Amigo Nerd.net

Projeto de Redes de Computadores

Autor:
Instituição: Faculdades Associadas de São Paulo
Tema: Redes de Computadores

Projeto Redes de Computadores


Prefácio

De forma a adequar a rede do novo prédio da FASP, é proposto um projeto que sugere uma topologia baseada em rede Giga/Ethernet visando uma boa qualidade de serviço a um custo relativamente baixo.

A rede será preparada para a implementação de um ambiente Wirelles e telefonia Voz sobre IP, caso haja necessidade de acrescentar alguma dessas topologias.

Estamos usando um sistema de redundância nos Switches Multímodo C6500, com o recurso HRSP (Hot Standby Routing Protocol) e fibra ótica, desta forma, é possível garantir a disponibilidade da rede todo o tempo, e mantendo boa taxa de transferência de dados.

A rede sugerida propõe recursos de confiabilidade , desempenho, segurança e disponibilidade, que será descrito no item sobre "Descrição da Rede".


1 Introdução

Nesta documentação descreveremos todos os equipamentos que serão necessários para elaboração da rede, bem como o funcionamento de alguns recursos, custo, e tudo que será necessário para utilização da rede.

A seguir descreveremos os componentes que serão utilizados na rede, de uma forma geral, pois serão descritos mais detalhadamente no capítulo de Hardware Utilizado.

A Infra-estrutura que será utilizada para essa implementação de rede será:

Sala Técnica (Core Backbone)

Rede 100BASET (FAST ETHERNET e GIGA ETHERNET):


2 Instalações Físicas

2.1 Instalação Física da Sala Técnica

A Sala Técnica (CPD Client-Sever) ficará no mezanino do prédio matriz da FASP, com acesso restrito aos funcionários autorizados, podendo assim ter rápida localização e segurança nas informações.

O acesso a Sala Técnica será feito por crachá de aproximação isolando assim qualquer outro tipo de acesso, nas dependências da sala, haverá um sistema de refrigeração por ar condicionado mantendo uma temperatura de aproximadamente 15ºC, e um sistema de sprinter FM200, será utilizado piso estruturado para melhor acomodação dos cabos.

Todo o controle de acesso será feito por um sistema na sala de segurança, mediante a autorização do gerente responsável pelo CPD.


3 Descrição da Rede

3.1 Descrição da topologia

3.1.1 Nos andares

Nos andares usaremos Switches Departamentais (Cisco 2950) com uma estrutura de rede ethernet com velocidade 10/100 e cabo UTP.

Terá impressoras compartilhadas por filas de impressão e estações com Vlans liberado para tráfegos com outros departamentos.

3.1.2 Sala Técnica (Core Backbone)

Nessa topologia usaremos redundância dos Switch Multímodo, utilizando o recurso de HRSP (Hot Standby Routing Protocol), este e uma feature de IP virtual que quando configurado entre routers ou outros equipamentos que suportam esta feature garante alta disponibilidade em caso de falha de um dos equipamentos que faz parte do grupo.

Na rede vertical serão usado cabos de fibra ótica 62,5µm (uplink) GB Ethernet, interligando os dois Switches Multímodo aos Switches Departamentais os andares e a rede interna onde esta o Server Farm.

Para os servidores internos (Server Farm) será usado uma topologia Fast Ethernet (estrela) e cabo UTP cat6.

Serão usado dois Firewalls com redirect e dois IDS para controle e segurança do trafego e acesso de dados e um ambiente DMZ (Zona Desmilitarizada) para evitar acesso direto à rede interna. Será usado também um serviço de NAT (Network Address Translation) e VPN (Virtual Private Network).

3.2 Criação de VLans e Definição de IPs

3.2.1 Parâmetros de Vlans

Andar (Departamento) Nome das Vlans Ips Utilizados nas estações

Mascara

Administração Vlan-Administracao

10.10.1.0 <> 10.10.1.25

255.255.0.0

Sala dos Professores Vlan-SaladosProfessores

10.10.2.0 <> 10.10.2.25

255.255.0.0
Pós Graduação Vlan-PosGraduacao

10.10.3.0 <> 10.10.3.200

10.10.4.0 <> 10.10.4.200

255.255.0.0
Auditório Vlan-Auditorio

10.10.5.0 <> 10.10.5.15

255.255.0.0
Biblioteca Vlan-Biblioteca

10.10.6.0 <> 10.10.6.15

255.255.0.0
Laboratório de Ciências Vlan-LabCiencias

10.10.7.0 <> 10.10.7.60

255.255.0.0
Laboratório de Informática Vlan-LabInformatica

10.10.8.0 <> 10.10.8.150

255.255.0.0
Sala de Aula Vlan-SaladeAula

10.10.9.0 <> 10.10.9.150

255.255.0.0
Mezanino Vlan-CPD  
Térreo Vlan-Administrativo

10.10.10.0 <> 10.10.10.25

255.255.0.0
Sub Loja Vlan-Secretaria

10.10.11.0 <> 10.10.11.50

255.255.0.0
SS1 Manutenção e SS2 Refeitório Vlan-SubSolo

10.10.12.0 <> 10.10.12.10

255.255.0.0

3.2.2 Definição de IP’s

Andar (Departamento)

Ip’s

Mascara

FTP ( DMZ ) 172.16.100.5

255.255.255.0

HTTP ( DMZ ) 172.16.100.6

255.255.255.0

WWW ( DMZ ) 172.16.100.7

255.255.255.0

SMTP Gateway ( DMZ ) 172.16.100.8

255.255.255.0

Proxy ( LAN – Servidores Internos ) 192.168.10.2

255.255.255.0

Aplicação ( LAN – Servidores Internos ) 192.168.10.5 <> 192.168.10.10

255.255.255.0

Arquivos ( LAN – Servidores Internos ) 192.168.10.11 <> 192.168.10.13

255.255.255.0

Email ( LAN – Servidores Internos ) 192.168.10.15

255.255.255.0

Oracle ( LAN – Servidores Internos ) 192.168.10.16

255.255.255.0

Intranet ( LAN – Servidores Internos ) 192.168.10.17

255.255.255.0


3.3 Definição de políticas no firewall e NAT

Para garantir a segurança da rede descreveremos abaixo as "regras do Firewall e NAT"

O firewall é configurado basicamente com as seguintes regras:

Por razões de segurança, toda comunicação entre o Segmento Externo e o Segmento Interno deverá passar por uma Aplicação Proxy no segmento DMZ.

Regras do NAT

Origem

Destino

200.208.15. 2 : 80

172.16.100.6 : 80

200.208.15 .3 : 80

172.16.100.6 : 80

200.208.15. 2 : 25

172.16.100.8 : 25

200.208.15. 3 : 25

172.16.100.8 : 25

200.208.15. 2 : 20/21

172.16.100.5 : 20/21

200.208.15. 3 : 20/21

172.16.100.5 : 20/21

Regras do Firewall

PERMIT LAN DMZ

PERMIT LAN WAN

PERMIT DMZ WAN

PERMIT DMZ LAN

PERMIT LAN:443 WAN (https)

PERMIT WAN 172.16.100.6 : 80

PERMIT WAN 172.16.100.8 : 25

DENY WAN LAN


4 Política de Segurança da Rede

A necessidade de proteger os recursos de uma rede aumenta, devido ao aumento de utilizadores e aplicações. A segurança na rede implica a gestão correta de listas de acesso e passwords para acesso aos equipamentos.

4.1 Técnicas Básicas de Segurança

4.2 Acesso no campus da rede

Definir uma política de acesso para cada utilizador da rede, incluindo acesso físico e controle no acesso (pela rede) aos mesmos.

Política na camada de acesso, através de port security e VLANS nos equipamentos Layer 7, limitar o trafego que vai para o Core.

Esta camada de acesso dos utilizadores à rede, portanto é o ponto mais vulnerável, face isso se deve tomar algumas precauções:

Controle nas dependências da Sala Técnica restrito somente às pessoas autorizadas.

4.2.1 Política na camada de distribuição

Essa camada é responsável por garantir que os dados não saiam do switch-block, a não ser que seja especificamente permitido, ele é responsável por filtrar informação de routing para o core.

Essa configuração pode ser feita através da ACL, nessa configuração podemos definir:

4.2.2 Política na camada de core

O core é responsável por transferir os dados mais rápido possíveis, assim como os outros componentes utilizados para esta camada, deste modo o core não deve ter política de acesso, a única política no core poderá ser a de QoS, para evitar congestionamento.

4.3 Proteção física dos equipamentos

Não podemos liberar acesso físico a um equipamento, pois desta forma o utilizador terá acesso total, pois tem métodos de recuperação de senha.

Os equipamentos devem estar numa divisão própria fechada, os wiring closet também deve ser fechado.

OBS: Apenas o administrador deve poder ter acesso à divisão dos equipamentos e bastidores.

4.3.1 Proteção por password

Sugerimos que sejam usados conjuntos username/password e centralizado num servidor TACACS+.

4.3.2 Timeouts e Privilégios

Para que o administrador não deixa uma sessão aberta, permitindo um utilizador se apoderar dela, podemos configurar o tempo de timeout aumentando assim mais um nível na segurança, ou seja, ao fim de X tempo a sessão termina automaticamente.

É possível atribuir a um determinado utilizador um nível e que comando poderá executar.

Ex: privilege exec level 3 copy run star

4.4 Proteção na VPN ( Virtual Private Network )

A VPN deve dispor de recursos para permitir o acesso de clientes remotos autorizados aos recursos da LAN corporativa, viabilizar a interconexão de LANs de forma a possibilitar o acesso de filiais, compartilhando recursos e informações e primordialmente assegurar privacidade e integridade de dados ao trafegar na Internet bem como a própria rede corporativa.

A seguir enumeraremos as características mínimas numa VPN:


5 Instalações de Software

5.1 Instalação do Ambiente Operacional

Os servidores de "Server Farm" serão instalados com o Ambiente Operacional Windows 2003 e alguns com Unix (RISC).

As estações dos laboratórios com dual boot (Win98, WinXP, Linux) de acordo com a necessidade de cada departamento.

 

6 Hardwares Utilizados

6.1 Especificações técnicas dos Servidores

Servidor Intel HP – DL 580 G2

 

» DL580 G2

processor

1.40 GHz or 1.60 GHz Xeon MP

processor cache

512KB (1.40 GHz) or 1MB (1.60GHz) iL3

Mp

4P capable

front side bus

4P capable

chipset

ServerWorks Grand Champion-HE

memory

200MHz DDR, 4:1 interleaved

memory Standard

1GB or 2GB

i/o subsystem

Quad Peer 64bit/100MHz PCI-X

Scsi

Wide Ultra3/Ultra320-ready

NICs

Single port 10/100/1000 in a slot

drive bays

4 - 1.0"

ejectable media bays

2

i/o slots

6 - 64bit/100MHz PCI-X (4 Hot Plug)

max memory

32GB Advanced ECC

power supply

HP, redundant

Fans

HP, redundant

Standard memory protection

Advanced ECC

advanced memory protection

Online Spare Memory, Single Board Mirrored Memory, Hot-Plug Mirrored Memory

chassis

4U, virtually cable-free

Custo do Servidor:

Bases/Features

ProLiant DL580 G2 Intel® Xeon™ Processor MP at 2.20GHz/2MB (1P Model)

Price

$7,298.00 

Business Lease

$198.00/month
(48 months)

Estimated Ship Date

Call for availability 1.800.888.9909 option 2

Processor 

Intel® Xeon™ Processor MP 2.20GHz/2MB

Memory 

1GB Base Memory 4x256

 

6.2 Especificações técnicas do Cisco Catalyst 2950 Switch

O switch Catalyst 2950T-24 (Gigabit) oferece uplink 10/100/1000BaseT e facilita à migração de Fast Ethernet para a tecnologia com mais performance através de um backbone Gigabit Ethernet mantendo a infra-estrutura de cobre UTP Cat 5 existente.

6.2.1 Funcionalidades

6.3 Especificações técnicas do Cisco Catalyst 6500 Multigigabit

Esta família oferece serviços convergentes seguros a partir do gabinete de fiação ao núcleo, do datacenter às bordas da WAN. Com 48 a 576 portas 10/100/1000Mbps ou 1152 portas 10/100Mbps, ou ainda altíssimo throughput de centenas de milhares de pacotes por segundo (Mpps), a família Catalyst 6500 fornece performance inteligente e escalabilidade em termos de switching multicamadas.

6.3.1 Funcionalidades

Custo do Servidor:

Esse Catalyst custa em media: US$ 20000.00.

6.4 Especificação técnica do roteador 2600 Serie

O Cisco 2600 dispõe de interfaces LAN duplos ou únicos, slots modulares, dois slots para cartas de interfaces WAN Cisco (WIC), e um slot para módulos designados Advanced Integration Module (AIM). O suporte LAN inclui a opção para módulo Ethernet duplo ou simples; 10/100 Mbps autosensing Ethernet; Token-Ring e Ethernet; e a versão de chassis simplesmente. As cartas de interfaces WAN suportam variadas ligações série, RDIS BRI, e opções CSU/DSU para ligações primárias e de recurso (backup) WAN, bem como módulos para multi-serviços dados/voz/vide/fax de várias densidades. O slot AIM suporta compressão e encriptação de dados em hardware e VPNs.

O Cisco 2600 permite a integração dados/voz/video através de soluções que envolvam ligações IP ou Frame Relay.

O Cisco 2600 partilha módulos de interfaces com os Cisco séries 1600, 1700, e 3600, sendo pois uma solução de custo/qualidade adequada às necessidades das empresas .

6.4.1 Funcionalidades

Custo do Servidor:

Este Roteador custa em média: R$ 3000,00.

6.5 Especificações técnicas do Firewall Nokia IP740

O Nokia IP740 é a nova plataforma para Provedores de Serviço, desenhado para o máximo de tempo ligado e ativo com seus componentes "hot swappable" e opção de fonte de energia redundante. O Nokia IP740 oferece aplicações de segurança lideres de mercado como Checkpoint & VPN-1, Internet Security Systems (ISS) - Real Secure for Nokia. Um equipamento com 3 RU, o IP740 se propôs a criar um equipamento fácil de desenvolver, gerenciamento remoto e alta performance e esta apoiada em nosso suporte técnico "First Call-Final Resolution". Ultrapassando a marca de processamento no Firewall de Gigabit por segundo, o Nokia IP740 é nossa plataforma de maior performance, aumentando nossas opções para o cliente sem perder os investimentos com treinamento e suporte de funcionários para a infra-estrutura de segurança. O Nokia IP740 vem com 4 slots cPCI para as interfaces opcionais de WAN e LAN. As diversas opções de interfaces incluindo Gigabit Ethernet de Fibra, 4 portas 10/100 Ethernet e diversas outras como V.35/X.21 ou T1/E1, facilitando a integração do IP740 com qualquer arquitetura de rede.

6.5.1 Funcionalidades


7 Bibliografia

7.1 Bibliografia Consultada

http://www.cisco.com/en/US/products/hw/switches, Switches, Novembro, 2004.

http://www.nokia.com/, Firewall 1-CheckPoint. Novembro, 2004.

http://www.lip.pt/computing/docs/presentations/ARIES_lip_workshop/sld009.htm, Topologia de Rede. Novembro, 2004.

Comentários


Páginas relacionadas