Endereço encurtado: http://bit.ly/pi20121

Sobre o Projeto

Neste semestre o Projeto Integrador será a implantação da rede de computadores de uma empresa que possui matriz e filial em diferentes cidades. Tanto a matriz quanto a filial possuem um link para Internet, o qual pode ser do tipo SHDSL com linha dedicada, ou ADSL empresarial (com IP fixo). Os links para Internet são fornecidos por um provedor, que no projeto será mantido pelos professores, porém cada empresa deve ser responsável por configurar sua parte do link. Dentro da rede de cada empresa deverão ser implantados alguns serviços, cuja manutenção e monitoramento deve ser feita de forma mais automática possível. A estrutura típica da rede de uma empresa pode ser vista na figura abaixo:

Rede da empresa

No caso da rede da matriz, sua estrutura se compõe de alguns segmentos para facilitar a organização e a gerência da rede. A figura abaixo apresenta os segmentos da rede da matriz, havendo um para servidores, outro para computadores de usuários, e um terceiro para computadores que acessam a rede sem-fio. No entanto, deve-se observar que a topologia física da rede da matriz foi implantada como mostrado na figura anterior (isso é, usando um único switch).

Segmentação da rede da matriz

Dentro da rede da empresa existem aplicações de uso exclusivamente interno, tais como seu ERP, backup remoto e monitoramento de equipamentos e serviços feito pela gerência de redes. Os dados dessas aplicações precisam fluir entre matriz e filial, porém não existe um enlace dedicado entre essas unidades da empresa. No entanto, como existem enlaces para acesso a Internet, esses dados podem trafegar pela rede pública. Para evitar que sejam indevidamente copiados ou modificados durante sua passagem pela rede pública, optou-se por implantar uma VPN entre matriz e filial, como exemplificado abaixo:

VPN entre matriz e filial

Datas Importantes

• Início do projeto: 15/06/2012.
• Entrega Física, Enlace e Rede: 10/07/2012.
• Apresentação final e entrega da camada de Aplicação: 11/07/2012.

Equipes

Equipe	Equipe 1	Equipe 2	Equipe 3	Equipe 4
Subdomínio	traveller.sj.ifsc.edu.br	vacasmalhadas.sj.ifsc.edu.br	teleifsc.sj.ifsc.edu.br	rapeizetelecom.sj.ifsc.edu.br
IPs válidos	200.135.37.95 (matriz) 200.135.37.99(filial)	200.135.37.96(matriz) 200.135.37.100(filial)]	200.135.37.97(matriz) 200.135.37.101(filial)]	200.135.37.98(matriz) 200.135.37.102(filial)]
Servidor DNS	ns1.traveller.sj.ifsc.edu.br (200.135.37.95)	ns1.vacasmalhadas.sj.ifsc.edu.br (200.135.37.96)	ns1.teleifsc.sj.ifsc.edu.br (200.135.37.97)	ns1.rapeizetelecom.sj.ifsc.edu.br (200.135.37.98)
Alunos	Leonardo Mauricio de Farias	Vinicio Miranda Covalski	Anderson Rosa	Rafael Candido de Souza
	Kleiton Carlos de Souza	Filipe Carlos Soares	Gabriel Wagner Goncalves	Fernando Joao dos Santos
	Vinicius Antonio Hames	Rodrigo Rosa de Sousa	Ismael Rodrigo Wazlawick	Mauricio Candido de Souza
	Robson de Carvalho	Cleidiane Rocha de Oliveira	Michel Patricio Machado	Andrei Luiz Fernando
	Tiago J. Martins

Orientação e Material de Apoio

As equipes devem publicar relatórios de suas atividades em suas respectivas páginas da wiki.

• Equipe 1
• Equipe 2
• Equipe 3
• Equipe 4

O relatório deve conter:

1. as atividades realizadas a cada dia, como um "diário de bordo"
2. um relatório de todo o projeto, que será apresentado aos professores ao final do projeto. Esse relatório deve conter todas as informações necessárias para que uma outra equipe técnica possa reproduzir o projeto.

Cabeamento Estruturado

Em relação ao cabeamento estruturado o projeto terá suas atividades concentradas na instalação da rede da filial. Deverá ser instalada uma infraestrutura de telecom que atenda os seguintes aspectos:

• CD com disponibilidade para a entrada da conexão externa de telefonia e ADSL, fixação do acess point e do servidor da filial, blocos de conexão para três pontos de telecom e o espelhamento do tronco e de três ramais da central telefônica.
• Cabeamento secundário dos três pontos de telecom.
• Tomadas para os pontos de telecom.
• Todo o cabeamento deverá estar devidamente identificado (portas de patch panel, cabos, tomadas, ...)
• Em trabalho conjunto de todas as equipes deverão ser conectados 4 ramais de uma central no DSLAM, a conexão desses ramais deverá ser realizada com conexão cruzada.
• Em trabalho conjunto de todas as equipes um dos ramais da central conectada ao DSLAM deverá estar disponível para acesso em porta de patch panel próxima ao DSLAM.

Produto a entregar

Ao final do projeto cada equipe deverá entregar:

• A instalação física funcionando e devidamente identificada.

Bibliografia

• CAETANO, Saul S. [1]. São José: IFSC. 2011.

• COELHO, Paulo Eustáquio. Projetos de Redes Locais com Cabeamento Estruturado . 1a ed.. Belo Horizonte: Instituto OnLine, 2003. ISBN 85-903489-1-1 BC IF-SC/SJ
• PRESCHER, Cesar Henrique Estudo e projeto para o provimento seguro de uma infra-estrutura de rede sem fio 802.11 Arquivo:Cesar-2009-2.pdf

Instalação de Equipamentos de Rede

No escopo de IER, cada equipe deve implantar os links de acesso (ADSL ou SHDSL), os roteadores e as redes locais de matriz e filial de sua empresa. Como apresentado na introdução do projeto, tanto matriz quanto filial possuem um único link para Internet. Além disso, a rede da matriz possui uma estrutura um pouco mais elaborada, sendo composta por três segmentos (cada um com sua subrede), e um deles inclui uma rede local sem-fio.

A rede sem-fios deve autenticar individualmente os usuários, ficando a critério da equipe o uso de WPA-EAP ou portal de captura.

As subredes da matriz deve usar endereços IP não-roteáveis (ver RFC 1918), ficando a cargo de cada equipe escolher as faxias de endereços a serem adotadas. Deve-se observar somente que cada subrede deve ser capaz de endereçar ao menos 60 equipamentos.

A estrutura do provedor

O provedor foi implantado pelo professor, e está em funcionamento. Sua estrutura foi criada para prover os links ADSL e SHDSL para as filiais e matrizes das empresas das equipes, além dos links redundantes sem-fio. As equipes não precisarã configurar os equipamentos do provedor, tampouco alterar sua estrutura. A figura abaixo mostra a rede do provedor, para que se tenha uma ideia de como foi implantado.

A estrutura do provedor

Os links ADSL

Cada link ADSL deve ter seu IP manualmente configurado, o qual deve ser um IP válido fornecido à empresa pelo provedor.

Os seguintes parâmetros dos roteadores ADSL devem ter estes valores:

• Port: 0
• VPI: 8
• VCI: 35

• Uma introdução a links ADSL e PPPoE

Os links SHDSL

Existem somente dois links SHDSL, portanto na próxima aula (03/06) será feito um sorteio para escolher quem os usará.

Os links SHDSL devem OBRIGATORIAMENTE ser feitos entre laboratórios de Redes 1 e Meios, usando um par metálico cada e operando a 2 Mbps. Sobram então dois outros pares para os demais links, que devem ser do tipo ADSL.

Cada link será feito usando um roteador Cisco 1700 ou 2500. Ambos roteadores estão sobre o armário, do lado direito do rack central no laboratório de Redes 1, acompanhados de seus cabos V.35 e fonte (no caso do Cisco 1700). Ao lado dos roteadores estão os modems SHDSL em seus gabinetes. Esses equipamentos deverão ser instalados no laboratório de Meios, de forma a implantarem o acesso a Internet para as filiais das empresas das equipes sorteadas.

Equipes sorteadas: 2 e 3

O roteador e modems do provedor estão no laboratório de Redes 1, dentro do rack da direita. O roteador já está na rede da escola, e suas interfaces seriais estão conectadas aos gabinetes dos modems. O roteador está pronto para estabelecer links PPP pelas suas portas seriais. Os modems estão configurados como NTU, com relógio interno, LP1 (1 par de fios) e 2 Mbps. No entanto, falta conectar os pares metálicos em seus gabinetes - cada equipe sorteada deve assim aparafusar seu par metálico no gabinete do seu modem.

IMPORTANTE: configuração do modem SHDSL na ponta do lado da empresa:

• 1 par de fios (LP1)
• 2 Mbps
• LTU
• Relógio regenerado

• Lembrando a aula sobre modems SHDSL e roteadores

O link redundante sem-fio

Tanto a rede da matriz quanto da filial devem possuir um link sem-fio redundante para acesso a Internet. Assume-se portanto que o provedor forneça esse tipo de link, e a empressa possa usá-lo quando achar conveniente. Sua finalidade é oferecer uma alternativa de acesso quando o link principal estiver inoperante. Na ocorrência desse evento, o link redundante sem-fio deve ser ativado automaticamente e com atraso máximo de ativação de XX segundos. Quando o link principal for restabelecido, o acesso a Internet deve voltar a usá-lo, respeitando-se o atraso máximo de ativação.

No projeto, o link redundante será do tipo WiFi, com SSID=PI20121. O provedor manterá cobertura nas áreas onde residem matriz e filial da empresa, bastando que um equipamento dentro de cada uma dessa redes possua uma interface de rede sem-fio devidamente configurada. O acesso sem-fio deve ser feito usando WPA-PSK, com chave eop2mdz1ch.

A rede sem-fios

• Lembrando a aula sobre rede sem-fios

A rede local sem-fio na matriz deve ser implantada com um AP que autentique os usuários usando WPA-EAP (WPA Enterprise) com EAP TTLS, ou use um portal de captura, tal como NoCat ou ZeroShell. Essa escolha fica a critério de cada equipe.

No caso de se adotar WPA-EAP, é preciso implantar uma infraestrutura de autenticação com Radius. Para ativá-la deve-se fazer o seguinte:

1. Instalar um AP e configurá-lo com Segurança do tipo WPA-EAP. Deve-se informar o endereço IP, port UDP (usualmente 1812 para autenticação e 1813 para contabilização) e segredo (secret, uma senha compartilhada) do servidor Radius a ser instalado.
2. O servidor Radius deve ser configurado para aceitar pedidos de autenticação vindos do AP (ver /etc/freeradius/clients.conf ... e lembrar de reiniciar o Radius após modificar esse arquivo).
3. O servidor Radius deve ser configurado para fazer autenticação eap do tipo ttls. Ler o arquivo /etc/freeradius/eap.conf para entender como se faz isso. Há também no site do Freeradius uma boa documentação.
4. Para testar o funcionamento do WPA-EAP pode-se usar um laptop com um supplicant. O wpa_supplicant usado no Linux dá conta do recado.

Se for escolhido o portal de captura, é necesssário fazer o seguinte:

1. Instale um computador (ou aproveite um dos servidores da matriz) para servir de portal de captura, que deve ser disposto entre o segmento da rede sem-fio e a LAN da matriz. Nesse computador deve ser instalado o NoCat ou o ZeroShell.
2. Configure o portal de captura:

NoCat

O NoCat é um software a ser instalado em um sistema Linux, como por exemplo Ubuntu Server. Download do NoCat (código fonte corrigido para Linux 2.6) Documentação completa do NoCat (leitura fortemente recomendada !) Guia rápido de instalação do NoCat (em português) Observação importante: o NoCat tem um bug que o impede de detectar a última interface de rede (aquela que aparece por último quando se faz um ifconfig -a). Para contornar isto, faça com que a interface que dá acesso à rede sem-fio não apareça por último. Nem que se crie uma interface virtual fake (que não é usada) para aparecer por último. Módulo Perl Net::Netmask: módulo necessário para o NoCat, o qual pode ser instalado com sudo apt-get install libnet-netmask-perl. Pode-se instalá-lo também compilando diretamente seu código fonte de acordo com as instruções abaixo: tar xzf Net-Netmask-1.9015.tar.gz cd Net-Netmask-1.9015 perl Makefile-PL make install

ZeroShell

O ZeroShell é uma distribuição Linux especial, a qual deve ser instalada em um computador. Download do ZeroShell. Note que se trata de uma imagem ISO, e para instalá-la deve-se queimar um CD ou copiá-la para um pendrive USB (nesse caso, use usb-creator-gtk no Ubuntu). Após instalar o ZeroShell, siga sua documentação para a ativação de um hotspot.

A figura abaixo exemplifica uma rede em que se usa portal de captura para controle de acesso. O servidor de autenticação é meramente ilustrativo, pois ele pode estar embutido no próprio portal de captura, ou mesmo em um servidor fora da rede.

Equipamentos a serem utilizados

Cada equipe receberá os seguintes equipamentos:

• 01 Access Point Edimax EW-7209 APg
• 01 Roteador Cisco 1700 ou 2500 + 01 Modem SHDSL Digitel DT-2048 (se link da matriz for SHDSL), OU 01 roteador ADSL D-Link 500 B, caso o link da matriz seja do tipo ADSL.
• 01 roteador ADSL D-Link 500-B para o link da filial.
• 02 computadores para serem usados como servidores
• 01 interface de rede sem-fio IEEE 802.11g.
• 01 switch gerenciável ??? para a rede da matriz.

Além disso, 01 switch D-Link DES-35262 será compartilhado entre as equipes para as redes das filiais.

Os pontos de rede das filiais devem ser instalados no Laboratório de Meios. A rede da matriz deve ficar no laboratório de Redes 1.

Produto a entregar

Relatório contendo:

1. Diagrama da rede implantada (use o software dia ou o Visio).
2. Descrição de como foi atendido cada requisito do projeto
3. Descrição das configurações feitas em cada equipamento, de forma a poderem ser reproduzidas por qualquer pessoa com formação técnica.

Bibliografia

• Manual switch DES-3526
• Manual roteador ADSL D-Link DSL-500B
• Site oficial wpa_supplicant
• Site oficial do Freeradius
• Tutorial da interface CLI de roteadores Cisco
• Manual do modem SHDSL DT-2048
• Manual do Access Point Edimax EW-7209 APg
• Site oficial do ZeroShell
• Site oficial do NoCat

Programação para Redes de Computadores

Para este projeto, a programação será entendida como os processos automatizados ligados à configuração e manutenção dos servidores da rede, bem como seus serviços oferecidos.

Produtos a entregar

Como resultado final, devem ser entregues os seguintes produtos:

1. Programa que automatiza a instalação de todos os serviços mencionados em Gerência de Redes: aplicação e arquivos de configuração. Essa etapa é bastante semelhante ao desenvolvido na disciplina, porém deve ser refinado de modo a atender às novas demandas.
2. Programa que realiza o backup automático entre matriz e filial e gera relatório, entregue via email, da ação: data, tamanho do backup, arquivos copiados e possíveis falhas (arquivos não copiados, não encontrados e outros).
3. Programa que automatiza a alternância entre matriz e filial dos serviços DNS (apenas uso interno), SMTP (apenas envio de mensagens para outros MTAs) e RADIUS. Ou seja, havendo falha no servidor da matriz, os serviços mencionados deverão ser assumidos pela filial, bem como o retorno à matriz em caso de recuperação das operações. Isso implica um sub-produto:
   1. Testador de disponibilidade de servidores e de serviços, além de backup e VPN, com disparo de ações de correção/alternância em caso de falha.

Bibliografia

• JARGAS, M. A. Shell Script. 2012.
• NEVES, J. Papo de Botequim. 2012.

Gerência de Redes

• Instalar e configurar dois servidores ubuntu linux (Ubuntu) um na matriz e outro na filial.
• Instalar o servidor DNS (Bind9) na matriz. Configurar para responder pelos seguintes domínios (cada grupo o seu):
  • nomeempresa.sj.ifsc.edu.br
• Instalar um servidor de emails (Postfix) na matriz. Configurá-lo para responder pelo respectivo domínio. Um usuário deve enviar e receber emails acessando sua conta no servidor. Usar criptografia na autenticação do usuário. Crie alguns usuários para fazer o teste (emails entre usuários e para outra conta externa).
• Instalar e configurar um servidor DHCP para as subredes da matriz (sem fio, servidores e PCs).
• Instalar e configurar um servidor de arquivos na matriz (Samba). Um usuário em qualquer rede (matriz ou filial) pode montar o seu home do servidor.
• Instalar e configurar um servidor de backup (secundário) na filial. Esse servidor deverá efetuar backups periódicos dos dados do servidor da matriz (sincronização de dados) de forma automatizada.
• Instalar e configurar um servidor Radius (FreeRadius) na rede da matriz para fazer a autenticação dos usuários da rede sem fio.
• Implementar um controle de acesso simples (com iptables) no servidor da matriz.

Bibliografia

• DNS Bind
• Postfix
• Postfix
• Apache
• Apache
• Apache
• Apache
• DHCP
• DHCP com VLAN
• DHCP com VLAN
• Radius