REDE LOCAL CBPF

Propaganda
REDE LOCAL CBPF
A filosofia adotada para a estrutura da rede local do CBPF está baseada na
segmentação das estações servidoras de rede, através da implementação de
comutadores de rede. De acordo com as tecnologias atualmente disponíveis a solução
adotada é baseada em duas características: "COLLAPSED BACKBONE" e
"ETHERNET SWITCHING". A primeira consiste na concentração de todos os pontos de
rede em único ponto, analogamente a uma topologia estrela. Neste ponto central da
rede está situado o ETHERNET SWITCHING que multiplexa à alta velocidade os
diferentes dados de uma estação a outra. Esta tecnologia permitirá, em uma primeira
fase, dedicar a algumas estações da rede uma banda de comunicação livre de 10Mbps.
Numa segunda etapa, a partir da evolução dos elementos ativos da rede, a taxa de
transferência poderá atingir 100Mbps e permitirá neste instante o tráfego de
informações em vídeo, som e textos. Estes elementos são configurados em racks do
tipo SWITCHING-HUB.
A parte ativa da rede consiste em 2 CHASSIS-HUBS, possuindo um barramento
de alta velocidade (1.6Gbps). Cada um destes CHASSIS-HUBS contém 8 unidades
ETHERNET-SWITCHING para conexões dos computadores de alta velocidade da rede,
permitindo uma conexão de 140 usuários com canais dedicados de 100Mbs.
Os servidores departamentais de microcomputadores e estações de trabalho
foram alocados nas portas FAST-ETHERNET , assim como as estações com
necessidades de alta velocidade de comunicação. O sistema de monitoramento é feito
através de uma plataforma de gerenciamento gráfico dentro da própria estrutura da
rede. Esta nova tecnologia de redes possibilitará um ganho real de performance, pois
além de ganharmos em segmentação e disponibilidade da rede estamos ganhando
também com a chegada de novas tecnologias eletrônicas que permitem hoje a
comunicação de imagens e sons na rede com qualidade de serviço.
Para a reestruturação da rede local do CBPF foi realizado um projeto de
atualização dos equipamentos da nossa rede local, baseado em comutadores de alta
performance, (Switch Engine Black Diamond - Extreme Networks) com 192 portas
FastEthernet (100Mbps) para uso interno e 8 portas GigabitEthernet (1Gbps) para
conexão externa e projetos especiais.
Durante toda a operação de instalação foi necessária a parada total da rede
interna. Com o objetivo de minimizar o impacto aos usuários finais, foi elaborado um
cronograma de atividades, evolvendo toda equipe, limpeza do site, reestruturação e
identificação de todo o cabeamento (cerca de 620 pontos/1240 conexões), rearrumação física e lógica dos diversos equipamentos, levantamento da base de dados
(já efetuado), configuração dos equipamentos novos e antigos (já elaborada e testada,
faltando apenas a implementação). Este trabalho foi realizado no mês de Outubro de
2001.
Figura – Complexo de cabos relativo as
conexões entre os equipamentos e a sala
de usuários. Todos os cabos tem
identificação primário-secundário.
Figura – Site da Rede Local do CBPF.
Equipamentos de Rede ao fundo e Estação
servidora em primeiro plano.
Figura – Estação SUN servidora de E-mail
e estação HPC4000 para cálculo científico.
Figura - Switch Layer 3 – Extreme Network –
Modelo BlackDiamond 6816 – 192 portas FastEthernet – 8 Portas GbE.
Assim sendo, a rede local do CBPF voltará a ter um patamar de confiabilidade,
performance e estruturação que nos coloca como um nível de referência também na
área de redes de computadores.
Para melhorar a qualidade do serviço, a CAT adquiriu novos equipamentos
como:
Impressora HP Color LaserJet 4550 PS - possui excelente qualidade de impressão a
cores sem comprometer a velocidade, calibragem automática da cor garantindo a
consistência e alta qualidade cromática, excelente aspecto dos documentos: 4ppm para
cor; 16 ppm para preto e branco, além de imprimir frente e verso da página.
Figura – Impressora Laser-jet 4550
(duplex – print).
Novo servidor Mesonpi – (http://mesonpi.cat.cbpf.br), funciona baseado no sistema
operacional Windows 2000 Server e oferece serviço de armazenamento de dados (área
pública e privada), ftp anônimo, gerência de filas de impressão, gerenciamento de
equipamentos de rede, autenticação de usuários para acesso remoto (via linha discada)
e é também o servidor protótipo de serviços multimídia da CAT. Nele está também
instalado parte do serviço Web da coordenação, o serviço Web do Projeto Laboratório
Virtual, do Projeto de Redes Metropolitanas de Alta Velocidades (REMAV) e a página
do Mestrado de Instrumentação Científica do CBPF.
Configuração:
Processador Pentium III 1Ghz, 512M RAM, 2 HDs de 30 Gb SCSI, Array de
Discos Scsi, 1 HD 10Gb IDE, Unidade de fita para backup.
Novo servidor ADMINSERVER - utiliza plataforma Windows 2000 Server, permitindo o
acesso de todos os usuários através de sua conta, bem como sua área pessoal de
armazenamento. Possui placa de acesso ao serviço SERPRO(Attachmate-SDLC) que
funciona com o software e-Vantage SNA Gateway para comunicação das demais
estações de trabalho ao sistema SICAF.
Novo servidor Ultra10 – é responsável pelo serviço de correio eletrônico e DNS (Domain
Name System) da rede CBPF e utiliza plataforma Solaris2.8.
PROJETOS
Projeto de Medidas de Tráfego de Rede via Ntop
Este projeto consiste em apresentar aspectos teóricos e práticos de uma
atividade de monitoramento relacionada à medição do tráfego de rede do CBPF. A
medição do tráfego e a apresentação dos resultados obtidos são apresentadas em
formato web. Esses resultados possibilitam diagnosticar problemas que afetem o
desempenho destas sub-redes. Com o auxílio do software Ntop, cada sub-rede será
analisada individualmente em um determinado período de tempo. Finalizada a coleta de
dados sobre o tráfego do CBPF, será feita uma comparação dos resultados obtidos de
cada sub-rede.
Protocolos de gerenciamento RIP e OSPF
Este projeto iniciou com o estudo do modelo de camadas ISO/OSI e o conjunto de
protocolos TCP/IP. Foram estudados os principais equipamentos utilizados em redes
locais e metropolitanas (como: roteador, comutador e concentrador). No laboratório da
CAT foram feitas simulações de diversos casos de redes com a utilização dos
protocolos RIP e OSPF.
Durante o desenvolvimento no laboratório, foi elaborado um ambiente Web
(laboratório de redes - http://mesonpi.cat.cbpf.br/redes/labweb/ ) contendo as descrições
dos experimentos, com o objetivo de ser posteriormente utilizado na cadeira de Redes
de Computadores da pós-graduação do CBPF.
Gerenciamento de alocação de Endereços IP’s (Tabela de IP’s)
Foi desenvolvido um sistema de base de dados para gerenciamento dos
endereços IP’s do domínio cbpf.br. (152.84.x.x). Esta tabela associa os pontos
primários/secundário, usuário e endereços IP’s e MAC.
Cluster de Computadores
Este projeto consiste em ampliar e modernizar a capacidade computacional do
CBPF, através da implantação de uma infra-estrutura de computadores dedicada ao
cálculo científico. Há hoje um consenso dos usuários de grandes recursos
computacionais do CBPF que do ponto de vista técnico este sistema deve ser capaz de
processar em paralelo vários programas, permitir as interações entre eles, privilegiando
mais a capacidade de processamento (velocidade do processador) que a capacidade
de memória global do sistema. É importante ressaltar que a CAT ganhou no projeto
Finep de infra-estrutura o valor de R$ 310.000,00 (trezentos e dez mil reais) para iniciar
esta linha de atuação.
Instituições científicas necessitam normalmente de um grande poder de cálculo.
Diversos desafios científicos utilizam os mais modernos recursos computacionais como
ferramental básico de processamento e análise de dados. O CBPF sempre utilizou de
recursos computacionais, sendo no passado um dos grandes usuários de centros de
processamento de alto desempenho, e também um forte colaborador no
desenvolvimento de tecnologia de processamento paralelo. Com a proliferação das
redes de computadores de alta velocidade é possível, e cada vez mais comum, a
implementação de sistemas dedicado ao cálculo numérico em computadores do tipo
pessoal (microcomputadores). O poder de processamento e o baixo custo relativo faz
com que estes ambientes, conhecidos como “clusters”, tenham uma grande aceitação
na área acadêmica. Estes ambientes modulares simplificam e barateiam o processo de
atualização quando comparados com os antigos sistemas centralizados em uma única e
poderosa máquina de cálculo.
Figura - Idealização de Sistema de
“Cluster de Computadores” - Projeto Finep
O objetivo deste projeto é adquirir um sistema computacional, composto de
estações de trabalho (microcomputadores) de última geração, com uso difundido no
meio científico, com suporte e manutenção através de firmas de representação no país.
O sistema operacional adotado é o Linux, que possibilita a utilização de diversos
pacotes abertos e tem se mostrado bastante estável para implementação de “clusters”
de computadores. Este ambiente seria constituído de uma estação servidora que seja
capaz de gerenciar diversos nós independentes (em torno de 45), com capacidade de
expansão e atualização e com um comutador de rede de alta velocidade. O sistema
deve ser gerenciado por um único software de controle, fazendo com que o usuário o
veja como um único computador. Estamos assim optando por um sistema de memória
distribuída, onde cada processador acessa somente sua memória local. O ambiente de
programação paralela estaria baseado em programas “open source” como o MPI
(Interface de Passagem de Mensagens) e o PVM (Máquina Paralela Virtual)
(http://www.netlib.org/pvm3/book/node17.html).
A expansão e atualização deste sistema estará vinculada a projetos futuros,
enquanto que a supervisão e manutenções de rotina seriam feitas por técnicos de nível
superior já existentes na instituição. É importante ressaltar que, apesar de alguns
pesquisadores ainda assim precisarem de recursos computacionais externos, como o
acesso a centros de Supercomputação, todos os grupos de pesquisa do CBPF apóiam
e utilizarão esta infra-estrutura computacional.
Sun: Correio Eletrônico e Segurança da Rede
Atualização do S.O. do parque de Estações Sun
O CBPF conta com mais de 80 estações SUN em todo o seu parque
computacional. Uma grande parte destas estações está sob gerência de domínio da
CAT. Nos últimos anos foi visto uma crescente utilização do correio eletrônico,
principalmente arquivos anexados aos e-mails. Neste período grande parte das
estações foram atualizadas para o sistema operacional Solaris 2.8 assim como todos
os “patches” existentes, garantindo maior segurança aos usuários da instituição. Foi
também atualizado o serviço de envio de mensagens. Devemos ressaltar que esta é
uma atividade continua e realizada sempre que uma nova vulnerabilidade a nossos
sistemas é descoberta. Várias configurações foram alteradas no sistema, a fim de
manter a segurança e a qualidade dos serviços da rede.
Com objetivo de garantir uma maior eficiência, os serviços oferecidos pelo CBPF
como: DNS (servidor de nomes), Web (servidor Internet), NIS (serviço de redes
compartilhadas) e serviço de mail, agora convivem separadamente, ou seja, em
máquinas próprias garantindo assim a eficácia dos sistemas.
A Segurança da Rede no CBPF
Durante este ano, como muitas outras instituições, o CBPF sofreu vários ataques
de intrusos em sua rede. Foi estudada uma alternativa viável e de baixo impacto
operacional para os usuários como solução e proteção a nossa rede local.
Duas grandes medidas foram adotadas:
• Criação de uma lista de acesso ao CBPF
• Dentre as principais regras podemos citar:
§ Filtragem de endereços reservados por RFC’s que não
devem ser aceita como endereços de entrada em nenhum
pacote.
§ Permissão de acesso a portas clássicas como ftp, Web,
telnet (filtra os outros acessos, principalmente os
desconhecidos).
§ Filtragem de portas de “back-door”.
§ Filtragem de eventuais endereços classificados como
Intrusos.
•
•
Criação de uma estação PORTAL de acesso.
A estação “positron.cat.cbpf.br” passou a ser a estação de entrada e
saída para telnet’s externos ao CBPF. Nesta estação é criado um arquivo
de log de todas as execuções de E/S do CBPF.
O Serviço de Acesso Remoto (NAS)
Este serviço foi atualizado e agora é implementado por um equipamento CISCO
3600, integrado na sub-rede IP 152.84.253.0 do CBPF. Neste equipamento existem
disponíveis oito modems de 33Kbps oferecendo acesso a Internet a todos os usuários
cadastrados do CBPF. A cada linha é permitida uma utilização ininterrupta de 5 horas. A
gerência deste equipamento é feita remotamente através do pacote CiscoView.
Serviço de Webmail
Permite aos usuários acessarem suas mensagens eletrônicas diretamente de
suas contas no servidor de correio eletrônico a partir de qualquer computador que
possua um navegador capaz de visualizar páginas HTML, como o Netscape e o Internet
Explorer.
Este Webmail foi implementado à rede do CBPF através do programa IMP, um
projeto Open Source (código aberto) desenvolvido pela comunidade da Internet
inteiramente feito em linguagem PHP. O Webmail também faz uso de SSL (Secure
Socket Layer) sobre o serviço de transporte de mensagens do servidor ao cliente, para
promover de forma transparente ao usuário, encriptação de dados e evitar que terceiros
se apropriem de mensagens e senhas de acesso.
O objetivo deste projeto é demonstrar como este serviço contribui para a
praticidade e o conforto do usuário, assim como para a segurança de suas mensagens.
Segurança na Web
O programa “hackerprotection” tem por objetivo verificar e manter a integridade de
páginas HTML. Ele funciona comparando a data de criação do arquivo com a sua cópia
de segurança. Caso haja alguma alteração na página oficial, o arquivo “.html” é
automaticamente substituído por sua cópia de segurança e simultaneamente uma
mensagem é enviada ao administrador avisando o ocorrido, podendo ser uma
mensagem de página alterada por pessoas não autorizadas ou apenas página
atualizada.
Monitoração de Sistemas via Web
Visando monitorar o que acontece nas redes, está sendo implantado um sistema
que através da visualização de seus logs, trata esses arquivos e exibe as informações
via Web. Desta forma é possível saber sobre tentativas de acesso a determinados
serviços de nossa rede identificando de onde vem e quando tentam estas conexões.
Com estas informações em tempo real é possível evitar “ataques” à rede local.
A análise dos resultados apresentados permite aos administradores otimizar a
performance do sistema e criar uma política preventiva de proteção a sua rede.
Download