ISSN 2316-2872

T.I.S. So Carlos, v. 3, n. 1, p. 1-10, jan-abr 2014

Tecnologias, Infraestrutura e Software

Reestruturao de Rede para melhoria do

Trfego e Segurana: a Reestruturao da Rede
de Computadores do DC
Gleise Segatto de Oliveira Teixeira, Jander Moreira
Resumo: O uso da rede do Departamento de Computao mudou bastante desde a implantao da rede estruturada no departamento. Os

grupos de pesquisa da ps-graduao tm criado seus prprios servidores, aumentou a quantidade de salas de docentes e de laboratrios de
ensino e a necessidade de aumentar a conectividade e o controle do uso da rede sem fio latente. Esse artigo apresenta uma viso geral de
como a rede atual do DC est organizada, os problemas e demandas que essa organizao apresenta e prope a reorganizao dessa rede para
prevenir problemas de desempenho e segurana e atender as demandas atuais.

Palavras-Chave: redes de computadores, qualidade de servio (QoS), segurana de redes.

Network restructure for improving traffic and safety: DC computer network restructure
Abstract: The use of the computer network at the Department of Computer Science has changed significantly since the implantation of the

structured networking. Post-graduate research groups have originated their own servers, the number ofoffices and laboratories has increased
and the need to increase connectivity and control ofthe wireless network infrastructure is latent. This paper presents an overview ofhow the
department networking is currently organized, the problems and demands that this organization presents and it also proposes a reorganization
ofthe network to prevent performance and safety problems and meet the current demands.

Keywords: computer networks, quality ofservice, network security

I. INTRODUO
O Departamento de Computao (DC) atua nas reas de
ensino, pesquisa e extenso em Cincia da Computao. Nele
so ministradas aulas para graduao e ps-graduao e
desenvolvidas pesquisas em diversas reas da computao. A
rede de computadores que interliga os equipamentos de
ensino e pesquisa fundamental para as atividades ali
desenvolvidas.
A rede de computadores do DC uma rede TCP/IP
baseada em Ethernet e composta de quatro segmentos
fisicamente distintos, cada um com sua prpria sub-rede de
endereos IP: rede de docentes e funcionrios, rede da psgraduao, rede de equipamentos destinados aos alunos de
graduao e rede sem fio.
A) Problema

Cada uma das quatro redes tem seu prprio segmento, mas
observa-se que a diviso atual do fluxo no favorece questes
de confinamento de trfego e tem exposies de segurana
indesejveis. Por exemplo, parte das estaes de trabalho dos
docentes compartilha o mesmo segmento de rede com
servidores, que tradicionalmente eram acessados diretamente.
Tambm no segmento de pesquisa, equipamentos de usurios
compartilham a mesma rede com alguns servidores que tm
visibilidade na rede externa. J no segmento de rede sem fio,

por tratar-se de uma nica rede,

Deste modo, vrias questes de desempenho e segurana
no so ideais. No h mecanismos de controle de banda e o
controle de segurana dificultado nesse ambiente que
mistura redes logicamente destinadas produo e
pesquisa.
Quanto segmentao lgica, a rede de ps-graduao tem
uma quantidade de equipamentos maior do que a quantidade
de endereos IP vlidos disponveis. Atualmente, no h
endereos IP disponveis para novos equipamentos.
De maneira geral, a atual organizao da rede impossibilita
o controle e o monitoramento desejveis de sua operao, a
segurana no acesso aos servidores no apropriada e o uso
indevido da largura de banda da rede tem ocorrido com certa
frequncia.
B) Objetivo

Este trabalho objetiva propor uma reestruturao para a

rede de computadores do DC de modo a facilitar o seu
gerenciamento, oferecer qualidade de servio adequada e
melhorar a segurana dos equipamentos conectados.
Definem-se, para isso, dois objetivos secundrios:

Avaliao e reestruturao fsica da rede;

Avaliao e reestruturao lgica da rede.

Por meio da melhor segmentao fsica da rede busca-se
Departamento de Computao - Universidade Federal de So Carlos (UFSCar)
Caixa Postal 676 13.565-905 So Carlos SP Brasil
Autor para correspondncia: gleise@gmail.com, jander@dc.ufscar.br

Glesie S; O. Teixeira, Jander Moreira

tornar possvel manter o fluxo de dados onde realmente

necessrio, reduzindo a competio pelo uso da rede e
controlando o uso da capacidade de transmisso. Com a
segmentao lgica dever ser possvel adicionar novos ns
(equipamentos com endereos reais) na rede e controlar
melhor os tipos de acessos entre os ns nos segmentos.
C) Metodologia

Antes de propor qualquer melhoria em uma rede de

computadores preciso conhecer sua estrutura fsica e lgica,
o padro de uso dessa rede e os problemas que so reportados
pelos usurios. As manifestaes dos usurios so
importantes, porque podem indicar um problema de fato ou
uma nova necessidade de funcionamento da rede.
Antes de propor a reestruturao da rede, a seo II traz os
dados pesquisados sobre os trabalhos relacionados para
buscar por solues e formas de abordagem j executadas.
Na seo III apresenta-se o resultado de um levantamento
da atual organizao fsica e lgica da rede. Para entender
interligaes fsicas e lgicas desenhou-se esquemas e mapas,
o que possibilitou identificar as segmentaes existentes e
suas limitaes de alcance e possveis locais de gargalo na
transmisso de dados entre os segmentos de rede.
Na seo IV mostra-se o resultado da verificao do padro
de uso da rede. Para tanto o IPtraf foi utilizado para capturar
os pacotes nos roteadores, mas para evitar sobrecarga
executou-se a captura por um curto tempo com frequncia
regular. Posteriormente, os dados foram analisados a fim de
verificar os servios mais usados, caracterizar o uso por
protocolo, verificar o uso de transferncia de dados entre subredes e o uso de endereos IP.
Na seo V prope-se um projeto da reestruturao lgica e
fsica da rede considerando as demandas identificadas e a
caracterstica de uso da rede, para melhorar o trfego e a
segurana entre os dispositivos.
Por fim, na seo VI prope-se alguns casos de teste e
ferramentas para execuo antes e depois da implantao da
reestruturao proposta, a fim de avaliar as mudanas e
verificar se as demandas foram atendidas e os problemas
resolvidos.
II. TRABALHOS RELACIONADOS
A melhoria da qualidade de rede, com relao a segurana,
desempenho e administrao, tem sido trabalhada sob vrias
abordagens diferentes.
Uma abordagem comum a reestruturao por VLANs,
como (HAFFERMANN, 2009) e (BARROS, 2007)
desenvolveram. (HAFFERMANN, 2009) faz um
levantamento das caractersticas, classificaes e
configuraes das VLANs, analisando os aspectos de
segurana, gerenciamento e de qualidade de servio, enquanto
(BARROS, 2007) foca no aspecto da segurana, levantando
as questes sobre segurana em uma rede local e as solues
que a implantao de VLANs pode oferecer.
(MARQUES, 2007) desenvolve um trabalho semelhante
para a rede do DI-FCUL1 , mas se concentra mais na questo
T.I.S. 2014; 3 (1): 1-10

da modernizao e migrao de seus servios.

Outro trabalho propondo reestruturao de rede
(PESSOA et al., 2006), mas sua escala consideravelmente
maior do que a rede do DC. Os autores propem a
interconexo entre vrias instituies utilizando fibra-tica
em uma topologia fsica hbrida (topologia anel associada
com a estrela) com trs nveis de funcionalidade de seus
elementos ativos: core, borda e consolidao.
Nesse trabalho feito o levantamento da rede atual
semelhante ao que (MARQUES, 2007) e (BARROS, 2007)
fizeram, focando na questo do trfego entre os segmentos de
rede, para poder determinar uma estrutura que melhor atenda
essa demanda. A proposta de reestruturao mantm a
topologia fsica atual que semelhante a de (PESSOA et al.,
2006) e adiciona a implantao de uma DMZ para melhorar a
questo de segurana.
III. A ATUAL REDE DO DC
Existem vrias maneiras de se caracterizar uma rede, entre
elas a mais usada o alcance geogrfico (FITZGERALD;
DENNIS, 2005). Nessa forma de caracterizao, as redes
locais (LANs), so as que ocupam um nico edifcio ou um
local com at poucos quilmetros de extenso.
Uma forma de distino das redes que pode-se assumir a
maneira com que os elementos das redes se comunicam.
Independente da tecnologia utilizada, pode-se assumir que
todos os dispositivos em uma mesma rede lgica constituem
um segmento de rede e a interligao entre diversos
segmentos de rede feita por uma rede backbone (BN), que
segundo (FITZGERALD; DENNIS, 2005), uma rede que
normalmente utiliza circuitos de alta velocidade para
interconectar vrios segmentos de rede e fornecer conexes
com outras BNs, MANs, WANs e com a Internet.
No caso do DC, os segmentos de rede j esto separados
fisicamente por meio de switches e com segmentao em
hardware de servidor. segmentao indicada por (PINHEIRO)
como uma opo de baixo custo para redes locais. A rede
composta por quatro segmentos de rede, um backbone com
dois roteadores e quatro switches, sendo que cada roteador
est ligado a um ponto de sada para a rede UFSCar (WAN).
Um roteador (r1) atende o segmento de rede da graduao
e outro roteador (r2) atende os demais segmentos de rede, que
so: o de ps-graduao, o dos docentes e funcionrios e o
segmento de rede sem fio.
Cada segmento de rede tem um switch de backbone ligado
ao roteador. Nesses switches so ligados os servidores e
demais switches de distribuio.Alguns servidores esto
ligados a mais de uma rede para facilitar o acesso e o trfego
de dados, como mostra a Figura 1.
A) Organizao fsica

Os pontos de comunicao com a rede UFSCar

(backbone do campus) chegam por fibra-tica e por meio de
____________________________
1 Departamento de TI, Faculdade de Cincias, Universidade de
Lisboa
2

Reestruturao de rede para melhoria do trfego e segurana: a reestruturao da rede de computadores do DC

de rede como mostra a Figura 2.

Entre as duas salas h quatro ligaes via cabos conectados
aos patch panels. O nico segmento de rede com switch de
distribuio nos dois pisos o segmento de rede de docentes
e funcionrios. O acesso s outros segmentos de rede feito
usando pontos especficos nos patch panels.

um conversor so ligados aos roteadores, aos quais os

switches do backbone so conectados para fazer a
distribuio dos sinais (pacotes) da rede. Todo o cabeamento
entre os patch panels utiliza cabos Cat 6, permitindo a
transmisso de at 1GB de uma ponta a outra.
H duas salas de equipamentos, cada uma em um piso do
prdio. Em cada sala h pontos de distribuio dos segmentos

Figura 1. Viso geral da rede do DC.

endereos IP de uma rede privada, fazendo com que esse o
segmento de rede tenha duas redes lgicas (uma de endereos
reais e outra de privados).
No segmento de rede de docentes e funcionrios h
aproximadamente 120 estaes de trabalho e os servidores de
e-mail, hospedagem, rea de usurios, SSH e proxy.
No segmento de rede sem fio h 9 pontos de acesso sem
fio. Os dispositivos conectados recebem (via DHCP)
endereos IP na mesma classe dos pontos de acesso.
A topologia lgica da rede do DC est representada pela
Figura 3.

B) Organizao lgica

No segmento de rede da graduao h 144 estaes de

trabalho e alguns servidores de apoio para hospedagem de
pginas, rea de usurio, e-mail e ssh. No segmento de rede
da ps-graduao so 234 estaes de trabalho e mais alguns
servidores gerenciados pela equipe de cada laboratrio.
Como a quantidade de estaes de trabalho, somada aos
notebooks usados pelos alunos de ps-graduao, maior do
que a quantidade de endereos IP disponveis para essa rede,
foi configurado nela um servidor DHCP (Dynamic Host
Configuration Protocol) que entrega, de maneira automtica,

Figura 2. Distribuio dos equipamentos de rede nas salas de TI.

3

T.I.S. 2014; 3 (1): 1-10

Glesie S; O. Teixeira, Jander Moreira

Figura 3. Topologia lgica da rede do DC.

IV. CARACTERIZAAO DO ESTADO ATUAL DA REDE DO DC
Para a caracterizao do trfego da rede do DC foi
realizado um estudo usando o software IPTraf2 .
IPTraf um software de monitoramento de redes IP. Com
ele possvel observar aspectos do trfego IP em uma
determinada interface de rede, podendo inclusive determinar
por quanto tempo o monitoramento deve ser executado.
Optou-se por colher amostras de trfego na rede do DC de
hora em hora durante os cinco primeiros minutos no ms de
setembro, j que esse perodo deveria observar um perodo de
utilizao tpica dos segmentos de rede no DC.

recebe dois endereos para computadores em seus gabinetes e

cada funcionrio, um. Na rede da ps-graduao, cada
laboratrio tem um nmero fixo de endereos IP que pode ser
utilizado.
Atualmente, o nico segmento de rede que est com falta de
endereos pblicos para serem atribudos a da psgraduao. Dada a forma de distribuio atual de endereos
pblicos nessa rede, uma questo hoje saber se essa rede
realmente usa todos os endereos distribudos, ou melhor, se o
problema de falta de endereos pblicos seria resolvido com o
uso de distribuio dinmica de endereos IP.
Filtrando as amostras obtidas via IPTraf, foi possvel contar
a quantidade de endereos IP da sub-rede de ps-graduao
realmente usados durante o perodo analisado. Somando os
IPs privados e pblicos, o dia com maior uso ocupou 115
endereos. A Figura 4 ilustra a distribuio de uso de
endereos durante o esse perodo.

A) Endereos IP e trfego entre sub-redes

A distribuio dos endereos IP para cada segmento de

rede com faixas de endereos pblicos feita de maneira
determinada. Na rede da graduao, cada computador recebe
um IP. Na rede de docentes e funcionrios, cada docente

Figura 4. Uso dos endereos IP na rede da ps-graduao.

_________________________
2 Site oficial do IPTraf: http://iptraf.seul.org.
T.I.S. 2014; 3 (1): 1-10

Reestruturao de rede para melhoria do trfego e segurana: a reestruturao da rede de computadores do DC

Um problema recorrente no uso do segmento de rede de

ps-graduao est na transmisso de dados entre sua rede de
IP pblico e sua rede de IP privado. Os dispositivos esto na
mesma rede fsica, mas como esto em redes lgicas
distintas, todo o trfego entre essas redes passa pelo roteador
na mesma interface, e em alguns momentos causa um grande
congestionamento em toda o segmento de rede como mostra
a Figura 5.
No caso da Figura 5, entre as semanas 31 e 32 houve um

trfego de 50 Mbps tanto de upload como de download na

mesma interface (eth2). Nesse momento, a rede acaba ficando
congestionada prejudicando toda a rede de ps-graduao.
Ao analisar o trfego no segmento de rede da psgraduao durante o ms de setembro, constatou-se que
19,1% do volume de dados transmitidos no perodo foi
transmitido entre a rede pblica e a rede privada do segmento
de rede da ps-graduao. A caracterizao geral dessa anlise
pode ser observada na Figura 6.

Figura 5. Exemplo de transmisso entre a rede pblica e privada da ps-graduao.

Figura 6. Grfico de caracterizao do uso da rede da ps (setembro 2012).

Funcionrios foi usado para transmisso de mais dados via
UDP do que TCP, como mostra a Figura 7. No entanto, ao
verificar os servios mais acessados, vemos que ao agrupar
por servio, o maior volume est nos servios TCP, como
mostra a Figura 8.

B) Perfil do trfego e volume de dados transmitidos

Quanto ao uso dos canais externos de comunicao, o

segmento de rede da graduao tem um canal dedicado a ela e
usa, em mdia, 4Mbps da banda, com um mximo de 10
Mbps de uso. Os demais segmentos de rede (ps-graduao,
docentes e funcionrios e sem fio) utilizam o outro canal
apresentado na Tabela 1.

C) Localizao de servidores e estaes de trabalho

A rede do DC, por meio das LAN de docentes e

funcionrios e do segmento de rede da graduao, oferece
vrios servios, tais como e-mail, hospedagem de pginas e
sistemas, rea de arquivos, ferramenta para ensino a distncia
(moodle), proxy web (para acesso a peridicos restritos), SSH,
banco de dados, etc. O fato dos servidores desses servios
estarem na mesma rede fsica e lgica das estaes de trabalho
facilita o acesso interno, mas deixa os servidores vulnerveis a
ataques dos prprios usurios ou proveniente de mquinas
infectadas. Alm disso, o controle de uso de banda tambm
dificultado, j que os servidores no esto separados das
estaes de trabalho.

Tabela 1. Uso do canal externo controlado pelo r1

Analisando o uso da banda por protocolo, vemos que os

segmentos de rede da Ps-Graduao e de Docentes e
5

T.I.S. 2014; 3 (1): 1-10

Glesie S; O. Teixeira, Jander Moreira

Figura 7. Uso da banda por protocolo em cada segmento de rede.

Figura 8. Servios mais usados em toda a rede do departamento (setembro/2012).

endereos de rede utilizados, a fim de monitorar o uso do
segmento, inibir possveis abusos de utilizao e at viabilizar
a implantao de normas de utilizao.

Os laboratrios de pesquisa da ps-graduao tambm tm

seus servidores, usados para testes de aplicativos, como rea
de usurios ou at para hospedar desktops virtuais. Alguns
desses servidores precisam ter visibilidade externa para que
usurios de diversos lugares possam usar e testar as
aplicaes desenvolvidas pelos grupos de pesquisa, estando
os servidores na mesma rede das estaes de trabalho,
incorremos no mesmo problema citado para os outros
segmentos de rede.

E) Organizao da estrutura fsica

Existe uma demanda por conectar laboratrios e servidores

existentes no piso inferior do prdio ao segmento de rede de
ps-graduao, cujo todo segmento fsico est instalado
somente no piso superior. O mesmo ocorre com o segmento
de rede da graduao, que est instalada somente no piso
inferior e se faz necessrio ter um ponto de distribuio no
piso superior. Para prover esses acessos ser preciso um ajuste
na segmentao, distribuindo melhor os segmentos fsicos.

D) Identificao dos usurios

Dada a flutuao de usurios no segmento de rede da psgraduao, h a necessidade de implantar uma forma de
identificao dos usurios desse segmento associados aos
T.I.S. 2014; 3 (1): 1-10

Reestruturao de rede para melhoria do trfego e segurana: a reestruturao da rede de computadores do DC

V. PROJETO DA REESTRUTURAAO
A) Reestruturao Lgica

Como pode-se ver na Figura 4, a distribuio dinmica de

endereos no segmento de rede da ps-graduao deve
solucionar o problema de falta de IP. Com a configurao de
todo o segmento fsico do segmento de rede da ps-graduao
na mesma rede lgica, o problema de gargalo quando se
transferiam dados entre as duas redes lgicas no segmento de
rede da ps-graduao ser resolvido.
Uma soluo ao problema dos servidores junto com
estaes de trabalho separ-los criando uma DMZ. Alm da
DMZ para os servidores com visibilidade externa, tambm
precisaremos de outra para servidores com visibilidade
interna, para melhorar a segurana de acesso aos dados
crticos, necessrio para autenticao de usurios, por
exemplo.
Para melhorar a segurana e o controle de acesso aos
servidores com visibilidade externa, um segmento fsico e
lgico ser separado para a implantao de uma delimitarized
zone, ou zona desmilitarizada (DMZ). Todo servidor com
visibilidade externa dever ser alocado nesse segmento pois
nele, o controle de acesso, tanto a partir da rede externa
quanto a partir da rede interna dever ser mais claro, rgido e
gerencivel. Essa reorganizao tambm proporcionar o
confinamento de trfego originado externamente.
Uma DMZ uma rede que tem um firewall para controlar
os acesso da rede externa aos servidores, limitando os tipos
de servios cujo acesso externo permitido e um servidor
proxy/firewall que controla o acesso da rede interna ao
servidores e rede externa, como explica (FITZGERALD;
DENNIS, 2005).
A faixa de endereos a ser utilizada para a DMZ ser a
atual segmento de rede da graduao. Para atender aos
laboratrios da graduao um segmento de rede com
endereos privados ser configurada e ser instalado um
servidor proxy NAT (network address translation) para
fornecer o acesso aos segmentos de rede e Internet. Com a
traduo de endereos feita pelo NAT a distribuio ( talvez
quantidade, disponibilidade) de endereos IP fica resolvida.
Como ilustrado na Figura 9, propem-se colocar um
servidor (r1) para fazer o papel de roteador, proxy NAT e
firewall, tanto para o segmento de rede da graduao quanto
para a DMZ.
Ao passar os servidores de servios e pesquisa para a
DMZ, o fluxo de dados que outrora era roteado pelo roteador
r1 agora passar a ser roteado pelo r2 que tambm atende o
segmento de rede da graduao. O roteador r1 passar a
receber e controlar maior quantidade de fluxos de entrada
(download) do que de sada (upload) facilitando a gerncia de
regras no firewall e o controle de trfego, mas r2 continuar
tendo que controlar fluxos semelhantes de sada e entrada,
mantendo assim a atual dificuldade de controle do trfego e
das regras de segurana.

Figura 9. Reorganizao - Criando a DMZ.

Como h dois acessos WANs, propem-se alocar um
roteador/firewall (r1) e uma WAN para a DMZ, e alocar a
outra WAN com um roteador/firewall (r2) para os segmentos
de rede com estaes de trabalho, como ilustra a figura 10.

Figura 10. Proposta - separando a DMZ e as

estaes de trabalho.
Com essa proposta, todos os segmentos de rede com
estaes de trabalho so redirecionados para o mesmo
roteador/firewall. Ocorre que os segmentos de rede da
graduao e da ps-graduao devem ter um maior controle,
implantando inclusive um sistema de autenticao para
identificao dos usurios na rede. Para possibilitar tal
instalao, ser preciso colocar um servidor gateway (g1) para
esses segmentos de rede, separando-as, como ilustra a Figura
11.
7

T.I.S. 2014; 3 (1): 1-10

Glesie S; O. Teixeira, Jander Moreira

Figura 11. Firewall para servidores internos e gateway para

rede de alunos.

Figura 12. Segmentos de rede de laboratrios com acesso a

servidores internos.

Alm dos servidores de servios e pesquisa com

visibilidade externa, tambm h servidores internos servindo
servios de autenticao (LDAP), bancos de dados, sistemas
de arquivo (NFS) e outros. Para preserv-los de possveis
acessos indevidos via os servidores da DMZ ser necessrio
implantar um servidor firewall (f1), entre a DMZ e esses
servidores, como ilustra a Figura 11.
Alguns servidores crticos podem ser acessados pelos
servidores na DMZ, por exemplo, um site autenticando no
servidor de LDAP ou acessando um banco de dados. Outros
servidores internos podem ser acessados pelos segmentos de
rede de estaes de trabalho, como por exemplo a montagem
de rea pessoal via NFS ou a autenticao dos laboratrios de
ensino via samba. Para possibilitar o acesso dos segmentos de
rede aos servidores internos, ser preciso conectar o firewall
f1 com o g1, como ilustrado na Figura 12.

B) Reestruturao Fsica

Para viabilizar a organizao lgica proposta e tambm

flexibilizar e facilitar a organizao dos seguimentos fsicos
ser preciso instalar switches de distribuio de todos os
segmentos de rede nos dois pisos do prdio.
No piso superior (como mostrado na Figura 2) deve ser
instalado um switch para conexo dos servidores na DMZ. No
piso inferior devem ser instalados dois switches para
distribuio do segmento de rede de ps-graduao e do
segmento de rede sem fio. Para isso podero ser usados os
quatro pontos interligando os racks do piso superior e inferior.
A Figura 13 ilustra essa modificao. Pode-se notar que foram
adicionados os switches de distribuio sugeridos nos dois
pisos e os quatro pontos que interligam os dois pisos via
patch-panels foram usados para ligar os switches de
distribuio.

Figura 13. Proposta de novos equipamentos de rede nas salas de TI.

T.I.S. 2014; 3 (1): 1-10

Reestruturao de rede para melhoria do trfego e segurana: a reestruturao da rede de computadores do DC

Com um switch de distribuio do segmento de rede de

ps-graduao no piso inferior, ser possvel conectar os
servidores de pesquisa localizados nesse piso, possibilitando o
trfego direto das estaes de trabalho dos alunos de psgraduao com seus servidores de pesquisa.
A instalao de um switch de distribuio para o segmento
de rede sem fio no piso inferior facilitar a adio de mais
pontos de acesso sem precisar passar novos cabos entre os
pisos.

Tabela 2. Roteiro da abordagem do problema de

reestruturao

VI. TESTES A SEREM FEITOS ANTES E DEPOIS DA IMPLANTAAO

Ser planejado um conjunto de testes a serem executados
antes e depois da implantao para avaliar os resultados das
modificaes.
Quanto a performance da rede, o software escolhido para
fazer os testes ser o JPerf3 , que uma interface grfica para
o Iperf. "Iperf permite testar vrios tipos diferentes de
comunicao TCP e UDP entre dois hosts em uma rede e pode
ser usado tanto em ambientes Unix e Windows. O Iperf pode
ser usado para determinar as estatsticas padres de
performance da rede." (GONSAI; JANI; KUMBHARANA,
2004)
O seguinte conjunto de testes dever ser executado antes e
depois da implantao da melhoria na rede do DC:
1. Teste de comunicao de cada segmento de rede com
a DMZ: dever ser configurado um servidor JPerf na DMZ e
clientes JPerf em cada segmento de rede para simular a
comunicao de cada segmento de rede com a DMZ;
2. Teste de comunicao entre os segmentos de rede de
usurios: dever ser configurado um servidor JPerf e um
cliente em cada segmento de rede, para simular a
comunicao entre os segmentos de rede. Como existem
quatro segmentos de rede, sero doze testes ao todo;
3. Teste de comunicao entre DMZ e Servidores
Internos;
4. Teste de comunicao entre os segmentos de rede e
Servidores Internos.
Para verificar a implantao quanto segurana, o software
escolhido foi o Nmap (Network Mapper). Com ele ser
possvel explorar a rede e fazer auditoria de segurana, como
indicado por (LYON, 2012). Nmap no permite identificar
vulnerabilidade nas mquinas, mas permite o rastreamento de
portas a partir dos vrios pontos da rede do DC. Executando o
rastreamento antes e depois da implantao, ser possvel
verificar se ela de fato restringiu os acessos aos servidores na
DMZ.

O passo 1 corresponde ao levantamento dos dados da

estrutura fsica atravs da documentao dos equipamentos
(quantidade de portas usadas e caractersticas tcnicas) e do
desenho de mapas e esquemas indicando os locais dos
equipamentos e as ligaes entre eles.
O passo 2 corresponde ao levantamento da estrutura lgica
atravs da identificao dos segmentos de rede e dos servios
de organizao desse segmento (DHCP, DNS e roteamento).
O passo 3 corresponde ao levantamento das demandas junto
aos usurios da rede, relacionando essas demandas com os
segmentos e equipamentos envolvidos.
O passo 4 corresponde ao estudo do padro de uso da rede
atravs da anlise do trfego entre os segmentos e entre a rede
interna e externa (WAN). Para isso foi usado o IPTraf no
servidor de roteamento.
O passo 5 corresponde ao projeto da reestruturao que
deve ter como prioridade atender as demandas levantadas no
passo 3 observando possveis expanses futuras.
O passo 6 corresponde ao planejamento de casos de teste,
para que se possa verificar se a implantao da reestruturao
atendeu as demandas levantadas no passo 4.
Este roteiro foi construdo com base nas necessidades
estabelecidas neste projeto e seguem, em grande parte,
restries existentes na rede que foi objeto deste estudo. H
melhorias que podem ser includas que o tornariam mais
genrico, porm, em sua forma atual, pode ser empregado em
cenrios diferentes do apresentado com poucas ou at
nenhuma alterao, dependendo das caractersticas da rede.

VII. ROTEIRO GERAL DA ABORDAGEM

Para a abordagem desse problema foi estabelecido um
roteiro que organizasse os procedimentos e aes. Este tpico
apresenta esse roteiro de forma sumarizada na Tabela 2.
__________________________
3 JPerf site: http://sourceforge.net/projects/jperf

VIII. CONCLUSO
O presente trabalho focou-se na avaliao e reestruturao
9

T.I.S. 2014; 3 (1): 1-10

Glesie S; O. Teixeira, Jander Moreira

das redes lgica e fsica do DC.

Com o uso do IPtraf foi possvel levantar os dados
necessrios para caracterizar o uso de endereos IP e de
trfego na rede do departamento. Ao avaliar os dados obtidos,
identificou-se que atravs da reestruturao lgica ser
possvel a adio de novos ns no segmento atualmente
saturado. Tambm foi identificado que uma parte
considervel do trfego de dados feito via UDP, mas que os
servios mais usados so os servios que usam o protocolo
TCP.
Baseado na caracterizao da rede, foi proposta uma
reestruturao fsica que possibilitar gerenciar melhor os
acessos internos e externos ao servios de TI oferecidos pelo
departamento e pelos grupos de pesquisa. O controle de uso
da capacidade de transmisso ser possvel com a
implantao da segmentao que separa estaes de trabalho
de servidores.
Para poder avaliar a implantao da reestruturao, foram
propostos testes a serem feitos antes e depois da implantao.
IX. TRABALHOS F UTUROS
Nesse trabalho a rede do DC foi caracterizada e foi
proposta uma reestruturao lgica e fsica para facilitar seu
gerenciamento, oferecer qualidade de servio adequada e
melhorar a segurana dos equipamentos. Tambm foi
proposto um conjunto de testes a serem feitos antes e depois
da implantao para avaliar o resultado das modificaes.
Para que os testes feitos sejam consistentes antes e depois
da implantao, ser til a elaborao de um roteiro detalhado
de testes usando as ferramentas propostas nesse trabalho.
Construir um roteiro expandido e mais geral para ser
empregado em mais cenrios poderia ser feito como trabalho
futuro.
Outras ideias de trabalhos futuros so: desenvolver o
isolamento dos segmentos de rede, desenvolver o
posicionamento de servidores onde so necessrios ou
desenvolver a diminuio de ns intermedirios.

T.I.S. 2014; 3 (1): 1-10

X. REFERNCIAS B IBLIOGRFICAS
HAFFERMANN, L. Segmentao de Redes com VLAN.
Curitiba:,
nov.2009.
Disponvel
em:
<http://www.ppgia.pucpr.br/~jamhour/RSS/TCCRSS08A/
Leonardo%20Haffermann%20-%20Artigo.pdf>. Acesso
em: jan. 2012.
BARROS, O. Segurana de redes locais com a
implementao de VLANs O caso da Universidade Jean
Piaget de Cabo Verde. Cabo Verde:Universidade Jean
Piaget de Cabo Verde, maio2007. Disponvel em:
<http://bdigital.cv.unipiaget.org:8080/jspui/handle/10964/
138>. Acesso em: jan. 2012.
MARQUES, N. M. L. Estudo de melhorias ao nvel do
desenho da arquitectura da rede do DI. :Universidade de
Lisboa,
jun.2007.
Disponvel
em:
<http://hdl.handle.net/10451/1210>. Acesso em: 13 jan.
2012.
PESSOA, M. S.; CAMARGO, L. E. S.; AMARAL, M. B.;
VITORINO, A. J. Adequao Tecnolgica da Rede de
Dados do Complexo do Hospital das Clnicas da
Faculdade de Medicina da Universidade de So PauloHCFMUSP.
:,
out.2006.
Disponvel
em:
<http://www.sbis.org.br/cbis/arquivos/791.pdf>. Acesso
em: 13 jan. 2012.
FITZGERALD, J.; DENNIS, A., Comunicaes de Dados
Empresariais e Redes, 2005
PINHEIRO, C. D. B. Tcnicas de Segmentao de Baixo
Custo para Redes Locais de Computadores. Disponvel
em:
<http://cassio.orgfree.com/publicacoes/TecnSegmBaixoCu
stoLANs.pdf>. Acesso em: 28 jan. 2012.
GONSAI A. M.; JANI N.N.; KUMBHARANA C.K.,
Network Traffic Monitoring & Performance Tuning
through open sorce tools: a comparative study, 2004
LYON, G.. Guia de Referncia do Nmap. Disponvel em:
<http://nmap.org/man/pt_BR/index.html#mandescription>. Acesso em: out. 2012.

10