Projeto da Topologia da Rede

  • Uma topologia é um mapa de uma rede que indica segmentos de rede (redes de camada 2), pontos de interconexão e comunidades de usuários
  • Queremos projetar a rede logicamente e não fisicamente
    • Identificam-se redes, pontos de interconexão, o tamanho e alcance de redes e o tipo de dispositivos de interconexão
    • Não lidamos (ainda) com tecnologias específicas, dispositivos específicos, nem considerações de cabeamento
  • Nosso objetivo é projetar uma rede segura, redundante e escalável

Projeto hierárquico de uma rede

  • Antigamente, usava-se muito uma rede com estrutura chamada Collapsed Backbone
    • Toda a fiação vai das pontas para um lugar central (conexão estrela)
    • O número de fios não era problemático quando as pontas usavam “shared bandwidth” com cabo coaxial em vez de hubs ou switches
    • Oferece facilidade de manutenção
    • Ainda é bastante usado
  • Hoje, com rede maiores, usa-se cada vez mais uma estrutura hierárquica
  • Um modelo hierárquico ajuda a desenvolver uma rede em pedaços, cada pedaço focado num objetivo diferente
  • Um exemplo de uma rede hierárquica aparece abaixo
  • As 3 camadas mostradas:
    • Camada core: roteadores e switches de alto desempenho e disponibilidade
    • Camada de distribuição: roteadores e switches que implementam políticas
    • Camada de acesso: conecta usuários com hubs e switches

redehierarquica.gif (20045 bytes)

Por que usar um modelo hierárquico?

  • Uma rede não estruturada (espaguete) cria muitas adjacências entre equipamentos
    • Ruim para propagação de rotas
  • Uma rede achatada (camada 2) não é escalável devido ao broadcast
  • Minimiza custos, já que os equipamentos de cada camada serão especializados para uma determinada função
    • Exemplo: Usa switches rápidos no core block, sem features adicionais
  • Mais simples de entender, testar e consertar
  • Facilita  mudanças, já que as interconexões são mais simples
  • A replicação de elementos de torna mais simples
  • Permite usar protocolos de roteamento com “sumarização de rotas”
  • Comparação de estrutura hierárquica com a plana para a WAN
    • Pode-se usar um loop de roteadores
      • OK para redes pequenas
      • Para redes grandes, o tráfego cruza muitos hops (atraso mais alto)
      • Qualquer quebra é fatal

flatloop.gif (6928 bytes)

  • Roteadores redundantes numa hierarquia dão:
    • Mais escalabilidade
    • Mais disponibilidade
    • Atraso mais baixo

wanhierarquica.gif (9802 bytes)

  • Comparação de estrutura hierárquica com plana para a LAN
    • O problema básico é que um domínio de broadcast grande reduz significativamente o desempenho
    • Com uma rede hierárquica, os equipamentos apropriados são usados em cada lugar
      • Roteadores (ou VLANs e switches de camada 3) são usados para delimitar domínios de broadcast
      • Switches de alto desempenho são usados para maximizar banda passante
      • Hubs são usados onde o acesso barato é necessário
  • Topologias de full-mesh e mesh hierárquica
    • A full-mesh oferece excelente atraso e disponibilidade mas é muito cara
    • Uma alternativa mais barata é uma mesh parcial
    • Um tipo de mesh parcial é a mesh hierárquica, que tem escalabilidade mas limita as adjacências de roteadores
    • Para pequenas e médias empresas, usa-se muito a topologia hub-and-spokefullmesh.gif (9134 bytes)

Topologia Full Mesh

meshparcial.gif (8854 bytes)

Topologia Mesh Parcial

hubandspoke.gif (7506 bytes)

Topologia Hub-and-Spoke

O modelo hierárquico clássico em 3 camadas

  • Permite a agregação (junção) de tráfego em três níveis diferentes
  • É um modelo mais escalável para grandes redes corporativas
  • Cada camada tem um papel específico
    • Camada core: provê transporte rápido entre sites
    • Camada de distribuição: conecta as folhas ao core e implementa políticas
      • Segurança
      • Roteamento
      • Agregação de tráfego
    • Camada de acesso
      • Numa WAN, são os roteadores na borda do campus network
      • Numa LAN, provê acesso aos usuários finais
  • A camada core
    • Backbone de alta velocidade
    • A camada deve ser projetada para minimizar o atraso
    • Dispositivos de alta vazão devem ser escolhidos, sacrificando outros features (filtros de pacotes, etc.)
    • Deve possuir componentes redundantes devida à sua criticalidade para a interconexão
    • O diâmetro deve ser pequeno (para ter baixo atraso)
      • LANs se conectam ao core sem aumentar o diâmetro
    • A conexão à Internet é feita na camada core
  • A camada de distribuição
    • Tem muito papeis
      • Controla o acesso aos recursos (segurança)
      • Controla o tráfego que cruza o core (desempenho)
      • Delimita domínios de broadcast
        • Isso pode ser feito na camada de acesso também
      • Com VLANs, a camada de distribuição roteia entre VLANs
      • Interfaceia entre protocolos de roteamento que consomem muita banda passante na camada de acesso e protocolos de roteamento otimizados na camada core
        • Exemplo: sumariza rotas da camada de acesso e as distribui para o core
        • Exemplo: Para o core, a camada de distribuição é a rota default para a camada de acesso
      • Pode fazer tradução de endereços, se a camada de acesso usar endereçamento privativo
        • Embora o core também possa usar endereçamento privativo
  • A camada de acesso
    • Provê acesso à rede para usuários nos segmentos locais
      • Frequentemente usa apenas hubs e switches

Guia para o projeto hierárquico de uma rede

  • Controle o diâmetro da topologia inteira, para ter atraso pequeno
  • Mantenha controle rígido na camada de acesso
    • É aqui que departamentos com alguma independência implementam suas próprias redes e dificultam a operação da rede inteira
    • Em particular, deve-se evitar:
      • Chains (adicionando uma quarta camada abaixo da camada de acesso)
        • Causam atrasos maiores e dependências maiores de tráfego
        • Chains podem fazer sentido para conectar mais um pais numa rede corporativa
      • Portas-dos-fundos (conexões entre dispositivos para mesma camada)
        • Causam problemas inesperados de roteamento

chainsbackdoors.gif (24049 bytes)

  • Projete a camada de acesso primeiro, depois a camada de distribuição, depois o core
    • Facilita o planejamento de capacidade

Topologias redundantes no projeto de uma rede

  • A disponibilidade é obtida com a redundância de enlaces e dispositivos de interconexão
  • O objetivo é eliminar pontos únicos de falha, duplicando qualquer recurso cuja falha desabilitaria aplicações de missão crítica
  • Pode duplicar enlaces, roteadores importantes, uma fonte de alimentação
    • Em passos anteriores, você deve ter identificado aplicações, sistemas, dispositivos e enlaces críticos
  • Para dispositivos muito importantes, pode-se considerar o uso de componentes “hot-swappable”
  • A redundância pode ser implementada tanto na WAN quanto na LAN
  • Há obviamente um tradeoff com o custo da solução

Caminhos alternativos

  • Para backupear enlaces primários
  • Três aspectos são importantes
    • Qual deve ser a capacidade do enlace redundante?
      • É frequentemente menor que o enlace primário, oferecendo menos desempenho
      • Pode ser uma linha discada, por exemplo
    • Em quanto tempo a rede passa a usar o caminho alternativo
      • Se precisar de reconfiguração manual, os usuários vão sofrer uma interrupção de serviço
      • Failover automático pode ser mais indicado
      • Lembre que protocolos de roteamento descobrem rotas alternativas e switches também (através do protocolo de spanning tree)
    • O caminho alternativo deve ser testado!
      • Não espere que uma catástrofe para descobrir que o caminho alternativo nunca foi testado de não funciona!
      • Usar o caminho alternativa para balanceamento de carga evita isso

Considerações especiais para o projeto de uma topologia de rede de campus

  • Os pontos principais a observar são:
    • Manter domínios de broadcast pequenos
    • Incluir segmentos redundantes na camada de distribuição
    • Usar redundância para servidores importantes
    • Incluir formas alternativas de uma estação achar um roteador para se comunicar fora da rede de camada 2

LANs virtuais

  • Uma LAN virtual (VLAN) nada mais é do que um domínio de broadcast configurável
  • VLANs são criadas em uma ou mais switches
  • Usuários de uma mesma comunidade são agrupados num domínio de broadcast independentemente da cabeação física
    • Isto é, mesmo que estejam em segmentos físicos diferentes
  • Esta flexibilidade é importante em empresas que crescem rapidamente e que não podem garantir que quem participa de um mesmo projeto esteja localizado junto
  • Uma função de roteamento (noemalmente localizada dentro dos switches) é usada para passar de uma VLAN para outra
    • Lembre que cada VLAN é uma “rede de camada 2” e que precisamos passar para a camada 3 (rotear) para cruzar redes de camada 2
  • Há várias formas de agrupar os usuários em VLANs, dependendo das switches usadas
    • Baseadas em portas do switches
    • Baseadas em endereços MAC
    • Baseadas em subnet IP
    • Baseadas em protocolos (IP, NETBEUI, IPX, …)
    • VLAN para multicast
      • VLAN criada dinamicamente pela escuta de pacotes IGMP (Internet Group Management Protocol)
    • VLANs baseadas em políticas gerais (com base em qualquer informação que aparece num quadro)
    • Baseadas no nome dos usuários
      • Com ajuda de um servidor de autenticação

Segmentos redundantes de LAN

  • Enlaces redundantes entre switches sõ desejáveis para aumentar a disponibilidade
  • Laços são evitados usando o protocolo Spanning Tree (IEEE 802.1d)
  • Isso fornece redundância mas não balanceamento de carga
    • O protocolo Spanning Tree corta enlaces redundantes (até que sejam necessários)

Redundância de servidores

  • Servidor DHCP
    • Se usar DHCP, o servidor DHCP se torna crítico e pode ser duplicado
    • Em redes pequenas, o servidor DHCP é colocado na camada de distribuição onde pode ser alcançado por todos
    • Em redes grandes, vários servidores DHCP são colocados na camada de acesso, cada um servindo a uma fração da população
      • Evita sobrecarga de um único servidor
    • DHCP funciona com broadcast
      • Somos obrigados a colocar um servidor DHCP para cada domínio de broadcast?
        • Não, se utilizar uma função do roteador de encaminhar broadcast DHCP para o servidor de broadcast (cujo endereço foi configurado no servidor)
  • Servidor DNS
    • O servidor DNS é crítico para mapear nomes de máquinas a endereços IP
    • Por isso, é frequentemente duplicado

Redundância estação-roteador

  • Para obter comunicação fora da rede de camada 2 imediata, uma estação precisa conhecer um roteador
  • Como implementar redundância aqui?
  • O problema básico é que o IP do roteador que a estação conhece é frequentemente configurado manualmente (“parafusado”) em cada estação
  • Há algumas alternativas
  • Alternativa 1: Proxy ARP
    • A estação não precisa conhecer roteadore nenhum
    • Para se comunicar com qualquer máquina (mesmo remota), a estação usa ARP
      • O roteador responde com seu próprio endereço MAC
    • Proxy ARP é pouco usado porque nunca foi padronizado
  • Alternativa 2: DHCP
    • DHCP pode infromar mais coisas do que apenas o endereço IP da estação
    • Pode informar o roteador a usar (ou até mais de um roteador)
    • Alternativa muito usada
  • Alternativa 3: Hot Standby Router Protocol (HSRP) da Cisco
    • É uma alternativa proprietária, mas a IETF está padronizando algo semelhante chamado Virtual Router Redundancy Protocol (VRRP)
    • HSRP cria um roteador fantasma (que não existe de verdade) e vários roteadores reais, um dos quais está ativo, os outros em standby
    • Os roteadores reais conversam entre si para saber qual é o roteador ativo
    • O roteadore fantasma tem um endereço MAC e os roteadores reais podem aceitar quadros de um bloco de endereços MAC, incluindo o endereço MAC do fantasma
    • O roteador fantasma (que nunca quebra!) é o roteador default das estações
    • Quando uma estação usa ARP para descobrir o MAC do fantasma, o roteador ativa, responde (com o MAC do fantasma)
    • Mas quem realmente atende a este endereço MAC é o roteador ativo
    • Se o roteador ativo mudar, nada muda para a estação (continua conversando com o roteador fantasma)

Considerações especiais para o projeto de uma topologia de rede corporativa

  • Considerações especiais sobre:
    • Segmentos redundantes de WAN
    • Conexões múltiplas à Internet
    • Redes Privativas Virtuais (VPN) para montar redes corporativas baratas

Segmentos redundantes de WAN

  • Uso de uma mesh parcial é normalmente suficiente
  • Cuidados especiais para ter diversidade de circuito
    • Se os enlaces redundantes usam a mesma tecnologia, são fornecidos pelo mesmo provedor, passam pelo mesmo lugar, qual a probabilidade da queda de um implicar na queda de outro?
    • Discutir essa questão com o provedor é importante

Conexões múltiplas à Internet

  • Há 4 alternativas básicas para ter acesso múltiplo à Internet

multiinternet.gif (24227 bytes)

  • Opção A
    • Vantagens
      • Backup na WAN
      • Baixo custo
      • Trabalhar com um ISP pode ser mais fácil do que trabalhar com ISPs múltiplos
    • Desvantagens
      • Não há redundância de ISPs
      • Roteador é um ponto único de falha
      • Supõe que o ISP tem dois pontos de acesso perto da empresa
  • Opção B
    • Vantagens
      • Backup na WAN
      • Baixo custo
      • Redundância de ISPs
    • Desvantagens
      • Roteador é um ponto único de falha
      • Pode ser difícil trabalhar com políticas e procedimentos de dois ISPs diferentes
  • Opção C
    • Vantagens
      • Backup na WAN
      • Bom para uma empresa geograficamente dispersa
      • Custo médio
      • Trabalhar com um ISP pode ser mais fácil do que trabalhar com ISPs múltiplos
    • Desvantagens
      • Não há redundância de ISPs
  • Opção D
    • Vantagens
      • Backup na WAN
      • Bom para uma empresa geograficamente dispersa
      • Redundância de ISPs
    • Desvantagens
      • Alto custo
      • Pode ser difícil trabalhar com políticas e procedimentos de dois ISPs diferentes
  • As opções C e D merecem mais atenção
    • O desempenho pode frequentemente ser melhor se o tráfego ficar na rede corporativa mais tempo antes de entrar na Internet
    • Exemplo: pode-se querer que sites europeus da empresa acessem a Internet pelo roteador de Paris mas acessem sites norte-americanos da empresa pelo roteador de New York
      • A configuração de rotas default nas estações (para acessar a Internet) pode ser feita para implementar essa política
    • Exemplo mais complexo: Queremos que sites europeus da empresa acessem sites norte-americanos da Internet pelo roteador de New York (idem para o roteador de Paris sendo usado para acessar a Internet européia pelos sites norte-americanos da empresa)
      • Fazer isso é mais complexo, pois os roteadores da empresa deverão receber rotas do ISP
    • Exemplo mais complexo ainda: tráfego que vem da Internet para sites norte-americanos da empresa devem entrar na empresa por New York (idem para Paris)
      • Neste caso, a empresa deverá anunciar rotas para a Internet
      • Observe que, para evitar que a empresa se torne um transit network, apenas rotas da própria empresa devem ser anunciados!

Redes privativas virtuais

  • Redes privativas virtuais (VPN) permitem que um cliente utilize uma rede pública (a Internet, por exemplo) para acessar a rede corporativa de forma segura
    • Toda a informação é criptografada
  • Muito útil para montar uma extranet (abrir a intranet para parceiros, clientes, fornecedores, …)
  • Muito útil para dar acesso a usuários móveis da empresa
  • Solução muito usada quando a empresa é pequena e tem restrições de orçamento para montar a rede corporativa
  • A técnica básica é o tunelamento
  • O protocolo básico é Point-to-Point Tunneling Protocol (PPTP)

Topologias de rede para a segurança

  • Falaremos mais de segurança adiante
  • Por enquanto, queremos ver os aspectos topológicos da questão

Planejamento da segurança física

  • Verificar onde os equipamentos serão instalados
  • Prevenção contra acesso não autorizado, roubo físico, vandalismo, etc.

Topologias de firewalls para alcançar requisitos de segurança

  • Um firewall é um sistema que estabelece um limite entre duas ou mais redes
  • Pode ser implementado de várias formas
    • Simples: um roteador com filtro de pacote
    • Mais complexo: software especializado executando numa máquina UNIX ou Windows NT
  • Serve para separar a rede corporativa da Internet
  • A topologia mais básica usa um roteador com filtro de pacote
    • Só é suficiente para uma empresa com política de segurança muito simples

firewall1.gif (3471 bytes)

  • A tabela de filtragem de pacotes poderia ser como segue
    • A primeira regra que casa com cada pacote examinado é aplicada
Ação Host local Porta local Host remoto Porta remota
Nega * * mau.ladrao.com *
Permite mailserver 25 * *
Permite * * * 25
Nega * * * *
  • Para melhorar as coisas, pode-se usar endereçamento privativo na rede corporativa
    • Uso de Network Address Translation (NAT) implementada no roteador para acessar a Internet; ou
    • Uso de um proxy para certos serviços (web, ftp, …)
  • Para empresas que precisam publicar informação na Internet (Web, DNS, FTP, …), pode-se ter algumas máquinas na Internet, numa área chamada Demilitarized Zone (DMZ)
    • Os hosts têm que ser muito bem protegidos contra invasões (Bastion Hosts)
    • Um firewall especializado pode ser incluído
      • Fornece uma boa GUI e ações especiais para implementar a política de segurança
    • Há duas topologias básicas
      • Com um roteador
      • Com dois roteadores

firewall2.gif (7701 bytes)

Topologia com 1 roteador e firewall dedicado

firewall3.gif (7372 bytes)

Topologia com 2 roteadores filtrando pacotes

Rolar para cima