cliente e o
servidor Multicast remover o cliente do grupo Multicast. O valor padro 1 segundo.
Static router port: selecione a Router Port manualmente.
Obs.: A porta em que o servidor Multicast estiver conectado ao switch deve estar na Multicast VLAN, caso contrrio, os
clientes podem no receber o fuxo do Multicast.
O Multicast VLAN no ter efeito caso as portas correspondentes no esteja confgurado na VLAN (802.1Q)
correspondente.
O modo de funcionamento da porta dever estar no modo General.
Confgure o modo de funcionamento da porta em que o servidor Multicast est conectado ao switch como
TRUNK ou como General com regra de sada TAG, caso contrrio, todas as portas membros do Multicast VLAN
no recebero trfego Multicast.
Depois que uma Multicast VLAN for criada, todos os pacotes IGMP sero processados pela Multicast VLAN.
Procedimentos de confgurao
Passo Operao Descrio
1 Habilitar a funo IGMP Snooping
Obrigatrio - Habilitar as confguraes globais de IGMP Snooping e de portas
em: Multicast IGMP Snooping Snooping Confg e Port Confg.
2
Criar a VLAN que ser utilizada pelo Multicast
VLAN
Obrigatrio - Criar a VLAN desejada que ser utilizada na Multicast VLAN,
adicionando as portas utilizadas pelo trfego Multicast: VLAN 802.1Q VLAN
3 Confgura os parmetros para o Multicast VLAN
Obrigatrio - habilitar e confgurar a Multicast VLAN Multicast em: Multicast
IGMP Snooping Multicast VLAN. Recomenda-se manter os parmetros
de tempo padro.
4 Visualizar as confguraes
Se for confgurado com xito, o VLAN ID da Multicast VLAN ser exibido na tela
IGMP Snooping Status em: MulticastIGMP SnoopingSnooping Confg.
Exemplo de aplicao para Multicast VLAN
Requerimentos de rede
Servidores Multicast enviam fuxos de Multicast atravs de roteadores e os fuxos so transmitidos para o cliente A
e B atravs do switch.
Roteador: a porta WAN conectada ao servidor Multicast, a porta LAN conectada no switch. Os pacotes Multicast
so transmitidos na VLAN3.
Switch: a porta 3 est conectada ao roteador e os pacotes so transmitidos na VLAN 3; a porta 4 o cliente A e os
pacotes so transmitidos na VLAN 4; a porta 5 est conectada ao cliente B e os pacotes so transmitidos na VLAN 5.
Cliente A: conectado na porta 4 do switch.
Cliente B: conectado na porta 5 do switch.
Confgure o Multicast VLAN e os clientes A e B para receberem os fuxos de dados Multicast na Multicast VLAN.
78
Procedimento de confgurao
Passo Operao Descrio
1 Criar VLANs
Crie trs VLANs (VLAN 3, 4 e 5 respectivamente) e especifque a descrio da
VLAN 3 como Multicast VLAN em: VLAN 802.1Q VLAN.
2 Confgurar o modo de funcionamento das portas
Confgure em: VLAN 802.1Q.
Para a porta 3, confgurar o modo de funcionamento da porta como GENERAL e
regra de sada como TAG e adicione-a nas VLAN 3, VLAN 4 e VLAN 5.
Para a porta 4, confgurar o modo de funcionamento como GENERAL, e regra de
sada como UNTAG e adicione-a nas VLAN 3 e VLAN 4.
Para a porta 5, confgurar o modo de funcionamento como GENERAL, e regra de
sada como UNTAG e adicione-a nas VLAN 3 e VLAN 5.
3 Habilitar a funo IGMP Snooping
Em Multicast IGMP Snooping Snooping Confg, habilitar globalmente a
funo IGMP Snooping.
Em Multicast IGMP Snooping Port Confg, habilitar o IGMP Snooping
para as porta 3, porta 4 e porta 5.
4 Habilitar Multicast VLAN
Em Multicast IGMP Snooping Multicast VLAN, Habilitar Multicast VLAN e
confgurar o VLAN ID da Multicast VLAN como 3 e manter os demais parmetros
como padro.
5 Checar a Multicast VLAN
A Multicast VLAN 3 ser exibida na tabela de status do IGMP Snooping em:
Multicast IGMP Snooping Snooping Confg
8.2. Multicast IP
Em uma rede, os clientes podem se juntar a diferentes grupos Multicast, dependendo da sua necessidade. O switch
encaminha o trafego Multicast com base em sua Tabela de Endereos Multicast. O IP Multicast pode ser confgurado
manualmente nas pginas: Multicast IP Table, Static Multicast IP.
Multicast IP table
Nesta pgina voc pode visualizar a Tabela de Endereos Multicast do switch.
Escolha no menu: Multicast Multicast IP Multicast IP Table para carregar a seguinte pgina.
Multicast Source
Router
VLAN3
VLAN5
VLAN4
User A
User B
Port 3
Port 4
Port 5
Aplicao Multicast
Diagrama de rede
79
Tabela de endereos Multicast
As seguintes opes so exibidas na tela:
Search Option
Multicast IP: digite endereo IP Multicast desejado para visualizar suas confguraes.
VLAN ID: digite o VLAN ID para visualizar as confguraes Multicast pertence VLAN desejada.
Port: selecione o nmero da porta desejada.
Type: selecione o tipo da entrada desejada.
All: exibe todas as entradas de endereos IP Multicast.
Static: exibe todos os endereos IPs Multicast esttico.
Dynamic: exibe todos os endereos IPs Multicast dinmicos.
Multicast IP table
Multicast IP: exibe o endereo IP Multicast.
VLAN ID: exibe a VLAN ID do grupo Multicast.
Forward port: exibe as portas participantes do grupo Multicast.
Type: exibe o tipo de IP Multicast.
Obs.: caso as confguraes de VLANs e Multicast VLAN forem alteradas, o switch ir renovar os endereos dinmicos na
Tabela de Endereos Multicast e aprender os novos endereos Multicast.
Static Multicast IP
Nesta pgina possvel confgurar a Tabela de Endereos Multicast manualmente. Esta tabela funciona de modo isolado
em relao ao grupo Multicast dinmico e do fltro Multicast. Estes endereos no so aprendidos pelo IGMP Snooping,
desta forma possvel melhorar a qualidade e segurana dos dados Multicast transmitidos na rede.
Escolha no menu Multicast Multicast IP Static Multicast IP para carregar a seguinte pgina:
80
As seguintes opes so exibidas na tela:
Create static Multicast
Multicast IP: digite o endereo IP Multicast desejado para adicion-lo na Tabela de Endereos Multicast Esttico.
VLAN ID: digite a VLAN ID que pertence o endereo IP Multicast.
Forward port: digite as portas de encaminhamento utilizado pelo grupo Multicast. Utilize o formato (1-3, 6, 9).
Search option
Search option: selecione o modo de pesquisa desejado para exibio da Tabela de Endereos Multicast Esttico e
clique em Search.
All: exibe todos os endereos da Tabela de Endereos Multicast Estticos.
Multicast IP: digite o endereo IP Multicast para visualizar a entrada correspondente da Tabela de Endereos
Multicast Esttico.
VLAN ID: digite o VLAN ID para visualizar a entrada correspondente utilizada pela Tabela de Endereos Multicast
Esttico.
Port: digite o nmero da porta desejada para visualizar os endereos da Tabela de Endereos Multicast Esttico.
Static Multicast IP table
Select: selecione o endereo IP Multicast desejado e clique no boto Delete para remov-lo da Tabela de Endereos
Multicast Esttico. Nesta opo possvel selecionar mais de uma entrada simultaneamente.
Multicast IP: exibe o endereo IP Multicast.
VLAN ID: exibe a VLAN ID do Grupo Multicast.
Forward port: exibe as portas de encaminhamento utilizado pelo grupo Multicast.
8.3. Multicast flter
Quando o IGMP Snooping habilitado, possvel especifcar uma faixa de Endereos IP Multicast que sero permitidos
ou negados de serem adicionados na Tabela de Endereos Multicast. Ao solicitar um grupo Multicast, o cliente envia uma
mensagem IGMP Report, aps receber a mensagem o switch ir em primeiro lugar, verifcar as regras de fltragem de
Multicast confgurado na porta de recebimento. Se a porta pode ser adicionada ao grupo Multicast, ela ser adicionada a
Tabela de Endereos Multicast, se a porta no pode ser adicionada ao grupo de Multicast, o switch ir bloquear a mensa-
gem IGMP Report. Desta forma, impedindo a associao do cliente ao grupo Multicast.
IP-Range
Nesta pgina possvel confgurar e visualizar a faixa de Endereos IP Multicast utilizados pela funo Multicast Filter.
Entre no menu Multicast Multicast Filter IP-Range para carregar a seguinte pgina:
Tabela de endereos Multicast esttica
81
As seguintes opes so exibidas na tela:
Create IP-Range
IP Range ID: digite o ID da faixa de Endereos Multicast que ser criado.
Start Multicast IP: digite o endereo IP Multicast inicial utilizados pela faixa de endereos que ser criada.
End Multicast IP: digite o endereo IP Multicast fnal utilizados pela faixa de endereos que ser criada.
Create: clique no boto Create, para criar a faixa de endereos.
IP-Range table
IP-Range ID select: digite o ID da faixa de Endereos Multicast e clique no boto Select para selecionar a faixa desejada.
Select: selecione a entrada desejada para apagar ou modifcar a faixa de Endereos Multicast correspondente. Nesta
opo possvel selecionar mais de uma faixa simultaneamente.
IP-Range ID: exibe o ID de identifcao da faixa de Endereos Multicast.
Start Multicast IP: exibe o endereo IP Multicast inicial da faixa criada.
End Multicast IP: exibe o endereo IP Multicast fnal da faixa criada.
Port flter
Nesta pgina possvel confgurar as regras de Filtro Multicast para cada porta do switch.
Escolha o menu Multicast Multicast Filter Port Filter para carregar a seguinte pgina.
Faixa de endereos Multicast
82
As seguintes opes so apresentadas na tela:
Port flter confg
Port select: digite a porta deseja no campo correspondente e clique em Select para selecionar a porta.
Select: selecione a porta desejada. Nesta opo possvel selecionar mais de uma porta simultaneamente.
Port: exibe o nmero da porta.
Filter: selecione Enable/Disable para habilitar ou desabilitar funo de fltro Multicast na porta desejada.
Action mode: selecione o modo como o switch ir processar os pacotes Multicast quando o endereo IP Multicast
estiver dentro da faixa de endereos:
Permit: apenas os pacotes Multicast que possuem endereo IP Multicast dentro da faixa confgurada sero enca-
minhados pelo switch.
Deny: apenas os pacotes Multicast, que possuem endereo IP Multicast dentro da faixa confgurada sero descar-
tados pelo switch.
Bound IP-Range (ID): digite o ID da faixa de Endereos Multicast que a porta ser vinculada.
Max groups: especifque o nmero mximo de grupos Multicast, para evitar que algumas portas utilizem muita
largura de banda.
LAG: exibe o nmero do grupo LAG que a porta pertence.
Obs.: A funo de Filtro Multicast somente funcionar em uma VLAN com IGPM Snooping habilitado.
A funo de Filtro Multicast no ter efeito sobre Multicast IP Esttico.
Pode ser confgurado at 15 faixas de Endereos Multicast em cada porta. Utilize o formato: 1, 5, 8.
Procedimento de confgurao
Passo Operao Descrio
1
Confgure a faixa de Endereos IP Multicast que
ser utilizada pelo Filtro Multicast.
Obrigatrio, Confgure a faixa de endereos que ser fltrado: Multicast
Multicast Filter IP Range
2
Confgure as regras de Filtro Multicast para cada
porta do switch.
Obrigatrio, Confgure as regras de Filtro Multicast para as portas: Multicast
Multicast Filter Port Filter
Filtro Multicast
83
8.4. Packet statistics
Nesta pgina voc pode visualizar o trfego de dados Multicast em cada porta do switch, o que facilita o monitoramento
de mensagens IGMP na rede.
Escolha no menu Multicast Packet Statistics para carregar a seguinte pgina:
As seguintes opes so exibidas na tela:
Auto refresh
Auto refresh: selecione Enable/Disable para habilitar ou desabilitar a funo de refresh automtico.
Refresh period: digite um tempo de 3 a 300 segundos, para especifcar o perodo de atualizao automtica.
IGMP statistics
Port select: digite a porta deseja no campo correspondente e clique em Select para selecionar a porta.
Port: exibe o nmero da porta.
Query packet: exibe o nmero de pacotes IGMP Query que a porta recebeu.
Report packect (V1): exibe o nmero de pacotes IGMP Report v1 que a porta recebeu.
Report packect (V2): exibe o nmero de pacotes IGMP Report v2 que a porta recebeu.
Report packect (V3): exibe o nmero de pacotes IGMP Report v3 que a porta recebeu.
Leave packet: exibe o nmero de pacotes IGMP Leave que a porta recebeu.
Error packet: exibe o nmero de pacotes IGMP Error que a porta recebeu.
Estatsticas dos pacotes IGMP
84
Traffc classifcation: identifca pacotes em conformidades com determinadas regras.
Map: o usurio pode mapear os pacotes entrantes para flas de prioridades diferentes, com base nos modelos de
prioridade. Este switch implementa trs modelos de prioridades: Prioridade por Porta, 802.1P e DSCP.
Queue scheduling algorithm: o switch suporta quatro modelos de algoritmos de escalonamento: SP, WRR, SP+WRR e Equ.
Priority mode
O switch implementa trs modelos de prioridades, baseada em porta, 802.1p e DSCP. Por padro, o modo de prioridade
baseada em portas vem ativado e os demais modos so opcionais.
1. Port Priority
Port Priority a confgurao de prioridade por porta. O fuxo de dados ser mapeado para as flas de sada conforme
a regra de CoS defnido para cada porta.
2. 802.1P Priority
De acordo com a fgura anterior, cada TAG 802.1Q inserida no quadro ethernet possui um campo chamado PRI, este
campo, possui 3 bits que so utilizados para a classifcao e priorizao do pacote, sendo possvel confgurar at
8 nveis de priorizao (0 a 7). Na pgina de gerenciamento web, possvel mapear diferentes nveis de priorizao
de acordo com a fla de prioridade desejada. O switch processa os pacotes no marcados (untagged) com base no
modo de prioridade padro.
Packets sent via this interface
Packets are forwarded
Egress interface
Packets are mapped to
different priority queues
Packets
classifcation
Scheduling
Packets are forwarded
according to the
schedule mode
Pream.
3 bit for CoS
(802.1p priority)
802.1 Q/p Tag
Ethernet Frame
SFD DA SA Type PT
TAG
4 BYTES
CFI VLAN ID PRI
Data FCS
QoS
TAG 802.1Q
9. QoS
A funo QoS (Quality of Service) utilizada para fornecer qualidade de servio a vrios requisitos e aplicaes utilizados
na rede, otimizando e distribuindo a largura de banda.
QoS
Este switch classifca e mapeia os pacotes entrantes e coloca-os em diferentes flas de prioridades, em seguida encaminha
os pacotes de acordo com o algoritmo de escalonamento selecionado, implementando a funo de QoS.
85
Version
Length
Len ID Offset TTL Proto FCS IP SA IP DA Data
ToS
Byte
7 6 5 4 3 2 1
Unused IP Precedence
DiffServ Code Point (DSCP)
IPv4 Standard
DS Region
IPv4 datagram
Flow Ctrl
0
Datagrama IP
3. DSCP Priority
De acordo com a fgura acima, o campo ToS (Type Of Service) do cabealho IP possui 1 byte, ou seja 8 bits. Os trs primei-
ros bits indicam a Precedncia IP e variam dentro do intervalo que vai de 0 a 7, os cinco bits restantes no so utilizados.
A RFC 2474 redefniu o campo ToS do datagrama IP, chamando-o de campo DS (Differentiated Service), deste modo, os 6
primeiros bits mais signifcativos (bit 7 ao bit 2), diferenciam os pacotes recebidos em classes de trfego, conforme infor-
maes de atraso, processamento e confabilidade, os dois ltimos bits menos signifcativos (bit 1 e bit 0) so reservados.
possvel confgurar at 64 classes de trfego DSCP, este intervalo confgurado dentro da faixa que vai de 0 a 63.
Schedule mode
Quando a rede est congestionada, muitos pacotes podem ser perdidos ou chegarem com atrasos em seus destinos,
ocasionando lentido e prejudicando os servios utilizados pela rede. Estes problemas podem ser resolvidos com a utiliza-
o de algoritmos de escalonamento. O switch implementa 4 flas de prioridade: TC0, TC1, TC2 e TC3. TC0 tem a menor
prioridade, enquanto TC3 tem a maior prioridade, que so implementados com os seguintes algoritmos de escalonamento:
SP, WRR, SP+WRR e Equ.
1. SP: algoritmo SP (Strict Priority). Neste modo, a fla com maior prioridade ocupar totalmente a largura de banda. Os
pacotes em fla de menor prioridade somente sero enviados aps todos os pacotes de flas com maior prioridade serem
enviados. O switch possui 4 flas de prioridades defnidos como: TC0, TC1, TC2, TC3, quanto maior o valor da fla, maior
a prioridade. A desvantagem de se utilizar o algoritmo de escalonamento de flas SP que caso ocorra um congestiona-
mento de pacotes em flas com maiores prioridades, os pacotes em flas de menores prioridades no sero atendidos.
2. WRR: algoritmo WRR (Weight Round Robin). Neste modo, os pacotes de todas as flas sero enviados de acordo com o
peso de cada fla, este peso indica a proporo ocupada pelo recurso. As flas de prioridades so atendidas em ordem
pelo algoritmo WRR, caso uma fla estiver vazia, o algoritmo passa para a prxima fla. A relao de prioridade das flas
com o peso de cada fla, seguem a ordem: TC0, TC1, TC2, TC3 = 1:2:4:8.
SP-Mode
Packets sent via this interface
H
i
g
h

p
r
i
o
r
i
t
y
Packets are mapped to
different priority queues
Packets in TC3 are pre-
ferentually forwarded
SP-Mode
Engress interface
Packets
classifcation
TC3
TC3
TC2
TC1
TC0
Algoritmo SP
86
3. SP+WRR: Algoritmo SP+WRR. Neste modo, o switch faz a priorizao das flas atravs do uso dos dois algoritmos de
escalonamento (SP e WRR). A fla TC3 pertence ao grupo SP, isto , a fla ocupar toda a largura de banda at que no
possua mais pacotes a serem enviados, enquanto as os pacotes das flas TC0, TC1 e TC2 sero atendidos conforme o
peso de cada fla utilizando o algoritmo WRR, a relao de prioridade das flas com o peso de cada fla, seguem a ordem:
TC0, TC1 e TC2 = 1:2:4.
4. Equ-Mode: Neste modo, todas as flas ocupam igualmente a largura de banda. A relao de prioridade das flas com o
peso de cada fla, seguem a ordem: TC0, TC1, TC2 e TC3 = 1:1:1:1.
O menu Qos inclui trs sub-menus: DiffServ, Bandwidth Control e Voice VLAN.
9.1. DiffServ
O switch classifca os pacotes de ingresso, mapeando para diferentes flas de prioridades e em seguida encaminha os
pacotes de acordo com o algoritmo de escalonamento selecioando pela funo QoS.
Este switch implementa trs modos de prioridades, baseada em portas, em 802.1P e DSCP e suporta quatro algoritmos
de escalonamento.
As prioridades baseadas em portas so rotuladas como CoS0, CoS1... CoS7.
O DiffServ pode ser confgurado nas pginas de confgurao Port Priority, Schedule Mode, 802.1P Priority e DSCP Priority.
Port priority
Nesta pgina voc pode confgurar a prioridade das portas.
Quando a prioridade por porta especifcada, os pacotes sero classifcados com base no valor do CoS da porta de
entrada e enviados para as flas de prioridade conforme a relao de mapeamento confgurado entre o CoS e o TC nas
confguraes 802.1P.
Escolha o menu QoS DiffServ Port Priority para carregar a seguinte pgina:
Packets sent via this interface
Packets are mapped to
different priority queues
Packets in TC0-TC3 are
forwarded following the
ratio 1:2:4:8
WRR-Mode
(Weight value: TC0:TC1:TC2:TC3=1:2:4:8)
Engress interface
Packets
classifcation
TC3
TC2
TC1
TC0
Algoritmo WRR
87
As seguintes opes so exibidas na tela:
Port priority confg
Select: selecione as portas desejadas para confgurar a prioridade.
Port: exibe o nmero fsico da porta no switch.
Priority: selecione a prioridade para a porta.
LAG: exibe o nmero do grupo LAG a qual a porta pertence
Procedimento de confgurao
Passo Operao Descrio
1 Selecione a prioridade da porta
Obrigatrio, QoS DiffServ Port Priority, para confgurar a prioridade da
porta.
2
Confgure a relao de mapeamento entre a
prioridade 802.1P e a fla de prioridade (TC).
Obrigatrio, QoS Diff Serv 802.1P Priority, confgure o mapeamento entre
802.1P e a fla de prioridade (TC).
3 Selecione o modo de agendamento Obrigatrio, QoS DiffServ Schedule, selecione o modo de agendamento.
Prioridade por porta
Schedule mode
Nesta pgina possvel confgurar at 4 tipos de algoritmos de escalonamento. Estes algoritmos so responsveis pela
ordem de encaminhamento dos pacotes que esto dentro de diferentes flas de prioridade.
Escolha o menu QoS DiffServ Schedule Mode para carregar a pgina seguinte:
Algoritmo de escalonamento
88
Schedule mode confg
SP-Mode: algoritmo SP (Strict Priority). Neste modo, a fla com maior prioridade ocupar totalmente a largura de
banda. Os pacotes em fla de menor prioridade somente sero enviados aps todos os pacotes de flas com maior
prioridade serem enviados. O switch possui 4 flas de prioridades defnidos como: TC0, TC1, TC2, TC3, quanto maior
o valor da fla, maior a prioridade. A desvantagem de se utilizar o algoritmo de escalonamento de flas SP que caso
ocorra um congestionamento de pacotes em flas com maiores prioridades, os pacotes em flas de menores priorida-
des no sero atendidos.
WRR-Mode: algoritmo WRR (Weight Round Robin). Neste modo, os pacotes de todas as flas sero enviados de
acordo com o peso de cada fla, este peso indica a proporo ocupada pelo recurso. As flas de prioridades so aten-
didas em ordem pelo algoritmo WRR, caso uma fla estiver vazia, o algoritmo passa para a prxima fla. A relao de
prioridade das flas com o peso de cada fla, seguem a ordem: TC0, TC1, TC2, TC3 = 1:2:4:8.
SP+WRR-Mode: algoritmo SP+WRR. Neste modo, o switch faz a priorizao das flas atravs do uso dos dois algo-
ritmos de escalonamento (SP e WRR). A fla TC3 pertence ao grupo SP, isto , a fla ocupar toda a largura de banda
at que no possua mais pacotes a serem enviados, enquanto os pacotes das flas TC0, TC1 e TC2 sero atendidos
conforme o peso de cada fla utilizando o algoritmo WRR, a relao de prioridade das flas com o peso de cada fla,
seguem a ordem: TC0, TC1 e TC2 = 1:2:4.
Equal-Mode: neste modo, todas as flas ocupam igualmente a largura de banda. A relao de prioridade das flas
com o peso de cada fla, seguem a ordem: TC0, TC1, TC2 e TC3 = 1:1:1:1.
802.1P Priority
Nesta pgina possvel confgurar a prioridade 802.1P. O switch analisa a TAG de VLAN que foi inserido no quadro
ethernet do pacote enviado. Esta TAG possui um campo chamado PRI de 3 bits que so utilizados para a classifcao e
priorizao do pacote, sendo possvel confgurar at 8 nveis de priorizao (0 a 7).
Escolha o menu QoS DiffServ 802.1P Priority para carregar a seguinte pgina:
Prioridade 802.1P
As seguintes opes so apresentadas na tela:
802.1P Priority confg
802.1P Priority: selecione Enable/Disable para habilitar ou desabilitar a prioridade 802.1P.
Priority level
Priority tag: selecione a prioridade defnida pelo IEEE802.1p.
Priority level: selecione a a fla de sada em que o pacote com prioridade 802.1p est relacionado. Existem 4 flas,
variando de 0 a 3, representados como TC0, TC1, TC2, TC3, quanto maior o valor da fla, maior a prioridade.
89
Passo Operao Descrio
1
Confgurar a relao de mapeamento entre
802.1P e a fla de prioridade (TC)
Obrigatrio, QoS DiffServ 802.1P Priority, confgure a relao de mapeamento
entre a 802.1P e a fla de prioridade (TC).
2 Selecionar o algoritmo de escalonamento Obrigatrio, QoS DiffServ Schedule, selecione o algoritmo de escalonamento.
DSCP priority
Nesta pgina possvel confgurar a Prioridade DSCP. O switch analisa o campo ToS (Type Of Service) do cabealho IP.
Este campo possui 1 byte (8 bits) de tamanho, os 6 primeiros bits mais signifcativos diferenciam os pacotes recebidos em
classes de trfego, conforme informaes de atraso, processamento e confabilidade, os dois ltimos bits menos signif-
cativos so reservados. possvel confgurar at 64 classes de trfego DSCP, este intervalo confgurado dentro da faixa
que vai de 0 a 63.
Escolha o menu QoS DiffeServ DSCP Priority para carregar a seguinte pgina:
As seguintes opes so exibidas na tela:
DSCP priority confg
DSCP priority: selecione Enable/Disable para habilitar ou desabilitar a prioridade DSCP.
Priority level
DSCP: selecione a prioridade determinada pela regio DS do datagrama IP. Varia de 0 a 63.
Priority: selecione a prioridade CoS. Os pacotes sero classifcados com base no valor DSCP da porta de entrada e
enviados para as flas de prioridade conforme relao de mapeamento confgurado entre o CoS e o TC nas confgu-
raes 802.1P.
Prioridade DSCP
Procedimento de confgurao:
90
Controle de trfego
Passo Operao Descrio
1
Confgure a relao de mapeamento entre o
DSCP e 802.1P
Obrigatrio, QoS DiffServ DSCP Priority, habilitar a prioridade DSCP e
confgurar a relao de mapeamento entre a prioridade DSCP e 802.P
2
Confgurar a relao de mapeamento entre
802.1P e a fla de prioridade (TC)
Obrigatrio, QoS DiffServ DSCP Priority, confgurar a relao de
mapeamento entre a prioridade 802.1P e a fla de prioridade (TC).
3 Selecione o algoritmo de escalonamento Obrigatrio, QoS DiffServ Schedule, selecione o algoritmo de escalonamento.
9.2. Bandwidth control
A funo de Bandwidth Control, permite que voc controle a largura de banda e o fuxo de transmisso de cada porta,
sendo confgurados nas seguintes pginas: Rate Limit e Storm Control.
Rate limit
Rate Limit utilizado para controlar a taxa do trfego de entrada e de sada dos pacotes para cada porta.
Procedimento de confgurao
91
As seguintes opes so exibidas na tela:
Rate limit confg
Port select: digite a porta desejada no campo correspondente e clique em Select para selecionar a porta desejada.
Select: selecione a porta desejada. Neste menu voc poder selecionar um ou mais portas.
Port: exibe o nmero da porta do switch.
Ingress rate (Kbps): selecione a largura de banda para recebimento de pacotes na porta.
Egress rate (Kbps): selecione a largura de banda para envio de pacotes na porta.
LAG: exibe o nmero do grupo LAG que a qual a porta pertence.
Obs.: Se habilitar a funo Ingress Rate com a funo Storm Control habilitada, o Storm Control ser desabilitado para
a porta especfca.
Quando habilitar a funo Egress Rate para uma ou mais portas, desejvel que se desabilite o controle de fuxo
das portas para garantir que o switch funcione normalmente.
Storm control
A funo Storm Control permite que o switch fltre por porta os pacotes do tipo broadcast, Multicast e UL Frames (pacotes
sem endereo IP defnido). Se a taxa de transmisso de algum dos trs tipos de pacotes excederem a largura de banda
confgurada, os pacotes sero rejeitados automaticamente, evitando assim tempestade de broadcast na rede.
Escolha o menu QoS Bandwitdth Control Storm Control para carregar a seguinte pgina:
Storm control
92
As seguintes opes so exibidas na tela:
Storm control confg
Port select: digite a porta desejada no campo correspondente e clique em Select para selecionar a porta desejada.
Select: selecione a porta desejada. Neste menu voc poder selecionar um ou mais portas.
Port: exibe o nmero de porta do switch.
Broadcast: selecione Enable/Disable para habilitar ou desabilitar a funo Storm Control para pacotes broadcast na porta
especfca.
Multicast: selecione Enable/Disable para habilitar ou desabilitar a funo Storm Control para pacotes Multicast na porta
especfca.
UL-Frame: selecione Enable/Disable para habilitar ou desabilitar a funo Storm Control para frames UL (pacotes sem
endereo IP defnido) na porta especfca.
Rate (bps): selecione a largura de banda utilizada pela funo Storm Control. O trfego de pacotes superior largura de
banda especifcada ser descartado.
Lag: exibe o nmero do grupo LAG a qual a porta pertence.
Obs.: se habilitar a funo Ingress Rate com a storm control habilitado, o storm control ser desabilitado para a porta
especfca.
9.3. Voice VLAN
Voice VLANs so confguradas especialmente para o fuxo de dados de voz. Ao confgurar VLANs de voz e adicionar as por-
tas a dispositivos de voz, voc pode executar QoS relacionando as confguraes de dados e voz, garantindo a prioridade
de transmisso dos fuxos de dados e a qualidade da voz.
OUI address (Organizationally unique identifer address)
O switch pode determinar se um pacote ou no de voz, marcando seu endereo MAC de origem. Se a origem do ende-
reo MAC corresponde a algum OUI confgurado no sistema, os pacotes so determinados como pacotes de voz e sero
transmitidos na VLAN de voz.
Um endereo OUI, um identifcador nico atribudo pela IEEE (Institute of Electrical and Electronics Engineers) para
um fornecedor de dispositivos. Ele compreende os 24 primeiros bits de um endereo MAC. Voc pode reconhecer a que
fornecedor um dispositivo pertence de acordo com o endereo OUI. A tabela seguinte mostra os endereos OUI de vrios
fabricantes. Os seguintes endereos OUI j esto pr-defnidos no switch.
Number Endereo OUI Fabricante
1 00-01-E3-00-00-00 Siemens Phone
2 00-03-6B-00-00-00 Cisco Phone
3 00-04-0D-00-00-00 Avaya Phone
4 00-60-B9-00-00-00 Philips/NEC Phone
5 00-D0-1E-00-00-00 Pingtel Phone
6 00-E0-75-00-00-00 Polycom Phone
7 00-E0-BB-00-00-00 3COM Phone
Port Voice Vlan mode
A VLAN de voz pode operar em dois modos: Automtico e Manual.
Automatic Mode: neste modo o switch adiciona automaticamente a porta que recebe os pacotes de voz para a VLAN de
Voz atravs do aprendizado do endereo MAC de origem do dispositivo e determina a prioridade dos pacotes enviados
no marcados (untagged).
O tempo de envelhecimento (aging time) das portas pertencentes a VLAN de Voz podem ser confgurados no switch. Se
o switch no receber qualquer pacote de voz correspondente durante o intervalo especifcado, a porta ser removida da
VLAN de Voz. Portas de voz so automaticamente adicionados ou removidos na VLAN de Voz.
Manual Mode: neste modo, ser necessrio adicionar manualmente a porta em que o dispositivo de voz est conectado
para ser membro da VLAN de Voz e atribuir regras de ACL para confgurar as prioridades dos pacotes conforme os ende-
reos MAC de origem e OUI correspondentes.
Na prtica, a porta participante de uma VLAN de Voz confgurada de acordo com o tipo dos pacotes enviados partir de
um dispositivo de voz e do modo de funcionamento da porta. A tabela a seguir mostra informaes detalhadas.
93
Modo da porta Tipo dos dados de voz Modo de funcionamento e processamento da porta
Automatic
Pacotes de voz TAGGED
ACCESS: no suportado.
TRUNK: suportado, a VLAN padro da porta no pode ser a Voice VLAN.
GENERAL: suportado, a VLAN padro da porta no pode ser a Voice VLAN e a regra de sada
da porta na VLAN de Voz deve ser TAG.
Pacotes de voz UNTAGGED
ACCESS: suportado.
TRUNK: no suportado.
GENERAL: suportado, a VLAN padro da porta no pode ser a Voice VLAN e a regra de sada
da porta na VLAN de Voz a deve ser UNTAG.
Manual
Pacotes de voz TAGGED
ACCESS: no suportado.
TRUNK: suportado. A VLAN padro da porta no pode ser a Voice VLAN.
GENERAL: suportado. A VLAN padro da porta no pode ser a Voice VLAN e a regra de sada
da porta na VLAN de Voz deve ser TAG.
Pacotes de voz UNTAGGED
ACCESS: suportado.
TRUNK: no suportado.
GENERAL: suportado, a VLAN padro da porta deve ser a Voice VLAN e a regra de sada da
porta na VLAN de Voz deve ser UNTAG.
Obs.: no utilize a VLAN de Voz para transmitir pacotes de dados de outras VLANs, exceto em casos especiais.
A Voice VLAN pode ser confgurada em Global Confg, Port Confg e OUI Confg.
Global confg
Nesta pgina possvel confgurar os parmetros globais da Voice VLAN como por exemplo o VLAN ID e o tempo de
envelhecimento (Aging Time).
Escolha o menu QoS Voice VLAN Global Confg para carregar a seguinte pgina:
As seguintes informaes so apresentadas na tela:
Global confg
Voice VLAN: selecione Enable/Disable para habilitar ou desabilitar a funo Voice VLAN
VLAN ID: digite o VLAN ID utilizado pela Voice VLAN.
Aging time: especifque o tempo de envelhecimento (aging time) para as portas membro da Voice VLAN que esto
no modo automtico.
Port confg
Nesta pgina possvel confgurar os parmetros das portas participantes da Voice VLAN.
Escolha o menu QoS Voice VLAN Port Confg para carregar a seguinte pgina:
Confgurao de Voice VLAN
94
Portas da Voice VLAN
Obs.: Ao habilitar a funo Voice VLAN para um grupo LAG (Agregao da Link), certifque-se que todas as portas do
grupo LAG estejam com o mesmo modo de confgurao.
Ao modifcar o modo de uma porta membro de uma Voice VLAN para automtico, far com que a porta deixe a
VLAN de Voz e somente volte quando a porta receber pacotes de voz.
As seguintes informaes so apresentadas na tela:
Port confg
Port select: digite a porta desejada no campo correspondente e clique em Select para selecionar a porta desejada.
Select: selecione a porta desejada para confgurar a Voice VLAN. Neste menu voc poder selecionar um ou mais portas.
Port mode: selecione o modo da porta para se juntar a Voice VLAN.
Auto: neste modo, o switch adiciona ou remove automaticamente a porta da Voice VLAN, verifcando se o trfego
recebido pela porta de voz ou no.
Manual: neste modo, possvel adicionar ou remover manualmente uma porta da Voice VLAN.
Member state: exibe o estado da porta da Voice VLAN atual.
LAG: exibe o nmero do grupo LAG a qual a porta pertence.
OUI confg
Nesta pgina possvel adicionar os endereos MAC dos dispositivos de voz, inserindo o endereo OUI do fabricante. O
switch determina se um pacote recebido de voz ou no verifcando o endereo MAC de origem do pacote, podendo
ento, adicionar automaticamente a porta para a Voice VLAN.
Escolha no menu QoS Voice VLAN OUI Confg para carregar a seguinte pgina:
95
Confgurao OUI
Create OUI
OUI: digite o endereo OUI do dispositivo de voz.
MASK: digite a mscara utilizada pelo endereo OUI do dispositivo de voz.
Description: digite uma descrio para identifcao do endereo OUI.
OUI TABLE
Select: selecione a entrada desejada para visualizar detalhes das informaes.
OUI: exibe o endereo OUI do dispositivo de voz.
MASK: exibe a mscara utilizada pelo endereo OUI.
Description: exibe a descrio do endereo OUI.
Procedimentos de confgurao da Voice VLAN
Passo Operao Descrio
1 Defnir o modo de funcionamento das portas
Obrigatrio, Em VLAN 802.1Q VLAN Port Confg. Confgurar o tipo de
link das portas que sero usadas com dispositivos de voz.
2 Criar VLAN
Obrigatrio, VLAN 802.1Q VLAN Port Confg. Clique no boto Create
para criar a VLAN.
3 Adicionar o endereo OUI
Opcional. Em QoS Voice VLAN OUI Confg. Voc pode verifcar se o
switch j tem cadastrado um endereo OUI para seu dispositivo de voz. Caso no
possua adicione esse endereo.
4
Confgurar os parmetros de portas para a Voice
VLAN
Obrigatrio. Em QoS Voice VLAN Port Confg, confgure os parmetros de
confgurao da porta na Voice VLAN
5 Habilitar a Voice VLAN
Obrigatrio. Em QoS Voice VLAN Global Confg, Confgure as
confguraes globais para a Voice VLAN.
96
10. ACL
ACL (Access Control List) utilizado para a confgurao de regras e polticas para o fltro e o processamento dos pacotes,
controlando o acesso ilegal a rede. Alm disso, a funo de ACL pode controlar os fuxos dos dados economizando recursos
da rede de forma fexvel, facilitando o controle da rede.
Neste switch, as ACLs classifcam os pacotes com base em uma srie de condies que podem ser encontrados em proto-
colos utilizados entre as camadas 2-4 do modelo de referncia OSI.
Tambm possvel controlar as ACLs baseando-se em intervalos de tempo, fexibilizando ainda mais o uso das ACLs.
O menu ACL possui 4 sub-menus de confgurao: Time-Range, ACL Confg, Policy Confg e Policy Binding.
10.1. Time-Range
Uma ACL baseada em intervalo de tempo permite controlar o trfego em uma data ou hora especfca. Cada regra ACL
pode possuir um intervalo de tempo e este intervalo baseado na data e hora confgurado no switch.
Os intervalos de tempo podem ser confgurados das seguintes formas:
Intervalo de tempo absoluto, intervalo de dias da semana e feriados.
A confgurao do intervalo de tempo pode ser confgurado no sub-menu Time Range, atravs das seguintes pginas de
confgurao: Time-Range Summary, Time-Range e Holiday Confg.
Time-Range summary
Nesta pgina voc pode visualizar os time-ranges correntes.
Escolha no menu ACL Time Range Summary para carregar a seguinte pgina:
Sumrio dos intervalos de tempo
As seguintes informaes so exibidas na tela:
Time-Range table
Select: selecione a entrada desejada para modifcar ou remover o Time-Range correspondente.
Index: exibe o ndice do Time-Range.
Time-Range Name: exibe o nome do Time-Range
Slice: exibe o Time-Slice (intervalo de tempo) do Time-Range.
Mode: exibe o modo adotado pelo Time-Range.
Operation: clique no boto Edit para modifcar as confguraes do Time-Range desejado ou clique em Detail para
exibir as informaes desse Time-Range.
Time-Range create
Nesta pgina voc pode criar time-ranges.
Escolha o menu ACL Time Range Time-Range Create para carregar a seguinte pgina:
97
Obs.: para confgurar com xito o time-range, por favor, em primeiro lugar especifque os time-slices.
As seguintes opes so apresentadas na tela:
Create Time-Range
Name: digite o nome para o time-range.
Holiday: selecione Holiday para confgurar o Time-Range conforme feriado previamente confgurado no switch. A
regra de ACL baseada neste Time-Range ter efeito apenas quando a data/hora do switch estiver dentro do intervalo
confgurado para o feriado.
Absolute: selecione Absolute para confgurar o Time-Range em um intervalo de tempo absoluto. A regra de ACL
baseada neste time-range ter efeito apenas quando data/hora do switch estiver dentro do intervalo de tempo
absoluto confgurado.
Week: selecione Week para confgurar o Time-Range em um intervalo de dias de semana. A regra de ACL baseada
neste time-range, ter efeito apenas quando a data/hora do switch estiver dentro da faixa de dias da semana con-
fgurado.
Create time slice
Start time: defne o tempo de incio do Time-Slice.
End time: defne o tempo de trmino do Time-Slice.
Time-Slice table
Index: exibe o ndice do Time-Slice.
Start time: exibe o incio do tempo do Time-Slice.
End time: exibe o trmino do tempo do Time-Slice.
Delete: clique no boto Delete para remover o Time-Slice correspondente.
Confgurao do intervalo de tempo
98
Confgurao de feriados
As seguintes opes so exibidas na tela:
Create holiday
Start date: selecione a data de incio do feriado.
End date: selecione a data de trmino do feriado.
Holiday name: digite o nome do feriado.
Holiday table
Select: selecione o feriado desejado. Para remover o a entrada criada, clique no boto Delete.
Index: exibe o ndice do feriado.
Holiday name: exibe o nome do feriado.
Start date: exibe o incio do feriado.
End date: exibe o fnal do feriado.
10.2. ACL confg
Cada ACL pode conter uma srie de regras e cada regra pode especifcar um intervalo de tempo diferente. Os pacotes so
combinados em ordem. Uma vez que uma regra correspondida o switch processa os pacotes de acordo com as regras
criadas. Sem levar em conta as demais regras, otimizando o desempenho do switch.
As regras ACL podem ser confguradas em: ACL Summary, ACL Create, MAC ACL, Standard-IP ACL e Extend-IP ACL.
ACL summary
Nesta pgina voc pode visualizar a ACL corrente e confgura-la no switch.
Escolha o menu ACL ACL Confg ACL Summary para carregar a seguinte pgina:
Holiday confg
Nesta pgina possvel confgurar os feriados em que regra de ACL ser aplicada, conforme sua necessidade.
Escolha no menu ACL Time Range Holiday Confg para carregar a pgina:
99
As seguintes informaes so apresentadas na tela:
Search option
Select ACL: selecione a ACL desejada.
ACL type: exibe o tipo da ACL selecionada.
Rule order: exibe a ordem das regras de ACL selecionada.
Rule table
Nesta tabela possvel visualizar as informaes referentes as regras da ACL selecionada.
ACL create
Nesta pgina voc pode criar ACLs.
Escolha o menu ACL ACL Confg ACL Create para carregar a seguinte pgina:
ACL
Criao da ACL
As seguintes informaes so apresentadas na tela:
Create ACL
ACL ID: digite o ID da ACL que voc deseja criar. O ID a identifcao da ACL, que pode variar de 0 a 299. Existem
3 tipos de ACL que o switch suporta e so identifcados pelo nmero de identifcao, 0-99 MAC ACL, 100-199
Standard-IP ACl e de 200-299 Extend-IP ACL.
Rule order: User confg a ordem de regras criada pelo usurio e defnida para ser a ordem utilizada pela ACL.
MAC ACL
MAC ACLs podem analisar e processar os pacotes com base nas seguintes informaes: endereo MAC de origem e
destino, VLAN ID e EtherType.
Escolha o menu ACL ACL Confg MAC ACL para carregar a seguinte pgina:
100
Create MAC ACL
ACL ID: selecione o ID da ACL desejada para realizar a confgurao.
RULE ID: digite o ID da regra utilizado pela ACL.
Operation: selecione o modo de operao do switch, quando um pacote corresponder com a regra criada.
Permit: permite o recebimento do pacote.
Deny: descarta o pacote recebido.
S-MAC: digite o endereo MAC de origem utilizado pela regra.
D-MAC: digite o endereo MAC de destino utilizado pela regra.
MASK: digite a mscara do endereo MAC.
VLAN ID: digite a VLAN ID utilizada pela regra.
EtherType: digite o EtherType utilizado pela regra.
User priority: selecione a prioridade de usurio contida na regra para combinar com os pacotes marcados.
Time range: selecione o Time-Range para que a regra tenha efeito.
Standard-IP ACL
Standard-IP ACLs podem analisar e processar os pacotes com base nas seguintes informaes: endereo IP de origem e
destino.
Escolha o menu ACL ACL Confg Standard-IP ACL para carregar a seguinte pgina:
MAC ACL
101
Standard-IP ACL
As seguintes informaes so apresentadas na tela:
Create standard-IP ACL
ACL ID: selecione o ID da ACL desejada para realizar a confgurao.
Rule ID: digite o ID da regra utilizado pela ACL
Operation: selecione o modo de operao do switch, quando um pacote corresponder com a regra criada.
Permit: permite o recebimento do pacote.
Deny: descarta o pacote recebido.
S-IP: digite o endereo IP de origem utilizado pela regra.
D-IP: digite o endereo IP de destino utilizado pela regra.
MASK: digite a mscara do endereo IP.
Time-Range: selecione o Time-Range para que a regra tenha efeito.
Extend-IP ACL
Extend-IP ACLs podem analisar e processar os pacotes com base em vrias informaes, como por exemplo: endereo IP
de origem e destino, Flags TCP, portas de origem e destino.
Escolha o menu ACL ACL Confg Extend-IP ACL para carregar a seguinte pgina:
Extend-IP ACL
102
As seguintes informaes so exibidas na tela:
ACL ID: selecione o ID da ACL desejada para realizar a confgurao.
Rule ID: digite o ID da regra utilizado pela ACL.
Operation: selecione o modo de operao do switch, quando um pacote corresponder com a regra criada.
Permit: permite o recebimento do pacote.
Deny: descarta o pacote recebido.
S-IP: digite o endereo IP de origem utilizado pela regra.
D-IP: digite o endereo IP de destino utilizado pela regra.
MASK: digite a mscara do endereo IP.
IP Protocol: selecione o protocolo de rede utilizado pela regra.
TCP FLAG: confgure as fags TCP, quando o protocolo TCP for selecionado na lista.
S-Port: digite a porta de origem utilizada pela regra ACL, quando for selecionado o protocolo de rede TCP ou UDP.
D-Port: digite a porta de destino utilizada pela regra ACL, quando for selecionado o protocolo de rede TCP ou UDP.
DSCP: selecione o valor DSCP contido na regra para ser utilizada pela regra.
Time-Range: selecione o Time-Range para que a regra tenha efeito.
10.3. Policy confg
O sub-menu Policy Confg utilizado para controlar os pacotes que cumpram as regras ACLs correspondentes, confguran-
do aes para um conjunto de ACLs. Estas aes incluem Stream Mirror, Stream Condition e Redirect.
A Policy Confg pode ser confgurada nas seguintes pginas: Policy Summary, Policy Create e Action Create.
Policy summary
Nesta pgina possvel visualizar as aes criada na poltica de ACL para uma determinada regra de ACL.
Escolha o menu ACL Policy Confg Policy Summary para carregar a pgina seguinte:
Search option
Select policy: selecione o nome da politica desejada para exibio. Se voc desejar excluir uma politica, clique no
boto Delete.
Action table
Select: selecione a entrada desejada e clique no boto Edit para modifcar a poltica criada ou em Delete para
remover a regra.
Index: exibe o ndice da poltica criada.
ACL ID: exibe o ID da ACL contida na poltica.
S-Mirror: exibe a porta espelho de origem da poltica.
S-Condition: exibe a condio de origem acrescentado poltica.
Redirect: exibe o redirecionamento adicionado a poltica.
Polticas de ACL
103
Criao de polticas ACLs
Policy create
Nesta pgina voc pode criar as politicas.
Escolha no menu ACL Policy Confg Policy Create para carregar a seguinte pgina:
As seguinte opes so exibidas na tela:
Create policy
Policy name: digite o nome da poltica.
Action create
Nesta pgina possvel criar as aes da poltica de ACL criada atrelando a uma determinada regra de ACL confgurada.
Escolha o menu ACL Policy Confg Action Create para carregar a pgina seguinte:
Ao da poltica de ACL
104
As seguintes opes so exibidas na tela:
Create action
Select policy: selecione o nome da poltica criada.
Select ACL: selecione a regra de ACL que ser atrelada a poltica de ACL.
S-Mirror: selecione S-Mirror para espelhar os pacotes de dados na poltica para uma porta especfca.
S-Condition: selecione S-Condition para limitar a taxa de transmisso dos pacotes de dados na poltica.
Rate: especifque a taxa de transmisso dos pacotes de dados a coincidir com a ACL correspondente.
Out of Band: especifque se deseja eliminar os pacotes de dados que ultrapassarem o limite da taxa de transmisso
especifcado no campo Rate.
Redirect: selecione Redirect para alterar a direo do encaminhamento de pacotes de dados na poltica.
10.4. Policy binding
A funo Policy Binding utilizada para atrelar a poltica criada a uma porta do switch ou a uma VLAN especifca, isto ,
a poltica criada somente funcionar aps a poltica ser vinculada a uma destas duas opes: porta do switch ou VLAN.
Policy Binding pode ser confgurada nas seguintes pginas: Binding Table, Port Binding e VLAN Binding.
Binding table
Nesta pgina possvel verifcar os vnculos criados para as polticas de ACL.
Escolha o menu ACL Policy Binding Binding Table para carregar a seguinte pgina:
Tabela de vnculos ACL
As seguintes informaes so apresentadas na tela:
Search option
Show Mode: selecione o modo do vnculo desejado para visualizar as informaes.
Policy bind table
Select: selecione o vnculo desejado e clique em Delete para remov-lo da tabela.
Index: exibe o ndice do Binding Policy.
Policy name: exibe o nome do Binding Policy.
Interface: exibe o nmero da porta do switch ou o VLAN ID vinculados a poltica criada.
Port binding
Nesta pgina voc pode vincular uma porta do switch a uma poltica criada.
105
As seguintes informaes so exibidas na tela:
Port-Bind confg
Policy name: selecione o nome da poltica que voc deseja vincular.
Port: digite o nmero da porta que voc deseja vincular. Utilize o formato: 1-3,6,8.
Port-Bind table
Index: exibe o ndice do Policy Binding.
Policy name: exibe o nome do Policy Binding.
Port: exibe o nmero da porta do switch vinculado a poltica correspondente.
Direction: exibe a direo do vnculo.
VLAN binding
Nesta pgina voc pode vincular uma VLAN a uma poltica criada.
Escolha o menu ACL Policy Binding VLAN Binding para carregar a seguinte pgina:
As seguintes informaes so apresentadas na tela.
VLAN-Bind confg
Policy name: selecione o nome da poltica que voc deseja vincular.
VLAN ID: digite o VLAN ID que voc deseja vincular.
VLAN-Binding table
Index: exibe o ndice do Policy Binding.
Policy name: exibe o nome do Policy Binding.
VLAN ID: exibe o VLAN ID vinculado a poltica correspondente.
Direction: exibe a direo do vnculo.
Vnculo por porta
Vnculo por VLAN
106
Passo Operao Descrio
1 Confgurao do time-range efetivo Obrigatrio, ACL Time-Range, confgure o time-range efetivo para as ACLs.
2 Confgurao das regras ACL
Obrigatrio, ACL ACL Confg, confgure as regras ACL correspondentes aos
pacotes desejados.
3 Confgurao de Poltica ACL
Obrigatrio, ACL Policy Confg, confgure as aes das polticas para controlar os
pacotes que corresponde s regras ACLs.
4 Vincular uma poltica a uma porta ou VLAN
Obrigatrio, ACL Policy Binding, vincular uma porta ou VLAN a uma poltica
criada.
Procedimento de confgurao.
10.5. Exemplos de aplicao para ACL
Requerimentos para rede
1. O gerente do departamento de P&D poder acessar o frum da empresa e da internet sem nenhuma restrio. O
endereo MAC do gerente 00-46-A5-5D-12-C3.
2. O pessoal do time de P&D, no poder acessar a internet durante o horrio de trabalho, mas podero visitar o
frum o dia todo.
3. O pessoal de marketing poder acessar a internet o dia todo, mas no podero visitar o frum durante o horrio
de trabalho.
4. O departamento de P&D e o departamento de Marketing no podero se comunicar uns com os outros.
Diagrama de rede
Procedimento de confgurao
Switch
R&D Department: 172.31.70.0
Manager: 00-64-A5-5D-12-C3
Forum Server
172.31.88.5
00-64-A532-4C-12
Marketing Department
172.31.50.0
P3
P2
P4
Aplicao de regras ACLs
107
Passo Operao Descrio
1 Confgurao do Time-Range
Em ACL Time-Range, crie um nome para o time-range. Selecione o modo Week e confgure os
dias da semana de segunda a sexta-feira. Adicione o time-slice 08:00 ~ 18:00.
2 Confgurao do requerimento 1
ACL ACL Confg ACL Create, crie a ACL 11.
ACL ACL Confg MAC ACL, selecione ACL 11, crie a regra 1, confgure o campo Operation
como Permit, confgure o S-MAC como 00-45-A5-5D-12-C3 e a MASK como FF-FF-FF-FF-FF-FF, e
confgure o time-range como No Limit.
ACL Policy Confg Policy Create, crie uma poltica e nomeie-a para gerente.
ACL Policy Confg Action Create, adicione na ACL 11 a poltica gerente.
ACL Policy Binding Port Binding, selecione a poltica gerente e vincule a porta 3.
3
Confgurao dos requerimentos
2 e 4
ACL ACL Confg ACL Create, crie a ACL 100.
ACL ACL Confg Standard-IP ACL, Selecione a ACL 100, crie a regra 1, confgure o campo
Operation como Deny, confgure o S-IP como 172.31.70.1 e a mscara como 255.255.255.0,
confgure o D-IP como 172.31.50.1 e a mscara como 255.255.255.0, confgure o time-range como
No-Limit.
ACL ACL Confg Standard-IP ACL, selecione a ACL 100, crie a regra 2, confgure o campo
Operation como Deny, confgure o S-IP como 172.31.70.1 e a mscara como 255.255.255.0.
Confgure o D-IP como 172.31.88.5 e a mscara como 255.255.255.0, confgure o time-range como
No Limit.
ACL ACL Confg Standard-IP, Selecione a ACL 100, crie a regra 3, confgure o campo
Operation como Permit, confgure o S-IP como 172.31.70.1 e a mscara como 255.255.255.0,
confgure o D-IP como 172.31.88.5 e a mscara como 255.255.255.0, confgure o Time-Range como
work_time.
ACL Policy Confg Action Create, adicione a ACL 100 para a poltica limit 1.
ACL Policy Binding Port Binding, Selecione a poltica limit 1 para se vincular com a porta 3.
4
Confgurao dos requerimentos
3 e 4
ACL ACL Confg ACL Create, crie a ACL 101.
ACL ACL Confg Standard-IP ACL, Selecione a ACL 101, crie a regra 1, confgure o campo
Operation como Deny, confgure o S-IP como 172.31.70.1 e a mscara como 255.255.255.0,
confgure o D-IP como 172.31.50.1 e a mscara como 255.255.255.0, confgure o time-range como
No-Limit.
ACL ACL Confg Standard-IP ACL, selecione a ACL 101, crie a regra 2, confgure o campo
Operation como Deny, confgure o S-IP como 172.31.70.1 e a mscara como 255.255.255.0.
Confgure o D-IP como 172.31.88.5 e a mscara como 255.255.255.0, confgure o time-range como
No Limit.
ACL Policy Confg Policy Create, crie a poltica com o nome limit2.
ACL Policy Confg Action Create, adicione a ACL 101 para a poltica limit 1.
ACL Policy binding Port Binding, selecione a poltica limit2 para se vincular com a porta 4.
11. Network security
O menu Network Security utilizado para fornecer e confgurar vrias medidas de proteo para a segurana da rede.
Este menu inclui 4 sub-menus: IP-MAC Binding, ARP Inspection, DoS Defender e 802.1X. Por favor, confgure as funes
conforme sua necessidade.
11.1. IP-MAC binding
A funo IP-MAC Binding permite vincular o endereo IP, o endereo MAC e o VLAN ID de um host com uma determinada
porta do switch, restringindo o acesso rede.
Os seguintes mtodos de IP-MAC Binding so suportados pelo switch.
1. Manually: voc pode vincular o endereo IP, endereo MAC e VLAN ID do host com a porta do switch manualmente.
2. Scanning: voc pode vincular o endereo IP, endereo MAC, VLAN ID e a porta em que o host est conectado no switch
de forma dinmica, bastando apenas especifcar a faixa de endereos IPs a ser pesquisada bem como o VLAN ID. Aps
realizado a pesquisa, selecionar quais entradas deseja vincular.
3. DHCP Snooping: voc pode usar a funo de DHCP Snooping: para monitorar o processo em que o host recebe o ende-
reo IP de um servidor DHCP e registrar o endereo IP, endereo MAC, VLAN ID e o nmero da porta em que o host est
conectado no switch, realizando assim, um vnculo automtico.
108
Esses trs mtodos so utilizados para elaborao da tabela de vnculos (Binding Table), vinculando o endereo IP, ende-
reo MAC, VLAN ID e porta do switch onde o host est conectado. As entradas provenientes de vrias origens devem ser
diferenciadas umas das outras para que se evitem colises, somente a origem com maior prioridade ser validada. Os trs
mtodos (manual, scanning e snooping) esto respectivamente em ordem decrescente de prioridade.
A funo IP-MAC Binding pode ser confgurada em Binding Table, Manual Binding, ARP Scanning e DHCP Snooping.
Binding table
Nesta pgina voc pode visualizar as informaes referente a tabela de vnculos (Binding Table).
Escolha o menu Network Security IP-MAC binding Binding Table para carregar a seguinte pgina:
As seguintes opes so apresentadas na tela:
Search option
Source: selecione o mtodo de busca para a visualizao da tabela de vnculos (Binding Table) e clique no boto Search.
All: exibe todas as entradas da tabela.
Manual: exibe somente as entradas confguradas manualmente.
Scanning: exibe somente as entradas confguradas a partir da funo ARP Scanning.
Snooping: exibe somente as entradas confguradas a partir da funo DHCP Snooping.
Binding table
IP select: digite o endereo IP no campo correspondente e clique em Select para selecionar o endereo IP desejado.
Select: selecione a entrada desejada. Nesta opo possvel selecionar mais de uma entrada simultaneamente.
Tambm possvel criar uma descrio para o host utilizando o campo HostName e alterar o tipo de proteo atravs
do campo Protect Type ou remover a entrada desejada clicando no boto Delete.
Host name: exibe o Host Name do computador.
IP address: exibe o endereo IP do computador.
MAC address: exibe o endereo MAC do computador.
VLAN ID: exibe a VLAN ID que o computador pertence.
Port: exibe o nmero da porta do switch em que o computador est conectado.
Protect type: permite visualizar ou alterar o Protect Type da porta.
Source: exibe o mtodo utilizado para a obteno da entrada na tabela de vnculos.
Collision: exibe o status de coliso.
Warning: indica que a coliso pode ter sido causada pela funo MSTP.
Critical: indica que uma entrada est em coliso com outra entrada.
Obs.: Dentre as entradas com nvel crtico de coliso, aquelas com prioridades mais altas tero preferncia.
Dentre as entradas confitantes com o mesmo nvel de prioridade, apenas a ltima entrada adicionada ou modi-
fcada ter efeito.
Manual binding
Voc pode vincular manualmente o endereo IP, endereo MAC, e o VLAN ID do host com a porta do switch desejada.
Escolha o menu Network Security IP-MAC Binding Manual Binding para carregar a pgina:
Tabela de vnculos
109
Tabela de vnculos manuais
As seguintes opes so exibidas na tela:
Manual binding option
Host name: digite um nome para identifcar o computador desejado.
IP address: digite o endereo IP do computador.
MAC address: digite o endereo MAC do computador.
VLAN ID: digite o VLAN ID que o computador pertence.
Port: selecione a porta do switch em que o computador est conectado.
Protect type: selecione o Protec Type.
Manual binding table
Select: selecione a entrada desejada. Nesta opo possvel selecionar mais de uma entrada simultaneamente.
Tambm possvel criar uma descrio para o host utilizando o campo HostName e alterar o tipo de proteo atravs
do campo Protect Type ou remover a entrada desejada clicando no boto Delete.
Host name: exibe o Host Name do computador.
IP address: exibe o endereo IP do computador.
MAC address: exibe o endereo MAC do computador.
VLAN ID: exibe a VLAN ID que o computador pertence.
Port: exibe o nmero da porta do switch em que o computador est conectado.
Protect type: exibe o Protect Type.
Collison: exibe o status de coliso.
Warning: indica que a coliso pode ter sido causada pela funo MSTP.
Critical: indica que uma entrada est em coliso com outra entrada.
ARP scanning
O protocolo ARP (Address Resolution Protocol) utilizado para analisar e mapear os endereos IP com seus respectivos en-
dereos MAC, possibilitando assim a entrega dos pacotes aos seus destinos corretamente. Desta forma, o endereo IP de
destino contido em um pacote precisa ser traduzido para o endereo MAC correspondente, formando assim a Tabela ARP.
Quando um computador se comunica com outro, o protocolo ARP funciona conforme imagem e explicao a seguir:
110
1. Suponha que h dois computadores pertencentes a mesma rede: computador A e o computador B. Para que o compu-
tador A possa enviar pacotes para o computador B, o computador A verifca se em sua tabela ARP h o relacionamento
entre o endereo IP e o endereo MAC do computador B, caso possua, o pacote ser transmitido diretamente ao compu-
tador B, caso no possua, o computador A transmitir solicitaes ARP em broadcast para a rede.
2. Quando um pacote de solicitao ARP transmitido em broadcast, todos os computadores pertencentes a mesma rede
visualizaro este pacote, no entanto, apenas o computador B responder ao pedido, pois o endereo IP contido na
solicitao ARP corresponder com seu prprio endereo IP. Ento o computador B enviar ao computador A um pacote
de resposta contendo seu endereo MAC.
3. Ao receber o pacote de resposta ARP, o computador A adiciona o endereo IP e o endereo MAC do computador B
em sua tabela ARP, para que os prximos pacotes com destino ao computador B sejam encaminhados diretamente ao
destino correto.
A funo ARP Scanning permite que o switch envie requisies ARP com o campo endereo IP preenchido conforme
desejado, dentro de uma rede ou VLAN.
Ao receber pacotes de resposta ARP, o switch consegue, obter o endereo IP, endereo MAC, VLAN ID e o nmero da porta
em que o computador est conectado no switch.
Escolha o menu Network Security IP MAC Binding ARP Scanning para carregar a seguinte pgina:
IP: 192.168.0.102
MAC:00-01-21-AF-0F-4E
IP: 192.168.0.103
MAC:00-0F-12-0E-ED-2D
ARP Request (Broadcast)
Source IP address
192.168.0.102
Source IP address
192.168.0.103
Source MAC address
00-01-21-AF-0F-4E
Source MAC address
00-0F-12-0E-ED-2D
Destination IP address
192.168.0.103
Destination IP address
192.168.0.102
Destination MAC address
FF-FF-FF-FF-FF-FF
Destination MAC address
00-01-21-AF-0F-4E
ARP Response (Unicast)
Host A Host B
Funcionamento do protocolo ARP
As seguintes opes so exibidas na tela:
Scanning option
Start IP address: digite o endereo IP inicial da faixa de endereos IPs desejado.
End IP address: digite o endereo IP fnal da faixa de endereos IPs desejado.
VLAN ID: digite a VLAN ID desejada. Se este campo estiver em branco, o switch ir enviar os pacotes untag para
anlise.
Scan: clique no boto Scan para o switch comear a realizar a consulta desejada.
ARP Scanning
111
DHCP Server
Central Switch
Access Layer Switch
DHCP Client 1 DHCP Client 2 DHCP Client 3 DHCP Client 4
Funcionamento do DHCP
Scanning result
Select: selecione a entrada desejada. Para remover a entrada correspondente, clique no boto Delete.
Host name: exibe o nome do computador.
IP address: exibe o endereo IP do computador.
MAC address: exibe o endereo MAC do computador.
VLAN ID: exibe a VLAN ID que o computador pertence.
Port: exibe o nmero da porta do switch em que o computador est conectado.
Protect type: exibe o Protect Type.
Collison: exibe o status de coliso.
Warning: indica que a coliso pode ter sido causada pela funo MSTP.
Critical: indica que um entrada est em coliso com outra entrada.
DHCP snooping
Atualmente as redes esto fcando cada vez maiores e mais complexas. As confguraes de endereos IP e parmetros
de redes utilizados devem ser analisados e atualizados com frequncia, permitindo o perfeito funcionamento dos com-
putadores e recursos da rede. O protocolo DHCP (Dynamic Host Confguration Protocol) foi desenvolvido baseando-se no
protocolo BOOTP e utilizado para otimizar e resolver os problemas mencionados acima.
Principio de funcionamento do Servidor DHCP
O DHCP funciona baseado na comunicao cliente/servidor. O cliente requisita informaes para sua confgurao e o ser-
vidor atribui as informaes de confgurao, como por exemplo o endereo IP. Um servidor DHCP pode atribuir endereos
IPs para vrios clientes, como ilustrado na fgura a seguir:
O Servidor DHCP fornece trs mtodos de atribuio de endereos IPs.
1. Manual: permite o administrador vincular o endereo IP esttico para um cliente especfco (Ex. Servidor WWW).
2. Automtico: o servidor DHCP atribui os endereos IPs para os clientes sem tempo de expirao.
3. Dinmico: o servidor DHCP atribui o endereo IP com um determinado tempo de expirao. Quando o tempo para o
endereo IP expirar, o cliente ter que solicitar um novo endereo IP para o servidor DHCP.
A maioria dos clientes obtm os endereos IPs dinamicamente, como ilustrado na fgura a seguir:
112
1. DHCP-DISCOVER: o cliente transmite em broadcast o pacote DHCP-DISCOVER para descobrir o servidor DHCP.
2. DHCP-OFFER: ao receber pacotes DHCP-DISCOVER, o servidor DHCP, escolhe um endereo IP com base em uma faixa
com prioridades e responde ao cliente com o pacote DHCP-OFFER contendo o endereo IP e algumas outras informaes.
3. DHCP-REQUEST: em uma situao em que a vrios servidores DHCP enviando pacotes DHCP-OFFER, o cliente s ir
responder ao primeiro pacote recebido e transmitir o pacote DHCP-REQUEST, que inclui o endereo IP recebido do pacote
DHCP-OFFER.
4. DHCP-ACK: uma vez que um pacote DHCP REQUEST transmitido, todos os servidores DHCP na LAN podem receb-
-lo. No entanto, apenas o servidor requisitado processar o pedido. Se o servidor DHCP confrmar a atribuio desse
endereo IP para o cliente, ele enviar um pacote DHCP-ACK de volta para o cliente. Caso contrrio, o servidor ir enviar
pacotes DHCP-NAK, recusando atribuir esse endereo IP para o cliente.
Option 82
Os pacotes DHCP, so classifcados de oito maneiras, com base no formato dos pacotes BOOTP. A diferena entre o DHCP
e BOOTP o campo Option. O campo Option do DHCP, utilizado para expandir a funo do DHCP, por exemplo, o DHCP
pode transmitir informaes de controle e parmetros da confgurao da rede atravs do campo Option.
Para maiores detalhes do campo Option do DHCP, consulte a RFC 2132.
A opo 82 do campo Option registra a localizao dos clientes DHCP. Ao receber um pacote DHCP-REQUEST, o switch
adiciona a opo 82 no campo Option no pacote DHCP no pacote e transmite o pacote para o servidor DHCP.
O administrador da rede pode ter o conhecimento da localizao do cliente DHCP atravs do campo Option 82, obtendo
maior controle e segurana no gerenciamento dos clientes DHCP. O servidor DHCP que suporta o campo Option 82, pode
defnir uma poltica de distribuies dos endereos IPs e outros parmetros desejados, proporcionando uma distribuio
mais fexvel dos endereos.
O campo Option 82 pode conter no mximo 255 sub-opes. Uma vez que o campo Option 82 defnido, pelo menos
uma das sub-opes deve ser confgurada. O switch suporta duas sub-opes: Circuit ID e Remote ID. Como no existe um
padro universal para o campo Option 82, diferentes implementaes de diferentes fabricantes podem existir. Para esse
switch, as sub-opes so defnidas a seguir.
Circuit ID defnido para ser o nmero da porta do switch que recebe os pacotes de solicitao DHCP juntamente com
o VLAN ID.
Remote ID defnido para ser o endereo MAC dos clientes DHCP que foram obtidos atravs dos pacotes DHCP Request.
DHCP cheating attack
Durante o processo de funcionamento do DHCP, geralmente no h nenhum mecanismo de autenticao entre o cliente
e servidor. Se houver vrios servidores DHCP na rede, acontecer certa confuso e insegurana na rede. Os casos mais
comuns que podem ocorrer esto listados a seguir.
1. O Servidor DHCP ilegal confgurado manualmente pelo usurio por engano.
DHCP Client
DHCP Server
1 DHCP-DISCOVER
3 DHCP-REQUEST
2 DHCP-OFFER
4 DHCP-ACK
Negociao DHCP
113
A funo DHCP Snooping permite que apenas a porta conectada a um servidor DHCP possa transmitir pacotes DHCP, isso
garante que os usurios receberam de forma correta os endereos IPs e parmetros da rede. O DHCP Snooping monitora
o processo de obteno do endereo IP entre o cliente e o servidor DHCP, registrando o endereo IP, endereo MAC, VLAN
e porta do swicth que o cliente est conectado, criando assim uma tabela de vnculos, que poder ser utilizada por outras
funes, como por exemplo, ARP Inspection e outros recursos de proteo e segurana. A funo de DHCP Snooping
impede o DHCP Cheating Attack descartando os pacotes DHCP de portas no confveis.
Escolha o menu Network Security IP-MAC Binding DHCP Snooping para carregar a seguinte pgina:
DHCP Client DHCP Server Ilegal DHCP Server
Ilegal DHCP Response Packets
Switch with DHCP Snooping
Function disabled
DHCP cheating attack
DHCP snooping
2. Hacker esgotam os endereos IPs do servidor DHCP e fngem ser um servidor DHCP para atribuir os endereos IPs e de-
mais informaes de rede para os clientes. Por exemplo. Um Hacker usou o servidor DHCP para atribuir uma modifcao
no servidor DNS, de modo que os usurios iro acessar sites de comrcio eletrnico e digitaro suas senhas achando que
esse o site real. A fgura a seguir ilustra a DHCP Cheating Attack.
114
Obs.: se voc quiser habilitar a funo de DHCP Snooping para uma porta membro de um grupo LAG, por favor, certifque-
-se que as confguraes das portas membros so as mesmas.
As seguintes informaes so apresentadas na tela:
DHCP snooping confg
DHCP snooping: selecione Enable/Disable para habilitar ou desabilitar para a funo DHCP Snooping.
Global fow control: selecione a velocidade mxima de mensagens DHCP que o switch pode transmitir por segun-
do. As mensagens excessivas sero descartadas.
Decline threshold: selecione um valor que especifque a taxa mnima de transmisso, acima disso ser habilitada a
funo Decline protection para a porta especifcada.
Decline fow control: selecione um valor para especifcar o Decline Flow Control. A transmisso de trfego na porta
correspondente ser limitada a esse valor.
Option 82 confg
Option 82 support: selecione Enable/Disable para habilitar ou desabilitar a funo Option 82.
Existed option 82 feld: selecione a operao para o campo Option 82 dos pacotes de DHCP-REQUEST enviados
dos clientes.
Keep: utilizado para manter o campo Option 82 dos pacotes DHCP.
Replace: utilizado para substituir o campo Option 82 dos pacotes DHCP com o que foi defnido pelo switch.
Drop: utilizado para descartar os pacotes DHCP incluindo o campo Option 82
Customization: selecione Enable/Disable para habilitar ou desabilitar a customizao do campo Option 82 pelo switch.
Circuit ID: digite a sub-opo Circuit ID para personalizao do campo Option 82.
Remote ID: digite a sub-opo Remote ID para personalizao do campo Option 82.
Port confg
Port select: digite a porta no campo correspondente e clique em Select para selecionar a porta desejada.
Select: selecione a entrada desejada. Nesta opo possvel selecionar mais de uma entrada simultaneamente.
Port: exibe o nmero da porta.
Trusted port: selecione Enable/Disable para habilitar ou desabilitar a funo Trusted Port. Somente as Trusted Port
podem receber pacotes DHCP dos servidores DHCP.
MAC verify: selecione Enable/Disable para habilitar ou desabilitar a funo MAC Verity. No pacote DHCP existem
dois campos contendo o endereo MAC do cliente, esta funo ir comparar estes dois campos e descartar o pacote
se os campos forem diferentes.
Flow Control: selecione Enable/Disable para habilitar ou desabilitar a funo de Flow Control para os pacotes DHCP.
Os pacotes DHCP em excesso sero descartados.
Decline protect: selecione Enable/Disable para habilitar ou desabilitar a funo de Decline Protect.
LAG: exibe o nmero do grupo LAG a qual a porta pertence.
11.2. ARP inspection
De acordo com a implementao ARP, mencionado no Captulo 11.1.3 ARP Scanning, o protocolo ARP auxilia na comuni-
cao entre os computadores em uma mesma rede ou ainda no acesso a redes externa atravs do uso do gateway. Assim
ataques de falsifcao ARP, tais como Imitating Gateway, Cheating Gateway, Cheating Terminal Hosts e ARP Flooding
Attack, ocorrem com frequncia em redes de grandes dimenses.
A seguir, explicao de alguns dos ataques.
Imitating Gateway
O atacante envia um endereo MAC falso de um gateway para um determinado computador na rede, em seguida este
computador atualizar automaticamente a sua tabela ARP, fazendo com que o computador no acesse a rede de forma
normal. O imitating Gateway est sendo ilustrado na fgura a seguir.
115
A fgura anterior mostra o atacante enviando pacotes ARP falsifcados com o endereo MAC do gateway forjado para um
determinado computador na rede, em seguida, este computador atualizar sua tabela ARP automaticamente. Quando o
computador tentar se comunicar com outro computador localizado em uma rede externa, ele ir enviar pacotes com o
endereo MAC de destino errado, resultando na perda da comunicao.
Cheating Gateway
O atacante envia um endereo MAC falso de um computador para o gateway da rede, em seguida, este gateway atualizar
sua tabela ARP, fazendo com que o gateway no consiga responder as solicitaes deste computador. O Cheating Gateway
ilustrado na fgura a seguir:
A fgura anterior mostra o atacante enviando pacotes ARP falsifcados para o gateway da rede, em seguida, este gateway
atualizar sua tabela ARP automaticamente. Quando o gateway tentar responder a alguma solicitao do computador
correto, o gateway ir enviar pacotes com o endereo MAC de destino errado, resultando na perda da comunicao.
Cheating Terminal Host
O atacante envia um endereo MAC falso de um computador para outro computador da rede, fazendo com que estes
computadores que esto na mesma rede no se comuniquem. O Cheating Terminal Hosts ilustrado na fgura a seguir.
Attacker
IP: 192.168.0.102
MAC:00-00-00-22-22-22
(3) Host tries to communicate
with Gateway via the MAC
Address 00-00-12-34-56, but
failed. The normal communi-
cation is broken.
Attacker
IP: 192.168.0.102
MAC:00-00-00-22-22-22
Host
IP: 192.168.0.103
MAC:00-00-00-33-33-33
Host A
IP: 192.168.0.103
MAC:00-00-00-33-33-33
IP: 192.168.0.1
MAC:00-00-00-11-11-11
IP: 192.168.0.101
MAC:00-00-00-11-11-11
Gateway
Gateway
Switch
Switch
Imitating Gateway
Cheating Gateway
(2) Host updates its ARP table.
The original ARP entry
192.168.0.1 00-00-00-11-11-11 is upda-
ted to 192.168.0.1 00-00-00-12-34-56
(2) Gateway updates its ARP table.
The original ARP entry of Host A
192.168.0.103 00-00-00-33-33-33 is updated
to 192.168.0.103 00-00-00-12-34-56
(1) Attacker sends the fake
ARP packets with a forged
Gateway address 00-00-00-
12-34-56 to the normal Host.
(3) Gateway tries to communicate
with Host A via the MAC address
00-00-00-12-34-56, but failed. The
normal communication is broken.
(1) Attacker sends the fake ARP
packets of Host A with a forged
MAC address 00-00-00-12-34-
56 to Gateway.
116
A fgura anterior mostra o atacante enviando pacotes ARP falsifcados do computador A para o computador B, fazendo
com que a tabela ARP do computador B seja atualizada automaticamente. Quando o computador B tentar se comunicar
com o computador A, o computador B enviar pacotes com o endereo MAC de destino errado, resultando na falha da
comunicao.
Man-In-The-Middle attack
O Atacante envia continuamente pacotes ARP falsifcados para os computadores da rede. Quando estes computadores
tentam se comunicar, eles enviaro pacotes para o atacante de acordo com a sua tabela ARP falsifcada. Assim o atacante
pode obter e processar os pacotes antes de encaminh-los a seus destino corretos. O Man-In-The-Middle Attack ilustrado
na fgura a seguir:
Attacker
IP: 192.168.0.103
MAC:00-00-00-33-33-33
Attacker
IP: 192.168.0.102
MAC:00-00-00-22-22-22
Host A
IP: 192.168.0.101
MAC:00-00-00-11-11-11
Host B
IP: 192.168.0.101
MAC:00-00-00-44-44-44
Host B
IP: 192.168.0.102
MAC:00-00-00-22-22-22
Host A
IP: 192.168.0.103
MAC:00-00-00-33-33-33
IP: 192.168.0.1
MAC:00-00-00-11-11-11
Gateway
Switch
Cheating terminal hosts
Man-In-The-Middle attack
(1) Attacker sends the fake
ARP packets of Host A with
a forged MAC address
00-00-00-12-34-56 to
Host B.
(3) Host B tries to communicate with Host A
via the MAC address 00-00-00-12-34-56, but
failed. The normal communication is broken.
(2) Host B updates its ARP table. The
original ARP entry of Host A 192.168.0.103
00-00-00-33-33-33 is updated to
192.168.0.103 00-00-00-12-34-56
(3) Host A updates its ARP table. The
original ARP entry of Host B 192.168.0.102
00-00-00-22-22-22 is updated to
192.168.0.102 00-00-00-33-33-33
(4) Host B updates its ARP table. The
original ARP entry of Host A 192.168.0.101
00-00-00-11-11-11 is updated to
192.168.0.101 00-00-00-33-33-33
(1) Attacker sends the fake ARP packets of
Host B with a forged MAC address 00-00-
33-33-33 to Host A.
(2) Attacker sends the fake ARP packets of
Host A with a forged MAC address 00-00-
33-33-33 to Host B.
117
Suponha que existam 3 computadores conectados na rede atravs de um switch.
Computador A: O seu endereo IP 192.168.0.101 e o endereo MAC 00-00-00-11-11-11
Computador B: O seu endereo IP 192.168.0.102 e o endereo MAC 00-00-00-22-22-22
Atacante: O seu endereo IP 192.168.0.103 e o endereo MAC 00-00-00-33-33-33
1. Primeiramente, o atacante envia pacotes de respostas ARP falsifcados.
2. Ao receber os pacotes de respostas ARP, os computadores A e B atualizam suas tabelas ARP.
3. Quando o computador A tentar se comunicar com o computador B, ele enviar os pacotes com o endereo MAC de
destino falso, ou seja, o endereo MAC de destino do pacote est endereado para o atacante.
4. Aps receber e processar os pacotes dos computadores A e B, o atacante encaminha os pacotes para o endereo MAC
correto, fazendo com que os computadores A e B no percebam que suas mensagens esto sendo interceptadas.
5. O atacante continua enviando pacotes ARP falsifcados, mantendo a tabela ARP dos computadores A e B erradas.
Na viso dos computadores A e B, os pacotes esto sendo enviados diretamente de um para o outro. Mas na verdade, h
um outro computador roubando informaes durante o processo de comunicao. Esse tipo de ataque ARP chamado
de Man-In-The-Middle.
ARP fooding attack
O atacante transmite uma quantidade muito grande de pacotes ARP falsifcados em um segmento da rede, ocupando
muita largura de banda, resultando em uma queda no desempenho da rede. O gateway aprende os endereos IPs/MAC
falsifcados e atualiza sua tabela ARP, como resultado, a tabela ARP do gateway totalmente ocupada pelas entradas
falsas, tornando-se incapaz de aprender os novos endereos dos computadores verdadeiros, fazendo com que estes no
tenham acesso a rede externa.
A funo IP-MAC Binding permite que o switch possa vincular o endereo IP, endereo MAC, VLAN ID, e o nmero da porta
do switch que o computador est conectado. Com base nos IP-MAC Binding predefnidos, as funes de ARP inspection
podero detectar os pacotes ARP ilegais, evitando assim, ataques ARP na rede.
A funo de ARP Inspection pode ser confgurada nas seguintes pginas: ARP Detect, ARP Defend e ARP Statistics.
ARP detect
A funo ARP Detect permite ao switch detectar os pacotes ARP com base nas entradas de sua tabela de vnculos (Binding
Table) e fltrar os pacotes ARP falsifcados, evitando que a rede sofra ataque do tipo ARP, tais como Network Gateway
Spoofng e Man-In-The-Middle Attack, etc.
Escolha o menu Network Security ARP Inspection ARP Detect para carregar a seguinte pgina:
118
Passo Operao Descrio
1
Vincular o endereo IP, endereo MAC, VLAN ID
e o nmero da porta do switch que o computador
est conectado.
Obrigatrio, Em IP-MAC Binding, vincular o endereo IP, endereo MAC, VLAN
ID e o nmero da porta do switch que o computador est conectado, atravs
de uma das pginas de confgurao: Manual Binding, ARP Scanning ou DHCP
Snooping.
2 Habilitar a proteo para a entrada
Obrigatrio, Em Network Security IP-MAC Binding Binding Table,
especifcar o tipo de proteo para a entrada correspondente.
3 Especifcar a Trusted Port
Obrigatrio, Em Network Security ARP Inspection ARP Detect,
especifcar a Trusted port. As portas up-link e LAG devero ser defnidas como
Trusted Port.
4 Habilitar a funo ARP Detect
Obrigatrio, Em Network Security ARP inspection ARP Detect, habilite
a funo ARP Detect.
ARP defend
Com a funo ARP Defend habilitada, o switch no recebe pacotes ARP por 300 segundos, quando a velocidade de trans-
misso de pacotes ARP exceder o valor defnido, evitando que ocorra inundao de pacotes ARP na rede.
Escolha o menu Network Security ARP Inspection ARP Defend para carregar a seguinte pgina:
As seguintes opes so exibidas na tela:
ARP detect
ARP detect: selecione Enable/Disable para habilitar ou desabilitar a funo ARP Detect e clique no boto Apply.
Trusted port
Trusted port: selecione a porta que no far parte do ARP Detect. As portas de up-link e LAG devero ser defnidas
como Trusted Port. Para garantir a comunicao normal com o switch, por favor, confgure o ARP Trusted Port antes
de ativar o ARP Detect.
Obs.: ARP Detect e ARP Defend no podem ser habilitados ao mesmo tempo.
Procedimento de confgurao
Estatsticas ARP
119
As seguintes entradas so exibidas na tela:
ARP defend
Port select: digite a porta deseja no campo correspondente e clique em Select para selecionar a porta.
Select: selecione a porta desejada. Nesta opo possvel selecionar mais de uma porta simultaneamente.
Port: exibe o nmero da porta.
Defend: selecione Enable/Disable para habilitar ou desabilitar a funo ARP Defend.
Speed: digite o valor para especifcar a quantidade mxima de pacotes ARP recebidos por segundo.
Current speed: exibe a velocidade atual dos pacotes ARP recebidos.
Status: exibe o status de ataques ARP.
LAG: exibe o grupo LAG a qual pertence porta.
Operation: clique no boto Recover para restaurar o estado normal da porta. O ARP Defend para essa porta ser
reativado.
Obs.: No recomendado habilitar o ARP Defend para portas membros de LAG.
As funes ARP Detect e ARP Defend no podem ser habilitadas ao mesmo tempo.
ARP defend
120
ARP statistics
A funo ARP Statistics exibe informaes sobre o nmero de pacotes ARP legtimos recebidos em cada porta, o que
facilita a localizao de problemas na rede.
Escolha o menu Network Security ARP Inspection ARP Statistics para carregar a pgina seguinte.
As seguintes opes so apresentadas na tela:
Auto refresh
Auto refresh: selecione Enable/Disable para habilitar ou desabilitar a funo de Auto Refresh.
Refresh interval: digite o intervalo de atualizao das estatsticas ARP.
Illegal ARP packet
Port: exibe o nmero da porta.
Trusted port: indica se a porta est confgurada como Trusted Port ou no.
Illegal ARP packet: exibe o nmero de pacotes ARP falsifcados.
11.3. DoS defend
Ataques DoS (Denial of Service) ocasionam lentido na rede, chegando muitas vezes a parar com o funcionamento do
switch, devido a inmeras requisies maliciosas enviadas pelo atacante. Com esta funo habilitada, o switch analisa
campos especfcos dos pacotes recebidos e pode permitir ou negar os servios solicitados, evitando ataques de negao
de servio (DoS).
O switch pode detectar alguns tipos de ataques DoS, conforme mostrado na tabela a seguir.
Estatsticas ARP
121
Tipo de ataque DoS Descrio
Scan SYNFIN
O atacante envia um pacote TCP com as fags SYN e FIN habilitadas. A fag SYN utilizada para
iniciar uma nova conexo, enquanto a fag FIN utilizada para solicitar uma desconexo. Portanto o
pacote deste tipo ilegal. O switch pode se defender desse tipo de pacote.
Xmascan O atacante envia o pacote TCP com as seguintes fags habilitadas: FIN, URG e PSH.
NULL Scan Attack
O atacante envia o pacote TCP com todas as fgas de controle como 0. Durante a conexo e a
transmisso de dados, os pacotes com todos os controles defnidos como 0 sero considerados
pacotes ilegais.
SYN packet with source port less
than 1024
O atacante envia um pacote TCP com a fag SYN habilitada para uma porta de origem menor que
1024.
Ping Flooding
O atacante faz uma inundao na rede com pings em broadcast, impedindo que o switch responda
as verdadeiras comunicaes.
SYN/SYN-ACK Flooding
O atacante utiliza um endereo IP falso para enviar pacotes de solicitao ao servidor. Ao receber
os pacotes de solicitao, o servidor responde com pacotes SYN-ACK. Como o endereo IP falso,
nenhuma resposta ser enviada ao servidor, portanto o servidor continuar enviando pacotes SYN-
ACK aguardando uma resposta. Se o atacante fcar enviando muitos pacotes com solicitaes falsas,
os clientes que realmente desejam utilizar o servio, tero seus acessos negados.
Nesta pgina voc pode habilitar o DoS Defend adequado para as suas necessidades.
Escolha o menu Network Security DoS Defend DoS Defend para carregar a seguinte pgina:
Ataques DoS
122
1. Supplicant System: o sistema suplicante uma entidade da LAN e autenticado pelo sistema autenticador. O sistema
suplicante geralmente o computador de um usurio da rede. Uma autenticao 802.1X iniciada quando um usurio
lana um programa cliente no sistema suplicante. Note que o programa cliente deve suportar a autenticao 802.1X.
2. Authenticator System: o sistema autenticador geralmente um dispositivo de rede como esse switch. Ele fornece a porta
fsica ou lgica para o suplicante acessar a LAN e se autenticar.
3. Authentication Server System: o servidor de autenticao normalmente a entidade que prove o servio de autenticao.
Normalmente formado por um servidor RADIUS. O servidor de autenticao pode armazenar informaes de usurios e
serve para realizar autenticao e autorizao. Para garantir um sistema de autenticao estvel, recomendado possuir
um servidor de autenticao alternativo, utilizado como backup.
Mecanismos de autenticao 802.1X
O sistema de autenticao IEEE802.1X utiliza o protocolo EAP (Extensible Authentication Protocol) para trocar informa-
es entre o sistema suplicante e o servidor de autenticao.
LAN/WLAN
Authenticator System
Supplicant System
Authenticator Server System
Arquitetura 802.1X
As seguintes opes so apresentadas na tela:
Confgure
DoS defend: selecione Enable/Disable para habilitar ou desabilitar a funo de DoS.
Defend table
Select: selecione o tipo de ataque que o switch ir se defender.
Defend type: exibe o nome do tipo de ataque.
Dicas: sugerimos que voc tome as seguintes medidas para garantir a segurana da rede.
recomendado inspecionar e reparar vulnerabilidades na rede regularmente, bem como adotar mtodos de backup das
confguraes importantes.
O administrador de rede deve inspecionar o ambiente fsico e bloquear servios desnecessrios.
Para uma melhor segurana, utilize frewall na rede.
11.4. 802.1X
O protocolo 802.1X foi desenvolvido pela IEEE802 comisso LAN/WAN, para lidar com as questes de segurana de redes
sem fo. Em seguida foi utilizado como mecanismo de controle de acesso utilizado pelo Ethernet, resolvendo problemas
de autenticao e segurana.
802.1X o padro de autenticao para o controle de acesso a rede, onde cada dispositivo da LAN (suplicante) somente
ir utilizar a rede se estiver autenticado em um servidor de modo seguro.
Arquitetura de autenticao 802.1X
802.1X adota uma arquitetura de Cliente/Servidor com trs entidades: um sistema suplicante, um sistema autenticador e
um servidor de autenticao, a fgura a seguir ilustra esse processo.
123
1. O protocolo EAP transmitido entre o sistema suplicante e o sistema autenticador so encapsulados como pacotes EAPOL.
2. O protocolo EAP, transmitido entre o sistema autenticador e o servidor RADIUS so encapsulados como EAPOR (EAP
over RADIUS) ou atravs de PAP (Password Authentication Protocol) ou CHAP (Challenge Handshake Authentication
Protocol).
3. Quando um sistema suplicante processado pelo servidor de autenticao, o servidor de autenticao passa a infor-
mao sobre o sistema suplicante para o sistema autenticador. O sistema autenticador, por sua vez determina o estado
(autorizado ou no) da porta de acordo com as instrues (accept or reject) recebidos do servidor Radius.
Procedimento de autenticao 802.1X
Uma autenticao 802.1X pode ser iniciada pelo sistema suplicante ou pelo sistema autenticador.
Quando um sistema autenticador (switch) detecta um suplicante no autenticado e conectado em sua porta, ele ir iniciar
o procedimento de autenticao 802.1X enviando pacotes EAP-Request/Identity. O sistema suplicante tambm iniciar um
programa cliente de autenticao 802.1X, atravs do envio de pacotes EAPOL-Start para o switch.
A seguir duas ilustraes de autenticao 802.1X iniciada pelo sistema suplicante.
1. Modo de transmisso EAP:
Neste modo, os pacotes EAP so encapsulados no protocolo de nvel superior (EAPOR) para conseguir chegar ao servidor
de autenticao. Este modo normalmente exige que o servidor Radius tenha suporte aos dois tipos de mensagens. O
campo mensagem EAP e o campo Message-authenticator. Esse switch suporta a forma de autenticao EAP-MD5 para
o modo de transmisso EAP. A fgura a seguir descreve o procedimento bsico de autenticao EAP-MD5.
Supplicant System
EAPOL-Start
EAP-Request/Identity
RADIUS-Access-Request
Authentication Server
Switch
RADIUS-Access-Chanllenge
RADIUS-Access-Request
RADIUS-Access-Accept
EAP-Request
EAP-Response/Identity
EAP-Response
EAP-Success
EAP EAP
Procedimento de autenticao EAP-MD5
1. Um sistema suplicante inicia um programa cliente de autenticao 802.1X, atravs de seu nome de usurio e senha
cadastrados no servidor de autenticao, enviando um pacote EAPOL-Start para o switch. O programa cliente 802.1X
encaminha os pacotes para o switch iniciar o processo de autenticao.
2. Ao receber o pacote de solicitao de autenticao, o switch envia um pacote EAP-Request/Identity para solicitar ao
programa cliente 802.1X o nome de seu usurio.
3. O programa 802.1X cliente envia um pacote EAP-Response/Identit para o switch com o nome de usurio. O switch ento
encapsula o pacote em um pacote RADIUS Access-Request e encaminha o pacote para o servidor RADIUS.
4. Ao receber o nome de usurio do switch, o servidor RADIUS verifca a senha correspondente do usurio em seu banco
de dados e criptografa a senha utilizando uma chave aleatria, e encaminha esta chave ao switch atravs do pacote
RADIUS Access-Challenge. O switch em seguida, envia a chave para o programa 802.1X cliente.
5. O receber a chave (encapsulada no pacote EAP-Request/MD5 Challenge) do switch, o programa 802.1X cliente crip-
tografa a senha do sistema suplicante com a chave recebida e envia a senha criptografada (contida no pacote EAP-
-Response/MD5 Challenge) para o servidor RADIUS atravs do switch (a criptografa irreversvel).
6. O servidor RADIUS compara a senha criptografada recebida (contida no pacote RADIUS Access-Request) com a senha
criptografada localmente. Se as duas combinarem, ele enviar a resposta (atravs de um pacote RADIUS Access-Accept
e do pacote EAP-Success), informando ao switch que o sistema suplicante est autorizado.
7. O switch muda o estado da porta correspondente ao estado accept para permitir que o sistema suplicante tenha acesso
rede. Ento o switch ir monitorar o status do suplicante enviando pacotes hand-shake periodicamente. Por padro, o
switch vai forar o suplicante fazer logoff se no obter a resposta do suplicante em duas tentativas.
124
No modo PAP, o switch criptografa a senha com uma chave gerada aleatoriamente e envia o nome do usurio ao sistema
suplicante, o sistema suplicante criptografa a senha para o servidor RADIUS, utilizado para uma autenticao adicional.
Considerando que a chave gerada aleatoriamente no modo de transmisso EAP-MD5 realizada pelo servidor de autenti-
cao, o switch o responsvel por encapsular o pacote de autenticao e envi-lo para o servidor RADIUS.
802.1X timer
Na autenticao 802.1X, os seguintes temporizadores so utilizados para assegurar que o sistema suplicante, o switch e
o servidor RADIUS interagem de uma maneira ordenada.
1. Supplicant system timer (Supplicant Timeout): este temporizador acionado pelo switch aps o switch enviar um pacote
de solicitao ao sistema suplicante. O switch ir reenviar o pacote de solicitao ao sistema suplicante se o sistema
suplicante no responder no perodo de tempo limite especifcado.
2. RADIUS server timer (Server Timeout): este temporizador acionado pelo switch aps o switch enviar um pacote de
solicitao de autenticao para o servidor RADIUS. O switch ir reenviar o pacote de solicitao de autenticao se o
servidor RADIUS no responder no perodo de tempo limite especifcado.
3. Quiet-period timer (Quiet Period): este temporizador defne o perodo de silncio. Enquanto o sistema suplicante no
processa a autenticao, o switch fca em silncio (no envia pacotes 802.1X) por um perodo especifcado antes de
processar outra solicitao de autenticao.
Guest VLAN
A funo Guest VLAN permite que os suplicantes que no passam na autenticao possam acessar os recursos de uma
rede especfca. Por padro, todas as portas conectadas aos suplicantes pertencem a uma VLAN, ou seja, a Guest VLAN.
Usurios pertencentes Guest VLAN podem acessar os recursos da Guest VLAN sem estarem autenticados. Ao realizar
uma autenticao, as portas do switch iro ser removidas da Guest VLAN, permitindo o acesso aos recursos da rede.
Com a funo Guest VLAN habilitada, os usurios podem acessar a Guest VLAN para instalar o programa 802.1X cliente
ou atualizar seus clientes 802.1X sem estar autenticado. Se no houver suplicantes na porta por certo perodo de tempo,
o switch ir adicionar a porta para a Guest VLAN.
Com a funo de 802.1X habilitada e a Guest VLAN confgurada, aps o nmero mximo de tentativas terem sido feitas
para enviar pacotes EAP-Request/Identity e ainda houver portas que no enviaram nenhuma resposta de volta, o switch
ir adicionar essas portas para a Guest VLAN de acordo com seus tipos de Links. S quando o usurio correspondente
realizar a autenticao 802.1X, a porta ser removida da Guest VLAN e adicionada a VLAN especifcada. Alm disso, a
porta voltar para a Guest VLAN quando seus usurios conectados fazerem Logoff.
A funo 802.1X pode ser confgurada nas seguintes pginas: Global Confg, Port Confg e Radius Server.
Global confg
Supplicant System
EAPOL-Start
EAP-Request/Identity
Authentication Server
RADIUS
RADIUS-Access-Request
RADIUS-Access-Accept
EAP-Request
EAP-Response/Identity
EAP-Response
EAP-Success
EAP Switch
Procedimento de autenticao PAP
8. O sistema suplicante tambm pode encerrar o estado de autenticao, enviando pacotes EAPOL-Logoff para o switch. O
switch ento muda o estado da porta para reject.
2. Modo de terminao EAP:
Neste modo, a transmisso de pacotes encerrada no sistema autenticador e os pacotes EAP so mapeados em pacotes
RADIUS. Autenticao e contabilidade so realizadas atravs de protocolos RADIUS.
Neste modo, o mtodo de autenticao PAP ou CHAP utilizado entre o switch e o servidor RADIUS. Este switch suporta
o modo de encerramento PAP. O procedimento de autenticao PAP ilustrado na fgura a seguir.
125
Nesta pgina voc pode habilitar a funo de autenticao 802.1X para controlar o processo de autenticao, especifcan-
do o mtodo de autenticao, Guest VLAN e diferentes temporizadores.
Escolha o menu Network Security 802.1X Global Confg para carregar a seguinte pgina:
Habilitando a autenticao Radius
As seguintes informaes so apresentadas na tela:
Global confg
802.1X: selecione Enable/Disable para habilitar ou desabilitar a funo 802.1X
Authentication method: selecione o mtodo de autenticao.
EAP-MD5: este mtodo de autenticao utiliza o protocolo Extensible Authentication Protocol (EAP) para trocar
informaes entre o switch e o cliente. Estes pacotes EAP transportam dados de autenticao e podem ser encap-
sulados por um outro protocolo, como o RADIUS para serem transmitidos para o servidor de autenticao.
PAP: este mtodo de autenticao utiliza o protocolo Extensible Authentication Protocol (EAP) para trocar infor-
maes entre o switch e o cliente. A transmisso dos pacotes EAP fnalizada pelo switch e os Pacotes EAP so
convertidos para o outro protocolo (por exemplo, RADIUS) para a transmisso de pacotes.
Guest VLAN: selecione Enable/Disable para habilitar ou desabilitar a funo Guest VLAN.
Guest VLAN ID: digite o ID desejado para a Guest VLAN. Os suplicantes na Guest VLAN podem acessar recursos
da rede especfca.
Authentication confg
Quiet: selecione Enable/Disable para habilitar ou desabilitar o tempo de silncio.
Quiet period: digite um valor para o perodo de silncio, uma vez que o suplicante falhar ao tentar se autenticar via
802.1X, o switch no ir responder a mais pedidos do suplicante em um determinado perodo de tempo.
Retry times: especfca os tempos mximos de transferncia para o pedido de autenticaes repetidas.
Supplicant timeout: digite o tempo mximo para o switch esperar pela resposta do suplicante antes de reenviar o
pacote de solicitao ao suplicante.
Server timeout: digite o tempo mximo para o switch esperar pela resposta do servidor de autenticao antes de
reenviar o pacote de solicitao ao servidor de autenticao.
Port confg
Nesta pgina voc pode confgurar os recursos de autenticao 802.1X para as portas com base nas suas necessidades.
Escolha o menu Network Security 802.1X Port Confg para carregar a seguinte pgina.
126
Confgurao Radius
As seguintes informaes so apresentadas na tela:
Port confg
Port select: digite a porta desejada no campo correspondente e clique em Select para selecionar a porta desejada.
Select: selecione a porta desejada. Neste menu voc poder selecionar mais de uma porta simultaneamente.
Port: exibe o nmero da porta.
Status: selecione Enable/Disable para habilitar ou desabilitar a funo 802.1X na porta desejada.
Guest VLAN: selecione Enable/Disable para habilitar ou desabilitar a funo Guest VLAN na porta desejada.
Control mode: selecione o modo de funcionamento da porta desejada.
Auto: neste modo, a porta ir operar normalmente aps a realizao da autenticao 802.1X.
Force-Authorized: neste modo a porta ir operar normalmente sem a realizao da autenticao 802.1X.
Force-Unauthorized: neste modo a porta estar inoperante e no participar do processo de autenticao 802.1X.
Control type: selecione o tipo de controle da porta desejada.
MAC Based: qualquer cliente conectado na porta dever passar pela autenticao 802.1X para ter acesso na rede.
Port Based: todos os clientes conectados na porta podem acessar a rede, com a condio de que qualquer um dos
clientes tenha passado na autenticao 802.1X.
Authorized: exibe o status de autenticao da porta.
LAG: exibe o nmero do grupo LAG a qual a porta pertence.
Radius Server
Servidor RADIUS (Remote Authentication Dial-In User Service) fornece servio de autenticao para o switch atravs de
informaes de clientes armazenadas, tais como o nome de usurio, senha, etc. Com a fnalidade de controlar o estado
de autenticao e contabilizar os clientes. Nesta pgina voc pode confgurar os parmetros do servidor de autenticao.
Escolha o menu Network Security 802.1X Radius Server para carregar a seguinte pgina.
127
As seguintes informaes so exibidas na tela:
Authentication confg
Primary IP: digite o endereo IP do servidor de autenticao.
Secondary IP: digite o endereo IP do servidor de autenticao alternativo.
Authentication port: defna a porta UDP utilizada para a autenticao. Por padro a porta 1812.
Authentication KEY: digite a senha confgurada no servidor de autenticao, para a realizao da troca de men-
sagens.
Accounting confg
Accounting: selecione Enable/Disable para habilitar ou desabilitar a funo de contabilizao.
Primary IP: digite o endereo do servidor IP de contabilidade.
Secondary IP: digite com o endereo IP do servidor de contabilidade alternativo.
Accounting port: defna a porta UDP utilizada para a contabilizao. Por padro a porta 1812.
Accounting KEY: digite a senha confgurada no servidor de contabilizao, para a realizao da troca de mensagens.
Obs.: A funo de 802.1X somente ter efeito quando for habilitada globalmente no switch e tambm nas portas parti-
cipantes.
A funo 802.1X no poder ser habilitada para portas membros de um grupo LAG.
A funo 802.1X no deve ser habilitada na porta conectada ao servidor de autenticao. Alm disso, os par-
metros de autenticao do switch e do servidor de autenticao devem ser os mesmos.
Procedimento de confgurao
Confgurao do servidor Radius
Passo Operao Descrio
1 Conecte um servidor de autenticao no switch
Obrigatrio, Registre as informaes dos clientes para o servidor de
autenticao e confgure o nome de usurio e senha de autenticao
correspondente para o cliente.
2 Instale um software 802.1X cliente
Obrigatrio, Para os computadores, necessrio instalar o software cliente de
autenticao 802.1X, disponvel para download no site
http://www.intelbras.com.br
3 Confgurao global 802.1X
Obrigatrio, Por padro a funo global 802.1X desabilitado, V em
Network Security802.1XGlobal Confg, confgure a funo 802.1X
globalmente.
4
Confgure os parmetros para a autenticao no
servidor de autenticao
Obrigatrio, em Network Security802.1XRadius Server, confgure os
parmetros do servidor.
5 Confgure o 802.1X para a porta.
Obrigatrio, em Network Security802.1XPort Confg, confgure a
funo 802.1X para a porta do switch baseado em suas necessidades.
128
12. SNMP
Viso geral do SNMP
SNMP (Simple Network Management Protocol) amplamente utilizado por aplicaes executadas em redes UDP/IP. O
SNMP fornece uma estrutura de gerenciamento para monitorar e manter os dispositivos de rede. utilizado para gerenciar
automaticamente vrios dispositivos distintos de rede. Atualmente, a maioria dos sistemas de gerenciamento de rede so
baseados em SNMP. Com a funo SNMP habilitado, os administradores de rede podem facilmente monitorar o desempe-
nho da rede, detectar as falhas e confgurar os dispositivos de rede.
Estrutura de gerenciamento SNMP
A estrutura de gerenciamento SNMP inclui trs elementos de rede: estao de gerenciamento SNMP, agente SNMP e MIB
(Management Information Base).
SNMP management station: Estao de Gerenciamento SNMP a estao de trabalho que executa o programa cliente
SNMP, fornecendo uma interface de gerenciamento amigvel para o administrador gerenciar os dispositivos de rede mais
conveniente.
SNMP agent: Agente SNMP o processo executado pelo dispositivo de rede responsvel por receber e processar os
pacotes de solicitao da estao de gerenciamento SNMP. O Agente SNMP tambm poder informar a estao de geren-
ciamento SNMP sobre possveis eventos ocorridos com o dispositivo.
MIB: A MIB (Management Information Base) a base de informaes de gerenciamento. O agente capaz de responder
ao gerente consultas SNMP sobre o conjunto de informaes contido na MIB. Cada agente SNMP possui sua prpria MIB.
A estao de gerenciamento SNMP pode ler ou escrever os objetos da MIB com base em seus direitos de gesto.
Estao de gerenciamento SNMP o gerente da rede SNMP, enquanto o agente SNMP o objeto gerenciado. As infor-
maes entre a estao de gerenciamento SNMP e o agente SNMP so trocadas atravs do protocolo SNMP (Simple
Network Management Protocol). A relao entre a estao de gerenciamento SNMP, agente SNMP e a MIB, ilustrado
na fgura a seguir.
Read/Confgure the
MIB variables
Send response and
notifcation packets
SNMP Management Station SNMP Agent
MIB
Relao entre os elementos de rede SNMP
Verses SNMP
Este switch suporta SNMP v3 que compatvel com SNMP v1 e SNMP v2c. As verses do SNMP adotadas pela Estao
de Gerenciamento e o Agente SNMP devem ser a mesma. Caso contrrio, a Estao de Gerenciamento SNMP e o Agente
SNMP podem no se comunicar corretamente. Voc pode selecionar o modo de gerenciamento com nveis de segurana
adequado as suas exigncias de aplicao.
SNMP v1: o SNMPv1 adota autenticao utilizando o nome da comunidade. O nome da comunidade usado para defnir
a relao entre a estao de gerenciamento SNMP e o agente SNMP. Os pacotes SNMP que no conseguirem aprovao
de autenticao sero descartados.
SNMP v2c: tambm adota a autenticao utilizando o nome da comunidade. compatvel com SNMP v1, com algumas
funcionalidades a mais, como implementao de comunicao Gerente-Gerente e aumento no nvel de segurana.
SNMP v3: baseado em SNMP v1 e v2c, o SNMPv3 aumenta em muito a segurana e capacidade de gerenciamento.
Adota autenticao VACM (View-based Access Control Model) e USM (User-Based Security Model). O usurio pode con-
fgurar a autenticao e as funes de criptografa. A funo de autenticao utilizada para limitar o acesso de usurios
ilegais, autenticando o remetente do pacote. Enquanto isso, a funo de criptografa usada para criptografar os pacotes
transmitidos entre a estao de gerenciamento SNMP e o agente SNMP, de modo a evitar que qualquer informao seja
capturada. As mltiplas combinaes da funo de autenticao e criptografa garantem uma comunicao mais confvel
entre a estao de gerenciamento SNMP e o agente SNMP.
129
Confgurao do SNMP
1. Create view
A view do SNMP criada para a estao de gerenciamento SNMP gerenciar objetos da MIB. Os objetos gerenciados so
identifcados exclusivamente pelo seu OID. O OID do objeto gerenciado pode ser encontrado no programa cliente SNMP
em execuo na estao de gerenciamento SNMP.
2. Create SNMP group
Aps criada a view SNMP, necessrio que se crie um grupo SNMP. O nome do grupo, verso do protocolo SNMP e o
nvel de segurana compem o identifcador do grupo SNMP. Voc pode confgurar grupos SNMP para controlar o acesso
rede, fornecendo aos usurios em vrios grupos distintos, vrias formas de gerncia, como por exemplo, leitura, escrita
e notifcao.
3. Criao de usurios SNMP
O usurio que est em um grupo SNMP, pode gerenciar o switch atravs do programa cliente na estao de gerencia-
mento. O nome de usurio e a senha so utilizados para as estaes de gerenciamentos SNMP, isso para terem acesso
aos agentes SNMP.
O menu SNMP utilizado para confgurar a funo de SNMP do switch, incluindo 3 sub-menus de confgurao: SNMP
Confg, Notifcation e RMON.
12.1. SNMP confg
As confguraes SNMP podem ser confguradas nas seguintes pginas de confgurao: Global Confg, SNMP View,
SNMP Group, SNMP User e SNMP Community.
Global confg
Esta pgina utilizada para habilitar globalmente a funo SNMP do switch.
Escolha o menu SNMP SNMP Confg Global Confg para carregar a pgina seguinte:
1
1
1
1
2
6
2
2
B
A
5
Arquitetura das MIBs
Introduo MIB
Para identifcar os objetos de gerenciamento dos dispositivos em mensagens SNMP, o SNMP adota uma arquitetura
hierrquica. como se fosse uma rvore, e que cada n da rvore representasse um objeto. Assim, o objeto pode ser
identifcado como nico caminho a partir da raiz, e indicado por uma sequencia de nmeros. A sequncia de nmeros o
identifcador do objeto. Na fgura a seguir o OID do objeto gerenciado B {1.2.1.1}. Enquanto o OID do objeto gerenciado
A {1.2.1.1.5}.
130
As seguintes opes so apresentadas na tela.
Global confg
SNMP: selecione Enable/Disable para habilitar ou desabilitar a funo SNMP.
Local Engine
Local Engine ID: digite a identifcao do SNMP Engine do switch Local, este parmetro utilizado pelos clientes
remotos. O engine ID uma sequncia de carcteres alfanumricos nicos, usado para identifcar o switch.
Remote Engine
Remote Engine ID: digite a identifcao do SNMP Engine do switch remoto (o Remote Engine utilizado para o
envio de snmp inform V3 para o switch ou dispositivo remoto SNMP v3). O engine ID uma sequncia de caracteres
alfanumricos nicos, usado para identifcar o switch.
Obs.: a quantidade de caracteres para identifcao do Engine ID deve ser o mesmo.
SNMP view
O OID (Object Identifer) dos pacotes SNMP so usado para descrever os objetos gerenciados do switch, e as MIB (Mana-
gement Information Base) o conjunto dos OIDs. O SNMP view criado para a estao de gerenciamento SNMP gerenciar
os objetos MIB.
Escolha o menu SNMP SNMP Confg SNMP View para carregar a seguinte pgina.
Global confg
131
SNMP view
As seguintes informaes so apresentadas na tela:
View confg
View name: digite o nome de identifcao da view. Cada view pode incluir vrias entradas com o mesmo nome.
MIB object ID: digite o OID utilizado pela view.
View type: selecione o tipo de entrada da view.
Include: inclui para o gerenciamento o OID especifcado para a view.
Exclude: exclui o gerenciamento o OID especifcado para a view.
View table
Select: selecione a entrada desejada e clique no boto Delete para remover a view desejada. Todas as entradas de
uma mesma view, sero excludas juntas.
View name: exibe o nome da view.
View type: exibe o tipo de entrada da view.
MIB object ID: exibe o OID da view.
SNMP group
Nesta pgina voc pode confgurar grupos SNMP para controlar o acesso rede, fornecendo aos usurios de vrios grupos
diferentes, permisses de leitura, escrita e notifcao.
Escolha no menu SNMP SNMP Confg SNMP Group para carregar a seguinte pgina.
Grupos SNMP
132
As seguintes informaes so apresentadas na tela.
Group confg
Group name: digite o nome do grupo SNMP.
Security model: selecione a verso do protocolo SNMP utilizado pelo grupo SNMP.
V1: nesta verso, o nome da comunidade utilizado para a autenticao. O SNMP v1 pode ser confgurado dire-
tamente na pgina de confgurao SNMP Community.
V2: nesta verso, o nome da comunidade utilizado para a autenticao. O SNMP v2c pode ser confgurado
diretamente na pgina de confgurao SNMP Community.
V3: nesta verso, o mecanismo USM utilizado para realizar a autenticao. Ao habilitar o SNMP v3, o campo nvel
de segurana dever ser confgurado.
Security level: selecione o nvel de segurana para grupos SNMPv3.
noAuthNoPriv: este nvel de segurana no realiza autenticao e criptografa.
authNoPriv: este nvel de segurana realiza autenticao porm no realiza criptografa.
AuthPriv: este nvel de segurana realiza autenticao e criptografa.
Read view: selecione a view desejada com acesso somente de leitura. A view defnida como read somente poder
ser lida, no possvel modifc-la.
Write view: selecione a view desejada com acesso de escrita. A view defnida como write poder ser lida e alterada.
Notify view: selecione a view desejada com permisso de notifcao. A view defnida como notify poder enviar
notifcaes a estao de gerenciamento SNMP.
Group table
Select: selecione a entrada desejada e clique no boto Delete para remover o grupo SNMP desejado.
Group name: exibe o nome do grupo SNMP.
Security model: exibe a verso do protolo SNMP utilizada pelo grupo SNMP.
Security level: exibe o nvel de segurana do grupo SNMP.
Read view: exibe a view de leitura.
Write view: exibe a view de escrita
Notify view: exibe a view de notifcao.
Operation: clique no boto Edit para modifcar a view desejada. Aps realizado a modifcao clique em Modify
para validar a alterao.
Obs.: cada grupo deve conter uma view de leitura. A view de leitura padro view Default.
SNMP User
Nesta pgina possvel confgurar o nome de usurio que gerenciar o grupo SNMP. O usurio e grupo SNMP devem
possuir o mesmo nvel de segurana e direito de acesso.
Escolha o menu SNMP SNMP Confg SNMP User para carregar a seguinte pgina:
133
As seguintes informaes so exibidas na tela:
User confg
User name: digite o nome de usurio.
User type: selecione o tipo de usurio.
Local User: indica que o usurio est conectado ao SNMP Engine local.
Remote User: indica que o usurio est conectado ao SNMP Engine remoto.
Group name: selecione o grupo SNMP desejado. O usurio classifcado para o grupo correspondente de acordo
com o Group Name, Security Model e Security Level.
Security model: selecione a verso do protocolo SNMP utilizada pelo usurio criado.
Security level: selecione o nvel de segurana para o usurio SNMP v3.
Auth mode: selecione o modo de autenticao para o usurio SNMP v3.
None: nenhum mtodo de autenticao usado.
MD5: a autenticao da porta usa o algoritmo HMAC-MD5.
SHA: a autenticao da porta realizada atravs de SHA (Secure Hash Algorithm). Esse modo de autenticao tem
uma segurana maior que o modo MD5.
Auth password: digite a senha confgurada para autenticao.
Privacy mode: selecione o modo de criptografa para o usurio SNMP v3.
None: nenhum mtodo de privacidade utilizado.
DES: utiliza o mtodo de encriptao DES.
Privacy password: digite a senha confgurada utilizada na criptografa.
User Table
Select: selecione a entrada desejada e clique no boto Delete para remover o usurio SNMP desejado.
User name: exibe o nome do usurio.
User type: exibe o tipo de usurio.
Group name: exibe o nome do grupo do usurio.
Security model: exibe o modo de segurana do usurio.
Security level: exibe a verso do protocolo SNMP utilizado pelo usurio.
Auth mode: exibe o modo de autenticao do usurio.
Privacy mode: exibe o modo de privacidade do usurio.
Operation: clique no boto Edit para modifcar o grupo do usurio e clique no boto Modify para aplicar as conf-
guraes.
Usurios SNMP
134
Obs.: o usurio e grupo SNMP devem possuir o mesmo modo e nvel de segurana.
SNMP community
O SNMP v1 e v2c utiliza o mtodo de autenticao baseado no nome da comunidade. O nome da comunidade pode
limitar o acesso ao agente SNMP da estao de gerenciamento SNMP, funcionando como uma senha. Caso a verso
do protocolo utilizada for, SNMP v1 ou SNMP v2c, possvel confgurar a funo utilizando somente esta pgina sem a
necessidade de confgurar as pginas SNMP Group e USER SNMP.
Escolha o menu SNMP SNMP Confg SNMP Community para carregar a seguinte pgina:
As seguintes opes so apresentadas na tela:
Community confg
Community name: digite o nome da comunidade.
Access: defna o tipo de permisso para a comunidade.
Read-only: neste modo, a comunidade ter permisso somente de leitura, nenhuma alterao poder ser feita.
Read-write: neste modo, a comunidade ter permisso de leitura e escrita, podendo realizar alteraes.
MIB View: selecione a view de acesso da comunidade.
Community table
Select: selecione a entrada desejada e clique no boto Delete para remover a comunidade desejada.
Community name: exibe o nome da comunidade.
Access: exibe o tipo de permisso da comunidade para acessar a view.
MIB view: exibe a view que a comunidade pode acessar.
Operation: clique no boto Edit para modifcar a view e a permisso de acesso da comunidade, em seguida, clique
no boto Modify para aplicar as confguraes.
Obs.: a view padro para a comunidade SNMP viewDefault.
Procedimento de confgurao:
Caso for utilizado o SNMPv3, por favor, siga os seguintes passos.
Comunidades SNMP
Passo Operao Descrio
1 Habilita a funo global SNMP
Obrigatrio, em SNMP SNMP Confg Global Confg, habilite a funo SNMP.
2 Crie SNMP view
Obrigatrio, em SNMP SNMP Confg SNMP View, crie uma view SNMP para o
agente de gerenciamento. O nome da view padro viewDefault e o OID padro 1.
3 Crie o grupo SNMP
Obrigatrio, em SNMP SNMP Confg SNMP Group, crie um grupo SNMP e
especifque as views e o nvel de segurana desejado.
4 Crie o usurio SNMP
Obrigatrio, em SNMP SNMP Confg SNMP user, crie o usurio SNMP para o grupo
e confgure o nvel de segurana para o usurio.
135
Caso for utilizado o SNMP v1 ou SNMP v2c, por favor, siga os seguintes passos.
Passo Operao Descrio
1
Habilita a funo global
SNMP
Obrigatrio, em SNMP SNMP Confg Global Confg, habilite a
funo SNMP.
2 Crie SNMP view
Obrigatrio, em SNMP SNMP Confg SNMP View, crie uma
view SNMP para o agente de gerenciamento. O nome da view padro
viewDefault e o OID padro 1.
3
Confgure o nvel de acesso
para o usurio
Criar a comunidade SNMP
diretamente.
- Criar a comunidade diretamente. Em SNMPSNMP ConfgSNMP
Community, criar a comunidade baseada em SNMP v1 e SNMPv2c
Criar o grupo e usurio
SNMP.
- Criar grupo e usurio SNMP.
Semelhante confgurao do SNMPv3, voc pode criar grupos e usurios
SNMPv1/v2c. O nome de usurio limita o acesso aos agentes SNMP e a
estao de gerenciamento SNMP. Funciona como o nome de comunidade.
Os usurios podem gerenciar os dispositivos atravs de views de leituras,
escritas e notifcaes defnidas nos grupos SNMP.
12.2. Notifcation
Com a funo de notifcao habilitada, o switch podem intuitivamente reportar as estaes de gerenciamento SNMP,
eventos que ocorreram nas views (ex. Dispositivos reiniciados) permitindo que as estaes de gerenciamento monitorem
e processem os eventos.
As informaes de notifcao incluem os seguintes tipos:
Trap: a informao que o dispositivo gerenciado envia para a estao de gerenciamento de rede sem nenhum tipo de
solicitao.
Inform: pacotes inform so enviados para informar a estao de gerenciamento sobre eventuais eventos, e aguardar uma
resposta. A notifcao Inform somente utilizada com o SNMP v3 e possui uma maior segurana comparado ao Trap.
Nesta pgina, voc pode confgurar as notifcaes da funo SNMP.
Escolha o menu SNMP Notifcation Notifcation para carregar a seguinte pgina:
Notifcation
136
As seguintes opes so apresentadas na tela:
Create notifcation
IP address: digite o endereo da estao de gerenciamento SNMP.
UDP port: digite o nmero da porta UDP usada para enviar notifcaes. Padro 162.
User: digite o nome de usurio da estao de gerenciamento.
Security model: selecione a verso do protocolo SNMP.
Security level: selecione o nvel de segurana para grupos SNMPv3.
noAuthNoPriv: este nvel de segurana no realiza autenticao e criptografa.
authNoPriv: este nvel de segurana realiza autenticao porm no realiza criptografa.
AuthPriv: este nvel de segurana realiza autenticao e criptografa.
Type: selecione o tipo de notifcao.
Trap: indica que o tipo de notifcao utilizada a Trap.
Inform: indica que o tipo de notifcao utilizada a Inform. O tipo Inform tem uma maior segurana em relao
ao tipo Trap.
Retry: indica a quantidade de vezes que o switch reenvia uma solicitao inform.
Timeout: especfca um tempo mximo para o switch esperar pela resposta da estao de gerenciamento SNMP
antes de reenviar um pedido.
Notifcation table
Select: selecione a estao de gerenciamento desejado e clique no boto Delete para remover a entrada desejada.
IP address: exibe o endereo IP da estao de gerenciamento SNMP.
UDP port: exibe a porta UDP usada para notifcaes.
User: exibe o nome de usurio da estao de gerenciamento.
Security model: exibe a verso do protocolo SNMP.
Security level: exibe o nvel de segurana do SNMPv3.
Type: exibe o tipo de notifcaes.
Timeout: exibe o tempo mximo para o switch esperar pela resposta da estao de gerenciamento SNMP antes de
reenviar um pedido.
Retry: exibe a quantidade de vezes que o switch reenvia uma solicitao inform.
Operation: clique no boto Edit para realizar modifcaes e no boto Modify para aplicar as alteraes.
12.3. RMON
RMON (Remote Monitoring) baseado na arquitetura SNMP (Simple Network Management Protocol). RMON atual-
mente um padro de gerenciamento de rede usado, defnido pela Internet Engineering Task Force (IETF), utilizado princi-
palmente para monitorar o trfego de dados atravs de uma segmento de rede ou at mesmo de toda a rede, de modo a
permitir que o administrador da rede possa tomar as medidas de proteo a tempo de evitar qualquer mau funcionamento
da rede. Alm disso, as MIB RMON registram informaes estatsticas de desempenho da rede e mau funcionamento
periodicamente, com base no que as estaes de gerenciamento podem monitorar. RMON til para administradores de
rede, para gerenciar a rede em grande escala, uma vez que reduz o trfego de comunicao entre as estaes de geren-
ciamento e os agentes de gerenciamento.
RMON Group
Este switch suporta os seguintes grupos de RMON defnidos no padro RMON (RFC1757), History Group, Event Group,
Statistic Group e Alarm Group.
137
RMON Group Function
History Group
Depois que um History Group est confgurado, o switch coleta e registra informaes estatsticas de rede periodicamente,
com base no que as estaes de gerenciamento podem informar de forma efcaz.
Event Group Grupos de eventos so utilizados para defnir eventos RMON. Alarmes ocorrem quando um evento detectado.
Statistic Group Estatsticas de grupo defnida para monitorar a estatstica das variveis de alarme nas portas especifcas.
Alarm Group
Grupos de alarmes so confgurados para monitorar as variveis de alarmes especfcos. Quando o valor de uma varivel
controlada exceder o valor limite, um evento de alarme gerado.
Os grupos RMON podem ser confgurados em History Control, Event Confg e Alarm Confg.
History control
Nesta pgina voc pode confgurar o grupo History da funo RMON.
Escolha o menu SNMP RMON History Control para carregar a pgina seguinte:
Grupo History
History control table
Select: selecione a entrada desejada para confgurao.
Index: exibe o ndice da entrada.
Port: selecione a porta desejada.
Interval: especifque o intervalo de coleta das amostras.
Owner: digite o nome do dispositivo ou usurio que defniu a regra.
Status: selecione Enable/Disable para habilitar ou desabilitar a entrada correspondente.
Event confg
Nesta pgina voc pode confgurar o grupo Event da funo RMON.
Escolha o menu SNMP RMON Event Confg para carregar a pgina seguinte:
138
As seguintes opes so apresentadas na tela:
Event table
Select: selecione a entrada desejada para confgurao.
Index: exibe o ndice.
User: digite o nome do usurio ou a comunidade a qual pertence o evento.
Description: digite uma descrio para identifcao.
Type: selecione o tipo de evento.
None: nenhum processamento.
Log: evento de Login.
Notify: envio de mensagens Trap para a estao de gerenciamento.
Log&Notify: registra eventos e envia mensagens Trap para a estao de gerenciamento.
Owner: digite o nome do dispositivo ou usurio que defniu regra.
Status: selecione Enable/Disable para habilitar ou desabilitar o evento correspondente.
Alarm confg
Nesta pgina voc pode confgurar os grupos Statistics e Alarm da funo RMON.
Escolha o menu SNMP RMON Alarm Confg para carregar a seguinte pgina:
Grupo Alarm
Grupo Event
139
Network
administrator
10.90.90.100
Network
Member switch
Member switch
Member switch
Member switch
Candidate switch
Member switch
Commande switch
10.90.90.1
Topologia Cluster
As seguintes opes so apresentadas na tela:
Alarm table
Select: selecione a entrada desejada para confgurao.
Index: exibe o ndice da entrada.
Variable: selecione as variveis na lista.
Port: selecione a porta a qual a regra de alarme est associada.
Sample type: especifque o mtodo de amostragem para a varivel selecionada para comparar os valores entre os limites.
Absolute: compara os valores diretamente com os limites no fnal do intervalo de amostragem.
Delta: subtrai o ltimo valor amostrado a partir do valor atual. A diferena nos valores comparada como limite
Rising threshold: digite o valor para o contador disparar o alarme caso este valor seja excedido.
Rising event: selecione o ndice do evento correspondente, que ser acionado se o valor amostrado for maior que
o Rising Threshold.
Falling threshold: digite o valor para o contador disparar o alarme caso esse valor seja menor que o especifcado.
Falling event: selecione o ndice do evento correspondente, que ser acionado se o valor amostrado for menor que
o Falling Threshold.
Alarm type: especifque o tipo de alarme.
All: o evento ser acionado se o valor amostrado ultrapassar o Rising Threshold ou estiver abaixo do Falling
Threshold.
Rising: quando o valor amostrado exceder o limite de Rising Threshold, um evento de alarme ser acionado.
Falling: quando o valor amostrado estiver abaixo do valor especifcado no Falling Threshold, um evento de alarme
ser acionado.
Interval: digite o intervalo de tempo de alarme em segundos.
Owner: digite o nome do dispositivo ou usurio que defniu a entrada.
Status: selecione Enable/Disable para habilitar ou desabilitar a regra correspondente.
Obs.: quando as variveis excedem o limite de alarme continuamente, um evento de alarme ser gerado somente na
primeira vez.
13. Cluster
Com o desenvolvimento das tecnologias, as redes foram ganhando grandes propores, tornando-se necessrio o aumen-
to da quantidade de dispositivos e difcultando ainda mais a gesto destas redes. A funo Gerenciamento de Cluster pode
resolver esta questo. O administrador pode gerenciar e manter os switches no Cluster atravs do Commander Switch
(Switch Principal). Este switch gerencia os demais switches da rede.
A seguir exibida uma topologia de cluster:
140
Cluster Role
De acordo com as suas funes e status, o cluster de switches desempenham papis diferentes. Voc pode estabelecer a
funo que o switch dever exercer.
Commander switch: indica que o switch pode confgurar e gerenciar todos os dispositivos atravs do cluster. Descobre
e determina quais os switches que esto presentes na rede atravs das informaes coletadas pelos protocolos NDP
(Neighbor Discovery Protocol) e NTDP (Neighbor Topology Discovery Protocol).
Member switch: indica os dispositivos gerenciados pelo Cluster.
Candidate switch: indica quais dispositivos no pertencem ao Cluster. Estes dispositivos podem ser includos no grupo.
Individual switch: indica o dispositivo com a funo de cluster desativada.
As funes podem ser trocadas de um switch para o outro, seguindo as regras estabelecidas.
O switch que voc criar o cluster ser o Commander Switch (Switch Principal).
O Commander Switch (Switch Principal) descobre e determina quais os switches que esto presentes na rede atravs de
determinados protocolos.
Aps ser adicionado ao cluster, o switch torna-se candidato a ser membro do grupo.
Depois de ser removido do cluster, o switch volta a ser candidato a membro do grupo.
O Commander Switch passa a ser o nico candidato quando o cluster excludo.
Introduo ao Cluster: as funes do Cluster para confgurar e gerenciar os switches funcionam atravs de trs pro-
tocolos: NDP (Neighbor Dis covery Protocol), NTDP (Neighbor Topology Discovery Protocol) e CMP (Cluster Management
Protocol).
NDP: os switches utilizam o NDP para coletar informaes dos demais switches diretamente conectados, incluindo
verso de Software, hostname, endereo MAC e numero da porta conectada.
NTDP: os switches utilizam o NTDP para coletar informaes dos demais switches como saltos, informaes da topologia
e dispositivos com NTDP ativo.
CMP: protocolo utilizado pelo commander switch (Switch Principal) para gerenciamento dos switches dentro do cluster.
Obs.: O switch SF 2842 MR no pode ser confgurado como commander switch (Switch Principal) para gerenciar demais
switches em cluster.
13.1. NDP
Os Switches utilizam o NDP para coletar informaes dos demais switches diretamente conectados, incluindo verso de
software, hostname, endereo MAC e numero da porta conectada. O switch principal mantm uma tabela com estas in-
formaes. Caso sejam adicionados mais dispositivos na rede, o NDP coleta os dados e inclui na tabela. Caso seja retirado
algum dispositivo, o NDP atualizar a tabela, removendo os dados do dispositivo antigo.
Esta funo pode ser implementada nas pginas Neighbor Info, NDP Summary e NDP Confg.
Neighbor info
Nesta pgina voc pode visualizar as informaes coletadas pelo NDP de um switch:
Escolha o menu Cluster NDP Neighbor Info para carregar a seguinte pgina:
Informaes dos vizinhos
141
As seguintes opes so exibidas na tela:
Neighbor Search
Search Option: selecione a informao desejada. Em seguida, clique no boto Search para exibir as informaes da
tabela.
Neighbor Info
Native Port: exibe o nmero da porta do switch.
Remote Port: exibe o nmero da porta que o switch est conectado na rede.
Device Name: exibe o nome do switch conectado na rede.
Device MAC: exibe o endereo MAC do switch conectado na rede.
Firmware Version: exibe a verso do frmware do switch conectado na rede.
Aging Time: exibe o perodo que o switch principal manter a as informaes do switch conectado rede.
NDP summary
Nesta pgina voc visualizar a confgurao do NDP do switch.
Escolha o menu Cluster NDP NDP Summary para carregar a seguinte pgina:
Estatsticas NDP
As seguintes opes so exibidas na tela:
Global confg
NDP: exibe o status do NDP (Ativado/Desativado).
Aging time: exibe o perodo que ser mantido os pacotes de informaes de um switch conectado a rede.
Hello time: exibe o perodo de coleta das informaes dos dispositivos conectados da rede.
Port status
Port: exibe o nmero da porta do switch.
NDP: exibe o status do NDP (Ativado/Desativado) na porta desejada.
142
As seguintes opes so exibidas na tela:
Global confg
NDP: selecione o status do NDP (Ativado/Desativado).
Aging time: digite o perodo que ser mantido os pacotes de informaes de um switch conectado a rede.
Hello time: digite o intervalo para coleta de informaes da rede atravs do NDP.
Port confg
Select: selecione a porta que deseja habilitar o NDP.
Port: exibe o nmero da porta do switch.
NDP: exibe o status do NDP (Ativado/Desativado) na porta desejada.
Enable: habilita o NDP para a porta selecionada.
Disable: desabilita o NDP para a porta selecionada.
Obs.: A funo NDP efcaz somente quando a funo est habilitada para a porta selecionada.
O Aging Time deve ser preenchido para que a informao da tabela do dispositivo conectado rede no fque
instvel.
Confgurao NDP
Send NDP packets: exibe a contagem de pacotes NDP enviados.
Receive NDP packets: exibe a contagem de pacotes NDP recebidos.
Error NDP packets: exibe a contagem de pacotes de erro NDP recebidos.
Neighbors: exibe a contagem de dispositivos conectados a rede.
Detail: exibe as informaes completa coletada pela porta.
NDP confg
Nesta pgina voc pode confgurar a funo NDP.
Escolha o menu Cluster NDP NDP Confg para carregar a seguinte pgina:
143
13.2. NTDP
Os switches utilizam o NTDP para coletar informaes dos demais switches conectados rede como saltos, informaes
da topologia e dispositivos com NTDP ativo.
NTDP hop delay: indica o tempo de resposta entre a solicitao do switch principal e o recebimento dos pacotes infor-
mando os saltos dos dispositivos conectados rede.
NTDP port delay: indica o tempo de resposta entre a porta que solicita os pacotes do switch principal e o recebimento
dos pacotes enviados pelos switches conectados diretamente rede.
A funo NTDP pode ser implementada na pgina Device Table, NTDP Summary e NTDP Comft.
Device table
Nesta pgina voc pode visualizar as informaes dos switches conectados diretamente s redes, coletadas atravs do
NTDP. No importa se o Cluster est estabelecido. Voc pode receber as informaes NTDP a qualquer momento para
gerenciar estes dispositivos.
Selecione o menu Cluster NTDP Device Table para carregar a seguinte pgina:
As seguintes opes so exibidas na tela:
Device table
Device type: exibe a descrio coletada do dispositivo atravs do NTDP.
Device MAC: exibe o endereo MAC do dispositivo.
Cluster name: exibe o nome do Cluster do dispositivo.
Role: exibe a funo que o dispositivo reproduz no cluster.
Commander Switch (switch principal): indica o dispositivo que pode confgurar e gerenciar todos os dispositivos
no Cluster.
Member: indica o dispositivo que membro do Cluster.
Candidate: indica os dispositivos que no esto includos no Cluster. Ser possvel adicionar.
Individual: indica os dispositivos que esto com a funo de Cluster desativada.
Hops: exibe a contagem de saltos do dispositivo at o Switch Principal.
Neighbor info: clique no boto Detail para visualizar todas as informaes dos dispositivos.
Collect topology: clique em Collect Topology para o NTDP coletar as informaes dos switches e de sua topologia de
re mais recente.
Clique no boto Detail para visualizar todas as informaes dos dispositivos.
Tabela de dispositivos
144
NTDP summary
Nesta pgina voc pode visualizar a confgurao do NTDP.
Escolha o menu Cluster NTDP NTDP Summary para carregar a seguinte pgina:
Sumrio NTDP
Informaes do dispositivo corrente
145
Global Confg
NTDP: exibe o status do NTDP Habilitado / Desabilitado.
NTDP interval time: exibe o intervalo de tempo para coletar as informaes de topologia.
NTDP hops: exibe a contagem de saltos da topologia coletada.
NTDP hop delay: indica o tempo de resposta entre a solicitao do switch principal e o recebimento dos pacotes
informando os saltos dos dispositivos conectados rede.
NTDP port delay: indica o tempo de resposta entre a porta de solicitao de pacotes do switch principal e o recebi-
mento dos pacotes enviados pelos switches conectados diretamente rede.
Port status
Port: exibe o nmero da porta do switch.
NTDP: exibe o status do NTDP Habilitado / Desabilitado desejada.
NTDP confg
Nesta pgina voc pode confgurar o NTDP.
Escolha o menu Cluster NTDP NTDP Confg para carregar a seguinte pgina:
As seguintes opes so exibidas na tela:
Global confg
NTDP: selecione Habilitado / Desabilitado.
NTDP interval time: selecione o intervalo de tempo para coleta de informaes da topologia da rede.
NTDP hops: digite a contagem de saltos coletados na topologia.
NTDP hop delay: digite o tempo de resposta entre a solicitao do switch principal e o recebimento dos pacotes
informando os saltos dos dispositivos conectados rede.
Confgurao NTDP
146
As seguintes opes so exibidas na tela:
Global confg
Cluster: exibe o status do Cluster Habilitado ou Desabilitado.
Cluster role: exibe a funo do switch no Cluster.
Para o switch confgurado como Member, a seguinte pgina ser exibida:
Status do switch Candidate
Status do switch Member
NTDP port delay: indique o tempo de resposta entre a porta de solicitao de pacotes do switch principal e o recebi-
mento dos pacotes enviados pelos switches conectados diretamente rede.
Port confg
Select: selecione a porta desejada para ativar o NDTP.
Port: exibe o nmero da porta do switch.
NTDP: exibe o status Habilitado / Desabilitado do NTDP.
Enable: clique em Enable para ativar a funo NTDP para a porta selecionada.
Disable: clique em Disable para desativar a funo NTDP para a porta selecionada.
Obs.: a funo NTDP efcaz somente quando a funo est habilitada para a porta selecionada.
13.3. Cluster
Um commander switch (Switch Principal) capaz de reconhecer e adicionar os switches que esto diretamente conec-
tados s redes.
A funo de Cluster pode ser implementada na pgina Cluster Summary e Cluster Confg.
Cluster summary
Nesta pgina voc pode visualizar o status do Cluster corrente.
Escolha o menu Cluster Cluster Cluster Summary para carregar as seguintes pginas:
Para o switch confgurado como Candidate, a pgina apresenta o seguinte.
147
As seguintes opes so exibidas na tela:
Global confg
Cluster: exibe o status do Cluster (Ativado ou Desativado).
Cluster role: exibe a funo do switch no Cluster.
Cluster name: exibe o nome do Cluster do qual o switch pertence.
Commander MAC: exibe o endereo MAC do Commander Switch (Switch Principal).
Para o switch confgurado como Individual, a seguinte pgina ser exibida:
As seguintes opes so exibidas na tela:
Global confg
Cluster: exibe o status do Cluster Habilitado ou Desabilitado.
Cluster role: exibe a funo do switch no Cluster.
Cluster confg
Nesta pgina voc pode confgurar a funo do switch no Cluster
Escolha o menu Cluster Cluster Cluster Confg para carregar a seguinte pgina:
Para o switch confgurado como Candidate, a pgina ser a seguinte:
Status do switch Individual
As seguintes opes so exibidas na tela:
Current role
Role: exibe a funo atual do switch no Cluster.
Role change
Individual: ao clicar em Apply, o switch mudar sua funo para Individual.
Para o switch confgurado como Individual, a pgina exibe o seguinte:
Confgurao de Cluster para switch Candidate
148
As seguintes opes so exibidas na tela:
Current role
Role: exibe a funo atual do switch no Cluster.
Role change
Candidate: ao clicar em Apply, o switch mudar sua funo para Candidate.
13.4. Exemplo de aplicao da funo Cluster
Requisitos de rede
Trs switches formam um Cluster. Um ser o Commander Switch (Switch Principal) e dois sero membros. O administrador
gerencia todos os switches do Cluster atravs do Commander Switch (Switch Principal).
Na porta 1 do Commander Switch (Switch Principal) conecta-se a rede externa, na porta 2 conecta-se ao switch membro
1 e na porta 3 o switch membro 2.
IP Pool: 175.128.0.1, Mscara: 255.255.255.0
Diagrama da rede
Network
Network
admionistrator
Port 1
Port 1 Port 1
Cluster
175.128.0.1
255.255.255.0
Member switch 1
00-00-00-22-22-22
Member switch 2
00-00-00-33-33-33
Member switch 2
00-00-00-11-11-11
Port 3 Port 2
Confgurao de Cluster para switch Individual
Aplicao da funo Cluster
Procedimento de confgurao
Confgurao do membro switch:
Step Operation Description
1 Habilite (Enable) a funo NDP no switch para a porta1. Na pgina ClusterNDPNDP Confg habilite a funo NDP.
2 Habilite a funo NTDP no switch para a porta 1. Na pgina ClusterNTDPNTDP Confg Habilite a funo NTDP.
149
Confgurao do Commander Switch (Switch Principal):
Step Operation Description
1 Habilite a funo NDP no switch para as portas 1,2 e 3. Na pgina ClusterNDPNDP Confg Habilite a funo NDP.
2 Habilite a funo NTDP no switch para as portas 1,2 e 3. Na pgina ClusterNTDPNTDP Confg habilite a funo NTDP.
3 Crie um Cluster e confgure os parmetros relacionados.
Na pgina ClusterClusterCluster Confg confgure Role
como Commander Switch (Switch Principal) e insira as informaes
relacionadas.
IP pool: 175.128.0.1
Mask: 255.255.255.0
4 Confgurao do switch membro.
Na pgina ClusterClusterMember Confg, selecione o switch
membro e clique em Manage para logar em sua web de gerenciamento.
14. Maintenance
No menu Maintenance possvel utilizar ferramentas para o diagnstico da rede, fornecendo mtodos para localizao
e soluo de problemas.
1. System Monitor: monitora o status de utilizao da memria e da CPU do switch.
2. Log: verifca os parmetros de confgurao do switch para descoberta de eventuais erros.
3. Cable Test: testa o status da conexo do cabo para localizar e diagnosticar problemas da rede.
4. Loopback: testa se as portas do switch e seu dispositivo conectado esto disponveis.
5. Network Diagnose: testa se o dispositivo de destino alcanvel e detecta os saltos a partir do switch at o dispositivo
de destino.
14.1. System monitor
A funo System Monitor exibe o status de utilizao da memria e da CPU do switch atravs do grfco de dados. A
taxa de utilizao da CPU e a taxa de utilizao da memria devem apresentar-se de forma estvel em torno de um valor
especfco. Se a taxa de utilizao da CPU ou a taxa de utilizao da memria aumentar muito, por favor, verifque se a
rede est sendo atacada.
A funo System Monitor confgurada em CPU Monitor e Memory Monitor
CPU monitor
Escolha o menu Maintenance System Monitor CPU Monitor para carregar a pgina seguinte.
Monitoramento da CPU
150
Clique no boto Monitor para habilitar a funo, o switch ir monitorar e exibir sua taxa de utilizao da CPU a cada
quatro segundos.
Memory monitor
Escolha o menu Maintenance System Monitor Memory Monitor para carregar a seguinte pgina:
Clique no boto Monitor para habilitar a funo, o switch ir monitorar e exibir sua taxa de utilizao da memria a cada
quatro segundos.
14.2. Log
O sistema de Log do switch pode registrar, classifcar e gerenciar as informaes do sistema de forma efcaz, fornecendo
um poderoso suporte para administrao de redes, monitorando a operao da rede e diagnosticando avarias.
Os logs do switch so classifcados nos seguintes nveis.
Gravidade Nvel Descrio
emergencies 0 O sistema est inutilizvel
alerts 1 Devem ser tomadas medidas imediatamente
critical 2 Condies crticas
errors 3 Condies de erro
warnings 4 Condies de alerta
notifcations 5 Condies normais, mas signifcativas.
informational 6 Informaes de mensagens
debugging 7 Nvel de depurao de mensagens
A funo Log confgurada em Log Table, Local Log, Remote Log e Backup Log.
Log table
O switch suporta dois meios para realizao de Log, Log Buffer e Log File. As informaes armazenadas em Buffer sero
perdidas se o switch for reinicializado ou desligado, enquanto as informaes no Log Dile sero mantidas.
Escolha o menu Maintenance Log Log Table para carregar a seguinte pgina:
Monitoramento da memria
151
Tabela de Logs
As seguintes informaes so exibidas na tela:
Log info
Index: exibe o ndice da informao de Log.
Time: exibe o momento em que o evento de Log ocorreu. O registro pode obter a hora correta aps confgurado a
funo System Time: System System Info System Time.
Module: exibe o mdulo que as informaes de Log pertencem.
Severity: exibe o nvel da criticidade das informaes.
Content: exibe o contedo das informaes de Log.
Obs.: Os registros de Logs so classifcados em oito nveis de criticidade. Quanto maior a criticidade da informao,
menor o nmero Severity.
Esta pgina exibe os Logs no Buffer de Log. So exibidos no mximo 512 registros.
Local Log
Local Log a informao de log salva no prprio switch. Por padro, todos os logs de sistemas so salvos no Log Buffer
e os logs com criticidade de nvel 0 at o nvel 4 so salvos no Log File. Nesta pgina voc pode defnir o canal de sada
para Logs.
Escolha o menu Maintenance Log Local Log para carregar a seguinte pgina:
Local Log
152
As seguintes informaes so apresentadas na tela:
Local Log confg
Select: selecione o canal correspondente para a confgurao do Local Log.
Log buffer: indica que os Logs sero salvos na memria RAM. As informaes no Buffer de Logs sero exibidas na
pgina Log Table. Estas informaes sero perdidas quando reiniciar o switch.
Log fle: indica que os Logs sero salvos na memria Flash. As informaes contidas no arquivo de Log no sero
perdidas aps o switch reiniciar e podem ser exportadas na pgina de backup de Log.
Severity: selecione o nvel de criticidade da sada de informao de Log para cada canal. Apenas o Log com o nvel
de criticidade igual ou menor ser armazenado.
Status: selecione Enable/Disable para habilitar ou desabilitar a funo de Log Local no canal correspondente.
Remote Log
A funo Remote Log permite que o switch envie os Logs do sistema para um servidor de Log. O servidor de Log serve para
centralizar os Logs do sistema de vrios dispositivos da rede.
Escolha o menu Maintenance Log Remote Log para carregar a seguinte pgina:
Log remoto
As seguintes informaes so exibidas na tela:
Log Host
Select: selecione o ndice desejado para a confgurao do servidor de Log remoto.
Index: exibe o ndice do servidor de Log. possvel confgurar at 4 servidores de Log remoto.
Host IP: digite o endereo IP do servidor de Log.
UDP Port: exibe a porta UDP usada para enviar/receber informaes de Log. Por padro, a porta utilizada 514.
Severity: selecione o nvel de criticidade da informao de log enviada para o servidor de Log. Apenas os logs com
o nvel de criticidade igual ou menor ao selecionado sero enviados.
Backup Log
A funo de Backup Log permite que o sistema registre as informaes de Log do switch em arquivos, para ser feito uma
anlise posteriormente. Quando um erro crtico acontecer e o sistema entrar em colapso, voc pode exportar os Logs aps
o switch ser reiniciado.
Escolha o menu Maintenance Log Backup Log para carregar a seguinte pgina.
153
As seguintes informaes so apresentadas na tela:
Backup Log
Backup Log: clique no boto Backup Log para salvar um arquivo com as informaes de Log no seu computador.
Obs.: levar alguns minutos para fazer o backup do arquivo de Log. Por favor, aguarde sem executar qualquer operao.
14.3. Device diagnose
Esse switch oferece teste de cabo e de loopback para teste de conectividade das portas.
Cable test
A funo Cable Test serve para testar o status da conexo do cabo conectado ao switch, o que facilita a localizar e diag-
nosticar os problemas da rede.
Escolha o menu Maintenance Device Diagnose Cable Test para carregar a seguinte pgina:
Backup de Log
Teste de cabos
154
As seguintes informaes so apresentadas na tela:
Cable test
Port: selecione a porta para testar o cabo.
Pair: exibe o nmero do par.
Status: exibe o status da conexo do cabo conectado porta. Os resultados do teste do cabo incluem: normal,
fechado, aberto ou impedncia.
Length: se o link est normal exibido o comprimento do cabo.
Error: se o link est fechado, aberto ou impedncia exibido o erro de comprimento do cabo.
Obs.: O comprimento exibido o comprimento dos pares interno do cabo, no do cabo fsico em si.
O resultado apenas para sua referncia.
Loopback
A funo Loopback utilizada para testar a disponibilidade e analisar o status de uma porta fsica do switch. Esta funo
auxilia na soluo de problemas na rede.
Escolha o menu Maintenance Device Diagnose Loopback para carregar a pgina.
As seguintes opes so apresentadas na tela:
Loopback Type
Internal: selecione a porta interna que deseja verifcar se est ou no disponvel.
External: selecione a porta externa que deseja verifcar se o dispositivo conectado est ou no disponvel.
Loopback Port
Loopback Port: selecione a porta desejada para teste de loopback.
Test: clique no boto Test para iniciar o teste de loopback na porta.
Loopback
155
14.4. Network diagnose
Esse switch oferece funes de teste de ping e Tracert para um melhor diagnostico da rede.
Ping
A funo Ping testa a conectividade entre o switch e um dispositivo especfco da rede, testando a conectividade entre o
switch e os dispositivos da rede, facilitando a localizao de falhas.
Escolha o menu Maintenance Network Diagnose Ping para carregar a seguinte pgina:
Ping confg
Destination IP: digite o endereo IP do dispositivo de destino para o teste de Ping.
Ping times: digite o tempo que a funo fcar enviando dados.
Data size: digite o tamanho dos pacotes enviados durante o Ping. O valor padro recomendado.
Interval: digite o intervalo de envio das requisies ICMP. O valor padro recomendado.
Tracert
A funo Tracert usada para descobrir o caminho feito pelos pacotes desde a sua origem at o seu destino, informando
todos os gateways percorridos. Ele usado para testes, medidas e gerenciamento da rede. O tracert pode ser utilizado
para detectar falhas como, por exemplo, gateways que descartam pacotes ou rotas que excedem a capacidade de um
datagrama IP.
Escolha o menu Maintenance Network Diagnose Tracert para carregar a pgina seguinte:
Ping
Tracert
156
As seguintes opes so apresentadas na tela:
Tracert confg
Destination IP: digite o endereo IP do dispositivo de destino.
Max hop: digite o nmero mximo de saltos que poder ser feito at chegar ao destino.
15. Restaurando para o padro de fbrica
Para restaurar as confguraes de fbrica do switch, dever ser acessado o menu BootUtil via porta console, conforme
instrues a seguir:
Acessando o menu BootUtil utilizando o Hyper Terminal:
Para exibir a interface de linha de comandos, conecte a extremidade (DB-9 fmea) do cabo console na respectiva porta
serial (COM) do computador e a outra extremidade (RJ45) na porta console (RJ45), localizada no painel frontal do switch.
Abra o software Hyper Terminal com as seguintes confguraes:
Taxa de dados: 38400 bits por segundo.
Formato dos dados: 8 bits de dados, sem paridade e 1 bit de parada.
Controle de fuxo: nenhum.
Para restaurar as confguraes de fbrica do switch, necessrio entrar no menu BootUtil do switch, conforme os passos
a seguir:
1. Com o PC conectado ao switch atravs da porta console, abra o software Hyper Terminal confgurado;
2. Desconecte e conecte o switch da rede eltrica. Quando lhe for pedido que "Pressione CTRL + B para entrar no bootUtil"
no Hyper Terminal, por favor pressione as teclas CTRL + B para acessar o menu bootUtil, conforme imagem a seguir:
Confgurando o Hyper Terminal
157
Menu BootUtil
Reiniciar (para reiniciar o switch com as confguraes de fbrica)
Obs.: o processo entre ligar o switch e pressionar as teclas CRTL + B extremamente rpido, recomendamos que as teclas
CTRL + B sejam pressionadas no momento em que o switch est sendo ligado.
Aps ter acessado o menu BootUtil, realize os seguintes comandos:
Reset (para restaurar o switch com as confguraes de fbrica)
Menu BootUtil - restaurar
Menu BootUtil - reiniciar
158
Termo de garantia
Para a sua comodidade, preencha os dados abaixo, pois, somente com a apresentao deste em conjunto com a nota fscal
de compra do produto, voc poder utilizar os benefcios que lhe so assegurados.
Nome do cliente:
Assinatura do cliente:
N da nota fscal:
Data da compra:
Modelo: N de srie:
Revendedor:
Fica expresso que esta garantia contratual conferida mediante as seguintes condies:
1. Todas as partes, peas e componentes do produto so garantidos contra eventuais defeitos de fabricao que porventura
venham a apresentar, pelo prazo de 3 (trs) anos, sendo este prazo de 3 (trs) meses de garantia legal mais 33 (trinta
e trs) meses de garantia contratual, contado a partir da data de entrega do produto ao Senhor Consumidor, conforme
consta na nota fscal de compra do produto, que parte integrante deste Termo em todo territrio nacional. Esta garantia
contratual implica na troca gratuita das partes, peas e componentes que apresentarem defeito de fabricao, alm da
mo-de-obra utilizada nesse reparo. Caso no seja constatado defeito de fabricao, e sim defeito(s) proveniente(s) de
uso inadequado, o Senhor Consumidor arcar com estas despesas.
2. Constatado o defeito, o Senhor Consumidor dever imediatamente comunicar-se com o Servio Autorizado mais prximo
que consta na relao oferecida pelo fabricante - somente estes esto autorizados a examinar e sanar o defeito durante
o prazo de garantia aqui previsto. Se isto no for respeitado esta garantia perder sua validade, pois o produto ter sido
violado.
3. Na eventualidade do Senhor Consumidor solicitar o atendimento domiciliar, dever encaminhar-se ao Servio Autorizado
mais prximo para consulta da taxa de visita tcnica. Caso seja constatada a necessidade da retirada do produto, as des-
pesas decorrentes, transporte, segurana de ida e volta do produto, fcam sob a responsabilidade do Senhor Consumidor.
4. A garantia perder totalmente sua validade se ocorrer qualquer das hipteses a seguir: a) se o defeito no for de fabrica-
o, mas sim, ter sido causado pelo Senhor Consumidor ou terceiros estranhos ao fabricante; b) se os danos ao produto
forem oriundos de acidentes, sinistros, agentes da natureza (raios, inundaes, desabamentos, etc.), umidade, tenso na
rede eltrica (sobretenso provocada por acidentes ou futuaes excessivas na rede), instalao/uso em desacordo com
o Manual do Usurio ou decorrente do desgaste natural das partes, peas e componentes; c) se o produto tiver sofrido
infuncia de natureza qumica, eletromagntica, eltrica ou animal (insetos, etc.); d) se o nmero de srie do produto
houver sido adulterado ou rasurado; e) se o aparelho houver sido violado.
Sendo estas condies deste Termo de Garantia complementar, a Intelbras S/A reserva-se o direito de alterar as caracters-
ticas gerais, tcnicas e estticas de seus produtos sem aviso prvio.
O processo de fabricao deste produto no est coberto pelo sistema de gesto ambiental da Intelbras.
Todas as imagens deste manual so ilustrativas.
159
eco amigvel
01.12
uma das melhores
empresas para se trabalhar
Suporte a clientes: (48) 2106 0006
Contato e chat: www.intelbras.com.br/suporte
Sugestes, reclamaes e rede autorizada: 0800 7042767
Intelbras S/A Indstria de Telecomunicao Eletrnica Brasileira
Rodovia BR 101, km 213 - rea Industrial - So Jos/SC - 88104-800
www.intelbras.com.br