UNIVERSIDADE ANHEMBI MORUMBICURSO DE GESTÃO DE REDES DE COMPUTADORES      TRABALHO DE CONCLUSÃO DE CURSO           ALEXAND...
UNIVERSIDADE ANHEMBI MORUMBICURSO DE GESTÃO DE REDES DE COMPUTADORES      TRABALHO DE CONCLUSÃO DE CURSO           ALEXAND...
BANCA EXAMINADORASão Paulo, ____ de ____________ de 2005
ResumoA crescente necessidade por comunicação via Internet bem como a tendência paraintegrar tecnologias existentes em uma...
5                                          AbstractThe increasing demand on network via internet, and the tendency to inte...
6                                                   SUMÁRIO1.  APRESENTAÇÃO DA EMPRESA ......................................
7    5.10.3. Servidor de Arquivos e Impressão .......................................................63    5.10.4. Servido...
813. APÊNDICE.......................................................................................................123  I...
9                                         LISTA DE FIGURASFigura 1 – Topologia de Rede “Lucro Fácil” ........................
10                                        LISTA DE TABELASTabela 1 – Pontos de Rede..........................................
111. APRESENTAÇÃO DA EMPRESA       A “Tech Solution” é uma integradora especializada no segmento de redes eambientes opera...
12       Operação         Planejamento de Operação de Redes         Mudanças e Reconfigurações         Avaliação de Desemp...
131.3.       Serviços de Operação de Redes & Sistemas           Operação Onsite               Monitoração, Testes, Configu...
143. ESCOPO            O escopo deste projeto contempla o desenvolvimento, implantação eintegração de toda a estrutura de ...
15            Como premissa básica de funcionamento da Corretora de Valores, seránecessária a integração com fornecedores ...
16            O controle de acesso integra além da solução de controle físico baseado nautilização de crachás para acesso ...
173.3.        Metas            Para viabilizarmos os objetivos propostos no escopo do projeto, nas datasprevistas e com to...
183.3.5.        Hardware            A aquisição de cabos, fibras, servidores, roteadores, switchs, telefones VoIP,câmeras ...
19Telefones IP e placas Fast-Ethernet convencionais que serão utilizadas para atendero restante dos pontos de Rede.       ...
20Cisco, que garante maior confiabilidade nas ligações e interoperabilidade com osequipamentos e aplicativos a serem utili...
21Rede da Corretora. Neste caso também optamos por fornecer um Switch com afunção PoE (Power over Ethernet) que será utili...
22aplicativos necessários ao funcionamento da corretora que a Microsoft não forneça.Segue abaixo lista com o nome dos soft...
23Figura 1 – Topologia de Rede “Lucro Fácil”
24Figura 2 – Topologia de Servidores “Lucro Fácil”
255. PROJETO FÍSICOS            O projeto físico da Rede de dados da Corretora de Valores compreenderá osseguintes itens: ...
26         O 2º Grupo é composto de 2 caracteres alfanuméricos que identificam oEstado onde o equipamento está instalado, ...
275.1.2.1. Nomes de usuários      O padrão estabelecido dita que a conta de login do usuário será definida pelonúmero de m...
28Nome do Departamento                          Nome do GrupoPresidência                                   GP_SP_Presidenc...
29           Serão criados 02 usuários locais com direitos administrativos, o padrão denomenclatura destes usuários admini...
30Nome do dispositivo                             NomenclaturaServidor Active Directory em São Paulo          FLSSP001Serv...
315.2.        Projeto de LAN            O Projeto de LAN Design da Corretora contempla a conexão física de todosos element...
32            Os Pontos de Telefone IP serão distribuídos conforme Tabela 2:                                            SP...
33         O Firewall será o responsável por determinar o roteamento entre as Vlan’satravés da criação de políticas de seg...
34Figura 3 – Topologia de Rede “Lucro Fácil”
35                                   PLANO DE ENDEREÇAMENTO - IP     Origem            Porta               IP          Más...
365.3.        Projeto de Roteamento            No projeto de roteamento serão utilizados dois protocolos dinâmicos além de...
37                                                                                       OSPF                            F...
38             Na comunicação entre o roteador de SP e o roteador do RJ haverá um túnelGRE estabelecido através da nuvem M...
395.3.1.3. BGP            Na comunicação entre os roteadores de SP e RJ com a nuvem MPLS há anecessidade de habilitar o ro...
40         •    Independência de plataforma;         •    Representação padronizada de mídia;         •    Flexibilidade n...
41                    Figura 5 – Comparativo TDM x Telefonia IP         Um grupo de pesquisadores do Gartner Group disse q...
42gerenciar todos os serviços. Qualquer peça de hardware, como em qualquerequipamento, está susceptível a falha assim como...
435.4.4.          Definição de banda e troncos            Para que o projeto fique com as especificações certas dos tipos ...
44       Este último parâmetro significa a porcentagem das horas de tráfego no maiorpico de ligações do dia. Para empresas...
45Onde,A = ErlangsN = Número de Troncos            Concluímos então que o número mínimo de linhas com a Rede pública paraq...
46linhas para receber ligações, a Matriz SP necessitará de 81 linhas; a Filial RJ de 33linhas.            Para dimensionar...
47            Para garantirmos a confiabilidade das informações usaremos o protocoloadicional SRTP (Secure Real Time Proto...
48Banda de voz na WAN = 15, 2Kb          Dado o número de ligações VoIP simultâneas que cada site atinge, ficamoscom a seg...
49            O uso de MPLS/VPN garante grande confiabilidade e segurança nacomunicação entre os sites do RJ e SP.        ...
505.7.2.          Funcionalidades            Algumas características do Cisco Secure Pix Firewall 525:            •    Sol...
51       •     compatibilizar o seu funcionamento com mecanismos de segurança já             existentes e utilizados por a...
525.7.3.2.3.           Listas de acesso do ICMP*            Com a implementação de listas de acesso do ICMP (Internet Cont...
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
TCC - TI - Corretora De Valores
Upcoming SlideShare
Loading in...5
×

TCC - TI - Corretora De Valores

2,095

Published on

Published in: Technology
2 Comments
2 Likes
Statistics
Notes
No Downloads
Views
Total Views
2,095
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
2
Likes
2
Embeds 0
No embeds

No notes for slide

TCC - TI - Corretora De Valores

  1. 1. UNIVERSIDADE ANHEMBI MORUMBICURSO DE GESTÃO DE REDES DE COMPUTADORES TRABALHO DE CONCLUSÃO DE CURSO ALEXANDRE FRANCISCO LUCAS PINZ MARCELO FUJII PATRÍCIO ASTORGA RODRIGO LUCENACORRETORA DE VALORES, PROJETO DE REDE SÃO PAULO 2005
  2. 2. UNIVERSIDADE ANHEMBI MORUMBICURSO DE GESTÃO DE REDES DE COMPUTADORES TRABALHO DE CONCLUSÃO DE CURSO ALEXANDRE FRANCISCO LUCAS PINZ MARCELO FUJII PATRÍCIO ASTORGA RODRIGO LUCENACORRETORA DE VALORES, PROJETO DE REDE Trabalho de Conclusão de Curso apresentado à Banca Examinadora, como exigência parcial para a conclusão do Curso Superior de Formação Específica de Gestão de Redes de Computadores, da Universidade Anhembi Morumbi sob orientação do Professor José Luiz Mendonça. SÃO PAULO 2005
  3. 3. BANCA EXAMINADORASão Paulo, ____ de ____________ de 2005
  4. 4. ResumoA crescente necessidade por comunicação via Internet bem como a tendência paraintegrar tecnologias existentes em uma única rede, como rede de dados, rede de voze rede de vídeo, faz com que cada vez mais as empresas invistam em tecnologiasbaseadas em IP a fim de suprir suas necessidades de comunicação.Este é o caso da corretora de valores, nosso cliente, cuja rede de dados é o focoprincipal deste projeto.Projetamos uma rede IP de comunicação de dados onde serão integrados Voz,Dados e Vídeo utilizando-se para isso diversos protocolos de comunicação comoMPLS/VPN, IPSec, BGP, PPP, dentre outros.Também projetamos e dimensionamos a estrutura de servidores de aplicação comfoco em Active Directory, DNS, SQL e Backup.Realizamos neste projeto todos os passos necessários para implementar umasolução completa que garanta a confiabilidade, integridade e disponibilidade.
  5. 5. 5 AbstractThe increasing demand on network via internet, and the tendency to integrateexisting technologies in only one network, for instance data bank, voice bank andvideo bank, oblige enterprises to invest in technologies based in IP with the intentionto supply its communication`s necessity.This is the case of our client an institution that acts in the bond market, the data bankis our main goal in this project.We planned a IP web of communication where different datas are integrated voice,data, and video, and for that, we used different protocols of communication such as,MPLS/VPN, IPSec, BGP, PPP, and others.We planned and increased the server`s structure of application focusing on ActiveDirectory, DNS, SQL e Backup.We followed all the steps necessary to implement a complete solution that guarantee(trust), integrality and disposability.
  6. 6. 6 SUMÁRIO1. APRESENTAÇÃO DA EMPRESA .....................................................................11 1.1. Serviços de Consultoria ..............................................................................11 1.2. Serviços de Integração de Redes & Sistemas ............................................12 1.3. Serviços de Operação de Redes & Sistemas .............................................132. APRESENTAÇÃO DA CORRETORA ................................................................133. ESCOPO............................................................................................................14 3.1. Metodologia ................................................................................................16 3.2. Objetivos .....................................................................................................16 3.3. Metas ..........................................................................................................17 3.3.1. Infra-estrutura ......................................................................................17 3.3.2. Comunicação de Dados.......................................................................17 3.3.3. Informações Gerenciadas ....................................................................17 3.3.4. Segurança ...........................................................................................17 3.3.5. Hardware .............................................................................................18 3.3.6. Software...............................................................................................184. PROJETO LÓGICO ...........................................................................................18 4.1. Topologia Lógica de Rede ..........................................................................21 4.2. Topologia de Servidores .............................................................................215. PROJETO FÍSICOS ...........................................................................................25 5.1. Plano de Nomenclatura...............................................................................25 5.1.1. Plano de nomenclatura dos equipamentos de rede.............................25 5.1.2. Plano de nomenclatura dos usuários, computadores e servidores......26 5.2. Projeto de LAN............................................................................................31 5.2.1. Plano de Endereçamento IP ................................................................33 5.3. Projeto de Roteamento ...............................................................................36 5.3.1. IGP.......................................................................................................36 5.4. Projeto de VoIP ...........................................................................................39 5.4.1. Padrão H.323.......................................................................................39 5.4.2. Dimensionamento da solução de VoIP ................................................40 5.4.3. Vulnerabilidades do Sistema TDM.......................................................41 5.4.4. Definição de banda e troncos ..............................................................43 5.5. QoS.............................................................................................................48 5.6. Projeto de MPLS/VPN.................................................................................48 5.7. Projeto de Segurança Lógica......................................................................49 5.7.1. Descrição .............................................................................................49 5.7.2. Funcionalidades...................................................................................50 5.7.3. Arquitetura Lógica................................................................................50 5.7.4. Funcionalidade de Segurança .............................................................53 5.7.5. HTTPS e SSL ......................................................................................55 5.7.6. SSH .....................................................................................................56 5.7.7. SRTP ...................................................................................................57 5.7.8. Práticas de Segurança para Telefonia IP ............................................57 5.8. SEGURANÇA FÍSICA.................................................................................59 5.9. Projeto de CFTV .........................................................................................60 5.10. Projeto de Aplicações .................................................................................61 5.10.1. Controlador de Domínio.......................................................................61 5.10.2. Servidor Web .......................................................................................63
  7. 7. 7 5.10.3. Servidor de Arquivos e Impressão .......................................................63 5.10.4. Servidor Banco de Dados ....................................................................63 5.10.5. Servidor Correio Eletrônico ..................................................................64 5.10.6. Servidor DVR .......................................................................................64 5.11. Gerenciamento de Rede .............................................................................64 5.11.1. Cisco Works.........................................................................................65 5.11.2. MRTG ..................................................................................................68 5.11.3. Requisitos de Hardware para Gerenciamento de Rede.......................686. LAYOUT.............................................................................................................697. LISTA DE PRODUTOS ......................................................................................77 7.1. Switch .........................................................................................................77 7.2. Firewall........................................................................................................79 7.3. Telefones IP................................................................................................80 7.4. Gateway de Voz..........................................................................................81 7.5. PABX IP ......................................................................................................82 7.6. Roteador .....................................................................................................82 7.7. Sobressalentes de Equipamentos ..............................................................83 7.8. Windows Server 2003 Enterprise Edition....................................................84 7.9. Windows Server 2003 Standart Edition.......................................................84 7.10. Windows XP Professional ...........................................................................85 7.11. Microsoft Office 2003 Standart Edition........................................................85 7.12. Microsoft SQL Server 2000.........................................................................86 7.13. Microsoft Exchange Server 2003 Standard Edition.....................................86 7.14. Symantec Norton Anti-Virus Corporate Edition ...........................................87 7.15. Adobe Acrobat 7.0 ......................................................................................88 7.16. Software de Backup – ARCServer ..............................................................88 7.17. Software Global Trading System – GTS (BM&F) ........................................89 7.18. Software Mega-Bolsa (Bovespa) ................................................................89 7.19. Software SINAL (Bovespa) .........................................................................90 7.20. Software BROADCAST (Agência Estado) ..................................................90 7.21. Software de Notícias Royters (Royters) ......................................................91 7.22. Software de Notícias Bloomberg (Bloomberg) ............................................91 7.23. Hardware de Desktop .................................................................................91 7.24. Hardware de Servidores .............................................................................92 7.25. Unidade de Armazenamento ......................................................................94 7.26. Impressoras ................................................................................................94 7.27. CFTV...........................................................................................................96 7.28. Controle de Acesso.....................................................................................988. PROJEÇÃO DE CUSTOS................................................................................100 8.1. Infra-Estrutura de Rede.............................................................................100 8.2. Softwares, Hardware e CFTV ...................................................................102 8.3. Segurança Física ......................................................................................103 8.4. Serviços ....................................................................................................103 8.5. Total Geral ................................................................................................103 8.6. ROI............................................................................................................104 8.6.1. Cálculo do ROI...................................................................................1059. DESCRIÇÃO FUNCIONAL DOS MEMBROS DA EQUIPE..............................10910. CRONOGRAMA DE ATIVIDADES ..................................................................11511. CONCLUSÃO ..................................................................................................11912. REFERÊNCIA BIBLIOGRÁFICA......................................................................120
  8. 8. 813. APÊNDICE.......................................................................................................123 I. Assuntos Gerais da Corretora...................................................................123 II. Protocolos de Rede...................................................................................12414. GLOSSÁRIO ....................................................................................................15015. ANEXO I – RELATÓRIO DE TESTES .............................................................156
  9. 9. 9 LISTA DE FIGURASFigura 1 – Topologia de Rede “Lucro Fácil” ..............................................................23Figura 2 – Topologia de Servidores “Lucro Fácil”......................................................24Figura 3 – Topologia de Rede “Lucro Fácil” ..............................................................34Figura 4 – Funcionamento do IGP ............................................................................37Figura 5 – Comparativo TDM x Telefonia IP .............................................................41Figura 6 – Failover PIX 515.......................................................................................52Figura 7 – Topologia do Active Directory ..................................................................62Figura 8 – Atuação Roteador Cisco como dispositivo fonte (Source) do IPM ...........66Figura 9 – Layout 4º andar Site São Paulo ...............................................................70Figura 10 – Layout 30o andar Site São Paulo ...........................................................71Figura 11 – Layout 9o andar Site Rio de Janeiro.......................................................72Figura 12 – Layout Cabling e CFTV 4º andar Site São Paulo ...................................73Figura 13 – Layout Cabling e CFTV 30º andar Site São Paulo .................................74Figura 14 – Layout Cabling e CFTV 9o andar Site Rio de Janeiro ............................75Figura 15 – Plano de Face dos Bastidores ...............................................................76Figura 16 – Formato Genérico de um Label............................................................130Figura 17 – Operações MPLS .................................................................................133Figura 18 – Terminais H.323 ...................................................................................138Figura 19 – Funcionamento do H.323 .....................................................................141Figura 20 – Ambiente MGCP ..................................................................................145Figura 21 – Modelo para QoS .................................................................................148
  10. 10. 10 LISTA DE TABELASTabela 1 – Pontos de Rede.......................................................................................31Tabela 2 – Pontos de Telefonia IP ............................................................................32Tabela 3 – Distribuição Vlan’s ...................................................................................32Tabela 4 – Plano de Endereçamento IP....................................................................35Tabela 5 – Cálculo de Erlangs ..................................................................................44Tabela 6 – Benefícios do cRTP.................................................................................46Tabela 7 – Representação do SSL nas camadas do modelo OSI ............................56Tabela 8 – Protocolos necessários para os serviços do CallManager ......................58
  11. 11. 111. APRESENTAÇÃO DA EMPRESA A “Tech Solution” é uma integradora especializada no segmento de redes eambientes operacionais. Nosso principal foco está relacionado à tecnologia dainformação. Para isso contamos com equipes desenvolvidas em 4 principais áreas:Networking, Sistemas Operacionais, Storage e Segurança. Com uma equipe altamente capacitada e parcerias estratégicas em diversossetores, a “Tech Solution” é uma das mais importantes provedoras e integradoras desoluções para infra-estrutura de Redes. Nosso compromisso é desenvolver e implementar soluções inovadoras queproporcionam a maximização do retorno sobre os investimentos e o aumento daeficiência em toda a cadeia produtiva. O excelente nível técnico dos profissionais da “Tech Solution” é asseguradopor treinamentos e desenvolvimentos permanentes, que incluem programas deespecialização e capacitação técnica. Utilizando a metodologia “Top Down” para desenvolvimento de soluções,aliada a um excelente padrão de gerenciamento de projetos, a empresa conta comum quadro de profissionais altamente capacitados e especializados, o que garanteos nossos compromissos com custos, prazos, qualidade e desempenho dassoluções. A “Tech Solution” está habilitada a ofertar serviços nas seguintes linhas:1.1. Serviços de Consultoria Planejamento & Projetos Avaliação de Tecnologias Estratégia e Planejamento de Redes Projeto de Redes e Sistemas Planejamento de Capacidade Consultoria em Segurança de Redes
  12. 12. 12 Operação Planejamento de Operação de Redes Mudanças e Reconfigurações Avaliação de Desempenho de Redes Planejamento de Manutenção1.2. Serviços de Integração de Redes & Sistemas Gerenciamento de Projetos Planejamento Físico Coordenação de Equipes Sub-contratação de Fornecedores Planejamento da Instalação Site Survey Projeto de Instalação Instalação Site Preparation Instalação – cabeamento, energia, equipamentos Testes & Integração Start Up Testes de Sistema Integração com Ambiente do Usuário Configuração Ativação Integração de Software Instalação de Software Parametrização Customização (sem desenvolvimento)
  13. 13. 131.3. Serviços de Operação de Redes & Sistemas Operação Onsite Monitoração, Testes, Configuração Back-up e Arquivamento Recuperação de Redes Avaliação de Recursos de Rede Enlaces Nós Avaliação de Desempenho de Rede Tempos de Resposta Disponibilidade Upgrade de Hardware e Software Gerenciamento de Segurança de Rede Gerenciamento e Monitoração de Aplicações2. APRESENTAÇÃO DA CORRETORA A corretora de valores “Lucro Fácil” é uma instituição financeira credenciadapelo Banco Central do Brasil e vinculada a CVM1, é uma instituição habilitada aintermediar transações financeiras comercializadas através de pregões realizadosem bolsas de valores, como Bovespa2 e BM&F3. A sede matriz da corretora está localizada em um prédio sito à Av. Faria Limaem São Paulo, distribuída em dois conjuntos comerciais em um mesmo edifício,sendo um conjunto no 4º andar e outro no 30º andar. A filial esta localizada no 9°andar em um edifício em Praia do Botafogo - Rio de Janeiro.1 CVM → Comissão de Valores Mobiliários2 Bovespa → Bolsa de Valores do Estado de São Paulo3 BM&F → Bolsa de Mercadorias e Futuros
  14. 14. 143. ESCOPO O escopo deste projeto contempla o desenvolvimento, implantação eintegração de toda a estrutura de redes e serviços para viabilidade dofuncionamento da Corretora de Valores. Para melhor entendimento descrevemos a seguir o detalhamento do escopo. Analise de Infra-estrutura e políticas internas da empresa para definição deLayout e melhor aproveitamento de espaço físico. Estamos considerando em áreas estratégicas da empresa a utilização de pisoelevado, possibilitando assim a flexibilização dos pontos elétricos e de rede. Distribuição elétrica conforme Layout considerando o fornecimento de redeestabilizada para todos os pontos necessários. Para este projeto não estamosconsolidando uma solução de fornecimento redundante de energia, visto que oscondomínios já possuem uma solução que atendem este quesito através deGeradores auxiliares e Banco de Baterias. O cabeamento estruturado será implantado levando em consideração astecnologias empregadas para dimensionamento dos pontos de rede, prevendo apossibilidade de escalonamento. A estrutura de rede será atendida através do fornecimento de Switchs* queintegrarão os 76 computadores para os postos de trabalho, distribuídos da seguinteforma: • 4o andar Site* São Paulo - 33 postos de trabalho. • 30o andar Site São Paulo - 33 postos de trabalho. • 9o andar Site Rio de Janeiro - 10 postos de trabalho. A comunicação entre a filial Rio de Janeiro e a matriz em São Paulo seráatendida através do fornecimento de Roteadores* com link’s de comunicaçãodedicada.* Vide Glossário
  15. 15. 15 Como premissa básica de funcionamento da Corretora de Valores, seránecessária a integração com fornecedores de serviços (Reuters, Bloomberg, Andimae Agencia Estado) e com as Bolsas de Valores (Bovespa e BM&F), que serãoatendidos através de link’s específicos fornecidos pelos mesmos respectivamente.Em alguns casos iremos utilizar o Roteador da própria corretora de valores. Dentro da estrutura da corretora estaremos fornecendo e integrando todos ossoftwares e hardwares necessários para viabilização do negócio. As soluções adotadas de acordo com a necessidade da corretora são: • Servidor* de Internet. • Servidor de Autenticação. • Servidor de Correio Eletrônico. • Servidor de Backup. • Servidor de Arquivos. • Servidor de Impressão. • Servidor de Anti-vírus. • Servidor de Banco de Dados. • Servidor de DVR*. • Servidor Call Manager. Será necessário também a integração de servidores e aplicações fornecidaspelas Agências de Notícia e Bolsas de Valores, neste caso não está contemplado noescopo de nosso projeto os fornecimentos de Hardware e Software. O sistema operacional utilizado e todos os aplicativos contemplados nestasolução estão detalhados no Projeto Físico. Como parte da solução proposta, integramos a solução de VoIP* paraatendimento das necessidades de comunicação entre os escritórios da Corretora,que não substitui a utilização de linhas convencionais. Além das LP’s* dedicadas queserão utilizadas pelas mesas de Operação.* Vide Glossário
  16. 16. 16 O controle de acesso integra além da solução de controle físico baseado nautilização de crachás para acesso as áreas restritas da corretora, a solução deCFTV*, que se resume basicamente na utilização de câmeras IP* distribuídas empontos estratégicos da empresa.3.1. Metodologia Para elaboração deste projeto adotamos a metodologia “Top Down” por ser aque melhor se aplica ao escopo do projeto, tendo como premissa uma análiseminuciosa do cliente. É necessário conhecer o cliente para adaptar o projeto as suasnecessidades minimizando o risco de fracasso. Para elaboração deste projetodevemos fazer o levantamento dos requisitos da corretora sob a visão das metas donegócio. O levantamento das informações é fundamental para que possamos conhecero nível de serviço exigido. Este levantamento consiste desde o conhecimento dostipos de serviços oferecidos aos seus clientes, o tipo de aplicativo utilizado, oimpacto no negócio, o escopo do projeto, o planejamento racional, a observação dasfases de implantação, bem como uma análise dos riscos do projeto, contemplandoos requisitos de disponibilidade, possibilidade de escalonamento, viabilidade,segurança, integridade e facilidade de gerenciamento.3.2. Objetivos Desenvolver um projeto de Rede de dados, VoIP e CFTV garantindo aConfiabilidade (segurança entre as ligações), Integridade (Qualidade de Serviço) eDisponibilidade (Redundância) das ligações internas, ligações entre filiais usandoVoIP e ligações para a rede pública PSTN*, diminuindo assim os custos de telefoniae otimizando comunicações de uma empresa, integrando dados, voz e vídeo emuma única rede, ganhando em mobilidade e agilidade dos processos, produtividadee mantendo um gerenciamento centralizado.* Vide Glossário
  17. 17. 173.3. Metas Para viabilizarmos os objetivos propostos no escopo do projeto, nas datasprevistas e com todas as funcionalidades operando, analisaremos a infra-estrutura,projetos lógicos e físicos, obedecendo as metas descritas a seguir:3.3.1. Infra-estrutura Aplicaremos o conceito de rede estabilizada, sendo uma premissadeterminante, para a operação sem interrupção e para integridade dos dados,integrando o sistema de No-Break* e Gerador de Energia. O piso elevado nos pontoscríticos do Layout proporcionará a mobilidade necessária.3.3.2. Comunicação de Dados Com a estruturação de uma rede de comunicação dos computadores daMatriz em São Paulo à sua Filial no Rio de Janeiro, distribuiremos os cabos de redee de fibra ótica e integraremos os links fornecidos pelas operadoras detelecomunicação, bolsas de valores e serviços de informação através de roteadores,sendo distribuídos os dados através de switchs para os terminais.3.3.3. Informações Gerenciadas A partir da centralização das informações na Matriz em São Paulo, osusuários de toda rede corporativa poderão acessá-las conforme direitos de acesso egerenciamento do tráfego de informações. Este procedimento de centralização dasinformações facilita o levantamento das mesmas e a determinação de bandas.3.3.4. Segurança Sendo a segurança um fator essencial ao projeto proposto, todo e qualquerelemento necessário para a garantia total da integridade e confidencialidade dosdados que trafegarão deverá ser providenciado conforme especificado no projeto.* Vide Glossário
  18. 18. 183.3.5. Hardware A aquisição de cabos, fibras, servidores, roteadores, switchs, telefones VoIP,câmeras IP, controladores de acesso, terminais entre outros equipamentosnecessários para a viabilização do projeto proposto.3.3.6. Software Igualmente ao hardware, todos os sistemas operacionais dos servidores eterminais, aplicativos específicos entre outros serão adquiridos para a viabilização doprojeto proposto.4. PROJETO LÓGICO O desenvolvimento das soluções aplicadas a este projeto será detalhado uma um dentro de seus respectivos projetos físicos, mas para um melhor entendimentoda solução, iremos abordar superficialmente cada um dos aspectos tecnológicosenvolvidos. A Corretora de Valores possui uma infra-estrutura separada em doisescritórios, sendo a Matriz em São Paulo e uma Filial no Rio de Janeiro. Para o Projeto de LAN* adotamos a implantação de uma solução com Switchsda família 4500 e 3500 da Cisco. Estes switchs possuem características compatíveiscom todas as facilidades necessárias na Corretora de Valores, além de agregarsegurança e confiabilidade ao negócio. No 4º andar onde fica localizado o CPD* teremos uma maior concentração deequipamentos e para isso dimensionamos o equipamento Cisco Switch 4506 complaca processadora Supervisor-IV, que possui interfaces Ópticas de 1Giga-Ethernet*que serão utilizadas para entroncamento entre os switchs do 4º e 30º andar. Esteequipamento será responsável por agregar todas as conexões internas da rede daCorretora, e foi dimensionado com dois modelos de placas; placas com a funçãoPoE (Power over Ethernet) que serão utilizadas para atender as conexões com os* Vide Glossário
  19. 19. 19Telefones IP e placas Fast-Ethernet convencionais que serão utilizadas para atendero restante dos pontos de Rede. Para atendimento do 30º andar da Corretora optamos pela utilização domesmo equipamento utilizado na Matriz: Cisco Switch 4506 com placa processadoraSupervisor-IV. Como mencionado acima, o equipamento estará interligado cominterfaces Ópticas de 1Giga-Ethernet ao Switch da Matriz no 4º andar. Este equipamento também foi dimensionado com placas PoE (Power overEthernet) que serão utilizadas para atender as conexões com os Telefones IP eplacas Fast-Ethernet convencionais que serão utilizadas para atender o restante dospontos de Rede. Como premissa de segurança teremos também a instalação de um segundoSwitch que será responsável por agregar as conexões externas da Rede daCorretora. Para esta função consideramos a utilização de um equipamento CiscoSwitch 3560 de 24 Portas. Para o Projeto de Segurança estamos contemplando o fornecimento de doisequipamentos Cisco PIX-525 (Firewalls) que serão instalados entre os dois Switchs4500 e 3500 da Rede. Este equipamento possui uma característica importante deFailover*. Esta tecnologia permite que um dos equipamentos seja instalado comobackup do outro e em caso de falhas no equipamento primário o segundoequipamento restabelece as conexões de Rede sem nenhum impacto para asolução. Outra característica importante é a escalabilidade que permite a criação deaté 12 DMZ’s*. Este número atende a demanda inicial da Corretora e ainda permite umcrescimento significativo para futuras demandas. Para comunicação entre os escritórios de São Paulo e Rio de Janeiroadotaremos a solução de VoIP. Devido a infra-estrutura da Rede estar todapadronizada em equipamentos Cisco, foi escolhido o Sistema de Telefonia IP da* Vide Glossário
  20. 20. 20Cisco, que garante maior confiabilidade nas ligações e interoperabilidade com osequipamentos e aplicativos a serem utilizados. Os telefones utilizados serão o modelo Cisco 7970, pois apresentamcaracterísticas de segurança relevantes além de suportarem aplicações XML*. Como complemento da solução de VoIP adotaremos como Gateway* de Vozo equipamento Cisco Router 2811. Este equipamento foi dimensionado com 60Canais de Voz com a Rede Pública (PSTN). Adotamos também a utilização do Call-Manager 4.1 que será utilizado como PABX* IP da Rede da Corretora. A comunicação Intra-Cluster* do Call-Manager* será realizada através doRoteador principal da rede. Outro ponto importante deste projeto é o roteamento. Por definição devemoscontemplar redes diferenciadas para os diversos tipos de acessos existentes naCorretora de Valores. Para isso uma grande variedade de roteadores deverá serinstalada para suportar esta estrutura. Porém estamos contemplando apenas ofornecimento dos equipamentos responsáveis pelos acessos primários como Internete troca de tráfego entre Matriz e Filial. A comunicação entre a Matriz em São Paulo e a Filial no Rio de Janeiro seráfeita através de dois Roteadores Cisco Modelo 7204 com placas ProcessadorasNPE-400 e interfaces E1* de 2M. Estes equipamentos possuem na placaProcessadora NPE-400 duas interfaces Fast-ethernet que serão utilizadas paraacesso à Rede local em cada um dos escritórios. Forneceremos também um Roteador Cisco Modelo 7204 com placaProcessadora NPE-400, Interfaces E1 de 2M e Interfaces Seriais V35 que serãoutilizados para acesso ao ISP*, responsável pela entrada e saída de tráfego daInternet e acesso à Rede interna da Bovespa. Na Filial do Rio de Janeiro, além do Roteador responsável pela comunicaçãocom a Matriz em São Paulo como já mencionado acima, forneceremos também umequipamento Cisco Switch 3560 que será responsável por agregar as conexões da* Vide Glossário
  21. 21. 21Rede da Corretora. Neste caso também optamos por fornecer um Switch com afunção PoE (Power over Ethernet) que será utilizado para atender as conexões comos Telefones IP e as conexões Fast-Ethernet convencionais. Para atendimento à solução de VoIP na Filial Rio de Janeiro estamoscontemplando o fornecimento da mesma linha de equipamentos usados na Matrizem São Paulo: Cisco Router 2811 e Telefones modelo Cisco 7970, porém com umnúmero inferior de Canais de Voz com a Rede Pública (PSTN). Adotamos também autilização do Call-Manager 4.1 que será utilizado como PABX IP da Rede daCorretora. A comunicação Intra-Cluster do Call-Manager será realizada através doroteador principal da rede.4.1. Topologia Lógica de Rede Podemos visualizar melhor através da Figura 1 a Topologia* Lógica de Redeadotada como solução para a Rede da Corretora de Valores “Lucro Fácil”.4.2. Topologia de Servidores Este projeto de rede contempla o desenvolvimento de uma solução de altadisponibilidade de Servidores, uma vez que todos os servidores (críticos)funcionarão em cluster. Aliado a isto será proposto um contrato de manutenção comSLA* de 1 hora para resolução dos problemas de hardware nos servidores. Conforme topologia dos servidores representada na Figura 2, observamosque a topologia* da Filial é menor do que a da Matriz visto que prevemos nesteprojeto redundância no link de acesso entre Matriz e Filial. Desta forma há umaprobabilidade muito pequena, e um risco aceitável de se manter a tecnologiaconcentrada em São Paulo. Para prover ao ambiente maior compatibilidade, todos os softwaresinstalados, nos computadores e servidores serão da plataforma Microsoft, salvo os* Vide Glossário
  22. 22. 22aplicativos necessários ao funcionamento da corretora que a Microsoft não forneça.Segue abaixo lista com o nome dos softwares necessários: • Microsoft Windows 2003 Server • Microsoft Windows XP Professional • Microsoft Office 2003 Standart • Microsoft SQL Server 2003 • Microsoft Exchange Server 2003 Standart Edition • Symantec Norton Anti-Virus Corporate Edition • Adobe Acrobat Standart Edition • ARCServer • Software Global Trading System – GTS (BM&F) • Software Mega-Bolsa (Bovespa) • Software SINAL (Bovespa) • Software BROADCAST (Agencia do Estado) • Software de Notícias Royters (Royters) • Software de Notícias Bloomberg (Bloomberg) • Cisco Works Voice Manager • Cisco Works Routed Wan* • MRTG Serão instalados 78 Computadores, 20 Servidores e 22 Impressoras.* Vide Glossário
  23. 23. 23Figura 1 – Topologia de Rede “Lucro Fácil”
  24. 24. 24Figura 2 – Topologia de Servidores “Lucro Fácil”
  25. 25. 255. PROJETO FÍSICOS O projeto físico da Rede de dados da Corretora de Valores compreenderá osseguintes itens: • Plano de Nomenclatura • Projeto de LAN • Projeto de Roteamento; • Projeto de VoIP; • QoS; • MPLS* / VPN*; • Projeto de Segurança; • Desenho da Topologia de Redes; • Plano de Servidores de Aplicações; • Sistema de Gerenciamento de Redes.5.1. Plano de Nomenclatura5.1.1. Plano de nomenclatura dos equipamentos de rede Para facilitar a identificação dos equipamentos de Rede definimos um padrãoque será aplicado a todos os equipamentos existentes, possibilitando também aaplicação deste padrão a futuros equipamentos que sejam integrados à Rede. O padrão definido é constituído de cinco grupos de caracteres que estãodivididos da seguinte forma: O 1º Grupo é composto de 4 caracteres alfanuméricos que identificam asiniciais do endereço físico da Filial onde o equipamento está instalado, seguido donúmero da Filial, vide tabela a seguir:Nomenclatura SignificadoFL01 Faria Lima – Escritório 01FL02 Faria Lima – Escritório 02BT01 Praia de Botafogo – Escritório 01BT02 Praia de Botafogo – Escritório 02* Vide Glossário
  26. 26. 26 O 2º Grupo é composto de 2 caracteres alfanuméricos que identificam oEstado onde o equipamento está instalado, vide tabela:Nomenclatura SignificadoSP São PauloRJ Rio de Janeiro O 3º Grupo é composto de 3 caracteres alfanuméricos que identificam o andaronde o equipamento está instalado, vide tabela:Nomenclatura Significado04A 4º - Andar30A 30º - Andar O 4º Grupo é composto de 3 caracteres alfanuméricos que identificam afamília a qual o equipamento pertence, vide tabela:Nomenclatura SignificadoROT RoteadorPIX FirewallSWT SwitchGTW Gateway de Voz E finalmente o 5º Grupo que é composto de 2 caracteres numéricos queidentificam o número do equipamento dentro da mesma localidade, vide tabela:Nomenclatura Significado01 Equipamento 0102 Equipamento 025.1.2. Plano de nomenclatura dos usuários, computadores e servidores Neste momento definiremos o padrão de nomes de usuários, grupos e demaisrecursos da Rede. Estes padrões visam facilitar o gerenciamento, bem como evitama ocorrência de nomes idênticos na rede, o que poderia causar conflitosindesejáveis.
  27. 27. 275.1.2.1. Nomes de usuários O padrão estabelecido dita que a conta de login do usuário será definida pelonúmero de matrícula do colaborador. Uma vez que este colaborador efetue login naRede, apenas os recursos definidos para o departamento que ele faz parte estarãodisponíveis para ele. Exemplificando, as contas de Rede criadas para todos osintegrantes do grupo ficariam da seguinte forma:Nome do Usuário Nome do LoginAlexandre Francisco LF0001Lucas Pinz LF0002Marcelo Fujii LF0003Patrício Astorga LF0004Rodrigo Lucena LF00055.1.2.2. Nomenclatura dos e-mails O padrão estabelecido para nomenclatura de e-mail dita que a composição doendereço de e-mail será do primeiro nome, acrescido de um ponto “.”, mais osobrenome (último nome). Se existir algum caso de duplicação será utilizado osegundo nome do colaborador no lugar do último nome.5.1.2.3. Nomenclatura dos grupos O padrão estabelecido dita que aos grupos seguirão o seguinte esquema denomes: O nome do grupo iniciará por “GP”, siglas para identificação de que estamosfalando de um grupo, acrescidos por um separador underline “_”, mais sigla doEstado, novo separador e finalizando com os nomes dos próprios departamentos.Exemplificando, os departamentos da Corretora de Valores “Lucro Fácil” ficariam daseguinte forma:
  28. 28. 28Nome do Departamento Nome do GrupoPresidência GP_SP_PresidenciaMarketing GP_SP_Marketing GP_RJ_MarketingRecursos Humanos GP_SP_RecursosHumanosContabilidade GP_SP_CotabilidadeFinanceiro GP_SP_FinanceiroInformática GP_SP_Informatica GP_SP_InformaticaAlmoxarifado GP_SP_AlmoxarifadoRecepção GP_SP_Recepcao GP_RJ_RecepcaoOperadores Bovespa GP_SP_OperBovespa GP_RJ_OperBovespaOperadores BM&F GP_SP_OperBMF GP_RJ_OperBMF5.1.2.3.1. Grupos especiais No projeto do Active Directory* (AD), contemplamos a criação de gruposadministrativos e a criação de usuários locais (nos notebooks e computadores) comdireitos administrativos. Segue descrição das regras: Os grupos administrativos obedecem a nomenclatura dos grupos, apenas seexiste a figura do caracter “_” no início do nome do grupo. Exemplificando, segue descrição dos grupos administrativos do departamentode informática:Nome do Departamento Nome do GrupoInformática _GP_SP_Informatica _GP_SP_Informatica* Vide Glossário
  29. 29. 29 Serão criados 02 usuários locais com direitos administrativos, o padrão denomenclatura destes usuários administrativos locais é: • InfoAdm – Administrador do sistema (esta senha somente os administradores de informática podem ter acesso). • Helpdesk – Administrador do sistema (esta senha somente os analistas de helpdesk e administradores do sistema de informática podem ter acesso).5.1.2.4. Nomenclatura dos computadores e notebooks da rede Utilizaremos as siglas da corretora invertidas, mais a letra D paracomputadores ou N para notebooks, seguidos por um número de 0 e 1 explicadosna tabela abaixo e um conjunto com três números que são um contador. Exemplificando:Número Significado0 Dispositivo localizado na matriz1 Dispositivo localizado na filial 1Nome do dispositivo NomenclaturaComputadores sito em SP FLD0001 até n4Computadores sito no RJ FLD1001 até nNotebook sito em SP FLN0001 até nNotebook sito no RJ FLN1001 até n5.1.2.5. Nomenclatura dos servidores: Utilizaremos as siglas da Corretora invertidas mais a letra S, e a sigla doEstado, seguidos por um conjunto com três números que seriam um contador. Exemplificando:4 n → indicador de número dos computadores existentes
  30. 30. 30Nome do dispositivo NomenclaturaServidor Active Directory em São Paulo FLSSP001Servidor Active Directory no Rio de Janeiro FLSRJ001Servidor Web em São Paulo FLSSP002Servidor de E-mail em São Paulo FLSSP003Servidor de E-mail no Rio de Janeiro FLSRJ002Servidor de Impressão em São Paulo FLSSP004Servidor de Impressão no Rio de Janeiro FLSRJ0035.1.2.6. Nomenclatura das impressoras O nome das impressoras iniciará por “PR” siglas para identificação deimpressora, acrescidos por um separador underline “_”, mais sigla do Estado, novoseparador, abreviatura do departamento, mais novo separador e finalizando com osnomes dos modelos das impressoras. Caso necessário acrescentaremos umnúmero no final como sendo um contador. Exemplificando:Modelo Nome da ImpressoraLocal da ImpressoraImpressora HP Mono LaserJet 5100dt PR_SP_MKT_HPLJ5100MarketingImpressora HP Color LaserJet 4650dn PR_SP_PRE_HPLJ4650Presidencia PR_RJ_MarketingImpressora HP Mono LaserJet 5100dt PR_SP_OPBV_ HPLJ5100_01Operadores Bovespa SP PR_SP_OPBV_ HPLJ5100_02 PR_SP_OPBV_ HPLJ5100_03 Este tipo de nomenclatura visa padronização e facilidade no gerenciamento,além de propiciar escalabilidade no caso do crescimento da corretora. Outro fatoimportante relacionado à padronização é a segurança. Dificilmente um hackersaberá reconhecer o que é o objeto FLSSP001 na Rede, ao passo que oadministrador baterá o olho e identificará que é o Servidor de autenticação (ActiveDirectory) localizado em São Paulo.
  31. 31. 315.2. Projeto de LAN O Projeto de LAN Design da Corretora contempla a conexão física de todosos elementos de Rede, entre eles Computadores, Impressoras e Telefones IP queserão interligados através de Roteadores e Switchs instalados nos escritórios daMatriz em São Paulo e Filial no Rio de Janeiro. Como premissa básica de qualidade, forneceremos toda a estrutura deCabeamento Estruturado baseado no padrão UTP (Unshielded Twisted Pair) comcabos Categoria 5 (CAT-5) no Padrão 100Base-TX*, conforme especificada nanorma TIA/EIA 568-A/B*. Para interligação entre os Switchs do 4º andar e 30º andar da Matriz em SãoPaulo, utilizaremos enlaces de Cabos Ópticos Multi-Modo* no padrão Gigabit-Ethernet 1000Base-SX*, que suportam distâncias de até 550 metros, conformeespecificações IEEE* 802.3z*. Os Pontos de Rede serão distribuídos conforme Tabela 1: SP - 4º Andar SP - 30º Andar RJ - 9º Andar Departamento PC IMP CFTV PC IMP CFTV PC IMP CFTVRecepção 1 - 1 1 - 1 1 - 1Almoxarifado 1 1 - - - - - - -Sala de Reunião 1 1 - 1 1 - 1 1 -Sala de Espera - - - 1 - - - - -Recursos Humanos 2 1 - - - - - - -Copa 1 - - - - - - - -Adm de Redes/Suporte 6 2 1 - - - 13 1 -C.P.D. 24 - 2 - - - - - -Financeiro/Contábil - - - 3 1 - - - -Diretoria - - - 1 1 - - - -Secretaria - - - 1 1 - - - -Captação/Comercial - - - 4 1 - 2 1 -Gerencia Comercial - - - 1 1 - 1 1 -Gestor de Operações 6 3 - 2 2 - 2 1 -Mesa de Operações - BM 40 2 4 - - - 4 1 1Mesa de Operações - BV - - - 20 3 4 2 - 1Total de Pontos 82 10 8 35 11 5 26 6 3 Tabela 1 – Pontos de Rede* Vide Glossário
  32. 32. 32 Os Pontos de Telefone IP serão distribuídos conforme Tabela 2: SP - 4º Andar SP - 30º Andar RJ - 9º Andar Departamento TEL TEL TELRecepção 1 1 1Almoxarifado 1 - -Sala de Reunião 1 1 1Sala de Espera - 1 -Recursos Humanos 2 - -Copa 1 - -Adm de Redes/Suporte 3 - 1C.P.D. 2 - -Financeiro/Contábil - 3 -Diretoria - 1 -Secretaria - 1 -Captação/Comercial - 4 2Gerencia Comercial - 1 1Gestor de Operações 3 2 1Mesa de Operações - BM 20 - 2Mesa de Operações - BV - 20 2Total de Pontos 34 35 11 Tabela 2 – Pontos de Telefonia IP A Rede será segmentada em diversas Vlan’s* isolando Domínios deBroadcast, o que permite uma melhor performance e segurança. A distribuição de Vlan’s será feita conforme a Tabela 3:Vlan Nome Faixa de IP Mascara Descrição11 VLAN - Inside-SP 125.214.30.0 /24 Hosts - Rede SP12 VLAN - Inside-BM-SP 115.64.129.0 /24 Hosts BM&F - Rede SP13 VLAN - Inside-WEB 125.214.31.0 /24 Servidores WEB - Rede SP14 VLAN - CFTV-SP 192.168.11.0 /24 Câmeras de Vídeo - Rede SP15 VLAN - Outside-BM 115.64.130.0 /29 Saída de Trafego BM&F - Rede SP16 VLAN - Outside-Internet 125.214.32.192 /27 Saída de Trafego Internet17 VLAN - Outside-Noticias 125.214.32.224 /27 Saída de Trafego Noticias20 VLAN - Conexão-RJ 125.214.32.128 /26 Conexão com Filial RJ21 VLAN - Inside-RJ 125.214.32.0 /25 Hosts - Rede RJ22 VLAN - Inside-BM-RJ 115.64.130.0 /24 Hosts BM&F - Rede RJ23 VLAN - CFTV-RJ 192.168.21.0 /24 Câmeras de Vídeo - Rede RJ Tabela 3 – Distribuição Vlan’s* Vide Glossário
  33. 33. 33 O Firewall será o responsável por determinar o roteamento entre as Vlan’satravés da criação de políticas de segurança. Serão instalados diversos roteadores conforme Figura 3, com finalidadesespecíficas, sendo: • FL01-SP-04A-ROT-01: interconexão com a Filial RJ; • FL01-SP-04A-ROT-02: interconexão com o Internet Service Provider e com a bovespa; • FL01-SP-04A-GTW-01: Gateway de voz para conexão com a Rede pública de telefonia; • ROT Andima: conexão com a Rede IP da Andima para canal de notícias; • ROT Bloomberg: conexão com a Rede IP da Bloomberg para canal de notícias; • ROT Reuters: conexão com a Rede IP da Reuters para canal de notícias; • ROT BM&F: exclusivo para a conexão com a Bolsa de Mercadoria e Futuro com o objetivo de transações comerciais eletrônicas; • BF01-RJ-09A-ROT-01: interconexão com a sede em SP; • BF01-RJ-09A-GTW-01: Gateway de voz para conexão com a Rede pública de telefonia;5.2.1. Plano de Endereçamento IP O endereçamento IP utilizado nos elementos de Rede está descrito conformeTabela 4.
  34. 34. 34Figura 3 – Topologia de Rede “Lucro Fácil”
  35. 35. 35 PLANO DE ENDEREÇAMENTO - IP Origem Porta IP Máscara Descrição Nº VlanFL01-SP-04A-ROT-01 0/0 125.214.32.129 /26 VLAN - Conexão-RJ 20FL01-SP-04A-ROT-01 1/0 200.149.41.229 /30 Conexão - Inter-Estadual N/AFL01-SP-04A-ROT-02 0/0 125.214.32.193 /27 VLAN - Outside-Internet 16FL01-SP-04A-ROT-02 1/0 200.229.64.137 /30 Conexão - Internet N/AFL01-SP-04A-ROT-02 1/1 200.229.64.141 /30 Conexão - Internet N/AFL01-SP-04A-ROT-02 2/0 125.193.64.94 /30 Conexão - BOVESPA N/AFL01-SP-04A-ROT-02 2/1 125.193.64.98 /30 Conexão - BOVESPA N/AFL01-SP-04A-ROT-02 2/2 125.193.64.102 /30 Conexão - BOVESPA N/AFL01-SP-04A-PIX-01 1/0 125.214.30.1 /24 VLAN - Inside-SP 11FL01-SP-04A-PIX-01 1/1 125.214.32.130 /26 VLAN - Conexão-RJ 20FL01-SP-04A-PIX-01 1/2 115.64.129.1 /24 VLAN - Inside-BM-SP 12FL01-SP-04A-PIX-01 1/3 125.214.31.1 /24 VLAN - Inside-WEB 13FL01-SP-04A-PIX-01 2/0 125.214.32.194 /27 VLAN - Outside-Internet 16FL01-SP-04A-PIX-01 2/1 115.64.130.2 /29 VLAN - Outside-BM 15FL01-SP-04A-PIX-01 2/2 125.214.32.225 /27 VLAN - Outside-Noticias 17FL01-SP-04A-PIX-01 0/0 10.1.1.1 /30 Conexão Failover N/AFL01-SP-04A-PIX-02 1/0 125.214.30.2 /24 VLAN - Inside-SP 11FL01-SP-04A-PIX-02 1/1 125.214.32.131 /26 VLAN - Conexão-RJ 20FL01-SP-04A-PIX-02 1/2 115.64.129.2 /24 VLAN - Inside-BM-SP 12FL01-SP-04A-PIX-02 1/3 125.214.31.2 /24 VLAN - Inside-WEB 13FL01-SP-04A-PIX-02 2/0 125.214.32.195 /27 VLAN - Outside-Internet 16FL01-SP-04A-PIX-02 2/1 115.64.130.3 /29 VLAN - Outside-BM 15FL01-SP-04A-PIX-02 2/2 125.214.32.226 /27 VLAN - Outside-Noticias 17FL01-SP-04A-PIX-02 0/0 10.1.1.2 /30 Conexão Failover N/AFL01-SP-04A-GTW-01 0/0 125.214.30.3 /24 VLAN - Inside-SP 11FL01-SP-04A-GTW-01 1/0 N/A N/A Uplink - PSTN N/AFL01-SP-04A-GTW-01 1/1 N/A N/A Uplink - PSTN N/AFL01-SP-04A-SWT-01 VLAN-2 125.214.30.4 /24 VLAN - Inside-SP 11FL01-SP-04A-SWT-01 1/1 N/A N/A Conexão - Intra-POP - Trunk N/AFL01-SP-04A-SWT-01 1/2 N/A N/A Conexão - Intra-POP - Trunk N/AFL01-SP-04A-SWT-01 2/1 à 2/10 N/A /24 VLAN - Inside-WEB 13FL01-SP-04A-SWT-01 2/11 à 2/20 192.168.11.0 /24 VLAN - CFTV-SP 14FL01-SP-04A-SWT-01 2/21 à 2/24 N/A /26 VLAN - Conexão-RJ 20FL01-SP-04A-SWT-01 3/1 à 3/48 N/A /24 VLAN - Inside-BM-SP 12FL01-SP-04A-SWT-01 4/1 à 4/48 N/A /24 VLAN - Inside-SP 11FL01-SP-04A-SWT-02 0/1 à 0/8 N/A /27 VLAN - Outside-Internet 16FL01-SP-04A-SWT-02 0/9 à 0/16 N/A /29 VLAN - Outside-BM 15FL01-SP-04A-SWT-02 0/17 à 0/24 N/A /27 VLAN - Outside-Noticias 17FL01-SP-30A-SWT-01 VLAN-2 125.214.30.5 /24 VLAN - Inside-SP 11FL01-SP-30A-SWT-01 1/1 N/A N/A Conexão - Intra-POP - Trunk N/AFL01-SP-30A-SWT-01 1/2 N/A N/A Conexão - Intra-POP - Trunk N/AFL01-SP-30A-SWT-01 2/1 à 2/24 192.168.11.0 /24 VLAN - CFTV-SP 14FL01-SP-30A-SWT-01 3/1 à 3/48 N/A /24 VLAN - Inside-SP 11BF01-RJ-09A-ROT-01 0/0 125.214.32.1 /25 VLAN - Inside-RJ 21BF01-RJ-09A-ROT-01 0/1 115.64.130.1 /24 VLAN - Inside-BM-RJ 22BF01-RJ-09A-ROT-01 1/0 200.149.41.230 /30 Conexão - Inter-Estadual N/ABF01-RJ-09A-GTW-01 0/0 125.214.32.2 /25 VLAN - Inside-RJ 21BF01-RJ-09A-GTW-01 1/0 N/A N/A Uplink - PSTN N/ABF01-RJ-09A-SWT-01 VLAN-12 125.214.32.3 /25 VLAN - Inside-RJ 21BF01-RJ-09A-SWT-01 0/1 à 0/10 192.168.21.0 /24 VLAN - CFTV-RJ 23BF01-RJ-09A-SWT-01 0/11 à 0/48 N/A /24 VLAN - Inside-BM-RJ 22 Router-Andima 0/0 125.214.32.227 /27 VLAN - Outside-Noticias 17 Router-Andima 1/0 200.160.160.65 /30 Conexão - Andima N/A Router-Bloomberg 0/0 125.214.32.228 /27 VLAN - Outside-Noticias 17 Router-Bloomberg 1/0 200.225.51.13 /30 Conexão - Bloomberg N/A Router-Reuters 0/0 125.214.32.229 /27 VLAN - Outside-Noticias 17 Router-Reuters 1/0 192.165.223.247 /30 Conexão - Reuters N/A Router-BM&F 0/0 115.64.130.1 /29 VLAN - Outside-BM 15 Router-BM&F 1/0 115.64.47.34 /30 Conexão - BM&F N/A Router-BM&F 1/1 115.64.47.38 /30 Conexão - BM&F N/A Tabela 4 – Plano de Endereçamento IP
  36. 36. 365.3. Projeto de Roteamento No projeto de roteamento serão utilizados dois protocolos dinâmicos além deroteamento estático. No roteamento interno da Rede (IGP*) utilizaremos o Open Shortest Path First(OSPF) para troca de rotas entre os roteadores internos e Firewall de SP e entre SP e RJ. Para conexão com o backbone MPLS* da Telemar (Service Provider)utilizaremos BGPv4*. Nos itens a seguir descreveremos como será a aplicação de cada um dessesprotocolos.5.3.1. IGP5.3.1.1. Funcionamento do IGP A topologia da Figura 4 mostra como será realizado o roteamento IGP. No Firewall é possível a configuração de até 2 processos de roteamentoOSPF. Sendo assim, para a comunicação entre os Firewall de SP, o roteador ROT-01 de SP e o roteador ROT-01 do Rio de Janeiro, utilizaremos o OSPF configuradona área 0. O OSPF permite a criação de diversas áreas que têm o objetivo de isolaro envio de LSA* para todos os roteadores pertencentes a rede. Não é necessário acriação de mais áreas diferentes da “0” dada a quantidade de equipamentosenvolvidos ser bastante pequena. Com a utilização de OSPF nessa arquitetura, os roteadores podem aprenderdinamicamente as mudanças de topologia que porventura possam acontecer. Outravantagem é ser um protocolo bastante escalável podendo a rede da corretorachegar a mais de 1000 roteadores, sendo mais de 50 por área.* Vide Glossário
  37. 37. 37 OSPF FL01-SP-04A-ROT-01 AREA 0 BF01-RJ-09A-ROT-01 FL01-SP-04A-PIX-02 FL01-SP-04A-PIX-01 Roteamento Estático BF01-RJ-09A-ROT-02 ROT Andima ROT ROT ROT BM&F Bloomberg Reuters BOVESPA ISP Andima BM&F Bloomberg Reuters Figura 4 – Funcionamento do IGP O Firewall isolará as rotas aprendidas, via roteamento dinâmico OSPFinterno, das rotas estáticas criadas para conexão com os elementos não protegidos.Esta é uma outra vantagem do uso de roteamento IGP. Não há necessidade deconfiguração de rotas estáticas no Firewall para a Rede interna. Todas as rotasinternas serão aprendidas dinamicamente. O router-ID* do OSPF será configurado estaticamente através de comandoaplicado no modo de configuração, sendo a interface loopback0. O router-IDidentifica o roteador no processo de roteamento. Dinamicamente, sempre será omaior endereço IP configurado no roteador. Quando há uma grande quantidade deroteadores, é recomendado que o Router-ID seja manipulado a fim de evitar“overlap” de router-ID caso a Rede tenha problemas de duplicidade deendereçamento IP.* Vide Glossário
  38. 38. 38 Na comunicação entre o roteador de SP e o roteador do RJ haverá um túnelGRE estabelecido através da nuvem MPLS*. O uso do túnel GRE é necessário para *permitir que um protocolo IGP que utilize multicast* para propagação de hello* - queé o caso do OSPF (224.0.0.5) - possa estabelecer adjacência com um roteador quenão está diretamente conectado. Podemos considerar o GRE tão somente comouma interface lógica que permitirá que roteadores remotamente localizados um dooutro possam estar logicamente diretamente conectados. Para habilitar o OSPF em um roteador Cisco é necessário que a interfacefísica faça parte do processo de roteamento. Para isso basta somente anunciar noprocesso o endereço IP configurado na interface. Existem outras possibilidadescomo a redistribuição de rotas diretamente conectas. Mas não será o caso. O número do processo de roteamento OSPF configurado será “1”. Nesteprimeiro instante, não há necessidade de configuração de mais de 1 processo deroteamento IGP por roteador. Portante somente o processo “1” estará configurado.5.3.1.2. Roteamento Estático Para a comunicação das Redes protegidas com os roteadores externos (dasagências de notícias, Bovespa, BM&F e Internet) o Firewall terá as seguintes rotasestáticas: • Firewall Roteador Internet: rota estática default; • Firewall Roteador Andima: rota estática para prefixo da Andima com next-hop para o endereço da fastethernet do roteador Andima; • Firewall Roteador BM&F: rota estática para o prefixo da BM&F com next-hop apontando para o roteador BM&F. Não haverá NAT* no roteador BM&F já que o endereço IP de origem faz parte do range fornecido pela BM&F para ser usado neste tipo de comunicação; • Firewall Roteador Bloomberg: rota estática para prefixo da Bloomberg com next-hop para o endereço da fastethernet do roteador; • Firewall Roteador Reuters: rota estática para prefixo da Reuters com next-hop apontando para o endereço da fastethernet do roteador;* Vide Glossário
  39. 39. 395.3.1.3. BGP Na comunicação entre os roteadores de SP e RJ com a nuvem MPLS há anecessidade de habilitar o roteamento BGP. O BGP é um protocolo de roteamentoutilizado para conexão entre Autonomous Systems*. As rotas internas de SP quenecessitem ser conhecidas no RJ, serão anunciadas via BGP para o roteador doservice provider que será a borda entre a corredora e a nuvem MPLS. Na nuvemMPLS o tráfego entrará em uma VRF e será transparente para a operadora as rotasgeradas na corretora. No RJ , a rotas serão aprendidas via sessão BGP estabelecidacom o PE (Provider Edge). Para maiores informações sobre MPLS/VRF e BGP, verapêndice.5.3.1.4. NAT O NAT é um protocolo de tradução de endereços Ips. Na Rede da Corretoraserá habilitado NAT nos seguintes roteadores: • FL01-SP-04A-ROT-02: traduzir o endereçamento IP interno para os Ips fornecidos pela operadora de acesso à internet; • ROT REUTERS: traduzir o endereçamento IP interno para os IPS utilizados na Reuters. • ROT BLOOMBERG: traduzir o endereçamento IP interno para os IPS utilizados na Bloomberg. • ROT ANDIMA: traduzir o endereçamento IP interno para os IPS utilizados na Andima.5.4. Projeto de VoIP5.4.1. Padrão H.323 Neste projeto utilizaremos como padrão de comunicação de VoIP o protocoloH.323. A utilização deste protocolo é vantajosa pois possibilita: • Independência da Rede; • Interoperabilidade de equipamentos e aplicações;* Vide Glossário
  40. 40. 40 • Independência de plataforma; • Representação padronizada de mídia; • Flexibilidade nas aplicações clientes; • Interoperabilidade entre Redes; • Suporte a gerenciamento de largura de banda; • Suporte à conferências multiponto. No apêndice descrevemos detalhadamente o funcionamento do protocoloH.323 bem como dos protocolos e aplicações associadas a ele.5.4.2. Dimensionamento da solução de VoIP Atualmente as empresas ainda utilizam bastante o sistema TDM(Multiplexação por Divisão de Tempo) que usa um PABX analógico, com telefonesanalógicos para realizar a comunicação entre pessoas. Existem muito gastos para manter um sistema TDM funcionando bem. Há ogasto do contrato do fabricante do PABX e o gasto com uma equipe especializadaem telefonia que administra todo o sistema da empresa. Propomos para este projeto uma solução de Telefonia IP, que é capaz deunificar a administração (a própria equipe existente de TI irá administrar e configuraro sistema de telefonia), facilitar os processos da empresa usando aplicativos nopróprio telefone aumentando a produtividade e integrar dados e voz em uma únicaRede, agregando valor a mesma reduzindo assim os custos. Tecnologicamente, o sistema de Telefonia IP está substituindo aos poucos oatual sistema TDM de telefonia, pois o primeiro oferece inúmeras vantagens emrelação ao custo/benefício do sistema TDM. A Telefonia IP usa o protocolo depadrão aberto IP para comunicar-se – uma tendência de integração mundial ondetudo estará conectado a uma Rede, facilitando a comunicação entre pessoas eempresas.
  41. 41. 41 Figura 5 – Comparativo TDM x Telefonia IP Um grupo de pesquisadores do Gartner Group disse que no final de 2007grandes fabricantes mundiais do sistema tradicional de telefonia TDM irão parar dedesenvolver novas soluções nessa área, e anunciaram a intenção de descontinuar osuporte do sistema TDM de Telefonia convencional assim como o sistema decontact center. Por outro lado, grandes fabricantes, como Cisco Systems, Avaya,Nortel já estão desenvolvendo há muito tempo soluções de Telefonia IP. Devido a esta crescente tendência no mercado e às inúmeras vantagens dese usar uma única Rede integrando dados, voz e vídeo, agilizando os processos dasempresas e ainda reduzindo custos, e apoiados por grandes grupos de pesquisastecnológicas, vamos desenvolver um projeto de Telefonia IP para esta empresa quegaranta toda confiabilidade além de trazer outros benefícios que proporcionarãoprodutividade e lucro para a mesma.5.4.3. Vulnerabilidades do Sistema TDM O que mais se fala contra a utilização da tecnologia da Telefonia IPsubstituindo a telefonia convencional é em relação à segurança que o segundooferece. Um sistema de telefonia convencional usando um PABX de grande porteconsegue ter a disponibilidade de 99, 999% de seus serviços, mas mesmo assimexistem falhas que podem acarretar em muitos prejuízos para uma empresa. Como todo sistema informatizado, um PABX também possui processamento,capacidade de memória e armazenamento, e também possui um software para
  42. 42. 42gerenciar todos os serviços. Qualquer peça de hardware, como em qualquerequipamento, está susceptível a falha assim como um software pode ter bugs. Mas omaior problema do PABX é que, por existir um paradigma que um sistema de PABXnão possa ser invadido, o mesmo não é levado em consideração quando o assuntoé segurança, ficando disponível para possíveis ataques hackers que podem desderoubar informações até usarem o seu PABX para fazer ligações gratuitas. Uma das vulnerabilidades mais conhecidas em um sistema convencional detelefonia usando um PABX é o grampo, onde é feita uma ligação com certosequipamentos na fiação do telefone e consegue-se ouvir toda conversa entre duaspessoas. Existe também o problema de fraude no PABX, ou seja, o invasor conseguiracesso ao mesmo e realizar ligações gratuitas, normalmente para o exterior sem queninguém perceba, já que na maioria dos casos não existem nenhum sistema degerenciamento do PABX que alerte ou monitore as ligações feitas e avise aoadministrador. Nesses casos só se percebe que houve um ataque quando chega aconta telefônica na empresa, ou quando a operadora de telefonia desconfia dealgumas ligações anormais e avisa ao cliente. Conseguir acesso ao PABX não é muito difícil, pois existem softwaresgratuitos na internet que ficam rastreando vários sistemas de telefonia e varrendoalguma vulnerabilidade no PABX. Normalmente esses softwares conseguem acessopor má configuração do PABX. As senhas usadas sempre são padrão, os usuáriospara terem acesso ao correio de voz usam senhas básicas como “1234” ou o próprioramal. Existe um problema através da placa DISA (Direct Inward System Access) doPABX: se esta função estiver habilitada, terceiros podem ter acesso remoto aoPABX. Normalmente não há políticas de configuração de segurança no PABX, comopor exemplo, desabilitar as ligações externas depois da hora do trabalho, desabilitara funcionalidade de “siga-me” para telefones externos e outras precauções que nãosão tomadas pois leva-se em consideração a segurança em um PABX.
  43. 43. 435.4.4. Definição de banda e troncos Para que o projeto fique com as especificações certas dos tipos de placas queusaremos nos gateways para processamento de voz, o quanto necessitaremos debanda para ligações usando VoIP e quanto precisaremos de linhas com a redepública de telefonia para ligações externas (DDD, DDI, Ligação Local, 0800, etc)realizamos cálculos matemáticos para que possamos dimensionar toda essa infra-estrutura sem que haja nenhum tipo de parada nas ligações por falta de banda oulinha disponível e para que não fosse utilizado um número exagerado de banda elinhas troncos, inviabilizando o projeto. A partir de uma análise inicial sobre o total de gastos previstos no mês comligações e a projeção de crescimento para os próximos 5 anos, montamos umatabela para o cálculo de Erlangs*, para que possamos definir a quantidade de linhascom a Rede pública usada para cada site. Para isso utilizaremos os seguintesvalores: • Na Matriz da Corretora em SP, onde a projeção de crescimento é de 50% e total de ligações no mês é de 12.320, fizemos uma projeção de aumento nas ligações de 100% mais 20% adicionais caso a empresa também aumente seu volume de informação. Portanto, o total de ligações é definido por: 12.320 + (1x12.320) + (0, 2x12.320). O número final de ligações fica em 20.948 no mês. • O valor da quantidade de ligações foi obtido tomando-se como referencia: a quantidade de pontos de telefone IP X média de ligações por dia X 22 dias por mês = 70 x 8 x 22 = 27.108. • Para o RJ usamos um cálculo um pouco diferente, já que a maioria dos pontos de telefone são de corretores. Portanto foram consideras em média 2 ligações por hora. Ficamos então com a seguinte quantidade de chamadas mês: 5.324 + (0.5x5.324) + (0, 2x5.324) = 9.051 ligações no mês. Para o cálculo do número de Erlangs usaremos a seguinte fórmula:Erlangs = (Horas de ligações no mês / dias úteis no mês) * Fator de horas ocupadas* Vide Glossário
  44. 44. 44 Este último parâmetro significa a porcentagem das horas de tráfego no maiorpico de ligações do dia. Para empresas que costumam trabalhar 8 horas por dia, opadrão utilizado é de 17%. Como o cliente é uma Corretora, esse parâmetro nãopode ser usado como referência já que a utilização de telefone é constante.Consideraremos um valor de 50% de ocupação. Portanto o fator de horas ocupadasutilizado será de 0, 50. A tabela abaixo mostra os cálculos de Erlangs que fizemos para os dois sites: Nº. de Duração em Total em Total em horas Erlangs Ligações segundos horas (no dia) SP 27108 240 1807 82 41, 06 RJ 9051 240 604 28 13, 72 Tabela 5 – Cálculo de Erlangs Agora usaremos um gráfico de Erlangs para verificarmos qual é o númeroideal de linhas tronco (conexão com a Rede pública) que devemos utilizar nos sites.Este gráfico de Erlangs depende do número de GoS (Grade of Service) a serutilizado para descobrirmos o número de troncos. GoS específica o nível de serviço utilizado durante uma hora de pico. Estenúmero é dado em porcentagem. Exemplo, um GoS de P0.01 significa que a cada100 ligações efetuadas, 1 (uma) pode receber um tom de ocupado ao tentar acessaro tronco. Neste projeto, o cliente não quer ter nenhuma situação em que o usuário nãoconsiga realizar uma ligação. Então usaremos o GoS de P0.0001. A fórmula usada para o cálculo de troncos é a seguinte:
  45. 45. 45Onde,A = ErlangsN = Número de Troncos Concluímos então que o número mínimo de linhas com a Rede pública paraque os dois sites possam realizar ligações externas são as seguinte: Matriz SP – 54Linhas para saída; Filial RJ – 22 Linhas para saída; Quem desejar poderá comprovar facilmente o cálculo do número de canaisnecessários por site, sem a necessidade da utilização de fórmulas matemáticas,através do site http://www.erlang.com/calculator/erlb/ Para dimensionarmos as placas de processamento de voz (DSP – DigitalSignal Processing) que serão usadas nos gateways de voz usaremos umaferramenta on-line do site da Cisco (http://www.cisco.com/cgi-bin/Support/DSP/cisco_prodsel.pl), que realiza a cálculo automático de quantas DSPsão necessárias por plataforma, dependendo do número de ligações feitas. AsDSP’s são processadores responsáveis por digitalizar a voz em pacotes para queestes possam ser transmitidos pela Rede. O número de DSP’s depende da codificação do pacote de voz usado e daquantidade de conferências que serão feitas. Para ligações com a Rede pública a codificação usada é o padrão G.711 (queutiliza 64kb da banda) e para ligações entre os sites é usado o padrão G.729* (queutiliza 8Kb). Levando-se em consideração informações do clientes nas quais onúmero total de linhas para realizar ligações deveria ser o dobro do número de* Vide Glossário
  46. 46. 46linhas para receber ligações, a Matriz SP necessitará de 81 linhas; a Filial RJ de 33linhas. Para dimensionarmos a banda mínima do tráfego de voz e dados entre ossites, usaremos os dados já levantados pelo cliente em relação à quantidade deligações VoIP. Para isso vamos entender quais são as características do pacote quetransmite a voz, RTP* (Real Time Protocol), como ele trabalha em relação aosdiferentes protocolos de camada 2 e seus métodos de compactação. Alguns pontos devem ser levados em consideração em relação ao quanto seusa da banda para o tráfego de voz: • O overhead total de cabeçalho que um pacote de voz possui é de 40bytes. Sendo 20bytes para o IP, 8 bytes para o UDP* e 12 bytes para o RTP. • O Compress Real Time Protocol (cRTP) comprime este cabeçalho IP/UDP/RTP para 2 ou 4 bytes. • 6 bytes são usados em cabeçalho de camada 2 para o PPP* e o Frame- Relay • O cabeçalho ethernet ocupa um total de 18 bytes, incluindo 4 bytes de Frame Check Sequence (FCS). Sem cRTP Com cRTP Banda Banda * Frame- ganha CODEC PPP Frame-Relay PPP ganha Relay Frame- PPP Relay G.711@50pps 82, 4Kb 81, 6Kb 68Kb 67Kb 17% 19% G.729@50pps 26, 4Kb 25, 6Kb 12Kb 11, 2Kb 55% 56% Tabela 6 – Benefícios do cRTP O cálculo da banda de voz é definido por:Tamanho total do pacote = (cabeçalho de camada 2) + (cabeçalho IP/UDP/RTP) +(tamanho dos bits de voz)PPS (pacotes por segundo) = (tamanho do codec) / (tamanho dos bits de voz)Banda da voz = Tamanho total do pacote * PPS* Vide Glossário
  47. 47. 47 Para garantirmos a confiabilidade das informações usaremos o protocoloadicional SRTP (Secure Real Time Protocol) que irá criptografar o pacote de vozgarantindo a segurança entre as ligações VoIP. O uso do protocolo SRTP impactaem dois fatores: • Incrementa um campo de 32 bits de autenticação e criptografia*, ou seja, o pacote final ficará com 4 bytes a mais. • Apenas os Codec G.711 e G.729 suportam essa opção de segurança, portanto trabalharemos apenas em cima desses Codecs. A fórmula final para dimensionarmos a banda para voz será: Banda de voz = (tamanho total do pacote * PPS) + 4BytesPara o tráfego na LAN com SRTP: Usaremos o Codec G.711 (64Kbps) por possui uma qualidade maior e porpadrão tem 160Bytes em um pacote de voz.Tamanho do pacote = 18bytes + 40bytes + 160Bytes = 218BytesTamanho do pacote = 218 * 8 = 1744bitsPPS = 64000 / (160*8) = 50ppsBanda de voz = (1744 * 50) + 4000 = 91200bitsBanda de voz na LAN = 91, 2KbPara o tráfego na WAN com SRTP: Usaremos o Codec G.729 (8Kbps) por possuir uma compactação maior egarantir boa qualidade. Por padrão ele usa 20bytes em um pacote de voz.Realizaremos o cálculo utilizando o PPP como encapsulamento de camada 2.Tamanho do pacote = 6bytes + 2bytes + 20Bytes = 28BytesTamanho do pacote = 28 * 8 = 224bitsPPS = 8000 / (20*8) = 50ppsBanda de voz = (224 * 50) + 4000 = 15200bits* Vide Glossário
  48. 48. 48Banda de voz na WAN = 15, 2Kb Dado o número de ligações VoIP simultâneas que cada site atinge, ficamoscom a seguinte banda necessária para trafegar voz: • Matriz SP – 14 ligações simultâneas com cada pacote de voz usando 15, 2Kb. Banda mínima para voz: 212, 8Kbps. • Filial RJ – 8 ligações simultâneas com cada pacote de voz usando 15, 2Kb. Banda mínima para voz: 121, 6Kbps. O valor de banda necessário para voz será somanda ao valor estimado debanda para dados.5.5. QoS O QoS (Quality of Service) deverá ser garantido pela operadora Telemar nolink de interconexão entre os sites de SP e RJ. Deverão ser priorizados os tráfegosde voz e dados críticos. Os demais tráfegos deverão ser classificados como best-effort. Nas conexões internas não há necessidade de configuração de políticas deQoS. No apêndice está descrito o funcionamento básico do QoS implementado nosroteadores da Cisco.5.6. Projeto de MPLS/VPN A configuração de MPLS não será habilitada diretamente nos roteadores darede da Corretora. A Corretora tão somente se utilizará da nuvem MPLS oferecidapela operadora Telemar para interconectar os sites do RJ e SP. Embora o MPLS seja transparente para a Corretora, é importanteconhecermos os conceitos de MPLS envolvidos na solução. Os roteadores de SP e RJ estarão conectados no Provider Edge que serão asbordas entre a Rede da Corretora e o backbone MPLS da operadora.
  49. 49. 49 O uso de MPLS/VPN garante grande confiabilidade e segurança nacomunicação entre os sites do RJ e SP. Para informações sobre o funcionamento do protocolo, consultar apêndice.5.7. Projeto de Segurança Lógica5.7.1. Descrição O objetivo deste projeto é garantir confidencialidade, integridade edisponibilidade à Rede da Corretora “Lucro Fácil”. Em nosso conceito,confidencialidade é a garantia de que as informações estão acessíveis somente paraàqueles que estão autorizados, aos quais a informação pertence. A integridade é acerteza de que as informações armazenadas em sistemas eletrônicos estejamcorretas e íntegras. E finalmente, a disponibilidade é encarada como a possibilidadede que as informações estejam disponíveis sempre que necessário. Através deste documento, descrevemos o plano de trabalho proposto,baseado na implementação do Cisco Secure PIX Firewall 525 em arquiteturatolerante à falhas de acordo com a arquitetura física, que irá garantir altadisponibilidade e a aplicação das diretrizes de segurança no site da Corretora emSP. Na análise detalhada que será apresentada no decorrer deste item estarãoincluídos os seguintes tópicos: • Resumo da arquitetura projetada; • Funcionalidades de Segurança; • Alta disponibilidade do PIX Firewall; • Definição da administração do PIX Firewall; • Outras informações pertinentes tais como backup, norma BS7799* etc. Para atender a este propósito seguimos como referência a normainternacional de segurança BS7799, base da maioria de projetos de segurança degrandes instituições privadas, órgãos de governo e militares. Consideramos asegurança um processo contínuo, isto é, um ciclo dentro do projeto.* Vide Glossário
  50. 50. 505.7.2. Funcionalidades Algumas características do Cisco Secure Pix Firewall 525: • Solução de hardware, isto é, uma “caixa preta” baseada em uma plataforma proprietária, que integra uma arquitetura de software e hardware em um único dispositivo físico. Assim, são mais rápidos e mais seguros que as soluções de software (pois teoricamente não possuem um sistema operacional suscetível a falhas ou bugs); • Suporta múltiplas interfaces (10/100 Mbps ethernet, Token Ring* e FDDI*); • Permite até seis interfaces ethernet, assim podemos implementar seis segmentos de Rede diferentes com níveis de segurança entre eles; • Autenticação via TACACS+* ou Radius* Server; • Suporta IPSec* baseado em VPN - Virtual Private Network; • Suporta as principais aplicações e protocolos TCP/IP, aplicações multimídias e aplicações de videoconferência H.323 (Microsoft NetMeeting, Intel Internet Video Phone e White Pine Meeting Point); • Alta disponibilidade através da implementação do Stateful Failover*; • Filtragem de URLs através do software Websense feita pelo nome e grupo de usuários;5.7.3. Arquitetura Lógica5.7.3.1. IPSec Uma vez que as aplicações que rodarão nesta rede são financeiras há umanecessidade grande por segurança. O IPSec ajudará a implementar criptografia natransmissão de pacote. O projeto IPSec representa um esforço desenvolvido peloWorking Group IPSec da IETF* para desenvolver uma arquitetura de segurança parao protocolo IP e tem como objetivos: • criar uma infra-estrutura de Rede segura providenciando proteção nos cabeçalhos de dados e de chaves; • reduzir a preocupação de implementar mecanismos de segurança nas aplicações;* Vide Glossário
  51. 51. 51 • compatibilizar o seu funcionamento com mecanismos de segurança já existentes e utilizados por aplicações; • evitar problemas de exportação de criptografia; • ser parte integrante do protocolo IPv6 e poder ser aplicável ao IPv4. Através dos seus componentes, o IPSec usa este conceito para permitir aimplementação de redes virtuais privadas (VPN) e seguras através de Redespúblicas tais como a Internet. Isto implica em um custo mínimo na criação de Redescorporativas pois são utilizadas com a segurança e infra-estrutura já existentes.5.7.3.2. Regras de Acesso (ACLs) A segurança está baseada na implementação das regras de acesso quepermitirão analisar o tráfego dos pacotes através do PIX Firewall entre os diversossegmentos de Redes ou interfaces. A filosofia adotada durante a implementaçãoconsidera “o que não for explicitamente permitido é proibido”. Para atender a esteobjetivo, consideramos as etapas abaixo:5.7.3.2.1. Filtragem de entrada Na filtragem de entrada, verificar-se-á a integridade de endereço IP de origemnos pacotes de entrada.5.7.3.2.2. Filtragem de saída Verifica se os pacotes destinados aos hosts fora do domínio gerenciado têmendereços IP de origem que podem ser verificados pelas rotas da tabela deroteamento local das entidades de reforço. A filtragem de saída evita que osusuários internos iniciem ataques utilizando os endereços IP de origem fora dodomínio local. Como a maioria dos ataques utiliza spoofing IP para ocultar aidentidade do host de ataque, a filtragem de saída rastreia a origem de um ataquemuito mais facilmente. Quando empregada, força com que os endereços IP deorigem sejam obtidos a partir de um pool válido de endereços de rede.
  52. 52. 525.7.3.2.3. Listas de acesso do ICMP* Com a implementação de listas de acesso do ICMP (Internet Control MessageProtocol), o PIX Firewall pode permitir ou negar o tráfego do ICMP que termina noPIX. E principalmente, ele permite ativar ou desativar o ping para uma interface,impossibilitando detectar virtualmente o PIX Firewall na rede.5.7.3.3. Stateful Failover Visando eliminar um simples ponto de falha, garantindo alta disponibilidade esegurança, será implementado a funcionalidade de failover nos PIX Firewall. Atravésde um cabo proprietário failover, dois PIX Firewall rodando em paralelo, comunicam-se trocando status entre si, sendo um identificado como Primário e o outro comoSecundário. Por default, as duas unidades enviam pacotes de aviso de comutaçãoentre si a cada 15 segundos (o tempo pode ser configurado entre 3 e 15 segundos).Nesta arquitetura sempre existirá um equipamento com o status ativo e outro emstandby. Quando ocorre um failover ou falha no Primário, cada unidade troca seustatus e a nova unidade ativa (Secundário) receberá o endereço IP e o MACAddress da unidade que ocorreu a falha. Utilizando o cabo Stateful Failover, asconexões ativas não sofrerão interrupções, pois serão restabelecidas na novaunidade ativa. Figura 6 – Failover PIX 515* Vide Glossário

×