GESTÃO DE INFRAESTRUTURA DE DATACENTER

Prévia do material em texto

Con�gurações avançadas de switches
Prof. João Francisco de Oliveira Antunes
Descrição
Aumento da banda disponível para os links de tronco, a segurança e a
análise de falhas aplicadas a switches e roteadores.
Propósito
Aplicar técnicas para aumentar a performance dos links de tronco, a
aplicação de mecanismos de segurança e a análise de falhas são
competências fundamentais no dia a dia de um analista de redes.
Preparação
Antes de iniciar seu estudo, é importante ter o software Packet Tracer
versão 8.1.0 ou superior.
Objetivos
Módulo 1
Agregação de links
Configurar agregação de portas (EtherChannel) nas portas de um
switch.
Módulo 2
Switch Port Analyzer (SPAN)
Configurar o espelhamento de portas SPAN (Switched Port Analyzer)
em um switch.
Módulo 3
Port-security
Aplicar segurança de portas (Port security) nas portas de um switch.
Módulo 4
Solução de problemas
Aplicar técnicas de análise de falhas em switches.
Introdução
Quando um engenheiro de redes trabalha em uma arquitetura
multicamadas baseada em VLANs, seu intuito precípuo é o de
prover redundância e largura de banda suficiente para os links de
tronco. Como esses requisitos constituem um aspecto crítico da
operação, ocorre por vezes a necessidade de troca do switch por
um de maior capacidade. A possibilidade de agregar várias
portas físicas em um canal lógico (EtherChannel) traz uma nova
perspectiva para os administradores de rede possibilitando a
escalada da rede e sobrevida das instalações.
Por outro lado, a preocupação com a segurança física e lógica da
rede é cada vez maior. Nesse contexto, as portas do switch
podem ser robustecidas com mecanismos como o port security
que protege a rede contra a conexão indevida de equipamentos e
o SPAN (Switched Port Analyzer), que possibilita inspecionar o
tráfego da rede. Essas são funcionalidades que todos os
administradores de redes precisam dominar.

A disponibilidade de uma rede passa também pela capacidade de
identificar, analisar e corrigir falhas. Dominar essas competências
é de fundamental importância para a gerência de um ambiente de
rede. Conhecer técnicas de “troubleshooting” constitui um
diferencial importante e permite a solução rápida de incidentes e
problemas aumentando a disponibilidade da rede.
1 - Agregação de links
Ao �nal deste módulo, você será capaz de con�gurar agregação de portas
(EtherChannel) nas portas de um switch.
Agregação de portas
Neste vídeo, apresentaremos a configuração da topologia que permite o
uso de agregação de links.
Redundância e largura de banda são preocupações constantes em uma
rede hierárquica. Há cenários onde necessitamos adicionar mais de
uma porta a um link de tronco sem que esta seja bloqueada pelo STP
(Spanning Tree Protocol). Essa tecnologia se chama EtherChannel, que
permite que vários links físicos sejam agregados em um único link
lógico, funcionando como se fosse uma única interface, porém, com a
largura de banda equivalente ao somatório dos links. A seguir, a imagem
apresenta o conceito do EtherChannel
EtherChannel.
Nela, podemos ver um EtherChannel ETCH_1 composto pelos links
físicos LF1 e LF2. Nessa configuração, as duas interfaces físicas do
switch operam como se fossem uma só, não sendo bloqueadas pelo
protocolo STP.
Uma vez que o EtherChannel tenha sido estabelecido, ações de
configuração podem ser feitas diretamente no canal, sendo difundidas
para as interfaces físicas. Além de redundância, esse tipo de
configuração oferece balanceamento de carga. Caso um link físico do
canal seja perdido, não há reconfiguração da topologia, pois o link lógico
continua ativo, mesmo com redução da banda.
Protocolos de negociação automática
Existem dois protocolos que possibilitam que portas com
características semelhantes em switches conectados diretamente
formem um canal lógico por meio de negociação dinâmica entre eles.
São eles:
Port Aggregation Protocol (PAgP).
Link Aggregation Control Protocol (LACP).
O canal lógico também pode ser estabelecido de forma estática por
configuração do administrador.
Port Aggregation Protocol (PAgP)
Port Aggregation Protocol (PAgP) é um protocolo proprietário da Cisco.
Quando configurado nas portas dos switches, esse protocolo auxilia na
criação automática de links EtherChannel por meio de pacotes PAgP
que são enviados entre as portas para negociar a formação de um
canal. Quando o PAgP identifica links correspondentes, ele os agrupa
formando um EtherChannel que é, então, adicionado ao spanning tree
como uma única porta.
Comentário
Além de atuar no estabelecimento do canal, o PAgP também atua no
seu gerenciamento. Pacotes PAgP são enviados a cada 30 segundos
para verificar seu funcionamento e gerenciar as adições e falhas do link
entre dois switches. É ele que assegura que quando um EtherChannel é
criado, todas as portas tenham suas configurações feitas de forma
consistente, como mesma velocidade, modo duplex (Half ou Full
Duplex) e VLANs.
O PAgP negocia o EtherChannel, detectando a configuração efetuada de
cada lado do link. Os modos para PAgP são apresentados a seguir.
Força a interface a estabelecer o canal de forma estática
(incondicional). As interfaces configuradas no modo ligado não
trocam pacotes PAgP.
Coloca uma interface em um estado de negociação ativo. A
interface inicia negociações com outras interfaces enviando
pacotes PAgP.
Coloca uma interface em um estado de negociação passiva. A
interface apenas responde aos pacotes PAgP que recebe, mas
nunca inicia a negociação.
Os modos devem ser compatíveis em ambos os lados, uma vez que
quando a interface é configurada no modo On, o protocolo de
negociação será desligado e o EtherChannel só será estabelecido se as
interfaces do outro lado também estiverem configuradas no modo On.
Da mesma forma, se as interfaces de ambos os lados estiverem no
modo PAgP auto, o canal também não será estabelecido, pois os dois
lados estarão no modo de negociação passivo aguardando um pacote
que nunca será enviado.
Link Aggregation Control Protocol (LACP)
Link Aggregation Control Protocol (LACP) é um protocolo especificado
pelo IEEE 802.3ad (atualmente IEEE 802.1AX), que possibilita a
negociação de canais lógicos, compatível com o PAgP da Cisco,
fornecendo os mesmos benefícios de negociação. Os modos para LACP
são apresentados a seguir.
On 
PAgP desirable (desejável) 
PAgP auto 
On 
Força a interface a estabelecer o canal de forma estática
(incondicional). As interfaces configuradas no modo ligado não
trocam pacotes LACP.
Coloca uma interface em um estado de negociação ativo. A
interface inicia negociações com outras interfaces enviando
pacotes LACP.
Coloca uma interface em um estado de negociação passiva. A
interface apenas responde aos pacotes LACP que recebe, mas
nunca inicia a negociação.
Como o protocolo LACP é um padrão IEEE, favorece a criação de
EtherChannels em ambientes de vários fornecedores. Nos dispositivos
Cisco, ambos os protocolos são suportados. Assim como ocorre com o
PAgP, os modos devem ser compatíveis nos dois lados para que se
forme o link de EtherChannel.
Con�gurando agregação de
links
Con�guração do Port Aggregation Protocol
(PAgP)
Acompanhe no vídeo o assunto que vamos estudar.
Para que o PAgP possa ser configurado, alguns requisitos devem ser
estabelecidos primeiramente.
Todas as interfaces devem suportar EtherChannel sem a
necessidade de que sejam fisicamente contíguas nem do mesmo
módulo.
PAgP ativo 
PAgP passivo 
Todas as interfaces devem estar configuradas para operar na
mesma velocidade e no mesmo modo duplex (Half ou Full Duplex).
Todas as interfaces do EtherChannel devem ser atribuídas à mesma
VLAN ou configuradas como um tronco.
O intervalo de VLANs permitidas deve ser o mesmo em todas as
interfaces que formam um EtherChannel.
Como exemplo, imagine o cenário apresentado na imagem a seguir.
Cenário de VLAN com agregação de portas.
Nele vemos três VLANs 20, 30 e 40 implementadas emdois switches
SWA e SWB, com um EtherChannel entre eles utilizando as interfaces
GigabitEthernet 0/1 e 0/2 de cada switch. Uma vez que todos os
requisitos preliminares tenham sido atendidos, a configuração do
EtherChannel pode ser realizada com as seguintes etapas:
Etapa 1
Selecione as interfaces que irão compor o grupo EtherChannel
executando o comando interface range < Range de Interfaces > no modo
de configuração global. Isso permite configurar várias interfaces
simultaneamente. Assim, para nosso exemplo, o comando seria:
TERMINAL 
Etapa 2
(config)# interface range g0/1-21
Crie a interface de canal com o channel-group < num_canal > mode <
modo > no modo de configuração de interface. Observe que o tipo de
protocolo a ser utilizado será definido pelo modo selecionado, sendo:
active / passive para LACP
auto / desirable para PAgP
on para criar o canal manualmente
Que para nosso exemplo seria:
TERMINAL 
Etapa 3
Em seguida, as configurações devem ser feitas na interface do canal
usando o comando interface port-channel < num_canal >. Cuja
implementação para nosso caso ficaria:
TERMINAL 
(config-if)# channel-group 1 mode active
(config-if)# exit
(config)#interface port-channel 1
(config-if)# switchport mode trunk
(config-if)# switchport trunk allowed vlan 20,30,40
(config-if)# switchport trunk native vlan 99
(config-if)# no shutdown
(config-if)# exit
1
2
1
2
3
4
5
6
Observação: a interface port-channel pode ser configurada no modo
access, trunk (mais comum) ou em uma porta roteada.
Para verificar se o port-channel foi configurado com sucesso, podemos
utilizar os seguintes comandos apresentados a seguir com suas
respectivas saídas:
Show interfaces port-channel
Exibe o status geral da interface do canal. No exemplo a seguir, o port-
channel 1 está ativo.
TERMINAL 
Show etherchannel summary
Apresenta as informações do canal port-channel 1, indicando o
protocolo utilizado (LACP), as portas que compõem o canal Gig0/1 e
Gig0/2 e seus status (P) - in port-channel.
TERMINAL 
Show etherchannel port-channel
SWA# show interfaces port-channel 1
Port-channel1 is up, line protocol is up (connected)
O hardware é EtherChannel, o endereço é c07b.bcc4.a9
MTU 1500 bytes, BW 200000 Kbit/sec, DLY 100 usec, 
reliability 255/255, txload 1/255, rxload 1/255
SWA# show etherchannel summary
Flags: D - down P - in port-channel
 I - stand-alone s - suspended
 H - Hot-standby (LACP only)
 R - Layer3 S - Layer2
 U - in use f - failed to allocate aggregator
 u - unsuitable for bundling
 w - waiting to be aggregated
 d - default port
 Number of channel-groups in use: 1
 Number of aggregators: 1
 Group Port-channel Protocol Ports
 ------+-------------+-----------+---------------
1
2
3
4
5
1
2
3
4
5
6
7
8
9
10
11
12
13
14
Exibe as informações sobre cada um dos port-channel existentes. No
exemplo, a interface Port Channel 1 consiste em duas interfaces físicas,
Gig0/1 e Gig0/2, utilizando LACP no modo Active.
TERMINAL 
Show interfaces etherchannel
Fornece informações sobre a função da interface no EtherChannel. A
interface G0/1, no exemplo, pertence ao port-channel 1, está ativa (UP) e
utilizando o protocolo LACP no modo Active (G0/1 SA).
TERMINAL 
Falta pouco para atingir seus objetivos.
Vamos praticar alguns conceitos?
SWA# show etherchannel port-channel
 Channel-group listing:
 ----------------------
Group: 1
----------
 Port-channels in the group:
 ---------------------------
Port-channel: Po1 (Primary Aggregator)
------------
Age of the Port-channel = 00d:00h:12m:55s
Logical slot/port = 2/1 Number of ports = 2
GC = 0x00000000 HotStandBy port = null
Port state = Port-channel
Protocol = LACP
SWA# show interfaces G0/1 etherchannel
Port state = Up Mstr Assoc In-Bndl
Channel group = 1 Mode = Active Gcchange = -
Port-channel = Po1 GC = - Pseudo port-channel = Po
Port index = 0 Load = 0x00 Protocol = LACP
Flags: S - Device is sending Slow LACPDUs F - Devi
 A - Device is in active mode. P - Device is i
Local information:
 LACP port Admin Oper Port 
Port Flags State Priority Key Number State
G0/1 SA bndl 32768 0x1 0x1 0x102 0x3D
Informações do parceiro:
 LACP port Admin Oper Port Port
Port Flags Priority Dev ID Age key Key Number Stat
1
2
3
4
5
6
7
8
9
10
11
12
13
14
1
2
3
4
5
6
7
8
9
10
11
12
13
14
Questão 1
Você está configurando um link EtherChannel, utilizando PAgP, entre
duas portas físicas em um switch. Qual instrução descreve o
resultado quando uma das portas físicas falha?
Parabéns! A alternativa A está correta.
Um EtherChannel é uma conexão lógica, assim, a perda de um link
físico no canal não altera a topologia e, logo, não é necessário um
novo cálculo de Spanning Tree. Quando uma das portas físicas do
EtherChannel falha, o link EtherChannel permanece funcional,
embora sua taxa de transferência diminua devido a um link perdido.
Questão 2
Você está configurando um link EtherChannel, utilizando LACP. O
port-channel do switch para esse canal está configurado no modo
Passivo (passive). Qual modo você deve configurar o port-channel
desse switch para que o EtherChannel seja estabelecido?
A
O canal continua transmitindo dados com largura de
banda reduzida.
B A ligação entre os switches falha.
C O protocolo STP irá determinar uma nova rota.
D
O canal para de transmitir dados até que seja
reiniciado.
E
Uma nova porta será adicionada automaticamente
ao canal.
A Auto.
B Passive.
C Active.
Parabéns! A alternativa C está correta.
No LACP, o comando channel-group mode passive habilita o port-
channel a estabelecer o Etherchannel somente se a porta receber
um pacote LACP de outro dispositivo. Logo, o switch que você está
configurando deve ser configurado com o comando channel-group
mode active.
2 - Switch Port Analyzer (SPAN)
Ao �nal deste módulo, você será capaz de con�gurar o espelhamento de
portas SPAN (Switched Port Analyzer) em um switch.
Espelhamento de portas
Muitas vezes,em uma rede, necessitamos utilizar um analisador de
protocolos ou agregar tecnologias de segurança como IDS/IPS. Para
isso, necessitamos capturar os pacotes que trafegam na rede. Porém, a
análise dos dados nem sempre é possível, pois os switches isolam o
tráfego, encaminhando os pacotes para uma porta específica associada
ao MAC de destino. Existem dois métodos comumente utilizados para
capturar o tráfego e enviá-lo para esses dispositivos: TAPs de rede e
espelhamento de portas.
Acompanhe no vídeo o assunto que vamos estudar.
D Desirable.
E Manual.
Test Access Point (TAPs) de rede
Um TAP (Test Access Point) de rede é um dispositivo de divisão passiva
(camada física) que faz uma cópia exata de todo o tráfego que flui entre
dois pontos da rede, encaminhando todo o tráfego, incluindo erros de
camada física, para o analisador ou IDS. A imagem, a seguir, apresenta
uma topologia de análise de tráfego utilizando TAP.
Topologia de análise de tráfego utilizando TAP.
Nela, podemos observar que o tráfego que flui entre o roteador de borda
e o firewall é duplicado pelo TAP e encaminhado ao dispositivo de
análise. Outra característica marcante do TAP é que, em caso de perda
de energia ou falha, o tráfego normal não é afetado.
Espelhamento de porta – SPAN
Switches por sua vez são projetados para segmentar o tráfego,
encaminhando os frames diretamente para as portas associadas ao
MAC de destino, limitando assim a quantidade de tráfego visível para
dispositivos de monitoramento de rede. Nesse contexto, o
espelhamento de portas deve ser utilizado. Ele permite que o switch
copie (espelhe) os quadros de uma ou mais portas para uma porta
SPAN (Switch Port Analyzer) conectada a um dispositivo de análise. A
imagem, a seguir, apresenta uma topologia de análise de tráfego
utilizando SPAN.
Topologia de análise de tráfego utilizando SPAN.
Nela, as portas de entrada e saída do fluxo (Fa0/1 e Fa0/2)de dados
são origem para o espelhamento (SPAN) e a porta conectada ao
analisador (G0/1) é o destino. A associação entre uma ou mais portas
de origem e uma ou mais portas de destino, dependendo do switch, é
chamada de sessão SPAN. Analogamente, uma VLAN pode ser
especificada, na qual todas as portas na VLAN se tornam origens de
tráfego SPAN, sendo que uma sessão SPAN pode ter portas ou VLANs
como origens, mas nunca as duas.
Con�guração de SPAN
Acompanhe no vídeo o assunto que vamos estudar.
Para nossa topologia proposta, a configuração do SPAN consiste do
seguinte:
O comando monitor session number source [interface interface |
vlan vlan], executado no modo de configuração global, cria uma
sessão SPAN e estabelece a origem, assim, o comando para definir
como origem SPAN a interface Fa0/2 conectada ao servidor seria:
(config)# monitor session 1 source interface FastEthernet 0/2
O comando monitor session number destination [interface interface
| vlan vlan], também executado no modo de configuração global,
estabelece o destino para aquela sessão criada, logo, o comando
para definir como destino SPAN a interface G0/1 conectada ao
dispositivo de análise seria:
(config)# monitor session 1 destination interface g0/1
Para verificar a configuração da sessão SPAN, utilize o comando
monitor section [number | all | local | range | remote], no modo EXEC
privilegiado, que no nosso exemplo ficaria:
TERMINAL 
#show monitor session 1
Session 1
---------
Type : Local Session
Description : -
Source Ports :
Both : Fa0/2
Destination Ports : Gig0/1
1
2
3
4
5
6
7
8
Uma variação de SPAN chamada Remote SPAN (RSPAN) pode ser usada
quando o analisador estiver em um switch diferente daquele onde o
tráfego está sendo monitorado, permitindo, por meio da flexibilidade de
VLANs, o monitoramento remoto de vários switches em toda a rede. O
tráfego para cada sessão RSPAN é transportado sobre uma VLAN
RSPAN especificada pelo administrador e dedicada à sessão SPAN em
todos os switches monitorados.
Con�gurando espelhamento
de porta
Neste vídeo, apresentaremos a configuração da topologia que permite o
uso de espelhamento de porta.
Falta pouco para atingir seus objetivos.
Vamos praticar alguns conceitos?
Questão 1
Muitas vezes, em uma rede, necessitamos utilizar um analisador de
protocolos ou IDS/IPS. Para isso, necessitamos capturar os pacotes
que trafegam na rede. Qual tecnologia de rede usa um dispositivo
de divisão passiva que encaminha todo o tráfego, incluindo erros de
Camada 1, para um dispositivo de análise?

A IDS
Encapsulation : Native
Ingress : Disabled
9
10
Parabéns! A alternativa D está correta.
TAPs (pontos de acesso de teste), conhecidos como TAPs de rede,
são dispositivos de hardware autônomos que fazem uma cópia
exata de todo o tráfego que flui entre dois pontos de extremidade
em uma rede, incluindo erros de camada física, para o analisador ou
IDS.
Questão 2
Switches são projetados para segmentar o tráfego, encaminhando
os frames diretamente para as portas associadas ao MAC de
destino. Isso inviabiliza o uso de TAPs. Qual mecanismo pode ser
usado para copiar pacotes que entram ou saem de uma porta do
switch e enviá-los para outra porta até um dispositivo de análise?
Parabéns! A alternativa B está correta.
B SPAN
C Port mirroring
D TAP
E IPS
A IDS
B SPAN
C TAP
D IPS
E SNMP
O espelhamento de portas permite que o switch copie (espelhe) os
quadros de em uma ou mais portas para uma porta SPAN (Switch
Port Analyzer) conectada a um dispositivo de análise.
3 - Port-security
Ao �nal deste módulo, você será capaz de aplicar segurança de portas
(Port-security) nas portas de um switch.
Segurança de portas
Neste vídeo, a partir de uma topologia que permita o emprego do
recurso port-security, apresentaremos a configuração dos
equipamentos.
A camada de enlace e seus dispositivos são muitas vezes esquecidos
quando falamos de segurança, porém relacionados a eles estão alguns
dos ataques mais fáceis de serem aplicados, como aqueles
relacionados à tabela MAC. Assim, é boa prática que as portas do
switch (interfaces) sejam protegidas antes que ele seja implantado em
produção.
Protegendo as portas não utilizadas
Um primeiro aspecto a ser considerado na segurança da camada 2
consiste em desativar todas as portas não utilizadas no switch. Desative
todas as portas não utilizadas, executando o comando shutdown em
cada porta ou em um range de portas. Por exemplo, considerando o
cenário apresentado na imagem “cenário de VLAN com agregação de
portas”, suponha que os switches SWA e SWB possuem 24 portas
Ethernet 10/100 dividido em três VLANs, conforme apresentado na
tabela a seguir.
VLAN Portas por VLAN
Portas utilizada
por VLAN
VLAN 20 Fa0/1 a Fa0/8 Fa0/1 a Fa0/4
VLAN 30 Fa0/9 a Fa0/16 Fa0/9 a Fa0/12
VLAN 40 Fa0/17 a Fa0/24 Fa0/17 a Fa0/21
Tabela: Distribuição das VLANs nos switches.
João Francisco Antunes.
Para desabilitar as portas não utilizadas, podemos usar as facilidades
do comando (config)# interface range type module/first-number – last-
number no modo de configuração global e em seguida executar o
comando shutdown no modo de configuração da interface. A seguir,
apresentamos os comandos para as portas não utilizadas associadas a
VLAN 20 do switch SWA.
TERMINAL 
Observe a saída do comando indicando a desativação das interfaces
TERMINAL 
sw2(config)#interface range fa0/5-8
sw2(config-if-range)#shutdown
%LINK-5-CHANGED: Interface FastEthernet0/5, changed 
%LINK-5-CHANGED: Interface FastEthernet0/6, changed 
%LINK-5-CHANGED: Interface FastEthernet0/7, changed 
%LINK-5-CHANGED: Interface FastEthernet0/8, changed 
1
2
3
1
2
3
4
Implementando Port-security
Acompanhe no vídeo o assunto que vamos estudar.
Uma das ameaças mais comuns associadas à camada 2 é o ataque de
inundação de endereços MAC, que visa sobrecarregar a tabela de
endereços MAC do switch com MACs falsos, obrigando-o a inundar os
frames unicast para todas as interfaces da rede, dando acesso aos
atacantes a todo o tráfego válido da rede.
A forma mais efetiva de mitigar essa ameaça é implementar o port-
security, que limita o número de endereços MAC válidos permitidos para
uma porta. Com ele, é possível configurar manualmente restrições ou
permitir que o switch aprenda por si só um determinado número de
endereços MAC de origem dos pacotes que entram na porta.
Após implementado em uma porta, o switch compara o MAC de origem
do pacote entrante com a tabela de MACs de origem do port-security.
Caso o MAC entrante seja diferente da tabela, a ação tomada dependerá
dos modos do port-security configurados.
Para implementação do port-security, o comando switchport port-
security deve ser executado no modo de configuração da interface ou
de um range de interfaces, porém o port-security só pode ser executado
5
em portas de acesso ou portas trunk configuradas manualmente. Essa é
uma característica importante dessa feature e que deve ser lembrada
durante um eventual processo de Troubleshooting. Assim, antes de
executar o comando switchport port-security, é necessário colocar as
interfaces no modo acesso ou trunk manualmente. Por exemplo, para
implementar o port-security nas interfaces ativas associadas a VLAN 20
do switch SWA, devem ser executados os seguintes comandos:
TERMINAL 
Para verificar as configurações de segurança de uma determinada
interface, execute o comando show port-security interface. Por
exemplo, para exibir as configurações de segurança da porta do Fa0/1,
execute o comando conforme apresentado a seguir.
TERMINAL 
Observe, nesse momento apenas, que a segurança da porta está
ativada.
Atenção!
SWA(config)# interface range fa0/1-4
SWA(config-if-range)# switchport mode access
SWA(config-if-range)# switchport port-security
SWA(config-if-range)# exit
sw2# show port-security interface fa0/1
Port Security : Enabled
Port Status : Secure-up
Violation Mode: Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 0
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0000.0000.0000:0
Security Violation Count : 0
1
2
3
4
5
1
2
3
4
5
6
7
8
9
10
11
12
13
14
Se uma porta está configurada como segura por meio do comando
switchport port-security e mais de um dispositivo estiver conectado
àquela porta, por exemplo, se esta porta estiver conectada a um HUB, a
porta passará para o estado desabilitada por erro (error-disabled).
Observe que o máximo de MAC Addresses permitido para essa
configuração em particular é de apenas um único host.
Con�gurações adicionais do
port-security
Acompanhe no vídeo o assunto que vamos estudar.
Uma vez que o port-security esteja habilitado, outras especificações de
segurança podem ser configuradas. São elas:
Número máximo de Endereços MAC
Para definir o número máximo de endereços MAC permitidos em uma
porta, use o seguinte comando: switchport port-security maximum <
value > no modo de configuração da interface. O valor padrão para esse
parâmetro é 1 e o número máximo de endereços MAC é 8192.
Endereços MAC
O switch pode ser configurado manualmente com os endereços MAC de
origem por meio do comando: switchport port-security mac-address <
mac-address > executado no modo de configuração da interface, ou
pode ser configurado para aprender dinamicamente os endereços MAC
de origem até o valor máximo de endereços configurado para a porta e
armazená-los na configuração em execução utilizando o comando:
switchport port-security mac-address sticky também no modo de
configuração da interface.
Atenção!
O comando switchport port-security por padrão configura o switch para
aprender os endereços MAC de origem até o limite de endereços
estabelecido, mas não os registra na configuração corrente do switch.
Logo, se este for reiniciado, aprenderá novos endereços.
Vencimento (Aging)
É possível definir um prazo de validade para os endereços MAC
registrados na tabela de endereços de origem (endereços seguros)
definido tanto estática como dinamicamente pelo comando: switchport
port-security aging { static | time < time > | tipo {absolute | inactivity}}.
Os parâmetros para esse comando são descritos a seguir:
Habilita o vencimento para endereços MAC configurados
estaticamente nessa porta.
Especifica o tempo em minutos (0 a 1440) para o vencimento
dos endereços MAC configurados nessa porta. Tempo 0 indica
que o vencimento está desativado para essa porta.
Define que todos os endereços MAC configurados nessa porta
expiram após o tempo especificado e são removidos da lista de
endereços seguros.
Define que os endereços MAC configurados nessa porta expiram
somente se não houver tráfego de dados desses MACs pelo
período especificado.
Por exemplo, tomando como base o cenário da imagem “cenário de
VLAN com agregação de portas”, para especificar para a interface Fa0/1
um número máximo de 2 MAC, sendo o MAC 000A.4101.2298 (Estação
de trabalho RH2) estabelecido estaticamente e o outro endereço MAC
possível aprendido dinamicamente e armazenado na configuração
corrente, com vencimento de 12 horas, caso não haja tráfego
proveniente do mesmo, devemos utilizar os seguintes comandos.
TERMINAL 
static 
time < time > 
type absolute 
type inactivity 
SWA(config-if)# switchport port-security maximum 2
SWA(config-if)# switchport port-security mac-address
SWA(config-if)# switchport port-security aging time 
SWA(config-if)# switchport port-security aging type 
1
2
3
4
5
Para verificar as configurações de segurança da porta do Fa0/1,
executamos o comando show port-security interface, cuja saída
apresentamos a seguir.
TERMINAL 
Observe os parâmetros aplicados e atente para o fato de que a saída
Maximum MAC Addresses nos informa que o número máximo de MACs
permitidos é dois, sendo que um já está configurado (MAC do PC RH2),
restando apenas 1 MAC para completar.
Modos de violação do port-
security
Acompanhe no vídeo o assunto que vamos estudar.
SWA# show port-security interface fa0/1
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 720 mins
Aging Type : inactivity
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 2
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0000.0000.0000:0
Security Violation Count : 0
1
2
3
4
5
6
7
8
9
10
11
12
13
14
Caso um endereço MAC de origem diferente daqueles especificados na
tabela de endereços seguros chegue à porta segura e o número máximo
permitido já tiver sido alcançado, haverá uma violação na porta. O
switch tomará uma ação conforme o modo de violação definido para a
porta. Os modos de violação são apresentados a seguir:
A interface é imediatamente desabilitada por erro, o LED da
porta é desativado e uma mensagem é enviada ao syslog e o
contador de violação é incrementado. Para reabilitar a porta, o
administrador deve inserir os comandos shutdown e no
shutdown.
A porta descarta pacotes com endereços de origem MAC
desconhecidos até que sejam removidos endereços da tabela ou
o valor máximo seja aumentado. Uma mensagem é enviada ao
syslog e o contador de violação é incrementado.
A porta descarta pacotes com endereços de origem MAC
desconhecidos até que sejam removidos endereços da tabela ou
o valor máximo seja aumentado, porém nenhuma mensagem é
enviada ao syslog e o contador de violação não é incrementado.
Para configurar o modo de violação em uma porta, execute o comando
switchport port-security violation { protect | restrict | shutdown} no
modo de configuração da interface. Por exemplo, para configurar a
interface Fa0/1 do SWA do cenário proposto na imagem “cenário de
VLAN com agregação de portas”, execute o seguinte comando:
TERMINAL 
shutdown (default) 
restrict 
protect 
SWA(config-if)# switchport port-security violation r1
Em seguida, execute o comando show port-security interface para
verificar as configurações de segurança da interface, cuja saída
apresentamos a seguir.
TERMINAL 
Observe que o modo de violação mudou de Shutdown para Restrict.
Nessa condição, caso haja uma violação, a porta descarta pacotes com
endereços de origem MAC desconhecidos até que sejam removidos
endereços da tabela ou o valor máximo seja aumentado. Uma
mensagem é enviada ao syslog e o contador de violação é
incrementado.
Além do status de segurança de uma porta específica, podemos
verificar o status global de segurança das portas com o comando show
port-security, cuja saída para o switch SWA do nosso cenário
apresentamos a seguir.
TERMINAL 
SWA# show port-security interface fa0/1
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Restrict
Aging Time : 720 mins
Aging Type : inactivity
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 2
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0000.0000.0000:0
Security Violation Count : 0
SWA#show port-security
Secure Port MaxSecureAdd CurrentAddr Secur
 (Count) (Count) (Coun
----------------------------------------------------
Fa0/1 2 1 0 
Fa0/2 1 0 0 
Fa0/3 1 0 0 
Fa0/4 1 0 0 
----------------------------------------------------
1
2
3
4
5
6
7
8
9
10
11
12
13
14
1
2
3
4
5
6
7
8
9
Podemos verificar as portas configuradas com port-security, seus
contadores e as ações do modo de violação para cada uma delas.
Também podemosver todos os endereços MAC seguros configurados
manualmente ou aprendidos dinamicamente em todas as interfaces de
switch por meio da execução do comando show port-security address
no modo EXEC privilegiado, cuja saída apresentamos a seguir.
TERMINAL 
Aqui podemos verificar os endereços MAC configurados ou aprendidos,
além de qual interface e VLAN está associado.
Falta pouco para atingir seus objetivos.
Vamos praticar alguns conceitos?
Questão 1
Qual seria o melhor plano de mitigação para evitar um ataque DoS
pelo estouro da tabela de endereços MAC de um switch?
A Desabilitar o DTP.
B Desabilitar o STP.
C Habilitar o port-security.
sw2#show port-security address
 Secure Mac Address Tabl
---------------------------------------------------
Vlan Mac Address Type 
 
---- ----------- ---- 
20 000A.4101.2298 SecureConfigured
---------------------------------------------------
Total Addresses in System (excluding one mac per po
Max Addresses limit in System (excluding one mac pe
 
1
2
3
4
5
6
7
8
9
10
11
12
Parabéns! A alternativa C está correta.
Como o port-security limita os endereços MAC de origem que
podem acessar uma determinada porta, essa é a forma mais efetiva
de mitigar essa ameaça pelo estouro da tabela de endereços MAC.
Questão 2
Você está configurando a segurança da porta em um switch Cisco.
A política de segurança da empresa determina que, quando ocorrer
uma violação, os pacotes com endereços de origem desconhecidos
devem ser descartados, porém, nenhuma notificação deve ser
enviada. Qual modo de violação deve ser configurado nas
interfaces?
Parabéns! A alternativa C está correta.
Em um switch Cisco, uma interface pode ser configurada para um
dos três modos de violação, protect, restrict e shutdown. No modo
protect, os pacotes com endereços de origem desconhecidos são
descartados até que sejam removidos endereços da tabela ou o
valor máximo seja aumentado, porém nenhuma mensagem é
enviada ao syslog e o contador de violação não é incrementado. No
modo restrict, os pacotes com endereços de origem desconhecidos
são descartados até que sejam removidos endereços da tabela ou
o valor máximo seja aumentado, porém uma mensagem é enviada
ao syslog e o contador de violação é incrementado. Já no modo
D
Desabilitar as portas físicas não utilizadas do
switch.
E Desabilitar as SVIs não utilizadas das VLANs.
A Off
B Restrict
C Protect
D Shutdown
E Disable
shutdown, a interface é imediatamente desabilitada por erro e o
LED da porta é desligado.
4 - Solução de problemas
Ao �nal deste módulo, você será capaz de aplicar técnicas de análise de
falhas em switches.
Troubleshooting
Neste vídeo, apresentaremos a realização do diagnóstico de problemas
fim a fim e sua solução.
Resolver problemas na rede, também conhecido como Troubleshooting,
não é mágica, nem sorte. Além de experiência, é necessária uma boa
documentação, um bom conjunto de ferramentas e uma metodologia de
análise e solução de problemas para garantir uma boa disponibilidade e
confiabilidade da rede.
Documentação da rede (gerenciamento da
con�guração)
A documentação da rede faz parte do gerenciamento da configuração e
é um dos processos fundamentais da gerência de rede segundo a ISO e
também na abordagem do Information Technology Infrastructure
Library - ITIL®. Um bom conjunto básico da documentação da rede
inclui:
Diagramas de topologia física e lógica de rede.
Um inventário dos dispositivos de rede que registra todas as
informações pertinentes a eles.
O registro da linha de base do desempenho da rede.
Diagrama de topologia física
A topologia da rede física mostra o layout físico dos dispositivos
conectados, conforme apresentado na imagem a seguir.
Diagrama de topologia física.
Nela, podemos ver identificados como os dispositivos estão fisicamente
conectados e sua localização na infraestrutura do lugar, sendo que as
informações normalmente apresentadas na topologia física incluem
pelo menos:
Nome do dispositivo.
Localização do dispositivo (endereço, andar, número da sala,
localização do rack).
Interface e portas usadas.
Tipo de cabo.
Diagrama de topologia lógica
A topologia de rede lógica ilustra como os dispositivos são conectados
logicamente à rede e normalmente dizem respeito a como os dados são
transferidos pela rede, seus fluxos e conexões, conforme apresentado
na imagem a seguir.
Diagrama de topologia lógica.
Nela, podemos ver que são utilizadas figuras para representar
componentes de rede, como roteadores, switches, servidores e hosts e
as conexões lógicas entre eles. As principais informações apresentadas
em uma topologia lógica podem incluir o seguinte:
Nome do dispositivo.
Endereços IP.
Identificadores de interface.
Velocidades dos links, modos duplex.
VLANs, troncos, EtherChannels etc.
Gateway padrão e rotas.
Inventário
Para que possamos solucionar problemas de forma efetiva, é
fundamental ter informações sobre os dispositivos da rede, incluindo
hardware e software, e a base para isso é um bom inventário. É por meio
dele que vamos conhecer todos os itens, suas configurações e
características, sendo que cada dispositivo terá o seu próprio conjunto
de dados. Sistemas modernos de gestão da infraestrutura de TI
possuem uma Base de Dados de Configuração (CMDB, em inglês).
Porém, até uma simples tabela pode resolver essa questão. Na tabela a
seguir, há um exemplo de informações que podem ser registradas
switches, para solução de problemas de redes.
Dispositivo Fabricante Modelo Descrição
SWL3 Cisco
Catalyst
3550
Switch L3
Porta Descrição Acesso/Tronco VLAN
Dispositivo Fabricante Modelo Descrição
G0/1 Link SW2 Tronco
20,
30.40,50
G1/1 Link SW3 Tronco
20,
30.40,50
G2/1 Link RS Tronco
20,
30.40,50
Tabela: Tabela de informações Dispositivo - Switch.
João Francisco Antunes.
Linha de base (Baseline)
Acompanhe no vídeo o assunto que vamos estudar.
As redes são como as estradas, é através delas que a informação
trafega. Assim como as estradas, ela pode apresentar problemas que
podem ocasionar redução no fluxo de dados ou mesmo perda total ou
parcial da informação. Algumas aplicações são sensíveis ao erro e
outras ao tempo (jitter ou variação de atraso).
O objetivo do monitoramento de rede é observar o desempenho da rede.
É por meio da análise dos dados que podemos avaliar a qualidade de
nossa rede, resolver problemas e prever melhorias. Mas, para que
possamos fazer essa análise, é preciso um padrão de comparação, uma
linha de base predefinida, que deve ser usada para estabelecer o
desempenho normal em condições normais. Alguns aspectos do
funcionamento da rede que podem ser observados pela linha de base
são:
Qual o desempenho geral da rede em operação normal?
Se ocorrem e onde ocorrem erros?
Onde e em que horários o tráfego da rede é mais intenso e onde a
rede é menos utilizada?
Quais dispositivos devem ser monitorados e quais limites de alerta
devem ser definidos?
Estabelecer a baseline inicial permite que se determine a diferença entre
este e o comportamento corrente, conforme a rede cresce ou os
padrões de tráfego mudam, caso contrário, não existiria nenhuma base
para medir os níveis de tráfego de rede e de congestionamento. Além
disso, também pode revelar áreas na rede que são subutilizadas, as
mais congestionadas, direcionando os esforços de redesenho da rede,
com base em observações de qualidade e capacidade.
Para determinar a linha de base de desempenho da rede, devemos
proceder à coleta de dados de desempenho das portas e dispositivos
que são essenciais para a operação da rede. Porém, antes de
efetivamente coletar os dados, alguns aspectos devem ser observados:
Identi�car quais dados serão coletados
A definição de quais dados coletar é muito importante, pois a seleção de
muitas variáveis pode acarretarum volume de dados que tornará a
análise inicial dos dados inviável. Por isso, recomenda-se começar com
poucas variáveis e acrescentar mais ao longo do tempo. Um bom
conjunto de variáveis iniciais pode incluir a utilização das interfaces,
memória e CPU.
Identi�car que dispositivos e portas serão
selecionados
Use a topologia da rede para identificar os dispositivos e portas onde os
dados devem ser coletados. A imagem a seguir apresenta algumas
portas de interesse assinaladas, com base na topologia lógica proposta
na imagem “Topologia de análise de tráfego utilizando TAP”.
Dispositivos e portas de interesse para coleta de dados.
Dispositivos e portas de interesse incluem:
Links de Tronco;
EtherChannels;
Servidores; e
Interfaces externas (WAN/Internet).
Determinar a duração da linha de base
O período de tempo que as informações serão coletadas deve ser longo
o suficiente para traçar uma imagem do funcionamento "normal" da
rede, e também para determinar tendências do tráfego de rede. Dessa
forma, além da monitoração diária do tráfego, são aconselháveis visões
mais longas como semanal ou mensal, conforme mostrado na imagem
a seguir.
Duração da baseline para tráfego de rede.
Duração da baseline para tráfego de rede.
Duração da baseline para tráfego de rede.
Duração da baseline para tráfego de rede.
Existem ferramentas de monitoramento de rede como o NetFlow da
Cisco ou baseadas nos protocolos SNMP, proprietárias ou de código
aberto que ajudam muito e, em alguns casos, são essenciais nesse
processo. Porém, comandos de documentação de rede simples podem
ser muito úteis que incluem comandos como ping, traceroute e telnet,
assim como show. Veja, a seguir alguns, comandos mais comuns do
Cisco IOS usados para coleta de dados.
 Show version
Exibe informações de tempo de atividade e versão
do software e hardware do dispositivo.
 Show [ip | ipv6] interface [brief]
Exibe todas as opções de configuração definidas
em uma interface. Use [brief] para exibir somente
se a interface está ativa ou não Up/Down e o
endereço IP de cada interface.
 Show interfaces [tipo num]
Exibe saída detalhada para cada interface. Para
exibir a saída detalhada para apenas uma única
interface, inclua o tipo de interface e número no
comando (por exemplo, Gigabit Ethernet 0/0/0).
 Show [ip | ipv6] route [static | eigrp
| ospf]
Exibe a listagem de conteúdo da tabela de
roteamento do dispositivo. Acrescentar static, eigrp
f ibi ti d t
ou ospf para exibir apenas esse tipo de rota.
 Show cdp neighbors detail
Exibe informações detalhadas sobre os dispositivos
vizinhos diretamente conectados.
 Show arp e show ipv6 neighbors
Exibe o conteúdo da tabela ARP (IPv4) e da tabela
de vizinhança (IPv6).
 Show running-con�g
Exibe a configuração atual do dispositivo.
 Show vlan
Exibe o status das VLANs em um switch.
 Show port
Exibe o status das portas em um switch.
 Show tech-support
Coletar informações sobre o dispositivo para fins
de solução de problemas. Ele executa vários
comandos show e os dados podem ser fornecidos
para o suporte técnico ao relatar um problema.
Metodologia de solução de
problemas
Neste vídeo, vamos explorar uma metodologia específica para solução
de problemas em ambientes de rede de computadores. Aprenderemos
técnicas para identificar e diagnosticar problemas de conectividade,
desempenho e segurança.
Um problema não se resolverá sozinho nem por mágica, é preciso que
se tenha uma abordagem para atacá-lo, que deve ser guiada por
métodos estruturados.
Isso requer procedimentos de solução de problemas bem definidos e
documentados para minimizar o tempo perdido associado à solução
de problemas erráticos de acertos e falhas, isto é, uma metodologia
para efetuar o diagnóstico e determinar a sua solução. Esse
processo é normalmente conhecido pelo termo "troubleshooting".
Existem várias metodologias para solução de problemas que podem
ser aplicadas em quase todas as áreas do conhecimento humano.
Quando estamos solucionando um ambiente de rede, uma abordagem
sistêmica pode apresentar um melhor resultado. Definir os sintomas
específicos, identificar todos os aspectos potenciais que possam estar
causando os sintomas e eliminar sistematicamente cada uma das
hipóteses em potencial (do mais provável ao menos provável) até os
sintomas desaparecerem. A imagem, a seguir, apresenta
detalhadamente o fluxograma do processo de solução de problemas,
que pode ser adaptada para solução de qualquer problema específico
em TI.
Fluxograma para solução de problemas.
A seguir, descrevemos brevemente cada uma dessas etapas.
De�nir o problema
Faça uma descrição clara do problema, para uma análise
adequada, procure identificar os sintomas gerais. Eles podem
aparecer de várias formas diferentes, incluindo alertas do
sistema de gerenciamento de rede, mensagens do console e
reclamações de usuários etc.
Coletar informações
Reúna as informações que você precisa para ajudar a isolar
possíveis causas, entreviste os usuários afetados,
administradores de rede, gerentes e outras pessoas que
considere importantes nessa questão, os alvos (ou seja, hosts,
dispositivos) a serem investigados devem ser determinados e o
acesso aos mesmos deve ser obtido, procure identificar se
houve alguma mudança efetuada na rede ou em serviços.
Mudanças mal planejadas são estatisticamente grandes
responsáveis por problemas.
Analisar informações
Ao analisar informações, determine possíveis causas que
possam resultar nos sintomas observados. Por exemplo, um
determinado serviço pode não estar respondendo a
solicitações dos clientes (sintoma). Possíveis causas podem
incluir um host configurado incorretamente, placas de interface
ruins, um cabo desconectado ou partido ou falta de
configuração de um roteador. Faça essa análise usando a
documentação de rede e as linhas de base, procure utilizar
também busca de bases de conhecimento organizacionais,
pesquisa na Internet e conversa com outros técnicos.
Eliminar possíveis causas
Quando para os sintomas observados existirem várias causas
possíveis, procure então reduzir a lista eliminando
progressivamente possíveis causas procurando por aquelas
mais prováveis. A experiência de solução de problemas é
extremamente valiosa para eliminar rapidamente as causas e
identificar a causa mais provável. Dependendo dos dados, você
pode, por exemplo, no caso de um serviço que não responde,
mas cujo host responde ao comando PING, eliminar o
rompimento de um cabo como uma causa.
Propor hipóteses
Formule possíveis hipóteses com base na análise das
informações e possíveis causas do problema da sua lista, para
que você possa se concentrar nas hipóteses a respeito das
causas mais prováveis. Em todas as oportunidades, tente
restringir o número de possíveis causas para que você possa
criar um plano de ação eficiente.
Testar as hipóteses
Antes de testar as hipóteses, avalie o que sua ação pode
causar em outros sistemas com base na gravidade, urgência e
o impacto. Às vezes, é possível criar uma solução alternativa
até que o problema seja definitivamente resolvido. Em seguida,
execute cada etapa com cuidado, testando cada hipótese
planejada, anotando o resultado, e verificando se o sintoma
desaparece. Faça testes complementares para ter certeza de
que isolou uma única causa para o problema. Crie um plano de
retorno para reverter rapidamente a solução em caso de falha.
Se o problema não tiver sido resolvido, você deve elaborar
novas hipóteses e definir um novo plano de ação. Obtenha
novas informações mais detalhadas e reinicie o processo até
que o problema seja resolvido.
Documentar o problema
Caso o problema tenha sido resolvido, documente a solução no
catálogo de problemas, efetue atualização de possíveis
mudanças de configuração no banco de dados de configuração
CMDB e encerre o problema.
Ferramentas de solução de
problemas
Neste vídeo, vamos explorar diversas ferramentas essenciais para
solução deproblemas em ambientes de rede de computadores.
Aprenderemos sobre softwares de monitoramento, diagnóstico de
conectividade, análise de tráfego e segurança da rede.
Ferramentas são fundamentais para qualquer profissão. O que seria um
mecânico sem suas chaves, ou um eletricista sem seus instrumentos?
Na solução de problemas de redes não é diferente. Para coletar,
diagnosticar e resolver problemas, necessitamos delas, desde as mais
simples às mais complexas. Nossas ferramentas são a extensão de nós
mesmos e escolher boas ferramentas é dar um grande passo para
eficácia e eficiência profissional. Aqui, vamos conhecer algumas dessas
ferramentas.
Sistemas de gerenciamento de rede
Sistemas de gerenciamento de redes (NMS – Network Management
System) são uma coleção de ferramentas integradas, baseadas
principalmente no protocolo SNMP, desenvolvidas com o objetivo de
monitorar, analisar e prover mecanismos para a detecção e correção de
problemas na rede de forma reativa ou proativa.
Há uma variedade de ferramentas tanto proprietárias como de código
aberto disponíveis, entre elas, podemos citar o Cacti, o Zabbix e o
Nagios. Apresentam geralmente uma interface gráfica que possibilita a
execução de forma amigável das operações de gerenciamento. Por
estarem associadas a sistemas de gerenciamento de banco de dados
SGBD, permitem o armazenamento de dados, o que possibilita a
apresentação na forma de gráficos da evolução dos parâmetros da rede.
Bases de conhecimento
As bases de conhecimento on-line tornaram-se fontes indispensáveis de
informação, elas podem ser mantidas pelos fabricantes ou pela
comunidade de usuários ou profissionais. Quando combinadas com os
mecanismos de busca da Internet, temos acesso a um vasto conjunto
de informações baseadas na experiência de uma infinidade de
profissionais.
Analisadores de protocolo
Analisadores de protocolo permitem investigar o conteúdo dos pacotes
(PDUs) que trafegam pela rede, possibilitando analisar as várias
camadas de uma pilha de protocolos e apresentando essas
informações em um formato relativamente fácil de usar. A imagem, a
seguir, apresenta uma captura de tela do analisador de protocolo
Wireshark. Nela, além da tela de captura, vemos a tela com os detalhes
de um dos pacotes capturados.
Tela de captura analisada de protocolo Wireshark.
Ferramentas simples de diagnóstico
São utilitários dos sistemas operacionais que podem ser utilizados no
diagnóstico de problemas de conectividade, roteamento e de atraso
(retardo) ou de configuração da rede, mas também fornecem
informações como o estado de um link (Ativado ou Desativado –
Up/Down); dentre elas, podemos destacar o PING e TRACEROUTE, entre
outras.
Ferramentas de Log
Registros de log são uma ferramenta fundamental de coleta de
informação, análise e resolução de problemas. Em geral, todos os
dispositivos de rede podem registrar informações referentes a
alterações de configuração, violações, status e muitos outros tipos de
eventos. Os dispositivos da Cisco podem enviar mensagens de log com
base em vários eventos e podem ser enviadas tanto para o console,
onde são ativadas por padrão, como configuradas para serem enviadas
ao terminal. Essas mensagens só podem ser visualizadas por alguém
conectado ao console ou via terminal respectivamente. Além disso,
podem ser armazenadas em buffer na memória (Buffered logging) do
dispositivo ou através de Traps SNMP e Syslog.
O Syslog é um padrão criado pela IETF através da RFC 5424 para a
transmissão de mensagens de log para o conjunto de protocolos
DoD-TCP/IP. O padrão determina a existência de clientes e
servidores Syslog que se comunicam através do protocolo UDP 514
ou TCP 6514 para implementações utilizando TLS.
Cada mensagem tem um indicador de nível de gravidade, sendo estes
descritos na tabela a seguir. Os valores de gravidade devem estar no
intervalo de 0 a 7, inclusive, onde os menores valores indicam maior
gravidade.
Nível Descrição
0
Emergência: o sistema
está inutilizável
1
Alerta: ação deve ser
tomada imediatamente 
2
Crítico: condições
críticas
3 Erro: condições de erro
4
Aviso: condições de
aviso
5
Aviso: condição normal,
mas significativa
6
Informativo: mensagens
informativas
7
Depuração: mensagens
no nível de depuração
Tabela: Níveis de gravidade para mensagens Syslog
RFC 5424, DATATRACKER, 2009.
Os roteadores e switches da Cisco podem encaminhar mensagens
syslog para um serviço externo residindo em servidores ou estações de
trabalho, inclusive em sistemas baseados em Microsoft Windows e
Linux. A capacidade de centralizar logs em um Servidor syslog é muito
útil na identificação e solução de problemas. Entretanto, isso pode
acarretar em um volume de dados muito além da capacidade de
armazenamento e de difícil análise. O comando logging trap < nível_de
_gravidade > limita as mensagens registradas no servidor syslog,
registrando apenas as mensagens iguais ou numericamente inferiores
ao nível especificado. Os comandos a seguir configuram um dispositivo
para enviar mensagens para um servidor syslog com endereço
192.168.100.100 e nível de gravidade 5.
""
TERMINAL 
Ferramentas de solução de problemas de
hardware
Muitas vezes, necessitamos investigar problemas no hardware dos
dispositivos ou até mesmo nos cabos. Para isso, precisamos de
ferramentas apropriadas.
Dentre elas, podemos listar os multímetros digitais
usados para medir diretamente valores de tensão,
corrente e resistência, os testadores de cabo que são
usados para detectar fios partidos, conexão cruzada,
fora dos padrões de extensão e conexões combinadas
de forma inadequada.
Outros mais complexos, como os TDRs – reflectômetros de domínio do
tempo – podem determinar a distância para uma quebra no cabo. Esses
dispositivos enviam sinais ao longo do cabo e esperam até que eles
sejam refletidos, determinando pelo tempo desde a saída até o retorno
do sinal a distância. A variação desses equipamentos para fibra ótica
são chamados de OTDRs – reflectômetros ópticos no domínio do
tempo.
SWL3(config)#logging host
SWL3(config)#logging host 192.168.100.100
SWL3(config)#logging trap 5
SWL3(config)#logging on
SWL3(config)#exit
1
2
3
4
5
6
Problemas e causas comuns
de problemas de rede
Neste vídeo, vamos explorar os problemas mais comuns que podem
afetar ambientes de rede de computadores. Aprenderemos a identificar
e diagnosticar questões relacionadas à conectividade, desempenho,
segurança e configurações inadequadas. Discutiremos as causas raiz
por trás desses problemas e apresentaremos soluções práticas para
resolvê-los. Prepare-se para aprimorar suas habilidades na
administração de redes e garantir o pleno funcionamento e segurança
do ambiente de TI.
Os sintomas de um problema são como percebemos a existência do
problema. Sintomas típicos de problemas podem estar relacionados ao
desempenho da rede, isto é, existe uma diferença entre o
comportamento esperado – linha de base e o comportamento
observado– ou um segmento da rede não está funcionando mesmo, ou,
ainda, um determinado serviço aparece indisponível.
Assim como o funcionamento da rede, os problemas também podem
ser organizados com base nos modelos OSI ou DoD-TCP/IP. A seguir,
apresentamos uma relação de problemas distribuídos por cada camada
do modelo DoD-TCP/IP.
 Camada física
Cabo rompido ou danificado, conector defeituoso
ou mal instalado, descasamento de modo e/ou
velocidade de operação, equipamento de
interconexão (switches ou roteadores) defeituosos,
placa de rede ou porta de equipamento de
interconexão defeituoso, interferência no cabo,
saturação de banda em segmentos Ethernet
compartilhados, tipo errado de cabo e violação de
regras de cabeamento Ethernet.
 Camada de enlace
Interface desabilitada, problema com árvore de
cobertura, saturação de recursos devido a excesso
d d d dif ã t d lh i t
Há várias abordagens estruturadas de solução de problemas, cada uma
delas tem suas vantagens e desvantagens,qual usar vai depender da
situação. A seguir, apresentamos algumas dessas abordagens.
de quadros de difusão, tempo de envelhecimento
de tabelas de endereços inadequado e validade da
cache ARP inadequada.
 Camada de rede
Tabela de rotas de hospedeiros incorretas,
endereço IP de hospedeiro incorreto, hospedeiro
com máscara de rede incorreta, cliente DNS mal
configurado, servidor DHCP mal configurado, rotas
estáticas mal configuradas, equipamento inserido
em VLAN incorreta, VLANs não estão configuradas
e computadores não conseguem trocar
informações sobre VLANs entre si.
 Transporte
Serviço não habilitado ou não iniciado
automaticamente, serviços alocados em portas não
padronizadas, portas configuradas erradamente no
cliente e firewall bloqueando as portas do serviço.
 Aplicação
O serviço de nomes não está habilitado; DNS:
descasamento de registros A e PTR em arquivos de
zonas; inconsistência entre registros dos servidores
DNS primário e secundários; o TTL default de uma
zona DNS não está configurado; DNS: TTL e outros
campos do registro SOA com valores inadequados;
falta “.” após nomes totalmente qualificados em
registros DNS; filtro IP barrando tráfego DNS e
servidor de correio eletrônico com repasse
totalmente aberto.
Bottom-up (de baixo para cima) 
Nessa abordagem, você começa testando as hipóteses
relacionadas com a camada física da rede e sobe pelas camadas
do modelo OSI até que a causa do problema seja identificada.
Deve ser utilizada quando as hipóteses mais prováveis indicam
problemas nas camadas inferiores do modelo OSI.
Ao contrário da primeira, nessa abordagem, iniciamos testando
as hipóteses relacionadas com as camadas superiores, isto é, os
aplicativos cliente e servidores e descemos as camadas até que
a causa do problema seja identificada.
Nessa abordagem, um problema grande pode ser dividido em
problemas menores cujas hipóteses podem ser testadas em
conjunto. Por exemplo, um problema de desempenho de uma
aplicação pode ser dividido em problemas de desempenho do
servidor, da rede e do cliente, e cada um deles ser atacado de
forma independente.
Normalmente utilizado em problemas de conectividade, aqui
mapeia-se o caminho do tráfego entre origem e destino e
identificando links e dispositivos, e aplica-se às hipóteses para
cada elemento, desde a origem até o destino ou do destino até a
origem.
Identi�cação e solução de
problemas de conectividade
�m a �m
O diagnóstico e a solução de problemas são habilidades essenciais para
os analistas de rede, que requerem, além de prática, boas ferramentas.
Experiência e uma abordagem estruturada ajudam a reduzir o tempo
necessário. Mas, lembre-se de que não existe uma receita única a ser
aplicada. Aqui, vamos utilizar algumas abordagens e ferramentas para
Top-down (de cima para baixo) 
Dividir para conquistar 
Seguir o caminho (ou a trilha) 
diagnosticar e também resolver problemas comuns de conectividade
entre dois pontos da rede. Tome como base a topologia apresentada na
imagem a seguir.
Topologia para solução de problemas de conectividade fim a fim.
Nela, podemos imaginar que o PC RH3 não consegue acessar o servidor
SRV1. Para esse problema, vamos utilizar as abordagens Bottom-up
associada à abordagem Seguir o caminho, pois vamos investigar o
caminho do fluxo testando das camadas inferiores do modelo OSI.
Inicialmente, necessitamos confirmar o sintoma de falta de
conectividade e mapear o caminho entre a origem e o destino,
identificando o setor da rede a partir do qual a conectividade se
interrompe. Para isso, podemos utilizar os comandos ping e traceroute
(tracert para Windows). Procure identificar se o problema ocorre apenas
nessa máquina ou em outras máquinas da rede. Verifique também se
outras máquinas de outras redes conseguem acessar o mesmo recurso
e se o setor de interrupção é o mesmo para todas as redes.
Uma vez que o sintoma tenha sido confirmado pelo utilitário ping e em
função do setor da rede determinado pelo traceroute, podemos seguir
os seguintes passos:
Passo 1
Determine a conectividade física no setor onde a conectividade está
interrompida, além de verificar cabos e conectores com testadores e
demais ferramentas de hardware. Em seguida, verifique os parâmetros
de configuração das interfaces dos dispositivos conectados ao meio
físico. O comando show interfaces [tipo num] apresenta saída detalhada
para cada interface, cuja saída para a interface Fa0/1 do switch SWL3
apresentamos a seguir:
TERMINAL 
SWL3#show interfaces fa0/1
FastEthernet0/1 is up, line protocol is up (connec
 Hardware is Lance, address is 0060.2fd1.4301 (bia
 Description: Link para R1
 MTU 1500 bytes, BW 100000 Kbit, DLY 1000 usec,
 reliability 255/255, txload 1/255, rxload 1/255
 Encapsulation ARPA, loopback not set
 Keepalive set (10 sec)
1
2
3
4
5
6
7
8
Verifique se a interface está ativa (Up), assim como o protocolo de linha
(Up), isso indicará que a conectividade física foi estabelecida. Verifique
também a configuração do modo duplex da interface (Half/Full duplex),
interfaces pares como modos duplex diferentes apresentarão
problemas de conectividade. Atente para erros de entrada e saída assim
como as filas correspondentes, excesso de erros pode indicar
problemas no cabeamento ou interferência, filas muito grandes podem
indicar problemas de performance. Por fim, podemos utilizar os
comandos show processes e show memory para verificar a alta
utilização de CPU e memória do dispositivo.
Passo 2
Uma vez verificada a integridade da camada física, podemos analisar
aspectos relacionados à camada de enlace do modelo OSI, verificando
as configurações de VLAN e tabelas ARP dos dispositivos. Nas
estações de trabalho Windows, podemos verificar a tabela ARP com o
comando arp -a, e para a tabela vizinhança IPv6 do Windows, o
comando netsh interface ipv6 show neighbor atentando,
principalmente, para a configuração correta para o MAC do roteador
padrão, que no caso do IPv6 deve estar associado ao endereço IPv6 de
link local da interface do roteador. A seguir, apresentamos a saída
desses comandos para o PC RH3.
TERMINAL 
Atente para os endereços do default gateway para IPv4 e IPv6 estarem
definidos em ambas as saídas respectivamente.
 Full-duplex, 100Mb/s
 input flow-control is off, output flow-control is
 ARP type: ARPA, ARP Timeout 04:00:00
 Last input 00:00:08, output 00:00:05, output hang
 Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); T
C:\>arp -a
 Internet Address Physical Address Type
 192.168.20.1 000d.bd9e.de01 dynamic
…
C:\> netsh interface ipv6 show neighbor 
Internet Address Physical Address 
-------------------------------------------- ------
fe80::9657:a5ff:fe0c:5b02 94-57-a5-0c-5b-02 
2001:DB8:0:20::1 000d.bd9e.de01 
…
9
10
11
12
13
14
1
2
3
4
5
6
7
8
9
10
11
No caso de switches, a tabela ARP e a tabela vizinhança IPv6 podem ser
obtidas pelos comandos show mac address-table e show ipv6
neighbors, respectivamente apresentados a seguir.
TERMINAL 
Outra possibilidade a ser investigada é a configuração das VLANs e as
atribuições de porta. O comando show vlan e o comando show
interfaces trunk podem ser usados para validar atribuições de VLAN em
um switch.
TERMINAL 
Passo 3
Se todos os parâmetros de configuração e estados relacionados às
VLANs, portas e endereçamento MAC estiverem corretamente
configurados, devemos investigar as questões relacionadas à camada 3,
isto é, relacionados ao endereçamento IP e tabelas de rota dos
dispositivos. Se um host não está configurado corretamente com seu
endereço IP, máscara de rede e default gateway, ou se os roteadores no
caminho não possuem as rotas estabelecidas corretamente, os pacotes
SWL3# show mac address-table
 
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ------------------- -----
 20 0010.11e8.d919 DYNAMIC Gig0/2
 30 0010.11e8.d919 DYNAMIC Gig0/2
 40 0010.11e8.d919 DYNAMIC Gig0/2
 50 0010.11e8.d919 DYNAMIC Gig0/2
SWL3#show ipv6 neighbors
IPv6 Address Age Link-layer
2001:DB8:0:20::11 0 0040.0B7E.
sw3#show vlan
VLAN Name Status Ports
---- -------------------------------- --------- --
1 default active 
20 RH active Fa
 Fa
30 Dev active Fa
 Fa
40 Ops active Fa
 Fa
50 Voz active Fa
 Fa
 Fa
 Fa
1
2
3
4
5
6
7
8
9
10
11
12
13
14
1
2
3
4
5
6
7
8
9
10
11
12
13
14
IP não poderão trafegar da origem até o destino, indicando um problema
de conectividade. Em uma estação de trabalho Windows, execute os
comandos ipconfig /all e route print para verificar as configurações de
endereçamento dessa estação e sua tabela de rotas respectivamente. A
seguir, apresentamos a saída do comando ipconfig /all executado no PC
RH3.
TERMINAL 
Para verificar as atribuições de endereço IPv4 e IPv6 para as interfaces
de switch L3 ou de um roteador, podemos utilizar os comandos show ip
interface brief e show ipv6 interface brief, respectivamente. A saída
desses comandos para o switch L3 SWL3 é apresentada a seguir.
TERMINAL 
Já para verificar as rotas, podemos utilizar os comandos show ip route e
show ipv6 route para rotas IPv4 e IPv6 respectivamente, cujas saídas
para o switch L3 SWL3 apresentamos a seguir.
TERMINAL 
C:\>ipconfig /all
FastEthernet0 Connection:(default port)
 Connection-specific DNS Suffix..:
 Physical Address............ : 0040.0B7E.86E1
 Link-local IPv6 Address : FE80::240:BFF:FE
 IP Address...................... : 192.168.20.1
 Subnet Mask.................... : 255.255.255.
 Default Gateway................ : 192.168.20.1
 DNS Servers..................... : 192.168.100.
 DHCP Servers.................... : 192.168.10.1
 DHCPv6 Client DUID............. : 00-01-00-01-
SWL3#show ip interface brief
Interface IP-Address OK? 
FastEthernet0/1 192.168.10.2 YES 
FastEthernet0/2 unassigned YES 
…
Vlan20 192.168.20.1 YES 
Vlan30 192.168.30.1 YES 
Vlan40 192.168.40.1 YES 
Vlan99 192.168.99.254 YES 
Vlan100 192.168.100.1 YES 
SWL3#show ipv6 interface brief
FastEthernet0/1 [up/up]
 FE80::12
1
2
3
4
5
6
7
8
9
10
11
12
13
14
1
2
3
4
5
6
7
8
9
10
11
12
13
14
Passo 4
Se a camada de rede funciona conforme esperado, mas os sintomas
ainda persistem, devemos começar a investigação das camadas
superiores, começando pela camada de transporte. Nessa camada,
devemos verificar se os serviços estão disponíveis nas portas
esperadas. Uma ferramenta simples utilizada para testar a camada de
transporte é o utilitário telnet. Apesar do telnet utilizar a porta 23, ele
também pode ser utilizado para testar outros serviços cujas mensagens
são baseadas em texto, como, por exemplo, a porta 80 (HTTP), como
mostrado a seguir.
TERMINAL 
Além do teste de conexão com o serviço utilizando as portas TCP ou
UDP, podemos verificar se não há nenhuma regra de bloqueio em uma
ACL (lista de acesso) de um roteador ou até mesmo um firewall. Para
verificar a existência de ACL, podemos utilizar os comandos show ip
access-list e show ipv6 access-list respectivamente para IPv4 e IPv6.
Passo 5
SWL3#show ip route
Codes: C - connected, S - static, I - IGRP, R - RI
 D - EIGRP, EX - EIGRP external, O - OSPF, IA - O
 N1 - OSPF NSSA external type 1, N2 - OSPF NSSA e
 E1 - OSPF external type 1, E2 - OSPF external ty
 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-
 * - candidate default, U - per-user static route
 P - periodic downloaded static route
Gateway of last resort is 0.0.0.0 to network 0.0.0
C 192.168.10.0/24 is directly connected, FastEther
C 192.168.20.0/24 is directly connected, Vlan20
C 192.168.30.0/24 is directly connected, Vlan30
C 192.168.40.0/24 is directly connected, Vlan40
C 192.168.100.0/24 is directly connected, Vlan100
SWL3# telnet 192.168.100.100 80
Trying 192.168.100.100, 80 ... Open
^C
HTTP/1.1 400 Bad Request
Date: Mon, 04 Nov 2019 12:34:23 GMT
Server: cisco-IOS
Accept-Ranges: none
400 Bad Request
[Connection to 192.168.100.100 closed by foreign ho
1
2
3
4
5
6
7
8
9
10
11
12
13
14
1
2
3
4
5
6
7
8
9
10
Uma vez que a conexão com o serviço pode ser testada, o próximo
passo diz respeito à camada de aplicação. Nessa camada, são muito
comuns problemas relacionados ao DNS. O DNS é um serviço baseado
em um banco de dados distribuído cuja função é mapear nomes de
domínio em endereços IPv4 ou IPv6. Para verificar a configuração de
DNS em um host Windows, execute o comando ipconfig /all, cuja saída
para o PC RH3 apresentamos a seguir.
TERMINAL 
Caso todos os itens de conectividade estejam configurados e testados
corretamente, outros aspectos relacionados à aplicação em si, que
estão fora do escopo deste módulo, devem ser verificados.
Passo 6
Após a resolução do problema, documente a solução alcançada no seu
catálogo de problemas, registre os sintomas, os sinais, os testes
realizados e os procedimentos de correção. Assim, no futuro, você
mesmo ou outros analistas contarão com esse conhecimento para
ajudá-los na solução de problemas similares ou até mesmo novos
problemas.
Falta pouco para atingir seus objetivos.
Vamos praticar alguns conceitos?
Questão 1
Os diagramas de topologia fazem parte de um bom conjunto básico
da documentação da rede. Sobre eles, são apresentadas as
afirmativas a seguir:
C:\>ipv6config
FastEthernet0 Connection:(default port)
 Connection-specific DNS Suffix..:
 Physical Address................ : 0040.0B7E.86
 Link-local IPv6 Address......... : FE80::240:BF
 IPv6 Address.................... : 2001:DB8:0:2
 Default Gateway................. : 2001:DB8:0:2
 IP Address..................... : 192.168.20.1
 Subnet Mask..................... : 255.255.255.
 Default Gateway................. : 192.168.20.1
 DNS Servers..................... : 2001:DB8:0:1
 : 192.168.100.
 DHCP Servers.................... : 192.168.10.1
1
2
3
4
5
6
7
8
9
10
11
12
13
14
1. Os diagramas de topologia física mostram a ordem em que os
hosts acessam a rede.
2. Os diagramas de topologia física definem como hosts e
dispositivos de rede se conectam à LAN.
3. Ele descreve se a LAN é uma rede de transmissão ou passagem
de token.
4. Os diagramas de topologia lógica descrevem o esquema de
endereçamento que é empregado na LAN.
Assinale a opção que apresenta apenas afirmativas verdadeiras.
Parabéns! A alternativa E está correta.
O diagrama de topologia física mostra o layout físico dos
dispositivos conectados, nele podemos ver identificados como os
dispositivos estão fisicamente conectados e sua localização na
infraestrutura do lugar. Já o diagrama de topologia lógica ilustra
como os dispositivos são conectados logicamente à rede e
normalmente dizem respeito a como os dados são transferidos pela
rede e seus fluxos, conexões e endereços.
Questão 2
Você está atendendo a um chamado para solucionar um problema
de rede. No seu primeiro teste, pode executar ping com êxito entre
os dois dispositivos relacionados. Porém, o Telnet na porta de
destino entre os mesmos dois dispositivos não funciona. Em qual
camada domodelo DoD-TCP/IP você deve direcionar sua análise?
A Apenas 1 e 2.
B Apenas 2 e 3.
C Apenas 3 e 4.
D Apenas 1 e 4.
E Apenas 2 e 4.
A Aplicação
Parabéns! A alternativa C está correta.
O acesso às portas dos serviços via Telnet é feito através do socket
(IP:Porta). O endereçamento de portas é uma funcionalidade da
camada de transporte. Como o comando telnet não foi bem
sucedido, é nessa camada que você deve concentrar seus esforços
para solucionar o problema.
Considerações �nais
Em uma arquitetura baseada em switches multicamadas com VLANs,
alguns aspectos de configuração mais avançados devem ser
observados. Prover redundância e largura de banda para os links de
tronco é um aspecto importante a se observar. Agregar várias portas
físicas em um canal lógico – Etherchannel – permite escalar o tráfego e
proporcionar sobrevida às instalações.
Outro aspecto muito importante diz respeito à segurança. Proteger a
camada de enlace de ataques de spoofing (falsificação) é vital. Vimos,
nesse contexto, mecanismos como o port security, que protege a rede
contra a conexão indevida de equipamentos, e o SPAN – Switched Port
Analyzer, que possibilita inspecionar o tráfego da rede.
Por fim, vimos os principais aspectos relacionados à capacidade de
identificar, analisar e corrigir falhas. A solução de problemas de redes é
uma competência fundamental para os analistas de rede. Um bom
conjunto de documentação e ferramentas associadas a uma
metodologia de análise e solução de problemas com técnicas de
“troubleshooting” permite a solução rápida de incidentes e problemas,
aumentando a disponibilidade da rede.
B Rede
C Transporte
D Acesso à rede
E Física
Podcast
Para encerrar, ouça sobre os assuntos mais importantes para um
analista e administrador de redes.

Explore +
Pesquise pelo livro Melhores Práticas para Gerência de Redes de
Computadores (2003), de Raquel Lopes, Jacques Sauvé e Pedro
Nicolletti, da editora Campus, disponível gratuitamente na Internet, que
aborda a metodologia para identificação e solução de problemas nas
várias camadas do modelo OSI.
Pesquise a base de conhecimento da Cisco em português, em site
próprio. Ela fornece ferramentas que podem ser usadas para
diagnosticar e resolver problemas de hardware e software da Cisco.
Referências
CISCO SYSTEMS. Internetworking Troubleshooting Handbook. 2. ed.
Chapter 1 - Troubleshooting Overview. Consultado na Internet em: 03
jun. 2022.
CISCO SYSTEMS. Internetworking Troubleshooting Handbook. 2. ed.
Chapter 2 - Troubleshooting Tools. Consultado na Internet em: 03 jun.
2022.
CISCO SYSTEMS. Internetworking Troubleshooting Handbook. 2. ed.
Chapter 3 - Troubleshooting Hardware and Booting Problems.
Consultado na Internet em: 03 jun. 2022.
CISCO SYSTEMS. Internetworking Troubleshooting Handbook. 2. ed.
Chapter 4 - Troubleshooting Ethernet. Consultado na Internet em: 03
jun. 2022.
CISCO SYSTEMS. Internetworking Troubleshooting Handbook. 2. ed.
Chapter 7 - Troubleshooting TCP/IP. Consultado na Internet em: 03 jun.
2022.
IETF, RFC 5424. The Syslog Protocol. Publicado em: mar. 2009.
Consultado na Internet em: 03 jun. 2022.
LOPES, R. V. et al. Melhores Práticas para Gerência de Redes de
Computadores. Rio de Janeiro: Campus, 2003.
Material para download
Clique no botão abaixo para fazer o download do
conteúdo completo em formato PDF.
Download material
O que você achou do conteúdo?
Relatar problema
javascript:CriaPDF()