CCNA 4.0 - LSW - 02 Configuração e Conceitos Básicos de Switch

Tema acessvel CISCO
Pgina 1 de 34
Alternar idioma para English | Pesquisa | Glossrio ndice do curso:

2 Configurao e conceitos bsicos de switch Selecionar
CCNA Exploration - Comutao de rede local e sem fio

2 Configurao e conceitos bsicos de switch
2.0 Introduo do captulo
2.0.1 Introduo do captulo Pgina 1: Neste captulo, voc aproveitar as habilidades aprendidas em CCNA Exploration 4.0: Fundamentos de rede, revisando e reforando essas habilidades com atividades de prtica detalhadas. Voc obter informaes sobre algumas ameaas mal-intencionadas importantes a switches e aprender a habilitar um switch com uma configurao inicial segura. Exibir meio visual
2.1 Introduo a redes locais Ethernet/802.3

2.1.1 Principais elementos de redes Ethernet/802.3 Pgina 1: Neste tpico, voc obter informaes sobre os principais componentes do padro Ethernet que tm um papel significativo no design e na implementao de redes comutadas. Voc explorar como funciona a comunicao Ethernet e como os switches tm um papel no processo de comunicao. CSMA/CD Os sinais Ethernet so transmitidos para todos os hosts conectados LAN que usam um conjunto especial de regras para determinar que estao pode acessar a rede. O conjunto de regras que a Ethernet usa se baseia na tecnologia de deteco de coliso/acesso mltiplo com verificao de operadora (CSMA/CD) IEEE. Voc pode se lembrar de Explorao CCNA: Fundamentos de Rede que o CSMA/CD s costuma ser usado com uma comunicao half-duplex normalmente encontrada em hubs. Switches em full duplex no usam CSMA/CD. Verificao de operadora No mtodo de acesso CSMA/CD, todos os dispositivos de rede com mensagens a serem enviadas devem ouvir antes de transmitir. Se detectar um sinal de outro dispositivo, um dispositivo aguardar um tempo especificado antes de tentar transmitir. Quando no h trfego detectado, um dispositivo transmite sua mensagem. Enquanto essa transmisso ocorre, o dispositivo continua ouvindo o trfego ou as colises na rede local. Depois que a mensagem enviada, o dispositivo retorna a seu modo ouvinte padro. Multiacesso Se a distncia entre dispositivos for tanta que a latncia dos sinais de um dispositivo significa que esses sinais no so detectados por um segundo dispositivo, este tambm poder comear a transmitir. O meio agora tem dois dispositivos transmitindo sinais ao mesmo tempo. As mensagens se propagaro pelo meio at se encontrarem. A essa altura, os sinais se misturam e as mensagens so destrudas; houve uma coliso. Embora as mensagens estejam corrompidas, o restante dos sinais continua se propagando pelo meio. Deteco de colises Quando um dispositivo est no modo ouvinte, ele no pode detectar a ocorrncia de uma coliso na mdia compartilhada, porque todos os dispositivos podem detectar um aumento na amplitude do sinal acima do nvel normal. Quando ocorre uma coliso, os outros dispositivos no modo ouvinte, bem como todos os dispositivos transmissores, detectam o aumento na amplitude do sinal. Todos os dispositivos transmissores continuam transmitindo para assegurar que todos os dispositivos na rede detectem a coliso. Sinal de interferncia e backoff aleatrio Quando uma coliso detectada, os dispositivos transmissores enviam um sinal de interferncia. O sinal de interferncia notifica os demais dispositivos sobre uma coliso, para que eles possam invocar um um algoritmo back off. Esse algoritmo de back off faz com que todos os dispositivos parem de transmitir por um intervalo aleatrio, o que permite a reduo dos sinais de coliso. Depois que o atraso expira em um dispositivo, este retorna ao modo "ouvir antes de transmitir". Um perodo de back off aleatrio assegura que os dispositivos envolvidos na coliso no tentem reenviar o trfego ao mesmo tempo, o que poderia fazer com que todo o processo fosse repetido. No entanto, durante o perodo de back off, um terceiro dispositivo
http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCSer... 08/07/2011
Tema acessvel CISCO
Pgina 2 de 34
pode transmitir antes de qualquer um dos dois dispositivos envolvidos na coliso ter uma chance de retransmitir. Clique no boto Reproduzir para ver a animao. Exibir meio visual
Pgina 2: Comunicao Ethernet Consulte a rea Comunicao Ethernet selecionada na figura. A comunicao em uma rede local comutada ocorre de trs formas: unicast, broadcast e multicast: Unic ast: Comunicao na qual um quadro enviado de um host e endereado a um destino especfico. Na transmisso unicast, h apenas um remetente e um receptor. A transmisso unicast a forma predominante de transmisso em redes locais e na Internet. Entre os exemplos de protocolos que usam transmisses unicast esto HTTP, SMTP, FTP e Telnet. Broadcast: Comunicao na qual um quadro enviado de um endereo para todos os outros endereos. Nesse caso, h apenas um remetente, mas as informaes so enviadas para todos os receptores conectados. A transmisso de broadcast essencial durante o envio da mesma mensagem para todos os dispositivos na rede local. Um exemplo de transmisso de broadcast a consulta de resoluo de endereo que o protocolo de resoluo de endereos (ARP, Address Resolution Protocol) envia para todos os computadores em uma rede local. Multic ast: Comunicao na qual um quadro enviado para um grupo especfico de dispositivos ou clientes. Os clientes da transmisso multicast devem ser membros de um grupo multicast lgico para receber as informaes. Um exemplo de transmisso multicast a transmisso de vdeo e de voz associada a uma reunio de negcios colaborativa, com base em rede. Quadro Ethernet Clique no boto Quadro Ethernet na figura. O primeiro curso da nossa srie, Explorao CCNA: Fundamentos de Rede, descreveu a estrutura do quadro Ethernet em detalhes. Como uma reviso rpida, a estrutura do quadro Ethernet adiciona cabealhos e trailers na PDU da Camada 3 para encapsular a mensagem enviada. O cabealho e o trailer Ethernet tm vrias sees (ou campos) de informaes usadas pelo protocolo Ethernet. A figura mostra a estrutura do quadro Ethernet padro atual, o IEEE 802.3 (Ethernet) revisado. Passe o mouse sobre cada nome de campo para ver sua desc rio. Campos Prembulo e Inc do delimitador de quadro io Os campos Prembulo (7 bytes) e Incio do delimitador de quadro (SFD) (1 byte) so usados na sincronizao entre os dispositivos remetentes e receptores. Esses primeiros oito bytes do quadro so usados para chamar a ateno dos ns receptores. Basicamente, os primeiros bytes informam aos receptores para se prepararem para receber um novo quadro. Campo Endereo MAC de destino O campo Endereo MAC de Destino (6 bytes) o identificador do receptor desejado. Esse endereo usado pela Camada 2 para auxiliar um dispositivo a determinar se um quadro est endereado a ele. O endereo no quadro comparado com o endereo MAC no dispositivo. Se houver correspondncia, o dispositivo aceitar o quadro. Campo Endereo MAC de origem O campo Endereo MAC de origem (6 bytes) identifica a placa de rede (NIC) ou a interface de origem do quadro. Os switches usam esse endereo para adicionar a suas tabelas de pesquisa. Campo Tamanho/Tipo O campo Tamanhp/Tipo (2 bytes) define o comprimento exato do campo de dados do quadro. Esse campo usado posteriormente como parte da Sequncia de verificao do quadro (FCS) para assegurar que a mensagem tenha sido recebida corretamente. Apenas um comprimento ou um tipo de quadro pode ser informado aqui. Se a finalidade do campo for designar um tipo, o campo Tipo descrever que protocolo est implementado. Quando um n recebe um quadro e o quadro Tamanho/Tipo designa um tipo, o n determina que protocolo de camada superior est presente. Se o valor de dois octetos for igual ou maior que 0x0600 hexadecimal ou 1536 decimal, o contedo do campo Dados ser decodificado de acordo com o protocolo indicado; se o valor de dois bytes for inferior a 0x0600, o valor representar o comprimento dos dados no quadro. Campos Dados e Pad Os campos Dados e Pad (de 46 a 1500 bytes) contm os dados encapsulados de uma camada de nvel superior, que uma PDU de Camada 3 genrica ou, mais normalmente, um pacote IPv4. Todos os quadros devem ter pelo menos 64 bytes (tamanho mximo auxilia na deteco de colises). Se um pacote pequeno for encapsulado, o campo Pad ser
Tema acessvel CISCO
Pgina 3 de 34
usado para aumentar o tamanho do quadro at o mnimo. Campo Sequncia de verificao de quadro O campo FCS (4 bytes) detecta erros em um quadro. Ele usa uma verificao de redundncia cclica (CRC). O dispositivo emissor inclui os resultados de uma CRC no campo FCS do quadro. O dispositivo receptor recebe o quadro e gera uma CRC para procurar erros. Se o clculo for correspondente, sinal de que no ocorreu nenhum erro. Se os clculos no corresponderem, o quadro ser ignorado. Endereo MAC Clique no boto Endereo MAC na figura. Em Explorao CCNA: Fundamentos de Rede, voc obteve informaes sobre o endereo MAC. Um endereo MAC Ethernet um valor em duas partes com 48 bits binrio expresso como 12 dgitos hexadecimais. Os formatos de endereo podem ser semelhantes a 00-05-9A-3C-78-00, 00:05:9A:3C:78:00 ou 0005.9A3C.7800. Todos os dispositivos conectados a uma rede local Ethernet tm interfaces com endereos MAC. A placa de rede usa o endereo MAC para determinar se uma mensagem deve ser passada s camadas superiores para processamento. O endereo MAC codificado permanentemente em um chip ROM em uma placa de rede. Esse tipo de endereo MAC conhecido como um endereo gravado na ROM (BIA). Alguns fornecedores permitem a modificao local do endereo MAC. O endereo MAC composto do identificador exclusivo organizacional (OUI) e o nmero de atribuio do fornecedor. Passe o mouse sobre cada nome de campo para ver sua descrio. Identificador exclusivo organizacional A OUI a primeira parte de um endereo MAC. Ela tem 24 bits e identifica o fabricante da placa de rede. O IEEE regula a atribuio de nmeros OUI. No OUI, h dois bits que s tm significado quando usados no endereo de destino, da seguinte forma: Bit de broadcast ou multicast: Indica para a interface receptora que o destino do quadro todos ou um grupo de estaes finais no segmento de rede local. Bit de endereo administrado localmente: Se o endereo MAC atribudo por fornecedor puder ser modificado localmente, esse bit dever ser definido. Nmero de atribuio do fornecedor A parte atribuda por fornecedor do endereo MAC tem 24 bits e identifica exclusivamente o hardware Ethernet. Ela pode ser BIA ou modificado pelo software indicado pelo bit local. Exibir meio visual
Pgina 3: Configuraes bidirecionais H dois tipos de configuraes bidirecionais usados na comunicao em uma rede Ethernet: half duplex e full duplex. A figura mostra as duas configuraes bidirecionais disponveis em equipamentos de rede modernos. Half duplex: A comunicao em half duplex depende do fluxo de dados unidirecional quando o envio e o recebimento de dados no so executados ao mesmo tempo. Isso semelhante forma de funcionamento de walkie-talkies ou rdios bidirecionais medida que apenas uma pessoa pode falar por vez. Se algum fala com outra pessoa j falando, ocorre uma coliso. Dessa forma, a comunicao em half duplex implementa CSMA/CD para ajudar a reduzir o potencial de colises e as detectar quando elas acontecerem. A comunicao em half duplex tem problemas de desempenho devido espera constante, porque os dados s podem fluir em uma direo por vez. A conexo em half duplex costuma ser vista em hardwares mais antigos, como hubs. Os ns acoplados a hubs que compartilham sua conexo com uma porta de switch devem funcionar em modo half duplex porque os computadores finais devem ser capazes de detectar colises. Os ns podero funcionar em um modo half duplex se a placa de rede no puder ser configurada para operaes em full duplex. Nesse caso, a porta no switch tambm usa como padro um modo half duplex. Por causa dessas limitaes, a comunicao em full duplex substituiu half duplex nos hardwares mais atuais. Full duplex: Na comunicao em full duplex, como o fluxo de dados bidirecional, os dados podem ser enviados e recebidos ao mesmo tempo. O suporte bidirecional aprimora o desempenho, reduzindo o tempo de espera entre as transmisses. Grande parte das placas de rede Ethernet, Fast Ethernet e Gigabit Ethernet vendidas atualmente oferece recursos em full duplex. No modo full duplex, o circuito de deteco de colises desabilitado. Os quadros enviados pelos dois ns finais conectados no podem colidir porque os ns finais usam dois circuitos separados no cabo de rede. Cada conexo em full duplex usa apenas uma porta. As conexes em full duplex exigem um switch que suporte full duplex ou uma conexo direta entre dois ns em que cada um suporte full duplex. Os ns acoplados diretamente a uma porta de switch dedicada com placas de rede que suportam full duplex devem ser conectados a portas de switch configuradas para funcionar no modo full duplex.
Tema acessvel CISCO
Pgina 4 de 34
A eficincia da configurao Ethernet compartilhada, padro, baseada em hub costuma ser de 50 a 60 por cento da largura de banda 10-Mb/s. A Fast Ethernet em full duplex, em comparao com a largura de banda de 10-Mb/s, oferece 100 por cento de eficincia em ambas as direes (100-Mb/s na transmisso e 100-Mb/s na recepo). Exibir meio visual
Pgina 4: Configuraes de porta de switch Uma porta em um switch precisa ser configurada com configuraes bidirecionais correspondentes ao tipo de meio. Posteriormente neste captulo, voc definir configuraes bidirecionais. Os switches Cisco Catalyst tm trs configuraes:
z z z
A opo auto define a negociao automtica do modo bidirecional. Com a negociao automtica habilitada, as duas portas se comunicam para decidir o melhor modo de funcionamento. A opo full define o modo full duplex. A opo half define o modo half duplex.
Para as portas Fast Ethernet e 10/100/1000, o padro auto. Para portas 100BASE-FX, o padro full. As portas 10/100/1000 funcionam no modo half ou full duplex quando so definidas como 10 ou 100 Mb/s, mas quando definidas como 1.000 Mb/s, elas funcionam apenas no modo full duplex. Nota: A negociao automtica pode gerar resultados imprevisveis. Por padro, quando a negociao automtica falha, o switch Catalyst define a porta de switch correspondente no modo half duplex. Esse tipo de falha acontece quando um dispositivo acoplado no suporta a negociao automtica. Se for configurado manualmente para funcionar no modo half duplex, o dispositivo corresponder ao modo padro do switch. No entanto, erros de negociao automtica podero acontecer se o dispositivo for configurado manualmente para funcionar no modo full duplex. Ter half duplex em uma extremidade e full duplex em outra causa erros de coliso na extremidade half duplex. Para evitar essa situao, defina manualmente os parmetros bidirecionais do switch de acordo com o dispositivo acoplado. Se a porta de switch estiver no modo full duplex e o dispositivo acoplado estiver no modo half duplex, verifique os erros de FCS na porta full duplex do switch. auto-MDIX As conexes entre dispositivos especficos, como switch-a-switch ou switch-a-roteador, costumavam exigir o uso de determinados tipos de cabo (crossover, straight-through). Na verdade, agora possvel usar o comando de configurao da interface mdix auto na CLI para ativar o recurso de interface que depende do meio automtico (auto-MDIX). Quando o recurso auto-MDIX habilitado, o switch detecta o tipo de cabo exigido para conexes Ethernet de cobre e configura as interfaces corretamente. Por isso, possvel usar um cabo crossover ou straight-through para conexes com uma porta 10/100/1000 de cobre no switch, independentemente do tipo de dispositivo na outra extremidade da conexo. Por padro, o recurso auto-MDIX habilitado em switches que executam o Cisco IOS verso 12.2(18)SE ou posterior. Para verses entre o Cisco IOS verso 12.1(14)EA1 e 12.2(18)SE, o recurso auto-MDIX desabilitado por padro. Exibir meio visual
Pgina 5: Endereamento MAC e tabelas de endereos MAC do switch Os switches usam endereos MAC para direcionar a comunicao de rede por meio da trama do switch para a porta apropriada no sentido do n de destino. A trama do switch so os circuitos integrados e a programao da mquina complementar que permite os caminhos de dados em todo o switch a ser controlado. Para que um switch saiba qual porta usar para transmitir um quadro unicast, ele deve aprender primeiro quais so os ns em cada uma de suas portas. Um switch determina como tratar estruturas de dados recebidos, usando sua tabela de endereos MAC. Um switch cria sua tabela de endereos MAC, registrando os endereos MAC dos ns conectados a cada uma de suas portas. Quando um endereo MAC de um n especfico em uma porta especfica registrado na tabela de endereos, o switch sabe enviar trfego com destino a esse n especfico pela porta mapeada para esse n em transmisses subseqentes. Quando uma estrutura de dados de entrada recebida por um switch e o endereo MAC de destino no est na tabela, o switch encaminha o quadro por todas as portas, com exceo da porta em que foi recebido. Quando o n de destino responde, o switch registra o endereo MAC do n na tabela de endereos do campo de endereo de origem do quadro. Em redes com vrios switches interconectados, as tabelas de endereos MAC registram vrios endereos MAC para as portas que conectam os switches que refletem o que h alm do n. Normalmente, as portas de switch usadas para interconectar dois switches tm vrios endereos MAC registrados na tabela de endereos MAC. Para ver como isso funciona, clique nas etapas na figura. Isto descreve esse processo:
Tema acessvel CISCO
Pgina 5 de 34
Etapa 1. O switch recebe um quadro de broadcast do PC 1 na Porta 1. Etapa 2. O switch insere o endereo MAC de origem e a porta de switch que recebeu o quadro na tabela de endereos. Etapa 3. Como o endereo de destino um broadcast, o switch inunda o quadro a todas as portas, exceto a porta em que ele recebeu o quadro. Etapa 4. O dispositivo de destino responde ao broadcast com um quadro unicast endereado a PC 1. Etapa 5. O switch insere o endereo MAC de origem de PC 2 e o nmero de porta do switch que recebeu o quadro na tabela de endereos. O endereo de destino do quadro e de sua porta associada encontrado na tabela de endereos MAC. Etapa 6. Agora o switch pode encaminhar quadros entre os dispositivos de origem e de destino sem envio, porque tem entradas na tabela de endereos que identificam as portas associadas. Exibir meio visual
2.1.2 Consideraes de design para redes Ethernet/802.3 Pgina 1: Neste tpico, voc obter informaes sobre as diretrizes de design Ethernet necessrias interpretao de designs de rede hierrquica para pequenas e mdias empresas. Este tpico se concentra no broadcast e em domnios de coliso, alm da forma como eles afetam os designs de rede local. Largura de banda e produtividade Uma grande desvantagem das redes Ethernet 802.3 so as colises. Colises ocorrem quando dois hosts transmitem quadros simultaneamente. Quando uma coliso ocorre, os quadros transmitidos so danificados ou destrudos. Os hosts de envio param de enviar mais transmisses durante um perodo aleatrio, com base nas regras Ethernet 802.3 de CSMA/CD. Como a Ethernet no tem como controlar que n estar em transmisso em qualquer momento, sabemos que as colises ocorrero quando mais de um n tentar obter acesso rede. A resoluo de Ethernet para colises no ocorre instantaneamente. Alm disso, um n envolvido em uma coliso no pode comear a transmitir at que o assunto seja resolvido. Na medida em que mais dispositivos so adicionados ao meio compartilhada, cresce a probabilidade de colises. Por isso, importante compreender que, durante a declarao da largura de banda da rede Ethernet de 10 Mb/s, a largura de banda completa para transmisso s est disponvel aps a resoluo de todas as colises. A produtividade lquida da porta (os dados mdios efetivamente transmitidos) ser reduzida consideravelmente em decorrncia da funo de quantos ns desejam usar a rede. Um hub no oferece nenhum mecanismo para eliminar ou reduzir essas colises, e a largura de banda disponvel que qualquer n precisa transmitir reduzida de maneira correspondente. Dessa forma, o nmero de ns que compartilham a rede Ethernet afetar a produtividade da rede. Domnios de coliso Durante a expanso de uma rede local Ethernet para acomodar mais usurios com mais requisitos de largura de banda, o potencial de colises aumenta. Para reduzir o nmero de ns em um determinado segmento de rede, possvel criar segmentos de rede fsica separados, chamados de domnios de coliso. A rea de rede na qual quadros tm origem e colidem chamada de domnio de coliso. Todos os ambientes de meio compartilhados, como os criados usando-se hubs, so domnios de coliso. Quando um host conectado a uma porta de switch, o switch cria uma conexo dedicada. Essa conexo considerada um domnio de coliso individual porque o trfego mantido separado de todos os demais trfegos, o que elimina o potencial para uma coliso. A figura mostra domnios de coliso exclusivos em um ambiente comutado. Por exemplo, se um switch com 12 portas tem um dispositivo conectado em cada porta, 12 domnios de coliso so criados. Como voc sabe agora, um switch cria uma tabela de endereos MAC, aprendendo os endereos MAC dos hosts conectados a cada porta de switch. Quando dois hosts conectados desejam se comunicar, o switch usa a tabela de comutao para estabelecer uma conexo entre as portas. O circuito mantido at que a sesso seja finalizada. Na figura, Host A e Host B desejam se comunicar. O switch cria a conexo conhecida como um microssegmento. O microssegmento se comporta como se a rede tivesse apenas dois hosts, um host de envio e um de recebimento, fornecendo utilizao mxima da largura de banda disponvel. Os switches reduzem colises e melhoram o uso da largura de banda em segmentos de rede porque eles fornecem largura de banda dedicada a cada segmento de rede. Exibir meio visual
Pgina 2: Domnios de broadcast Embora os switches filtrem a maioria dos quadros com base nos endereos MAC, eles no filtram quadros de broadcast.
Tema acessvel CISCO
Pgina 6 de 34
Para que outros switches na LAN obtenham quadros difundidos, estes devem ser encaminhados por switches. Uma coleo de switches interconectados forma um nico domnio de broadcast. Apenas uma entidade da Camada 3, como um roteador ou uma rede LAN virtual (VLAN), pode parar um domnio de broadcast da Camada 3. Os roteadores e as VLANs so usados para segmentar os domnios de coliso e de broadcast. O uso de VLANs para segmentar domnios de broadcast ser abordado no prximo captulo. Quando um dispositivo deseja enviar um broadcast de Camada 2, o endereo MAC de destino no quadro definido como unidade. Definindo o destino como esse valor, todos os dispositivos aceitam e processam o quadro difundido. O domnio de broadcast na Camada 2 conhecido como o domnio de broadcast MAC. O domnio de broadcast MAC consiste em todos os dispositivos na rede local que recebem broadcasts de quadro por um host em todas as demais mquinas na rede local. Isso mostrado na primeira metade da animao. Quando um switch recebe um quadro difundido, ele encaminha o quadro para todas as suas portas, exceto a porta de entrada em que o switch recebeu o quadro de broadcast. Cada dispositivo acoplado reconhece o quadro de broadcast e o processa. Isso acarreta uma eficincia de rede reduzida, porque a largura de banda usada para propagar o trfego de broadcast. Quando dois switches so conectados, o domnio de broadcast aumenta. Neste exemplo, um quadro de broadcast encaminhado para todas as portas conectadas no switch S1. O switch S1 conectado ao switch S2. O quadro propagado para todos os dispositivos conectados ao switch S2. Isso mostrado na segunda metade da animao. Exibir meio visual
Pgina 3: Latncia de rede Latncia o tempo que um quadro ou um pacote demora para ir da estao de origem para o destino final. Os usurios dos aplicativos baseados em rede enfrentam latncia quando precisam aguardar muitos minutos para acessar os dados armazenados em uma central de dados ou quando um site demora muitos minutos para ser carregado em um navegador. A latncia tem pelo menos trs origens. Primeiro, existe o tempo necessrio para que a placa de rede de origem insira pulsos de tenso no fio e o tempo necessrio placa de rede de destino para interpretar esses pulsos. s vezes, isso chamado de atraso de placa de rede, normalmente cerca de um microssegundo para uma placa de rede 10BASE-T. Segundo, existe o atraso de propagao real medida que o sinal demora para percorrer o cabo. Normalmente, so aproximadamente 0,556 microssegundos por 100 m para UTP Cat 5. O cabo mais longo e a velocidade nominal menor da propagao (NVP) resultam em mais atraso de propagao. Terceiro, a latncia adicionada com base nos dispositivos de rede que esto no caminho entre dois dispositivos. Eles so dispositivos de camadas 1, 2 ou 3. Essas trs contribuies para com a latncia podem ser identificadas na animao na medida em que o quadro atravessa a rede. A latncia no depende exclusivamente da distncia e do nmero de dispositivos. Por exemplo, se trs switches configurados corretamente separarem dois computadores, os computadores podero apresentar menos latncia que se dois roteadores configurados corretamente os separassem. Isso porque os roteadores realizam funes mais complexas e demoradas. Por exemplo, um roteador deve analisar os dados da Camada 3, enquanto os switches apenas analisam os dados da Camada 2. Como os dados da Camada 2 esto presentes na estrutura do quadro antes dos dados da Camada 2, os switches podem processar o quadro mais rapidamente. Os switches tambm suportam as altas taxas de transmisso das redes de voz, vdeo e dados, empregando circuitos integrados especficos de aplicativo (ASIC) para fornecer suporte a hardware para muitas tarefas de networking. Os recursos de switch adicionais, como o armazenamento em buffer da memria baseada na porta, a QoS do nvel de porta e o gerenciamento de congestionamento, tambm ajudam a reduzir a latncia de rede. A latncia com base no switch tambm pode se dever trama do switch substituda. Muitos switches de nvel de entrada no tm produtividade interna o suficiente para gerenciar os recursos da largura de banda completa em todas as portas simultaneamente. O switch precisa ser capaz de gerenciar a quantidade de dados de pico esperada na rede. Na medida em que a tecnologia de comutao melhora, a latncia no switch deixa de ser o problema. A causa predominante da latncia de rede em uma rede local comutada mais uma funo da mdia transmitida, os protocolos de roteamento usados e os tipos de aplicativos executados na rede. Exibir meio visual
Pgina 4: Congestionamento de rede O principal motivo para segmentar uma rede local em partes menores isolar o trfego e obter um uso melhor da largura de banda por usurio. Sem segmentao, uma rede local fica rapidamente obstruda com trfego e colises. A figura mostra uma rede sujeita ao congestionamento por vrios dispositivos de n em uma rede com base em hub. Estas so as causas mais comuns do congestionamento de rede:
Tema acessvel CISCO
Pgina 7 de 34
tecnologias de computador e de rede cada vez mais eficientes. Hoje, CPUs, barramentos e perifricos so muito mais rpidos e eficientes que os usados nas primeiras redes locais, logo, eles podem enviar mais dados em taxas maiores pela rede, podendo processar mais dados com taxas maiores. Maior volume do trfego da rede. O trfego da rede agora mais comum porque os recursos remotos so necessrios para realizar o trabalho bsico. Alm disso, as mensagens de broadcast, como consultas de resoluo enviadas por ARP, podem afetar negativamente a estao final e o desempenho da rede. Aplicativos de largura de banda alta. Os aplicativos esto ficando cada vez mais avanados em sua funcionalidade, exigindo mais e mais largura de banda. Editorao eletrnica, design de engenharia, vdeo sob demanda (VoD), aprendizagem eletrnica (e-learning) e streaming de vdeo, todos exigem uma eficincia e uma velocidade de processamento considervel.
Exibir meio visual
Pgina 5: Segmentao de rede local As redes locais so segmentadas em vrios domnios de coliso e de broadcast menores usando roteadores e switches. Anteriormente, eram usadas bridges, mas esse tipo de equipamento de rede raramente visto em uma rede local comutada moderna. A figura mostra os roteadores e os switches que segmentam uma rede local. Na figura, a rede segmentada em quatro domnios de coliso que usam o switch. Passe o mouse sobre o domnio de coliso para ver o tamanho de cada domnio de coliso. No entanto, o domnio de broadcast na figura abrange toda a rede. Passe o mouse sobre o domnio de broadcast para ver o tamanho do domnio de broadcast. Bridges e switches Embora as bridges e os switches compartilhem muitos atributos, vrias distines diferenciam essas tecnologias. As bridges costumam ser usadas para segmentar uma rede local para um alguns segmentos menores. Os switches costumam ser usados para segmentar uma rede local grande em muitos segmentos menores. As bridges s tm algumas portas para conectividade de rede local, e os switches tm muitas. Roteadores Embora o switch de rede local reduza o tamanho dos domnios de coliso, todos os hosts conectados ao switch e na mesma VLAN ainda esto no mesmo domnio de broadcast. Como os roteadores no encaminham trfego de broadcast por padro, eles podem ser usados para criar domnios de broadcast. Criar domnios de broadcast adicionais, menores, com um roteador reduz o trfego de broadcast e fornece mais largura de banda disponvel para uma comunicao unicast. Cada interface do roteador se conecta a uma rede separada, contendo trfego de broadcast no segmento de rede local no qual se originou. Clique no boto Domnio de coliso e de broadcast com controle para ver o efeito da introduo de roteadores e mais switches na rede. Passe o mouse sobre as duas reas de texto para identificar os domnios de broadcast e de coliso diferentes. Exibir meio visual
2.1.3 Consideraes sobre o design da rede local Pgina 1: Controlando latncia de rede Ao criar uma rede para reduzir a latncia, voc precisa considerar a latncia causada por cada dispositivo na rede. Os switches podem introduzir latncia em uma rede quando esto em excesso em uma rede ocupada. Por exemplo, se um switch do nvel de ncleo precisar suportar 48 portas, cada uma sendo capaz de funcionar em full duplex 1000 Mb/s, o switch dever suportar cerca de 96 Gb/s de produtividade interna se precisar manter velocidade de fio total em todas as portas simultaneamente. Nesse exemplo, os requisitos de produtividade informados so tpicos de switches do nvel de ncleo, e no de switches do nvel de acesso. O uso de dispositivos de camada mais alta tambm pode aumentar a latncia em uma rede. Quando um dispositivo da Camada 3, como um roteador, precisa examinar as informaes de endereamento da Camada 3 contidas no quadro, ele deve ir alm do quadro de um dispositivo da Camada 2, que cria um tempo de processamento maior. Limitar o uso de dispositivos de camada mais alta pode ajudar a reduzir a latncia de rede. No entanto, o uso apropriado de dispositivos da Camada 3 ajuda a evitar a conteno no trfego de broadcast em um domnio de broadcast grande ou a taxa de coliso alta em um domnio de coliso grande.
Tema acessvel CISCO
Pgina 8 de 34
Removendo gargalos Gargalos em uma rede so locais em que um alto congestionamento de rede resulta em desempenho lento. Clique no boto Removendo gargalos de rede na figura. Nesta figura, que mostra seis computadores conectados a um switch, um nico servidor tambm conectado ao mesmo switch. Cada estao de trabalho e o servidor so todos conectados usando uma placa de rede 1000 Mb/s. O que acontece quando todos os seis computadores tentam acessar o servidor ao mesmo tempo? Cada estao de trabalho obtm um acesso dedicado de 1000 Mb/s ao servidor? No, todos os computadores precisam compartilhar a conexo de 1000 Mb/s que o servidor tem com o switch. Cumulativamente, os computadores so capazes de 6000 Mb/s com o switch. Se cada conexo fosse usada com total capacidade, cada computador poderia usar apenas 167 Mb/s, um sexto da largura de banda de 1000 Mb/s. Para reduzir o gargalo no servidor, placas de rede adicionais podem ser instaladas, o que aumenta a largura de banda total que o servidor capaz de receber. A figura mostra cinco placas de rede no servidor e aproximadamente cinco vezes a largura de banda. A mesma lgica se aplica a topologias de rede. Quando switches com vrios ns so interconectados por uma nica conexo de 1000 Mb/s, um gargalo criado nessa nica interconexo. Links de maior capacidade (por exemplo, atualizando de conexes de 100 Mb/s para 1000 Mb/s) e usar tecnologias de agregao de links para vrios links (por exemplo, integrando dois links como se eles fossem um para dobrar a capacidade de uma conexo) podem ajudar a reduzir os gargalos criados por links de inter-switch e de roteador. Embora a configurao da agregao de link esteja fora do escopo deste curso, importante considerar os recursos de um dispositivo ao avaliar as necessidades de uma rede. Quantas portas e de que velocidade o dispositivo capaz? Qual a produtividade interna do dispositivo? Ele pode tratar as cargas de trfego antecipadas considerando sua posio na rede? Exibir meio visual
Pgina 2: Exibir meio visual
2.2 Encaminhando quadros usando um switch

2.2.1 Mtodos de encaminhamento de switch Pgina 1: Mtodos de encaminhamento de pacotes do switch Neste tpico, voc saber como os switches encaminham quadros Ethernet em uma rede. Os switches podem funcionar em modos diferentes, que podem ter efeitos positivos e negativos. Antigamente, os switches usavam um dos seguintes mtodos de encaminhamento para comutar dados entre portas de rede: armazenar e encaminhar ou direta. Consultar o boto Mtodos de Encaminhamento do Switch mostra esses dois mtodos. No entanto, armazenar e encaminhar o nico mtodo de encaminhamento usado nos modelos atuais dos switches Cisco Catalyst. Comutao armazenar e encaminhar Na comutao armazenar e encaminhar, quando o switch recebe o quadro, ele armazena os dados em buffers at que o quadro completo seja recebido. Durante o processo de armazenamento, o switch analisa o quadro para obter informaes sobre seu destino. Nesse processo, o switch tambm executa uma verificao de erros usando a poro de trailer da verificao de redundncia cclica (CRC) do quadro Ethernet. A CRC usa uma frmula matemtica, baseada no nmero de bits (1s) no quadro, para determinar se o quadro recebido tem um erro. Depois de confirmar a integridade do quadro, o quadro encaminhado pela porta apropriada at seu destino. Quando um erro detectado em um quadro, o switch descarta o quadro. Descartar quadros com erros reduz a quantidade de largura de banda consumida por dados corrompidos. A comutao armazenar e encaminhar obrigatria para a anlise da Qualidade de Servio (QoS) em redes convergidas nas quais a classificao de quadro para priorizao de trfego necessria. Por exemplo, os fluxos de dados de voz sobre IP precisam ter prioridade sobre o trfego da navegao na Web. Clique no boto Comutao armazenar e encaminhar e reproduza a animao para uma demonstrao do processo armazenar e encaminhar. Comutao direta Na comutao direta, o switch age nos dados assim que eles so recebidos, mesmo que a transmisso no seja concluda. O switch armazena em buffer o suficiente do quadro para ler o endereo MAC de destino de forma que possa determinar para qual porta encaminhar os dados. O endereo MAC de destino est localizado nos seis primeiros bytes do quadro aps o prembulo. O switch observa o endereo MAC de destino em sua tabela de comutao, determina a porta da interface de sada e encaminha o quadro para seu destino pela porta de switch designada. O switch no executa nenhuma verificao de erros no quadro. Como o switch no precisa aguardar que todo quadro seja armazenado em buffer e como ele no executa nenhuma verificao de erros, a comutao direta mais rpida que a comutao armazenar e encaminhar. No entanto, como o switch no executa nenhuma verificao de erros, ele encaminha quadros
Tema acessvel CISCO
Pgina 9 de 34
corrompidos ao longo da rede. Os quadros corrompidos consomem largura de banda enquanto so encaminhados. A placa de rede de destino acaba descartando os quadros corrompidos. Clique no boto Comutao direta e reproduza a animao para uma demonstrao do processo de comutao direta. H duas variantes da comutao direta:
z
Comutao fast forward: A comutao fast forward oferece o nvel mais baixo de latncia. A comutao fast forward encaminha imediatamente um pacote depois de ler o endereo de destino. Como a comutao fast forward inicia o encaminhamento antes de todo o pacote ser recebido, talvez haja momentos em que os pacotes sejam retransmitidos com erros. Isso raramente ocorre, e o adaptador de rede de destino descarta o pacote com defeito assim que ele recebido. No modo fast forward, a latncia medida do primeiro bit recebido at o primeiro bit transmitido. A comutao fast forward o mtodo direto tpico de comutao. Comutao sem fragmentos: Na comutao sem fragmentos, o switch armazena os primeiros 64 bytes do quadro antes de encaminhar. A comutao sem fragmentos pode ser vista como um compromisso entre as comutaes armazenar e encaminhar e direta. O motivo pelo qual a comutao sem fragmentos armazena apenas os primeiros 64 bytes do quadro que a maioria dos erros de rede e das colises ocorre durante os primeiros 64 bytes. A comutao sem fragmentos tenta aprimorar a comutao direta, executando uma pequena verificao de erros nos primeiros 64 bytes do quadro para assegurar que uma coliso no tenha ocorrido antes do encaminhamento do quadro. A comutao sem fragmentos um compromisso entre a latncia alta e a integridade alta da comutao armazenar e encaminhar e a baixa latncia e a integridade reduzida da comutao direta.
Alguns switches so configurados para executar a comutao direta base por base at que um limite de erro definido pelo usurio seja alcanado e, em seguida, eles alteram automaticamente para armazenar e encaminhar. Quando a taxa de erros fica abaixo do limite, a porta retorna automaticamente comutao direta. Exibir meio visual
2.2.2 Comutao simtrica e assimtrica Pgina 1: Comutao simtric e assimtric a a Neste tpico, voc saber as diferenas entre a comutao simtrica e assimtrica em uma rede. A comutao de rede local pode ser classificada como simtrica ou assimtrica com base na forma como a largura de banda alocada para portas de switch. A comutao simtrica fornece conexes comutadas entre portas com a mesma largura de banda, como todas as portas de 100 Mb/s ou todas as portas de 1000 Mb/s. Um switch de rede local assimtrico fornece conexes comutadas entre portas de largura de banda diferente, como uma combinao de portas de 10 Mb/s, 100 Mb/s e 1000 Mb/s. A figura mostra as diferenas entre as comutaes simtrica e assimtrica. Assimtric a A comutao assimtrica permite que mais largura de banda seja dedicada a uma porta de switch do servidor para impedir um gargalo. Isso permite fluxos de trfego melhores onde vrios clientes esto se comunicando com um servidor ao mesmo tempo. O armazenamento em buffer da memria obrigatrio em um switch assimtrico. Para que o switch seja compatvel com as taxas de dados diferentes em portas diferentes, todos os quadros so mantidos no buffer da memria e movidos para a porta um a um conforme necessrio. Simtric a Em um switch simtrico, todas as portas tm a mesma largura de banda. A comutao simtrica otimizada para uma carga de trfego distribuda razoavelmente, como em um ambiente da rea de trabalho ponto-a-ponto. Um gerente de rede deve avaliar a quantidade necessria da largura de banda para conexes entre os dispositivos para acomodar o fluxo de dados dos aplicativos baseados na rede. A maioria dos switches atuais assimtrica porque esse tipo de switch oferece a maior flexibilidade. Exibir meio visual
2.2.3 Armazenamento em buffer da memria Pgina 1: Armazenamento em buffer na memria c ompartilhada e baseado na porta Como voc aprendeu em um tpico anterior, um switch analisa alguns ou todos os pacotes antes de encaminh-los para o host de destino com base no mtodo de encaminhamento. O switch armazena o pacote enquanto ele est em um buffer de memria. Neste tpico, voc saber como dois tipos de buffers de memria so usados durante o encaminhamento do switch.
Tema acessvel CISCO
Pgina 10 de 34
Um switch Ethernet pode usar uma tcnica de armazenamento em buffer para armazenar quadros antes de encaminhlos. O armazenamento em buffer tambm poder ser usado quando a porta de destino estiver ocupada devido ao congestionamento e o switch armazenar o quadro at que ele possa ser transmitido. O uso da memria para armazenar os dados chamado de armazenamento em buffer de memria. O armazenamento em buffer de memria criado no hardware do switch e, diferentemente do aumento da quantidade de memria disponvel, no configurvel. H dois mtodos de armazenamento em buffer de memria: memria compartilhada e baseada na porta. Armazenamento em buffer da memria baseado na porta No armazenamento em buffer de memria baseada na porta, os quadros so armazenados em filas vinculadas a portas de entrada e de sada especficas. Um quadro s ser transmitido para a porta de sada quando todos os quadros frente dele na fila forem transmitidos com xito. possvel para um nico quadro atrasar a transmisso de todos os quadros na memria por conta de uma porta de destino ocupada. Esse atraso ocorre mesmo que os demais quadros possam ser transmitidos para portas de destino abertas. Armazenamento em buffer de memria c ompartilhada O armazenamento em buffer de memria compartilhada deposita todos os quadros em um buffer de memria comum compartilhado por todas as portas no compartilhamento do switch. A quantidade da memria de buffer exigida por uma porta alocada dinamicamente. Os quadros no buffer so vinculados dinamicamente porta de destino. Isso permite que o pacote seja recebido em uma porta e, em seguida, transmitido em outra porta, sem mov-lo para uma fila diferente. O switch mantm um mapa do quadro para links de porta que mostra onde um pacote precisa ser transmitido. O link de mapa ser limpo depois que o quadro for transmitido com xito. O nmero de quadros armazenados no buffer restringido pelo tamanho de todo o buffer de memria, no estando limitado a um nico buffer de porta. Isso permite a transmisso de quadros maiores com menos quadros descartados. Isso importante para a comutao assimtrica, em que os quadros so trocados entre portas de taxas diferentes. Exibir meio visual
2.2.4 Comutao das camadas 2 e 3 Pgina 1: Comutao das camadas 2 e 3 Neste tpico, voc revisar o conceito da comutao de Camada 2 e obter informaes sobre a comutao de Camada 3. Um switch de rede local de Camada 2 executa a comutao e a filtragem exclusivamente com base no endereo MAC (Camada 2) camada de enlace de dados de OSI. Um switch da Camada 2 totalmente transparente a protocolos de rede e aplicativos de usurio. Lembre-se de que um switch da Camada 2 cria uma tabela de endereos MAC usada para tomar decises de encaminhamento. Um switch da Camada 3, como o Catalyst 3560, funciona de maneira semelhante ao switch da Camada 2, como o Catalyst 2960, mas em vez de usar apenas as informaes de endereo MAC da Camada 2 para decises de encaminhamento, um switch da Camada 3 tambm pode usar as informaes de endereo IP. Em vez de apenas aprender que endereos MAC esto associados a quais portas, um switch da Camada 3 tambm pode aprender quais endereos IP esto associados s suas interfaces. Isso permite ao switch da Camada 3 direcionar trfego por toda a rede com base nas informaes de endereo IP. Os switches da Camada 3 tambm so capazes de executar funes de roteamento da Camada 3, o que reduz a necessidade de roteadores dedicados em uma rede local. Como os switches da Camada 3 tm hardware de comutao especializado, eles normalmente podem rotear dados com a mesma velocidade que os comutam. Exibir meio visual
Pgina 2: Comparao entre switc e roteador da Camada 3 h No tpico anterior, voc aprendeu que os switches da Camada 3 examinam informaes da Camada 3 em um pacote Ethernet para tomar decises de encaminhamento. Os switches da Camada 3 podem rotear pacotes entre segmentos de rede local diferentes para roteadores dedicados de maneira semelhante. No entanto, os switches da Camada 3 no substituem por completo a necessidade de roteadores em uma rede. Os roteadores executam servios adicionais de Camada 3 que os switches da Camada 3 no so capazes de realizar. Os roteadores tambm so capazes de executar tarefas de encaminhamento de pacotes no encontradas em switches da Camada 3, como estabelecer conexes de acesso remoto com redes remotas e dispositivos. Os roteadores dedicados so mais flexveis quanto ao suporte de placas de interface WAN (WIC), o que faz deles os preferenciais e, apenas s vezes, a opo para se conectar a uma WAN. Os switches da Camada 3 podem fornecer funes de roteamento bsicas em uma rede local e reduzir a necessidade de roteadores dedicados.
Tema acessvel CISCO
Pgina 11 de 34
Exibir meio visual
2.3 Configurao do gerenciamento do switch

2.3.1 Navegando nos modos da interface de linha de comando Pgina 1: Os modos da interface de linha de comando Neste tpico, voc revisar o que aprendeu em Explorao CCNA: Fundamentos de rede sobre como navegar nos vrios modos da interface de linha de comando (CLI). Como recurso de segurana, o software IOS Cisco separou as sesses EXEC nestes nveis de acesso:
z
EXEC do usurio: Permite a uma pessoa acessar apenas um nmero limitado de comandos de monitoramento bsicos. O modo EXEC do usurio o modo padro em que voc ingressa depois de fazer login em um switch Cisco na CLI. O modo EXEC do usurio identificado pelo > prompt. EXEC privilegiado: Permite a uma pessoa acessar todos os comandos do dispositivo, como os usados na configurao e no gerenciamento, podendo ser protegido por senha para s permitir que usurios autorizados acessem o dispositivo. O modo EXEC privilegiado identificado pelo # prompt.
Para passar do modo EXEC do usurio para o modo EXEC privilegiado, digite o comando enable. Para passar do modo EXEC privilegiado para o modo EXEC do usurio, digite o comando disable. Em uma rede real, o switch solicita a senha. Digite a senha correta. Por padro, a senha no configurada. A figura mostra os comandos do Cisco IOS usados para navegar do modo EXEC do usurio para o modo EXEC privilegiado e vice-versa. Clique no boto EXEC do usurio e modo EXEC privilegiado na figura. Navegando em modos de configurao Ao ingressar no modo EXEC privilegiado no switch Cisco, voc pode acessar outros modos de configurao. O software IOS Cisco usa uma hierarquia de comandos em sua estrutura do modo de comandos. Cada modo de comandos suporta comandos do Cisco IOS especficos relacionados a um tipo de operao no dispositivo. H muitos modos de configurao. Por ora, voc explorar como navegar em dois modos de configurao comuns: modo de configurao global e modo de configurao de interface. Clique no boto Navegando em modos de configurao na figura. Modo de configurao global O exemplo comea com o switch no modo EXEC privilegiado. Para configurar parmetros de switch globais, como o nome de host do switch ou o endereo IP do switch usado para fins de gerenciamento, use o modo de configurao global. Para acessar o modo de configurao local, digite o comando configure terminal no modo EXEC privilegiado. O prompt muda para (config)#. Modo de configurao de interface Configurar parmetros especficos de interface uma tarefa comum. Para acessar o modo de configurao da interface no modo de configurao global, digite o comando interface <interface name> command. O prompt muda para (config-if) #. Para sair do modo de configurao da interface, use o comando exit. O prompt muda novamente para (config)#, informando voc de que est no modo de configurao global. Para sair do modo de configurao global, digite novamente o comando exit. O prompt muda para #, o que significa modo EXEC privilegiado. Exibir meio visual
Pgina 2: Alternativas baseadas na interface grfica do usurio CLI H vrias alternativas de gerenciamento grfico ao gerenciamento de um switch Cisco. Usar uma interface grfica do usurio (GUI) oferece um gerenciamento de switch simplificado e uma configurao sem conhecimento detalhado da Cisco CLI. Clique no boto Assistente de rede Cisco na figura. Assistente de rede Cisco
Tema acessvel CISCO
Pgina 12 de 34
Assistente de rede Cisco um aplicativo de gerenciamento de rede da interface grfica do usurio baseada em PC otimizada para redes locais de pequenas e mdias empresas. possvel configurar e gerenciar grupos de switches ou switches autnomos. A figura mostra a interface de gerenciamento do Assistente de Rede. O Assistente de rede Cisco est disponvel a nenhum custo, podendo ser baixado em Cisco (nome de usurio/senha CCO obrigatrios): http://www.cisco.com/en/US/prod/collateral/netmgtsw/ps6504/ps5931/product_data_sheet0900aecd8068820a.html Clique no boto CiscoView na figura . Aplica tivo CiscoView O aplicativo de gerenciamento de dispositivo CiscoView mostra uma exibio fsica do switch que possvel usar para definir parmetros de configurao e exibir o status do switch e as informaes de desempenho. O aplicativo CiscoView, comprado separadamente, pode ser um aplicativo autnomo ou parte de um protocolo de gerenciamento de rede comum (SNMP). A figura mostra a interface de gerenciamento do CiscoView Device Manager. Obtenha mais informaes sobre o CiscoView Device Manager em: http://www.cisco.com/en/US/products/sw/cscowork/ps4565/prod_bulletin0900aecd802948b0.html (em ingls) Clique no boto Gerencia dor de dispositivo Cisco na figura . Gerente de dispositivo Cisco Gerente de dispositivo Cisco um software baseado na Web armazenado na memria do switch. possvel usar o Device Manager para configurar e gerenciar switches. possvel acessar o Device Manager em qualquer lugar da sua rede usando um navegador. A figura mostra a interface de gerenciamento. Clique no boto Gerencia mento de rede SNMP na figura. Gerencia mento de rede SNMP possvel gerenciar switches em uma estao de gerenciamento compatvel com SNMP, como HP OpenView. O switch pode fornecer informaes de gerenciamento abrangentes e fornecer quatro grupos de monitoramento remoto (RMON). O gerenciamento de rede SNMP mais comum em redes de grandes empresas. Exibir meio visual
2.3.2 Usando o recurso de ajuda Pgina 1: Ajuda sensvel a contexto o A CLI do Cisco IOS oferece dois tipos de ajuda:
z
Ajuda da pala : Se voc no se lembrar de um comando inteiro, mas se lembrar dos primeiros caracteres, digite vra a seqncia de caracteres seguida de um ponto de interrogao (?). No inclua um espao antes do ponto de interrogao.
Uma lista de comandos que comeam com os caracteres digitados exibida. Por exemplo, digitar sh? retorna uma lista de todos os comandos que comeam com a seqncia de caracteres sh.
z
Ajuda da sintaxe de comando: Se voc no estiver familiarizado com os comandos disponveis em seu contexto atual na CLI do Cisco IOS ou se voc no souber os parmetros obrigatrios ou disponveis para concluir um determinado comando, digite o comando ?.
Quando apenas ? digitado, uma lista de todos os comandos disponveis no contexto atual exibida. Se o comando ? for digitado depois de um comando especfico, os argumentos do comando sero exibidos. Se <cr> for exibido, nenhum outro argumento ser necessrio para fazer o comando funcionar. No se esquea de incluir um espao antes do ponto de interrogao para impedir que a CLI do Cisco IOS execute a ajuda de palavra, e no a ajuda de sintaxe do comando. Por exemplo, digite show ? para obter uma lista das opes de comando suportadas pelo comando show. A figura mostra as funes de ajuda Cisco. Usando o exemplo da configurao do relgio do dispositivo, vejamos como a ajuda de CLI funciona. Se o relgio do dispositivo precisar ser definido, mas a sintaxe de comando clock no for conhecida, a janela sensvel ao contexto fornecer um meio de verificar a sintaxe. A ajuda sensvel ao contexto fornece todo o comando, mesmo que voc digite apenas a primeira parte do comando, como cl?.
Tema acessvel CISCO
Pgina 13 de 34
Se voc digitar o comando clock seguido da tecla Enter, uma mensagem de erro indicar que o comando est incompleto. Para exibir os parmetros exigidos do comando clock, digite ?, antecedido por um espao. No exemplo clock ?, a sada de comando da ajuda mostra que a palavra-chave set obrigatria depois de clock. Se agora voc digitar o comando clock set, outra mensagem de erro ser exibida, indicando que o comando ainda est incompleto. Agora adicione um espao e digite o comando ? para exibir uma lista de argumentos do comando que esto disponveis a essa altura para o determinado comando. Os argumentos adicionais necessrios definio do relgio so exibidos: a hora atual que usa horas, minutos e segundos. Para obter um excelente recurso sobre como usar a CLI do Cisco IOS, visite: http://www.cisco.com/univercd/cc/td/doc/product/software/ios124/124cg/hcf_c/ch10/index.htm (em ingls). Exibir meio visual
Pgina 2: Mensagens de erro da console As mensagens de erro da console ajudam a identificar problemas quando um comando incorreto digitado. A figura fornece mensagens de erro de exemplo, o que elas significam e como obter ajuda quando elas so exibidas. Exibir meio visual
2.3.3 Acessando o histrico de comandos Pgina 1: O buffer do histrico de comandos Quando voc est configurando muitas interfaces em um switch, possvel economizar tempo ao redigitar comandos, usando o buffer do histrico de comandos do Cisco IOS. Neste tpico, voc aprender a configurar o buffer do histrico de comandos para suportar suas iniciativas de configurao. A CLI Cisco fornece um histrico ou um registro de comandos digitados. Esse recurso, chamado de histrico de comandos, especialmente til para ajudar a relembrar comandos ou entradas longas ou complexas. Com o recurso do histrico de comandos, possvel concluir as seguintes tarefas:
z z z
Exiba o contedo do buffer de comandos. Defina o tamanho do buffer do histrico de comandos. Lembre comandos digitados anteriormente armazenados no buffer do histrico. H um buffer para cada modo de configurao.
Por padro, o histrico de comandos habilitado e o sistema registra as ltimas dez linhas de comando em seu buffer de histrico. possvel usar o comando show history para exibir os comandos EXEC digitados recentemente. Exibir meio visual
Pgina 2: Configurar o buffer do histrico de comandos Nos produtos de rede Cisco que suportam o software Cisco IOS, o histrico de comandos permanece habilitado por padro e as ltimas dez linhas de comando so registradas no buffer do histrico. O histrico de comandos pode ser desabilitado durante a sesso terminal atual apenas usando o comando terminal no history no modo EXEC do usurio ou privilegiado. Quando o histrico de comandos desabilitado, o dispositivo deixa de manter todas as linhas de comando digitadas anteriormente. Para restaurar o valor padro de dez linhas para o tamanho do histrico do terminal, digite o comando terminal no history size no modo EXEC privilegiado. A figura fornece uma explicao e um exemplo desses comandos do Cisco IOS. Exibir meio visual
2.3.4 A sequncia de inicializao do switch Pgina 1: Descrever a sequncia de inicializao Neste tpico, voc aprender a sequncia de comandos do Cisco IOS que um switch executa no estado desligado para
Tema acessvel CISCO
Pgina 14 de 34
exibir o prompt de login. Depois que um switch Cisco for ligado, ele passar pela seguinte seqncia de inicializao: O switch carrega o software boot loader. Boot loader um programa pequeno armazenado na ROM, sendo executado quando o switch ligado pela primeira vez. O boot loader:
z z z z
Executa a inicializao de CPU de baixo nvel. Ele inicializa os registradores de CPU, que controlam onde a memria fsica mapeada, a quantidade de memria e sua velocidade. Executa auto-teste de inicializao (POST, power-on self-test) no subsistema de CPU. Ele testa a DRAM da CPU e a poro do dispositivo de rede que constitui o sistema de arquivos flash. Inicializa o sistema de arquivos flash na placa do sistema. Carrega uma imagem do software de sistema operacional padro na memria e inicializa o switch. O boot loader localiza a imagem do Cisco IOS no switch, procurando inicialmente um diretrio com o mesmo nome do arquivo da imagem (exceto a extenso .bin). Se ele no localiz-la l, o software boot loader pesquisa todos os subdiretrios antes de continuar pesquisando o diretrio original.
Em seguida, o sistema operacional inicializa as interfaces usando os comandos do Cisco IOS localizados no arquivo de configurao do sistema operacional, config.text, armazenado na memria flash do switch. Recuperando-se de uma falha do sistema O boot loader tambm fornecer acesso no switch se o sistema operacional no puder ser usado. O boot loader tem um recurso de linha de comando que fornece acesso aos arquivos armazenados na memria flash antes do sistema operacional ser carregado. Na linha de comando do boot loader, possvel digitar comandos para formatar o sistema de arquivos da memria flash, reinstalar a imagem de software do sistema operacional ou recuperar uma senha perdida ou esquecida. Exibir meio visual
2.3.5 Preparar a configurao do switch Pgina 1: Preparar a configurao do switch A inicializao inicial de um switch Catalyst exige a concluso das seguintes etapas: Etapa 1. Antes de iniciar o switch, verifique o seguinte: Todas as conexes de cabo do rede esto seguras. O seu PC ou terminal est conectado porta console. O seu aplicativo emulador terminal, como HyperTerminal, est em execuo e configurado corretamente. A figura ilustra como conectar um PC a um switch que usa a porta console. Clique no boto Configurar HyperTerminal na figura. A figura mostra a configurao correta do HyperTerminal, que pode ser usado para exibir a console de um dispositivo Cisco. Etapa 2. Acople o cabo de energia ao soquete da fonte de alimentao do switch. O switch ser reiniciado. Alguns switches Catalyst, inclusive a srie Cisco Catalyst 2960, no tm botes de energia. Etapa 3. Observe a seguinte seqncia de inicializao: Quando o switch for ligado, o POST comear. Durante o POST, os LEDs piscam enquanto uma srie de testes determinam se o switch est funcionando corretamente. Quando o POST concludo, o LED SYST pisca rapidamente em verde. Se houver falha no switch durante o POST, o LED SYST acender em mbar. Quando um switch falha durante o teste POST, necessrio repar-lo. Observe o texto da sada de comando do software Cisco IOS na console. Clique no boto Exibir processo de inicializao na console na figura. A figura mostra o processo de inicializao na console de um switch Cisco. Durante a inicializao inicial do switch, se forem detectadas falhas durante o POST, elas sero informadas console, e o switch no iniciar. Se o POST for concludo com xito, e o switch no tiver sido configurado antes, voc ser solicitado a configurar o switch. Exibir meio visual
Tema acessvel CISCO
Pgina 15 de 34
2.3.6 Configurao bsica do switch Pgina 1: Consideraes sobre a interface de gerenciamento Um switch da camada de acesso muito semelhante a um PC quanto sua necessidade de configurar um endereo IP, uma mscara de sub-rede e um gateway padro. Para gerenciar um switch remotamente usando TCP/IP, voc precisa atribuir um endereo IP ao switch. Na figura, voc deseja gerenciar S1 em PC1, um computador usado para gerenciar a rede. Para fazer isso, voc precisa atribuir um endereo IP ao switch S1. Esse endereo IP atribudo a uma interface virtual chamada rede LAN virtual (VLAN), logo, necessrio assegurar que a VLAN seja atribuda a uma porta especfica ou portas no switch. Na configurao padro do switch, seu gerenciamento controlado por meio da VLAN 1. Porm, uma prtica recomendada para a configurao bsica do switch alterar a VLAN de gerenciamento para outra que no seja a VLAN 1. Os motivos para isso so explicados no prximo captulo. A figura ilustra o uso de VLAN 99 como a VLAN de gerenciamento. No entanto, importante considerar que uma interface diferente de VLAN 99 pode ser considerada para a interface de gerenciamento. Nota: Voc obter mais informaes sobre VLANs no prximo captulo. Aqui o foco est em como fornecer acesso de gerenciamento ao switch que usa uma VLAN alternativa. Alguns dos comandos apresentados aqui so explicados mais detalhadamente no prximo captulo. Por ora, a VLAN 99 criada e recebe um endereo IP. Dessa forma, a porta apropriada no switch S1 atribuda VLAN 99. A figura tambm mostra essas informaes de configurao. Clique no boto Configurar interface de gerenciamento na figura. Configurar interface de gerenciamento Para configurar um endereo IP e a mscara de sub-rede na VLAN de gerenciamento do switch, voc deve estar no modo de configurao de interface VLAN. Use o comando interface vlan 99 e digite o comando de configurao do endereo IP. Voc deve usar o comando de configurao da interface no shutdown para tornar essa interface da Camada 3 operacional. Quando voc v "interface VLAN x", isso se refere interface da Camada 3 associada VLAN x. Apenas a VLAN de gerenciamento tem uma VLAN de interface associada. Observe que um switch da Camada 2, como o Cisco Catalyst 2960, s permite a uma nica interface VLAN ser ativa por vez. Isso significa que a interface da Camada 3, a interface VLAN 99, est ativa, mas que a interface da Camada 3, a interface VLAN 1, no. Clique no boto Configurar gateway padro na figura. Configurar gateway padro Voc precisa configurar o switch para que ele possa encaminhar pacotes IP para redes distantes. O gateway padro o mecanismo para fazer isso. O switch encaminha pacotes IP com endereos IP de destino fora da rede local para o gateway padro. Na figura, o roteador R1 o roteador de prximo salto. Seu endereo IP 172.17.99.1. Para configurar um gateway padro para o switch, use o comando ip default-gateway. Digite o endereo IP da interface do roteador de prximo salto conectada diretamente ao switch em que h um gateway padro em configurao. No se esquea de salvar a configurao de execuo em um switch ou roteador. Use o comando copy running-config startupconfig para fazer backup da sua configurao. Clique no boto Verificar configurao na figura. Verificar configurao A captura de tela na parte superior da figura uma sada de comando na tela abreviada mostrando que a VLAN 99 foi configurada com um endereo IP e uma mscara de sub-rede, e que uma porta Fast Ethernet F0/18 recebeu a interface de gerenciamento VLAN 99. Mostrar as interfaces IP Use show ip interface brief para verificar o funcionamento e o status da porta. Voc praticar usando o comando switchport access vlan 99 em um laboratrio prtico e uma atividade do Packet Tracer. O comando mdix auto Voc costuma ser solicitado a usar determinados tipos de cabo (crossover, straight-through) ao conectar dispositivos especficos, switch-a-switch ou switch-a-roteador. Na verdade, agora possvel usar o comando de configurao da interface mdix auto na CLI para ativar o recurso de interface que depende do meio automtico (auto-MDIX).
Tema acessvel CISCO
Pgina 16 de 34
Quando o recurso auto-MDIX habilitado, o switch detecta o tipo de cabo exigido para conexes Ethernet de cobre e configura as interfaces corretamente. Por isso, possvel usar um cabo crossover ou straight-through para conexes com uma porta 10/100/1000 de cobre no switch, independentemente do tipo de dispositivo na outra extremidade da conexo. O recurso auto-MDIX foi apresentado no Cisco IOS Release 12.2(25)FX. Exibir meio visual
Pgina 2: Configurar o modo duplex e a velocidade possvel usar o comando de configurao da interface duplex para especificar o modo bidirecional de funcionamento das portas de switch. possvel definir o modo bidirecional e a velocidade das portas de switch manualmente para evitar problemas do inter-fornecedor com negociao automtica. Embora possa haver problemas quando voc define configuraes bidirecionais da porta de switch como auto, neste exemplo, os switches S1 e S2 tm as mesmas configuraes bidirecionais e velocidades. A figura descreve as etapas para configurar a porta F0/1 no switch S1. Exibir meio visual
Pgina 3: Configurar uma interface da Web Os switches Cisco modernos tm vrias ferramentas de configurao baseadas na Web que exigem a configurao do switch como um servidor HTTP. Entre esses aplicativos esto a interface de usurio do navegador Cisco e os aplicativos Cisco Router and Security Device Manager (SDM) e IP Phone and Cisco IOS Telephony Service. Para controlar quem pode acessar os servios HTTP no switch, possvel configurar a autenticao. Os mtodos de autenticao podem ser complexos. Voc pode ter tantas pessoas usando os servios HTTP que acaba precisando de um servidor separado para tratar especificamente a autenticao do usurio. Os modos de autenticao AAA e TACACS so exemplos que usam esse tipo de mtodo de autenticao remota. AAA e TACACS so protocolos de autenticao que podem ser usados em redes para validar credenciais de usurio. Talvez voc precise ter um mtodo de autenticao menos complexo. O mtodo enable exige que os usurios usem a senha de habilitar do servidor. O mtodo de autenticao local exige que o usurio use o nome de usurio de login, a senha e o acesso do nvel de privilgio especificados na configurao do sistema local (com o comando de configurao global username). Para obter mais informaes sobre TACACS, visite: http://www.cisco.com/en/US/tech/tk583/tk642/tsd_technology_support_sub-protocol_home.html (em ingls). Para obter mais informaes sobre AAA, visite: http://www.cisco.com/en/US/products/ps6638/products_data_sheet09186a00804fe332.html (em ingls). Exibir meio visual
Pgina 4: Gerenciando a tabela de endereos MAC Os switches usam tabelas de endereos MAC para determinar como encaminhar trfego entre portas. Essas tabelas MAC incluem endereos dinmicos e estticos. A figura mostra uma tabela de endereos MAC de exemplo da sada de comando show mac-address-table que inclui endereos MAC estticos e dinmicos. Nota: A tabela de endereos MAC era conhecida como memria enderevel de contedo (CAM) ou como tabela CAM. Os endereos dinmicos so endereos MAC de origem que o switch aprende, expirando quando no esto em uso. possvel alterar a configurao de tempo limite para endereos MAC. O tempo padro de 300 segundos. Definir uma tempo limite muito breve pode fazer com que os endereos sejam removidos prematuramente da tabela. Dessa forma, quando o switch recebe um pacote para um destino desconhecido, ele envia o pacote a todas as portas na mesma rede local (ou VLAN) como a porta receptora. Este envio desnecessrio pode afetar o desempenho. Definir uma tempo limite muito longa pode fazer com que a tabela de endereos seja preenchida com endereos no usados, o que impede a aprendizagem de novos endereos. Isso tambm pode causar envio excessivo (flooding). O switch fornece endereamento dinmico, aprendendo o endereo MAC de origem de todos os quadros recebidos em cada porta e adicionando o endereo MAC de origem e seu nmero de porta associado tabela de endereos MAC. Na medida em que os computadores so adicionados ou removidos da rede, o switch atualiza a tabela de endereos MAC, adicionando novas entradas e expirando as que no estiverem em uso no momento. Um administrador de rede pode atribuir especificamente endereos MAC estticos a determinadas portas. Os endereos estticos no expiram e o switch sempre sabe que porta usar para enviar o trfego com destino a esse endereo MAC especfico. Dessa forma, no h necessidade de reaprender ou atualizar a porta a que o endereo MAC est conectado. Uma razo para implementar endereos MAC estticos dar ao administrador de rede controle completo sobre o acesso rede. Apenas esses dispositivos conhecidos do administrador de rede podem se conectar rede.
Tema acessvel CISCO
Pgina 17 de 34
Para criar um mapeamento esttico na tabela de endereos MAC, use o comando mac-address-table static <MAC address> vlan {1-4096, ALL} interface interface-id. Para remover um mapeamento esttico na tabela de endereos MAC, use o comando no mac-address-table static <MAC address> vlan {1-4096, ALL} interface interface-id. O tamanho mximo da tabela de endereos MAC varia de switch para switch. Por exemplo, o switch da srie Catalyst 2960 pode armazenar at 8.192 endereos MAC. H outros protocolos que podem limitar o nmero absoluto de endereo MAC disponveis para um switch. Exibir meio visual
2.3.7 Verificando a configurao do switch Pgina 1: Usando os comandos show Agora que executou a configurao inicial do switch, voc deve confirmar se o switch foi configurado corretamente. Neste tpico, voc aprender a verificar a configurao do switch usando vrios comandos show. Clique no boto Comandos show na figura. Quando voc precisa verificar a configurao do seu switch Cisco, o comando show muito til. O comando show executado no modo EXEC privilegiado. A figura apresenta algumas das principais opes do comando show que verificam praticamente todos os recursos configurveis do switch. H muitos comandos show adicionais que voc aprender ao longo deste curso. Clique no boto show running-config na figura. Um dos comandos show mais importantes o comando show running-config. Esse comando exibe a configurao atualmente em execuo no switch. Use esse comando para verificar se voc configurou o switch corretamente. A figura mostra uma sada de comando abreviada do comando show running-config. As reticncias indicam um contedo no encontrado. A figura realou a sada de comando na tela do switch S1 que mostra:
z z z z
Interface Fast Ethernet 0/18 configurada com a VLAN 99 de gerenciamento VLAN 99 configurada com um endereo IP 172.17.99.11 255.255.0.0 Gateway padro definido como 172.17.50.1 Servidor HTTP configurado
Clique no boto show interfaces na figura. Outro comando muito usado o comando show interfaces, que exibe informaes estatsticas e de status sobre as interfaces de rede do switch. O comando show interfaces costuma ser usado durante a configurao e o monitoramento dos dispositivos de rede. Lembre-se de que possvel digitar comandos parciais no prompt de comando e, desde que nenhuma outra opo de comando seja igual, o software Cisco IOS interpreta o comando corretamente. Por exemplo, possvel usar show int para este comando. A figura mostra a sada de comando de um comando show interfaces FastEthernet 0/1. A primeira linha realada na figura indica que o a interface Fast Ethernet 0/1 est ativa e em execuo. A prxima linha realada mostra que o bidirecional automtico e que a velocidade automtica. Exibir meio visual
2.3.8 Gerenciamento bsico do switch Pgina 1: Fazer backup e restaurar configuraes de switch Um trabalho tpico para um tcnico de rede iniciante carregar um switch com uma configurao. Neste tpico, voc aprender como carregar e armazenar uma configurao na memria flash do switch e em um servidor TFTP. Clique no boto Fazer backup de configuraes na figura. Fazendo backup da configurao Voc j aprendeu como fazer backup da configurao de execuo de um switch no arquivo de configurao de inicializao. Voc usou o comando EXEC privilegiado copy running-config startup-config para fazer backup das configuraes feitas at ento. Como voc talvez j saiba, a configurao de execuo salva na DRAM, e a configurao de inicializao armazenada na seo NVRAM da memria Flash. Quando voc emite o comando copy running-config startup-config, o software Cisco IOS copia a configurao de execuo para NVRAM de forma que, quando o switch for inicializado, o startup-config com sua nova configurao seja carregado. Voc nem sempre deseja salvar alteraes feitas na configurao de execuo de um switch. Por exemplo, voc talvez
Tema acessvel CISCO
Pgina 18 de 34
queira alterar a configurao por um curto perodo, e no permanentemente. Se quiser manter vrios arquivos startup-config diferentes no dispositivo, voc poder copiar a configurao para nomes de arquivos diferentes, usando o comando copy startup-config flash:filename. Armazenar vrias verses de startupconfig permite restaurar um ponto caso a sua configurao tenha problemas. A figura mostra trs exemplos de backup da configurao feitos na memria flash. O primeiro a sintaxe formal e completa. O segundo a sintaxe mais usada. Use a primeira sintaxe quando voc no estiver familiarizado com o dispositivo de rede com o qual est trabalhando e use a segunda sintaxe quando voc souber que o destino a NVRAM flash instalada no switch. O terceiro a sintaxe usada para salvar uma cpia do arquivo startup-config na memria flash. Clique no boto Restaurar configuraes na figura. Restaurando a Configurao Restaurar uma configurao um processo simples. Basta copiar a configurao salva sobre a configurao atual. Por exemplo, se tivesse uma configurao salva chamada config.bak1, voc poderia restaur-la sobre seu startup-config existente, digitando este comando do Cisco IOS copy flash:config.bak1 startup-config. Quando a configurao foi restaurada no startup-config, voc reinicia o switch para que ele recarregue a nova configurao de inicializao, usando o comando reload no modo EXEC privilegiado. O comando reload pra o sistema. Se o sistema for definido para ser reiniciado em caso de erro, ele ser reinicializado. Use o comando reload depois que as informaes de configurao forem inseridas em um arquivo e salvas na configurao de inicializao. Nota: No ser possvel recarregar a partir de um terminal virtual, se o switch no estiver definido para inicializao automtica. Essa restrio impede que o sistema seja descartado no monitor de ROM (ROMMON), fazendo com que o sistema seja retirado do controle de usurio remoto. Aps a emisso do comando reload, o sistema solicita a voc responder se voc deve ou no salvar a configurao. Normalmente, voc indicaria "sim", mas neste caso especfico, voc precisa responder "no". Se voc respondesse "sim", o arquivo que voc acabou de restaurar seria substitudo. Em todos os casos, voc precisa considerar se a configurao de execuo ou no a que voc deseja ativar depois de recarregar. Para obter mais detalhes sobre o comando reload, revise o Cisco IOS Configuration Fundamentals Command Reference, Release 12.4, encontrado neste site: http://www.cisco.com/en/US/docs/ios/fundamentals/command/reference/cf_book.html (em ingls). Nota: Tambm existe a opo de digitar o comando copy startup-config running-config. Infelizmente, esse comando no substitui por completo a configurao de execuo; ele s adiciona comandos existentes da configurao de inicializao configurao de execuo. Como isso pode causar resultados no desejados, tome cuidado ao faz-lo. Exibir meio visual
Pgina 2: Fazer backup de arquivos de configurao para um servidor TFTP Depois de configurar o seu switch com todas as opes que deseja definir, uma boa idia fazer backup da configurao na rede em que ela pode ser arquivada com o restante dos dados de rede em backup durante a noite. Ter a configurao armazenada com segurana fora do switch a protege em caso de um grande problema de propores catastrficas com o seu switch. Algumas configuraes de switch demoram muitas horas para funcionar corretamente. Se voc perdeu a configurao por conta de uma falha no hardware do switch, um novo switch precisar ser configurado. Se houver uma configurao de backup para o switch com falha, ela poder ser carregada rapidamente no novo switch. Se no houver nenhuma configurao de backup, voc dever configurar o novo switch do zero. possvel usar TFTP para fazer backup dos seus arquivos de configurao na rede. O software Cisco IOS acompanha um cliente TFTP interno que permite a conexo com um servidor TFTP na sua rede. Nota: H pacotes de software do servidor TFTP gratuitos disponveis na Internet que possvel usar caso voc ainda no tenha um servidor TFTP em execuo. Um servidor TFTP normalmente usado de www.solarwinds.com. Fazendo backup da configurao Para carregar um arquivo de configurao de um switch para um servidor TFTP para armazenamento, siga estas etapas: Etapa 1. Verifique se o servidor TFTP est em execuo na sua rede. Etapa 2. Faa login no switch usando a porta console ou uma sesso Telnet. Habilite o switch e execute ping no servidor TFTP. Etapa 3. Carregue a configurao do switch no servidor TFTP. Especifique o endereo IP ou o nome de host do servidor TFTP e o nome do arquivo de destino. O comando do Cisco IOS : #copy system:running-config tftp:
Tema acessvel CISCO
Pgina 19 de 34
[[[//location]/directory]/filename] ou #copy nvram:startup-config tftp:[[[//location]/directory]/filename]. A figura mostra um exemplo do backup da configurao feitos em um servidor TFTP. Restaurando a configurao Depois que a configurao for armazenada com xito no servidor TFTP, ela poder ser copiada para o switch usando as seguintes etapas: Etapa 1. Copie o arquivo de configurao para o TFTP diretrio apropriado no servidor TFTP, se ele ainda no estiver l. Etapa 2. Verifique se o servidor TFTP est em execuo na sua rede. Etapa 3. Faa login no switch usando a porta console ou uma sesso Telnet. Habilite o switch e execute ping no servidor TFTP. Etapa 4. Faa o download do arquivo de configurao no servidor TFTP para configurar o switch. Especifique o endereo IP ou o nome de host do servidor TFTP e o nome do arquivo de download. O comando do Cisco IOS : #copy tftp: [[[//location]/directory]/filename] system:running-config ou #copy tftp:[[[//location]/directory]/filename] nvram:startupconfig. Se o download do arquivo de configurao for feito no running-config, os comandos sero executados na medida em que o arquivo analisado linha a linha. Se o download do arquivo de configurao for feito no startup-config, o switch dever ser recarregado para que as alteraes entrem vigor. Exibir meio visual
Pgina 3: Limpando informaes de configurao possvel limpar as informaes de configurao da configurao de inicializao. Voc pode fazer isso para preparar um switch usado a ser enviado para um cliente ou para um departamento diferente, e voc deseja assegurar que o switch seja reconfigurado. Quando voc apaga o arquivo de configurao de inicializao durante a reinicializao, ele entra no programa de configurao de forma que seja possvel reconfigurar o switch usando novas configuraes. Para limpar o contedo da configurao de inicializao, use o comando erase nvram: ou o comando EXEC privilegiado erase startup-config. A figura mostra um exemplo de como apagar os arquivos de configurao armazenados na NVRAM. Cuidado: Como no possvel restaurar o arquivo de configurao de inicializao depois que ele foi apagado, verifique se voc tem um backup da configurao caso voc precise restaur-lo posteriormente. Excluindo um arquivo de configurao armazenado Voc talvez esteja trabalhando em uma tarefa de configurao complexa e armazenou muitas cpias de backup dos seus arquivos na memria flash. Para excluir um arquivo da memria flash, use o comando EXEC privilegiado delete flash:filename. Dependendo da configurao do comando de configurao global do prompt de arquivo, voc pode ser solicitado a confirmar antes de excluir um arquivo. Por padro, o switch solicita a confirmao durante a excluso de um arquivo. Cuidado: Como no possvel restaurar o arquivo de configurao de inicializao depois que ele foi excludo, verifique se voc tem um backup da configurao caso voc precise restaur-lo posteriormente. Depois que a configurao for apagada ou excluda, voc poder recarregar o switch para iniciar uma nova configurao para o switch. Exibir meio visual
Pgina 4: O gerenciamento bsico de switch essencial para configurar switches. Esta atividade vai ensinar a navegar em modos de interface de linha de comando, usar funes de ajuda, acessar o histrico de comandos, configurar parmetros de seqncia de inicializao, definir velocidade e configuraes bidirecionais, e gerenciar a tabela de endereos MAC e o arquivo de configurao do switch. Habilidades aprendidas nesta atividade so necessrias para configurar a segurana de switch bsica em captulos posteriores. So fornecidas instrues detalhadas na atividade, bem como no link do PDF abaixo. Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual
Tema acessvel CISCO
Pgina 20 de 34
2.4 Configurando a segurana do switch

2.4.1 Configurar opes de senha Pgina 1: Configurar o acesso console Neste tpico, voc aprender a configurar senhas para o acesso de console, terminal virtual e modo EXEC. Voc tambm aprender como criptografar e recuperar senhas em um switch. Os dados so muito importantes, devendo ser cuidadosamente guardados e protegidos. O Federal Bureau of Investigation (FBI) dos Estados Unidos estima que as empresas percam US$ 67,2 bilhes anualmente por conta de crimes relacionados a computador. Os dados pessoais do cliente especfico so especificamente vendidos por preos altos. Estes so alguns dos preos atuais para dados roubados:
z z z z
caixa eletrnico ou carto de dbito com PIN (Nmero de Identificao Pessoal): $500 O nmero da carteira de habilitao: $150 Nmero da Previdncia Social: $100 Nmero do carto de crdito com data de validade: de US$ 15 a US$ 20
A proteo dos seus switches comea com a proteo contra o acesso no autorizado. possvel executar todas as opes de configurao diretamente na console. Para acessar a console, voc precisa ter um acesso fsico local ao dispositivo. Se voc no protegesse a porta console corretamente, um usurio mal-intencionado poderia comprometer a configurao do switch. Proteger a console Para proteger a porta console do acesso no autorizado, defina uma senha na porta console usando o comando do modo de configurao da linha password <password>. Use o comando line console 0 para passar do modo de configurao da linha para o modo de configurao da linha para o console 0, que a porta console em switches Cisco. O prompt muda para (config-line)#, o que indica que o switch agora est no modo de configurao da linha. No modo de configurao da linha, possvel definir a senha para o console, digitando o comando password <password>. Para assegurar que um usurio na porta console seja obrigado a digitar a senha, use o comando login. Mesmo quando uma senha est definida, no necessrio digit-la at que o comando login seja emitido. A figura mostra os comandos usados para configurar e exigir a senha para o acesso ao console. Lembre-se de que possvel usar o comando show running-config para verificar a sua configurao. Antes de concluir a configurao do switch, no se esquea de salvar o arquivo de configurao de execuo na configurao de inicializao. Remover senha da console Se voc precisar remover a senha e o requisito para digitar a senha durante o login, use as seguintes etapas: Etapa 1. Alterne do modo EXEC privilegiado para o modo de configurao global. Digite o comando configure terminal. Etapa 2. Passe do modo de configurao global para o modo de configurao de linha para o console 0. O prompt de comando (config-line)# indica que voc est no modo de configurao de linha. Digite o comando line console 0. Etapa 3. Remova a senha da linha de console usando o comando no password. Etapa 4. Remova o requisito para digitar a senha durante o login para a linha de console, usando o comando no login. Etapa 5. Saia do modo de configurao de linha e volte ao modo EXEC privilegiado, usando o comando end. Exibir meio visual
Pgina 2: Proteger as portas vty As portas vty em um switch Cisco permitem acessar o dispositivo remotamente. possvel executar todas as opes de configurao usando as portas de terminal vty. Como voc no precisa de acesso fsico ao switch para acessar as portas vty, muito importante proteger as portas vty. Qualquer usurio com acesso de rede ao switch pode estabelecer uma conexo de terminal remota vty. Se as portas vty no fossem devidamente protegidas, um usurio mal-intencionado poderia comprometer a configurao do switch. Para proteger as portas vty do acesso no autorizado, possvel definir uma senha vty obrigatria antes do acesso ser concedido. Para definir a senha nas portas vty, voc deve estar no modo de configurao de linha. Talvez haja muitas portas vty disponveis em um switch Cisco. Vrias portas permitem a mais de um administrador se
Tema acessvel CISCO
Pgina 21 de 34
conectar e gerenciar o switch. Para proteger todas as linhas vty, verifique se uma senha est definida e se o login foi aplicado em todas as linhas. Deixar algumas linhas desprotegidas compromete a segurana e permite a usurios no autorizados acessar o switch. Use o comando line vty 0 4 para passar do modo de configurao global para o modo de configurao de linha das linhas vty de 0 a 4. Nota: Se o switch tiver mais linhas vty disponveis, ajuste a faixa para proteger todas elas. Por exemplo, um Cisco 2960 tem linhas de 0 a 15 disponveis. A figura mostra os comandos usados para configurar e exigir a senha para o acesso a vty. possvel usar o comando show running-config para verificar a sua configurao e o comando copy running-config startup config para salvar o seu trabalho. Remover a senha vty Se voc precisar remover a senha e o requisito para digitar a senha durante o login, use as seguintes etapas: Etapa 1. Alterne do modo EXEC privilegiado para o modo de configurao global. Digite o comando configure terminal. Etapa 2. Passe do modo de configurao global para o modo de configurao de linha para os terminais vty de 0 a 4. O prompt de comando (config-line)# indica que voc est no modo de configurao de linha. Digite o comando line vty 0 4. Etapa 3. Remova a senha das linhas vty usando o comando no password. Cuidado: Se nenhuma senha for definida e o login continuar habilitado, no haver nenhum acesso s linhas vty. Etapa 4. Remova o requisito para digitar a senha durante o login para as linhas vty, usando o comando no login. Etapa 5. Saia do modo de configurao de linha e volte ao modo EXEC privilegiado, usando o comando end. Exibir meio visual
Pgina 3: Configurar senhas no modo EXEC O modo EXEC privilegiado permite a qualquer usurio que habilite esse modo em um switch Cisco configurar qualquer opo disponvel no switch. Tambm possvel exibir todas as configuraes definidas atualmente no switch, inclusive algumas das senhas no criptografadas! Por essas razes, importante proteger o acesso ao modo EXEC privilegiado. O comando de configurao global enable password permite especificar uma senha para restringir o acesso ao modo EXEC privilegiado. No entanto, uma problema com o comando enable password que ele armazena a senha em texto legvel no startup-config e no running-config. Se algum fosse ganhar acesso a um arquivo startup-config armazenado ou acesso temporrio a uma sesso Telnet ou de console registrados no modo EXEC privilegiado, essa pessoa poderia ver a senha. Dessa forma, a Cisco apresentou uma nova opo de senha para controlar o acesso ao modo EXEC privilegiado que armazena a senha em um formato criptografado. possvel atribuir uma forma criptografada da senha de habilitar, chamada de senha secreta de habilitao, digitando o comando enable secret com a senha desejada no prompt do modo de configurao global. Se a senha secreta de habilitao for configurada, ela ser usada em lugar da senha de habilitar, no em adio a ela. Tambm h uma proteo incorporada no software Cisco IOS que notifica quando a definio da senha secreta de habilitao usada para a senha de habilitar. Se forem digitadas senhas idnticas, o IOS aceitar a senha, mas avisar que elas so iguais e orientar uma nova digitao de uma nova senha. A figura mostra os comandos usados para configurar senhas no modo EXEC privilegiado. possvel usar o comando show running-config para verificar a sua configurao e o comando copy running-config startup config para salvar o seu trabalho. Remover senha no modo EXEC Se precisar remover o requisito de senha para acessar o modo EXEC privilegiado, ser possvel usar os comandos no enable password e no enable secret no modo de configurao global. Exibir meio visual
Pgina 4: Configurar senhas criptografadas Durante a configurao de senhas na CLI do Cisco IOS, por padro, todas as senhas, exceto a senha secreta de habilitao, so armazenadas em formato de texto sem formatao em startup-config e running-config. A figura mostra uma sada de comando abreviada na tela do comando show running-config no switch S1. As senhas de texto sem formatao so realadas em laranja. universalmente aceito que as senhas devem ser criptografadas, e no
Tema acessvel CISCO
Pgina 22 de 34
armazenadas em formato de texto sem formatao. O comando service password-encryption do Cisco IOS permite a criptografia da senha de servio. Quando o comando service password-encryption digitado no modo de configurao global, todas as senhas de sistema so armazenadas em uma forma criptografada. Assim que o comando for digitado, todas as senhas atualmente definidas so convertidas em senhas criptografadas. Na parte inferior da figura, as senhas criptografadas so realadas em laranja. Se voc quiser remover o requisito para armazenar todas as senhas de sistema em um formato criptografado, digite o comando no service password-encryption no modo de configurao global. Remover a criptografia de senha no converte senhas criptografadas atualmente em texto legvel. No entanto, todas as senhas recm-definidas so armazenadas em formato de texto sem formatao. Nota: O padro de criptografia usado pelo comando service password-encryption conhecido como tipo 7. Esse padro de criptografia muito fraco, e h ferramentas facilmente acessveis na Internet para descriptografar senhas criptografadas com esse padro. O Tipo 5 mais seguro, mas deve ser invocado manualmente para cada senha configurada. Exibir meio visual
Pgina 5: Habilitar recuperao de senha Depois de definir senhas para controlar o acesso CLI do Cisco IOS, voc precisar ter certeza de que se lembra delas. Caso voc tenha perdido ou esquecido as senhas de acesso, a Cisco tem um mecanismo de recuperao de senha que permite aos administradores obter acesso aos dispositivos Cisco. O processo de recuperao de senha exige acesso fsico ao dispositivo. A figura mostra uma captura de tela do vdeo da exibio na console que indica que a recuperao de senha foi habilitada. Voc ver essa exibio depois da Etapa 3 abaixo. Observe que voc talvez no possa recuperar efetivamente as senhas no dispositivo Cisco, especialmente se a criptografia de senha foi habilitada, mas voc pode redefini-las com um novo valor. Para obter mais informaes sobre o procedimento de senha, visite: http://www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_tech_note09186a00801746e6.shtml (em ingls). Para recuperar a senha em um switch Cisco 2960, siga as seguintes etapas: Etapa 1. Conecte um terminal ou PC com software da emulao de terminal com a porta console de switch. Etapa 2. Defina a velocidade de linha no software de emulao como 9600 bauds. Etapa 3. Desligue o switch. Reconecte o cabo de alimentao para o switch e, em 15 segundos, pressione o boto Modo enquanto o LED de sistema ainda estiver piscando em verde. Continue pressionando o boto Modo at que o LED de sistema permanea em mbar rapidamente e, em seguida, em verde permanentemente. Em seguida, solte o boto Modo. Etapa 4. Inicialize o sistema de arquivos da memria flash, usando o comando flash_init. Etapa 5. Carregue todos os arquivos auxiliares usando o comando load_helper. Etapa 6. Exibe o contedo da memria flash usando o comando dir flash: O sistema de arquivos de switch aparece: Directory of flash: 13 drwx 192 Mar 01 1993 22:30:48 c2960-lanbase-mz.122-25.FX 11 -rwx 5825 Mar 01 1993 22:31:59 config.text 18 -rwx 720 Mar 01 1993 02:21:30 vlan.dat 16128000 bytes total (10003456 bytes free) Etapa 7. Renomeie o arquivo de configurao para config.text.old, que contm a definio de senha, usando o comando rename flash:config.text flash:config.text.old. Etapa 8. Inicialize o sistema usando o comando boot. Etapa 9. solicitado que voc inicie o programa de configurao. Digite N no prompt e, em seguida, quando o sistema perguntar se voc deseja continuar na caixa de dilogo da configurao, digite N. Etapa 10. No prompt de switch, digite o modo EXEC privilegiado, usando o comando enable. Etapa 11. Renomeie o arquivo de configurao para seu nome original, usando o comando rename flash:config.text.old flash:config.text. Etapa 12. Copie o arquivo de configurao para a memria, usando o comando copy flash:config.text system:running-
Tema acessvel CISCO
Pgina 23 de 34
config. Depois que esse comando for digitado, isto ser exibido no console: Source filename [config.text]? Destination filename [running-config]? Pressione Retornar em resposta solicitao da confirmao. O arquivo de configurao foi recarregado e voc j pode alterar a senha. Etapa 13. Entre no modo de configurao global, usando o comando configure terminal. Etapa 14. Altere a senha, usando o comando enable secret password. Etapa 15. Retorne ao modo EXEC privilegiado, usando o comando exit. Etapa 16. Grave a configurao de execuo no arquivo de configurao de inicializao, usando o comando copy running-config startup-config. Etapa 17. Recarregue o switch, usando o comando reload. Nota: Como o procedimento para recuperao de senha pode ser diferente dependendo da srie de switches Cisco, voc deve consultar a documentao de produto antes de tentar uma recuperao de senha. Exibir meio visual
2.4.2 Banners de login Pgina 1: Configurar um banner de login O conjunto de comandos do Cisco IOS inclui um recurso que permite configurar mensagens que qualquer pessoa que tiver feito login no switch ver. Essas mensagens so chamadas de banners de login e banners da mensagem do dia (MOTD). Neste tpico, voc aprender a configur-las. possvel definir um banner personalizado a ser exibido antes dos prompts do nome de usurio e senha e de login, usando o comando banner login no modo de configurao global. Inclua o texto do banner entre aspas ou usando um delimitador diferente de qualquer caracter exibido na cadeia de caracteres MOTD. A figura mostra o switch S1 configurado com um banner de login Authorized Personnel Only! (Somente pessoal autorizado!) Para remover o banner MOTD, digite o formato no desse comando no modo de configurao global, por exemplo, S1 (config)#no banner login. Exibir meio visual
Pgina 2: Configurar um banner MOTD O banner MOTD exibido em todos os terminais conectados no login, sendo til para enviar mensagens que afetam todos os usurios de rede (como desligamentos de sistema impedidos). O banner MOTD ser exibido antes do banner de login for configurado. Defina o banner MOTD usando o comando banner motd no modo de configurao global. Inclua o texto do banner entre aspas. A figura mostra o switch S1 configurado com um banner MOTD para exibir Device maintenance will be occurring on Friday! (Manuteno de desempenho ocorrer na sexta-feira!) Para remover o banner de login, digite o formato no desse comando no modo de configurao global, por exemplo, S1 (config)#no banner motd. Exibir meio visual
2.4.3 Configurar Telnet e SSH Pgina 1: Telnet e SSH Os switches mais antigos talvez no suportem a comunicao segura com Shell Seguro (SSH). Este tpico ajudar a escolher entre os mtodos Telnet e SSH de comunicao com um switch.
Tema acessvel CISCO
Pgina 24 de 34
H duas opes para acessar remotamente um vty em um switch Cisco. Telnet o mtodo original suportado nos primeiros modelos de switch Cisco. Telnet um protocolo popular usado em acesso terminal porque a maioria dos sistemas operacionais atuais acompanha um cliente Telnet integrado. No entanto, Telnet uma forma insegura de acessar um dispositivo de rede, porque ela envia todas as comunicaes atravs da rede em texto sem formatao. Usando o software de monitoramento de rede, um invasor pode ler todos os pressionamentos de tecla enviados entre o cliente Telnet e o servio Telnet em execuo no switch Cisco. Por conta das preocupaes de segurana do protocolo Telnet, SSH se tornou o protocolo preferido para acessar linhas de terminal virtual (vty) remotamente em um dispositivo Cisco. SSH d o mesmo tipo de acesso como Telnet com o benefcio adicional de segurana. A comunicao entre o cliente e o servidor SSH criptografada. SSH passou por alguns verses, com dispositivos Cisco que atualmente suportam SSHv1 e SSHv2. recomendvel que voc implemente SSHv2 quando possvel, porque ele usa um algoritmo de criptografia de segurana mais aprimorado que SSHv1. A figura apresenta as diferenas entre os dois protocolos. Exibir meio visual
Pgina 2: Configurando Telnet Telnet o protocolo suportado por vty padro em um switch Cisco. Quando um endereo IP de gerenciamento atribudo ao switch Cisco, possvel se conectar a ele usando um cliente Telnet. Inicialmente, as linhas vty no so protegidas, o que permite acesso a qualquer usurio que se conecte a elas. No tpico anterior, voc aprendeu a proteger o acesso ao switch pelas linhas vty, exigindo uma autenticao por senha. Isso torna a execuo do servio Telnet um pouco mais segura. Como Telnet o transporte padro para as linhas vty, voc no precisa especific-lo depois que a configurao inicial do switch executada. No entanto, se trocou o protocolo de transporte nas linhas vty para permitir apenas SSH, voc precisar habilitar o protocolo Telnet para permitir o acesso Telnet manualmente. Se voc precisar reabilitar o protocolo Telnet em um switch Cisco 2960, use o seguinte comando no modo de configurao de linha: (config-line)#transport input telnet or (config-line)#transport input all. Permitindo todos os protocolos de transporte, voc continua permitindo o acesso SSH, bem como o acesso Telnet. Exibir meio visual
Pgina 3: Configurando SSH SSH um recurso de segurana criptogrfica sujeito a restries de exportao. Para usar esse recurso, uma imagem criptogrfica deve ser instalada no seu switch. O recurso SSH tem um servidor SSH e um cliente integrado SSH, que so aplicativos executados no switch. possvel usar qualquer cliente SSH em execuo em um PC ou o cliente SSH Cisco em execuo no switch para se conectar a um switch em execuo no servidor SSH. O switch suporta SSHv1 ou SSHv2 para o componente do servidor. O switch suporta apenas SSHv1 para o componente cliente. SSH suporta o algoritmo de criptografia padro de dados (DES), o algoritmo Triple DES (3DES), alm da autenticao de usurio baseada em senha. DES oferece uma criptografia de 56 bits e 3DES oferece uma criptografia de 168 bits. A criptografia demorada, mas DES demora menos hora para criptografar texto que 3DES. Normalmente, como os padres de criptografia so especificados pelo cliente, se voc tiver que configurar SSH, pergunte qual usar. (A discusso dos mtodos de criptografia de dados est alm do escopo deste curso.) Para implementar SSH, voc precisa gerar chaves RSA. RSA envolve uma chave pblica, mantida em um servidor RSA pblico, e uma chave particular, mantida apenas pelo remetente e pelo receptor. A chave pblica pode ser conhecida por todos, sendo usada para criptografar mensagens. As mensagens criptografadas com a chave pblica s podem ser descriptografadas usando a chave particular. Isso conhecido como criptografia assimtrica, sendo abordado com mais detalhes no curso CCNA Exploration: Acessando a WAN. Voc precisa gerar as chaves RSA criptografadas que usam o comando crypto key generate rsa. Esse procedimento ser obrigatrio se voc estiver configurando o switch como um servidor SSH. Comeando no modo EXEC privilegiado, siga estas etapas para configurar um nome de host e um nome de domnio IP, alm de gerar um par de chaves RSA.
Tema acessvel CISCO
Pgina 25 de 34
Etapa 1. Entre no modo de configurao global, usando o comando configure terminal. Etapa 2. Configure um nome de host para o seu switch usando o comando hostname hostname. Etapa 3. Configure um domnio de host para o seu switch usando o comando ip domain-name domain_name command. Etapa 4. Habilite o servidor SSH para a autenticao local e remota no switch e gere um par de chaves RSA usando o comando crypto key generate rsa. Ao gerar chaves RSA, voc solicitado a digitar um comprimento de mdulo. A Cisco recomenda usar um tamanho de mdulo de 1024 bits. Um comprimento de mdulo mais longo pode ser mais seguro, mas demora mais para gerar e ser usado. Etapa 5. Retorne ao modo EXEC privilegiado, usando o comando end. Etapa 6. Mostre o status do servidor SSH no switch, usando o comando show ip ssh ou show ssh. Para excluir o par de chaves RSA, use o comando de configurao global crypto key zeroize rsa. Depois que o par de chaves RSA for excludo, o servidor SSH ser desabilitado automaticamente. Configurando o servidor SSH Comeando no modo EXEC privilegiado, siga estas etapas para configurar o servidor SSH. Etapa 1. Entre no modo de configurao global, usando o comando configure terminal. Etapa 2. (Opcional) Configure o switch para executar SSHv1 ou SSHv2 usando o comando ip ssh version [1 | 2]. Se voc no digitar esse comando ou no especificar uma palavra-chave, o servidor SSH selecionar a verso SSH mais recente suportada pelo cliente SSH. Por exemplo, se o cliente SSH suportar SSHv1 e SSHv2, o servidor SSH selecionar SSHv2. Etapa 3. Configure os parmetros de controle SSH:
z
Especifique o valor do tempo limite em segundos; o padro de 120 segundos. O intervalo de 0 a 120 segundos. Para que uma conexo SSH seja estabelecida, vrias fases devem ser concludas, como conexo, protocolo, negociao e negao de parmetro. O valor de tempo limite se aplica ao tempo que o switch permite ao estabelecimento de uma conexo.
Por padro, esto disponveis at cinco conexes SSH criptografadas, simultneas, para vrias sesses baseadas em CLI na rede (da sesso 0 sesso 4). Depois que o shell de execuo iniciado, o valor de tempo limite da sesso baseada em CLI retorna ao padro de 10 minutos.
z
Especifique por quantas horas um cliente pode se reautenticar no servidor. O padro 3; o intervalo de 0 a 5. Por exemplo, um usurio pode permitir que a sesso SSH permanea por mais 10 minutos trs vezes antes do encerramento da sesso SSH.
Repita essa etapa ao configurar ambos os parmetros. Para configurar ambos os parmetros, use o comando ip ssh {timeout seconds | authentication-retries number}. Etapa 4. Retorne ao modo EXEC privilegiado, usando o comando end. Etapa 5. Exiba o status das conexes do servidor SSH no switch, usando o comando show ip ssh ou o comando show ssh. Etapa 6. (Opcional) Salve suas entradas no arquivo de configurao de inicializao, usando o comando copy runningconfig startup-config. Se voc quiser impedir conexes que no sejam SSH, adicione o comando transport input ssh no modo de configurao de linha para limitar o switch apenas a conexes SSH. As conexes Telnet diretas (que no so SSH) so recusadas. Para obter uma discusso detalhada sobre SSH, visite: http://www.cisco.com/en/US/tech/tk583/tk617/tsd_technology_support_protocol_home.html. Para obter uma viso geral da tecnologia RSA, visite http://en.wikipedia.org/wiki/Public-key_cryptography. Para obter uma discusso detalhada sobre a tecnologia RSA, visite: http://www.rsa.com/rsalabs/node.asp?id=2152. Exibir meio visual
Tema acessvel CISCO
Pgina 26 de 34
2.4.4 Ataques segurana comuns Pgina 1: Ataques segurana Infelizmente, a segurana de switch bsica no impede ataques mal-intencionados. Neste tpico, voc obter informaes sobre alguns ataques segurana comuns e como eles so perigosos. Este tpico fornece informaes em nvel introdutrio sobre ataques segurana. Os detalhes de como alguns desses ataques comuns funcionam esto alm do escopo do curso. Se achar uma segurana de rede de interesse, voc deve explorar a curso CCNA Explorao: Acessando a WAN. Envio de endereo MAC O envio (flooding) de endereo MAC um ataque comum. Lembre-se de que a tabela de endereos MAC em um switch contm os endereos MAC disponveis em uma determinada porta fsica de um switch e os parmetros de VLAN associados. Quando um switch da Camada 2 recebe um quadro, o switch procura na tabela de endereos MAC o endereo MAC de destino. Todos os modelos de switch Catalyst usam uma tabela de endereos MAC para a comutao da Camada 2. Na medida em que os quadros chegam a portas de switch, os endereos MAC de origem so aprendidos e registrados na tabela de endereos MAC. Se houver uma entrada para o endereo MAC, o switch encaminhar o quadro para a porta de endereo MAC designada na tabela de endereos MAC. Se no houver o endereo MAC, o switch funcionar como um hub e encaminhar o quadro por todas as demais portas no switch. s vezes, os ataques de sobrecarga da tabela de endereos MAC so conhecidos como ataques de envio MAC. Para compreender o mecanismo de um ataque de sobrecarga da tabela de endereos MAC, lembre-se do funcionamento bsico de um switch. Clique no boto Etapa 1 na figura para ver como comea o ataque de sobrecarga da tabela de endereos MAC. Na figura, o host A envia trfego para o host B. O switch recebe os quadros e pesquisa os endereos MAC de destino em sua tabela de endereos MAC. Se o switch no conseguir localizar o MAC de destino na tabela de endereos MAC, o switch copiar o quadro e o difundir por todas as portas de switch. Clique no boto Etapa 2 na figura para ver a prxima etapa. O host B recebe o quadro e envia uma resposta para o host A. Dessa forma, o switch sabe que o endereo MAC do host B est localizado na porta 2 e grava essas informaes na tabela de endereos MAC. O host C tambm recebe o quadro do host A para o host B, mas como o endereo MAC de destino desse quadro o host B, o host C descarta esse pacote. Clique no boto Etapa 3 na figura para ver a prxima etapa. Agora, qualquer quadro enviado pelo host A (ou qualquer outro host) para o host B encaminhado para a porta 2 do switch, no o difundindo por todas as portas. A chave para compreender como os ataques de sobrecarga da tabela de endereos MAC saber que as tabelas de endereos MAC tm o tamanho limitado. O envio MAC usa essa limitao para bombardear o switch com falsos endereos MAC de origem at que a tabela de endereos MAC do switch fique cheia. Em seguida, o switch entra naquilo que conhecido como modo aberto a falhas, comeando a funcionar como um hub, e difunde pacotes para todas as mquinas na rede. Dessa forma, o invasor pode ver todos os quadros enviados de um host de vtima para outro host sem uma entrada na tabela de endereos MAC. Clique no boto Etapa 4 na figura para ver como um invasor usa ferramentas legtimas de maneira mal-intencionada. A figura mostra como um invasor pode usar os recursos operacionais normais do switch para impedir o funcionamento do switch. O envio MAC pode ser executado com uma ferramenta de ataque rede. O intruso na rede usa a ferramenta de ataque para enviar o switch com um grande nmero de endereos MAC de origem invlidos at que a tabela de endereos MAC seja preenchida. Quando a tabela de endereos MAC est cheia, o switch envia todas as portas com trfego de entrada porque no pode localizar o nmero de porta para um endereo MAC especfico na tabela de endereos MAC. O switch, basicamente, funciona como um hub. Algumas ferramentas de ataque rede podem gerar 155.000 entradas MAC em um switch por minuto. Dependendo do switch, o tamanho mximo da tabela de endereos MAC varia. Na figura, a ferramenta de ataque est em execuo no host com o endereo C MAC na parte inferior da tela. Essa ferramenta envia um switch com pacotes que contm endereos MAC e IP de origem e de destino gerados aleatoriamente. Durante um curto perodo, a tabela de endereos MAC no switch preenchida at que seja incapaz de aceitar novas entradas. Quando a tabela de endereos MAC for preenchida com endereos MAC de origem invlidos, o switch comear a encaminhar todos os quadros recebidos para todas as portas. Clique no boto Etapa 5 na figura para ver a prxima etapa. Desde que a ferramenta de ataque rede esteja em execuo, a tabela de endereos MAC no switch permanece cheia. Quando isso acontece, o switch comea a transmitir todos os quadros recebidos por todas as portas de forma que os quadros enviados do host A para o host B tambm sejam difundidos pela porta 3 do switch.
Tema acessvel CISCO
Pgina 27 de 34
Exibir meio visual
Pgina 2: Ataques de falsificao Clique no boto Falsificao na figura. Uma forma de um invasor ganhar acesso ao trfego da rede falsificar respostas que seriam enviadas por um servidor DHCP vlido. O dispositivo de falsificao DHCP responde s solicitaes DHCP do cliente. O servidor legtimo tambm pode responder, mas se o dispositivo de falsificao estiver no mesmo segmento do cliente, sua resposta para o cliente poder chegar primeiro. A resposta DHCP do intruso oferece um endereo IP e informaes de suporte que designam o intruso como o gateway padro ou o servidor do Sistema de Nome de Domnio (DNS). No caso de um gateway, os clientes encaminham pacotes para o dispositivo de ataque, que, por sua vez, os envia para o destino desejado. Isso conhecido como um ataque de interceptao, podendo passar totalmente despercebido porque o intruso intercepta o fluxo de dados pela rede. Voc deve estar atento a outro tipo de ataque DHCP chamado de fome DHCP. O PC invasor solicita continuamente endereos IP de um servidor DHCP real, alterando seus endereos MAC de origem. Se houver xito, esse tipo de ataque DHCP far com que todos os emprstimos no servidor DHCP real sejam alocados, o que impede os usurios reais (clientes DHCP) de obter um endereo IP. Para impedir ataques DHCP, use os recursos de segurana de porta e de deteco DHCP nos switches Cisco Catalyst. Recursos de segurana de porta e de deteco DHCP Cisco Catalyst A deteco DHCP um recurso Cisco Catalyst que determina quais portas de switch podem responder a solicitaes DHCP. As portas so identificadas como confiveis e no confiveis. As portas confiveis podem dar origem a todas as mensagens DHCP; as no confiveis, apenas solicitaes. As portas confiveis hospedam um servidor DHCP ou podem ser um uplink no servidor DHCP. Se um dispositivo invasor estiver em uma porta no confivel para tentar enviar um pacote de resposta DHCP na rede, a porta ser desligada. Esse recurso pode ser somado a opes DHCP nas quais informaes do switch, como a ID de porta da solicitao DHCP, podem ser inseridas no pacote de solicitao DHCP. Clique no boto Deteco DHCP. As portas no confiveis so aquelas no explicitamente configuradas como confiveis. Uma tabela de ligao DHCP foi criada para portas no confiveis. Cada entrada contm um endereo MAC de cliente, endereo IP, tempo de emprstimo, tipo de ligao, nmero de VLAN e a ID de porta registrada quando os clientes fazem solicitaes DHCP. Em seguida, a tabela usada para filtrar o trfego DHCP subseqente. De uma perspectiva de deteco DHCP, as portas de acesso no confiveis no devem enviar nenhuma resposta de servidor DHCP. Essas etapas ilustram como configurar a deteco DHCP em um switch Cisco IOS: Etapa 1. Habilite a deteco DHCP usando o comando de configurao global ip dhcp snooping. Etapa 2. Habilite a deteco DHCP para VLANs especficas, usando o comando ip dhcp snooping vlan number [number]. Etapa 3. Defina portas como confiveis ou no confiveis no nvel da interface, definindo as portas confiveis com o comando ip dhcp snooping trust. Etapa 4. (Opcional) Limite a taxa na qual um invasor pode continuar enviando solicitaes DHCP fictcias por meio de portas no confiveis para o servidor DHCP usando o comando ip dhcp snooping limit rate rate. Exibir meio visual
Pgina 3: Ataques CDP O Cisco Discovery Protocol (CDP) um protocolo prprio que todos os dispositivos Cisco podem ser configurados para usar. CDP descobre outros dispositivos Cisco conectados diretamente, o que permite aos dispositivos configurar automaticamente sua conexo em alguns casos, o que simplifica a configurao e a conectividade. As mensagens CDP no so criptografadas. Por padro, a maioria dos roteadores e dos switches Cisco tem CDP habilitado. As informaes de CDP so enviadas em broadcasts peridicos, atualizadas localmente no banco de dados CDP de cada dispositivo. Como CDP um protocolo da Camada 2, ele no propagado por roteadores. O CDP contm informaes sobre o dispositivo, como o endereo IP, a verso de software, a plataforma, os recursos e a VLAN nativa. Quando essas informaes estiverem disponveis para um invasor, ele poder us-las para localizar exploraes para atacar sua rede, normalmente na forma de um ataque de negao de servio (DOS).
Tema acessvel CISCO
Pgina 28 de 34
A figura uma poro de um rastreamento de pacote Ethereal, que mostra a parte interna de um pacote CDP. A verso do software Cisco IOS descoberta por CDP, em especial, permitiria ao invasor pesquisar e determinar se havia alguma vulnerabilidade de segurana especfica para essa verso em especial do cdigo. Alm disso, como o CDP no autenticado, um invasor poderia criar pacotes CDP falsos e fazer com que eles fossem recebidos pelo dispositivo Cisco diretamente conectado do invasor. Para corrigir essa vulnerabilidade, recomendvel desabilitar o uso do CDP em dispositivos que no precisem us-lo. Exibir meio visual
Pgina 4: Ataques Telnet O protocolo Telnet pode ser usado por um invasor para ganhar acesso remoto a um switch de rede Cisco. Em um tpico anterior, voc configurou uma senha de login para as linhas vty e as definiu para exigir autenticao por senha para ganhar acesso. Isso fornece um nvel essencial e bsico de segurana para ajudar a proteger o switch do acesso no autorizado. No entanto, no se trata de um mtodo seguro de garantir acesso s linhas vty. H ferramentas disponveis que permitem a um invasor iniciar um ataque de fora bruta para romper a senha nas linhas vty do switch. Ataque de fora bruta de senha A primeira fase de um ataque de fora bruta de senha comea com o invasor usando uma lista de senhas comuns e um programa projetado para tentar estabelecer uma sesso Telnet usando cada palavra na lista de dicionrio. Felizmente, como voc inteligente o bastante para no usar uma palavra do dicionrio, est seguro por enquanto. Na segunda fase de um ataque de fora bruta, o invasor usa um programa que cria combinaes de caracteres seqenciais em uma tentativa de "adivinhar" a senha. Com tempo o suficiente, um ataque de fora bruta de senha pode romper praticamente todas as senhas usadas. A coisa mais simples a se fazer para limitar a vulnerabilidade a ataques de fora bruta de senha alterar suas senhas freqentemente e usar senhas fortes que misturem aleatoriamente letras maisculas e minsculas com nmeros. Configuraes mais avanadas permitem limitar quem pode se comunicar com as linhas vty, usando listas de acesso, mas isso est alm do escopo deste curso. Ataque DoS Outro tipo de ataque Telnet o ataque DoS. Em um ataque DOS, o invasor explora uma falha no software do servidor Telnet em execuo no switch que torna o servio Telnet indisponvel. Esse tipo de ataque costuma ser incmodo porque impede um administrador de realizar funes de gerenciamento do switch. As vulnerabilidade no servio Telnet que permitem ataques DoS costumam ser corrigidas nos patches de segurana includos em revises do Cisco IOS mais recentes. Se voc estiver enfrentando um ataque DoS contra o servio Telnet ou outro servio em um dispositivo Cisco, veja se h uma reviso do Cisco IOS mais recente disponvel. Exibir meio visual
2.4.5 Ferramentas de segurana Pgina 1: Depois de configurar a segurana do switch, voc precisa verificar se no deixou nenhuma deficincia que possa explorada por um invasor. A segurana de rede um tpico complexo e em constante evoluo. Nesta seo, voc apresentado forma como as ferramentas de segurana de rede formam um componente usado para proteger uma rede de ataques mal-intencionados. As ferramentas de segurana da rede ajudam a testar sua rede quanto a vrias deficincias. Elas so ferramentas que permitem desempenhar as funes de um hacker e de um analista da segurana da rede. Usando essas ferramentas, possvel iniciar um ataque e auditar os resultados para determinar como ajustar suas polticas de segurana para impedir um determinado ataque. Os recursos usados por ferramentas de segurana da rede esto em constante evoluo. Por exemplo, as ferramentas de segurana da rede j se concentraram exclusivamente nos servios de escuta na rede e examinavam esses servios em busca de falhas. Atualmente, vrus e worms podem se propagar por causa das falhas em clientes de email e navegadores. As ferramentas de segurana da rede modernas no apenas detectam as falhas remotas dos hosts na rede, mas tambm determinam se h falhas no nvel de aplicativo, como patches no encontrados em computadores clientes. A segurana de rede vai alm dos dispositivos de rede, at a rea de trabalho dos usurios. A auditoria de segurana e o teste de penetrao so duas funes bsicas executadas por ferramentas de segurana da rede. Auditoria de segurana da rede As ferramentas de segurana da rede permitem executar uma auditoria de segurana na sua rede. Uma auditoria de segurana revela que tipo de informao um invasor pode obter simplesmente monitorando o trfego da rede. As ferramentas de auditoria de segurana da rede permitem enviar a tabela MAC com endereos MAC fictcios. Assim, possvel auditar as portas de switch quando o switch comea a enviar o trfego por todas as portas na medida em que os
Tema acessvel CISCO
Pgina 29 de 34
mapeamentos de endereo MAC expiram e so substitudos por mais mapeamentos de endereo MAC fictcio. Dessa forma, possvel determinar quais portas esto comprometidas e no foram configuradas corretamente para impedir esse tipo de ataque. Timing um fator importante na execuo de uma auditoria bem-sucedida. Switches diferente suportam nmeros de endereos MAC variveis em sua tabela MAC. Pode ser difcil determinar a quantidade ideal de endereos MAC falsificados a serem jogados fora na rede. Voc tambm precisa concordar com o perodo de tempo limite da tabela MAC. Se os endereos MAC falsificados comearem expirar enquanto voc estiver executando sua auditoria de rede, os endereos MAC vlidos comearo a preencher a tabela MAC, o que limita os dados que possvel monitorar usando uma ferramenta de auditoria da rede. Testes de penetrao da rede As ferramentas de segurana da rede tambm podem ser usadas em testes de penetrao na sua rede. Isso permite identificar deficincias na configurao de seus dispositivos de networking. H vrios ataques que possvel executar, e a maioria dos pacotes de ferramentas acompanha uma ampla documentao detalhando a sintaxe necessria execuo do ataque desejado. Como esses tipos de testes podem ter efeitos colaterais na rede, eles so executados sob condies muito rgidas, seguindo os procedimentos documentados detalhados em um poltica de segurana de rede abrangente. Obviamente, se tiver uma rede baseada em uma pequena sala de aula, voc poder se organizar para trabalhar com seu instrutor para tentar seus prprios testes de penetrao na rede. No prximo tpico, voc aprender como implementar a segurana de porta em seus switches Cisco de forma que seja possvel assegurar que esses testes de segurana da rede no revelem nenhuma falha na sua configurao de segurana. Exibir meio visual
Pgina 2: Recursos das ferramentas de segurana da rede Uma rede efetivamente segura processo, e no um produto. No basta habilitar um switch apenas com uma configurao segura e dizer que o trabalho est concludo. Para dizer que tem uma rede segura, voc precisa ter um plano de segurana de rede abrangente que defina como verificar regularmente se a sua rede pode resistir aos ataques rede mal-intencionados mais recentes. O panorama varivel dos riscos de segurana significa que voc precisa de ferramentas de auditoria e penetrao capazes de ser atualizados para procurar os riscos de segurana mais recentes. Entre os recursos comuns de uma ferramenta de segurana da rede moderna esto:
z
z z
Identificao de servio: as ferramentas so usadas para definir hosts usando nmeros de porta Internet Assigned Numbers Authority (IANA). Essas ferramentas tambm devem ser capazes de detectar um servidor FTP em execuo em uma porta que no seja padro ou um servidor Web em execuo na porta 8080. A ferramenta tambm deve ser capaz de testar todos os servios em execuo em um host. Suporte de servios SLL: servios de teste que usam a segurana de nvel SSL, inclusive HTTPS, SMTPS, IMAPS e certificado de segurana. Testes destrutivos e no destrutivos: execuo de auditorias de segurana no destrutivas regularmente que no comprometem ou comprometem moderadamente o desempenho da rede. As ferramentas tambm devem deixar executar auditorias destrutivas que afetam significativamente o desempenho da rede. A auditoria destrutiva permite ver como a sua rede suporta ataques de intrusos. Banco de dados de vulnerabilidades: vulnerabilidades mudam o tempo todo.
As ferramentas de segurana da rede precisam ser criadas para que possam ser conectadas a um mdulo de cdigo e executar um teste procura dessa vulnerabilidade. Dessa forma, um grande banco de dados de vulnerabilidades pode ser mantido e carregado na ferramenta para assegurar que as mais recentes vulnerabilidade estejam sendo testadas. possvel usar ferramentas de segurana de rede para:
z z z z z z z z z
Capturar mensagens de bate-papo Capturar arquivos do trfego NFS Capturar solicitaes HTTP no Formato de Log Comum Capturar mensagens de email no formato Berkeley mbox Capture senhas Exibir URLs capturados no navegador em tempo real Enviar uma rede local comutada com endereos MAC aleatrios Forjar respostas para consultas DNS de endereo/apontador Interceptar pacotes em uma rede local comutada
Exibir meio visual
2.4.6 Configurando a segurana da porta
Tema acessvel CISCO
Pgina 30 de 34
Pgina 1: Usando a segurana de porta para atenuar ataques Neste tpico, voc obter informaes sobre os problemas a serem considerados ao configurar a segurana de porta em um switch. Os principais comandos de segurana de porta do Cisco IOS so sumarizados. Voc tambm obter informaes sobre como configurar a segurana de porta esttica e dinmica. Clique no boto Segurana de porta na figura. Segurana de porta Um switch que no fornece a segurana de porta permite a um invasor anexar um sistema a uma porta no usada, habilitada, e executar a coleta de informaes ou ataques. Um switch pode ser configurado para funcionar como um hub, o que significa que todos os sistemas conectados ao switch podem exibir todo o trfego da rede que passa pelo switch at todos os sistemas conectados ao switch. Assim, um invasor poderia coletar trfego que contivesse nomes de usurio, senhas ou informaes de configurao sobre os sistemas na rede. Todas as portas de switch ou interfaces devem ser protegidas antes da implantao do switch. A segurana de porta limita o nmero de endereos MAC vlidos permitidos em uma porta. Quando voc atribui endereos MAC seguros a uma porta segura, a porta no encaminha pacotes com endereos de origem fora do grupo de endereos definidos. Se voc limitar o nmero de endereos MAC seguros a um e atribuir um nico endereo MAC seguro a essa porta, a estao de trabalho acoplada porta ter toda a largura de banda da porta, e somente essa estao de trabalho com o endereo MAC seguro determinado poder se conectar com xito porta de switch. Se uma porta for configurada como uma porta segura e o nmero mximo de endereos MAC seguros for alcanado, ocorrer uma violao de segurana quando o endereo MAC de uma estao de trabalho que tenta acessar a porta for diferente dos endereos MAC seguros identificados. A figura resume esses pontos. Clique no boto Tipos de endereo MAC seguro na figura. Tipos de endereo MAC seguro H vrias formas de configurar a segurana de porta. Esta uma descrio das formas como possvel configurar a segurana de porta em um switch Cisco:
z
z z
Endereos MAC seguros esttic os: os endereos MAC so configurados manualmente, usando o comando de configurao da interface switc hport port-security mac-address mac-address. Os endereos MAC configurados dessa forma so armazenados na tabela de endereos, sendo adicionados configurao de execuo no switch. Endereos MAC seguros dinmic os: os endereos MAC so aprendidos dinamicamente e armazenados apenas na tabela de endereos. Os endereos MAC configurados dessa forma so removidos quando o switch reinicia. Endereos MAC seguros fixos: possvel configurar uma porta para saber endereos MAC dinamicamente e salvar esses endereos MAC na configurao de execuo.
Endereos MAC fixos Endereos MAC fixos seguros tm estas caractersticas:

z
Quando voc habilita a aprendizagem fixa em uma interface usando o comando de configurao da interface switc hport port-security mac -address stic a interface converte todos os endereos MAC seguros dinmicos, ky, inclusive os que foram aprendidos dinamicamente antes da habilitao da aprendizagem fixa, para fixar endereos MAC seguros e adiciona todos os endereos MAC seguros configurao de execuo. Se voc desabilitar a aprendizagem fixa usando o comando de configurao da interface no switc hport portsec urity mac-address sticky, os endereos MAC seguros fixos continuaro parte da tabela de endereos, mas sero removidos da configurao de execuo. Quando voc configura endereos MAC seguros fixos usando o comando de configurao da interface switc hport port-security mac -address stic mac-address, esses endereos sero adicionados tabela de endereos e ky configurao de execuo. Se a segurana de porta for desabilitada, os endereos MAC seguros fixos permanecero na configurao de execuo. Se voc salvar os endereos MAC seguros fixos no arquivo de configurao, quando o switch for reiniciado ou a interface for desligada, a interface no precisar reaprender esses endereos. Se voc no salvar os endereos seguros fixos, eles sero perdidos. Se voc desabilitar a aprendizagem fixa e digitar o comando de configurao da interface switchport port-sec urity mac -address stic mac-address, uma mensagem de erro ser exibida, e o endereo MAC seguro fixo no ser ky adicionado configurao de execuo.
Clique no boto Modos de violao da segurana na figura. Modos de violao da segurana uma violao de segurana quando uma destas situaes ocorre:
Tema acessvel CISCO
Pgina 31 de 34
z z
O nmero mximo de endereos MAC seguros foi adicionado tabela de endereos e uma estao cujo endereo MAC no est na tabela de endereos tenta acessar a interface. Um endereo aprendido ou configurado em uma interface segura visto em outra interface segura na mesma VLAN.
possvel configurar a interface para um dos trs modos de violao, com base na ao ser executada em caso de uma violao. A figura apresenta que tipos de trfego de dados so encaminhados quando um dos seguintes modos de violao de segurana configurado em uma porta:
z
proteger: quando o nmero de endereos MAC seguros atinge o limite permitido na porta, pacotes com endereos de origem desconhecidos so ignorados at que voc remova um nmero suficiente de endereos MAC seguros ou aumente o nmero mximo de endereos permitidos. Voc no notificado de que houve uma violao de segurana. restringir: quando o nmero de endereos MAC seguros atinge o limite permitido na porta, pacotes com endereos de origem desconhecidos so ignorados at que voc remova um nmero suficiente de endereos MAC seguros ou aumente o nmero mximo de endereos permitidos. Nesse modo, voc notificado de que houve uma violao de segurana. Especificamente, uma interceptao SNMP enviada, uma mensagem syslog registrada em log e o contador de violao incrementado. desligamento: nesse modo, uma violao de segurana de porta faz com que a interface seja desabilitada para erro imediatamente e apaga o LED da porta. Ele tambm envia uma interceptao SNMP, registra em log uma mensagem syslog e incrementa o contador de violao. Quando uma porta segura estiver no estado desabilitado para erro, ser possvel tir-la desse estado, digitando-se os comandos de configurao da interface shutdown e no shutdown. Este o modo padro.
Exibir meio visual
Pgina 2: Configurar segurana da porta Clique no boto Configurao padro na figura. As portas em um switch Cisco so pr-configuradas com padres. A figura resume a configurao da segurana de porta padro. Clique no boto Configurar segurana de porta dinmic na figura. a A figura mostra os comandos CLI do Cisco IOS necessrios configurao da segurana de porta na porta Fast Ethernet F0/18 do switch S1. Observe que o exemplo no especifica um modo de violao. Neste exemplo, o modo de violao definido como shutdown. Clique no boto Configurar segurana de porta fixa na figura. A figura mostra os como habilitar a segurana de porta fixa na porta Fast Ethernet 0/18 do switch S1. Conforme dito antes, possvel configurar o nmero mximo de endereos MAC seguros. Neste exemplo, voc pode ver a sintaxe de comando do Cisco IOS usada para definir o nmero mximo de endereos MAC como 50. Por padro, o modo de violao definido como shutdown. H outras configuraes de segurana de porta que voc talvez considere teis. Para obter uma listagem completa das opes de configurao da segurana de porta, visite: http://www.cisco.com/en/US/docs/switches/lan/catalyst2960/software/release/12.2_44_se/configuration/guide/swtrafc.html Exibir meio visual
Pgina 3: Verific segurana de porta ar Depois de configurar a segurana de porta para o seu switch, voc deseja verificar se ele foi configurado corretamente. Voc precisa verificar cada interface para ver se definiu a segurana de porta corretamente. Voc tambm precisa verificar para ter certeza de que configurou endereos MAC estticos corretamente. Verific configuraes de segurana de porta ar Para exibir as configuraes de segurana de porta do switch ou da interface especificada, use o comando show portsec urity [interfac interface-id]. e A sada de comando exibe o seguinte:
z
Nmero de endereos MAC seguros mximo permitido para cada interface
Tema acessvel CISCO
Pgina 32 de 34
z z z
Nmero de endereos MAC seguros na interface Nmero de violaes de segurana ocorridas Modo de violao
Verificar endereos MAC seguros Clique no boto Verificar endereos MAC seguros na figura. Para exibir todos os endereos MAC seguros configurados em todas as interfaces de switch em uma interface especificada com as informaes de tempo limite de cada uma, use o comando de endereo show port-security [interface interface-id]. Exibir meio visual
2.4.7 Protegendo portas no usadas Pgina 1: Desabilitar portas no usadas Neste tpico, voc aprender a usar um comando simples do Cisco IOS para proteger as portas de switch no usadas. Um mtodo simples usado por muitos administradores para ajudar na proteo de sua rede contra o acesso no autorizado desabilitar todas as portas no usadas em um switch de rede. Por exemplo, imagine que um switch Cisco 2960 tenha 24 portas. Se houver trs conexes Fast Ethernet sendo usadas, a prtica recomendada de segurana exigir que voc desabilite as 21 portas no usadas. A figura mostra a sada de comando parcial dessa configurao. simples desabilitar vrias portas em um switch. Navegue at cada uma das portas no usadas e emita esse comando shutdown do Cisco IOS. Uma forma alternativa de desligar vrias portas usando o comando interface range. Se uma porta precisar ser ativada, ser possvel digitar o comando no shutdown nessa interface. O processo de habilitar e desabilitar portas pode se tornar uma tarefa entediante, mas o valor em termos de aprimoramento da segurana em sua rede vale bem o esforo. Exibir meio visual
Pgina 2: Nesta atividade, voc configurar comandos de switch bsicos e definir e testar a segurana da porta. So fornecidas instrues detalhadas na atividade, bem como no link do PDF abaixo. Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual
2.5 Laboratrios do captulo

2.5.1 Configurao bsica do switch Pgina 1: Neste laboratrio, voc ir examinar e configurar um switch de LAN autnomo. Embora um switch execute funes bsicas em sua condio padro pronta para uso, h vrios parmetros que um administrador de rede deve modificar para assegurar uma LAN segura e otimizada. Este laboratrio apresenta os fundamentos da configurao do switch. Exibir meio visual
Pgina 2: Nesta atividade, voc ir examinar e configurar um switch de LAN autnomo. Embora um switch execute funes bsicas em sua condio padro pronta para uso, h vrios parmetros que um administrador de rede deve modificar para assegurar uma LAN segura e otimizada. Esta atividade apresenta os fundamentos da configurao do switch. So fornecidas instrues detalhadas na atividade, bem como no link do PDF abaixo. Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual
2.5.2 Gerenciando o sistema operacional do switch e os arquivos de configurao
Tema acessvel CISCO
Pgina 33 de 34
Pgina 1: Neste laboratrio, voc criar e salvar uma configurao de switch bsica em um servidor TFTP. Voc usar um servidor TFTP para carregar uma configurao no switch e atualizar o software do Cisco IOS. Voc tambm usar procedimentos de recuperao de senha para acessar um switch para o qual a senha desconhecida. Exibir meio visual
2.5.3 Gerenciando o sistema operacional do switch e os arquivos de configurao - Desafio Pgina 1: Cabo de rede semelhante ao do diagrama de topologia. Em seguida, crie uma conexo de console com o switch. Se necessrio, consulte o Laboratrio 1.3.1. A sada mostrada neste laboratrio de um switch 2960. Se voc usar outros switches, as sadas do switch e as descries de interface podero ser diferentes. Exibir meio visual
2.6 Resumo do captulo

2.6.1 Resumo do captulo Pgina 1: Neste captulo, abordamos a comunicao Ethernet IEEE 802.3 que usa trfego de unicast, de broadcast e de multicast. As primeiras implementaes de redes Ethernet precisaram usar CSMA/CD para ajudar a impedir e a detectar colises entre quadros na rede. As configuraes bidirecionais e a segmentao de rede local melhoram o desempenho e reduzem a necessidade de CSMA/CD. O design da rede local um processo tendo como resultado final desejado uma determinao de como a rede local deve ser implementada. Entre as consideraes quanto ao design da rede local esto domnios de coliso, domnios de broadcast, latncia de rede e segmentao de rede local. Abordamos como os mtodos de encaminhamento do switch influenciam o desempenho da rede local e a latncia. O armazenamento em buffer de memria tem uma funo no encaminhamento do switch, na comutao simtrica e assimtrica e na comutao multicamada. Uma introduo navegao na CLI do Cisco IOS em um switch Cisco Catalyst 2960 foi apresentada. As funes de ajuda internas so usadas para identificar comandos e opes de comando. A CLI do Cisco IOS mantm um histrico de comandos que permite configurar funes de switch repetitivas mais rapidamente. Abordamos a configurao de switch inicial e como verificar a configurao do switch. Fazer backup da configurao de um switch e restaur-la so habilidades essenciais para qualquer um que administre um switch. Aprendemos como proteger o acesso ao switch: implementando senhas para proteger linhas de console e de terminal virtual, implementando senhas para limitar o acesso ao modo EXEC privilegiado, configurando criptografia de senha em todo o sistema e habilitando SSH. H vrios riscos de segurana comuns a switches Cisco Catalyst, muitos dos quais so atenuados pelo uso da segurana de porta. Exibir meio visual
Pgina 3: Nesta atividade avanada de integrao das habilidades no Packet Tracer, voc ir configurar o gerenciamento de switch bsico, incluindo comandos de manuteno gerais, senhas e segurana de porta. Esta atividade fornece uma oportunidade de revisar habilidades previamente adquiridas. So fornecidas instrues detalhadas na atividade, bem como no link do PDF abaixo. Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual
2.7 Teste do captulo

2.7.1 Teste do captulo Pgina 1: Exibir meio visual
Tema acessvel CISCO
Pgina 34 de 34
Ir para a prxima Ir para a anterio r Ir para a parte superio r
All contents copyright 2007-2009 Cisco Systems, Inc. | Traduzido por Cisco Networking Academy. Sobre

CCNA 4.0 - LSW - 02 Configuração e Conceitos Básicos de Switch

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

CCNA 4.0 - LSW - 02 Configuração e Conceitos Básicos de Switch

Enviado por

Direitos autorais:

Formatos disponíveis

Tema acessvel CISCO

Alternar idioma para English | Pesquisa | Glossrio ndice do curso:

CCNA Exploration - Comutao de rede local e sem fio

2.1 Introduo a redes locais Ethernet/802.3

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Exibir meio visual

Tema acessvel CISCO

Pgina 2: Exibir meio visual

2.2 Encaminhando quadros usando um switch

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Exibir meio visual

Pgina 3: Exibir meio visual

2.3 Configurao do gerenciamento do switch

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

2.4 Configurando a segurana do switch

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Tema acessvel CISCO

Exibir meio visual

Tema acessvel CISCO

Tema acessvel CISCO

Exibir meio visual

2.4.6 Configurando a segurana da porta

Tema acessvel CISCO

Endereos MAC fixos Endereos MAC fixos seguros tm estas caractersticas:

Tema acessvel CISCO

Exibir meio visual

Nmero de endereos MAC seguros mximo permitido para cada interface

Tema acessvel CISCO

2.5 Laboratrios do captulo

2.5.2 Gerenciando o sistema operacional do switch e os arquivos de configurao

Tema acessvel CISCO

2.6 Resumo do captulo

Pgina 2: Exibir meio visual

2.7 Teste do captulo

Tema acessvel CISCO

Ir para a prxima Ir para a anterio r Ir para a parte superio r

Você também pode gostar