Versão deste manual: 1.1.1 Parabéns, você acaba de adquirir um produto com a qualidade e
segurança Intelbras. O SG 2404 PoE L2+ é um switch de 24 portas PoE Gigabit Ethernet com 4 portas Mini-GBIC independentes. Atende aos padrões IEEE802.3af e IEEE802.3at, podendo fornecer potência máxima de até 192 W, distribuídos conforme o padrão utilizado e a quantidade de portas disponíveis. Com a tecnologia PoE é possível transmitir energia elétrica e dados através do mesmo cabo de rede (cat5 ou superior) para dispositivos compatíveis com os padrões 802.3af ou 802.3at, eliminando a
necessidade de tomadas para os produtos alimentados, minimizando os custos de instalação. Para exportar este manual para o formato de arquivo PDF, utilize o recurso de impressão que navegadores como Google Chrome® e Mozilla Firefox® possuem. Para acessá-lo, pressione as teclas CTRL + P ou
clique aqui. Se preferir, utilize o menu do navegador, acessando a aba Imprimir, que geralmente fica no canto superior direito da tela. Na tela que será aberta, execute os passos a seguir, de acordo com o navegador: Google Chrome®: na tela de impressão, no campo Destino, clique em
Alterar, selecione a opção Salvar como PDF na seção Destinos locais e clique em Salvar. Será aberta a tela do sistema operacional solicitando que seja definido o nome e onde deverá ser salvo o arquivo. Mozilla Firefox®: na tela de impressão, clique em Imprimir, na aba Geral, selecione a opção Imprimir para arquivo, no campo Arquivo, defina o nome e o local onde deverá ser salvo o arquivo, selecione
PDF como formato de saída e clique em Imprimir. Observar as leis locais relativas à proteção e uso de tais dados e as regulamentações que prevalecem no país. O objetivo da legislação de proteção de dados é evitar infrações nos direitos individuais de privacidade baseadas no mau uso dos dados pessoais. Este
sistema utiliza e processa dados pessoais como senhas, registro detalhado de chamadas, endereços de rede e registro de dados de clientes, por exemplo. As senhas de acesso permitem o alcance e a alteração de qualquer facilidade, como o acesso externo ao sistema da empresa para obtenção de dados, portanto, é de suma importância que as senhas sejam disponibilizadas apenas àqueles que tenham autorização para uso, sob o
risco de uso indevido. A Intelbras não acessa, transfere, capta, nem realiza qualquer outro tipo tratamento de dados pessoais a partir deste produto, com exceção aos dados necessários para funcionamento do próprio produto. Para mais informações, consulte o capítulo sobre métodos de segurança do equipamento. Quando estiver utilizando esse guia perceba que as funções do switch
podem variar sua apresentação dependendo de qual versão de software você tiver. Todas as Screenshots., imagens, parâmetros e descrições documentadas nesse guia são utilizadas unicamente para demonstração. As informações desse documento e seu conteúdo podem mudar sem aviso prévio. Todos os esforços foram tomados para a preparação desse documento para garantir a precisão do seu conteúdo, porém sob todas as declarações, informações e recomendações desse documento não constituem
garantia de qualquer gênero. Os usuários devem ter total responsabilidade pela aplicação desse produto. Este manual contém informações para instalação e gerenciamento do switch SG 2404 PoE L2+. Por favor, leia-o com atenção antes de operar o produto. Esse guia é direcionado para gestores de rede os quais estejam familiarizados com conceitos de TI e terminologias de rede. Neste manual as seguintes convenções serão usadas: Sistema > Informações > Status: significa que a página Status está dentro do submenu Informações, que está localizada dentro do menu Sistema. Capítulo Introdução 1 – Sobre o manual Introdução de como o manual está estruturado. 2 – Introdução Especificações gerais do produto. 3 – Acessando o Switch Introdução para acessar a interface de gerenciamento do produto. 4 – Sistema de Gestão Este módulo é utilizado para configurações do sistema e propriedades do switch. - Informações: configuração da descrição, tempo do sistema e parâmetros de redes do switch. - Usuários: configuração de usuários e senhas, além de configurar o nível de acesso para cada usuário. - Ferramentas: manipulação dos arquivos de configuração do switch. - Gerenciamento: fornece diferentes medidas de segurança para acessar o gerenciamento web do switch. - Configuração
PoE: configuração geral da função PoE. - Agendamentos: configuração de data e hora específicos para o funcionamento do PoE. 5 – Gerenciando as Interfaces Físicas Este módulo é utilizado para configurar as funções de interfaces físicas do switch. - Configurações básicas: configuração de status, velocidade, tipo de conexão, controle de fluxo e configuração de MTU. - Isolamento de Portas: configurações para controle de dados que a porta pode encaminhar e sua lista de encaminhamento. - Loopback Detection: configurações para controle de Loop na rede. 6 – Configuração LAG Este módulo é utilizado para configurar a função de grupos de Link Aggregation. Para unir múltiplas interfaces físicas em uma interface lógica para aumentar a banda e a confiabilidade. 7 – Gerenciamento a Tabela de endereço MAC Este módulo é utilizado para configurar as funções da tabela MAC do switch. - Tabela de endereço MAC: contém as informações dos endereços físicos que o switch utiliza para encaminhar pacotes. - Configurações de Endereço MAC: configura as entradas de endereços na tabela, seu tempo de aging e entradas de filtro. 8 – VLAN 802.1Q Este módulo é utilizado para configurar VLANs. - VLAN 802.1Q: configuração de VLANs baseadas em TAG de VLAN e portas. 9 – MAC VLAN Este módulo é utilizado para configurar VLANs baseadas em MAC. 10 –VLAN de Protocolo Este módulo é utilizado para configurar VLANs baseadas em Protocolo. 11 – GVRP Este módulo é utilizado para configurar a função de GVRP do switch. 12 – Multicast de Camada 2 Este módulo é utilizado para configurar a função Multicast do switch. - IGMP Snooping: configuração global dos parâmetros IGMP Snooping, propriedade da porta, VLAN e Multicast VLAN. - Multicast estático: configuração da tabela de IP Multicast estático e visualização da tabela de endereços Multicast. - Filtro Multicast: configuração dos recursos de filtros de endereços Multicast. - Estatísticas IGMP: visualização das mensagens IGMP em cada porta do switch. 13 – STP Este módulo é utilizado para configurar a função Spanning Tree no switch. - Spanning Tree: configuração e visualização das configurações globais da função Spanning Tree. - Portas STP: configuração dos parâmetros da função STP para cada porta. - Instâncias MSTP: configuração de instâncias MSTP. - Segurança STP: configuração de proteção contra invasões maliciosos à função STP. 14 – LLDP Este módulo é utilizado para configurar a função LLDP, fornecendo informações para aplicações SNMP, simplificando a solução de problemas. - Configuração LLDP: configuração dos parâmetros de funcionamento da função LLDP. - Informações dos dispositivos: visualização das informações LLDP do dispositivo local e dispositivo vizinho. - Estatísticas LLDP: visualização das estatísticas LLDP do dispositivo local. - LLDP-MED: configuração dos parâmetros da função
LLDP-MED do dispositivo local. 15 – Interfaces de Camada 3 Este módulo é utilizado para configurar a função 16 – Roteamento Este módulo é utilizado para configurar a função 17 – DHCP Este módulo é utilizado para configurar a função 18 – ARP Este módulo é utilizado para configurar e visualizar a tabela ARP. - Tabela ARP: 19 – QoS Este módulo é utilizado para configuração de QoS, provendo qualidade e priorizando serviços desejados. - DiffServ: configuração de prioridade por porta, 802.1P e DSCP, além de configuração do algoritmo de fila. - Controle de banda: configuração do limite de banda e Storm Control por porta. 20 – Segurança de Acesso Este módulo é utilizado para configurar a função de Segurança de Acesso. - Controle de Acesso: Você pode controlar o acesso dos usuários ao switch filtrando endereços IP, endereços MAC ou porta nesta página. - Configuração HTTP: Você pode permitir ou negar o acesso de usuários ao switch por um navegador web nesta página. - Configuração HTTPs: Você pode permitir ou negar o acesso de usuários ao switch por um navegador web nesta página. - Configuração SSH: SSH
(Shell de Segurança) fornece segurança e autenticação poderosa para um gerenciamento remoto não seguro, a fim de garantir que a informação de gerenciamento está protegida. - Configuração Telnet: Você pode configurar o login telnet nesta página. 21 – AAA Este módulo é utilizado para configurar a função AAA (Autenticação, Autorização, Contabilidade), a autenticação pode ser processada localmente no switch ou em servidores. - Configuração Global: Você pode configurar múltiplos servidores e métodos de autenticação ao mesmo tempo, para garantir a estabilidade do sistema de autenticação. - Configuração de Método: Uma lista de método descreve os métodos de autenticação e sua sequência para autenticar os usuários. -
Configuração Dot1x: Você pode configurar grupos de servidor RADIUS para autenticação e contabilidade 802.1X nesta página. - Grupo Servidor: Você pode editar grupos de servidor existentes, ou adicionar novos grupos de servidor. - Configuração RADIUS: Você pode adicionar um ou mais servidores RADIUS ao switch para autenticação. - Configuração TACACS+: Você pode adicionar um ou mais servidores TACACS+ ao switch para autenticação 22 – 802.1x Este módulo é utilizado para configurar a função 802.1x. - Configuração Global: Você pode usar o protocolo 802.1x para autenticar e controlar o acesso de dispositivos conectados às portas. - Configuração de Porta: Você pode configurar a autenticação 802.1x na porta desejada. - Estado do Autenticador: Você pode visualizar o estado de autenticação nesta página. Selecione uma porta para a qual você deseja visualizar o estado de autenticação. 23 – Segurança de Porta Este módulo é utilizado para configurar as funções de segurança de porta. Você pode limitar o número de endereços MAC que pode ser aprendido em cada porta nesta página, assim evitando que a tabela de endereços MAC seja exaurida pelos pacotes do ataque. 24 – ACL Este módulo é utilizado para configurar a função ACL e criar listas de controle de acesso. - Configuração ACL: você pode criar diferentes tipos de ACL e definir as regras com base na fonte MAC ou IP, no destino MAC ou IP, tipo de protocolo, número da porta e assim por diante. Então, os registros ACL que você configurou serão exibidos na tabela ACL. - Vinculo ACL: Você pode vincular ACL a uma porta nesta página. 25 – IPv4 IMPB Este módulo é utilizado para configurar a função IPv4 IMPB - Vinculo IPv4 para vincular um endereço IP e/ou endereço MAC à uma porta como um registro. - A função ND Detection usa os registros na tabela de vinculação IPv6-MAC para filtrar pacotes ND forjados e evitar ataques ND. - A função IPv4 Source Guard permite que o switch filtre os pacotes que não correspondem às regras na Tabela de Vinculação IPv6-MAC. 26 – IPv6 IMPB Este módulo é utilizado para configurar a função IPv6 IMPB - Vinculo IvPv6 para vincular um endereço IP e/ou endereço MAC à uma porta como um registro. - A função ND Detection usa os registros na tabela de vinculação IPv6-MAC para filtrar pacotes ND forjados e evitar ataques ND. - A função IPv6 Source Guard permique que o switch filtre os pacotes que não correspondem às regras na Tabela de Vinculação IPv6-MAC. 27 – Filtro DHCP Este módulo é utilizado para configurar a função de Filtro DHCP para filtrar pacotes ilegais. 28 – DoS Este módulo é utilizado para configurar a função DOS. A função DoS (Negativa de Serviço) Defend fornece proteção contra ataques DoS. 29 – Monitoramento do Sistema Este módulo é utilizado para visualizar o uso de memória e CPU 30 – Monitoramento Trafego Este módulo é utilizado para configurar a função de monitoramento de trafego das interfaces físicas. 31 – Espelhamento de Trafego Este módulo é utilizado para configurar a função de espelhamento de trafego para análise em uma porta de monitoramento. 32 – DLDP Este módulo é utilizado para configurar a função 33 – SNMP & RMON Este módulo é utilizado para configurar a função SNMP, provendo um monitoramento e gerenciamento do switch na rede. - SNMP: define as configurações globais da função SNMP. - Notificação: configuração das notificações (Trap e Inform) enviadas para a estação de gerenciamento. - RMON: configuração da função RMON para monitorar a rede de forma mais eficiente. 34 – Diagnóstico do Dispositivo e Rede Este módulo é utilizado para monitorar o switch e diagnosticar possíveis problemas na rede. - Monitoramento: monitoramento da utilização da Memória e CPU do Switch. - Log: permite classificar, visualizar e gerenciar informações do sistema de forma eficaz. - Ferramentas: teste o estado do cabo de rede conectado ao switch e também a disponibilidade das portas do switch. - Diagnóstico: testa se o endereço IP de destino está ao alcance do switch, bem como a
quantidade de saltos necessários até alcançá-lo. 35 – Logs do Sistema Este módulo é utilizado para visualizar e configurar os logs locais e remotos e realizar o backup dos logs do sistema. Projetado para grupos de trabalho e departamentos, o switch SG 2404 PoE L2+ da Intelbras possui um alto desempenho e um conjunto completo de recursos de gerenciamento de camada 2 e 3. Ele fornece uma variedade de características com elevado nível de segurança. A capacidade de configuração inteligente fornece soluções flexíveis para uma escala variável
de redes. Filtro de endereço MAC, isolamento e segurança das portas fornecem uma robusta estratégia de segurança. O QoS e IGMP Snooping/filtro otimizam as aplicações de voz e vídeo. A agregação de link permite o aumento da velocidade do link além dos limites nominais de uma única porta, evitando gargalos na rede. SNMP, RMON e web trazem uma grande variedade de políticas de gerenciamento. O SG 2404 PoE L2+ possui todas as suas 24 portas RJ45 com suporte à função PoE, podendo detectar
automaticamente os dispositivos que são alimentados por PoE e que atendam as normas IEEE802.3af ou IEEE802.3at, além de trazer múltiplas funções com excelente desempenho e facilidade de gerenciamento, o que corresponde a total necessidade dos usuários que exigem um grande desempenho da rede. O painel frontal do SG 2404 PoE L2+ possui 24 portas Gigabit Ethernet 10/100/1000 Mbps e mais
4 portas Mini-GBIC independentes (100/1000 Mbps), 1 botão reset e 1 botão para o monitoramento da função PoE, além de LEDs para o monitoramento. No painel frontal são apresentados 34 LEDs de monitoramento, que seguem o comportamento a seguir: LED Status Indicação Power Aceso Switch conectado na fonte de alimentação. Piscando Switch com problema na fonte de alimentação. Apagado Switch desligado ou com problema na fonte de alimentação. SYS Aceso Switch está funcionando de forma anormal. Piscando Switch funcionando normalmente. Apagado Switch está funcionando de forma anormal. Link/Atividade Aceso Conexão válida estabelecida, sem recepção/transmissão de dados. Piscando Conexão válida estabelecida, com recepção/transmissão de dados. Apagado Nenhuma conexão válida nesta porta ou a porta está desativada. 10/100/1000 Mbps Verde Aceso Conexão a 1000 Mbps estabelecida, sem transmissão/recepção de dados. Piscando Conexão a 1000 Mbps estabelecida, com transmissão/recepção de dados. Laranja Aceso Conexão a 10/100 Mbps estabelecida, sem transmissão/recepção de dados. Piscando Conexão a 10/100 Mbps estabelecida, com transmissão/recepção de dados. Apagado Nenhuma conexão válida nesta porta, ou a porta está desativada. LED Status Indicação Power Aceso Switch conectado a energia elétrica. Piscando Switch com problema na fonte de alimentação. Apagado Switch desligado ou com problema na fonte de alimentação. SYS Aceso Switch está funcionando de forma anormal. Piscando Switch funcionando normalmente. Apagado Switch está funcionando de forma anormal. PoE MAX Aceso A potência PoE remanescente é ≤ 7 W. Piscando A potência PoE remanescente permanece ≤ 7W após 2 minutos acesa. Apagado A potência PoE remanescente é ≥ 7W. 10/100/1000 Mbps Verde Aceso A porta está fornecendo energia normalmente. Piscando O fornecimento de energia excede a potência máxima da porta. Laranja Aceso Detecção de sobrecarga ou curto-circuito na porta correspondente. Piscando Falha no auto teste da porta correspondente. Apagado Nenhum dispositivo conectado à porta. Dispositivo (PD) conectado à porta não atende a norma IEEE802.3af ou IEEE802.3at O painel posterior possui um conector de alimentação de energia elétrica e um terminal de aterramento, representado pelo símbolo
ACESSANDO O SWITCHVisão geralVocê pode acessar e gerenciar o switch usando a interface gráfica GUI (graphical User interface) ou utilizando a interface CLI (Command Line Interface). Na interface web existem funções equivalentes às funções da interface de linha de comando, apresentadas de uma forma mais simples, visual e intuitiva que a configuração CLI. Você pode escolher o método de configuração de acordo com a disponibilidade de aplicação e sua preferência. Acesso à Interface WebVocê pode acessar a interface web do switch através de autenticação web. O switch utiliza dois servidores de acesso web, HTTP e HTTPS, para autenticação do usuário. Os exemplos à baixo mostram como realizar o login através do servidor HTTP. LoginPara gerenciar seu Switch através de um navegador de internet no seu computador:
Função de salvar a configuraçãoO arquivo de configuração do switch é dividido em dois tipos: arquivo de configuração de operação e arquivo de configuração de inicialização. Após você executar configuração nas subinterfaces e clicar em Aplicar, as modificações serão salvas no arquivo de configurações de operação. A configuração será perdida quando o switch reiniciar. Se você precisa manter as configurações após o reinicio do switch utilize a função salvar na interface principal para salvar as configurações no arquivo de configuração de inicialização. Desabilitando o Servidor WebVocê pode desabilitar o servidor HTTP ou HTTPs bloqueando qualquer acesso à interface web. Vá para Segurança > Segurança de Acesso > Configuração HTTP, desabilite o servidor HTTP e clique em Aplicar. Vá para Segurança > Segurança de Acesso > Configuração HTTPS, desabilite o servidor HTTPS e clique em Aplicar. Configure o endereço IP e o Gateway padrão do SwitchSe você desejar acessar o switch através de uma porta específica (Será tratada como acesso à porta futuramente), você pode configurar a porta como porta roteada e especificar seu endereço IP, ou configurar o endereço IP da VLAN a qual a porta de acesso pertence.
Por padrão, todas as portas pertencem à VLAN 1 com a interface 192.168.0.1. Os próximos exemplos mostram como alterar o endereço padrão para acesso ao switch.
Os exemplos a seguir mostram como configurar o Gateway para o switch. Por padrão o switch não possui nenhum Gateway Padrão configurado.
Acesso à interface CLIOs usuários podem acessar a interface de linha de comando através do Telnet ou conexão SSH, e gerenciar o Switch com linhas de comando. As conexões Telnet e SSH suportam conexão remota e local. A tabela a seguir demonstra as aplicações típicas utilizadas no acesso CLI:
Telnet LoginO Switch suporta modo de login local para autenticação como padrão. Modo de Login Local: Nome de usuário e senha são necessários, os quais são respectivamente admin, admin por padrão. Os próximos passos mostram como acessar o switch através do modo de login local para gerenciamento do mesmo:
SSH LoginO login através da conexão SSH suporta dois modos: modo autenticação através de senha e modo autenticação através de chave. Você pode escolher conforme a sua necessidade:
Antes de acessar através da conexão SSH, siga os passos seguintes para habilitar a conexão SSH no programa emulador de terminal: Modo de autenticação através de Senha
Modo de autenticação através de Chave
O comprimento da Chave deve estar entre 512 e 3072 bits; O tipo de chave deve estar de acordo com o tipo de arquivo de chave. No CLI à cima, v1 corresponde à SSH-1 (RSA) e v2 corresponde à SSH-2 RSA e SSH-2 DAS. Modo de Login Local: Nome de usuário e senha são necessários, os quais são respectivamente admin, admin por padrão. Os próximos passos mostram como acessar o switch através do modo de login local para gerenciamento do mesmo:
Desabilitando o Login TelnetVocê pode desabilitar a função de TELNET para bloquear qualquer acesso à interface CLI via Telnet. Vá até o menu Segurança > Segurança de Acesso > Configuração Telnet, desabilite a função de TELNET e clique em Aplicar. Desabilitando o Login SSHVocê pode desabilitar o servidor SSH para bloquear qualquer acesso à interface CLI via SSH. Vá até o menu Segurança > Segurança de Acesso > Configuração SSH, desabilite o servidor SSH e clique em Aplicar. SISTEMA DE GESTÃOSistemaVisão GeralNo módulo sistema você pode visualizar as informações do sistema e configurar os parâmetros e características do sistema do switch. Funções suportadasInformação do Sistema Você pode visualizar o estado das portas e as informações do sistema do switch, e configurar a descrição do dispositivo, horário do sistema e o tempo de horário de verão. Gerenciamento de Usuário Você pode gerenciar as contas de usuário para acesso ao switch. Existem vários tipos de usuários os quais possuem diferentes níveis de acesso e você pode criar diferentes contas de usuário conforme sua demanda. Ferramentas do Sistema Você pode configurar os arquivos de inicialização, backup e restauração do switch além de ter acesso à atualização de firmware, reset e reinicialização do switch. EEE Energy Efficient Ethernet (EEE) é utilizado para reduzir o consumo de energia do switch em períodos de baixa atividade de dados. Você pode simplesmente ativar essa função para as portas para permitir a redução do consumo de energia. PoE Power over Ethernet (PoE) é uma função de fornecimento de energia remota. Com essa função o switch pode fornecer energia à dispositivos conectados através do cabo de rede. Alguns dispositivos como telefones IP, access points (APs) e câmeras podem sem instalados distantes de instalações de energia elétrica. PoE pode prover energia para esses dispositivos sem precisar de cabos de energia e instalação elétrica no local. Isso permite que um único cabo providencie conexão de dados e energia para os dispositivos. Os padrões de PoE IEEE 802.3af e IEEE 802.2at possuem processos para descobrir dispositivos que precisam ser alimentados por PoE, administração de energia, detecção de desconexão e uma classificação do dispositivo energizado opcional.
Power sourcing equipment (PSE), é um dispositivo que disponibiliza energia para os dispositivos conectados à Ethernet, este switch por exemplo. Os PSE podem detectar os PDs e determinar os requisitos de alimentação do mesmo.
Powered Device (PD) é um dispositivo que recebe alimentação do PSE, por exemplo, telefones IPs e Access Points. Os PDs em conformidade com os padrões IEEE podem ser classificados como PDs padrões e PDs não padronizados, somente os PDs dentro dos padrões IEEE serão alimentados por este switch. Modelo SDM Modelo SDM (Switch Database Management) é utilizado para priorizar os recursos do hardware para certas funções. O switch disponibiliza três Modelos os quais alocam diferentes recursos de hardware para diferentes usos, e você pode escolher de acordo com a sua necessidade. Time Range Com essa função você pode configurar um “time range” e vincular à uma porta PoE ou à uma regra ACL. Configurações das informações do SistemaCom as configurações das informações do sistema você pode:
Visualizando o resumo do sistemaVá para SISTEMA > Informação do Sistema > Resumo do Sistema para carregar a página com o resumo do sistema. Você pode visualizar o estado das portas e as informações do sistema do switch. Visualizando o estado das portas Na seção Estado das Portas você pode ver o estado das portas e a velocidade de banda utilizada por cada porta. A Tabela a seguir mostra o significado de cada estado da porta:
Você pode mover o cursor sobre uma porta para visualizar as informações detalhadas da porta.
Você pode clicar em uma porta para visualizar a utilização de banda da mesma.
Visualizando a informação do Sistema Na seção Informação do Sistema você pode visualizar as informações do sistema do switch.
Configurando a Descrição do DispositivoVá para SISTEMA > Informação do Sistema > Descrição do Dispositivo para carregar a seguinte página:
Configurando o Horário do SistemaVá para SISTEMA > Informação do Sistema > Horário do Sistema para carregar a seguinte página: Na seção de Informação de Horário você pode ver a informação do horário atual do switch.
Na Seção Configuração de Horário siga os seguintes passos para configurar o horário do sistema:
Configurando o Horário de VerãoVá para SISTEMA > Informação do Sistema > Horário de Verão para carregar a seguinte página: Siga os seguintes passos para configurar o Horário de Verão:
Configurações de Gerenciamento do UsuárioCom o gerenciamento de usuário você pode criar e gerenciar contas de usuário para acesso ao switch. Existem quatro tipos de contas de usuário com diferentes níveis de acesso: Admin, Operador, Usuário Avançado e Usuário.
Criando Contas de UsuárioVá até o menu SISTEMA > Gerenciamento do Usuário, para carregar a seguinte página: Por padrão existe um usuário Admin padrão na tabela. Você pode clicar em Você pode criar novas contas de usuário. Clique em Siga os seguintes passos para criar um novo usuário:
Configuração da Senha EnableVá até o menu Segurança > AAA > Configuração Global, para carregar a seguinte página: Siga os seguintes passos para configurar a Senha de Enable:
Dica: os usuários que estão ativos, logados, podem vir à essa página para elevar seu nível de privilégio para administrador utilizando a senha de Enable. Configuração das Ferramentas do SistemaCom as Ferramentas do Sistema você pode:
Configurando o arquivo de inicializaçãoVá até o menu SISTEMA > Ferramentas do Sistema > Configuração de Boot para carregar a seguinte página: Siga os seguintes passos para configurar o arquivo:
Na seção Tabela de Imagem você pode visualizar as informações de imagem de inicialização atual, próxima imagem de inicialização e imagem de backup. As informações exibidas são as seguintes:
Restaurando as configurações do SwitchVá até o menu SISTEMA > Ferramentas do Sistema > Configuração de Restauração para carregar a seguinte página: Siga os seguintes passos para restaurar as configurações do Switch:
Levará algum tempo até o Switch restaurar as configurações, aguarde sem realizar nenhuma operação. Backup do arquivo de ConfiguraçãoVá até o menu SISTEMA > Ferramentas do Sistema > Configuração de Backup para carregar a seguinte página: Na seção Configuração de Backup selecione uma unidade e clique em Exportar para exportar o arquivo de Configuração. Levará algum tempo até o Switch exportar as configurações, aguarde sem realizar nenhuma operação. Upgrading de FirmwareVá até o menu SISTEMA > Ferramentas do Sistema > Upgrade de Firmware para carregar a seguinte página: Você pode visualizar as informações atuais do firmware nesta página:
Siga os passos a seguir para realizar a atualização do Firmware do Switch:
Levará algum tempo até o Switch realizar o
upgrade completo, aguarde sem realizar nenhuma operação. Reiniciando o SwitchExistem dois métodos para realizar a reinicialização do Switch: reiniciar manualmente o switch e configurar um agendamento para realizar a reinicialização automática do Switch. Reiniciando o Switch Manualmente Vá até o menu SISTEMA > Ferramentas do Sistema > Reinicializar o Sistema > Reinicializar o Sistema para carregar a seguinte página: Siga os seguintes passos para reiniciar o Switch:
Configurando uma Reinicialização Agendada Vá até o menu SISTEMA > Ferramentas do Sistema > Reinicializar o Sistema > Agenda de Reinicialização para carregar a seguinte página: Siga os seguintes passos para configurar uma reinicialização agendada para o Switch:
Se após o agendamento da reinicialização o Switch for reiniciado por algum motivo, o agendamento será considerado como já efetuado. Reset do Sistema Vá até o menu SISTEMA > Ferramentas do Sistema > Reinicializar o Sistema > Reset do Sistema para carregar a seguinte página: Na seção Reset do Sistema selecione a unidade que você deseja resetar e clique em Reset. Após o Reset acontecer todas as configurações do switch serão restauradas para o padrão de fábrica. Configuração EEEVá até o menu SISTEMA > EEE para carregar a seguinte página: Siga os seguintes passo para configurar o EEE:
Configuração PoECom a função PoE você pode:
Você pode configurar os parâmetros PoE um-a-um através da configuração de parâmetros PoE manualmente. Você também pode criar perfis com os parâmetros desejados e vincular o perfil à porta para obter agilidade na configuração. Configurando os Parâmetros PoE ManualmenteVá até o menu SISTEMA > PoE > Configuração PoE para carregar a seguinte página: Siga os seguintes passos para configurar os parâmetros básicos do PoE:
Configuração dos parâmetros PoE por perfil de usuárioCriando um perfil PoE Vá até o menu SISTEMA > PoE > Perfil PoE e clique no botão Adicionar para carregar a seguinte página: Siga os seguintes passos para criar um perfil PoE:
Vinculando um perfil PoE à uma porta. Vá até o menu SISTEMA > PoE > Configuração PoE e clique no botão Adicionar para carregar a seguinte página: Siga os seguintes passos para vincular um perfil PoE à uma porta:
Configuração de Modelo SDMVá até o menu SISTEMA > Modelo SDM para carregar a seguinte página: Na seção Configuração do Modelo SDM selecione um modelo e clique em Aplicar. As configurações ficarão ativas após o Switch reiniciar.
A tabela de Modelos mostra a alocação de recursos para cada Modelo.
Configuração Time RangePara completar a configuração Time Range siga os seguintes passos:
Adicionando entradas Time RangeVá até o menu SISTEMA > Time Range > Configuração da Time Range e clique no botão Siga os seguintes passos para adicionar entradas de Time Range:
Configuração de FeriadoVá até o menu SISTEMA > Time Range > Configuração de Feriado e clique no botão Configure os seguintes parâmetros e clique em Criar para adicionar um Feriado.
Você pode adicionar mais feriados realizando o mesmo procedimento. O Time Range de Feriados é a soma de todos os feriados criados. Informações LegaisPermite o direcionamento aos Termos de Uso e a Política de Privacidade Para maiores informações, favor acesar os links. Exemplo de configurações PoERequisitos de RedeA topologia de rede de uma empresa é como mostrada a baixo. Camera1 e Camera2 trabalham para uma companhia de monitoramento e não podem ser desligadas. AP1 e AP2 disponibilizam conexão de internet e só são utilizados em horário comercial. Configurando o CenárioPara implementar os requisitos citados à cima você pode configurar um Time Range PoE horário comercial, por exemplo, das 08:30 às 18:00 para os dias de semana. E então aplicar as configurações para as portas 1/0/3 e 1/0/4. As portas 1/0/1 necessitam fornecer alimentação a todo momento, portanto elas podem ficar de fora de uma configuração de Time Range e podem permanecer com as configurações padrões. Como a configuração da porta 1/0/3 e 1/04 são iguais iremos utilizar a porta 1/0/3 como exemplo.
Apêndice: Configuração PadrãoAs configurações padrão de Informações do sistema estão listadas nas tabelas a seguir: Configurações padrão da configuração de descrição do dispositivo
Configurações padrão da configuração de Horário do Sistema
Configurações padrão da configuração de Horário de Verão
Configurações padrão de gerenciamento de usuário estão listadas na tabela a seguir: Configurações padrão da configuração de Usuário
Configurações padrão das ferramentas do sistema estão listadas na tabela a seguir: Configurações padrão configuração de inicialização
Configurações padrão do EEE está listada na tabela a seguir: Configurações padrão da configuração EEE
Configurações padrão do PoE estão listadas na tabela a seguir: Configurações padrão da configuração PoE
Configurações padrão do Modelo SDM estão listadas na tabela a seguir: Configurações padrão da configuração do Modelo SDM
Configurações padrão de Time Range estão listadas na tabela a seguir: Configurações padrão da configuração do Time Range
GERENCIANDO AS INTERFACES FÍSICASInterfaces FísicasVisão GeralInterfaces são utilizadas para trocar dados e interagir com interfaces de outros dispositivos de rede. Interfaces são classificadas em interfaces físicas e interfaces de camada 3.
Esse capítulo irá fazer uma introdução às configurações das interfaces físicas. Funções SuportadasO Switch suporta as seguintes função para as interfaces físicas: Parâmetros Básicos: Você pode configurar o estado da porta, velocidade, modo duplex, controle de fluxo e outros parâmetros básicos das portas. Isolamento de Portas: Você pode usar esta função para restringir o encaminhamento de pacotes de uma porta somente para as portas dentro da lista de encaminhamento. Loopback Detection: Essa função permite que o switch detecte loops na rede. Quando um loop é detectado em uma porta ou VLAN o switch irá exibir um alerta na interface de gerenciamento e bloqueará a interface correspondente ou VLAN, conforme as suas configurações. Configurações de Parâmetros BásicosVá até o menu FUNÇÕES L2 > Switching > Porta > Configuração de Porta, para carregar a seguinte página. Siga os passos a seguir para configurar os parâmetros básicos:
Recomendamos que você configure as portas em ambas as pontas do link com a mesma velocidade e modo duplex. Configurações de Isolamento de PortasIsolamento de portas é utilizado para limitar os dados transmitidos por uma determinada porta. A porta que estiver isolada só poderá enviar pacotes para portas especificadas na sua lista de Portas de Encaminhamento. Vá até o menu FUNÇÕES L2 > Switching > Porta > Isolamento de Porta, para carregar a seguinte página. A página à cima mostra a lista de portas isoladas. Clique no botão Siga os seguintes passos para configurar o Isolamento de Portas:
Configurações de Loopback DetectionPara evitar um Broadcast Storm recomendamos que você habilite o Storm Control antes de habilitar a Loopback Detection. Para instruções detalhadas sobre o Storm Control vá até Configurado QoS. Vá até o menu FUNÇÕES L2 > Switching > Porta > Loopback Detection, para carregar a seguinte página. Siga os seguintes passos para configurar o Loopback Detection:
Exemplos de ConfiguraçãoExemplo de Isolamento de portaRequisitos de Rede Como mostrado a baixo, três hosts e um Servidor estão conectados ao Switch e todos pertencem à VLAN 10. Sem alterar as configurações de VLAN, o Host A não é permitido de se comunicar com outros equipamentos além do Servidor, mesmo se o endereço MAC ou endereço IP do Host A for alterado. Configurando o Cenário Você pode configurar um isolamento de portas para implementar o requisito. Configure a porta 1/0/4 como a única porta da lista de encaminhamento da porta 1/0/1, o que proibirá o Host A de encaminhar pacotes para os outros hosts. Uma vez que as comunicações são bidirecionais, se você quer que o Host A e o servidor se comuniquem normalmente, você também precisará adicionar a porta 1/0/1 como porta de encaminhamento para a porta 1/0/4. Seguindo os passos à baixo você conseguirá realizar a configuração do requisito:
Exemplo de Detecção de LoopbackRequisitos de Rede Como mostrado à baixo, o Switch A é um switch de convergência conectado à vários Switches de acesso. Loops podem facilmente ser causados por operações erradas nos switches de acesso, se houver um loop em um desses switches um Broadcast Storm irá ocorrer no Switch A ou até em toda a rede, criando trafego excessivo e degradando a performance da rede. Para reduzir os impactos de um Broadcast Storm, os usuários precisam detectar loops na rede através do Switch A e bloquear temporariamente a porta na qual o loop foi detectado. Configurando o Cenário Habilite o Loopback Detection nas portas 1/0/1-3 e configure SNMP para receber notificação de Traps. Para instruções detalhadas sobre SNMP vá até Configurando SNMP e RMON. Aqui iremos mostrar como configurar a detecção Loopback e monitorar o resultado na interface de gerenciamento do Switch. Siga os passos a seguir para configurar o cenário:
Apêndice: Configuração PadrãoAs configurações padrões do Switch são listados nas tabelas abaixo. Configurações das portas
LAGLAGVisão GeralCom a função LAG (Link Aggregation Group) você pode agregar múltiplas portas físicas em uma interface lógica aumentando a largura de banda disponível no link e providenciando portas de backup para aumentar a confiabilidade da conexão. Funções SuportadasVocê pode configurar LAG de duas formas: LAG estático ou LACP (Link Aggregation Control Protocol). LAG estático As portas membro são adicionadas manualmente. LACP O Switch utiliza LACP para implementar dinamicamente a agregação e desagregação do Link através da troca de pacotes LACP com o dispositivo pareado. LACP aumenta e flexibiliza a configuração LAG. Configuração LAGPara completar a configuração LAG siga os passos a seguir:
Orientações para Configuração
Configurando o Algoritmo de Balanceamento de cargaVá até o menu FUNÇÕES L2 > Switching > LAG > Tabela LAG, para carregar a página a baixo. Na seção Configuração Global selecione o modo do Algoritmo de balanceamento de carga (algoritmo Hash), e então clique em Aplicar.
O algoritmo de balanceamento de carga só é efetivo para trafego de saída. Se o stream de dados não é bem compartilhado com cada link, você pode alterar o algoritmo da interface de saída. Configurando LAG estático ou LACPPara uma porta você pode escolher somente um modo LAG: estático ou LACP. Garanta que ambas as portas do LAG estejam no mesmo modo. Configurando um LAG estático Vá até o menu FUNÇÕES L2 > Switching > LAG > LAG estático, para carregar a página a baixo. Siga os seguintes passo para configurar um LAG estático:
Limpar todas as portas membro irá excluir a LAG. Configurando LACP Vá até o meu FUNÇÕES L2 > Switching > LAG > Configuração LACP, para carregar a próxima página. Siga os seguintes passo para configurar o LACP:
Limpar todas as portas membro irá excluir a LAG. Exemplo de configuraçãoRequisitos de RedeComo mostrado abaixo, os hosts e os servidores estão conectados através dos Switches A e B, e uma alta densidade de trafego é transmitida entre os dois Switches. Para alcançar altas velocidades e rentabilidade de transmissão de dados, os usuários precisam aumentar a largura de banda e a redundância do link entre os dois Switches. Configurando o CenárioA função LAG pode unir múltiplas portas físicas em uma interface lógica para aumentar a banda disponível e melhorar a rentabilidade do link. Nesse caso nós iremos utilizar o LACP como exemplo. Como mostrado abaixo você pode agrupar até 8 portas físicas em uma agregação lógica para transmitir dados entre Switches, e respectivamente conectar as portas dos grupos. Em adição outros dois links podem ser adicionados como links de backup. Para evitar gargalo de tráfego entre o servidor e o switch B é possível configurar um LAG entre eles para aumentar a largura de banda. Aqui introduziremos a configuração LAG entre dois Switches. Uma visão geral da configuração será a seguinte:
As configurações do Switch A e Switch B são similares. Para as instruções tomaremos o Switch A como exemplo. Para configuração do cenário descrito siga os passos a baixo:
Apêndice: Configuração PadrãoAs configurações padrões estão listadas da tabela a seguir. Configurações padrão do LAG
Tabela de endereço MACTabela de endereço MACVisão GeralA tabela de endereço MAC contém as informações de endereço que o switch utiliza para enviar os pacotes. Como mostrado abaixo, a tabela lista um mapa de entradas de endereços MAC, ID de VLANs e portas. Essas entradas podem ser adicionadas manualmente ou podem ser aprendidas automaticamente pelo switch. Baseada na tabela de mapeamento Endereço MAC para porta o switch pode encaminhar pacotes somente para as portas associadas.
Funções SuportadasA tabela de endereços do switch contém endereços dinâmicos, endereços estáticos e endereços filtrados. Você pode adicionar ou remover essas entradas conforme a sua necessidade. Configuração de Endereços
Endereços dinâmicos são endereços aprendidos automaticamente pelo switch, os quais o switch regularmente envelhece e descarta quando não estão em uso. Ou seja, o switch remove as entradas de endereços MAC relacionadas à um dispositivo de rede que não esteja recebendo pacotes de outros dispositivos dentro de um aging time. E você pode especificar este tempo caso necessário. Endereços estáticos são adicionados manualmente na tabela de endereços e não “envelhecem”. São utilizados para conexões fixas, por exemplo, para servidores frequentemente acessados, você pode adicionar o endereço MAC desse como uma entrada estática para aumentar a eficiência de encaminhamento do switch. Endereços filtrados são adicionados manualmente e determinam que pacotes com um endereço de origem ou destino específico serão descartados pelo Switch. Configurações de endereço MACCom a tabela de endereços MAC você pode:
Adicionando uma entrada de endereço MAC estáticoVocê pode adicionar uma entrada de endereço MAC estático manualmente especificando o endereço MAC desejado ou vinculando uma entrada de endereço dinâmico.
Na mesma VLAN, uma vez que um endereço é configurado como estático o mesmo não poderá ser configurando como endereço Filtrado e vice-versa. Modificando o Aging Time de uma entrada de endereço DinâmicoVá até o menu FUNÇÕES L2 > Switching > endereço MAC > Endereço Dinâmico para carregar a seguinte página: Siga os seguintes passos para modificar o Aging Time de uma entrada de endereço dinâmico:
Adicionando entrada de Filtro de endereço MACVá até o menu FUNÇÕES L2 > Switching > endereço MAC > Endereço de Filtragem e clique em Siga os seguintes passos para adicionar uma entrada de filtragem MAC:
Na mesma VLAN, uma vez que um endereço MAC é configurado como endereço de filtragem o mesmo não pode ser configurado como endereço estático e vice-versa. Visualizando as Entradas na Tabela de EndereçosVocê pode visualizar as entradas na tabela de endereço MAC para verificar suas operações e informação dos endereços. Vá até o menu FUNÇÕES L2 > Switching > endereço MAC > Tabela de Endereços e clique em Apêndice: Configuração PadrãoAs configurações padrões estão listadas da tabela a seguir. Entradas na Tabela de Endereços MAC
Configurações Padrões Tabela de Endereços Dinâmicos
VLAN 802.1QVisão GeralVLAN (Virtual Local Área Network) é uma técnica de rede que resolve os problemas de broadcast em redes locais. Ela é aplicada normalmente nas seguintes ocasiões:
Configuração da VLAN 802.1QPara completar a configuração VLAN 802.1Q, siga estes passos:
Configurar o PVID da portaEscolha o menu FUNÇÕES L2> VLAN> VLAN 802.1Q> Configuração de porta para carregar a próxima página. Selecione uma porta, e configure os parâmetros. Clique em Aplicar.
Configurando a VLANEscolha o menu FUNÇÕES L2> VLAN> VLAN 802.1Q> Configuração VLAN e clique em Siga estes passos para configurar a VLAN:
Exemplo de configuraçãoRequisitos de Rede
Configurando o Cenário
Topologia da RedeA figura abaixo mostra uma topologia da rede. Os Hosts A1 e A2 estão no departamento A, enquanto os hots B1 e B2 estão no departamento B. Os Switches 1 e 2 estão localizados em lugares diferentes. O Hosts A1 e B1 estão ligados a portas 1/0/2 e 1/0/3 no switch 1, enquanto os A2 e B2 estão ligados à porta 1/0/6 e 1/0/7 do switch 2. A porta 1/0/4 do switch 1 está ligada à porta 1/0/8 do switch 2. As configurações do switch 1 e switch 2 são semelhantes. A introdução a seguir usa o switch 1 como exemplo.
Apêndice: Configuração PadrãoAs configurações padrão de VLAN 802.1Q estão listados na tabela a seguir. Tabela Configurações padrão de VLAN 802.1Q
MAC VLANVisão GeralUma VLAN geralmente é dividida por portas. É uma maneira comum de divisão, mas não é adequado para essas redes que requerem mudanças na topologia frequentes. Com a popularidade do celular escritório, em momentos diferentes de um dispositivo final pode acessar a rede através de portas diferentes. Por exemplo, um dispositivo final que acessou um switch através da porta 1 da última vez, pode mudar para a porta 2 neste tempo. Se as portas 1 e 2 não pertencerem a mesma VLAN (s), o utilizador terá que configurar novamente a chave para acessar a VLAN original. Usando o MAC VLAN pode poupar o utilizador desse tipo de problema. Essa função divide as VLANs com base nos endereços MAC dos dispositivos finais. Dessa forma, esses dispositivos finais sempre vão pertencer a suas MAC VLAN(s) correspondente(s), mesmo quando as portas de acesso forem alteradas. A figura abaixo mostra um cenário de aplicação comum de MAC VLAN. Dois departamentos compartilham todas as salas de reuniões da empresa, mas usam servidores e laptops diferentes. O departamento A usa o servidor A e o laptop A, enquanto o departamento B usa servidor B e laptop B. O servidor A está na VLAN 10, enquanto o servidor B está na VLAN 20. É necessário que o laptop A só possa acessar o servidor A, e o laptop B só pode acessar o servidor B, não importando qual sala de reunião os laptops estão sendo usados. Para atender a essa exigência, é necessário apenas direcionar os endereços MAC dos laptops para as VLANs correspondentes ao servidor a ser acessado. Desta forma, o endereço MAC determina a qual VLAN o laptop pertence. Cada laptop pode acessar somente o servidor da mesma VLAN a qual ele pertence. Configuração de MAC VLANPara completar a configuração MAC VLAN, siga estes passos:
Orientações de configuração Quando uma porta MAC VLAN recebe um pacote de dados untagged, o switch irá verificar primeiro se o endereço MAC de origem está vinculado ao MAC VLAN. Se sim, o switch irá inserir a tag correspondente ao pacote de dados, e enviá-lo dentro da VLAN a qual ele pertence. Se não, o switch vai continuar verificando se o pacote de dados coincide com as regras de outras VLANs (tal como o protocolo de VLAN). Se houver uma correspondência, o switch vai encaminhar o pacote de dados. Caso contrário, o switch vai processar o pacote de dados de acordo com a regra de processamento do 802,1Q VLAN. Quando a porta recebe um pacote de dados identificado, o switch processará diretamente o pacote de dados de acordo com a regra de processamento da 802.1Q VLAN. Configurando 802.1Q VLANAntes de Configurar a MAC VLAN, crie uma VLAN 802.1Q e configure o tipo de porta de acordo com o requisito da rede. Para mais detalhes vá Configuração da VLAN 802.1Q. Vinculando o Endereço MAC à VLANVá até o menu FUNÇÕES L2> VLAN> MAC VLAN clique em Siga os seguintes passo para vincular um endereço MAC à uma VLAN:
Ativando a MAC VLAN para a portaPor padrão, o MAC VLAN vem desabilitado em todas as portas. É necessário habilitar manualmente o MAC VLAN para as portas desejadas. Escolha o menu FUNÇÕES L2> VLAN> MAC VLAN para carregar a página a seguir. Na seção Ativar a porta, selecione as portas desejadas para permitir o MAC VLAN e clique em Aplicar. Obs: A porta membro de um LAG (Link Aggregation Group) segue a configuração do LAG, e não a sua própria configuração. As configurações da porta terão efeito somente depois que ele sair do LAG. Exemplo de ConfiguraçãoRequisitos de RedeDois departamentos compartilham todas as salas de reuniões na empresa, mas usam servidores e laptops diferentes. O departamento A usa o servidor A e o laptop A, enquanto o departamento B usa o servidor B e o laptop B. O servidor A está na VLAN 10, enquanto o servidor B está na VLAN 20. É necessário que o laptop A só possa ter acesso ao servidor A, e o laptop B só pode acessar o servidor B, não importa qual a sala de reuniões os laptops estão sendo usados. A figura abaixo mostra a topologia da rede. Configurando o CenárioVocê pode configurar o MAC VLAN para atender essa exigência. Os switches 1 e 2, direcionam os laptops para as VLANs correspondentes analisando o seu MAC. Desta forma, cada laptop pode acessar somente o servidor da mesma VLAN a qual ele pertence, não importa qual a sala de reuniões os laptops estão sendo utilizados. A visão geral da configuração é a seguinte:
Como demonstrado a seguir com SG 2404 PoE L2+, o procedimento de configuração: Configuração para os switches 1 e 2 As configurações dos switches 1 e 2 são semelhantes. A apresentação a seguir pode ser tomada como exemplo.
Configurações do Switch 3
Apêndice: Configuração PadrãoAs configurações padrão do MAC VLAN estão listadas na tabela a seguir. Tabela Configurações padrão de MAC VLAN
VLAN DE PROTOCOLOVisão GeralProtocolo VLAN é uma tecnologia que divide VLANs com base no protocolo da camada de rede. Com a regra de protocolo VLAN configurada com base na 802.1Q VLAN existente, o switch pode analisar campos específicos de pacotes recebidos, encapsular os pacotes em formatos específicos e encaminhar os pacotes com diferentes protocolos às VLANs correspondentes. Como aplicativos e serviços diferentes usam protocolos diferentes, os administradores de rede podem usar o protocolo VLAN para gerenciar a rede com base em aplicativos e serviços específicos. A figura abaixo mostra um cenário de aplicação comum do protocolo VLAN. Com o protocolo VLAN configurado, o Switch 2 pode encaminhar pacotes IPv4 e IPv6 de diferentes VLANs para as redes IPv4 e IPv6, respectivamente. Configuração de VLAN de ProtocoloA completa configuração do protocolo VLAN, segue os seguintes passos:
Configurando 802.1Q VLANAntes de Configurar a MAC VLAN, crie uma VLAN 802.1Q e configure o tipo de porta de acordo com o requisito da rede. Para mais detalhes vá Configuração da VLAN 802.1Q. Criando Modelo de ProtocoloEscolha o menu FUNÇÕES L2 > VLAN > VLAN Protocolo > Modelo de Protocolo para carregar a seguinte página. Siga os seguintes passos para criar o modelo de protocolo.
Um modelo de protocolo vinculado a uma VLAN não pode ser excluído. Configurando a VLAN de ProtocoloEscolha o menu FUNÇÕES L2 > VLAN > VLAN Protocolo > Grupo de VLAN Protocolo e clique em Siga os seguintes passos para efetuar a configuração do grupo de protocolo:
A porta membro de um LAG (Link Aggregation Group) segue a configuração do LAG e não a sua. As configurações da porta podem entrar em vigor somente após a saída do LAG. Exemplo de ConfiguraçãoRequisitos de RedeUma empresa usa hosts IPv4 e IPv6, e esses hosts acessam a rede IPv4 e a rede IPv6, respectivamente, por meio de roteadores diferentes. É necessário que os pacotes IPv4 sejam encaminhados para a rede IPv4, os pacotes IPv6 sejam encaminhados para a rede IPv6 e outros pacotes sejam descartados. A figura abaixo mostra a topologia de rede. O host IPv4 pertence à VLAN 10, o host IPv6 pertence à VLAN 20 e esses hosts acessam a rede através do Switch 1. O Switch 2 é conectado a dois roteadores para acessar a rede IPv4 e a rede IPv6, respectivamente. Os roteadores pertencem à VLAN 10 e VLAN 20, respectivamente. Configurando o CenárioVocê pode configurar o protocolo VLAN na porta 1/0/1 do Switch 2 para atender a esse requisito. Quando essa porta recebe pacotes, o Switch 2 os encaminha para as VLANs correspondentes, de acordo com seus tipos de protocolo. A visão geral da configuração no Switch 2 é a seguinte:
Para o Switch 1, configure a VLAN 802.1Q de acordo com a topologia de rede. Configurações no Switch 1
Configurações no Switch 2
Dicas: O modelo de protocolo IPv4 já é fornecido pelo switch. Você só precisa criar o modelo de protocolo IPv6. Apêndice: Configuração PadrãoTabela de modelos de protocolo
GVRPVisão GeralO GVRP (GARP VLAN Registration Protocol) é uma aplicação GARP (Registo atributo genérico Protocol) que permite o registo, e cancelamento do registro de valores de atributos a uma VLAN, e criação de VLAN dinâmica. Sem o GVRP em funcionamento, configurando a mesma VLAN em uma rede, seria necessário a configuração manual em cada dispositivo. Conforme mostrado na Figura 1-1, os switches A, B e C estão conectados através de portas de tronco. A VLAN 10 é configurada no switch A, e uma VLAN é configurada no switch B e C. O switch C pode receber mensagens enviadas do switch A na VLAN 10 única quando o administrador de rede criar manualmente a VLAN 10 no switch B e switch C. A configuração pode parecer fácil nessa situação. No entanto, para uma rede maior ou mais complexa, com a configuração manual seria necessário muito tempo. O GVRP pode ser usado para implementar uma configuração de VLAN dinâmica. Com GVRP, o switch pode trocar informações sobre a VLAN de configuração com o switch GVRP adjacente, criar dinamicamente e gerenciar as VLANs. Isto reduz a carga de trabalho na configuração de VLANs e assegura uma VLAN com configuração correta. Configuração GVRPPara a configuração completa do GVRP, siga estes passos:
Diretrizes de configuração Para criar uma VLAN dinamicamente em todas as portas em um link de rede, você deve configurar a mesma VLAN estática em ambas extremidades do link. Chamamos de configuração manual quando o VLAN 802.1Q é definido como VLAN estática, e quando a VLAN é criada através do GVRP chamamos de VLAN dinâmica. As portas em uma VLAN estática podem iniciar o envio de mensagens com registros GVRP para outras portas. E uma porta que registra VLANs somente quando ele recebe mensagens de GVRP. Como as mensagens só podem ser enviadas a partir de um membro do GVRP para outro, duas vias de registro são necessárias para configurar uma VLAN em todas as portas em um link. Para implementar o registro bidirecional é necessário configurar manualmente a mesma VLAN estática em ambas das extremidades do link. Como mostrado na figura abaixo, o registro da VLAN do switch A para o switch C, adiciona a porta 2 para a VLAN 2. E os registros de VLAN do switch C para switch A adiciona a porta 3 para a VLAN 2. Da mesma forma, se você quiser excluir uma VLAN a partir do link de duas vias, o cancelamento é necessário. E você precisa excluir manualmente a VLAN estática em ambas das extremidades do link. Vá até o menu Funções L2 > VLAN > GVRP para carregar a página a seguir. Siga esses passos para configurar o GVRP:
A porta membro de um LAG segue a configuração do LAG e não a sua própria. As configurações da porta podem ter efeito somente depois que ela deixa o LAG. Exemplo de configuraçãoRequisitos de RedeO departamento de A e o departamento B de uma empresa estão ligados através de switches. Os escritórios de um departamento são distribuídos em diferentes andares. Como mostrado na figura abaixo, a topologia da rede é complexa. A configuração da mesma VLAN em diferentes switches é necessária de modo que os computadores no mesmo departamento possam se comunicar uns com os outros. Configurando o CenárioPara reduzir a carga de trabalho com a necessidade de configuração manual e manutenção, o GVRP pode ser habilitado para implementar o registro de VLAN dinâmica, e a atualização sobre os switches. Ao configurar o GVRP, observe o seguinte:
A configuração de GVRP para o switch 3 é a mesma do switch 1, e no switch 4 a mesma configuração do switch 2. Outros switches podem compartilhar configurações similares. Os seguintes procedimentos de configuração vão ter o Switch 1, Switch 2 e Switch 5 como exemplo. Configurações do Switch 1
Configurações do Switch 2
Configurações do Switch 5
Apêndice: Configuração PadrãoAs configurações padrão de GVRP estão listadas na tabela a seguir. Tabela Configurações padrão de GVRP
MULTICAST DE CAMADA 2Visão GeralEm uma rede ponto-a-multiponto pacotes podem ser enviados de três formas: Unicast, Broadcast e Multicast. No Unicast, muitas cópias da mesma informação serão enviadas para todos os receptores, ocupando uma grande quantidade de banda. No Broadcast, a informação será enviada a todos os usuários da rede não importando se eles precisam ou não dela, consumindo recursos importantes da rede e impactando negativamente na segurança da informação. O Multicast resolve todos os problemas causados pelo envio Unicast e Broadcast. Com Multicast, a origem só necessita enviar uma parte da informação e então todos os usuários que necessitam da informação irão recebe-la, e somente eles. Em uma rede ponto-a-multiponto, a tecnologia Multicast não apenas transmite dados com alta eficiência como também economiza largura de banda e reduz a carga da rede. Em aplicações práticas, provedores de informações da internet podem prover serviços de valor agregado como transmissões ao vivo, IPTV, educação à distância, telemedicina, rádio na internet e conferências de vídeo em tempo real de forma muito mais conveniente usando Multicast. Multicast de camada 2 permite que switches de camada 2 “escutem” o IGMP (Internet Group Management Protocol) entre os IGMP Queriers e os hosts de usuário para estabelecer a tabela de encaminhamento Multicast e para gerenciar e controlar as transmissões de pacotes. Tomando o IGMP Snooping como exemplo. Quando o mesmo é desabilitado em dispositivos de camada 2, pacotes Multicast serão transmitidos na forma de broadcast na rede de camada 2. Quando o IGMP Snooping está ativado nos dispositivos de camada 2, dados Multicast de um grupo conhecido serão transmitidos para os destinos designados ao invés de ser transmitido como Broadcast. Como demonstrado abaixo: Os conceitos básicos de IGMP Snooping como IGMP Querier, Snooping Switch, Porta roteada e Porta Membro serão introduzidos abaixo:
Um IGMP Querier é um roteador Multicast (um roteador ou switch de camada 3) o qual encaminha mensagens de consulta para manter uma lista de membros de um grupo Multicast para cada rede conectada e um timer para cada membro. Normalmente somente um dispositivo age como Querier para cada rede física. Se houver mais que um roteador Multicast na rede um processo de escolha de Querier será implementado para determinar qual agirá como Querier.
Um snooping switch indica um switch com IGMP Snooping habilitado. Os switches mantem uma tabela de encaminhamento Multicast através do Snooping das transmissões IGMP entre o Querier e o host. Com a tabela de encaminhamento Multicast, o switch pode encaminhar os dados Multicast somente para as portas as quais participam do grupo Multicast, de forma a restringir o Flooding para dados Multicast na rede de camada 2.
Uma porta roteadora é uma porta no snooping switch a qual é conectada ao IGMP Querier.
Uma Porta Membro é uma porta no snooping switch que está conectada à um host. Funções Suportadas
Em dispositivos de camada 2, o IGMP Snooping transmite dados em demanda na camada de link, através da análise dos pacotes IGMP trocados entre o IGMP Querier e o usuário, o dispositivo consegue construir e manter uma tabela de encaminhamento de Multicast Camada 2.
Em dispositivos de camada 2, o MLD (Multicast Listener Discovery Snooping) Snooping transmite dados em demanda na camada de link, através da análise dos pacotes MLD trocados entre o MLD Querier e o usuário, o dispositivo consegue construir e manter uma tabela de encaminhamento de Multicast de camada 2.
MVR permite que uma única VLAN Multicast seja dividida entre portas membros do Multicast em diferentes VLANs nas redes IPv4. No IGMP Snooping, se uma porta membro estiver em uma VLAN diferente, uma cópia do stream de Multicast é encaminhada para cada VLAN que tenha portas membro. Já o MVR proporciona uma VLAN Multicast dedicada para encaminhar trafego Multicast através das redes de camada 2. Os clientes podem entrar ou sair de forma dinâmica dessa VLAN Multicast dedicada sem interferir com seu relacionamento com outras VLANs. Existem dois Modos MVR:
A Filtragem Multicast permite você controlar o conjunto de grupos Multicast aos quais um host pode pertencer. Você pode filtrar o ingresso à grupos Multicast baseado em portas configurando o IP dos perfis Multicast (IGMP ou MLD) associando eles a portas individuais do switch. Configuração IGMP SnoopingPara completar a configuração do IGMP Snooping siga os seguintes passos:
IGMP Snooping só terá efeito nas portas e VLANs correspondentes quando habilitado de forma global. Configurando IGMP Snooping GlobalVá até o menu FUNÇÕES L2 > Multicast > IGMP Snooping > Configuração globais para carregar a seguinte página: Siga os seguintes passos para configurar o IGMP Snooping de forma global:
IGMP Snooping para VLANsAntes de configurar o IGMP Snooping para VLANs, configure as VLANs que as portas roteadoras e as portas membros estão. Para mais detalhes vá para Configuração da VLAN 802.1Q. O switch suporta configurações IGMP Snooping baseadas em VLAN. Após habilitar o IGMP Snooping globalmente, você também precisará habilitar e configurar os parâmetros correspondentes do IGMP Snooping para as VLANs que a Porta roteadora e as Portas Membro estão. Vá até o menu FUNÇÕES L2 > Multicast > IGMP Snooping > Configuração global clique em Siga os seguintes passos para configurar o IGMP para uma VLAN específica:
IGMP Snooping para PortasVá até o menu FUNÇÕES L2 > Multicast > IGMP Snooping > Configuração de Porta para carregar a seguinte página. Siga os seguintes passos para configurar o IGMP Snooping para portas:
Ingresso Estático de Hosts para os Grupos MulticastPortas de camada 2 e hosts normalmente ingressam em grupos Multicast dinamicamente, mas você pode configurar hosts estáticos para os grupos. Vá até o menu FUNÇÕES L2 > Multicast > IGMP Snooping > Configuração estática de grupo clique em Siga os seguintes passos para configurar ingressos estáticos para grupos Multicast.
MLD SnoopingPara realizar a configuração do MLD Snooping siga os passos a seguir:
MLD Snooping só toma efeito quando é habilitado de forma global correspondentemente para VLANs e portas. Configurando MLD Snooping GlobalVá até o menu FUNÇÕES L2 > Multicast > MLD Snooping > Configuração globais para carregar a seguinte página: Siga os seguintes passos para configurar o MLD Snooping de forma Global.
MLD Snooping para VLANsAntes de configurar o MLD Snooping para VLANs, configure as VLANs que as portas roteadoras e as portas membros estão. Para mais detalhes vá para Configuração da VLAN 802.1Q. O switch suportas configurações MLD Snooping baseada em VLAN. Após habilitar o MLD Snooping globalmente, você também precisará habilitar e configurar os parâmetros correspondentes para as VLANs que as portas roteadoras e as portas membros estão conectadas. Vá até o menu FUNÇÕES L2 > Multicast > MLD Snooping > Configuração Global clique em Siga os seguintes passos para configurar o MLD Snooping para uma VLAN específica.
MLD Snooping para PortasVá até o menu FUNÇÕES L2 > Multicast > MLD Snooping > Configuração de Porta para carregar a seguinte página. Siga os seguintes passos para configurar o MLD Snooping para portas:
Ingresso Estático de Hosts para os Grupos MulticastPortas de camada 2 e hosts normalmente ingressam em grupos Multicast dinamicamente, mas você pode configurar hosts estáticos para os grupos. Vá até o menu FUNÇÕES L2 > Multicast > MLD Snooping > Configuração estática de grupo clique em Siga os seguintes passos para configurar ingressos estáticos para grupos Multicast:
MVRPara completar as configurações de MVR siga os seguintes passos:
Orientações para configuração
Configurando VLAN 802.1QAntes de configurar o MVR, crie uma VLAN 802.1Q como VLAN Multicast. Adicione todas as portas de origem (portas uplink que receberão dados do roteador) para a VLAN como portas tagged. Configure a VLAN para as portas receptoras (portas que estarão conectadas aos hosts) de acordo com os requerimentos da rede. Note que portas receptoras só podem pertencer à uma VLAN e não podem ser adicionadas à VLAN de Multicast. Para mais detalhes vá até Configuração da VLAN 802.1Q. Configurando MVR GlobalmenteVá até o menu FUNÇÕES L2 > Multicast > MVR > Configuração MVR para carregar a seguinte página. Siga os seguintes passo para configurar MVR globalmente.
Adicionando Grupos Multicast ao MVRVocê precisa adicionar manualmente grupos Multicast ao MVR. Vá até o menu FUNÇÕES L2 > Multicast > MVR > Configuração Grupo MVR clique em Siga os seguintes passos para adicionar grupos Multicast ao MVR:
MVR para as PortasVá até o menu FUNÇÕES L2 > Multicast > MVR > Configurações de Porta para carregar a seguinte página. Siga os seguintes passo para configurar grupos Multicast MVR para portas:
(Opcional) Adicionando Portas ao grupo MVR estaticamenteVocê pode adicionar somente portas receptoras estaticamente aos grupos MVR. O switch adiciona ou remove portas receptoras aos correspondentes grupos Multicast escutando as mensagens de report e leve dos hosts. Você também pode adicionar uma porta receptora estaticamente ao grupo MVR. Vá até o menu FUNÇÕES L2 > Multicast > MVR > Membros estáticos clique em Siga os seguintes passos para adicionar portas estáticas ao grupo MVR:
Filtro MulticastPara completar a configuração de filtragem Multicast siga os seguintes passos:
Criando Perfis MulticastVocê pode criar perfil Multicast para redes IPv4 e IPv6. Com perfis Multicast o switch pode definir uma blacklist ou uma whitelist dos grupos Multicast para que sirva como filtro das origens Multicast. O processo para criar um perfil Multicast para IPv4 e IPv6 são similares. As seguintes instruções tomarão a criação de um perfil IPv4 como exemplo. Vá até o menu FUNÇÕES L2 > Multicast > Filtragem Multicast > Perfil IPv4 e clique em Para criar um perfil Multicast IPv6 vá até o menu FUNÇÕES L2 > Multicast > Filtragem Multicast > Perfil IPv6. Siga os seguintes passos para criar um perfil.
Filtro Multicast para PortasVocê pode modificar a relação de mapeamento entre portas e perfis em lotes e configurar o número de grupos Multicast aos quais uma porta pode ingressar e a ação de overflow. O processo para configuração de filtro Multicast para portas em IPv4 e Ipv6 é similar. As seguintes instruções tomarão a configuração de filtragem Multicast para portas para IPv4 como exemplo. Vá até o menu FUNÇÕES L2 > Multicast > Filtro Multicast > Configuração de Porta IPv4 para carregar a seguinte página. Para criar um perfil Multicast IPv6 vá até o menu FUNÇÕES L2 > Multicast > Filtragem Multicast > Perfil IPv6. Siga os seguintes passos para vincular um perfil a portas e configurar os parâmetros correspondentes:
Visualizando informação de Multicast SnoopingVocê pode visualizar as seguintes informações do Multicast Snooping:
Visualizando a Tabela Multicast IPv4Vá até o menu FUNÇÕES L2 > Multicast > Informação Multicast > Tabela de Multicast IPv4 para carregar a seguinte página: A tabela de endereço IP Multicast mostra todas as entradas Multicast IP-VLAN-Porta válidas.
Visualizando as estatísticas Multicast IPv4 para cada PortaVá até o menu FUNÇÕES L2 > Multicast > Informação Multicast > Estatísticas de Multicast IPv4 para carregar a seguinte página: Siga os seguintes passos para visualizar as estatísticas Multicast IPv4 para cada porta:
Visualizando a Tabela Multicast IPv6Vá até o menu FUNÇÕES L2 > Multicast > Informação Multicast > Tabela de Multicast IPv6 para carregar a seguinte página: A tabela de endereço IP Multicast mostra todas as entradas Multicast IP-VLAN-Porta válidas.
Visualizando as estatísticas Multicast IPv6 para cada PortaVá até o menu FUNÇÕES L2 > Multicast > Informação Multicast > Estatísticas de Multicast IPv6 para carregar a seguinte página: Siga os seguintes passos para visualizar as estatísticas Multicast IPv6 para cada porta:
Exemplo de Configuração Básica para IGMP SnoopingRequisitos da RedeHosts B, C e D estão na mesma VLAN do Switch. Todos desejam receber stream Multicast enviado do grupo Multicast 225.1.1.1. Como mostrado na topologia abaixo, Host B, Host C e Host D estão conectados respectivamente às portas 1/0/1, 1/0/2 e 1/0/3. Porta 1/0/4 é a porta roteadora conectada ao Multicast Querier. Configurando o Cenário
Exemplo de Configuração MVRRequisitos da RedeHost B, Host C e Host D estão em três VLANs diferentes do switch. Todos eles desejam receber stream Multicast enviados do grupo Multicast 225.1.1.1. Topologia de RedeComo mostrado na topologia de rede a seguir, HostB, Host C e Host D estão conectados às portas 1/0/1, porta 1/0/2 e porta 1/0/3 respectivamente. Porta 1/0/1, porta 1/0/2 e porta 1/0/3 pertencem às VLAN 10, VLAN 20 e VLAN 30 respectivamente. Porta 1/0/4 está conectada à rede Multicast de maior camada. Configurando o CenárioComo os hosts estão em VLANs diferentes, no IGMP Snooping, o Querier necessita duplicar os streams de Multicast para os hosts em cada VLAN. Para evitar duplicação de streams Multicast enviados entre o Querier e o switch, você pode configurar MVR no switch. O switch consegue trabalhar tanto no modo Compatibilidade como no modo Dinâmico no MVR. Quando em modo compatibilidade lembre de configurar estaticamente para que o Querier consiga transmitir os streams de grupo Multicast 225.1.1.1 para o switch através da VLAN de Multicast. Aqui nós utilizaremos o MVR Dinâmico como exemplo.
Exemplo de Configuração de Multicast Desconhecido e Fast LeaveRequisitos da RedeUm usuário sofre um atraso quando está trocando de canal em sua IPTV. Ele deseja solucionar o seu problema. Como mostrado na topologia de rede à baixo, porta 1/0/4 do switch está conectado à rede de camada 3, e a porta 1/0/2 está conectada ao Host B. Configurando o CenárioApós a troca de canal, o cliente (Host B) ainda está recebendo dado Multicast irrelevante, os dados do canal anterior e possivelmente outros dados de Multicast desconhecido, os quais aumentam a carga da rede e resultam em congestionamento da mesma. Para evitar que o Host B receba dados Multicast irrelevantes, você pode habilitar o Fast leave na porta 1/0/2 e configure para que o switch descarte dados de Multicast desconhecido. Para trocar de canal, o Host B envia uma mensagem de leave a respeito de deixar o canal anterior. Com o Fast Leave habilitado na porta 1/0/2, o switch irá então descartar dados Multicast do canal anterior, o que garante que o Host B somente receberá dados Multicast do novo canal e a rede Multicast ficará impedida.
Exemplo de Configuração de Filtragem MulticastRequisitos da RedeHost B, Host C e Host D estão na mesma SubRede. Host C e Host D recebem somente dados Multicast enviados pelo 225.0.0.1, enquanto o Host B recebe todos dos dados Multicast exceto o enviado por 225.0.0.2. Configurando o CenárioCom as funções para gerenciar os grupos Multicast, mecanismos de Blacklist e Whitelist (vinculo de perfis), o switch consegue permitir portas específicas para ingressar à grupos específicos ou impedir portas específicas de ingressar em grupos Multicast específicos. Você pode conseguir essa função de filtragem cirando um perfil e vinculando-o à porta correspondente. Topologia de RedeComo mostrado na topologia de rede a seguir, Host B está conectado à porta 1/0/1, Host C está conectado à porta 1/0/2 e host D está conectado à porta 1/0/3. Todos estão na VLAN 10.
Apêndice: Configuração PadrãoConfiguração Padrão do IGMP Snooping
Configuração Padrão MLD Snooping
Configuração Padrão do MVR
Configuração Padrão de Filtragem Multicast
SPANNING TREESpanning TreeOverviewSTP STP (Spanning Tree Protocol) é um protocolo de camada 2 que evita loops na rede. Como é mostrado na Figura a baixo, o STP ajuda a:
RSTP O RSTP (Rapid Spanning Tree Protocol) fornece os mesmos recursos que o STP. Além disso, o RSTP pode fornecer uma convergência do spanning tree muito mais rápida. MSTP O MSTP (Multiple Spanning Tree Protocol) também fornece a convergência rápida do spanning tree como RSTP. Além disso, o MSTP permite que as VLANs sejam mapeadas para diferentes spanning tree (instâncias MST) e o tráfego em diferentes VLANs serão transmitidos pelos respectivos caminhos e a implementação de balanceamento de carga. Conceitos BásicosConceitos STP/RSTP Com base na topologia de rede abaixo, esta seção apresentará alguns conceitos básicos em STP / RSTP. Root Bridge A Root raiz é a raiz de um spanning tree. O switch com o menor Bridge ID será o Bridge raiz e há apenas um bridge raiz em uma topologia spanning tree. Bridge ID O Bridge ID é usado para selecionar a bridge raiz. É composto de uma prioridade de 2 bytes e uma de 6 bytes do endereço MAC. A prioridade pode ser configurada manualmente no switch, o switch com o menor valor de prioridade será eleito como bridge raiz. Se a prioridade dos switches for igual, o switch com o menor endereço MAC será selecionado como o Bridge raiz. Função da porta
Status da porta Geralmente, no STP, o status da porta inclui: Blocked, Listening, Learning, Forwarding e Disconnected.
No RSTP / MSTP, o status da porta inclui: Discarding, Learning e Forwarding. O status que descarta outros pacotes são do agrupamento de blocked, disable do STP e o status de learning e forwarding corresponde exatamente ao status de learning e forwarding especificado em STP.
Custo do caminho (Path cost) O custo do caminho reflete a velocidade do link da porta. Quanto menor o valor, maior a velocidade do link que a porta possui. O custo do caminho pode ser configurado manualmente em cada porta. Caso contrário, os valores de custo do caminho são calculados automaticamente de acordo com a velocidade do link, como mostrado abaixo:
Custo do caminho raiz O custo do caminho raiz é o custo do caminho acumulado da bridge raiz para o outro switch. Quando a bridge raiz envia seu BPDU, o valor do custo do caminho raiz é 0. Quando um switch recebe esse BPDU, o custo do caminho raiz será aumentado de acordo com o custo do caminho da porta de recebimento. Em seguida, ele cria um novo BPDU com o novo custo do arquivo raiz e o encaminha para o próximo switch. O valor do custo acumulado do caminho raiz aumenta à medida que o BPDU se espalha ainda mais. BPDU BPDU é um tipo de pacote usado para gerar e manter o spanning tree, os BPDUs (Bridge Protocol Data Unit) contêm muitas informações, como ID da bridge, custo do caminho raiz, prioridade da porta e assim por diante. Os switches compartilham essas informações para ajudar a determinar o a topologia do spanning tree. Conceitos MSTP O MSTP, compatível com STP e RSTP, possui os mesmos elementos básicos usados no STP e no RSTP. Com base na topologia de rede, esta seção apresentará alguns conceitos usados apenas em MSTP. Região MST Uma região MST consiste em vários switches interconectados. Os switches são considerados na mesma região com as mesmas seguintes características:
Mapeamento de instância de VLAN O mapeamento de instância de VLAN descreve o relacionamento de mapeamento entre VLANs e instâncias. Várias VLANs podem ser mapeadas para uma mesma instância, mas uma VLAN pode ser mapeado para apenas uma instância. Como mostra a Figura 1-4, a VLAN 3 é mapeada para a instância 1, VLAN 4 e VLAN 5 são mapeados para a instância 2, as outras VLANs são mapeadas para o IST. IST O Spanning tree interna (IST), que é uma instância especial do MST com um ID de instância 0. Por padrão, todas as VLANs são mapeadas para o IST. CST O spanning tree comum (CST), que é o spanning tree que conecta todas as regiões do MST. Como é mostrado na Figura 1-3, a região 1-região 4 é conectada pelo CST. CIST Spanning tree Comum e Interna (CIST), compreendendo IST e CST. CIST é spanning tree que conecta todos os switches da rede. Segurança STPO STP Security evita os loops causados por configurações incorretas ou ataques de BPDU. Isto contém funções de proteção de loop, proteção de raiz, proteção de BPDU, filtro de BPDU e proteção de TC.
Configurações STP/RSTPPara concluir a configuração STP / RSTP, siga estas etapas:
Diretrizes de configuração
Configurando os Parâmetros STP/RSTP nas PortasEscolha o menu FUNÇÕES L2 > Spanning Tree > Configurações de Porta para carregar a seguinte página. Siga estas etapas para configurar os parâmetros STP / RSTP nas portas:
Configurando STP/RSTP GlobalmenteVá até o Menu FUNÇÕES L2 > Spanning Tree > Configuração STP > Configuração STP para carregar a página a seguir. Siga estas etapas para configurar globalmente o STP / RSTP:
Configurando STP/RSTP GlobalmenteVerifique as informações STP / RSTP do seu switch depois que todas as configurações estiverem concluídas. Escolha o menu FUNÇÕES L2> Spanning Tree> Configuração de STP> Resumo do STP para carregara página seguinte: A seção Resumo do STP mostra as informações de resumo do spanning tree:
Configurações MSTPPara concluir a configuração do MSTP, siga estas etapas:
Diretrizes de configuração
Configurando Parâmetros CIST nas PortasEscolha o menu FUNÇÕES L2 > Spanning Tree > Configuração de Porta para carregar a seguinte página. Siga estas etapas para configurar parâmetros nas portas no CIST:
Configurando Região MSTPConfigure o nome da região, o nível de revisão, o mapeamento da instância de VLAN do switch. Os switches com os mesmos nomes de região, o mesmo nível de revisão e a mesmo mapeamento de instância de VLAN serão considerados switches da mesma região. Além disso, configure a prioridade do switch, a prioridade e o custo do caminho das portas na instância desejada. Configurando o nome da região e o nível de revisão Escolha o menu FUNÇÕES L2 > Spanning Tree> Instância MSTP> Configuração de Região para carregar a página seguinte. Siga estas etapas para criar uma região MST:
Configurando o mapeamento de instância da VLAN e a prioridade do Switch Vá até o menu FUNÇÕES L2 > Spanning Tree> Instância MSTP> Configuração de Instância para carregar a página seguinte. Siga os seguintes passo para mapear a correspondente instância da VLAN, e configure a prioridade do switch para as instâncias desejadas:
Configurando parâmetros na instância das portas. Escolha o menu FUNÇÕES L2 > Spanning Tree > Instância MSTP > Configuração de Porta de Instância para carregar a página seguinte. Siga estas etapas para configurar os parâmetros da instância na porta:
Configurando MSTP GlobalmenteEscolha o menu FUNÇÕES L2 > Spanning Tree> STP Config> Configuração STP para carregar a página seguinte. Siga estas etapas para configurar o MSTP globalmente:
Verificando as Configurações MSTPEscolha o menu FUNÇÕES L2 > Spanning Tree> Configuração STP > Resumo STP para carregar a seguinte página. A seção Resumo do STP mostra as informações resumidas do CIST:
A seção Resumo da instância do MSTP mostra as informações nas instâncias do MST:
Configurações de Segurança STPEscolha o menu FUNÇÕES L2 > Spanning Tree> Segurança STP para carregar a seguinte página. Configure os recursos de proteção de porta para as portas selecionadas e clique em Aplicar.
Exemplo de Configuração MSTPO MSTP, compatível com o STP e o RSTP, pode mapear VLANs para instâncias para implementar balanceamento de carga, fornecendo um método mais flexível no gerenciamento de rede. Aqui tomamos a configuração do MSTP como um exemplo. Requisitos de RedeA figura abaixo exibe uma rede que consiste em três switches. Tráfego na VLAN 101-VLAN 106 é transmitido nesta rede. A velocidade do link entre os switches é de 100 Mb / s (o custo do caminho padrão da porta é 200000). É necessário que o tráfego na VLAN 101 - VLAN 103 e o tráfego na VLAN 104 - VLAN 106 ser transmitido por diferentes caminhos. Configurando CenárioPara atender a esse requisito, sugerimos que você configure a função MSTP nos switches. Mapeie as VLANs para diferentes instâncias para garantir que o tráfego possa ser transmitido ao longo das respectivas instâncias. Aqui, configuramos duas instâncias para atender ao requisito, conforme mostrado abaixo: A visão geral da configuração é a seguinte:
Configurações para o switch A
Configurações para o switch B
Configurações para o switch C
Apêndice: Configuração PadrãoAs configurações padrão do recurso Spanning Tree estão listadas na tabela a seguir. Configurações padrão dos parâmetros globais
Configurações padrão dos parâmetros de Porta
Configurações padrão da Instância MSTP
Configurações padrão segurança STP
LLDPLLDPVisão GeralO LLDP (Link Layer Discovery Protocol) é um protocolo de descoberta de vizinhos que é usado em dispositivos de rede para anunciar as suas próprias informações e informações a outros dispositivos na rede. Este protocolo é um 802.1AB norma IEEE definido protocolo e é executado através da camada 2 (camada de enlace de dados), que permite a interoperabilidade entre os dispositivos de rede de diferentes fornecedores. Com o LLDP habilitado, o switch pode obter informações de seus vizinhos, e os administradores de rede podem usar os NMS (Network Management System) para reunir essas informações, ajudando-os a conhecer a topologia da rede, examinar a conectividade de rede, e solucionar as falhas da rede. LLDP-MED (LLDP for Media Endpoint Discovery) é uma extensão do LLDP e é usado para fazer propagação de informações entre dispositivos de rede e endpoints de mídia. É especialmente utilizado em conjunto com Auto VoIP (Voice over Internet Protocol) para permitir o dispositivo VoIP para acessar a rede. Dispositivos VoIP pode usar LLDP-MED para autoconfiguração para minimizar o esforço de configuração. Recursos CompatíveisO switch suporta o LLDP e o LLDP-MED. O LLDP permite que o dispositivo local possa encapsular o endereço gerenciamento, ID do dispositivo, ID de interface e outras informações em um LLDPDU (Link Layer Descoberta Protocol Data Unit) e anunciar periodicamente esta LLDPDU aos seus dispositivos vizinhos. Os vizinhos podem armazenar o LLDPDU recebido em um padrão MIB (Management Information Base), tornando possível para a informação ser acessado por um NMS (Network Management System) usando um protocolo de gerenciamento, como o SNMP (Simple Network Management Protocol). LLDP-MED permite que o dispositivo de rede possa enviar suas informações, incluindo informações Auto VoIP, PoE capacidade (Power over Ethernet) e muito mais para os dispositivos endpoint mídia (por exemplo, telefones IP) para autoconfiguração. Os dispositivos endpoint media podem receber as informações Auto VoIP e terminar a autoconfiguração. Configuração LLDPPara configurar o LLDP, siga os passos:
Configurando o LLDP GlobalmenteEscolha o FUNÇÕES L2 > LLDP > Configuração LLDP > Configuração global para carregar a página a seguir. Siga estes passos para configurar o recurso de LLDP globalmente.
Configurando o LLDP para a portaEscolha no menu de FUNÇÕES L2 > LLDP > Configuração de LLDP > Configuração de Porta para carregar a página a seguir. Siga estes passos para configurar o recurso de LLDP para a interface.
Configurações LLDP-MEDPara configurar a função MED-LLDP, siga esses passos:
LLDP-MED é usado juntamente com Auto VoIP para implementar o acesso VoIP. Além da configuração do recurso LLDP-MED, você também precisa configurar o recurso Auto VoIP. Para obter instruções detalhadas consulte o capítulo Configurando QoS. Configurando o LLDP GlobalmenteAtivar LLDP globalmente e configurar os parâmetros LLDP para as portas. Para os detalhes da configuração LLDP, consulte Configuração LLDP. Configurando o LLDP-MED GlobalmenteEscolha o menu FUNÇÕES L2 > LLDP > Configuração LLDP > Configuração LLDP-MED > Configuração global para carregar a página a seguir. Configure a contagem de repetição de início rápido: e ver a classe de dispositivo atual. Clique em Aplicar.
Configurando o LLDP-MED para as portasEscolha o menu FUNÇÕES L2 > LLDP > Configuração LLDP-MED > Configuração de Porta para carregar a página a seguir. Siga estes passos para permitir o LLDP-MED:
Configure os TLVs incluídas na saída LLDP pacotes. E se a Identificação do Local é selecionada, você precisa configurar o número de emergência ou selecione o Endereço Cívico para configurar os detalhes. Clique em Aplicar.
Visualizando as configurações de LLDPEste capítulo mostra como visualizar as definições LLDP no dispositivo local. Visualizando as informações LLDP do dispositivoVisualizando o Informação local Escolha o menu FUNÇÕES L2 > LLDP > Configuração LLDP > Informação local para carregar a página a seguir. Siga os passos abaixo para visualizar as informações locais:
Visualizando as Neighbor Info Escolha o menu FUNÇÕES L2 > LLDP > Configuração LLDP > Neighbor info para carregar a página a seguir. Siga estes passos para visualizar o Neighbor info:
Visualizando as Estatísticas de LLDPEscolha o menu FUNÇÕES L2 > LLDP > Configuração LLDP > Informação Estatística para carregar a página a seguir. Siga os passos abaixo para visualizar estatísticas de LLDP:
Visualizando as configurações de LLDP-MEDEscolha o menu FUNÇÕES L2 > LLDP > Configuração LLDP-MED > Informação local para carregar a página a seguir. Visualizando Informação local Siga os passos abaixo para visualizar as informações locais do LLDP-MED:
Visualizando o Neighbor Info Escolha o menu FUNÇÕES L2 > LLDP > Configuração LLDP-MED > Neighbor Info para carregar a página a seguir. Siga os passos abaixo para visualizar as Informações vizinho LLDP-MED:
Exemplo de ConfiguraçãoRequisitos de redeA necessidade de o administrador de rede visualizar as informações dos dispositivos na rede da empresa para saber sobre a situação da ligação, e topologia de rede para que ele possa resolver as falhas de rede em potencial com antecedência. Topologia da redeExemplificado com a seguinte situação: Porta Gi1/0/1 no switch A é diretamente conectado à porta Gi1/0/2 do switch B. O switch B está diretamente conectado ao PC. O administrador pode visualizar as informações do dispositivo usando o NMS. Configurando o CenárioO LLDP pode atender os requisitos de rede. Habilite o recurso LLDP globalmente no switch A e no switch B. Configure os parâmetros LLDP relacionados nas portas correspondentes. Configurando o switch A e o switch B: As configurações dos switches A e B são semelhantes. As apresentações a seguir tomam o Switch A como exemplo. Demonstrada com o SG 2404 PoE L2+, este capítulo apresenta os procedimentos de configuração:
Apêndice: Configuração PadrãoAs configurações padrão de LLDP estão listados nas tabelas a seguir. Configurações LLDP padrão Configurações LLDP padrão
Configurações LLDP padrão na porta
Configurações LLDP-MED padrão Configurações LLDP-MED padrão
INTERFACES DE CAMADA 3Visão GeralAs interfaces são usadas para trocar dados e interagir com interfaces de outros dispositivos de rede. As interfaces são classificadas em interfaces da camada 2 e de camada 3.
Este capítulo apresenta as configurações para as interfaces da camada 3. Os tipos de interfaces da camada 3 são mostrados abaixo:
Configuração de Interface Camada 3Para efetuar a configuração da interface IPv4, siga as seguintes etapas:
Criando uma Interface de Camada 3Escolha o menu FUNÇÕES L3 > Interface VLAN para carregar a seguinte página. Siga os seguintes passos para criar uma interface de camada 3:
A interface criada é uma interface IPv4. Para configurar os recursos do IPv6, clique em "Editar IPv6" depois que a interface for criada. Configurando os Parâmetros IPv4 da InterfaceVá ao menu FUNÇÕES L3 > Interface VLAN e clique em Editar IPv4 para carregar a página a seguir e edite os parâmetros IPv4 da interface.
Configurando os Parâmetros IPv6 da InterfaceEscolha o menu FUNÇÕES L3 > Interface VLAN e clique em Editar IPv6 para carregar a página a seguir e edite os parâmetros IPv6 da interface.
Visualizando Informações Detalhadas da InterfaceEscolha o menu FUNÇÕES L3 > Interface VLAN para carregar a seguinte página. Clique em Detalhes para carregar a página a seguir e visualizar as informações detalhadas da interface. Apêndice: Configuração PadrãoAs configurações padrão para Interface de Camada 3 estão listadas nas tabelas a seguir. Configurações padrão da interface de camada 3
Configurações dos parâmetros IPv4 da interface
Configurações dos parâmetros IPv6 da interface
ROTEAMENTOVisão GeralA tabela de roteamento é usada para um dispositivo da Camada 3 (neste manual de configuração, significa o switch) para encaminhar pacotes para o destino correto. Quando o switch recebe pacotes nos quais o endereço IP de origem e o endereço IP de destino estão em sub-redes diferentes, ele verifica a tabela de roteamento, encontra a interface de saída correta e encaminha os pacotes. A tabela de roteamento contém principalmente dois tipos de entradas de roteamento: entradas de roteamento dinâmicas e entradas de roteamento estáticas. As entradas de roteamento dinâmicas são geradas automaticamente pelo switch. O switch usa protocolos de roteamento dinâmico para calcular automaticamente a melhor rota para encaminhar pacotes. Entradas de roteamento estático são adicionadas manualmente sem vencimento. Em uma rede simples com um pequeno número de dispositivos, você só precisa configurar rotas estáticas para garantir que os dispositivos de diferentes sub-redes possam se comunicar. Em uma rede complexa de larga escala, as rotas estáticas garantem conectividade estável para aplicativos importantes, porque as rotas estáticas permanecem inalteradas mesmo quando a topologia é alterada. O switch suporta roteamento estático IPv4 e configuração de roteamento estático IPv6. Configuração de Roteamento estático IPv4Escolha o menu FUNÇÕES L3> Roteamento Estático> Roteamento Estático IPv4 e clique em Configure os parâmetros correspondentes para adicionar uma entrada de roteamento estático IPv4. Então clique em Criar.
Configuração de Roteamento estático IPv6Escolha o menu FUNÇÕES L3> Roteamento Estático> Roteamento Estático IPv6 e clique em Configure os parâmetros correspondentes para adicionar uma entrada de roteamento estático IPv6. Então clique em Criar.
Visualizando a Tabela de RoteamentoVocê pode visualizar as tabelas de roteamento para aprender sobre a topologia de rede. O switch suporta a tabela de roteamento IPv4 e a tabela de roteamento IPv6. Visualizando a Tabela de Roteamento IPv4Escolha o menu FUNÇÕES L3> Tabela de roteamento> Tabela de roteamento IPv4 para carregar a página a seguir. Veja as entradas de roteamento IPv4.
Visualizando a Tabela de Roteamento IPv6Escolha o menu FUNÇÕES L3> Tabela de roteamento> Tabela de roteamento IPv6 para carregar a página a seguir. Veja as entradas de roteamento IPv6.
Exemplos de Roteamento EstáticoRequisitos de RedeComo mostrado abaixo, o Host A e o Host B estão em diferentes segmentos de rede. Para atender às necessidades do negócio, o Host A e o Host B precisam estabelecer uma conexão sem usar protocolos de roteamento dinâmico para garantir conectividade estável. Configurando o CenárioPara implementar esse requisito, você pode configurar o gateway padrão do host A como 10.1.1.1/24, o gateway padrão do host B como 10.1.2.1/24 e configurar as rotas estáticas IPv4 no Switch A e Switch B para que hosts em diferentes segmentos de rede possam se comunicar entre si. As configurações do switch A e do switch B são semelhantes. As apresentações a seguir tomam o Switch A como exemplo.
SERVIÇOS DHCPDHCPVisão GeralDHCP (Dynamic Host Configuration Protocol) é amplamente utilizado para atribuir automaticamente endereços IP e outros parâmetros de configuração à dispositivos na rede. Melhorando assim a utilização dos endereços IP. Funções suportadasAs funções DHCP suportadas pelo switch incluem Servidor DHCP, DHCP Relay e DHCP L2 Relay. DHCP Server Servidor DHCP é utilizado para atribuir automaticamente endereço IP, gateway padrão e outros parâmetros aos clientes DHCP. Como mostrado na figura a baixo, o switch age como servidor DHCP e atribui endereços IP aos clientes. DHCP Relay DHCP Relay é utilizado para processar e encaminhar pacotes DHCP entre diferentes sub-rede ou VLANs. O cliente DHCP encaminha a solicitação de um endereço IP através de uma requisição de DHCP utilizando pacotes broadcast. Uma vez que as transmissões de pacotes broadcast são sempre limitadas à rede local, então caso o servidor DHCP estiver em outra rede ou não estiver na mesma VLAN que o cliente, o cliente não conseguirá obter um endereço IP do servidor. Dessa forma, cada rede local deveria estar equipada com um servidor DHCP, aumentando o custo da construção da rede e criando dificuldades para a central de gerenciamento da mesma. DHCP Relay resolve este problema. O dispositivo de DHCP Relay opera como um agente de retransmissão e encaminha os pacotes DHCP entre os clientes DHCP e o servidor DHCP em redes locais diferentes para que os clientes DHCP em diferentes redes locais possam compartilhar um servidor DHCP. DHCP Relay inclui três funções: Option 82, Interface DHCP Relay e VLAN DHCP Relay.
Se a VLAN já possuir um endereço IP, o switch utilizará o endereço IP da VLAN como endereço IP do agente de Relay. O endereço IP do agente padrão de Relay não terá efeito. Uma porta roteada ou uma interface de port channel não é associada à uma VLAN em particular. VLAN DHCP Relay não terá efeito em portas roteadas ou interfaces de port channel. DHCP L2 Relay Ao contrário do DHCP Relay, o DHCP L2 Relay é utilizado nas situações que o servidor DHCP e os clientes estão na mesma VLAN. No DHCP L2 Relay, em adição à atribuição normal de endereços aos clientes DHCP, o switch pode gravar a informação de localização do cliente DHCP usando a Option 82. O switch pode adicionar a Option 82 ao pacote de requisição DHCP e então transmitir o pacote ao servidor DHCP. O servidor DHCP com suporte à Option 82 pode configurar a política de distribuição de endereços IP e outros parâmetros disponibilizando maior flexibilidade. Configuração do Servidor DHCPPara completar a configuração do servidor DHCP, siga os seguintes passos:
Habilitando o Servidor DHCPVá até o menu FUNÇÕES L3 > Serviço DHCP > DHCP Server > DHCP Server para carregar a seguinte página. Siga os seguintes passos para configurar o DHCP Server:
Configurando o Pool do Servidor DHCPO Pool do servidor DHCP define os parâmetros que serão atribuídos aos clientes DHCP. Vá até o menu FUNÇÕES L3 > Serviço DHCP > DHCP Server > Configuração de Pool clique em Configure os Parâmetros do Pool do servidor DHCP, e então clique em Criar.
Configurando Vínculo ManualAlguns dispositivos como servidores web necessitam de endereços IP estáticos. Para isso você pode vincular manualmente o endereço MAC ou a ID de cliente do dispositivo à um endereço IP, e o servidor DHCP irá reservar o endereço IP vinculado para este dispositivo sempre. Vá até o menu FUNÇÕES L3 > Serviço DHCP > DHCP Server > Vínculo Manual clique em Selecione o nome da Pool e entre com o endereço IP a ser vinculado. Seleciona o modo de vinculação então finalize a configuração adequadamente. Clique em Criar.
Configuração DHCP RelayPara completar a configuração do DHCP Relay siga os seguintes passos:
Habilitando o DHCP Relay e Configurando a Option 82Vá até o menu FUNÇÕES L3 > Serviço DHCP > DHCP Relay > Configuração de DHCP Relay para carregar a seguinte página. Siga os seguintes passos para habilitar o DHCP Relay e configurar a Option 82:
Configurando Interface DHCP RelayInterface DHCP Relay é utilizado para clientes que estão conectados à uma interface de camada 3 obter endereço IP de um servidor DHCP, o qual não está conectado na mesma sub-rede que os clientes. Vá até o menu FUNÇÕES L3 > Serviço DHCP > DHCP Relay > Interface DHCP Relay clique em Selecione o tipo de interface e entre com a ID de interface, então entre com o endereço IP do servidor DHCP. Clique em Criar.
Configurando VLAN DHCP RelayVLAN DHCP Relay é usado para cliente em VLANs que não tem interfaces de camada 3 como gateway para obter endereço IP de um servidor DHCP, o qual não está conectado na mesma sub-rede que os clientes. Vá até o menu FUNÇÕES L3 > Serviço DHCP > DHCP Relay > VLAN DHCP Relay para carregar a seguinte página. Siga os seguintes passos para especificar um servidor DHCP para uma VLAN específica:
Configuração DHCP L2 RelayPara completar a configuração do DHCP L2 Relay siga os passos a seguir:
Habilitando DHCP L2 RelayVá até o menu FUNÇÕES L3 > Serviço DHCP > DHCP L2 Relay > Configuração Global para carregar a seguinte página. Siga os seguintes passos para habilitar o DHCP L2 Relay globalmente e para uma VLAN específica.
Configurando Option 82 para PortasVá até o menu FUNÇÕES L3 > Serviço DHCP > DHCP L2 Relay > Configuração de Porta para carregar a página a seguir. Siga os seguintes passos para habilitar DHCP Relay e configurar a Option 82:
Exemplos de ConfiguraçãoRequisitos de RedeO administrador utiliza o switch como servidor DHCP para atribuir endereços IP para todos os dispositivos conectados. Os dispositivos conectados incluem um servidor FTP o qual necessita de endereço estático, e um computador que pode obter endereço IP automaticamente do servidor DHCP. Configurando o CenárioPara simplificar a topologia de rede, esse capitulo pega um servidor FTP e um computador de escritório como exemplo. O servidor FTP e o computador do escritório estão conectados ao switch. O switch atua como servidor DHCP, atribuindo endereço IP estático ao servidor FTP e endereço IP dinâmico ao computador do escritório. Como mostrado na topologia a seguir. O endereço IP do switch é 192.168.0.28. A porta 1/0/2 está conectada ao servidor FTP e a porta 1/0/6 está conectada ao computador de escritório.
Exemplo de Interface DHCP RelayRequisitos de RedeUma companhia pretende atribuir endereços IP para todos os computadores em dois departamentos, e só há um servidor DHCP disponível. Por requisito os computadores do mesmo departamento devem estar na mesma sub-rede, enquanto computadores em diferentes departamentos devem estar em sub-rede diferentes. Configurando o CenárioNa situação proposta, a função de DHCP Relay pode satisfazer os requisitos porque DHCP Relay possibilita que clientes em diferentes sub-rede compartilhem o mesmo servidor. Garanta que o seu Servidor dê suporte à mais que uma Pool de endereços DHCP. A topologia de rede é como mostrada na figura a baixo. Computadores no departamento de marketing pertencem à VLAN 10 a qual está conectada ao switch através da porta 1/0/8. O endereço da interface da VLAN 10 é 192.168.2.1/24. Computadores no departamento de P&D pertencem à VLAN 20 a qual está conectada no switch através da porta 1/0/16. O endereço da interface da VLAN 20 é 192.168.3.1/24. O servidor DHCP está conectado ao switch DHCP Relay através da port 1/0/5, e seu endereço de IP é 192.168.0.59/24. A visão geral das configurações são as seguintes:
Siga os seguintes passos para configurar DHCP Relay:
Apêndice: Configuração PadrãoAs Configurações Padrão do DHCP Server estão listadas na tabela a baixo. Configuração Padrão do Servidor DHCP
As configurações Padrão do DHCP Relay estão listadas a tabela a baixo. Configuração Padrão de DHCP Relay
As configurações Padrão do DHCP L2 Relay estão listadas a tabela a baixo. Configuração Padrão de DHCP L2 Relay
ARPVisão GeralO Protocolo de resolução de endereços (ARP) é usado para mapear endereços IP para endereços MAC. Tomando um endereço IP como entrada, o ARP aprende o endereço MAC associado e armazena o IP-MAC associação de endereço em uma entrada ARP para recuperação rápida. Funções SuportadasARP Table A tabela ARP exibe todas as entradas ARP, incluindo entradas dinâmicas e entradas estáticas. Entrada dinâmica: aprendido automaticamente e será excluído após o tempo de envelhecimento. Entrada estática: adicionado manualmente e será mantido a menos que modificado ou excluído manualmente. Static ARP Você pode adicionar manualmente entradas ARP especificando os endereços IP e endereços MAC. Gratuitous ARP O Gratuitous ARP é um tipo especial de ARP. Tanto os endereços de origem quanto de destino do ARP em pacotes gratuitous ARP são o remetente seu próprio endereço IP. Ele é usado para detectar endereços IPs duplicados. Se uma interface enviar um pacote gratuitous ARP e nenhuma resposta for recebida, então o remetente sabe que seu endereço IP não é usado por outros dispositivos. Proxy ARP Normalmente, os pacotes ARP só podem ser transmitidos em um domínio broadcast, o que significa que se dois dispositivos no mesmo segmento de rede estiverem ligados a interfaces de Camada 3 diferentes, não podem comunicar uns com os outros porque não podem aprender o MAC um do outro usando pacotes ARP. Proxy ARP resolve este problema. Como mostrado abaixo, quando uma máquina envia uma requisição ARP para outro dispositivo que não esteja no mesmo domínio broadcast, mas na mesma rede a interface da Camada 3 com o ARP Proxy habilitado responderá à solicitação de ARP com o seu próprio endereço MAC, se o IP de destino estiver acessível. Depois disso, o remetente da solicitação ARP envia pacotes para o switch, e o switch encaminha os pacotes para o dispositivo pretendido. Local Proxy ARP O Local Proxy ARP é semelhante ao Proxy ARP. Como mostrado abaixo, duas máquinas estão na mesma VLAN e ligadas à interface VLAN 1, mas a porta 1/0/1 e a porta 1/0/2 estão isoladas na camada 2. Neste caso, ambas as máquinas não podem receber o pedido ARP uma da outra. Portanto, eles não podem comunicam uns com os outros porque não conseguem aprender o endereço MAC uns dos outros usando Pacotes ARP. Para resolver este problema, você pode habilitar o Local Proxy ARP na interface da Camada 3 e a interface responderá ao remetente do pedido ARP com seu próprio endereço MAC. Depois disso, o remetente da solicitação ARP envia pacotes para a interface da Camada 3, e a interface encaminha o pacote para o dispositivo pretendido. Configurações ARPCom as configurações ARP você pode:
Para configurar o recurso Gratuitous ARP:
Para configurar o recurso Proxy ARP:
Visualizando entradas ARPA tabela ARP consiste de dois tipos de entradas ARP: dinâmicas e estáticas.
Escolha o menu FUNÇÕES L3 > ARP > Tabela ARP para carregar a seguinte página.
Adicionando Entradas ARP Estáticas ManualmenteVocê pode adicionar entradas estáticas ARP desejadas especificando manualmente os endereços IP e endereços MAC. Escolha o menu FUNÇÕES L3 > ARP > ARP Estático e clique em Digite o endereço IP e o endereço MAC, clique em Criar.
Gratuitous ARPEscolha o menu FUNÇÕES L3 > ARP > Gratuitous ARP para carregar a seguinte página. Siga os seguintes passos para configurar o Gratuitous ARP em uma interface.
Configurando o ARP ProxyO ARP Proxy é usado na situação em que dois dispositivos estão no mesmo segmento de rede, mas conectados a diferentes interfaces da camada 3. Escolha o menu FUNÇÕES L3 > ARP > ARP Proxy > ARP Proxy para carregar a seguinte página. Selecione a interface desejada e ative o ARP Proxy. Depois clique em Aplicar.
Configurando o ARP Proxy LocalO ARP Proxy Local é usado na situação em que dois dispositivos estão na mesma VLAN, mas isolados nas portas da camada 2. Escolha o menu FUNÇÕES L3 > ARP > ARP Proxy > ARP Proxy Local para carregar a seguinte página. Selecione a interface desejada e ative o ARP Proxy Local. Depois clique em Aplicar.
Apêndice: Configuração PadrãoAs Configurações Padrão do ARP estão listadas na tabela a baixo. Configuração Padrão ARP
QoSVisão GeralCom a expansão da escala da rede e o desenvolvimento de aplicativos, o tráfego da Internet aumenta drasticamente, resultando em congestionamento da rede, queda de pacotes e longo atraso na transmissão. Normalmente, as redes tratam todo o tráfego igualmente com base na entrega FIFO (primeiro a entrar, primeiro a sair), mas hoje em dia muitos aplicativos especiais, como VoD, videoconferências, VoIP, etc., exigem mais largura de banda ou menor atraso na transmissão para garantir o desempenho. Com a tecnologia de QoS (Quality of Service), você pode classificar e priorizar o trafego da rede provendo serviços diferenciados para certos tipos de tráfego. Funções SuportadasVocê pode configurar as funções de classe de servido, controle de largura de banda, VLAN de voz e Auto VoIP no switch para maximizar a performance da rede. Classe de Serviço O switch classifica os pacotes que estão chegando mapeando-os em diferentes filas de prioridade para então encaminha-los de acordo com as configurações específicas do agendados para implementar a função de QoS.
Controle de Largura de Banda Controle de largura de banda funciona para controlar a taxa e o limite de tráfego para cada porta para garantir a performance da rede.
VLAN Voz e Auto VoIP As funções de VLAN de Voz e Auto VoIP são utilizadas para priorizar a transmissão de tráfego de voz. Tráfego de voz é tipicamente mais sensível ao tempo que os outros dados em tráfego, e a qualidade da voz pode se deteriorar muito devida à perda de pacotes e o atraso da transmissão. Para garantir uma alta qualidade de voz você pode configurar VLAN de Voz ou Auto VoIP. Essas duas funções podem ser habilitadas em portas que transmitem somente dados de voz ou que transmitem tráfego de voz e dados. VLAN de Voz pode alterar a prioridade 802.1p do pacote de voz e transmitir o pacote em uma VLAN desejada. Auto VoIP pode informar os dispositivos de voz para encaminharem pacotes com configuração especifica para trabalhar com a função LLDP-MED. Configuração de Classe de ServiçoCom as configurações de classe de servido você pode:
Diretrizes de configuração Selecione o modo de prioridade que se encarregará das portas de acordo com os requisitos da sua rede. Uma porta pode utilizar somente uma classificação de prioridade para os pacotes recebidos. Três modos de prioridade são suportados pelo switch: Prioridade de Porta, Prioridade 802.1p e Prioridade DSCP.
Especifique o mapeamento das filas 802.1p de acordo com a sua necessidade. Para a prioridade 802.1p os pacotes serão encaminhados conforme o mapeamento das filas 802.1p. Para Prioridade de Porta e Prioridade DSCP elas serão primeiramente mapeadas na prioridade 802.1p e então mapeadas de acordo com o mapeamento das filas 802.1p. Configurando Prioridade de PortaConfigurando o Modo Confiar e o Mapeamento das Portas 802.1p Vá até o menu QoS > Classe de Servido > Prioridade da Porta para carregar a página a seguir. Siga os seguintes passos para configurar os parâmetros para a prioridade de portas.
Configurando o 802.1p para mapeamento de fila Vá até o menu QoS > Classe de Serviço > Prioridade 802.1p para carregar a página a seguir. Na seção Mapeamento de fila 802.1p configure o mapeamento e clique em Aplicar.
Configurando Prioridade 802.1pConfigurando o Modo Confiar Vá até o menu QoS > Classe de Serviço > Prioridade da Porta para carregar a página a seguir. Siga os seguintes passos para configurar o Modo Confiar:
Configurando Mapeamento de Fila 802.1p e Remapeamento 802.1p Vá até o menu QoS > Classe de Serviço > Prioridade 802.1p para carregar a página a seguir. Siga os seguintes passos para configurar os parâmetros da prioridade 802.1p:
No modo Confiar 802.1p pacotes untagged serão adicionados a uma prioridade 802.1p baseada em porta para um mapeamento 802.1p e será encaminhada de acordo com o mapeamento das filas 802.1p. Configurando Prioridade DSCPConfigurando Modo Confiar Vá até o menu QoS > Classe de Serviço > Prioridade de Porta para carregar a página a seguir. Siga os seguintes passos para configurar o Modo Confiar:
Configurando Mapeamento de Fila 802.1pVá até o menu QoS > Classe de Serviço > Prioridade 802.1p para carregar a página a seguir. Na seção Mapeamento de Fila 802.1p configure os mapeamentos e clique em Aplicar.
Configurando Mapeamento DSCP para 802.1p e o Remapeamento DSCPVá até o menu QoS > Classe de Serviço > Prioridade DSCP para carregar a página a seguir. Siga os seguintes passos para configurar a Prioridade DSCP:
No modo confiar DSP os pacotes não IP serão adicionados à prioridade 802.1p baseada em portas e serão encaminhadas de acordo com o mapeamento das filas 802.1p. Especificando as configurações do AgendadorEspecifique as configurações do Agendador para controlar o encaminhamento dos pacotes de diferentes filas TC quando ocorre congestionamento. Vá até o menu QoS > Classe de Serviço > Alg. de Enfileiramento para carregar a seguinte página. Siga os seguintes passos para configurar o Tipo de Agendador:
Configuração de Controle de BandaCom as configurações de Controle de Banda você pode:
Configurando o Limite de TaxaVá até o menu QoS > Controle de Largura de Banda > Limite de Taxa para carregar a seguinte página. Siga os seguintes passos para configurar a função de limite de taxa:
Configurando o Storm ControlVá até o menu QoS > Controle de Largura de banda > Storm Control para carregar a página a seguir. Siga os seguintes passo para configurar a função de Storm Control:
Para portas em uma mesma LAG, o limite de taxa e storm control devem ser configurados com o mesmo valor para garantir o funcionamento correto do Link Aggregation. Configuração VLAN VozPara completar a configuração de VLAN de voz siga os seguintes passos:
Guia para configuração
Configurando endereço OUIO endereço OUI é atribuído pelo IEEE como um identificador exclusivo à um fornecedor de dispositivos. É utilizado pelo switch para determinar se um pacote é um pacote de voz. Se o endereço OUI do seu dispositivo de voz não estiver na tabela OUI você deverá adicioná-lo à tabela de endereços OUI. Vá até o menu QoS > VLAN Voz > Configuração OUI para carregar a seguinte página. Siga os seguintes passos para configurar endereços OUI:
Configurando VLAN Voz GlobalmenteVá até o menu QoS > VLAN de Voz > Configuração Global para carregar a seguinte página. Siga os seguintes passos para configurar a VLAN Voz Globalmente:
Adicionando Portas à VLAN de VozVá até o menu QoS > VLAN de Voz > Configuração de Porta para carregar a página a seguir. Siga os seguintes passo para configurar a VLAN Voz para portas:
Configuração Auto VoIPGuia de Configuração
Vá até o menu QoS > Auto VoIP para carregar a página a seguir. Siga os seguintes passos para configurar o Auto VoIP:
Exemplo de Classe de ServiçoRequisitos de RedeComo mostrado a baixo, os departamentos de Marketing e P&D pode acessar a internet. Quando ocorre um congestionamento o trafego de ambos os departamentos podem ser encaminhados e o trafego do departamento de Marketing deve preferência. Configurando o CenárioPara implementar esse requisito você pode configurar a prioridade de porta para colocar os pacotes do departamento de marketing em uma fila com prioridade mais alta que os pacotes do departamento de P&D.
Como demonstrado a baixo:
Exemplo para VLAN VozRequisitos de RedeComo mostrado abaixo, uma companhia pretende instalar telefones IP na área de escritório. Para garantir uma boa qualidade de voz, os telefones IP e os computadores serão conectados em diferentes portas do switch, o tráfego de voz necessita de uma maior prioridade que o trafego de dados. Configurando o CenárioPara implementar o requisite você pode configurar a VLAN Voz para garantir que o trafego de voz possa ser transmitido na mesma VLAN e o tráfego de dados seja transmitido em outra VLAN. Você ainda pode especificar a prioridade para que o tráfego de voz tenha preferência quando ocorrer congestionamento.
Como demostrado à baixo:
Exemplo para Auto VoIPRequisitos de RedeComo mostrado abaixo, a companhia planeja instalar telefones IP na área de escritório. Os telefones IP compartilham as portas do switch utilizadas pelos computadores porque não há portas sobrando para os telefones IP. Para garantir uma boa qualidade de voz o trafego de voz necessita de uma prioridade maior que o trafego de dados. Configurando o CenárioPara otimizar o trafego de voz configure o Auto VoIP e LLDP-MED para instruir os telefones IP a enviar trafego com a prioridade DSCP desejada. Trafego de voz é colocado em uma fila desejada e o trafego de dados é colocado em outra fila de acordo com a configuração da Classe de Serviço. Garantindo que o trafego de voz tenha preferência quando ocorrer congestionamento.
A configuração Auto VoIP para a porta 1/0/1 e as outras portas conectadas à telefones IP são as mesmas, as configurações a seguir tomarão a porta 1/0/1 como exemplo:
Apêndice: Configuração PadrãoAs configurações padrão para Classe de serviço estão listadas nas tabelas a seguir. Configuração Padrão da configuração de Prioridade de Porta.
Configuração Padrão da configuração do 802.1p Aguardar Mapeamento.
Configuração Padrão da configuração do 802.1p Remap.
Configuração Padrão da configuração do mapeamento 802.1p para DSCP.
Configuração Padrão da configuração do remapeamento DSCP.
Configuração Padrão das configurações do Agendador.
Configuração Padrão das configurações de Controle de Largura de Banda.
Configuração Padrão das configurações de Storm Control.
As configurações padrão para VLAN Voz estão listadas nas tabelas a seguir. Configuração Padrão das configurações globais.
Configuração Padrão das configurações de porta.
Configuração Padrão das configurações da tabela OUI.
As configurações padrão para Auto VoIP estão listadas na tabela a seguir Configuração Padrão das configurações do Auto VoIP.
SEGURANÇA DE ACESSOVisão GeralA segurança de acesso fornece diferentes medidas de segurança para acessar o switch remotamente, a fim de aprimorar a segurança do gerenciamento de configuração. Funções SuportadasControle de acesso Esta função é usada para controlar o acesso dos usuários ao switch com base no endereço IP, endereço MAC ou porta. HTTP Esta função é baseada no protocolo HTTP. Ele pode permitir ou negar aos usuários o acesso ao switch através de um navegador da web. HTTPS Esta função é baseada no protocolo SSL ou TLS da camada de transporte. Ele suporta um acesso de segurança através de um navegador da web. SSH Essa função é baseada no protocolo SSH, um protocolo de segurança estabelecido nas camadas de aplicação e transporte. A função SSH é semelhante a uma conexão telnet, mas o SSH pode fornecer maior segurança da informação e autenticação. Telnet Esta função é baseada no protocolo Telnet através do protocolo TCP / IP. Com o Telnet, os usuários podem fazer logon no switch remotamente. Configurações de Segurança de AcessoCom as configurações de segurança de acesso, você pode:
Configurando a função de Controle de AcessoEscolha o menu SEGURANÇA > Segurança de Acesso > Controle de Acesso para carregar a seguinte página.
Configurando a Função HTTPEscolha o menu SEGURANÇA > Segurança do Acesso > Configuração HTTP para carregar a seguinte página.
Configurando a Função HTTPSEscolha o menu SEGURANÇA > Segurança do Acesso > Configuração HTTPS para carregar a seguinte página.
Configurando a Função SSHEscolha o menu SEGURANÇA > Segurança do Acesso > Configuração SSH para carregar a seguinte página.
Pode demorar um tempo considerável para baixar o arquivo da chave. Aguarde sem qualquer operação. Configurando a Função TelnetEscolha o menu SEGURANÇA > Segurança do Acesso > Configuração Telnet para carregar a seguinte página. Ative a função Telnet e clique em Aplicar.
Apêndice: Configuração PadrãoAs configurações padrão da Segurança de Acesso estão listadas nas tabelas a seguir.
HTTP
HTTPS
SSH
Telnet
AAAVisão GeralAAA significa autenticação, autorização e contabilidade. No switch Intelbras, esse recurso é usado principalmente para autenticar os usuários que tentam efetuar login no switch ou obter privilégios administrativos. O administrador pode criar contas de convidado e uma senha de ativação para outros usuários. Os convidados não têm privilégios administrativos sem o fornecimento da senha de ativação. AAA fornece um método de autenticação seguro e eficiente. A autenticação pode ser processada localmente no switch ou centralmente nos servidores RADIUS/TACACS +. Como mostra a figura a seguir, o administrador da rede pode configurar centralmente as contas de gerenciamento dos switches no servidor RADIUS e usar esse servidor para autenticar os usuários que tentam acessar o switch ou obter privilégios administrativos. Configurações AAANo recurso AAA, a autenticação pode ser processada localmente no switch ou centralmente nos servidores RADIUS / TACACS +. Para garantir a estabilidade do sistema de autenticação, você pode configurar vários servidores e métodos de autenticação ao mesmo tempo. Este capítulo apresenta como configurar esse tipo de autenticação abrangente no AAA. Para concluir a configuração, siga estas etapas:
Diretrizes de configuração Os conceitos básicos e o mecanismo de trabalho da AAA são os seguintes:
Adicionando ServidoresVocê pode adicionar um ou mais servidores RADIUS / TACACS + no switch para autenticação. Se vários servidores forem adicionados, o servidor adicionado primeiro ao grupo terá a maior prioridade e autentica os usuários que estão tentando acessar o switch. Os outros atuam como servidores de backup, caso o primeiro falhe. Adicionando servidor RADIUS Escolha o menu SEGURANÇA > AAA > Configuração RADIUS e clique em Siga os seguintes passos para adicionar o servidor RADIUS:
Adicionando servidor TACACS+ Escolha o menu SEGURANÇA > AAA > Configuração TACACS+ e clique em Siga os seguintes passos para adicionar o servidor TACACS+:
Configurando Grupos de ServidorO switch possui dois grupos de servidores internos, um para servidores RADIUS e outro para servidores TACACS +. Os servidores que executam o mesmo protocolo são adicionados automaticamente ao grupo de servidores padrão. Você pode adicionar novos grupos de servidores, conforme necessário. Escolha o menu SEGURANÇA > AAA > Grupo Servidor para carregar a seguinte página. Existem dois grupos de servidores padrão na lista. Você pode editar os grupos de servidores padrão ou siga estas etapas para configurar um novo grupo de servidores:
Configurando a Lista de MétodosUma lista de métodos descreve os métodos de autenticação e sua sequência para autenticar os usuários. O switch suporta a Lista de Método de Autenticação do Login para usuários de todos os tipos para obter acesso ao switch, e a lista de Método de Ativar Autenticação para que os convidados obtenham privilégios administrativos. Escolha o menu SEGURANÇA > AAA > Configuração de Método para carregar a seguinte página. Existem dois métodos padrão, para a autenticação de logon e a autenticação de ativação. Você pode editar os métodos padrão ou siga estas etapas para adicionar um novo método:
Configurando Lista de Aplicação AAAEscolha o menu SEGURANÇA > AAA > Configuração Global para carregar a seguinte página. Siga os seguintes passos para configurar a aplicação AAA.
Configurando Conta de Login e Senha de EnableA conta de login e a senha de Enable podem ser configuradas localmente no switch ou centralmente nos servidores RADIUS/TACACS+.
Exemplo de ConfiguraçãoRequisitos de RedeA Figura abaixo exemplifica um cenário possível, onde o switch precisa ser gerenciado remotamente via Telnet. Além disso, o administrador sênior da empresa deseja criar uma conta para os administradores com menor privilégio, que podem apenas visualizar as configurações e algumas informações de rede sem a senha de ativação fornecida. Dois servidores RADIUS são implantados na rede para fornecer um método de autenticação mais seguro para os administradores que tentam efetuar login ou obter privilégios administrativos. Se o Servidor RADIUS 1 falhar e não responder à solicitação de autenticação, o Servidor RADIUS 2 funcionará, de modo a garantir a estabilidade do sistema de autenticação. Configurando CenárioPara implementar esse requisito, o administrador sênior pode criar a conta de logon e a senha de ativação nos dois servidores RADIUS e configurar o recurso AAA no switch. Os endereços IP dos dois servidores RADIUS são 192.168.0.10/24 e 192.168.0.20/24; o número da porta de autenticação é 1812; a chave compartilhada é 123456. A visão geral da configuração no switch é a seguinte:
A seguir estão os passos necessários para efetuar a configuração:
Apêndice: Configuração PadrãoAs configurações padrão do AAA estão listadas nas tabelas a seguir.
802.1XVisão GeralO protocolo 802.1x é um protocolo de controle de acesso para redes baseado em porta. Ele é utilizado para autenticar e controlar o acesso de dispositivos conectados às portas. Se o dispositivo conectado à porta é devidamente autenticado por um servidor a sua solicitação de acesso à rede local será aceito, caso contrário sua solicitação será rejeitada. A autenticação 802.1x utiliza o modelo cliente-servidor que contem três funções: cliente ou solicitante, autenticador e servidor de autenticação. Como descrito na figura a baixo.
Configuração 802.1xPara completar a configuração 802.1x siga os seguintes passos:
Você também pode visualizar o Status do autenticador. A autenticação 802.1x e segurança de porta não podem ser habilitados ao mesmo tempo. Antes de habilitar a autenticação 802.1x verifique se a Segurança de Porta está desabilitada. Configurando o Servidor RADIUSConfigure os parâmetros do servidor RADIUS e configure o Grupo Servidor. Adicionando um Servidor RADIUS Vá até o menu Segurança > AAA > Configuração RADIUS clique em
Configurando Grupo do Servidor RADIUS Vá até o menu SEGURANÇA > AAA > Grupo Servidor para carregar a página a seguir. Siga os seguintes passos para adicionar um servidor RADIUS a um Grupo Servidor:
Configurando o Dot1x Vá até o menu SEGURANÇA > AAA > Configuração Dot1x para carregar a página a seguir. Siga os seguintes passo para configurar o grupo do servidor RADIUS para autenticação 802.1x e configurações de conta:
Configurando 802.1x GlobalmenteVá até o menu SEGURANÇA > 802.1x > Configuração Global para carregar a página a seguir. Siga os seguintes passo para configurar os parâmetros globais do 802.1x:
Configurando 802.1x nas PortasVá até o menu SEGURANÇA > 802.1x > Configuração de Porta para carregar a página a seguir. Siga os seguintes passo para configurar a autenticação 802.1x para a porta desejada:
Se a porta estiver em uma LAG, a função de autenticação 802.1x não poderá ser habilitada. Da mesma forma uma porta com a autenticação 802.1x não poderá ser adicionada à uma LAG. Visualizando o Estado do AutenticadorVá até o menu SEGURANÇA > 802.1x > Estado do Autenticador para carregar a página a seguir. Nessa página você pode visualizar o estado do autenticador para cada porta:
Exemplo de ConfiguraçãoRequisitos de RedeO administrado de rede quer controlar o acesso dos usuários finais (clientes) na sua companhia. É requerido que todos os clientes precisam ser autenticados separadamente e somente clientes autenticados podem acessar a internet. Configurando o Cenário
Topologia de redeComo mostrado na figura a baixo, o switch A atua como autenticador. A porta 1/0/1 está conectada ao cliente, a porta 1/0/2 está conectada ao servidor RADIUS e a porta 1/0/3 está conectada à internet. Para completar a configuração requerida siga os seguintes passos:
Apêndice: Configuração PadrãoAs configurações Padrão do 802.1x estão listadas na tabela a seguir.
SEGURANÇA DA PORTAVisão GeralVocê pode utilizar a função de Segurança da Porta para limitar o número de endereços MAC que podem ser aprendidos em cada porta, prevenindo assim que a tabela de endereços MAC esgote seu espaço através de pacotes de ataque. Além disso o switch pode enviar notificações caso o número de endereços MACs exceda o limite da porta. Configuração de Segurança da PortaVá até o menu SEGURANÇA > Segurança da Porta para carregar a página a seguir. Siga os seguintes passos para configurar a Segurança da Porta:
A função de Segurança da Porta não pode ser habilitada em portas membro de LAGs, e portas com Segurança da Porta habilitadas não podem ser adicionadas a uma LAG. Em uma mesma porta as funções de Segurança da Porta e 802.1x não podem ser habilitadas ao mesmo tempo. Apêndice: Configuração PadrãoAs configurações Padrão da Segurança de Porta estão listadas na tabela a seguir.
ACLVisão GeralA ACL (lista de controle de acesso) filtra o tráfego à medida que ele passa por um switch e permite ou nega pacotes que cruzam interfaces ou VLANs especificadas. Identifica e processa com precisão os pacotes com base nas regras da ACL. Dessa maneira, a ACL ajuda a limitar o tráfego de rede, gerenciar comportamentos de acesso à rede, encaminhar pacotes para portas especificadas e muito mais. Para configurar a ACL, siga estas etapas:
Diretrizes de configuração
Configuração ACLConfigurando Time RangeAlguns serviços ou recursos baseados em ACL podem precisar ser limitados para entrar em vigor apenas durante um período especificado. Nesse caso, você pode configurar um intervalo de tempo para a ACL. Para detalhes sobre a configuração do intervalo de tempo, consulte o capítulo Sistema de Gestão. Criando uma ACLVocê pode criar diferentes tipos de ACL e definir as regras com base no endereço IP ou MAC de origem, endereço IP ou MAC de destino, tipo de protocolo, número da porta e assim por diante. ACL MAC:a ACL MAC usa o endereço MAC de origem e destino para operações correspondentes. ACL IP: a ACL IP usa o endereço IP de origem e destino, os protocolos IP e assim por diante para operações correspondentes. ACL IPv6: a ACL IPv6 usa o endereço IPv6 de origem e destino para operações correspondentes. Escolha o menu SEGURANÇA > ACL > Configuração ACL e clique em Siga os seguintes passos para criar a ACL:
O tipo de ACL e a faixa de ID suportados variam em diferentes modelos de switch. Por favor, consulte as informações na tela. Configurando Regras ACLA ACL criada será exibida na página SEGURANÇA> ACL> Configuração ACL. Clique em Editar ACL na coluna Operação. Em seguida, você pode configurar regras para esta ACL. As seções a seguir apresentam como configurar o MAC ACL, IP ACL e IPv6 ACL. Configurando uma Regra MAC ACLClique em Editar ACL em uma ACL do tipo MAC ACL para carregar a página a seguir: Na seção Configuração de Regras ACL, clique em Siga os seguintes passos para configurar a regra ACL MAC:
Configurando uma Regra IP ACLClique em Editar ACL em uma ACL do tipo IP ACL para carregar a página a seguir: Na seção Configuração de Regras ACL, clique em Siga os seguintes passos para configurar a regra ACL IP:
Configurando uma Regra ACL IPv6Clique em Editar ACL em uma ACL do tipo ACL IPv6 para carregar a página a seguir: Na seção Configuração de Regras ACL, clique em Siga os seguintes passos para configurar a regra ACL IPv6:
Visualizando Regras ACLAs regras em uma ACL são listadas em ordem crescente de seus ID da Regra. O switch combina um pacote recebido com as regras em ordem. Quando um pacote corresponde a uma regra, o switch interrompe o processo de correspondência e executa a ação definida na regra. Clique em Aqui você pode visualizar e editar as regras da ACL. Você também pode clicar em Configurando Vínculo ACLVocê pode vincular a ACL a uma porta ou uma VLAN. Os pacotes recebidos na porta ou na VLAN serão correspondidos e processados de acordo com as regras da ACL. Uma ACL entra em vigor somente após ser vinculada a uma porta ou VLAN. Diferentes tipos de ACLs não podem ser vinculados à mesma porta ou VLAN. Várias ACLs do mesmo tipo podem ser ligadas à mesma porta ou VLAN. O switch corresponde aos pacotes recebidos usando as ACLs em ordem. A ACL de menor ID da Regra tem uma prioridade mais alta. Vinculando a ACL a uma porta Escolha o menu SEGURANÇA > ACL > Vínculo ACL > Vínculo de Porta e clique em Siga estas etapas para ligar a ACL a uma porta:
Escolha o menu SEGURANÇA > ACL > Vínculo ACL > Vínculo VLAN e clique em Siga estas etapas para ligar a ACL a uma VLAN:
Exemplo de ConfiguraçãoRequisitos de RedeComo mostrado abaixo, o grupo de servidores internos de uma empresa pode fornecer diferentes tipos de serviços. Os computadores no departamento de Marketing estão conectados ao switch pela porta 1/0/1 e o grupo de servidores interno está conectado ao switch pela porta 1/0/2. É necessário que:
Configurando o CenárioPara atender aos requisitos acima, você pode configurar a filtragem de pacotes criando uma ACL IP e configurando regras para ela. Configuração ACL Crie uma ACL IP e configure as seguintes regras para ela:
O switch combina os pacotes com as regras em ordem, começando com a Regra 1. Se um pacote corresponde a uma regra, o switch interrompe o processo de correspondência e inicia a ação definida na regra. Configuração de Vínculo Vincule a ACL IP à porta 1/0/1 para que as regras da ACL se apliquem apenas ao departamento de Marketing.
Apêndice: Configuração PadrãoAs configurações padrão da ACL estão listadas nas seguintes tabelas: Configurações ACL MAC
Configurações ACL IP
Configurações ACL IPv6
Configurações Política
IPv4 IMPBVisão GeralO IPv4 IMPB (IP-MAC-Port Binding) é utilizado para ligar o endereço de IP, o endereço MAC, a VLAN ID e o número da porta ligado do host especificado. Baseando-se na tabela de ligação, o switch pode impedir os ataques cheating ARP com o recurso de ARP Detection, e filtrar os pacotes que não correspondem as entradas de ligação com o recurso IP Source Guard. Funções SuportadasIP-MAC Binding Este recurso é usado para adicionar entradas binding. As entradas binding podem ser configuradas manualmente, ou serem aprendidas por ARP scanning, ou DHCP snooping. As funções ARP Detection and IPv4 Source Guard são baseadas nas entradas de ligação IP-MAC. ARP Detection Em uma rede real e complexa, existem altos riscos de segurança durante o procedimento de implementação do ARP. Os ataques cheating against ARP, faz com que a porta de entrada imite o gateway, enganando hosts e inundando a rede com pacotes ARP. O ARP Detection pode evitar que a rede receba esses ataques.
IPv4 Source Guard O IPv4 Source Guard é usado para filtrar os pacotes IPv4 com base na tabela de ligação IP-MAC. Apenas os pacotes que combinam com as regras de ligação são encaminhados. Configuração do Vínculo IP-MACVocê pode adicionar o IP-MAC Binding de três formas:
Além disso, você pode visualizar, pesquisar e editar as entradas na tabela de ligação. Entradas de Vínculo manualVocê pode vincular manualmente o endereço IP, endereço MAC, VLAN ID e o número da porta em conjunto com a condição e a informação detalhada que você tem dos hosts. Selecione no menu SEGURANÇA > IPv4 IMPB > IP-MAC Binding > Vinculo Manual e clique em Siga os passos abaixo para criar manualmente uma entrada IP-MAC Binding:
Entradas de Vínculo via ARP ScanningCom o ARP Scanning, o switch envia os pacotes de solicitação ARP do campo IP especificado para os hosts. Ao receber o pacote de resposta ARP, o switch pode obter o endereço IP, endereço MAC, VLAN ID e o número da porta conectada do host. Você pode vincular essas entradas da forma que fora mais conveniente. Antes de usar esse recurso, certifique-se de que sua rede é segura, e que os hosts não estão sofrendo de ataques ARP no presente momento; caso contrário, você pode receber entradas de ligação IP-MAC falsas. Se a sua rede está sendo atacada, é recomendado ligar as entradas manualmente. Selecione no menu SEGURANÇA > IPv4 IMPB > IP-MAC Binding > ARP Scanning para carregar a página a seguir. Siga estes passos para configurar IP-MAC Binding via ARP scanning:
Entradas Vínculo via DHCP SnoopingCom o DHCP Snooping habilitado, o switch pode monitorar o endereço IP obtendo o processo do host obter e registrar o endereço IP, endereço MAC, VLAN ID e o número da porta conectada ao host. Selecione no menu SEGURANÇA > IPv4 IMPB > IP-MAC Binding > DHCP Snooping para carregar a página a seguir. Siga os passos para configurar o Binding IP-MAC via DHCP Snooping:
Visualizando as entradas de VínculoNa tabela de Binding, você pode visualizar, pesquisar e editar as entradas de Binding especificadas. Selecione no menu SEGURANÇA > IPv4 IMPB > IP-MAC Binding > Tabela de Vinculo para carregar a página a seguir. Você pode especificar os critérios de pesquisa para as entradas desejadas.
Além disso, você selecionar uma ou mais entradas para editar o nome do host e tipo de proteção e clique em Aplicar.
Configuração do ARP DetectionPara configuração completa do ARP Detection, siga os passos abaixo:
Adicionando entradas Vínculo IP-MACNo ARP Detection, o switch detecta os pacotes ARP com base nas entradas Binding na tabela de ligação de IP-MAC. Então, antes de configurar o ARP Detection, você precisa completar a configuração de ligação. Para mais detalhes, consulte Configuração de Vínculo IP-MAC. Habilitando o ARP DetectionSelecione no menu SEGURANÇA > IPv4 IMPB > ARP Detection > Configuração Global para carregar a página a seguir: Siga estes passos para ativar o ARP Detection:
Configurando o ARP Detection nas portasSelecione no menu SEGURANÇA > IPv4 IMPB > ARP Detection > Configuração da Porta para carregar a página a seguir. Siga estes passos para configurar o ARP Detection nas portas:
Visualizando as estatísticas ARPVocê pode ver o número de pacotes ARP ilegais recebidos em cada porta, o que facilita para localizar um mau funcionamento na rede, e tomar as medidas de proteção apropriadas. Selecione no menu SEGURANÇA > IPv4 IMPB > ARP Detection > Estatísticas ARP para carregar a página a seguir. Na seção Auto Atualizar, você pode habilitar o recurso de atualização automática, e especificar o intervalo de atualização, assim a página web será automaticamente atualizada. Na seção Pacotes ARP, você pode ver o número de pacotes ARP ilegais em cada VLAN.
Configuração do Source Guard IPv4Para completar a configuração Source Guard IPv4, siga estes passos:
Adicionando entradas IP-MAC BindingNo Source Guard IPv4, o switch filtra os pacotes que não correspondem às regras da tabela Binding IPv4 MAC. Então, antes de configurar o ARP Detection, você precisa configurar o IP-MAC Binding. Para mais detalhes, consulte a Configuração IP-MAC Binding. Configurando o IPv4 Source GuardSelecione no menu SEGURANÇA > IPv4 IMPB > Protetor da Fonte IPv4 para carregar a página a seguir. Siga os passos abaixo para configurar o IPv4 Source Guard:
Exemplo de ARP DetectionRequisitos de redeComo mostrado no exemplo abaixo, o usuário 1 e o usuário 2 são clientes legais na rede local, e estão conectados às portas 1/0/1 e 1/0/2. Ambos estão na VLAN 1 padrão. O roteador foi configurado com recurso de segurança para evitar ataques na WAN. Agora, o administrador de rede quer configurar o switch A para evitar ataques ARP da LAN. Configurando o CenárioPara atender essa exigência, você pode configurar o ARP Detection para evitar que a rede sofra ataques ARP na LAN. A visão geral de configurações no switch é a seguinte:
Demonstrado com SG 2404 PoE L2+, a seguir mostra o procedimento de configuração usando a Interface web:
Exemplo do Source Guard IPRequisitos de redeComo mostrado abaixo, as ligações de hosts legais para o switch via porta 1/0/1 pertence à VLAN 1 (padrão). É necessário que apenas o host legal pode acessar a rede através da porta 1/0/1, e outros hosts desconhecidos serão bloqueados ao tentar acessar a rede através das portas 1/0/1-3. Configurando o CenárioPara implementar este requisito, você pode usar o IP-MAC Binding e o IP Source Guard para filtrar os pacotes recebidos dos hosts desconhecidos. A visão geral de configuração no switch é a seguinte:
Apêndice: Configuração PadrãoAs configurações padrão de DHCP Snooping estão listadas na tabela a seguir: Configurações DHCP Snooping
As configurações padrão de Detecção ARP estão listadas na tabela a seguir: Configurações Detecção ARP
As configurações padrão de Protetor da Fonte IPv4 estão listados na tabela a seguir: Configurações Protetor da Fonte IPv4
IPv6 IMPBIPv6 IMPBVisão GeralIPv6 IMPB (IP-MAC-Port Binding) é utilizado para vincular um endereço IPv6, endereço MAC, ID de VLAN, e um número de porta conectada à um host específico. Baseado na tabela de vinculo o switch pode prevenir ataques ND com a função de ND Detection e filtrar pacotes que não correspondem com as entradas de vínculo com a IPv6 Source Guard. Funções SuportadasVínculo IPv6-MAC Essa função é utilizada para vincular entradas. As entradas de vínculo podem ser configuradas manualmente ou aprendidas através do ND Snooping ou DHCPv6 Snooping. As funções ND Detection e Protetor da Fonte IPv6 são baseadas nas entradas de vínculo IPv6-MAC. ND Detection Devido à falta de um mecanismo de segurança, o protocolo IPv6 ND (Neighbor Discovery) é facilmente explorado por hackers. A função ND Detection utiliza as entradas na tabela de vínculo IPv6-MAC para filtrar pacotes ND forjados e prevenir ataques ND. A topologia de aplicação do ND Detection é mostrada na figura a baixo. A porta que está conectada ao gateway deve ser configurada como porta confiável e as outras portas devem ser configuradas como portas não confiáveis. Os princípios do encaminhamento de pacotes ND são os seguintes:
Guardião de Origem IPv6 O Guardião de Origem IPv6 é utilizado para filtrar pacotes IPv6 baseando-se na tabela de vínculo IPv6-MAC. Somente pacotes com correspondência nas regras de vínculo serão encaminhados. Configurando Vínculo IPv6-MACVocê pode adicionar entradas de vínculo IPv6-MAC de três formas;
Você também pode visualizar, pesquisar e editar entradas na tabela de Vínculo. Vinculando entradas manualmenteVocê pode vincular endereços IPv6, endereços MAC, ID de VLAN e número de portas manualmente na condição que você detenha as informações detalhadas dos hosts. Vá até o menu SEGURANÇA > IPv6 IMPB > Vínculo IPv6-MAC > Vínculo Manual clique em Siga os seguintes passos para criar uma entrada de vínculo IPv6-MAC manualmente:
Vinculando Entradas via ND SnoopingCom o ND Snooping o switch monitora os pacotes ND e grava os endereços IPv6, MAC, a ID da VLAN e o número da porta a qual o host IPv6 está conectado. Você pode vincular essas entradas de forma conveniente. Antes de utilizar esta função, garanta que sua rede está segura e que os hosts não estão sofrendo ataques ND; caso contrário você pode obter entradas de vínculo IPv6-MAC incorretas. Se sua rede estiver sobre ataque é recomendado vincular as entradas manualmente. Vá até o menu SEGURANÇA > IPv6 IMPB > Vínculo IPv6-MAC > ND Snooping para carregar a página a seguir. Siga os seguintes passos para configurar o vínculo IPv6-MAC através do ND Snooping:
Vinculando Entradas via DHCPv6 SnoopingCom o DHCPv6 Snooping habilitado o switch pode monitorar o processo de obtenção de endereço IP do host e gravar o endereço IPv6, endereço MAC, ID da VLAN e o número da porta que o host está conectado. Vá até o menu SEGURANÇA > IPv6 IMPB > Vínculo IPv6-MAC > DHCPv6 Snooping para carregar a página a seguir. Siga os seguintes passos para configurar o vínculo IPv6-MAC utilizando o DHCPv6 Snooping:
Visualizando as entradas de VínculoNa tabela de Binding, você pode visualizar, pesquisar e editar as entradas de Binding especificadas. Selecione no menu SEGURANÇA > IPv6 IMPB > Vínculo IPv6-MAC > Tabela de Vinculo para carregar a página a seguir. Você pode especificar os critérios de pesquisa para as entradas desejadas.
Além disso, você selecionar uma ou mais entradas para editar o nome do host e tipo de proteção e clique em Aplicar.
Configuração ND DetectionPara completar a configuração do ND Detection siga os seguintes passos:
Adicionando Entradas de Vínculo IPv6-MACA função de ND Detection permite que o switch detecte os pacotes ND baseado nas entradas de vínculo na tabela de vínculo IPv6-MAC e filtre os pacotes ND ilegais. Antes de configurar o ND Detection termine a configuração de vínculo IPv6-MAC. Para mais detalhes vá até Configuração de Vínculo IPv6-MAC. Habilitando o ND DetectionVá até o menu SEGURANÇA > IPv6 IMPB > ND Detection > Configuração Global para carregar a página a seguir. Siga os seguintes passos para habilitar o ND Detection:
Configurando ND Detection nas PortasVá até o menu SEGURANÇA > IPv6 IMPB > ND Detection > Configuração de Porta para carregar a página a seguir. Siga os seguintes passos para configurar o ND Detection nas portas:
Visualizando as Estatísticas NDVá até o menu SEGURANÇA > IPv6 IMPB > ND Detection > Estatísticas ND para carregar a página a seguir. Na seção Auto Atualizar você pode habilitar a função de atualização automática e especificar o intervalo de atualização, então a página web será atualizada automaticamente. Na seção Pacotes ND Ilegais você pode visualizar o número de pacotes ND ilegais em cada VLAN.
Configuração do IPv6 Source GuardPara completar a configuração do Protetor da Fonte IPv6 siga os seguintes passos:
Adicionando Entradas de Vínculo IPv6-MACA função de IPv6 Source Guard permite que o switch detecte trafego ilegal baseado nas entradas de vínculo na tabela de vínculo IPv6-MAC e o bloqueie quando for originado de um endereço que não está configurado na tabela de vínculo IPv6-MAC. Antes de configurar o IPv6 Source Guard termine a configuração de vínculo IPv6-MAC. Para mais detalhes vá até Configuração de Vínculo IPv6-MAC. Configurando o Protetor de Fonte IPv6Antes de configurar o protetor de fonte IPv6, você precisa configurar o Modelo SDM como EnterpriseV6. Vá até o menu SEGURANÇA > IPv6 IMPB > IPv6 Source Guard para carregar a página a seguir. Siga os seguintes passos para configurar o Protetor de Fonte IPv6:
Exemplo para ND DetectionRequisitos de RedeComo mostrado a baixo, o Usuário 1 e Usuário 2 são usuários IPv6 legais na rede local conectados respectivamente às portas 1/0/1 e 1/0/2. Ambos estão na VLAN 1 padrão. O roteador está configurado com função de segurança para prevenir ataques a partir da WAN. Agora o administrador quer configurar o Switch A para prevenir ataques ND originados na LAN. Configurando o CenárioPara atender aos requisitos você pode configurar o ND Detection para impedir que a rede sofra ataques originados na LAN. A visão geral da configuração do switch é mostrada a baixo:
Para atender as configurações você deve seguir os seguintes passos:
Exemplo para IPv6 Source GuardRequisitos de RedeComo mostrado a baixo, o host IPv6 legal está conectado ao switch através da porta 1/0/1 e pertence à VLAN padrão VLAN 1. Como requisito que somente esse host legal possa acessar a rede através da porta 1/0/1 e os outros hosts desconhecidos serão bloqueados quando tentarem acessar a rede através das portas 1/0/1-3. Configurando o CenárioPara implementar esse requisito você pode usar o vínculo IPv6-MAC e o IPv6 Source Guard para filtrar os pacotes recebidos de hosts desconhecidos. A configuração geral é como mostrada a baixo:
Para completar essas configurações siga os passos a baixo:
Apêndice: Configuração PadrãoAs configurações padrão de DHCP Snooping estão listadas na tabela a seguir: Configurações DHCP Snooping
As configurações Padrão do ND Detection estão listadas na tabela abaixo: Configurações ND Detection
As configurações Padrão do Protetor de Fonte IPv6 estão listadas na tabela abaixo: Configurações Protetor da Fonte IPv6
DHCP FILTERVisão GeralDurante o processo de funcionamento do DHCP geralmente não há mecanismo de autenticação entre o servidor DHCP e os clientes. Se existirem vários servidores DHCP na rede problemas de segurança e interferência de rede ocorrerão. O DHCP Filter resolve esse problema. Com o filtro DHCP configurado o switch pode verificar se os pacotes DHCP são válidos e descartar os pacotes ilegais. Dessa forma o filtro DHCP garante que o usuário obtenha endereço IP de um servidor DHCP legal aumentando a segurança da rede. Como mostrado na imagem a baixo, há ambos os Servidores DHCP na rede, um legal e um ilegal. Você pode confirmar o servidor DHCP 1 como um servidor legal provendo o endereço IP e número de porta do Servidor DHCP 1. Quando receber os pacotes de resposta DHCP o switch irá encaminhar os pacotes do servidor legal. Você também pode limitar a taxa de encaminhamento de pacotes DHCP para cada porta. Funções SuportadasO Switch suporta filtro DHCPv4 e filtro DHCPv6. DHCPv4 Filter DHCPv4 Filter é utilizado para servidores e clientes IPv4. DHCPv6 Filter DHCPv6 Filter é utilizado para servidores e clientes IPv6. Configuração DHCPv4 FilterPara completar a configuração do DHCPv4 Filter siga os seguintes passos:
Configuração os Parâmetros Básicos do DHCPv4 FilterVá até o menu SEGURANÇA > DHCP Filter > DHCPv4 Filter > Configuração Básica para carregar a página a seguir. Siga os seguintes passos para completar a configuração básica do DHCPv4:
Uma porta pertencente à um LAG (Link Aggregation Group) segue as configurações do LAG e não a sua própria. As configurações da porta só terão efeito quando a porta sair do LAG. Configurando os Servidores Legais DHCPv4.Vá até o menu SEGURANÇA > DHCP Filter > DHCPv4 Filter > DHCPv4 Servers Legais clique em Siga os seguintes passos para adicionar um servidor DHCPv4:
Configuração DHCPv6 FilterPara completar a configuração do DHCPv6 Filter siga os seguintes passos:
Configuração os Parâmetros Básicos do DHCPv6 FilterVá até o menu SEGURANÇA > DHCP Filter > DHCPv6 Filter > Configuração Básica para carregar a página a seguir. Siga os seguintes passos para completar a configuração básica do DHCPv6:
Uma porta pertencente à um LAG (Link Aggregation Group) segue as configurações do LAG e não a sua própria. As configurações da porta só terão efeito quando a porta sair do LAG. Configurando os Servidores Legais DHCPv6.Vá até o menu SEGURANÇA > DHCP Filter > DHCPv6 Filter > Servidor DHCPv6 Legal clique em Siga os seguintes passos para adicionar um servidor DHCPv6:
Exemplo para DHCPv4 FilterRequisitos de RedeComo mostrado a baixo os clientes DHCPv4 obtém endereço IP de um Servidor DHCPv4 legal, e qualquer outro servidor DHCPv4 na rede é tratado como ilegal. Agora o requisito é que somente o servidor legal seja permitido de atribuir endereços IP aos Clientes. Configurando o CenárioPara atingir os requisitos você pode configurar o DHCPv4 Filter para filtrar os pacotes DHCPv4 do servidor ilegal. De modo geral a configuração é como segue:
Como será demonstrado a seguir:
Exemplo para DHCPv6 FilterRequisitos de RedeComo mostrado a baixo os clientes DHCPv6 obtém endereço IP de um Servidor DHCPv6 legal, e qualquer outro servidor DHCPv6 na rede é tratado como ilegal. Agora o requisito é que somente o servidor legal seja permitido de atribuir endereços IP aos Clientes. Configurando o CenárioPara atingir os requisitos você pode configurar o DHCPv6 Filter para filtrar os pacotes DHCPv6 do servidor ilegal. De modo geral a configuração é como segue:
Como será demonstrado a seguir:
Apêndice: Configuração PadrãoConfigurações padrão do DHCP Filter estão listadas nas tabelas abaixo: Configurações DHCPv4 Filter
Configurações DHCPv6 Filter
DOSVisão GeralA função DoS (Denial of Service) provê proteção contra ataques DoS. Ataques DoS ocupam a largura de banda maliciosamente enviando inúmeras requisições de serviço aos hosts. Isso resulta em um serviço anormal ou quebra da rede. Com a função DoS Defend o switch consegue analisar campos específicos dos pacotes IP distinguindo os pacotes maliciosos do ataque DoS e descartando-os diretamente. A função DoS Defend também pode limitar a taxa de transmissão dos pacotes legais. Quando o número de pacotes legais exceder o valor do limite e puder causar uma quebra na rede o switch irá descartar os pacotes. Configuração DoSVá até o menu SEGURANÇA > DoS Defend para carregar a página a seguir. Siga os seguintes passo para configurar DoS Defend:
Apêndice: Configuração PadrãoConfigurações padrão de segurança da rede estão listadas na tabela a baixo: Configurações DoS
MONITOR DO SISTEMAVisão GeralCom a função de Monitor do Sistema você pode:
A utilização da CPU deve sempre estar abaixo de 80%, um uso excessivo pode resultar em um mal funcionamento do switch. Por exemplo, o switch falhou em responder às requisições de gerenciamento (ICMP ping, SNMP Timeouts, sessões Telnet e SSH lentas). Você pode monitorar o sistema para verificar o problema de utilização de CPU. Monitoramento da CPUVá até o menu MANUTENÇÃO > Monitor do Sistema > Monitor de CPU para carregar a seguinte página. Clique em Monitor para habilitar o monitor e mostrar a visualização da taxa de utilização de CPU atualizando a cada 5 segundos. Monitoramento da MemóriaVá até o menu MANUTENÇÃO > Monitor do Sistema > Monitor de Memória para carregar a seguinte página. Clique em Monitor para habilitar o monitor e mostrar a visualização da taxa de utilização de memória atualizando a cada 5 segundos. MONITORANDO TRÁFEGOMonitor de TráfegoCom a função Monitor de tráfego, você pode monitorar as informações de tráfego de cada porta, incluindo o resumo e as estatísticas de tráfego em detalhes. Escolha o menu MANUTENÇÃO > Monitor de Tráfego para carregar a página a seguir. Siga estas etapas para visualizar o resumo do tráfego de cada porta:
Para visualizar as estatísticas de tráfego de uma porta em detalhes, clique em Estatísticas no lado direito da entrada.
Apêndice: Configuração PadrãoConfigurações padrão do monitoramento de tráfego estão listadas na tabela a baixo:
ESPELHAMENTO DE TRÁFEGOEspelhamentoVocê pode analisar o tráfego de rede e solucionar problemas de rede usando o espelhamento. O espelhamento permite que o switch envie uma cópia do tráfego que passa pelas fontes especificadas (portas, LAGs ou CPU) para uma porta de destino. Não afeta a comutação do tráfego de rede nas portas de origem, nos LAGs ou na CPU. Escolha o menu MANUTENÇÃO > Espelhamento para carregar a página seguinte. A página acima exibe uma sessão de espelhamento e nenhuma outra sessão pode ser criada. Clique em Editar para configurar esta sessão de espelhamento na página a seguir. Siga estas etapas para configurar a sessão de espelhamento:
As portas membro de um LAG não podem ser definidas como porta de destino ou porta de origem. Uma porta não pode ser definida como a porta de destino e a porta de origem ao mesmo tempo. Exemplo de ConfiguraçãoRequisitos de RedeComo mostrado abaixo, vários hosts e um analisador de rede estão diretamente conectados ao switch. Para segurança e solução de problemas de rede, o gerente de rede precisa usar o analisador de rede para monitorar os pacotes de dados dos hosts finais. Configurando o CenárioPara implementar esse requisito, você pode usar o recurso Espelhamento para copiar os pacotes das portas 1/0/2-5 para a porta 1/0/1. A visão geral da configuração é a seguinte:
A seção a seguir descreve o procedimento para configuração:
Apêndice: Configuração PadrãoAs configurações padrão do Switch estão listadas na tabela a seguir.
DLDPVisão GeralO DLDP (Protocolo de detecção de link de dispositivo) é um protocolo de camada 2 que permite que os dispositivos conectados através de cabos Ethernet de fibra ou par trançado detectem se existe um link unidirecional. Um link unidirecional ocorre sempre que o tráfego enviado por um dispositivo local é recebido pelo dispositivo de mesmo nível, mas o tráfego do dispositivo de mesmo nível não é recebido pelo dispositivo local. Links unidirecionais podem causar uma variedade de problemas, como loops de topologia de spanning-tree. Depois de detectar um link unidirecional, o DLDP pode desligar a porta relacionada automaticamente ou informar os usuários. Configuração DLDPDiretrizes de configuração
Escolha o menu MANUTENÇÃO> DLDP para carregar a seguinte página. Siga estas etapas para configurar o DLDP:
Apêndice: Configuração PadrãoAs configurações padrão do DLDP estão listadas na tabela a seguir.
SNMP & RMONSNMPVisão GeralO SNMP (Protocolo Simples de Gerenciamento de Rede) é um protocolo padrão de gerenciamento de rede, amplamente utilizado em redes TCP/IP. Facilita o gerenciamento de dispositivos usando o software NMS (Network Management System). Com o SNMP, os gerentes de rede podem visualizar ou modificar as informações do dispositivo de rede e solucionar problemas de acordo com as notificações enviadas por esses dispositivos em tempo hábil. Como mostra a figura a seguir, o sistema SNMP consiste em um gerente SNMP, um agente SNMP e uma MIB (Management Information Base). O gerenciador de SNMP pode fazer parte de um NMS. O agente e o MIB residem no dispositivo gerenciado, como switch, roteador, host ou impressora. Para configurar o SNMP no switch, defina o relacionamento entre o gerente e o agente. Conceitos BásicoOs seguintes conceitos básicos do SNMP serão introduzidos: Gerenciador SNMP, agente SNMP, MIB (Management Information Base), entidade SNMP, mecanismo SNMP e versão SNMP. Gerenciador SNMP O gerenciador SNMP usa o SNMP para monitorar e controlar agentes SNMP, fornecendo uma interface de gerenciamento amigável para o administrador gerenciar dispositivos de rede convenientemente. Ele pode obter valores de objetos MIB de um agente ou armazenar um valor de objeto MIB no agente. Além disso, ele recebe notificações dos agentes para conhecer as condições da rede. Agente SNMP Um agente SNMP é um processo em execução no dispositivo gerenciado. Ele contém objetos MIB cujos valores podem ser solicitados ou alterados pelo gerenciador SNMP. Um agente pode enviar mensagens de interceptação não solicitadas para notificar o gerente SNMP de que ocorreu um evento significativo no agente. MIB Um MIB é uma coleção de objetos gerenciados organizados hierarquicamente. Os objetos definem os atributos do dispositivo gerenciado, incluindo os nomes, status, direitos de acesso e tipos de dados. Cada objeto pode ser endereçado através de um identificador de objeto (OID). Como mostra a figura a seguir, a hierarquia do MIB pode ser descrita como uma árvore com uma raiz sem nome, cujos níveis são atribuídos por diferentes organizações. Os IDs de objeto MIB de nível superior pertencem a organizações de padrões diferentes, enquanto os IDs de objeto de nível inferior são alocados por organizações associadas. Os fornecedores podem definir ramificações particulares que incluem objetos gerenciados para seus próprios produtos. O switch Intelbras suportam os seguintes MIBs públicos:
Entidade SNMP Uma entidade SNMP é um dispositivo executando o protocolo SNMP. O gerente e o agente SNMP são entidades SNMP. Mecanismo SNMP Um mecanismo SNMP faz parte da entidade SNMP. Toda entidade SNMP possui um e apenas um mecanismo. Um mecanismo SNMP fornece serviços para finalizar e receber mensagens, autenticar e criptografar mensagens e controlar o acesso a objetos gerenciados. Um mecanismo SNMP pode ser identificado exclusivamente por um ID de mecanismo em um domínio administrativo. Como existe uma associação individual entre os mecanismos SNMP e as entidades SNMP, também podemos usar o ID do mecanismo para identificar de forma única e inequívoca a entidade SNMP nesse domínio administrativo. Versão SNMP O dispositivo suporta três versões SNMP: SNMPv1, SNMPv2c e SNMPv3. A Tabela a seguir lista os recursos suportados por diferentes versões SNMP.
Cenários de aplicação de diferentes versões.
Configuração SNMPPara concluir a configuração do SNMP, escolha uma versão do SNMP de acordo com os requisitos de rede e a capacidade de suporte do software NMS e siga estas etapas:
Habilitando o SNMPEscolha MANUTENÇÃO > SNMP > Configuração Global para carregar a página a seguir. Siga os seguintes passos para configurar o SNMP globalmente:
O ID do mecanismo deve conter um número par de caracteres. Alterar o valor do ID do mecanismo SNMP tem efeitos colaterais importantes. No SNMPv3, a senha de um usuário é convertida em um resumo de segurança MD5 ou SHA com base na senha e no ID do mecanismo. Se o valor do ID do mecanismo local for alterado, o switch excluirá automaticamente todos os usuários locais do SNMPv3 à medida que seus resumos de segurança se tornarem inválidos. Da mesma forma, todos os usuários remotos do SNMPv3 serão excluídos se o valor do ID do mecanismo remoto for alterado. Criando uma SNMP ViewEscolha MANUTENÇÃO > SNMP > Configuração Global para carregar a página a seguir. O NMS gerencia objetos MIB com base na exibição SNMP. Uma SNMP View é um subconjunto de uma MIB. O sistema fornece uma visualização padrão chamada viewDefault, e você pode criar outras SNMP View de acordo com suas necessidades.
Ciando Comunidades SNMP (SNMP v1/v2c)Escolha MANUTENÇÃO > SNMP > SNMP v1/v2c e clique em
Criando um Grupo SNMPv3Crie um grupo SNMP e configure parâmetros relacionados. Escolha MANUTENÇÃO > SNMP > SNMP v3 > Grupo SNMP e clique em Siga estas etapas para criar um grupo SNMP:
Criando um Usuário SNMPv3Escolha MANUTENÇÃO > SNMP > SNMP v3 > Usuário SNMP e clique em Siga estas etapas para criar um usuário SNMP:
Configuração de NotificaçõesCom a Notificação ativada, o switch pode enviar notificações ao NMS sobre eventos importantes relacionados à operação do dispositivo. Isso facilita o monitoramento e o gerenciamento do NMS. Para configurar a notificação SNMP, siga estas etapas:
Diretrizes de configuração Para garantir a comunicação entre o switch e o NMS, verifique se o switch e o NMS conseguem se conectar. Configurando a Informação dos Hosts NMSEscolha MANUTENÇÃO > SNMP > Notificação > Configuração de Notificação e clique em Siga estas etapas para adicionar um host NMS:
Habilitando SNMP TrapsEscolha o menu MANUTENÇÃO > SNMP > Notificação > Configuração de Trap para carregar a página a seguir. As traps suportadas estão listadas na página. Siga estas etapas para ativar um ou todos esses traps:
RMONO RMON (Monitoramento Remoto de Rede), juntamente com o sistema SNMP, permite ao gerente da rede monitorar dispositivos de rede remota com eficiência. O RMON reduz o fluxo de tráfego entre o NMS e os dispositivos gerenciados, o que é conveniente para o gerenciamento em grandes redes. O RMON inclui duas partes: o NMS e os agentes em execução em todos os dispositivos de rede. O NMS geralmente é um host que executa o software de gerenciamento para gerenciar agentes de dispositivos de rede. E o agente geralmente é um switch ou roteador que coleta estatísticas de tráfego (como o total de pacotes em um segmento de rede durante um determinado período de tempo ou o total de pacotes corretos enviados a um host). Com base no protocolo SNMP, o NMS coleta dados de rede através da comunicação com agentes. No entanto, o NMS não pode obter todos os dados do RMON MIB devido aos recursos limitados do dispositivo. Geralmente, o NMS pode obter apenas informações dos quatro grupos a seguir: Estatísticas, Histórico, Evento e Alarme.
Configuração RMONCom as configurações do RMON, você pode:
Diretrizes de configuração Para garantir que o NMS receba notificações normalmente, conclua as configurações do SNMP e do SNMP Notification antes das configurações do RMON. Configurando Grupo de EstatísticasEscolha o menu MANUTENÇÃO > SNMP > RMON > Estatísticas e clique em Siga estas etapas para configurar o grupo Estatísticas:
Configurando Grupo HistóricoEscolha o menu MANUTENÇÃO > SNMP > RMON > Histórico para carregar a seguinte página. Siga estas etapas para configurar o grupo Histórico:
Para alterar os parâmetros de uma entrada do histórico, ative a entrada ao mesmo tempo, caso contrário, a alteração não poderá entrar em vigor. Configurando Grupo de EventoEscolha o menu MANUTENÇÃO > SNMP > RMON > Evento para carregar a seguinte página. Siga estas etapas para configurar o grupo Evento:
Configurando Grupo de AlarmeAntes de começar, conclua as configurações das entradas Estatísticas e entradas de Eventos, porque as entradas de Alarme devem estar associadas às entradas de Estatísticas e Eventos. Escolha o menu MANUTENÇÃO > SNMP > RMON > Alarme para carregar a seguinte página. Siga estas etapas para configurar o grupo Alarme:
Exemplo de ConfiguraçãoRequisitos de RedeA figura a seguir mostra a topologia de rede de uma empresa. A empresa possui os seguintes requisitos:
O host NMS com endereço IP 192.168.1.222 está conectado ao switch principal, o Switch B. O switch A está conectado ao switch B pela porta 1/0/3. E a porta 1/0/3 e o NMS podem se conectar. Configurando o Cenário
Configurando o limite de taxa nas portas Configure o limite de taxa nas portas necessárias. Para configuração detalhada, consulte Configuração de QoS. Configurando o SNMP
Configurando o RMON
Apêndice: Configuração PadrãoAs configurações padrão do SNMP estão listadas nas tabelas a seguir. Configrações SNMP
Configurações da tabela de exibição SNMP padrão
Configurações padrão do SNMP v1/v2c
Configurações padrão do SNMP v3
As configurações padrão da notificação estão listadas na tabela a seguir. Configrações Notificação
As configurações padrão do RMON estão listadas nas tabelas a seguir. Configrações RMON
Configurações padrão para entradas do histórico.
Configurações padrão para entradas de eventos.
Configurações padrão para entradas de alarme.
DIAGNÓSTICO DE DISPOSITIVO E REDEDiagnóstico de DispositivoA função de diagnóstico de dispositivo disponibiliza teste de cabo, o qual permite a verificação de problemas baseado no estado da conexão, comprimento do cabo e local da falha. Vá até o menu MANUTENÇÃO > Diagnóstico de Dispositivo para carregar a página a seguir. Siga os seguintes passos para diagnosticar o cabo:
Diagnóstico de RedeA função de diagnóstico de rede disponibiliza testes de Ping e Tracert. Você pode testar a conectividade de hosts remotos ou de gateways através do switch para o destino. Com o Diagnóstico de Rede você pode:
Verificar erros com o teste de PingVocê pode utilizar a ferramenta de Ping par testar a conectividade de hosts remotos. Vá até o menu MANUTENÇÃO > Diagnóstico de Rede > Ping para carregar a página a seguir. Siga os seguintes passos para testar a conectividade entre o switch e um dispositivo na rede:
Verificar erros com o teste de TracertVocê pode utilizar a ferramenta de Tracert para encontrar o caminho do switch até o destino e testar a conectividade entre o switch e os roteadores ao longo do caminho. Vá até o menu MANUTENÇÃO > Diagnóstico de Rede > Tracert para carregar a página a seguir. Siga os seguintes passo para testar a conectividade entre o switch e os roteadores ao longo do caminho entre a origem e o destino:
Apêndice: Configuração PadrãoAs configurações padrão para o Diagnóstico de Rede estão listados nas tabelas a seguir. Configurações Padrão de Ping.
Configurações Padrão de tracert.
CONFIGURANDO LOGS DO SISTEMAVisão GeralO switch gera mensagens em resposta a eventos, falhas ou erros ocorridos, bem como mudanças em configurações ou outras ocorrências. Você pode verificar mensagens do sistema para debugging e gerenciamento de rede. Os logs do sistema podem ser salvos em vários destinos, como buffer de log, arquivo de log ou servidores de log remotos, dependendo da sua configuração. Logs salvos como buffer e arquivo de log são chamados logs locais, e logs salvos em servidores remotos são chamados logs remotos. Logs remotos facilitam você monitorar remotamente o estado corrente da rede. Você pode configurar vários níveis de mensagens de log para controlar o tipo de mensagens de logs que serão salvos em cada destino. Configurações dos Logs do SistemaAs configurações dos logs do sistema incluem:
Os Logs são classificados nos 8 níveis seguintes. Mensagens de níveis entre 0 e 4 representam que a funcionalidade do switch foi afetada. Tome ações de acordo com as mensagens de log.
Configurando Logs LocaisVá até o menu MANUTENÇÃO > Logs > Logs Locais para carregar a página a seguir. Siga os seguintes passos para configurar os logs locais:
Configurando Logs RemotosVocê pode configurar até quatro hosts para recebem os logs do sistema do switch. Esses hosts são chamados Servidores de Log. O switch irá encaminhar mensagens de Log para os servidores uma vez que uma mensagem de log é gerada. Para mostrar os logs, os servidores devem rodar softwares de servidor de log para compilar os padrões de log do sistema. Vá até o menu MANUTENÇÃO > Logs > Logs Remotos para carregar a página a seguir. Siga os seguintes passo para configurar as informações dos servidores de log remoto:
Backup dos LogsVá até o menu MANUTENÇÃO > Logs > Backup dos Logs para carregar a seguinte página. Clique em Backup Logs para salvar os logs do sistema como arquivo em seu computador. Se o switch apresentar falhas, você poderá usar este arquivo para solucionar problemas. Visualizando a Tabela de LogsVá até o menu MANUTENÇÃO > Logs > Tabela de Log para carregar a seguinte página. Selecione o Módulo e o Nível para visualizar a informação de log correspondente.
Exemplo de ConfiguraçãoRequisitos de RedeO gerente de rede de uma companhia necessita monitorar a rede do departamento A para correção de problemas. Configurando o CenárioO gerente de rede pode configurar o PC como servidor de log para receber os logs do sistema do switch. Garanta que o computador e o switch estejam visíveis um para o outro; configure um servidor de log que compile o padrão do log do sistema no computador e configure o computador como servidor de Log.
Apêndice: Configuração PadrãoAs configurações padrão para manutenção estão listados nas tabelas a seguir. Configurações Padrão Log local.
Configurações Padrão Log Remoto.
Termo de garantiaPara a sua comodidade, preencha os dados abaixo, pois, somente com a apresentação deste em conjunto com a nota fiscal de compra do produto, você poderá utilizar os benefícios que lhe são assegurados. Nome do cliente: Assinatura do cliente: Nº da nota fiscal: Data da compra: Modelo: Nº de série: Revendedor: Fica expresso que esta garantia contratual é conferida mediante as seguintes condições: 1. Todas as partes, peças e componentes do produto são garantidos contra eventuais defeitos de fabricação, que porventura venham a apresentar, pelo prazo de 1 (um) ano – sendo 3 (três) meses de garantia legal e 9 (nove) meses de garantia contratual –, contado a partir da data de entrega do produto ao Senhor Consumidor, conforme consta na nota fiscal de compra do produto, que é parte integrante deste Termo em todo o território nacional. Esta garantia contratual compreende a troca gratuita de partes, peças e componentes que apresentarem defeito de fabricação, incluindo a mão de obra utilizada nesse reparo. Caso não seja constatado defeito de fabricação, e sim defeito(s) proveniente(s) de uso inadequado, o Senhor Consumidor arcará com essas despesas. 2. A instalação do produto deve ser feita de acordo com o Manual do Produto e/ou Guia de Instalação. Caso seu produto necessite a instalação e configuração por um técnico capacitado, procure um profissional idôneo e especializado, sendo que os custos desses serviços não estão inclusos no valor do produto. 3. Na eventualidade de o Senhor Consumidor solicitar atendimento domiciliar, deverá encaminhar-se ao Serviço Autorizado mais próximo para consulta da taxa de visita técnica. Caso seja constatada a necessidade da retirada do produto, as despesas decorrentes de transporte e segurança de ida e volta do produto ficam sob a responsabilidade do Senhor Consumidor. 4. Na eventualidade de o Senhor Consumidor solicitar atendimento domiciliar, deverá encaminhar-se ao Serviço Autorizado mais próximo para consulta da taxa de visita técnica. Caso seja constatada a necessidade da retirada do produto, as despesas decorrentes, como as de transporte e segurança de ida e volta do produto, ficam sob a responsabilidade do Senhor Consumidor. 5. A garantia perderá totalmente sua validade na ocorrência de quaisquer das hipóteses a seguir: a) se o vício não for de fabricação, mas sim causado pelo Senhor Consumidor ou por terceiros estranhos ao fabricante; b) se os danos ao produto forem oriundos de acidentes, sinistros, agentes da natureza (raios, inundações, desabamentos, etc.), umidade, tensão na rede elétrica (sobretensão provocada por acidentes ou flutuações excessivas na rede), instalação/uso em desacordo com o manual do usuário ou decorrentes do desgaste natural das partes, peças e componentes; c) se o produto tiver sofrido influência de natureza química, eletromagnética, elétrica ou animal (insetos, etc.); d) se o número de série do produto tiver sido adulterado ou rasurado; e) se o aparelho tiver sido violado. 6. Esta garantia não cobre perda de dados, portanto, recomenda-se, se for o caso do produto, que o Consumidor faça uma cópia de segurança regularmente dos dados que constam no produto. 7. A Intelbras não se responsabiliza pela instalação deste produto, e também por eventuais tentativas de fraudes e/ou sabotagens em seus produtos. Mantenha as atualizações do software e aplicativos utilizados em dia, se for o caso, assim como as proteções de rede necessárias para proteção contra invasões (hackers). O equipamento é garantido contra vícios dentro das suas condições normais de uso, sendo importante que se tenha ciência de que, por ser um equipamento eletrônico, não está livre de fraudes e burlas que possam interferir no seu correto funcionamento. A garantia contratual deste termo é complementar à legal, portanto, a Intelbras S/A reserva-se o direito de alterar as características gerais, técnicas e estéticas de seus produtos sem aviso prévio. Sendo estas as condições deste Termo de Garantia complementar, a Intelbras S/A se reserva o direito de alterar as características gerais, técnicas e estéticas de seus produtos sem aviso prévio. Todas as imagens deste manual são ilustrativas. Qual é a primeira ação na sequência de inicialização quando um interruptor é ligado?Alternar sequência de inicialização
Etapa 1: Primeiro, o switch carrega um programa de autoteste de inicialização (POST) armazenado na ROM. O POST verifica o subsistema da CPU. Ele testa a CPU, DRAM e a parte do dispositivo flash que compõe o sistema de arquivos flash.
Como ligar um switch?Complete os seguintes passos. Abra a tampa atrás da base do Nintendo Switch. ... . Conecte o plugue USB do adaptador AC do Nintendo Switch (modelo No. ... . Conecte uma das pontas do cabo HDMI ao terminal inferior da base, identificado por "HDMI OUT", depois conecte a outra ponta a uma entrada HDMI na sua televisão ou monitor.. Como configurar um roteador ligado a um switch?Digite o endereço de IP do roteador-switch no seu navegador para acessar as configurações. O IP padrão dos roteadores geralmente é 192.168.1.1. Você será levado para uma página de login. Faça o login no roteador-switch na página de configuração.
Como configurar um switch?8 etapas para configurar um Switch Cisco. Etapa 1: Inspecione o hardware.. Etapa 2: Configure o IP de gerenciamento.. Etapa 3: Verifique o número de revisão do VTP.. Etapa 4: Configure as portas de acesso.. Etapa 5: Configure as portas de tronco.. Etapa 6: Configure as portas de acesso.. Etapa 7: Defina a configuração da linha VTY.. |