Escolar Documentos
Profissional Documentos
Cultura Documentos
CINCIA DA COMPUTAO
Goinia, 2016
1. Introduo
Para atender aos requisitos tcnicos dos usurios do Grupo SAM, foi elaborado um projeto
de rede visando garantir alta disponibilidade dos servios prestados, aumentando a
capacidade de transmisso e a segurana contra ataques externos e internos, tendo sempre
em mente as boas prticas recomendadas pela ITIL.
Para facilitar a identificao de provveis problemas de comunicao, foi contemplado,
tambm, um sistema de gerenciamento de redes via SNMP. O monitoramento auxiliar na
deteco de anomalias na infra-estrutura, de modo a reduzir de forma drstica o tempo para
diagnstico de falhas.
O detalhamento do projeto, assim como a metodologia utilizada ser descrita no
desenvolvimento desse documento.
A SAM se beneficiar com relatrios gerenciais da disponibilidade da rede, tempo de
recuperao de falhas e histrico de alarmes. Desta forma, o projeto foi elaborado visando
melhorar a qualidade da infra-estrutura, facilitar o monitoramento e proporcionando
visibilidade da sade da rede.
1.1. Justificativa
O Grupo SAM uma empresa que atua no ramo varejista, comercializando produtos e
servios automotivos no Brasil e empregando atualmente mais de trs mil colaboradores. A
partir da necessidade de implantar um sistema de comunicao que proporcione maior
disponibilidade de acesso com forte apelo para a segurana dos dados, fez se necessrio a
estruturao de um desenho de infra-estrutura escalvel e seguro.
2. Estrutura de Rede
A SAM possui uma matriz em Goinia, 5 filiais em Goinia, uma em Senador Canedo e
outra em Anpolis. Baseado na estrutura logstica da empresa a rede foi projetada para melhor
desempenho e boas prticas.
A rede est desenhada para ser escalvel e atender ao maior nmero possvel de usurios
simultneos, incluindo a disponibilizao de rede sem fio para os seus usurios internos. A
camada de ncleo ser suprimida. Na camada de acesso esto instalados os switches utilizados
pelos usurios e o switch de distribuio, com maior capacidade de transmisso, responsvel
por interconectar a rede de acesso.
O desenho de rede hierrquica envolve a diviso da rede em camadas. Cada camada tem
um objetivo especfico que define sua funo dentro da rede geral. Separando as vrias
funes existentes em uma rede, o desenho de rede fica modular, o que facilita a
escalabilidade e o desempenho. O modelo hierrquico tpico dividido em at trs camadas:
acesso, distribuio e ncleo(core). Na figura abaixo exibido um exemplo de rede hierrquica
com trs camadas:
A camada de acesso faz a interface com dispositivos finais, como PCs, impressoras e
telefones IP, para fornecer acesso ao restante da rede. Na camada de acesso podem estar
roteadores, switches, bridges e pontos de acesso wireless (AP).
O principal propsito da camada de acesso fornecer um meio de conectar
dispositivos rede e controlar quais tm permisso de comunicao. Polticas de segurana
para evitar ataques como MAC Spoofing, MAC Flooding, DHCP Spoofing e VLAN Hopping ficam
nesta camada.
O conceito de VLAN uma facilidade de operao em uma rede comutada. Esta facilidade
permite que o administrador configure a mesma como sendo uma nica entidade interligada,
enquanto so asseguradas aos usurios a conectividade e a privacidade como se estivessem
em mltiplas redes separadas.
possvel criar redes totalmente separadas para visitantes e rede administrativa
dentro do mesmo ambiente fsico, aplicando polticas de segurana diferentes para os grupos
utilizando o conceito de VLANs. A principal caracterstica atribuda ao uso de VLANs a
possibilidade de agrupar estaes pertencentes a uma ou mais LANs fsicas, de forma a criar
um nico domnio de broadcast, garantindo a comunicao entre estas LANs, mesmo que
faam parte de segmentos fsicos diferentes.
Nos pargrafos seguintes ser mostrada uma breve explicao das caractersticas das
VLANs. Em uma rede no segmentada, computadores, impressoras e outros dispositivos
conectados disseminam uma grande quantidade de pacotes de broadcasts por diversos
motivos, seja por falhas na conexo dos cabos ou mau funcionamento de interfaces de rede,
podendo causar atraso no tempo de resposta e lentido na rede local.
No modelo de VLANs, existe um domnio lgico de difuso por onde os pacotes de
broadcast ou multicast so contidos e no se propagam a outras redes virtuais. Assim sendo,
os pacotes de difuso ficam contidos apenas em sua rede local, reduzindo drasticamente o
volume de trfego na rede. A implementao de VLANs para segmentar uma rede melhora a
performance. Como visto anteriormente, os pacotes de broadcast e multicast ficam presos
somente na VLAN onde trafegam, evitando congestionamentos. Outra caracterstica o fato
de diminuir o nmero de estaes que compartilham o mesmo canal lgico, reduzindo assim o
tempo de acesso.
A implementao de VLANs pode ser aplicada para grupos de trabalho ou setores
diferentes da empresa. Uma das vantagens restringir a comunicao de computadores
instalados em setores crticos como, por exemplo, financeiro, protegendo assim informaes
sigilosas da organizao. A segurana uma das caractersticas mais importantes quando
decidido segmentar a rede em VLANs, j que ela permite que dispositivos localizados em
diferentes segmentos fsicos, mas em uma mesma VLAN, comuniquem-se sem que dispositivos
fisicamente prximos tenham acesso.
VLAN Trunking um padro definido pelo IEEE 802.1ad e tem como caracterstica a
transmisso de pacotes para diferentes VLANs em um mesmo link. A identificao das VLANs
em um link configurado no modo Trunk (tronco) feita por meio dos mtodos de marcao de
quadros (VLAN tagging). Neste modelo de funcionamento, todos os dispositivos
interconectados devem ter suporte identificao de membros e dos formatos de quadros de
VLANs (VLAN-Aware).
As portas dos dispositivos de rede podem ser configuradas, alm do modo Tronco, no
modo de acesso, que, ao contrrio do trunking, restringe o enlace para trafegar pacotes de
uma nica VLAN, por meio de configurao prvia. O roteamento entre VLANs necessrio
quando um dispositivo de uma VLAN precisa se comunicar com um dispositivo de outra VLAN.
Esse roteamento pode ser feito por meio de um switch de camada 3 ou utilizando um
roteador.
ID Descrio
z.. Dgito Identificador do Grupo Principal
.x. Dgito que identifica uma subdiviso em blocos, porm limitados ao escopo do grupo
principal.
..y Subdiviso do bloco
Opcionalmente pode-se subdividir esta VLAN 1x0 em outros segmentos, por blocos,
andares, coordenaes, entre outros, a fim de diminuir o domnio de broadcast e melhorar o
monitoramento e segurana na comunicao entre as subredes.
2.3.1. Endereamento IP
A tabela abaixo mostra como ficar o endereamento das redes, incluindo a rede de gerncia e
a rede wireless.
Topologia de exemplo
2.5. Equipamentos
Para fazer a estrutura de servidores e hosts que possibilitaro o funcionamento da
rede e dos sistemas da empresa, foi pensado nos seguintes equipamentos que supriro as
necessidades:
Um servidor Dell R630 rodando VMware ESXi Plus 6.0, ser colocado na DMZ para
rodar os servios que sero disponibilizados para a internet;
Um cluster de 2 servidores Dell R630 rodando VMware ESXi Plus 6.0, onde sero
alocados as instancias dos sistemas internos (ERP, CRM, BD, Citrix e etc);
Dentro do cluster ter Windows Server 2012 como AD/File System/DNS/DHCP, e
tambm um RedHat Enterprise com Oracle 12G para banco de dados dos principais
sistemas;
Ainda dentro do cluster ser instalado um servidor de Endpoint do antivrus Symantec
para gerenciar os agentes nas mquinas dos usurios;
O cluster ser ligado com HBA SAS 12 Gbps ao storage Dell Compellent SCV2020
O storage ter RAID automtico (tierizacao inteligente) 2 fontes e 2 controladoras com
4GB de cache cada, 9 Discos De 1.2TB SAS de 10KRPM e 2 de 400GB SSD;
O servidor Dell R730 ir rodar o Arcserve backup;
O backup ter replicao na cloud Azure;
Uma mquina core i7, com 16 Gb de RAM, duas placas de rede e gabinete para rack
ser utilizada como IDS;
O switch Dell N2048 que sair direto do Firewall, ter uma porta espelhada para um o
IDS;
A outra placa de rede do IDS ser utilizada diretamente no switch para gerenciamento;
As outra mquinas core i7 sero utilizadas localmente nas filiais como rplica do AD
para melhor performance. Neste caso elas podero ter maior HD.
2.7. Segurana
2.7.1. Disponibilidade
A disponibilidade est sendo resolvida clusterizando os pontos mais crticos. Os links
de internet so dedicados utilizando a Algar Telecom e a G8 Telecomunicaes, para gerar
uma alta disponibilidade de links de Internet. Nas matrizes da capital, sero utilizados um link
somente, porm com VPN redundante para que no perca a comunicao. Como as filiais
possuem uma rede reduzida, no haver necessidade de redundncia de links, mas ao invs, a
equipe de TI ir disponibilizar uma equipe dedicada para abrir chamados e resolver os
problemas nas filiais. Nas filiais do interior, que tero as redes um pouco maiores, e devido
tambm a distncia fsica que aumenta a logstica da equipe, ser contratado um servio de
MPLS para o estabelecimento das conexes via VPN com maior desempenho e segurana.
Alm da redundncia dos links e das VPNs, a matriz ter o Firewall clusterizado para evitar a
queda da rede principal da empresa.
E para encerrar, dever ser instalado um servidor (na virtualizao) que ir monitorar
os ativos atravs de agentes instalados em cada servidor (uso de CPU, memria RAM, HD e
etc). Assim os gestores da rede podero saber um pouco mais do funcionamento da infra,
diminuindo os riscos de indisponibilidade. recomendado o sistema Zabbix para tal funo.
Para resolver esses problemas sero tomadas diversas atitudes, para que possamos
reduzir ao mximo as falhas de segurana, alm de gerenciar a insegurana. Comeando pelo
Firewall SonicWall, que robusto e possui uma tecnologia UTM (Unit Threat Module), um
mdulo de tratamento de ameaas que atravs de alguns algoritmos heursticos, capaz de
bloquear vrus e cdigos maliciosos em tempo de conexo.
3. Concluso
O projeto nos d uma viso clara e objetiva de organizao geral da rede, e nos mostra
o nvel de complexidade que um ambiente desse teria. Maiores requisitos e maiores detalhes
poderiam levar meses ou at anos para ser estabelecidos e projetados. Mas no contexto da
apresentao do projeto, ele atende uma descrio geral.