OUTROS TRABALHOS EM:

www.projetoderedes.com.br

RADIAL FACULDADES E CENTRO DE EDUCAO TECNOLGICA

CURSO SUPORTE MICROINFOMTICA

Projeto Integrado

So Paulo
2005

RADIAL FACULDADES E CENTRO DE EDUCAO TECNOLGICA

CURSO SUPORTE MICROINFOMTICA

Projeto Integrado
4 Semestre

Gustavo Sester
Henrique M. Chaves
Hugo de Oliveira
Leandro S. Melo
Renato P. Laguna
Professor Responsvel:
Lisandro

So Paulo
29/11/2005

NDICE / SUMRIO
1. Introduo...................................................................................................................5
2. Resumo .......................................................................................................................5
3. Cenrio Atual ..............................................................................................................5
3.1. Problemtica............................................................................................................5
3.2. Levantamento ..........................................................................................................5
3.3. Planejamento ...........................................................................................................6
4. Soluo .......................................................................................................................6
4.1. Equipamentos e Estaes. .....................................................................................6
4.2. Servidores................................................................................................................7
4.2.1 Backups ................................................................................................................7
4.2.2 Servidor de Banco de Dados, Arquivos e Antivrus...........................................8
4.2.3 Servidor de Aplicao e Impresso .....................................................................8
4.2.4 Servidor de AD, DHCP, DNS, WINS e Monitoramento........................................9
4.2.5 Servidor de Web, E-mail e Intranet ......................................................................9
4.2.6 Servidor IDS...........................................................................................................9
4.2.7 Servidor FireWall...................................................................................................9
4.3. Implementao do VoIP. .........................................................................................9
4.4. Segurana ..............................................................................................................11
4.4.1 Controle de Diretrios.........................................................................................11
4.4.2. Firewall HardWare ..............................................................................................12
4.4.3. Firewall Iptables .................................................................................................13
4.4.4. Servio Ipsec ......................................................................................................15
4.4.5. Bastion Host .......................................................................................................15
4.4.6. Antivrus Centralizado .......................................................................................16
4.4.7. Distribuio dos IPs..........................................................................................17
4.4.8. Redundncia de link...........................................................................................17
5. Protocolos Principais...............................................................................................17
5.1 OSPF Open Shortest Path First .........................................................................17
5.2 VRRP Virtual Router Redundancy Protocol......................................................19
6. Topologias ................................................................................................................19

6.1. Geral .......................................................................................................................20

6.2. Matriz ......................................................................................................................22
6.3. Filiais ......................................................................................................................23
7. Plantas.......................................................................................................................24
7.1. Planta do 1 andar - Matriz....................................................................................24
8. Oramento ................................................................................................................26
9. Cronograma ..............................................................................................................27
10. Concluso ...............................................................................................................28
11. Referencias Bibliogrficas ....................................................................................29

1. Introduo
No projeto a seguir temos a soluo de infra-estrutura de redes em sua parte fsica
e lgica gerada a partir da proposta da empresa poco pra nois que atua no ramo
alimentcio e possui ao todo 4 filiais conectadas a sua matriz. Foi pedido pelo gerente
da empresas o Sr. Rogrio Pereira um sistema de preveno na matriz que funcione no
sistema 24 horas 7, dias por semana, j nas filiais no requer toda a mesma estrutura
porem deve ser boa suficiente ponto de corresponder s necessidades de
redundncia bsica e no ficando mais do que um dia fora.
2. Resumo
Foi elaborado um projeto de soluo buscando segurana performance e
praticidade onde buscamos manter na matriz uma centralizao de todos os dados
contidos em 4 filiais e tambm do acesso a Web uma vez que hoje temos links
individuais e no proporcional aos servios atendidos, por tanto temos na matriz um
investimento maior pois seu sistema de segurana requer mais cuidado e preparao.
Nas filiais foram elaborados sistemas mais simples porem com capacidade de
funcionamento equivalente ao apedido pelo cliente.
3. Cenrio Atual
3.1. Problemtica
Falta de conexo entre matriz e filiais;

Alto custo em telefonia;

Links individuais e de baixa qualidade;

Equipamentos mal distribudos e com configuraes inadequadas;

Falta de segurana e poltica da mesma;

Armazenamento de informaes inadequadas e desorganizadas.

3.2. Levantamento
Fazer levantamento local dos equipamentos;

Verificar todos os equipamentos que devem ser adquiridos;

Analisar quais equipamentos podem ser aproveitados;

Analisar estrutura atual do cabeamento e da topologia existente;

3.3. Planejamento
Interligar a Matriz as Filiais 4 ao todo;

Fazer entrevistas com responsveis para que se possam montar polticas de

segurana;

Distribuir funes, determinando objetivos e tempo disponvel para cada tarefa,

sendo que a distribuio de tempo para cada tarefa consta no cronograma.

Elaborar um cronograma geral;

Apresentar oramento geral porem com previses de alteraes;

Apresentar aos responsveis o cronograma para realizao do projeto. Onde

poder ser discutida alterao do mesmo buscando um bom senso geral;

Para que seja cumprido todos os pontos a cima ser firmado um acordo com o as duas
empresas prevendo uma multa de 50% baseada no valor de mo de obra no caso do
no cumprimento de ambas.
4. Soluo
4.1. Equipamentos e Estaes.
O cliente possui na Matriz apenas 1 Servidor (Pentium 3 de 1GHz, 512MB de
RAM, Hard Disk de 80GB e Windows 2000 Server), 49 Estaes sendo que estas esto
padronizadas com a mesma configurao (Pentium 2 500GHz, 128MB de RAM, Hard
Disk de 10GB e Windows 98 SE). Nas duas filiais que j esto em funcionamento a
configurao das estaes so a mesma porem as filiais no possuem servidor. Para
as filiais que sero abertas as configuraes das estaes devero manter o mesmo
padro. O cliente tambm possui 1 Switch de 8 portas ligando 8 HUBs de 12 portas
para distribuir o sinal da Rede, o cabeamento feito por cabos UTP em canaletas
separada da rede eltrica. A topologia atual se baseia em desenhos feito pela pessoa
que foi contratada para fazer a rede tanto da matriz como das filiais. De acordo com os
dados acima citados solicitamos:

28 Servidores para Matriz e Filiais sendo que sero 5, para suportar os servios
de AD (Active Director), DHCP (Dynamic Host Configuration Protocol), DNS
(Domain Name System),

WINS

(Windows Internet Name Services)

Monitoramento, 5 para Banco de Dados, Arquivos e Antivrus, 5 para Impresso

e Aplicao, 5 para Backup Local, 5 para configurao de Firewall Ipsec e
Iptables, 1 para IDS, 1 para Bastion Host e 1 para Backup Central.

6 Roteadores sendo que 2 ficaram na Matriz para dar suporte a uma rede 24h
por 7 solicitado pelo cliente e os outros 4 sero para as respectivas filiais.

As estaes podem ser mantidas no padro atual incluindo as duas novas filiais
e o servidor existente ser utilizado para espelhamento da configurao dos
Roteadores que ficaram na Matriz. Alem das Estaes que ser adquiridas para
as novas filiais de acordo com o cliente o total de 50 para cada uma ser
necessrio a compra de uma a mais para cada filial, ou seja, mais 4 que serviro
para o espelhamento de seus respectivos roteadores.

Ser necessria a compra de 750 conectores RJ 45, o cabeamento atual tanto

da Matriz como das Filiais ser aproveitado para fazer os Jack Box, e para o
novo cabeamento pedimos um total de 12.500 metros de cabos UTP e 250
metros de Fibra ptica Multimodo.

O Switch e os HUBs existentes no sero aproveitados por tanto pedimos a

aquisio de 6 Switches de 8 Portas, 5 Switches de 12 Portas e 14 Switches de
24 Portas.

A rede Eltrica devera ser revisada por uma terceira companhia onde deve ser
verificado se a mesma se encontra nos padres adequados para suportar o
servio. Na Matriz dever existir um sistema que suporte quedas de energia para
que a rede no possa parar pois no trabalhamos com sistemas de redundncia
de rede eltrica.

4.2. Servidores
A seguir teremos as definies bsicas dos servidores que sero utilizados para a
realizao do projeto.
4.2.1 Backups
O backup dos dados da empresa ser feito em duas etapas:

Backup local e dirio. Ser feito o backup dos dados (a critrio da empresa)
diariamente, tanto na matriz quanto nas filiais. Ser utilizada a ferramenta de
7

backup do prprio sistema operacional - Windows Server 2003. Os Backups

locais sero feitos manualmente por pessoa(s) especfica(s) (a critrio da
empresa). Os dados sero gravados no s nos HDs como tambm mdias e
armazenados em locais especficos

Backup Dirio Centralizado. No final do dia, aps o expediente, o backup que foi
feito na matriz e nas filiais, sero enviados para um servidor de backup central,
localizado na matriz. O software de backup utilizado no servidor de backup
central ser o S.O.S Backup Database da fabricante Virtos. O backup central
ser feito automaticamente, em horrio agendado no prprio software. Os dados
sero gravados e espelhados em HDs especficos.
Tanto os Backup`s locais quanto o central sero do tipo incremental, onde sero

gravados apenas os arquivos que foram alterados depois do ltimo backup. Os horrios
dos backup`s sero determinados de acordo com o melhor momento para que este no
interfira no desempenho da Rede.
Processador Pentium 4 HT de 3.0 Gb, 1 GB RAM, HD de 80 GB no local e de 500
GB no Central.
4.2.2 Servidor de Banco de Dados, Arquivos e Antivrus
No servidor de banco de dados ser instalado o SQL Server 2000 da Microsoft.
Este servidor ser acessado pelos principais aplicativos utilizados na empresa. Para ser
acessado, o usurio precisar de uma conta com permisso, o mesmo servidor ter
configurados os servios de arquivos e antivrus. Processador Pentium 4 HT de 3.0 Gb,
1 GB RAM, HD de 80 GB.
4.2.3 Servidor de Aplicao e Impresso
O servidor de aplicao conter todos os principais programas utilizados pela
empresa. O servio utilizado para gerenciamento dos aplicativos ser o do prprio
sistema operacional, Windows Server 2003 (GPO Group Policy Object) de acordo
com as permisses de acesso de cada usurio. O prprio Windows Server 2003 ira
controlar tambm as impresses, atravs de seu servio de impresso de acordo com
as permisses nele configurado. Processador Pentium 4 HT de 3.0 Gb, 1 GB RAM, HD
de 80 GB.
8

4.2.4 Servidor de AD, DHCP, DNS, WINS e Monitoramento

Para todos esses servios ser utilizado o Windows 2003 Server devidamente
configurado. O monitoramento dos micros ser feito pelo programa DameWare, onde
este ser instalado no mesmo e tendo acesso apenas pelas pessoas autorizadas.
Processador Pentium 4 HT de 3.0 Gb, 1 GB RAM, HD de 80 GB.
4.2.5 Servidor de Web, E-mail e Intranet
Windows 2003 Server onde esta ser configurada adequadamente para servir
todos os servios onde para e-mail ser utilizado o Web Access 2003. Processador
Pentium 4 HT de 3.0 Gb, 1 GB RAM, HD de 80 GB.
4.2.6 Servidor IDS
Windows 2003 Server devidamente configurado com Processador Pentium 4 HT
de 3.0 Gb, 1 GB RAM, HD de 80 GB.
4.2.7 Servidor Firewall
Para os Firewalls Ipsec, Iptables ser utilizado uma nica estao Linux e para o
Bastion Host uma outra estao tambm em Linux.
Processador Celeron D315 de 1.8, 512 MB RAM de Memria e HD com
capacidade para 40 GB.
4.3. Implementao do VoIP.
O Voip ser implantado com 12 pontos na matriz e 8 pontos em cada filial sendo
todos no sistema FXS, desta forma poder ser mantida uma conversao entre matriz e
filiais disponibilizando ate 28 ramais para comunicao entre elas. Ser utilizado para
isso o Gateway Phoneway 2500 com a implementao do Codec G723 utilizando uma
banda de 18 kbps para cada ponto estabelecendo assim uma qualidade estvel e
segura da ligao.
O gateway ir trabalhar sobre um link de 2 Mb dividido para voz e dados, onde
para voz estar sendo reservado 512 Kbps. A reserva de 512 Kbps permite o
funcionamento simultneo dos 28 canais com uma sobra de 8 Kbps o que pode evitar
possveis falhas de transmisso caso for utilizado mais do que 28 canais simultneos

em caso de crescimento sem o aumento de link poder ser feita a substituio dos
Codecs por um de menor consumo consecutivamente com menor qualidade. Exemplos
de Codecs que podem ser utilizados e que tambm so suportados pelo Gateway
utilizado so os G729 de 7,3 a 36 kbps e G711, 70,2 a 82,7 kbps.
Descries do equipamento VoIP GW Mod. 4 slots mais Controle de Banda mais
Gatekeeper.
Os gateway VOIP Phoneway agregam a mais avanada tecnologia para conectar
suas ligaes telefnicas via Internet.
Com os equipamentos Phoneway, voc ter a melhor qualidade de voz, devido a
funo QoS (Quality of Service) e ToS (Type of Service), alm de possuir um algoritmo
que garante a recuperao de pacotes, mesmo em redes com 20% de perda de
pacotes.
Os Gateways phoneway possuem um recurso patenteado de aprendizado do tom
de desconexo do PABX, garantindo que o equipamento se adequar a qualquer marca
e modelo de PABX e no haver o problema de travamento da porta do Gateway.
O equipamento phoneway j vem com software de bilhetagem gratuito. Os
gateway Phoneway inter operam com Microsoft NetMeeting, CISCO, Lucent, OK1,
RadVision, NetSpeak, equipamentos compatveis com H.323 v2/v3 & H.323 Open
Gatekeeper, entre outros.
O PHWS-2500GK conta com 4 slots, que aceitam mdulos de 04 portas, 1 porta
WAN e 1 porta LAN. Este equipamento possui o recurso de IP sharing, podendo estar
na frente do Firewall/NAT, compartilhando o mesmo IP. O equipamento PHWS2500GK, empalhvel at 10 peas permitindo a implementao de 160 portas em um
nico IP. Outra vantagem deste equipamento o recurso de controle de banda que
permite configurar quanto cada estao da rede vai usar para web e-mail ou para
qualquer outro aplicativo, alm de permitir a priorizao de alguma aplicao (VoIP,
ERP, etc.), e este recurso funciona em qualquer link de dados (Internet, ADSL,
Wireless, Frame Relay, etc). Alm de ser um gateway de Voz sobre IP (VoIP), este
equipamento poder atuar como o Gatekeeper de sua rede de VoIP.

10

4.4. Segurana
A segurana ser tratada de uma geral, ou seja, espao fsico e lgico. Desta
forma pedimos a empresa contratante uma colaborao e unio dos representantes de
cada setor para que seja feita as regras e que conseqentemente cumpridas, pois a
segurana de uma rede comea na ao do prprio funcionrio da empresa.
4.4.1 Controle de Diretrios
Para os controles de diretrio sero criados grupos distintos na configurao do
Active Director, definindo permisses atravs de autenticao, cada usurio ter seu
login e senha que dever ser trocada conforme as regras estabelecidas e cada login
far parte de um grupo de usurios onde ter vinculado todas as permisses e
bloqueios para este estabelecido, ou seja, atravs deste login script que estar
vinculado a um determinado grupo ou usurio, ser possvel configurao automtica
da estao local do usurio, bloqueando ou Liberando funes do computador como o
acesso ao painel de controle ou a sites externos.
Para que isso seja possvel ser implementado tambm os servios de Firewall e
Proxy que podem ter configurados controles de pacotes na rede que ser permitido ou
no, dependendo do grupo o qual um usurio est vinculado. Para isso ser instalado
como proteo um servidor de Firewall, Proxy com o servio (software) Squid e o
Firewall Iptables.
Squid um ProxyCache de alta performance para clientes Web, suportando
protocolos FTP e HTTP. O Squid mantm meta dados e especialmente objetos
armazenados em sua memria RAM, cacheia buscas de DNS e implementa cache
negativo de Requests falhos, suporta SSL, listas de acesso complexas e loging
completo. Por utilizar o Internet Cache Protocol, o Squid pode ser configurado para
trabalhar de forma hierrquica ou mista para melhor aproveitamento da banda.
Podemos falar que o Squid consiste em um programa principal squid sistema de
busca e resoluo de nomes dnsserver e alguns programas adicionais para
reescrever requests, fazer autenticao e gerenciar ferramentas de clientes. Visando
aproveitar ao mximo a banda utilizaremos ProxyCache, segundo a Rede Nacional de
Ensino e Pesquisa (RNP http://www.rnp.br), com a utilizao do ProxyCache

11

podemos ter uma economia que varia entre 3% e 50% nos momentos de maior
consumo da rede, isso significa que para um link de 2 Mbps operando com toda sua
banda, considerando uma reduo de 30%, o mesmo produziria um ganho de
aproximadamente 600 Kbps, ou seja, uma simples implementao de um ProxyCache
gera uma economia que pode no final de um ms gerar grandes diferenas financeiras
para a empresa.
4.4.2. Firewall Hardware
Ser implementado o Firewall Hot Brick LB-2 VPN, um firewall com 10 tneis de
VPN e roteador com 2 portas WAN que combina solues de compartilhamento da
conexo banda-larga, segurana de rede, balanceamento de cargas e redundncia
feitas sob medida para proteger e dar performance s redes de pequenas e mdias
empresas. Estabelece conexes seguras entre localidades remotas suportando
encriptaes como DES, 3DES e AES, o LB-2 VPN tambm um firewall com inspeo
de pacotes, VPN IPSec, NAT avanado, deteco e proteo contra intrusos, filtro de
contedo, bloqueio e controle sites indesejveis e controle de acesso com polticas
distintas para diferentes grupos de usurios, o firewall LB-2 tambm capaz de utilizar
conexes redundantes, ou seja, no caso de uma conexo cair ele pode assumir outra
automaticamente. Abaixo temos listados todas as suas especificaes:

Verdadeiro Firewall - NAT, SPI, anti DoS. Alertas de ataques via e-mail.

2 portas WAN de alto desempenho permitem duas conexes de banda larga

redundantes, duplicando a largura de banda, alm de determinar como o trfego
de internet dividido entre elas.

10 Tneis de VPN simultneos sem licenas.

Suporta DSL e Cabo, IP fixo e/ou dinmico, PPPoE e PPTP.

Filtro de Acesso e Bloqueio de URL - permite poltica de acesso, diviso de

usurios em at 5 grupos com polticas distintas. Bloqueio e controle sites
indesejveis.

Suporta mltiplos endereos IP, podendo mapear IPs para cada PC

Aplicaes especiais - permite o uso de algumas aplicaes no padro, onde a

porta usada para resposta diferente da usada para a "pergunta".

12

Servidor virtual - permite usurios acessarem servidores de internet na sua LAN.

Limite de sesso - se o nmero total de novas sesses excederem o valor

especificado, toda e qualquer nova sesso ser ignorada.

Exceo do Firewall - os pacotes podem no ser processados pelo firewall ou

pelo modulo NAT, mas sero processados direto pelo sistema esttico de
protocolo.

Suporta QoS - prioridade pacotes especficos (phone, vdeo, etc.) configurvel.

Servidor DHCP - pode atuar como um servidor DHCP para at 253 usurios.

Suporta multi-segmentos de rede, atravs de tabelas de roteamento esttico.

ARP Proxy - permite determinar um endereo de IP externo para uma porta LAN.

Atualizaes de Frameware por http (Web) e Backup sem licenas.

Gerenciamento remoto (interface grfica web).

Switch 4 portas 10/100BaseT.

Suporta DMZ / Mltiplos DMZ.

Syslog.

Suporta UPNP (Plug&Play Universal).

4.4.3. Firewall Iptables

Iptables um Firewall que trabalha comparando endereo ou portas de origem e
destino do pacote e etc, desta forma ele consegue saber quando um pacote tem ou no
permisso para entrar ou sair da rede, com a utilizao de configuraes mais
detalhadas, o pacote bloqueado pode ser registrado para que o administrador da rede
tenha um maior controle do que est acontecendo em seu sistema. Aplicativos
suportados pelo Iptables:

Especificao de portas e endereo de origem e destino;

Suporte a protocolos TCP / UDP / ICMP;

Suporte a interfaces de origem e destino dos pacotes;

Manipulao dos servios de proxy na rede;

13

Tratamento de trfego dividido em chains (para um melhor controle do trfego

que entra e sai da estao e trfego redirecionado) permitindo um nmero
ilimitado de regras por chain;

Rpido, estvel e seguro;

Mecanismos internos para rejeitar automaticamente pacotes duvidosos ou mal

formados;

Mdulos externos para expanso das funcionalidades padres, oferecidas pelo

cdigo de Firewall e tambm completo ao roteamento de pacotes, tratados em
uma rea diferente de trfegos padres;

Especificao de tipo de servio para priorizar o trfego de determinados tipos de

pacotes;

Especificar excees para as regras ou parte das mesmas e deteco de

fragmentos;

Envio de alertas personalizado ao syslog sobre o trfego aceito ou bloqueado;

Redirecionamento de portas e Masquerading;

Suporte a SNAT (modificao do endereo de origem das estaes para um

nico IP ou uma faixa de IP's e tambm DNAT modificao do endereo de
destino das estaes para um nico IP ou faixa de IP's);

Contagem de pacotes que atravessaram uma interface (regra);

Limitao de passagem de pacotes ou conferncia de regra (muito til para criar

protees contra, syn flood, ping flood, DoS, etc).
Com a configurao do Firewall podemos prevenir aplicaes como uma estao

que esta tentando enviar seus pacotes para fora ou, por exemplo, no caso de uma
estao Windows ser infectada por um Trojan, o firewall poder bloquear qualquer
tentativa de conexo vinda da Internet (cracker) para as estaes de sua rede.
Os Chains so locais onde as regras do Firewall definidas pelo usurio so
armazenadas para operao. Existem dois tipos de chains, os embutidos (como os
Input, Output e Forward) e os criados pelo usurio. Os nomes dos chains embutidos
devem ser especificados sempre em maisculas (note que os nomes dos chains so
case-sensitive, ou seja, o chain input completamente diferente de INPUT).

14

4.4.4. Servio Ipsec

O IPSec um protocolo que oferece servios de criptografia, integridade e
autenticao ao trfego de rede com base em IP. Como o IPSec proporciona proteo
entre servidores, ele pode ser usado para combater ameaas internas na rede,
incluindo espionagem, violao, ataques por interceptao, spoofing de IP e outros
ataques com base em senhas. O IPSec completamente transparente para os
aplicativos, pois os servios de criptografia, integridade e autenticao so
implementados no nvel do transporte. Isto significa que os aplicativos continuam a se
comunicar normalmente uns com os outros usando as portas TCP e UDP. Usar o IPSec
a fim de restringir os protocolos e as portas que os clientes podem usar para se
conectar a um servidor SQL.
4.4.5. Bastion Host
O que : Bastion host qualquer mquina configurada para atuar em uma rede
sendo um ponto crtico de segurana, Marcus J. Ranum, um dos responsveis pela
popularidade deste termo na comunidade profissional de Firewall segundo ele "bastions
so reas crticas de defesa, em um castelo, por exemplo, so representadas por fortes
muralhas, salas para tropas extras, e um ocasional e til reservatrio de leo quente
para desencorajar os atacantes". Um bastion host deve ser de estrutura simples e fcil,
mais que possa garantir a segurana. importante que se esteja preparado para o fato
de que o bastion host seja comprometido, considerando que ele provavelmente ser
alvo de ataques. Existem mais de um tipo de bastion host, por exemplo, Dual homed
host, Victim machines e Internal bastion hosts.
O bastion host tem responsabilidades diferentes do packet filter, dependendo do
seu tipo. Alguns autores enfatizam que enquanto o packet filter atua em um nvel mais
baixo o bastion host se encarrega de todos os nveis. Na realidade, um host pode
acumular tanto as funes de filtragem de pacotes como tambm pode prover alguns
servios, neste caso ele seria um packet filter e bastion host simultaneamente
(exemplo: dual homed host). Independentemente de qual seja a nomenclatura adotada,
o que se deve ter em mente o papel que estes dois componentes desempenham:
filtrar e prover servios. Traando um paralelo destes dois componentes em relao ao

15

modelo OSI, o packet filter realiza um exame dos pacotes at o nvel 4 (transporte)
enquanto que o bastion host se encarrega basicamente dos nveis superiores
(fundamentalmente o nvel 7, aplicao), tambm pode ser definido como application
gateway porque funciona como um gateway a nvel de aplicao. Os servidores
disponveis nos bastion host so denominados de proxy servers, ou seja, servidores por
procurao que atuam como intermedirios entre o cliente e o servidor. Neste caso, os
servios s podem ser providos via bastion host, obrigando o cliente (por exemplo, via
regras de filtragem nos roteadores) a acessar estas mquinas, portanto, este um
mecanismo que garante que o servio ser provido de forma segura para usurios
internos e externos e impede que o bastion host seja desviado.
Para que utilizado: O bastion host utilizado para fortificar uma rede contra
invases e atua basicamente em uma DMZ (Zona Desmilitarizada), e pode tambm
servir como uma espcie de isca para que esta invadindo. Para se construir um bastion
host deve se seguir alguns passos bsicos:

Tornar a mquina segura;

Desabilitar todos os servios no desejados;

Instalar ou modificar os servios que se deseja prover;

Reconfigurar a mquina a partir de uma configurao conveniente para

desenvolvimento em seu estado final de execuo;

Rodar uma auditoria de segurana para estabelecer uma linha base;

Conectar a mquina na rede na qual ela ser utilizada.

4.4.6. Antivrus Centralizado

A vantagem da implementao de antivrus centralizado (servidor de antivrus) a
possibilidade de mantermos portas fechadas de acesso a Wan das estaes locais sem
que para isso o antivrus da estao deixe de ser atualizado. Desta forma todo o
trabalho de atualizao, escaneamento e remoo do vrus ficam pendurados em um
nico servidor dedicado. Este tipo de servio oferecido por todas as grandes
fabricantes de antivrus existentes no mercado. Sero instalados softwares de antivrus
clientes nas estaes locais que executaro os comandos conforme as especificaes
do servidor de antivrus.

16

4.4.7. Distribuio dos IPs.

A distribuio dos IPs ser feita atravs de servidores DHCP que iro distribuir os
mesmos automaticamente para as estaes trocando os a cada 30 dias, no entanto,
sera reservado uma faixa exclusiva para os servidores que tero seus IP fixos. Para
isso sera usado a seguinte faixa privada 192.168.10.0/25 (255.255.255.128), sendo os
IPs

192.168.10.0

192.168.10.129

Rede

os

IPs

192.168.10.128

192.168.10.255 Broad Cast, desta forma termos um total de 126 IPs disponveis para
cada Sub Rede, porem utilizaremos somente a primeira Sub Rede pois esta j supri
o numero das estaes o que nos da uma tranqila porcentagem de crescimento,
quase 150%.
4.4.8. Redundncia de link
A redundncia dos Links de conexo entre Matriz e Filiais j esto previstos nas
prprias companhias de telefones, pois os mesmos sero feitos via VPN, como todas as
filiais iro acessar a internet atravs da matriz a redundncia desta parte sera feito na
Matriz a incluso de dois Links Wan de 2 Mbps cada um, porem sera feito com os
mesmos um sistema de balanceamento, no caso da queda de um dos links a rede tem
autonomia para operar com apenas um porem pode haver um pouco de lentido. Na
Matriz ter dois Roteadores sendo que cada um recebera um link desta forma se
houver tambm a queda de um Roteador a conexo da rede no para. Para que isso
seja possvel sera utilizado o protocolo VRRP. Sero feitos tambm redundncias
internas nos empilhamentos de Switchs, neste caso utilizaremos a tcnica de Spaning
Tree para evitar infinitos Loops.
5. Protocolos Principais
A escolha dos protocolos VRRP e OSPF foram baseados no conceito de os mesmos
serem protocolos de uso aberto (no proprietrios), portanto podem ser utilizados em
qualquer roteador disponvel no mercado e que suporte os servios neles aplicado.
5.1 OSPF Open Shortest Path First
Desenvolvido pelo IETF Internet Engineering Task Force [RFC 1583] como
substituto para o protocolo RIP. Caracteriza-se por ser um protocolo intradomnio,

17

hierrquico, baseado no algoritmo de Estado de Enlace Link-State e foi especificamente

projetado para operar com redes de grandes escalas. Outras caractersticas do
protocolo OSPF so:

A incluso de roteamento por tipo de servio TOS type of service routing. Por
exemplo, um acesso FTP File Transfer Protocol poderia ser feito por um link de
satlite, enquanto que um acesso ao terminal poderia evitar este link, que tem
grande tempo de retardo, e ser feito atravs de um outro enlace;

O fornecimento de balanceamento de carga, que permite ao administrador

especificar mltiplas rotas com o mesmo custo para um mesmo destino. O OSPF
distribui o trafego igualmente por todas as rotas suportando tambm o suporte a
rotas para hosts, sub redes e redes especificas;

A possibilidade de configurao de uma topologia virtual de rede, independente

da topologia das conexes fsicas. Por exemplo, um administrador pode
configurar um link virtual entre dois roteadores mesmo que a conexo fsica entre
eles passe atravs de uma outra rede;

A utilizao de pequenos hello packets para verificar a operao dos links sem
ter que transferir grandes tabelas. Em redes estveis, as maiores atualizaes
ocorrem uma vez a cada 30 minutos.
O protocolo ainda especifica que todas os anncios entre roteadores sejam

autenticados (isto no quer dizer que necessariamente reflita a realidade das

implementaes). Permite mais de uma variedade de esquema de autenticao e que
diferentes reas de roteamento utilizem esquemas diferentes de autenticao;
Duas desvantagens deste protocolo so a sua complexidade, e maior necessidade
por memria e poder computacional, caracterstica inerente aos protocolos que usam o
algoritmo de Estado de Enlace (Link-State).
O OSPF suporta, ainda, roteamento hierrquico de dois nveis dentro de um
Sistema Autnomo, possibilitando a diviso do mesmo em reas de roteamento. Uma
rea de roteamento tipicamente uma coleo de uma ou mais sub redes
intimamente relacionadas. Todas as reas de roteamento precisam estar conectadas
ao Backbone do Sistema Autnomo, no caso, a rea 0. Se o trafego precisar viajar
entre duas reas, os pacotes so primeiramente rateados para a rea 0, o Backbone.

18

Isto pode no ser bom, uma vez que no h roteamento inter reas enquanto os
pacotes no alcanam o Backbone. Chegando a rea 0, os pacotes so rateados para
a rea de destino, que responsvel pela entrega final. Esta hierarquia permite a
consolidao dos endereos por rea, reduzindo o tamanho das tabelas de roteamento.
Redes pequenas, no entanto, podem operar utilizando uma nica rea.
5.2 VRRP Virtual Router Redundancy Protocol
VRRP um protocolo executado na conexo entre os roteadores deixando um
em espera e o outro ativo, fazendo com que o roteador que esta em espera sabe
identificar quando o outro est em operao e se caso este venha a falhar possa
assumir imediatamente sem que a rede tenha alguma paralisao. Este esquema se
aplica as redes que necessitam de mais de um roteador criando no caso de sada da
rede um nico Gateway para eles, este pode ser especificado manualmente ou com
protocolo dinmico da configurao de um anfitrio DHCP. O Router que assumi a
operao da rede chamado de Router Mestre e o outros de Routers de apoio. Caso o
mestre venha a falhar, como j foi dito antes um dos Routers de Apoio assume
imediatamente e passa a ser o Router Mestre,
O VRRP pode tambm ser usado para balancear a carga e pode ser aplicado,
tanto para Ipv4 como para o IPv6. Podemos usar tambm para este tipo de servio o
protocolo HSRP Hot Standby Router Protocol, porem este seria proprietrio CISCO
podendo ser usados somente em roteadores da prpria CISCO e foi desenvolvido
tendo como base de estudos no VRRP.
6. Topologias
A seguir temos as imagens geradas atravs do software da Microsoft Visio, onde
podemos esta vendo as topologias que sero implementadas no projeto. Esto
disponveis as topologias de conexo entre Matriz e filiais a qual chamamos de Geral, a
topologia da Matriz e a das filiais a qual todas seguiram o mesmo padro.

19

6.1. Geral

20

21

6.2. Matriz

22

6.3. Filiais

23

7. Plantas
7.1. Planta do 1 andar Matriz

24

7.2. Planta do 2 andar - Matriz

25

8. Oramento
TABELA DE PREOS

Equipamentos

Fabricante

Modelo

Quant

R$ Unitrio

Conectores RJ 45

Furukawa

Cabo UTP

Furukawa

Fibra tica
Roteadores

Padro

750

R$ 0,30

R$ 225,00

24A

12500

R$ 3,00

R$ 37.500,00

Furukawa

Mono e Multi Modo

250

R$ 4,50

R$ 1.125,00

CISCO

6500 Modular

R$ 8.200,00

R$ 49.200,00

SWITCH - 8 Portas

3COM

Office Conect

R$ 176,00

R$ 1.056,00

SWITCH - 12 Portas

3COM

2016

20

R$ 343,00

R$ 6.860,00

SWITCH - 24 Portas

3COM

2024

R$ 563,00

R$ 2.815,00

Banduith

Ban Poliuretano

100

R$ 12,00

R$ 1.200,00

Estaes c/ montor
Servidores AD, DHCP, WINS,
DNS e Monitoramento
Servidores de Aplicao e
Impresso
Servidores de Banco de
Dados, Arquivos e Antivrus

Montado p/ Equipe

Padro da Empresa

R$ 1.250,00

R$ 5.000,00

Montado p/ Equipe

R$ 2.500,00

R$ 12.500,00

Montado p/ Equipe

R$ 2.500,00

R$ 12.500,00

Montado p/ Equipe

R$ 2.500,00

R$ 12.500,00

Servidores de Backup Local

Montado p/ Equipe

R$ 2.750,00

R$ 13.750,00

Servidor de Backup Central

Montado p/ Equipe

R$ 3.000,00

R$ 3.000,00

Servidor Bation Host

Montado p/ Equipe

R$ 1.750,00

R$ 1.750,00

Servidor IDS

Montado p/ Equipe

R$ 2.500,00

R$ 2.500,00

Servidores Fire Wall

Montado p/ Equipe

R$ 1.550,00

R$ 7.750,00

Canaletas

Fire Wall Hard Ware

VOIP Gatekeeper

R$ Total

Hot Brick

LB-2

R$ 2.499,00

R$ 12.495,00

Phoneway

GW 2500

11

R$ 500,00

R$ 5.500,00

Total de investimentos em Equipamentos

R$ 183.726,00

Valor cobrado pelo desenvolvimento do Projeto

R$ 229.657,50

26

9. Cronograma

27

10. Concluso
Com a execuo deste projeto teremos uma rede que trabalha com alta QOS
Qualidade de Servio, otimizando o mximo todos os recursos necessrios (dentro dos
padres da empresa), para suprir as necessidades desejadas pelo cliente, teremos
tambm uma rede planejada para uma fcil ampliao prevendo j um futuro
crescimento da empresa como um todo (Matriz e Filiais).
O projeto tambm foi elaborado para ter uma matriz que funcione baseado no
sistema de Sete dias da semana, 24 horas por dia. Foram previstos para o projeto todo
um sistema de segurana baseado no conceito de DMZ - Demilitarized Zone, com isso
no s temos uma rede segura como tambm uma rede inteligente podendo detectar e
resgatar dados do invasor.

28

11. Referencias Bibliogrficas

Ttulo: Construindo Redes Cisco para Windows 2000.
Autor: Craft, Melissa
Editora: Alta Books.
Ttulo: Projeto de Interconexo de Redes - Cisco Internetwork Design.
Autor: Birkner, Matthew H.
Editora: Pearson Education.
Ttulo: Redes de Computadores Curso Completo.
Autor: Torres, Gabriel
Editora: Axcel Books.
www.rnp.br
www.apostilando.com
www.projetoderedes.com.br

29