Blog Archives

Gratuitous ARP em Switches HP baseados no Comware

O Protocolo ARP é utilizado na comunicação entre dispositivos em uma Rede Ethernet da mesma Sub-rede que utilizam endereços IPv4. A principal função do ARP é a tradução de endereços IP em endereços MAC. O emissor encaminha em broadcast um pacote ARP contendo o endereço IP do outro host e espera uma resposta com um endereço MAC respectivo.

Em resumo, o ARP auxilia os computadores e Switches que utilizam endereços IPv4 (endereço lógico) ,  a encontrarem o endereço mac (endereço físico) das máquinas em redes Ethernet.

Todo endereço da camada de rede, precisa do mapeamento do endereço da camada de enlace.

Assim,  todos os equipamentos de rede montam uma tabela ARP dinâmica (em redes LAN), que é atualizada de tempos em tempos (o tempo pode variar dependendo do Sistema Operacional) caso alguma máquina troque de IP, ou aprenda um endereço “velho” via DHCP.

Segue abaixo a saída da tabela ARP de uma máquina rodando windows 7.

C:\Users\comutadores>arp -a
Interface: 192.168.99.104 --- 0x10
  Internet Address      Physical Address      Type
  192.168.99.1          14-d6-4d-7e-f7-d8     dynamic
  192.168.99.100        10-3b-59-c7-62-34     dynamic
  192.168.99.102        e8-8d-28-f2-60-7b     dynamic
  192.168.99.255        ff-ff-ff-ff-ff-ff     static
  224.0.0.22            01-00-5e-00-00-16     static
  224.0.0.251           01-00-5e-00-00-fb     static
  224.0.0.252           01-00-5e-00-00-fc     static
  239.255.255.250       01-00-5e-7f-ff-fa     static
  255.255.255.255       ff-ff-ff-ff-ff-ff     static

Uma das  funções do protocolo ARP é o Gratuitous ARP, que permite o envio de requisição ou resposta (contendo o mapeamento endereço IP + endereço MAC) mesmo quando não é solicitado.

O gratuitous ARP é uma mensagem enviada geralmente para atualizar a tabela ARP.

Por exemplo, imagine que todas as máquinas de uma rede possuam como gateway um Switch de Distribuição que precisa ser substituído por um novo equipamento mais robusto e moderno. Agora, imagine que essa migração deva ocorrer de maneira quase que imperceptível por inúmeras restrições. O novo Switch é então conectado a todos os outros Switches da rede, incluindo o Switch legado, e cada vez que uma interface do Switch legado é colocada em shutdown (desligada), a mesma é configurada no Switch novo.

Pense que, uma vez que o gateway é movido para outro equipamento (com o mesmo IP) o endereço mac  deverá mudar…

A configuração do gratuitous ARP deverá auxiliar nessa questão, com o novo equipamento enviando a atualização do endereço IP + MAC para todos os dispositivos da rede.

interface Vlan-interface1
 ip address 192.168.99.1 255.255.255.0
 arp send-gratuitous-arp 

Após a certificação e sucesso da migração, o comando poderá ser removido da interface vlan.

[Switch-Vlan-interface1]undo arp send-gratuitous-arp

Espero ter ajudado ;)

Dúvidas, deixe um comentário!

Protocolo ARP em redes Ethernet

O Video Blog http://kretcheu.com.br possui algumas video aulas bem interessantes. Separei um video para aqueles que gostariam de saber um pouco mais sobre o protocolo ARP em redes Ethernet.

A video-aula tem 25 minutinhos  e ajuda a compreender melhor esse protocolo tão importante para redes IPv4 e citado inúmeras vezes em artigos do blog.

Compartilhem o conteúdo!

Video: VLANs – Configuração de Porta Access, Hybrid e Trunk para Switches HPN, 3Com e H3C

A publicação de conteúdo em vídeo, sempre foi um dos meus desejos para os assuntos já abordados aqui no blog. Nesse primeiro video, abordamos a configuração de portas Access, Hybrid e Trunk para Switches HPN, 3Com e H3C..

Sugestões e Comentários serão bem vindos. Espero que a gravação possa ser útil! ;)


Abração a todos!

Resumo de Configuração: Link Aggregation com LACP e extensão de VLANs no Trunk (Comware 5)

Resumo de Configura de Link Aggregation

Sentiram a falta de alguma configuração? Gostariam de fazer alguma sugestão? Deixem comentários!

Minha rede está lenta, e agora?

Publicado originalmente em 2 DE SETEMBRO DE 2010

Minha Rede está lenta, e agora? Nos últimos dias recebi algumas mensagens referentes a problemas de lentidão na rede e como solucioná-los.

Existem diversos fatores que podem influenciar a lentidão na rede e é necessário efetuar as seguintes perguntas: O que está lento? A LAN, a WAN, algum serviço especifico?

Após a identificação de alguns itens importantes para resolução do problema, baseado na resposta, verificamos alguns pontos abaixo:

Verificando o Speed e Duplex

Geralmente para problemas na Rede Local, sugiro sempre verificarmos o Speed e Duplex negociados na conexão entre Switches-Switches, Roteadores ou Servidores.

Problemas de Duplex são muito comuns e podem causar problemas em segmentos com portas que negociam em Half-Duplex enquanto o outro lado está em Full-Duplex.

http://www.comutadores.com.br/como-funciona-a-auto-negociacao/

SNMP

O gerenciamento da rede por SNMP é fundamental para detectamos o comportamento dos dispositivos. Cada equipamento Gerenciável possui uma base de dados chamada MIB onde é registrado diversas informações do equipamento como consumo de CPU, memória , estatística de banda das interfaces e etc.

A posição dentro da MIB para coleta de algumas dessas informações é chamado de OID.

A utilização do SNMP é bem difundida e existem diversos programas grátis como o Cacti para coleta de informações e construção de estatísticas da rede.

Para coletarmos informações utilizando o protocolo SNMP nos dispositivos, será necessário cadastrarmos uma Comunidade no equipamento ( funciona como uma senha) e configurar o endereço IP e Comunidade no Servidor para coleta.

O comando nos Switches 3Com é:

snmp-agent community read diego
! Cadastrando a community nome diego com permissão de leitura

Syslog

O Syslog também é um padrão de mercado muito utilizado para verificação de mensagens de Log registrada pelos equipamentos.

A utilização é importante para verificação de problemas baseada em determinado horário. Por exemplo, digamos que determinado problema iniciou-se as 21h há 2 dias atrás e você não estava na empresa para verificar se algo aconteceu no Switch.

O comando display logbuffer poderia ser bastante útil para exibir as informações do período informado desde que a informação não tenha sido sobrescrevida por outros eventos na memória do Switch.

Com a utilização de um Servidor para coleta de Syslog, a informação ficaria salva e nesse caso, poderíamos checar se o Switch “logou” algo estranho no período, como uma mensagem de Up/Down em uma porta de servidor,  comandos efetuado por determinado usuário no Switch ou convergência inesperada do Spanning-Tree.

O comando nos Switches 3Com para utilizar o Syslog é:

info-center loghost 172.31.7.2
! configurando o Switch para encaminhar os Logs para o Servidor de Syslog 

Mirroring ( Espelhamento de Porta)

O Espelhamento de porta é uma técnica útil para descobrirmos tráfegos indesejados na rede . A técnica permite que o Switch faça uma cópia do tráfego de uma interface para outra interface permitindo a analise de tráfego.

Na porta que recebermos a cópia do tráfego poderíamos subir um servidor com Wireshark , TCPDump ou NTOP para analise do que está ocorrendo na rede, como por exemplo, protocolos indesejáveis, máquinas utilizando o recurso da empresa com serviços desnecessários, maquinas zumbis, vírus, serviços ativos por engano, etc.

Há um tópico bacana no blog instruindo sobre a configuração do espelhamento de porta nos Switches 3Com:

http://www.comutadores.com.br/switches-3com-4500-configurando-o-espelhamento-de-porta-port-mirroring/

IDS

Uma solução mais sofisticada para analise e comportamento de tráfego da rede pode ser obtida através de um IDS ( como o Snort por exemplo) . O IDS é um conceito de software/dispositivo de rede que permite a identificação de tráfego maliciosos ou que viole as políticas de uma rede local com a apresentação de relatórios sobre determinados eventos.

Netflow e Sflow
O Netflow (equipamentos Cisco) e o Sflow(RFC 3176) são protocolos que permitem que as estatísticas de tráfego de rede sejam encaminhadas em amostras (formatadas) para um servidor que possa ler as informações. Esse tipo de formato possui uma vantagem ao espelhamento de porta por não encaminhar toda a mensagem bruta para o servidor. O protocolo é exibe informações referente a protocolos de rede.

Segue abaixo a configuração do Sflow nos Switches 4800G:

sflow agent ip 192.168.1.1
! IP do Switch para encaminhar a origem da mensagem Sflow
sflow collector ip 192.168.1.100
! IP do Switch para encaminhar para o destino a mensagem Sflow
sflow interval 30
! Período de intervalo de coleta em segundos
interface GigabitEthernet 1/0/1
sflow enable inbound 
sflow enable outbound 
sflow sampling-rate 100000
! Habilitando a coleta de Sflow na interface Giga1/0/1 no sentido ! de entrada, saída e número de amostras de pacotes

Topologia

A verificação da Topologia é necessária para analisarmos se há pontos de gargalos na rede gerados por erros na topologia, Hubs, equipamentos com baixa capacidade de throughput ou um numero excessivo de hosts em uma VLAN ( as melhores práticas sugerem uma sub-rede por VLAN)

PING e Tracert

Os comandos Tracert são bastante conhecidos e muito úteis para verificação do tempo de resposta.

Para os casos que a conexão entre Matriz e Filial apresentam problemas , sugiro a utilização do MTR ou WinMTR. O Software gera inúmeros traceroutes que ajudam a identificar pontos na nuvem da operadora que causam maior delay.

As dicas informadas são de ferramentas simples e que auxiliam no diagnostico dos problemas de rede.

Se o problema persistir, tente atuar em diversas frentes de forma racional e solicite uma segunda opnião. Se o caso agravar, escalone o caso ou solicite ajuda de um especialista.

Obs: A utilização da foto do Rubinho foi colocada apenas para descontrair o tópico. Possuímos grande admiração por sua  persistência, perseverança e motivação….! :)  

Se você possuir alguma outra dica ou sugestão, compartilhe, deixe um comentário!

Sucesso a todos!

Mac-based VLANs

A feature MAC-based VLANs, permite que multiplos usuarios conectados na mesma porta Ethernet, como por exemplo atrás de um HUB ou Switches não-gerenciaveis, “caiam” em suas respectivas VLANs utilizando o endereço MAC de cada máquina.

A feature pode ser utilizada com um servidor RADIUS ou por mapeamento com configuração manual no Switch do endereço MAC + a VLAN do usuário/host.

No exemplo abaixo mostraremos uma configuração manual no Switch para a utilização da feature MAC-based VLAN.

Configuração

mac-vlan mac-address 0050-56bc-3c33 vlan 10
mac-vlan mac-address 0050-56bc-2c44 vlan 20
mac-vlan mac-address 0050-56bc-2c55 vlan 20 

interface GigabitEthernet1/0/10
port link-type hybrid
undo port hybrid vlan 1
! Prevenindo que hosts não mapeados caiam na VLAN 1
port hybrid vlan 2 10 untagged
mac-vlan enable
! Ativando o direcionamento de trafego baseado no mapeamento MAC + VLAN
quit

O Switch encaminhará o tráfego de cada host para as VLANs correspondents conforme mapeamento MAC. ;)
Até logo!

Modelo de Rede Hierárquica – parte 1 de 2

O blog “No Mundo das Redes” mantido pela Keilly Priscila possui um post muito bacana sobre Modelo de Rede Hierárquica. Reproduzirei quase todo o conteúdo aqui no Blog em 2 partes. Quem quiser ler o texto original, acesse: http://nomundodasredes.blogspot.com.br/2011/10/modelo-de-rede-hierarquica.html . Boa leitura!

 Modelo de Rede Hierárquica

Para pequenas e médias empresas, a integração da rede utilizando dados, voz e vídeo torna-se essencial para os negócios. Logo, uma rede local (LAN) projetada corretamente é um requisito fundamental.

Uma rede construida de forma hierárquica torna mais fácil o gerenciamento, expansão eo troubleshooting para detecção de problemas.

O design de rede hierárquico envolve a divisão da rede em camadas discretas, facilitando escalabilidade e desempenho. São divididos em três camadas: Acesso, Distribuição e Núcleo (Core).

Camada de Acesso

A camada de acesso faz interface com dispositivos finais, como PCs, impressoras e telefones IP, para fornecer acesso ao restante da rede. Na camada de acesso podem estar switches e pontos de acesso wireless (AP). O principal propósito da camada de acesso é fornecer um meio de conectar dispositivos à rede e controlar quais têm permissão de comunicação na rede.

Camada de Distribuição

A camada de distribuição agrega os dados recebidos dos switches da camada de Acesso antes de serem transmitidos para a camada de Núcleo (Core) para que haja o roteamento até seu destino final. A camada de distribuição controla o fluxo do tráfego da rede usando políticas e determina domínios de broadcast, realizando funções de roteamento entre VLANs. Switches da camada de distribuição costumam ser dispositivos de alto desempenho que têm alta disponibilidade e redundância para assegurar a confiabilidade.

Camada de Núcleo (Core)

A camada de núcleo do design hierárquico é o backbone de alta velocidade das redes interconectadas. Como a camada de núcleo é essencial à interconectividade entre os dispositivos da camada de distribuição, é importante que o núcleo seja altamente disponível e redundante. A área do núcleo também pode se conectar a recursos de Internet e deve ser capaz de encaminhar grandes quantidades de dados rapidamente.

Em redes menores, não é incomum implementar um modelo de núcleo colapsado, no qual a camada de distribuição e a camada de núcleo são integradas em uma só camada.

Benefícios de uma rede hierárquica

Há muitos benefícios associados aos designs de rede hierárquica.

Escalabilidade

Redes hierárquicas podem ser facilmente expandidas. A escalabilidade das redes hierárquicas permite replicar elementos (equipamentos) na medida em que a rede cresce.

Redundância

Redundância nos níveis do Núcleo e de Distribuição assegura a disponibilidades de caminhos/rotas.

Na medida em que uma rede cresce, a disponibilidade se torna mais importante. Você pode aumentar drasticamente a disponibilidade por meio de implementações redundantes simples com redes hierárquicas. Os switches da camada de Acesso são conectados a dois switches da camada de distribuição diferentes para assegurar uma redundância de caminho. Caso haja falha nos switches da camada de distribuição, o switch da camada de acesso pode comutar para o outro switch da camada de distribuição. Além disso, a camada de distribuição é conectadas a dois ou mais switches da camada de Núcleo para assegurar uma disponibilidade de caminho em caso de falha de um dos switches do Core.

Desempenho

Agregação de link entre os níveis e o alto desempenho dos switches de núcleo e de distribuição permitem taxas de transmissão próximas ao máximo suportado em toda a rede. Para o tráfego, evita-se a transmissão de dados por meio de switches intermediários de baixo desempenho. Os dados são enviados por meio de links agregados, ou com banda de 1Gb e 10Gb da camada de acesso até a camada de distribuição com aproximadamente a velocidade do fio na maioria dos casos.

Segurança

Segurança de porta do nível de acesso e políticas no nível de distribuição tornam a rede mais segura.

A segurança é aprimorada e mais fácil de gerenciar. Os switches da camada de acesso podem ser configurados com várias opções de segurança de porta que fornecem controle sobre que dispositivos têm permissão para se conectar à rede. Você também tem a flexibilidade de usar políticas de segurança mais avançadas na camada de distribuição. Alguns switches da camada de acesso suportam a funcionalidade de Camada 3, mas esse costuma ser o trabalho dos switches da camada de distribuição para processar dados da Camada 3, porque eles podem processá-los com muito mais eficiência.

Gerenciamento

O Gerenciamento é relativamente simples em uma rede hierárquica. Cada camada do design hierárquico executa funções específicas, consistentes ao longo de toda a camada. Por isso, se precisasse alterar a funcionalidade de um switch da camada de acesso, você poderia repetir essa alteração em todos os switches da camada de acesso na rede porque eles devem executar as mesmas funções em sua camada. A implantação de novos switches também é simplificada porque as configurações de switch podem ser copiadas entre dispositivos com pouquíssimas modificações. A consistência entre os switches em cada camada permite uma rápida recuperação e uma solução de problemas mais simples. Em algumas situações especiais, talvez haja inconsistências na configuração entre dispositivos, logo, você deve assegurar que as configurações sejam bem documentadas para que você possa compará-las antes da implantação.

Sustentabilidade

A modularidade do design hierárquico permite a escala da rede sem que haja muitas complicações. Como as redes hierárquicas são modulares por natureza e a escalabilidade é muito boa, elas são fáceis de serem mantidas. Com outros designs da topologia de rede, a gerenciabilidade fica cada vez mais complicada na medida em que a rede cresce. Além disso, em alguns modelos de design de rede, há um limite claro quanto ao tamanho a que a rede pode chegar antes de se tornar complicada e de manutenção cara. No modelo de design hierárquico, as funções do switch são definidas em cada camada, o que simplifica a seleção do switch correto. Adicionar switches a uma camada não necessariamente significa que não haverá um gargalo ou outra limitação em outra camada. Para que uma topologia de rede em malha completa atinja o desempenho máximo, todos os switches precisam ser switches de alto desempenho, porque cada um precisa ser capaz de executar todas as funções da rede. No modelo hierárquico, as funções de switch são diferentes em cada camada. Você pode economizar, usando switches da camada de Acesso mais baratos na camada mais baixa e gastar mais nas camadas de Distribuição e Core para obter um alto desempenho na rede.

Abraços

Switches 3Com 7900 – Como o DLDP poderá ajudar a “sua” Fibra Óptica!!

O DLDP é um protocolo que funciona acima da camada física para detecção de links unidirecionais, como problemas no TX ou RX, colocando a porta em shutdown em caso de falha. A feature é bastante útil para checar a integridade dos 2 pontos da conexão ( Fibra Óptica ou UTP).

Para ativar o dldp é muito simples:
dldp enable 
! Ativando o DLDP globalmente
interface Ten-GigabitEthernet8/0/1
dldp enable
! Ativando o DLDP na interface

Para o correto funcionamento do DLDP é necessário habilitarmos o comando nos 2 Switches do UpLink.

Testando o DLDP

Na imagem abaixo durante uma janela de manutenção das fibras, a equipe de cabeamento acabou conectando o Tx da interface Ten-GigabitEthernet8/0/1 na interface Ten-GigabitEthernet8/0/2. Nesse cenário sem o DLDP os Switches não perceberiam o erro e as interfaces seriam exibidas como UP em qualquer comando display; mas a comunicação lógica estaria com problemas…

Com o DLDP ativo, os Switches exibem o seguinte Log de erro:

#Aug 18 22:03:28:016 2010 7900 DLDP/1/TrapOfUnidirectional:Slot=8;
h3cDLDPUnidirectionalPort : DLDP detects a unidirectional link in port 70516736.

Comando Display

[7900]display int ten8/0/1
Ten-GigabitEthernet8/0/1 current state: DLDP DOWN
IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 0024-7399-9917
Description: ENLACE_10G_COM_SIA
Loopback is not set
Media type is optical fiber,Port hardware type is 10G_BASE_LR
10Gbps-speed mode, full-duplex mode
Link speed type is force link, link duplex type is force link

------

[7900]display dldp Ten-GigabitEthernet 8/0/1

Interface Ten-GigabitEthernet8/0/1
DLDP port state : disable 
DLDP link state : down 
The neighbor number of the port is 0

Após a correção do erro…

o DLDP ajudou a salvar o dia…

[7900]disp interface Ten-GigabitEthernet 8/0/1
Ten-GigabitEthernet8/0/2 current state: UP
IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 0024-7399-9917
Description: ENALCE_10G_COM_SCN
Loopback is not set

Obs; o método também permite utilizarmos autenticação MD5 entre os Switches que conversam DLDP

[7900]dldp authentication-mode md5 dldp2010
! Habilitando a autenticação do protocolo DLDP com a senha "dldp2010"

Até a próxima!

Switches 3Com 4800G – Ataques ao protocolo ARP

O protocolo ARP possui 3 principais vulnerabilidades:

  • Não possui suporte a autenticação
  • É suscetível a vazamento de informação via análise de mensagens Broadcast do protocolo durante solicitação de conversa entre dispositivos.
  • Força o processamento para os hosts da VLAN para todas as requisições ARP, consumindo CPU e largura de banda.

Umas das principais técnicas utilizadas em ataques ao ARP são conhecidas com ARP Spoofing ou ARP Poisoning. A técnica consiste em encaminhar uma resposta falsa a requisição ARP original ou via Gratuitous ARP, permitindo ao atacante atuar no meio da comunicação (Man-in-the-Middle) para “sniffar” o trafego . O host de origem não perceberia a atuação do atacante.

Clique no link para assistir uma rápida demonstração utilizando o software Cain (em inglês) http://www.irongeek.com/i.php?page=videos/using-cain-to-do-a-man-in-the-middle-attack-by-arp-poisoning

ARP Detection

A detecção de ARP permite ao Switch encaminhar somente o tráfego válido na tabela ARP.O tráfego pode ser validado via 802.1x, entradas estáticas ou via DHCP Snooping, no script abaixo mostraremos a técnica utilizando o modo estático e via o mapeamento do DHCP Snooping.

A utilização da feature DHCP-Snooping permite aos Switches o bloqueio de respostas DHCP de Servidores não-válidos na rede e o mapeamento dos Endereços IP entregue ao usuário com o endereço MAC do host, conforme display abaixo:

[4800G]display dhcp-snooping 

DHCP Snooping is enabled.
The client binding table for all untrusted ports.
Type : D--Dynamic , S--Static
Type IP Address MAC Address Lease VLAN Interface
==== =============== ============== ============ ==== =================
D 192.168.1.102 0027-0e0f-a154 172653 1 GigabitEthernet1/0/4
D 192.168.1.103 0027-0e0f-9edb 172728 1 GigabitEthernet1/0/12
--- 2 dhcp-snooping item(s) found ---

Quando ativamos a detecção ARP, todas as portas são consideradas não confiáveis comparando o endereço MAC de origem com o mapeamento IP + MAC checado.

#
dhcp-snooping
!Ativando o DHCP Snooping
#
vlan 1
arp detection enable
!Habilitando a detecção ARP na VLAN 1
#
arp detection mode dhcp-snooping
!Ativando a detecção ARP para verificação da tabela gerada pelo DHCP Snooping
arp detection mode static-bind
!Ativando a detecção ARP para verificação da tabela estática
arp detection static-bind 192.168.1.104 0027-c686-6681
! Gerando uma entrada estática para detecção de ARP
#

Obs: É possível configurar uma interface como confiável para não haver detecção de ARP naquela porta. Configure o comando “arp detection trust” na interface.

ARP Source Suppression

Para proteção contra ataques à hosts com o envio de grande numero de requisições ARP é possível habilitar a supressão de ARP.

!
arp source-suppression enable
arp source-suppression limit 10
! Limita o numero de 10 requisições ARP da mesma origem para endereços
! não resolvidos no threshold de 5 segundos. Se o limite for excedido,
! o Switch efetuará a supressão do ARP do host por 5 segundos.

No guia de configuração dos Switches há maiores referencias e outras técnicas de proteção contra ataques ao ARP. Caso conheça outras técnicas e softwares deixe um comentário.

Abraço a todos!

Referências e Consulta

Lan Switch Security , Eric Vyncke and Christopher Paggen ,Cisco Press, 2008
http://comutadores.blogspot.com/2010/04/switches-3com-4800-dhcp-snooping-como.html
http://www.irongeek.com/i.php?page=security/arpspoof
http://imasters.com.br/artigo/10117/seguranca/arp_poisoning/

Como funciona a Auto-negociação?

Publicado originalmente em 17 DE FEVEREIRO DE 2010

A auto-negociação é uma protocolo da Camada Física do modelo de referência OSI, que permite que dois equipamentos de rede (Switches, Roteadores e Servidores) negociem velocidade eduplex para escolha dinâmica do melhor cenário para a comunicação de dados.

O padrão é bastante útil no dimensionamento de redes para a compatibilidade entre as versões 10/100/1000Mb das interfaces.

Apesar da instabilidade inicial do padrão (devido à incompatibilidade dos fabricantes na adoção do modelo), as discussões da especificação da auto-negociação foram eliminados pela versão de 1998 do IEEE 802.3. Em 1999, o protocolo de negociação foi significativamente ampliado por IEEE 802.3ab, que especificava o protocolo de GigabitEthernet, tornando obrigatória a auto-negociação para 1000BASE-T.

A auto-negociação é utilizada por dispositivos com diferentesvelocidades de operação (como 10Mb e 1Gb) e diferentes modos de operação duplex (Half-duplex e Full-duplex).

A incompatibilidade de duplex (duplex mismatch) ocorre quando um dispositivo está em full-duplex e o outro está funcionando em half-duplex. Por causa desse cenário um grande número de colisões irá ocorrer no lado half-duplex. Uma segunda ressalva é que interfaces configuradas manualmente não funcionam adequadamente com interfaces configuradas como auto-negociação.

Problemas de duplex mismatch são comuns e difíceis de diagnosticar, pois a rede continua a funcionar; e em testes básicos de troubleshooting, reportam uma conexão ativa, mas a rede funciona com lentidão.

Melhores práticas
Certifique-se que ambos os lados do link estão configurados da mesma maneira”.(Gary A. Donahue , Network Warrior, O’Reilly, 2007, p22)

Configurando a Auto-negociação 

Em Switches 3Com a auto-negociação está habilitada por default:

speed { 10 100 1000 auto }
duplex { auto full half }

Exemplo de configuração de speed e duplex em auto:

[Switch-GigabitEthernet1/0/1]duplex auto
#
[Switch-GigabitEthernet1/0/1]speed auto

Referências:

Wikipedia – http://en.wikipedia.org/wiki/Autonegotiation
Ethermanage – http://www.ethermanage.com/ethernet/100quickref/ch13qr_3.html