Redes na Web

  • vgsm@redesnaweb.com
Facebook Instagram Twitter Youtube Telegram
Menu

vlan

O que é CDP e LLDP?

Por

Na camada de enlace (camada 2) da pilha de protocolo TCP/IP existem 2 protocolos que nos ajudam na visibilidade e administração eficiente dos dispositivos diretametne conectados. Dessa forma, surgem protocolos como o CDP (Cisco Discovery Protocol) e o LLDP (Link Layer Discovery Protocol), que operam na camada de enlace  e são utilizados para descoberta de dispositivos vizinhos. Ambos desempenham um papel essencial na identificação dos equipamentos interconectados, permitindo que administradores de rede mapeiem topologias com precisão e diagnostiquem problemas com mais eficiência. Veremos as vantagens e as diferenças entre o CDP e o LLDP, destacando suas aplicações práticas no ambiente de rede. CDP – Cisco Discovery Protocol O CDP é um protocolo proprietário desenvolvido pela Cisco Systems. Ele permite que dispositivos da Cisco, como switches, roteadores e telefones IP, descubram informações sobre outros dispositivos Cisco diretamente conectados. O CDP envia periodicamente mensagens que contêm informações úteis, como: Identificação do dispositivo (hostname) Endereço IP Porta local utilizada Plataforma do dispositivo Versão do sistema operacional Capacidades do dispositivo (por exemplo, se é um roteador ou switch) VLAN da porta Essas mensagens são enviadas usando tramas Ethernet com o Ethertype 0x2000, e o protocolo é ativado por padrão na maioria dos dispositivos Cisco. A comunicação ocorre somente entre dispositivos diretamente conectados (sem roteamento). Vantagens do CDP Integração com dispositivos Cisco: Por ser proprietário, o CDP possui suporte profundo e nativo em praticamente todos os equipamentos Cisco, com grande riqueza de detalhes sobre os dispositivos vizinhos. Facilidade de diagnóstico: Ajuda administradores de rede a diagnosticar problemas de conectividade, como erros de configuração de porta ou cabos incorretos, através de comandos como show cdp neighbors. Gerenciamento centralizado: Quando combinado com ferramentas de gerenciamento Cisco, como o Cisco Prime, o CDP contribui para a visibilidade da topologia da rede. Baixo consumo de recursos: O protocolo é leve, com sobrecarga mínima na largura de banda e nos recursos do dispositivo. LLDP – Link Layer Discovery Protocol O LLDP é um protocolo padrão aberto definido pela IEEE 802.1AB, projetado para funcionar de maneira semelhante ao CDP, porém com interoperabilidade entre diferentes fabricantes. Isso o torna uma alternativa ideal em ambientes de rede heterogêneos, onde há equipamentos de marcas diversas, como Cisco, HP, Juniper, Dell, Huawei, entre outros. Assim como o CDP, o LLDP envia informações de descoberta através da rede usando tramas Ethernet, mas com Ethertype 0x88cc. As mensagens LLDP são chamadas de LLDPDUs (LLDP Data Units), e são enviadas por padrão a cada 30 segundos. As informações transmitidas por uma LLDPDU incluem Nome do sistema Porta local Descrição da porta Capacidade do sistema Informações de VLAN Endereço IP Dados adicionais com extensões, como LLDP-MED (para dispositivos de voz) Vantagens do LLDP Padrão aberto : A principal vantagem do LLDP é sua compatibilidade com equipamentos de diferentes fabricantes, o que o torna essencial em redes mistas. Suporte a extensões: O LLDP é extensível, podendo incluir funcionalidades adicionais como LLDP-MED (Media Endpoint Discovery), utilizado em telefonia IP para informar localização, política de QoS e VLAN de voz. Diagnóstico e visibilidade: Assim como o CDP, o LLDP facilita o mapeamento da topologia da rede e ajuda a identificar problemas rapidamente, por meio de comandos como show lldp neighbors. Configuração e controle granular: O LLDP permite controlar quais informações são enviadas ou recebidas, podendo ser configurado para funcionar somente em interfaces específicas. Diferenças entre CDP e LLDP Embora o CDP e o LLDP tenham propósitos semelhantes e operem de maneira quase idêntica, existem diferenças importantes entre os dois protocolos: Característica CDP LLDP Desenvolvedor Cisco Systems IEEE (padrão aberto 802.1AB) Proprietário Sim Não Compatibilidade Apenas com dispositivos Cisco Multivendor (Cisco, HP, Juniper, etc.) Extensões suportadas Limitado LLDP-MED, DCBX, entre outras Intervalo padrão 60 segundos 30 segundos Ativado por padrão Sim (em dispositivos Cisco) Depende do fabricante/configuração Formato das mensagens Simples e direto Baseado em TLVs (Type-Length-Value) Diagnóstico de rede Muito bom em redes Cisco Ideal em redes mistas Considerações Práticas A escolha entre CDP e LLDP depende amplamente do ambiente de rede onde serão utilizados: Redes com infraestrutura exclusivamente Cisco: O CDP é uma escolha natural. Sua integração nativa com dispositivos Cisco oferece funcionalidades completas e de fácil configuração. Redes heterogêneas (com vários fabricantes): O LLDP é altamente recomendado. Sua compatibilidade universal garante que dispositivos de diferentes marcas consigam trocar informações de forma padronizada. Telefonia IP e dispositivos VoIP: O LLDP com a extensão LLDP-MED oferece recursos adicionais essenciais para a configuração automática de telefones IP, como VLAN de voz, localização do dispositivo e políticas de QoS. Segurança e controle: Ambos os protocolos podem representar riscos de segurança se habilitados em portas desnecessárias ou acessíveis a dispositivos não confiáveis. Por isso, é importante limitar o uso do CDP ou LLDP às interfaces onde eles realmente são necessários, e utilizar listas de controle ou filtros para proteger a infraestrutura de possíveis ataques de spoofing ou coleta de informações indevida. Considerações Práticas O CDP e o LLDP são ferramentas poderosas no arsenal dos administradores de rede. Eles simplificam o gerenciamento de topologias, permitem uma melhor compreensão da infraestrutura física e contribuem para a resolução rápida de problemas. O CDP, sendo proprietário da Cisco, é extremamente eficiente em ambientes homogêneos com equipamentos Cisco. Já o LLDP, por ser um padrão aberto, é indispensável em redes modernas que utilizam dispositivos de múltiplos fornecedores, especialmente quando se busca interoperabilidade, escalabilidade e suporte a recursos avançados como LLDP-MED. Em resumo, a escolha entre CDP e LLDP deve levar em conta a compatibilidade dos dispositivos da rede, os requisitos de descoberta, a interoperabilidade necessária e as políticas de segurança da organização. Em muitos casos, ambos os protocolos podem coexistir, desde que configurados adequadamente, proporcionando o melhor dos dois mundos: visibilidade, controle e flexibilidade. Espero que tenha curtido o texto, foi uma forma simples de explicar para quem não conhece sobre o protocolo. Tamo junto e é só o começo Whatsapp X-twitter Youtube Instagram Linkedin Telegram

Diferença entre Interface Vlan No Firewall e Switch

Por

Salve rapazeada, primeiro artigo de 2025 saindo, tirando toda a preguiça das costas.  O papo de hoje é sobre as diferenças de uma interface VLAN no Firewall e no Switch) . Se você não sabe o que é uma interface vlan, para de ler esse artigo, clica no meu aritgo de vlan link .  Depois você volta pra cá. Em 99% dos casos a interface vlan é utilizada como gateway de alguma vlan do seu ambiente.  Como assim? não entendi.  Pensa assim: em qualquer empresa que tenha o mínimo de organização na área de TI, o ambiente é segmentado.   Existe rede para impressora, telefone(voip), dados, gerência dos dispositivos, Wifi de visitantes, Wifi corporativo, e por aí vai.  Para que essas vlans se comuniquem é necessário fazer o roteamento. Vantagens de uma Interface Vlan no Firewall Podemos usar funções como webfilter, IPS, bloqueios mais personalizados.  Podemos fazer bloqueios ou liberações por grupos do AD.  Podemos criar uma regra específica para essa   Desantagens de uma Interface Vlan no Firewall Você terá que criar vlans em todos os switches até chegar no firewall, se esquecer em algum no meio do caminho, não irá conseguir alcançar o gateway, automaticamente não irá fazer o roteamento.  Terá que passar a VLAN nas interfaces trunks de todos os switches Muitas Regras no Firewall, dificultando a visão da equipe de TI. Vantagens de uma Interface Vlan no Switch A configuração das interfaces vlans responde mais rápido, pois o switch já conhece o ID da VLAN. Se essa vlan for excluída, automaticamente a interface vlan fica em shutdown(desligado). Se o switch tiver redundância, podes usar o protocolo VRRP tranqilamente que funciona bem, eu tenho essa impressão que o HA no switch funciona bem melhor que no firewall. O switch já conhece o arp dos dispositivos de cada vlan que ele tem alcançe. Mac-Address Stick: Em switch de fabricante que presta (Cisco, Juniper, Dell, Huawei, Aruba”nem tanto o ..kkkkk” ). Essa função faz que o switch aprenda o endereço mac do dispositivo que vc conectou na porta” exemplo computador”, se eu tirar esse computador dessa porta e colocar um relógio de ponto, o switch não identifica o relógio e informa que a interface está em shutdown.   Para corrigir isso é necessário vc ativar e desativar a interface, é uma boa função de segurança para os switches.  Desvantagens de uma Interface Vlan no Switch Gerenciamento por ACL: Já atuei em clientes que pra liberar o ping  de uma rede para outra é necessário criar uma ACL, e o ambiente do cliente vai aumentando, fica aquela tela preta cheia de acl pra você manipular. Uma situação que precisa de muita atenção sua. Exemplo abaixo Switch não foi feito pra fazer roteamento: Por padrão, o switch foi feito para atuar somente em camada 2 do TCP/IP. Com o avanço tecnológico ele ganhou várias funções, porém não é a sua principal função ser o dispositivo principal de roteamento do seu ambiente. Isso é função de um roteador ou firewall. Inteface gráfica não é um ponto forte em switches. Se vc quer configurar algo no switch, aconselho a ser via CLI, interface gráfica de switch não é nada prática, trava pra caramba e você demora mais tempo para realizar a sua atividade.  Ta blz Glauco, mas e aí,qual é a melhor opção? Depende, qual o tipo de serviço vai ser utilizado nessa vlan? É só impressão? Tráfego de internet? Relógio de ponto? Câmeras CFTV? Algum serviço muito crítico que não possa parar?  Vc precisa analisar e tomar a decisão, caso tenha dificuldade, me contrata que eu te mostro a melhor solução pro seu ambiente. Email: vgsm@redesnaweb.com  Tamo junto rapazeada, fiquem com Deus e até a próxima  Whatsapp X-twitter Youtube Instagram Linkedin Telegram

Como funciona o Spanning Tree Protocol?

Por

STP – Spanning Tree Protocol  O protocolo Spanning Tree Protocol (STP) é uma protocolo usada em redes de computadores(camada 2) para evitar loops, que são ciclos infinitos de tráfego que podem sobrecarregar a rede, bloqueio e  problemas nas portas. Vou te explicar isso de uma forma simples:  Imagine que tu tens que fazer uma viagem de carro de São Paulo para o Rio de Janeiro. O caminho mais curto (Root Port) vai demorar um pouco mais de 5 horas. Conforme a imagem abaixo.   Porém, antes de pegar a estrada, tu ficaste sabendo, pelo noticiário (BPDU) que houve um problema na estrada do Rio de Janeiro, e agora terá que pegar o caminho mais longo, passando por Minas Gerais. Assim, a viagem vai ficar mais demorada, entretanto, nós iremos conseguir chegar ao destino. Abaixo está o novo trajeto o STP (Spanning Three) surgiu com o intuíto de evitar loops em cada de enlace”Camada 2″ e  levar o tráfego de origem até switch raiz(switch root) no menor caminho. Os switches se comunicam trocando mensagens de BPDU (Bridge Protocol Data Unit). Assim, caso ocorra alguma modificação na topologia, ele consegue montar o caminho mais curto até o switch raiz(switch root). Tipos de portas do STP Edge Port São as portas conectadas somente as hosts em camada 2 (L 2). Esse tipo de porta não realiza modificação no protocolo, por isso habilitados o (PORTFAST).  As interfaces INT 0/1 e INT 0/2 são modo EDGE Root Port São as portas com o melhor caminho para chegar ao ROOT BRIDGE ou conectando a outro switch de acesso Cada switch tem uma ROOT Port. A INT0/24 é a root port Designated Port A porta recebe os frames e encaminha para os switches abaixo na árvore da topologia. Exemplo na figura abaixo Eleição de um Switch Root O protocolo faz a eleição de um switch root no ambiente, ou seja, todas as requisições de frames que o seu switch não conheça, serão enviadas até ele. No switch root(raiz) não tem nenhuma porta bloqueada. Todas são root port Existem duas formas de ser elegar um switch raiz. 1 – De forma automática: Menor MAC Address Quando os switches do seu ambiente são ligados eles trocam BPDUs. Nessa troca cada switch informa a sua priridade. Por padrão, a prioridade 32768. Se tu não configurar a prioridade, os switches que receberem quadros BPDUs de outros Switches e irão verificar qual deles possui o menor Mac Address. Após elegerem o switch root, irão parar de enviar BPDU, caso ingresse outro switch no seu ambiente, irá ocorrer novamente o mesmo processo. Essa eleição de forma automática  não é a uma boa prática utilizada no mercado, pois um switch de acesso por ser eleito como root. Se isso ocorrer, portas indevidas podem ser bloquadas e prejudicando o tráfego no seu ambiente. 2 – Configurar a prioridade mais baixa no Switch Core da Rede Configuramos a prioridade zero para todas as vlans no protoclo Spanning Three(STP) no switch core. Assim, todos os switches que entraram na rede vão receber BPDU informando a prioridade mais baixa, assim orientamos o STP e não haverá mudanças na sua topologia quando inserir um novo switch. Essa é a uma boa prática utilizada no mercado, porque o switch core é eleito como root. Fundamentos do STP Estatus da Porta (Port States) DISABLE: Porta está desabilitada manualmente(shutdown) BLOCKING: A porta está habilitada, porém não está passando nenhum tráfego nela, o protocolo bloqueou a porta para evitar loop. LISTENING: A porta teve uma mudança de status, saiu do modo blocking, podendo enviar e receber BPDU. LEARNING:A porta recebeu um novo tráfego BDPU e modificou a sua tabela mac address. Esse status não encaminha nenhuma rede, apenas aprende. FORWARDING: A porta está encaminhando o tráfego de rede. BROKEN: O switch detectou um problema, é necessário investigar se é cabeamento ou configuração. Versões do Spanning Three Conforme a evlução tecnológica, o protocolo foi recebendo melhorias e adicionando características no seu ambiente. Porém, os conceitos se mantém para todas as versões. É igual andar de bicicleta, depois que tu aprende, é raro esquecer, porém tem bicicletas com freio a disco, muitas marchas, de fibra de carbono e outras melhorias, mas a sua principal função é ser um veículo prático.  Todas as informações citadas são referentes a primeira versão lancaça em 1990 (IEEE 802.1D).  Abaixo tem a tabela com as outras versões que irei explicar em outros artigos, não quero deixar essa muito longo, senão tu vai embora do meu site e eu perco grana.   Espero que tenha curtido o texto, foi uma forma simples de explicar para quem não conhece sobre o protocolo. Tamo junto e é só o começo Whatsapp X-twitter Youtube Instagram Linkedin Telegram

O que é um NAC ?

Por

Dentro do grande ramo de redes de computadores existem alguns setores específicos de atuação (NAC,WAF, Roteamento e Switching, Wireless, Firewall, IPS). E hoje iremos falar de uma área que está em grande expansão, porém não tão conhecida, é o NAC. NAC (Network Access Control) é a ferramenta responsável por autenticar todas as requisições de acesso à rede, seja ela de forma cabeada ou pela rede sem fio. Explica essa porra direito glauco ! Vou te dar um exemplo que você vai entender! Como um ladrão pode entrar em uma casa para roubar? Ele pode entrar pela porta da sala, da cozinha, pela janela, pelo telhado, dentro do carro,  ou seja, existem várias formas do vagabundo querer roubar o que você conquistou com tanto suor! O criminoso digital vai dar um jeito de querer entrar na tua rede por diversos lugares ( Bluetooth, Rede sem fio, rede cabeada, pendrive, Link malicioso, ou seja, você tem que se defender por todas as vias de acesso aos seus dados. Se a sua empresa tiver o mínimo estrutura de cibersegurança, ela é segmentada por VLANS: (Impressoras, Servidores, Rede Corporativa, Rede Visitantes).  Não sabe o que é VLAN? Clica no LINK. Aí o teu chefe chega com algum cliente para visitar a empresa, é lógico que esse cliente vai querer acessar o whatsapp, instagram, email, ou seja, o cara só quer internet. O Visitante vai pegar o seu notebook e seu celular e conectar na rede sem fio de visitantes, ele irá preencher algum cadastro  e automaticamente é adicionado em uma rede separada do seu ambiente de produção, deixando o visitante apenas com acesso a internet. Entendi, mas se o cara quiser acessar a minha rede corporativa, como o NAC vai atuar? No NAC é criado uma regra informando que os dispositivos que irão acessar a CORPORATIVA ,seja por cabo ou por via wirelless, deve cumprir todas as regras listadas abaixo: 1 ª Computador Windows adicionado no dominio da empresa XPTO.com 2ª Computador com o antivírus corporativo instalado e atualizado 3ª Usuário de Acesso autenticado pelo Active Directory da Rede. O NAC checa todas as 3 regras acima, e se todas forem verdadeiras, ele libera o seu acesso à rede corporativa. Outro exemplo de Atuação do NAC Você trabalha num local onde é necessário instalar 1000 impressoras, no mesmo modelo EPSON, em diversas sedes da empresa pelo Brasil, aí o teu chefe de TI fala : (Glauco, vamos manter o padrão e em todas as localidades, a VLAN específica para impressora será a VLAN 150 configurada nos switches). No NAC é realizado o cadastro dos SWITCHES para que eles recebam ordens do servidor. Quando você pegar o cabo de rede , conectar uma ponta na impressora e a outra ponta na em qualquer porta do switch, o switch vai perceber que a solicitação de acesso é de uma impressora do fabricante EPSON , e automaticamente , vai fazer a mudança de adicionar a VLAN 150 nessa porta. Dessa maneira você tem uma automatização de atividades rotineiras e um controle maior do que entra e sai na sua rede, consequentemente elevando o nível de controle e segurança do seu ambiente.

O que é um assessment ?

Por

Em qualquer ramo da sua vida é necessário você fazer uma análise ( saúde, profissional, amorosa, familiar, espiritual e etc) e ao realizar essa análise, você percebe que há pontos que podem ser melhorados. Exemplo: quando um adulto faz uma bateria de exames de rotina, ele pega o resultado e leva ao médico para analisar e saber se está tudo bem ou se é necessário ter alguma mudança no seu estilo de vida. Desta maneira, no ambiente computacional tem essa mesma idéia. Onde um profissional qualificado irá realizar uma análise de todo o seu ambiente (firewall, switch, access point, nac,waf, virtualização ) e no final será apresentado um relatório com as melhorias que possam ser aplicadas. Para a realização do assessment é necessário apenas um usuário de leitura, pois quem vai fazer a análise não irá modificar nada no ambiente. Exemplos de Assemment de Firewall: Existem várias VLANS configuradas no firewall.10 – Impressoras11 – LAN12 – WIFI Coorporativo13 – WIFI Visitantes14 – Servidores15 – Relógio de Ponto Em uma das regras do firewall mostra que há comunicação da rede WIFI Visitantes(13) com a rede Servidores(14). Sendo que o objetivo da rede WIFI Visitantes(13) é separar o tráfego para que não haja interação com os servidores da rede. Desta forma, no relatório será descrito para excluir a regra, pois não é necessário uma pessoa conectada na rede WIFI Visitantes(13) ter acesso aos servidores. É importante que a pessoa que vai realizar o assessment não conheça nada do ambiente, receba, no máximo,  uma planta com a topologia e física e lógica.  No ramo da tecnologia é importantíssimo a realização do assessment, para previnir vulnerabilidades e propor melhorias para o seu ambiente tecnologico. Escrito por Van Glauco

O que é uma VLAN ? Como Funciona?

Por

VLAN é um acrônimo de (Virtual Local Area Network), em português, Rede de área local virtual.  O objetivo da VLAN é separar o tráfego logicamente dentro de um mesmo switch. Presta atenção no exemplo Imagine que você esteja na rua mais movimentada da sua cidade, nesta rua há muita movimentação, nela passam carros, motos, ônibus, ciclistas e pedestres. Pela sinalização da rua, todos os caminhões só podem andar pela direta, os carros e motos pelas vias da esquerda, os ciclistas na ciclovia e os pedestres na calçada. No mundo de redes é a mesma ideia, é segmentar/dividir o tráfego das informações para que ninguém interfira no outro, cada tipo de equipamento ter a sua própria rede. A boa prática do mercado é criar uma VLAN para cada equipamento: Impressoras Câmeras CFTV Hosts (computadores e notebooks da rede) Servidores Gerência (Cria uma interface loopback para gerência o dispositivo remotamente) WIFI – Corporativo WIFI – Visitantes Relógio de Ponto De acordo com o tamanho da tua rede os administradores vão criando as VLANS. Outra boa prática de mercado é colocar um nome na VLAN. Exemplo: VLAN 10 – HOSTS VLAN 20 – IMPRESSORAS VLAN30 – SERVIDORES Pulo do Gato: Um brother meu chamado Ubiratan me disse sábias palavras, antes de tirar o switch da caixa, devemos abrir uma planilha do Excel e documentar todas as VLANS que serão configuradas no switch. Independente do fabricante você pode e deve colocar o nome na VLAN, isso ajuda muito na hora de realizar a manutenção do ambiente. Show de bola, parabéns. Você se sentou, configurou todas as VLANS no switch, o segundo passo é associar as interfaces em cada VLAN. Por padrão, todos os switches vêm com uma única VLAN configurada, VLAN 1, e essa VLAN está associada em todas as interfaces do switch. Pega esse exemplo; em um switch de 48 interfaces, o analista de TI dividiu assim: Interface de 1 até 10 são ligadas somente em IMPRESSORAS; Interface 11 até 40 estão conectadas os Hosts (Computadores); Interface 41 e 42 estão conectadas os Servidores Sobraram 6 interfaces, caso elas não forem ser utilizadas no momento, é recomendado deixá-las desabilitadas manualmente. Após a realização desses procedimentos, faça os testes, tente pingar de um computador para o endereço IP de uma impressora, conforme o exemplo do texto, tenho certeza de que não vai funcionar. A empresa cresceu, foram contratados mais 40 funcionários, essa expansão será realizada para o segundo andar do prédio. É necessário instalar de mais 1 Switch de 48 interfaces, a configuração será baseada na mesma do switch anterior. Geralmente, a comunicação entre os switchs do primeiro com o do segundo andar é realizada por uma fibra óptica, mas existem cenários que é utilizado o cabo UTP. Essa interligação é chamada de UPLINK, a boa prática de mercado é deixar a conexão na mesma interface em ambos os switches; neste caso, vamos deixar na interface 48. Para facilitar o entendimento, acompanhe a imagem abaixo. As interfaces que estão fazendo a conexão entre os switches elas tem que estar em modo trunk, esse modo permite enviar e receber todas as VLANS (10,20,30) pela interface. Diferente das outras interfaces que conectam os HOSTS,IMPRESSORAS e SERVIDORES, essas tem que estar em modo ACCESS, deixando apenas passar a conexão da VLAN associada. Até o momento já fizemos o planejamento, criamos as vlans, associamos as vlans nas interfaces, mas se o diretor da empresa criar imprimir o que você vai fazer? Vai dizer para ele que não pode porque a impressora está em outra VLAN? Se você falar isso, é um risco enorme de ser demitido. É nessa hora que vamos fazer a mágica acontecer, será necessário realizar o roteamento dessas redes, ele pode ser feito em um Switch L3 ou no firewall Pelo fato deste cenário ser simples, o roteamento irá ocorrer no firewall. Será necessário criar uma Interface VLAN (Interface Virtual) de cada VLAN no firewall e habilitar o roteamento entre elas. Assim, haverá comunicação e soluciona o problema de impressão do diretor da empresa. Escrito por: Van Glauco