Projeto de Rede - Reestruturação de uma rede.

Poste aqui suas dúvidas e sugestões sobre todas as tecnologias de redes e telefonia.
digo
Membro Júnior
Membro Júnior
Mensagens:2
Registrado em:21 Set 2009, 22:10
Projeto de Rede - Reestruturação de uma rede.

Mensagem por digo » 22 Set 2009, 14:01

Olá,

Estamos fazendo um projeto de rede, que consiste em organizar, e otimizar uma rede já existente.

Bom, existe um servidor localizado em Mauá(matriz), e duas filiais, uma em Santo André e outra na Cidade do México(México). Há um roteador para cada filial, que estão ligados a matriz por um link de 2 mb, há também um link de rádio freqüência entre Mauá e Santo André de 512k.

Contamos então, com 80 servidores(linux) + 50 servidores(windows) no cpd da matriz, +500 pcs, enquanto que em cada filial teremos 120 pcs.

A matriz está enfrentando um problema de super trafego de dados sobre o seu roteador, já que além de rotear os dados da matriz e filiais, ele também está roteando os dados da internet tornando a rede menos segura e instavel, e também não há nenhuma politica de segurança sendo aplicada.

Além disso, o cabeamento está comprometido, graças a má instalação feita previamente, sem uso de qualquer tipo de norma, ou padrão.

Com todos esses problemas, a empresa ainda quer otimizar sua rede e fazer o uso da tecnologia VOIP e entrar no ramo de e-comerce, centralizando toda a sua data base na loja matriz.


Enfim, contando com tudo isso, pensei começar mexendo no roteador de Mauá. Teoricamente, passariamos de 1 para 3 roteadores ligados a uma switch c2, 1 roteador para a internet, 1 roteador para a filial de Santo André, e outro roteador para a Cidade do México, usando como base, o protocolo de roteamento ATM.

Conectariamos as filiais a matriz através de dois links para oferecer mais estabilidade no e-comerce da empresa, evitando queda total de seus serviços caso um link estivesse fora do ar.

Quanto a infra-estrutura de rede, começariamos montando calhas para a isolação do cabeamento de rede, do cabeamento elétrico, homologariamos todos os equipamentos de rede, usando apenas equipamentos da marca CISCO para melhor estabilidade e gerenciamento da rede.

Quanto a politica de segurança, faremos o gerenciamento com usuários e grupos de usuários, além de desabilitar a USB dos computadores afim de evitar vazamento de informações.

E um detalhe, é que com o comeco do e-comerce da empresa o uso de banda será maior, a empresa já trabalha com teleconferencia e por isso estavamos pensando em aumentar a velocidade do link de 2, para 4mb, aproveitando, existe algum programa em especial que calcula a carga da rede que cada máquina usa?

Depois de tudo isso, vocês tem alguma sugestão em especial no projeto? Gostariamos de ver uma luz no fim do tunel, e saber se estamos de fato, no caminho certo para a elaboração de um bom projeto, obrigado.

ronaldobf
Moderador
Moderador
Mensagens:328
Registrado em:28 Jan 2006, 03:34
Localização:Araras/Campinas - SP

Mensagem por ronaldobf » 25 Set 2009, 03:49

Olá, Digo!

Então... primeiramente, você deve entender exatamente todo o tráfego de sua rede. Quando digo isso, quero dizer que você deve saber quais dados trafegam, de onde eles saem e pra onde vão. você comenta sobre colocar vários roteadores. Na verdade, o problema não necessariamente é seu router, mas sim o link e a qualidade do link. Por isso, quantidade nem sempre é importante, mas qualidade.

Como citado em alguns outros posts, aconselho você seguir uma metolodologia top-down, sito é, das necessidades do cliente até a infraestrutura.

Depois de ter levantado essas informações, comece a projetar a rede baseado nisso.

No seu caso, você comentou sobre link com a internet para e-business e link com filiais.

Você não precisa de 3 roteadores para tal. O que aconselho, primeiramente, é analisar a criticidade da rede. O que acontece se uma filial ficar fora?

Baseado nisso, você tem algumas opções:

- Ter apenas 1 roteador e 1 circuito multipoint conectando as filiais. Como redundância, você configura, no roteador de internet, para fechar VPN, caso o roteador com o link fique fora. (metodo mais barato)
Este roteador deve ter uma banda suficiente para transferir dados e voz e ainda "sobrar", pelo menos, 50% de banda e tenha também um bom SLA do provedor, para garantir qualidade do link. Também pode-se utilizar, por exemplo, uma conexã isdn (sob demanda) quando o ckt cair. O problema, é que dificilmente terá ISDN aqui (link de 144/144 kbps).

- Ter 2 circuitos em 1 roteador para a conexão entre a matriz e filiais. Você divide, por exemplo, filiais 2 e 3 pelo circuito 1... filiais 4 e 5 pelo ckt 2. Se qualquer circuito cair, fecha-se uma VPN via roteador de internet. Assim, nem todas as filiais ficarão fora ao mesmo tempo e diminuirá a utilização da banda do roteador de internet quando usando VPN, pois terá apenas parte das filiais conectadas em cima da VPN.

Note que, nenhum dos casos acima provê redundância de equipamento, isto é, se o roteador cair, tudo que estiver conectado a ele, cai também. Por isso, é recomendado ter um bom sistema de UPS (redundância de energia elétrica). Também, caso necessário, seria interessante ter, pelo menos, 2 roteadores com circuitos em cada um. Se cair um, a filial tem outro para redundância, podendo, inclusive, fazer load sharing.

Pelo que você comentou, apesar de muito pouca informação, eu acabaria ficando com 1 roteador para conexão com as filiais e dois circuitos. Lembre-se de ter uma boa fonte de engergia, com redundância.

Se fechar mais de um circuito com ISPs, lembre-se se marcar uma reunião com as ISPs e discutir se as mesmas não estão usando o mesmo caminho até seu destino, pois, algumas vezes, ou quase sempre, provedores fecham parcerias com provedores locais. Se ambos os circuitos passarem pela mesma estrutura, você não será totalmente redundante, correndo o risco, por exemplo, se uma fibra romper no last mile, perder as duas conexões.

Sobre o link com a internet, aconselho você ter redundância com duas conexões, já que além de conexão backup para suas filiais, você usa para navegar na internet e para comércio (site/vendas pela internet/etc). Por isso, é muito importante não deixar o cliente que acessa seu site perceber que a infraestrutura não é legal. Imagine você acessando um site e o mesmo estando indisponível. Dependendo do caso, pode impactar muito, cair vendas, denegrir a imagem da empresa, etc...

Tente calcular uma banda que comporte o tráfego dos acessos dos clientes, dos softwares, das VPNs e qualquer outra coisa que trafegue por ali.

Agora, muito basicamente, você já sabe como lidar com as saídas para a WAN (internet e filiais).

DMZ:
Crie DMZs para seus websites, e-commerce, VPN concentrator, etc...
Crie NAT e permita apenas tráfego necessário. Mesmo o tráfego necessário, é interessante que o mesmo passe por um sistema de IPS ou IDS para detectar qualquer coisa maliciosa.
Use firewalls também.

SERVER FARM:
Server farm ficam os servidores onde apenas os devices internos de sua rede tenham acesso. também limite acessos via firewalls.
Servers compartilhados com o mundo exterior, como webserver, ficam na DMZ, mas o banco de dados do servidor, por exemplo, fica no server farm.


CAMADA DE ACESSO DE USERS:
Da mesma maneira, usuários são agrupados em uma estrutura separada.


Para entender melhor isso, procure por Modelo Hierarquico da Cisco.
existem outros modelos, como enterprise, SONA... mas pra você, acho que o modelo hierarquico é bom para questões de didática.


Crie VLANs para cada setor/serviço. Segmentação é importante, pois diminui o dominio de broadcast e consequentemente, o tráfego da rede, delimita acessos,etc... A rede é melhor gerenciada.

Abaixo, cito exemplo, mas você tem que descobrir qual é o melhor endeeçamento.

Exemplo:

Server farm:
10.1.1.0/24
10.1.2.0/24
10.1.3.0/24

Dept de compras do prédio A: 10.2.1.0/24
Dept de compras do prédio B: 10.2.2.0/24
Dept financeiro: 10.10.10.0/24

E por ai vai....

Use proxy, firewall atualizado nas workstations. Use sistemas de autenticação centralizados, como RADIUS, TACACS, integrado, por exemplo, com o AD.

Crie políticas de acesso. Faça sistemas de backup, defina horários para o backup, e para não impactar o horário de produção.

Para usuários, pode-se usar servidor DHCP e para server e outros serviços, usar IP fixo.

Lembre-se de criar políticas de acesso e segurança (o que pode acessar o que e quando e aonde)!




Sobre cabeamento, existem muitas considerações também...

Lembre-se se tentar seguir as normas.
Lembre-se de aterrar o sistema de cabeamento estruturado, pois eltrocalhas, por exemplo, se não aterradas adequadamente, só vai servir de mais um ponto de interferência para o cabeamento.

http://www.projetoderedes.com.br/foro/v ... cabeamento

http://www.projetoderedes.com.br/foro/v ... ght=survey


Abraços,
Editado pela última vez por ronaldobf em 26 Set 2009, 03:52, em um total de 1 vez.
Ronaldo A. Bueno Filho

digo
Membro Júnior
Membro Júnior
Mensagens:2
Registrado em:21 Set 2009, 22:10

Mensagem por digo » 25 Set 2009, 10:00

Obrigado mesmo ronaldo, seu post é de grande ajuda e valia.

Responder