TEMA 4 - Configurações avançadas de switches - IMPRIMIDO

Prévia do material em texto

Con�gurações avançadas de switches
Prof. João Francisco de Oliveira Antunes
Descrição
Aumento da banda disponível para os links de tronco, a segurança e a análise de falhas aplicadas a switches e roteadores.
Propósito
Aplicar técnicas para aumentar a performance dos links de tronco, a aplicação de mecanismos de segurança e a análise de
falhas são competências fundamentais no dia a dia de um analista de redes.
Preparação
Antes de iniciar seu estudo, é importante ter o software Packet Tracer versão 8.1.0 ou superior.
Objetivos
Módulo 1
Agregação de links
Configurar agregação de portas (EtherChannel) nas portas de um switch.
Módulo 2
Switch Port Analyzer (SPAN)
Configurar o espelhamento de portas SPAN (Switched Port Analyzer) em um switch.
Módulo 3
Port-security
Aplicar segurança de portas (Port security) nas portas de um switch.
Módulo 4
Solução de problemas
Aplicar técnicas de análise de falhas em switches.
Introdução
Quando um engenheiro de redes trabalha em uma arquitetura multicamadas baseada em VLANs, seu intuito precípuo é o de
prover redundância e largura de banda suficiente para os links de tronco. Como esses requisitos constituem um aspecto crítico
da operação, ocorre por vezes a necessidade de troca do switch por um de maior capacidade. A possibilidade de agregar várias
portas físicas em um canal lógico (EtherChannel) traz uma nova perspectiva para os administradores de rede possibilitando a
escalada da rede e sobrevida das instalações.
Por outro lado, a preocupação com a segurança física e lógica da rede é cada vez maior. Nesse contexto, as portas do switch
podem ser robustecidas com mecanismos como o port security que protege a rede contra a conexão indevida de equipamentos
e o SPAN (Switched Port Analyzer), que possibilita inspecionar o tráfego da rede. Essas são funcionalidades que todos os
administradores de redes precisam dominar.
A disponibilidade de uma rede passa também pela capacidade de identificar, analisar e corrigir falhas. Dominar essas
competências é de fundamental importância para a gerência de um ambiente de rede. Conhecer técnicas de “troubleshooting”
constitui um diferencial importante e permite a solução rápida de incidentes e problemas aumentando a disponibilidade da rede.

1 - Agregação de links
Ao �nal deste módulo, você será capaz de con�gurar agregação de portas (EtherChannel)
nas portas de um switch.
Agregação de portas
Redundância e largura de banda são preocupações constantes em uma rede hierárquica. Há cenários onde necessitamos
adicionar mais de uma porta a um link de tronco sem que esta seja bloqueada pelo STP (Spanning Tree Protocol). Essa
tecnologia se chama EtherChannel, que permite que vários links físicos sejam agregados em um único link lógico, funcionando
como se fosse uma única interface, porém, com a largura de banda equivalente ao somatório dos links. A seguir, a imagem
apresenta o conceito do EtherChannel
EtherChannel.
Nela, podemos ver um EtherChannel ETCH_1 composto pelos links físicos LF1 e LF2. Nessa configuração, as duas interfaces
físicas do switch operam como se fossem uma só, não sendo bloqueadas pelo protocolo STP.
Uma vez que o EtherChannel tenha sido estabelecido, ações de configuração podem ser feitas diretamente no canal, sendo
difundidas para as interfaces físicas. Além de redundância, esse tipo de configuração oferece balanceamento de carga. Caso um
link físico do canal seja perdido, não há reconfiguração da topologia, pois o link lógico continua ativo, mesmo com redução da
banda.
Protocolos de negociação automática
Existem dois protocolos que possibilitam que portas com características semelhantes em switches conectados diretamente
formem um canal lógico por meio de negociação dinâmica entre eles. São eles:
Port Aggregation Protocol (PAgP).
Link Aggregation Control Protocol (LACP).
O canal lógico também pode ser estabelecido de forma estática por configuração do administrador.
Port Aggregation Protocol (PAgP)
Port Aggregation Protocol (PAgP) é um protocolo proprietário da Cisco. Quando configurado nas portas dos switches, esse
protocolo auxilia na criação automática de links EtherChannel por meio de pacotes PAgP que são enviados entre as portas para
negociar a formação de um canal. Quando o PAgP identifica links correspondentes, ele os agrupa formando um EtherChannel
que é, então, adicionado ao spanning tree como uma única porta.
Comentário
Além de atuar no estabelecimento do canal, o PAgP também atua no seu gerenciamento. Pacotes PAgP são enviados a cada 30
segundos para verificar seu funcionamento e gerenciar as adições e falhas do link entre dois switches. É ele que assegura que
quando um EtherChannel é criado, todas as portas tenham suas configurações feitas de forma consistente, como mesma
velocidade, modo duplex (Half ou Full Duplex) e VLANs.
O PAgP negocia o EtherChannel, detectando a configuração efetuada de cada lado do link. Os modos para PAgP são
apresentados a seguir.
Força a interface a estabelecer o canal de forma estática (incondicional). As interfaces configuradas no modo ligado não
trocam pacotes PAgP.
On 
PAgP desirable (desejável) 
Coloca uma interface em um estado de negociação ativo. A interface inicia negociações com outras interfaces enviando
pacotes PAgP.
Coloca uma interface em um estado de negociação passiva. A interface apenas responde aos pacotes PAgP que recebe,
mas nunca inicia a negociação.
Os modos devem ser compatíveis em ambos os lados, uma vez que quando a interface é configurada no modo On, o protocolo
de negociação será desligado e o EtherChannel só será estabelecido se as interfaces do outro lado também estiverem
configuradas no modo On. Da mesma forma, se as interfaces de ambos os lados estiverem no modo PAgP auto, o canal também
não será estabelecido, pois os dois lados estarão no modo de negociação passivo aguardando um pacote que nunca será
enviado.
Link Aggregation Control Protocol (LACP)
Link Aggregation Control Protocol (LACP) é um protocolo especificado pelo IEEE 802.3ad (atualmente IEEE 802.1AX), que
possibilita a negociação de canais lógicos, compatível com o PAgP da Cisco, fornecendo os mesmos benefícios de negociação.
Os modos para LACP são apresentados a seguir.
Força a interface a estabelecer o canal de forma estática (incondicional). As interfaces configuradas no modo ligado não
trocam pacotes LACP.
Coloca uma interface em um estado de negociação ativo. A interface inicia negociações com outras interfaces enviando
pacotes LACP.
Coloca uma interface em um estado de negociação passiva. A interface apenas responde aos pacotes LACP que recebe,
mas nunca inicia a negociação.
PAgP auto 
On 
PAgP ativo 
PAgP passivo 
Como o protocolo LACP é um padrão IEEE, favorece a criação de EtherChannels em ambientes de vários fornecedores. Nos
dispositivos Cisco, ambos os protocolos são suportados. Assim como ocorre com o PAgP, os modos devem ser compatíveis nos
dois lados para que se forme o link de EtherChannel.
Con�gurando agregação de links
Con�guração do Port Aggregation Protocol (PAgP)
Para que o PAgP possa ser configurado, alguns requisitos devem ser estabelecidos primeiramente.
Todas as interfaces devem suportar EtherChannel sem a necessidade de que sejam fisicamente contíguas nem do mesmo
módulo.
Todas as interfaces devem estar configuradas para operar na mesma velocidade e no mesmo modo duplex (Half ou Full
Duplex).
Todas as interfaces do EtherChannel devem ser atribuídas à mesma VLAN ou configuradas como um tronco.
O intervalo de VLANs permitidas deve ser o mesmo em todas as interfaces que formam um EtherChannel.
Como exemplo, imagine o cenário apresentado na imagem a seguir.
Cenário de VLAN com agregação de portas.
Nele vemos três VLANs 20, 30 e 40 implementadas em dois switches SWA e SWB, com um EtherChannel entre eles utilizando as
interfaces GigabitEthernet 0/1 e 0/2 de cada switch. Uma vez que todos os requisitos preliminares tenham sido atendidos, a
configuraçãodo EtherChannel pode ser realizada com as seguintes etapas:
Etapa 1
Selecione as interfaces que irão compor o grupo EtherChannel executando o comando interface range < Range de Interfaces > no
modo de configuração global. Isso permite configurar várias interfaces simultaneamente. Assim, para nosso exemplo, o
comando seria:
TERMINAL 
Etapa 2
Crie a interface de canal com o channel-group < num_canal > mode < modo > no modo de configuração de interface. Observe que
o tipo de protocolo a ser utilizado será definido pelo modo selecionado, sendo:
active / passive para LACP
auto / desirable para PAgP
on para criar o canal manualmente
Que para nosso exemplo seria:
TERMINAL 
Etapa 3
Em seguida, as configurações devem ser feitas na interface do canal usando o comando interface port-channel < num_canal >.
Cuja implementação para nosso caso ficaria:
TERMINAL 
Observação: a interface port-channel pode ser configurada no modo access, trunk (mais comum) ou em uma porta roteada.
Para verificar se o port-channel foi configurado com sucesso, podemos utilizar os seguintes comandos apresentados a seguir
com suas respectivas saídas:
Show interfaces port-channel
Exibe o status geral da interface do canal. No exemplo a seguir, o port-channel 1 está ativo.
TERMINAL 
Show etherchannel summary
Apresenta as informações do canal port-channel 1, indicando o protocolo utilizado (LACP), as portas que compõem o canal
Gig0/1 e Gig0/2 e seus status (P) - in port-channel.
TERMINAL 
Show etherchannel port-channel
Exibe as informações sobre cada um dos port-channel existentes. No exemplo, a interface Port Channel 1 consiste em duas
interfaces físicas, Gig0/1 e Gig0/2, utilizando LACP no modo Active.
TERMINAL 
Show interfaces etherchannel
Fornece informações sobre a função da interface no EtherChannel. A interface G0/1, no exemplo, pertence ao port-channel 1,
está ativa (UP) e utilizando o protocolo LACP no modo Active (G0/1 SA).
TERMINAL 
Con�gurando agregação de links
Neste vídeo, apresentaremos a configuração da topologia que permite o uso de agregação de links.

Falta pouco para atingir seus objetivos.
Vamos praticar alguns conceitos?
Questão 1
Você está configurando um link EtherChannel, utilizando PAgP, entre duas portas físicas em um switch. Qual instrução
descreve o resultado quando uma das portas físicas falha?
A O canal continua transmitindo dados com largura de banda reduzida.
B A ligação entre os switches falha.
Parabéns! A alternativa A está correta.
Um EtherChannel é uma conexão lógica, assim, a perda de um link físico no canal não altera a topologia e, logo, não é
necessário um novo cálculo de Spanning Tree. Quando uma das portas físicas do EtherChannel falha, o link EtherChannel
permanece funcional, embora sua taxa de transferência diminua devido a um link perdido.
Questão 2
Você está configurando um link EtherChannel, utilizando LACP. O port-channel do switch para esse canal está configurado
no modo Passivo (passive). Qual modo você deve configurar o port-channel desse switch para que o EtherChannel seja
estabelecido?
Parabéns! A alternativa C está correta.
No LACP, o comando channel-group mode passive habilita o port-channel a estabelecer o Etherchannel somente se a porta
receber um pacote LACP de outro dispositivo. Logo, o switch que você está configurando deve ser configurado com o
comando channel-group mode active.
C O protocolo STP irá determinar uma nova rota.
D O canal para de transmitir dados até que seja reiniciado.
E Uma nova porta será adicionada automaticamente ao canal.
A Auto.
B Passive.
C Active.
D Desirable.
E Manual.
2 - Switch Port Analyzer (SPAN)
Ao �nal deste módulo, você será capaz de con�gurar o espelhamento de portas SPAN
(Switched Port Analyzer) em um switch.
Espelhamento de portas
Muitas vezes,em uma rede, necessitamos utilizar um analisador de protocolos ou agregar tecnologias de segurança como
IDS/IPS. Para isso, necessitamos capturar os pacotes que trafegam na rede. Porém, a análise dos dados nem sempre é possível,
pois os switches isolam o tráfego, encaminhando os pacotes para uma porta específica associada ao MAC de destino. Existem
dois métodos comumente utilizados para capturar o tráfego e enviá-lo para esses dispositivos: TAPs de rede e espelhamento de
portas.
Test Access Point (TAPs) de rede
Um TAP (Test Access Point) de rede é um dispositivo de divisão passiva (camada física) que faz uma cópia exata de todo o
tráfego que flui entre dois pontos da rede, encaminhando todo o tráfego, incluindo erros de camada física, para o analisador ou
IDS. A imagem, a seguir, apresenta uma topologia de análise de tráfego utilizando TAP.
Topologia de análise de tráfego utilizando TAP.
Nela, podemos observar que o tráfego que flui entre o roteador de borda e o firewall é duplicado pelo TAP e encaminhado ao
dispositivo de análise. Outra característica marcante do TAP é que, em caso de perda de energia ou falha, o tráfego normal não é
afetado.
Espelhamento de porta – SPAN
Switches por sua vez são projetados para segmentar o tráfego, encaminhando os frames diretamente para as portas associadas
ao MAC de destino, limitando assim a quantidade de tráfego visível para dispositivos de monitoramento de rede. Nesse contexto,
o espelhamento de portas deve ser utilizado. Ele permite que o switch copie (espelhe) os quadros de uma ou mais portas para
uma porta SPAN (Switch Port Analyzer) conectada a um dispositivo de análise. A imagem, a seguir, apresenta uma topologia de
análise de tráfego utilizando SPAN.
Topologia de análise de tráfego utilizando SPAN.
Nela, as portas de entrada e saída do fluxo (Fa0/1 e Fa0/2) de dados são origem para o espelhamento (SPAN) e a porta
conectada ao analisador (G0/1) é o destino. A associação entre uma ou mais portas de origem e uma ou mais portas de destino,
dependendo do switch, é chamada de sessão SPAN. Analogamente, uma VLAN pode ser especificada, na qual todas as portas
na VLAN se tornam origens de tráfego SPAN, sendo que uma sessão SPAN pode ter portas ou VLANs como origens, mas nunca
as duas.
Con�guração de SPAN
Con�gurando SPAN em um switch
Para nossa topologia proposta, a configuração do SPAN consiste do seguinte:
O comando monitor session number source [interface interface | vlan vlan], executado no modo de configuração global, cria
uma sessão SPAN e estabelece a origem, assim, o comando para definir como origem SPAN a interface Fa0/2 conectada ao
servidor seria:
(config)# monitor session 1 source interface FastEthernet 0/2
O comando monitor session number destination [interface interface | vlan vlan], também executado no modo de configuração
global, estabelece o destino para aquela sessão criada, logo, o comando para definir como destino SPAN a interface G0/1
conectada ao dispositivo de análise seria:
(config)# monitor session 1 destination interface g0/1
Para verificar a configuração da sessão SPAN, utilize o comando monitor section [number | all | local | range | remote], no modo
EXEC privilegiado, que no nosso exemplo ficaria:
TERMINAL 
Uma variação de SPAN chamada Remote SPAN (RSPAN) pode ser usada quando o analisador estiver em um switch diferente
daquele onde o tráfego está sendo monitorado, permitindo, por meio da flexibilidade de VLANs, o monitoramento remoto de
vários switches em toda a rede. O tráfego para cada sessão RSPAN é transportado sobre uma VLAN RSPAN especificada pelo
administrador e dedicada à sessão SPAN em todos os switches monitorados.
Con�gurando espelhamento de porta
Neste vídeo, apresentaremos a configuração da topologia que permite o uso de espelhamento de porta.

Falta pouco para atingir seus objetivos.
Vamos praticar alguns conceitos?
Questão 1
Muitas vezes, em uma rede, necessitamos utilizar um analisador de protocolos ou IDS/IPS. Para isso, necessitamos capturar
os pacotes que trafegam na rede. Qual tecnologia de rede usa um dispositivo de divisão passiva que encaminha todo o
tráfego, incluindoerros de Camada 1, para um dispositivo de análise?
Parabéns! A alternativa D está correta.
TAPs (pontos de acesso de teste), conhecidos como TAPs de rede, são dispositivos de hardware autônomos que fazem
uma cópia exata de todo o tráfego que flui entre dois pontos de extremidade em uma rede, incluindo erros de camada física,
para o analisador ou IDS.
Questão 2
Switches são projetados para segmentar o tráfego, encaminhando os frames diretamente para as portas associadas ao
MAC de destino. Isso inviabiliza o uso de TAPs. Qual mecanismo pode ser usado para copiar pacotes que entram ou saem
de uma porta do switch e enviá-los para outra porta até um dispositivo de análise?
A IDS
B SPAN
C Port mirroring
D TAP
E IPS
A IDS
B SPAN
Parabéns! A alternativa B está correta.
O espelhamento de portas permite que o switch copie (espelhe) os quadros de em uma ou mais portas para uma porta
SPAN (Switch Port Analyzer) conectada a um dispositivo de análise.
3 - Port-security
Ao �nal deste módulo, você será capaz de aplicar segurança de portas (Port-security) nas
portas de um switch.
Segurança de portas
A camada de enlace e seus dispositivos são muitas vezes esquecidos quando falamos de segurança, porém relacionados a eles
estão alguns dos ataques mais fáceis de serem aplicados, como aqueles relacionados à tabela MAC. Assim, é boa prática que
as portas do switch (interfaces) sejam protegidas antes que ele seja implantado em produção.
C TAP
D IPS
E SNMP
Protegendo as portas não utilizadas
Um primeiro aspecto a ser considerado na segurança da camada 2 consiste em desativar todas as portas não utilizadas no
switch. Desative todas as portas não utilizadas, executando o comando shutdown em cada porta ou em um range de portas. Por
exemplo, considerando o cenário apresentado na imagem “cenário de VLAN com agregação de portas”, suponha que os
switches SWA e SWB possuem 24 portas Ethernet 10/100 dividido em três VLANs, conforme apresentado na tabela a seguir.
VLAN Portas por VLAN Portas utilizadas por VLAN
VLAN 20 Fa0/1 a Fa0/8 Fa0/1 a Fa0/4
VLAN 30 Fa0/9 a Fa0/16 Fa0/9 a Fa0/12
VLAN 40 Fa0/17 a Fa0/24 Fa0/17 a Fa0/21
Tabela: Distribuição das VLANs nos switches.
João Francisco Antunes.
Para desabilitar as portas não utilizadas, podemos usar as facilidades do comando (config)# interface range type module/first-
number – last-number no modo de configuração global e em seguida executar o comando shutdown no modo de configuração
da interface. A seguir, apresentamos os comandos para as portas não utilizadas associadas a VLAN 20 do switch SWA.
TERMINAL 
Observe a saída do comando indicando a desativação das interfaces
TERMINAL 
Implementando Port-security
Uma das ameaças mais comuns associadas à camada 2 é o ataque de inundação de endereços MAC, que visa sobrecarregar a
tabela de endereços MAC do switch com MACs falsos, obrigando-o a inundar os frames unicast para todas as interfaces da rede,
dando acesso aos atacantes a todo o tráfego válido da rede.
A forma mais efetiva de mitigar essa ameaça é implementar o port-security, que limita o número de endereços MAC válidos
permitidos para uma porta. Com ele, é possível configurar manualmente restrições ou permitir que o switch aprenda por si só um
determinado número de endereços MAC de origem dos pacotes que entram na porta.
Após implementado em uma porta, o switch compara o MAC de origem do pacote entrante com a tabela de MACs de origem do
port-security. Caso o MAC entrante seja diferente da tabela, a ação tomada dependerá dos modos do port-security configurados.
Para implementação do port-security, o comando switchport port-security deve ser executado no modo de configuração da
interface ou de um range de interfaces, porém o port-security só pode ser executado em portas de acesso ou portas trunk
configuradas manualmente. Essa é uma característica importante dessa feature e que deve ser lembrada durante um eventual
processo de Troubleshooting. Assim, antes de executar o comando switchport port-security, é necessário colocar as interfaces
no modo acesso ou trunk manualmente. Por exemplo, para implementar o port-security nas interfaces ativas associadas a VLAN
20 do switch SWA, devem ser executados os seguintes comandos:
TERMINAL 
Para verificar as configurações de segurança de uma determinada interface, execute o comando show port-security interface.
Por exemplo, para exibir as configurações de segurança da porta do Fa0/1, execute o comando conforme apresentado a seguir.
TERMINAL 
Observe, nesse momento apenas, que a segurança da porta está ativada.
Atenção!
Se uma porta está configurada como segura por meio do comando switchport port-security e mais de um dispositivo estiver
conectado àquela porta, por exemplo, se esta porta estiver conectada a um HUB, a porta passará para o estado desabilitada por
erro (error-disabled). Observe que o máximo de MAC Addresses permitido para essa configuração em particular é de apenas um
único host.
Con�gurações adicionais do port-security
Uma vez que o port-security esteja habilitado, outras especificações de segurança podem ser configuradas. São elas:
Número máximo de Endereços MAC
Para definir o número máximo de endereços MAC permitidos em uma porta, use o seguinte comando: switchport port-security
maximum < value > no modo de configuração da interface. O valor padrão para esse parâmetro é 1 e o número máximo de
endereços MAC é 8192.
Endereços MAC
O switch pode ser configurado manualmente com os endereços MAC de origem por meio do comando: switchport port-security
mac-address < mac-address > executado no modo de configuração da interface, ou pode ser configurado para aprender
dinamicamente os endereços MAC de origem até o valor máximo de endereços configurado para a porta e armazená-los na
configuração em execução utilizando o comando: switchport port-security mac-address sticky também no modo de
configuração da interface.
Atenção!
O comando switchport port-security por padrão configura o switch para aprender os endereços MAC de origem até o limite de
endereços estabelecido, mas não os registra na configuração corrente do switch. Logo, se este for reiniciado, aprenderá novos
endereços.
Vencimento (Aging)
É possível definir um prazo de validade para os endereços MAC registrados na tabela de endereços de origem (endereços
seguros) definido tanto estática como dinamicamente pelo comando: switchport port-security aging { static | time < time > | tipo
{absolute | inactivity}}. Os parâmetros para esse comando são descritos a seguir:
Habilita o vencimento para endereços MAC configurados estaticamente nessa porta.
static 
time < time > 
Especifica o tempo em minutos (0 a 1440) para o vencimento dos endereços MAC configurados nessa porta. Tempo 0
indica que o vencimento está desativado para essa porta.
Define que todos os endereços MAC configurados nessa porta expiram após o tempo especificado e são removidos da
lista de endereços seguros.
Define que os endereços MAC configurados nessa porta expiram somente se não houver tráfego de dados desses MACs
pelo período especificado.
Por exemplo, tomando como base o cenário da imagem “cenário de VLAN com agregação de portas”, para especificar para a
interface Fa0/1 um número máximo de 2 MAC, sendo o MAC 000A.4101.2298 (Estação de trabalho RH2) estabelecido
estaticamente e o outro endereço MAC possível aprendido dinamicamente e armazenado na configuração corrente, com
vencimento de 12 horas, caso não haja tráfego proveniente do mesmo, devemos utilizar os seguintes comandos.
TERMINAL 
Para verificar as configurações de segurança da porta do Fa0/1, executamos o comando show port-security interface, cuja saída
apresentamos a seguir.
TERMINAL 
type absolute 
type inactivity 
Observe os parâmetros aplicados e atente para o fato de que a saída Maximum MAC Addresses nos informa que o número
máximo de MACs permitidos é dois, sendo que um já está configurado (MAC do PC RH2), restando apenas 1MAC para
completar.
Modos de violação do port-security
Caso um endereço MAC de origem diferente daqueles especificados na tabela de endereços seguros chegue à porta segura e o
número máximo permitido já tiver sido alcançado, haverá uma violação na porta. O switch tomará uma ação conforme o modo
de violação definido para a porta. Os modos de violação são apresentados a seguir:
A interface é imediatamente desabilitada por erro, o LED da porta é desativado e uma mensagem é enviada ao syslog e o
contador de violação é incrementado. Para reabilitar a porta, o administrador deve inserir os comandos shutdown e no
shutdown.
A porta descarta pacotes com endereços de origem MAC desconhecidos até que sejam removidos endereços da tabela
ou o valor máximo seja aumentado. Uma mensagem é enviada ao syslog e o contador de violação é incrementado.
shutdown (default) 
restrict 
protect 
A porta descarta pacotes com endereços de origem MAC desconhecidos até que sejam removidos endereços da tabela
ou o valor máximo seja aumentado, porém nenhuma mensagem é enviada ao syslog e o contador de violação não é
incrementado.
Para configurar o modo de violação em uma porta, execute o comando switchport port-security violation { protect | restrict |
shutdown} no modo de configuração da interface. Por exemplo, para configurar a interface Fa0/1 do SWA do cenário proposto na
imagem “cenário de VLAN com agregação de portas”, execute o seguinte comando:
TERMINAL 
Em seguida, execute o comando show port-security interface para verificar as configurações de segurança da interface, cuja
saída apresentamos a seguir.
TERMINAL 
Observe que o modo de violação mudou de Shutdown para Restrict. Nessa condição, caso haja uma violação, a porta descarta
pacotes com endereços de origem MAC desconhecidos até que sejam removidos endereços da tabela ou o valor máximo seja
aumentado. Uma mensagem é enviada ao syslog e o contador de violação é incrementado.
Além do status de segurança de uma porta específica, podemos verificar o status global de segurança das portas com o
comando show port-security, cuja saída para o switch SWA do nosso cenário apresentamos a seguir.
TERMINAL 
Podemos verificar as portas configuradas com port-security, seus contadores e as ações do modo de violação para cada uma
delas.
Também podemos ver todos os endereços MAC seguros configurados manualmente ou aprendidos dinamicamente em todas as
interfaces de switch por meio da execução do comando show port-security address no modo EXEC privilegiado, cuja saída
apresentamos a seguir.
TERMINAL 
Aqui podemos verificar os endereços MAC configurados ou aprendidos, além de qual interface e VLAN está associado.
Con�gurando port-security
Neste vídeo, a partir de uma topologia que permita o emprego do recurso port-security, apresentaremos a configuração dos
equipamentos.

Falta pouco para atingir seus objetivos.
Vamos praticar alguns conceitos?
Questão 1
Qual seria o melhor plano de mitigação para evitar um ataque DoS pelo estouro da tabela de endereços MAC de um switch?
Parabéns! A alternativa C está correta.
Como o port-security limita os endereços MAC de origem que podem acessar uma determinada porta, essa é a forma mais
efetiva de mitigar essa ameaça pelo estouro da tabela de endereços MAC.
Questão 2
Você está configurando a segurança da porta em um switch Cisco. A política de segurança da empresa determina que,
quando ocorrer uma violação, os pacotes com endereços de origem desconhecidos devem ser descartados, porém,
nenhuma notificação deve ser enviada. Qual modo de violação deve ser configurado nas interfaces?
A Desabilitar o DTP.
B Desabilitar o STP.
C Habilitar o port-security.
D Desabilitar as portas físicas não utilizadas do switch.
E Desabilitar as SVIs não utilizadas das VLANs.
Parabéns! A alternativa C está correta.
Em um switch Cisco, uma interface pode ser configurada para um dos três modos de violação, protect, restrict e shutdown.
No modo protect, os pacotes com endereços de origem desconhecidos são descartados até que sejam removidos
endereços da tabela ou o valor máximo seja aumentado, porém nenhuma mensagem é enviada ao syslog e o contador de
violação não é incrementado. No modo restrict, os pacotes com endereços de origem desconhecidos são descartados até
que sejam removidos endereços da tabela ou o valor máximo seja aumentado, porém uma mensagem é enviada ao syslog e
o contador de violação é incrementado. Já no modo shutdown, a interface é imediatamente desabilitada por erro e o LED da
porta é desligado.
4 - Solução de problemas
A Off
B Restrict
C Protect
D Shutdown
E Disable
Ao �nal deste módulo, você será capaz de aplicar técnicas de análise de falhas em
switches.
Troubleshooting
Resolver problemas na rede, também conhecido como Troubleshooting, não é mágica, nem sorte. Além de experiência, é
necessária uma boa documentação, um bom conjunto de ferramentas e uma metodologia de análise e solução de problemas
para garantir uma boa disponibilidade e confiabilidade da rede.
Documentação da rede (gerenciamento da
con�guração)
A documentação da rede faz parte do gerenciamento da configuração e é um dos processos fundamentais da gerência de rede
segundo a ISO e também na abordagem do Information Technology Infrastructure Library - ITIL®. Um bom conjunto básico da
documentação da rede inclui:
Diagramas de topologia física e lógica de rede.
Um inventário dos dispositivos de rede que registra todas as informações pertinentes a eles.
O registro da linha de base do desempenho da rede.
Diagrama de topologia física
A topologia da rede física mostra o layout físico dos dispositivos conectados, conforme apresentado na imagem a seguir.
Diagrama de topologia física.
Nela, podemos ver identificados como os dispositivos estão fisicamente conectados e sua localização na infraestrutura do lugar,
sendo que as informações normalmente apresentadas na topologia física incluem pelo menos:
Nome do dispositivo.
Localização do dispositivo (endereço, andar, número da sala, localização do rack).
Interface e portas usadas.
Tipo de cabo.
Diagrama de topologia lógica
A topologia de rede lógica ilustra como os dispositivos são conectados logicamente à rede e normalmente dizem respeito a
como os dados são transferidos pela rede, seus fluxos e conexões, conforme apresentado na imagem a seguir.
Diagrama de topologia lógica.
Nela, podemos ver que são utilizadas figuras para representar componentes de rede, como roteadores, switches, servidores e
hosts e as conexões lógicas entre eles. As principais informações apresentadas em uma topologia lógica podem incluir o
seguinte:
Nome do dispositivo.
Endereços IP.
Identificadores de interface.
Velocidades dos links, modos duplex.
VLANs, troncos, EtherChannels etc.
Gateway padrão e rotas.
Inventário
Para que possamos solucionar problemas de forma efetiva, é fundamental ter informações sobre os dispositivos da rede,
incluindo hardware e software, e a base para isso é um bom inventário. É por meio dele que vamos conhecer todos os itens, suas
configurações e características, sendo que cada dispositivo terá o seu próprio conjunto de dados. Sistemas modernos de gestão
da infraestrutura de TI possuem uma Base de Dados de Configuração (CMDB, em inglês). Porém, até uma simples tabela pode
resolver essa questão. Na tabela a seguir, há um exemplo de informações que podem ser registradas switches, para solução de
problemas de redes.
Dispositivo Fabricante Modelo Descrição Localização SO Lic
SWL3 Cisco
Catalyst
3550
Switch
L3
S. Eq.tos
P. Principal
Rack1
IOS
12.5
aJHSk
Porta Descrição Acesso/Tronco VLAN EtherChannel
VLAN
Nativa
Sta
G0/1 Link SW2 Tronco
20,
30.40,50
-            99
G1/1 Link SW3 Tronco
20,
30.40,50
-            99
G2/1 Link RS Tronco
20,
30.40,50
-            99
Tabela: Tabela de informações Dispositivo - Switch.
João Francisco Antunes.
Linha de base (Baseline)
As redes são como as estradas, é atravésdelas que a informação trafega. Assim como as estradas, ela pode apresentar
problemas que podem ocasionar redução no fluxo de dados ou mesmo perda total ou parcial da informação. Algumas
aplicações são sensíveis ao erro e outras ao tempo (jitter ou variação de atraso).
O objetivo do monitoramento de rede é observar o desempenho da rede. É por meio da análise dos dados que podemos avaliar a
qualidade de nossa rede, resolver problemas e prever melhorias. Mas, para que possamos fazer essa análise, é preciso um
padrão de comparação, uma linha de base predefinida, que deve ser usada para estabelecer o desempenho normal em
condições normais. Alguns aspectos do funcionamento da rede que podem ser observados pela linha de base são:
Qual o desempenho geral da rede em operação normal?
Se ocorrem e onde ocorrem erros?
Onde e em que horários o tráfego da rede é mais intenso e onde a rede é menos utilizada?
Quais dispositivos devem ser monitorados e quais limites de alerta devem ser definidos?
Estabelecer a baseline inicial permite que se determine a diferença entre este e o comportamento corrente, conforme a rede
cresce ou os padrões de tráfego mudam, caso contrário, não existiria nenhuma base para medir os níveis de tráfego de rede e de
congestionamento. Além disso, também pode revelar áreas na rede que são subutilizadas, as mais congestionadas,
direcionando os esforços de redesenho da rede, com base em observações de qualidade e capacidade.
Para determinar a linha de base de desempenho da rede, devemos proceder à coleta de dados de desempenho das portas e
dispositivos que são essenciais para a operação da rede. Porém, antes de efetivamente coletar os dados, alguns aspectos
devem ser observados:
Identi�car quais dados serão coletados
A definição de quais dados coletar é muito importante, pois a seleção de muitas variáveis pode acarretar um volume de dados
que tornará a análise inicial dos dados inviável. Por isso, recomenda-se começar com poucas variáveis e acrescentar mais ao
longo do tempo. Um bom conjunto de variáveis iniciais pode incluir a utilização das interfaces, memória e CPU.
Identi�car que dispositivos e portas serão
selecionados
Use a topologia da rede para identificar os dispositivos e portas onde os dados devem ser coletados. A imagem a seguir
apresenta algumas portas de interesse assinaladas, com base na topologia lógica proposta na imagem “Topologia de análise de
tráfego utilizando TAP”.
Dispositivos e portas de interesse para coleta de dados.
Dispositivos e portas de interesse incluem:
Links de Tronco;
EtherChannels;
Servidores; e
Interfaces externas (WAN/Internet).
Determinar a duração da linha de base
O período de tempo que as informações serão coletadas deve ser longo o suficiente para traçar uma imagem do funcionamento
"normal" da rede, e também para determinar tendências do tráfego de rede. Dessa forma, além da monitoração diária do tráfego,
são aconselháveis visões mais longas como semanal ou mensal, conforme mostrado na imagem a seguir.
Duração da baseline para tráfego de rede.
Duração da baseline para tráfego de rede.
Duração da baseline para tráfego de rede.
Duração da baseline para tráfego de rede.
Existem ferramentas de monitoramento de rede como o NetFlow da Cisco ou baseadas nos protocolos SNMP, proprietárias ou
de código aberto que ajudam muito e, em alguns casos, são essenciais nesse processo. Porém, comandos de documentação de
rede simples podem ser muito úteis que incluem comandos como ping, traceroute e telnet, assim como show. Veja, a seguir
alguns, comandos mais comuns do Cisco IOS usados para coleta de dados.
Show version
Exibe informações de tempo de atividade e versão do software e hardware do dispositivo.
Show [ip | ipv6] interface [brief]
Exibe todas as opções de configuração definidas em uma interface. Use [brief] para exibir somente se a interface
está ativa ou não Up/Down e o endereço IP de cada interface.
Show interfaces [tipo num]
Exibe saída detalhada para cada interface. Para exibir a saída detalhada para apenas uma única interface, inclua o
tipo de interface e número no comando (por exemplo, Gigabit Ethernet 0/0/0).
Show [ip | ipv6] route [static | eigrp | ospf]
Exibe a listagem de conteúdo da tabela de roteamento do dispositivo. Acrescentar static, eigrp ou ospf para exibir
apenas esse tipo de rota.
Show cdp neighbors detail
E ib i f õ d t lh d b di iti i i h di t t t d
Metodologia de solução de problemas
Um problema não se resolverá sozinho nem por mágica, é preciso que se tenha uma abordagem para atacá-lo, que deve ser
guiada por métodos estruturados.
Exibe informações detalhadas sobre os dispositivos vizinhos diretamente conectados.
Show arp e show ipv6 neighbors
Exibe o conteúdo da tabela ARP (IPv4) e da tabela de vizinhança (IPv6).
Show running-con�g
Exibe a configuração atual do dispositivo.
Show vlan
Exibe o status das VLANs em um switch.
Show port
Exibe o status das portas em um switch.
Show tech-support
Coletar informações sobre o dispositivo para fins de solução de problemas. Ele executa vários comandos show e
os dados podem ser fornecidos para o suporte técnico ao relatar um problema.
Isso requer procedimentos de solução de problemas bem definidos e documentados para minimizar o tempo perdido
associado à solução de problemas erráticos de acertos e falhas, isto é, uma metodologia para efetuar o diagnóstico e
determinar a sua solução. Esse processo é normalmente conhecido pelo termo "troubleshooting". Existem várias
metodologias para solução de problemas que podem ser aplicadas em quase todas as áreas do conhecimento humano.
Quando estamos solucionando um ambiente de rede, uma abordagem sistêmica pode apresentar um melhor resultado. Definir
os sintomas específicos, identificar todos os aspectos potenciais que possam estar causando os sintomas e eliminar
sistematicamente cada uma das hipóteses em potencial (do mais provável ao menos provável) até os sintomas desaparecerem.
A imagem, a seguir, apresenta detalhadamente o fluxograma do processo de solução de problemas, que pode ser adaptada para
solução de qualquer problema específico em TI.
Fluxograma para solução de problemas.
A seguir, descrevemos brevemente cada uma dessas etapas.
De�nir o problema
Faça uma descrição clara do problema, para uma análise adequada, procure identificar os sintomas gerais. Eles podem
aparecer de várias formas diferentes, incluindo alertas do sistema de gerenciamento de rede, mensagens do console e
reclamações de usuários etc.
Coletar informações
Reúna as informações que você precisa para ajudar a isolar possíveis causas, entreviste os usuários afetados,
administradores de rede, gerentes e outras pessoas que considere importantes nessa questão, os alvos (ou seja, hosts,
dispositivos) a serem investigados devem ser determinados e o acesso aos mesmos deve ser obtido, procure identificar se
houve alguma mudança efetuada na rede ou em serviços. Mudanças mal planejadas são estatisticamente grandes
responsáveis por problemas.
Analisar informações
Ao analisar informações, determine possíveis causas que possam resultar nos sintomas observados. Por exemplo, um
determinado serviço pode não estar respondendo a solicitações dos clientes (sintoma). Possíveis causas podem incluir um
host configurado incorretamente, placas de interface ruins, um cabo desconectado ou partido ou falta de configuração de um
roteador. Faça essa análise usando a documentação de rede e as linhas de base, procure utilizar também busca de bases de
conhecimento organizacionais, pesquisa na Internet e conversa com outros técnicos.
Eliminar possíveis causas
Quando para os sintomas observados existirem várias causas possíveis, procure então reduzir a lista eliminando
progressivamente possíveis causas procurando por aquelas mais prováveis. A experiência de solução de problemas é
extremamente valiosa para eliminar rapidamente as causas e identificar a causa mais provável. Dependendo dos dados, você
pode,por exemplo, no caso de um serviço que não responde, mas cujo host responde ao comando PING, eliminar o
rompimento de um cabo como uma causa.
Propor hipóteses
Formule possíveis hipóteses com base na análise das informações e possíveis causas do problema da sua lista, para que você
possa se concentrar nas hipóteses a respeito das causas mais prováveis. Em todas as oportunidades, tente restringir o
número de possíveis causas para que você possa criar um plano de ação eficiente.
Testar as hipóteses
Antes de testar as hipóteses, avalie o que sua ação pode causar em outros sistemas com base na gravidade, urgência e o
impacto. Às vezes, é possível criar uma solução alternativa até que o problema seja definitivamente resolvido. Em seguida,
execute cada etapa com cuidado, testando cada hipótese planejada, anotando o resultado, e verificando se o sintoma
desaparece. Faça testes complementares para ter certeza de que isolou uma única causa para o problema. Crie um plano de
retorno para reverter rapidamente a solução em caso de falha. Se o problema não tiver sido resolvido, você deve elaborar
novas hipóteses e definir um novo plano de ação. Obtenha novas informações mais detalhadas e reinicie o processo até que o
problema seja resolvido.
Documentar o problema
Caso o problema tenha sido resolvido, documente a solução no catálogo de problemas, efetue atualização de possíveis
mudanças de configuração no banco de dados de configuração CMDB e encerre o problema.
Ferramentas de solução de problemas
Ferramentas são fundamentais para qualquer profissão. O que seria um mecânico sem suas chaves, ou um eletricista sem seus
instrumentos? Na solução de problemas de redes não é diferente. Para coletar, diagnosticar e resolver problemas, necessitamos
delas, desde as mais simples às mais complexas. Nossas ferramentas são a extensão de nós mesmos e escolher boas
ferramentas é dar um grande passo para eficácia e eficiência profissional. Aqui, vamos conhecer algumas dessas ferramentas.
Sistemas de gerenciamento de rede
Sistemas de gerenciamento de redes (NMS – Network Management System) são uma coleção de ferramentas integradas,
baseadas principalmente no protocolo SNMP, desenvolvidas com o objetivo de monitorar, analisar e prover mecanismos para a
detecção e correção de problemas na rede de forma reativa ou proativa.
Há uma variedade de ferramentas tanto proprietárias como de código aberto disponíveis, entre elas, podemos citar o Cacti, o
Zabbix e o Nagios. Apresentam geralmente uma interface gráfica que possibilita a execução de forma amigável das operações
de gerenciamento. Por estarem associadas a sistemas de gerenciamento de banco de dados SGBD, permitem o armazenamento
de dados, o que possibilita a apresentação na forma de gráficos da evolução dos parâmetros da rede.
Bases de conhecimento
As bases de conhecimento on-line tornaram-se fontes indispensáveis de informação, elas podem ser mantidas pelos fabricantes
ou pela comunidade de usuários ou profissionais. Quando combinadas com os mecanismos de busca da Internet, temos acesso
a um vasto conjunto de informações baseadas na experiência de uma infinidade de profissionais.
Analisadores de protocolo
Analisadores de protocolo permitem investigar o conteúdo dos pacotes (PDUs) que trafegam pela rede, possibilitando analisar
as várias camadas de uma pilha de protocolos e apresentando essas informações em um formato relativamente fácil de usar. A
imagem, a seguir, apresenta uma captura de tela do analisador de protocolo Wireshark. Nela, além da tela de captura, vemos a
tela com os detalhes de um dos pacotes capturados.
Tela de captura analisada de protocolo Wireshark.
Ferramentas simples de diagnóstico
São utilitários dos sistemas operacionais que podem ser utilizados no diagnóstico de problemas de conectividade, roteamento e
de atraso (retardo) ou de configuração da rede, mas também fornecem informações como o estado de um link (Ativado ou
Desativado – Up/Down); dentre elas, podemos destacar o PING e TRACEROUTE, entre outras.
Ferramentas de Log
Registros de log são uma ferramenta fundamental de coleta de informação, análise e resolução de problemas. Em geral, todos
os dispositivos de rede podem registrar informações referentes a alterações de configuração, violações, status e muitos outros
tipos de eventos. Os dispositivos da Cisco podem enviar mensagens de log com base em vários eventos e podem ser enviadas
tanto para o console, onde são ativadas por padrão, como configuradas para serem enviadas ao terminal. Essas mensagens só
podem ser visualizadas por alguém conectado ao console ou via terminal respectivamente. Além disso, podem ser armazenadas
em buffer na memória (Buffered logging) do dispositivo ou através de Traps SNMP e Syslog.
O Syslog é um padrão criado pela IETF através da RFC 5424 para a transmissão de mensagens de log para o conjunto de
protocolos DoD-TCP/IP. O padrão determina a existência de clientes e servidores Syslog que se comunicam através do
protocolo UDP 514 ou TCP 6514 para implementações utilizando TLS.
Cada mensagem tem um indicador de nível de gravidade, sendo estes descritos na tabela a seguir. Os valores de gravidade
devem estar no intervalo de 0 a 7, inclusive, onde os menores valores indicam maior gravidade.
Nível Descrição
0
Emergência: o sistema
está inutilizável
1
Alerta: ação deve ser
tomada imediatamente 
2
Crítico: condições
críticas
3 Erro: condições de erro
4
Aviso: condições de
aviso
5 Aviso: condição normal,
Nível Descrição
mas significativa
6
Informativo:
mensagens
informativas
7
Depuração: mensagens
no nível de depuração
Tabela: Níveis de gravidade para mensagens Syslog
RFC 5424, DATATRACKER, 2009.
Os roteadores e switches da Cisco podem encaminhar mensagens syslog para um serviço externo residindo em servidores ou
estações de trabalho, inclusive em sistemas baseados em Microsoft Windows e Linux. A capacidade de centralizar logs em um
Servidor syslog é muito útil na identificação e solução de problemas. Entretanto, isso pode acarretar em um volume de dados
muito além da capacidade de armazenamento e de difícil análise. O comando logging trap < nível_de _gravidade > limita as
mensagens registradas no servidor syslog, registrando apenas as mensagens iguais ou numericamente inferiores ao nível
especificado. Os comandos a seguir configuram um dispositivo para enviar mensagens para um servidor syslog com endereço
192.168.100.100 e nível de gravidade 5.
""
TERMINAL 
Ferramentas de solução de problemas de hardware
Muitas vezes, necessitamos investigar problemas no hardware dos dispositivos ou até mesmo nos cabos. Para isso, precisamos
de ferramentas apropriadas.
Dentre elas, podemos listar os multímetros digitais usados para medir diretamente valores de
tensão, corrente e resistência, os testadores de cabo que são usados para detectar fios partidos,
conexão cruzada, fora dos padrões de extensão e conexões combinadas de forma inadequada.
Outros mais complexos, como os TDRs – reflectômetros de domínio do tempo – podem determinar a distância para uma quebra
no cabo. Esses dispositivos enviam sinais ao longo do cabo e esperam até que eles sejam refletidos, determinando pelo tempo
desde a saída até o retorno do sinal a distância. A variação desses equipamentos para fibra ótica são chamados de OTDRs –
reflectômetros ópticos no domínio do tempo.
Problemas e causas comuns de problemas de rede
Os sintomas de um problema são como percebemos a existência do problema. Sintomas típicos de problemas podem estar
relacionados ao desempenho da rede, isto é, existe uma diferença entre o comportamento esperado – linha de base e o
comportamento observado– ou um segmento da rede não está funcionando mesmo, ou, ainda, um determinado serviço aparece
indisponível.
Assim como o funcionamento da rede, os problemas também podem ser organizados com base nos modelos OSI ou DoD-
TCP/IP. A seguir, apresentamos uma relação de problemas distribuídos por cada camadado modelo DoD-TCP/IP.
Camada física
Cabo rompido ou danificado, conector defeituoso ou mal instalado, descasamento de modo e/ou velocidade de
operação, equipamento de interconexão (switches ou roteadores) defeituosos, placa de rede ou porta de
equipamento de interconexão defeituoso, interferência no cabo, saturação de banda em segmentos Ethernet
compartilhados, tipo errado de cabo e violação de regras de cabeamento Ethernet.
Camada de enlace
Interface desabilitada, problema com árvore de cobertura, saturação de recursos devido a excesso de quadros de
difusão, tempo de envelhecimento de tabelas de endereços inadequado e validade da cache ARP inadequada.
Camada de rede
Tabela de rotas de hospedeiros incorretas, endereço IP de hospedeiro incorreto, hospedeiro com máscara de rede
incorreta, cliente DNS mal configurado, servidor DHCP mal configurado, rotas estáticas mal configuradas,
i t i id VLAN i t VLAN ã tã fi d t d ã t
Há várias abordagens estruturadas de solução de problemas, cada uma delas tem suas vantagens e desvantagens, qual usar vai
depender da situação. A seguir, apresentamos algumas dessas abordagens.
Nessa abordagem, você começa testando as hipóteses relacionadas com a camada física da rede e sobe pelas camadas
do modelo OSI até que a causa do problema seja identificada. Deve ser utilizada quando as hipóteses mais prováveis
indicam problemas nas camadas inferiores do modelo OSI.
Ao contrário da primeira, nessa abordagem, iniciamos testando as hipóteses relacionadas com as camadas superiores,
isto é, os aplicativos cliente e servidores e descemos as camadas até que a causa do problema seja identificada.
Nessa abordagem, um problema grande pode ser dividido em problemas menores cujas hipóteses podem ser testadas
em conjunto. Por exemplo, um problema de desempenho de uma aplicação pode ser dividido em problemas de
equipamento inserido em VLAN incorreta, VLANs não estão configuradas e computadores não conseguem trocar
informações sobre VLANs entre si.
Transporte
Serviço não habilitado ou não iniciado automaticamente, serviços alocados em portas não padronizadas, portas
configuradas erradamente no cliente e firewall bloqueando as portas do serviço.
Aplicação
O serviço de nomes não está habilitado; DNS: descasamento de registros A e PTR em arquivos de zonas;
inconsistência entre registros dos servidores DNS primário e secundários; o TTL default de uma zona DNS não
está configurado; DNS: TTL e outros campos do registro SOA com valores inadequados; falta “.” após nomes
totalmente qualificados em registros DNS; filtro IP barrando tráfego DNS e servidor de correio eletrônico com
repasse totalmente aberto.
Bottom-up (de baixo para cima) 
Top-down (de cima para baixo) 
Dividir para conquistar 
desempenho do servidor, da rede e do cliente, e cada um deles ser atacado de forma independente.
Normalmente utilizado em problemas de conectividade, aqui mapeia-se o caminho do tráfego entre origem e destino e
identificando links e dispositivos, e aplica-se às hipóteses para cada elemento, desde a origem até o destino ou do
destino até a origem.
Identi�cação e solução de problemas de
conectividade �m a �m
O diagnóstico e a solução de problemas são habilidades essenciais para os analistas de rede, que requerem, além de prática,
boas ferramentas. Experiência e uma abordagem estruturada ajudam a reduzir o tempo necessário. Mas, lembre-se de que não
existe uma receita única a ser aplicada. Aqui, vamos utilizar algumas abordagens e ferramentas para diagnosticar e também
resolver problemas comuns de conectividade entre dois pontos da rede. Tome como base a topologia apresentada na imagem a
seguir.
Topologia para solução de problemas de conectividade fim a fim.
Nela, podemos imaginar que o PC RH3 não consegue acessar o servidor SRV1. Para esse problema, vamos utilizar as
abordagens Bottom-up associada à abordagem Seguir o caminho, pois vamos investigar o caminho do fluxo testando das
camadas inferiores do modelo OSI.
Inicialmente, necessitamos confirmar o sintoma de falta de conectividade e mapear o caminho entre a origem e o destino,
identificando o setor da rede a partir do qual a conectividade se interrompe. Para isso, podemos utilizar os comandos ping e
traceroute (tracert para Windows). Procure identificar se o problema ocorre apenas nessa máquina ou em outras máquinas da
rede. Verifique também se outras máquinas de outras redes conseguem acessar o mesmo recurso e se o setor de interrupção é
o mesmo para todas as redes.
Uma vez que o sintoma tenha sido confirmado pelo utilitário ping e em função do setor da rede determinado pelo traceroute,
podemos seguir os seguintes passos:
Passo 1
Seguir o caminho (ou a trilha) 
Determine a conectividade física no setor onde a conectividade está interrompida, além de verificar cabos e conectores com
testadores e demais ferramentas de hardware. Em seguida, verifique os parâmetros de configuração das interfaces dos
dispositivos conectados ao meio físico. O comando show interfaces [tipo num] apresenta saída detalhada para cada interface,
cuja saída para a interface Fa0/1 do switch SWL3 apresentamos a seguir:
TERMINAL 
Verifique se a interface está ativa (Up), assim como o protocolo de linha (Up), isso indicará que a conectividade física foi
estabelecida. Verifique também a configuração do modo duplex da interface (Half/Full duplex), interfaces pares como modos
duplex diferentes apresentarão problemas de conectividade. Atente para erros de entrada e saída assim como as filas
correspondentes, excesso de erros pode indicar problemas no cabeamento ou interferência, filas muito grandes podem indicar
problemas de performance. Por fim, podemos utilizar os comandos show processes e show memory para verificar a alta
utilização de CPU e memória do dispositivo.
Passo 2
Uma vez verificada a integridade da camada física, podemos analisar aspectos relacionados à camada de enlace do modelo OSI,
verificando as configurações de VLAN e tabelas ARP dos dispositivos. Nas estações de trabalho Windows, podemos verificar a
tabela ARP com o comando arp -a, e para a tabela vizinhança IPv6 do Windows, o comando netsh interface ipv6 show neighbor
atentando, principalmente, para a configuração correta para o MAC do roteador padrão, que no caso do IPv6 deve estar
associado ao endereço IPv6 de link local da interface do roteador. A seguir, apresentamos a saída desses comandos para o PC
RH3.
TERMINAL 
Atente para os endereços do default gateway para IPv4 e IPv6 estarem definidos em ambas as saídas respectivamente.
No caso de switches, a tabela ARP e a tabela vizinhança IPv6 podem ser obtidas pelos comandos show mac address-table e
show ipv6 neighbors, respectivamente apresentados a seguir.
TERMINAL 
Outra possibilidade a ser investigada é a configuração das VLANs e as atribuições de porta. O comando show vlan e o comando
show interfaces trunk podem ser usados para validar atribuições de VLAN em um switch.
TERMINAL 
Passo 3
Se todos os parâmetros de configuração e estados relacionados às VLANs, portas e endereçamento MAC estiverem
corretamente configurados, devemos investigar as questões relacionadas à camada 3, isto é, relacionados ao endereçamento IP
e tabelas de rota dos dispositivos. Se um host não está configurado corretamente com seu endereço IP, máscara de rede e
default gateway, ou se os roteadores no caminho não possuem as rotas estabelecidas corretamente, os pacotes IP não poderão
trafegar da origem até o destino, indicando um problema de conectividade. Em uma estação de trabalho Windows, execute os
comandos ipconfig /all e route print para verificar as configurações de endereçamento dessa estação e sua tabela de rotas
respectivamente. A seguir, apresentamos a saída do comando ipconfig /all executado no PC RH3.
TERMINAL 
Para verificar as atribuições de endereço IPv4 e IPv6 para as interfaces de switch L3 ou de um roteador, podemos utilizar os
comandos show ip interface brief e showipv6 interface brief, respectivamente. A saída desses comandos para o switch L3
SWL3 é apresentada a seguir.
TERMINAL 
Já para verificar as rotas, podemos utilizar os comandos show ip route e show ipv6 route para rotas IPv4 e IPv6 respectivamente,
cujas saídas para o switch L3 SWL3 apresentamos a seguir.
TERMINAL 
Passo 4
Se a camada de rede funciona conforme esperado, mas os sintomas ainda persistem, devemos começar a investigação das
camadas superiores, começando pela camada de transporte. Nessa camada, devemos verificar se os serviços estão disponíveis
nas portas esperadas. Uma ferramenta simples utilizada para testar a camada de transporte é o utilitário telnet. Apesar do telnet
utilizar a porta 23, ele também pode ser utilizado para testar outros serviços cujas mensagens são baseadas em texto, como, por
exemplo, a porta 80 (HTTP), como mostrado a seguir.
TERMINAL 
Além do teste de conexão com o serviço utilizando as portas TCP ou UDP, podemos verificar se não há nenhuma regra de
bloqueio em uma ACL (lista de acesso) de um roteador ou até mesmo um firewall. Para verificar a existência de ACL, podemos
utilizar os comandos show ip access-list e show ipv6 access-list respectivamente para IPv4 e IPv6.
Passo 5
Uma vez que a conexão com o serviço pode ser testada, o próximo passo diz respeito à camada de aplicação. Nessa camada,
são muito comuns problemas relacionados ao DNS. O DNS é um serviço baseado em um banco de dados distribuído cuja função
é mapear nomes de domínio em endereços IPv4 ou IPv6. Para verificar a configuração de DNS em um host Windows, execute o
comando ipconfig /all, cuja saída para o PC RH3 apresentamos a seguir.
TERMINAL 
Caso todos os itens de conectividade estejam configurados e testados corretamente, outros aspectos relacionados à aplicação
em si, que estão fora do escopo deste módulo, devem ser verificados.
Passo 6
Após a resolução do problema, documente a solução alcançada no seu catálogo de problemas, registre os sintomas, os sinais,
os testes realizados e os procedimentos de correção. Assim, no futuro, você mesmo ou outros analistas contarão com esse
conhecimento para ajudá-los na solução de problemas similares ou até mesmo novos problemas.
Identi�cação e solução de problemas de
conectividade �m a �m
Neste vídeo, apresentaremos a realização do diagnóstico de problemas fim a fim e sua solução.

Falta pouco para atingir seus objetivos.
Vamos praticar alguns conceitos?
Questão 1
Os diagramas de topologia fazem parte de um bom conjunto básico da documentação da rede. Sobre eles, são
apresentadas as afirmativas a seguir:
1. Os diagramas de topologia física mostram a ordem em que os hosts acessam a rede.
2. Os diagramas de topologia física definem como hosts e dispositivos de rede se conectam à LAN.
3. Ele descreve se a LAN é uma rede de transmissão ou passagem de token.
4. Os diagramas de topologia lógica descrevem o esquema de endereçamento que é empregado na LAN.
Assinale a opção que apresenta apenas afirmativas verdadeiras.
Parabéns! A alternativa E está correta.
O diagrama de topologia física mostra o layout físico dos dispositivos conectados, nele podemos ver identificados como os
dispositivos estão fisicamente conectados e sua localização na infraestrutura do lugar. Já o diagrama de topologia lógica
A Apenas 1 e 2.
B Apenas 2 e 3.
C Apenas 3 e 4.
D Apenas 1 e 4.
E Apenas 2 e 4.
ilustra como os dispositivos são conectados logicamente à rede e normalmente dizem respeito a como os dados são
transferidos pela rede e seus fluxos, conexões e endereços.
Questão 2
Você está atendendo a um chamado para solucionar um problema de rede. No seu primeiro teste, pode executar ping com
êxito entre os dois dispositivos relacionados. Porém, o Telnet na porta de destino entre os mesmos dois dispositivos não
funciona. Em qual camada do modelo DoD-TCP/IP você deve direcionar sua análise?
Parabéns! A alternativa C está correta.
O acesso às portas dos serviços via Telnet é feito através do socket (IP:Porta). O endereçamento de portas é uma
funcionalidade da camada de transporte. Como o comando telnet não foi bem sucedido, é nessa camada que você deve
concentrar seus esforços para solucionar o problema.
Considerações �nais
Em uma arquitetura baseada em switches multicamadas com VLANs, alguns aspectos de configuração mais avançados devem
ser observados. Prover redundância e largura de banda para os links de tronco é um aspecto importante a se observar. Agregar
várias portas físicas em um canal lógico – Etherchannel – permite escalar o tráfego e proporcionar sobrevida às instalações.
Outro aspecto muito importante diz respeito à segurança. Proteger a camada de enlace de ataques de spoofing (falsificação) é
vital. Vimos, nesse contexto, mecanismos como o port security, que protege a rede contra a conexão indevida de equipamentos,
A Aplicação
B Rede
C Transporte
D Acesso à rede
E Física
e o SPAN – Switched Port Analyzer, que possibilita inspecionar o tráfego da rede.
Por fim, vimos os principais aspectos relacionados à capacidade de identificar, analisar e corrigir falhas. A solução de problemas
de redes é uma competência fundamental para os analistas de rede. Um bom conjunto de documentação e ferramentas
associadas a uma metodologia de análise e solução de problemas com técnicas de “troubleshooting” permite a solução rápida
de incidentes e problemas, aumentando a disponibilidade da rede.
Podcast
Para encerrar, ouça sobre os assuntos mais importantes para um analista e administrador de redes.

Explore +
Pesquise pelo livro Melhores Práticas para Gerência de Redes de Computadores (2003), de Raquel Lopes, Jacques Sauvé e
Pedro Nicolletti, da editora Campus, disponível gratuitamente na Internet, que aborda a metodologia para identificação e solução
de problemas nas várias camadas do modelo OSI.
Pesquise a base de conhecimento da Cisco em português, em site próprio. Ela fornece ferramentas que podem ser usadas para
diagnosticar e resolver problemas de hardware e software da Cisco.
Referências
CISCO SYSTEMS. Internetworking Troubleshooting Handbook. 2. ed. Chapter 1 - Troubleshooting Overview. Consultado na
Internet em: 03 jun. 2022.
CISCO SYSTEMS. Internetworking Troubleshooting Handbook. 2. ed. Chapter 2 - Troubleshooting Tools. Consultado na Internet
em: 03 jun. 2022.
CISCO SYSTEMS. Internetworking Troubleshooting Handbook. 2. ed. Chapter 3 - Troubleshooting Hardware and Booting
Problems. Consultado na Internet em: 03 jun. 2022.
CISCO SYSTEMS. Internetworking Troubleshooting Handbook. 2. ed. Chapter 4 - Troubleshooting Ethernet. Consultado na
Internet em: 03 jun. 2022.
CISCO SYSTEMS. Internetworking Troubleshooting Handbook. 2. ed. Chapter 7 - Troubleshooting TCP/IP. Consultado na Internet
em: 03 jun. 2022.
IETF, RFC 5424. The Syslog Protocol. Publicado em: mar. 2009. Consultado na Internet em: 03 jun. 2022.
LOPES, R. V. et al. Melhores Práticas para Gerência de Redes de Computadores. Rio de Janeiro: Campus, 2003.
Material para download
Clique no botão abaixo para fazer o download do conteúdo completo em formato PDF.
Download material
O que você achou do conteúdo?
Relatar problema
javascript:CriaPDF()