Gerência de Redes (diário 2011-1)
Endereço encurtado: http://bit.ly/ger20111
Planejamento
Planejamento realizado coletivamente e em sala.
Cenário
Infraestrutura de rede do IFSC campus São José:
- Espaço dividido entre público e privado para os diversos usuários:
- Técnicos administrativos.
- Professores.
- Alunos.
- Visitantes.
- Comunicação assíncrona e síncrona (tempo real).
- Espaço para troca de dados em forma de arquivos.
- Disponibilidade.
- Segurança.
Objetivo Geral
Análise de cenário como objeto de estudo com proposta de melhoria em Telecomunicações como veículo mais eficiente de comunicação.
Proposta de Trabalho
Abordagem em camadas, conforme RM-OSI, resgatando conceitos vistos em outras disciplinas do curso:
Camada | O que analisar | Disciplinas de base | Tecnologias e Padrões envolvidos | Produto final | |
Física | Espaço físico; Climatização; Energia elétrica; Conectividade. |
Projeto de Redes Metálicas e Ópticas | NBR14565. | Plano de ação. | |
Enlace | Segmentação da rede física em n lógicas; Redundância lógica e prevenção em software de loops; Prioridade para mídias. |
Redes de Computadores II | Ethernet; 802.11; 802.1p; 802.1q; 802.1X; LACP; STP. |
Plano de ação. | |
Rede | Redes de Computadores I Redes de Computadores III |
IPv4; IPv6. |
Plano de ação. | ||
Aplicação | Facilitadores | NTP; DHCP. |
Implementação em servidor virtualizado. | ||
Aplicação | Diretórios | ||||
Aplicação | Bancos de Dados | ||||
Aplicação | Compartilhamento | ||||
Aplicação | Comunicação | ||||
Aplicação | Gerência de Rede |
Desenvolvimento das Atividades
Ambiente de Teste
- Máquinas virtuais do Lab. de Redes II.
Ambiente de Produção
- Modelos dos arquivos de configuração (/etc).
- Modelo do sistema de arquivos.
- Serviços com redirecionamento de porta: servidor ger20111.sj.ifsc.edu.br.
VM | Aluno | No ar? | Redirecionamento de Porta | ||||
SSH | SMTP | DNS | HTTP | HTTPS | |||
01 | Anderson Felisbino | X | 122 | 125 | 153 | 180 | 1443 |
02 | Eduardo de Mello Garcia | X | 222 | 225 | 253 | 280 | 2443 |
03 | Christiane Fernandes Dias e Silva | X | 322 | 325 | 353 | 380 | 3443 |
04 | Felipe Artur Mariano | X | 422 | 425 | 453 | 480 | 4443 |
05 | Glaucio Bertelli Peres | X | 522 | 525 | 553 | 580 | 5443 |
06 | Guilherme Bilbao Soares da Silva | X | 622 | 625 | 653 | 680 | 6443 |
07 | Jean Cesar Beltrame | X | 722 | 725 | 753 | 780 | 7443 |
08 | Michel Fernandes de Lucena | X | 822 | 825 | 853 | 880 | 8443 |
09 | Paulo Sergio Alves | 922 | 925 | 953 | 980 | 9443 | |
10 | Paulo Vitor de Almeida | X | 1022 | 1025 | 1053 | 1080 | 10443 |
11 | Roicenir Girardi Rostirolla | X | 1122 | 1125 | 1153 | 1180 | 11443 |
12 | Zilmar de Souza Junior | X | 1222 | 1225 | 1253 | 1280 | 12443 |
13 | Liamari de Araujo | X | 1322 | 1325 | 1353 | 1380 | 13443 |
14 | Regiane Paiter | X | 1422 | 1425 | 1453 | 1480 | 14443 |
Aulas
24/02 - 03/03: Camada Física
- 24/02: Discussão do tema, destacando as seções do cabeamento estruturado no cenário de estudo:
- Entrada de facilidades, cabeamento vertical e cabeamento horizontal: apenas passivos de rede e cabeamento rígido. Não requer climatização ou energização dos componentes.
- Armário principal e armário de telecom: passivos e ativos de rede, requendo obrigatoriamente climatização, energização e controle de acesso físico ao espaço.
- 01/03: Divisão do trabalho em pequenas equipes, para entrega parcial na próxima aula.
Atividade | Responsável | Facilidades |
Verificar documentação dos pontos de rede. | Christiane e Eduardo | Identificação já realizada pelo Rafael (COINF). |
Identificar pontos de rede sem fio e qualidade do sinal. | Michael e Liamari | |
Identificar os ativos de rede para centralizá-los. | Anderson e Paulo Sérgio | |
Dimensionar demanda de pontos de rede. | Zilmar e Glaucio | Consultar Humberto (COINF). |
Analisar a infraestrutura dos espaços que irão receber os armários. | Paulo Vitor e Roicenir | |
Lançamento de novos cabos: cálculo aproximado de material necessário. | Felipe, Guilherme e Jean | |
Elaboração do documento final do plano de ação. | Regiane |
Foi demandado ao professor a planta baixa do prédio, laboratório para confecção de material, acesso físico aos armários e levantamentos já realizados pela equipe da COINF.
- 03/03: Apresentação do produto parcialmente realizado, resgatando a discussão da rede sem fio e localização dos ativos de rede nos espaços adequados.
Resultado: plano de ação
Documento sob análise dos professores (acesso restrito), o qual contém:
- Análise de planta baixa do projeto original e expansões.
- Projeto elétrico, de preferência circuitos redundantes. [Disponibilidade]
- Cabeamento estruturado e seções.
- Entrada de facilidades: passivos de rede.
- Armário principal: passivos e ativos de rede. Requer cuidados quanto a energização e climatização dos ativos. [Segurança]
- Cabeamento vertical: passivos de rede.
- Armário de telecom: passivos e, no caso particular do IFSC, ativos de rede. Requer cuidados quanto a energização e climatização dos ativos. [Segurança]
- Cabeamento horizontal: passivos de rede.
- Área de trabalho: passivos e ativos de rede (terminais). Pode requerer cuidados quanto a energização e climatização dos ativos.
- Manutenção
- Bandejas e dispositivos de suporte do cabeamento.
- Organização física dos cabeamentos rígido (não visível) e flexível (visível).
- Padrão global de identificação de cabos e de pontos.
- Identificação de cabos.
- Identificação de pontos.
- Áreas de cobertura das redes sem fio.
- Sobreposição das áreas com canais/frequências distintas. [Disponibilidade]
- Áreas de cobertura das redes sem fio.
- Posicionamentos dos ativos nos armários.
- Conexões cruzadas aos pares, viabilizando canais físicos alternativos. [Disponibilidade]
- Mapeamento da demanda reprimida de pontos.
- Cálculo de material para lançamento de novos cabos e instalação de novos pontos.
- Verificação de espaços vagos nos armários e possível remanejamento de pontos.
10/03 - 15/03: Camada de Enlace
- 10/03: discussão sobre as tecnologias envolvidas na Camada de Enlace, com foco na identificação dos usuários e isolamento das redes lógicas, sejam essas com ou sem fio. Já aparecem as primeiras relações entre as camadas. Além disso, as tecnologias definiram sub-redes lógicas com características próprias:
- Espaços privados:
- Armários e sala de servidores: sub-rede lógica própria. Todos os servidores devem implementar LACP para aumento de banda com balanceamento de carga e redundância. Entre os ativos de rede, em particular switches, deve-se implementar LACP e STP para prevenção e recuperação automatizada de falhas.
- Salas administrativas: identificação do usuário por porta no switch para associá-lo a uma das sub-redes: técnico e professor.
- Espaços públicos:
- De ensino: identificação do usuário por porta no switch para associá-lo a uma das sub-redes: professor e aluno.
- De uso comum: identificação do usuário por autenticação (802.1x) para uma das sub-redes: técnico, professor, aluno e visitante.
- Espaços privados:
digraph Rede {
subgraph clusterFísica { label="Física"
"Entrada de facilidades" [shape=Mrecord] "Armário principal" [shape=Mrecord] "Cabeamento vertical" [shape=Mrecord] "Armário de telecom" [shape=Mrecord] "Cabeamento horizontal" [shape=Mrecord] "Área de trabalho" [shape=Mrecord]
"Entrada de facilidades" -> "Armário principal" "Armário principal" -> "Cabeamento vertical" "Cabeamento vertical" -> "Armário de telecom" "Armário de telecom" -> "Cabeamento horizontal" "Cabeamento horizontal" -> "Área de trabalho" }
subgraph clusterEnlace { label="Enlace" "Ethernet" [shape=Mrecord] "802.11" [shape=Mrecord] "802.1p" [shape=Mrecord] "802.1q" [shape=Mrecord] LACP [shape=Mrecord] "802.1D" [shape=Mrecord] "802.1x" [shape=Mrecord]
"802.1q" -> "802.1p" "802.1x" -> "802.1q" [label="por usuário"] "802.11" -> "802.1x" "Ethernet" -> LACP LACP -> "802.1q" "Ethernet" -> "802.1x" "802.1q" -> "802.1D" [label="MSTP"] }
"Pares de cabos + canais distintos" [shape=plaintext,fontcolor=red] "Cabeamento vertical" -> "Pares de cabos + canais distintos" [color=red] "Cabeamento horizontal" -> "Pares de cabos + canais distintos" [color=red] "Pares de cabos + canais distintos" -> "LACP" [color=red] "Pares de cabos + canais distintos" -> "802.1D" [color=red]
"Identificação dos cabos e pontos" [shape=plaintext,fontcolor=red] "Armário principal" -> "Identificação dos cabos e pontos" [color=red] "Armário de telecom" -> "Identificação dos cabos e pontos" [color=red] "Área de trabalho" -> "Identificação dos cabos e pontos" [color=red] "Identificação dos cabos e pontos" -> "802.1q" [color=red,fontcolor=red,label="por porta"]
"Ativos de rede" [shape=plaintext,fontcolor=blue] "Armário principal" -> "Ativos de rede" [color=blue] "Armário de telecom" -> "Ativos de rede" [color=blue] "Ativos de rede" -> "802.1D" [color=blue] "Ativos de rede" -> LACP [color=blue] "Ativos de rede" -> "802.1x" [color=blue] "Ativos de rede" -> "802.1q" [color=blue] "Ativos de rede" -> "802.1p" [color=blue]
"Armário principal" -> LACP [color=green,fontcolor=green,label="servidores"] }
</graphviz>
Resultado: plano de ação
- 802.1q: segmentação da rede.
- VLAN administrativa: 1.
- Guest VLAN: uso temporário, durante o processo de autenticação.
- Padrões de numeração de acordo com o usuário.
- 802.1p: marcação de pacote para qualidade de serviço.
- Altíssima prioridade: VLAN de mídia (VoIP/vídeo).
- Prioridade regular: demais VLANs.
- 802.11: implementação de rede sem fio única (mesmo SSID).
- Em áreas de sobreposição de sinal, adotar alternância dos canais limítrofes(1-6-11).
- Criptografia WPA2-AES.
- AAA: Radius.
- Autenticação centralizada em base de usuários única.
- 802.1x: EAP-TTLS.
- Autorização baseada na VLAN.
- Auditoria de tráfego externo.
- Autenticação centralizada em base de usuários única.
- LACP: balanceamento de carga com redundância de enlace.
- MSTP: Prevenção de loops.
- Definição da hirarquia dos switches.
17/03 - 22/03: Camada de Rede
- 17/03: rápida discussão sobre o uso de IPv4 e IPv6 na instituição - devido a apresentação dos pré-projetos do atual TCC II.
- 22/03: proposto o modelo de dois firewalls para criar duas categorias de rede.
Resultado: plano de ação
- Lan interna com apenas os serviços locais para clientes exclusivamente internos. Trabalhará apenas com IPs internos: faixa 172.16.0.0/12.
- DMZ com os serviços de clientes internos e externos. Usará IPs externos da faixa da RNP: 200.135.37.64/26.
- BDs e Diretórios: rede de acesso controlado, onde apenas os servidores terão acesso aos serviços de diretório e de bancos de dados, ambos utilizados por máquinas da LAN interna e da DMZ.
graph Rede { splines=true rankdir=LR
Internet [shape=plaintext] FW1 [shape=Mrecord,label="1o. Firewall",style=filled, fillcolor="#FFFF66"] DMZ [shape=record,label="<0>DMZ|<1>HTTP|<2>DNS|<3>SIP"] FW2 [shape=Mrecord,label="2o. Firewall",style=filled, fillcolor="#FF6666"] BD [shape=record,label="<0>BDs e Diretórios|<1>LDAP|<2>SQL"] LAN [shape=record,label="<0>LAN interna|<1>DHCP|<2>SMB|<3>CUPS|<4>RADIUS"]
Internet -- FW1 [color=blue] FW1 -- DMZ:0 [color=blue] FW1 -- FW2 [color=blue] FW2 -- BD:0 [color=blue] FW2 -- LAN:0 [color=blue] }
</graphviz>24/03 - 31/03: Camada de Aplicação: Facilitadores
- 24/03: antes de começar a falar sobre serviços propriamente, foram revistos alguns conceitos de sistemas operacionais - alguns com mais de 30 anos e ainda em uso. Depois, focou-se em processos especiais, os daemons, e sua aplicação nos serviços locais e de rede. Particularmente, três tipos serviços foram comentados (e serão vistos em detalhes na próxima aula):
- Rotinas: várias ações podem e devem ser automatizadas em ambientes complexos como sistemas operacionais (multiusuário, multiprocesso e multidados). Portanto, uma condição essencial para o funcionamento desses sistemas modernos são as tarefas periódicas automatizadas: manutenção, atualização, reciclagem, etc.. Uma implementação nos sistemas UNIX é o cron.
- Auditoria: embora ainda seja prematuro usar o termo auditoria em sua plenitude, podemos já entender o sistema multiusuário como um ambiente em que é preciso monitorar o ambiente para evitar sobrecarga e abusos. Uma das soluções para essa demanda é o Syslog.
- Hora certa: agendar tarefas e auditar um sistema são dois exemplos em que a hora certa é condição essencial para o seu bom funcionamento. Historicamente, o protocolo NTP tem sido largamente utilizado para sicronizar relógios em rede. Tem-se, portanto, a primeira relação de dependência entre os serviços:
digraph Serviços { subgraph clusterRede { label="Rede" "Hora certa" [shape=Mrecord]
subgraph clusterSO { label="Sistema Operacional" Rotinas [shape=Mrecord] Auditoria [shape=Mrecord] } } "Hora certa" -> Rotinas "Hora certa" -> Auditoria }
</graphviz>* 29/03: visão mais detalhada dos 3 serviços mencionados na aula anterior, associando pela primeira vez sistemas operacionais e redes de computadores.
- 31/03: visto o protocolo DHCP e suas interrelações com outros protocolos. Atualizada a dependência entre os serviços:
digraph Serviços { subgraph clusterRede { label="Rede" DHCP [shape=Mrecord] "Hora certa" [shape=Mrecord]
subgraph clusterSO { label="Sistema Operacional" Rotinas [shape=Mrecord] Auditoria [shape=Mrecord] } } DHCP -> "Hora certa" "Hora certa" -> Rotinas "Hora certa" -> Auditoria }
</graphviz>Resultado: implementação
A primeira tarefa prática da disciplina consiste em implementar, na máquina virtualizada particular:
- Configuração da segunda interface de rede Ethernet para operar no modo trunking, habilitando desde já as VLANs 1 (administrativa) e 100(Guest VLAN), as quais serão usadas em (futuras) aplicações nesta disciplina.
- Para a VLAN 1, deve-se utilizar a sub-rede 10.0.0.0/28, seguindo a mesma ordem de endereçamento da primeira interface.
- Manter sincronizada a hora certa com o servidor ger20111.sj.ifsc.edu.br em regime integral.
- Verificar, periodicamente, se o serviço NTP está rodando. Caso não esteja, deve-se (re)iniciá-lo, gerando em seguida um registro no sistema (log) notificando a ação automatizada. Por fim, deve estar disponível, na linha de comandos, um script shell denominado hora que listará:
- Quantas vezes o relógio foi ajustado no dia corrente;
- Quantas vezes o serviço apresentou problemas e foi (re)iniciado no mês corrente.
Essa tarefa será avaliada durante todo o perído entre os dias 10/04/2010 e 10/04/2010. Poderão ser realizadas várias inspeções, a fim de comprovar a disponibilidade das tarefas implementadas.
05/04 - 14/04: Camada de Aplicação: Diretórios
- 05/04: vistos os conceitos básicos de DNS.