Projeto de Ampliação da Rede

Sebafs Soluções em TI

Aluno: Sebastião ferreira da Silva

1

Agosto de 20101. Objetivos do projeto

Esse documento descreve o projeto de Ampliação da rede computadores da empresa Sebafs Soluções em TI, localizada no SCN QD. 01 Ed. NUMBER ONE, Brasília, DF. O projeto de ampliação da rede contempla o fornecimento de desktops, switches, roteadores, firewalls e serviços de instalação e configuração, para agregar na rede já instalada. Neste documento são apresentadas todas as informações necessárias para a ampliação da rede, incluindo os requisitos estabelecidos pelo cliente, especificações técnicas, custos e cronograma de implantação da rede. A rede de cabeamento estruturado e o sistema de alimentação elétrica não fazem parte do escopo do projeto.

2

Requisitos do Projeto

Após uma reunião técnica com o cliente, levantamos algumas necessidades para a ampliação da rede, levando consideração que a rede deverá atender até 570 usuários no edifício Sede em Brasília, bem como garantir a interligação dos escritórios remotos de Goiânia por meio de VPN, São Paulo, Rio de Janeiro e Belo Horizonte por meio de link dedicado. Neste ambiente é muito importante garantir a integridade da rede, a rede deve permanecer ativa em regime de 24x7, 24 horas por dia e 7 dias na semana, serão aplicados protocolos que garantam alta disponibilidade do ambiente de rede.

Requisitos para ampliação da rede:

Deverá ser fornecido 2 switches marca cisco system modelo 6506, cada um com 1 modulo de 48 portas utp 10/100/1000 e um modulo de 24 portas 1Gb SPF, modulo 10GB com no minimo 24 portas, deverá ser fornecido todas as gbics;

Deverá ser fornecido 2 roteadores marca cisco system modelo 3845 cada um contendo com 4 portas seriais wic 2 T, 4 portas 10/100 e 2 portas 10/100/1000 combo (sfp e utp), acompanhado de 1 Gbic multimodo;

Deverá ser fornecido 2 firewalls marca cisco modelo ASA 5540, com 8 portas 10/100/100 e 2 portas 10/100/1000 spf acompanhado de 1 Gbic multímodo;

Deverá ser fornecido um equipamento para antispan IRON PORT cisco system;

Deverá ser fornecido 3 switches de distribuição camada 3 marca cisco system modelo 3750G 24 portas 1GB SPF, bem como o fornecimento das gbics correspondentes;

Deverá ser fornecido 12 switches empilháveis camada 2, com 48 portas 10/100/1000, bem como o fornecimento de 2 gbic’s em cada equipamento;

Fornecimento de 50 impressoras de rede marca HP;

Deverão ser fornecidas 520 estações de trabalho, com processador dual core de no mínimo 2 GHz, 2 gb de RAM e HD de 160 Gb, deve ser fornecido com kit teclado e mouse, monitor de 17 polegadas LCD e estabilizador de voltagem padrão;

Deverão ser fornecidos 520 licenças do sistema operacional Windows 7, bem como 32 licenças do pacote Office 2007;

Configuração de VPN no roteador, para acesso remoto ponto a ponto do escritório de Goiânia, que necessita acessar a folha de ponto bem como alguns sistemas da empresa;

Reestruturação de toda a configuração do ambiente de rede, respeitando os seguintes critérios:

3

O ambiente deverá ter alta disponibilidade, da camada core, ate a camada de distribuição. Criação de vlans (conforme topologia lógica e especificação técnica) Novos endereços de rede (respeitando a topologia lógica e especificação técnica). Novo escopo de DHCP. Criação de reservas no DHCP Server. Readequação do servidor DNS Reconfiguração do servidor Proxy Servidor de SMTP Servidor de Gerencia SNMP

Fornecimento de link dedicado no padrão MPLS, é de responsabilidade da operadora de telecomunicações conforme tabela;

LOCALIDADE REMOTO VELOCIDADESão Paulo Brasília 2 Mbps Rio de janeiro Brasília 2 MbpsBelo Horizonte Brasília 2 MbpsBrasília Backbone 6 Mbps

Topologia Wan:

4

3. Descrição técnica do projeto

No projeto iremos dividir a rede em camadas, conforme arquitetura abaixo:

Arquitetura da rede

Camada de acesso:

A camada de acesso é o ponto de entrada à rede para estações de trabalho, Contempla os switches camada 2 ligados aos usuários.

As funções da camada de acesso também incluem filtragem de camada MAC e microssegmentação. A filtragem da camada MAC permite que os switches encaminhem quadros somente à porta do switch conectado ao dispositivo de destino. O switch cria pequenos segmentos de camada 2 chamados microssegmentos. O domínio de colisão pode ter um mínimo de dois dispositivos.

5

Camada Intermediaria ou distribuição:

A camada de distribuição da rede encontra-se entre a camada de acesso e a camada central. O propósito desta camada é proporcionar uma definição de limite dentro do qual pode ocorrer a manipulação de pacotes. As redes são segmentadas em domínios de broadcast por esta camada. Diretivas podem ser aplicadas e listas de controle de acesso podem filtrar os pacotes. A camada de distribuição isola problemas com a rede para os grupos de trabalho nos quais ocorrem. A camada de distribuição também impede que tais problemas afetem a camada central. Os switches nesta camada operam na camada 2 e na camada 3. Dentre algumas funções da camada de distribuição em uma rede comutada:

Agregação de conexões Definição de domínio de broadcast/multicast Roteamento das VLAN Quaisquer transições de meios físicos que precisem ocorrer Algumas políticas de Segurança

Camada Core

A camada central é um backbone de comutação de alta velocidade. Essa camada do projeto da rede não deve realizar nenhuma manipulação de pacotes. A manipulação de pacotes, como a filtragem por lista de acesso, retardaria a comutação de pacotes. Uma infra-estrutura central com caminhos alternativos redundantes proporciona estabilidade à rede na eventualidade da falha de um só dispositivo. O núcleo (backbone) pode ser projetado para usar comutação da camada 2 ou da camada 3.

Os seguintes equipamentos farão parte da camada core: switches de chassis que é o backbone da rede os servidores da rede (DNS, Proxy, SMTP, WEB, DHCP,STORAGES) firewalls da rede appliance antispan links de internet links de conexão com as localidades remotas

6

Segmentação

O principal objetivo em dividir toda a rede em vlans é a diminuição do domínio de broadcast, uma VLAN, é uma rede logicamente independente. Várias VLAN's podem existir no mesmo switch de nossa rede. O protocolo predominante é o IEEE 802.1Q, ao criar a vlan, a mesma recebe um ID, chamado de TAG, que serve para marcar o pacote quando o pacote passa por uma porta, com o intuito de identificar a vlan.

As primeiras VLAN's implementadas no projeto, eram configuradas para separar os funcionarios por departamento, e assim garantir uma restriçao no acesso a pastas e arquivos dentro do servidor, este objetivo ainda continua no projeto, porém, como a rede sofreu grande ampliação, utilizamos a vlan tambem para diminuir o numero de domínios de broadcast na rede. Dependendo do tipo de configuração, os usuários ganham mobilidade física dentro da rede.

As vlans serão aplicadas nos switches intermediários, que será responsável pelo roteamento, conforme tabela abaixo:

Tabela de vlans

7

Nome IP VLAN REDE MASCARA IDVLAN GERENCIA 192.168.0.1 192.168.0.0 255.255.255.0 1

VLAN DMZ 201.10.132.40 201.10.132.38 255.255.255.250 201

VLAN SERVIDORES 10.101.0.1 10.101.0.0 255.255.255.0 101

VLAN BH 10.31.0.1 10.31.0.0 255.255.255.0 31

VLAN RIO 10.21.0.1 10.21.0.0 255.255.255.0 21

VLAN SÃO PAULO 10.11.0.1 10.11.0.0 255.255.255.0 11

VLAN TÉRREO 10.1.0.1 10.1.0.0 255.255.255.0 10

VLAN 2º ANDAR 10.2.0.1 10.2.0.0 255.255.255.0 20

VLAN 3º ANDAR 10.3.0.1 10.3.0.0 255.255.255.0 30

VLAN 4º ANDAR 10.4.0.1 10.4.0.0 255.255.255.0 40

VLAN 5º ANDAR 10.5.0.1 10.5.0.0 255.255.255.0 50

VLAN 6º ANDAR 10.6.0.1 10.6.0.0 255.255.255.0 60

Conexões remotas

No roteador iremos elaborar as configurações de vpn, para acesso remoto do escritório de Goiânia. Virtual Private Network (VPN) ou Rede Privada Virtual, é uma rede privada construída sobre a infra-estrutura de uma rede pública, no caso do projeto é a internet. Ao invés de se utilizarmos links dedicados ou redes de pacotes (como Frame Relay e X.25) para conectar ao escritório de Goiânia, iremos utilizar a infra-estrutura da Internet, que já se encontra instalada no escritório da Sebafs em Brasília.

Link Dedicado

Link Dedicado é um serviço desenvolvido especialmente para empresas que necessitam de conexão com total confiabilidade e gerenciamento de utilização. A operadora telecomunicações irá fornecer uma conexão por par metálico, rádio ou satélite, para interligar os 3 escritórios da Sebafs. Um roteador será instalado para identificar e possibilitar o gerenciamento dos serviços de endereçamento e acesso à internet. As velocidade dos links serão de 2Mb, com garantia total de banda.

Vantagens:

Alta disponibilidade Confiabilidade total Autonomia de serviços para a Internet Garantia de tráfego e acesso com qualidade

Segurança

O firewall receberá novas configurações de regras de acesso, para atender novas demandas, incluindo as novas redes, e uma regra de firewall permitindo o acesso vpn do escritório remoto de Goiânia, e as regras aplicadas para os escritórios remotos.

Serviços

Serviços e protocolos que serão aplicados na rede:

Active Directory: é uma implementação de serviço de diretório no protocolo LDAP que armazena informações sobre objetos em rede de computadores e disponibiliza essas informações a usuários e administradores desta rede. É um software da Microsoft utilizado em ambientes Windows. O "diretório ativo" permite que os administradores atribuam à empresa políticas gerais, instalem programas em um grande número de computadores e apliquem updates críticos a uma organização inteira. O "diretório ativo" armazena informações e parâmetros em uma base de dados central organizada e acessível.

8

DNS: (Domain Name System - Sistema de Nomes de Domínios) é um sistema de gerenciamento de nomes hierárquico e distribuído operando segundo duas definições:

Examinar e atualizar seu banco de dados. Resolver nomes de domínios em endereços de rede (IPs).

Um servidor DNS traduz nomes para os endereços IP e endereços IP para nomes respectivos, e permitindo a localização de hosts em um domínio determinado. Num sistema livre o serviço é implementado pelo software BIND. Esse serviço geralmente se encontra localizado no servidor DNS primário.

Exchange: o servidor de mensagens e colaboração da Microsoft, é um software que funciona em servidores que permitem que você envie e receba e-mails e outras formas de comunicação interativa através da rede de computadores. Projetado para interoperar com um software de aplicativo cliente, tal como o Microsoft Outlook, o Exchange Server também interage com o Outlook Express e outros aplicativos clientes de e-mail.

SMTP: Simple Mail Transfer Protocol (SMTP) é o protocolo padrão para envio de e-mails através da Internet.SMTP é um protocolo relativamente simples, baseado em texto simples, onde um ou vários destinatários de uma mensagem são especificados (e, na maioria dos casos, validados) sendo, depois, a mensagem transferida.

Servidor FTP: será disponibilizado um servidor FTP, para que funcionários consigam baixar arquivos ou publicar arquivos dentro deste servidor.

9

Gerenciamento

Um servidor de gerencia será instalado para monitorar o status dos links e dos dispositivos de rede, abaixo a tabela com os endereços dos dispositivos:

Tabela de IP dos dispositivos

DISPOSITIVO Nome do dispositivo IP de gerenciaRoteador de internet RT-01 192.168.1.1Roteador backbone RT-02 192.168.1.2Firewall internet FW-01 192.168.1.3Firewall Interno FW-02 192.168.1.4Switch central 01 SWC-01 192.168.1.5Switch central 02 SWC-02 192.168.1.6

Switch de distribuição 01 SWD-01 192.168.1.7

Switch de distribuição 02 SWD-02 192.168.1.8

Switch de distribuição 03 SWD-03 192.168.1.9

Switch de acesso 01 SWA01-01 192.168.1.10

Switch de acesso 02 SWA01-02 192.168.1.11

Switch de acesso 03 SWA02-01 192.168.1.12

Switch de acesso 04 SWA02-02 192.168.1.13

Switch de acesso 05 SWA03-01 192.168.1.14

Switch de acesso 06 SWA03-02 192.168.1.15

Switch de acesso 07 SWA04-01 192.168.1.16

Switch de acesso 08 SWA04-02 192.168.1.17

Switch de acesso 09 SWA05-01 192.168.1.18

Switch de acesso 10 SWA05-02 192.168.1.19

Switch de acesso 11 SWA06-01 192.168.1.20

Switch de acesso 12 SWA06-02 192.168.1.21

Escopo DHCP

VLAN RANGE

VLAN BH 10.31.0.20 até 10.31.0.254

VLAN RIO 10.21.0.20 até 10.21.0.254

VLAN SÃO PAULO 10.11.0.20 até 10.11.0.254

VLAN TÉRREO 10.1.0.20 até 10.1.0.254

VLAN 2º ANDAR 10.2.0.20 até 10.2.0.254

VLAN 3º ANDAR 10.3.0.20 até 10.3.0.254

VLAN 4º ANDAR 10.4.0.20 até 10.4.0.254

VLAN 5º ANDAR 10.5.0.20 até 10.5.0.254

VLAN 6º ANDAR 10.6.0.20 até 10.6.0.254

1

As novas impressoras serão divididas entre os departamentos, e receberão configuração de ip manualmente, nessa etapa da rede, as impressoras não terão uma vlan própria, como no projeto anterior, farão parte da vlan correspondente ao departamento ou andar em que estiverem.

Alta disponibilidade:

Conforme cenário lógico abaixo será aplicado as seguintes funcionalidades para garantir alta disponibilidade da rede em todos os switches da rede:

Para alta disponibilidade em nível 3 será aplicado o protocolo HSRP:

O protocolo da Cisco HSRP (Hot Standby Router Protocol) foi desenvolvido para promover a alta disponibilidade em roteadores, de forma que, mesmo durante falhas, a rede sempre tenha um equipamento em funcionamento atuando como gateway padrão.

A alta disponibilidade é obtida através de um endereço virtual que é compartilhado entre dois ou mais equipamentos. Este endereço é definido como gateway padrão da rede para os hosts internos. Na ocasião de uma falha no equipamento principal, outro componente do grupo de alta disponibilidade assume o seu papel, utilizando o endereço virtual. Desta forma, a falha fica imperceptível aos clientes locais, já que a comunicação permanece ininterrupta.

Em caso de queda do link de internet primário de 20 mbps automaticamente o link secundário fica ativo e a saída de internet é feita momentaneamente pelo link de são Paulo.

Para prevenção de loops em nível 2 será aplicado o protocolo STP:

Spanning Tree Protocol (referido com o acrónimo STP) é um protocolo que será configurado nos equipamento da nossa rede, que permite resolver problemas de loops nos links redundantes. O algoritmo de Spanning Tree determina qual é o caminho mais eficiente entre cada segmento separado por switch. Caso ocorra um problema nesse caminho, o algoritmo irá recalcular, entre os existentes, o novo caminho mais eficiente, habilitando-o automaticamente.O nome deriva do algoritmo spanning tree em teoria dos grafos.

Será utilizado entre os equipamentos centrais o protocolo Etherchannel:

Etherchannel é um padrão que permite agregar múltiplas portas de características comuns a fim de formar uma porta de maior capacidade, no projeto iremos utilizar um channel com 4 portas de 10GB, formando assim um link de 40 gbs entre os switches centrais.

1

A figura abaixo demonstra a topologia lógica da rede :

1

A figura abaixo demonstra a topologia física da rede:

1

4. Especificações técnicas

4.1 SWITCH CORE

Marca: Cisco SystemModelo: CATALYST 6506

Switch Modular com 6 slots 800 Gbps switching fabric Deve possuir taxa de encaminhamento de pacotes de 320 Mpps Possuir 2Gb de memória RAM Possuir 1Gb de memória flash Ate 32 mil endereços Mac Suporte de 6000 vlans ID’s modulo de 24 portas sfp 1Gb modulo de 24 portas 10 Gb modulo de 48 portas 10/100/1000

4.2 SWITCH INTERMEDIÁRIO

Marca: Cisco SystemModelo: CATALYST 3750G

Switch Modular com 6 slots 120 Gbps switching fabric Deve possuir taxa de encaminhamento de pacotes de 100 Mpps Possuir 256Gb de memória RAM Possuir 128Gb de memória flash Ate 16 mil endereços Mac Suporte de 4000 vlans ID’s 24 portas 10/100/1000 SFP 2 portas 10 GB Empilhável

4.3 SWITCH ACESSO

Marca: Cisco System Modelo: CATALYST 2960G-24TS-S

Switch catalyst layer 2, com 24 portas 10/100/1000 e 4 SFP; 32 Gbps switching fabric; Forwading rate 38,7 MPPS 128 Mb de memória ram 16 Mb de memória flash Até 8 mil endereços Mac Suporta 4000 Vlan ID’S

4.4 FIREWALL

1

Marca: Cisco System Modelo: FIREWALL ASA 5540

Standard Memory 1 GB. Number of Ports 5. Virtualization 500 IPSec VPN Peers. Virtualization 500 Web VPN Peers. Encryption Standard 3DES. Encryption Standard AES . Manufacturer Website Address cisco . Flash Memory 64 MB . Firewall Throughput 650 Mbps . Product Name ASA 5540 Adaptive Security Appliance. Interfaces/Ports 4 x RJ-45 1000Base-T . Interfaces/Ports 1 x RJ-45 10/100Base-TX . Interfaces/Ports 2 x USB USB 2.0. Interfaces/Ports 1 x RJ-45 Console Management . Interfaces/Ports 1 x RJ-45 Auxiliary Management. License Type ASA 5500 Encryption License . License Type ASA 5500 VPN Base License. Product Type VPN/Firewall.

4.5 IMPRESSORA

Marca: HPModelo: Hp P1102w

Velocidade de impressão: em preto (Carta): até 19 ppm; em preto (A4): até 18 ppm; Resolução de impressão: até 600 x 600 x 2 dpi (1.200 dpi de saída efetiva); Resolução da tecnologia de impressão: HP FastRes 600, HP FastRes 1200 Conectividade padrão: porta USB 2.0 de alta velocidade, WiFi 802.11 b/g, rede

10/100/1000; Volume mensal (ciclo de serviço): até 5.000 páginas; Opções de impressão em frente e verso: manual (é fornecido suporte a driver); Velocidade de impressão: Até 18 ppm em A4 e Até 19 ppm em carta;Nota de rodapé

sobre velocidade de impressão: A velocidade exacta dependerá da configuração do sistema, da aplicação de software, do controlador e da complexidade do documento;

4.6 Desktop

Marca: montado

1

Modelo: montadoConfiguração:

Processador: Intel® Core™ i3-530 Processor (4M Cache, 2.93 GHz) Placa Mãe : Placa Mãe Intel Dh55tc Memória Kingston DDR3 2gb 1333mhz Gravador de DVD Samsung Sata 22x Fonte 500wats Placa de rede 10/100/1000 Monitor 17 polegadas LG Kit teclado e mouse padrão ABNT 2

4.7 Sistema operacional Desktop

Marca: Microsoft Versão: Windows 7 ProfessionalRequisitos de sistema:

Não exceder 10.2" 1 GB de RAM HD de 250 GB SSD com 64 GB no máximo Sem limite Sem limite Processadores single-core com clock que não passe de 2 GHz e que tenham TDP

(thermal design power) de 15 W ou menor (não contando o chip de vídeo e o chipset)

4.8 SERVIDORES ANTI SPAM

Marca: CISCO SYSTEMModelo: Ironport C100

CHASSIS / PROCESSADOR; Form Factor 17 "1U rack montado chassis; Dimensões 1.7 "(h) x 17" (w) x 22 "(d) ; CPU Processador Intel Único; ARMAZENAMENTO; RAID configuração RAID 1; Duas Unidades de 80GB 7200 RPM SATA drives; Dois Embedded Gigabit Ethernet Intel NICs ; 1 Serial DB-9 Serial Port ; CORREIO OPERAÇÕES ; Mail Injection protocolos SMTP, ESMTP, Secure SMTP sobre TLS ; Mail Delivery protocolos SMTP, ESMTP, Secure SMTP sobre TLS ; Resolvedor DNS Interno / cache; Posso resolver usando locais; NS Internet ou servidores de DNS; INTERFACES / CONFIGURATION; Acessível pela Interface Web HTTP ou HTTPS; Command Line Interface Acessível via SSH ou Telnet; Configuration Wizards; File Transfer SCP ou FTP;

5. Orçamento

1

A seguir a tabela de custos dos equipamentos necessários para ampliação da rede, bem como o serviço de suporte e instalação, neste orçamento não estão contemplados o fornecimento do cabeamento estruturado e parte elétrica.

Item QTD Preço Unitário Preço totalSWITCH CORE MODULAR CISCO 6506 2 400.000,00 800.000,00SWITCH INTERMEDIARIO CISCO 3750G 24 P sfp 3 30.000,00 90.000,00Switch CATALYST 2960G-24TS-S 12 10.000,00 120.000,00Transceiver Mini Gbic multi modo 1gb 48 1.200,00 57.600,00roteador cisco 3845 2 100.000,00 100.000,00cordoes opticos multímodo 1.5 mt 12 420,00 5.040,00Tranceiver 10 GB 10 3.000,00 30.000,00Cordao optico 10Gb 10 3.000,00 30.000,00Firewall ASA 5540 2 80.000,00 160.000,00IRON PORT antispan 1 75.000,00 75.000,00servidores dell poweredge 2950 6 25.000,00 150.000,00Impressora multifuncional colorida de rede 50 650,00 32.500,00Desktop monitor 17' teclado e mouse 520 1.700,00 884.000,00Sistema operacional Desktop windows 7 Prof 520 300,00 156.000,00Serviço de instalação suporte e garantia 12 meses 1 250.000,00 250.000,00Preço total R$: 2.940.140,00

6. Cronograma

1

O prazo do inicio até a conclusão da implantação do projeto de ampliação da rede Sebafs descrita nesse projeto será de 10 dias, contados a partir do dia 1 de setembro, com fim das atividades em 10 de setembro, conforme o diagrama abaixo.

ATIVIDADE 1/ag 2/ag 3/ag 4/ago 5/ag 6/ag 7/ag 8/ag 9/ag 10/ag

Reunião de inicio

Instalação dos switches

Instalação impressoras

Instalação dos desktops

Configuração do switch

Configuração do roteador Configuração servidor de domínio (DNS) Configuração servidor DHCP Configuração servidor Proxy Configuração servidor de email (Exchange)

Configuração desktops Configuração impressoras

Testes da solução

1