Redes Locais e Comutação Aula 10 - Comutação Avançada
Redes Locais e Comutação Aula 10 - Comutação Avançada
Redes Locais e Comutação Aula 10 - Comutação Avançada
Em nossa aula aprofundaremos as técnicas de comutação, realizando segurança de portas através do port-security.
Faremos configurações definindo quantidade de MAC por porta, MAC específico-para determinada porta e como o
switch aprende somente um MAC por porta, tomando a decisão em caso de violação.
Aprenderemos a configurar a rede camada 2 para utilização de IDS, IPDS e analisador de pacotes através do
espelhamento do tráfego de portas, local e remotamente.
Compreenderemos também como funciona a redundância de roteadores com o protocolo HSRP Hot Standby Router
Protocol, definindo prioridade e preempção e discutiremos os estados do HSRP, seus temporizadores e os comandos
para executar essas tarefas. Além de melhorar a redundância e a largura de banda através de EtherChannel com os
protocolos PAgP e LACP.
https://estudante.estacio.br/disciplinas/estacio_5489355/temas/5/conteudos/1 1/21
19/10/2021 23:29 Disciplina Portal
OBJETIVOS
Explicar a configuração de segurança de portas de switch com Port-security e o espelhamento de portas para gerência
ou segurança da rede com IDS ou IPS etc., através de Switch Port Analyzer local e remoto (SPAN e RSPAN);
Compreender e configurar Hot Standby Router Protocol HSRP e EtherChannel com os protocolos Port Aggregation
Protocol (PAgP) e Link Aggregation control Protocol (LACP).
https://estudante.estacio.br/disciplinas/estacio_5489355/temas/5/conteudos/1 2/21
19/10/2021 23:29 Disciplina Portal
PORT-SECURITY
https://estudante.estacio.br/disciplinas/estacio_5489355/temas/5/conteudos/1 3/21
19/10/2021 23:29 Disciplina Portal
https://estudante.estacio.br/disciplinas/estacio_5489355/temas/5/conteudos/1 4/21
19/10/2021 23:29 Disciplina Portal
PROTECT
descarta o tráfego, mas mantém a porta UP e NÃO ENVIA mensagem SNMP;
RESTRICT
descarta o tráfego e ENVIA mensagem SNMP;
SHUTDOWN
descarta o tráfego e ENVIA mensagem SNMP e desabilita a porta (default).
Exemplo
Antes de continuar seus estudos, veja um exemplo de configuração (galeria/aula10/docs/slide06.pdf).
SPAN E RSPAN
Comparando comutação camada 1 e camada 2
Vejamos:
https://estudante.estacio.br/disciplinas/estacio_5489355/temas/5/conteudos/1 5/21
19/10/2021 23:29 Disciplina Portal
Com equipamentos camada 2, as únicas portas que recebem o tráfego unicast são as de origem e destino (tabela
totalmente construída).
Naturalmente, os únicos tráfegos que passariam por todas as portas, inclusive a do sniffer, seriam:
Tráfego de broadcast;
Tráfego multicast com CGMP ou Internet Group Management Protocol (IGMP) snooping disable;
Tráfego unicast desconhecido pelo switch.
A solução é estabelecer uma sessão de monitoramento de portas ou redes (VLANs), também conhecida como
espelhamento de portas (glossário), conforme topologia a seguir:
LOCAL SPAN
O recurso SPAN (glossário) em switches CISCO é um tipo de espelhamento de porta que envia cópias do quadro ou
frame, que entram em uma porta e saem por outra, no mesmo switch.
Analisador de pacotes
https://estudante.estacio.br/disciplinas/estacio_5489355/temas/5/conteudos/1 6/21
19/10/2021 23:29 Disciplina Portal
A seguir, veja alguns termos comumente utilizados nas diversas tecnologias de espelhamento ou monitoramento de
portas:
REMOTE SPAN
Até aqui, abordamos o monitoramento de portas, origem e destino no mesmo switch.
Utilizado principalmente quando o analisador de pacotes fica conectado a um switch diferente do que será monitorado.
A seguir, veja alguns termos comumente utilizados nas diversas tecnologias de espelhamento remoto:
https://estudante.estacio.br/disciplinas/estacio_5489355/temas/5/conteudos/1 7/21
19/10/2021 23:29 Disciplina Portal
O Remote SPAN utiliza duas sessões: uma de origem e outra de destino para copiar o tráfego ou o tráfego de uma
VLAN. SPAN remoto utiliza duas sessões: uma sessão como origem e uma sessão para copiar ou receber o tráfego de
uma VLAN.
Observe a figura a seguir e veja um exemplo de RSPAN, onde o link de trunk é usado para transportar a VLAN remote-
span em toda a rede.
https://estudante.estacio.br/disciplinas/estacio_5489355/temas/5/conteudos/1 8/21
19/10/2021 23:29 Disciplina Portal
CONFIGURANDO RSPAN
Inicialmente, devemos criar uma VLAN para transportar o monitoramento da origem até o destino.
https://estudante.estacio.br/disciplinas/estacio_5489355/temas/5/conteudos/1 9/21
19/10/2021 23:29 Disciplina Portal
Observação:
A mesma RSPAN VLAN é utilizada por todos o switches para uma mesma sessão de RSPAN;
Todos os switches participantes necessitam suportar RSPAN;
Não pode ser a VLAN 1 (ou a nativa).
O primeiro passo foi dado. Agora, vamos configurar a sessão origem e destino.
https://estudante.estacio.br/disciplinas/estacio_5489355/temas/5/conteudos/1 10/21
19/10/2021 23:29 Disciplina Portal
HSRP
Introdução ao HSRP
Hot Standby Router Protocol (HSRP) é um protocolo proprietário da CISCO, para a implementação de redundância de
gateway sem a necessidade de alterar as configurações dos dispositivos finais.
Os roteadores configurados, como HSRP, formam um conjunto que responde por um default gateway virtual (10.1.1.1),
com as seguintes designações e funções: um ativo (glossário) (active) e outro em espera (glossário) (standby).
Comentário
Relembrando que o gateway da rede continua sendo o router virtual 10.1.1.1, não necessitando de qualquer alteração na
configuração dos nós da rede.
Topologia HSRP
Os roteadores 10.1.1.2 e o roteador 10.1.1.3 representam um único default gateway (glossário) com o endereço
10.1.1.1 para os dispositivos finais (hosts da rede).
Os PCs da rede configuram o default gateway como 10.1.1.1, endereço este atribuído pelo administrador da rede. Já o
MAC address é automaticamente criado independente do roteador físico.
Um dos roteadores envia os dados (active) e o outro fica em espera (standby) como um backup, que entra em
funcionamento se ocorrer falha do roteador active ou do link.
https://estudante.estacio.br/disciplinas/estacio_5489355/temas/5/conteudos/1 11/21
19/10/2021 23:29 Disciplina Portal
Somente o roteador ativo (active) irá receber e transmitir o tráfego enviado para o gateway padrão.
Se o roteador ativo falhar ou se a comunicação com o roteador ativo falhar, o roteador de espera irá assumir o papel do
roteador ativo.
A configuração de default gateway dos dispositivos finais não se altera, somente o HSRP altera quem é o active e o
standby.
Haja vista a discussão no protocolo Spanning Tree Protocol, não podemos deixar o acaso realizar as escolhas. Por
esse motivo, no STP, utilizamos o valor do priority e no HSRP:
HSRP Priority
Por padrão, a prioridade do HSRP é 100. Logo, se as prioridades forem iguais, continua
ganhando a eleição o roteador que possuir o maior valor numérico de endereço IP. Porém, o
roteador de mais alta prioridade será o ativo.
Para configurar a prioridade, utiliza-se o comando da interface standby priority, que pode
variar entre 0 e 255.
HSRP preempção
Quando, por falha do roteador HSRP ativo, o HSRP standby assume a função de ativo, temos
as seguintes questões:
Normalmente, o roteador que estiver como ativo, mesmo com prioridade HSRP menor,
continuará a ser o roteador ativo, não realizando uma nova reeleição.
O processo de eleição deve ser ativado com o comando de interface standby preempt. Que é
a capacidade de um roteador HSRP iniciar um processo de reeleição.
https://estudante.estacio.br/disciplinas/estacio_5489355/temas/5/conteudos/1 12/21
19/10/2021 23:29 Disciplina Portal
Com a preempção ativada, o roteador com maior prioridade HSRP assumirá o papel de
roteador ativo (active).
Observação:
Se a prioridade HSRP for igual, não vai alterar o ativo, mesmo que o novo possua endereço
IP numericamente maior do que o ativo.
Observação:
Com a preempção desativada, o roteador que iniciar primeiro, e se não existirem roteadores
on-line, se tornará o roteador ativo
Temporizadores HSRP
Quando há a primeira configuração HSRP ou já estiver configurado, o roteador envia mensagens Hello HSRP para
determinar o estado que irá assumir no grupo HSRP.
https://estudante.estacio.br/disciplinas/estacio_5489355/temas/5/conteudos/1 13/21
19/10/2021 23:29 Disciplina Portal
Temporizadores HSRP
Esses temporizadores podem ser alterados. Mas, objetivando não aumentar o uso
de COU e mudança de estado desnecessárias, NÃO defina o Hello timer menor do
que 1 segundo ou o hold timer abaixo de 4 segundos.
https://estudante.estacio.br/disciplinas/estacio_5489355/temas/5/conteudos/1 14/21
19/10/2021 23:29 Disciplina Portal
ETHERCHANNEL
Muitas vezes, é necessário ao administrador da rede local aumentar a largura de banda entre os switches. Uma
possibilidade é, por exemplo, trocar a interface FastEthernet que interliga os switches por interfaces GigabitEthernet.
Solução: EtherChannel
https://estudante.estacio.br/disciplinas/estacio_5489355/temas/5/conteudos/1 15/21
19/10/2021 23:29 Disciplina Portal
Consiste em links Ethernet, FastEthernet ou Ethernet Gigabit rápidos e individuais serem agrupados em uma única
ligação lógica, conforme figura a seguir:
Apesar dos fabricantes não seguirem um padrão, todos possuem uma função do EtherChannel, mesmo que com nome
diferente:
Etherchannel;
Port-channel;
Link-Aggregation;
Bridge-Aggregation.
No fabricante CISCO, que detém a maior fatia desse mercado, o EtherChannel pode utilizar um desses modos para
estabelecer a agregação de portas:
Protocol
Observação:
Observação:
https://estudante.estacio.br/disciplinas/estacio_5489355/temas/5/conteudos/1 16/21
19/10/2021 23:29 Disciplina Portal
INTERFACE PORT-CHANNEL
O EtherChannel pode ser criado de 2 formas:
https://estudante.estacio.br/disciplinas/estacio_5489355/temas/5/conteudos/1 17/21
19/10/2021 23:29 Disciplina Portal
VERIFICAÇÃO DO ETHERCHANNEL
ATIVIDADES PROPOSTAS
1- Aprendemos a técnica de redundância de roteadores com o protocolo HSRP, que tem como desvantagem um dos
links ficar em standby (espera).
Nos dias atuais é extremamente salutar que os recursos produzam redundância e
balanceamento de carga.
Pesquise e faça uma microaula de qual seria esse protocolo e como implementá-lo.
Resposta Correta
2 - Utilizar, em uma rede comutada (camada 2), um analisador de protocolos como o wireshark, não é uma tarefa muito
fácil, principalmente se não estiver no mesmo switch que a porta ou portas a terem o tráfego analisado. Qual dos
protocolos abaixo realiza essa tarefa?
A) PAgP.
B) HSRP.
C) SPAN.
D) RSPAN.
E) ICMP.
https://estudante.estacio.br/disciplinas/estacio_5489355/temas/5/conteudos/1 18/21
19/10/2021 23:29 Disciplina Portal
Justificativa
3 - Para aumentar a largura de banda na interligação dos switches, utiliza-se a técnica conhecida na CISCO como
EtherChannel. Qual dos conjuntos abaixo, PROTOCOLO – MODO, não é possível de ser implementado?
A) PAgP - desirable.
B) PAgP - auto.
C) LACP - ativo.
D) LACP - passivo.
E) LACP - auto.
Justificativa
4 - O protocolo HSRP, Hot Standby Router Protocol, é um protocolo para redundância de roteadores da rede. Quando o
router active falha, o standby assume a função de active e passa a encaminhar os datagramas.
Justificativa
https://estudante.estacio.br/disciplinas/estacio_5489355/temas/5/conteudos/1 19/21
19/10/2021 23:29 Disciplina Portal
Glossário
ESPELHAMENTO DE PORTAS
SPAN
RSPAN
ATIVO
O roteador ativo assume a função de encaminhar os datagramas IP. Resumindo: será o gateway da rede, utilizando os dados do
roteador virtual.
ESPERA
https://estudante.estacio.br/disciplinas/estacio_5489355/temas/5/conteudos/1 20/21
19/10/2021 23:29 Disciplina Portal
DEFAULT GATEAWAY
Na realidade, o endereço do default gateway é um endereço virtual, bem como seu MAC, que também é virtual e compartilhado
por ambos roteadores HSRP.
https://estudante.estacio.br/disciplinas/estacio_5489355/temas/5/conteudos/1 21/21