Switching, routing e serviços de rede para Analista Judiciário - TI: VLANs, roteadores e Wi-Fi

Camada 2 (Switching): comutação, VLANs, trunk e STP

Switching e tabela MAC (visão prática)

Em redes Ethernet, o switch opera na camada 2 e encaminha quadros com base no endereço MAC de destino. Ele aprende automaticamente quais MACs estão em quais portas ao observar o MAC de origem dos quadros recebidos, formando a tabela CAM (MAC address table). Quando o MAC de destino é desconhecido, o switch faz flooding (envia por todas as portas da mesma VLAN, exceto a de entrada). Quando o MAC é conhecido, encaminha apenas pela porta correta (unicast).

Pontos de prova e suporte: loops de camada 2 geram tempestade de broadcast; flooding excessivo pode indicar tabela MAC instável (flapping) ou ataques (ex.: MAC flooding); portas em estado incorreto (err-disabled, bloqueadas) causam indisponibilidade localizada.

VLAN: segmentação lógica e domínios de broadcast

VLAN (Virtual LAN) segmenta uma rede física em múltiplas redes lógicas na camada 2. Cada VLAN é um domínio de broadcast separado: broadcasts (ARP, DHCP Discover) não atravessam para outra VLAN sem roteamento (camada 3). Isso melhora organização, segurança e desempenho.

• VLAN de usuários: estações de trabalho por setor (ex.: Gabinete, Secretaria, Protocolo).
• VLAN de servidores: serviços internos (AD, DNS, sistemas processuais).
• VLAN de voz: telefones IP, com priorização (QoS).
• VLAN de visitantes: Wi-Fi guest isolado da rede interna.

Passo a passo prático: criar VLAN e associar porta (conceitual + exemplo de CLI)

Objetivo: colocar uma porta do switch na VLAN 20 (Secretaria) para isolar o tráfego do setor.

• 1) Criar a VLAN: definir o ID e (opcionalmente) um nome.
• 2) Configurar a porta como access: porta de acesso carrega tráfego de uma única VLAN (sem tags 802.1Q para o host).
• 3) Atribuir a VLAN à porta: associar a interface à VLAN 20.
• 4) Verificar: checar VLANs e status da porta.

! Exemplo genérico (estilo Cisco-like, pode variar por fabricante)  vlan 20   name SECRETARIA  interface gi0/10   switchport mode access   switchport access vlan 20   spanning-tree portfast  show vlan brief  show interfaces gi0/10 switchport

Observação de prova: PortFast é usado em portas de acesso para hosts (não em links entre switches), reduzindo tempo de convergência e evitando indisponibilidade ao conectar um PC.

Continue em nosso aplicativo

Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

ou continue lendo abaixo...

Baixar o aplicativo

Trunk (802.1Q): transportar múltiplas VLANs

Trunk é um enlace (geralmente entre switches, ou switch e roteador/firewall) que transporta tráfego de várias VLANs no mesmo cabo, usando marcação (tag) IEEE 802.1Q. Em trunk, cada quadro recebe uma tag indicando a VLAN de origem, permitindo segregação lógica no enlace.

Conceitos importantes:

• VLAN nativa: em alguns cenários, quadros sem tag são associados à VLAN nativa. Inconsistência de VLAN nativa entre equipamentos pode causar vazamento de tráfego e problemas difíceis de diagnosticar.
• Allowed VLANs: lista de VLANs permitidas no trunk; restringir reduz superfície de erro e melhora controle.

Passo a passo prático: configurar trunk e VLANs permitidas

• 1) Definir a porta como trunk.
• 2) Definir VLAN nativa (se aplicável) e manter consistência nas duas pontas.
• 3) Restringir VLANs permitidas ao necessário (ex.: 10,20,30).
• 4) Validar se o trunk está ativo e carregando as VLANs.

interface gi0/1  switchport mode trunk  switchport trunk native vlan 99  switchport trunk allowed vlan 10,20,30,99  show interfaces trunk

STP (Spanning Tree Protocol): evitar loops

Loops de camada 2 são críticos porque Ethernet não tem TTL em quadros; um loop pode gerar tempestade de broadcast, instabilidade de MAC (flapping) e queda generalizada. O STP cria uma topologia lógica sem loops, bloqueando enlaces redundantes e liberando-os quando necessário.

Noções introdutórias:

• Root Bridge: switch eleito como referência da árvore.
• Port roles/states: portas podem encaminhar ou bloquear para eliminar loops.
• Convergência: tempo para recalcular a topologia após falha; variantes como RSTP aceleram.

Sintomas típicos em suporte: rede “cai” ao conectar um cabo; CPU alta em switches; muitos broadcasts; logs de mudança de topologia (TCN); MAC flapping entre portas.

Camada 3 (Routing): roteamento estático e dinâmico, inter-VLAN e gateway

Roteamento e interligação de redes

Roteadores (ou switches L3) encaminham pacotes IP entre redes diferentes com base na tabela de rotas. Para que hosts de uma VLAN acessem outra VLAN ou a Internet, é necessário um gateway de camada 3 (SVI em switch L3, subinterfaces em roteador, ou firewall).

Inter-VLAN routing: duas abordagens comuns

• Switch camada 3 (SVI): cria uma interface virtual por VLAN (ex.: VLAN 20 tem IP 10.20.0.1/24). O switch roteia internamente entre VLANs.
• Router-on-a-stick: um roteador com subinterfaces 802.1Q em um trunk (ex.: g0/0.20 para VLAN 20), útil quando não há switch L3.

Passo a passo prático: validar problema de roteamento entre VLANs

Cenário: usuários da VLAN 20 não acessam servidor na VLAN 30, mas acessam máquinas na própria VLAN.

• 1) Verificar IP/máscara/gateway do host: gateway deve ser o IP da interface L3 da VLAN 20.
• 2) Testar conectividade local: ping para outro host da VLAN 20 (confirma camada 2 e IP local).
• 3) Ping para o gateway: se falhar, suspeitar de porta/VLAN, DHCP incorreto, ACL local, ou SVI down.
• 4) Ping para o IP do servidor: se falhar, checar rota de retorno e ACLs.
• 5) Checar ARP e tabela MAC: ARP incompleto pode indicar bloqueio L2/L3.
• 6) Checar se a VLAN está ativa: SVI pode ficar down se não houver porta ativa na VLAN (dependendo do equipamento).

! Comandos típicos de verificação (variam por fabricante)  show ip interface brief  show vlan brief  show interfaces trunk  show ip route  show arp  show mac address-table dynamic

Roteamento estático: quando usar e cuidados

Rota estática é configurada manualmente (ex.: “para chegar na rede X, envie ao next-hop Y”). É simples, previsível e comum em redes pequenas, em rotas default para Internet, ou para redes específicas (ex.: link dedicado para datacenter).

• Vantagens: controle total, baixo overhead, previsibilidade.
• Riscos: não reage automaticamente a falhas; erro humano; manutenção cresce com o número de redes.

! Exemplo conceitual  ip route 0.0.0.0 0.0.0.0 10.0.0.1   ! rota default  ip route 10.50.0.0 255.255.0.0 10.0.0.2

Roteamento dinâmico (conceitos): por que existe

Protocolos de roteamento dinâmico trocam informações entre roteadores para calcular melhores caminhos e se adaptar a falhas. Em concursos, costuma-se cobrar conceitos como convergência, métricas e diferença entre famílias de protocolos.

• Convergência: tempo para a rede “se ajustar” após mudança (queda de link, nova rota).
• Métrica: critério para escolher melhor rota (custo, largura de banda, atraso, número de saltos, etc.).
• Tipos (noções): protocolos de estado de enlace (ex.: OSPF) e de vetor de distância (ex.: RIP), além de protocolos de borda (ex.: BGP) em cenários maiores.

ACL e QoS: noções aplicadas ao dia a dia

ACL (Access Control List): filtrar tráfego

ACL é um conjunto ordenado de regras (permit/deny) aplicado em interfaces para controlar tráfego. Pode ser usada para segmentação entre VLANs, proteção de servidores e restrição de acesso administrativo.

Conceitos-chave:

• Ordem importa: a primeira regra que casa com o tráfego é aplicada.
• Implícito deny: ao final, normalmente há um “nega tudo” implícito (se não houver regra permitindo).
• Direção: inbound (entrando na interface) vs outbound (saindo).

Exemplo prático: restringir acesso à VLAN de servidores

Cenário: permitir que a VLAN 20 acesse apenas o servidor de aplicação (porta 443) na VLAN 30, bloqueando o restante.

• 1) Identificar origem/destino: rede da VLAN 20 e IP do servidor.
• 2) Definir portas/protocolos: TCP 443.
• 3) Aplicar ACL no ponto adequado: geralmente próximo da origem para reduzir tráfego desnecessário.
• 4) Testar: acesso ao sistema deve funcionar; demais acessos devem falhar.

! Exemplo conceitual (pseudoconfig)  permit tcp 10.20.0.0/24 host 10.30.0.10 eq 443  deny ip 10.20.0.0/24 10.30.0.0/24  permit ip any any

QoS (Quality of Service): priorização e controle de congestionamento

QoS é o conjunto de técnicas para priorizar tráfego sensível a atraso/jitter (voz e vídeo) e controlar congestionamento. Em órgãos públicos, é comum priorizar telefonia IP, videoconferência e sistemas críticos em links limitados.

• Classificação e marcação: identificar tráfego e marcar (ex.: DSCP) para tratamento diferenciado.
• Filas e priorização: garantir baixa latência para classes prioritárias.
• Policiamento e shaping: limitar ou suavizar taxa de tráfego para evitar saturação.

Sintoma típico: “voz picotando” em horários de pico; QoS mal configurado pode priorizar indevidamente ou não surtir efeito se não houver congestionamento real no ponto certo (geralmente no uplink).

Wi‑Fi: padrões, autenticação e interferência

Padrões e bandas (noções úteis)

Wi‑Fi (IEEE 802.11) opera principalmente em 2,4 GHz e 5 GHz (e, em ambientes mais novos, 6 GHz). Em termos práticos: 2,4 GHz tende a ter maior alcance e mais interferência; 5 GHz tende a ter mais canais e melhor desempenho em curtas/médias distâncias.

• Capacidade: depende de largura de canal, modulação, número de clientes e interferência.
• Roaming: troca de AP conforme o usuário se move; depende de planejamento de cobertura e potência.

Autenticação e segurança: PSK vs 802.1X

Em ambientes corporativos, dois modelos são comuns:

• WPA2/WPA3-Personal (PSK): uma senha compartilhada; simples, mas difícil de governar (troca de senha impacta todos).
• WPA2/WPA3-Enterprise (802.1X): autenticação por usuário/dispositivo via servidor (ex.: RADIUS), com melhor controle e auditoria.

Boas práticas de suporte: separar SSIDs (corporativo vs visitantes), isolar clientes guest, evitar protocolos legados inseguros, e manter inventário de APs/canais.

Interferência e diagnóstico de problemas de Wi‑Fi

Problemas comuns envolvem interferência, sobreposição de canais, potência inadequada, excesso de clientes por AP e obstáculos físicos (paredes, elevadores, mobiliário metálico).

Passo a passo prático: diagnóstico rápido de “Wi‑Fi lento/instável”

• 1) Identificar o escopo: afeta um usuário, uma sala, um andar, ou todo o prédio?
• 2) Comparar com cabo: se no cabo funciona e no Wi‑Fi não, foco em RF/AP; se ambos falham, foco em rede/serviços.
• 3) Verificar RSSI/SNR: sinal fraco ou ruído alto derruba taxa e aumenta retransmissões.
• 4) Checar canal e largura: canais sobrepostos e largura excessiva em ambiente denso pioram.
• 5) Verificar quantidade de clientes por AP: alta densidade exige mais APs e ajuste de potência.
• 6) Validar autenticação: falhas 802.1X (certificados, relógio, credenciais) geram desconexões.
• 7) Testar latência e perda: ping para gateway e para servidor interno; jitter alto indica problema de RF ou congestionamento.

Serviços internos de rede: proxy, balanceamento de carga e VPN

Proxy: controle e intermediação de acesso

Proxy pode atuar como intermediário para acesso web, aplicando políticas (bloqueios por categoria/URL), autenticação, registro (logs) e, em alguns casos, cache. Em órgãos públicos, é comum para conformidade, auditoria e redução de riscos.

Cenários de suporte: sistema web não abre apenas para alguns usuários (política/ACL/proxy); erro de autenticação no proxy; bloqueio por categoria; problemas com certificados em inspeção TLS (quando existe).

Balanceamento de carga: disponibilidade e escalabilidade

Balanceador distribui conexões entre múltiplos servidores de um mesmo serviço (ex.: portal interno, sistema processual, API). Pode operar em camada 4 (TCP/UDP) ou camada 7 (HTTP), com verificações de saúde (health checks) para retirar nós com falha.

Conceitos cobrados:

• Algoritmos: round-robin, least connections, ponderado.
• Persistência (stickiness): manter usuário no mesmo servidor quando necessário (sessões).
• Health check: evita enviar tráfego para servidor indisponível.

VPN: acesso seguro e túneis

VPN cria um túnel criptografado para acesso remoto (usuários) ou interligação entre unidades (site-to-site). Em ambiente do Judiciário, é comum para trabalho remoto, acesso a sistemas internos e conexão entre fóruns e tribunal.

Noções práticas:

• Split-tunnel vs full-tunnel: no split, apenas tráfego para redes internas vai pela VPN; no full, todo tráfego passa pela VPN.
• Autenticação: pode envolver MFA, certificados e políticas por grupo.
• Roteamento: rotas para redes internas devem ser anunciadas/empurradas ao cliente; falhas aqui geram “VPN conecta mas não acessa nada”.

Passo a passo prático: “VPN conecta, mas não acessa sistemas internos”

• 1) Confirmar IP recebido: o cliente obteve endereço da faixa da VPN?
• 2) Checar rotas no cliente: existe rota para a rede do sistema (ex.: 10.30.0.0/24) via interface VPN?
• 3) Testar DNS: nome do sistema resolve para IP interno correto?
• 4) Testar conectividade por IP: ping/traceroute (se permitido) para gateway interno e servidor.
• 5) Verificar ACL/políticas: firewall pode permitir conexão VPN mas negar acesso às VLANs internas.
• 6) Checar conflito de sub-redes: rede doméstica do usuário pode coincidir com rede interna (ex.: 192.168.0.0/24), quebrando o roteamento.

Cenários típicos de suporte em órgãos públicos e diagnóstico

Cenário 1: “Setor novo sem rede após mudança de sala”

Sintomas: PC sem IP ou com IP de faixa errada; não acessa sistemas; telefone IP não registra.

Diagnóstico orientado:

• Verificar se a porta do switch está na VLAN correta (access VLAN).
• Checar se há voice VLAN separada (telefone IP) e se o switch está configurado para isso (quando aplicável).
• Validar trunk entre switch de acesso e distribuição (VLAN permitida no trunk).
• Checar DHCP por VLAN (escopo correto, relay/IP helper se necessário).

Cenário 2: “Rede cai quando conectam um cabo entre duas tomadas”

Sintomas: lentidão generalizada, perda de conectividade, muitos broadcasts, logs de STP.

Diagnóstico orientado:

• Suspeitar de loop de camada 2 (cabo ligando dois pontos da mesma rede).
• Checar STP: portas alternando estado, TCNs, root bridge inesperada.
• Isolar porta causadora (desconectar/administratively down) e orientar usuário.
• Revisar proteções: BPDU Guard em portas de acesso, storm-control (se disponível).

Cenário 3: “Sistema interno funciona no cabo, mas não no Wi‑Fi corporativo”

Sintomas: navegação geral ok, mas sistema específico falha; ou apenas alguns grupos.

Diagnóstico orientado:

• Comparar VLAN do Wi‑Fi corporativo com VLAN do cabo (políticas diferentes).
• Verificar ACL entre VLAN Wi‑Fi e VLAN de servidores (porta/serviço liberado?).
• Checar DNS no Wi‑Fi (resolução diferente pode apontar para IP errado).
• Se houver proxy obrigatório no Wi‑Fi, validar configuração automática (PAC/WPAD) e autenticação.

Cenário 4: “Aplicação web intermitente após atualização”

Sintomas: alguns acessos funcionam, outros dão erro; comportamento alterna a cada tentativa.

Diagnóstico orientado:

• Suspeitar de balanceamento sem persistência para aplicação com sessão local.
• Checar health checks: servidor “meio quebrado” ainda recebe tráfego.
• Validar DNS/virtual IP do balanceador e logs de backend.
• Se houver TLS offload, checar certificados e compatibilidade de cipher/protocolos.

Checklist rápido de diagnóstico (camada 2 a serviços)

• Camada 2: VLAN correta? trunk permitindo VLAN? STP estável? MAC flapping?
• Camada 3: gateway correto? rota de ida e volta? tabela de rotas coerente?
• Políticas: ACL bloqueando porta? NAT/firewall? QoS causando limitação indevida?
• Wi‑Fi: sinal/interferência/canal? autenticação 802.1X? excesso de clientes?
• Serviços: DNS resolve? proxy exigido? balanceador saudável? VPN com rotas corretas?