Os switches Cisco Catalyst representam o padrão da indústria em comutação de rede corporativa, oferecendo desempenho, segurança e gerenciabilidade para organizações de todos os portes. Este guia aborda a configuração dos principais modelos da família Catalyst — séries 9300, 9200 e 2960 — com comandos práticos, exemplos e recomendações de segurança baseadas nas melhores práticas da Cisco e da CISA (Cybersecurity and Infrastructure Security Agency).
A configuração adequada de switches é fundamental para garantir disponibilidade, segurança e desempenho da rede. Erros de configuração podem resultar em vulnerabilidades, loops de rede ou degradação de performance.
Introdução aos Switches Cisco Catalyst
A linha Catalyst evoluiu ao longo de décadas, incorporando tecnologias como SD-Access, automação baseada em intenção e integração com plataformas de gerenciamento em nuvem (Cisco Catalyst Center). Os modelos atuais rodam o sistema operacional IOS-XE, que unifica os comandos entre as séries.
Cisco Catalyst 9300 Series
A série Catalyst 9300 é a principal plataforma de switching stackable da Cisco para acesso enterprise. Baseada no ASIC UADP 2.0, oferece até 1 Tbps de largura de banda de stacking com StackWise-1T, suporte a Wi-Fi 6, SD-Access nativo e recursos avançados de segurança como MACsec 256-bit e Encrypted Traffic Analytics.
Principais modelos e especificações
| Modelo | Portas | PoE | Stacking | Aplicação |
|---|---|---|---|---|
| C9300X-48HX | 48x 10G Multigigabit | 90W UPOE+ | StackWise-1T | High-density Wi-Fi 6 |
| C9300X-24Y | 24x 25G SFP28 | N/A | StackWise-1T | Uplinks de alta velocidade |
| C9300-48P | 48x 1G | PoE+ 30W | StackWise-480 | Acesso enterprise |
| C9300-24UX | 24x Multigigabit | UPOE 60W | StackWise-480 | Access points Wi-Fi 6 |
| C9300L-48P | 48x 1G | PoE+ 30W | StackWise-320 | Filiais e escritórios |
Recursos principais
- ASIC UADP 2.0: processador programável com pipeline configurável para alocação dinâmica de recursos de forwarding, ACLs e QoS.
- StackWise-1T: até 1 Tbps de largura de banda de stacking, com suporte a até 8 membros em um único domínio de gerenciamento.
- SD-Access Ready: integração nativa com Cisco Catalyst Center para automação baseada em intenção e segmentação de rede.
- MACsec 256-bit: criptografia de camada 2 com AES-256 para proteção de tráfego entre switches e endpoints.
Cisco Catalyst 9200 Series
A série Catalyst 9200 oferece recursos enterprise em formato compacto e custo otimizado, ideal para filiais, escritórios remotos e ambientes de médio porte. Compartilha o mesmo IOS-XE e recursos de segurança da série 9300, com opções de uplinks fixos ou modulares.
| Modelo | Portas | Uplinks | PoE | Segmento |
|---|---|---|---|---|
| C9200-48P | 48x 1G | 4x 1G SFP | PoE+ 740W | Filiais médias |
| C9200-24P | 24x 1G | 4x 1G SFP | PoE+ 370W | Escritórios |
| C9200CX-12P | 12x 1G | 2x 10G SFP+ | PoE+ 240W | Compacto/Edge |
| C9200L-48T | 48x 1G | 4x 10G SFP+ | N/A | Data only |
Configuração inicial do switch
A configuração inicial envolve identificação, segurança de acesso e conectividade de gerenciamento. Os comandos abaixo aplicam-se a todas as séries Catalyst modernas.
1. Acesso ao modo de configuração
Switch> enable
Switch# configure terminal2. Hostname e credenciais
Switch(config)# hostname SW-CORE-01
SW-CORE-01(config)# enable secret SuaSenhaForte
SW-CORE-01(config)# service password-encryption3. IP de gerenciamento (SVI)
SW-CORE-01(config)# interface vlan 99
SW-CORE-01(config-if)# ip address 192.168.99.10 255.255.255.0
SW-CORE-01(config-if)# no shutdown
SW-CORE-01(config-if)# exit
SW-CORE-01(config)# ip default-gateway 192.168.99.14. Configuração SSH (recomendado)
SW-CORE-01(config)# ip domain-name empresa.local
SW-CORE-01(config)# crypto key generate rsa modulus 2048
SW-CORE-01(config)# username admin privilege 15 secret SenhaAdmin
SW-CORE-01(config)# ip ssh version 2
SW-CORE-01(config)# line vty 0 15
SW-CORE-01(config-line)# transport input ssh
SW-CORE-01(config-line)# login local
SW-CORE-01(config-line)# exitConfiguração de VLANs
A segmentação por VLANs é fundamental para segurança e organização do tráfego — cada VLAN cria um domínio de broadcast separado, limitando o escopo de ameaças e otimizando o desempenho.
Criação de VLANs
SW-CORE-01(config)# vlan 10
SW-CORE-01(config-vlan)# name VENDAS
SW-CORE-01(config-vlan)# exit
SW-CORE-01(config)# vlan 20
SW-CORE-01(config-vlan)# name TI
SW-CORE-01(config-vlan)# exitPortas de acesso
SW-CORE-01(config)# interface GigabitEthernet1/0/1
SW-CORE-01(config-if)# switchport mode access
SW-CORE-01(config-if)# switchport access vlan 10
SW-CORE-01(config-if)# exitPortas trunk
SW-CORE-01(config)# interface GigabitEthernet1/0/24
SW-CORE-01(config-if)# switchport mode trunk
SW-CORE-01(config-if)# switchport trunk allowed vlan 10,20,99
SW-CORE-01(config-if)# exitConfigurações de segurança
A segurança de switches é frequentemente negligenciada, mas crítica para a proteção da infraestrutura. As recomendações abaixo seguem as melhores práticas da Cisco e da CISA.
Port Security
Limita os endereços MAC permitidos por porta, mitigando ataques de MAC flooding:
SW-CORE-01(config-if)# switchport port-security
SW-CORE-01(config-if)# switchport port-security maximum 2
SW-CORE-01(config-if)# switchport port-security violation restrict
SW-CORE-01(config-if)# switchport port-security mac-address stickyDHCP Snooping
Protege contra servidores DHCP não autorizados (rogue DHCP):
SW-CORE-01(config)# ip dhcp snooping
SW-CORE-01(config)# ip dhcp snooping vlan 10,20
SW-CORE-01(config)# interface GigabitEthernet1/0/24
SW-CORE-01(config-if)# ip dhcp snooping trustDynamic ARP Inspection
Mitiga ataques de ARP spoofing/poisoning, validando os pacotes ARP contra a tabela do DHCP snooping:
SW-CORE-01(config)# ip arp inspection vlan 10,20
SW-CORE-01(config)# interface GigabitEthernet1/0/24
SW-CORE-01(config-if)# ip arp inspection trustDesabilitar portas não utilizadas
SW-CORE-01(config)# interface range GigabitEthernet1/0/40 - 48
SW-CORE-01(config-if-range)# shutdownRecomendações de segurança (Cisco / CISA)
- Utilize senhas fortes com algoritmos de hash seguros (type 8 ou 9).
- Desabilite serviços não utilizados (HTTP server, CDP em portas de usuário).
- Configure logging para um servidor syslog centralizado.
- Implemente NTP autenticado para sincronização de tempo.
- Utilize ACLs para restringir o acesso de gerenciamento.
Comandos de verificação e troubleshooting
| Comando | Descrição |
|---|---|
show vlan brief |
Lista todas as VLANs e portas associadas |
show interfaces trunk |
Exibe portas trunk e VLANs permitidas |
show mac address-table |
Tabela de endereços MAC aprendidos |
show port-security |
Status de port security em todas as portas |
show spanning-tree |
Status do Spanning Tree Protocol (STP) |
show ip dhcp snooping binding |
Tabela de bindings do DHCP snooping |
show inventory |
Informações de hardware e número de série |
show running-config |
Configuração atual em execução |
Ao concluir a configuração, salve as alterações na NVRAM:
SW-CORE-01# copy running-config startup-configPrecisa de switches Cisco para a sua empresa?
A Seta Telecom oferece locação de switches Cisco Catalyst com suporte técnico especializado, configuração e monitoramento 24/7 — equipamentos prontos para a sua operação, em todo o Brasil.
Conheça a locação de switches Cisco Catalyst ou fale com a nossa equipe.