Projecto de Informatizao da Empresa Mercados Infinitos

PROJECTO DE REDE DE DADOS

Empresa Mercados Infinitos
1. Introduo
A Empresa Mercados Infinitos (MI), uma instituio dominante no ramo de prestao de servios na ara de publicidade. Visto que Moambique apresenta um mercado competitivo, a MI contratou dois consultores na ara de redes por forma a darem uma soluo tcnica por forma a informatizar os seus escritrios. Para esse processo foram contratados os Engs. Alberto Muchanga e Camilo Amarcy. Ambos especilistas no ramo de redes de computadores e com longa experincia na ara. Estes dois Engs. representam o G6 do MERSC-01. A proposta em causa inclui, para alm da topologia e alocao dos endereos, aspectos concernentes a segurana, redundncia, e custos dos equipamentos e do servio de consultoria. Est fora desta proposta os detalhes de configurao dos equipamentos, pois estes detalhes estaro inclusas no relatrio da execuo do trabalho a ser submetido pela empresa subcontratada.

2. Objectivos
Como objectivos principais desse projecto pode-se referir os seguintes pontos: Estudo e elaborao de uma topologia de rede para o MI; Alocao de endereos estticos para os computadores e impressoras; Especificao de regras de NAT e de FW a serem implementadas nos equipamentos terminais; Analise de uma soluo ptima que interliga os escritrios de Maputo com os de Chimoio; Especificao do equipamento; Analise dos custos para implementao do projecto.

Projectado pelos Engs: Alberto Muchanga e Camilo Amarcy

Projecto de Informatizao da Empresa Mercados Infinitos

3. Localizao Geogrfica
Por forma a analisar-se a topologia optima para a MI, foi necessrio efectuar um estudo no terreno de maneira a poder localizar os dois escritrios e as suas condies actuais. Para os escritrio de Maputo (sede) encontra-se um vasto leque de solues (desde vias de acesso at aos aspectos de conexo com os provedores de servios de Internet) que sero abordadas ao longo desse projecto. Contudo, para os escritrios de Chimoio temos algumas limitaes na escolha dos provedores de servios de Internet, pelo que iremos considerar aqueles que l esto presentes.

Mapa maputo e Chimoio Para esta instalao vamos considerar as seguintes reas: Comercial; Administrao; Servios Administrativos; Sala de servidores. Os Servidores e roteadores sero alojados na sala dos servidores onde dever existir um sistema de refrigerao por forma a reduzir o aquecimento do equipamento de rede. Ademais aconselha-se que se instale fontes de energia socorrida e redundante..

Layout da MI em Maputo

Projectado pelos Engs: Alberto Muchanga e Camilo Amarcy

Projecto de Informatizao da Empresa Mercados Infinitos

4. Descrio da soluo 4.1 Topologia

O diagrama abaixo ilustra a topologia que ser usada para interligar os vrios equipamentos de redes de computadores, bem como alguns elementos para garantir redundncia e segurana.

Diagrama de rede para da MI

Projectado pelos Engs: Alberto Muchanga e Camilo Amarcy

Projecto de Informatizao da Empresa Mercados Infinitos

4.2 Descrio das VLANs 4.2.1 VLANs na Rede de Maputo

A zona de trabalho constituida por trs sectores (Administrao; Comercial e Servios administrativos). Propomos a criao de VLANs1 de modo a permitir: mobilidade fsica dos funcionrios de uma rea a outra; reduo de colises e segurana. As VLANs a serem criadas so as VLANs 10, 20, 30 e 40 para os sectores Administrao, Servios Comercias, Servios administrativos e para a rede sem fio, respectivamente. A ligao entre os swicthes feita atravs de um VLAN TRUNK de modo a interconectar os nodos da mesma VLAN (intra-vlan communication) que se encontram em switches diferentes. De modo a obter redundncia, propomos uma ligao em anel dos trs switches e a activao do protocolo STP2 que ir eliminar o loop de comutao entre os switches. A comunicao entre as diferentes VLANs (inter-vlan communication), ser feita atravs de uma ligao entre o Switch da rede de Administrao geral e a interface fe0/0 do Router de Maputo.

4.2.2 VLANs na rede Chimoio

Por motivos de simplicidade, sugerimos que no se criem VLANs na sucursal de Chimoio, pois no dia-a-dia estaro a trabalhar elementos do mesmo sector. No futuro, qundo comear a haver uma deslocao frequente de staff de Administrao e de servios administrativos de Maputo a Chimoio poder se criar vlans como no caso de Maputo.

1 2

VLANs Virtual Local Area Network; STP Spanning Tree Protocol

Projectado pelos Engs: Alberto Muchanga e Camilo Amarcy

Projecto de Informatizao da Empresa Mercados Infinitos

4.3 Ponto de Acesso (AP) instalado na Administrao

Por forma a garantir a mobilidade e disponibilizar o acesso a Internet para os visitantes da administrao, est previsto que se instale um roteador sem fios de Marca LinkSys da Serie WRT54G. Nesta AP ser habilitado o servidor de DHCP de modo atribuir os endereos na gama de 192.168.1.128/27 e devem ser configurados mecanismos de segurana de redes WLAN, descritos mais abaixo no ponto sobre segurana. .

4.4 Conexo entre Maputo e Chimoio

Para a conexo entre os escritrios de Maputo e os de Chimoio foram considerados dois metdos.

4.4.1 Linha dedicada

Tomando em considerao que se deve garantir uma conexo fiavel e de alta disponibilidade entre os dois escritorios, os consultores propuseram que se investa numa soluo de linha dedicada como meio primrio de conexo entre os dois escritrios. Analisando as necessidades de trfego necessrio, decidimos contratar uma linha alugada de 256kb/s e que poder ser aumentada (upgraded) caso seja necessrio. Esta linha dedicada ser contratada na empresa Telecomunicaes de Moambique (TDM) e dever ser entregue na sede da MI em Maputo. Escolhemos as TDM por ser a nica empresa que forncece circutos dedicados fiveis entre Chimoio e Maputo.

4.4.2 Rede Virtual Privada (VPN)

Para garantir alta disponibilidade, os consultores consideraram a necessidade de se instalar uma ligao redundante entre os dois escritrios. Para efeito esta proposto que seja configurada uma VPN site-to-site que interligar os dois escritrios. Para esta ligao sugerimos que seja utilizada a rede da TELEDATA. Escolhemos a Teledata, pois o segundo maior forncedor de ligaes VPN ponto-a-ponto na provncia de Chimoio para alm das TDM; e por outro lado por se tratar de ligao redundante, estratgico que a mesma no seja adquirida no mesmo fornecedor que o circuito dedicado.

Projectado pelos Engs: Alberto Muchanga e Camilo Amarcy

Projecto de Informatizao da Empresa Mercados Infinitos

5. Endereamento IP
No nosso plano de endereamento, prevemos um crescimento mnimo de 100% em cada rede pelo que no presente plano iremos considerar o dobro do nmero de hosts por subrede. A tabela abaixo ilustra as necessidades actuais de endereamento bem como o plano de crescimento.
N. Hosts com Previso de Crescimento 30 20 180 100 30 5 5 370

Nome da rede Rede sem fio Administrao Comercial Servios Administrativos Chimoio Servidores na DMZ Servidores na rede Interna Total

N. de hosts (reais) 15 10 90 50 15 2 1

Com base na tabela acima, verificamos que temos que partir de uma rede capaz de enderear um nmero mnimo de 370 hosts. Sendo assim, vamos partir de uma rede 192.168.0.0/23.

Projectado pelos Engs: Alberto Muchanga e Camilo Amarcy

Projecto de Informatizao da Empresa Mercados Infinitos

Aps o clculo de subredes usando a tcnica VLSM (Variable Length Subnet Mask), a seguir apresentamos o seguinte plano de endereos.

Aps o clculo, a seguir apresentamos a tabela de endereamento:

Nome da Rede Sede da Empresa Servios Comerciais Servios Administrativos DHCP da Administrao Administrao Servidores na rede Inter Servidores na DMZ 180 100 30 20 5 5 252 126 30 30 6 6 192.168.0.0 192.168.1.0 192.168.1.128 192.168.1.192 192.168.1.224 192.168.1.232 /24 /25 /27 /27 /29 /29 192.168.0.1 192.168.1.0 192.168.1.129 192.168.1.193 192.168.1.225 192.168.1.233 192.168.0.254 192.168.1.126 192.168.1.158 192.168.1.222 192.168.1.230 192.168.1.238 192.168.0.255 192.168.1.127 192.168.1.159 192.168.1.223 192.168.1.231 192.168.1.239 Nmero exigido hosts Nmero possvel hosts Endereo rede Mscara Subrede Primeiro Endereo vlido ltimo Endereo vlido Endereo Broadcast

Projectado pelos Engs: Alberto Muchanga e Camilo Amarcy

Projecto de Informatizao da Empresa Mercados Infinitos

Sucursal de Chimoio Comercial Conexes Ponto a Ponto: Router_LAN - FW Fw ISP_Maputo Maputo_LAN ISP_Chimoio Access Point Maputo_LAN Router 2 2 2 2 2 2 2 2 192.168.1.240 192.168.1.244 192.168.1.248 192.168.1.252 /30 /30 /30 /30 192.168.1.241 192.168.1.245 192.168.1.249 192.168.1.253 192.168.1.242 192.168.1.246 192.168.1.250 192.168.1.254 192.168.1.243 192.168.1.247 192.168.1.251 192.168.1.255 30 30 192.168.1.160 /27 192.168.1.161 192.168.1.190 192.168.1.191

Projectado pelos Engs: Alberto Muchanga e Camilo Amarcy

Projecto de Informatizao da Empresa Mercados Infinitos

6. Configurao dos equipamentos 6.1 Alocao dos endereos IP

Equipamento Router ISP_Maputo Interface G0/1 G0/0 S0/0 G0/0 G0/1 Descrio Conexo com o FW Conexo com o ISP (Maputo) Conexo em linha dedicada com Chimoio Conexo para os Servidores internos, ie, servidor de base de dados Conexo com o Fw Conexo para a rede local (Comercial, Servicos Administrativos, Administrao, Servios Administrativos, Conexo com o AP). Sero configuradas subinterfaces e alocadas as VLANs correspondentes Conexo em linha dedicada com Maputo Conexo com a rede local Conexo com o ISP (Chimoio) Conexo com Maputo_LAN Conexo com ISP_Maputo Conexo com os servidores na DMZ IP do servidor da Base de Dados IP do servidor de E-mail IP do servidor de Web IP interno do AP IP externo do AP Endereo IP Mscara 192.168.1.245 /30 IP de conectividade ponto-a-ponto a ser fornecido pelo provefor /30 192.168.1.249 /30 192.168.1.230 192.168.1.241 192.168.0.254 192.168.1.126 192.168.1.222 192.168.1.254 192.168.1.250 192.168.1.190 IP de conectividade ponto-a-ponto a ser fornecido pelo provefor 192.168.1.242 192.168.1.246 192.168.1.138 192.168.1.225 192.168.1.233 192.168.1.234 192.168.1.158 192.168.1.253 /29 /30 /24 /25 /27 /30 /30 /27 /30 /30 /30 /29 /29 /29 /29 /27 /30

Router Maputo_LAN

Router ISP_Chimoio

Fe0/0 S0/0 G0/1

G0/0 G0/0/0 Firewall_Maputo G0/0/1 G0/1/0 Servidor de Base de Dados Eth0 Servidor de Email Eth0 Servidor de Web Int_interna Access-point Int_WAN

6.2 Tabela de configurao dos switches

De maneira a efectuar-se uma alocao fisica dos computadores e impressoras foi necessrio prever a quantidade de switches a ser adquirida. Estes devero ser ligados em cascata (vide a figura abaixo) contendo as mesmas VLANs abordadas no ponto anterior, porm diferenciando no nmero de portas a serem alocados em cada VLAN.

Projectado pelos Engs: Alberto Muchanga e Camilo Amarcy

Projecto de Informatizao da Empresa Mercados Infinitos

Ilustrao da cascata entre os switches

A tabela abaixo ilustra a descrio dos switches a serem utilizados no projecto:d A tabela abaixo ilustra a alocao de portas por cada switch. Note-se que as portas que no mencionadas, estaro alocadas a VLAN default, ie, estaro disponveis para serem alocadas a VLANs especficas sempre que houver uma necessidade. Ademais note-se que caso seja necessrio, poder se dealocar portas de uma VLAN e alocar a uma outra VLAN.
Conforme, foi mencionado, sero criadas as VLANs 10, 20, 30 e 40 para os sectores Administrao, Servios Comercias, Servios administrativos, e para a rede sem fio respectivamente.
Maputo Rede Administrao Comercial Servios Administrativos Servidores de Base de Dados Servidores na DMZ Chimoio Comercial Total

Hosts 20 180 100 4 4

Quantidade 1 4 3 1 1

Marca Cisco Cisco Cisco Cisco Cisco Cisco

Modelo 2960 2960 2960 2960 2960 2960

Portas/Modelo 46 46 46 8 8 46

20 1 11 Switches

Modelo e quantidade dos switches

Projectado pelos Engs: Alberto Muchanga e Camilo Amarcy

10

Projecto de Informatizao da Empresa Mercados Infinitos

Nome Switch

IP

Interface

Descrio

VLAN

Switchport Mode

Encapsu_ lamento

Edifcio Principal: Servios Administrativos 192.168.1.0/25 F0/1 G0/1 G0/2 F0/101 F0/110 F0/111 F0/126 F0/2 F0/100 G0/1 Comercial 192.168.0.0/24 G0/2 F0/181 F0/190 F0/1 F0/180 F0/191 F0/200 G0/1 G0/2 F0/1 F0/2 F0/20 F0/21 F0/30 F0/31 F0/46 Conexo para Router Maputo_LAN Conexo para Switch Comercial Conexo para Switch Administrao VLAN Administrao VLAN Comercial VLAN Servicos Administrativos Conexo para Switch Servios Administrativos Conexo para Switch Administrao VLAN Administrao VLAN Comercial VLAN Servicos Administrativos Conexo para Switch Comercial Conexo para Switch Servios Administrativos Vlan do Access Point VLAN Administrao VLAN Comercial VLAN Servicos Administrativos 10 20 30 10 20 30 40 10 20 30 Trunk Trunk Trunk Access Access Access Trunk Trunk Access Access Access Trunk Trunk Access Access Access Access 802.1q 802.1q 802.1q 802.1q 802.1q 802.1q 802.1q -

Administrao 192.168.1.192/27

Projectado pelos Engs: Alberto Muchanga e Camilo Amarcy

11

Projecto de Informatizao da Empresa Mercados Infinitos

7. Configurao de Controle de Acessos e segurana

Com base nos requisitos do projecto, o acesso a alguns servios deve ser controlado a saber: 7.1 Proteco da base dados De modo a garantir com que a base de dados no seja acessvel a partir da Internet, propomos que se faam as seguintes configuraes: a) Deve se configurar uma lista de controle de acesso (ACL) no Router Maputo_LAN especificando que apenas as redes de Administrao, Comercial, Servios Administrativos e Chimoio podem aceder a base de dados e as restantes redes devem ser negadas o acesso. Esta ACL deve ser associado ao trfego de saida da Interface G0/0 deste router; b) Para enaltecermos a segurana, deve-se bloquear ao nvel do FW, impedindo que este servidor tenha acesso Internet e desta forma haveremos de dar acesso Internet sempre que necessrio e apenas a durao necessria. 7.2 Proteco contra os utilizadores sem-fio De modo a isolar os utilizadores sem fio, iremos efectuar as seguintes configuraes: a) Vamos ligar o access point numa VLAN diferente de todas as VLANs existentes na empresa, i.e, a VLAN 40; b) Vamos escrever uma ACL no Router Maputo_LAN bloqueando o acesso a rede 192.168.1.128/27 (rede sem fio) as outras redes locais. Esta ACL deve ser aplicada no trfego de entrada na interface Fe0/0 do mesmo roteador; c) Na ACL da alinea b) vamos permitir o resto do trfego, ie, o trfego destinado Internet. d) De maneira a garantir a segurana da MI, propomos que seja configurado o modelo WPA2 o qual as senhas devem ser mudadas frequentemente conforme o especificado na poltica de segurana da empresa. Nota: Para este projecto, por causa da dimenso da rede, vamos usar um roteamento esttico. 7.3 Proteco contra a Internet A proteco contra a Internet, ser efectuada atravs da configurao de NAT de sada (source NAT) no firewall de modo a que as mquinas da rede Interna e sem fio possam aceder Internet, e consequente todas as ligaes vindas de fora (Internet) sero bloqueadas pois as mquinas internas sero configuradas atravs de endereos privados.

Projectado pelos Engs: Alberto Muchanga e Camilo Amarcy

12

Projecto de Informatizao da Empresa Mercados Infinitos

7.4 Configuraes no Firewall NAT: Neste projecto o NAT, ser usado para os seguintes casos: a) Permitir com que os servidores na DMZ possam aceder a Internet; b) Permitir com que as mquinas nas redes internas possam aceder a Internet. Dos seis endereos pblicos que fomos fornecidos pelo ISP (193.132.100.160/29) vamos distribui-los da seguinte forma: 193.132.100.161 ==> 192.168.1.2.233 (destination NAT que permitir ao acesso ao servidor de e-mail a partir Internet apenas para a porta TCP 25 e 443); 193.132.100.162 ==> 192.168.1.2.234 (destination NAT que permitir ao acesso ao servidor de Web atravs da Internet apenas para as portas TCP 80 e 443); 192.132.100.163 ==> Ser usada para source NAT de modo a que apenas as redes internas (Comercial, Administrao, Servios Administrativos, Rede) possam aceder Internet. Os restantes 3 endereos pblicos (192.168.100.164 -192.168.100.166) sero deixados para futuros servios, como por exemplo, o servidor de DNS externo, e provavel expanso do pool de destination NAT, etc. Polticas de segurana: Todas as redes tem acesso Internet menos os servidores que no precisam de acesso Internet para o seu funcionamento, pe, o servidor de base de dados; Estaro vedadas os acessos de Internet==>LA.N (Chimoio Inclusive) e apenas permitiremos o trfego da Internet at as mquinas na DMZ; Vamos tambm permitir o acesso da rede Interna para os servidores de e-mail e web atravs dos seus endereos Internos de modo a permitir que os sevios na DMZ sejam acedidos internamente sem termos que passar pela Internet.

Projectado pelos Engs: Alberto Muchanga e Camilo Amarcy

13

Projecto de Informatizao da Empresa Mercados Infinitos

8. Custo do projecto
De maneira a concretizar a implementao do projecto, efectuou-se uma busca no mercado Internacional (www.amazon.com) e foi possivel avaliar o valor do projecto.
Produto Rack Roteador Switch 48 ports Switch 8 ports Firewall Access Linksys Desktops Detalhes APC AR203 NetShelter 4 Post Open Frame Rack Square Holes (Black) Cisco Syst. 1841 Security Bundle w/IOS Adv. ( CISCO1841HSEC/K9 ) Cisco Syst. CATALYST 2960 48PT 10/100-2PT GETH UPL LAN-BASE IM ( WS-C2960-48TT-L ) Quantidade 5 2 9 2 1 1 165 Preo (USD) 465 1768 1650 462 8300 60 360 Total (USD) 2325 3536 14850 924 8300 60 59400

Catalyst 2960 Pd 8-PORT 10/100 Cisco ASA 5520 SSL / IPsec VPN Edition - Security appliance - EN, Fast EN, Gigabit EN - 1U Point Linksys-Cisco WRT54GL Wireless-G Broadband Router (Compatible with Linux) Dell 3 Ghz. Super Fast Optiplex Pro GX 1 Computer With 19 inch LCD Flat Panel Monitor, Big 250GB Hard Drive, 2GB RAM, DVD-RW Dual Layer, Intel P4 Single Core Multimedia Desktop PC, includes New Licensed Windows XP 2 Operating System and Genuine Sealed CD, SP 3 Dell PowerEdge 6650 Quad 2.5 Xeon / 4GB / 3x 73GB HP Color LaserJet CP1518ni Printer (CC378A#ABA) Custo dos consultores 112,940 USD

Servidores Impressoras Consultores Total

3 4 1

795 290 20000

2385 1160 20000 USD

Empresa TDM Teledata TDM

Servio Acesso Internet nos ecritrios centrais Acesso VPN entre Chimoio e Maputo Linha dedicada entre os escritrios de Maputo e Chimoio

Dbito (kbps) 2Mbps 128Kbps 128 Kbps

Total (USD)/ms 200 150 1000

De notar que no esto inclusos os custos de nstalao da rede e seus servios pois ainda no estava previsto a localizao exacta das mesas onde sero alocadas as estaes de trabalho;

Projectado pelos Engs: Alberto Muchanga e Camilo Amarcy

14

Projecto de Informatizao da Empresa Mercados Infinitos

9. Concluses e Recomendaes O projecto apresenta os aspectos essencias no desenho de uma rede, com enfoque na performance, fiabilidade e segurana; Nalguns pontos da rede, a fiabilidade garantida atravs de uso de equipamentos ligados em cascata; A escolha do equipamento de marca Cisco, traz vantagens na performance e fiabilidade, porm lesa nos custos; A segurana esta patente nos nveis re enlance, rede e transporte atravs de configurao de VLANs, listas de controle de acesso usando IPs e portos TCP; O plano de endereamento foi feito usando a tcnica de VLSM a partir de uma rede 192.168.0.0/23 considerando um crescimento acima de 100% para cada subrede; Para interconexo entre as duas sucursais ir-se usar um circuito alugado e por motivos de redundncia, vai-se configurar uma VPN site-to-site; Recomendamos a criao de um DNS interno de modo a rentabilizar a conexo Internet e flexibilizar as consultas de DNS; Por forma a dinamizar o funcionamento da MI, recomendamos a criao de uma politica de segurana informtica da empresa. Esta politica dever ser entregue a cada membro ca MI por forma que estes tomem conhecimento e sigam as regras estabelecidas pela MI; Recomendamos que seja lanado um concurso para a adjudicao da empresa a implementar o projecto e que a empresa seja seleccionada com base em critrios rgidos; Recomendamos que seja instalada a devida climatizao e energia socorrida em cada site.

Projectado pelos Engs: Alberto Muchanga e Camilo Amarcy

15