Implementação Rede Segura Suporte à Redes Corporativas com DMVPV
O presente projecto visa a implementação de uma rede segura de
Chicapa E. 2020 Projecto Implementação Rede Segura Suporte Redes Corporativas, suporte às Redes Corporativas de grande dimensão, sendo que na primeira fase, faz-se o uso da tecnologia Frame Relay para os serviços corporativos entre a unidade principal (Sede-Rede Corporativa) e as demais unidades remotas (Filiais 1 á 4); Adicionalmente serão configurados os serviços internet, para toda a corporação, centrados na unidade principal. Dada a tendência evolutiva no quadro da tecnologica de suporte á redes corporativas modernas, a segunda fase do projecto utilizará uma abordagem VPN de nível 3, baseada numa solução DMVPN (Dynamic Multiprotocol VPN), ou eventualmente a MPLS (Multiprotocol Label Switching). Para uma integração IPv4 e IPv6, a rede irá também suportar a tecnologia NAT64 e Túneis IPv6. Os serviços de acesso à rede domiciliar fazem ainda parte do projecto, conforme se resume adiante. PROJECTO – REDES DE ALTO DÉBITO
Implementação Rede de Suporte à Redes Corporativas
Resumo 1ª Fase:
Chicapa E. 2020 Projecto Implementação Rede Segura Suporte Redes Corporativas, Rede Frame Relay (Topologia Mista) com Serviços Internet a partir da Sede-Corporativa. Descrição da Topologia Malha Parcial ( Sede + 2 Filiais) 2 Ligações Ponto-a-Ponto Sede + 2 Filiais Os Serviços Internet integram � Servidor DNS Primário: Local á Sede, Secundário: Núvem � Ligação WAN Sede -> Provedor-Sede � Suporte acesso público (NAT/PAT) NAT Dinâmica (suporte acesso internet em todaa matriz) NAT Estática (suporte acesso DMZ) Servidor Web Servidor Email PROJECTO – REDES DE ALTO DÉBITO
Implementação Rede de Suporte à Redes Corporativas
Diagrama Lógico 1ª Fase:
Chicapa E. 2020 Projecto Implementação Rede Segura Suporte Redes Corporativas, PROJECTO – REDES DE ALTO DÉBITO
Implementação Rede de Suporte à Redes Corporativas
Resumo 2ª Fase:
Chicapa E. 2020 Projecto Implementação Rede Segura Suporte Redes Corporativas, DMVPN ( Topologia Hub & Spoke e Spoke & Spoke) Descrição da Topologia Sede + 4 Filiais Suporte ao Acesso Remoto NAT64 e Túnel 6to4 ( Topologia Site-a-Site)
Devido á falta de suporte do simulador Packet Tracer versão 7.3, concluir esta fase com o emulador GNS3 (versão 2.2.16).
Outras Tarefas (2ª Fase)
• Aplicação Tecnologias Rede Local na Sede VTP, Etherchannel, WLAN, HSRP • Aplicação IoT Rede Domiciliar Alarmistica / Vigilância PROJECTO – REDES DE ALTO DÉBITO
Implementação Rede Segura Suporte à Redes Corporativas com DMVPV
O projecto visa, na segunda fase e essencialmente, a
Chicapa E. 2020 Projecto Implementação Rede Segura Suporte Redes Corporativas, implementação de uma rede segura de suporte às Redes Corporativas de grande dimensão, utilizando a tecnologia DMVPN (Dynamic Multiprotocol VPN). A DMVPN utiliza uma topologia em estrela (Hub & Spoke) eestabelece túneis seguros (IPSecurity) permanentes entre a Unidade Principal e as Remotas, com a possibilidade de comunicação directa e automática entre as Unidades Remotas, sempre que houver necessidade de tráfego entre si. Apesar de ser uma tecnologia virada para equipamentos Cisco, a DMVPN é bastante escalável, retirando sobrecarga de configuração no Hub, com a inclusão de novas unidades remotas. Por outro lado, as unidades remotas podem optar por uma configuração dinámica de endereços. Os conceitos basícos a volta da configuração da DMVPN centram-se na Multipoint GRE e Next Hop Resolution Protocol (NHRP) PROJECTO – REDES DE ALTO DÉBITO
Implementação Rede Segura Suporte à Redes Corporativas com DMVPV
Os benefícios da aplicação da DMVPN, além do seu suporte à redes
Chicapa E. 2020 Projecto Implementação Rede Segura Suporte Redes Corporativas, de grande dimensão, podem ser resumidos no seguinte:
� Suporte ao tráfego unicast e multicast sobre os túneis
� Ideal para tráfego VOIP intensivo, visto que a comunicação directa entre unidades remotas reduz drasticamente o atraso e a variação do atraso (jitter) elevando o desempenho e a qualidade de serviço da rede; � A DMVPN, permite que as unidades remotas possam receber endereços IP dinamicamente, apartir dos respectivos ISP, eliminando assim a sobrecarga administrativa de configuração estática. PROJECTO – REDES DE ALTO DÉBITO
Implementação Rede Segura Suporte à Redes Corporativas com DMVPV
Aspectos de Configuração
Chicapa E. 2020 Projecto Implementação Rede Segura Suporte Redes Corporativas, De acordo com o diagrama lógico da rede, os endereços públicos a serem atribuídos às terminações dos túneis, obedecem ao modelo da núvem CIDR de distribuição dos blocos de endereçamento público, detidos por Provedores de Serviços Internet/Operadores Internet distribuídos em três camadas. Assim, para qualquer Nó Pijk teremos as seguintes dimensões: i = 4, j = 4 e k = 8 O encaminhamento na núvem pode ser suportado por um dos protocolos interiores OSPF ou EIGRP, criando um domínio ou sistema autónomo representativo da núvem. Deverão ser indicados 5 Nós Pijk que irão suportar as ligações às redes periféricas, a saber: � Rede Local Principal (Sede) � Unidades Remotas (Filiais 1 a Filial 4) � Rede de Acesso – Utilizador Móvel � Rede de Acesso - Domiciliar PROJECTO – REDES DE ALTO DÉBITO
Implementação Rede Segura Suporte à Redes Corporativas com DMVPV
Aspectos de Configuração
Chicapa E. 2020 Projecto Implementação Rede Segura Suporte Redes Corporativas, Todos túneis a serem configurados entre a Sede e Unidades Remotas e destas entre si, utilizarão o Multipoint GRE, devendo o acesso do utilizador remoto ou domiciliar, usar uma solução baseada em VPN de Acesso remoto (por exemplo, o AnyConnect Web VPN ou outra que se afigure viável)
A inclusão de uma rede domiciliar com acesso à internet, visa
abordar os aspectos de segurança na conectividade domiciliar, numa altura em que crescem as aplicações baseadas em IoT (Internet of Things), que permitem a automação de domicílio, - aplicações de Alarmistica / Vigilância. Entre outras podemos destacar o controlo e monitoramento de Níveis Dióxido/Monóxido Carbono, Acessos por Vídeo Vigilância, etc. PROJECTO – REDES DE ALTO DÉBITO
Implementação Rede Segura Suporte à Redes Corporativas com DMVPV
Diagrama Lógico da Rede
Chicapa E. 2020 Projecto Implementação Rede Segura Suporte Redes Corporativas, PROJECTO – REDES DE ALTO DÉBITO
Implementação Rede Segura Suporte à Redes Corporativas com DMVPV
O diagrama lógico de rede expõe, básicamente, os seguintes aspectos:
Chicapa E. 2020 Projecto Implementação Rede Segura Suporte Redes Corporativas, � Cada unidade remota (filial) possui um túnel IPSecurity permanente com a unidade principal (Sede-Rede Corporativa), representado por linhas castanhas; � Os túneis entre unidades remotas, representados por linhas azuis, são formados à medida, desde que se manifeste algum tráfego nas unidades remotas entre si. Isto significa que o tráfego não passa pelo Hub e vai directamente entre as unidades remotas; � Todos os túneis utilizam o Multipoint GRE com protecção IPSecurity; � O protocolo NHRP (Next Hop Resolution Protocol) é usado para mapear os endereços privados das interfaces de túnel aos respectivos endereços públicos, cujo resultado é armazenado e mantido na unidade principal como servidor NHRP; � Sempre um uma unidade remota pretender comunicar-se com uma outra, solicitará ao servidor NHRP, o endereço público dessa unidade destinatária. � Existe um protocolo de encaminhamento a executar nos sites da rede corporativa, que irá encaminhar e difundir todas as rotas (privadas do túnel e das redes privadas); PROJECTO – REDES DE ALTO DÉBITO
Implementação Rede Segura Suporte à Redes Corporativas com DMVPV
Para termos uma ideia de como a DMVPN funciona, vamos supor que no diagrama em análise, as Filial1 e Filial4, pretendessem comunicar entre si.
Chicapa E. 2020 Projecto Implementação Rede Segura Suporte Redes Corporativas, Endereçamento IP LAN Filial 1 – 172.31.20.0/24; Endereço Túnel – 10.10.1.2/24; Endereço WAN Filial 1– 197.10.110.250/30 LAN Filial 4 – 172.31.70.0/24; Endereço Túnel – 10.10.1.5/24 Endereço WAN Filial 4 – 197.10.254.250/30
Assim, o router Filial 1, saberá que Filial 4 (172.31.70.0) é alcançável por meio do endereço de túnel 10.10.1.5. Esta informação foi obtida por intermédio do protocolo de routing (OSPF ou EIGRP) que foi aplicado em todo o domínio corporativo. Entretanto, o router Filial 1 ainda não conhece o endereço público, para alcançar a Filial 4. Deste modo, fará uma solicitação ao servidor NHRP para obter desse o endereço público mapeado ao endereço 10.10.1.5. No nosso exemplo, este endereço é o 197.10.254.250. Note-se que este mesmo endereço poderia ter sido atribuido dinamicamente pelo respectivo ISP. Em posse desse endereço, um túnel GRE/IPSecurity será dinamicamente criado entre Filial 1 e Filial 4. PROJECTO – REDES DE ALTO DÉBITO
Implementação Rede Segura Suporte à Redes Corporativas com DMVPV
Exemplo Túnel DMVPN entre Filial 1 e Filial 4
Chicapa E. 2020 Projecto Implementação Rede Segura Suporte Redes Corporativas, PROJECTO – REDES DE ALTO DÉBITO
Implementação Rede Segura Suporte à Redes Corporativas com DMVPV
Etapas e Cronograma de Resolução da 2ª Fase Projecto
Chicapa E. 2020 Projecto Implementação Rede Segura Suporte Redes Corporativas, 1. Núvem CIDR, Identificação e interprepação Nós, conforme tabela de endereços IP, anexa. 2. Configuração Acesso internet e Serviços Internet e DMZ 3. Configuração Acesso Utilizador Remoto ( Operador Telefonia Móvel Celular) 4. Configuração Acesso Rede Domiciliar (Operador Fiber, Cable ou DSL) 5. Configuração VPN de Acesso Remoto 6. Configuração DMVPN 7. Testes de Conectividade e Segurança DMVPN 8. Testes de Conectividade Global, incluindo acessos de e para Rede Domiciliar.
Sugerimos que os pontos 1, 2, 3 e 4 sejam realizados até dia 4 de Janeiro de
2021. As tarefas seguintes serão realizadas até dia 13 de Janeiro de 2021 A avaliação decorrerá, na semana em que se realizar a 2ª prova de frequência de Sistemas Distribuidos. PROJECTO – REDES DE ALTO DÉBITO
Implementação Rede Segura Suporte à Redes Corporativas com DMVPV
Outras Recomendações
Chicapa E. 2020 Projecto Implementação Rede Segura Suporte Redes Corporativas, O projecto deverá ser individual, para efeitos de avaliação, podendo durante a sua preparação, permitir-se a formação de grupos até 3 integrantes. Existe uma lista anexa, onde deverá cada estudante, verificar os endereços IP com que irá trabalhar: Um endereço privado de classe B, para a elaboração da configuração das redes locais; Um endereço públiico (apartir do superbloco /8), com a indicação dos cinco Nós Pijk responsáveis para a identificação dos blocos de endereçamento para as configurações dos serviços internet a partir de cada uma das redes periféricas; A núvem que suporta os Nós acima referidos, deve ser elaborada, obedecendo a hierarquia que tem como raíz o bloco de perfíxo /16. A interligação dos nós necessários deve ser feita usando, para efeitos de configuração, endereços auxiliares do bloco 10.0.0.0/8. Todas as configurações deverão ser iniciadas no simulador Packet Tracer 7.3, transferindo-se para o ambiente GNS3 versão 2.2.16 áquelas que não sejam compatíveis com PT 7.3, como sejam as na sua grande maioria as configurações nucleares relacionadas com a DMVPN e a VPN de Acesso remoto. PROJECTO – REDES DE ALTO DÉBITO
Implementação Rede Segura Suporte à Redes Corporativas com DMVPV
Deverá no final do projecto elaborar um Relatório Síntese
Chicapa E. 2020 Projecto Implementação Rede Segura Suporte Redes Corporativas, Que Deve conter:
• Resumo • Diagrama de Arquitetura Lógica • Anexos (Tabelas de Endereçamento, NHRP e routing) • Conclusão (apontar nível de satisfação dos objectivo pretendidos com o projecto) ��������������������������������������������������������������������������� ��������������������������������������������������������������������������������� �����������������������������������������������������
