Entenda o que é switch gerenciável, diferenças para modelos não gerenciáveis, Layer 2 e Layer 3, VLANs, STP, LACP, PoE, segurança e especificação.

Confira!

Um switch gerenciável é um equipamento de rede que permite configurar, monitorar e controlar como os dispositivos se comunicam dentro de uma LAN. Diferentemente de um switch não gerenciável, ele oferece recursos como VLANs, Spanning Tree, agregação de enlaces, QoS, controle de acesso, monitoramento, redundância e administração segura.

A escolha de um switch não deve se limitar à quantidade de portas ou à velocidade indicada na caixa. Capacidade de comutação, taxa de encaminhamento, uplinks, buffers, PoE, empilhamento, fontes, protocolos, segurança, telemetria, ciclo de suporte e compatibilidade com a arquitetura influenciam diretamente disponibilidade e desempenho.

Este artigo explica como funciona um switch Ethernet, quais são as diferenças entre modelos gerenciáveis e não gerenciáveis, o que muda entre Layer 2 e Layer 3 e quais critérios devem ser verificados em projetos corporativos, industriais e de segurança eletrônica.

O que é um switch gerenciável?

Um switch gerenciável é um equipamento Ethernet com plano de controle e interface de administração que permitem criar políticas, segmentar tráfego, proteger portas, monitorar eventos e ajustar o comportamento da rede. Ele continua realizando a função básica de aprender endereços MAC e encaminhar quadros, mas acrescenta recursos de engenharia e operação.

A gestão pode ocorrer por interface web, linha de comando, SSH, APIs, controladores, SNMP ou plataformas centralizadas. Em redes profissionais, a administração deve utilizar protocolos seguros, autenticação individual, logs e controle de alterações.

Como um switch encaminha quadros

O switch aprende o endereço MAC de origem dos quadros recebidos e associa esse endereço à porta e à VLAN correspondentes. Quando conhece o destino, encaminha o quadro apenas pela interface adequada. Quando não conhece, executa flooding dentro do domínio permitido.

Broadcasts e determinados multicasts também são replicados dentro da VLAN. Por isso, segmentação, controle de loops e dimensionamento dos domínios Layer 2 são essenciais.

Tabela MAC e envelhecimento

A tabela MAC, também chamada CAM table, registra os endereços aprendidos. Entradas dinâmicas expiram após um período sem tráfego; entradas estáticas podem ser configuradas para casos específicos.

Capacidade insuficiente, MAC flapping, loops ou mudanças frequentes de topologia podem provocar flooding excessivo e instabilidade. O projeto deve considerar a quantidade de endpoints, VLANs e dispositivos virtuais que podem aparecer em cada segmento.

Switch gerenciável, não gerenciável e smart switch

Switch não gerenciável

O switch não gerenciável normalmente opera de forma plug and play. Ele aprende MACs e encaminha quadros, mas oferece pouco ou nenhum controle sobre VLANs, redundância, QoS, segurança e monitoramento.

Pode ser adequado para redes pequenas e não críticas, desde que não haja necessidade de segmentação, diagnóstico avançado ou integração com políticas corporativas. Em ambientes maiores, sua presença pode criar pontos cegos e dificultar a contenção de falhas.

Smart switch ou web managed

Smart switches ocupam uma posição intermediária. Podem oferecer VLANs, QoS, agregação e algumas funções de monitoramento, mas com menor profundidade de configuração, automação, segurança ou suporte a protocolos.

A categoria comercial varia entre fabricantes. O nome “smart” não garante um conjunto padronizado de recursos; a comparação deve ser feita função por função.

Switch totalmente gerenciável

Modelos fully managed oferecem CLI, SNMP, APIs, autenticação centralizada, protocolos de redundância, telemetria, políticas de segurança e maior capacidade de integração. São indicados para redes corporativas, campus, data centers, indústrias e ambientes críticos.

Switch Layer 2 e switch Layer 3

Switch Layer 2

Um switch Layer 2 encaminha quadros principalmente com base em endereços MAC e VLANs. Ele pode suportar recursos avançados de comutação, segurança, QoS e redundância sem realizar roteamento completo entre redes.

Alguns modelos oferecem interfaces de gerenciamento IP e funções limitadas de Layer 3, mas isso não significa que sejam adequados como equipamento de distribuição ou core.

Switch Layer 3

O switch Layer 3 acrescenta roteamento IP em hardware, permitindo criar interfaces VLAN, gateways, rotas estáticas e, conforme o modelo, protocolos dinâmicos como OSPF ou BGP.

A capacidade de rotear não elimina a necessidade de firewall. O switch pode executar encaminhamento entre VLANs com alta velocidade, enquanto inspeção de aplicações, políticas avançadas e tradução de endereços permanecem em equipamentos de segurança quando necessários.

Quando utilizar cada um

Switches Layer 2 são comuns na camada de acesso. Switches Layer 3 são frequentes em distribuição, collapsed core, data centers e fronteiras onde domínios de broadcast precisam ser reduzidos.

A decisão deve considerar arquitetura, escala, convergência, políticas, quantidade de rotas, redundância e capacidade de diagnóstico.

A escolha do switch deve começar pela arquitetura da rede — não pelo catálogo de equipamentos.

A A3A define camadas, VLANs, uplinks, redundância, PoE, segurança, gestão e critérios de aceite dentro de um Projeto de Telecomunicações.

Conhecer o serviço de Projeto de Telecomunicações

VLANs, portas access e trunks

VLANs separam logicamente domínios de broadcast sobre a mesma infraestrutura física. Elas permitem distinguir usuários, voz, câmeras, Wi-Fi, servidores, controle de acesso, gestão e sistemas industriais.

Porta access

Uma porta access normalmente associa o endpoint a uma VLAN não marcada. O quadro recebido é classificado na VLAN configurada, e o dispositivo final não precisa compreender tags IEEE 802.1Q.

Porta trunk

Trunks transportam múltiplas VLANs entre switches, firewalls, servidores, access points e outros equipamentos. As VLANs permitidas devem ser explicitamente controladas, evitando transportar segmentos desnecessários.

Native VLAN e inconsistências

A native VLAN pode transportar tráfego sem tag em determinadas implementações. Divergências entre as pontas de um trunk criam vazamentos, perda de conectividade ou riscos de segurança.

O projeto deve padronizar VLAN nativa, VLANs permitidas, identificação e propósito de cada segmento.

Spanning Tree e proteção contra loops

Enlaces redundantes podem formar ciclos Layer 2. O Spanning Tree constrói uma topologia lógica sem loops e mantém caminhos alternativos para contingência.

Switches gerenciáveis devem oferecer RSTP, MSTP ou variantes compatíveis com a arquitetura. A root bridge precisa ser definida deliberadamente; deixar a eleição depender de valores padrão pode posicionar a raiz em um equipamento inadequado.

Proteções de borda

PortFast ou edge port acelera a ativação de portas conectadas a endpoints. BPDU Guard, Root Guard e Loop Guard ajudam a impedir alterações indevidas e falhas unidirecionais.

Esses mecanismos devem ser aplicados conforme o papel da porta. Configurações indiscriminadas podem bloquear enlaces legítimos ou remover a proteção contra loops.

LACP e agregação de enlaces

LACP combina múltiplos enlaces físicos em uma interface lógica. O recurso aumenta disponibilidade e capacidade agregada, mas um único fluxo normalmente permanece associado a um membro conforme o algoritmo de hash.

O switch precisa oferecer suporte ao número de grupos, quantidade de membros, velocidades e modos necessários. Também é importante verificar agregação entre equipamentos distintos, como stack, MLAG, vPC ou tecnologias equivalentes.

Agregação estática sem negociação exige maior controle operacional. LACP facilita detectar inconsistências e impedir que enlaces incompatíveis entrem no grupo.

Capacidade de comutação e taxa de encaminhamento

Switching capacity

A capacidade de comutação representa o volume agregado que o fabric do switch pode processar. Para avaliar operação full duplex em todas as portas, deve-se considerar tráfego simultâneo de entrada e saída.

Um switch com 24 portas de 1 Gb/s e quatro uplinks de 10 Gb/s pode exigir capacidade teórica de 128 Gb/s para operação sem bloqueio: 24 × 1 × 2 mais 4 × 10 × 2.

Forwarding rate

A taxa de encaminhamento, geralmente expressa em milhões de pacotes por segundo, mede quantos quadros o switch pode processar. Quadros pequenos representam o cenário mais exigente em quantidade de pacotes.

Alta capacidade em gigabits não garante encaminhamento suficiente em todos os tamanhos de quadro. As duas métricas precisam ser avaliadas.

Arquitetura non-blocking e oversubscription

Um switch non-blocking consegue encaminhar, em condições especificadas, o tráfego máximo de todas as portas. Em redes reais, oversubscription pode ser aceitável quando o padrão de uso não exige simultaneidade total.

A relação deve ser calculada entre acesso, uplinks e destinos. CFTV, backups, Wi-Fi de alta densidade, storage e virtualização podem produzir perfis diferentes de usuários de escritório.

Buffers e microbursts

Buffers armazenam temporariamente quadros quando a porta de saída está ocupada. Eles são importantes em transições de velocidade, congestionamento e microbursts.

A quantidade total anunciada pode ser compartilhada ou distribuída por portas e filas. O comportamento do buffer, o mecanismo de alocação e as políticas de descarte influenciam aplicações sensíveis.

Buffers maiores não resolvem arquitetura subdimensionada. Podem reduzir perda em rajadas, mas também aumentar latência quando filas permanecem ocupadas.

Velocidades de acesso e uplink

1 Gigabit Ethernet

Portas de 1 Gb/s continuam adequadas para muitos endpoints. A quantidade, o perfil de tráfego e o crescimento determinam se uplinks e fabric suportam a soma das cargas.

2,5 Gb/s e 5 Gb/s

Interfaces multigigabit permitem maior capacidade sobre cabeamento compatível e são úteis para access points modernos e estações específicas. A categoria, o comprimento e a certificação do canal devem ser verificados.

10, 25, 40 e 100 Gb/s

Essas velocidades aparecem em uplinks, distribuição, core e data centers. A seleção envolve portas, transceptores, fibras, distâncias, consumo, refrigeração e compatibilidade.

Não basta existir um slot SFP ou QSFP: é preciso confirmar velocidade suportada, codificação, breakout, DOM, listas de compatibilidade e limitações de software.

Portas SFP, SFP+, SFP28 e QSFP

Slots ópticos e elétricos removíveis permitem escolher transceptores conforme distância e meio físico.

  • SFP: geralmente associado a 1 Gb/s;
  • SFP+: geralmente 10 Gb/s;
  • SFP28: normalmente 25 Gb/s;
  • QSFP+ e QSFP28: comuns em 40 e 100 Gb/s.

A nomenclatura física não garante todas as velocidades. Alguns equipamentos aceitam múltiplas taxas; outros têm restrições por grupo de portas, licença ou modo de operação.

Power over Ethernet no switch

Switches PoE alimentam câmeras, access points, telefones, intercomunicadores e controladores. O projeto deve verificar padrão, classe, potência por porta e orçamento total.

A quantidade de portas PoE não significa que todas possam operar na potência máxima simultaneamente. Fontes instaladas, redundância, prioridade de portas e temperatura influenciam a capacidade disponível.

Também devem ser considerados consumo do chassi, UPS, autonomia, distribuição entre switches e monitoramento por porta.

QoS e priorização de tráfego

QoS classifica, marca, enfileira e agenda tráfego para controlar congestionamento. Voz, vídeo, controle industrial e aplicações críticas podem exigir tratamento distinto.

Classificação e marcação

O switch pode classificar por porta, VLAN, endereço, protocolo ou marcações como DSCP e CoS. Políticas precisam definir onde a rede confia ou reescreve as marcações.

Filas e agendamento

Quantidade de filas, buffers, prioridades estritas e algoritmos ponderados variam por plataforma. Prioridade absoluta mal dimensionada pode causar starvation das demais classes.

Policing e shaping

Policing limita tráfego e pode descartar ou remarcar excedentes. Shaping suaviza a taxa utilizando filas. Nem todos os switches oferecem shaping em todas as interfaces ou direções.

Switching, segmentação, identidade e hardening precisam funcionar como uma única arquitetura.

A solução de Redes Cisco da A3A integra switching, ISE, 802.1X, hardening, telemetria, documentação e implantação controlada.

Conhecer a solução de Redes Cisco

Segurança em switches gerenciáveis

802.1X e MAB

IEEE 802.1X controla o acesso à porta usando autenticação. MAB pode atender dispositivos sem supplicant, como determinadas câmeras, impressoras e equipamentos industriais.

A integração com RADIUS, NAC e identidade permite aplicar VLANs, ACLs e políticas dinâmicas.

Port Security

Port Security limita ou registra endereços MAC por porta. É útil em cenários específicos, mas não substitui autenticação e pode causar indisponibilidade em ambientes com telefones, máquinas virtuais ou mudanças frequentes.

DHCP Snooping, Dynamic ARP Inspection e IP Source Guard

DHCP Snooping distingue portas confiáveis e cria bindings. Dynamic ARP Inspection utiliza essas informações para validar respostas ARP. IP Source Guard restringe endereços de origem incoerentes.

Esses recursos dependem de topologia, DHCP e confiança corretamente configurados. Uma porta uplink marcada de forma errada pode bloquear tráfego legítimo.

ACLs e segmentação

ACLs em Layer 2, Layer 3 ou interfaces VLAN controlam comunicação entre redes e serviços. A capacidade real depende de recursos de hardware, quantidade de entradas e recursos utilizados simultaneamente.

Administração segura e hardening

A interface de gerenciamento deve ser separada do tráfego de usuários sempre que possível. SSH, HTTPS, SNMPv3, autenticação centralizada, logs e NTP devem substituir protocolos inseguros.

Boas práticas incluem:

  • desabilitar serviços não utilizados;
  • restringir origens administrativas;
  • utilizar contas individuais;
  • integrar TACACS+ ou RADIUS;
  • proteger credenciais e chaves;
  • manter firmware suportado;
  • registrar alterações;
  • realizar backup das configurações;
  • revisar privilégios e sessões;
  • controlar portas e VLANs não utilizadas.

Hardening precisa preservar suporte e função. Mudanças devem ser testadas, documentadas e possuir procedimento de rollback.

SNMP, syslog, telemetria e monitoramento

Um switch gerenciável deve fornecer visibilidade sobre interfaces, erros, utilização, temperatura, fontes, ventiladores, PoE, spanning tree, LACP e eventos de segurança.

SNMP

SNMP permite consultar indicadores e receber traps. SNMPv3 oferece autenticação e privacidade, sendo preferível para ambientes corporativos.

Syslog

Syslog registra mudanças de estado, autenticação, falhas, alterações de topologia e eventos de proteção. A centralização ajuda a correlacionar incidentes.

Streaming telemetry e APIs

Plataformas modernas podem enviar dados em intervalos menores e expor APIs para automação. É necessário verificar modelos de dados, frequência, consumo e compatibilidade com o sistema de gestão.

Empilhamento, virtual chassis e MLAG

Stack físico ou lógico

Empilhamento permite operar múltiplos switches como uma unidade de gestão. Deve-se verificar largura de banda do stack, topologia, eleição do master, atualização, limite de membros e comportamento durante falhas.

MLAG e tecnologias equivalentes

MLAG permite que dois switches apresentem uma agregação lógica ao dispositivo conectado. Isso reduz dependência de um único chassi, mas exige sincronização, peer link e tratamento correto de split-brain.

A existência do recurso não garante atualização sem impacto. Procedimentos de manutenção e compatibilidade de versões precisam ser validados.

Fontes, ventilação e disponibilidade

Switches de acesso podem possuir fonte fixa; modelos maiores podem aceitar fontes redundantes e substituíveis. O projeto deve verificar alimentação AC ou DC, potência, eficiência, fluxo de ar e capacidade após falha.

Ventiladores, módulos e fontes hot-swappable reduzem tempo de intervenção, mas não eliminam a necessidade de redundância arquitetural.

A orientação do fluxo de ar é relevante em racks e data centers. Equipamentos com fluxos opostos podem recircular ar quente e elevar temperatura.

Switch corporativo e switch industrial

Switches industriais acrescentam características como faixa ampliada de temperatura, montagem em trilho DIN, alimentação DC redundante, resistência mecânica, conformidade eletromagnética e protocolos específicos.

Um switch corporativo gerenciável não deve ser instalado automaticamente em painéis, subestações ou ambientes agressivos apenas porque possui os protocolos necessários.

Da mesma forma, um switch industrial não é definido apenas por gabinete metálico ou alimentação DC. Certificações, ambiente, disponibilidade e suporte à aplicação precisam ser avaliados.

Como especificar um switch gerenciável

Portas e velocidades

Defina quantidade de portas de acesso, tipos de interface, velocidades, uplinks, reservas e crescimento. Separe portas realmente utilizáveis de interfaces compartilhadas ou combo.

Desempenho

Registre capacidade de comutação, taxa de encaminhamento, latência, buffers, tabela MAC, VLANs, rotas, ARP/ND, ACLs e recursos de hardware.

Recursos Layer 2

Verifique VLANs, Q-in-Q quando necessário, RSTP/MSTP, LACP, LLDP, multicast, storm control, proteção de loops e segurança de borda.

Recursos Layer 3

Quando aplicável, especifique interfaces VLAN, rotas estáticas, protocolos dinâmicos, VRRP ou equivalente, ECMP, multicast e políticas.

Segurança e gestão

Inclua 802.1X, RADIUS, TACACS+, SNMPv3, SSH, HTTPS, ACLs de gerenciamento, logs, NTP, APIs, controle de acesso baseado em função e secure boot quando necessário.

PoE

Defina tipos e classes, orçamento total, potência após falha de fonte, prioridade, monitoramento e capacidade de expansão.

Disponibilidade e ciclo de vida

Avalie fontes, ventiladores, stack, MLAG, atualização, suporte, firmware, garantia, licenças, peças e expectativa de permanência da plataforma.

Exemplos por camada da rede

Switch de acesso

Conecta usuários, câmeras, access points, telefones e equipamentos finais. Prioriza densidade, PoE, 802.1X, VLANs, uplinks, segurança de borda e facilidade de operação.

Switch de distribuição

Agrega switches de acesso, estabelece fronteiras Layer 3 e concentra políticas. Exige maior capacidade, redundância, roteamento, ACLs e convergência.

Switch de core

Transporta grandes volumes entre módulos da rede. Prioriza disponibilidade, baixa latência, capacidade, múltiplos caminhos e estabilidade.

Switch para data center

Pode exigir buffers específicos, alta densidade 10/25/40/100 Gb/s, VXLAN/EVPN, automação, telemetria e fluxo de ar compatível com os racks.

Erros comuns na escolha de switches

  • comprar apenas pela quantidade de portas;
  • ignorar capacidade de comutação e forwarding rate;
  • dimensionar uplinks sem considerar simultaneidade;
  • utilizar switch não gerenciável em rede crítica;
  • estender VLANs sem controle;
  • deixar root bridge e prioridades nos valores padrão;
  • confundir stack com redundância completa;
  • considerar todas as portas PoE na potência máxima sem verificar o budget;
  • ignorar buffers e microbursts;
  • escolher transceptores sem verificar compatibilidade;
  • administrar por protocolos inseguros;
  • não prever monitoramento, logs e backup;
  • misturar modelos e versões sem matriz de compatibilidade;
  • aceitar equipamentos sem testes de falha.

Testes e comissionamento

O aceite deve confirmar que o switch atende à arquitetura e não apenas que as portas acendem.

Inspeção e inventário

Registre modelo, serial, fontes, módulos, transceptores, licenças, versão, rack, alimentação e identificação de portas.

Configuração e segurança

Valide VLANs, trunks, spanning tree, LACP, roteamento, ACLs, 802.1X, AAA, SNMPv3, syslog, NTP, backups e acesso administrativo.

Desempenho e uplinks

Teste negociação, velocidade, erros, utilização, capacidade dos uplinks e comportamento sob tráfego representativo.

Redundância e failover

Simule falha de enlace, membro de LAG, fonte, uplink, stack ou peer, conforme o projeto. Meça perda, convergência e recuperação das aplicações.

PoE e dispositivos finais

Verifique classe, consumo, budget, prioridade e comportamento após reinicialização. Câmeras, access points e controladores devem recuperar serviço automaticamente.

Documentação as built

Entregue diagramas, mapa de portas, endereçamento, VLANs, configurações, versões, backups, matriz de conexões e evidências dos testes.

Um switch não deve ser aceito apenas porque as interfaces ficaram ativas.

O comissionamento deve validar configuração, desempenho, redundância, segurança, PoE, monitoramento, failover e documentação.

Conhecer o serviço de Comissionamento e Aceite Técnico

Conclusão

Switch gerenciável é um componente de arquitetura, segurança e operação. VLANs, Spanning Tree, LACP, QoS, PoE, monitoramento e controle de acesso permitem construir redes previsíveis e diagnosticáveis, mas precisam ser selecionados e configurados conforme requisitos reais.

A especificação deve considerar desempenho, interfaces, redundância, segurança, gestão, ambiente, ciclo de vida e critérios de aceite. Escolher apenas por portas e velocidade pode produzir gargalos, pontos únicos de falha e limitações que aparecem somente durante expansão ou incidente.

Referências técnicas

[1] IEEE. IEEE Std 802.1Q-2022 — Bridges and Bridged Networks. New York: IEEE, 2022.

[2] IEEE. IEEE Std 802.1AX-2020 — Link Aggregation. New York: IEEE, 2020.

[3] IEEE. IEEE Std 802.1X-2020 — Port-Based Network Access Control. New York: IEEE, 2020.

[4] IEEE. IEEE 802.3 — Standard for Ethernet. New York: IEEE.

[5] CISCO PRESS. Top-Down Network Design. 3. ed. Indianapolis: Cisco Press, 2010.

[6] CISA; NSA. Network Infrastructure Security Guide. Fort Meade: NSA, 2023.

[7] CISCO. Campus LAN and Wireless LAN Solution Design Guide. San Jose: Cisco Systems.

[8] IETF. RFC 3411 — An Architecture for Describing Simple Network Management Protocol Management Frameworks. 2002.

Perguntas frequentes
O que é um switch gerenciável?

É um switch Ethernet que permite configurar e monitorar recursos como VLANs, Spanning Tree, LACP, QoS, segurança, PoE, logs e administração remota.

Qual é a diferença entre switch gerenciável e não gerenciável?

O não gerenciável opera principalmente de forma plug and play. O gerenciável oferece segmentação, redundância, segurança, monitoramento e controle operacional.

O que é um smart switch?

É uma categoria intermediária que oferece alguns recursos de gestão, geralmente com menor profundidade de configuração, automação e protocolos do que um modelo fully managed.

Qual é a diferença entre switch Layer 2 e Layer 3?

O Layer 2 encaminha principalmente por endereços MAC e VLANs. O Layer 3 também realiza roteamento IP entre redes e pode suportar protocolos de roteamento.

Como saber se um switch é non-blocking?

Compare a capacidade de comutação e a taxa de encaminhamento com a soma full duplex das portas. Também verifique limitações de uplinks, fabric e grupos de interfaces.

Switch gerenciável melhora a velocidade da internet?

Não diretamente. Ele pode eliminar gargalos, segmentar tráfego e aplicar QoS, mas a velocidade da internet depende também do link, roteador, firewall, Wi-Fi e aplicações.

O que verificar em um switch PoE?

Padrão, classes, potência por porta, orçamento total, capacidade após falha de fonte, prioridade de portas, UPS e monitoramento.

Quando usar um switch Layer 3?

Quando a arquitetura exige roteamento entre VLANs, redução de domínios Layer 2, alta capacidade e convergência em distribuição, core ou data center.

Quais testes devem ser feitos no comissionamento?

Devem ser validados inventário, configuração, VLANs, trunks, STP, LACP, segurança, gestão, uplinks, PoE, redundância, failover, monitoramento e documentação.

Materiais técnicos complementares

Avance pela trilha conforme o ponto da decisão: fundamentos de arquitetura, protocolos de switching, segurança e operação, ou aplicação em redes corporativas e industriais.

Arquitetura e projeto de rede

Protocolos e disponibilidade

Segurança, gestão e ambientes industriais

Guias e materiais para decisão