Sophos AP6 e Switch: ecossistema de rede via Sophos Central

Sophos AP6 e Sophos Switch são os componentes que completam o ecossistema de rede da Sophos junto ao Firewall XGS e SD-RED, todos gerenciados via Sophos Central. A linha AP6 oferece access points Wi-Fi 6 e Wi-Fi 6E (420E, 840, 840E e outdoor 420X) com interfaces 2.5 Gigabit. A linha Switch entrega modelos 100, 200 (CS210 com 2.5G e PoE) e 1000 Series multi-gigabit, com Limited Lifetime Warranty. Importante: o AP6 é gerenciado exclusivamente pelo Sophos Central — não pelo firewall — uma mudança arquitetural relevante em relação à linha APX, que tem fim de vida em 31 de dezembro de 2027.

Por que adotar AP6 e Switch Sophos junto ao firewall?

Em projetos de rede corporativa, é tentador montar uma colcha de retalhos: firewall de uma marca, access points de outra, switches de terceiros, cada um com seu próprio console de gestão, suas credenciais e seu ciclo de atualização. Funciona, mas escala mal — toda mudança de política exige tocar em vários sistemas, troubleshooting depende de correlação manual entre dashboards, e o que era para ser uma rede unificada vira um quebra-cabeça operacional. A proposta da Sophos é diferente: um ecossistema de rede gerenciado de um único lugar, o Sophos Central. O firewall XGS protege o perímetro, o SD-RED conecta filiais pequenas e PDVs, o AP6 entrega Wi-Fi corporativo seguro, e o Switch faz a camada de acesso (LAN) cabeada com PoE para alimentar APs e câmeras IP. Tudo configurado, monitorado e atualizado no mesmo console — pelo mesmo administrador, no mesmo navegador, com a mesma identidade. Para entender o contexto completo da plataforma Sophos antes de mergulhar nos componentes de rede, consulte o guia completo do Firewall Sophos para empresas. Este artigo foca especificamente em AP6 e Switch, completando a stack de rede iniciada nos artigos sobre SD-WAN e SD-RED.

O que é a linha Sophos AP6 e quais são os modelos disponíveis?

A linha Sophos AP6 são access points Wi-Fi 6 e Wi-Fi 6E gerenciados em nuvem via Sophos Central, sucessores da linha APX. Operam no padrão 802.11ax com WPA3, e modelos selecionados (AP6 420E e 840E) trazem suporte à banda 6 GHz do Wi-Fi 6E, oferecendo espectro mais limpo e menos congestionado. Todos têm pelo menos uma interface 2.5 Gigabit para conectividade LAN acelerada. Os modelos disponíveis em 2026 são:

• AP6 420 — modelo entry-level para ambientes de densidade moderada (escritórios pequenos, lojas, consultórios). Wi-Fi 6, sem suporte a 6E, sem interface 2.5G.
• AP6 420E — modelo plenum-rated (homologado para instalação em forros técnicos), Wi-Fi 6/6E com suporte à banda 6 GHz, interface 2.5G PoE+, ideal para escritórios corporativos, educação, saúde e varejo de média densidade.
• AP6 840 — modelo de alta performance para densidade alta (auditórios, salas de aula, áreas de convivência com muitos dispositivos). Wi-Fi 6 com 2.5G, sem 6E.
• AP6 840E — versão high-end com Wi-Fi 6/6E, banda de 6 GHz, ideal para empresas que querem entregar a melhor experiência possível para dispositivos modernos (laptops e celulares recentes que suportam Wi-Fi 6E).
• AP6 420X — modelo outdoor IP67 (resistente a poeira e jato d’água), para coberturas externas como pátios, estacionamentos, áreas de carga e descarga, eventos.

Mudança arquitetural importante: diferentemente da geração APX, que podia ser gerenciada pelo firewall Sophos ou pelo UTM, a linha AP6 é gerenciada exclusivamente pelo Sophos Central (com opção de gerenciamento local para casos isolados de 1 AP). Essa mudança simplifica a operação multi-site e padroniza a gestão de Wi-Fi em escala, mas exige uma adaptação para clientes que estão habituados a configurar Wi-Fi diretamente no firewall.

O que é a linha Sophos Switch e quais modelos atendem a sua empresa?

A linha Sophos Switch é composta por switches access layer cloud-managed, projetados para conectar e alimentar (via PoE) dispositivos da rede corporativa — access points, câmeras IP, telefones IP, terminais de PDV. Todos vêm com Limited Lifetime Warranty e suportam gerenciamento local via Web/CLI/SNMP, mas exigem subscrição de suporte para gestão via Sophos Central. As três linhas principais em 2026 são:

• 100 Series (CS101) — entry-level com 1 Gigabit, modelos de 8 a 48 portas, opções com ou sem PoE. Ideal para pequenas redes, escritórios e PDVs com poucos dispositivos.
• 200 Series (CS210) — multi-gigabit (2.5G) com Full PoE. Modelos CS210-8FP (8 portas 2.5G, orçamento PoE 240W), CS210-24FP (24 portas, 410W PoE) e CS210-48FP (48 portas, 740W PoE). Todos com 4 portas SFP+ 10G para uplink. Ideal para escritórios médios que vão receber tráfego de Wi-Fi 6/6E.
• 1000 Series — modelos multi-gigabit avançados com suporte a 10 Gigabit Ethernet, PoE++ (60W por porta) e orçamentos PoE expressivos. Atendem datacenters pequenos, ambientes de alta densidade e empresas mid-market.

O switch de entrada-padrão para projetos PME em 2026 é o CS210-8FP ou CS210-24FP, que combinam 2.5G (compatível com AP6) e PoE robusto. Para empresas que querem futuro-proofar a rede, o 1000 Series com 10G entrega cabeça de uplink que dura 5+ anos sem virar gargalo.

Como AP6, Switch e Firewall conversam dentro do Sophos Central?

A integração entre os componentes Sophos acontece em três camadas que merecem distinção técnica:

Camada 1: Gestão unificada no Sophos Central

Todos os componentes (firewall, SD-RED, AP6, Switch, endpoints Intercept X) aparecem no mesmo console Sophos Central. Cada produto tem sua área de configuração específica, mas a navegação é unificada, identidade administrativa é única, alertas e relatórios convergem em uma visão consolidada. Para administradores que gerenciam múltiplos sites, é a diferença entre “10 dashboards para conferir” e “1 dashboard com visão completa”.

Camada 2: Convergência de políticas via firewall

O tráfego que sai do AP6 ou passa pelo Switch eventualmente chega ao firewall XGS, onde recebe inspeção completa — IPS, Web Filtering, Application Control, inspeção TLS 1.3. Isso significa que a política de segurança da empresa é aplicada de forma consistente, independente de o usuário estar conectado por cabo no Switch ou por Wi-Fi no AP6. Não há “ponto cego” só porque um dispositivo entrou na rede via canal diferente.

Camada 3: Synchronized Security com endpoints e ZTNA

Quando endpoints Sophos Intercept X também estão presentes no mesmo Central, o Security Heartbeat permite que o firewall isole automaticamente dispositivos comprometidos (Active Threat Response). Em conjunto com o ZTNA (parte do Sophos Workspace Protection), o acesso a aplicações é revogado dinamicamente baseado em device posture. O AP6 e o Switch participam dessa orquestração ao serem os pontos de conexão dos dispositivos — quando um endpoint vai a Heartbeat Vermelho, o firewall coordena a contenção em toda a rede. Vale enfatizar: o AP6 não é gerenciado pelo firewall diretamente (diferente do APX). A integração com a plataforma de segurança acontece pelo Central. Isso é um trade-off — perde-se a configuração de Wi-Fi no próprio firewall, mas ganha-se escalabilidade multi-site real.

Tabela comparativa: Sophos AP6, Switch e alternativas multi-fornecedor

Dimensão	Stack Sophos completo	Multi-fornecedor (Ubiquiti/Aruba/Cisco)
Consoles de gestão	1 (Sophos Central)	2 a 4 (cada marca tem o seu)
Identidade administrativa	Única (SSO Sophos Central)	Múltipla (uma por console)
Synchronized Security	Sim, nativa	Não disponível
Active Threat Response	Sim, coordenado entre todos os componentes	Limitado a integrações via API
Wi-Fi 6/6E	Sim, modelos AP6 420E e 840E	Sim, varia por fabricante
2.5G/PoE no Switch	Sim, série CS210 e 1000	Sim, varia por modelo
Garantia hardware	Limited Lifetime (Switch), 5 anos com subscrição (AP6)	Variável (1-3 anos típico)
Troubleshooting cross-camada	Único console, correlação automática	Manual, correlação entre dashboards
Curva de aprendizado equipe TI	Uma plataforma para dominar	Múltiplas plataformas, treinamentos separados
Custo inicial (CAPEX)	Variável (cotação por canal)	Geralmente mais barato em hardware isolado
TCO em 5 anos	Menor (gestão, suporte, integrações)	Maior se considerar tempo de equipe
Cenário recomendado	Empresas que querem unificar e simplificar	Times técnicos que preferem best-of-breed

Quando faz sentido migrar do APX para o AP6?

A Sophos anunciou fim de vida (EOL) da linha APX em 31 de dezembro de 2027. Para clientes que hoje operam access points APX gerenciados pelo firewall ou UTM, isso significa que existe uma janela definida para planejar a migração. As situações em que migrar agora faz sentido:

• Dispositivos modernos com Wi-Fi 6/6E — laptops corporativos novos, celulares recentes e tablets já suportam Wi-Fi 6 e, cada vez mais, Wi-Fi 6E. APX entrega Wi-Fi 5 — manter esse padrão limita a experiência dos usuários atuais.
• Densidade alta de dispositivos — escritórios open space, espaços educacionais, lojas com muitos POS móveis. Wi-Fi 6 entrega ganhos reais em densidade através de OFDMA e Target Wake Time.
• Política de renovação de hardware planejada — empresas que já têm orçamento de refresh de rede previsto. Comprar APX em 2026 é investir em hardware que vai sair de suporte em 2 anos.
• Operações multi-site em crescimento — gestão pelo Sophos Central escala muito melhor para múltiplos sites do que gestão por firewall, especialmente em projetos de varejo, franchising e healthcare distribuído.
• Migração orçada de outros fornecedores — se a empresa já está fazendo refresh saindo de Ubiquiti, Aruba ou Meraki, vale fazer migração direta para AP6 em vez de passar pelo APX como intermediário.

Quando manter o APX faz sentido: ambientes com pouca densidade, dispositivos que ainda usam Wi-Fi 5, projetos com 1-2 APs em sites isolados, e empresas que ainda dependem da integração do APX com o firewall (configurações específicas que não migram diretamente para o modelo Central-only do AP6). Mesmo nesses casos, a janela de 2 anos exige planejamento.

Como dimensionar AP6 e Switch para o ambiente da sua empresa?

Dimensionar rede corporativa não é arte — é matemática com algumas regras empíricas. Para Wi-Fi e cabeada Sophos, o roteiro prático é:

1. Mapear áreas e densidade de usuários

Para Wi-Fi, a regra empírica é 1 AP6 por 25-30 usuários ativos simultâneos em ambiente de escritório padrão, ou 1 AP6 por 15-20 usuários em ambientes de alta densidade (auditórios, salas de aula, áreas de convivência). Para cabeada, dimensione 1 porta de switch por dispositivo cabeado, com 20-30% de margem para expansão.

2. Identificar dispositivos PoE e calcular orçamento

AP6, câmeras IP, telefones IP — todos consomem PoE. Some o consumo: cada AP6 840 consome até ~30W (PoE+), cada câmera IP típica entre 5-12W. Compare com o orçamento PoE do switch escolhido (CS210-8FP = 240W, CS210-24FP = 410W, CS210-48FP = 740W). Sobrecarregar o orçamento PoE é causa comum de instabilidade silenciosa.

3. Definir velocidade dos uplinks

Switches CS210 e 1000 Series têm portas SFP+ 10G para uplink ao core/firewall. Em escritórios com Wi-Fi 6/6E e tráfego pesado de aplicações cloud, o uplink 1G vira gargalo rápido. Para Wi-Fi 6E que entrega gigabits reais aos clientes, o uplink 10G entre switch e firewall é praticamente obrigatório.

4. Considerar redundância em sites críticos

Em datacenters pequenos, hospitais, agências bancárias ou e-commerce com call center, considere stacking de switches via Sophos Central (até 2 switches no CS101-8/8FP, até 8 nos demais modelos) e cobertura Wi-Fi com sobreposição (cada área é coberta por pelo menos 2 APs adjacentes). Single point of failure em camada de acesso é o erro mais comum em projetos econômicos.

5. Validar com site survey antes da compra

Para projetos de Wi-Fi com mais de 5 APs, faça site survey ativo (ferramentas como Ekahau ou Hamina, ou survey passivo simples com NetSpot). Posições “óbvias” no teto frequentemente entregam cobertura ruim por causa de paredes, materiais reflexivos ou interferência de equipamentos. Investir em planejamento evita refazer instalação depois.

Quais riscos comuns evitar em projetos de rede Sophos?

• Comprar AP6 sem subscrição de suporte ativa — sem a subscrição, o AP6 perde gestão via Central e atualizações de firmware. O hardware sozinho não basta. Confirme sempre que a subscrição está incluída no pedido.
• Esquecer do EOL do APX — empresas que compram APX em 2026 estão investindo em hardware com 2 anos de vida útil oficial. A menos que haja justificativa específica (orçamento muito apertado, integração legacy), prefira AP6.
• Misturar AP6 com APX no mesmo site sem planejamento — é possível coexistir, mas os dois usam consoles de gestão diferentes (Central vs Firewall/UTM). Sem plano de migração, vira gestão dual.
• Dimensionar Switch sem considerar futuro Wi-Fi 6E — Wi-Fi 6E pode entregar gigabits por dispositivo. Switch 1G no uplink vira gargalo em meses. Para projetos novos, prefira modelos 2.5G/10G como o CS210 e 1000 Series.
• Não usar VLAN entre redes corporativa e de convidados — todo AP6 permite múltiplas SSIDs com VLANs separadas. Misturar rede corporativa e convidados na mesma VLAN é falha de segurança básica que ainda aparece em auditorias.
• Confiar só no PSK em Wi-Fi corporativo — WPA3 Enterprise com autenticação 802.1x (RADIUS) é o padrão moderno. PSK é aceitável para guests, não para usuários internos com acesso à rede corporativa.
• Subestimar tempo de site survey — em escritórios médios, site survey leva meio dia. Em ambientes grandes (hospitais, indústrias), leva 2-3 dias. Não pular essa etapa pelas pressas do projeto.
• Ignorar requisitos regulatórios de 6 GHz — o Wi-Fi 6E na banda 6 GHz tem regulamentação específica por país. No Brasil, a Anatel liberou o uso da banda em 2021, mas regras de potência e DFS exigem atenção em projetos profissionais.

FAQ — Sophos AP6 e Switch

O Sophos AP6 pode ser gerenciado pelo firewall?

Não. A linha AP6 foi projetada para gestão exclusiva via Sophos Central — e a Sophos confirmou que a gestão via firewall não é suportada e não está planejada para essa geração. Para empresas que ainda querem gestão direta no firewall, a alternativa é a linha APX (que está em EOL em dezembro de 2027). Esse é um trade-off arquitetural importante: ganha-se escalabilidade multi-site, perde-se a configuração unificada no firewall.

Posso usar o Sophos Switch com firewall e access points de outros fabricantes?

Sim. O Sophos Switch é um switch padrão de rede que opera com qualquer fabricante de firewall, AP ou endpoint via protocolos abertos (Ethernet, VLAN 802.1Q, PoE 802.3af/at/bt, LLDP, LAG, IGMP Snooping, ACL, STP, RADIUS 802.1X). Você pode adotar Sophos Switch como camada de acesso mesmo sem usar firewall ou AP Sophos. Porém, os ganhos de gestão unificada via Sophos Central e participação no Synchronized Security só são plenamente realizados quando a stack inteira é Sophos.

O Sophos Switch exige licença para funcionar?

Não para operação local básica. Os switches Sophos têm gestão local via Web/CLI/SNMP inclusa no preço do hardware. Para usar gestão via Sophos Central, atualizações de firmware regulares, Advance RMA e suporte 24×7 por telefone, é necessária uma subscrição de suporte separada. Em projetos profissionais, essa subscrição é fortemente recomendada — sem ela, perde-se metade do valor do produto.

Qual a diferença entre Wi-Fi 6 e Wi-Fi 6E no AP6?

Wi-Fi 6 (802.11ax) opera nas bandas 2.4 GHz e 5 GHz, oferecendo throughput aumentado, OFDMA, Target Wake Time (importante para IoT/baterias) e WPA3. Wi-Fi 6E estende isso para uma terceira banda em 6 GHz — espectro muito mais limpo, com menos congestionamento e canais largos (até 160 MHz). Em ambientes urbanos com muitas redes vizinhas, a banda 6 GHz é praticamente vazia, entregando experiência significativamente melhor. Os modelos AP6 420E e 840E têm Wi-Fi 6E; os modelos 420, 840 e 420X têm apenas Wi-Fi 6.

Os switches Sophos têm Limited Lifetime Warranty mesmo?

Sim. Todos os modelos da linha Sophos Switch (100, 200 e 1000 Series) vêm com Limited Lifetime Warranty, com substituição de hardware enquanto o produto estiver em catálogo da Sophos. Atualizações de firmware, Advance RMA e suporte telefônico exigem a subscrição de suporte ativa. Essa garantia estendida é diferencial competitivo importante, especialmente em projetos de longo prazo e mid-market.

Posso fazer stacking de switches Sophos?

Sim, via Sophos Central (requer subscrição de suporte ativa). O stacking permite agrupar múltiplos switches físicos como uma entidade lógica única, simplificando configuração e habilitando link aggregation entre eles. Os modelos CS101-8 e CS101-8FP suportam stacking de 2 unidades; os demais modelos suportam até 8 unidades. Útil em datacenters pequenos, salas de equipamentos e ambientes que precisam de uplink robusto entre andares.

Quando chamar um parceiro especializado para implementar AP6 e Switch?

Projetos pequenos (1-3 APs, 1 switch, escritório único) podem ser conduzidos por times internos de TI com bom conhecimento de redes corporativas. Acione um parceiro Sophos certificado quando:

• O projeto envolve site survey profissional (Wi-Fi com mais de 5 APs, áreas com alta densidade, ambientes complexos como hospitais ou indústrias).
• Há migração de APX para AP6 com necessidade de continuidade operacional sem interrupção para os usuários.
• Existe integração com Active Directory ou RADIUS para autenticação 802.1X em Wi-Fi corporativo e cabeado.
• O ambiente tem requisitos regulatórios verticais (LGPD em saúde, PCI-DSS em varejo, normas Anatel para Wi-Fi 6E) que exigem documentação formal.
• A empresa quer padronizar stack completo Sophos (Firewall + SD-RED + AP6 + Switch + Intercept X + Workspace Protection + MDR) em projeto único.
• Há operação multi-site distribuída com necessidade de orquestração centralizada e SLA de implantação.

Pronto para unificar sua rede corporativa em um único ecossistema Sophos?

A InfoB é parceira Sophos certificada e implementa projetos completos de rede corporativa Sophos — firewall, SD-RED, AP6, Switch, endpoints e serviços gerenciados — em empresas brasileiras de todos os portes. Conduzimos site survey, dimensionamos hardware, planejamos migração de fornecedores legados, integramos com Active Directory ou Microsoft 365 e treinamos seu time. Conheça a plataforma completa no guia completo do Firewall Sophos para empresas.