Escolar Documentos
Profissional Documentos
Cultura Documentos
www.projetoderedes.com.br
Projeto Integrado
So Paulo
2005
Projeto Integrado
4 Semestre
Gustavo Sester
Henrique M. Chaves
Hugo de Oliveira
Leandro S. Melo
Renato P. Laguna
Professor Responsvel:
Lisandro
So Paulo
29/11/2005
NDICE / SUMRIO
1. Introduo...................................................................................................................5
2. Resumo .......................................................................................................................5
3. Cenrio Atual ..............................................................................................................5
3.1. Problemtica............................................................................................................5
3.2. Levantamento ..........................................................................................................5
3.3. Planejamento ...........................................................................................................6
4. Soluo .......................................................................................................................6
4.1. Equipamentos e Estaes. .....................................................................................6
4.2. Servidores................................................................................................................7
4.2.1 Backups ................................................................................................................7
4.2.2 Servidor de Banco de Dados, Arquivos e Antivrus...........................................8
4.2.3 Servidor de Aplicao e Impresso .....................................................................8
4.2.4 Servidor de AD, DHCP, DNS, WINS e Monitoramento........................................9
4.2.5 Servidor de Web, E-mail e Intranet ......................................................................9
4.2.6 Servidor IDS...........................................................................................................9
4.2.7 Servidor FireWall...................................................................................................9
4.3. Implementao do VoIP. .........................................................................................9
4.4. Segurana ..............................................................................................................11
4.4.1 Controle de Diretrios.........................................................................................11
4.4.2. Firewall HardWare ..............................................................................................12
4.4.3. Firewall Iptables .................................................................................................13
4.4.4. Servio Ipsec ......................................................................................................15
4.4.5. Bastion Host .......................................................................................................15
4.4.6. Antivrus Centralizado .......................................................................................16
4.4.7. Distribuio dos IPs..........................................................................................17
4.4.8. Redundncia de link...........................................................................................17
5. Protocolos Principais...............................................................................................17
5.1 OSPF Open Shortest Path First .........................................................................17
5.2 VRRP Virtual Router Redundancy Protocol......................................................19
6. Topologias ................................................................................................................19
1. Introduo
No projeto a seguir temos a soluo de infra-estrutura de redes em sua parte fsica
e lgica gerada a partir da proposta da empresa poco pra nois que atua no ramo
alimentcio e possui ao todo 4 filiais conectadas a sua matriz. Foi pedido pelo gerente
da empresas o Sr. Rogrio Pereira um sistema de preveno na matriz que funcione no
sistema 24 horas 7, dias por semana, j nas filiais no requer toda a mesma estrutura
porem deve ser boa suficiente ponto de corresponder s necessidades de
redundncia bsica e no ficando mais do que um dia fora.
2. Resumo
Foi elaborado um projeto de soluo buscando segurana performance e
praticidade onde buscamos manter na matriz uma centralizao de todos os dados
contidos em 4 filiais e tambm do acesso a Web uma vez que hoje temos links
individuais e no proporcional aos servios atendidos, por tanto temos na matriz um
investimento maior pois seu sistema de segurana requer mais cuidado e preparao.
Nas filiais foram elaborados sistemas mais simples porem com capacidade de
funcionamento equivalente ao apedido pelo cliente.
3. Cenrio Atual
3.1. Problemtica
Falta de conexo entre matriz e filiais;
3.2. Levantamento
Fazer levantamento local dos equipamentos;
3.3. Planejamento
Interligar a Matriz as Filiais 4 ao todo;
Para que seja cumprido todos os pontos a cima ser firmado um acordo com o as duas
empresas prevendo uma multa de 50% baseada no valor de mo de obra no caso do
no cumprimento de ambas.
4. Soluo
4.1. Equipamentos e Estaes.
O cliente possui na Matriz apenas 1 Servidor (Pentium 3 de 1GHz, 512MB de
RAM, Hard Disk de 80GB e Windows 2000 Server), 49 Estaes sendo que estas esto
padronizadas com a mesma configurao (Pentium 2 500GHz, 128MB de RAM, Hard
Disk de 10GB e Windows 98 SE). Nas duas filiais que j esto em funcionamento a
configurao das estaes so a mesma porem as filiais no possuem servidor. Para
as filiais que sero abertas as configuraes das estaes devero manter o mesmo
padro. O cliente tambm possui 1 Switch de 8 portas ligando 8 HUBs de 12 portas
para distribuir o sinal da Rede, o cabeamento feito por cabos UTP em canaletas
separada da rede eltrica. A topologia atual se baseia em desenhos feito pela pessoa
que foi contratada para fazer a rede tanto da matriz como das filiais. De acordo com os
dados acima citados solicitamos:
28 Servidores para Matriz e Filiais sendo que sero 5, para suportar os servios
de AD (Active Director), DHCP (Dynamic Host Configuration Protocol), DNS
(Domain Name System),
WINS
6 Roteadores sendo que 2 ficaram na Matriz para dar suporte a uma rede 24h
por 7 solicitado pelo cliente e os outros 4 sero para as respectivas filiais.
As estaes podem ser mantidas no padro atual incluindo as duas novas filiais
e o servidor existente ser utilizado para espelhamento da configurao dos
Roteadores que ficaram na Matriz. Alem das Estaes que ser adquiridas para
as novas filiais de acordo com o cliente o total de 50 para cada uma ser
necessrio a compra de uma a mais para cada filial, ou seja, mais 4 que serviro
para o espelhamento de seus respectivos roteadores.
A rede Eltrica devera ser revisada por uma terceira companhia onde deve ser
verificado se a mesma se encontra nos padres adequados para suportar o
servio. Na Matriz dever existir um sistema que suporte quedas de energia para
que a rede no possa parar pois no trabalhamos com sistemas de redundncia
de rede eltrica.
4.2. Servidores
A seguir teremos as definies bsicas dos servidores que sero utilizados para a
realizao do projeto.
4.2.1 Backups
O backup dos dados da empresa ser feito em duas etapas:
Backup local e dirio. Ser feito o backup dos dados (a critrio da empresa)
diariamente, tanto na matriz quanto nas filiais. Ser utilizada a ferramenta de
7
Backup Dirio Centralizado. No final do dia, aps o expediente, o backup que foi
feito na matriz e nas filiais, sero enviados para um servidor de backup central,
localizado na matriz. O software de backup utilizado no servidor de backup
central ser o S.O.S Backup Database da fabricante Virtos. O backup central
ser feito automaticamente, em horrio agendado no prprio software. Os dados
sero gravados e espelhados em HDs especficos.
Tanto os Backup`s locais quanto o central sero do tipo incremental, onde sero
gravados apenas os arquivos que foram alterados depois do ltimo backup. Os horrios
dos backup`s sero determinados de acordo com o melhor momento para que este no
interfira no desempenho da Rede.
Processador Pentium 4 HT de 3.0 Gb, 1 GB RAM, HD de 80 GB no local e de 500
GB no Central.
4.2.2 Servidor de Banco de Dados, Arquivos e Antivrus
No servidor de banco de dados ser instalado o SQL Server 2000 da Microsoft.
Este servidor ser acessado pelos principais aplicativos utilizados na empresa. Para ser
acessado, o usurio precisar de uma conta com permisso, o mesmo servidor ter
configurados os servios de arquivos e antivrus. Processador Pentium 4 HT de 3.0 Gb,
1 GB RAM, HD de 80 GB.
4.2.3 Servidor de Aplicao e Impresso
O servidor de aplicao conter todos os principais programas utilizados pela
empresa. O servio utilizado para gerenciamento dos aplicativos ser o do prprio
sistema operacional, Windows Server 2003 (GPO Group Policy Object) de acordo
com as permisses de acesso de cada usurio. O prprio Windows Server 2003 ira
controlar tambm as impresses, atravs de seu servio de impresso de acordo com
as permisses nele configurado. Processador Pentium 4 HT de 3.0 Gb, 1 GB RAM, HD
de 80 GB.
8
em caso de crescimento sem o aumento de link poder ser feita a substituio dos
Codecs por um de menor consumo consecutivamente com menor qualidade. Exemplos
de Codecs que podem ser utilizados e que tambm so suportados pelo Gateway
utilizado so os G729 de 7,3 a 36 kbps e G711, 70,2 a 82,7 kbps.
Descries do equipamento VoIP GW Mod. 4 slots mais Controle de Banda mais
Gatekeeper.
Os gateway VOIP Phoneway agregam a mais avanada tecnologia para conectar
suas ligaes telefnicas via Internet.
Com os equipamentos Phoneway, voc ter a melhor qualidade de voz, devido a
funo QoS (Quality of Service) e ToS (Type of Service), alm de possuir um algoritmo
que garante a recuperao de pacotes, mesmo em redes com 20% de perda de
pacotes.
Os Gateways phoneway possuem um recurso patenteado de aprendizado do tom
de desconexo do PABX, garantindo que o equipamento se adequar a qualquer marca
e modelo de PABX e no haver o problema de travamento da porta do Gateway.
O equipamento phoneway j vem com software de bilhetagem gratuito. Os
gateway Phoneway inter operam com Microsoft NetMeeting, CISCO, Lucent, OK1,
RadVision, NetSpeak, equipamentos compatveis com H.323 v2/v3 & H.323 Open
Gatekeeper, entre outros.
O PHWS-2500GK conta com 4 slots, que aceitam mdulos de 04 portas, 1 porta
WAN e 1 porta LAN. Este equipamento possui o recurso de IP sharing, podendo estar
na frente do Firewall/NAT, compartilhando o mesmo IP. O equipamento PHWS2500GK, empalhvel at 10 peas permitindo a implementao de 160 portas em um
nico IP. Outra vantagem deste equipamento o recurso de controle de banda que
permite configurar quanto cada estao da rede vai usar para web e-mail ou para
qualquer outro aplicativo, alm de permitir a priorizao de alguma aplicao (VoIP,
ERP, etc.), e este recurso funciona em qualquer link de dados (Internet, ADSL,
Wireless, Frame Relay, etc). Alm de ser um gateway de Voz sobre IP (VoIP), este
equipamento poder atuar como o Gatekeeper de sua rede de VoIP.
10
4.4. Segurana
A segurana ser tratada de uma geral, ou seja, espao fsico e lgico. Desta
forma pedimos a empresa contratante uma colaborao e unio dos representantes de
cada setor para que seja feita as regras e que conseqentemente cumpridas, pois a
segurana de uma rede comea na ao do prprio funcionrio da empresa.
4.4.1 Controle de Diretrios
Para os controles de diretrio sero criados grupos distintos na configurao do
Active Director, definindo permisses atravs de autenticao, cada usurio ter seu
login e senha que dever ser trocada conforme as regras estabelecidas e cada login
far parte de um grupo de usurios onde ter vinculado todas as permisses e
bloqueios para este estabelecido, ou seja, atravs deste login script que estar
vinculado a um determinado grupo ou usurio, ser possvel configurao automtica
da estao local do usurio, bloqueando ou Liberando funes do computador como o
acesso ao painel de controle ou a sites externos.
Para que isso seja possvel ser implementado tambm os servios de Firewall e
Proxy que podem ter configurados controles de pacotes na rede que ser permitido ou
no, dependendo do grupo o qual um usurio est vinculado. Para isso ser instalado
como proteo um servidor de Firewall, Proxy com o servio (software) Squid e o
Firewall Iptables.
Squid um ProxyCache de alta performance para clientes Web, suportando
protocolos FTP e HTTP. O Squid mantm meta dados e especialmente objetos
armazenados em sua memria RAM, cacheia buscas de DNS e implementa cache
negativo de Requests falhos, suporta SSL, listas de acesso complexas e loging
completo. Por utilizar o Internet Cache Protocol, o Squid pode ser configurado para
trabalhar de forma hierrquica ou mista para melhor aproveitamento da banda.
Podemos falar que o Squid consiste em um programa principal squid sistema de
busca e resoluo de nomes dnsserver e alguns programas adicionais para
reescrever requests, fazer autenticao e gerenciar ferramentas de clientes. Visando
aproveitar ao mximo a banda utilizaremos ProxyCache, segundo a Rede Nacional de
Ensino e Pesquisa (RNP http://www.rnp.br), com a utilizao do ProxyCache
11
podemos ter uma economia que varia entre 3% e 50% nos momentos de maior
consumo da rede, isso significa que para um link de 2 Mbps operando com toda sua
banda, considerando uma reduo de 30%, o mesmo produziria um ganho de
aproximadamente 600 Kbps, ou seja, uma simples implementao de um ProxyCache
gera uma economia que pode no final de um ms gerar grandes diferenas financeiras
para a empresa.
4.4.2. Firewall Hardware
Ser implementado o Firewall Hot Brick LB-2 VPN, um firewall com 10 tneis de
VPN e roteador com 2 portas WAN que combina solues de compartilhamento da
conexo banda-larga, segurana de rede, balanceamento de cargas e redundncia
feitas sob medida para proteger e dar performance s redes de pequenas e mdias
empresas. Estabelece conexes seguras entre localidades remotas suportando
encriptaes como DES, 3DES e AES, o LB-2 VPN tambm um firewall com inspeo
de pacotes, VPN IPSec, NAT avanado, deteco e proteo contra intrusos, filtro de
contedo, bloqueio e controle sites indesejveis e controle de acesso com polticas
distintas para diferentes grupos de usurios, o firewall LB-2 tambm capaz de utilizar
conexes redundantes, ou seja, no caso de uma conexo cair ele pode assumir outra
automaticamente. Abaixo temos listados todas as suas especificaes:
Verdadeiro Firewall - NAT, SPI, anti DoS. Alertas de ataques via e-mail.
12
Servidor DHCP - pode atuar como um servidor DHCP para at 253 usurios.
ARP Proxy - permite determinar um endereo de IP externo para uma porta LAN.
Syslog.
13
que esta tentando enviar seus pacotes para fora ou, por exemplo, no caso de uma
estao Windows ser infectada por um Trojan, o firewall poder bloquear qualquer
tentativa de conexo vinda da Internet (cracker) para as estaes de sua rede.
Os Chains so locais onde as regras do Firewall definidas pelo usurio so
armazenadas para operao. Existem dois tipos de chains, os embutidos (como os
Input, Output e Forward) e os criados pelo usurio. Os nomes dos chains embutidos
devem ser especificados sempre em maisculas (note que os nomes dos chains so
case-sensitive, ou seja, o chain input completamente diferente de INPUT).
14
15
modelo OSI, o packet filter realiza um exame dos pacotes at o nvel 4 (transporte)
enquanto que o bastion host se encarrega basicamente dos nveis superiores
(fundamentalmente o nvel 7, aplicao), tambm pode ser definido como application
gateway porque funciona como um gateway a nvel de aplicao. Os servidores
disponveis nos bastion host so denominados de proxy servers, ou seja, servidores por
procurao que atuam como intermedirios entre o cliente e o servidor. Neste caso, os
servios s podem ser providos via bastion host, obrigando o cliente (por exemplo, via
regras de filtragem nos roteadores) a acessar estas mquinas, portanto, este um
mecanismo que garante que o servio ser provido de forma segura para usurios
internos e externos e impede que o bastion host seja desviado.
Para que utilizado: O bastion host utilizado para fortificar uma rede contra
invases e atua basicamente em uma DMZ (Zona Desmilitarizada), e pode tambm
servir como uma espcie de isca para que esta invadindo. Para se construir um bastion
host deve se seguir alguns passos bsicos:
16
192.168.10.0
192.168.10.129
Rede
os
IPs
192.168.10.128
192.168.10.255 Broad Cast, desta forma termos um total de 126 IPs disponveis para
cada Sub Rede, porem utilizaremos somente a primeira Sub Rede pois esta j supri
o numero das estaes o que nos da uma tranqila porcentagem de crescimento,
quase 150%.
4.4.8. Redundncia de link
A redundncia dos Links de conexo entre Matriz e Filiais j esto previstos nas
prprias companhias de telefones, pois os mesmos sero feitos via VPN, como todas as
filiais iro acessar a internet atravs da matriz a redundncia desta parte sera feito na
Matriz a incluso de dois Links Wan de 2 Mbps cada um, porem sera feito com os
mesmos um sistema de balanceamento, no caso da queda de um dos links a rede tem
autonomia para operar com apenas um porem pode haver um pouco de lentido. Na
Matriz ter dois Roteadores sendo que cada um recebera um link desta forma se
houver tambm a queda de um Roteador a conexo da rede no para. Para que isso
seja possvel sera utilizado o protocolo VRRP. Sero feitos tambm redundncias
internas nos empilhamentos de Switchs, neste caso utilizaremos a tcnica de Spaning
Tree para evitar infinitos Loops.
5. Protocolos Principais
A escolha dos protocolos VRRP e OSPF foram baseados no conceito de os mesmos
serem protocolos de uso aberto (no proprietrios), portanto podem ser utilizados em
qualquer roteador disponvel no mercado e que suporte os servios neles aplicado.
5.1 OSPF Open Shortest Path First
Desenvolvido pelo IETF Internet Engineering Task Force [RFC 1583] como
substituto para o protocolo RIP. Caracteriza-se por ser um protocolo intradomnio,
17
A incluso de roteamento por tipo de servio TOS type of service routing. Por
exemplo, um acesso FTP File Transfer Protocol poderia ser feito por um link de
satlite, enquanto que um acesso ao terminal poderia evitar este link, que tem
grande tempo de retardo, e ser feito atravs de um outro enlace;
A utilizao de pequenos hello packets para verificar a operao dos links sem
ter que transferir grandes tabelas. Em redes estveis, as maiores atualizaes
ocorrem uma vez a cada 30 minutos.
O protocolo ainda especifica que todas os anncios entre roteadores sejam
18
Isto pode no ser bom, uma vez que no h roteamento inter reas enquanto os
pacotes no alcanam o Backbone. Chegando a rea 0, os pacotes so rateados para
a rea de destino, que responsvel pela entrega final. Esta hierarquia permite a
consolidao dos endereos por rea, reduzindo o tamanho das tabelas de roteamento.
Redes pequenas, no entanto, podem operar utilizando uma nica rea.
5.2 VRRP Virtual Router Redundancy Protocol
VRRP um protocolo executado na conexo entre os roteadores deixando um
em espera e o outro ativo, fazendo com que o roteador que esta em espera sabe
identificar quando o outro est em operao e se caso este venha a falhar possa
assumir imediatamente sem que a rede tenha alguma paralisao. Este esquema se
aplica as redes que necessitam de mais de um roteador criando no caso de sada da
rede um nico Gateway para eles, este pode ser especificado manualmente ou com
protocolo dinmico da configurao de um anfitrio DHCP. O Router que assumi a
operao da rede chamado de Router Mestre e o outros de Routers de apoio. Caso o
mestre venha a falhar, como j foi dito antes um dos Routers de Apoio assume
imediatamente e passa a ser o Router Mestre,
O VRRP pode tambm ser usado para balancear a carga e pode ser aplicado,
tanto para Ipv4 como para o IPv6. Podemos usar tambm para este tipo de servio o
protocolo HSRP Hot Standby Router Protocol, porem este seria proprietrio CISCO
podendo ser usados somente em roteadores da prpria CISCO e foi desenvolvido
tendo como base de estudos no VRRP.
6. Topologias
A seguir temos as imagens geradas atravs do software da Microsoft Visio, onde
podemos esta vendo as topologias que sero implementadas no projeto. Esto
disponveis as topologias de conexo entre Matriz e filiais a qual chamamos de Geral, a
topologia da Matriz e a das filiais a qual todas seguiram o mesmo padro.
19
6.1. Geral
20
21
6.2. Matriz
22
6.3. Filiais
23
7. Plantas
7.1. Planta do 1 andar Matriz
24
25
8. Oramento
TABELA DE PREOS
Equipamentos
Fabricante
Modelo
Quant
R$ Unitrio
Conectores RJ 45
Furukawa
Cabo UTP
Furukawa
Fibra tica
Roteadores
Padro
750
R$ 0,30
R$ 225,00
24A
12500
R$ 3,00
R$ 37.500,00
Furukawa
250
R$ 4,50
R$ 1.125,00
CISCO
6500 Modular
R$ 8.200,00
R$ 49.200,00
SWITCH - 8 Portas
3COM
Office Conect
R$ 176,00
R$ 1.056,00
SWITCH - 12 Portas
3COM
2016
20
R$ 343,00
R$ 6.860,00
SWITCH - 24 Portas
3COM
2024
R$ 563,00
R$ 2.815,00
Banduith
Ban Poliuretano
100
R$ 12,00
R$ 1.200,00
Estaes c/ montor
Servidores AD, DHCP, WINS,
DNS e Monitoramento
Servidores de Aplicao e
Impresso
Servidores de Banco de
Dados, Arquivos e Antivrus
Montado p/ Equipe
Padro da Empresa
R$ 1.250,00
R$ 5.000,00
Montado p/ Equipe
R$ 2.500,00
R$ 12.500,00
Montado p/ Equipe
R$ 2.500,00
R$ 12.500,00
Montado p/ Equipe
R$ 2.500,00
R$ 12.500,00
Montado p/ Equipe
R$ 2.750,00
R$ 13.750,00
Montado p/ Equipe
R$ 3.000,00
R$ 3.000,00
Montado p/ Equipe
R$ 1.750,00
R$ 1.750,00
Servidor IDS
Montado p/ Equipe
R$ 2.500,00
R$ 2.500,00
Montado p/ Equipe
R$ 1.550,00
R$ 7.750,00
Canaletas
R$ Total
Hot Brick
LB-2
R$ 2.499,00
R$ 12.495,00
Phoneway
GW 2500
11
R$ 500,00
R$ 5.500,00
R$ 183.726,00
R$ 229.657,50
26
9. Cronograma
27
10. Concluso
Com a execuo deste projeto teremos uma rede que trabalha com alta QOS
Qualidade de Servio, otimizando o mximo todos os recursos necessrios (dentro dos
padres da empresa), para suprir as necessidades desejadas pelo cliente, teremos
tambm uma rede planejada para uma fcil ampliao prevendo j um futuro
crescimento da empresa como um todo (Matriz e Filiais).
O projeto tambm foi elaborado para ter uma matriz que funcione baseado no
sistema de Sete dias da semana, 24 horas por dia. Foram previstos para o projeto todo
um sistema de segurana baseado no conceito de DMZ - Demilitarized Zone, com isso
no s temos uma rede segura como tambm uma rede inteligente podendo detectar e
resgatar dados do invasor.
28
29