LLD Software DA

Arquitetura dos SitesULA e GO
Bronze
LOW LEVEL DESIGN
SOFTWARE
Definição da Arquitetura para Sites
Network Architecture Team

Versão: 1.1
Data: dezembro 2023
Bronze
Informações Gerais
Low Level Design para definição de arquitetura dos novos sites ULA e GO em
uma software house
Grupos Alvo
Network Engineering / Security Engineering / Network Management / Network
Designers / Network & Security Architects
Sponsors
Software House
Gerenciamento, infraestrutura e segurança de Data Centers
Cópias Adicionais
Cópias do documento podem ser adquiridas com:
Network & Security Designers / Architecture TeamLocal:
Uberlândia MG / Headquarters
Confidencialidade
Este documento não pode ser divulgado de nenhuma maneira sem aprovação,
de acordo com as diretrizes internas
Status: Restrito
Versão do Documento
1.0
Histórico da Versão
Data Autor Revisor Versão Modificações
1.1 Draft do Documento
1. Introdução
1.1.Escopo & Objetivos
O objetivo desse documento é descrever em detalhes o Low Level Design (LLD)

para definir os novos sites (Definição da Arquitetura dos Sites) de uma Software
House. Essa definição também contém detalhes do High Level Design (HLD)
proposto pelo time de arquitetos.
Essa Software House possui um Data Center e 1 filial que são definidas em dois
modelos: ULA e GO. A principal diferença entre os dois modelos é a quantidade de
equipamentos e a quantidade de usuários. Enquanto site ULA têm dois Firewalls
redundantes e cerca de 48 usuários, o site GO tem apenas um Firewall, um switch
Core e cerca de 15 usuários.
Bronze
Figura 1: Referência da Arquitetura de Rede para o site ULA

Bronze
Figura 2: Referência da Arquitetura de Rede do site GO
Os novos sites são compostos por camadas, também definidas como blocos de
construção.
Os novos sites são compostos pelos blocos (camadas) a seguir:

Bronze
a. Acesso = Utilizado pelos usuários locais para alcançar os serviços de intranet e

extranet.
b. Core = Utilizado para efetuar a conectividade a nível IP da localidade com o

c. perímetro de controle de segurança.
d. Perímetro de segurança = Responsável por assegurar que toda conexão
iniciada pela camada de acesso será segura.
e. Borda = Responsável pela conectividade com serviços providos por terceiros
(links de internet). Borda foi definido em Edge and external parties perimeter.
Nas figuras anteriores, podemos ver os relacionamentos que cada camada

possui na criação das novas filiais. Os usuários se comunicarão com os serviços de
intranet e internet através dos blocos apresentados. Para cada exemplo de tráfego
apresentado nesse documento, existe um documento de arquitetura e segurança
aprovando o mesmo. Conforme informado inicialmente, essa Definição de
Arquiteturados Sites é uma nova versão de padronização de filiais e branches.
Assim que for aprovado esses flows ficarão em poder do time de Segurança.
Qualquer mudança deve ser apresentada, discutida e aprovada.
Esse LLD apresentará cada um dos blocos descritos em detalhes (L1/L2/L3).

Adicionalmente, teremos apresentação das features de segurança.
2. Requisitos do Design
2.1.Introdução
Neste capítulo, serão apresentados os requisitos de design necessários para a

elaboração das novas filiais.
Embora nem todos os requisitos sejam detalhados aqui, ofereceremos um resumo

abrangente dos principais requisitos que abrangem o negócio, o usuário e a rede.
Bronze
2.2.Business
Os requisitos apresentados pelo negócio são:
Para os sites ULA a topologia tem que ser toda redundante

Para os sites GO, não será necessária redundância nos equipamentosde
Core e Firewall por serem filiais pequenas
Deve suportar IPv4
Deve suportar IPv6
Deve controlar os dispositivos que se conectam à rede
Deve possuir uma solução de Antivírus centralizada
Deve possuir uma solução para visualizar e/ou ajudar a responder
incidentes de segurança
Todos os computadores devem estar no domínio
Alta disponibilidade para acesso à internet e as aplicações do Data Center
2.3.Usuários
Os requisitos para os usuários são:
Controle de acesso baseado em serviços de segurança

Redundância de conectividade para serviços de internet e intranet
Redundância de infraestrutura interna
Banda dedicada para a navegação
Controle de aplicações a serem utilizadas
Todos os computadores devem estar no domínio
2.4.Network
Os requisitos para os sites novos são:
Conectividade com o Data Center redundante

Encriptação dos dados entre os sites e o DC
Redundância com dois links
Bronze Conectividade com a internet
Conexões Ethernet com pelo menos 1Gbit/s
3. Descrição do Serviço (HLD)
3.1.Introdução
A rede nos novos sites proporcionará conectividade business-to-business entre as

instalações da Software House, além de oferecer conexão com a internet.
Antes de explorarmos as capacidades desses sites, vamos apresentar, de forma

conceitual, o funcionamento dos mesmos. Para visualizar o panorama geral do
ambiente, a figura a seguir ilustrará o panorama geral:
Figura 3: Overview
A representação gráfica apresenta a topologia geral, evidenciando que a

interconexão entre os novos sites, intranet e extranet será estabelecida por meio de
duas conexões fornecidas por provedores de serviço distintos (SPs).
Access Layer: Sua função é receber e direcionar os frames (layer 2). Ela
se conecta diretamente aos usuários através de cabos ou rede sem fio. Portanto, é a
camada com maior densidade de conectividade física.
Core Layer: Sua principal responsabilidade é receber o tráfego e direcioná-lo

na camada 3. É fundamental para assegurar a conectividade dos usuários internos,
independentemente de estarem conectados através de cabos ou por redes sem fio.
Security Perimeter Layer: Desempenha um papel crucial na filtragem

do tráfego, permitindo a saída apenas dos fluxos de tráfego autorizados da rede
interna dos sites. Além disso, desempenha a função de fornecer serviços de
Bronze
conectividade por meio de VPN (rede privada virtual), garantindo uma comunicação
segura e criptografada.
Edge Service Layer: Integra a camada responsável pela conexão entre

os provedores de serviços externos e internos, estabelecendo a conectividade com
serviços de internet e intranet. Através do balanceamento de links de internet, evita
sobrecarga e perda de pacotes caso haja alto consumo de serviços nos sites. Além
disso, para o acesso à intranet, serão utilizados os serviços de VPN por meio dos links
fornecidos por provedores de serviço diferentes (SPs).
3.2.Descrição dos Serviços
Os novos sites, ULA e GO, fornecem conectividade fim-a-fim de acordo com as

características abaixo:
3.2.1. Conectividade fim-a-fim com a intranet
a. Conectividade via VPN com o SP1 é o caminho primário via VPN. O

tráfego será criptografado de maneira distinta por cada aplicação, e será
criptografado através de uma VPN ponto a ponto, devido à conexão ser
estabelecida via internet. Essa VPN será a principal tanto para os sites
ULAquanto para os sites GO.
b. Conectividade via VPN com SP2 é o caminho secundário. Toda a política
de flow já explicada é aplicada para esse fluxo.
3.2.2. Conectividade fim-a-fim com a internet
Os novos sites geram conectividade fim-a-fim com a internet de acordo com as

características a seguir:
a. Conectividade através da SP1 para acesso à internet com link de alta

velocidade
b. Conectividade através da SP2 para acesso à internet com link de alta
velocidade. A premissa é que deve ser uma operadora diferente em
relação a SP1
c. Será utilizada a função de SD-WAN dos Firewalls para realizar o Load-
Balancing entre os dois links de internet.
3.2.3. Confidencialidade
A camada de perímetro de segurança foi concebida com o propósito de

proporcionar suporte à criptografia de dados por meio de serviços de VPN,
garantindo assim a proteção do tráfego entre os novos sites e o data center em
uma abordagem fim-a-fim. Além disso, todos os serviços empregados pelos sites
utilizam criptografias específicas para cada aplicação, detalhadas na
documentação correspondente a cada uma delas.
3.2.4. Alta Disponibilidade/Integridade

Bronze
Com exceção do site GO que não possue redundância de firewall, o site ULA
esta implementado com possibilidades de redundância no hardware sempre
que possível. Isso significa que entre todas as camadas existe redundância
física.
Independentemente do tipo do site, a redundância lógica está presente em todas

as camadas para suporte dos fluxos de tráfego.
3.2.5. Performance/Capacity
Os novos sites foram projetados para suportar diversos tipos de conexão. Por
esse motivo, o hardware utilizado precisa possuir as capacidades e recursos
adequados para processar o tráfego. Dependendo do site (ULA ou GO) essas
capacidades podem variar em relação ao dimensionamento e custo. No
entanto, é importante ressaltar que esses valores não afetam o desempenho dos
usuários conectados ao ambiente.
3.2.6. Segurança
O perímetro de segurança oferece aos usuários internos um tráfego seguro tanto

para intranet quanto para a internet, pois fornece capacidades como IPS, Web
Filtering, Application Control, Antivirus, DNS Filter, entre outras funções.
a. Segurança para a camada de acesso: Para garantir a

segurança na camada de acesso, uma solução de NAC realizará a
verificação de quais dispositivos podem entrar na rede de acordo com o
compliance definidopela equipe de segurança.
b. Proteção dos computadores do domínio: Todos os
computadores têm o mesmo sistema operacional configurado no
domínio e com a mesma solução de antivírus definida pela equipe de
segurança, garantindo assim a padronização.
c. Identificar ameaças e vulnerabilidades: Todos os

dispositivos de segurança como Firewall, NAC, Solução de Antivírus,
Servidores de Contas devem enviar logs e serem monitorados pelo
SIEM (Gerenciamento de Eventos e Informações de Segurança) que
fica instalado no DC
3.3.1. Padrão de Conectividade
Os novos sites possuem a capacidade de suportar diversos tipos de

conexões. No entanto, com o objetivo de padronização, a Software
House estabeleceu um conjunto de diretrizes. Para garantir a
conformidade com esses padrões de conectividade, foram estabelecidos
fluxos baseados em roteamento estático tanto para a internet quanto para o
Bronze data center (DC).
3.3.2. Padrão de Conectividade 1
O padrão de fluxo apresentado evidencia a conectividade com a internet por

meio da linha 1. Foi adotado o roteamento estático como opção definida para
essa conexão.
Figura 5: Padrão de Conectividade - 1
3.3.3 Padrão de Conectividade 2
O padrão de fluxo apresentado evidencia a conectividade com a internet por

meio da linha 2. Foi adotado o roteamento estático como opção definida para
ssa coexão.
Bronze
Figura 5: Padrão de Conectividade - 2
4. Design – Layer 1
Bronze
4.1.Introdução
Esse capítulo aborda a camada 1 da nova rede de filiais, fornecendo informações

pertinentes sobre diretrizes de design e configuração. Aqui você encontrará detalhes
essenciais relacionados a essa etapa do projeto.
ULA
VPN VPN
Tunnel Tunnel 02
01
Edg INTER
e NET
SP- SP-
01 02
Stack
Wise
Edg Stack Stack02
e
01
SW-BORDA- 01 SW-BORDA-02
Stack Stack
02 01
Secur H
A
ity FW-
01
FW-
02
LA LA
G G
2Gb 2Gb
MST
Domain
Cor SW- SW-
e
Po1
CORE1 CORE2
Gi0/2 Gi0/2 Gi0/2 Gi0/2

3 4 4 3
Gi0/23 Gi0/24
Gi0/24 Gi0/23
SW- SW-
Acce ACESSO- ACESSO-
01
Gi0/2 Gi0/2
02
Gi0/2 Gi0/2
ss 1 2 1 2
AP- AP- AP- AP-

01 02 03 04
Figura 5: Overview físico – ULA
A rede consiste nos dispositivos descritos a seguir:
ULA
Access-Points (8x Catalyst 9130)

Bronze
Switches de Acesso (3x Catalyst 9300)
Switches de Core (2x Catalyst 9500)
Switches Edge (2x Catalyst 2960)
Firewalls (2x FortiGate 600F)
GO:
Access-Points (4x Catalyst 9130)

Switches de Acesso (2x Catalyst 9300)
Switches de Core (2x Catalyst 9500)
Switches Edge (1x Catalyst 2960)
Firewalls (1x FortiGate 80F)
4.2.Detalhes da implementação
Neste capítulo serão apresentados detalhes específicos sobrea a implantação dos

equipamentos nas novas filiais. Aqui, você encontrará informações relevantes
relacionadas à configuração e instalação dos componentes necessários para o
funcionamento adequado dos sites.
4.2.1. Switches de Acesso
Hardware
A camada de acesso utilizará o hardware de acordo com a tabela abaixo:

Área Equipamento Modelo
Switches de Acesso 2x Catalyst 9300 9300-48UXG-4X-A
Os switches de acesso são interconectados através de módulos 10Gb.
Isso resultará em uma arquitetura de conectividade altamente redundante

com a camada de core de redes. Em caso de falha, será necessário
substituir o switch por outro previamente configurado para o mesmo
propósito. Os switches também possuem suporte para empilhamento
(stacking), caso haja necessidade de expandir o ambiente. Essa capacidade
proporciona flexibilidade adicional para a escalabilidade do sistema
Os switches de acesso estão conectados aos usuários de rede cabeada

(catracas, câmeras, controles de acesso, impressoras e access-points)
Slot Descrição
Te1/1 Uplink com o Core-1
Te1/2 Uplink com o Core-2
Te1/25-30 Reservada para Access-Points
Gerenciamento
Bronze
Todo o gerenciamento dos dispositivos, tanto da filial ULA quanto da filial
GO, será realizado através da VLAN de gerência.
Portas
As conexões nos switches de acesso são estabelecidas com base em

conexões 1/5/10 GE.
A alocação de portas foi realizada conforme apresentado abaixo:

De Para Descrição
SW-Acesso-XX Te1/1 Core-01 – Te1/4 Uplink Core - 01 10G
SW-Acesso-XX Te1/2 Core-02 – Te1/4 Uplink Core – 02 10G
SW-Acesso-XX – GE1/1-24 Endpoints Reservada para endpoints
SW-Access-XX – GE1/25-26 AP-XX 5GE interface para AP-XX
SW-Access-XX – GE1/31-45 Endpoints Endpoints
4.2.2. Access-Points
Hardware
Os access-points a serem utilizados tem o hardware de acordo com a tabela

abaixo:
Switches de Acesso 8x Catalyst 9130 C9130AXI-E
A seleção dos Access Points para utilização nos novos sites foi determinada
com base no documento de padronização de redes sem fio
para os novos sites, elaborado pela equipe de engenheiros e
arquitetos especializados. Para obter informações detalhadas,
recomenda-se consultar esse documento. Além disso, o documento de
site-survey realizado para os novos escritórios também deve ser utilizado
como referência. Para acessar esses documentos, entre em contato com
o proprietário do produto responsável pelas redes sem fio
Gerenciamento
A gestão dos Access Points é realizada por meio de um ambiente

centralizado de gerenciamento (Data Center). A equipe de redes sem fio é
responsável pela administração desses dispositivos através de uma VLAN
de gerenciamento conectada a um controlador de redes sem fio. Essa
abordagem permite uma gestão eficiente e centralizada dos Access Points
em todo o ambiente.
Portas
Os Access Points (APs) são conectados utilizando conexões baseadas em

5GE. Essa conexão oferece uma largura de banda adequada para suportar
as necessidades de conectividade sem fio nos novos sites.
4.2.3. Switch Core

Bronze
Hardware
A camada de Core utilizará os seguintes dispositivos:

Core Layer 2x Catalyst 9500 9500-16X
Os switches core estão interconectados por meio de um Link Aggregation,

utilizando duas interfaces Ethernet de 10Gb.
Essa configuração oferece uma arquitetura altamente redundante e elimina

a dependência de um único switch central, evitando assim um ponto único
de falha.
Além disso, essa abordagem permite que cada dispositivo central tenha
suas próprias unidades supervisoras exclusivas, garantindo a
independência e o gerenciamento individual de cada implantação de
dispositivo central.
Slot Descrição
Te1/1-2 Interconexão com Firewalls
Te1/3-14 Interconexão com switches de Acesso
Te1/15-16 Interconexão entre os switches de core
Gerenciamento
Todo o gerenciamento dos dispositivos será realizado através da VLAN de

gerência.
Portas
As conexões nos switches principais são estabelecidas com base em

conexões de 10GE.
A alocação de portas foi realizada conforme apresentado abaixo

De Para Descrição
Core-01/Core-02 – Te1/1 FW-01/FW-02 – X1 Uplink com Firewalls
Core-01/Core-02 – Te1/2 FW-01/FW-02 – X2 Uplink com Firewalls
Core-01/Core-02 – Te1/4 SW-Acesso-01 Downlink Switch de Acesso 01
Core-01/Core-02 – Te1/5 SW-Acesso-02 Downlink Switch de Acesso 02
Core-01/Core-02 – Te1/6-14 Reservado novos switches Reservado novos switches
Core-01 – Te1/15 Core-02 – Te1/15 Uplink entre os Cores
Core-01 – Te1/16 Core-02 – Te1/16 Uplink entre os Cores
4.2.4. Switch de Borda
Hardware
A camada de borda utilizará os seguintes dispositivos:

Edge Switches 2x Catalyst 2960X WS-C2960XR-24TS-I +
C2960X-STACK FlexStack
Bronze
Os switches de borda são conectados através do recurso de empilhamento
(Stackwise).
Essa configuração resulta em uma arquitetura altamente redundante,

eliminando a dependência de um único switch de borda e, portanto,
eliminando um ponto único de falha.
Os switches Cisco 2960X de borda são responsáveis pela conexão dos links
aos roteadores de cada provedor de serviços e aos firewalls. Eles são
exclusivamente utilizados para estabelecer conectividade externa. Essa
separação de função garante uma infraestrutura de rede eficiente e segura.
Slot Descrição
Gi0/1 – Borda-01 Downlink – Link Primário de Internet – FW-01
Gi0/2 – Borda-01 Downlink – Link Secundário de Internet – FW-01
Gi1/1 – Borda-01 Downlink – Link Primário de Internet – FW-02
Gi1/2 – Borda-01 Downlink – Link Secundário de Internet – FW-02
Gi0/24 – Borda-01 Uplink – Link Primário de Internet
Gi1/24 – Borda-01 Uolink – Link Secundário de Internet
Mgmt 0 – Borda-01 Uplink VLAN Gerência com Firewall
Interfaces Reservadas – Switches de Borda
Gerenciamento

gerência.
Portas
As conexões nos switches de Core são estabelecidas com base em

conexões 1GE

De Para Descrição
SW-Borda-01 – Gi0/1 Firewall-01 – Port1 Link SP1 para o Firewall
SW-Borda-01 – Gi0/23 SP1 – Router Link Internet 1
SW-Borda-01 – Gi0/24 SP1 – Router Link Internet 2
SW-Borda-01 – mgmt0 Firewall-01/02 – mgmt VLAN mgmt
Interfaces Reservadas – Switches de Borda
4.2.5. Firewalls
Hardware
A camada de Firewalls utilizará os seguintes dispositivos

Firewalls 2x FortiGate 600F FGT-600F
Bronze
Para que seja formado um Cluster com os Firewalls, eles serão
interconectados via interfaces de HA (High Availability Interfaces)
Essa configuração resulta em uma arquitetura totalmente redundante e

elimina a dependência de um único firewall, evitando assim um ponto único
de falha.
Os firewalls estão conectados aos switches de borda para estabelecer a

conectividade com os provedores de serviços. Além disso, os firewalls
também estão conectados aos switches principais da rede para fornecer
conectividade com o mundo externo. Essa estrutura permite uma segurança
eficaz e uma conexão confiável entre os sites e o ambiente externo.
Slot Descrição
Port1 – Firewall-01/02 Uplink – Link Primário de Internet
Port2 – Firewall-01/02 Uplink – Link Secundário de Internet
Mgmt – Firewall-01/02 SW-borda MGMT VLAN
X1 – Firewall-01/02 Uplink Switch Core
X2 – Firewall-01/02 Uplink Switch Core
Interfaces reservadas - Firewall
Gerenciamento

gerência.
Portas
As conexões nos Firewalls são estabelecidas com base em conexões 1GE

e 10GE

De Para Descrição
Firewall-01 – port1 SW-Borda-01 – Gi0/1 Link SP1 – Internet
Firewall-01 – port2 SW-Borda-01 – Gi0/2 Link SP2 - Internet
Firewall-01 – Mgmt SW-Borda-01 – Gi0/4 Link MGMT VLAN borda
Firewall-02 – port1 SW-Borda-02 – Gi0/1 Link SP1 – Internet
Firewall-02 – port2 SW-Borda-02 – Gi0/2 Link SP2 - Internet
Firewall-02 – Mgmt SW-Borda-02 – Gi0/4 Link MGMT VLAN borda
Firewall-01 – X1 Core-01 – Te1/1 LAG interface 01 – Core 1
Interfaces Reservadas – Firewall
Bronze
5.1.Introdução
Esse capítulo aborda a camada 2 da nova rede das filiais, fornecendo informações
pertinentes sobre diretrizes de design e configuração. Aqui você encontrará detalhes
essenciais relacionados a essa etapa do projeto.
ULA
VPN Tunnel VPN Tunnel

01 02
Edge INTERNET
Routers
SP- 01 SP-
StackWis
e
Edge Stack01 Stack02
Switche SW-BORDA-01
Stack02 Stack01
SW- BORDA-02
VLAN 300 - SP1 Link 1

VLAN 400 - SP2 - Link 2
Securit HA
y FW-
01
FW-
02
LAG LAG
2Gbp 2Gbp
s s
MST Domain VLAN 5 - Native Trunk

VLAN 100 - Gerenciamento
Core
VLAN 110 - Rede Cabeada
VLAN 120 - Rede WiFi
SW- SW-
VLAN 130 - Guest WiFi
Perimet
Po1 VLAN 135 - Guest Cabeada
CORE1 CORE2 VLAN 140 - VoIP
VLAN 150 - Impressoras
VLAN 160 - Cameras
VLAN 170 - Controle de Acesso
Gi0/23 Gi0/24 Gi0/24 Gi0/23
VLAN 200 - Core-to-Security
VLAN 700 - Isolation
Gi0/23 Gi0/24 Gi0/24 Gi0/23
SW-ACESSO- SW-ACESSO-
Access 01
Gi0/21 Gi0/22
02
Gi0/21 Gi0/22
Perimet
AP- AP- AP- AP-

01 02 03 04
Figura 6: Overview Layer 2
5.2.VLAN Overview
Todas as VLANs utilizadas nas novas filiais estão dentro de um intervalo pré-
definido. Essa abordagem melhora a capacidade de gerenciamento, facilita
a resolução de problemas e oferece uma maneira consistente e transparente
de configurar e provisionar switches.
Bronze
O intervalo de VLANs utilizado nas novas filiais não é exclusivo para cada
uma delas. Isso foi feito com o objetivo de fornecer uma visão geral unificada
e transparente das VLANs. Por exemplo, em todas as filiais , a VLAN com o
ID "XX" terá a mesma funcionalidade. Essa transparência é valiosa para
garantir clareza e facilitar a resolução de problemas. Portanto, o intervalo de
VLANs não é específico para cada rede de uma nova filial, mas é
compartilhado por todos.
A tabela a seguir apresenta os intervalos de números de VLANs e suas

respectivas finalidades.
VLAN VLAN Name Função
1 Teste Vlan Default – Não utilizada
5 Native-trunk Native VLANs
100 Management Gerenciamento
110 Rede Cabeada Rede Corporativa Cabeada
120 Rede Wi-Fi Rede Corporativa Wi-Fi
130 Guest Wi-Fi Rede Guest – WiFi
135 Guest Cabeada Rede Guest – Cabeada
140 VoIP Rede de Voz
150 Impressoras Rede de Impressoras
160 Câmeras Rede de Câmeras
170 Controle de Acesso Rede de Controle de Acesso
200 Core-to-Security Rede de Trânsito entre as camadas de Core e Security
300 SP – Link 1 VLAN de trânsito nos switches de borda.
400 SP – Link 2 VLAN de trânsito nos switches de borda
700 Isolation Para portas não utilizadas ou dispositivos que não estão no
compliance
Descrição das VLANs para as novas Filiais (ULA e GO)
5.3.VTP (VLAN Trunk Protocol)
Nos dispositivos Cisco, o VTP funcionará apenas no modo transparente.
Caso haja uma modificação na configuração da VLAN, será necessário

realizar essa alteração manualmente em todos os dispositivos da rede das
Filiais afetadas.
5.4.Link Aggregation (LAG)
Abaixo estão as tabelas que fornecem uma visão geral dos Etherchannels
utilizados e reservados nas diferentes camadas dos novas filiais. Os
Etherchannels são implementados quando mais de uma interface é
combinada para obter maior largura de banda ou redundância.
Número do Port- Descrição
Channel
5 Ten1/1_Core-01_to_FW-01_X1
Etherchannel Overview – Core-to-Security_01 – ULA

Channel
Etherchannel Overview – Core-to-Security_02 – GO
Bronze

Channel
1 Ten1/15_Core-01_to_Core-02_Te1/15
1 Ten1/16_Core-01_to_Core-02_Te1/16
Etherchannel Overview – Core-1-to-Core-2 – ULA

Channel
5 Gi0/1_Core-01_to_FW-01_Gi0/1
5 Gi0/2_Core-01_to_FW-01_Gi0/2
Etherchannel overview – Core-to-Security 01 – ULA

Channel
5 Gi0/1_Core-02_to_FW-01_Port1
5 Gi0/2_Core-02_to_FW-01_Port2
Etherchannel overview – Core-to-Security – GO
O Link Aggregation Control Protocol (LACP) faz parte das especificações do

IEEE (802.3ad) e permite agrupar um grande número de portas físicas para
formar uma única interface lógica. Em todos os ambientes novos, será
utilizado o LACP para os port-channels.
O modo "Active" está configurado nos switches Core-1 e Core-2, FW-01 e

FW-02 para a formação das agregações, eliminando a necessidade de
negociação.
Device PC Number Interfaces Pear Interfaces
Device
Core-01 2/5 Ten1/1. Ten1/2 FW-01 X1, X2
Core-02 2/5 Ten1/1. Ten1/2 FW-02 X1, X2
Core-01 1 Te1/15, Te1/16 Core-02 Te1/15, Te1/16
Core-02 1 Te1/15, Te1/16 Core-01 Te1/15, Te1/16
Etherchannel overview – Core01-to-Core-2 para sites ULA
Device PC Number Interfaces Pear Interfaces

Device
Core-01 2/5 Gi0/1, Gi0/2 FW-01 Port1, Port2
Etherchannel overview – Core01-to-Core-2 para sites GO
5.5.CDP
Por padrão, o CDP (Cisco Discovery Protocol) está desativado em todas as

interfaces. Essa é uma exigência do CISO office e, neste documento, não
entraremos em detalhes sobre a decisão por trás dessa configuração.
5.6.CAM timeout
Por padrão, o tempo limite (timeout) da CAM é de 300s.

5.7.ARP Timers
Bronze
Por padrão, o tempo limite a ser utilizado é de 240 minutos.
5.8.MTU
A configuração padrão de todos os switches é definir o IP MTU para 9000.

Isso assegurará que não ocorram problemas relacionados à fragmentação
em toda a rede dos switches.
5.9. Storm Control
O recurso storm control é ativado nos switches das novas filiais para
evitar a inundação de tráfego excessivo na rede, o que pode causar
degradação de desempenho. O storm control é aplicado aos tráfegos de
broadcast e multicast, detectando e descartando esses pacotes quando
excedem os limites predefinidos, conforme detalhado na tabela a seguir:
Link Speed 1Gbp 10Gbp

Type s s
Broadcast 1% 0.1%
Multicast 2% 0.2%
Storm Control Thresholds
Os valores apresentados foram determinados após análises cuidadosas da

porcentagem esperada de tráfego de broadcast/multicast provenientedas
Bronze
conexões com os Service Providers, bem como do tráfego interno esperado
na rede privada. No entanto, é importante ressaltar que esses valores são
passíveis de revisão e devem ser ajustados conforme necessário no
documento de Low-Level Design (LLD) antes da implementação, caso haja
qualquer necessidade de reavaliação.
6.1.Introdução
O principal propósito das novas Filiais é garantir uma conectividade confiável

e segura entre elas, a internet e o Data Center, permitindo o acesso seguro
às ferramentas de intranet através do perímetro de segurança. As
configurações da camada 3 são implementadas de forma simplificada. Nos
próximos capítulos, serão apresentados os diagramas da camada 3 para as
filiais ULA e GO, ilustrando sua configuração e arquitetura.
As filiais ULA e GO consistem em uma estrutura dividida em Acesso,Core,

Segurança e Borda. No entanto, a distinção entre esses ambientes está
relacionada às capacidades de processamento do hardware utilizado, de
acordo com as necessidades do negócio. Apresentaremos arquiteturas
praticamente idênticas, com algumas diferenças de capacidade.
Tanto a arquitetura da Filial ULA quanto a Filial GO oferecem

conectividade para os branches, permitindo o acesso à internet e ao Data
Center por meio de tecnologias de camada 3, além de fornecer segurança
localmente. Dessa forma, garantimos conexões seguras do início ao fim.
6.2.Tecnologias Utilizadas
Os designers e arquitetos de redes optaram por uma abordagem simples,

utilizando tecnologias já implementadas em outras partes do ambiente. Essa
decisão evita a necessidade de aprender novas tecnologias para manter o
ambiente.
Diversas opções foram consideradas para projetar as novas filiais com

tecnologias inéditas na Software House. No entanto, muitas dessas
opções apresentaram desafios, como:
Problemas de Gerenciamento da solução

Tecnologias não maduras o suficiente após apresentação dos
players de mercado
Gap de conhecimento das novas tecnologias
6.3.Overview sobre a Definição de Arquitetura dos Sites ULA e GO
As topologias dos sites ULA e GO foram projetadas para garantir a

conectividade dos novos sites com a internet, além de estabelecer a
conexão com o Data Center. A camada de segurança desempenha um papel
crucial nessa arquitetura, garantindo que a conectividade seja segura em
todo o percurso, desde os sites até o Data Center.
Sites ULA tem como adicional um Switch Core, um Switch de Borda e um
Bronze Firewall como redundância.
Bronze
6.3.1. Roteamento Estático
A conectividade entre a camada de Core, a camada de Segurança e Internet

será estabelecida por meio de rotas estáticas. Essa escolha foi feita com o
intuito de possibilitar o uso da funcionalidade de SD-WAN para
balanceamento e priorização do tráfego. Além disso, a camada de
segurança operará em modo ativo/standby, garantindo maior segurança e
confiabilidade na rede.
6.4. Endereçamento IP para as novas Filiais
Para obter informações precisas sobre o endereçamento IP real a ser

utilizado, recomenda-se consultar os recursos internos da Software
House responsáveis pela coordenação e distribuição de endereços IP
privados. Esses recursos fornecerão as informações atualizadas e
corretas sobre o planejamento e alocação de endereços IP privados para os
diferentes componentes da rede. É importante seguir essas diretrizes para
garantir a correta configuração e funcionamento da rede.
6.5.1. Redes de Conectividade
Os firewalls na rede possuem a capacidade de roteamento estático e

também suportam roteamento dinâmico usando protocolos como BGP ou
OSPF. Para facilitar o roteamento estático, será necessário usar o First Hop
Redundancy Protocol (FHRP) na camada de core. Os firewalls têm uma
tecnologia exclusiva que permite a virtualização de um único endereço IP
por cluster.
Uma sub-rede com uma máscara de rede /29 é designada para a interface
entre os firewalls e o core de redes. Outras sub-redes serão utilizadas para
a interface entre os firewalls e os roteadores de borda. Essas redes serão
fornecidas pelos provedores de serviços.
É importante observar que os três endereços IP mais baixos estão

reservados para os roteadores dos provedores de serviços, enquanto os três
endereços IP mais altos estão reservados para o firewall. Essa alocação
específica garante a correta configuração e funcionamento dos dispositivos
na rede.
Os endereços IP mais baixos, dentro da faixa de endereçamento utilizada,

são reservados para os roteadores dos provedores de serviços (SPs). Esses
endereços são atribuídos aos roteadores para estabelecer a conectividade
entre os sites e a infraestrutura dos provedores de serviços.
Bronze
Por outro lado, os endereços IP mais altos são reservados para o firewall.
Esses endereços são atribuídos ao firewall para a configuração de suas
interfaces e para garantir a segurança da rede, filtrando o tráfego e
protegendo os recursos internos contra ameaças externas.
Endereço IP Proposta
10.100.8.1 Default Gateway CORE (HSRP)
10.100.8.3 Core-01 physucal IP
10.100.8.2 Core-02 physical IP
10.100.8.6 Reservado para o VIP IP do Firewall
Subnet de trânsito entre o Core e o Firewall
191.32.150.20 IP interface SP1
189.32.32.253 IP interface SP2
191.32.150.12 Reservado para IP do Firewall
189.32.32.254 Reservado para IP do Firewall
Subnet de trânsito entre Firewall e Provedores de Serviço
Todo o endereçamento utilizado para o peering entre os firewalls e os

provedores de serviços será fornecido diretamente pelos provedores. Isso
significa que os provedores de serviços serão responsáveis por atribuir os
endereços IP necessários para estabelecer a conectividade entre os
firewalls e suas infraestruturas.
Essa abordagem simplifica o processo de configuração, uma vez que os

provedores de serviços cuidarão do provisionamento dos endereços IP
específicos para o peering. Dessa forma, a empresa poderá se
concentrar em outras tarefas de configuração e segurança da rede,
enquanto os provedores de serviços garantem a conectividade adequada
entre osfirewalls e suas redes.
6.5.2. Gerenciamento dos Firewalls, Switches e Access Points
Para gerenciar os switches, será utilizada a VLAN de número 100, presente

em todos os switches, incluindo o switch de borda. No entanto, cada switch
terá uma rede diferente dentro dessa VLAN. Essa divisão foi feita para
permitir que o firewall se conecte diretamente à rede de gerenciamento, sem
a necessidade de estender o domínio de broadcast do switch de borda para
os demais switches. Dessa forma, cada switch terá sua própria rede de
gerenciamento dentro da VLAN 100. Abaixo está o esquema que ilustra essa
configuração de gerenciamento.
10.100.7.5 Default gateway (HSRP)
10.100.7.6 Core-02
10.100.7.3 Core-01
10.100.7.6-62 Switches de Acesso/Access Points
Vlan de Gerência dos switches e APs
10.100.7.65 Frewall VIP
10.100.7.66 Switch de Borda
Vlan de Gerência de Firewall/Switch de Borda
6.5.3. Plano de Distribuição de IPs
Foi alocado um bloco de endereços IP privados 10.100.0.0/16 para o site,

Bronze
com o objetivo de permitir a expansão das redes locais, caso necessário. Os

detalhes sobre cada bloco de endereços estão disponíveis na tabela abaixo.
10.100.1.0/24 Corporativa Cabeada
10.100.2.0/24 Corporativa Wi-Fi
10.100.3.0/24 Guest Wi-Fi
10.100.4.0/24 Guest Cabeada
10.100.5.0/25 VoIP
10.100.5.128/25 Impressoras
10.100.6.0/26 Gerência dos Switches Cores e Acesso
10.100.6.64/29 Gerência Firewall e Switch de Borda
10.100.7.0/29 Rede de Trânsito entre Firewall e Core
10.100.8.0/27 Câmeras
10.100.8.32/27 Controles de Acesso
Distribuição de IPs no site
Bronze
7.1.Introdução
Neste capítulo, apresentaremos a configuração do roteamento entre as

camadas de core, segurança e borda. Essas camadas utilizam protocolos
de roteamento, como HSRP, além de roteamento estático, para garantir a
conectividade entre a rede interna e seus respectivos destinos.
7.2.HSRP
Nos switches Core, é configurado o HSRP para fornecer gateways padrão

(conectividade) para toda a camada de acesso. Além disso, utilizamos o
HSRP para fornecer um IP de destino único para o encaminhamento de
tráfego proveniente dos firewalls na camada de segurança. Em algumas
redes, o Core-01 é configurado como primary com uma prioridade de 115,
enquanto o Core-02 possui uma prioridade de 100. Em outros casos, o Core-
02 terá prioridade de 120, enquanto o Core-01 terá prioridade de 100.
Essa configuração garantirá que o balanceamento de tráfego realizado na

camada 2, utilizando MSTP, seja mantido também na camada 3, evitando o
tráfego desnecessário pelos switches Core-01 e Core-02 quando não é
requerido. Isso contribui para uma utilização eficiente dos recursos de
processamento, evitando sobrecargas desnecessárias nos switches.
Para agilizar a recuperação em caso de falhas, os timers de HSRP foram

ajustados para 1 segundo de intervalo de hello e 3 segundos de intervalo de
falha. Além disso, foi configurado um atraso mínimo de 120 segundos (2
minutos) para a função preempt, garantindo que, em caso de falha física, as
cores de rede tenham tempo suficiente para concluir o processo de
inicialização sem interromper o encaminhamento de tráfego. Essas
configurações visam garantir uma rápida recuperação e minimizar o impacto
em caso de falhas no sistema.
Interface Vlan <vlan> standby 1
priority <120/100>
standby 1 ip <HSRP gateway IP>
standby 1 timers 1 3
standby 1 preempt delay minimum 120
standby 1 authentication <HSRP password>
7.3.Roteamento Estático
Para fornecer uma rota default na arquitetura das novas filiais, optou-se por
utilizar roteamento estático entre os Cores de rede e os Firewalls. Essa
abordagem envolve apenas uma rota default que aponta para o endereço
VIP do cluster de firewall. Essa configuração simples e eficaz garante
conectividade para toda a rede.
Em caso de falha em um dos nós do firewall, o endereço VIP permanecerá

o mesmo, eliminando a necessidade de rastreamento ou IP SLA para alterar
Bronze
a rota. Isso garante continuidade no encaminhamento de tráfego sem
interrupções, mesmo durante falhas no firewall.
8. Network Address Translation (NAT)
8.1.Introdução
O NAT (Network Address Translation) será aplicado exclusivamente nos

firewalls, na área de perímetro de segurança.
Nas filiais, será utilizado o escopo de endereçamento privado definido

internamente, seguindo os padrões estabelecidos. Esse escopo será
utilizado para as conexões internas, como comunicações locais ou acesso
à intranet. No entanto, quando precisarmos estabelecer conexões com
destinos externos, faremos uso do NAT para traduzir os endereços internos
para endereços externos, permitindo a comunicação com o mundo externo.
Segue abaixo o guia que deve ser seguido em todos os sites:
Todos os hosts das redes internas dos novos sites serão traduzidos para
um único IP público através de NAT overload. Para cada link fornecido
para conectividade externa, será designado um IP para a tradução.
Não será disponibilizado um pool de endereços IP públicos para acesso

interno aos sites. Portanto, nenhuma conexão poderá ser iniciada a partir
de uma origem externa para um dispositivo interno
8.2.Single NAT
Com um único endereço IP, os usuários têm conectividade com o mundo

externo. Isso significa que não é necessário configurar tradução de
endereços estático (VIP - Virtual IP).
Step 1: O usuário inicia uma sessão para um domínio público.
Step 2: Após a tradução do endereço IP e a confirmação de que ele está

fora da rede interna, o usuáiro usa o gateway padrão da VLAN específica
em que está localizado.
Step 3: O tráfego chega ao gateway da VLAN, que valida o próximo salto e

encaminha o pacote para o firewall.
Step 4: O firewall verifica se existe uma rota específica para o destino ou se

deve usar a rota default (0.0.0.0/0). Em seguida, ele verifica se a política
de segurança permite que o tráfego originado seja liberado. Após a
confirmação da política, o firewall utiliza o endereço IP público configurado
em sua própria interface para realizar a tradução de endereço (NAT
overload). Isso permiteque o cliente navegue na internet.
Esse processo pode ocorrer tanto para o Link de Internet SP1 quanto para
o Link de Internet SP2. Em ambos os casos, o usuário inicia uma sessão
para um domínio público e o endereço IP é traduzido. Após a validação
externa, o tráfego passa pelo gateway da VLAN correspondente e é
encaminhado para o firewall. O firewall verifica as rotas e políticas de
segurança, e em seguida realiza a tradução de endereço utilizando o IP
Bronze público configurado em sua interface. Dessa forma, o usuário pode acessar
a internet através de qualquer um dos links de internet disponíveis.
9. Firewalls
9.1.Introdução
A camada de segurança nos sites ULA é composta por um cluster de

firewalls FortiGate. Já nos sites GO a camada de segurança é composta por
apenas um Firewall. A figura a seguir apresenta uma visão geral do
número de firewalls físicos em ambas as Filiais.
Figura 12: Firewall Overview
9.1.1.Nomenclat
ura
O cluster de firewalls será nomeado de acordo com o documento de

Padronização e Gerenciamento de Ativos de Rede. Para
obter esse documento, entre em contato com a equipe de Design e
Arquitetura.
9.1.2.Nomenclatura
O cluster de firewalls para a o site GO possui as seguintes interfaces,

tanto lógicas quanto físicas:
Interfaces WAN
Interface Interna
Interface de Sincronização/HA
Algumas dessas interfaces do firewall serão configuradas como Link

Aggregation (IEEE 802.3ad), conforme detalhado na tabela a seguir. É
Bronze
importante ressaltar que essa configuração deve ser realizada em cada
firewall ou cluster individualmente.
Firewall Interface Interface Mode
FW-01/FW-02-HA HA Interfaces
FW-01/FW-02-X1-X2 Port-channel 5
FW-01/FW-02-port3 Link SP1
FW-01/FW-02-port4 Link SP2
FW-01/FW-02-mgmt Management SW-BORDA-Cluster
Firewall interface mode
9.1.3.Firewall Policies
Cada fluxo de conexão exigirá um certificado de aprovação, que será

compartilhado e criado pelo time de segurança para validar os diferentes
tipos de conexões necessárias nos sites.
Com o objetivo de evitar inconsistências entre as regras aplicadas nos sites

do mesmo tipo, será utilizado apenas um certificado de aprovação para os
sites ULA e GO.
Além disso, haverá algumas diferenças nos objetos configurados nos

firewalls de cada filial. Isso significa que os objetos presentes no site A
podem ou não estar presentes no site B. Essas diferenças serão tratadas
posteriormente com a implementação do Sistema de Gerenciamento de
Segurança (SDM) planejado para o futuro.
9.1.3.1. Regras Base das Filiais
Cada regra de firewall deve conter as seguintes informações: protocolo,

porta, origem e destino. Além disso, tanto a origem quanto o destino devem
ser identificados por seus nomes específicos. É importante ressaltar que o
nome da regra deve incluir o certificado que autoriza ou bloqueia essa
conexão.
O firewall realiza a filtragem dos seguintes fluxos de tráfego:
a. Tráfego originado internamente nas filiais com destino ao Data Center

para acessar as aplicações.
b. Tráfego originado internamente com destino à internet, utilizando

serviços de filtro da web e filtro DNS.
c. Tráfego interno com origem no Data Center e destino às redes das

filiais.
Abaixo estão exemplos de tabelas relacionadas a esses fluxos:

Protocol Port Name Source Destinatio ACK / Allow / Remarks
n Stateful?
Deny?
1 TCP 443 Certificate-XX- Internal Application Stateful Permit
Flow Network XXX
2 TCP 80 Certificate-XX- Internal Application Stateful Permit
Flow Network XXX
IPv4 Rules
Bronze
Source Destinati Translet Sourc Destinati Protocol
Addres on ed ePort on Port Remark
s Address Source s
1 10.100.0.0/16 Any IP SP1 / IP Any Any Any
SP2
NAT Overload
9.2.Flow de Roteamento
O cluster de firewalls está configurado no modo Routed. Isso significa que

todas as redes, sejam diretamente conectadas ou não, podem ser
protegidas e roteadas por meio dos firewalls.
Além disso, foram definidas várias rotas estáticas para direcionar o tráfego
para seus destinos específicos. Essas rotas são configuradas com o próximo
salto apropriado para garantir que o tráfego seja encaminhado
corretamente.
A figura a seguir oferece uma visão geral das rotas estáticas configuradas
nos firewalls das filiais.
Default 0.0.0.0/0 next Default 0.0.0.0/0

next
hop: Service provider 1 hop: Service
provider 2
FW-Cluster
Static 10.1.0.0/16
Core-01 and
Core-02
Figura 13: Rotas estáticas do Firewall
Rotas estáticas:
a. Rota Default usando SP1

b. Rota Default usando SP2
Routing table for VRF=0
S* 0.0.0.0/0 [1/0] via 191.32.150.9, port3
[1/0] via 189.32.32.253, port4
Rotas Estáticas para a camada de Core
c. 10.100.0.0/16 (ou mais específicas) com o next-hop para os switches de

Core
S 10.100.1.0/24 [1/0] via 10.1.7.1, Po5

S 10.100.2.0/24 [1/0] via 10.1.7.1, Po5
S 10.100.3.0/24 [1/0] via 10.1.7.1, Po5
S 10.100.4.0/24 [1/0] via 10.1.7.1, Po5
S 10.100.5.0/25 [1/0] via 10.1.7.1, Po5
S 10.100.5.128/25 [1/0] via 10.1.7.1, Po5S
10.100.6.0/26 [1/0] via 10.1.7.1, Po5
S 10.100.6.64/29 [1/0] via 10.1.7.1, Po5
Bronze
S 10.100.7.0/29 [1/0] via 10.1.7.1, Po5S
10.100.8.0/27 [1/0] via 10.1.7.1, Po5S
10.100.8.32/27 [1/0] via 10.1.7.1, Po5
10. Gerenciamento e Suporte aos serviços
10.1. Gerenciamento de Rede
O gerenciamento dos sites será realizado por meio de conectividade com o

Data Center (DC). Conforme mencionado neste documento, essa
comunicação será estabelecida por meio de VPNs. No entanto, as
informações detalhadas sobre o acesso aos dispositivos e as redes
específicas de gerenciamento do DC não serão abordadas neste
documento.
Para obter informações mais detalhadas, recomenda-se consultar a

documentação de gerenciamento de ativos de rede, que está disponível com
a equipe de Designers, Arquitetos ou o Product Owner do time de sites.
Além das informações mencionadas, para oferecer suporte aos serviços,

será disponibilizado um cookbook que inclui todas as opções e
configurações certificadas para implementação nos sites. Esse cookbook
fornecerá orientações detalhadas, como:
● Portas de Acesso.
● Portas trunk.
● Templates para novos devices (Switches).
● Templates para novas firewall rules.
● Comandos para suporte (camada de segurança).
● Comandos para suporte (camada de switches).
O monitoramento de NOC/SOC é realizado pelo time de operações

contínuas (on going). Esse monitoramento é centralizado no Data Center
(DC). As equipes de NOC e SOC possuem comunicação direta e, se
necessário, podem acionar engenheiros sênior ou o arquiteto responsável
para obter suporte adicional.
Os escalonamentos devem ser centralizados nos Product Owners, que são

responsáveis por avaliar a necessidade de escalonamento e tomar as
medidas apropriadas.
Bronze
11. Controle de Acesso à Rede
11.1. Introdução
O departamento de segurança estabeleceu uma política em que somente

dispositivos conhecidos, como controle de acesso, Access Points,
Impressoras e máquinas pertencentes ao domínio, terão permissão de
acesso às redes correspondentes. Essa medida visa garantir a
conformidade e reforçar a segurança dos ambientes.
12.1.1. Compliance dos dispositivos
Para que os dispositivos possam entrar na rede, é necessário que eles

estejam dentro do compliance, de acordo com a tabela abaixo:
Dispositivo Itens de Verificação Compliance No Compliance
Controle de Acesso Fabricante VLAN 170 Isolation
Porta de Comunicação
Câmeras Fabricante VLAN 160 Isolation
Usuário / Senha
Impressoras Fabricante VLAN 150 Isolation
Usuário / Senha
Telefones IP Fabricante VLAN 140 Isolation
Porta de Comunicação (tagged)
IP de Registro
Computadores do Sistema Operacional VLAN 110 Isolation
Domínio Usuário do Domínio VLAN 120
Antivirus
Service Pack atualizado
12.1.2. Guests
Os usuários que não estiverem dentro do compliance ficarão em uma rede

isolada com a possibilidade de acessar um captive portal, preencher os
dados e solicitar o acesso à internet a um responsável (sponsor). A equipe
de segurança ficou responsável em definir quem serão os responsáveis por
ter tal função dentro do NAC para que a ferramenta seja configurada
adequadamente.
Bronze
12. SIEM
12.1. Introdução
O departamento de segurança definiu que todos os dispositivos de rede e

servidores devem enviar os logs para um sistema que verifique incidentes
de segurança que será instalado no DC.
13.1.1. Elementos gerenciados pelo SIEM
Para gerenciar de forma segura os dispositivos no SIEM, o departamento de

segurança considerou as seguintes configurações:
a) Somente analistas autorizados terão acesso ao SIEM e aos

dispositivos gerenciados.
b) Todos os dados enviados e armazenados no SIEM deve ser

criptografados. Isso também inclui comunicações entre dispositivos
gerenciados e o SIEM, bem como a criptografia dos dados
armazenados no próprio SIEM
c) Para o monitoramento e detecção de ameaças, o SIEM deve

monitorar continuamente os eventos e alertas dos dispositivos
gerenciados. As regras e políticas de detecção de ameaças deverão
identificar atividades suspeitas e maliciosas
d) Manter os dispositivos gerenciados atualizados com as últimas

atualizações de segurança e patches de software para ajudar a
mitigar vulnerabilidades conhecidas e reduzir o risco de exploração
e) A geração e a coleta de logs nos dispositivos gerenciados irá permitir

a análise posterior em caso de incidentes de segurança.
Deverá estar implementado o RBAC no SIEM para controlar o acesso

dos usuários baseado em suas funções.
Bronze
13. Capacity e gerenciamento de Recursos
13.1. Introdução
O departamento de gerenciamento de rede reconhece a importância de

estabelecer diretrizes para o monitoramento e gerenciamento da
capacidade e recursos dos novos sites. O objetivo é garantir uma operação
excelente e atender às expectativas dos clientes. Os recursos incluem
aspectos como carga de CPU, utilização de memória, largura de banda,
entre outros. Já o gerenciamento de capacidade consiste em determinar os
recursos de rede necessários para evitar impactos no desempenho e
disponibilidade.
Atualmente, não existe diretrizes claras de gerenciamento de rede

específicas para as filiais. No entanto, está sendo desenvolvida uma nova
estrutura de gerenciamento que estabelecerá as bases para o
gerenciamento de recursos e capacidade. É importante ressaltar que essa
estrutura precisará ser ajustada conforme adquirirmos mais experiência no
monitoramento dos sites. Portanto, este capítulo não abordará de forma
abrangente o processo de gerenciamento de recursos de ponta a ponta e
todas as ferramentas, análises de tendências e processos envolvidos. Essas
questões serão tratadas em um projeto separado.
As propostas de monitoramento e os limites apresentados nos próximos

subcapítulos não devem ser considerados como regras rígidas a serem
seguidas independentemente da situação. São apenas pontos de partida
que precisarão ser ajustados de acordo com as necessidades específicas.
13.2. Recursos
A tabela abaixo apresenta uma seleção dos recursos disponíveis relevantes

nas novas filiais. Essa lista é apenas inicial e será expandida após um
período de teste dos sites, levando em consideração todas as informações
e lições aprendidas durante esse período.
Recurso Descrição
1 Consumo de CPU Switches, Firewalls, APs NAC, FortiAnalyzer,
SIEM
2 Consumo de Memória Switches, Firewalls, NAC, FortiAnalyzer, SIEM
3 Consumo de banda de interface Switches, Firewall, APs
4 Disponibilidade Switches, Firewalls, APs NAC, FortiAnalyzer,
SIEM
5 NAT Translations Firewalls
6 Túneis IPsec Firewalls
7 Throughput total Switches, Firewall
8 Portas de switches disponíveis Portas por switch
13.3. Valores de Threshold
Os valores de threshold fornecem o limite para o recurso que está sendo

monitorado. Quando um limite é atingido, o departamento de gerenciamento
Bronze
de rede é responsável por investigar o impacto dessa situação. Após a
investigação, pode ser necessário tomar ações de gerenciamento de
capacidade, como adquirir um novo switch para expandir as portas, por
exemplo. O objetivo é garantir que os recursos sejam dimensionados
adequadamente para atender às necessidades do site.
14.3.1. Switches de Acesso
É necessário realizar o monitoramento dos recursos listados nas tabelas a

seguir para os switches de acesso. Os valores de limite indicam o ponto
máximo aceitável para cada recurso a ser medido. Caso algum limite seja
atingido, é responsabilidade do departamento de gerenciamento de rede
investigar o impacto dessa situação. A análise detalhada permitirá
compreender as possíveis consequências e tomar as medidas adequadas
para garantir o desempenho e a disponibilidade da rede.
Recurso Descrição Threshold
1 Consumo de CPU Uma disponível por 70%
dispositivo
2 Consumo de Memória Completa 70%
3 Consumo de banda de interface Todas as interfaces 70%
4 Disponibilidade Por dispositivo 100%
5 Backplane Throughput Por dispositivo 75%
6 Número total de portas do Por dispositivo 70%
switch
Recursos do Switches de Acesso
14.3.2. Switches Core
É necessário realizar o monitoramento dos recursos listados nas tabelas a

seguir para os switches Core. O valor limite indica o ponto máximo aceitável
para cada recurso a ser medido. Caso algum limite seja atingido, é
responsabilidade do departamento de gerenciamento de rede investigar o
impacto dessa situação. A análise detalhada permitirá compreender as
possíveis consequências e tomar as medidas adequadas para garantir o
desempenho e a disponibilidade da rede.
dispositivo
3 Consumo de banda de Todas as interfaces 80%
interface
5 VIP health (virtual servers) VIP health Always
green
Recursos do Switches Core
14.3.3. Firewalls
É fundamental realizar o monitoramento dos recursos listados nas tabelas a

Bronze
seguir para os firewalls. O valor limite indica o limite máximo aceitável para
cada recurso a ser medido. Caso algum limite seja atingido, é
responsabilidade do departamento de gerenciamento de rede investigar o
impacto dessa situação. A análise cuidadosa permitirá compreender as
possíveis consequências e tomar as medidas adequadas para garantir o
desempenho e a segurança dos firewalls.
1 Consumo de CPU 80%
interface
4 Número de sessões por 8 Milhões 80%
segundo
5 Sessões concorrentes TCP 8 Milhões 80%
6 IPsec VPN throughput 55Gbps 80%
Recursos do Firewall – Silver

1 Consumo de CPU 80%
interface
4 Número de sessões por 1..5 Milhões 80%
segundo
5 Sessões concorrentes TCP 1.5 Milhões 80%
6 IPsec VPN throughput 6.5 Gbps 80%
Recursos do Firewall – Bronze
14.3.4. Switches de Borda
É de extrema importância que os recursos mencionados nas tabelas a seguir

sejam monitorados de forma regular nos Switches de Borda. Os valores
limites estabelecidos indicam o limite máximo aceitável para cada recurso a
ser medido. Caso algum desses limites seja atingido, é responsabilidade do
departamento de gerenciamento de rede realizar uma investigação
detalhada para compreender o impacto dessa ocorrência. Com base nessa
análise, poderão ser tomadas ações apropriadas para manter o
desempenho e a disponibilidade dos Switches de Borda dentro dos
parâmetros adequados.
dispositivo
3 Consumo de banda de interface
Todas as interfaces 80%
5 Backplane Throughput Por dispositivo 80%
6 Número total de portas do Por dispositivo Precisa ser
switch definido
Recursos dos Switches de Borda
Bronze
13.4. Capacity Planning
Para garantir um planejamento adequado e uma definição eficiente dos

dispositivos em cada tipo de site, foram adotadas as melhores práticas de
design de mercado. Embora não tenhamos valores de threshold específicos
para avaliação prévia, as escolhas de dispositivos foram baseadas nessas
práticas reconhecidas e confiáveis. Isso nos permite estabelecer uma
infraestrutura sólida e confiável, de acordo com os padrões estabelecidos
pela indústria, garantindo assim um desempenho adequado e uma
capacidade suficiente para atender às demandas dos sites.
14.4.1. Capacity Planning – ULA e GO
Os recursos apresentados nas tabelas a seguir são os valores de

capacidade de cada dispositivo que foi testado, certificado e aprovado para
uso nos novos sites. Esses valores representam a capacidade máxima que
cada dispositivo pode suportar. É importante ressaltar que qualquer
alteração de capacidade ou recursos identificados durante o gerenciamento
dos recursos em uso deve ser atualizada de acordo com as capacidades do
novo dispositivo. Dessa forma, garantimos que a capacidade dos
dispositivos seja atualizada e adequada para atender às demandas dos
sites, proporcionando um desempenho otimizado e confiável.
# Código do Produto C9500-16X-E
1 Descrição Cisco Catalyst 9500 16-port 10G
switch, NW Ess. License
2 Switch Capacity UP to 580Gbps
3 DRAM 16GB
4 Flash 16GB
5 Dimensions (HxWxD) 1.73 x 17.5 x 21.52 in
6 Rack Units 1 RU
Catalyst 9500 Core - ULA
# Código do Produto C93-48UXM-3

1 Descrição Cisco Catalyst 9300 48-port
10G/5G/2.5G/1G/100M 12 ports
3 DRAM 16GB
4 Flash 16GB
6 Rack Units 1 RU
Catalyst 9300 Acesso - ULA
# Código do Produto C9200-24T-4X-E

1 Descrição Cisco Catalyst 9200 16-port 10G
3 DRAM 2GB
4 Flash 4GB
6 Rack Units 1 RU
Catalyst 9200 Core – GO
Bronze
# Código do Produto C9200-24P-4G-E
1 Descrição Cisco Catalyst 9200 24-port PoE
3 DRAM 2GB
4 Flash 4GB
6 Rack Units 1 RU
Catalyst 9200 Access – GO
# Código do Produto WS-2960XR-24TS-I

1 Descrição Cisco Catalyst 2960X 24-port
3 DRAM 512MB
4 Flash 128MB
6 Rack Units 1 RU
Catalyst 2960 Edge – ULA e GO
# Código do Produto FG-600F

1 Descrição FortiGate 600F
2 Firewall Throughput 70Gbps
3 IPS Throughput 14Gbps
4 IPsec 55Gbps
5 Threat Protection Throughput 10.5Gbps
6 Rack Units 1 RU
FortiGate – ULA
# Código do Produto FG-80F

1 Descrição FortiGate 80F
2 Firewall Throughput 7Gbps
3 IPS Throughput 1.4Gbps
4 IPsec 6.5Gbps
5 Threat Protection Throughput 900 Mbps
6 Rack Units 1 RU (support)
FortiGate – GO

LLD Software DA

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

LLD Software DA

Enviado por

Direitos autorais:

Formatos disponíveis

Arquitetura dos SitesULA e GO

LOW LEVEL DESIGN

Network Architecture Team

1.1.Escopo & Objetivos

O objetivo desse documento é descrever em detalhes o Low Level Design (LLD)

Figura 1: Referência da Arquitetura de Rede para o site ULA

Figura 2: Referência da Arquitetura de Rede do site GO

Os novos sites são compostos pelos blocos (camadas) a seguir:

a. Acesso = Utilizado pelos usuários locais para alcançar os serviços de intranet e

b. Core = Utilizado para efetuar a conectividade a nível IP da localidade com o

Nas figuras anteriores, podemos ver os relacionamentos que cada camada

Esse LLD apresentará cada um dos blocos descritos em detalhes (L1/L2/L3).

Neste capítulo, serão apresentados os requisitos de design necessários para a

Embora nem todos os requisitos sejam detalhados aqui, ofereceremos um resumo

Os requisitos apresentados pelo negócio são:

Para os sites ULA a topologia tem que ser toda redundante

Os requisitos para os usuários são:

Controle de acesso baseado em serviços de segurança

Os requisitos para os sites novos são:

Conectividade com o Data Center redundante

3. Descrição do Serviço (HLD)

A rede nos novos sites proporcionará conectividade business-to-business entre as

Antes de explorarmos as capacidades desses sites, vamos apresentar, de forma

A representação gráfica apresenta a topologia geral, evidenciando que a

Core Layer: Sua principal responsabilidade é receber o tráfego e direcioná-lo

Security Perimeter Layer: Desempenha um papel crucial na filtragem

Edge Service Layer: Integra a camada responsável pela conexão entre

3.2.Descrição dos Serviços

Os novos sites, ULA e GO, fornecem conectividade fim-a-fim de acordo com as

3.2.1. Conectividade fim-a-fim com a intranet

a. Conectividade via VPN com o SP1 é o caminho primário via VPN. O

3.2.2. Conectividade fim-a-fim com a internet

Os novos sites geram conectividade fim-a-fim com a internet de acordo com as

a. Conectividade através da SP1 para acesso à internet com link de alta

A camada de perímetro de segurança foi concebida com o propósito de

3.2.4. Alta Disponibilidade/Integridade

Independentemente do tipo do site, a redundância lógica está presente em todas

O perímetro de segurança oferece aos usuários internos um tráfego seguro tanto

a. Segurança para a camada de acesso: Para garantir a

c. Identificar ameaças e vulnerabilidades: Todos os

3.3.1. Padrão de Conectividade

Os novos sites possuem a capacidade de suportar diversos tipos de

3.3.2. Padrão de Conectividade 1

O padrão de fluxo apresentado evidencia a conectividade com a internet por

Figura 5: Padrão de Conectividade - 1

3.3.3 Padrão de Conectividade 2

O padrão de fluxo apresentado evidencia a conectividade com a internet por

Figura 5: Padrão de Conectividade - 2

Esse capítulo aborda a camada 1 da nova rede de filiais, fornecendo informações

Gi0/2 Gi0/2 Gi0/2 Gi0/2

AP- AP- AP- AP-

Figura 5: Overview físico – ULA

A rede consiste nos dispositivos descritos a seguir:

Access-Points (8x Catalyst 9130)

Access-Points (4x Catalyst 9130)

Neste capítulo serão apresentados detalhes específicos sobrea a implantação dos

4.2.1. Switches de Acesso

A camada de acesso utilizará o hardware de acordo com a tabela abaixo:

Os switches de acesso são interconectados através de módulos 10Gb.

Isso resultará em uma arquitetura de conectividade altamente redundante

Os switches de acesso estão conectados aos usuários de rede cabeada

As conexões nos switches de acesso são estabelecidas com base em

A alocação de portas foi realizada conforme apresentado abaixo:

Os access-points a serem utilizados tem o hardware de acordo com a tabela