AULA 6

Prévia do material em texto

PROJETOS DE REDES III – 
INFRAESTRUTURA DE REDES 
LOCAIS 
AULA 6 
 
 
 
 
 
 
 
 
 
 
Prof. Luis José Rohling 
 
 
 
2 
CONVERSA INICIAL 
Conforme vimos anteriormente, um projeto de rede Camada 2 deve incluir 
switches e caminhos redundantes para garantir uma alta disponibilidade da rede. 
Como essas redundâncias poderão causar loops de Camada 2, que degradarão 
o desempenho da rede, utilizamos o spanning tree protocol (STP), projetado para 
eliminar os possíveis loops da Camada 2, mas manter as conexões redundantes. 
Uma das causas da degradação do desempenho da rede é o tráfego de 
broadcast que, em caso de loops de Camada 2, poderão tornar a rede totalmente 
indisponível. No entanto, mesmo adotando o STP para eliminar os loops, ainda 
teremos o tráfego de broadcast, transmitido por todas as conexões da rede, 
ocupando-a por inteiro. Assim, para minimizar essa ocupação da rede, uma 
técnica empregada nas redes comutadas é a segmentação da rede, com a 
configuração das redes LAN virtuais (VLANs). Esse recurso divide a rede, 
limitando o chamado domínio de broadcast, formado por todas as portas e 
conexões por onde o tráfego de broadcast é transmitido na rede local. Com essa 
divisão, o broadcast gerado por um host, associado a um determinado segmento 
de rede, é transmitido apenas pelas portas que pertencem ao mesmo segmento 
de rede. 
Além de utilizar o protocolo STP e a segmentação da rede com a 
configuração das VLANs, para aumentar o desempenho da rede, outro recurso 
empregado nos projetos de redes comutadas é o controle de acesso à rede, 
aumentando a segurança e garantindo que apenas os hosts autorizados tenham 
acesso aos recursos da rede, otimizando seu uso. Para controlar o acesso à 
rede, podemos empregar os sistemas baseados no modelo AAA, que visam 
garantir a autenticação, autorização e auditoria, além dos protocolos que 
permitem a configuração dinâmica dos equipamentos de rede, como o protocolo 
802.1x. 
Assim, para completarmos o estudo do projeto de redes comutadas, nesta 
aula estudaremos a operação e configuração das VLANs, bem como o modelo 
AAA e o protocolo 802.1x. 
TEMA 1 – AS VLANS 
Com as VLANs, podemos segmentar as redes com base em fatores como 
o departamento da empresa, a função dos colaboradores ou equipes de trabalho, 
 
 
3 
independentemente do local físico onde o usuário esteja conectado (tanto a rede 
quanto o dispositivo terminal utilizado). Assim, cada VLAN é considerada uma 
rede lógica separada, e seus dispositivos atuam como se estivessem em sua 
própria rede independente, mesmo que compartilhem uma infraestrutura comum 
com outras VLANs. E, quando configuramos a rede comutada, qualquer porta do 
switch poderá ser configurada para pertencer a qualquer uma das VLANs. 
Figura 1 – Rede segmentada com VLANs 
 
Fonte: Rohling, 2020. 
Quanto ao tráfego ethernet, com a criação das VLANs, os pacotes de 
unicast, broadcast e multicast são encaminhados e inundados apenas para 
dispositivos finais na VLAN à qual os pacotes pertencem, ou seja, na VLAN em 
que os pacotes foram recebidos. Dessa forma, os pacotes destinados aos 
dispositivos que não pertencem às VLANs em que foram recebidos deverão ser 
encaminhados para o dispositivo que fará o roteamento entre VLANs, um 
dispositivo de Camada 3, pois é apenas nessa camada que poderá haver 
comunicação entre as VLANs. 
VLAN 1 
VLAN 2 
 
 
4 
1.1 Configuração de Camada 3 
Podemos configurar várias sub-redes IP numa rede comutada, mesmo 
sem o uso de várias VLANs. Entretanto, os dispositivos estarão no mesmo 
domínio de broadcast de Camada 2. Isso significa que todas as transmissões de 
broadcast de Camada 2 – como as solicitações ARP – serão recebidas por todos 
os dispositivos na rede comutada, mesmo pelos terminais que não pertençam à 
mesma sub-rede, pois os quadros serão enviados com o endereço de broadcast 
de Camada 2. 
Figura 2 – Envio de broadcast numa rede sem VLANs 
 
Fonte: Rohling, 2020. 
Então, uma VLAN é um domínio de broadcast que pode abranger vários 
segmentos de LAN físicos, e assim as VLANs melhoram o desempenho da rede, 
separando os grandes domínios de broadcast em domínios menores. Se um 
dispositivo numa VLAN envia um quadro ethernet de broadcast, todos os 
dispositivos na VLAN o recebem, mas os dispositivos que pertencem a outras 
VLANs, não. Além disso, com a configuração das VLANs, podemos implementar 
o controle de acesso e as políticas de segurança, de acordo com o grupo de 
cada usuário. Para garantir o correto funcionamento das VLANs, cada porta de 
switch deverá se associar a apenas uma VLAN, exceto as portas conectadas a 
outros switches ou a um telefone IP. 
SW1 
SW3 SW2 
PC-A PC-B PC-C PC-D 
Sub-rede 1 Sub-rede 2 
 
 
5 
Quanto à configuração de Camada 3, cada VLAN numa rede comutada 
corresponderá a uma rede IP e, assim, o projeto das VLANs deve considerar 
iniciar um esquema de endereçamento de rede hierárquico, de forma a 
contemplar toda a rede. Portanto, os endereços pertencentes a uma VLAN, que 
representa um conjunto de usuários com funções semelhantes, serão 
distribuídos pela rede comutada, para todos os dispositivos pertencentes às suas 
respectivas VLANs. 
Figura 3 – Configuração de endereçamento com VLANs 
 
Fonte: Rohling, 2020. 
1.2 Tipos de VLAN 
As VLANs são utilizadas por diversos motivos nas redes comutadas, e 
algumas podem ser definidas de acordo com a classe de tráfego, e outras de 
acordo com sua função específica. Assim, numa rede típica, teremos a VLAN 
padrão, também chamada de VLAN default, as VLANs de dados, a VLAN nativa, 
a VLAN de gerenciamento e a VLAN de voz. 
A VLAN padrão num switch Cisco é a VLAN 1, e assim todas as portas do 
switch se associam à VLAN 1, a menos que sejam configuradas para pertencer 
a outra VLAN. Além disso, também por padrão, todo o tráfego de controle da 
SW1 
SW3 SW2 
Administração 
VLAN 10 
192.168.10.10 
Financeiro 
VLAN 20 
192.168.20.10 
Administração 
VLAN 10 
192.168.10.11 
Financeiro 
VLAN 20 
192.168.20.11 
1º andar 2º andar 
 
 
6 
Camada 2 se associará à VLAN 1. Portanto, em redes com switches Cisco, 
devemos considerar os seguintes aspectos sobre a VLAN 1: 
• Todas as portas do switch estão atribuídas à VLAN 1 por padrão; 
• A VLAN nativa é a VLAN 1 por padrão; 
• A VLAN de gerenciamento é a VLAN 1 por padrão; 
• A VLAN 1 não pode ser renomeada nem excluída. 
No exemplo a seguir, temos a resposta do comando show vlan brief, com 
o qual observamos que todas as portas estão atribuídas à VLAN 1, que é a VLAN 
padrão. Nenhuma VLAN nativa foi atribuída explicitamente, e nenhuma outra 
está ativa. Portanto, a rede está operando de forma que a VLAN nativa é a 
mesma que a de gerenciamento, o que representa um risco à segurança. 
Figura 4 – Configuração-padrão de VLAN 
 
Fonte: Rohling, 2020. 
As VLANs de dados são configuradas para separar o tráfego gerado pelos 
usuários, e são chamadas de VLANs de usuário porque separam a rede em 
grupos de usuários ou dispositivos. Assim, a rede terá uma quantidade de VLANs 
de dados de acordo com a estrutura organizacional da empresa. Devemos 
observar ainda que o tráfego de gerenciamento da rede e o tráfego de voz não 
devem ser permitidos nas VLANs de dados. 
O tráfego de usuário de uma VLAN deve ser marcado com seu ID de 
VLAN quando ele for enviado a outro switch. As portas de tronco são usadas 
entre switches para suportar a transmissão de tráfego marcado. 
Especificamente, uma porta de tronco 802.1Q insere uma marca de 4 bytes no 
cabeçalho do quadro ethernet para identificar a VLAN à qual o quadro pertence. 
Switch# show vlan brief 
VLAN Name Status Ports 
— — — — 
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 
 Fa0/5, Fa0/6, Fa0/7, Fa0/8 
 Fa0/9, Fa0/10, Fa0/11, Fa0/12 
 Fa0/13, Fa0/14, Fa0/15, Fa0/16 
 Fa0/17, Fa0/18, Fa0/19, Fa0/20 
 Fa0/21, Fa0/22, Fa0/23, Fa0/24 
 Gi0/1, Gi0/2 
1002 fddi-default act/unsup1003 token-ring-default act/unsup 
1004 fddinet-default act/unsup 
1005 trnet-default act/unsup 
 
 
 
7 
Outro tipo de VLAN é a LAN nativa, utilizada quando um switch precisa 
enviar o tráfego que não pertence a nenhuma das VLANs, que é o tráfego não 
marcado, por um link de tronco. Esse tráfego não marcado pode ser gerado por 
um switch ou vir de dispositivos legados, como os hubs. Dessa forma, a porta de 
tronco, utilizando o Padrão 802.1Q, coloca o tráfego não marcado na VLAN 
nativa, e a VLAN nativa, num switch Cisco, é VLAN 1, ou seja, a VLAN nativa é 
a mesma que a VLAN padrão. 
Portanto, visando a segurança da rede, recomendamos configurar a 
VLAN nativa como uma VLAN não utilizada, distinta da VLAN 1 e de outras 
VLANs. O ideal é definir uma VLAN fixa para servir como VLAN nativa a todas 
as portas de tronco, em todos os switches de uma rede comutada. 
Outro tipo de VLAN com função específica é a VLAN de gerenciamento, 
também chamada de management VLAN, com dados configurados 
especificamente para o tráfego de gerenciamento de rede. Nessa VLAN, 
teremos o tráfego dos protocolos de gerenciamento, como SSH, Telnet, HTTPS, 
HHTP e SNMP. Por padrão, nos switches Cisco, a VLAN 1 é configurada como 
a VLAN de gerenciamento, devendo-se também definir e configurar uma VLAN 
específica para essa finalidade, por questões de segurança da rede. 
A VLAN de voz é uma VLAN separada, necessária para garantir os 
mecanismos de qualidade de serviço (quality of service – QoS), para dar suporte 
à aplicação de voz sobre IP (voice over IP – VoIP), que apresenta as seguintes 
necessidades: 
• Largura de banda garantida para assegurar a qualidade de voz; 
• Prioridade de broadcast sobre outros tipos de tráfego de rede; 
• Capacidade de ser roteada em áreas congestionadas da rede; 
• Atraso menor do que 150 ms. 
Para atender a esses requisitos, toda a rede deve ser projetada para 
suportar VoIP. Na Figura 5, a VLAN 100 foi projetada para transportar tráfego de 
voz, o computador do usuário está conectado ao telefone IP Cisco, e o telefone, 
ao switch. Na configuração da porta do switch, o tráfego gerado pelo PC será 
colocado na VLAN 10, que é a VLAN de dados desse usuário. 
 
 
 
 
 
8 
Figura 5 – Configuração da VLAN de voz 
 
Fonte: Rohling, 2020. 
TEMA 2 – AS PORTAS-TRONCO 
Além de configurar as VLANs, também é necessário configurar os troncos 
de VLAN, que permitem a todo o tráfego das VLANs se propagar pelos switches, 
por toda a rede comutada, permitindo também que dispositivos conectados a 
switches diferentes, mas na mesma VLAN, se comuniquem sem que o tráfego 
tenha que passar por um roteador. 
Um tronco é um link ponto a ponto entre dois dispositivos de rede que 
transportam o tráfego de mais de uma VLAN. Assim, os troncos de VLAN 
estendem as VLANs por toda a rede comutada, e os switches Cisco suportam o 
padrão IEEE 802.1Q para operar os troncos em interfaces do tipo fast ethernet, 
gigabit ethernet e ethernet de 10 gigabit. 
Assim, um tronco de VLAN não pertence a uma VLAN específica, mas 
opera como canal de comunicação para as várias VLANs, entre switches e 
roteadores. Um tronco também pode ser usado entre um dispositivo de rede e 
um servidor, até mesmo com outro dispositivo terminal de usuário, desde que 
esteja equipado com uma NIC compatível com o padrão 802.1Q. Por padrão, 
num switch Cisco Catalyst, todas as VLANs são suportadas numa porta de 
tronco. 
 
 
 
 
 
 
VLAN 10 – Administração 
VLAN 100 - VoIP 
Administração 
VLAN 10 
192.168.10.10 
 
 
9 
Figura 6 – As portas-tronco em VLANs 
 
 Fonte: Rohling, 2020. 
2.1 O encaminhamento de broadcast 
Quando um switch recebe um quadro de broadcast numa de suas portas, 
ele encaminha o quadro para todas as outras portas, exceto aquela em que o 
quadro foi recebido. Assim, numa rede sem VLAN, um quadro de broadcast é 
transmitido por toda a rede e entregue em todas as portas de todos os switches, 
pelo domínio de broadcast. 
Com a configuração das VLANs numa rede comutada, o tráfego de 
broadcast enviado por um dispositivo – conectado em determinada VLAN – será 
encaminhado pelas conexões de tronco, porém será entregue apenas nas portas 
associadas à mesma VLAN da origem do quadro. No exemplo a seguir, quando 
o PC 1 envia um quadro de broadcast para o SW 2, como ele está associado à 
VLAN 10, o SW 2 encaminhará o quadro para o SW 1, pois é uma porta-tronco, 
mas não enviará o quadro para o PC 2, pois a porta em que ele está conectado 
se encontra na VLAN 20. O SW 1 encaminhará o broadcast para o SW 3 pela 
porta de tronco, que enviará o quadro apenas para o PC 3, na mesma VLAN de 
origem do quadro, e o SW 3 não encaminhará o quadro para o PC 4, pois a porta 
em que ele está conectado se encontra na VLAN 20. 
VLAN 10 
VLAN 20 
P
o
rt
a
s
-t
ro
n
c
o
 
 
 
10 
Figura 7 – Envio de broadcast numa rede com VLANs 
 
Fonte: Rohling, 2020. 
2.2 Identificação de VLAN 
Na configuração-padrão dos quadros ethernet, o cabeçalho de quadro 
não contém as informações sobre a VLAN à qual o quadro pertence. Dessa 
forma, quando os quadros ethernet se encaminham a uma interface de tronco, 
as informações sobre as VLANs – às quais os quadros pertencem – deverão ser 
adicionadas aos quadros. Esse processo de inclusão da informação de VLAN é 
chamado de marcação, sendo feito com a configuração do cabeçalho IEEE 
802.1Q, especificado pelo padrão IEEE 802.1Q. O cabeçalho 802.1Q contém 
então uma informação de 4 bytes, que é a tag de VLAN, inserida no cabeçalho 
do quadro ethernet original, especificando a VLAN à qual o quadro pertence. 
Quando o switch recebe um quadro numa porta configurada no modo de 
acesso, e uma VLAN está atribuída a essa porta, o switch insere uma tag de 
VLAN no cabeçalho do quadro, recalcula o frame check sequence (FCS), que é 
o campo de verificação de quadro, e envia o quadro para a porta de tronco com 
a tag adicional. 
SW1 
SW3 SW2 
Administração 
VLAN 10 
192.168.10.10 
Financeiro 
VLAN 20 
192.168.20.10 
Administração 
VLAN 10 
192.168.10.11 
Financeiro 
VLAN 20 
192.168.20.11 
1º andar 2º andar 
PC1 PC2 PC3 PC4 
VLAN10 
VLAN20 
 
 
11 
Figura 8 – Campos do quadro 802.1Q 
 
Fonte: Rohling, 2020. 
Conforme a Figura 8, o quadro gerado será acrescido do campo de 
informações de controle, que é a tag VLAN, e que consiste num campo tipo, um 
campo de prioridade, um campo identificador de formato canônico e o campo de 
identificação de VLAN: 
• Type: valor de 2 bytes que contém o valor referente à tag de ID do 
protocolo (TPID). Para ethernet, ele é definido como 0x8100 hexadecimal; 
• Prioridade do usuário: valor de 3 bits que permite implementar o QoS na 
rede comutada, identificando o nível de serviço do quadro; 
• Identificador de formato canônico (CFI): identificador de 1 bit que 
permite aos quadros token ring serem transportados por links ethernet; 
• ID de VLAN (VID): número de identificação de VLAN de 12 bits que 
suporta até 4.096 identificadores (IDs) de VLAN. 
Depois que o switch insere os campos de informação da tag de controle, 
ele recalcula os valores de FCS e insere o novo FCS no quadro. 
2.3 A VLAN nativa 
Entre os tipos de VLAN existentes, o padrão IEEE 802.1Q especifica a 
chamada VLAN nativa, que existirá em todos os tipos de tronco – por padrão, a 
VLAN 1. Assim, quando um quadro não marcado chega numa porta de tronco, 
ele é atribuído à VLAN nativa. Um tipo de tráfego existente numa rede são os 
quadros de gerenciamento, que são enviados entre os switches, sendo um 
 
 
12 
exemplo de tráfego que ficará na VLAN nativa, pois normalmente esse tráfego 
não é marcado. Então, se o link entre dois switches for do tipo tronco, o switch 
enviará todo o tráfego não marcado à VLAN nativa. 
Alguns dispositivos que suportam as conexões de tronco também 
adicionam uma tag da VLAN ao tráfego da VLAN nativa, porém, o tráfego de 
controle enviado na VLANnativa não deve ser marcado. Se uma porta de tronco 
802.1Q recebe um quadro marcado com o ID da VLAN igual ao da VLAN nativa, 
ele descarta o quadro. Consequentemente, ao configurar uma porta de switch 
num switch da Cisco, devemos configurar os dispositivos para que não enviem 
quadros da VLAN nativa que estejam marcados. Os dispositivos de outros 
fornecedores, que suportam quadros marcados na VLAN nativa, incluem 
telefones IP, servidores, roteadores e switches não Cisco. 
Quando uma porta de tronco de switch Cisco recebe quadros não 
marcados (incomuns numa rede bem projetada), ela encaminha esses quadros 
à VLAN nativa. Se não houver dispositivos associados à VLAN nativa (o que não 
é incomum) e não houver outras portas de tronco (o que também não é 
incomum), o quadro será descartado. 
A VLAN nativa padrão é a VLAN 1 e, assim, ao configurar uma porta de 
tronco 802.1Q, um ID de VLAN de porta (PVID) padrão é atribuído, que será o 
valor do ID da VLAN nativa. Todo o tráfego não marcado, que entra ou sai da 
porta 802.1Q, é encaminhado com base no valor PVID. Por exemplo, se a 
VLAN 99 estiver configurada como a VLAN nativa, o PVID será 99, e todo o 
tráfego não marcado será encaminhado para a VLAN 99. Se a VLAN nativa não 
tiver sido reconfigurada, o valor PVID será definido como VLAN 1. 
2.4 A VLAN de voz 
Numa rede com aplicação de VoIP, é necessário utilizar uma VLAN de 
voz separada para oferecer o suporte adequado a VoIP, pois isso permitirá que 
as políticas de QoS e de segurança sejam aplicadas ao tráfego de voz. 
Um telefone IP da Cisco se conecta diretamente a uma porta do switch, e 
um host IP poderá então ser conectado ao telefone IP para obter conectividade 
de rede também. A porta de acesso conectada ao telefone IP da Cisco pode ser 
configurada para usar duas VLANs separadas, sendo uma VLAN para tráfego 
de voz, e a outra, uma VLAN de dados, para suportar o tráfego do host. O link 
entre o switch e o telefone IP simula um link de tronco, permitindo transportar o 
 
 
13 
tráfego da VLAN de voz e tráfego da VLAN de dados. O telefone IP da Cisco 
contém um switch 10/100 de três portas integrado, e as portas deverão se 
conectar de maneira adequada, fornecendo as conexões dedicadas aos 
dispositivos a seguir. Assim, a Porta 1 conecta-se ao switch ou outro dispositivo 
VoIP, e a Porta 2 é uma interface 10/100 interna que transporta o tráfego de 
telefone IP; por fim, a Porta 3, que seria a porta de acesso, se conecta a um PC 
ou outro dispositivo. 
Figura 9 – Conexões do telefone IP 
 
Fonte: Rohling, 2020. 
A porta de acesso ao switch envia os pacotes CDP, instruindo o telefone 
IP conectado a enviar tráfego de voz de uma das três maneiras possíveis, e o 
método utilizado varia de acordo com o tipo de tráfego, que poderá ser: 
• O tráfego da VLAN de voz, que deve ser marcado com o valor de 
prioridade (de Camada 2) de acordo com a classe de serviço (CoS) 
definida; 
• O tráfego da VLAN de acesso também poderá ser marcado com um valor 
de prioridade de CoS de Camada 2; 
• O tráfego da VLAN de acesso não será marcado, não inserindo nenhum 
valor de prioridade de CoS de Camada 2. 
A porta do switch deverá ser configurada adequadamente, para que o 
telefone IP receba as informações sobre a VAN de voz, para fazer a marcação 
correta dos pacotes de voz. Na Figura 10, temos um exemplo de configuração 
da Porta 12 do switch, configurada para a VLAN 100 como VLAN de voz, e a 
SWITCH 
P1 P3 
P2 
SW PC 
 
 
14 
VLAN 10 como VLAN da administração (admin), mantendo a VLAN nativa como 
a VLAN1. 
Figura 10 – Configuração da interface do switch para as VLANs 
 
Fonte: Rohling, 2020. 
TEMA 3 – A CRIAÇÃO DE VLAN 
Para criar VLANs, como a maioria dos outros aspectos da rede, é 
necessário conhecer e inserir os comandos adequados, de acordo com o 
sistema operacional do switch. Os diferentes modelos de switches Cisco Catalyst 
suportam diferentes quantidades de VLANs. Essa quantidade é grande o 
suficiente para acomodar as necessidades da maioria das organizações. Por 
exemplo, os switches Catalyst 2960 e 3650 suportam mais de 4 mil VLANs. As 
VLANs dentro do intervalo normal de VLANs nesses switches são numeradas de 
1 a 1.005, e as VLANs de alcance estendido são numeradas de 1.006 a 4.094. 
A Figura 11 ilustra as VLANs disponíveis num switch Catalyst 2960 que 
está executando o sistema operacional Cisco IOS versão 15.x. 
 
 
 
 
S1# show interfaces fa0/12 switchport 
Name: Fa0/12 
Switchport: Enabled 
Administrative Mode: static access 
Operational Mode: static access 
Administrative Trunking Encapsulation: negotiate 
Operational Trunking Encapsulation: native 
Negotiation of Trunking: Off 
Access Mode VLAN: 10 (admin) 
Trunking Native Mode VLAN: 1 (default) 
Administrative Native VLAN tagging: enabled 
Voice VLAN: 100 (voice) 
F0/12 
 
 
15 
Figura 11 – VLAN default num switch Cisco 
 
Fonte: Rohling, 2020. 
Assim, as VLANs se dividem num intervalo normal e num intervalo 
estendido. As principais características das VLANs de intervalo normal são as 
seguintes: 
• São usadas em todas as redes de pequenas e médias empresas; 
• São identificadas por uma ID de VLAN entre 1 e 1.005; 
• Os IDs 1.002 a 1.005 são reservados para tecnologias de rede legada, ou 
seja, token ring e fiber distributed data interface (FDDI); 
• Os IDs 1 e 1.002 a 1.005 são criados automaticamente, e não podem ser 
removidos; 
• As configurações são armazenadas na memória flash do switch, num 
arquivo de banco de dados de VLANs chamado vlan.dat; 
• Quando configurado, o VLAN trunking protocol (VTP) sincroniza o banco 
de dados de VLANs entre os switches. 
A seguir, as principais características das VLANs de intervalo estendido: 
• São utilizadas por provedores de serviços para atender vários clientes e 
por empresas de grande porte que necessitam de IDs de VLAN de alcance 
estendido por causa da grande quantidade de sub-redes utilizadas; 
• São identificadas por um ID de VLAN entre 1.006 e 4.094; 
• As configurações são salvas no arquivo de configuração, executado na 
memória RAM; 
Switch# show vlan brief 
 
VLAN Name Status Ports 
---- ----------------- ------- -------------------- 
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 
 Fa0/5, Fa0/6, Fa0/7, Fa0/8 
 Fa0/9, Fa0/10, Fa0/11, Fa0/12 
 Fa0/13, Fa0/14, Fa0/15, Fa0/16 
 Fa0/17, Fa0/18, Fa0/19, Fa0/20 
 Fa0/21, Fa0/22, Fa0/23, Fa0/24 
 Gi0/1, Gi0/2 
1002 fddi-default act/unsup 
1003 token-ring-default act/unsup 
1004 fddinet-default act/unsup 
1005 trnet-default act/unsup 
 
 
 
16 
• Menor compatibilidade de recursos de VLAN do que as VLANs de 
intervalo normal; 
• Requer a configuração do modo transparente de VTP para suportar 
VLANs de alcance estendido. 
A quantidade máxima de VLANs é 4.096, sendo também o limite do 
número de VLANs disponíveis nos switches Catalyst, pois temos 12 bits no 
campo ID da VLAN, do cabeçalho IEEE 802.1Q, o que permite até 4.096 
identificadores diferentes. 
3.1 A criação de VLANs 
Durante a configuração de VLANs em switches Cisco, durante a 
configuração de VLANs de intervalo normal, os parâmetros configurados são 
armazenados na memória flash no switch, num arquivo chamado vlan.dat. A 
memória flash é persistente e não requer o comando copy running-config startup-
config. No entanto, como outros parâmetros são configurados num switch Cisco 
enquanto VLANs são criadas, é boa prática salvar as mudanças da configuração, 
feitas no modo de execução (running-config) para o arquivo de configuração de 
inicialização (startup-config). 
Assim, a sequência de configuração deverá incluir a etapa necessária 
para adicionar uma VLAN a um switch e dar um nome à VLAN criada, sendo a 
atribuição de um nome a cada VLAN uma prática recomendada na configuração 
dos switches. Na Figura 12, temos o exemplo da sequência de comandos para 
configurar a VLAN da administração, que terá o VLANID igual a 10. 
Figura 12 – Criação de VLAN 
 
Fonte: Rohling, 2020. 
 
 
Switch# configure terminal 
Switch(config)# vlan 10 
Switch(config-vlan)# name Admin 
Switch(config-vlan)# end 
 
 
 
17 
3.2 Atribuindo portas às VLANs 
Depois de criar uma VLAN, a próxima etapa é atribuir as portas do switch 
que pertencerão à VLAN criada, e o comando para atribuir uma VLAN a uma 
interface – a ser feito no modo de configuração de interface – é: 
#switchport access vlan vlan-id 
Além do comando de atribuição de VLAN, outro comando opcional – mas 
altamente recomendado como prática de segurança, com o qual a interface se 
altera para o modo de acesso permanente – é: 
#switchport mode access 
Na Figura 13 temos a configuração da Porta 18, na qual está conectado 
o PC do usuário da VLAN administrativa criada no exemplo anterior, a VLAN 10. 
Figura 13 – Atribuição de VLAN 
 
Fonte: Rohling, 2020. 
As VLANs são configuradas na porta do switch, e não no dispositivo 
terminal do usuário. No exemplo, o PC está configurado com um endereço IPv4 
e uma máscara de sub-rede associada à VLAN, configurada na porta do switch 
que, nesse exemplo, é a VLAN 10. Assim, a ela deverá ser configurada nos 
demais switches da rede, permitindo que os outros computadores da área de 
administração da empresa estejam na mesma sub-rede do PC 
(192.168.10.0/24). 
 
 
S1# configure terminal 
S1(config)# interface fa0/18 
S1(config-if)# switchport mode access 
S1(config-if)# switchport access vlan 10 
S1(config-if)# end 
 
F0/18 
Administração 
VLAN 10 
192.168.10.10 
 
 
18 
3.3 As VLANs de dados e de voz 
Quando configurada como porta de acesso, essa interface poderá 
pertencer a apenas uma VLAN de cada vez. No entanto, num switch Cisco, uma 
porta também poderá ser associada a uma VLAN de voz, permitindo a conexão 
do telefone IP e do computador do usuário na mesma porta do switch. Sem esse 
recurso, seria necessário utilizar duas portas do switch: uma para conectar o 
telefone IP, e outra para conectar o computador. Porém, num switch Cisco, 
teremos uma porta conectada a um telefone IP e um dispositivo final, que será 
associado a duas VLANs: uma para voz e outra para os dados. 
Considerando a topologia na Figura 14, o PC5 está conectado ao telefone 
IP Cisco que, por sua vez, está conectado à interface fastethernet 0/12 no switch. 
Assim, para implementar essa configuração, uma VLAN de dados e uma VLAN 
de voz deverão ser criadas no switch, e o comando para atribuir uma VLAN de 
voz a uma porta, no modo de configuração de interface, é: 
#switchport voice vlan vlan-id. 
Figura 14 – Configuração de VLAN de voz e de dados 
 
Fonte: Rohling, 2020. 
A configuração no exemplo cria as duas VLANs, ou seja, a VLAN 10 (de 
dados da rede administrativa) e a VLAN 100 (que é a VLAN de voz). A seguir, a 
interface F0/12 do switch é configurada como uma porta da VLAN 20, atribuindo 
Switch(config)# vlan 10 
Switch(config-vlan)# name Admin 
Switch(config-vlan)# vlan 100 
Switch(config-vlan)# name VOICE 
Switch(config-vlan)# exit 
Switch(config)# interface fa0/12 
Switch(config-if)# switchport mode access 
Switch(config-if)# switchport access vlan 10 
Switch(config-if)# mls qos trust cos 
Switch(config-if)# switchport voice vlan 100 
Switch(config-if)# end 
F0/12 
 
 
19 
também o tráfego de voz à VLAN 150, permitindo a classificação de QoS com 
base na CoS atribuída pelo telefone IP. 
As redes LAN que suportam o tráfego de voz normalmente têm o QoS 
habilitado. O tráfego de voz deve ser identificado como confiável assim que entra 
na rede. Para isso, utilizamos o comando mls qos trust [cos | device 
cisco-phone | dscp | ip-precedence] no modo de configuração da 
interface para definir o estado confiável de uma interface e indicar quais campos 
do pacote são usados para classificar o tráfego. 
O comando switchport access vlan força a criação de uma VLAN 
se ela ainda não existir no switch. Por exemplo, se a VLAN 30 não estiver 
configurada – o que pode ser verificado com o comando show vlan brief do 
switch e se inserirmos o comando switchport access vlan 30 –, o switch 
exibirá a informação de que a VLAN está sendo criada, conforme a Figura 15: 
Figura 15 – Criação de VLAN por atribuição de porta 
 
Fonte: Rohling, 2020. 
TEMA 4 – CONFIGURAÇÃO DE TRONCOS DE VLAN 
Depois de configurar as VLANs, a próxima etapa é configurar os troncos 
de VLAN, que são links de Camada 2 entre dois switches, que transportam o 
tráfego de todas as VLANs, a menos que a lista de VLANs permitidas seja 
configurada – manual ou dinamicamente – definindo quais serão permitidas e, 
por consequência, bloqueando todas as demais. 
Para habilitar os links de tronco e configurar as portas de interconexão, 
teremos o conjunto de comandos de configuração de interface listados a seguir. 
Switch(config)# interface fa0/10 
Switch(config-if)# switchport mode access 
Switch(config-if)# switchport access vlan 30 
% Access VLAN does not exist. Creating vlan 30 
F0/10 
 
 
20 
• A primeira etapa é a entrada no modo de configuração global, com o 
comando: Switch# configure terminal; 
• A próxima etapa é a entrada no modo de configuração da interface, com 
o comando: Switch(config)# interface ID; 
• No modo de configuração da interface que será configurada como tronco, 
devemos então definir a porta para o modo de entroncamento 
permanente, com o comando: Switch(config-if)# switchport 
mode trunk; 
• Por questão de segurança, a próxima etapa é a definição da VLAN nativa 
para um valor diferente da VLAN 1, com o comando: Switch(config-
if)# switchport trunk native vlan vlan-id; 
• Se desejarmos que nem todas as VLANs criadas no switch sejam 
permitidas nessa conexão de tronco, devemos, então, especificar a lista 
de VLANs que serão permitidas no link do tronco com o comando: 
Switch(config-if)# switchport trunk allowed vlan vlan-
list. 
4.1 Configuração da porta-tronco 
Na Figura 16, temos o exemplo da configuração das VLANs 10, 20 e 30, 
que atendem as redes de computadores dos docentes, dos alunos e dos 
convidados (PC 1, PC 2 e PC 3). A porta Fa0/1 no switch SW 1 está 
configurada como porta-tronco e encaminhará o tráfego das VLANs 10, 20 e 30 
para o SW2. Nesse exemplo, utilizaremos a VLAN 99 como a VLAN nativa. 
 
 
 
 
 
 
 
 
 
 
 
 
 
21 
Figura 16 – Exemplo de rede para configurar portas-tronco 
 
 Fonte: Rohling, 2020. 
Assim, a divisão das VLANs, com o respectivo endereçamento das sub-
redes, será: 
• VLAN 10 – Corpo docente – 192.168.10.0/24; 
• VLAN 20 – Alunos – 192.168.20.0/24; 
• VLAN 30 – Convidados/visitantes – 192.168.30.0/24; 
• VLAN 99 – VLANs nativas – 192.168.99.0/24. 
Dessa forma, a configuração a ser aplicada no SW 2, para a porta de 
trunk, é mostrada na Figura 17: 
Figura 17 – Exemplo de configuração de portas-tronco 
 
Essa configuração pressupõe o uso de switches Cisco Catalyst 2960, que 
usam automaticamente o encapsulamento 802.1Q em links de tronco, e outros 
switches podem exigir uma configuração manual desse encapsulamento. Além 
disso, é necessário sempre configurar as duas extremidades de um link de tronco 
Docentes 
VLAN 10 
192.168.10.11 
SW1 
PC2 
SW2 
F0/1 
PC1 
PC3 
Alunos 
VLAN 20 
192.168.20.11 
Convidados 
VLAN 30 
192.168.30.11 
SW2(config)# interface fastEthernet 0/1 
SW2(config-if)# switchport mode trunk 
SW2(config-if)# switchport trunk native vlan 99 
SW2(config-if)# switchport trunk allowed vlan 10,20,30,99 
SW2(config-if)# end 
 
 
 
22 
com a mesma VLAN nativa, pois, se a configuração do tronco 802.1Q não for a 
mesma em ambas as extremidades, o IOS da Cisco gerará mensagens de erro 
de VLAN nativa. 
Para verificar as configurações da interface de tronco, o comando a ser 
utilizado é: #show interfaces interface-ID switchport. 
Na Figura 18, temos a saída do comando que verifica a configuração de 
interface-tronco, aplicada na interface F0/1do SW 1, e podemos verificar que ela 
está configurada como porta-tronco (Administrative Mode: trunk). O 
encapsulamento configurado é o padrão 802.1q (Administrative Trunking 
Encapsulation: dot1q), e a VLAN nativa é a VLAN 99 (Trunking Native 
Mode VLAN: 99). 
Figura 18 – Verificação de configuração de portas-tronco 
 
Fonte: Rohling, 2020. 
Se for necessário retornar à configuração-padrão da porta-tronco, os 
comandos a utilizar são: 
• #no switchport trunk allowed vlan; 
• #no switchport trunk native vlan. 
S1# show interfaces fa0/1 switchport 
Name: Fa0/1 
Switchport: Enabled 
Administrative Mode: trunk 
Operational Mode: trunk 
Administrative Trunking Encapsulation: dot1q 
Operational Trunking Encapsulation: dot1q 
Negotiation of Trunking: On 
Access Mode VLAN: 1 (default) 
Trunking Native Mode VLAN: 99 (VLAN0099) 
Administrative Native VLAN tagging: enabled 
Voice VLAN: none 
Administrative private-vlan host-association: none 
Administrative private-vlan mapping: none 
Administrative private-vlan trunk native VLAN: none 
Administrative private-vlan trunk Native VLAN tagging: enabled 
Administrative private-vlan trunk encapsulation: dot1q 
Administrative private-vlan trunk normal VLANs: none 
Administrative private-vlan trunk associations: none 
Administrative private-vlan trunk mappings: none 
Operational private-vlan: none 
Trunking VLANs Enabled: ALL 
Pruning VLANs Enabled: 2-1001 
 
 
 
23 
Aplicando esses comandos, removeremos as VLANs permitidas e 
redefiniremos a VLAN nativa do tronco. Quando a porta-tronco for redefinida para 
o estado-padrão, o tronco permite o tráfego de todas as VLANs por essa porta, 
e utilizará a VLAN 1 como a VLAN nativa. 
4.2 A exclusão de VLANs 
Além de reconfigurar as portas-tronco, também pode ser necessário 
reconfigurar as VLANs, incluindo a exclusão de algumas delas, o que pode ser 
feito com o comando: #no vlan vlan-id. 
Como as configurações de VLAN são armazenadas no arquivo vlat.dat, 
que fica armazenado na memória flash, não é necessário salvar essas 
configurações, diferente das demais, como a associação das portas às VLANs e 
as portas-tronco, que devem ser salvas com o comando: #copy running-
config startup-config. 
No entanto, antes de excluir uma VLAN, deve-se atribuir todas as portas 
associadas à VLAN a ser excluída para uma VLAN diferente, porque todas as 
portas não movidas para uma VLAN ativa, quando ela for excluída, não 
conseguirão mais se comunicar com outros hosts. 
O próprio arquivo vlan.dat pode ser excluído pelo comando #delete 
flash:vlan.dat. Depois de executar esse comando e reinicializar o switch, 
as VLANs configuradas anteriormente não estarão mais presente, colocando o 
switch efetivamente no seu estado-padrão de fábrica quanto às configurações 
da VLAN. Portanto, para restaurar um switch Catalyst à sua condição-padrão de 
fábrica, devemos desconectar todos os cabos, exceto o console e o cabo de 
alimentação do switch. Em seguida, digitamos o comando erase startup-
config no modo de configuração privilegiado e, depois, o comando delete 
vlan.dat. 
4.3 O Protocolo DTP 
Alguns switches Cisco suportam um protocolo proprietário, que permite 
negociar automaticamente o entroncamento com um dispositivo vizinho – 
chamado dynamic trunking protocol (DTP) –, que pode acelerar a configuração 
da rede. Como as interfaces de tronco ethernet suportam diferentes modos de 
entroncamento e podem ser definidas como porta de tronco ou não tronco, 
 
 
24 
também podem negociar o entroncamento com a interface do dispositivo vizinho. 
Essa negociação de tronco será então gerenciada pelo DTP, que opera somente 
ponto a ponto, entre dispositivos de rede. 
O DTP é um protocolo proprietário da Cisco ativado automaticamente nos 
switches Catalyst séries 2960 e 3560, gerenciando a negociação de tronco 
apenas se a porta de switch vizinho estiver configurada num modo de tronco com 
suporte para DTP. No entanto, os switches de outros fornecedores não oferecem 
suporte ao DTP, sendo necessária, então, uma configuração manual adequada 
para essas conexões. A configuração DTP padrão para switches Cisco Catalyst 
2960 e 3650 é o modo dinâmico auto (dynamic auto). 
Além disso, é necessário observar que alguns dispositivos de rede podem 
encaminhar quadros DTP incorretamente, o que poderia causar configurações 
incorretas. Para evitar isso, devemos desativar o DTP nas interfaces de switch 
Cisco conectadas a dispositivos que não suportem o protocolo DTP. Para 
habilitar o entroncamento de um switch Cisco com um dispositivo que não 
suporta DTP, devemos utilizar os comandos switchport mode trunk e 
switchport nonegotiate no modo de configuração da interface. Isso faz 
com que a interface se torne um tronco, mas não gera quadros DTP. 
Caso a interface necessite novamente ser habilitada para enviar o DTP, o 
comando a ser utilizado é: switchport mode dynamic auto. Além disso, se 
as portas que conectam dois switches estiverem configuradas para ignorar todos 
os anúncios DTP, com os comandos switchport mode trunk e switchport 
nonegotiate, as portas permanecerão no modo de porta de tronco. Porém, se 
ambas as portas de conexão estiverem definidas como dynamic auto, elas 
não negociarão um tronco e permanecerão no modo de acesso, mantendo o link 
de tronco inativo. Portanto, ao configurar uma porta que deverá operar no modo 
de tronco, devemos utilizar sempre o comando switchport mode trunk. 
Assim, não haverá ambiguidade no estado em que o tronco opera, ficando 
sempre no estado ativo. 
4.4 Configuração do DTP 
Como podemos ter diversas configurações distintas do protocolo DTP, 
nas portas do switch, temos o estado operacional do link de acordo com a 
combinação de configurações entre as duas portas nas suas extremidades, e a 
 
 
25 
melhor prática é configurar os links de tronco estaticamente, sempre que 
possível. 
As opções de configuração de porta para o DTP são: 
• Tronco; 
• Acesso; 
• Dinâmica (dynamic auto); 
• Tronco desejável (dynamic desirable). 
A configuração de porta como tronco só será incompatível com a 
configuração de porta como “acesso” na outra extremidade do link. Nos demais 
casos, será mantida como porta-tronco e forçará a outra porta a também se 
tornar uma porta-tronco, caso esteja configurada como dynamic auto ou dynamic 
desirable, ou seja, prevalecerá a configuração de tronco. 
Se a porta estiver configurada como acesso, forçará a outra porta também 
ao modo de acesso, caso esteja configurada como dynamic auto ou dynamic 
desirable, ou seja, nesse caso prevalece a configuração de acesso. Porém, se 
as duas portas estiverem configuradas no modo dinâmico, prevalece a 
configuração de tronco; sendo uma delas como dynamic desirable, a porta migra 
para o modo tronco. O estado da porta migra para acesso apenas se a 
configuração em ambas as portas estiver como dynamic auto. 
Por medida de segurança, o protocolo DTP deve ser desabilitado nas 
interfaces nas quais não se deve estabelecer uma conexão de tronco. Nas portas 
que deverão operar como tronco, deve-se fazer uma configuração manual, 
definindo o modo de trunk e desabilitando a negociação (nonegotiate). 
Para verificar o DTP, o comando a ser utilizado é o show dtp 
interface interface-id, conforme a Figura 19. 
 
 
 
 
 
 
 
 
 
 
 
26 
Figura 19 – Verificando a configuração do DTP 
 
Fonte: Rohling, 2020. 
TEMA 5 – O MODELO AAA 
Além de segmentar a rede com a configuração das VLANs, outro recurso 
empregado nos projetos de redes LAN é controlar o acesso à rede, baseado no 
modelo conhecido como AAA, que significa “autenticação, autorização e 
auditoria/contabilização”. Ele fornece a estrutura principal para configurar o 
controle de acesso num dispositivo de rede, sendo uma maneira de controlar 
quem tem permissão para acessá-la: controlando o recurso de rede 
(autenticação); controlando o que o usuário pode fazerenquanto estão 
acessando o recurso de rede (autorização); e contabilizando os recursos 
acessados e as ações executadas (auditoria). Vejamos cada processo em 
detalhes. 
5.1 Autenticação 
A autenticação pode ser feita baseando-se em recursos locais, sendo 
armazenados os nomes de usuário e senhas localmente, no próprio dispositivo 
de rede, tal como um switch ou roteador Cisco. Ao acessar os dispositivos de 
rede, os usuários se autenticam no banco de dados local, conforme a sequência 
mostrada a seguir, sendo o modelo AAA local ideal para redes pequenas. Para 
o acesso, o cliente remoto se conecta a um roteador ou switch AAA, e um nome 
de usuário e senha é solicitado. Então, o dispositivo de rede verifica seu banco 
S1# show dtp interface fa0/1 
DTP information for FastEthernet0/1: 
TOS/TAS/TNS: ACCESS/AUTO/ACCESS 
TOT/TAT/TNT: NATIVE/NEGOTIATE/NATIVE 
Neighbor address 1: C80084AEF101 
Neighbor address 2: 000000000000 
Hello timer expiration (sec/state): 11/RUNNING 
Access timer expiration (sec/state): never/STOPPED 
Negotiation timer expiration (sec/state): never/STOPPED 
Multidrop timer expiration (sec/state): never/STOPPED 
FSM state: S2:ACCESS 
# times multi & trunk 0 
Enabled: yes 
In STP: no 
 
 
 
27 
de dados local, validando as credenciais informadas; por fim, o usuário obtém o 
acesso à rede com base nas informações do banco de dados local. 
Outro modelo de autenticação AAA é por um servidor. O roteador ou 
switch acessa um servidor AAA central que contém os nomes de usuário e a 
senha de todos eles. O dispositivo de rede utiliza os protocolos remote 
authentication dial-in user service (Radius) ou terminal access controller access 
control system (Tacacs+) para se comunicar com o servidor AAA. Quando há 
vários roteadores e switches na rede, o AAA baseado em servidor é muito mais 
adequado e eficiente. 
Na primeira etapa de autenticação, o cliente estabelece uma conexão com 
o dispositivo de rede, que solicita o nome de usuário e a senha. O dispositivo de 
rede os valida e faz uma consulta ao servidor AAA; se as credenciais forem 
validadas, o dispositivo de rede permite o acesso, com base nas informações no 
servidor AAA remoto. 
Figura 20 – Autenticação baseada em servidor 
 
Fonte: Rohling, 2020. 
5.2 Autorização e auditoria 
A autorização AAA é automática e não requer que os usuários executem 
etapas adicionais após a autenticação. A autorização controla o que os usuários 
podem ou não fazer na rede depois de autenticados, e a autorização usa um 
conjunto de atributos que descrevem o acesso do usuário à rede. Esses atributos 
são usados pelo servidor AAA para determinar privilégios e restrições ao usuário. 
A autorização ocorre depois de o usuário ter sido autenticado, estabelecendo 
uma sessão entre o dispositivo de rede e o servidor AAA. Assim, o dispositivo de 
rede solicita a autorização do servidor AAA para o serviço solicitado do cliente, 
Servidor AAA 
Validação das 
credenciais 
Credenciais 
do usuário 
 
 
28 
e o servidor AAA dá uma resposta de pass/fail, concedendo ou não a autorização 
de acesso ao recurso solicitado pelo usuário ou para executar a tarefa solicitada. 
A contabilização no AAA coleta informações e relata o uso dos recursos 
e as ações feitas pelo usuário. Esses dados podem ser usados para propósitos 
como auditoria ou faturamento. Os dados coletados podem incluir os horários de 
conexão inicial e final, comandos executados, número de pacotes e número de 
bytes. Um uso primário da contabilização é combiná-lo com a autenticação AAA, 
cujo servidor mantém um registro detalhado do que o usuário autenticado faz no 
dispositivo. Esse registro contém todos os comandos exec e de configuração 
emitidos pelo usuário, e os logs contêm vários campos de dados, incluindo nome 
de usuário, data, hora e comando real inserido pelo usuário. Essa informação é 
útil para resolver problemas de dispositivos, fornecendo evidências de quando 
indivíduos cometem atos mal-intencionados. 
5.3 Padrão 802.1x 
O padrão IEEE 802.1x é um protocolo de autenticação e controle de 
acesso baseado em porta que impede estações de trabalho não autorizadas de 
se conectar a uma rede LAN por portas do switch. O servidor autentica cada 
estação de trabalho quando se conecta a uma porta de switch antes de 
disponibilizar qualquer serviço oferecido pelo switch ou pela LAN. 
Figura 21 – Controle de acesso com 802.1x 
 
Fonte: Rohling, 2020. 
Na autenticação baseada em porta, o protocolo 802.1x define funções 
específicas para os dispositivos: 
Perfil do 
usuário 
Credenciais 
do usuário 
Usuário 
(suplicante) Switch 
(autenticador) 
Servidor 
802.1x 
 
 
29 
• Cliente (suplicante): é o dispositivo que executa um software cliente, 
compatível com 802.1x, podendo ter fio ou não; 
• Switch (autenticador): o switch atua como intermediário entre o cliente e 
o servidor de autenticação, solicitando informações de identificação do 
cliente, confirmando-as com o servidor de autenticação e retransmitindo 
uma resposta ao cliente. Outro dispositivo que poderia atuar como 
autenticador é um ponto de acesso sem fio (access point); 
• Servidor de autenticação: o servidor valida a identidade do cliente e 
notifica o switch (ou ponto de acesso sem fio), mostrando se o cliente está 
ou não autorizado a acessar a LAN e os serviços do switch. 
O recurso do protocolo 802.1x aumenta significativamente a segurança 
da rede, pois, além de segmentá-la com a configuração das VLANs, era 
necessário configurar as portas, associando-se às VLANs. Com o protocolo 
802.1x, esse processo é feito de maneira dinâmica, associando a porta do switch 
à VLAN/grupo informado pelo servidor de autenticação, baseado nas credenciais 
do usuário. 
FINALIZANDO 
A segmentação das redes, com a configuração das VLANs, é um dos itens 
essenciais na elaboração do projeto de uma rede comutada, pois, sem a 
segmentação, o tráfego de broadcast, gerado por uma grande quantidade de 
hosts conectados no mesmo domínio, pode afetar drasticamente o desempenho 
da rede. Além disso, a segmentação também aumenta a segurança da rede, 
limitando o acesso dos recursos apenas aos usuários que efetivamente devem 
acessá-los. 
No entanto, para o correto funcionamento da rede, é necessário definir 
todas as VLANs de dados, com base numa estrutura organizacional da empresa, 
criando uma VLAN de gerenciamento para garantir a segurança dos dispositivos 
de redes e uma VLAN de voz para implementar mecanismos de QoS. Essa 
configuração de VLANs deve ser consistente, ou seja, devemos ter mecanismos 
para garantir que rodos os switches da rede tenham a mesma configuração de 
VLANs, com os identificadores (VLAN ID) corretos para cada VLAN criada. Além 
de criar e configurar as VLANs, também é necessário garantir a configuração 
correta das conexões de tronco. 
 
 
30 
Caso uma VLAN não seja criada num switch, todo o tráfego recebido pelas 
conexões de tronco que tenham o identificador (VLAN ID) da VLAN 
desconhecida será descartado, não sendo encaminhado para os demais 
switches na rede. É um problema muito comum nas redes comutadas, portanto 
a configuração correta e consistente das VLANs é um fator crítico para a rede 
funcionar. 
Para garantir a configuração consistente das VLANs em switches Cisco, 
um recurso muito útil é o VTP, que sincroniza as VLANs em todos os switches 
da rede comutada. Para o VTP operar, define-se um switch que será o servidor 
VTP na rede, criando-se as VLANs. Os demais switches da rede, que serão os 
clientes VTP, receberão as informações do servidor VTP, mantendo uma base 
consistente de dados sobre as VLANs da rede. Dessa forma, não haverá o risco 
do descarte de tráfego, pois, mesmo que um switch não tenha nenhuma porta 
associada a uma determinada VLAN, ele terá essa VLAN em seu banco de 
dados. 
Além de configurar as portas-tronco, para permitir o tráfego das VLANs 
entre os switches,também é necessário atribuir as portas de acesso às 
respectivas VLANs. Para essa etapa de configuração das portas de acesso, 
devemos considerar o protocolo 802.1x, que automatiza o processo e aumenta 
a segurança. Sem ele, teríamos que configurar manualmente todas as portas de 
acesso de todos os switches, e esse processo, além de trabalhoso, apresenta 
um grande risco de segurança, pois um usuário poderia conectar seu 
computador num outro ponto da rede e acessar uma porta associada a outra 
VLAN à qual não deveria ter acesso. Com o protocolo 802.1x isso não ocorre, 
pois, ao fornecer suas credenciais, o switch consulta o servidor e associa a porta 
de conexão do usuário à sua VLAN, de acordo com o perfil informado pelo 
servidor, não permitindo que o usuário tenha acesso a outra VLAN que não seja 
a da sua equipe. 
 
 
 
31 
REFERÊNCIAS 
CHAPPELL, L. Diagnosticando redes: Cisco internetwork toubleshooting. São 
Paulo: Pearson Education do Brasil, 2002. 
MAIA, L. P. Arquitetura de redes de computadores. 2. ed. Rio de Janeiro: LTC, 
2013. 
TANEMBAUM, A. S. Redes de computadores. 2. ed. São Paulo: Pearson 
Education do Brasil, 2011.