TECNOLOGIA_DE_SWITCHING

Prévia do material em texto

Tecnologias de 
Switching
• Introdução;
• Visão Geral da Lógica de Comutação;
• Con�igurando Inter�aces no Comutador;
• Design de Rede Ethernet;
• Analisando Topologias de Campus LAN.
• Compreender e abordar os conceitos �undamentais do que é dimensionamento de 
rede, projeto de rede e escolha correta de dispositivos intermediários de conexão e 
conf guração básica de switches.
OBJETIVO DE APRENDIZADO
Dimensionamento de Rede Comutada
UNIDADE Dimensionamento de Rede Comutada
Introdução
Para um bom conhecimento em redes, o entendimento sobre como �unciona 
uma rede local (LAN) tanto em relação às �ormas de como é desenhada e proje-
tada, assim como �uncionam os seus dispositivos de rede como, por exemplo, os 
switches, seus protocolos de comunicação e as características especí�icas que têm 
por objetivo manter tais redes estáveis e imunes a eventuais �alhas correspondem à 
proposta de discussão nesta oportunidade.
Assim, nesta Unidade trataremos dos aspectos de �uncionamento de uma rede 
local ethernet e dos tipos de desenhos de rede mais utilizados em uma in�raestru-
tura de comunicação de dados.
Conceitos de Comutação em LAN
Uma Local Area Network (LAN) ou, em português, rede de área local – ethernet 
moderna conecta dispositivos de usuários e servidores em alguns switches – 
comutadores de rede –, de modo que os switches podem, então, conectar-se entre 
si, �ormando um design de rede LAN, chamado de campus LAN, que suporta a 
população de usuários �inais. Dispositivos de usuários �inais se conectam a switches 
LAN que, por sua vez, conectam-se a outros switches de modo a criarem um 
caminho para o resto da rede (TANENBAUM; WETHERALL, 2011).
Os switches do campus LAN estão em racks de cabos – armários de 
telecomunicações – mais próximos dos usuários �inais. Alguns racks de cabos 
contêm os servidores e sistemas de armazenamento de dados – storages –, 
estes que, uma vez instalados 
em grandes salas de computação 
– conhecidas como centros de 
dados (data center) –, têm por 
�inalidade servir à rede, podendo 
suportar o trá�ego de dados aos 
seus usuários (COMER, 2016).
Para encaminhar o trá�ego de 
um dispositivo de usuário para 
um servidor e vice-versa, cada 
comutador de rede executa o 
mesmo tipo de operação lógica e 
os métodos de acesso, objetivando 
encaminhar um quadro ethernet 
para um dispositivo na rede. Figura 1 – Desenho de campus LAN
Fonte: Adaptado de Cisco
8
9
Visão Geral da Lógica de Comutação
O principal papel de um switch LAN é encaminhar quadros ethernet – caso 
a rede local utilize essa tecnologia. As LAN existem como um conjunto de 
dispositivos de usuário, servidores e outros dispositivos que se conectam a switches.
Tais dispositivos de rede são igualmente conhecidos como hosts de rede, ou apenas 
hosts. O switch LAN tem um objetivo principal: encaminhar os quadros para o 
correto endereço de destino (MAC). Para tanto, os switches LAN usam uma lógica 
baseada no endereço MAC de origem e de destino no cabeçalho ethernet de cada 
quadro – frame (DAVID; PETERSON, 2013).
Os switches LAN recebem, então, os quadros ethernet em uma inter�ace – por-
ta – de origem para a consequente tomada de decisão de encaminhamento, comu-
tando o respectivo dado ao seu correto destino. Para realizar essa missão primária, 
os comutadores de rede executam três ações �undamentais, a saber:
1. Decidir quando encaminhar um quadro ou quando f ltrar – não encami-
nhar – um quadro baseado no endereço MAC de destino;
2. Preparar-se para encaminhar quadros e aprender os endereços MAC, exa-
minando a origem do endereço MAC de cada frame recebido pelo switch 
a f m de relacioná-lo a uma inter�ace de origem e, assim, mapear a tabela 
de endereçamento;
3. Preparar-se para encaminhar apenas uma cópia do quadro ao destino, 
criando um ambiente livre de loops de camada 2, com outros switches da 
rede ao utilizar o algoritmo Spanning Tree Protocolo (STP).
Note que a primeira ação é o trabalho principal do switch, enquanto os outros 
dois itens são �unções indiretas, apesar de também serem importantes para o bom 
�uncionamento da rede local ethernet. Como a lógica de comutação utiliza a aná-
lise de endereços MAC armazenados no quadro ethernet, é importante apresentá-
-lo para um bom entendimento, veja:
1 byte 1 byte 1 or 2 bytes
LLC/Data
Control User Data or Pad
Source
Service Access
Point
Destination
Service Access
Point
Length
or Type
Frame
Check
Sequence
Source
Address
Destination
AddressPreamble
S
F
D
Data or Pad to create minimum
of 46 bytes, maximum of 1500
Figura 2 – Quadro ethernet IEEE 802.3
9
UNIDADE Dimensionamento de Rede Comutada
O quadro ethernet é a menor unidade entendível de transmissão de uma 
rede ethernet – abaixo do qual temos apenas sinais elétricos, de luz e ondas 
eletromagnéticas –, possuindo vários campos, sendo que o principal certamente 
corresponde à identi�icação dos endereços de origem e destino – MAC address. 
Ambos os endereços MAC têm o tamanho de 48 bits, ou 6 bytes de comprimento 
– representados como doze dígitos hexadecimais –, constituindo parte �undamental 
da lógica de comutação desse tipo de rede (TANENBAUM; WETHERALL, 2011).
Encaminhando Quadros Unicast Conhecidos
Para decidir se deve encaminhar um quadro, um switch usa uma tabela criada 
dinamicamente que lista os endereços MAC aprendidos e as inter�aces associadas 
a cada endereço. Os comutadores, então, comparam o endereço MAC de destino 
do quadro nessa tabela de endereços para decidir se o switch deve encaminhar um 
quadro, ou simplesmente ignorá-lo
Figura 3 – Decisão de encaminhamento do switch
Fonte: Adaptado de Cisco
A tabela de endereços MAC de um switch também é conhecida como tabela de 
comutação, ou tabela de ponte, ou até mesmo como tabela de Content Addressable 
Memory (CAM) – em re�erência à �orma de memória utilizada para armazenar a 
tabela (COMER, 2016).
Ademais, a tabela de endereços MAC de um switch lista a localização de cada 
MAC em relação a esse único switch. Em LAN com múltiplos switches, cada um 
destes �az uma decisão de encaminhamento independente com base em sua própria 
tabela de endereços MAC. Juntos, encaminham o quadro para que eventualmente 
cheguem ao destino corretamente.
No exemplo apresentado, os switches possuem a tabela de endereços com os 
seus respectivos MAC listados que, por consequência, contam com o endereço 
MAC de destino no quadro conhecido pelo comutador; estes são chamados de 
quadros unicast conhecidos, ou simplesmente unicasts conhecidos (KUROSE; 
ROSS, 2013).
10
11
Aprendendo Endereços MAC
Em �unção do aprendizado automático de endereços, a equipe de rede não 
precisa digitar todas as entradas da tabela MAC. Ao invés disso, os switches �azem 
a sua segunda �unção principal: aprender os endereços e as inter�aces MAC a �im 
de colocá-los em sua tabela de endereços. Com uma tabela de endereços MAC 
completa, o switch pode tomar decisões precisas de encaminhamento e �iltragem. 
Os switches constroem a tabela de endereços ouvindo os quadros recebidos e 
examinando a origem do endereço MAC no quadro (COMER, 2016). 
Se um quadro entrar no switch por meio de uma porta de origem e o endereço 
MAC de origem não estiver na tabela de endereços MAC, o switch criará essa 
entrada na tabela de endereços – chamamos esse processo de mapeamento. 
Tal entrada da tabela lista as inter�aces a partir das quais o quadro chegou
(TANENBAUM; WETHERALL, 2011).
Veja como �unciona um switch ethernet em: https://youtu.be/j-IxVKsudDw.Exp
lo
r
Inundação de Unicast Desconhecido e Quadros de Broadcast
Caso o switch tenha que enviar um quadro a um endereço desconhecido, ou 
seja, quando não houver correspondência na entrada na tabela de endereços, o 
quadro será enviado para �ora de todas as inter�aces – exceto a de entrada –, 
usando um processo denominado flooding – ou, em português, inundação.
Contudo, se o quadro cujo endereço de destino �or desconhecido ao switch, será 
chamado de quadro unicast desconhecido, ou simplesmente unicastdesconhecido 
(CISCO, 2017a). 
Os switches inundam quadros unicast desconhecidos, ou seja, o comutador 
encaminha cópias do quadro de todas as suas portas, exceto aquela na qual o 
quadro �oi recebido. A ideia é simples: se você não sabe para aonde enviá-lo, 
então o �aça para todos os lugares, a �im de entregar o quadro. Dessa �orma, 
é provável que o dispositivo envie uma resposta e, em seguida, o switch possa 
saber que o endereço MAC do dispositivo, para que possa encaminhar os quadros 
�uturos para uma porta como um quadro de unicast conhecido (TANENBAUM; 
WETHERALL, 2011).
Switches também inundam quadros de broadcast da LAN – quadros destinados 
à transmissão ethernet. O endereço de broadcast é o FFFF.FFFF.FFFF, isso existe 
porque esse processo ajuda a entregar uma cópia do quadro a todos os dispositivos 
na LAN, de modo que diversos protocolos utilizam esse tipo de comutação para 
realizar as suas atividades próprias (KUROSE; ROSS, 2013).
11
UNIDADE Dimensionamento de Rede Comutada
Assim, para melhor entendimento desses processos, pegue um simulador de 
rede, monte uma pequena topologia com dois switches interligados e com dois 
ou três hosts em casa switch e proceda com os seguintes comandos do IOS, 
observando-os para tirar as suas próprias conclusões:
show mac address-table 
show mac address-table dynamic 
show interfaces status 
show interfaces F0/1 counters 
show mac address-table dynamic vlan 1 
show running-config
Hospedar e Alternar Confgurações IP
Um switch precisa do mesmo tipo de con�iguração de IP que um host con-
vencional como um Personal Computer (PC) com uma única inter�ace ethernet. 
Como comparação, um PC tem uma CPU com o sistema operacional rodando 
na qual, mais uma placa de inter�ace de rede – Network Interface Card (NIC) – 
ethernet. A con�iguração do Sistema Operacional de Rede (SOR) inclui um ende-
reço IP associado à NIC, a qual con�igurada ou aprendida dinamicamente por meio 
de um servidor Dynamic Host Configuration Protocol (DHCP). Por sua vez, cada 
switch utiliza as mesmas ideias, exceto que o switch precisa usar uma NIC virtual 
aplicada internamente (TANENBAUM; WETHERALL, 2011).
Assista ao Computer Networking Tutorial – em inglês –, disponível em: 
https://youtu.be/_VRToy-9SD0.Ex
pl
or
Como um PC, um switch tem uma CPU real, rodando um SOR – denominado 
IOS no caso das plata�ormas Cisco. O comutador obviamente possui muitas inter-
�aces ethernet, mas em vez de atribuir o seu endereço IP de gerenciamento para 
qualquer uma dessas portas, o switch usa um conceito semelhante à NIC, chamado 
de inter�ace virtual comutado – Switched Virtual Interface (SVI) –, ou mais comu-
mente uma inter�ace de VLAN, que atua como a própria NIC (COMER, 2016).
Figura 4 – Switch virtual inter�ace
Fonte: Adaptado de Cisco
12
13
Por padrão, os switches da Cisco já possuem a VLAN 1 devidamente criada, 
permitindo inserir um endereço IP para o seu gerenciamento nessa inter�ace virtual 
da seguinte �orma:
SW_Unicsul# configure terminal
SW_Unicsul(config)# interface vlan 1
SW_Unicsul(config-if)# ip address 192.168.1.200 255.255.255.0
SW_Unicsul(config-if)# no shutdown
00:25:07: %LINK-3-UPDOWN: Interface Vlan1, changed state to up
00:25:08: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed
state to up
SW_Unicsul(config-if)# exit
SW_Unicsul(config)# ip default-gateway 192.168.1.1
Importante!
O comando ip de�ault-gateway 192.168.1.1, aplicado ao f nal da conf guração, in�orma ao 
switch qual seria a inter�ace de de�ault-gateway da rede, geralmente um roteador ou f rewall. 
Note que aqui tratamos de switches de camada 2 (L2) – e não de switches multicamadas.
Importante!
Conf gurando Inter�aces no Comutador
O IOS da Cisco usa o termo interface para se re�erir a portas �ísicas utilizadas 
para encaminhar dados de – e para – outros dispositivos. Cada inter�ace pode ser 
con�ormada com diversas con�igurações, cada qual di�erindo das demais em sua(s) 
inter�ace(s). O IOS usa subcomandos de inter�ace para de�inir essas con�igurações.
Podemos con�ormar, ao menos, três con�igurações básicas por inter�ace: i) a 
velocidade da porta; ii) o duplex; e iii) uma descrição de texto de identi�icação dessa 
inter�ace; depois disso, são con�igurados os comandos shutdown e no shutdown, 
que administrativamente desativam e ativam a inter�ace, respectivamente.
Conf gurando Velocidade, Duplex e Descrição
Inter�aces de comutação que suportam várias velocidades – inter�aces 10/100 
e 10/100/1000 –, por padrão, negociarão automaticamente a velocidade a ser 
utilizada. No entanto, você pode con�igurar a velocidade e con�igurações duplex 
com o duplex {auto | full | half} e a velocidade de inter�ace com {auto | 10 | 
100 | 1000}. Essas con�igurações podem ser realizadas se desejar, por exemplo, 
de�inir a velocidade de inter�ace entre dois switches a �im de evitar os tempos de 
autonegociação que podem gerar um pequeno atraso.
13
UNIDADE Dimensionamento de Rede Comutada
Assim, vejamos os comandos para realizar tais tare�as:
SW_Unicsul # configure terminal 
Enter configuration commands, one per line. End with CNTL/Z. 
SW_Unicsul(config)# interface FastEthernet 0/1 
SW_Unicsul config-if)# duplex full 
SW_Unicsul(config-if)# speed 100 
SW_Unicsul(config-if)# description Esse Switch liga outro Switch 
SW_Unicsul(config-if)# no shutdwon 
SW_Unicsul(config-if)# exit 
SW_Unicsul(config)# interface range FastEthernet 0/10 - 20 
SW_Unicsul(config-if-range)# description As portas 10 a 20 ligar usuários 
SW_Unicsul(config-if-range)# no shutdwon 
SW_Unicsul(config-if-range)# ^Z (Lê-se CTRL+Z) 
SW_Unicsul#
Note que o comando interface range é recorrentemente utilizado para criar um 
intervalo de portas e con�igurá-las de uma única vez; isso �az com que o processo 
de con�iguração de portas se torne mais rápido e menos estressante. Ou seja, 
todo o comando que você aplicar no range – grupo – valerá para todas as portas 
contidas nesse grupo �ormado. Após a con�iguração das portas, não se esqueça de 
aplicar o no shutdown para liberar/ativar a(s) porta(s).
Design de Rede Ethernet
Os dispositivos da rede ethernet e a lógica de �uncionamento que utilizam têm 
grande impacto no motivo pelo qual os engenheiros de redes projetam LAN. 
Alguns dos termos empregados para descrever os principais recursos de design 
vêm signi�icativamente para trás na história da ethernet e, por conta de sua idade, 
o signi�icado de cada termo pode ou não ser tão óbvio para alguém que atualmente 
aprende ethernet. A �im de melhor conhecermos o �uncionamento dessas redes, 
torna-se necessário que entendamos essas �ormas e lógicas de operação.
Domínios de Colisão Ethernet
A expressão domínio de colisão vem da história remota das LAN baseadas 
no protocolo ethernet. Atualmente, porém, esse termo pode se tornar um pouco 
con�uso para as redes ethernet consideradas modernas, até porque estas pratica-
mente impedem que colisões ocorram com �requência. Então, para entender com-
pletamente os domínios de colisão, inicialmente devemos observar brevemente a 
história da ethernet (KUROSE; ROSS, 2013).
O cabo 10BASE-T �oi introduzido em 1990 e mudou signi�icativamente o 
design das LAN ethernet, tais como os desenhos atualmente vistos; isto porque 
o 10BASE-T introduziu o modelo de cabeamento similar ao atual para as LAN 
14
15
ethernet, com cada dispositivo conectado a um outro centralizado e usando 
um cabo de par trançado (UTP). No entanto, originalmente o 10BASE-T não 
contava com switches LAN, mas sim com um dispositivo conhecido como hub 
ethernet. Embora tanto um hub, como um switch usem a mesma topologia �ísica 
de cabeamento em estrela, um hub ethernet não pode encaminhar o trá�ego tal 
como um switch. 
Os hubs ethernet utilizam o processamento da camada �ísica para encami-
nhar dados, de modo que um hub não interpreta o sinal elétrico de entrada como 
um quadro ethernet, o endereço MAC de origem e destino e assim por diante.
Basicamente, um hub age como um repetidor, apenascom muitas portas – in-
ter�aces – de comunicação. Logo, quando um repetidor recebe um sinal elétrico 
de entrada, imediatamente encaminha um sinal regenerado para todas as demais 
portas que possui, exceto a porta de entrada – que recebeu tal sinal. Fisicamente, 
o hub envia apenas uma versão mais limpa do mesmo sinal elétrico de entrada, 
repetindo-o às suas outras portas (TANENBAUM; WETHERALL, 2011).
Figura 5 – Hub ethernet
Devido à operação da camada �ísica utilizada pelo hub, os dispositivos conecta-
dos à rede devem empregar o método de acesso múltiplo com detecção de colisão 
(CSMA/CD) para saberem enviar os seus dados, de modo que o hub, por ser um 
dispositivo elétrico de regeneração de sinal e envio desse sinal a todas as portas, 
praticamente não tem mecanismos para evitar tais colisões. Em uma rede ethernet 
dessa �orma – com um hub – toda a análise da portadora e decisão de encaminha-
mento dos dados na rede são realizadas pelos hosts dessa rede. Ou seja, o host 
que deseja enviar determinado dado a outro host precisa, antes, veri�icar se outro 
dado �oi colocado na portadora – em caso a�irmativo, necessitará aguardar essa 
portadora �icar livre para que possa enviar o re�erido dado.
Como a rede ethernet não é determinística, ou seja, de acesso múltiplo e que 
não se consegue prever quando um host enviará um dado a outro dispositivo, pode 
ser que um host envie um dado ao mesmo tempo em que outro host o �aça – caso 
15
UNIDADE Dimensionamento de Rede Comutada
isso aconteça, colisões de quadros podem ocorrer; ao passo que o método de 
acesso CSMA/CD deve identi�icar essa colisão, parando por um tempo aleatório 
a �im de que outros hosts dessa mesma rede enviem os seus dados – isto até que a 
portadora volte a �icar livre (TANENBAUM; WETHERALL, 2011).
Baseando-se nessas in�ormações, um hub não tenta impedir colisões, pois todos 
os dispositivos conectados ao qual �icam dentro do mesmo domínio de colisão, este 
que é o conjunto de NIC e portas de dispositivo, entrando em iminência de colisão.
Resumindo os pontos-chave sobre hubs:
• Atuam como repetidores multiportas, regenerando cegamente e repetin-
do qualquer sinal a todas as outras portas, ainda que ignorem as regras do 
CSMA/CD;
• Quando dois ou mais dispositivos enviam dados ao mesmo tempo, as ações 
do hub causam colisão, �azendo com que ambos os sinais sejam corrompidos;
• Os dispositivos conectados devem se alternar usando o acesso múltiplo com 
detecção de portadora – a qual com detecção de colisão (CSMA/CD) –, que é 
a lógica de �uncionamento para que os dispositivos compartilhem a largura de 
banda e possam enviar os seus dados na rede;
• Por serem dispositivos concentradores, os hubs criam uma topologia �ísica 
em estrela.
O primeiro método para permitir que vários dispositivos enviem simultaneamen-
te os seus dados é chamado de transparent bridges, ou apenas bridges – que em 
português signi�ica ponte. As bridges trouxeram as seguintes melhorias:
• Ficavam entre os hubs e dividiam a rede em diversos domínios de colisão;
Veja CSMA/CD e CSMA/CA explicados – em inglês –, disponíveis em: 
https://youtu.be/iKn0GzF5-IU.Ex
pl
or
• Aumentam a capacidade de toda a ethernet, uma vez que cada domínio de 
colisão é basicamente uma instância separada do CSMA/CD; logo, cada do-
mínio de colisão pode ter um remetente de cada vez – sem que as colisões 
ocorram em um mesmo domínio de colisão –, por este motivo dizemos que 
uma bridge divide domínios de colisão;
• Criam diversos domínios de colisão como um e�eito colateral de sua lógica 
de encaminhamento. Uma bridge �az decisões de encaminhamento tal como 
um switch LAN moderno – na verdade, bridges eram os antecessores dos 
switches LAN modernos. Ademais e tal como os switches, as bridges arma-
zenam os quadros ethernet na memória, esperando para enviá-los à inter�ace 
de saída com base nas regras do CSMA/CD e de suas tabelas de endereços.
16
17
Switches Ethernet e Domínios de Colisão
Os switches LAN executam as mesmas �unções básicas que as bridges, mas 
com velocidades de comutação mais rápidas e com inúmeros recursos aprimora-
dos. Tais como as bridges, os switches segmentam uma LAN em um separado 
domínio de colisão, cada qual com a sua própria capacidade. Como um switch é 
também conhecido como bridge multiportas, cada porta desse dispositivo é con-
siderada um domínio de colisão especí�ico, �azendo com que seja diminuído em 
eventuais colisões. Quando ativado em uma porta do switch, o full-duplex prati-
camente de detecção de colisão não precisa ser ativado, pois nesse caso a porta 
pode suportar dados simultaneamente transmitidos em sentidos opostos sem que 
haja colisão (TANENBAUM; WETHERALL, 2011).
Hub
Switch
Figura 6 – Hub e switch ethernet
Apesar do desenvolvimento dos switches, a expressão domínio de colisão se 
mantém importante, dado que as colisões ainda são relevantes nessa rede, pois os 
engenheiros necessitam estar prontos para entender e solucionar possíveis pro-
blemas. Para tanto, tais engenheiros precisam identi�icar o domínio de colisão, de 
modo que os seus pontos-chave são:
17
UNIDADE Dimensionamento de Rede Comutada
• Os switches da LAN colocam cada inter�ace separada em um domínio de 
colisão apartado;
• As bridges de LAN – que usam a mesma lógica dos switches – colocam cada 
inter�ace em um domínio de colisão;
• Os roteadores colocam cada inter�ace da LAN em um domínio de colisão 
especí�ico – o termo domínio de colisão não se aplica a inter�aces WAN;
• Uma LAN moderna, com todos os switches e roteadores LAN e com full 
duplex aplicado em cada link não tem colisões.
Domínios de Transmissão – Broadcast – Ethernet
Um domínio de transmissão ethernet, igualmente chamado de domínio de 
broadcast ethernet, é o conjunto de dispositivos para o qual essa transmissão é 
entregue. Pense em uma LAN moderna por um momento e onde um quadro de 
transmissão �lui. Agora, imagine que todos os switches envolvidos ainda utilizem o 
padrão do switch para colocar cada inter�ace na VLAN 1 – esta que é criada por 
padrão nos switches ethernet modernos, sendo todas as suas portas associadas 
à qual. Como resultado, uma transmissão enviada por qualquer dispositivo seria 
inundada para todos os dispositivos conectados – exceto para aquele que enviou o 
quadro original (TANENBAUM; WETHERALL, 2011).
Uma �orma de diminuir esses domínios de broadcast é criar duas in�raestruturas 
de redes �ísicas e, ao invés de conectá-las entre si – na mesma rede –, �azer a 
intermediação com um roteador de rede que possua a capacidade de segmentar 
domínios de broadcast. Em grandes redes e com diversos departamentos, a 
aplicação do roteador para separar tais domínios de transmissão pode se tornar 
uma atividade complicada, pois esses dispositivos não têm grande capilaridade 
de conexões ethernet que �azem a interligação das redes locais. Com isso, uma 
técnica amplamente implementada é a separação desses domínios de broadcast 
utilizando redes locais virtuais, do inglês Virtual Local Area Network (VLAN) – que 
trataremos em unidades �uturas.
Analisando Topologias de Campus LAN
O termo Campus LAN se re�ere à LAN criada para suportar os dispositivos em 
um ou diversos edi�ícios próximos uns dos outros. Os engenheiros de rede podem, 
então, construir um campus LAN que inclua switches em cada prédio, além de links 
ethernet entre esses switches nos edi�ícios a �im de criar grande rede que possa 
suportar as necessidades de negócio de uma determinada empresa. Ao planejar e 
projetar um campus LAN, os engenheiros devem considerar os tipos disponíveis 
de ethernet e os comprimentos de cabeamento suportados por cada �orma de 
tecnologia. Precisam também escolher as velocidades de comutação necessárias para 
18
19
cada segmento ethernet, bem como estabelecer os tipos de switches mais adequados 
para a conexão de usuários, servidores e até mesmo outros switches, �ormando um 
grande backbone – espinha dorsal – na rede. Conheceremos, então, alguns modelos 
de desenho derede mais aplicáveis para os ambientes de campus LAN.
Projeto de Campus LAN de Dois Níveis – Núcleo Colapsado
A Cisco utiliza três termos para descrever a �unção de cada switch em um projeto 
de campus: acesso, distribuição e núcleo. As �unções di�erem dependendo se o 
switch encaminha o trá�ego do dispositivo usuário ao resto da LAN – acesso –, ou 
se o comutador encaminha o trá�ego entre outros switches na LAN – distribuição 
e core.
Os switches de acesso se conectam diretamente aos usuários �inais, �ornecendo 
acesso ao dispositivo do usuário para a LAN. Comumente enviam trá�ego de – e 
para – os dispositivos de usuário �inal aos quais estão conectados.
Os switches de distribuição �ornecem um caminho pelo qual os switches de acesso 
podem encaminhar o trá�ego uns aos outros. Utilizando o design, cada um dos 
switches de acesso se conecta a, pelo menos, um switch de distribuição, comumente 
para dois switches de distribuição para redundância (DAVID; PETERSON, 2013).
Os comutadores de distribuição podem �ornecer o serviço de encaminhamento 
de trá�ego para outras partes da LAN. Note que a maioria dos projetos utiliza, 
ao menos, dois uplinks para dois comutadores de distribuição di�erentes, com 
�inalidades de redundância, porém, de links. Em um projeto de dois níveis – 
núcleo colapsado – temos duas camadas de switches, uma de acesso e a outra de 
distribuição – e não de core. Logo, um design de dois níveis resolve duas principais 
necessidades de design:
1. Fornece um local para conectar dispositivos de usuário f nal – a camada de 
acesso, com switches de acesso; e
2. Conecta os switches a um número razoável de cabos e portas de switch, 
ligando todos os switches de acesso para dois switches de distribuição de 
uma �orma condensada.
Projeto de núcleo colapsado: https://goo.gl/�44PWX. 
Ex
pl
or
Projeto Campus de Três Níveis
O design de dois níveis apresentado possui uma malha parcial de links na camada 
de distribuição que, inclusive, é o projeto de campus LAN mais comum. O projeto 
de três camadas, como o próprio nome indica, inclui a camada principal – core –, 
sendo utilizada principalmente em redes que possuem a conexão de vários prédios 
que precisam comutar os seus dados em altíssima velocidade (CISCO, 2017b).
19
UNIDADE Dimensionamento de Rede Comutada
Às vezes, o centro da rede utiliza uma malha completa – full mesh –, que 
é uma malha plenamente redundante, ou uma malha parcial, dependendo da 
disponibilidade de cabos entre os edi�ícios. No entanto, um design com uma 
terceira camada – principal – economiza portas de switch e cabos em design, pois 
nas ligações entre os edi�ícios os cabos correm para �ora do ambiente local – que 
comumente são mais caros para instalar –, sendo quase sempre compostos de 
cabeamento de �ibra com portas de switch mais caras. Assim, conservar o número 
de cabos utilizados entre os edi�ícios pode ajudar a reduzir signi�icativamente os 
custos de um grande projeto (DAVID; PETERSON, 2013).
Projeto de três níveis: https://goo.gl/BRB6VQ. 
Ex
pl
or
Usando um design central, com uma malha parcial de links no núcleo, você ain-
da �ornece conectividade para todas as partes da LAN e aos roteadores que enviam 
pacotes pela WAN – apenas com menos ligações entre os edi�ícios.
Podemos, então, descrever as �unções dos switches do campus considerando:
• Acesso: �ornece um ponto de conexão – acesso – para dispositivos de usuário 
�inal. Não encaminha quadros entre dois outros comutadores de acesso em 
circunstâncias normais;
• Distribuição – agregação: �ornece um ponto de agregação para switches 
de acesso, possibilitando conectividade para o resto dos dispositivos na LAN, 
encaminhando quadros entre switches, mas não conectando diretamente aos 
dispositivos do usuário �inal;
• Principal – core: agrega os switches de distribuição em campus LAN consi-
derados grandes, �ornecendo taxas de encaminhamento para o maior volume 
de trá�ego devido ao tamanho da rede e às capacidades de comutação – signi-
�icativamente velozes.
Assista ao vídeo, em inglês, intitulado Cisco hierarchical network model e disponível em: 
https://youtu.be/lTF28lN0md0.Ex
pl
or
20
• Introdução;
• Conceitos de LAN Virtual (VLAN);
• Criando VLAN e Trunks;
• Conceitos de Marcação de VLAN;
• Protocolos de Entroncamento de VLAN 802.1Q e ISL;
• Encaminhando Dados entre VLAN;
• Protocolo de Entroncamento de VLAN.
• Conhecer e compreender as principais características e os conceitos sobre a apli-
cação de redes virtuais locais (VLAN), além dos bene�ícios de utilização em redes 
de comutação.
OBJETIVOS DE APRENDIZADO
Redes Virtuais Locais (VLAN)
UNIDADE Redes Virtuais Locais (VLAN)
Introdução
Caro(a) aluno(a),
Por padrão, os switches ethernet já vêm configurados em seu sistema opera-
cional para redes virtuais locais (VLAN) 1, estas que possuem características de 
gerência e de rede nativa. Assim, quando temos uma VLAN, detemos também um 
domínio de broadcast separado.
Logo, caso se deseje criar outros domínios de broadcast e associar as por-
tas/interfaces dos switches nessas novas VLAN, é necessário ter conhecimento 
para configurá-los.
Portanto, nesta Unidade veremos, de fato, o que é uma VLAN, os seus bene-
fícios e como criá-la e configurá-la corretamente em um ambiente de comutação.
Conceitos de LAN Virtual (VLAN)
Antes de entender o que é Virtual Local Area Network (VLAN), ou Virtual 
LAN, você deve, inicialmente, compreender a definição de uma LAN, esta que 
significa rede de área local, incluindo todos os dispositivos do usuário, servidores, 
switches, roteadores, cabos e pontos de acesso sem fio em um único local – ou 
seja, uma LAN contempla todos os dispositivos no mesmo domínio de transmis-
são – broadcast.
Por sua vez, um domínio de broadcast inclui o conjunto de todos os dispositivos 
conectados à LAN, de modo que quando os dispositivos enviam um quadro de 
broadcast, todos os demais dispositivos conectados obtêm uma cópia do referido 
quadro (TANENBAUM; WETHERALL, 2011). De uma perspectiva mais abran-
gente, você poderá pensar em uma LAN e em um domínio de broadcast como um 
mesmo significado.
Sem VLAN criada, um switch considera todas as suas interfaces no mesmo do-
mínio de broadcast. Ou seja, para um switch, quando um frame de broadcast en-
tra em uma porta do switch, este é redirecionado para que quadros sejam transmi-
tidos para as demais portas. Baseando-nos nessa lógica, para criar dois diferentes 
domínios de broadcast, torna-se necessário adquirir dois switches LAN Ethernet 
diferentes (COMER, 2016).
Com suporte no sistema operacional para a criação de VLAN, um único switch 
pode atingir os mesmos objetivos do design de rede para criar dois domínios de 
broadcast com apenas um único switch. Ademais, com VLAN, um switch pode 
configurar certas interfaces em um domínio de broadcast e algumas em outro 
domínio, criando, assim, vários domínios de broadcast, os quais individuais e cha-
mados de LAN Virtuais (VLAN).
8
9
Projetar campus LAN para usar mais VLAN, cada qual com um número menor 
de dispositivos, ajuda a melhorar a LAN de diversas maneiras: por exemplo, uma 
transmissão enviada por um host em uma VLAN será recebida e processada por 
todos os outros hosts dessa VLAN, mas não pelos hosts em uma VLAN diferente.
Limitando o número de hosts que recebem um único quadro de broadcast, é 
reduzido o número de hosts que desperdiçam esforço processando transmissões 
desnecessárias, diminuindo também os riscos de segurança, afinal, menos hosts 
veem quadros enviados por qualquer host – tratam-se apenas de algumas razões 
para separar hosts em diferentes VLAN.
A seguinte lista resume as razões mais comuns para escolher criar menores do-
mínios de broadcast (VLAN):
• Reduzir a sobrecarga da Central Processing Unit (CPU) em cada dispositivo, 
diminuindo o número de dispositivos que recebem cada quadro de transmissão;
• Reduzir os riscos de segurança, diminuindo o número de hosts que rece-
bem cópias de quadros que os switches inundam – broadcasts,multicasts e 
 unicasts desconhecidos;
• Melhorar a segurança dos hosts que enviam dados confidenciais, mantendo 
esses hosts em uma VLAN específica;
• Criar designs mais flexíveis para agrupar usuários por departamento, ou por 
grupos que funcionem juntos, ao invés de localização física;
• Resolver problemas mais rapidamente, isto porque o domínio de falha para 
muitos problemas é o mesmo conjunto de dispositivos que estão no equivalen-
te domínio de broadcast;
• Reduzir a carga de trabalho do Spanning Tree Protocol (STP), limitando uma 
VLAN a um comutador de acesso único.
Criando VLAN e Trunks
Configurar VLAN em um único switch requer apenas um pequeno esforço: você 
deve criar a VLAN primeiro e depois configurar cada porta – interface – para infor-
mar o número de VLAN ao qual essa porta pertencerá. Com vários switches você de-
verá considerar conceitos adicionais sobre como encaminhar o tráfego entre os quais.
Ao operar VLAN em redes com vários switches interconectados, estes pre-
cisam usar o entroncamento – trunk – de VLAN nos links entre os switches. 
Nesses troncos, os switches necessitam utilizar um processo denominado VLAN 
tagging – etiqueta –, pelo qual o switch de envio adiciona outro cabeçalho para 
o quadro antes de enviá-lo pelo tronco. Tal cabeçalho de trunking extra inclui um 
campo de identificação de VLAN (VLAN ID) para que o switch de envio possa 
associar o quadro com um ID de VLAN em particular, enquanto o comutador de 
recepção possa saber em qual VLAN cada quadro pertence (COMER, 2016).
9
UNIDADE Redes Virtuais Locais (VLAN)
Conceitos de Marcação de VLAN
O entroncamento VLAN cria um link entre os switches que suportam tantas 
VLAN quanto forem necessárias. Como um tronco da VLAN, os switches tratam 
o link como se este fizesse parte de todas as VLAN. Ao mesmo tempo, o tronco 
mantém o tráfego da VLAN separado, de modo que os quadros de uma VLAN não 
alcançarão os dispositivos na outra VLAN e vice-versa, isto porque cada quadro 
é identificado pelo número de VLAN enquanto cruza o tronco. Tal marcação fica 
entre os comutadores da rede, ou em equipamentos que possuem características 
de leitura desses tags.
Saiba para que serve uma VLAN no vídeo disponível em: https://youtu.be/b�AlsLZgOG8.
Ex
pl
or
Figura 1 – Entroncamento de VLAN
Fonte: thanatos.trollprod.org
O uso do entroncamento permite que os switches transmitam quadros de várias 
VLAN em um único meio físico de rede, adicionando um pequeno cabeçalho ao 
quadro ethernet.
Protocolos de Entroncamento 
de VLAN 802.1Q e ISL
A Cisco suportou dois protocolos diferentes de entroncamento ao longo dos 
anos: Inter-Switch Link (ISL) e IEEE 802.1Q (dot1Q). Desses dois protocolos 
de marcação de VLAN a Cisco criou o ISL antes do 802.1Q, em parte porque o 
IEEE não tinha, até então, definido um padrão de entroncamento de VLAN. Anos 
depois, o IEEE concluiu o trabalho no padrão 802.1Q, que define uma maneira 
diferente de executar o entroncamento.
Atualmente, o 802.1Q se tornou o protocolo de entroncamento mais popular 
no mercado e, por esse motivo, a Cisco praticamente não suporta mais o ISL – 
apesar de ser um protocolo proprietário da Cisco – em alguns de seus modelos de 
switches mais modernos.
10
11
Enquanto o ISL e 802.1Q marcam cada quadro com o ID da VLAN, os detalhes 
de marcação são diferentes: 802.1Q insere um cabeçalho extra de VLAN 802.1Q 
de 4 bytes no cabeçalho do quadro ethernet original – sendo que o campo mais 
importante para nós, nesta Unidade, é o VLAN ID, que identifica uma VLAN den-
tro do cabeçalho do 802.1Q.
O campo de 12 bits suporta um máximo teórico de 4.096 VLAN, mas na práti-
ca suporta, no máximo, 4.094 – tanto o 802.1Q quanto o ISL usam 12 bits para 
marcar o ID de VLAN, com dois valores reservados (0 e 4.095).
802. 1Q Tag
802. 1Q Tagged Layer 2 frame
EtherType(0x8100)
2B
PRI
3B
CFI
1 bit
VLAN ID
12 bits
FCS
4B
Data
0-1500B
Length/Etype
2B
Tag
4B
SA
6
DA
6B
Figura 2 – Marcação do IEEE 802.1Q
Os switches da Cisco quebram o intervalo de ID de VLAN (1 a 4.094) em dois 
intervalos: normal e de alcance estendido. Todos os switches podem usar VLAN 
de intervalo normal com valores de 1 a 1.005. Apenas alguns switches podem 
usar VLAN de faixa estendida com ID de VLAN de 4.094. As regras para as quais 
os switches podem usar VLAN de intervalo estendido dependem da configuração 
do VLAN Trunking Protocol (VTP), que também é um protocolo proprietário da 
Cisco com a finalidade de agilizar a criação e configuração em uma rede campus 
LAN (KEVIN; LACOSTE; HUCABY, 2015).
802.1Q também define uma ID de VLAN especial em cada tronco como a 
VLAN nativa para usar a VLAN 1. Por definição, 802.1Q simplesmente não adi-
ciona um cabeçalho 802.1Q a quadros em uma VLAN nativa. Quando o comuta-
dor do outro lado do tronco recebe um quadro que não tem um cabeçalho 802.1Q, 
o switch de recepção sabe que o quadro é parte da VLAN nativa. Note que devido 
a esse comportamento, ambos os switches devem concordar sobre em qual VLAN 
está definida a VLAN nativa.
Por padrão nos switches da Cisco, a VLAN nativa e de gerência é a 1. Por sua 
vez, a VLAN nativa do 802.1Q fornece algumas funções interessantes, principal-
mente para suportar conexões para dispositivos que não entendem o entronca-
mento (TANENBAUM; WETHERALL, 2011).
Descubra, af nal, o que é VLAN trunk (IEEE 802.1Q) disponível em: 
https://youtu.be/9C9TEm�1TkQ.Ex
pl
or
11
UNIDADE Redes Virtuais Locais (VLAN)
Por exemplo, um switch Cisco pode ser conectado a um switch que não en-
tende o entroncamento 802.1Q. O switch Cisco pode enviar quadros na VLAN 
nativa, significando que o quadro não tem cabeçalho de entroncamento para que o 
outro switch entenda o quadro. O conceito de VLAN nativa fornece aos switches 
a capacidade de, pelo menos, passar tráfego em uma VLAN – nativa –, o que pode 
permitir funções básicas, tal como a acessibilidade para telnet ou SSH – aplicações 
de conexão remota – em um switch.
Encaminhando Dados entre VLAN
Geralmente, em uma grande infraestrutura de campus LAN é normal que 
 tenhamos diversas VLAN criadas. Como vimos, quando criamos uma VLAN, con-
cebemos um domínio de broadcast que, por sua vez, não tem a capacidade de se 
comunicar com outros domínios por se tratar de uma tecnologia de camada 2; por 
esse motivo, precisamos compreender as formas conhecidas de transmissão de 
dados entre essas VLAN (CISCO, 2017a, 2017b).
Os switches ethernet são dispositivos da camada 2 em relação ao modelo de 
referência OSI, pois tomam a decisão de encaminhamento se baseando nos en-
dereços MAC aprendidos e armazenados em uma tabela de endereçamento de 
hardware. Alguns switches podem fazer determinadas funções como um roteador 
usando uma lógica adicional definida pelos protocolos da camada 3, de modo 
que esses switches são conhecidos como switches multicamadas – Multilayer 
 Switches (MLS) –, ou switches de camada 3, ou ainda switches L2/L3.
Assim, nesta oportunidade trataremos dos switches ethernet da forma que fo-
ram concebidos, ou seja, de camada de enlace, ou camada 2 e, nesse caso, para 
que os dados entre VLAN sejam propagados, torna-se necessária a aplicação de 
um dispositivo de rede com a capacidade de roteamento de pacotes como, por 
exemplo, um roteador (KEVIN; LACOSTE; HUCABY, 2015).
Comunicação de VLAN com um Roteador
Ao incluir VLAN em um projeto de campus LAN, os dispositivos em uma 
VLAN precisam estar na mesma sub-rede. Seguindo a mesma lógica de design, os 
dispositivos em diferentes VLAN necessitam estar em diferentes sub-redes.
Por sua vez, a rede como um todo precisa suportar o tráfego que entra e sai de 
cada VLAN, ainda que o comutador de camada 2 não encaminhe quadros fora de 
uma VLAN. O trabalho de encaminhamento dos dados que entram e saem de uma 
VLAN é atribuído aos roteadores. Logo, em vez de trocar quadros ethernet da 
camada 2 entre as duas VLAN, a rede deve rotear os pacotes da camada 3 entre 
as duas sub-redes.
A lógica da camada 2 não permite que essa possa alternarpara frente a unidade 
de dados de protocolo da camada 2 (L2PDU), o quadro ethernet, entre VLAN. 
12
13
No  entanto , os roteadores podem rotear PDU (L3PDU) de camada 3 – paco-
tes – entre sub-redes e, por esse motivo, tal técnica é devidamente implementada 
(CISCO , 2017a, 2017b).
Uma opção preferida usa um tronco – trunk – de VLAN entre o switch e 
 roteador, exigindo apenas um link físico entre esses dispositivos, podendo supor-
tar todas as VLAN criadas na rede. O entroncamento pode funcionar entre dois 
dispositivos que escolham suportar, por exemplo, dois switches entre um roteador 
e um switch, ou até mesmo entre o hardware do servidor com capacidade de 
 roteamento e um comutador de rede.
Figura 3 – Roteamento de VLAN com roteador e trunk
Fonte: oakwoodclub.org
Comunicação de VLAN com um Switch L2/L3
Roteamento de pacotes usando um roteador físico conectado a uma porta trunk 
em um switch de camada 2 é conhecido como router-on-stick ou, em português, 
roteador no palito e é uma forma clássica e barata de se fazer roteamento entre 
as VLAN criadas em uma rede. Os problemas desse tipo de solução estão relacio-
nados à vulnerabilidade da conexão de tronco, que pode acabar desconectada por 
engano ou falha, além das capacidades que o roteador poderá suportar em relação 
ao tráfego de rede.
13
UNIDADE Redes Virtuais Locais (VLAN)
A solução definitiva move as funções de roteamento dentro do hardware do 
switch LAN. Os fornecedores há muito começaram a combinar os recursos de 
hardware e software de sua camada 2 e switches LAN, além de roteamento de 
camada 3, criando produtos chamados de switches de camada 3 – igualmente 
conhecidos como switches multicamadas. Os switches da camada 3, ou apenas 
L3, podem ser configurados para atuar somente como um switch de camada 2, 
switch de camada 3, ou configurá-los de forma mista, onde são definidas quais 
portas farão a função de L2 e L3. Atualmente, muitas campus LAN corporativas 
de médio a grande porte utilizam switches de camada 3 para rotear pacotes entre 
sub-redes (VLAN) em um campus (DAVID; PETERSON, 2013).
No conceito, um switch de camada 3 funciona como os dois dispositivos origi-
nais nos quais o layer 3 switch é baseado e com estas capacidades: um switch de 
LAN de camada 2 e um roteador de camada 3. Apesar de serem mais caros que 
os switches de camada 2 – considerando as mesmas características de hardware –, 
tais equipamentos são mais ágeis, robustos e confiáveis para a infraestrutura de 
rede e, assim, obtém-se maior preferência para atualmente realizar essas funções 
(TANENBAUM; WETHERALL, 2011).
fa 0/1
172.17.17.9/30
Gi0/1
Gi0/1
fa 0/24
172.17.17.10/30
IEEE 802. 1Q
Gigabit Trunk
10.100.10.2/24 10.100.20.2/24
Corp
Cat3560
 L3SW
Cat2950
 L2SW
PC01 PC02
VLAN (Native) - 10.100.1.1/24
VLAN 10 - 10.100.10.1/24
VLAN 20 - 10.100.20.1/24
Native
VLAN 1
10.100.1.0/24
Marketing
VLAN 10
fa 0/1-4
10.100.10.0/24
Marketing
VLAN 20
fa 0/5-8
10.100.20.0/24
Figura 4 – Roteamento de VLAN com um switch L2/L3
14
15
Os switches da Cisco não exigem nenhuma configuração para funcionar. Você 
pode comprar um desses switches, instalar os dispositivos por meio do cabeamen-
to correto, ligá-los e com certeza funcionarão – é claro que, de uma forma clássica 
onde todas as suas interfaces estarão associadas à VLAN 1 criada e definida como 
padrão, ou seja, em um único domínio de broadcast.
Quando se deseja criar VLAN, associar as portas às quais e definir portas-
-troncos e outras características mais específicas, é necessário que um profis-
sional com conhecimento faça essas configurações. Para facilitar o seu entendi-
mento, descreveremos algumas etapas de configuração para um ambiente com 
tais necessidades:
Etapa 1 – para configurar uma nova VLAN:
• Dê uma olhada nas VLAN criadas no switch com o comando show vlan brief;
• A partir do modo de configuração, use o comando vlan vlan-id na configura-
ção global do modo para criar a VLAN e para mover o usuário para a confi-
guração de modo de VLAN;
• Opcional – use o comando name name no modo de configuração da VLAN 
para definir um nome para tal VLAN. Se não configurado, o nome da VLAN 
será VLANXXXX, onde XXXX é o ID da VLAN em decimal de quatro dígitos.
Etapa 2 – para cada interface de acesso (que não fizer o tronco, mas que per-
tencer a uma única VLAN):
• Use o comando número do tipo de interface no modo de configuração global 
para passar ao modo de configuração de interface para cada interface desejada;
• Use o comando switchport access vlan id-number na configuração do modo 
de interface para especificar o número da VLAN associado a essa interface;
• Opcional – utilize o comando de acesso do modo switchport na configuração 
de modo de interface para que essa porta funcione sempre no modo de acesso 
(ou seja, não tronco).
Para fazer tais configurações, insira os seguintes comandos:
SW_UNICSUL# show vlan brief
SW_UNICSUL# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
SW_UNICSUL(config)# vlan 2
SW_UNICSUL(config-vlan)# name ENGENHARIA
SW_UNICSUL(config-vlan)# exit
SW_UNICSUL(config)# interface range fastethernet 0/10 - 15
SW_UNICSUL(config-if)# switchport access vlan 2
SW_UNICSUL(config-if)# switchport mode access
SW_UNICSUL(config-if)# end
SW_UNICSUL# show running-config
SW_UNICSUL# show vlan brief
15
UNIDADE Redes Virtuais Locais (VLAN)
Os comandos aplicados no exemplo primeiramente verificam os estados das 
VLAN que tal dispositivo possui, acessando o modo global de configuração, criando 
uma VLAN como VLAN 2, definindo o seu nome administrativo como engenharia 
e saindo do modo global.
Na próxima etapa acessaremos as interfaces – agrupadas (range) – fastethernet 
0/10 até a fastethernet 0/15, associando esse grupo de interfaces à VLAN 2 
criada e a definindo como uma porta de acesso, ou seja, uma porta que receberá 
conexões de hosts usuários.
Assista, em inglês, aos conceitos de VLAN no vídeo disponível em: 
https://youtu.be/2hUUaG4o3DA.Ex
pl
or
Por fim, verifica a conformidade do arquivo de configuração que está na memória 
de trabalho RAM e depois averígua novamente o estado das VLAN nesse switch, po-
rém, agora com a VLAN 2 devidamente criada da porta 10 à 15 – associadas à qual.
Protocolo de Entroncamento de VLAN
A Cisco desenvolveu um protocolo conhecido como VLAN Trunking Protocol 
(VTP), que tem o objetivo de acelerar os processos de configuração das VLAN em uma 
infraestrutura de switches Cisco – o TP é um protocolo proprietário. Trata-se de uma 
ferramenta que anuncia cada VLAN configurada em um switch – com o comando vlan 
number – para que todos os outros switches no campus LAN conheçam essa VLAN.
No entanto, por várias razões, diversas empresas optam por não usar o VTP 
por questões de segurança em relação à falta de atenção dos profissionais que o 
configuram; mesmo assim, o nosso objetivo é apresentá-lo como uma ferramenta 
útil, desde que seja utilizada com conhecimento e siga os procedimentos apropria-
dos de configuração.
Esse protocolo VTP possui os switches em três estados: server – servidor –, 
transparent – transparente – e client – cliente. A fim de apresentar esse protocolo, 
torna-se importante definir alguns parâmetros, tal como verificar o status do VTP 
com o comando show vtp status. Se o seu switch estiver definido como servidor 
VTP ou modo cliente, você encontrará os comutadores no estado:
• Servidor, podendo configurar VLAN apenas no intervalo padrão – 1 a 1.005;
• De cliente, não podendo configurar VLAN;
• Tanto de servidor, quanto de cliente do VTP, podendo aprender novas VLAN 
de outros switches e verificar as suas VLAN excluídas por outros switches, em 
função da estrutura do VTP.
Conheceremos detalhadamente esse protocolo VTP em Unidade futura.
16
17
Configuração de Entroncamento de VLAN – Porta Trunk
A configuração de entroncamento entre dois switches Cisco pode ser simples 
se você apenas configurar estaticamente – manualmente – o entroncamento. Porexemplo, se dois switches Cisco 2960 se conectarem um ao outro, suportarão 
apenas os encapsulamentos de VLAN do tipo IEEE 802.1Q – e não ISL (isso já 
foi explicado).
Nesse caso, você poderia literalmente adicionar um subcomando de interface 
para a do switch em cada lado do link – trunk do modo switchport –, de modo 
que criaria um tronco de VLAN que suportaria todas as VLAN conhecidas por cada 
switch dessa configuração. No entanto, a configuração de trunking nos switches 
da Cisco inclui diversas outras opções, incluindo várias para negociar dinamica-
mente inúmeras configurações de entroncamento.
Caso seja um switch que suporte o protocolo ISL e o administrador queira apli-
car esse tipo de encapsulamento, torna-se necessário:
• Definir o tipo de entroncamento – IEEE 802.1Q ou ISL: suponhamos que 
você queira configurar dois switches que possuem várias VLAN criadas entre 
si; será necessário estabelecer, na porta que os conecta fisicamente, a porta de 
tronco – trunk port –, da seguinte forma:
Figura 5 – Conf guração de porta trunk
Fonte: Adaptado de Cisco, 2017
SW_UNICSUL# configure terminal
SW_UNICSUL(config)# interface fastethernet 0/1
SW_UNICSUL(config-if)# switchport mode trunk
SW_UNICSUL(config-if)# end
17
UNIDADE Redes Virtuais Locais (VLAN)
É importante que essa configuração seja realizada em ambas as interfaces que 
cumprirão o papel de tronco. Note que não definimos o tipo de encapsulamento 
desse tronco, pois consideramos que seja um switch que suporta apenas o pro-
tocolo IEEE 802.1Q – caso o switch suporte também o protocolo de encap-
sulamento ISL, será necessário definir o encapsulamento a ser utilizado com o 
seguinte comando:
SW_UNICSUL(config)# switchport trunk encapsulation dot1q
Ou:
SW_UNICSUL(config)# switchport trunk encapsulation isl
18
• Contextualização;
• Roteamento entre VLANs.
• Compreender e apresentar técnicas de dimensionamento de redes locais virtuais e 
roteamento entre VLANs.
OBJETIVO DE APRENDIZADO
Roteamento e Dimensionamento 
de VLANs 
UNIDADE Roteamento e Dimensionamento de VLANs 
Contextualização
Olá, caro(a) aluno(a), 
Como vimos em outras unidades, a criação e operação das VLANs em um switch 
ethernet é realizada em camada 2 do modelo OSI (Data Link) e a marcação da VLAN 
é feita através de um Tag conhecido como IEEE 802.1Q ou ISL da Cisco. 
Ao se criar várias VLAN temos vários domínios de broadcast separados. 
Por definição, uma VLAN não pode se comunicar com outra VLAN e por esse 
motivo surge a necessidade de aplicarmos roteamento entre as VLANs que de-
sejamos que se comuniquem. 
Nesta unidade, vamos conhecer essas técnicas de roteamento e também como 
dimensionar melhor essas redes virtuais.
8
9
Roteamento entre VLANs
Os hosts em uma VLAN vivem em seu próprio domínio de broadcast e podem 
se comunicar livremente nesse segmento. As VLANs podem criar particionamento 
de rede e separação de tráfego na camada 2 do modelo OSI, e, como dito em outras 
unidades, quando associamos hosts em uma VLAN, eles só podem se comunicar 
com hosts dentro de sua própria VLAN (Domínio de Broadcast). Para que hosts de 
uma VLAN possam se comunicar com hosts de uma outra VLAN, surge a neces-
sidade de aplicação de um dispositivo de rede que faça a função de roteamento em 
camada 3 (COMER,2016). 
Para que isso se realize, podemos utilizar um roteador que tenha uma interface 
Ethernet para cada VLAN, ou um roteador que suporte o entroncamento de pro-
tocolos de marcação (Tag) do tipo ISL da Cisco, ou IEEE 802.1q (Dot1Q). A Cisco 
praticamente se afastou da utilização de seu protocolo ISL, então provavelmente, 
deveremos utilizar o 802.1q para esse tipo de encapsulamento de VLAN. 
De qualquer forma, se estivéssemos utilizando duas ou três VLANs em uma 
infraestrutura de rede, poderíamos obter um roteador equipado com duas ou três 
conexões FastEthernet ou GigabitEthernet, por exemplo. Cada uma dessas in-
terfaces do roteador estaria conectada a um link de acesso, que faria a função de 
um gateway da respectiva VLAN, e, por esse motivo, cada uma dessas interfaces 
também estaria relacionada a um endereço IP de rede/sub-rede com a função de 
identificá-las e separá-las em camada 3 (KUROSE, 2013).
Figura 1 – Roteador conectado a três VLANs ou LANs segmentadas para a comunicação InterVLAN 
Observe que a comunicação de InterLAN é limitada à quantidade de portas físi-
cas que o dispositivo que fará o roteamento pode suportar. Caso se deseje conectar 
mais VLANs disponíveis do que as interfaces do roteador, é possível configurar o 
entroncamento em uma interface FastEthernet, ou então adquirir um switch de 
camada 3. Ou seja, ao invés de se usar uma interface de roteador para cada VLAN, 
poderíamos utilizar uma interface FastEthernet que execute o entroncamento do 
tipo ISL ou 802.1q. 
9
UNIDADE Roteamento e Dimensionamento de VLANs 
Quando criamos uma interface de entroncamento, por definição, todos os qua-
dros marcados com TAG ISL ou 802.1q devem passar por essa porta. Por esse 
motivo, definimos um entroncamento – também chamado de porta “trunk”, ou 
no português, uma porta tronco – uma interface que passa por padrão todas as 
VLANs de uma infraestrutura de rede (CISCO, 2017).
 
Figura 2 – Roteador conectado a três VLANs através de uma porta tronco
É importante ressaltar que a técnica de entroncamento cria um gargalo poten-
cial, assim como um único ponto de falha, então sua contagem de host/VLAN é 
limitada, dependendo dos dispositivos de rede e das vazões dos meios físicos de co-
municação utilizados nessa estrutura. Essa técnica de entroncamento e roteamento 
de VLANs, utilizando uma interface Ethernet e conectando um roteador e um 
switch é conhecida como “router-on-stick” ou, em português, roteador no palito, 
ou roteador no bastão, em função do desenho que apresenta. Essa interface física 
de conexão no roteador suporta várias interfaces lógicas (sub-interfaces) e essas 
agem como portas gateway identificadas em cada rede/sub-rede, como ocorre na 
InterVLAN (roteamento de VLANs) tradicional.
 
GigabitEthernet 0/0GigabitEthernet 0/0.1
GigabitEthernet 0/0.2
GigabitEthernet 0/0.3
Figura 3 – Roteador e Inter�aces Lógicas Criadas
Podemos então notar uma interface física devidamente particionada, ou dividi-
da, em várias interfaces lógicas, conhecidas como sub-interfaces, que carregam um 
endereço IP atribuído por cada VLAN e agem como a interface padrão (default 
gateway) dessa VLAN criada. 
10
11
Além disso, cada sub-interface precisa ser identificada com o tipo de encapsu-
lamento de VLAN devidamente utilizado na infraestrutura de rede. É importante 
também verificar que o processo de roteamento age praticamente de uma forma 
automática quando se configura essa interface física dividida em várias interfaces ló-
gicas, cada uma com seu endereço IP, pois como podemos observar no roteamento 
clássico, rotas diretamente configuradas podem ser rotadas entre si, sem a necessida-
de de um protocolo de roteamento dinâmico ser aplicado (COMER,2016).
Roteamento entre VLANs e Rota estática para Switches HP, 3Com e H3C. 
Disponível em: https://youtu.be/OvSAt-XLAUU.Ex
pl
or
Outra forma de se fazer roteamento de VLANs em uma infraestrutura de redes 
é a aplicação da configuração de interfaces virtuais (SVIs – Interface Virtual Comu-
tada) em um switch de camada 3, também chamado de switch L2/L3, ou apenas 
de switch L3. Esse processo também é conhecido por IVR (InterVLAN Routing) 
/ SVIs (Switched Virtual Interface).
Router (7206VXR)
Internet
Fa 0/0
Fa 0/48Catalyst 3550
SERVER_1
Catalyst 2950
Vlan 10 - 10.1.10.2
Catalyst 2948G
Sc0 - 10.1.10.3
SERVER_2
HOST_1 HOST_2
SERVER_3
Gig 0/1 Gig 0/2
Gig 0/1
Fa 0/17 Fa 0/33 2/232/2
2/49
Fa 0/5
Vlan 2 - 10.1.2.1
Vlan 3 - 10.1.3.1
Vlan 10 - 10.1.10.1
Figura 4 – Roteamento de VLANs realizado através de SVIs em um Switch L3
11
UNIDADE Roteamento e Dimensionamento de VLANs 
O processo de IVR requer pouco esforço e é mais fácil para se implementar, o 
que o tornaatualmente numa técnica mais utilizada. Contudo, isso vai depender de 
cada recurso que a rede possa ter, pois é necessário adquirir um switch multicama-
das (MLS), que geralmente tem um custo superior ao de um roteador tradicional 
(dependendo da sua arquitetura, é claro). Além disso, é uma técnica muito mais 
eficiente para o roteamento entre VLANs do que um roteador externo. Para im-
plementar o IVR em um switch multicamadas, precisamos apenas criar interfaces 
lógicas na configuração do switch para cada VLAN (CISCO, 2017).
Confgurando o Roteamento entre VLANs
Por padrão, somente hosts que são membros da mesma VLAN podem se comuni-
car. Para mudar isso é necessário permitir a comunicação entre VLANs através de um 
roteador ou de um switch multicamadas ou de camada 3. Vamos abordar primeiramente 
um exemplo de configuração usando um roteador. Para suportar o roteamento ISL ou 
802.1q em uma interface FastEthernet, a interface do roteador é dividida em interfaces 
lógicas (sub-interfaces), uma para cada VLAN devidamente criada na rede e que necessita 
ser roteada. De uma interface FastEthernet ou GigabitEthernet, você pode definir a 
interface para o entroncamento (ou apenas tronco) com o comando de encapsulamento:
UNICSUL# config t
UNICSUL(config)# interface f0/0.1
UNICSUL(config-subif)# encapsulation ?
dot1Q IEEE 802.1Q Virtual LAN
UNICSUL(config-subif)# encapsulation dot1Q ?
<1-4094> IEEE 802.1Q VLAN ID
No exemplo, estamos usando um roteador da família ISR 2811, que suporta 
apenas o tipo de encapsulamento 802.1q. Ou seja, caso se deseje usar o encap-
sulamento ISL, é necessário utilizar um roteador que o suporta, e provavelmente 
um roteador mais ultrapassado do que os modelos ISR (Cisco Integrated Service 
Routers). Note que para se criar uma sub-interface sob uma interface física, não 
existe um comando específico, e sim um comando como se estivesse adentrando 
em um nova interface, ou seja, basta apenas aplicar o comando “interface” seguido 
da interface física e da sub-interface que se deseja criar, nesse caso a sub-interface 
0.1 (zero ponto um).
Para apresentar se o roteador pode suportar mais tipos de encapsuladores de 
VLANs, inserimos o “?” após o “encasulation” e verificamos que este roteador 
utilizado apenas suporta o IEEE 802.1q, que inclusive é o mais utilizado atualmente 
(o ISL da Cisco praticamente foi descontinuado). Também notamos que este dispo-
sitivo suporta a criação de pelo menos 4094 VLANs que, de certa forma, é uma 
excelente quantidade para a maioria das redes corporativas. Caso se necessite de 
um dispositivo que suporte uma quantidade maior de VLANs, recomenda-se adqui-
rir dispositivos mais robustos do que o ISR 2811.
12
13
É importante comentar que a sub-interface tem apenas um significado local, por 
isso não importa quais números de sub-interfaces são configurados no roteador. 
Na maioria das vezes, se configura uma sub-interface com o mesmo número da 
VLAN que se deseja rotear. O número da sub-interface é utilizado apenas para fins 
administrativos. É muito importante que se entenda que cada VLAN é, na verdade, 
uma sub-rede separada. 
Esta técnica é definida como roteador no palito e irá fornecer roteamento Inter-
-VLAN, podendo também ser usada para encaminhar o tráfego a montante da 
rede comutada para outras partes da rede corporativa, ou até mesmo para a Inter-
net, que é uma rede exterior à topologia (ROCHOL, 2012).
Multilayer Switch InterVLAN Routing (Em Inglês) em: https://youtu.be/BvH�Qc3_l4I.
Ex
pl
or
Cada sub-interface deve possuir um endereço IP que identifica o gateway pa-
drão da respectiva VLAN. Geralmente, para facilitar a gerência, usamos no núme-
ro de sub-interface o mesmo que o número de VLAN ID que identifica uma VLAN. 
Por exemplo, se criamos uma VLAN 10, então se costuma aplicar a sub-interface 
f0/0.10. Note que fica mais fácil entender, dessa forma, qual sub-interface está 
associada à qual VLAN (DAVID, 2013).
• Exemplo 1 de Roteamento InterVLAN:
 
1841
Router1
2960-24TT
Switch0
PC-PT
PC1
PC-PT
PC0
PC-PT
PC2
1841
Router1
2960-24TT
Switch0
Figura 5 – Exemplo 1 de Roteamento InterVLAN com entroncamento 
13
UNIDADE Roteamento e Dimensionamento de VLANs 
 » Exemplo de Configuração no Roteador:
RO_UNICSUL(config)# Interface fastethernet 0/1
RO_UNICSUL(config-if)# ip address 192.168.10.1 255.255.255.240
RO_UNICSUL(config-if)# exit
RO_UNICSUL(config-subif)# interface fastethernet 0/1.20
RO_UNICSUL(config-subif)# encapsulation dot1q 20
RO_UNICSUL(config-subif)# ip address 192.168.20.1 255.255.255.0
RO_UNICSUL(config-subif)# interface fastethernet 0/1.30
RO_UNICSUL(config-subif)# encapsulation dot1q 30
RO_UNICSUL(config-subif)# ip address 192.168.30.1 255.255.255.0
RO_UNICSUL(config-subif)# interface fastethernet 0/1.40
RO_UNICSUL(config-subif)# encapsulation dot1q 40
RO_UNICSUL(config-subif)# ip address 192.168.40.1 255.255.255.0
 » Exemplo de Configuração no Switch:
SW_UNICSUL# config t
SW_UNICSUL(config)# interface fa0/1
SW_UNICSUL(config-if)# switchport mode trunk
Faça você no Switch:
• Crie as VLANs 20, 30 e 40. Coloque os nomes Professores, Administra-
ção e Estudantes, respectivamente.
• Associe as portas fa0/2 na VLAN 20, fa0/3 na VLAN 30 e a fa0/4 na 
VLAN 40.
• Coloque as portas como modo de acesso e as tire de shutdown.
Faça você nos Hosts:
• Configure no Host A um endereço IP na sub-rede da VLAN 20.
• Configure no Host B um endereço IP na sub-rede da VLAN 30.
• Configure no Host C um endereço IP na sub-rede da VLAN 40.
• Aponte no Host A um endereço IP de default-gateway na VLAN 20.
• Aponte no Host B um endereço IP de default-gateway na VLAN 30.
• Aponte no Host C um endereço IP de default-gateway na VLAN 40.
14
15
• Exemplo 2 de Roteamento InterVLAN:
PC-PT
PC1 (VLAN 2)
PC-PT
PC0 (VLAN 3)
2960-24TT
Switch0
1841
Router1
Figura 6 – Exemplo 2 de Roteamento InterVLAN com entroncamento 
 » Exemplo de Configuração no Switch:
SW#config t
SW(config)#int f0/1
SW(config-if)#switchport mode trunk
SW(config-if)#int f0/2
SW(config-if)#switchport access vlan 2
SW(config-if)#int f0/3
SW(config-if)#switchport access vlan 3
SW#config t
SW(config)#int vlan 1
SW(config-if)#ip address 192.168.10.2 255.255.255.0
SW(config-if)#no shutdown
SW(config-if)#exit
SW(config)#ip default-gateway 192.168.10.1
15
UNIDADE Roteamento e Dimensionamento de VLANs 
 » Exemplo de Configuração no Roteador:
ISR#config t
ISR(config)#int f0/0
ISR(config-if)#ip address 192.168.10.1 255.255.255.0
ISR(config-if)#no shutdown
ISR(config-if)#int f0/0.2
ISR(config-subif)#encapsulation dot1q 2
ISR(config-subif)#ip address 172.16.10.1 255.255.255.128
ISR(config-subif)#int f0/0.3
ISR(config-subif)#encapsulation dot1q 3
ISR(config-subif)#ip address 172.16.10.254 255.255.255.128
• Exemplo 3 de Roteamento InterVLAN com SW L3:
PC-PT
PC0 (VLAN 10)
PC-PT
PC1 (VLAN 20)
3560-24PG
Multilayer Switch0
Figura 7 – Exemplo 3 de Roteamento InterVLAN com SW Multicamadas 
Certifique-se de que os hosts já estão configurados com o endereço IP, a 
máscara de sub-rede e o endereço de gateway padrão usando o primeiro 
endereço no intervalo. As configurações de VLANs que devem ser criadas no 
switch também deveriam estar configuradas. Faça o roteamento de VLANs 
usando o switch multicamadas da seguinte forma:
SW_3560(config)#ip routing
SW_3560(config)#int vlan 10
SW_3560(config-if)#ip address 192.168.10.1 255.255.255.0
SW_3560(config-if)#int vlan 20
SW_3560(config-if)#ip address 192.168.20.1 255.255.255.0
O switch modelo Cisco Catalyst 3560 é um switch multicamadas, também conhecido como 
switch L2/L3. Para isso devemos usar os modelos que suportam tal confguração.Ex
pl
or
16
• Evitando Loops de Camada 2;
• Spanning Tree Protocol (STP).
• Compreender os possíveis problemas de loops de camada 2 em redes ethernet;
• Apresentar protocolos de redundância de links que evitam esses loops de camada de 
enlace, como, por exemplo, o STP, RSTP e outros.
OBJETIVOS DE APRENDIZADO
Redundânciade Links
UNIDADE Redundância de Links
Contextualização
As redes ethernet se comunicam através de um meio compartilhado e usando 
um método de acesso conhecido como CSM/CD. Por características próprias, 
quando se aplica uma redundância de link (dois links ligados em dois switches, 
por exemplo), pode-se causar um evento conhecido como loop de camada 2 e este 
acarretará vários problemas nessa infraestrutura de rede. 
Nesta unidade, vamos apresentar quando e como esses loops de camada 2 
ocorrem, suas consequências e formas de contornar tal problema usando o 
Spanning Tree Protocol, ou apenas STP.
8
9
Evitando Loops de Camada 2
As redes Ethernet foram desenvolvidas na década de 1970 para serem utiliza-
das em ambientes locais e com uma quantidade de máquinas limitada, como cerca 
de 20 ou 30 computadores ligados através de um barramento coaxial conhecido 
como 10BASE2. Esses computadores eram interligados uns aos outros usando um 
conector chamado BNC do tipo T e que conectava esse cabo coaxial em forma de 
varal ou barramento (STALLINGS, 2010).
Como já vimos, as redes Ethernet são um tipo de rede não determinística, ou 
seja, não é possível identificar quem irá enviar um dado a alguém em um exato 
momento, pois é uma rede de meio físico compartilhado. Ou seja, quem transmitir 
primeiro será atendido. Caso essa transmissão seja “ouvida” por outros compu-
tadores que desejam transmitir, esses devem aguardar tal barramento ficar livre, 
para que possam enviar suas informações aos seus destinatários corretamente.
Por ventura, pode ocorrer que um computador transmita um dado ao mesmo tem-
po que um outro host transmite; caso isso ocorra, irá acontecer o que chamamos 
de colisão de dados.
Essa colisão de dados também é identificada pelo método de acesso da rede 
ethernet conhecido como CSMA/CD, que a identifica e solicita que as máquinas 
desse barramento deixem de enviar dados por um tempo aleatório, até que a 
portadora esteja novamente disponível para o envio. Até o momento, não contamos 
nada de novo nesta unidade, pois tal processo é a forma de funcionamento das 
redes Ethernet e nada de errado aconteceu até o momento. É importante também 
salientar que os broadcasts não são um problema e sim também uma consequência de 
como tal arquitetura de rede funciona (o problema seria a tempestade de broadcasts) 
(COMER, 2016).
O grande limitador que é identificado é em relação à redundância de links nesses 
tipos de rede. Ou seja, quando temos dois ou mais links ligados entre os switches 
Ethernet por características do funcionamento normal dessa rede, pode ocorrer 
um loop de camada 2 e esse sim trazer problemas para sua arquitetura. Os links 
redundantes entre switches são uma boa ideia de utilização, pois ajudam a evitar 
falhas de rede irrecuperáveis no caso de um link parar de funcionar. Parece ótimo, 
mas mesmo que os links redundantes possam ser extremamente úteis, eles geral-
mente causam mais problemas do que resolvem. Isso ocorre porque os quadros 
podem ser inundados em todos os links redundantes simultaneamente, criando 
loops de rede e outros males. Veja uma lista de alguns dos problemas mais sérios:
• Se nenhuma tecnologia de evitar os loops for colocada em prática, os switches 
inundarão as transmissões interminavelmente por toda a infraestrutura de rede. 
Isso às vezes é referido como uma tempestade de transmissão ou tempestade 
de broadcast, que age como uma transmissão propagada por toda a rede;
9
UNIDADE Redundância de Links
• Um dispositivo pode receber várias cópias do mesmo quadro, já que esse 
quadro pode chegar de diferentes segmentos de rede ou interfaces ao mes-
mo tempo;
• A tabela de filtros de endereços MAC pode ficar totalmente confusa sobre a 
localização do dispositivo de origem, porque o switch pode receber o quadro 
de mais de um link. O switch confuso poderia ter lentidão ou até mesmo tra-
vamento em constante atualização à tabela de filtros MAC, com locais de en-
dereços de hardware de origem que não conseguirão encaminhar um quadro;
• Além disso, podem acontecer múltiplos loops gerados em toda a rede. Isso 
significa que os loops podem ocorrer dentro de outros loops, e se uma tem-
pestade de broadcast ocorrer, a rede não seria capaz de realizar comutação 
de quadros;
• Além disso, poderá também ocorrer o travamento dos comutadores de rede, 
que podem acabar perdendo suas capacidades de hardware (CPU, processa-
mento, memória, etc.).
Figura 1 – Loop de camada 2
Spanning Tree Protocol (STP)
Em meados da década de 1980, a DEC - Digital Equipment Corporation, ad-
quirida pela Compaq e que mais tarde foi adquirida pela HP, desenvolveu a versão 
original do Spanning Tree Protocol, ou apenas STP. O IEEE, posteriormente, 
criou e padronizou sua própria versão do STP, chamada 802.1D. A Cisco avançou 
em direção a outro padrão de mercado em seus switches mais recentes, o 802.1w, 
que seria o RSTP e que abordaremos daqui a pouco, porém antes é importante 
10
11
conhecer as características originais desse protocolo que são usadas como compa-
rativo para suas novas versões, tanto proprietárias como padronizadas pelos ór-
gãos de padronização. Vamos, então, definir algumas noções básicas importantes 
de STP (ROCHOL, 2012).
A principal tarefa do STP é impedir a ocorrência de loops de rede de camada 2 
(bridges ou switches). Atua de forma vigilante à rede para encontrar todos links, 
certificando-se de que não ocorram esses loops, desligando quaisquer links redun-
dantes e aguardando eventuais falhas para colocá-los em atividade, protegendo a 
rede e permitindo uma maior disponibilidade de recursos. O STP usa o algoritmo 
spanning-tree (STA) para criar primeiro uma topologia de banco de dados e, em 
seguida, pode pesquisar e desabilitar links redundantes. Com o STP em execução, 
os quadros serão encaminhados apenas para os links principais selecionados pelo 
STP (CISCO, 2017).
Como funciona o Spanning Tree Protocol: https://youtu.be/8C9ECuWZ8Fw.
Ex
pl
or
Antes de começarmos a descrever os detalhes de como o STP funciona efetiva-
mente na rede, precisamos entender algumas ideias e termos básicos e como eles 
se relacionam dentro da rede comutada da camada 2:
• BPDU (Bridge Protocol Data Unit): todos os switches trocam informações 
para usar na seleção da bridge raiz, bem como na configuração subsequente 
da rede.
 » Cada switch compara os parâmetros de BPDU que envia a um vizinho com 
os que ele recebe de outros vizinhos.
• Bridge ID (Identificados da Bridge): o ID da bridge é como o STP monitora 
todos os switches na rede. É determinado por uma combinação da prioridade 
da bridge, que é 32.768 por padrão, e o endereço MAC base do comutador. 
O Bridge ID de número mais baixo torna-se a ponte raiz na topologia do STP.
• Ponte Raiz (Root Bridge): a ponte raiz é o comutador com o melhor Bridge 
ID. Na topologia STP, todos os switches na rede elegem uma bridge raiz 
que se torna o ponto focal na rede. Todas as outras decisões na rede, como 
qual porta deve ser bloqueada e qual porta deve ser colocada no modo de 
encaminhamento, são feitas da perspectiva dessa ponte raiz. Uma vez que 
uma bridge raiz é eleita na rede, todas as outras bridges fornecem um único 
caminho para esta bridge raiz. A porta com o melhor caminho para a bridge 
raiz é chamada de porta raiz (Root Port).
• Pontes Não Raiz (Non-Root Bridge): estas são todas as bridges que não são 
a bridge raiz. Pontes não raiz trocam BPDUs com todas as pontes e atualizam 
o banco de dados STP da topologia em todos os switches, impedindo loops e 
fornecendo uma medida de defesa contra falhas de link.
11
UNIDADE Redundância de Links
• Custo da Porta (Port Cost): o custo da porta determina o melhor caminho 
quando vários links são usados entre dois switches. O custo de um link é de-
terminado pela largura de banda de um link.
• Porta Raiz (Root Port): a porta raiz é sempre o link diretamente conectado 
à bridge raiz ou o caminho mais baixo para a ponte raiz. Se mais de um link 
conecta-se àbridge raiz, então um custo de porta é determinado pela verifica-
ção da largura de banda de cada link. A porta de menor custo se torna a porta 
raiz. Se vários switches “upstream” tiverem o mesmo custo, a ponte com o 
Bridge ID de publicidade inferior será usada. Quando vários links se conectam 
ao mesmo dispositivo, a porta conectada ao número de porta mais baixo no 
comutador a montante será usada.
• Porta de Encaminhamento (Forwarding Port): uma porta de encaminha-
mento encaminha quadros e pode ser uma porta raiz ou uma porta designada.
• Porta Designada (Designated Port): uma porta designada é aquela que 
foi determinada como tendo o melhor (menor) custo para a bridge raiz atra-
vés de sua porta raiz. Uma porta designada será marcada como uma porta 
de encaminhamento.
• Porta Não Designada (Nondesignated Port): uma porta não designada é 
aquela com um custo maior do que a porta designada. São o que restam depois 
das portas raiz e portas designadas determinadas. Portas não designadas são co-
locadas no modo de bloqueio, dados não serão encaminhados por essas portas.
• Porta Bloqueada (Blocked Port): uma porta bloqueada é a porta que pode 
evitar loops e por este motivo não encaminhará quadros de dados. No entan-
to, uma porta bloqueada sempre ouvirá quadros de BPDU.
Operações do Spanning Tree
O trabalho da STP é encontrar todos os links na rede e desligar todos os re-
dundantes, evitando, assim, que ocorram loops de rede. O STP faz isso primeiro 
elegendo uma bridge raiz que encaminhará todas as portas e atuará como um 
ponto de referência para todos os outros comutadores dentro do domínio de STP. 
Uma vez que todos os switches concordam em quem é a bridge raiz, cada bridge 
deve encontrar sua única porta raiz. Cada link entre dois switches deve ter uma 
e apenas uma porta designada, a porta nesse link que fornece a maior largura de 
banda em direção à raiz.
É muito importante lembrar que uma bridge pode passar por muitas outras 
bridges para chegar à raiz, o que significa que nem sempre é o caminho mais cur-
to, mas o caminho mais rápido (maior largura de banda) que será o utilizado.
Obviamente, toda porta na bridge raiz é uma porta designada (porta de enca-
minhamento para um segmento). Qualquer porta que não seja uma porta raiz ou 
uma porta designada, o que significa que é uma porta não raiz, não designada, é 
12
13
colocada no estado de bloqueio, quebrando, assim, o loop de comutação de cama-
da 2 (KEVIN, 2015).
Selecionando a ponte raiz
O Bridge ID é usado para eleger a bridge raiz no domínio STP e para determi-
nar a porta raiz de cada um dos dispositivos restantes no domínio de STP quando 
houver várias portas raiz candidatas disponíveis e os custos do caminho forem 
iguais. Esse ID tem 8 bytes de comprimento e inclui a prioridade e o endereço 
MAC do dispositivo comutador. A prioridade padrão em todos os dispositivos que 
executam a versão do IEEE STP é 32.768. Para determinar a bridge raiz, você 
combina a prioridade de cada ponte com seu endereço MAC. Se dois switches ou 
bridges tiverem o mesmo valor de prioridade, o endereço MAC se torna o compo-
nente de desempate para descobrir qual deles tem a ID mais baixa (melhor).
Figura 2 – Topologia STP
Por padrão, antes da eleição da ponte raiz, os BPDUs são enviados a cada dois 
(2) segundos para todas as portas ativas em uma ponte/ comutador; novamente, a 
ponte com o menor (melhor) Bridge ID é eleita a bridge raiz. É possível alterar o 
ID da bridge manualmente, diminuindo sua prioridade para que ela se torne uma 
ponte raiz automaticamente, o que inclusive é recomendado aos administradores 
de rede, pois assim é possível escolher o equipamento que fará o papel central da 
topologia de STP (KEVIN, 2015).
Estados de transição do Spanning-Tree
As portas em uma ponte ou com o comutador executando IEEE 802.1d STP 
podem passar por cinco estados diferentes:
• Bloqueio (Blocking): uma porta bloqueada não encaminhará quadros; ele 
apenas escuta BPDUs. A finalidade do estado de bloqueio é impedir o uso de 
13
UNIDADE Redundância de Links
caminhos de loop. Todas as portas estão no estado de bloqueio por padrão 
quando o switch é ligado.
• Escutar (Listening): a porta escuta BPDUs para garantir que não ocorram 
loops na rede antes de passar quadros de dados. Uma porta no estado de 
escuta se prepara para encaminhar quadros de dados sem preencher a tabela 
de endereços MAC.
• Aprendizado (Learning): a porta do switch ouve os BPDUs e aprende todos 
os caminhos na rede comutada. Uma porta no estado de aprendizado preen-
che a tabela de endereços MAC, mas ainda não encaminha quadros de dados. 
O atraso de encaminhamento significa o tempo que leva para fazer a transição 
de uma porta para ouvir o modo de aprendizado (ou da aprendizagem para 
o modo de encaminhamento), que é definido como 15 segundos por padrão.
• Encaminhamento (Forwarding): a porta envia e recebe todos os quadros de 
dados na porta em ponte. Se a porta ainda for uma porta designada ou raiz 
no final do estado de aprendizado, ela entra no estado de encaminhamento.
• Desabilitado (Disabled): tecnicamente não é um estado de transição. Uma por-
ta no estado desabilitado (administrativamente) não participa do encaminhamento 
de quadros. Uma porta no estado desativado é virtualmente não operacional.
As portas de switch estão mais frequentemente no estado de bloqueio ou en-
caminhamento. Uma porta de encaminhamento é tipicamente aquela que foi de-
terminada para ter menor (melhor) custo para a bridge raiz. Mas quando e se a 
rede experimenta uma alteração de topologia (por causa de um link com falha, 
por exemplo), as portas em um switch passarão por estados de escuta e aprendi-
zado. Como mencionado, o bloqueio de portas é uma estratégia para evitar loops 
de rede. Quando um switch determina o melhor caminho para a porta raiz, bem 
como quaisquer portas designadas, todas as outras portas redundantes estarão no 
modo de bloqueio. Portas bloqueadas ainda podem receber BPDUs, elas simples-
mente não enviam qualquer quadro de dados e é por esse motivo que não se pode 
confundir uma porta no estado de bloqueio no STP com uma porta em shutdown, 
essa última sim parada para qualquer transmissão de dados e BPDUs. Se um switch 
determinar que uma porta bloqueada deve agora ser a porta designada ou raiz de-
vido a uma alteração de topologia, ela entrará no modo de escuta e verifica todos 
os BPDUs recebidos para garantir que eles não criarão um loop quando a porta for 
para o modo de encaminhamento (CISCO, 2017).
Convergência do STP
A convergência do STP ocorre quando todas as portas em bridges e switches 
passaram para os modos de encaminhamento ou bloqueio. Nenhum dado será en-
caminhado até que a convergência esteja completa. No caso do STP original, esse 
tempo de convergência é de 50 segundos, o que em muitos tipos de redes pode 
ser um problema. Por esse motivo, o STP acabou se atualizando e criando novas 
versões, que, além de melhorias técnicas significativas, trouxeram também tempos 
14
15
de convergência menores. Também para que o tempo de convergência seja menor, 
é possível configurar os “timers” no STP e/ou utilizar técnicas já implementadas, 
como, por exemplo, o Port Fast e outras.
Spanning Tree Port Fast
Nós administradores de rede devemos ter, de uma certa forma, controle de 
nossa topologia de rede e realmente saber quais são e onde são conectados os 
hosts. Se tivermos, por exemplo, um servidor conectado em uma porta de um 
switch, com certeza este dispositivo não causará um loop (exceto se ele for ligado 
por duas portas e não tiver mecanismo de team ou agregação de link). Em função 
disso, essa porta do switch não necessitaria participar do processo de eleição do
spanning tree e por esse motivo tal porta poderia estar desativada para isso.
O nome dessa funcionalidade é spanning tree portfast ou apenas portfast, ela é 
aplicada em uma porta em que o administrador tenha certeza de que não causará 
um eventual loop, pois, como foi dito,se for adicionado nessa interface algum 
dispositivo, como, por exemplo, um hub ou switch de uma forma redundante, um 
loop de camada 2 poderá ocorrer. O portfast, com certeza, é um bom recurso, que 
minimiza os tempos de convergência de 50 segundos para colocar uma máquina 
no estado de encaminhamento.
Spanning Tree UplinkFast
O UplinkFast é um recurso específico da Cisco que também melhora o tempo 
de convergência do STP em caso de falha no link. O recurso UplinkFast foi pro-
jetado para ser executado em um ambiente comutado, onde o comutador tem pelo 
menos uma porta raiz alternada/ backup (uma porta no estado de bloqueio). É por 
isso que a Cisco recomenda que o UplinkFast seja ativado apenas para switches 
com portas bloqueadas e, normalmente, na camada de acesso, considerando um 
layout hierárquico em camadas. O UplinkFast permite que um switch encontre 
caminhos alternativos para a bridge raiz antes que o link principal falhe. Isso signi-
fica que se o link principal falhar, o link secundário apareceria mais rapidamente, 
a porta não esperaria o tempo normal de convergência de STP de 50 segundos.
Então, se você está executando o 802.1d STP e você tem links redundantes em seus 
switches da camada de acesso, você definitivamente poderá ativar o UplinkFast.
Spanning Tree BackboneFast
Ao contrário do UplinkFast, que é usado para determinar e corrigir rapidamen-
te as falhas de link no switch local, outra extensão do STP da Cisco é conheci-
da como BackboneFast e que é usada para acelerar a convergência quando um 
link que não está diretamente conectado ao switch falhe. Se um switch rodando
BackboneFast recebe um BPDU inferior de sua porta designada, ele sabe que um 
link no caminho para a raiz falhou. Um BPDU inferior é aquele que lista o mesmo 
15
UNIDADE Redundância de Links
comutador para a ponte raiz e a ponte designada. E, novamente, o contrário do 
UplinkFast, que é configurado apenas em switches da camada de acesso com 
links redundantes e pelo menos um link no modo de bloqueio. O BackboneFast 
deve ser ativado em todos os switches Catalyst para permitir a detecção de falhas 
de link indireto. Isso é benéfico porque inicia a reconfiguração do STP mais rapi-
damente; podendo economizar 20 segundos na convergência padrão do STP, que 
é de 50 segundos, como já foi dito.
EtherChannel
Em vez de ter links redundantes e permitir que o STP coloque um dos links no 
modo BLK (bloqueado), podemos agrupar os links e criar uma agregação lógica 
para que os nossos vários links apareçam como sendo um único para a topologia. 
Há uma versão de agregação de link da Cisco EtherChannel e a versão IEEE. 
A versão da Cisco é chamada de Protocolo de Agregação de Portas (PAgP - Port 
Aggregation Protocol) e o padrão IEEE 802.3ad é chamado de Protocolo de Con-
trole de Agregação de Link (LACP - Link Aggregation Control Protocol).
Como funciona o protocolo Spanning Tree em uma LAN?: https://youtu.be/7kVemWNDUIo.
Ex
pl
or
Rapid Spanning Tree Protocol (RSTP) 802.1w
A Cisco criou o PortFast, o UplinkFast e o BackboneFast para “consertar” 
os furos e as obrigações que o padrão IEEE 802.1d apresentou. As desvanta-
gens desses aprimoramentos são por causa dessas características proprietárias da 
Cisco, ou seja, esses protocolos podem não funcionar em ambientes mesclados de 
comutadores de outros fabricantes. O novo padrão 802.1w (RSTP) aborda todos 
esses “problemas” em um pacote restrito. É importante certificar-se de que todos 
os comutadores da sua rede estejam executando o protocolo 802.1w, para que o 
mesmo possa funcionar corretamente (CISCO, 2017).
O RSTP não foi projetado para ser um protocolo “novinho em folha”, mas 
sim mais uma evolução do padrão 802.1d, com um tempo de convergência mais 
rápido assim que a mudança de topologia ocorre. A compatibilidade com versões 
anteriores era obrigatória quando o 802.1w foi criado. O 802.1w é definido nesses 
diferentes estados de porta:
• Desativado (Disabled) = Descartando;
• Bloqueio (Blocking) = Descartando;
• Escutar (Listening) = Descartando;
• Aprendizagem (Learning) = Aprendizagem;
• Encaminhamento (Forwarding) = Encaminhamento.
16
17
Além das mudanças em relação aos estados de portas do RSTP, também se atu-
alizou o custo das portas em função das novas tecnologias de meios físicos que vêm 
surgindo no mercado. O STP original é um protocolo da década de 80, naquela 
época não tínhamos interfaces físicas com vazão de dados de 80 ou 100 Gigabit 
Ethernet. No caso, o STP 802.1d possui 5 estados; o RSTP possui 3 estados.
Versões do STP
O 802.1d ou STP original evoluiu com o tempo e várias versões compatíveis 
surgiram conforme necessidades atuais das topologias redundantes de rede. Pode-
mos descrever pelo menos três versões da versão original 802.1D do STP:
• CST - Common Spanning Tree;
• PVST - Per-VLAN Spanning Tree;
• PVST+ - Per-VLAN Spanning Tree Plus.
A versão CST utiliza uma única instância do STP para todas as VLANs cria-
das nos switches da topologia e às vezes é chamada como mono spanning tree.
Todas as BPDU do CST são enviadas pela VLAN nativa e em uma porta de tronco 
(trunk), portanto os quadros não são marcados.
Já o PVST emprega uma instância STP separada para cada VLAN criada, me-
lhorando o desempenho e flexibilidade desse tipo de proteção. O PVST requer 
portas trunk para utilizar o encapsulamento ISL da Cisco.
No caso do PVST + ou PVST, este é um aprimoramento compatível com CST 
e PVST e que suporta tanto o encapsulamento ISL, como o 802.1Q. Por esse 
motivo, o PVST + é o modo padrão em muitas plataformas de switches da Cisco.
O RSTP continuou a evoluir ao longo do tempo e várias extensões mais moder-
nas acabaram surgindo, como as seguintes implementações:
• Rapid Spanning Tree Protocol (RSTP);
• Multiple Spanning Tree (MST).
O RSTP é uma evolução do STP original, porém com mudanças significativas 
nos estados de porta (possui menos estados de porta) e na velocidade de con-
vergência da árvore de proteção de links. Também houve várias mudanças na
identificação de custos das portas utilizadas em relação às suas vazões de rede 
(uma adequação à evolução e aumento das vazões de rede que surgiram e que
ainda evoluem).
Já o MSTP ou IEEE 802.1s utiliza a base do RSTP, porém é implementado em 
grandes topologias de redes, que utilizam, por exemplo, a administração de várias 
VLANs e que necessitam diminuir sua gerência e quantidade de transmissões de 
BPDUs, reduzindo, assim, a utilização de recursos, como CPU e memória dos dis-
positivos de redes intermediários - por exemplo, os switches MLS (CISCO, 2017).
17
• Agregação de Links;
• Interações do Modo EtherChannel;
• Diretrizes de Configuração EtherChannel da Camada 2;
• Redundância de Gateways.
• Compreender e apresentar o que é agregação de links e seus bene�ícios e sistemas de re-
dundância em redes de comutação baseada em gateways, como, por exemplo, a utilização 
do protocolo HSRP.
OBJETIVO DE APRENDIZADO
Agregação de Links e 
Redundância de Gateway
UNIDADE Agregação de Links e Redundância de Gateway
Agregação de Links
Comunicações de aplicativos de intranet, como vídeo para a área de trabalho, 
mensagens interativas, Voice over IP (VoIP), computação na nuvem e uso colabo-
rativo da rede, estão aumentando a necessidade de largura de banda escalável den-
tro do núcleo e na borda das redes campus. Ao mesmo tempo, os aplicativos de 
missão crítica exigem desenhos de rede resilientes. Com a ampla implantação de 
links Ethernet comutados mais rápidos no campus, os usuários precisam agregar 
seus recursos existentes ou atualizar a velocidade em seus “uplinks”, melhorando 
o desempenho no backbone da rede.
O tráfego proveniente de várias VLANs a 100 Mbps agrega comutadores na 
parte inferior de acesso e estes precisam ter os dados enviados para switches de 
distribuição para que a rede possa se conectar. Obviamente, a largura de banda 
maior que 100 Mbps deve estar disponível no link entre dois switches para aco-
modar a carga de tráfego provenientede todas as VLANs. Uma primeira solução 
é usar uma velocidade de porta rápida, como 1 ou 10 Gbps. Como a velocidade 
aumenta nas VLANs, esta solução encontra sua limitação onde a porta mais rápida 
possível não é rápida o suficiente para agregar o tráfego proveniente de todas as 
VLANs. Uma segunda solução é multiplicar o número de ligações físicas entre os 
dois switches para aumentar a velocidade geral da comunicação switch-to-switch. 
Uma desvantagem desse método é que deve haver uma consistência estrita em 
cada configuração de link físico. Uma segunda questão é que spanning tree pode 
bloquear um dos links, como comentado em uma outra unidade (DAVID, 2013).
O EtherChannel é uma tecnologia que foi originalmente desenvolvida pela 
 Cisco como uma técnica para agrupar várias portas em um switch, como Fast ou 
Gigabit Ethernet em um único canal lógico. Essa tecnologia tem muitos benefícios:
• depende das portas de switch existentes. Não há necessidade de atualizar o 
link switch-to-switch para uma conexão mais rápida e mais cara;
• a maioria das tarefas de configuração pode ser feita na interface EtherChannel 
de cada porta individual, garantindo a consistência da configuração em todos 
os links de alternar para alternar.
• o balanceamento de carga é possível entre os links que fazem parte do mesmo 
EtherChannel. Dependendo da plataforma de hardware, você pode imple-
mentar um ou vários métodos, como origem-MAC para destino-MAC ou IP 
de origem para balanceamento de carga IP de destino através dos links físicos.
Tenha em mente que a lógica do EtherChannel (que é uma forma de agregação 
de links) é aumentar a velocidade entre os switches primariamente. Este con-
ceito foi estendido e a tecnologia EtherChannel tornou-se mais popular; alguns 
dispositivos também podemos chamar de agregação de link. Em qualquer caso, 
EtherChannel cria um relacionamento um-para-um. Você pode criar um link 
EtherChannel entre dois switches ou entre um servidor e um switch (desde que 
o servidor tenha capacidade de agregar links), mas você não pode enviar tráfego 
8
9
para dois switches diferentes através do mesmo link EtherChannel. A configura-
ção individual da porta do membro do grupo EtherChannel deve ser consistente 
em ambos os dispositivos. A tecnologia EtherChannel apenas agrupa portas do 
mesmo tipo (KEVIN, 2015).
Bonding – Link Aggregation: https://youtu.be/g2J�QdO_lzM.
Ex
pl
or
Em um comutador de Camada 2, o EtherChannel é usado para agregar portas 
de acesso ou troncos. Por exemplo, se as portas físicas de um lado forem confi-
guradas como troncos, as portas físicas do outro lado também devem ser confi-
guradas como troncos. Cada EtherChannel tem uma porta lógica ou canal. Uma 
configuração que é aplicada à interface do canal da porta afeta todas as interfaces 
físicas atribuídas a essa interface. Esses comandos podem ser comandos STP ou 
comandos para configurar um EtherChannel da Camada 2 como um tronco ou 
uma porta de acesso.
T enha em mente que o EtherChannel cria uma agregação que é vista como um 
único link lógico. Quando existem vários canais EtherChannel entre dois switches , a 
spanning tree pode bloquear um dos canais para evitar links redundantes. Ou seja, 
da mesma forma que uma interface física convencional, os canais EtherChannel 
também podem ser bloqueados pelo STP, por isso a importância de o administrador 
de rede ter conhecimento do layout de rede que ele vem trabalhando.
Interações do Modo EtherChannel
O EtherChannel pode ser estabelecido usando um dos três mecanismos a seguir:
• LACP: protocolo de negociação do IEEE;
• PAgP: protocolo de negociação da Cisco;
• Persistência Estática: nenhum protocolo de negociação.
Tanto o LACP como o PAgP são formas dinâmicas de configuração.
LACP – Link Aggregation Control Protocol
O Protocolo de Controle de Agregação de Link (LACP), do inglês Link 
 Aggregation Control Protocol, faz parte de uma especificação IEEE (802.3ad) que 
permite que várias portas físicas sejam empacotadas juntas para formar um único 
canal lógico. O LACP permite que um switch negocie um pacote automático en-
viando pacotes LACP. Como o LACP é um padrão IEEE, você pode usá-lo para 
facilitar os EtherChannels em ambientes de switch misto com outros fabricantes. 
O LACP verifica a consistência da configuração e gerencia adições de link e falhas 
entre dois switches. Garante que quando o EtherChannel é criado, todas as portas 
9
UNIDADE Agregação de Links e Redundância de Gateway
têm o mesmo tipo de velocidade de configuração, configuração duplex e formação 
de VLAN. Qualquer modificação de porta após a criação do canal também mu-
dará as outras portas do canal. Os pacotes LACP são trocados entre switches por 
portas compatíveis com EtherChannel. Recursos de portas são aprendidos e com-
parados com os recursos de comutadores locais. O LACP atribui funções para as 
portas do EtherChannel. O comutador de rede com a menor prioridade do sistema 
pode fazer decisões sobre quais portas participam ativamente do EtherChannel. 
 Portas se tornam ativas de acordo com sua prioridade de porta. Um número menor 
significa maior prioridade. Comumente, até 16 links podem ser atribuídos a um 
 EtherChannel, mas somente 8 podem estar ativos por vez (CISCO, 2017).
Os links não ativos são colocados em um estado de espera e são ativados se 
um dos links ativos tem um problema. O número máximo de links ativos em um 
EtherChannel varia entre os modelos de switches. Estes são os modos de opera-
ção do LACP:
• Ativo: ativar o LACP; e
• Passivo: habilita o LACP somente se um dispositivo LACP for detectado.
A seguir estão alguns parâmetros adicionais que você pode utilizar ao configurar 
o LACP.
• Prioridade do Sistema: cada comutador executando o LACP deve ter uma 
prioridade do sistema. A prioridade do sistema pode ser especificada automa-
ticamente ou através do CLI. O switch usa o endereço MAC e a prioridade do 
sistema para formar o ID do sistema.
• Prioridade de Porta: cada porta no switch deve ter uma prioridade de por-
ta. A prioridade da porta pode ser especificada automaticamente ou através 
do CLI. A prioridade da porta e o número da porta forma o identificador de 
porta. O switch usa a prioridade da porta para decidir qual porta ele deve co-
locar em modo de espera quando uma limitação de hardware impede todas as 
portas de agregação.
• Chave Administrativa: cada porta no switch deve ter um valor de chave admi-
nistrativa, que pode ser especificado automaticamente ou através do CLI. 
A chave administrativa define a capacidade de uma porta para agregar com 
outras portas, determinadas por alguns fatores: as características físicas da 
porta, como taxa de dados, capacidade duplex, ponto-a-ponto ou meio com-
partilhado. Todas as opções anteriores do LACP são opcionais para configu-
ração. Normalmente, os padrões são os melhores a se utilizar.
PAgP – Port Aggregation Protocol
O Protocolo de Agregação de Portas (PAgP) fornece os mesmos benefícios de 
negociação que o LACP. O PAgP é um protocolo proprietário da Cisco e funcio-
nará apenas em dispositivos Cisco. Pacotes PAgP são trocados entre switches por 
portas compatíveis com EtherChannel. Vizinhos são identificados e os recursos são 
10
11
 aprendidos e comparados com os recursos de comutadores locais. Portas que pos-
suem os mesmos recursos são agrupadas em um EtherChannel. Formulários de 
PAgP em um EtherChannel somente em portas configuradas para VLANs ou tron-
cos idênticos. O PAgP modificará automaticamente os parâmetros do EtherChannel 
se uma das portas do pacote é modificada. Por exemplo, se configurada velocidade, 
duplex ou VLAN de uma porta quando um pacote é alterado, o PAgP reconfigura 
esse parâmetro para todas as portas do pacote. Importante: PAgP e LACP não são 
compatíveis. Estes são os dois modos de operação do PAgP a seguir:
• Desejável (Desirable): ativar o PAgP;
• Automático: ativar o PAgP somente se um dispositivo PAgP for detectado.
Diretrizes de Configuração 
EtherChannelda Camada 2
Antes de implementar o EtherChannel em uma rede, planeje as etapas a seguir, 
necessárias para que a realização seja um sucesso:
• o primeiro passo é identificar as portas que você usará para o EtherChannel 
em ambos comutadores de rede. Esta tarefa ajuda a identificar quaisquer pro-
blemas com configurações anteriores nas portas/ interfaces e garante que as 
conexões apropriadas estejam disponíveis;
• cada interface deve ter o protocolo apropriado identificado (PAgP ou LACP);
• possuir um número de grupo de canais para associar todas as interfaces dadas 
a um grupo de portas;
• depois de estabelecer as conexões, certifique-se de que ambos os lados do 
EtherChannel formaram-se e estão fornecendo largura de banda agregada.
Siga estas diretrizes e restrições ao configurar interfaces EtherChannel:
• suporte EtherChannel: todas as interfaces Ethernet em todos os módulos 
suportam EtherChannel, sem a necessidade de que as interfaces sejam fisica-
mente contíguas no mesmo módulo;
• velocidade e duplex: configure todas as interfaces em um EtherChannel 
para operar na mesma velocidade e no mesmo modo duplex. Além disso, se 
uma interface no pacote for desligada, é tratada como uma falha de link e o 
tráfego percorrerá outros links do agrupamento;
• correspondência de VLAN: todas as interfaces no pacote EtherChannel 
devem ser atribuídas à mesma VLAN ou configurada como um tronco;
• faixa de VLANs: um EtherChannel suporta o mesmo intervalo permi-
tido de VLANs, todas as interfaces em um EtherChannel da camada 2 
do entroncamento.
11
UNIDADE Agregação de Links e Redundância de Gateway
Se a faixa permitida de VLANs não for a mesma, as interfaces não formam um 
EtherChannel, mesmo quando definido para o modo automático ou desejável. 
Para EtherChannels da camada 2, atribua todas as interfaces no EtherChannel à 
mesma VLAN ou configure-as como entroncamento (trunk).
• Custo do caminho STP: as interfaces com diferentes custos do caminho 
da porta STP podem suportar EtherChannel, desde que sejam configuradas 
de forma compatível. Configuração de porta STP diferente com custos de 
trajeto não torna, por si só, incompatíveis as interfaces para a formação de 
um EtherChannel.
• Canal de porta versus configuração de interface: depois de configurar um 
EtherChannel, qualquer configuração que você aplicar à interface de canal de 
porta afeta o EtherChannel. Qualquer configuração que você aplica às inter-
faces físicas afeta somente a interface específica que você configurou.
Indicates EtherChannel
SW1 SW2
E0/1
E0/0
E0/6
E0/5
Figura 1 – Confguração do EtherChannel
Exemplo de Configuração EtherChannel
Switch1# configure terminal
Switch1(config)# interface range Ethernet 1/0-1
Switch1(config-if-range)# channel-group 1 mode active
Creating a port-channel interface Port-channel 1
Switch2# configure terminal
Switch2(config)# interface range Ethernet 0/5-6
Switch2(config-if-range)# channel-group 1 mode active
Creating a port-channel interface Port-channel 1
Definindo trunk no EtherChannel
Switch1(config)# interface port-channel 1
Switch1(config-if)# switchport trunk encapsulation dot1q
Switch1(config-if)# switchport mode trunk
Switch2(config)# interface port-channel 1
Switch2(config-if)# switchport trunk encapsulation dot1q
Switch2(config-if)# switchport mode trunk
12
13
Comandos de visualização do Etherchannel
Switch1# show etherchannel summary
Switch1# show etherchannel 1
Redundância de Gateways
Os switches ethernet são por padrão considerados dispositivos de rede de ca-
mada 2, pois tomam decisão de encaminhamento baseando-se em tabelas de en-
dereçamento de hardware, os conhecidos endereços MAC. No entanto, existem 
switches de camada 3 ou também conhecidos como L2/ L3 ou switches de mul-
ticamadas e, como o nome indica, podem tomar decisões de encaminhamento e 
fazer comutações de rede baseando-se em outras camadas dos modelo OSI, como, 
por exemplo, a camada de rede (camada 3) que realiza o roteamento de pacotes 
(KEVIN, 2015).
Os switches multicamadas podem também atuar como gateways IP (como os 
roteadores) para hosts conectados na rede, fornecendo o endereço de gateway em 
interfaces virtuais de switch (SVIs) e interfaces físicas de camada 3. Estes switches 
também podem participar de protocolos de roteamento, da mesma forma que os 
roteadores tradicionais. Para alta disponibilidade, os switches multicamadas devem 
oferecer um meio de impedir que um switch (gateway) falhe ao isolar uma VLAN 
inteira. Di scutiremos várias abordagens para fornecer redundância de gateways 
em um roteador e no nosso caso nos switches multicamadas, incluindo o seguinte:
• HS RP: Hot Standby Router Protocol;
• VRRP: Virtual Router Redundancy Protocol.
Estes também são comumente chamados de protocolos de redundância de pri-
meiro salto (FHRP – First-Hop Redundancy Protocols) porque o primeiro rotea-
dor/ switch do salto recebe alta disponibilidade.
Revisão de encaminhamento de pacotes
Quando um host deve se comunicar com um dispositivo em sua sub-rede local, 
ele pode gerar uma solicitação do Protocolo de Resolução de Endereço (ARP) e 
aguardar a resposta ARP para que troque quadros diretamente. No entanto, se o 
extremo remoto estiver localizado em uma sub-rede diferente, o host deve con-
tar com um sistema intermediário (um roteador, por exemplo) para retransmitir 
pacotes de e para essa sub-rede. Um host identifica seu roteador mais próximo, 
também conhecido como gateway padrão ou próximo salto, através de endereço 
de IP. Se o host entender algo sobre o roteamento, ele reconhecerá que todos os 
pacotes destinados para fora da rede devem ser enviados para o endereço MAC do 
dispositivo gateway. Portanto, o host primeiro envia uma solicitação ARP para en-
contrar o MAC do endereço do dispositivo gateway toda vez que deseje encontrar 
13
UNIDADE Agregação de Links e Redundância de Gateway
um host destino fora de sua rede ou sub-rede. Em seguida, os pacotes podem ser 
retransmitidos diretamente para o gateway, sem ter que procurar entradas ARP 
para destinos individuais (DAVID, 2013).
Se o host não é tão habilidoso quanto o roteamento, ele ainda pode gerar so-
licitações ARP para cada destino fora da rede, esperando que alguém responda. 
Obviamente, os destinos fora da rede não podem responder porque eles nunca 
recebem as transmissões de solicitação ARP (pois o ARP é um protocolo de ca-
mada 2); esses pedidos não são encaminhados através de sub-redes. Em vez disso, 
você pode configurar o gateway para fornecer um proxy para que ele responda às 
solicitações ARP com seu próprio endereço MAC, como se o destino em si tinha 
respondido. Agora, a questão da disponibilidade do gateway se torna importante. 
Se o roteador de gateway para uma sub-rede ou VLAN fica inativa, os pacotes 
não têm como ser encaminhados para fora da sub-rede local. Vários protocolos 
estão disponíveis, permitindo que vários dispositivos de roteamento compartilhem 
um endereço de gateway, de modo que se um deles cair, outro automaticamente 
consiga fazer o papel de gateway.
HSRP – Hot Standby Router Protocol
O HSRP é o método padrão da Cisco de fornecer alta disponibilidade de rede 
fornecendo redundância para hosts IP em uma LAN IEEE 802.3 configurada com 
um endereço IP de gateway padrão. Ele permite que um conjunto de interfaces 
de roteador possa trabalhar em conjunto para apresentar a aparência de um único 
roteador virtual ou gateway padrão para os hosts em uma LAN. Quando o HSRP 
é configurado em uma rede ou segmento, ele fornece um controle de acesso de 
mídia virtual (MAC) e um endereço IP que é compartilhado entre um grupo de 
roteadores configurados. O HSRP permite dois ou mais roteadores configurados 
para HSRP a fim de usar o endereço MAC e o endereço de rede IP de um roteador 
virtual (CISCO, 2017).
O roteador virtual não existe exatamente; e sim representa o alvo comum para 
roteadores configurados para fornecer backup um para o outro. Um dos roteado-
res é selecionado para ser oroteador ativo e outro para ser o roteador em espera 
(standby), que assume o controle do endereço MAC e endereço IP do grupo, caso 
ocorra uma falha do roteador ativo.
O HSRP fornece alta disponibilidade de rede, fornecendo redundância para 
tráfego IP de hosts em redes. Em um grupo de interfaces de roteador, o roteador 
ativo é o roteador preferido para rotear pacotes; o modo de espera faz com que o 
roteador possa assumir as tarefas de roteamento quando um roteador ativo falhar 
ou quando as condições predefinidas não são atendidas. O HSRP é útil para hosts 
que não suportam um protocolo de descoberta de roteador e não podem alternar 
para um novo roteador quando o roteador selecionado recarrega ou perde energia 
(CISCO, 2015).
14
15
Fig ura 2 – Cisco HSRP
Fonte: Network Engineering
Quando o HSRP é configurado em um segmento de rede, ele fornece um en-
dereço MAC virtual e um endereço IP que é compartilhado entre as interfaces do 
roteador em um grupo de interfaces de roteador executando o HSRP. O roteador 
selecionado pelo protocolo para ser o roteador ativo recebe pacotes de rotas des-
tinados ao endereço MAC do grupo. Para “n” roteadores executando o HSRP, há 
n +1 IP e endereços MAC atribuídos. O HSRP detecta quando o roteador ativo 
designado falha, e um roteador de espera selecionado assume o controle e os en-
dereços MAC e IP do grupo Hot Standby. Um novo roteador em espera também 
é selecionado nesse momento.
Os dispositivos que executam o HSRP enviam e recebem pacotes de “hello” 
baseados em UDP multicast para detectar a falha do roteador e para designar ro-
teadores ativos e em espera. Pode-se configurar vários grupos Hot Standby entre 
os switches que estão operando na Camada 3 para fazer mais uso dos roteadores 
redundantes. Para fazer isso, especifique um número de grupo para cada comando 
do grupo Hot Standby que se deseja configurar para uma interface. Por exemplo, 
você pode configurar uma interface no comutador 1 como roteador ativo e uma 
no switch 2 como um roteador em standby e também configurar outra interface 
no switch 2 como um roteador ativo com outra interface no switch 1 como seu 
roteador em espera.
15
UNIDADE Agregação de Links e Redundância de Gateway
O switch suporta Multiple HSRP (MHSRP), uma extensão do HSRP que per-
mite o compartilhamento de carga entre dois ou mais grupos de HSRP. Podemos 
configurar o MHSRP para obter balanceamento de carga e usar dois ou mais gru-
pos de espera (e caminhos) de uma rede de host para uma rede de servidor. 
HSRP (Hot Standby Router Protocol), VRRP, GLBP (em inglês). Disponível em: 
https://youtu.be/PNPl_boNmQ0.Ex
pl
or
Exemplo de Configuração do HSRP:
Switch# configure terminal
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# no switchport
Switch(config-if)# standby ip 10.107.25.10
Switch(config-if)# standby priority 120
Switch(config-if)# end
VRRP – Virtual Router Redundancy Protocol
O VRRP (Virtual Router Redundancy Protocol) é um protocolo de redundân-
cia não proprietário projetado para aumentar a disponibilidade de gateway padrão 
atendendo a hosts na mesma sub-rede. O Protocolo de Redundância de Roteador 
Virtual é baseado em padrões alternativos ao conceito do Protocolo HSRP (Hot 
Standby Router Protocol) de propriedade da Cisco definido no RFC 3768 pa-
drão IETF. As tecnologias são semelhantes em conceito, mas não são compatíveis. 
A vantagem de usar VRRP é que você ganha uma maior disponibilidade para o 
caminho padrão sem exigir configuração de roteamento dinâmico ou protocolos de 
descoberta de roteador em cada extremidade.
Os roteadores VRRP, vistos como um “grupo de redundância”, compartilham 
a responsabilidade de encaminhar pacotes como se “possuíssem” o endereço IP 
correspondente ao gateway padrão configurado nos hosts. A qualquer momento, 
um dos roteadores VRRP atua como o mestre e outros roteadores VRRP agem 
como backups. Se o roteador mestre falhar, um roteador de backup se tornará o 
novo mestre. De qualquer forma, a redundância do roteador é sempre fornecida, 
permitindo que o tráfego na LAN seja roteado sem depender de um único roteador 
(DAVID, 2013).
O roteador físico que está atualmente encaminhando dados em nome do rotea-
dor virtual é chamado de roteador mestre. Sempre há um mestre para o endereço 
IP compartilhado. Se o mestre for desligado ou falhar, os roteadores VRRP restan-
tes elegerão um novo roteador mestre VRRP. O novo mestre encaminha pacotes 
em nome do proprietário, assumindo o endereço MAC virtual usado pelo proprie-
tário. Os roteadores mestres têm prioridade de 255 e os roteadores de backup 
16
17
podem ter prioridade entre 1-254. Um roteador virtual deve usar o 00-00-5E-
00-01-XX como seu endereço (MAC) virtual. O último byte do endereço (XX) é 
o Virtual Router Identifier (VRID), que é diferente para cada roteador virtual na 
rede. Esse endereço é usado por apenas um roteador físico de cada vez e é a única 
maneira de que outros roteadores físicos possam identificar o roteador mestre em 
um roteador virtual (KEVIN, 2015).
Figura 3 – Tecnologia de redundância de gateway com VRRP
Fonte: CISCO
Terminologia VRRP
Apesar das poucas diferenças conceituais entre o VRRP e o HSRP, o VRRP tem 
uma terminologia um pouco diferente, vamos conhecê-la.
• Roteador Virtual: uma única imagem de roteador criada através da operação 
de um ou mais roteadores executando o VRRP.
• Instância de VRRP: um programa, implementando o VRRP, rodando em um 
roteador. Uma única instância VRRP pode fornecer capacidade VRRP para 
mais de um roteador virtual.
• ID do Roteador Virtual: também chamado de VRID, esta é uma identificação 
numérica de um roteador virtual específico. Os VRIDs devem ser únicos em 
um determinado segmento de rede.
• IP do Roteador Virtual: um endereço IP associado a um VRID que outros 
hosts podem usar para obter o serviço de rede. O VRIP é gerenciado pelas 
instâncias VRRP pertencentes a um VRID.
• Endereço MAC Virtual: para mídias que usam endereçamento MAC (como 
Ethernet), as instâncias de VRRP usam endereços MAC pré-definidos para 
todas as ações VRRP em vez dos endereços MAC do adaptador real. Isso isola 
a operação do roteador virtual do roteador real, fornecendo a função de rote-
amento. O VMAC é derivado do VRID.
17
UNIDADE Agregação de Links e Redundância de Gateway
• Dispositivo Mestre: a única instância do VRRP que executa a função de 
roteamento para o roteador virtual em um determinado momento. Apenas 
um mestre está ativo em um tempo para um determinado VRID. Também se 
refere ao estado do FSM do VRRP quando a instância do VRRP está operando 
como mestre (isto é, “Estado Mestre”).
• Dispositivo Backup: instâncias de VRRP para um VRID que estão ativas, 
mas não no estado principal. Qualquer número de backups pode existir para 
um VRID. Backups estão prontos para assumir o papel de mestre se o mestre 
atual falhar. Também se refere ao estado do VRRP FSM quando a instância do 
VRRP está operando como backup (ou seja, “estado de backup”).
• Prioridade: diferentes instâncias de VRRP recebem um valor de prioridade, 
como forma de determinar qual roteador assumirá o papel de mestre se o mes-
tre atual falha. Prioridade é um número de 1 a 254 (0 e 255 são reservados). 
Números maiores têm maior prioridade.
• Proprietário (Owner): se o endereço IP virtual for o mesmo que qualquer 
um dos endereços IP configurados em uma interface de um roteador, esse 
roteador será o proprietário do endereço IP virtual. A prioridade da instância 
do VRRP, quando é o proprietário VIP, é 255, o valor mais alto (e reservado).
18
• Introdução;
• Integração de Rede;
• Tele�onia IP;
• Power Over Ethernet;
• Noções Básicas de WLAN (Redes Sem Fio);
• Segurança de Porta ou Port Security;
• Licenciamento do Switch da Cisco.
• Compreender e abordar conceitos �undamentais de integração de rede local cabea-
da, como rede local sem f o (WLAN) e redes de armazenamento, apresentando suas 
características de operação, segurança, licenciamento econf guração desses tipos 
de rede.
OBJETIVO DE APRENDIZADO
Integração de Rede 
UNIDADE Integração de Rede
Introdução
A interconexão de comutadores ethernet forma a infraestrutura de rede local de 
uma determinada instituição.
As conexões de rede entre os switches de distribuição e core formam o que 
chamamos de espinha dorsal da rede ou apenas backbone.
Essa infraestrutura de switches cria um alicerce base para várias outras tecnolo-
gias a serem implementadas e por esse motivo é tão importante integrá-la de uma 
forma correta.
Nesta unidade, vamos conhecer algumas tecnologias importantes e como se-
riam integradas nessa infraestrutura de rede local.
Integração de Rede
Uma das características mais importantes que uma infraestrutura de rede deve 
possuir é a integração com outras várias tecnologias a serem disponibilizadas aos 
usuários. Como já foi dito, a infraestrutura de rede em camada 2, que é formada 
por switches de acesso, distribuição e core, é praticamente o alicerce da tecnologia 
da informação dentro de uma empresa. As conexões entre os switches formam o 
que chamamos de backbone da rede (espinha dorsal da rede), que é o segmento/
caminho mais importante para que os dados sejam propagados corretamente. Va-
mos conhecer algumas dessas tecnologias que devem ser integradas nesse alicerce 
com o objetivo de trazer aos clientes mais recursos.
Tele�onia IP
Além de transportar dados regulares, as redes comutadas do campus podem 
transportar pacotes relacionados a chamadas telefônicas. Voz sobre IP (VoIP), tam-
bém conhecida como telefonia IP (IPT), utiliza telefones IP conectados a portas 
Ethernet comutadas, para transportar de forma adequada e eficaz o tráfego para 
uma chamada telefônica bem-sucedida, uma combinação de muitos recursos de 
chaveamento deve ser usada. Por exemplo, os switches podem fornecer energia 
para os Telefones IP através do próprio meio físico de rede, formar links de tronco 
com Telefones IP e fornecer o nível adequado de QoS (Qualidade de Serviço) para 
entrega de pacotes de voz (KEVIN, 2015).
Nossa ideia aqui não é apresentar especificamente o funcionamento da telefonia 
IP, e sim qual seria a base de funcionamento necessária para que tais tecnologias 
possam operar satisfatoriamente - por exemplo, um dos recursos muito utilizados 
por dispositivos VoIP é a alimentação de energia elétrica através do meio físico 
metálico de rede, conhecido como PoE, e que será descrito em sequência.
8
9
Power Over Ethernet
Um Cisco IP Phone (Telefone IP da Cisco) é como qualquer outro nó na rede, 
ou seja, deve ter energia para operar. Essa energia pode vir de duas fontes:
• um adaptador AC externo;
• Power over Ethernet (DC) através do cabo de dados de rede.
O adaptador CA externo é conectado a uma tomada comum de CA e fornece 
48V CC ao telefone. Esses adaptadores, comumente chamados de “wall warts”, 
são úteis se nenhuma outra fonte de energia está disponível. No entanto, se ocor-
rer uma falha de energia na sala ou tomada onde o adaptador está localizado, o 
telefone IP falhará. Sem falar que às vezes uma tomada elétrica com uma fonte 
ligada ao telefone IP pode tornar-se esteticamente pesada.
U ma solução mais elegante está disponível como energia “inline” ou Power 
over Ethernet (PoE). Aqui, o mesmo fornecimento de 48V CC é entregue a um 
telefone IP sobre o mesmo cabo de par trançado não blindado (UTP) que é usado 
para conectividade Ethernet. Nesse caso, o próprio switch Ethernet tem caracte-
rísticas para o fornecimento desse recurso. É claro que não são todos os modelos 
de switch da Cisco que possuem tal finalidade; por esse motivo, caso o adminis-
trador de rede necessite de um dispositivo com estas características, é necessário 
que ele escolha dispositivos específicos (geralmente vêm identificado como PWR). 
Quando se utiliza o PoE, nenhuma outra fonte de energia é necessária, a menos 
que seja necessário um adaptador AC como uma fonte redundante (CISCO, 2017).
Nobreak ou fonte
de alimentação
Switch com
suporte a PoE
Cabos de rede
Access Point
com PoE
Access Point
com PoE
Figura 1 – Tecnologia Power over Ethernet ou PoE
Fonte: Adaptado de Getty Images
9
UNIDADE Integração de Rede
O PoE tem o benefício de poder ser gerenciado, monitorado e oferecido apenas 
a um telefone IP. Na verdade, esse recurso não está limitado aos telefones IP da 
Cisco, qualquer dispositivo que possa solicitar e usar “power inline” de uma maneira 
compatível pode ser usado, como, por exemplo, um Ponto de Acesso para rede sem 
fio ou uma câmera WEB. Caso contrário, se um dispositivo como um PC normal é 
conectado na mesma porta do switch, o switch não oferece energia para ele. Em um 
projeto de melhores práticas, o Switch Catalyst da Cisco deve ser conectado a uma 
fonte de alimentação (UPS), de modo que continue recebendo e ofereça a energia 
mesmo se a fonte falhar. Isso permite que um telefone IP ou outro dispositivo alimen-
tado esteja disponível para uso, caso ocorra uma falha de energia.
Funcionamento e confguração do PoE
Um Switch pode oferecer energia elétrica somente através de suas portas/in-
terfaces Ethernet se for projetado para isso. Isto deve ter uma ou mais fontes de 
alimentação classificadas para a carga adicional que será oferecida aos dispositivos 
conectados nesse dispositivo de rede intermediário. Dois métodos fornecem PoE 
para dispositivos conectados:
• Cisco Inline Power (ILP): um método proprietário da Cisco desenvolvido 
antes do Padrão IEEE 802.3af.
• IEEE 802.3af: um método baseado em padrões que oferece interoperabilida-
de de um dispositivo alimentado na rede.
O switch sempre mantém a energia desativada quando a porta do switch está 
inativa. No entanto, o switch deve tentar detectar continuamente se um dispositivo 
energizado está conectado a uma determinada porta. Se estiver, o switch deve 
começar a fornecer energia para que o dispositivo possa inicializar e se tornar ope-
racional. Só então o link Ethernet será estabelecido normalmente. Como existem 
dois métodos PoE, um switch da Cisco tenta detectar um dispositivo energizado. 
Para o IEEE 802.3af, o switch começa fornecendo uma pequena voltagem através 
dos pares da conexão de par trançado de cobre. Então pode medir a resistência 
através destes pares, para detectar se a corrente está sendo desenhada pelo dispo-
sitivo. Se a resistência de 25k ohm for medida, um dispositivo alimentado está de 
fato presente. O comutador ou switch também pode aplicar várias tensões prede-
terminadas para testar a resistência de valores correspondentes. Estes valores são 
aplicados pelo dispositivo alimentado para indicar a qual das cinco classes de ener-
gia IEEE 802.3af ele pertence. Sabendo disso, o switch pode começar alocando a 
potência máxima adequada e necessária ao dispositivo (CISCO, 2017).
A classe padrão 0 é usada se o comutador ou o dispositivo alimentado não pode 
suportar ou não pode tentar a descoberta de classe de energia opcional, enquanto a 
classe 4 foi reservada no IEEE 802.3af e está disponível sob IEEE 802.3at, também 
chamado PoE Plus (PoE+), com até 50 W por dispositivo conectado. Alguns switches 
Cisco podem oferecer até 20 W de potência “Enhanced PoE”. A descoberta de dis-
positivos de power inline da Cisco adota uma abordagem totalmente diferente da 
10
11
IEEE 802.3af. Em vez de oferecer tensão e verificar a resistência, o switch envia um 
teste de tom de 340 kHz no par de transmissão do cabo Ethernet de par trançado. 
Um tom é transmitido em vez da energia CC, para que o comutador possa testar se 
o dispositivo conectado nessa interface é capaz de receber a potência de alimentação 
necessária. Caso contrário, outros tipos de dispositivos (computadores pessoais, por 
exemplo) poderiam ter suas placas de rede danificadas (KEVIN, 2015).
Um dispositivo de rede alimentado, como o Cisco IP Phone, faz o loop da trans-
missão e recebe pares de conexão Ethernet enquanto estiver desligado. Quando 
está conectado a um power inline na interface do comutador, oswitch pode “ou-
vir” o tom de teste em loop. Então, assume com segurança que um dispositivo 
alimentado conhecido está presente e a energia pode ser aplicada a ele. Uma outra 
característica em comutadores da Cisco é que para o Cisco ILP, o comutador pode 
tentar troca de mensagens do Cisco Discovery Protocol (CDP) com o dispositivo 
conectado. Se as informações do CDP forem retornadas, o switch poderá desco-
brir o tipo de dispositivo (Cisco IP Phone, por exemplo) e os requisitos reais de 
energia do dispositivo. O comutador, em seguida, pode reduzir o power inline para 
o montante solicitado pelo dispositivo de uma forma rápida e segura.
What is Power over Ethernet (PoE)? (em inglês): https://youtu.be/94zmq55BDhwExp
lo
r
A configuração de energia do PoE é simples. Cada porta do switch pode detec-
tar automaticamente a presença de um dispositivo com capacidade de alimentação 
antes de aplicar energia, ou o recurso pode ser desabilitado para garantir que a 
porta nunca detecte ou ofereça energia. Por padrão, todas as portas do switch 
(desde que o switch tenha essas capacidades) tentam descobrir um dispositivo com 
power inline. Para alterar esse comportamento, use os seguintes comandos de 
configuração de interface:
Switch(config)# interface fa0/1
Switch(config-if)# power inline auto
Caso deseje ver o comportamento do PoE, dê o comando:
Switch# show power inline
Noções básicas de WLAN (redes sem f o)
Uma rede Ethernet tradicional e naturalmente cabeada fisicamente (cabos co-
axiais, cabos de par trançado, etc...) é definida pelos padrões IEEE 802.3. Cada 
conexão Ethernet deve operar sob condições rigorosamente controladas, especial-
mente em relação à ligação física. Por exemplo, o status do link, a velocidade do 
link e o modo duplex devem todos operar como os padrões descrevem. As LANs 
11
UNIDADE Integração de Rede
sem fio, também conhecidas como WLANs, têm um arranjo semelhante, mas são 
definidas pelos padrões IEEE 802.11.
Dispositivos Ethernet com fio precisam transmitir e receber quadros Ethernet 
de acordo com o método de acesso de portadora de detecção de acesso múlti-
plo/ detecção de colisão (CSMA/CD). Em um segmento Ethernet compartilhado, 
onde os hosts se comunicam no modo half-duplex, cada host pode “conversar” 
livremente e/ou ouvir colisões ocorridas por outros dispositivos que enviaram seus 
dados simultaneamente. Todo o processo de detecção de colisões é baseado em ter 
conexões com cabos de um certo comprimento máximo e com uma certa latência 
máxima para que um quadro possa viajar de uma extremidade do segmento para 
outro antes sendo detectado no outro extremo (DAVID, 2013).
Wireless
Access Point
DSL/Cable
Wireless
Network
Local Network
Figura 2 – Rede WLAN
Fonte: Adaptado de Getty Images
Os Links Ethernet full-duplex ou comutados não são afetados por colisões ou 
contenções de largura de banda. Eles têm que obedecer às mesmas especificações, 
no entanto. Por exemplo, quadros Ethernet ainda devem ser transmitidos e recebi-
dos dentro de um período de tempo esperado em um link full-duplex. Isso define 
que o comprimento máximo do cabeamento full-duplex de par trançado deva ser 
o mesmo que o de um link half-duplex.
Embora as LANs sem fio também sejam baseadas em um conjunto de padrões 
rigorosos, o próprio meio de se controlar se torna desafiador. De um modo geral, 
quando um host se conecta a um cabo Rede Ethernet, compartilha essa conexão 
de rede com um número conhecido de outros dispositivos que também estão co-
nectados nessa infraestrutura. Quando o mesmo host utiliza uma rede sem fio, ele 
faz isso no ar, ou seja, não existem fios ou tomadas na camada de acesso, pois 
outros usuários finais podem usar o mesmo ar. Uma LAN sem fio, então, se torna 
uma rede compartilhada, onde se tem um número variável de hosts para o uso 
do “ar” a qualquer momento. Colisões são um fato da vida em uma LAN sem fio 
porque todas as conexões sem fio estão no modo half-duplex. Por isso, às vezes 
consideramos os pontos de acesso como um “hub” sem fios e não um switch que, 
por sua vez, conseguiria controlar melhor o ambiente.
12
13
Evitando colisões em uma WLAN
Quando duas ou mais estações sem fio transmitem ao mesmo tempo, seus si-
nais se tornam misturados. As estações de recepção podem ver o resultado apenas 
como dados distorcidos, ruído ou erros. Não existe uma maneira clara de determi-
nar se uma colisão ocorreu. Até mesmo as estações de transmissão não percebem 
isso porque seus receptores devem ser desligados enquanto o dado é transmitindo. 
Como mecanismo básico de feedback, sempre que uma estação sem fio transmite 
um quadro, a estação sem fio receptora deve enviar uma confirmação de volta 
para confirmar se o quadro foi recebido sem erros. Quadros de reconhecimento 
servem como uma ferramenta de detecção de colisão rudimentar, no entanto evita 
que colisões ocorram em primeiro lugar. Os padrões IEEE 802.11 usam o método 
CSMA/CA. Observe que as redes 802.3 com fio podem detectar colisões, en-
quanto as redes 802.11 tentam evitar colisões. A prevenção de colisão funciona 
exigindo que todas as estações escutem antes de transmitir um determinado qua-
dro. Quando uma estação tem um quadro que precisa ser enviado, uma das duas 
condições a seguir ocorre:
• nenhum outro dispositivo está transmitindo: nesse caso, a estação pode 
transmitir seu quadro imediatamente. A estação receptora pretendida deve 
enviar um quadro de confirmação para confirmar se o quadro original chegou 
intacto e livre de colisões;
• outro dispositivo já está transmitindo um quadro: então a estação deve es-
perar até que o quadro em andamento seja concluído; deve, então, esperar por 
uma quantidade de tempo aleatório antes de transmitir o seu próprio quadro.
Os quadros sem fio podem variar em tamanho. Quando um quadro é trans-
mitido, as outras estações podem identificar quando o quadro foi transmitido e 
se o meio está livre para sua transmissão. Obviamente, as estações poderiam 
simplesmente ouvir silêncio, mas isso nem sempre é eficiente. Outras estações 
também podem ouvir e provavelmente decidiriam transmitir ao mesmo tempo 
um determinado quadro. Os padrões 802.11, então, exigem que todas as es-
tações esperem um curto período de tempo, chamado DCF espaço interframe 
(DIFS), antes de transmitir qualquer coisa. As estações transmissoras podem for-
necer uma estimativa do tempo necessário para enviar um quadro incluindo um 
valor de duração dentro do cabeçalho 802.11. A duração contém o número de 
“timeslots” (normalmente em microssegundos) necessários para o tamanho do 
quadro que está sendo enviado. Outras estações sem fio devem observar o valor 
de duração e aguardar esse período antes de realizar suas próprias transmissões 
(KEVIN, 2015).
Instalación de dispositivos de redes inalámbricas WLAN (em espanhol), 
disponível em: https://youtu.be/u6Gnl8A7zoAEx
pl
or
13
UNIDADE Integração de Rede
Porque cada estação de escuta recebe e segue o mesmo valor de duração en-
contrado em um quadro transmitido, cada um deles pode decidir transmitir seus 
próprios quadros após o tempo de duração se esgotar. Isso resultaria em uma 
colisão, esta condição que deveria ser evitada. Além do temporizador de duração, 
cada estação sem fio também deve implementar um temporizador de “backoff”. 
Antes de transmitir um quadro, uma estação deve selecionar um número aleatório 
de “timeslots” para aguardar. Este número está entre zero e uma janela de valor 
de contenção máxima. É que as estações prontas para transmitir irão esperar uma 
quantidade aleatória de tempo, minimizando o número de estações que tentarão 
transmitir imediatamente.
Blocos de construção WLAN
No nível mais básico, um meio sem fio não possui uma organização inerente. 
Por exemplo, um host com capacidade sem fio pode simplesmente exibir seu 
adaptador sem fio em qualquer lugar, a qualquer momento. Naturalmente, deve ha-
ver algo a mais que também possa enviar e receber através da rede sem fio, antes 
que o host possa secomunicar.
O host, como uma estação de usuário final, torna-se um cliente da rede sem 
fio. Este deve ter um adaptador de rede sem fio (placa de rede) e um software que 
interage com a rede sem fio e seus protocolos. Os padrões 802.11 permitem que 
dois ou mais clientes sem fio se comuniquem diretamente uns com os outros, sem 
outros meios de conectividade de rede. Isso é conhecido como um dispositivo sem 
fio “ad hoc”, ou um conjunto de serviços básicos independentes (IBSS). Não existe 
controle inerente sobre o número de dispositivos que podem transmitir e receber 
quadros em um meio sem fio. Além disso, existem muitas variáveis que podem 
afetar se uma estação sem fio pode receber ou transmitir para outras estações 
(CISCO, 2017).
Figura 3 – Rede Ad Roc ou IBBS
Fonte: Adaptado de Getty Images
14
15
Já u m BSS 802.11 centraliza o acesso e controle sobre um grupo de dispositi-
vos sem fio colocando um ponto de acesso (AP) como o hub do conjunto de servi-
ços. Qualquer cliente sem fio tentando usar a rede sem fio deve primeiro organizar 
uma associação com o AP. O AP pode exigir qualquer dos seguintes critérios antes 
de permitir que um cliente participe:
• um SSID (Service Set Indentifier) correspondente;
• uma taxa de dados sem fio compatível;
• credenciais de autenticação.
A associação ao AP é chamada somente de associação. O cliente deve enviar 
uma mensagem de solicitação de associação e o AP concede ou nega o pedido 
enviando uma mensagem de resposta de associação. Quando associado, todas 
as comunicações de e para o cliente devem passar pelo AP. Nessa topologia, os 
clientes não podem se comunicar diretamente com cada um dos outros como em 
uma rede ad hoc ou IBSS.
Access
Point
Figur a 4 – Rede BBS
Fonte: Adaptado de Getty Images
Um AP sem fio não é um dispositivo passivo como um hub Ethernet, no entan-
to. Um AP gerencia seu ambiente de rede sem fio e anuncia sua própria existência 
para que os clientes possam se associar a ele com o objetivo de realizar o processo 
de comunicação. Por exemplo, lembre-se de que todos os quadros de dados en-
viados com êxito (sem uma colisão) sobre um meio sem fio deve ser reconhecido. 
O AP é responsável para enviar os quadros de confirmação de volta para as es-
tações de envio. Observe que um BSS envolve um único AP e nenhuma conexão 
explícita em uma Ethernet. Nesse cenário, o AP e seus clientes associados formam 
uma rede autônoma, quando o ligamos através de um cabo em um switch de LAN, 
chamamos de infraestrutura.
Um AP também pode ligar-se a uma rede Ethernet, porque tem capacidades de 
conexão sem fio e com fio. Se APs são colocados em diferentes localizações geo-
gráficas, todos eles podem ser interconectados por uma infraestrutura comutada. 
Isso é chamado de conjunto de serviços estendidos 802.11 (ESS).
15
UNIDADE Integração de Rede
Em um ESS, um cliente sem fio pode se associar a um AP enquanto está fisica-
mente localizado naquele AP. Se o cliente posteriormente se mudar para um local 
diferente, ele poderá se associar a um outro AP nas proximidades (esse processo 
de mudança entre APs é conhecido por roaming). Os padrões 802.11 também 
definem um método para permitir que o cliente faça roaming, ou seja, passe de um 
AP para outro conforme sua localização é alterada (DAVID, 2013).
Dicas - Como confgurar uma rede sem fo (wireless) – Tecmundo: https://youtu.be/rLb8t1�gGG8
Ex
pl
or
É importante verificar que a rede sem fio não veio com o objetivo de substituir 
a rede cabeada e sim de agregá-la, dando para um segmento da rede corporativa 
flexibilidade e mobilidade aos dispositivos de rede dos usuários. Da mesma forma 
como os Telefones IP são conectados nas portas dos switches utilizando a tecnolo-
gia PoE, os Pontos de Acesso (APs) das redes sem fio também podem ser conecta-
dos e energizados pelo meio de par trançado.
Access
Point
Figura 5 – In�raestrutura de rede sem fo ou ESS
Fonte: Adaptado de Getty Images
Segurança de Porta ou Port Security
Em alguns ambientes, uma rede deve ser protegida pelo controle de quais es-
tações podem ter acesso à própria rede. Onde as estações de trabalho do usuário 
são estacionárias, sempre se pode esperar que seus endereços MAC se conectem 
às mesmas portas do switch da camada de acesso. Se as estações estiverem mó-
veis, seus endereços MAC podem ser aprendidos dinamicamente ou adicionados 
a uma lista em uma porta de switch. Os switches da Cisco oferecem o recurso 
de segurança de porta (port security) para controlar o acesso à interface com 
16
17
base nos endereços MAC. Para configurar a segurança da porta em uma porta 
do switch da camada de acesso, deve ser utilizado o seguinte comando de confi-
guração de interface:
Switch(config-if)# switchport port-security
Em seguida, você deve identificar um conjunto de endereços MAC permitidos para 
que a porta possa conceder o acesso. Podemos configurar explicitamente endereços 
ou eles podem ser aprendidos dinamicamente através do tráfego da porta. Em cada 
interface que usa segurança de porta, especifique o número máximo de endereços 
MAC que terão acesso permitido usando a seguinte configuração de interface:
Switch(config-if)# switchport port-security maximum max-addr
Por padrão, a segurança da porta garantirá que apenas um endereço MAC te-
nha permissão de acesso em cada porta do switch. Você pode definir o número 
máximo de endereços no intervalo de 1 até 1024. Cada interface que usa segu-
rança de porta aprende dinamicamente endereços MAC por padrão. Os endere-
ços MAC são aprendidos quando os hosts transmitem quadros em uma interface. 
A interface aprende até o número máximo de endereços permitidos definidos pelo 
administrador. Podemos, então, realizar isso através do seguinte comando:
Switch(config-if)# switchport port-security maximum 2
Também podemos definir estaticamente um ou mais endereços MAC em uma 
interface. Nenhum desses endereços são permitidos para acessar a rede através 
da porta. Use o seguinte comando de interface para definir um endereço estático:
Switch(config-if)# switchport port-security mac-address mac-addr
O endereço MAC é dado no formato de tripla pontilhada. Se o número de 
endereços estáticos configurado é menor que o número máximo de endereços 
protegidos em uma porta, o restante dos endereços é aprendido dinamicamente. 
Certifique-se de definir o número máximo de forma adequada.
E finalmente, deve-se definir como cada interface usando a segurança da porta 
deve reagir se um endereço MAC está em violação usando-se o seguinte comando 
de configuração de interface:
Switch(config-if)# switchport port-security violation 
{shutdown | restrict | protect}
Uma violação ocorre se mais do que o número máximo de endereços MAC for 
aprendido ou se um endereço MAC desconhecido (não definido estaticamente) 
tenta transmitir na porta. A porta do switch executa uma das seguintes ações con-
figuradas quando uma violação é detectada:
• Desligamento (Shutdown): a porta é imediatamente colocada no estado de 
“Errdisable”, o que efetivamente interrompe o fluxo de dados. Deve ser re-
abilitada manualmente ou por meio de recuperação de “errdisable” para ser 
usada novamente.
17
UNIDADE Integração de Rede
• Restringir (Restrict): a porta pode ficar ativa, mas todos os pacotes que vio-
lam endereços MAC são descartados. O switch mantém uma contagem con-
tínua do número de pacotes de violações e pode enviar um trap SNMP e uma 
mensagem syslog como um alerta da violação.
• Proteger (Protect): a porta pode ficar ativa, como no modo restrito. Embora 
pacotes definidos como violados sejam descartados, nenhum registro da viola-
ção é mantido.
Como exemplo do modo restrito, uma interface de switch recebeu os seguintes 
comandos de configuração:
interface GigabitEthernet0/10
switchport access vlan 99
switchport mode access
switchport port-security
switchport port-security violation restrict
spanning-tree portfast
Port security e qualidade de trá�ego no switch SG200-26: https://youtu.be/_Rs104NJk68Exp
lor
Licenciamento do Switch da Cisco
Em um passado não tão distante, mas especificamente nas versões do IOS antes 
da versão 15.0, para que pudéssemos trazer novos recursos para os switches da 
Cisco era necessário “baixar” e reinstalar novos sistemas operacionais, cada qual 
com suas características próprias, como, por exemplo, IP Base, Segurança, Voz e 
outros. Após a substituição da versão 12.4 do IOS pela versão 15.0, foi definido 
que não existe mais uma imagem diferente do IOS para suportar funcionalidades 
avançadas, sendo que um único pacote de software com uma imagem universal 
deve ser comum para todos os modelos de dispositivos de uma mesma plataforma. 
Isso é possível porque atualmente a memória flash (onde fica armazenado o IOS) é 
um recurso barato e encontrado em maior quantidade nos dispositivos de infraes-
trutura de rede (CISCO, 2017).
Essa imagem universal instalada tem suporte a todas as funcionalidades possíveis 
em uma determinada plataforma de hardware, de tal forma que o cliente precisa 
ativar através de uma chave e junto à Cisco o suporte aos recursos mais avançados, o 
que é feito através do novo sistema de licenciamento. O objetivo da Cisco ao adotar 
18
19
esse novo sistema de licenças é mitigar a pirataria e para suportar recursos avança-
dos, o cliente deve solicitar uma licença para liberar recursos avançados na imagem 
universal do IOS previamente instalado no dispositivo, o que obriga a intermediação 
da Cisco com o canal de vendas e cliente no processo de liberação da licença.
Na antiga versão, existiam pelo menos 8 tipos de imagens do IOS, cada uma 
com suporte a recursos específicos. Os dispositivos vinham com uma imagem “IP 
Base” (ou outra, dependendo de como tal plataforma foi adquirida), de maneira que 
a necessidade por recursos mais avançados requeria a atualização do firmware da 
imagem do IOS. A figura ilustra as possíveis imagens, destacando as funcionalida-
des associadas com cada uma delas (CISCO, 2017).
Advanced Enterprise Services
Full Cisco IOS Software
Advanced IP Services
IPv6, Advanced Security,
Service Provider Services
Enterprise Services
Enterprise Base, Full IBM Support,
Service Provider Services
Advanced Security
Cisco IOS Firewall,
IPsec, 3DES, VPN, SSH
SP Services
MPLS, SSH,
ATM, VoATM
Enterprise Base
Multi-Protocols,
IBM Support
IP Voice
VoIP, VoFR,
IP Telephony
IP Base
Entry-Level Cisco IOS
Software Image
Fe
at
ur
e I
nh
er
ita
nc
e
Figura 6 – Imagens do IOS na versão 12.4
No atual IOS na versão 15, existem apenas 4 “funcionalidades” que já são su-
portadas pela imagem única universal, conforme pode ser observado na próxima 
figura. Essas funcionalidades são denominadas:
• IP Base (ipbaseK9): traz funcionalidades básicas em todo dispositivo;
• Data (dataK9): suporta múltiplos protocolos, a exemplo de MPLS e ATM;
• Unified Communications (ucK9): suporta VoIP;
• Security (securityK9): suporta firewall, IPSec, VPN, 3DES e IPS.
19
UNIDADE Integração de Rede
Data
MPLS, L2TPv3, BFD, IP SLA
SNA, Traditional Protocols
Uni�ed Communications (UC)
IP Telephony,
Voice and Video
Security
Cisco IOS Firewall, IPS, IPsec
(3DES and AES), SSL VPN
IP Base
Entry-Level Cisco IOS
Software Functions
Figura 7 – Imagens do IOS na versão 15.0 e atua
Ao comprar uma licença, o cliente irá receber uma chave PAK (product 
authorization key), que deverá ser registrada na página da Cisco para, somente 
então, receber uma “chave de ativação”. Por sua vez, essa “chave de ativação” de-
verá ser utilizada no dispositivo para liberar os recursos avançados. Em ambientes 
de grandes redes que possuem vários dispositivos da Cisco em sua infraestrutura, é 
natural de se imaginar que o processo de gerenciamento e transferência das licen-
ças entre os equipamentos seja uma atividade importante e difícil. A Cisco, em fun-
ção dessa situação, desenvolveu uma ferramenta que pode auxiliar nesse processo, 
o nome dela é Cisco Licensing Manager, e que pode oferecer ao administrador 
de rede um melhor dinamismo de licenciamento em seu parque de dispositivos de 
rede (CISCO, 2017).
20