PONTIFCIA UNIVERSIDADE CATLICA DE GOIS

CINCIA DA COMPUTAO

Projeto de Redes de Computadores

Ighor Augusto Barreto Cndido 20161002804406

Goinia, 2016
 1. Introduo

Para atender aos requisitos tcnicos dos usurios do Grupo SAM, foi elaborado um projeto
de rede visando garantir alta disponibilidade dos servios prestados, aumentando a
capacidade de transmisso e a segurana contra ataques externos e internos, tendo sempre
em mente as boas prticas recomendadas pela ITIL.
Para facilitar a identificao de provveis problemas de comunicao, foi contemplado,
tambm, um sistema de gerenciamento de redes via SNMP. O monitoramento auxiliar na
deteco de anomalias na infra-estrutura, de modo a reduzir de forma drstica o tempo para
diagnstico de falhas.
O detalhamento do projeto, assim como a metodologia utilizada ser descrita no
desenvolvimento desse documento.
A SAM se beneficiar com relatrios gerenciais da disponibilidade da rede, tempo de
recuperao de falhas e histrico de alarmes. Desta forma, o projeto foi elaborado visando
melhorar a qualidade da infra-estrutura, facilitar o monitoramento e proporcionando
visibilidade da sade da rede.

1.1. Justificativa

O Grupo SAM uma empresa que atua no ramo varejista, comercializando produtos e
servios automotivos no Brasil e empregando atualmente mais de trs mil colaboradores. A
partir da necessidade de implantar um sistema de comunicao que proporcione maior
disponibilidade de acesso com forte apelo para a segurana dos dados, fez se necessrio a
estruturao de um desenho de infra-estrutura escalvel e seguro.

2. Estrutura de Rede

A SAM possui uma matriz em Goinia, 5 filiais em Goinia, uma em Senador Canedo e
outra em Anpolis. Baseado na estrutura logstica da empresa a rede foi projetada para melhor
desempenho e boas prticas.
A rede est desenhada para ser escalvel e atender ao maior nmero possvel de usurios
simultneos, incluindo a disponibilizao de rede sem fio para os seus usurios internos. A
camada de ncleo ser suprimida. Na camada de acesso esto instalados os switches utilizados
pelos usurios e o switch de distribuio, com maior capacidade de transmisso, responsvel
por interconectar a rede de acesso.

2.1. Modelo de Rede Hierrquica

O desenho de rede hierrquica envolve a diviso da rede em camadas. Cada camada tem
um objetivo especfico que define sua funo dentro da rede geral. Separando as vrias
funes existentes em uma rede, o desenho de rede fica modular, o que facilita a
escalabilidade e o desempenho. O modelo hierrquico tpico dividido em at trs camadas:
acesso, distribuio e ncleo(core). Na figura abaixo exibido um exemplo de rede hierrquica
com trs camadas:

2.1.1. Camada de Acesso

A camada de acesso faz a interface com dispositivos finais, como PCs, impressoras e
telefones IP, para fornecer acesso ao restante da rede. Na camada de acesso podem estar
roteadores, switches, bridges e pontos de acesso wireless (AP).
O principal propsito da camada de acesso fornecer um meio de conectar
dispositivos rede e controlar quais tm permisso de comunicao. Polticas de segurana
para evitar ataques como MAC Spoofing, MAC Flooding, DHCP Spoofing e VLAN Hopping ficam
nesta camada.

2.1.2. Camada de Distribuio

A camada de distribuio agrega os dados recebidos dos switches da camada de acesso

antes de serem transmitidos para a camada de ncleo, para que haja o roteamento at seu
destino final. A camada de distribuio controla o fluxo do trfego da rede usando polticas e
determina domnios de broadcast, realizando funes de roteamento entre redes locais
virtuais (VLANs) definidas na camada de acesso.
As VLANs permitem segmentar o trfego de um switch em sub-redes separadas. Por
exemplo, podemos realizar a segmentao de rede do shopping de acordo com os
departamentos, sendo RH, TI, Jurdico, etc.
 Os switches da camada de distribuio costumam ser dispositivos de alto desempenho que
tm alta disponibilidade e redundncia para assegurar a confiabilidade. As polticas de
segurana desta camada so listas de acesso para bloqueio de comunicao, polticas de
restrio de roteamento, dentre outros.

2.1.3. Camada Ncleo/CORE

A camada Ncle/CORE da rede hierrquica o backbone de alta velocidade das redes

interconectadas. Como a camada de ncleo essencial interconectividade entre os
dispositivos da camada de distribuio, importante que o ncleo seja altamente disponvel e
redundante.
A rea do ncleo tambm pode se conectar a recursos de Internet. Como o ncleo agrega
o trfego de todos os dispositivos da camada de distribuio, ele deve ser capaz de
encaminhar grandes quantidades de dados rapidamente. Esta camada pode ser dispensada
para redes de pequeno porte, com at 200 dispositivos.
Polticas de segurana geralmente no so aplicadas nesta camada, tendo em vista que o
objetivo dela realizar roteamento de grandes volumes de trfego.

2.2. Redes Virtuais

O conceito de VLAN uma facilidade de operao em uma rede comutada. Esta facilidade
permite que o administrador configure a mesma como sendo uma nica entidade interligada,
enquanto so asseguradas aos usurios a conectividade e a privacidade como se estivessem
em mltiplas redes separadas.
possvel criar redes totalmente separadas para visitantes e rede administrativa
dentro do mesmo ambiente fsico, aplicando polticas de segurana diferentes para os grupos
utilizando o conceito de VLANs. A principal caracterstica atribuda ao uso de VLANs a
possibilidade de agrupar estaes pertencentes a uma ou mais LANs fsicas, de forma a criar
um nico domnio de broadcast, garantindo a comunicao entre estas LANs, mesmo que
faam parte de segmentos fsicos diferentes.
Nos pargrafos seguintes ser mostrada uma breve explicao das caractersticas das
VLANs. Em uma rede no segmentada, computadores, impressoras e outros dispositivos
conectados disseminam uma grande quantidade de pacotes de broadcasts por diversos
motivos, seja por falhas na conexo dos cabos ou mau funcionamento de interfaces de rede,
podendo causar atraso no tempo de resposta e lentido na rede local.
No modelo de VLANs, existe um domnio lgico de difuso por onde os pacotes de
broadcast ou multicast so contidos e no se propagam a outras redes virtuais. Assim sendo,
os pacotes de difuso ficam contidos apenas em sua rede local, reduzindo drasticamente o
volume de trfego na rede. A implementao de VLANs para segmentar uma rede melhora a
performance. Como visto anteriormente, os pacotes de broadcast e multicast ficam presos
somente na VLAN onde trafegam, evitando congestionamentos. Outra caracterstica o fato
de diminuir o nmero de estaes que compartilham o mesmo canal lgico, reduzindo assim o
tempo de acesso.
 A implementao de VLANs pode ser aplicada para grupos de trabalho ou setores
diferentes da empresa. Uma das vantagens restringir a comunicao de computadores
instalados em setores crticos como, por exemplo, financeiro, protegendo assim informaes
sigilosas da organizao. A segurana uma das caractersticas mais importantes quando
decidido segmentar a rede em VLANs, j que ela permite que dispositivos localizados em
diferentes segmentos fsicos, mas em uma mesma VLAN, comuniquem-se sem que dispositivos
fisicamente prximos tenham acesso.
VLAN Trunking um padro definido pelo IEEE 802.1ad e tem como caracterstica a
transmisso de pacotes para diferentes VLANs em um mesmo link. A identificao das VLANs
em um link configurado no modo Trunk (tronco) feita por meio dos mtodos de marcao de
quadros (VLAN tagging). Neste modelo de funcionamento, todos os dispositivos
interconectados devem ter suporte identificao de membros e dos formatos de quadros de
VLANs (VLAN-Aware).
As portas dos dispositivos de rede podem ser configuradas, alm do modo Tronco, no
modo de acesso, que, ao contrrio do trunking, restringe o enlace para trafegar pacotes de
uma nica VLAN, por meio de configurao prvia. O roteamento entre VLANs necessrio
quando um dispositivo de uma VLAN precisa se comunicar com um dispositivo de outra VLAN.
Esse roteamento pode ser feito por meio de um switch de camada 3 ou utilizando um
roteador.

2.2.1. Padro Vlans

O modelo oficial das VLANs dos shoppings, segue um padro composto basicamente
por 3(trs) dgitos, os quais se desdobram para oferecer uma estrutura escalvel e ao mesmo
tempo simples em termos administrativos. Abaixo apresentado o significado de cada dgito
identificador:

ID Descrio
z.. Dgito Identificador do Grupo Principal
.x. Dgito que identifica uma subdiviso em blocos, porm limitados ao escopo do grupo
principal.
..y Subdiviso do bloco

O Dgito Identificador Principal define os macro-grupos utilizados para a

segmentao hierarquizada do modelo oficial, conforme segue comentado logo abaixo:

ID Grupo Principal Descrio

0xy Enlaces Links com internet, backbone interno, rede de backup e etc.
1xy Departamentos x: Departamentos
y: subdivises
2xy DMZ e Servidores Uma VLAN para os servidores que se encontram na DMZ e outra
para os servidores que se encontra no permetro interno.
3xy Voip Ramais IP
5xy Wireless 510-549: Wifi Corporativa
550-590: Wifi Visitante
6xy CFTV/Cmeras Monitoramento por cmeras
7xy Gerencia Configurao e gerencia dos ativos de redes.

Abaixo segue distribuio de VLAN ID conforme metodologia descrita. Estes constaro em

qualquer infraestrutura e serviro como base para a implantao de novos sistemas e solues
de rede.

VLAN ID VLAN NAME

010 Link internet 1 Algar
011 Link internet 2 Vivo
013 Link MPLS
110 Recursos Humanos
120 Administrativo
130 Comercial
140 TI
150 Outros Departamentos
200 DMZ
201 Servidores Internos
300 Voip
520 WIFI Cooperativo
530 WIFI Visitante
600 CFTF/Cmeras
800 Gerncia

Opcionalmente pode-se subdividir esta VLAN 1x0 em outros segmentos, por blocos,
andares, coordenaes, entre outros, a fim de diminuir o domnio de broadcast e melhorar o
monitoramento e segurana na comunicao entre as subredes.

VOIP: foi determinada a segmentao destes dispositivos devido caracterstica sensvel de

necessidade quanto qualidade de servio (QoS). Sub-redes adicionais podem ser criadas
neste grupo 3 para atender demandas muito especficas, como transmisses multimdia,
cmeras compartilhadas, entre outras aplicaes que exigem um controle mais refinado de
gesto de trfego.

Gerncia: a segmentao da rede de gerncia garante um melhor nvel de segurana para

acesso aos dispositivos de rede via CLI ou SNMP.

2.3. Estrutura Lgica

Avaliando as necessidades da rede e tambm os equipamentos disponveis, chegou-se
ao que se acredita ser uma boa topologia para a rede do shopping, de acordo com a figura
abaixo:
 Topologia de exemplo

A topologia apresentada foi proposta levando em considerao as melhores prticas

de gerncia de rede. Pode-sese notar que a topologia inclui redundncia, evitando um nico
ponto de falha. Esta topologia est segmentada em VLANs, que implica na reduo do trfego
de broadcast, conforme explicado anteriormente. Com a segmentao, os servidores foram
isolados do resto da rede, impedindo acessos indevidos, j que todas as conexes passaro
pelo firewall.

2.3.1. Endereamento IP
A tabela abaixo mostra como ficar o endereamento das redes, incluindo a rede de gerncia e
a rede wireless.

Rede VLAN ID Observao

10.65.128.0/27 120 Rede Administrativa
10.65.128.32/27 110 Rede RH
10.65.128.64/27 130 Rede Comercial
10.65.128.96/27 140 Rede TI
10.65.128.128/27 201 Rede Servidores
10.65.129.0/27 300 Rede Voip
10.65.129.32/27 600 Rede CFTV/Cmeras
10.65.130.0/24 150 Rede outros departamentos
10.65.131.0/23 200 DMZ
172.16.240.0/21 530 Wifi Publico
172.16.128.192/27 520 Wifi Corporativo
172.16.128.224/27 800 Gerencia de Redes
 2.4. Conexo entre filiais
A conexo entre as filiais da capital se far via VPN comum, passando pela internet. J
a rede das filiais do Interior se conecta por uma VPN em cima de um servio de MPLS, que
pode segurar maior desempenho. Os servios de VPN sempre redundantes para proporcionar
alta disponibilidade.

Topologia de exemplo

2.5. Equipamentos
Para fazer a estrutura de servidores e hosts que possibilitaro o funcionamento da
rede e dos sistemas da empresa, foi pensado nos seguintes equipamentos que supriro as
necessidades:

Na Matriz utilizaremos o Firewall utilizaremos o SonicWall TZ 500 com alta

disponibilidade;
sponibilidade;
Nas filiais o SonicWall TZ300;
3 servidores Dell R630 com 2 HD de 2TB SATA em RAID 1 com 32 GB de RAM, 2
CPU Xeon 2620 v4 8 cores e fonte redundante de 450 watts;
Conectar
ctar os Dell R630 com HBA SAS 12Gbps ao storage Dell Compellent
SCV2020;
Storage
torage com RAID automtico (tierizacao inteligente) 2 fontes e 2
controladoras com 4GB de cache cada;
cada
9 Discos De 1.2TB SAS de 10KRPM e 2 de 400GB SSD;SSD
2 Nobreak APC SUA 3000 Com placa de de gerenciamento em cada unidade;
2 Switches Dell N2048 na matriz;
 1 Switche Dell Srie X1048 em cada filial;
Para usurios de wifi AP SonicPoint com controle de banda;
Servidor Dell R730 na matriz para backup, com 2 CPU Xeon 2620, 64GB de
RAM e fonte Redundante e 6HD de 8TB NLSAS em RAID5;
Windows Server 2012 Essentials;
VMware ESXi plus 6.0;
Windows Server 2012 Standard;
Windows 10 PRO;
Office 2013 std;
RedHat Enterprise
Cabeamento estruturado com Patch panels Furukawa Multilan CAT6;
Keystones duplos Cat6 nas tomadas;
Patch cords Furukawa de 2m, Azul para usurios;
Patch cords de 1,5m azuis para ligar aos switches;
Antivrus Symantec Endpoint Protection Business;
Desktops Dell 3040m com 128GB ssd 4GB de RAM;
Arcserve Backup;
8 mquina Core i7, com 32 Gb de RAM, duas placas de rede e gabinete para
rack;

2.6. Hosts e ativos

Com a lista de equipamentos a serem utilizados, podemos projetar a rede, com base
na topologia apresentada. Essa listagem de hosts bem genrica, para termos uma noo de
como a rede funcionar, entretanto mais especificidades dependero de muitos requisitos, o
que nos levaria a aprofundar extremamente no funcionamento da SAM como empresa. Esse
tipo de projeto se tornaria extremamente grande e complexo, o que no o objetivo desse
documento, levando em considerao que estamos projetando a topologia geral, estimativas
de custos e aspectos mais generalizados. Ento podemos organizar da seguinte maneira:

Um servidor Dell R630 rodando VMware ESXi Plus 6.0, ser colocado na DMZ para
rodar os servios que sero disponibilizados para a internet;
Um cluster de 2 servidores Dell R630 rodando VMware ESXi Plus 6.0, onde sero
alocados as instancias dos sistemas internos (ERP, CRM, BD, Citrix e etc);
Dentro do cluster ter Windows Server 2012 como AD/File System/DNS/DHCP, e
tambm um RedHat Enterprise com Oracle 12G para banco de dados dos principais
sistemas;
Ainda dentro do cluster ser instalado um servidor de Endpoint do antivrus Symantec
para gerenciar os agentes nas mquinas dos usurios;
O cluster ser ligado com HBA SAS 12 Gbps ao storage Dell Compellent SCV2020
O storage ter RAID automtico (tierizacao inteligente) 2 fontes e 2 controladoras com
4GB de cache cada, 9 Discos De 1.2TB SAS de 10KRPM e 2 de 400GB SSD;
O servidor Dell R730 ir rodar o Arcserve backup;
 O backup ter replicao na cloud Azure;
Uma mquina core i7, com 16 Gb de RAM, duas placas de rede e gabinete para rack
ser utilizada como IDS;
O switch Dell N2048 que sair direto do Firewall, ter uma porta espelhada para um o
IDS;
A outra placa de rede do IDS ser utilizada diretamente no switch para gerenciamento;
As outra mquinas core i7 sero utilizadas localmente nas filiais como rplica do AD
para melhor performance. Neste caso elas podero ter maior HD.

2.7. Segurana

A segurana um dos pontos mais importantes da estruturao de uma rede.

Pensando em cobrir todos os pilares da segurana da informao (integridade, disponibilidade
e confidencialidade), foi pensado em um complexo esquema com diversos produtos e servios
que sero descritos abaixo.

2.7.1. Disponibilidade
A disponibilidade est sendo resolvida clusterizando os pontos mais crticos. Os links
de internet so dedicados utilizando a Algar Telecom e a G8 Telecomunicaes, para gerar
uma alta disponibilidade de links de Internet. Nas matrizes da capital, sero utilizados um link
somente, porm com VPN redundante para que no perca a comunicao. Como as filiais
possuem uma rede reduzida, no haver necessidade de redundncia de links, mas ao invs, a
equipe de TI ir disponibilizar uma equipe dedicada para abrir chamados e resolver os
problemas nas filiais. Nas filiais do interior, que tero as redes um pouco maiores, e devido
tambm a distncia fsica que aumenta a logstica da equipe, ser contratado um servio de
MPLS para o estabelecimento das conexes via VPN com maior desempenho e segurana.
Alm da redundncia dos links e das VPNs, a matriz ter o Firewall clusterizado para evitar a
queda da rede principal da empresa.

Os sistemas utilizados pela empresa sero virtualizados, o que nos d uma

versatilidade de manuteno, e nos possibilita montar todo o parque de sistemas (ou grande
parte dele) em um cluster de alta disponibilidade, tudo obviamente em cima de Nobreaks para
evitar que as quedas de energias interfiram na disponibilidade dos sistemas.

Um servidor parrudo de backup ser instalado, para que em caso de ataques de

ramsomware, corrupo de HD ou de arquivos, ou possveis problemas na rede, consiga em
pouco tempo restaurar os dados e evitar a indisponibilidade nesses casos.

E para encerrar, dever ser instalado um servidor (na virtualizao) que ir monitorar
os ativos atravs de agentes instalados em cada servidor (uso de CPU, memria RAM, HD e
etc). Assim os gestores da rede podero saber um pouco mais do funcionamento da infra,
diminuindo os riscos de indisponibilidade. recomendado o sistema Zabbix para tal funo.

2.7.2. Integridade e confidencialidade

Para resolver esses problemas sero tomadas diversas atitudes, para que possamos
reduzir ao mximo as falhas de segurana, alm de gerenciar a insegurana. Comeando pelo
Firewall SonicWall, que robusto e possui uma tecnologia UTM (Unit Threat Module), um
mdulo de tratamento de ameaas que atravs de alguns algoritmos heursticos, capaz de
bloquear vrus e cdigos maliciosos em tempo de conexo.

Ser instalado o Symantec Endpoint Protection, que gerenciar as ameaas adquiridas

pelos usurios, e analisar o file system das Workstations. O servidor de endpoint serve para
facilitar o gerenciamento de uma rede desse porte e o controle das ameaas por um
especialista, alm de no comprometer o desempenho da rede com o excesso de atualizaes,
pois o servidor ir fazer o download automaticamente e diariamente das definies de vrus e
atualizar os agentes gradativamente.

O estabelecimento de polticas de segurana e processos de tecnologia, seguindo os

padres ITIL e as melhores prticas de segurana devero ser trabalhadas para assegurar que o
elo mais fraco esteja menos vulnervel (o usurio). Isso envolver polticas de conscientizao
do usurio, treinamento e capacitao.

Um IDS (Intrusion Detection System) ser instalado, para que um servio de

monitorao seja feito de dentro da rede da SAM. Pois caso ataques e invases ocorram,
temos como mensurar os danos e atitudes em tempo real a tomar.

Por fim, um gerenciamento de tudo isso (firewall, enpoint, polticas, treinamentos,

monitoramento e etc) dever ser feito atravs de uma SLA(Service Level Agreement Acordo
de Nvel de Servio) para o estabelecimento de um servio de Compliance de segurana. Assim
poder ser estabelecido um processo de melhoramento contnuo, onde ser gerenciados
todos os ativos de segurana, feitos Testes de Intruso cclicos para levantamento de
vulnerabilidades, e possveis planos de remediao. A empresa Intruder Security oferece todos
esses servios ser a melhor indicada para a contratao dos servios, permitindo que a equipe
de tecnologia da SAM tenha um maior apoio e divida sua responsabilidade quanto
segurana.
 2.8. Custos

Os custos de implantao de um projeto desse porte so extremamente complexos de

serem feitos, levando em considerao que no temos informaes muito especficas de
sistemas a serem usados, necessidades e os modos de operao da SAM. Muitos detalhes e
requisitos devero levantados para esse levantamento.

Porm conseguimos atravs do levantamento da maioria dos equipamentos e

software usados assim como os servios necessrios, fazermos uma estimao do preo de
custo. Depois de alguns clculos e pesquisas de alguns preos, podemos fazer a estimativa de
que esse projeto inteiro, considerando at o que no foi citado nesse documento, poder ser
efetuado por no mnimo R$ 1.000.000,00 (um milho de reais). O que apesar de ser um valor
considervel, extremamente dentro da realidade de uma empresa do porte da SAM.

3. Concluso

Esse documento no entrou em um nvel de especificidade muito alto, para

conseguirmos mensurar detalhadamente a rede, e muito menos o custo, porm servir de
base para uma viso generalizada do projeto como um todo. Partindo do princpio que uma
empresa desse porte com uma rede de computadores desse porta no so criados do dia para
a noite, ento esse documento se encaixaria na realidade de uma reestruturao da rede,
onde j temos sistemas estabelecidos e comprados e, tambm, j temos uma infra-estrutura
definida e funcional. Assim o custo do projeto teria outra realidade, partindo do princpio que
a empresa j tem a maioria dos equipamentos.

O projeto nos d uma viso clara e objetiva de organizao geral da rede, e nos mostra
o nvel de complexidade que um ambiente desse teria. Maiores requisitos e maiores detalhes
poderiam levar meses ou at anos para ser estabelecidos e projetados. Mas no contexto da
apresentao do projeto, ele atende uma descrio geral.