SERED - Seção de Rede de Computadores PDF

Anexo I Projeto Bsico
SERED Seo de Rede de Computadores

Projeto de Alta Disponibilidade e Segurana de Infraestrutura de Rede
JUSTIA FEDERAL
SEO JUDICIRIA DO ESPRITO SANTO
ANEXO I. Projeto Bsico

1 ESCOPO
O escopo desse projeto implementar solues de switch core, switch de borda,
sistema de controle de acesso rede, access points, sistemas de gerenciamento
wireless, acessrios e demais servios relacionados, compondo um Registro de
Preos com todas as solues necessrias para a alta disponibilidade e segurana de
infraestrutura da Justia Federal do Esprito Santo.

2 CENRIO ATUAL
Para melhor entendimento do projeto proposto, necessrio detalharmos a atual
estrutura de ativos e softwares que compem a rede de dados corporativa da JFES.

2.1 Permetro com a WAN
Garantindo a segurana do permetro da rede LAN com a WAN existem dois firewalls
Cisco, modelo ASA5520, com mdulo de IPS e operando em modo de alta
disponibilidade (ativo/standby).
Atravs desses equipamentos disponibilizada conectividade aos usurios que
necessitam de acesso externo aos sistemas e recursos corporativos. Para tal, foram
adquiridas licenas de VPN IP Sec e SSL para prover o referido acesso de forma
segura aos usurios e s aplicaes na rede LAN.

2.2 Camada do Core
Toda a infraestrutura de rede da JFES interligada em um equipamento de alta
capacidade de processamento, conhecido com Core.
No Core da rede encontra-se um switch chassi Cisco, modelo C6506E, com as
seguintes supervisoras e mdulos:
2 (duas) supervisoras 720Gbps, modelo VS-S720-10G-3C;
1 (um) mdulo de 48 interfaces 10/100/1000 RJ45, modelo WS-X6748-GE-TX;
1 (um) mdulo de 48 interfaces 10/100/1000 RJ45, modelo WS-X6548-GE-TX;
2 (dois) mdulos de 16 interfaces 10Gbps X2, modelo WS-X6716-10G-3C;
2 (duas) fontes de alimentao de 4000W AC;

JUSTIA FEDERAL

Esse modelo de switch possui apenas 6 slots para insero dos mdulos, sendo 2
para as supervisoras e 4 para os mdulos de interfaces e/ou servios.
Atualmente ele encontra-se com todos os slots ocupados pelos mdulos e
supervisoras descritos acima, sem condies de expanso.
As interfaces de 10Gbps fazem os uplinks com os switches de borda da rede LAN e os
mdulos de 48 portas 10/100/1000 a conexo com os servidores do Data Center.

2.3 Camada de Acesso
A camada de acesso composta por 28 switches Cisco, modelo C3560E. Todos os
switches possuem as 48 portas 10/100/1000 RJ45 com funcionalidade PoE e 2 portas
10Gbps X2 para os uplinks proporcionando um desempenho de 128 Gbps de
comutao de pacotes com taxa de encaminhamento de 101,2 Mpps.
O switch Cisco Catalyst 3560E possui funcionalidades de camada 3 podendo
implementar os protocolos de roteamento esttico e dinmico.

2.4 Soluo Wireless
Atualmente a JFES possui em sua rede wireless os seguintes ativos:
1 Controladora wireless Cisco modelo CT5508 com licena para
gerenciamento de at 50 access points;
50 access points Cisco modelo AIR1142 no padro IEEE 802.11 a/b/g/n;

Nesta rede no se encontra instalado o software de gerenciamento grfico da soluo
o que dificulta futuras implementaes de melhorias bem como a administrao atual
de incidentes na rede.
2.5 Soluo de Filtragem de Contedo Web e E-mail
Atualmente a JFES possui em sua rede wireless as seguintes solues:
Filtragem de E-mail: Conjunto de aplicaes instaladas de forma manual em
um servidor Linux, funcionando como filtro de spam somente. Soluo
complexa de alto custo de manuteno em horas/homem e com eficcia

JUSTIA FEDERAL
mdia. Atualmente gerando muitas reclamaes pela incidncia de spams que
passam pelo seu filtro e chegam aos usurios;
Filtragem Web: Proxy Squid funcionando como filtro e cache web em um
servidor Linux. A soluo consiste numa compilao de funcionalidades e
integrao com o servios de diretrio Active Directory. A soluo, por ser
monoprocessada e complexa, tem gerado reclamaes sobre lentido do
acesso internet mesmo com folga no link de dados. Tambm apresenta
elevado custo operacional na relao horas/homem;

Nesta rede no se encontra instalado o software de gerenciamento grfico da soluo
o que dificulta futuras implementaes de melhorias bem como a administrao atual
de incidentes na rede.

2.6 Topologia da Rede da JFES
Graficamente, podemos resumir a atual topologia da rede de comunicao de dados
da JFES, conforme segue:


JUSTIA FEDERAL

3 JUSTIFICATIVA
Diante das informaes acima, podemos destacar os seguintes pontos:
A falha de alguns equipamentos da rede pode gerar indisponibilidade total ou
parcial da rede;
A alta disponibilidade dos recursos de TI e segurana da informao so
exigncias e metas do CNJ (Resolues n 90 de 2009, n 99 de 2009 e n
136 de 2011 do Conselho Nacional de Justia).
Firewall/IPS
Switches de borda com PoE
Access Point
Switch Core
Controladora Wireless
Firewall/IPS
WAN
Links de 10G
Switches de borda sem PoE

JUSTIA FEDERAL
A possibilidade de uma gerncia centralizada traz como benefcios a
integrao entre toda a soluo proposta com a existente;
A plataforma hoje existente , conforme descrito acima, toda de um mesmo
fabricante Cisco, razo pela qual, pela necessidade de preservao do
investimento feito, da interoperabilidade entre os equipamentos, vital para
manter a redundncia da soluo dados os protocolos exigidos para tal.
A homogeneidade do ambiente promover a reduo do custo operacional,
medido em horas/homem, dado o nmero reduzido de servidores e sua
familiarizao com a plataforma existente, bem como maior agilidade na
resoluo de problemas.

Almejando atender os pontos destacados acima, esse projeto ter como foco a
aquisio dos equipamentos e softwares do fabricante Cisco e sero descritos apenas
por seus part numbers e, quando o caso assim o requerer, por informaes adicionais.

4 CENRIO FUTURO

4.1 Switch Core
O atual switch core da JFES no suporta um crescimento da rede por limitao da
quantidade de slots atuais. Ou seja, todos os seus 6 slots j esto ocupados com
mdulos de interfaces e supervisoras. Em termos de desempenho o equipamento
juntamente com sua atual supervisora atende aos requisitos de alta velocidade de
processamento e encaminhamento de pacotes da rede.
Para solucionar o problema de crescimento e ainda servir como o core redundante da
rede, propomos a aquisio do switch Cisco Catalyst C6513E com 13 slots disponveis
para mdulos de interfaces, servios e supervisoras. Essa quantidade de slots atende
aos requisitos previstos de crescimento da rede da JFES.
Nesse ambiente, os dois switches trabalharo em conjunto como se fossem apenas
um switch para o restante da rede. Essa funcionalidade permitida atravs da
tecnologia VSS Virtual Switching System, de propriedade da Cisco.
Com as duas supervisoras j existentes possvel implementar a configurao em
VSS, possibilitando seu aproveitamento nos dois equipamentos Core.
A tecnologia VSS permitida atravs da supervisora VS-S720-10G que atravs de
virtualizao consegue atribuir vrios chassis da famlia 6500 em um nico switch

JUSTIA FEDERAL
virtual. Isso aumenta a eficincia operacional, aumenta a largura de banda do sistema
para 1.4Tbps e garante a no interrupo das comunicaes.
A figura abaixo representa a diferena entre uma rede tradicional L2/L3 e a soluo
VSS1440:

Na soluo VSS a capacidade de comutao de pacotes de 720Gbps das duas
supervisoras so ativadas ao mesmo tempo o que faz com que o sistema aumente a
largura de banda para 1.4Tbps, aumentando a eficincia operacional e garantindo a
no interrupo das comunicaes.


JUSTIA FEDERAL
O VSL - Virtual Switch Link um link especial de conexo dos dois chassis que pode
consistir de at 8 x 10GE links. Todo o trafego pelo VSL encapsulado com um
cabealho de 32 bytes contendo o ndices de sada e entrada das portas do switch,
CoS, VLAN number, e outras informaes do cabealho L2/L3.
O Control Plane (software) usa o VSL para comunicao de CPU para CPU. J o Data
Plane (hardware) usa o VSL para estender o switch fabric interno para o chassi
remoto.
Apenas um membro do VSS tem o controle ativo da soluo e ambos os chassis so
mantidos em sincronismo atravs do mecanismo de interconexo SSO Statefull
Switchover, juntamente com o NSF Nonstop Forwarding, para prover comunicao
ininterrupta mesmo na ocorrncia de falha de uma supervisora ou chassi.
Os benefcios dessa soluo so:
Aumento da eficincia operacional pela simplificao da rede. (Apenas um
ponto de gerenciamento, configurao de apenas um switch, apenas um
endereo IP por VLAN ao invs de 3 usados nas redes L2/L3 tradicional,
elimina a necessidade do uso dos seguintes protocolos de balanceamento de
carga: HSRP, VRRP e GLBP);
Elimina a dependncia do protocolo spanning tree atravs do MEC
Multichassi EtherChannel que uma tecnologia L2 de multicaminhos;
Opes de implementao flexveis, ou seja os switches no precisam estarem
prximo fisicamente;
As comunicaes no so interrompidas na ocorrncia de falhas de umas das
caixas ou supervisora;
Utiliza o EtherChannel ou o protocolo Port Aggregation para recuperao de
links L2, eliminando a necessidade do protocolo spanning tree;
Aumenta a capacidade do sistema para 1.4Tbps;
Ativa toda a largura de banda L2 disponvel entre os dois chassis redundantes
mesmo no compartilhamento da banda. O compartilhamento da carga
otimizada atravs de informaes mais granulares nas camadas L2/L3/L4 ao
contrrio das VLANs que utilizam o protocolo spanning tree para o
compartilhamento da carga.
Permite a agregao de links para os servidores atravs de NIC teaming entre
os switches redundantes;
Pode ser implementado maximizando a utilizao de at 132 portas 10Gbps;
Conserva a largura de banda eliminando a inundao de pacotes unicast
causados por roteamento assimtrico na rede. Diminui o numero de saltos do
trfego na rede atravs do multichassi etherchannel;

JUSTIA FEDERAL
Usa as interfaces de 10 Gbps para interconexo dos chassis, permitindo
distncias flexveis para a implementao;

Para habilitar a funcionalidade de switch virtual e configurar o VSL entre 2 chassis
Catalyst 6500 necessrio usar a supervisora VS-S720-10G-3C ou a VS-S720-10G-
3CXL Virtual Switching Supervisor. So as nicas supervisoras que suportam o VSS.

Existe uma variedade muito grande de mdulos de interface utilizados na famlia do
switch 6500. Cada um com suas particularidades da arquitetura e desempenho. Sero

JUSTIA FEDERAL
registrados os mdulos que sero utilizados imediatamente e os que podero vir a ser
teis.
Diante das informaes acima e pensando-se no ambiente em alta disponibilidade o
novo switch core ser composto dos seguintes mdulos, alm do chassi com os 13
slots:
1 (uma) supervisora VS-S720-10G-3C. No primeiro momento ser utilizada
uma das duas existentes. Ou seja, cada switch ter apenas 1 supervisora VS-
S720-10G-3C.
2 (dois) mdulos WS-X6716-10G-3C com 16 interfaces 10GE cada totalizando
32 portas de 10GE Base X2.
2 (dois) mdulos WS-X6748-GE-TX com 48 portas 10/100/1000 RJ45.
2 (duas) fontes de alimentao de 6000W AC.

Com o espelhamento dos Cores, a fim de que ambos possam suportar o crescimento
previsto, garantindo redundncia, sero disponibilizados 01 chassi C6506E, 01 Fan
Tray e 02 fontes de 4000 WAC. Tais itens sero utilizados em outro projeto para
redundncia de Data Center.
Com a soluo de VSS todos os switches de borda devero estar conectados tambm
no switch core redundante formando o MEC Multichassi EtherChannel. Dessa forma,
consegue-se a alta disponibilidade da rede como um todo, das caixas e at mesmo
dos links.
A nova topologia passa a ser ento a apresentada abaixo:

JUSTIA FEDERAL

4.2 Soluo wireless
Como dito anteriormente a JFES conta com apenas 1 appliance de controladora da
rede wireless com suporte de licenas para 50 access point. Este modelo de
controladora, a CT5508, permite o upgrade de licenas para gerenciar mais Access
point no sendo necessrio portanto substituir o hardware. Ento caso seja necessrio
aumentar a rede wireless basta fazer a aquisio das licenas que so vendidas em
pacotes de 12, 25, 50, 100, 250 e 500.
Objetivando garantir a alta disponibilidade do Data Center e seus ativos importante a
aquisio da segunda controladora que far a redundncia do controle dos access
points caso uma falha crtica acontea com a atual. Trata-se de uma implementao
de topologia onde necessria a configurao da segunda controladora como backup
e dos access points para terem cincia da existncia da alta disponibilidade.

Basicamente a topologia em redundncia da rede wireless a apresentada abaixo:

JUSTIA FEDERAL

Visando um gerenciamento centralizado da rede wireless, necessria a aquisio da
ferramenta WCS Wireless Control System da Cisco
O WCS uma plataforma de gerenciamento de dispositivos de rede wireless
corporativa de acordo com os padres IEEE 802.11 a/b/g/n. Essa ferramenta permite
os administradores de rede sucesso no planejamento, na implementao, no
monitoramento, no troubleshooting e na elaborao de relatrios das redes wireless
indoor e outdoor de forma centralizada.
O WCS permite simplificar os projetos das redes wireless que suportam efetivamente
as aplicaes crticas do negcio em dados, voz e imagem. Ele facilita o processo de
posicionamento dos access points na planta, garantindo cobertura nas reas de
interesse, mesmo em locais irregulares e com muitas obstrues. Ou seja, esta
ferramenta d uma viso realista e clara do ambiente de RF para os administradores,
que podem reduzir e at mesmo eliminar RF imprprias, problemas de cobertura que
se transformaro em chamados abertos pelos usurios.

SERED - Seção de Rede de Computadores PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

SERED - Seção de Rede de Computadores PDF

Enviado por

Direitos autorais:

Formatos disponíveis

Anexo I Projeto Bsico

SERED Seo de Rede de Computadores

Você também pode gostar