Você está na página 1de 78

Introduo

Os switches so usados para conectar vrios dispositivos na mesma rede. Em uma


rede projetada corretamente, os switches LAN so responsveis por direcionar e
gerenciar o fluxo de dados na camada de acesso para os recursos em rede.
Os switches Cisco so configurados automaticamente; nenhuma configurao adicional
necessria para que eles funcionem, pois esto prontos para uso. Porm, os
switches Cisco executam o Cisco IOS e podem ser configurados manualmente para
melhor atender s necessidades da rede. Isso inclui o ajuste de velocidade da porta,
largura de banda e requisitos de segurana.
Alm disso, os switches Cisco podem ser gerenciados localmente e remotamente. Para
gerenciar remotamente um switch, ele precisa ter um endereo IP e um gateway
padro configurados. Essas so apenas duas das configuraes discutidas neste
captulo.
Os switches operam na camada de acesso onde os dispositivos de rede do cliente se
conectam diretamente rede e onde os departamentos de TI desejam acesso
descomplicado rede para os usurios. Essa uma das reas mais vulnerveis da
rede porque exposta ao usurio. Os switches devem ser configurados para resistir a
ataques de todos os tipos, enquanto protegem dados do usurio e permitem conexes
de alta velocidade. A segurana de porta um dos recursos de segurana que os
switches gerenciados Cisco oferecem.
Este captulo examina algumas das configuraes bsicas de switch necessrias para
manter um ambiente de LAN comutada seguro e disponvel.

Sequncia de inicializao do switch

Depois que um switch Cisco ligado, ele passa pela seguinte sequncia de
inicializao:
1. Primeiro, o switch carrega um programa power-on self-test (POST) armazenado na
ROM. O POST verifica o subsistema da CPU. Ele testa a CPU, a DRAM e a parte do
dispositivo flash que compe o sistema de arquivos da memria flash.
2. Depois, o switch carrega o software carregador de inicializao. O carregador de
inicializao (boot loader) um programa pequeno armazenado na ROM e executado
imediatamente aps a concluso bem-sucedida do POST.
3. O carregador de inicializao (boot loader) executa a inicializao da CPU em baixo
nvel. Ele inicializa os registros de CPU, que gerenciam onde a memria fsica
mapeada, a quantidade de memria e a velocidade.
4. O carregador de inicializao (boot loader) inicializa o sistema de arquivos da
memria flash na placa do sistema.
5. Finalmente, o carregador de inicializao localiza e carrega uma imagem do software
de sistema operacional IOS padro na memria e passa o controle do switch para o
IOS.
O carregador de inicializao (boot loader) encontra a imagem do Cisco IOS no switch
desta maneira: o switch tenta inicializar automaticamente usando as informaes na
varivel de ambiente BOOT. Se esta varivel no estiver definida, o switch tentar
carregar e executar o primeiro arquivo executvel disponvel, realizando uma pesquisa
recursiva e profunda em todo o sistema de arquivos da memria flash. Em uma
pesquisa aprofundada no diretrio, cada subdiretrio encontrado analisado
totalmente antes de prosseguir para o diretrio original. Nos switches Catalyst 2960
Series, o arquivo de imagem normalmente contido em um diretrio com o mesmo
nome do arquivo de imagem (excluindo a extenso de arquivo .bin).
O sistema operacional IOS inicializa ento as interfaces, usando os comandos do Cisco
IOS encontrados no arquivo de configurao e a configurao de inicializao
armazenada na NVRAM.
Na figura, a varivel de ambiente BOOT definida por meio do comando boot system
do modo de configurao global. Observe que o IOS est localizado em uma pasta
diferente e o caminho da pasta especificado. Use o comando show bootvar (show
boot em verses mais antigas do IOS) para ver como o arquivo de inicializao atual
do IOS est definido.

Recuperao de uma falha do sistema

O carregador de inicializao (boot loader) fornece acesso ao switch se o sistema


operacional no puder ser usado devido ausncia de arquivos de sistema ou falha
destes. O carregador de inicializao (boot loader) possui uma linha de comando que
fornece acesso aos arquivos armazenados na memria flash.
O carregador de inicializao (boot loader) pode ser acessado atravs de uma conexo
de console, de acordo com estas etapas:
Etapa 1. Conecte um PC por cabo de console porta de console do switch. Configure
o software de emulao de terminal para se conectar ao switch.
Etapa 2. Desconecte o cabo de alimentao do switch.
Etapa 3. Reconecte o cabo de alimentao ao switch e, em 15 segundos, pressione e
mantenha pressionado o boto Mode enquanto o LED do sistema ainda estiver
piscando em verde.
Etapa 4. Continue pressionando o boto Mode at que o LED do sistema mude para
amarelo e, quando ele passar a verde; solte o boto Mode.
Etapa 5. O prompt switch: do carregador de inicializao aparecer no software de
emulao de terminal no PC.
A linha de comando boot loader aceita comandos para formatar o sistema de arquivos
flash, reinstalar o software de sistema operacional e recuper-lo no caso de senhas
perdidas ou esquecidas. Por exemplo, o comando dir pode ser usado para exibir uma
lista de arquivos em um diretrio especificado, como mostrado na figura.
Observao: observe que neste exemplo, o IOS est localizado na raiz da pasta da
memria flash.

Indicadores de LED do switch

Os switches Cisco Catalyst possuem vrias luzes LED indicadoras de status. Voc
pode usar os LEDs do switch para monitorar rapidamente a atividade do switch e seu
desempenho. Os switches de diferentes modelos e conjuntos de recursos tero LEDs
diferentes, e sua posio no painel frontal do switch tambm poder variar.
A figura mostra os LEDs do switch e o boto Mode (Modo) de um switch Cisco Catalyst
2960. O boto Mode usado para alternar entre o status da porta, o duplex da porta, a
velocidade da porta e o status do PoE (se suportado) dos LEDs de porta. O texto a
seguir descreve a finalidade dos indicadores de LED e o significado das cores:

LED do sistema - Mostra se a fonte de alimentao do sistema est recebendo energia


e funcionando corretamente. Se o LED estiver apagado, significa que o sistema no
est ligado. Se o LED estiver verde, o sistema est operando normalmente. Se o LED
estiver amarelo, o sistema est recebendo energia, mas no est funcionando
corretamente.

LED de Redundant Power System (RPS) - mostra o status do RPS. Se o LED estiver
apagado, o RPS est desativado ou no foi conectado corretamente. Se o LED estiver
verde, o RPS est conectado e pronto para fornecer energia reserva. Se o LED estiver
piscando em verde, o RPS est conectado mas no est disponvel porque est
fornecendo energia para outro dispositivo. Se o LED estiver amarelo, o RPS est no
modo de espera ou em uma condio de falha. Se o LED estiver piscando em amarelo,
a fonte de alimentao interna no switch falhou e o RPS est fornecendo energia.

LED do status da porta - indica que o modo de status da porta est selecionado
quando o LED fica verde. Este o modo padro. Quando selecionado, os LEDs de
porta exibiro cores com significados diferentes. Se o LED estiver apagado, no h
nenhum link ou a porta foi desativada administrativamente. Se o LED ficar verde, um
link est presente. Se o LED estiver piscando em verde, existe atividade e a porta est
enviando ou recebendo dados. Se o LED ficar alternando entre verde e amarelo, h
uma falha do link. Se o LED estiver amarelo, a porta est bloqueada para garantir que
no exista nenhum loop no domnio de encaminhamento e que este no esteja
enviando dados (normalmente, as portas permanecero nesse estado por
aproximadamente 30 segundos aps serem ativadas). Se o LED estiver piscando na cor
amarela, a porta est bloqueada para evitar um possvel loop no domnio de
encaminhamento.

LED de duplex da porta - indica que o modo duplex da porta est selecionado quando
o LED fica verde. Quando selecionados, os LEDs de porta que esto apagados ficam
em modo half-duplex. Se o LED de porta estiver verde, a porta est no modo full-duplex.

LED de velocidade da porta - indica que o modo de velocidade de porta est


selecionado. Quando selecionado, os LEDs de porta exibiro cores com significados
diferentes. Se o LED estiver apagado, a porta est operando a 10 Mb/s. Se o LED
estiver verde, a porta est operando a 100 Mb/s. Se o LED estiver piscando em verde, a
porta est operando a 1.000 Mb/s.

LED do modo Power over Ethernet (PoE) - se PoE for suportado, um LED de modo
PoE estar presente. Se o LED estiver apagado, isso indica que o modo PoE no est
selecionado e que nenhuma das portas ficou sem energia nem foi colocada em
condio de falha. Se o LED estiver piscando na cor amarelo, o modo PoE no est

selecionado, mas houve recusa de energia a pelo menos uma das portas ou ocorreu
uma falha de PoE. Se o LED estiver verde, o modo PoE est selecionado e os LEDs de
porta exibiro cores com significados diferentes. Se o LED de porta estiver apagado, o
PoE estar desativado. Se o LED de porta estiver verde, PoE estar ativado. Se o LED
de porta alternar entre verde e amarelo, o PoE foi recusado porque o fornecimento de
alimentao ao dispositivo alimentado exceder a capacidade de alimentao do
switch. Se o LED estiver piscando na cor amarela, o PoE est desativado devido a uma
falha. Se o LED estiver amarelo, o PoE da porta foi desativado.

Preparao para o gerenciamento bsico do switch

Para preparar um switch para acesso de gerenciamento remoto, o switch precisa ser
configurado com um endereo IP e uma mscara de sub-rede. Lembre-se de que, para
gerenciar o switch de uma rede remota, o switch precisa ser configurado com um
gateway padro. Isso muito similar a configurar informaes de endereo IP em
dispositivos host. Na figura, a interface virtual do switch (SVI) em S1 precisa ter um
endereo IP atribudo a ela. A SVI uma interface virtual, no uma porta fsica no
switch.
A SVI um conceito relativo s VLANs. As VLANs so grupos lgicos numerados aos
quais as portas fsicas podem ser atribudas. As configuraes e as definies
aplicadas a uma VLAN tambm so aplicadas a todas as portas atribudas a essa
VLAN.
Por padro, o switch configurado para ter gerenciamento do switch controlado por
meio da VLAN 1. Por padro, todas as portas so atribudas VLAN 1. Para fins de
segurana, a prtica recomendada consiste em usar uma VLAN diferente da VLAN 1
para a VLAN de gerenciamento.
Observe que essas configuraes de IP destinam-se apenas a acesso de
gerenciamento remoto ao switch; as configuraes de IP no permitem que o switch
roteie pacotes de camada 3.

Configurao de acesso de gerenciamento bsico de switch com IPv4

Etapa 1. Configurar a interface de gerenciamento


Um endereo IP e mscara de sub-rede so configurados na SVI de gerenciamento do
switch no modo de configurao da interface de VLAN. Como mostrado na figura 1, o
comando interface vlan 99 usado para entrar no modo de configurao da interface.
O comando ip address usado para configurar o endereo IP. O comando no
shutdown ativa a interface. Neste exemplo, a VLAN 99 configurada com o endereo
IP 172.17.99.11.
A SVI da VLAN 99 no aparecer como up/up at que a VLAN 99 seja criada e haja
um dispositivo conectado a uma porta de switch associada VLAN 99. Para criar uma
VLAN com vlan_id 99 e associ-la a uma interface, use os seguintes comandos:
S1(config)# vlan vlan_id
S1(config-vlan)# name vlan_name
S1(config-vlan)# exit
S1(config)# interface interface_id
S1(config-if)# switchport access vlan vlan_id
Etapa 2. Configurar gateway padro
O switch deve ser configurado com um gateway padro se for gerenciado remotamente
a partir de redes que no esto diretamente conectadas. O gateway padro o
roteador ao qual o switch est conectado. O switch encaminha seus pacotes IP com
endereos IP destino fora da rede local para o gateway padro. Como mostrado na
figura 2, R1 o gateway padro de S1. A interface de R1 conectada ao switch possui
endereo IP 172.17.99.1. Esse endereo o endereo de gateway padro para S1.
Para configurar o gateway padro para o switch, use o comando ip default-gateway.
Digite o endereo IP do gateway padro. O gateway padro o endereo IP da
interface do roteador ao qual o switch est conectado. Use o comando copy runningconfig startup-config para salvar a nova configurao.
Etapa 3. Verifique a configurao
Como mostrado na figura 3, o comando show ip interface brief til para determinar
o status das interfaces fsicas e virtuais. A sada mostrada confirma que a interface
VLAN 99 foi configurada com um endereo IP e uma mscara de sub-rede, e que est
operacional.

Comunicao duplex

A figura ilustra a comunicao full-duplex e a half-duplex.


A comunicao full-duplex melhora o desempenho de uma LAN comutada. A
comunicao full-duplex aumenta a largura de banda efetiva, permitindo que as duas
extremidades de uma conexo transmitam e recebam dados simultaneamente. Ela
tambm conhecida como bidirecional. Esse mtodo de otimizao de desempenho
da rede exige a microssegmentao. A LAN microssegmentada criada quando uma
porta do switch tem apenas um dispositivo conectado e est operando em full-duplex.
O resultado um domnio de coliso micro de um nico dispositivo. Contudo, como h
apenas um dispositivo conectado, uma LAN microssegmentada est livre de colises.
Diferentemente de uma comunicao full-duplex, a comunicao half-duplex
unidirecional. O envio e o recebimento de dados no ocorrem ao mesmo tempo. A
comunicao half-duplex cria problemas de desempenho, pois os dados podem fluir
em apenas uma direo de cada vez, o que geralmente causa colises. As conexes
em half-duplex costumam ser vistas em hardware mais antigos, como hubs. A
comunicao full-duplex substituiu a half-duplex na maioria dos hardwares.
A maioria das placas de rede Ethernet e Fast Ethernet vendidas hoje oferecem a
capacidade full-duplex. Gigabit Ethernet e as NICs de 10 Gb exigem conexes fullduplex para operar. No modo full-duplex, o circuito de deteco de coliso na placa de
rede fica desativado. Os quadros enviados pelos dois dispositivos conectados no
podem colidir porque os dispositivos usam dois circuitos separados no cabo de rede.
As conexes full-duplex exigem um switch que suporte a configurao full-duplex ou
uma conexo direta que use um cabo Ethernet entre dois dispositivos.
A configurao padro de Ethernet baseada em hub e compartilhada normalmente
avaliada em 50 a 60 por cento da largura de banda declarada. O full-duplex oferece
100 por cento de eficincia em ambas as direes (transmisso e recepo). Isso
resulta em um uso potencial de 200 por cento da largura de banda declarada.

Configurar as portas de switch na camada fsica

Velocidade e duplex
As portas podem ser configuradas manualmente com configuraes especficas de
duplex e de velocidade. Use o comando do modo de configurao de interface duplex
para especificar manualmente o modo duplex de uma porta de switch. Use o comando
do modo de configurao de interface speed para especificar manualmente a
velocidade de uma porta de switch. Na figura 1, a porta Fa0/1 nos switches S1 e S2
configurada manualmente com a palavra-chave full para o comando duplex, e a
palavra-chave 100 para o comando speed.
A configurao padro para duplex e velocidade de portas em switches Cisco Catalyst
sries 2960 e 3560 automtica. As portas 10/100/1.000 operam no modo half ou fullduplex quando so definidas como 10 ou 100 Mb/s, mas quando definidas como 1.000
Mb/s (1 Gb/s), elas operam apenas no modo full-duplex. A negociao automtica til
quando as configuraes de velocidade e duplex do dispositivo que se conecta porta
so desconhecidas ou podem mudar. Ao se conectar a dispositivos conhecidos, como
servidores, estaes de trabalho dedicadas ou dispositivos de rede, a prtica
recomendada definir manualmente as configuraes de velocidade e duplex.
Ao identificar e solucionar problemas na porta do switch, necessrio verificar as
configuraes de duplex e de velocidade.
Observao: as configuraes incompatveis do modo duplex e da velocidade das
portas de switches podem causar problemas de conectividade. A falha de negociao
automtica cria configuraes incompatveis.
Todas as portas de fibra tica, como as portas 100BASE-FX, operam apenas em uma
velocidade predefinida e so sempre full-duplex.
Use o Verificador de Sintaxe na figura 2 para configurar a porta Fa0/1 do switch S1.

MDIX automtico

At recentemente, certos tipos de cabo (diretos ou cruzados) eram necessrios para


conectar dispositivos. As conexes de switch para switch ou de switch para roteador
exigiam o uso de cabos Ethernet diferentes. O uso do recurso de MDIX automtico em
uma interface elimina esse problema. Quando o MDIX automtico est ativado, a
interface detecta automaticamente o tipo de conexo necessria para o cabo (direta ou
cruzado) e configura a conexo apropriadamente. Na conexo de switches sem o
recurso de MDIX automtico, os cabos diretos devem ser usados para conexes com
dispositivos como servidores, estaes de trabalho ou roteadores, e os cabos cruzados
devem ser usados para conexes com outros switches ou repetidores.
Com o MDIX automtico ativado, qualquer tipo de cabo pode ser usado para conectar a
outros dispositivos e a interface se ajusta automaticamente para uma comunicao
bem-sucedida. Em roteadores e switches Cisco mais recentes, o comando do modo de
configurao de interface mdix auto ativa o recurso. Ao usar MDIX automtico em uma
interface, a velocidade e o duplex da interface devem ser configurados como auto, de
modo que o recurso funcione corretamente.
Os comandos para ativar o MDIX automtico so mostrados na figura 1.
Observao: o recurso MDIX automtico ativado por padro nos switches Catalyst
2960 e Catalyst 3560, mas no est disponvel nos switches mais antigos Catalyst
2950 e Catalyst 3550.
Para examinar a configurao do MDIX automtico para uma interface especfica, use
o comando show controllers ethernet-controller com a palavra-chave phy. Para
limitar a sada s linhas que referenciem o MDIX automtico, use o filtro include AutoMDIX. Como mostrado na figura 2, a sada indicar On (Ativado) ou Off (Desativado)
para o recurso.
Use o Verificador de Sintaxe na figura 3 para configurar a interface FastEthernet 0/1 em
S2 como MDIX automtico.

Verificar a configurao da porta do


switch
A figura 1 descreve algumas das opes do comando show que so teis para verificar
recursos normalmente configurveis do switch.
A figura 2 mostra o exemplo de sada abreviada do comando show running-config.
Use este comando para verificar se o switch foi configurado corretamente. Conforme
visto na sada da S1, algumas informaes fundamentais so mostradas:

A interface Fast Ethernet 0/18 configurada com a VLAN de gerenciamento 99

A VLAN 99 configurada com um endereo IP 172.17.99.11 255.255.255.0

Gateway padro configurado como 172.17.99.1

O comando show interfaces outro comando de uso geral, que exibe informaes de
status e estatsticas sobre as interfaces de rede do switch. O comando show
interfaces frequentemente usado ao se configurar e monitorar dispositivos de rede.
A figura 3 mostra a sada do comando show interfaces fastEthernet 0/18. A primeira
linha na figura indica que a interface FastEthernet 0/18 est up/up, o que significa que
ela est operacional. Mais adiante, a sada mostra que o modo duplex full e a
velocidade 100 Mb/s.

Problemas da camada de acesso rede


A sada do comando show interfaces pode ser usada para detectar problemas
comuns de meio fsico. Uma das partes importantes desta sada a exibio do status
da linha e do protocolo de enlace de dados. A figura 1 exibe a linha de resumo para
verificar o status de uma interface.
O primeiro parmetro (FastEthernet0/1 is up) se refere camada de hardware e
basicamente indica se a interface est recebendo o sinal de deteco da operadora da
outra extremidade. O segundo parmetro (line protocol is up) se refere camada de
enlace de dados e indica se os protocolos keepalive da camada de enlace de dados
esto sendo recebidos.
Com base na sada do comando show interfaces , possveis problemas podem ser
corrigidos da seguinte maneira:

Se a interface estiver ativa (up) e o protocolo de linha estiver inativo (down),


existe um problema. Pode haver um tipo de incompatibilidade de
encapsulamento, a interface na outra extremidade pode estar desativada devido
a erros ou pode haver um problema com o hardware.

Se o protocolo de linha e a interface estiverem ambos desativados, um cabo no


est conectado ou existem outros problemas de interface. Por exemplo, em uma
conexo back-to-back, a outra extremidade da conexo pode estar
administrativamente inativa.

Se a interface estiver administrativamente inativa, ela foi desabilitada


manualmente (o comando shutdown foi emitido) na configurao ativa.

A figura 2 mostra um exemplo de sada do comando show interfaces. O exemplo


mostra os contadores e as estatsticas da interface FastEthernet0/1.
Alguns erros de mdia no so graves o suficiente para fazer com que o circuito falhe,
mas causam problemas de desempenho da rede. A figura 3 explica alguns desses
erros comuns que podem ser detectados com o uso do comando show interfaces.
Input errors refere-se soma de todos os erros nos datagramas recebidos na
interface que est sendo examinada. Isso inclui contagem de runts, giants, CRC, no
buffer, frame, overrun e ignored Os erros de entrada relatados no comando show
interfaces incluem:

Quadros Runt - quadros Ethernet menores que o mnimo permitido de 64 bytes


so chamados runts. As NICs com mau funcionamento so geralmente a causa
do excesso de quadros runt, mas eles tambm podem ser causados pelos
mesmos problemas que colises excessivas.

Giants - quadros Ethernet maiores que o comprimento mximo permitido so


chamados giants. Os giants so gerados pelos mesmos problemas que causam
os runts.

CRC Erros - na Ethernet e nas interfaces seriais, erros de CRC geralmente


indicam erro de mdia ou cabo. As causas mais comuns incluem interferncia
eltrica, conexes soltas ou danificadas, ou uso de um tipo de cabeamento
incorreto. Se voc vir muitos erros de CRC, h muito rudo no link e voc deve
verificar o comprimento do cabo e se ele contm danos. Voc tambm deve
procurar as causas do rudo e elimin-las, se possvel.

"Output errors refere-se soma de todos os erros que impediram a transmisso final
de datagramas para fora da interface que est sendo examinada. Os erros de sada
relatados no comando show interfaces incluem:

Colisions - as colises em operaes half-duplex so completamente normais e


voc no precisa se preocupar com elas, desde que esteja satisfeito com as
operaes half-duplex. Entretanto, voc jamais ver colises em uma rede que
use comunicao full-duplex e que tenha sido projetada e configurada
corretamente. altamente recomendado usar full-duplex, a menos que voc
tenha equipamentos antigos ou legados que exijam half-duplex.

Late collisions - uma coliso tardia se refere a uma coliso ocorrida depois que
512 bits do quadro (o prembulo) foram transmitidos. Cabos com comprimentos
muito longos so a causa mais comum de colises tardias. Outra causa comum
configurao incorreta de duplex. Por exemplo, voc poderia ter uma
extremidade da conexo configurada para o full-duplex e a outra para o halfduplex. Voc veria colises tardias na interface configurada para half-duplex.
Nesse caso, defina a mesma configurao de duplex nas duas extremidades.
Uma rede projetada e configurada adequadamente jamais deveria ter colises
tardias.

Identificao e soluo de problemas da


camada de acesso rede
A maioria dos problemas que afetam uma rede comutada encontrada durante a
implementao original. Teoricamente, depois de instalada, uma rede continua a operar
sem problemas. No entanto, o cabeamento pode ser danificado, as configuraes
mudam e novos dispositivos so conectados ao switch, o que exige alteraes de
configurao do switch. Manuteno, identificao e soluo contnuas de problemas
de infraestrutura de rede so necessrias.
Para solucionar estes problemas quando voc no tem nenhuma conexo ou a
conexo est entre um switch e outro dispositivo, siga este processo geral:
Use o comando show interfaces para verificar o status da interface.
A interface est inativa:

Certifique-se de que os cabos apropriados esto sendo usados. Alm disso,


verifique se h danos nos cabos e conectores. Se voc suspeitar de um cabo
com defeito ou incorreto, substitua-o.

Se a interface ainda estiver inativa, o problema pode ter sido causado por
incompatibilidade na configurao de velocidade. A velocidade de uma interface
negociada automaticamente. Portanto, mesmo que tal velocidade seja
configurada manualmente na interface, a interface de conexo dever ser
negociada de acordo. Se ocorrer incompatibilidade de velocidade em funo de
uma configurao incorreta ou de um problema de hardware ou software, isso
pode causar a inatividade da interface. Caso suspeite de problema, defina
manualmente a mesma velocidade em ambas as extremidades da conexo.

Se a interface estiver ativa, mas os problemas com conectividade ainda persistirem:

Ao usar o comando show interfaces verifique se h indicaes de excesso de


rudo. As indicaes podem incluir um aumento nos contadores de runts, giants
e erros de CRC. Se existir excesso de rudo, primeiro localize e remova a origem
do rudo, se possvel. Alm disso, verifique se o cabo no excede o comprimento
mximo de cabo e confira tambm o tipo de cabo usado. Para cabos de cobre,
recomenda-se usar pelo menos a categoria 5.

Se o rudo no for um problema, verifique se h colises excessivas. Se houver


colises ou colises tardias, verifique as configuraes duplex em ambas as
extremidades da conexo. Assim como a configurao de velocidade, a
configurao de duplex em geral negociada automaticamente. Se voc achar
que o problema incompatibilidade de duplex, defina manualmente o duplex em
ambas as extremidades da conexo. recomendvel usar o full-duplex, se
ambos os lados suportarem.

Operao SSH

O Secure Shell (SSH) um protocolo que fornece uma conexo de gerenciamento


seguro (criptografado) a um dispositivo remoto. O SSH deve substituir o Telnet nas
conexes de gerenciamento. O Telnet um protocolo mais antigo que usa transmisso
de texto no criptografado, no protegido, tanto para autenticao de logon (nome de
usurio e senha) quanto para dados transmitidos entre os dispositivos de comunicao.
O SSH fornece segurana para conexes remotas, proporcionando criptografia forte
quando um dispositivo autenticado (nome de usurio e senha) e tambm para os
dados transmitidos entre os dispositivos de comunicao. O SSH atribudo porta
TCP 22. O Telnet atribudo porta TCP 23.
Na figura 1, um invasor pode monitorar pacotes usando o Wireshark. Um fluxo de
Telnet pode ser direcionado para capturar o nome de usurio e senha.
Na figura 2, o invasor pode capturar o nome de usurio e a senha do administrador a
partir da sesso Telnet de texto no criptografado.
A figura 3 mostra a viso Wireshark de uma sesso de SSH. O invasor pode
acompanhar a sesso usando o endereo IP do dispositivo do administrador.
Entretanto, na figura 4, o nome de usurio e a senha so criptografados.
Para ativar o SSH em um switch Catalyst 2960, o switch deve usar uma verso do
software IOS que inclui recursos e capacidades de criptografia (criptografados). Na
figura 5, use o comando show version no switch para ver qual IOS o switch est
executando no momento e o nome do arquivo do IOS que inclui a combinao "k9"
suporta recursos e capacidades de criptografia.

Configurao do SSH

Antes de configurar o SSH, o switch deve ser minimamente configurado com as


definies corretas de um nome de host exclusivo e de conectividade de rede.
Etapa 1. Verifique o suporte a SSH.
Use o comando show ip ssh para verificar se o switch suporta SSH. Se o switch no
estiver executando um IOS que suporte recursos criptogrficos, esse comando no
ser reconhecido.
Etapa 2. Configure o domnio IP.
Configure o nome de domnio do endereo de rede usando o comando do modo de
configurao global ip domain-name domain-name. Na figura 1, o valor domain-name
cisco.com.
Etapa 3. Gere pares de chaves RSA.
Nem todas as verses do IOS padro para a verso 2 do SSH, e a verso 1 do SSH
tm falhas de segurana conhecidas. Para configurar a verso 2 do SSH, emita o
comando do modo de configurao global ip ssh version 2. A gerao de um par de
chaves RSA ativa automaticamente o SSH. Use o comando do modo de configurao
global crypto key generate rsa para habilitar o servidor SSH no switch e gerar um par
de chaves RSA. Ao gerar chaves RSA, o administrador solicitado a inserir um
comprimento para o mdulo. A Cisco recomenda um tamanho mnimo de mdulo de
1.024 bits (consulte a configurao de exemplo na figura 1). Um comprimento mais
longo mais seguro, mas demanda mais tempo para ger-lo e utiliz-lo.
Observao: para excluir os pares de chaves RSA, use o comando crypto key
zeroize rsa do modo de configurao global. Depois que o par de chaves RSA for
excludo, o servidor SSH ser desativado automaticamente.
Etapa 4. Configure a autenticao do usurio.
O servidor SSH pode autenticar usurios localmente ou por meio de um servidor de
autenticao. Para usar o mtodo de autenticao local, crie um par de nomes de
usurio e senha por meio do comando do modo de configurao global username
username secret password. No exemplo, o administrador do usurio, admin, recebe a
senha ccna.
Etapa 5. Configure as linhas vty.
Ative o protocolo SSH nas linhas vty, usando o comando do modo de configurao de
linha transport input ssh. O Catalyst 2960 possui linhas vty que variam de 0 a 15.
Essa configurao impede conexes sem SSH (tais como Telnet) e limita o switch a
aceitar conexes somente SSH. Use o comando do modo de configurao global line
vty e o comando do modo de configurao de linha login local para exigir

autenticao local para conexes SSH a partir do banco de dados local de nomes de
usurio.
Etapa 6. Ative a verso 2 do SSH.
Por padro, o SSH suporta ambas as verses 1 e 2. Quando suporta ambas as
verses, isso mostrado na sada show ip ssh como suportando a verso 1.99. A
verso 1 tem vulnerabilidades conhecidas. Por isso, recomendvel ativar somente a
verso 2. Ative a verso do SSH por meio do comando de configurao global ip ssh
version 2.
Use o Verificador de Sintaxe na figura 2 para configurar SSH no switch S1.

Verificao de SSH
Em um PC, um cliente SSH, como PuTTY, usado para se conectar a um servidor
SSH. Para os exemplos nas figuras 1 a 3, estas configuraes foram adotadas:

SSH ativado no switch S1

Interface VLAN 99 (SVI) com endereo IP 172.17.99.11 no switch S1

PC1 com endereo IP 172.17.99.21

Na figura 1, o PC inicia uma conexo de SSH com o endereo IP da VLAN na SVI do


S1.
Na figura 2, o usurio foi solicitado a fornecer o nome de usurio e a senha. Usando a
configurao do exemplo anterior, o nome de usurio admin e a senha ccna so
inseridos. Depois de inserir a combinao correta, o usurio conectado via SSH CLI
do switch Catalyst 2960.
Para exibir os dados de verso e configurao de SSH no dispositivo configurado como
um servidor SSH, use o comando show ip ssh. No exemplo, a verso 2 do SSH foi
ativada. Para verificar as conexes SSH para o dispositivo, use o comando show ssh
(consulte a figura 3).

Ataques de segurana comuns: inundao de endereos MAC

A segurana bsica do switch no evita ataques maliciosos. A segurana um


processo em camadas que, essencialmente, nunca est completo. Quanto mais atenta
estiver a equipe de profissionais de rede de uma organizao aos ataques de
segurana e aos perigos que eles representam, melhor. Alguns tipos de ataques
segurana so descritos aqui, mas os detalhes sobre a ao dos ataques est alm do
escopo deste curso. Informaes mais detalhadas so encontradas no curso CCNA
Tecnologias de WAN e CCNA Security.
Inundao de endereos MAC
A tabela de endereos MAC de um switch contm os endereos MAC associados a
cada porta fsica, bem como a VLAN associada a cada porta. Quando um switch de
camada 2 recebe um quadro, ele procura o endereo MAC destino na tabela de
endereos MAC . Todos os modelos de switch Catalyst usam uma tabela de endereos
MAC para switching na camada 2. Conforme os quadros chegam s portas do switch,
os endereos MAC origem so gravados na tabela de endereos MAC. Se existir uma
entrada para o endereo MAC, o switch encaminha o quadro para a porta correta. Se o
endereo MAC no existir na tabela de endereos MAC, o switch envia o quadro para
todas as portas (inunda) no switch, exceto a porta na qual o quadro foi recebido.
O comportamento da inundao de endereos MAC em um switch por endereos
desconhecidos pode ser usado para atacar um switch. Esse tipo de ataque
denominado ataque de overflow da tabela de endereos MAC. Ataques de overflow da
tabela de endereos MAC tambm so conhecidos como ataques de inundao de
MAC e ataques de overflow da tabela CAM. As figuras mostram como esse tipo de
ataque funciona.
Na figura 1, o host A envia trfego para o host B. O switch recebe os quadros e procura
o endereo MAC destino em sua tabela de endereos MAC. Se o switch no conseguir
encontrar o endereo MAC destino na tabela de endereos MAC, ele copiar o quadro
e o enviar por broadcast (inundao) para todas as portas do switch, exceto porta
na qual foi recebido.
Na figura 2, o host B recebe o quadro e envia uma resposta ao host A. O switch ento
descobre que o endereo MAC do host B est localizado na porta 2 e registra essas
informaes na tabela de endereos MAC.
O host C tambm recebe o quadro do host A para o host B, mas como o endereo MAC
destino do quadro o host B, o host C descarta o quadro.
Como mostrado na figura 3, todos os quadros enviados pelo host A (ou qualquer outro
host) para o host B so encaminhados para a porta 2 do switch, em vez de enviados
por broadcast para todas as portas.

As tabelas de endereos MAC tm tamanho limitado. Os ataques de inundao de


MAC usam essa limitao para sobrecarregar o switch com endereos MAC origem
falsos at que a tabela de endereos MAC do switch fique cheia.
Como mostrado na figura 4, um invasor no host C pode enviar ao switch endereos
MAC destino e quadros com uma origem falsa, gerada aleatoriamente. O switch
atualiza a tabela de endereos MAC com as informaes contidas nos quadros
falsificados. Quando a tabela de endereos MAC fica cheia de endereos MAC falsos,
o switch entra no modo conhecido como fail-open. Neste modo, o switch transmite
todos os quadros para todas as mquinas na rede. Como resultado, o invasor v todos
os quadros.
Algumas ferramentas de ataque rede podem gerar at 155.000 entradas de MAC em
um switch por minuto. Dependendo do switch, o tamanho mximo da tabela de
endereos MAC varia.
Como mostrado na figura 5, enquanto a tabela de endereos MAC no switch
permanecer completamente cheia, o switch envia por broadcast todos os quadros
recebidos para todas as portas. Neste exemplo, os quadros enviados do host A para o
host B tambm so enviados pela porta 3 do switch e vistos pelo invasor no host C.
Uma forma de reduzir os ataques de overflow na tabela de endereos MAC
configurar a segurana de porta.

Ataques de segurana comuns: Falsificao de DHCP

O DHCP o protocolo que atribui automaticamente ao host um endereo IP vlido selecionado


em um conjunto de endereos do DHCP. O DHCP tem sido usado praticamente desde que o
TCP/IP tornou-se o principal protocolo usado na indstria para a atribuio de endereos IP
clientes. Dois tipos de ataques de DHCP podem ser executados em uma rede comutada: ataques
de privao de DHCP e falsificao de DHCP.
Nos ataques de privao de DHCP, um invasor inunda o servidor DHCP com solicitaes de
DHCP para esgotar todos os endereos IP disponveis que o servidor DHCP possa emitir. Depois
que esses endereos IP so emitidos, o servidor no pode emitir mais nenhum endereo, e essa
situao produz um ataque de negao de servio (DoS) porque novos clientes no podem
acessar a rede. Um ataque de DoS qualquer ataque usado para sobrecarregar dispositivos e
servios de rede especficos com trfego ilegtimo, impedindo que o trfego legtimo acesse
esses recursos.
Nos ataques de falsificao de DHCP, um invasor configura um servidor DHCP falso na rede
para emitir endereos DHCP aos clientes. O objetivo desse ataque forar os clientes a usarem
servidores Domain Name System (DNS) ou Windows Internet Naming Service (WINS) falsos e
fazer com que os clientes usem o invasor, ou uma mquina sob o controle do invasor, como seu
gateway padro.
O ataque de privao de DHCP usado geralmente antes de uma falsificao de DHCP para
negar o servio ao servidor DHCP legtimo, facilitando a introduo de um servidor DHCP falso
na rede.
Para atenuar ataques de DHCP, use os recursos de segurana de portas e de rastreamento de
DHCP dos switches Cisco Catalyst. Esses recursos sero cobertos em um tpico posterior.

Ataques de segurana comuns: Aproveitamento do CDP

O Cisco Discovery Protocol (CDP) um protocolo proprietrio que pode ser usado em todos os
dispositivos Cisco. O CDP descobre outros dispositivos Cisco diretamente conectados,
permitindo que os dispositivos configurem automaticamente sua conexo. Em alguns casos, isso
simplifica a configurao e a conectividade.
Por padro, a maioria dos roteadores e switches Cisco tm o CDP ativado em todas as portas. As
informaes do CDP so enviadas em broadcasts peridicos e no criptografados. Tais
informaes so atualizadas localmente no banco de dados do CDP de cada dispositivo. Como o
CDP um protocolo de camada 2, as mensagens do CDP no so propagadas por roteadores.
O CDP contm informaes sobre o dispositivo, como endereo IP, verso do software IOS,
plataforma, recursos e a VLAN nativa. Essas informaes podem ser usadas por um invasor para
encontrar formas de atacar a rede, normalmente na forma de um ataque de negao de servios
(DoS) .
A figura uma parte de uma captura Wireshark que mostra o contedo de um pacote CDP. A
verso do software Cisco IOS descoberta via CDP, em particular, permitiria que o invasor
determinasse se houve alguma vulnerabilidade de segurana especfica para essa verso do IOS
em particular. Alm disso, como o CDP no est autenticado, um invasor pode criar falsos
pacotes CDP e encaminh-los a um dispositivo Cisco conectado diretamente.
Recomenda-se desativar o uso do CDP em dispositivos ou portas que no precisem us-lo, por
meio do comando do modo de configurao global no cdp run. O CDP pode ser desativado em
cada porta.
Ataques de Telnet
O protocolo Telnet no confivel e pode ser usado por um invasor para obter acesso remoto a
um dispositivo de rede Cisco. Existem ferramentas disponveis para permitir que um invasor
inicie um ataque de decifrao de senha por fora bruta das linhas vty no switch.
Ataque de fora bruta senha
Na primeira fase de um ataque de fora bruta senha, o invasor usa uma lista de senhas comuns
e um programa que tenta estabelecer uma sesso Telnet usando cada palavra da lista de
dicionrio. Se a senha no for descoberta na primeira fase, uma segunda fase iniciada. Na
segunda fase de um ataque violento, o invasor utiliza um programa que cria combinaes
sequenciais de caracteres, na tentativa de adivinhar a senha. Depois de um tempo, um ataque de
fora bruta pode decifrar quase todas as senhas usadas.
Para minimizar os efeitos dos ataques de fora bruta s senhas, use senhas fortes e altere-as
frequentemente. Uma senha forte deve ter uma combinao de letras minsculas e maisculas e
deve incluir nmeros e smbolos (caracteres especiais). O acesso s linhas vty tambm pode ser
limitado por meio de uma lista de controle de acesso (ACL).
Ataque de DoS no Telnet

O Telnet tambm pode ser usado para iniciar um ataque de DoS. Em um ataque de DoS no
Telnet, o invasor explora uma falha no software do servidor Telnet em execuo no switch,
tornando o servio Telnet indisponvel. Esse tipo de ataque impede que um administrador acesse
remotamente as funes de gerenciamento do switch. Ele pode ser combinado com outros
ataques diretos na rede como parte de uma tentativa coordenada de impedir o administrador de
rede de acessar os dispositivos principais durante a violao.
As vulnerabilidades no servio Telnet que permitem a ocorrncia de ataques so geralmente
abordadas nos patches de segurana includos em verses mais recentes do Cisco IOS.
Observao: boa prtica utilizar o SSH, em vez do Telnet, para conexes de gerenciamento
remoto.

Prticas recomendadas
Proteger a rede contra ataques requer vigilncia e treinamento. Estas so as prticas
recomendadas para proteger uma rede:

Desenvolva uma poltica de segurana por escrito para a organizao.

Feche servios e portas no usados.

Use senhas fortes e mude-as frequentemente.

Controle o acesso fsico aos dispositivos.

Evite usar sites HTTP padro no confiveis, especialmente em telas de login; em vez
disso, use o HTTPS, que mais seguro.

Faa backups e teste os arquivos de backup regularmente.

Ensine os funcionrios a lidar com ataques de engenharia social e desenvolva polticas


para validar identidades pelo telefone, e-mail e pessoalmente.

Criptografe e proteja dados confidenciais com senhas.

Implemente hardware e software de segurana, como firewalls.

Mantenha o software atualizado, instalando patches de segurana diariamente ou


semanalmente, se possvel.

Esses mtodos so apenas um ponto de partida para o gerenciamento de segurana. As


organizaes devem permanecer sempre atentas para se protegerem contra ameaas em constante
evoluo. Use ferramentas de segurana de rede para medir a vulnerabilidade da rede atual.

Ferramentas e teste de segurana de rede


As ferramentas de segurana de rede ajudam o administrador de rede a testar os pontos fracos da
rede. Algumas ferramentas permitem que o administrador assuma a funo de um invasor.
Usando uma dessas ferramentas, o administrador pode iniciar um ataque contra a rede e
examinar os resultados a fim de determinar como definir polticas de segurana para atenuar
esses tipos de ataques. O exame de segurana e o teste de penetrao so duas funes bsicas
executadas pelas ferramentas de segurana de rede.
As tcnicas de teste de segurana de rede podem ser iniciadas manualmente pelo administrador.
Outros testes so altamente automatizados. Independentemente do tipo de teste, a equipe que
configura e realiza testes de segurana deve ter amplo conhecimento de rede e segurana. Isso
inclui experincia nas seguintes reas:

Segurana de rede

Firewalls

Sistemas de preveno contra invaso

Sistemas operacionais

Programao

Protocolos de rede (como o TCP/IP)

Auditorias de segurana de rede

As ferramentas de segurana de rede permitem que um administrador de rede faa uma auditoria
de segurana em uma rede. A auditoria de segurana mostrar os tipos de informao que um
atacante pode coletar com um simples monitoramento do trfego de rede.
Por exemplo, ferramentas de segurana de rede permitem que um administrador inunde a tabela
de endereos MAC com endereos MAC fictcios. Em seguida, ele faz uma auditoria nas portas
do switch enquanto este inicia a inundao do trfego em todas as portas. Durante a auditoria, os
mapeamentos de endereos MAC legtimos se tornam obsoletos e so substitudos pelos
mapeamentos fictcios de endereo MAC. Isso determina quais portas esto comprometidas e
configuradas inadequadamente para evitar esse tipo de ataque.
O tempo um fator importante na execuo de uma auditoria bem-sucedida. Diferentes switches
suportam nmeros variveis de endereos MAC em sua tabela MAC. Pode ser difcil determinar
a quantidade ideal de endereos MAC falsificados para enviar ao switch. O administrador de
rede tambm precisa lidar com o perodo de obsolescncia da tabela de endereos MAC. Se os
endereos MAC falsificados comearem a ficar obsoletos durante uma auditoria de rede, os
endereos MAC vlidos comearo a preencher a tabela de endereos MAC e limitaro os dados
a serem monitorados pela ferramenta de auditoria da rede.
As ferramentas de segurana de rede podem ser utilizadas para o teste de penetrao em uma
rede. O teste de penetrao um ataque simulado contra a rede para determinar o quo
vulnervel ela estaria em um ataque real. Ele permite que um administrador de rede identifique
pontos fracos na configurao de dispositivos de rede e faa as alteraes necessrias para tornar
os dispositivos mais resilientes aos ataques. H diversos ataques que um administrador pode
realizar, e a maioria dos conjuntos de ferramentas fornecida com extensa documentao, que
detalham a sintaxe necessria para executar o ataque desejado.
Como os testes de penetrao podem ter efeitos adversos na rede, eles so executados sob
condies extremamente controladas e seguem os procedimentos detalhados documentados em
uma abrangente poltica de segurana de rede. Uma rede off-line de teste que imite a rede de
produo real a ideal. A rede de teste pode ser usada pela equipe de rede para realizar testes de
penetrao da rede.

Proteja as portas no utilizadas

Desative as portas no utilizadas


Um mtodo simples aplicado por muitos administradores para proteger a rede contra acesso no
autorizado consiste em desativar todas as portas no utilizadas em um switch. Por exemplo, se
um switch Catalyst 2960 tem 24 portas e h trs conexes Fast Ethernet em uso, boa prtica
desativar as 21 portas no utilizadas. Navegue at cada porta no utilizada e emita o comando
shutdown do Cisco IOS. Caso seja necessrio reativar uma porta, use o comando no shutdown
para ativ-la. A figura mostra a sada parcial para esta configurao.
simples fazer alteraes na configurao de vrias portas em um switch. Para configurar um
intervalo de portas, use o comando interface range.
Switch(config)# interface range type module/first-number last-number
O processo de ativao e desativao de portas pode consumir muito tempo, mas aumenta a
segurana na rede e compensa o esforo.

Rastreamento de DHCP

O rastreamento de DHCP (DHCP Snooping) um recurso do Cisco Catalyst que determina quais
portas de switch podem responder s solicitaes de DHCP. As portas so identificadas como
confiveis e no confiveis. As portas confiveis podem ser a origem de todas as mensagens
DHCP, incluindo pacotes de oferta DHCP e de confirmao DHCP; e as portas no confiveis s
podem ser origem de solicitaes. As portas confiveis hospedam um servidor DHCP ou podem
ser um uplink ao servidor DHCP. Se um dispositivo invasor em uma porta no confivel tenta
enviar um pacote de oferta DHCP para a rede, a porta desativada. Esse recurso pode ser
combinado com opes de DHCP em que as informaes de switch, como o ID da porta da
solicitao de DHCP, podem ser inseridas no pacote de solicitao de DHCP.
Como mostrado nas figuras 1 e 2, as portas no confiveis so aquelas no configuradas
explicitamente como confiveis. Uma tabela de associaes DHCP criada para portas no
confiveis. Cada entrada contm um endereo MAC cliente, endereo IP, tempo de concesso,
tipo de vinculao, nmero de VLAN e o ID da porta registrada quando os clientes fazem
solicitaes de DHCP. A tabela ento utilizada para filtrar o trfego DHCP subsequente. De
uma perspectiva de rastreamento do DHCP, as portas de acesso no confiveis no devem enviar
nenhuma mensagem do servidor DHCP.
Essas etapas ilustram como configurar o rastreamento de DHCP em um switch Catalyst 2960:
Etapa 1. Ative o rastreamento de DHCP usando o comando do modo de configurao global ip
dhcp snooping.
Etapa 2. Ative o rastreamento de DHCP para VLANs especficas usando o comando ip dhcp
snooping vlan number.
Etapa 3. Defina as portas como confiveis no nvel da interface, definindo as portas confiveis
por meio do comando ip dhcp snooping trust.
Etapa 4. (Opcional) Limite a taxa de transferncia na qual um invasor poder enviar
continuamente solicitaes falsas de DHCP atravs das portas no confiveis para o servidor
DHCP, usando o comando ip dhcp snooping limit rate rate.

Segurana de porta: Operao


Segurana de porta
Todas as portas do switch (interfaces) devem ser protegidas antes que o switch seja implantado
para uso em produo. Uma maneira de proteger as portas consiste em implementar um recurso
chamado segurana de portas. A segurana de portas limita o nmero de endereos MAC vlidos
permitidos em uma porta. Os endereos MAC de dispositivos legtimos tm acesso permitido,
enquanto outros endereos MAC so recusados.
A segurana de portas pode ser configurada para permitir um ou mais endereos MAC. Se o
nmero de endereos MAC permitidos na porta estiver limitado a um, apenas o dispositivo com
o endereo MAC especfico poder se conectar com xito porta.
Se uma porta for configurada como uma porta segura e o nmero mximo de endereos MAC
for alcanado, todas as tentativas adicionais de se conectar por endereos MAC desconhecidos
iro gerar uma violao de segurana. A figura 1 resume esses pontos.
Tipos de endereo MAC protegidos
H muitas formas de configurar a segurana de porta. O tipo de endereo seguro baseado na
configurao e inclui:

Endereos MAC seguros estticos - endereos MAC configurados manualmente em


uma porta por meio do comando do modo de configurao de interfaces switchport
port-security mac-address mac-address. Os endereos MAC configurados dessa forma
so armazenados na tabela de endereos e adicionados configurao em execuo no
switch.

Endereos MAC seguros dinmicos - endereos MAC aprendidos dinamicamente e


armazenados apenas na tabela de endereos. Os endereos MAC configurados dessa
forma so removidos quando o switch reinicializado.

Endereos MAC com segurana sticky - endereos MAC que podem ser aprendidos
dinamicamente ou configurados manualmente e, depois, armazenados na tabela de
endereos e adicionados configurao de execuo.

Endereos MAC com segurana sticky


Para configurar uma interface no intuito de converter endereos MAC aprendidos
dinamicamente em endereos MAC com segurana sticky e acrescent-los configurao atual,
voc deve ativar a aprendizagem sticky. A aprendizagem sticky ativada em uma interface por
meio do comando do modo de configurao da interface switchport port-security mac-address
sticky.
Quando esse comando for inserido, o switch converter todos os endereos MAC aprendidos
dinamicamente -inclusive aqueles aprendidos dinamicamente antes da ativao da aprendizagem

sticky - em endereos MAC com segurana sticky. Todos os endereos MAC com segurana
sticky so adicionados tabela de endereos e configurao em execuo.
Endereos MAC com segurana sticky tambm podem ser definidos manualmente. Quando os
endereos MAC com segurana sticky so configurados por meio do comando do modo de
configurao da interface switchport port-security mac-address sticky mac-address, todos os
endereos especificados so adicionados tabela de endereos e configurao em execuo.
Se os endereos MAC com segurana sticky forem salvos no arquivo de configurao de
inicializao, quando o switch for reiniciado ou a interface for desligada, a interface no
precisar reaprender os endereos. Se os endereos com segurana sticky no forem salvos, eles
sero perdidos.
Se a aprendizagem sticky for desativada por meio do comando do modo de configurao de
interface no switchport port-security mac-address sticky, os endereos MAC com segurana
sticky permanecero na tabela de endereos, mas sero removidos da configurao em execuo.
A figura 2 mostra as caractersticas dos endereos MAC com segurana sticky.
Observe que o recurso de segurana de porta no funcionar at que a segurana de porta seja
ativada na interface por meio do comando switchport port-security.

Segurana de porta: Modos de violao


A violao de segurana ocorre quando existe uma destas situaes:

O nmero mximo de endereos MAC seguros foi adicionado tabela de endereos para
uma interface e uma estao cujo endereo MAC no esteja na tabela de endereos tenta
acessar a interface.

Um endereo aprendido ou configurado em uma interface segura visto em outra


interface segura na mesma VLAN.

Uma interface pode ser configurada para um dos trs modos de violao, especificando a ao a
ser executada se uma violao ocorrer. A figura apresenta os tipos de trfego de dados que so
enviados quando um dos seguintes modos de violao de segurana configurado em uma porta:

Protect (Protegido) - quando o nmero de endereos MAC seguros atinge o limite


permitido na porta, os pacotes com endereos origem desconhecidos so descartados at
que um nmero suficiente de endereos MAC seguros seja removido ou o nmero
mximo dos endereos permitidos seja aumentado. No h notificaes de ocorrncia de
violaes de segurana.

Restrict (Restrito) - quando o nmero de endereos MAC seguros atinge o limite


permitido na porta, os pacotes com endereos origem desconhecidos so descartados at
que um nmero suficiente de endereos MAC seguros seja removido ou o nmero
mximo dos endereos permitidos seja aumentado. Neste modo, h uma notificao
quando ocorre uma violao de segurana.

Shutdown (Desligado) - neste modo (padro), uma violao de segurana de porta faz
com que a interface se torne imediatamente desativada por erro e desativa o LED de
porta. Ele incrementa o contador de violao. Quando uma porta segura est no estado
desativada por erro (err-disabled state), ela pode ser recuperada por meio da insero dos
comandos do modo de configurao de interface shutdown e no shutdown.

Para alterar o modo de violao em uma porta do switch, use o comando do modo de
configurao de interface switchport port-security violation {protect | restrict | shutdown}.

Segurana de porta: Configurao

A figura 1 resume as configuraes de segurana de porta padro em um Switch Cisco Catalyst.


A figura 2 mostra os comandos CLI do Cisco IOS necessrios para configurar a segurana de
porta Fast Ethernet Fa0/18 no switch S1. Observe que o exemplo no especifica um modo de
violao. Neste exemplo, o modo de violao shutdown (modo padro).
A figura 3 mostra como ativar endereos MAC com segurana sticky para a segurana de porta
Fast Ethernet 0/19 do switch S1. Conforme mencionamos anteriormente, o nmero mximo de
endereos MAC seguros pode ser configurado manualmente. Neste exemplo, a sintaxe de
comando do Cisco IOS usada para definir o nmero mximo de endereos MAC como 10 para
a porta 0/19. O modo de violao est definido como shutdown, por padro.

Segurana de porta: Verificao

Verifique a segurana de porta


Aps configurar a segurana de porta em um switch, verifique cada interface para ver se a
segurana de porta est configurada corretamente e confira se os endereos MAC estticos esto
configurados corretamente.
Verifique as configuraes de segurana de porta
Para exibir as configuraes de segurana de porta do switch ou da interface especificada, use o
comando show port-security [interface interface-id. A sada da configurao de segurana
dinmica de porta mostrada na figura 1. Por padro, h um endereo MAC ativado nessa porta.
A sada mostrada na figura 2 mostra os valores das configuraes de segurana sticky da porta. O
nmero mximo de endereos definido como 10, conforme configurado.
Observao: o endereo MAC identificado como um MAC sticky.
Todos os endereos MAC com segurana sticky so adicionados tabela de endereos MAC e
configurao em execuo. Como mostrado na figura 3, o MAC sticky do PC 2 foi adicionado
configurao em execuo do S1.
Verifique os endereos MAC seguros
Para exibir todos os endereos MAC seguros configurados em todas as interfaces do switch ou
em uma interface especificada com informaes obsoletas sobre cada endereo, use o comando
show port-security address. Como mostrado na figura 4, os endereos MAC seguros esto
listados junto com os tipos.

Portas em estado desativado por erro

Quando uma porta configurada com segurana de porta, uma violao pode fazer com que ela
se torne desativada por erro (err-disabled). Quando uma porta desativada por erro, ela
efetivamente desativada e nenhum trfego enviado para aquela porta ou nela recebido. Uma
srie de mensagens relativas segurana de porta exibida no console (figura 1).
Observao: o status do link e do protocolo da porta alterado para inativo.
O LED de porta mudar para laranja. O comando show interfaces identifica o status da porta
como err-disabled (figura 2). A sada do comando show port-security interface mostra agora o
status da porta como secure-shutdown. Como o modo de violao de segurana de porta est
definido como shutdown, a porta com violao de segurana entra no estado desativada por erro.
O administrador deve determinar o que causou a violao de segurana antes de reativar a porta.
Se um dispositivo no autorizado estiver conectado a uma porta segura, a porta no ser
reativada at que as ameaas segurana sejam eliminadas. Para reativar a porta, use o comando
do modo de configurao de interface shutdown (figura 3). Em seguida, use o comando de
configurao de interface no shutdown para tornar a porta operacional.

Network Time Protocol (NTP)


importante ter o horrio correto nas redes. Timestamps corretos so necessrios para rastrear
com preciso os eventos da rede, tais como as violaes de segurana. Alm disso, a
sincronizao do relgio fundamental para a interpretao correta dos eventos nos arquivos de
dados syslog, bem como para os certificados digitais.
O Network Time Protocol (NTP) um protocolo usado para sincronizar os relgios dos sistemas
de computador nas redes de dados comutadas por pacotes e de latncia varivel. O NTP permite
que os dispositivos de rede sincronizem as configuraes de hora com um servidor NTP. Um
grupo de clientes NTP que obtm informaes de data e hora de uma nica fonte ter
configuraes de hora mais consistentes.
Um mtodo confivel de agendar o relgio da rede consiste na implementao, pelos prprios
administradores de rede, de relgios mestres privados, sincronizados ao UTC e usando o satlite
ou rdio. No entanto, se os administradores de rede no desejarem executar seus prprios
relgios mestres devido ao custo ou a outros motivos, outras fontes de relgio esto disponveis
na Internet. O NTP pode obter o horrio correto de uma fonte de hora interna ou externa que
inclui o seguinte:

Relgio mestre (master clock) local

Relgio mestre na Internet

GPS ou relgio atmico

Um dispositivo de rede pode ser configurado como um servidor NTP ou um cliente NTP. Para
permitir que o relgio de software seja sincronizado por um servidor de horrio NTP, use o
comando ntp server ip-address no modo de configurao global. Um exemplo de configurao
exibido na figura 1. O roteador R2 est configurado como um cliente NTP, enquanto o roteador
R1 funciona como um servidor NTP oficial.
Para configurar um dispositivo com um relgio NTP mestre com os quais seus colegas possam
se sincronizar, use o comando do modo de configurao global ntp master [stratum]. O valor
stratum um nmero de 1 a 15 que indica o nmero stratum de NTP que o sistema reivindicar.
Se o sistema estiver configurado como um NTP mestre e nenhum nmero stratum estiver
especificado, o padro ser o stratum 8. Se o NTP mestre no puder acessar nenhum relgio com
um nmero de stratum menor, o sistema reivindicar a sincronizao no nmero de stratum
configurado, e os outros sistemas estaro dispostos a sincronizar-se com ele usando NTP.
A figura 2 exibe a verificao de NTP. Para exibir o status de associaes NTP, use o comando
show ntp associations no modo EXEC privilegiado. Esse comando indicar o endereo IP de
todos os dispositivos pares sincronizados com esse par, os pares configurados estaticamente e o
nmero de stratum. O comando EXEC de usurio show ntp status pode ser utilizado para exibir
informaes como status da sincronizao de NTP, o par ao qual o dispositivo est sincronizado
e o estrato NTP no qual o dispositivo est funcionando.

Resumo
Depois que um switch Cisco ligado, ele passa pela seguinte sequncia de inicializao:
1. Primeiro, o switch carrega um programa power-on self-test (POST) armazenado na ROM. O
POST verifica o subsistema da CPU. Ele testa a CPU, a DRAM e a parte do dispositivo flash que
compe o sistema de arquivos da memria flash.
2. Depois, o switch carrega o software carregador de inicializao. O carregador de inicializao
(boot loader) um programa pequeno armazenado na ROM e executado imediatamente aps a
concluso bem-sucedida do POST.
3. O carregador de inicializao (boot loader) executa a inicializao da CPU em baixo nvel. Ele
inicializa os registros de CPU, que gerenciam onde a memria fsica mapeada, a quantidade de
memria e a velocidade.
4. O carregador de inicializao (boot loader) inicializa o sistema de arquivos da memria flash
na placa do sistema.
5. Finalmente, o carregador de inicializao localiza e carrega uma imagem do software de
sistema operacional IOS padro na memria e passa o controle do switch para o IOS.
O arquivo especfico do Cisco IOS que est carregado especificado pela varivel de ambiente
BOOT. Depois que o Cisco IOS for carregado, use os comandos encontrados no arquivo startupconfig para inicializar e configurar as interfaces. Se os arquivos do Cisco IOS estiverem
danificados ou ausentes, o programa de inicializao poder ser usado para a reinicializao ou a
recuperao do problema.
O status de operao do switch indicado por uma srie de LEDs no painel frontal. Esses LEDs
indicam coisas como o status da porta, full-duplex e a velocidade.
Um endereo IP configurado na SVI da VLAN de gerenciamento para permitir a configurao
remota do dispositivo. Um gateway padro que pertence VLAN de gerenciamento deve ser
configurado no switch por meio do comando ip default-gateway. Se o gateway padro no
estiver configurado corretamente, no ser possvel fazer o gerenciamento remoto. Recomendase usar o Secure Shell (SSH) para proporcionar uma conexo de gerenciamento segura
(criptografada) a um dispositivo remoto a fim de evitar a falsificao de nomes de usurio e de
senhas no criptografadas, o que possvel quando se usa protocolos como o Telnet.
Uma das vantagens de um switch permitir a comunicao full-duplex entre os dispositivos,
dobrando efetivamente a taxa de transferncia da comunicao. Embora seja possvel especificar
as configuraes de velocidade e duplex de uma interface de switch, recomenda-se que o switch
defina automaticamente esses parmetros para evitar erros.
A segurana de porta do switch um requisito para impedir ataques como inundao de
endereos MAC e falsificao de DHCP. As portas do switch devem ser configuradas para
permitir somente a entrada de quadros com endereos MAC origem especficos. Os quadros de

endereos MAC origem desconhecidos devem ser recusados e fazer com que a porta seja
fechada para impedir novos ataques.
A segurana de porta apenas uma defesa contra vulnerabilidades da rede. H 10 prticas
recomendadas que representam a melhor segurana de uma rede:

Desenvolva uma poltica de segurana por escrito para a organizao.

Feche servios e portas no usados.

Use senhas fortes e mude-as frequentemente.

Controle o acesso fsico aos dispositivos.

Evite usar sites HTTP padro no confiveis, especialmente para telas de login. Em vez
disso, use o HTTPS mais seguro.

Faa backups e teste os arquivos de backup regularmente.

Ensine os funcionrios a lidar com ataques de engenharia social e desenvolva polticas


para validar identidades pelo telefone, e-mail e pessoalmente.

Criptografe dados confidenciais e proteja-os com uma senha forte.

Implemente hardware e software de segurana, como firewalls.

Mantenha o software IOS atualizado, instalando patches de segurana diariamente ou


semanalmente, se possvel.

Esses mtodos so apenas um ponto de partida para o gerenciamento de segurana. As


organizaes devem permanecer sempre atentas para se protegerem contra ameaas em constante
evoluo.