2

CONFIGURAÇÃO DE SWITCHES

1 . Em ambientes SOHO (Small Office - Home Office), tipicamente, não há requisitos complexos.
Em um projeto, o especialista precisa escolher um equipamento de configuração fixa, não há
demanda de segregação em VLANs, mas pela indisponibilidade de pontos de fornecimento de
energia, precisará ser PoE (Power over Ethernet). O equipamento que atende estes requisitos,
dentre os listados nas opções, é:

Switch L2 não-gerenciável.

EXPLICAÇÃO:

Como não há requisito de criação de VLANs e outros recursos que demandem

gerenciamento, o mais indicado é o switch L2 não-gerenciável. Os demais equipamentos
citados excedem a demanda (switches gerenciáveis, inclusive o modular), ou possui outra
finalidade em um projeto de rede (switch Metro Ethernet).

2 Uma importante etapa da configuração de equipamentos de conectividade é o salvamento das

configurações realizadas em memória não-volátil (NVRAM), para que, após um desligamento ou
reinicialização, as novas informações estejam disponíveis. O comando necessário para gravar as
configurações feitas na memória não-volátil é:

copy running-config startup-config

EXPLICAÇÃO:

O comando copy running-config startup-config instrui o IOS a substituir o arquivo de

configuração em NVRAM, startup-config, pelo arquivo de configuração em memória RAM, o
running-config. Os demais comandos não realizam esta função.

3. Há formas diferentes de se acessar switches para configurá-los. Sobre estas possíveis maneiras,
avalie as assertivas abaixo:

I - O acesso via console é exclusivamente físico, dependendo de uma conexão direta com o
switch.

IV - O acesso via TELNET envia senhas e logins sem nenhuma proteção criptológica.

V - O acesso via SSH protege senhas e logins com criptografia.

4. Usar o SSH no lugar do TELNET para eventuais configurações via rede em switches é uma
importante ação de segurança. Um passo fundamental durante a configuração do SSH é:

Definição do nome do domínio ao qual pertence o switch.

EXPLICAÇÃO:

Chaves criptológicas RSA são associadas a um equipamento que precisa ser unívoco,
distinto de outros, e para isso, o switch precisa ser associado a um domínio. Não há relação
entre a criação de VLANs (segregação interna da rede em domínios de broadcasts
distintos) e o SSH (protocolo para acesso remoto seguro). Não há recomendação ou
exigência de uso de KERBEROS de forma associada com o SSH. Não há geração de
“senhas” pelo RSA, e sim de CHAVES criptológicas, que não são manipuladas diretamente
pelo usuário. Não há recomendação ou exigência de que um único terminal virtual seja
utilizado para acesso SSH.

5. É uma boa prática de segurança criar uma VLAN para o tráfego de gerência, retirando todas as
portas do switch da VLAN padrão. A VLAN padrão default em switches é:

VLAN 1.

EXPLICAÇÃO:

De acordo com o padrão 802.1Q, a VLAN 1 é a VLAN padrão para todo o tráfego sem uso
de tags. A VLAN 0 não existe e as demais opções são números que podem ser atribuídos a
uma VLAN NATIVA, que substituirá a VLAN padrão para o tráfego de gerenciamento no
lugar da VLAN 1.

6. Ao adotar boas práticas de segurança na configuração de switches, um importante passo é lidar

com a VLAN nativa. Qual é o papel do comando Switch (config-if)# switchport trunk native vlan 50
executado em uma interface que está conectada a outra em outro switch?

Substituir a VLAN padrão, a VLAN 1, pela VLAN 50 como VLAN nativa.

EXPLICAÇÃO:

Esse comando só pode ser emitido em uma interface de um tronco já criado, e com a VLAN
50 já criada. O uso do parâmetro NATIVE no comando permitirá que o tráfego de
gerenciamento, acomodado na VLAN 50, não precise usar TAGs para passar pelo tronco. A
VLAN nativa default é a VLAN 1, mas com este comando passará a ser a VLAN 50.
 7. A configuração de equipamentos de conectividade em uma rede já em produção pode
provocar efeitos indesejados. Caso seja recebida uma mensagem do tipo Native VLAN
mismatch na console de um switch que não está sendo configurado, mas está conectado a
outro, indica qual situação discrepante?

A VLAN Nativa foi alterada no tronco com o outro switch

EXPLICAÇÃO:

A mensagem VLAN MISMATCH indica problemas na configuração de um tronco. Uma

configuração de VLANs permitidas em uma porta diferente da outra do tronco gera uma
mensagem VLAN MISMATCH. Como no enunciado é especificado que a mensagem é
NATIVE VLAN MISMATCH, a discrepância está na diferença entre as VLANs configuradas
como nativa em cada uma das portas. Obviamente, em ambas as interfaces a VLAN Nativa
configurada deve ser a mesma.

8. A configuração do Port Security em switches é de grande importância para evitar acessos

indevidos. Sobre as opções de configuração do Port Security e suas implicações, avalie as
assertivas a seguir:

I - A emissão do comando switchport port-security aging type inactivity é válida e configura

a validade de uma associação de MAC ADDRESS como seguro, mas por um tempo finito
variável.

PORQUE

II - A utilização do aging type inactivity como tipo de aging time faz com que APENAS o
tempo de INATIVIDADE da estação seja debitado do valor temporal configurado como aging
time, tornando a duração da associação imprevisível.

EXPLICAÇÃO:

A configuração de um aging time pode ter dois tipos: absolute ou inactivity. Se não for
configurada, a opção default será absolute, mas se a cláusula inactivity for configurada,
apenas o tempo em que a estação estiver operacional será “descontado” do valor de aging
time, tornando o tempo total de conexão autorizada imprevisível.
 9. Uma importante ação de segurança na configuração de uma rede é a adoção do Port
Security. Através dele, podem ser escolhidas opções que vinculem determinados
computadores a portas, bloqueando acessos indevidos. Sobre a configuração do Port
Security para implementar uma política de anexação de máquinas específicas a portas de
switches, avalie as assertivas a seguir e a relação entre elas:

I - A configuração da ação em caso de acesso indevido a uma porta como PROTECT

é a que oferece o maior nível de proteção.

PORQUE

II - Quando configurado em modo PROTECT, todo o tráfego proveniente de um MAC

ADDRESS não autorizado é descartado.

EXPLICAÇÃO:

Apesar da assertiva II ser verdadeira, ou seja, o modo PROTECT não permite a entrada ou
saída de tráfego pela porta para um dispositivo com um MAC ADDRESS não-autorizado,
PORÉM, não é a ação que dá mais proteção, porque NÃO bloqueia a porta NEM faz
registro da ocorrência, diferentemente, por exemplo, do modo SHUTDOWN, o mais seguro,
onde a porta é bloqueada mediante uma tentativa de acesso não autorizada.

10. A conexão de redes locais aos backbones da internet em grandes centros pode ser feita de várias
formas diferentes. As opções legadas tipicamente dependiam de conversão dos formatos de
quadros para serem introduzidos em uma solução de telefonia. A opção onde são usados
equipamentos onde quadros ethernet são comutados, sem conversões de protocolo, até a
operadora que fornece acesso a esses backbones, substituindo as linhas privativas de
comunicação de dados (LPCD) da telefonia, representando redução de custo e de overhead na
manipulação do tráfego é:

Metro Ethernet.

EXPLICAÇÃO:

WiMax, LTE e GPRS são soluções de tráfego de dados baseados na tecnologia celular.
Métodos de acesso e formatos de quadros são diferentes dos usados nas redes locais,
então contrariam o requisito do enunciado de não haver conversão de formatos do quadro.
Fast Ethernet é uma taxa de transmissão do Ethernet, e não um modelo de tecnologia.
Metro Ethernet é a opção que atende completamente ao enunciado.