Projeto da Topologia da Rede

Uma topologia um mapa de uma rede que indica segmentos de rede (redes de camada 2), pontos de interconexo e comunidades de usurios Queremos projetar a rede logicamente e no fisicamente

Identificam-se redes, pontos de interconexo, o tamanho e alcance de redes e o tipo de dispositivos de interconexo No lidamos (ainda) com tecnologias especficas, dispositivos especficos, nem consideraes de cabeamento Nosso objetivo projetar uma rede segura, redundante e escalvel

Projeto hierrquico de uma rede

Antigamente, usava-se muito uma rede com estrutura chamada Collapsed Backbone

Toda a fiao vai das pontas para um lugar central (conexo estrela) O nmero de fios no era problemtico quando as pontas usavam "shared bandwidth" com cabo coaxial em vez de hubs ou switches Oferece facilidade de manuteno Ainda bastante usado Hoje, com rede maiores, usa-se cada vez mais uma estrutura hierrquica

Um modelo hierrquico ajuda a desenvolver uma rede em pedaos, cada pedao focado num objetivo diferente Um exemplo de uma rede hierrquica aparece abaixo As 3 camadas mostradas: Camada core: roteadores e switches de alto desempenho e disponibilidade Camada de distribuio: roteadores e switches que implementam polticas Camada de acesso: conecta usurios com hubs e switches

Por que usar um modelo hierrquico?

Uma rede no estruturada (espaguete) cria muitas adjacncias entre equipamentos

Ruim para propagao de rotas Uma rede achatada (camada 2) no escalvel devido ao broadcast

Minimiza custos, j que os equipamentos de cada camada sero especializados para uma determinada funo Exemplo: Usa switches rpidos no core block, sem features adicionais Mais simples de entender, testar e consertar Facilita mudanas, j que as interconexes so mais simples A replicao de elementos de torna mais simples Permite usar protocolos de roteamento com "sumarizao de rotas" Comparao de estrutura hierrquica com a plana para a WAN Pode-se usar um loop de roteadores

OK para redes pequenas Para redes grandes, o trfego cruza muitos hops (atraso mais alto) Qualquer quebra fatal

Roteadores redundantes numa hierarquia do:

o

Mais escalabilidade Mais disponibilidade Atraso mais baixo

Comparao de estrutura hierrquica com plana para a LAN

O problema bsico que um domnio de broadcast grande reduz significativamente o desempenho Com uma rede hierrquica, os equipamentos apropriados so usados em cada lugar

Roteadores (ou VLANs e switches de camada 3) so usados para delimitar domnios de broadcast Switches de alto desempenho so usados para maximizar banda passante Hubs so usados onde o acesso barato necessrio Topologias de full-mesh e mesh hierrquica A full-mesh oferece excelente atraso e disponibilidade mas muito cara

Uma alternativa mais barata uma mesh parcial Um tipo de mesh parcial a mesh hierrquica, que tem escalabilidade mas limita as adjacncias de roteadores Para pequenas e mdias empresas, usase muito a topologia hub-and-spoke

Topologia Full Mesh

Topologia Mesh Parcial

Topologia Hub-and-Spoke

O modelo hierrquico clssico em 3 camadas

Permite a agregao (juno) de trfego em trs nveis diferentes um modelo mais escalvel para grandes redes corporativas Cada camada tem um papel especfico

Camada core: prov transporte rpido entre sites Camada de distribuio: conecta as folhas ao core e implementa polticas

Segurana Roteamento Agregao de trfego Camada de acesso Numa WAN, so os roteadores na borda do campus network Numa LAN, prov acesso aos usurios finais

A camada core Backbone de alta velocidade A camada deve ser projetada para minimizar o atraso Dispositivos de alta vazo devem ser escolhidos, sacrificando outros features (filtros de pacotes, etc.) Deve possuir componentes redundantes devida sua criticalidade para a interconexo O dimetro deve ser pequeno (para ter baixo atraso) LANs se conectam ao core sem aumentar o dimetro A conexo Internet feita na camada core A camada de distribuio Tem muito papeis Controla o acesso aos recursos (segurana) Controla o trfego que cruza o core (desempenho) Delimita domnios de broadcast

Isso pode ser feito na camada de acesso tambm Com VLANs, a camada de distribuio roteia entre VLANs Interfaceia entre protocolos de roteamento que consomem muita banda passante na camada de acesso e protocolos de roteamento otimizados na camada core

Exemplo: sumariza rotas da camada de acesso e as distribui para o core Exemplo: Para o core, a camada de distribuio a rota default para a camada de acesso Pode fazer traduo de endereos, se a camada de acesso usar endereamento privativo Embora o core tambm possa usar endereamento privativo A camada de acesso Prov acesso rede para usurios nos segmentos locais Frequentemente usa apenas hubs e switches

Guia para o projeto hierrquico de uma rede

Controle o dimetro da topologia inteira, para ter atraso pequeno Mantenha controle rgido na camada de acesso

aqui que departamentos com alguma independncia implementam suas prprias redes e dificultam a operao da rede inteira Em particular, deve-se evitar:

Chains (adicionando uma quarta camada abaixo da camada de acesso)

Causam atrasos maiores e dependncias maiores de trfego Chains podem fazer sentido para conectar mais um pais numa rede corporativa Portas-dos-fundos (conexes entre dispositivos para mesma camada) Causam problemas inesperados de roteamento

Projete a camada de acesso primeiro, depois a camada de distribuio, depois o core

Facilita o planejamento de capacidade

Topologias redundantes no projeto de uma rede

A disponibilidade obtida com a redundncia de enlaces e dispositivos de interconexo O objetivo eliminar pontos nicos de falha, duplicando qualquer recurso cuja falha desabilitaria aplicaes de misso crtica Pode duplicar enlaces, roteadores importantes, uma fonte de alimentao

Em passos anteriores, voc deve ter identificado aplicaes, sistemas, dispositivos e enlaces crticos Para dispositivos muito importantes, pode-se considerar o uso de componentes "hotswappable" A redundncia pode ser implementada tanto na WAN quanto na LAN H obviamente um tradeoff com o custo da soluo

Caminhos alternativos
Para backupear enlaces primrios Trs aspectos so importantes

Qual deve ser a capacidade do enlace redundante?

frequentemente menor que o enlace primrio, oferecendo menos desempenho Pode ser uma linha discada, por exemplo

Em quanto tempo a rede passa a usar o caminho alternativo Se precisar de reconfigurao manual, os usurios vo sofrer uma interrupo de servio Failover automtico pode ser mais indicado Lembre que protocolos de roteamento descobrem rotas alternativas e switches tambm (atravs do protocolo de spanning tree) O caminho alternativo deve ser testado! No espere que uma catstrofe para descobrir que o caminho alternativo nunca foi testado de no funciona! Usar o caminho alternativa para balanceamento de carga evita isso

Consideraes especiais para o projeto de uma topologia de rede de campus

Os pontos principais a observar so: Manter domnios de broadcast pequenos Incluir segmentos redundantes na camada de distribuio Usar redundncia para servidores importantes Incluir formas alternativas de uma estao achar um roteador para se comunicar fora da rede de camada 2

LANs virtuais
Uma LAN virtual (VLAN) nada mais do que um domnio de broadcast configurvel VLANs so criadas em uma ou mais switches Usurios de uma mesma comunidade so agrupados num domnio de broadcast independentemente da cabeao fsica

Isto , mesmo que estejam em segmentos fsicos diferentes Esta flexibilidade importante em empresas que crescem rapidamente e que no podem garantir que quem participa de um mesmo projeto esteja localizado junto Uma funo de roteamento (noemalmente localizada dentro dos switches) usada para passar de uma VLAN para outra Lembre que cada VLAN uma "rede de camada 2" e que precisamos passar para a camada 3 (rotear) para cruzar redes de camada 2 H vrias formas de agrupar os usurios em VLANs, dependendo das switches usadas Baseadas em portas do switches Baseadas em endereos MAC Baseadas em subnet IP Baseadas em protocolos (IP, NETBEUI, IPX, ...) VLAN para multicast

VLAN criada dinamicamente pela escuta de pacotes IGMP (Internet Group Management Protocol)

VLANs baseadas em polticas gerais (com base em qualquer informao que aparece num quadro) Baseadas no nome dos usurios Com ajuda de um servidor de autenticao

Segmentos redundantes de LAN

Enlaces redundantes entre switches s desejveis para aumentar a disponibilidade Laos so evitados usando o protocolo Spanning Tree (IEEE 802.1d) Isso fornece redundncia mas no balanceamento de carga

O protocolo Spanning Tree corta enlaces redundantes (at que sejam necessrios)

Redundncia de servidores

Servidor DHCP Se usar DHCP, o servidor DHCP se torna crtico e pode ser duplicado Em redes pequenas, o servidor DHCP colocado na camada de distribuio onde pode ser alcanado por todos Em redes grandes, vrios servidores DHCP so colocados na camada de acesso, cada um servindo a uma frao da populao

Evita sobrecarga de um nico servidor

DHCP funciona com broadcast Somos obrigados a colocar um servidor DHCP para cada domnio de broadcast?

No, se utilizar uma funo do roteador de encaminhar broadcast DHCP para o servidor de broadcast (cujo endereo foi configurado no servidor) Servidor DNS O servidor DNS crtico para mapear nomes de mquinas a endereos IP Por isso, frequentemente duplicado

Redundncia estao-roteador
Para obter comunicao fora da rede de camada 2 imediata, uma estao precisa conhecer um roteador Como implementar redundncia aqui? O problema bsico que o IP do roteador que a estao conhece frequentemente configurado manualmente ("parafusado") em cada estao H algumas alternativas Alternativa 1: Proxy ARP

A estao no precisa conhecer roteadore nenhum Para se comunicar com qualquer mquina (mesmo remota), a estao usa ARP

O roteador responde com seu prprio endereo MAC Proxy ARP pouco usado porque nunca foi padronizado Alternativa 2: DHCP DHCP pode infromar mais coisas do que apenas o endereo IP da estao Pode informar o roteador a usar (ou at mais de um roteador) Alternativa muito usada Alternativa 3: Hot Standby Router Protocol (HSRP) da Cisco uma alternativa proprietria, mas a IETF est padronizando algo semelhante chamado Virtual Router Redundancy Protocol (VRRP) HSRP cria um roteador fantasma (que no existe de verdade) e vrios roteadores reais, um dos quais est ativo, os outros em standby Os roteadores reais conversam entre si para saber qual o roteador ativo O roteadore fantasma tem um endereo MAC e os roteadores reais podem aceitar quadros de um bloco de endereos MAC, incluindo o endereo MAC do fantasma O roteador fantasma (que nunca quebra!) o roteador default das estaes Quando uma estao usa ARP para descobrir o MAC do fantasma, o roteador ativa, responde (com o MAC do fantasma) Mas quem realmente atende a este endereo MAC o roteador ativo

Se o roteador ativo mudar, nada muda para a estao (continua conversando com o roteador fantasma)

Consideraes especiais para o projeto de uma topologia de rede corporativa

Consideraes especiais sobre: Segmentos redundantes de WAN Conexes mltiplas Internet Redes Privativas Virtuais (VPN) para montar redes corporativas baratas

Segmentos redundantes de WAN

Uso de uma mesh parcial normalmente suficiente Cuidados especiais para ter diversidade de circuito

Se os enlaces redundantes usam a mesma tecnologia, so fornecidos pelo mesmo provedor, passam pelo mesmo lugar, qual a probabilidade da queda de um implicar na queda de outro? Discutir essa questo com o provedor importante

Conexes mltiplas Internet

H 4 alternativas bsicas para ter acesso mltiplo Internet

Opo A

Vantagens

Backup na WAN Baixo custo Trabalhar com um ISP pode ser mais fcil do que trabalhar com ISPs mltiplos Desvantagens No h redundncia de ISPs Roteador um ponto nico de falha Supe que o ISP tem dois pontos de acesso perto da empresa Opo B Vantagens Backup na WAN Baixo custo Redundncia de ISPs Desvantagens Roteador um ponto nico de falha Pode ser difcil trabalhar com polticas e procedimentos de dois ISPs diferentes Opo C Vantagens Backup na WAN Bom para uma empresa geograficamente dispersa Custo mdio Trabalhar com um ISP pode ser mais fcil do que trabalhar com ISPs mltiplos Desvantagens No h redundncia de ISPs Opo D Vantagens

Backup na WAN Bom para uma empresa geograficamente dispersa Redundncia de ISPs Desvantagens Alto custo Pode ser difcil trabalhar com polticas e procedimentos de dois ISPs diferentes As opes C e D merecem mais ateno O desempenho pode frequentemente ser melhor se o trfego ficar na rede corporativa mais tempo antes de entrar na Internet Exemplo: pode-se querer que sites europeus da empresa acessem a Internet pelo roteador de Paris mas acessem sites norte-americanos da empresa pelo roteador de New York A configurao de rotas default nas estaes (para acessar a Internet) pode ser feita para implementar essa poltica Exemplo mais complexo: Queremos que sites europeus da empresa acessem sites norte-americanos da Internet pelo roteador de New York (idem para o roteador de Paris sendo usado para acessar a Internet europia pelos sites norte-americanos da empresa) Fazer isso mais complexo, pois os roteadores da empresa devero receber rotas do ISP

Exemplo mais complexo ainda: trfego que vem da Internet para sites norteamericanos da empresa devem entrar na empresa por New York (idem para Paris) Neste caso, a empresa dever anunciar rotas para a Internet Observe que, para evitar que a empresa se torne um transit network, apenas rotas da prpria empresa devem ser anunciados!

Redes privativas virtuais

Redes privativas virtuais (VPN) permitem que um cliente utilize uma rede pblica (a Internet, por exemplo) para acessar a rede corporativa de forma segura

Toda a informao criptografada Muito til para montar uma extranet (abrir a intranet para parceiros, clientes, fornecedores, ...) Muito til para dar acesso a usurios mveis da empresa Soluo muito usada quando a empresa pequena e tem restries de oramento para montar a rede corporativa A tcnica bsica o tunelamento O protocolo bsico Point-to-Point Tunneling Protocol (PPTP)

Topologias de rede para a segurana

Falaremos mais de segurana adiante

Por enquanto, queremos ver os aspectos topolgicos da questo

Planejamento da segurana fsica

Verificar onde os equipamentos sero instalados Preveno contra acesso no autorizado, roubo fsico, vandalismo, etc.

Topologias de firewalls para alcanar requisitos de segurana

Um firewall um sistema que estabelece um limite entre duas ou mais redes Pode ser implementado de vrias formas

Simples: um roteador com filtro de pacote Mais complexo: software especializado executando numa mquina UNIX ou Windows NT Serve para separar a rede corporativa da Internet A topologia mais bsica usa um roteador com filtro de pacote S suficiente para uma empresa com poltica de segurana muito simples

A tabela de filtragem de pacotes poderia ser como segue

A primeira regra que casa com cada pacote examinado aplicada

Host Porta Porta Host remoto local local remota Nega * * mau.ladrao.com * Permite mailserver 25 * * Permite * * * 25 Nega * * * * Ao

Para melhorar as coisas, pode-se usar endereamento privativo na rede corporativa

Uso de Network Address Translation (NAT) implementada no roteador para acessar a Internet; ou Uso de um proxy para certos servios (web, ftp, ...) Para empresas que precisam publicar informao na Internet (Web, DNS, FTP, ...), pode-se ter algumas mquinas na Internet, numa rea chamada Demilitarized Zone (DMZ) Os hosts tm que ser muito bem protegidos contra invases (Bastion Hosts) Um firewall especializado pode ser includo

Fornece uma boa GUI e aes especiais para implementar a poltica de segurana H duas topologias bsicas Com um roteador Com dois roteadores

Topologia com 1 roteador e firewall dedicado

Topologia com 2 roteadores filtrando pacotes

logico-1 programa prxima