PROJETO LGICO
Tech-IT Solutions
Fernando Dantas Machado
Flvia Lima
Daniel dos Santos Bernardo
Bruno Lima Monteiro
Phellipe Freitas Pastori
Sumrio
Introduo................................................................................................ 4
Topologia Lgica.................................................................................... 4
Firewalls Externos................................................................................. 5
DMZ Externa......................................................................................... 6
Firewalls Internos.................................................................................. 7
DMZ Interna.......................................................................................... 7
LAN....................................................................................................... 8
Vendedores Externos............................................................................ 8
Protocolos Utilizados.....................................................................10
VRRP................................................................................................... 10
OSPF................................................................................................... 10
STP...................................................................................................... 11
VTP..................................................................................................... 11
WPA2.................................................................................................. 11
PPTP.................................................................................................... 11
CARP................................................................................................... 12
CIFS/SMB............................................................................................. 12
NTP..................................................................................................... 12
Endereamento IP............................................................................... 13
Redes da Sede.................................................................................... 13
Endereamento da LAN......................................................................14
Diviso de VLANs................................................................................ 15
Redes da Filial..................................................................................... 15
Endereamento da LAN......................................................................16
Diviso de VLANs................................................................................ 17
Servios Utilizados............................................................................. 17
DNS..................................................................................................... 17
DHCP................................................................................................... 18
Email................................................................................................... 18
Monitoramento................................................................................... 19
Backup................................................................................................ 19
WEB.................................................................................................... 19
FTP...................................................................................................... 20
Proxy................................................................................................... 20
Arquivos.............................................................................................. 20
Impresso........................................................................................... 20
VPN..................................................................................................... 20
Antivrus.............................................................................................. 20
Poltica de Segurana.......................................................................21
Introduo
O documento a seguir aborda a soluo de projeto lgico oferecida pela
empresa Tech-IT Solutions para suprir as necessidades da empresa
Comercial Eltrica Tesla no que diz respeito estrutura lgica do projeto que
nos foi solicitado.
Topologia Lgica
Firewalls Externos
DMZ Externa
O Cisco Catalyst 4900M ser o switch central que interligar toda a rede
interna da empresa. Todos os outros switches da rede estaro direta ou
inderetamente conectados a ele. Alm disso ser responsvel por interligar
a matriz da empresa sediada no bairro do Butant sua filial localizada no
bairro de Santana atravs de um link wireless via rdio.
Firewalls Internos
DMZ Interna
LAN
Na LAN teremos alm da rede cabeada uma rede Wireless interligando todo
o prdio. Sero utilizados switches Cisco Catalyst 2960S para interligar
todas as mquinas, cmeras, access poits, etc. Alm disso para a
Presidncia e Diretoria de Mutimdia existir uma Rede FTTD (Fiber to the
desk).
Vendedores Externos
Protocolos Utilizados
VRRP
O VRRP um protocolo utilizado para alta disponibilidade de roteadores
efirewalls. Foi criado pelo IETF e mantido pelo mesmo atravs da RFC
3768, sendo portanto independente de fabricantes.
OSPF
OSPF um protocolo de roteamento do tipo link-state, que envia avisos
sobre o estado da conexo (link-state advertisements, LSA) a todos os
outros roteadores em uma mesma rea hierrquica. Informaes sobre
interfaces ligadas, mtrica usada e outras variveis so includas nas LSAs.
Ao mesmo tempo em que o roteador OSPF acumula informaes sobre o
estado do link, ele usa o algoritmo SPF para calcular a menor rota para cada
n. O OSPF ser configurado no swicht core para que ele faa o roteamento
das redes disponibilizadas pelos links de rdio, possibilitando assim a
comunicao entre matriz e filial. Fio escolhido por ser um protocolo de
padro aberto, hierrquico e do tipo link-state.
STP
O protocolo STP (Spanning Tree Protocol) tem o papel de evitar loops de
rede na camada de enlace. Quando um Switch que possui o protocolo STP
implementado, descobre um LOOP na rede, este bloqueia uma ou mais
portas redundantes. Quando ocorre uma alterao na topologia da rede, o
STP automaticamente re-configura as portas dos Switches/Bridge para
evitar uma falha, bloqueando algumas portas. Periodicamente o STP emite
mensagens (BPDU) multicast. Atravs destas mensagens, o STP constri
uma rede livre de LOOP com uma arquitetura em rvore. Utilizaremos o STP
pois nossa rede ser redundante e ele ir evitar um LOOP na rede por conta
desta redundncia.
VTP
O protocolo VTP (Vlan Trunking Protocol) da Cisco garante um mtodo mais
fcil para a manuteno de uma configurao de Vlan consistente em toda
a rede comutada. Usado para distribuir e sincronizar informaes de
identificao das Vlans configuradas em toda a rede comutada. As
configuraes estabelecidas em um nico servidor VTP so propagadas
atravs do enlace tronco para todos os switches conectados na rede. Os
anncios VTP so transmitidos para todo o domnio de gerenciamento a
cada 5 minutos, ou sempre que ocorrer uma alterao nas configuraes de
Vlans. Ser utilizado na configurao das Vlans em cada switch, mantendo a
conectividade das mesmas em toda a estrutura do switch.
WPA2
O protocolo WPA2 foi criado como uma evoluo ao protocolo WEP. Este
objetivava tornar redes sem fio to seguras quanto redes com fixas. Mas
devido simplicidade de sua elaborao acabou sendo decodificada,
permitindo aos invasores de redes acesso aos ambientes particulares. O
WPA2 permitiu a implementao de um sistema completo e seguro, ainda
que mantendo compatibilidade com sistemas anteriores.
Utiliza o recurso Advanced Encryptation Standard(AES) em conjunto com o
protocolo de chave temporria(TKIP) com chave de 256 bits. O AES permite
a utilizao de chaves de 128, 192 e 256 bits, constituindo assim uma
ferramenta poderosa de criptografia.
Ser utilizado nas conexes wireless existentes na matriz e na filial. A
escolha deste protocolo foi devido segurana e a estabilidade garantida
pelo WPA2.
PPTP
O protocolo PPTP um protocolo de rede virtual privado amplamente usado.
O PPTP um mecanismo de encapsulamento para transferir quadros de
protocolo PPP em uma rede intermediria. Ao aproveitar os mecanismos de
configurao do protocolo, criptografia e autenticao do PPP, a conexo
PPTP oferece uma maneira de criar redes pblicas, como a Internet, para
conexes de acesso remoto e VPN de roteador para roteador.
Ser utilizado para interligar a matriz filial, alm de permitir o acesso
externo com segurana para funcionrios que no estejam na empresa,
permitindo um melhor aproveitamento do seu tempo, conforme foi proposto
no projeto.
CARP
O CARP (Common Address Redundancy Protocol) um protocolo utilizado
para redundncia de firewalls. Ele cria um ip virtual para os firewalls que
esto conectados onde um dos firewalls administra este ip, e caso este
firewall venha a cair ou ser desligado, o ip movido automaticamente para
o firewall que estava em standby, que assume o papel de firewall principal,
garantindo assim, a total segurana da rede da empresa. H possibilidade
de configur-lo para que ele faa o balanceamento de carga entre os dois
CIFS/SMB
O SMB/CIFS (Server Message Block/Common Internet File System) um
protocolo de redes cujo uso mais comum o compartilhamento de arquivos
em uma LAN. Este protocolo permite que o cliente manipule arquivos como
se estes estivessem em sua mquina local. Operaes como leitura, escrita,
criao, apagamento e renomeao so suportadas, sendo a nica
diferena de que os arquivos manipulados no esto no computador local e
sim em um servidor remoto. Devido a grande entrada de produtos Microsoft
tanto nas grandes corporaes como nos usurios particulares o protocolo
SMB/CIFS encontrado praticamente em todos os lugares. A maioria dos
sistemas Unix-Like possuem uma implementao de cliente/servidor do
SMB/CIFS via Samba. Ser utilizado no Storage/Servidor de Arquivos para o
compartilhamento de arquivos.
NTP
O NTP um protocolo para sincronizao dos relgios dos computadores
baseado no UDP (TCP/IP), ou seja, ele define um jeito para um grupo de
computadores conversar entre si e acertar seus relgios, baseados em
alguma fonte confivel de tempo. Com o NTP fcil manter o relgio do
computador sempre com a hora certa, com exatido por vezes melhor que
alguns milsimos de segundo. Ser utilizado para garantir a monotonicidade
do tempo dos computadores, mas sua vital importncia ser para garantir
preciso e veracidade aos horrios atribudos a cada filmagem no sistema
de CFTV.
Endereamento IP
Tanto na matriz quanto na filial utilizaremos VLSM (Variable Lenght Subnet
Mask), ou seja, as mscaras de rede sero de tamanhos variveis para
evitar desperdcios de ip e tambm um trfego desnecessrio na rede.
Utilizaremos o sistema de trunking para fazer com que os ativos de nossa
rede se comuniquem. Para isso vamos utilizar o protocolo VTP.
Apenas as mquinas da LAN tero seus IPs distribudos por DHCP. Todos os
outros equipamentos tero seus IPs configurados manualmente. Abaixo
seguem as tabelas de endereamento e redes:
Redes da Sede
Nome
Rede
Mscara
192.168.25
5.0
192.168.1.
0
192.168.10
0.0
192.168.10
1.0
192.168.50
.0
255.255.255.24
0
255.255.255.24
8
255.255.255.22
4
255.255.255.24
0
255.255.255.19
2
Switch Core
Internos
DMZ Interna
DMZ Externa
VPN DMZ Externa
Firewalls
N Mx de
Hosts
14
6
30
14
62
0.3
4.0
192.168.1. 255.255.24
4
8.0
192.168.10 255.255.22
0.2
4.0
Firewall Interno
2
eth0
eth1
Endereamento da LAN
Vendas
172.16.0.0
Call Center
Laboratrio de
Software e
Hardware
Controle de
Qualidade
172.16.1.0
1 IP
ltimo IP
Mscara
Vlido
Vlido
255.255.255.
172.16.0.
0
172.16.0.1 254
255.255.255.
172.16.1.
128
172.16.1.1 126
172.16.1.1
28
172.16.1.1
59
172.16.1.1
60
172.16.1.1
92
172.16.1.2
24
255.255.255.
224
255.255.255.
224
255.255.255.
224
255.255.255.
224
255.255.255.
224
255.255.255.
224
255.255.255.
192
255.255.255.
128
255.255.255.
0
172.16.1.1
91
172.16.1.2
23
172.16.1.2
55
172.16.2.3
1
172.16.2.6
3
172.16.2.9
5
172.16.2.1
59
172.16.3.2
55
172.16.4.2
55
Departamento
Comercial
Marketing
Financeiro
Recepo
Presidncia
Cmeras
Salas de
treinamento
Wireless
IP de rede
172.16.2.0
172.16.2.3
2
172.16.2.6
4
172.16.2.9
6
172.16.3.0
172.16.4.0
172.16.1.1
61
172.16.1.1
93
172.16.1.2
25
172.16.2.1
172.16.2.3
3
172.16.2.6
5
172.16.2.9
7
172.16.3.1
172.16.4.1
172.16.1.
190
172.16.1.
222
172.16.0.
254
172.16.2.
30
172.16.2.
62
172.16.2.
94
172.16.2.
158
172.16.3.
254
172.16.4.
254
Diviso de VLANs
Departamento
VLA
N
Vendas
10
Call Center
Laboratrio de Software e
Hardware
Controle de Qualidade
20
30
40
Rede
Mscara
172.16.0.
0
172.16.1.
0
172.16.1.
128
172.16.1.
255.255.255.
0
255.255.255.
128
255.255.255.
224
255.255.255.
Broadcas
t
172.16.0.2
55
172.16.1.1
27
Comercial
50
Marketing
60
Financeiro
70
Recepo
80
Presidncia
90
Cmeras
100
Salas de Treinamento
110
Wireless
120
160
172.16.1.
192
172.16.1.
224
172.16.2.
0
172.16.2.
32
172.16.2.
64
172.16.2.
96
172.16.3.
0
172.16.4.
0
224
255.255.255.
224
255.255.255.
224
255.255.255.
224
255.255.255.
224
255.255.255.
224
255.255.255.
192
255.255.255.
128
255.255.255.
0
Redes da Filial
Nome
Rede
Mscara
192.168.25
4.0
192.168.0.0
255.255.255.24
0
255.255.255.24
8
255.255.255.22
4
255.255.255.24
0
255.255.255.19
2
192.168.20
0.0
192.168.20
1.0
192.168.50.
128
N Mx de
Hosts
14
6
30
14
62
Banco de Dados
Antivrus/WSUS
Impresso/VOIP/DHCP
2
Backup
Storage/Arquivos
Monitoramento/CFTV
192.168.200.
9
192.168.200.
10
192.168.200.
11
192.168.200.
12
192.168.200.
13
192.168.200.
14
255.255.224
.0
255.255.224
.0
255.255.224
.0
255.255.224
.0
255.255.224
.0
255.255.224
.0
eth2
Firewall
Externo 2
eth0
eth1
eth2
Firewall Interno
1
eth0
eth1
Firewall Interno
2
eth0
eth1
1.2
192.168.25
5.8
192.168.25
4.7
192.168.20
1.3
192.168.25
4.9
192.168.0.
3
192.168.20
0.3
192.168.0.
4
192.168.20
0.2
0.0
255.255.24
0.0
255.255.24
0.0
255.255.24
0.0
255.255.24
0.0
255.255.24
8.0
255.255.22
4.0
255.255.24
8.0
255.255.22
4.0
Endereamento da LAN
Departamento
IP de rede
Vendas
172.20.0.0
Call Center
Marketing
172.20.1.0
172.20.1.12
8
172.20.1.16
0
172.20.1.19
2
172.20.1.22
4
Financeiro
172.20.2.0
Recepo
172.20.2.32
Cmeras
Salas de
treinamento
172.20.2.64
Wireless
172.20.3.0
TI
Controle de
Qualidade
Comercial
172.20.2.96
Diviso de VLANs
Mscara
255.255.255.
0
255.255.255.
128
255.255.255.
224
255.255.255.
224
255.255.255.
224
255.255.255.
224
255.255.255.
224
255.255.255.
224
255.255.255.
224
255.255.255.
192
255.255.255.
0
1 IP
Vlido
172.16.0.1
172.16.1.1
172.16.1.1
29
172.16.1.1
61
172.16.1.1
93
172.16.1.2
25
172.16.2.1
172.16.2.3
3
172.16.2.6
5
172.16.2.9
7
172.16.3.1
ltimo IP
Vlido
172.16.0.
254
172.16.1.
126
172.16.1.
158
172.16.1.
190
172.16.1.
222
172.16.0.
254
172.16.2.
30
172.16.2.
62
172.16.2.
94
172.16.2.
158
172.16.3.
254
Broadcast
172.16.0.2
55
172.16.1.1
27
172.16.1.1
59
172.16.1.1
91
172.16.1.2
23
172.16.1.2
55
172.16.2.3
1
172.16.2.6
3
172.16.2.9
5
172.16.2.1
59
172.16.3.2
55
Departamento
VLA
N
Vendas
10
Call Center
20
TI
30
Controle de Qualidade
40
Comercial
50
Marketing
60
Financeiro
70
Recepo
80
Cmeras
100
Salas de Treinamento
110
Wireless
120
Rede
Mscara
172.20.0.
0
172.20.1.
0
172.20.1.
128
172.20.1.
160
172.20.1.
192
172.20.1.
224
172.20.2.
0
172.20.2.
32
172.20.2.
64
172.20.2.
96
172.20.3.
0
255.255.255.
0
255.255.255.
128
255.255.255.
224
255.255.255.
224
255.255.255.
224
255.255.255.
224
255.255.255.
224
255.255.255.
224
255.255.255.
224
255.255.255.
192
255.255.255.
0
Servios Utilizados
DNS
DNS Windows
O DNS uma ferramenta nativa do Windows Server 2008, o que gera uma
reduo de custos.
de fcil implementao e configurao.
usado para resolver nomes e criar domnios.
DNS Linux - Bind9
uma ferramenta de cdigo aberto, o que tambm gera redues de custo.
DHCP
DHCP3 Linux
uma ferramenta de cdigo aberto, o que tambm gera redues de custo.
de fcil implementao e configurao.
usado para distribuir ips automaticamente para as maquinas que esto na
rede.
Email
Transmisso de emails - Postfix (MTA) Linux
o agente de transmisso de emails.
Por ser de cdigo aberto, pode ser usado livremente, gerando um custo
reduzido com servidores e sistema operacional. Tambm no exige
mquinas muito potentes para funcionar bem porque muito leve.
Dovecot (Imap e Pop3) Linux
um servio de cdigo aberto que trata os protocolos usados para envio e
recebimento de emails.
Por ser de cdigo aberto, pode ser usado livremente, gerando um custo
reduzido com servidores e sistema operacional. Tambm bastante leve
no exigindo mquinas muito potentes para funcionar bem.
Squirrelmail (Webmail) Linux
o servio de cdigo aberto que usa uma interface web para o usurio
poder acessar seus emails de onde estiver.
Por ser de cdigo aberto, pode ser usado livremente, gerando um custo
reduzido com servidores e sistema operacional.
Monitoramento
Nagios3 Linux
Ferramenta de cdigo aberto que monitora os servios pr-determinados
que esto rodando na rede. Avisa se esto rodando corretamente ou se h
algo impedindo seu correto funcionamento.
Cacti Linux
Ferramenta de cdigo aberto que monitora os computadores dos usurios.
Monitora trfego na placa de rede, espao em disco, uso de memria, uso
de processador, etc.
Backup
Amanda Linux
um servio de cdigo aberto que trata do sistema de backup dos dados da
empresa.
Por ser de cdigo aberto, pode ser usado livremente, gerando um custo
reduzido com servidores e sistema operacional.
WEB
Windows - IIS 7.0
Ferramenta nativa do Windows Server 2008. fcil de usar e implementar.
usada como servidor de web, ou seja, onde fica armazenado o site da
empresa.
Tambm ser usada porque a linguagem de programao usada no site de
total integrao com ela.
Linux - Apache2
Ferramenta de cdigo aberto. Tambm um servidor web, mas ser usado
primariamente como base para o servio de webmail.
FTP
Windows IIS 7.0
Ferramenta nativa do Windows Server 2008.
usado para que os usurios possam acessar seus arquivos
independentemente de qual mquina usarem para fazer logon.
Proxy
Squid Linux
Ferramenta de cdigo aberto, reduzindo assim custos com software. usado
para controlar o acesso a sites da internet e tambm usado para sites
bastante acessados serem carregados mais rapidamente na maquina do
usurio.
Arquivos
Samba Linux
Ferramenta de cdigo aberto. usado para um servidor de arquivos, onde
so armazenados os dados compartilhados dos usurios. Comunica-se com
Windows facilmente e de fcil configurao.
Impresso
Cups Linux
Ferramenta de cdigo aberto. usado como servidor de impresso para
poder compartilhar com todas as maquinas na rede as impressoras que
podem ser usadas. Pode-se dividir impressoras por departamento e permitir
somente determinada impressora a determinado usurio.
VPN
PPTPD Linux
Ferramenta de cdigo aberto. usada para se fazer conexes remotas a sua
rede. No momento em que estiver conectado, o usurio dever obedecer as
regras de segurana vigentes na sua rede interna.
Antivrus
Poltica de Segurana