Baixe o app para aproveitar ainda mais
Prévia do material em texto
Introdução Um Data Center é uma modalidade de serviço de valor agregado que oferece recursos de processamento e armazenamento de dados em larga escala para que organizações de qualquer porte e mesmo profissionais liberais possam ter ao seu alcance uma estrutura de grande capacidade e flexibilidade, alta segurança, e igualmente capacitada do ponto de vista de hardware e software para processar e armazenar informações. Atualmente podemos definir duas categorias principais de Data Centers: Data Center Privado (PDC) e o Internet Data Center (IDC). Um PDC pertence e é operado por corporações privadas, instituições ou agências governamentais com o propósito principal de armazenar dados resultantes de operações de processamento interno e também em aplicações voltadas para a Internet. Por outro lado, um IDC normalmente pertence e é operado por um provedor de serviços de telecomunicações, pelas operadoras comerciais de telefonia ou outros tipos de prestadores de serviços de telecomunicações. O seu objetivo principal é prover diversos tipos de serviços de conexão, hospedagem de sites e de equipamentos dos usuários. Os serviços podem incluir desde comunicações de longa distância, Internet, acesso, armazenamento de conteúdo, etc. Um dos aspectos que devem ser observados na contratação de um serviço de Data Center, é o tipo de acesso (co-location) que o usuário terá ao servidor do provedor de serviços. O tipo de acesso irá definir por qual método o servidor será acessado em caso de necessidade. Se o co-location for contratado, o acesso é feito pelos funcionários do provedor, localmente. Se o co-location for remoto, o acesso será feito através de softwares de controle remoto que será escolhido pelo usuário. Neste caso o aplicativo de acesso remoto é instalado no servidor pelos funcionários do provedor de serviço. Eventualmente uma ou mais ferramentas podem necessitar de manutenção ou pode haver a necessidade de instalação de novos aplicativos. Nesses casos, o usuário deve solicitar ao provedor do serviço que providencie o que for necessário para a operação. Durante a hospedagem no 1 servidor, o usuário assina um termo constatando a legalidade de todos os softwares instalados em seu servidor. Pode-se observar que através do co-location (locação de um servidor exclusivo do usuário, instalado e operado na estrutura do provedor), o usuário pode se beneficiar de uma série de recursos. Um co-location proporciona alta escalabilidade, ou seja, em caso de necessidade de ampliação dos serviços ou equipamentos, a mesma pode ser feita imediatamente, com monitoramento 24 horas por dia e 7 dias por semana (24X7), backup, otimização dos custos de operação e manutenção, rede com alta disponibilidade e carga balanceada. 2 1 Arquitetura e Construção 1.1 Localização Antes de começarmos a demonstrar as características da localização do Data Center, citamos que a transcrição contida neste capitulo foi copiado do artigo editado por Pollete Brancato de Moraes, sob o titulo: Infra-estrutura de Internet Data Center (IDC), podendo este ser encontrado no site www.teleco.com.br. A escolha do local para implantação do IDC deve ser feita levando-se em consideração a região, compatível com o Código de Zoneamento do Município, tamanho do terreno, acesso fácil para a entrega de equipamentos, áreas altas sem inundações e existência de infra-estrutura básica de esgoto, água, telefonia e energia elétrica. Critérios de Escolha do Local • Estar próximo a pontos de presença de redes de acesso de fibra óptica possibilitando a ligação de dois troncos diferentes. • Disponibilidade de energia com possibilidade de obtenção de duas entradas de energia • Escalabilidade, permitir o aumento da área construída ao longo do tempo 3 1.2 Arquitetura As principais áreas componentes de um IDC são: • Hall Social, e as salas de reunião para recepção de visitante. • Área administrativa. • Operação, manutenção e armazenagem de equipamentos. • Sala de equipamentos incluindo sala de servidores pra hospedagem e colocation e sala de telecomunicações. • Sala de equipamentos dos segmentos energia elétrica e ar condicionado. • Grupo Moto Gerador e tanque de combustível geralmente localizado em área externa ao IDC. O Objetivo do planejamento do espaço é: • Ter as instalações com 60% da área total dedicadas à sala de Equipamentos do Data Center. • Promover o “estado da arte” nas instalações desde o sistema operacional até o nível do gerenciamento do banco de dados. • Promover instalações que reflita a imagem de uma empresa de alta tecnologia, negócio de risco de investimentos de alta rentabilidade, de funcionalidade e controle. 4 Usualmente o IDC é dividido em três zonas físicas de segurança em ordem crescente de restrição de acesso: • Zona I - Áreas públicas incluindo o Hall Social, área para visitantes e áreas administrativas. • Zona II - Áreas de Operação do IDC. • Zona III - Salas de Equipamentos, coração do IDC, onde estão localizados os servidores, o “shaft” de cabos, as unidades de distribuição de energia (PDUs), baterias e máquinas de ar condicionado. 1.3 Construção A Construção deve prover uma estrutura sólida segura compondo as instalações que complementam e protegem os equipamentos e informações que residem no IDC. 1.4 Energia Elétrica O segmento elétrico é constituído pelo Sistema Ininterrupto de Energia (UPS), o Sistema de energia de Emergência e as unidades de distribuição de potência (PDU). 5 O sistema ininterrupto de energia (UPS) tem a função de fornecer energia para todos os equipamentos do Data Center, incluindo equipamentos de segurança e detecção e alarme de incêndio. Ele é composto por conjuntos de No-Breaks compostos por baterias, retificadores e inversores. Estes No-Breaks, redundantes, ligados em paralelo, assegurarão o suprimento contínuo de energia mesmo em caso de falha de transformadores, entrada de energia ou algum conjunto de No-Breaks. Os bancos de baterias são dimensionados para alimentarem as cargas por um período de 15 minutos. Este tempo é suficiente para partida e conexão dos geradores a diesel em caso de falta de energia elétrica da Concessionária. O sistema de energia de emergência consiste de um Grupo de Geradores Diesel que entrarão em funcionamento e se conectarão ao sistema elétrico do IDC automaticamente. Os geradores são dimensionados para suportar todas as cargas necessárias ao funcionamento dos Equipamentos do Data Center durante falta de energia da Concessionária. O Objetivo é atender a operação 24 horas x 7 dias da semana, considerando as condições para manutenção preventiva, acréscimo de novos componentes e reposição operacional após interrupções não programadas. As unidades de distribuição de potência (PDU) são responsáveis pelo condicionamento do sinal para alimentação dos vários equipamentos do IDC. Abaixo temos uma figura ilustrativa de como podemos ter uma redundância de rede elétrica, este projeto é implementado pela Cyber Data Center, podendo ser encontrado no endereço eletrônico: http://www.cydc.com.br/pt/infraestrutura/infraestrutura_energia.asp: 6 Figura 1 – Sistema de contingência elétrica. 1.5 Ar Condicionado O segmento de Ar Condicionado tem a função de manter um ambiente controlado de temperatura e umidade nas instalações do IDC. O segmento de Ar Condicionado inclui o sistema de refrigeração, unidades de tratamento do ar e sistema de Distribuição de Ar condicionado. Ele deve estar ligado aos geradores deenergia de emergência. 7 O Sistema de Refrigeração deve prover aquecimento, resfriamento, umidificação e desumidificação da edificação. O Sistema de Tratamento de Ar deve ser separado em três tipos de área: Sala de Equipamentos do Data Center, área de Escritórios, Salas de Equipamentos de Ar condicionado e Elétricos. A separação é devida às diferenças de calor sensível e calor latente de cada área às condições de temperatura e umidade. O Sistema de Distribuição de Ar Condicionado para a Sala de Equipamentos do Data Center utilizará o sistema de insuflamento de ar pelo pleno criado por baixo do piso elevado. Este sistema de insuflamento pelo piso elevado implica em uma altura mínima de 60 cm., que dependendo da quantidade de conduítes, tubulação, esteiramentos, etc, deverá ter sua altura ajustada de maneira a permitir a circulação do ar ao longo de toda a sala do Data Center. O Objetivo é operar 24 horas por dia nos 7 dias da semana. Abaixo temos uma figura ilustrativa de como podemos ter uma redundância de uma climatização adequada, este projeto é implementado pela Cyber Data Center, podendo ser encontrado no endereço eletrônico: http://www.cydc.com.br/pt/infraestrutura/infraestrutura_climatizacao.asp: Figura 2 – Contingência de Climatização. 8 Uma climatização adequada é fundamental para a manutenção do desempenho e segurança do funcionamento dos serviços de Data Center. Nosso Data Center garante que a temperatura interna nas áreas de produção varie em, no máximo, 1ºC. Para isso, contamos com: • Estruturas de refrigeração N+1, ou seja, para cada equipamento operante, há outro de reserva (pronto para uso); • Módulos de refrigeração e renovação de ar; • Escalabilidade de acordo com a demanda. 1.6 Sistema de Proteção Contra Incêndio O Data Center é uma instalação para aparelhos eletrônicos essenciais, como servidores e outros tipos de computadores e equipamentos de telecomunicações. Além de atende ás normas do Corpo de Bombeiros local, o sistema de proteção contra incêndio deverá procurar evitar danos nos equipamentos em caso de incêndio. Uma das melhores soluções de combate a incêndio para as salas de Equipamentos é uma combinação do Sistema de Combate com Chuveiros Automáticos de Pré Ação (com tubulação seca) acima do piso elevado e o sistema de Combate a Incêndios por Gás FM 200 abaixo do piso elevado. O sistema de combate com gás será conectado a um sensível sistema de detecção e será o primeiro a ser acionado. O gás é espalhado pela área, não deixando resíduos que danifiquem os equipamentos sensíveis ou que requisitem um custo de limpeza dos equipamentos. 9 O sistema de pré-ação quando acionado desencadeia a descarga de água somente nos sprinklers que tenham sido operados pelo calor acima do incêndio. 1.7 Sistema de Supervisão e Controle O sistema de supervisão e controle monitora continuamente os vários segmentos do IDC controlando itens como: • Controle de carga e paralelismo dos grupos geradores • Supervisão e controle dos painéis de média tensão • Supervisão e controle dos painéis de baixa tensão • Integração com sistema dos geradores • Integração com sistema de retificadores O Sistema é formado por microcomputadores de última tecnologia capazes de resistir ao uso contínuo, adequado para sistemas de supervisão e controle. Os mesmo são redundantes entre si, permitindo alta flexibilidade e performance do sistema.Caso ocorra alguma falha em qualquer dos PCs o seu consecutivo assume automaticamente. O IDC dispõe ainda de um sistema de circuito fechado de TV e de controle de acesso que controla a entrada ou saída nas várias salas e zonas físicas de segurança do IDC. 1.8 Normas 10 Fator importante de um Data Center, encontra-se em implantar e manter métodos de padronização de implementações de cabeamento estruturado visando possíveis expansões, certificação e garantindo segurança e o máximo proveito da rede. Com relação às normas utilizadas, podemos destacar as normas criadas pela EIA/TIA (Electronic Industries Association / Telecommunications Industry Association) ou mesmo a ISO/IEC (International Standards Organization/International Electrotechnical Commission denominada de ISO/IEC 11801, equivalente à EIA/TIA 568A reeditada pela ISO). Dentre as normas EIA/TIA, temos como principais: 1.8.1 Norma TIA/EIA TSB 67 Especificações da Performance de Transmissão para Testes em Campo do cabeamento UTP Cat5 (UTP end-to-end System Performance Testing) visando sistema de Telecomunicações (Telecommunications system Bulletin – TSB) é dirigido às especificações de testes para performance pós-instalação, as especificações incluem características dos testadores de campo, métodos de teste e um mínimo de exigências de transmissão para sistemas de cabeamento UTP. Cita fatores que afetam a performance como as características do cabo, do hardware de conexão, dos patch cords e da conexão cruzada bem como número total de conexões e a qualidade da instalação. A norma TIA/EIA TSB-67 refere-se a duas configurações de teste: 1. Configuração do teste básico de link (Basic link test configuration) O teste básico de link é usado para verificar a performance do cabo permanente instalado. Este teste inclue os seguintes componentes: 11 • Até no máximo 90m de cabeamento horizontal: inclue um cabo do armário de telecomunicações (TC) a um ponto de consolidação opcional e do ponto de consolidação ao outlet (armário) de telecomunicações. De um extremo a outro de uma conexão do cabo horizontal. • Até 2m de coord (cordão) de teste da unidade principal do testador de campo à conexão local. • Até 2m de coord de teste da conexão remota à unidade remota do testador de campo. Existem quatro parâmetros de teste em cada link: • Mapeamento (Wire Map) – Consiste em confirma a continuidade dos 8 condutores end-to-end. Indicando possíveis pares em curto (shorts between pairs), pares cruzados (crossed pairs), pares reversos (reversed pairs) e pares emendados (split pairs). • Comprimento (Length) – Método de medição do comprimento do cabo por meios elétricos. • Atenuação (Attenuation) – Método utilizado na medição da perda de sinal no canal ou link básico. • NEXT – Medição da quantidade de interferência do sinal que um par causa no outro. É testado em todos os pontos finais do link (pontos finais, locais e remotos). 2. Configuração do Teste do Canal (Chanel Test Configuration) O teste de canal é usado para verificar a desempenho do canal por inteiro. O canal possue os seguintes componentes: 12 • Até no máximo 90m de cabo horizontal incluindo o cabo entre o TC e um ponto de consolidação (opcional) e do ponto de consolidação ao outlet (armário) de telecomunicações. • Coord (cordão de conexão de máquina ou equipamento) da área de trabalho. • Conexões cruzadas nos armários de telecomunicações sendo de efetuadas através de patch coord ou cabo de jampeamento. O comprimento total dos coords, patch cords e cabos de jumpeamento e coords da área de trabalho não podem exceder 10m. 1.8.2 Norma TIA/EIA TSB 72 Diretrizes do Cabeamento Centralizado de Fibra Óptica (Centralized Optical Fiber Cabling). A TSB-72 foi criada para ajudar no planejamento de um sistema de cabeamento fibert-to-the-desk (FTTD) de 62.5/125mm, utilizando-se de equipamentos eletrônicos centralizados ao contrário do método tradicional de distribuição dos equipamentos a pisos individuais podendo-se estender a conexões da área de trabalho à conexão cruzada principal pela utilização de cabos pull-through (ligaçãodireta), uma interconexão ou uma emenda no armário de telecomunicações. Usar uma interconexão entre o cabeamento horizontal e o backbone permite a melhor flexibilidade, facilita o gerenciamento e pode facilmente migrar para uma conexão- cruzada. Porém deve-se ter o comprimento máximo do cabeamento horizontal em 90m. A distância do cabeamento horizontal e backbone combinada com os coords da área de trabalho, patch coords e coords de equipamento não pode exceder 300m. 13 O sistema de cabeamento centralizado deve localizar-se no interior do mesmo edifício das áreas de trabalho a serem servidas. Todo deslocamento e mudança de atividade devem ser executados na conexão cruzada principal. Links horizontais deveriam ser adicionados e removidos no armário de telecomunicações. Para isso deve haver um projeto do sistema de cabeamento centralizado permitindo a migração para o modo pull-through, interconexão ou emenda para uma implementação de conexão cruzada. Como método para facilitar esta migração, deve haver no escopo do projeto espaço suficiente no armário de telecomunicações permitindo futuros crescimentos e colocação de patch panels adicionais, bem como adequadas folgas (slack) nos cabos permitindo possíveis deslocamentos de cabos até a o local da conexão cruzada. Tal folga pode ser armazenada por cabos ou fibras sem conectores. No preenchimento da folga tem que se prevenir que o raio máximo para curvas nos cabos não sejam violados evitando assim possíveis danificações em fibras ópticas e outros. As folgas em cabos podem ser armazenadas em interiores ou nas paredes do armário de telecomunicações, porém devem ser usadas caixas para proteger folgas de fibras ópticas, devido suas limitações e especificações. Com relação ao backbone, providenciar que sejam permitidos futuros links horizontais, isto minimiza a necessidade de colocação de cabos de backbone adicionais. A fibra do backbone deve ser capaz de suportar atuais e futuras tecnologias de rede, sendo exigidas duas fibras para cada conexão da área de trabalho. A norma tem como exigência a utilização das seguintes normas ANSI/TIA/EIA-606 para etiquetagem do sistema de cabeamento centralizado, ANSI/TIA/EIA-568-A para assegurar a polaridade correta da fibra e especificações de conectores e métodos de conectorização implementando-se a orientação A-B na área de trabalho e a orientação B-A na conexão cruzada central. 14 1.8.3 Norma TIA/EIA TSB 75 Práticas Adicionais do Cabeamento Horizontal por Zonas (Additional Horizontal Cabling Practices for Open Offices) metodologia para atender ambientes de escritórios modulares aumentando a flexibilidade e diminuindo custos. Está descriminada da seguinte forma: 1. Referência o Cabeamento Horizontal para Escritórios Abertos (Horizontal Cabling for Open Offices) Um ponto de terminação horizontal (armário de telecomunicações multi-uso) e ou um ponto de interconexão horizontal intermediário (ponto de consolidação) criando assim maior flexibilidade em layouts de escritório aberto com mobília modular, onde se tem mudanças freqüentes. O armário de telecomunicações multi-uso (MUTO) e o ponto de consolidação devem estar em local complemente acessível, localização permanente. 2. Armário de Telecomunicações Multi-Uso (MUTO - Multi-User Telecommunications Outlet Assembly) O Armário de telecomunicações multi-uso (MUTO) tem por função ser um ponto de terminação para o cabeamento horizontal, consiste em vários armários de telecomunicações no mesmo local. O coord modular se estende do MUTO ao equipamento terminal sem conexões intermediárias adicionais. Esta configuração permite a mudança da planta do escritório sem afetar o cabeamento horizontal, seguindo-se dos seguintes critérios: • Não pode ser instalado no teto. • O comprimento máximo dos coords modulares deve ser de 20m. • O coord modular conectando o MUTO ao equipamento terminal deve ser etiquetado em ambas as pontas com um identificador único. 15 Deve ser identificado com o patch coord de maior comprimento da área de trabalho (cordão modular). O comprimento deste coord é calculado pelas fórmulas: C = (102 – H) / 1,2 W = C - 7 (O comprimento dos cabos, nas áreas de trabalho não podem exceder 20 m) Onde: C = é o comprimento máximo combinado do cabo que conecta o equipamento do usuário à tomada de telecomunicação, mais o cabo que conecta o equipamento no armário de telecomunicação e o cabo que interliga os patch panels; W = é o comprimento do cabo da área de trabalho; H = é o comprimento do cabo horizontal. A tabela abaixo mostra exemplos da aplicação das fórmulas: Comprimento do cabo horizontal (m) Comprimento máximo do cabo da área de trabalho (m) Comprimento máximo combinado dos cabos da área de trabalho e do armário de telecomunicações (m) 90 3 10 85 7 14 80 11 18 75 15 22 70 20 27 Tabela 1 – Aplicação da formula para o padrão TIA/EIA TSB 75. Já, utilizando cabos de fibra óptica, pode-se utilizar qualquer metragem entre os cabos horizontais, da área de trabalho e do armário de telecomunicação, desde que o 16 comprimento total não exceda 100m. Quando o cabeamento óptico for centralizado, deve- se seguir a orientação da norma TIA/EIA TSB 72. 3. Ponto de consolidação (Consolidation Point) È o ponto de interconexão no interior do cabeamento horizontal, na realidade executa uma ligação direta (straight-through) intermediária entre o cabeamento horizontal partindo da conexão cruzada e o cabeamento horizontal que vai para um MUTO ou para o armário de telecomunicações na área de trabalho. Não se deve haver conexões cruzadas entre os cabos e deve-se seguir as seguintes diretrizes: • Assegurar que a distância total do canal de maneira alguma ultrapasse a distância de 100 metros. • Assegurar a fixação dos cabos sem violar as especificações e características de cada material respeitando as exigências de mínimo raio de curvatura. • Garantir que o ponto de consolidação esteja a pelo menos 15m de distância do armário de telecomunicações, evitando o NEXT adicional devido à ressonância do link de múltiplas conexões nas proximidades do armário. • Garantir não mais que um ponto de consolidação e um MUTO no interior da mesma rota horizontal. 1.8.4 Norma ANSI/TIA/EIA-568-A Norma que caracteriza o mínimo de especificações de cabeamento estruturado, classificando os componentes da estrutura de instalação da seguinte forma: 1. Facilidade de entrada (Entrance facility) 17 Diz respeito á facilidade de entrada de cabos, hardware de conexão, dispositivos de proteção e outros equipamentos exigidos para o edifício. Os equipamentos no interior da sala podem ser utilizados para conexões de redes públicas ou privadas. 2. Conexão cruzada principal (Main cross-connect) A sala de equipamentos de telecomunicações pode ter a mesma localização da conexão cruzada principal. As técnicas de cabeamento que se aplicam aos armários de telecomunicações (TC) também se aplicam às salas de equipamentos. 3. Distribuição do backbone (Backbone distribution) Interconexão entre armários de telecomunicações, salas de equipamentos, podendo ser envolvidos os cabos, conexões cruzadas (intermediárias e principais) terminações, patch coords ou jumpers para conexões. • Tem-se diretrizes de vida útil de pelo menos 10 anos, prever a quantidade máxima de cabos suportada; • Assumir o sistema de distribuição da topologia estrela, podendo ser conectada a uma conexão cruzada principal, intermediária ou outra conexão principal, porém deve-se ter cuidado para não haver mais que dois níveis hierárquico de conexãocruzada principal. • O recomendado é a utilização de um dos seguintes recursos de conexões dentre elas, Cabo UTP de 100MHz, Cabo STP-A DE 150MHz, Cabo de fibra óptica 62.5/125 m, Cabo de fibra óptica monomodo ou Cabo coaxial de 50W (reconhecida, mas não recomendada para novas instalações). • Para efetuar a escolha do cabeamento a ser utilizado têm-se critérios de seleção da mídia dependendo de suas características, tais como flexibilidade (considerando-se os serviços suportados), vida útil e tamanho do local e quantidade a ser utilizada. • A recomendação de distância máxima do backbone também é um fator muito importante para a escolha do cabeamento como mostrado na tabela abaixo. 18 Levando em consideração que as distâncias especificadas não asseguram o total funcionamento do backbone. Distâncias máximas do backbone de distribuição Tipo de mídia Conexão cruzada horizontal a conexão cruzada principal Conexão cruzada horizontal a conexão cruzada intermediária Conexão cruzada principal a conexão cruzada intermediária UTP 800m 500m 300m Fibra Óptica 62.5/125m m 2000m 500m 1500m Fibra Óptica Monomodo 3000m 500m 2500m Tabela 2 - Distâncias máximas do backbone de distribuição Podemos observar que para aplicações de dados em alta velocidade o uso das categorias de cabo UTP 100MHz ou STP-A 150MHz de categorias 3, 4, ou 5 será limitado a uma distância total de 90m, isto considerando 5m a cada fim de conexão equipamento. 4. Conexão cruzada horizontal (Horizontal cross-connect) É a nome que se refere á armários de telecomunicações (Telecommunications closet functions) que tem por função a conexão em hardware de todos os cabeamentos horizontais, conexões cruzadas intermediárias ou mesmo o cabo de conexão do backbone. As conexões cruzadas e interconexões (Cross-connections and interconnections) pode ser dizer de conexões entre cabeamento horizontal e backbone ou equipamento conectando circuitos integrados (hardware). 5. Distribuição horizontal (Horizontal distribution) É parte do sistema de cabeamento que interliga o cabeamento da área de trabalho com a conexão cruzada horizontal no armário de telecomunicações, no cabeamento horizontal podemos encontrar saídas de telecomunicações na área de trabalho, terminações e patch 19 coords e jumpers no armário de telecomunicações. A distribuição horizontal também possue alguns fatores importantes como: • Diretrizes gerais de projeto (General design guidelines) Tem se como meta, satisfazer as especificações atuais, facilitando assim as manutenções e recolocações considerando também a possibilidade de futuras instalações de equipamentos e mudança de serviço uma vez que o cabeamento horizontal é o menos acessível que os outros e está sujeito a maior parte das atividades de uma implementação. • Topologia (Topology) O sistema de distribuição horizontal deve ter como padrão a topologia estrela onde os pontos dos cabeamentos da área de trabalho devem ser conectados em uma conexão cruzada horizontal no armário de telecomunicações localizado no mesmo piso da área de trabalho, não sendo permitido o uso de emendas e derivações. • Distâncias (Distances) O sistema deve atender a distância média de 90m correspondente ao comprimento total do cabo (da saída da área de trabalho até a conexão cruzada no armário de telecomunicações) onde é permitido no máximo 10m de comprimento para cada path coord de área de trabalho, de jumpeamento e de equipamentos, porém não se deve exceder 3m de comprimento máximo para path coords e jumpers usados para conexão com equipamentos de cabeamento horizontal ou do backbone. • Mídia reconhecida de distribuição horizontal (Recognized horizontal distribution Media) Pode-se ser utilizado o cabo UTP de 4 pares 100MHz, cabo STP-A de 2 pares 150MHz ou cabo de fibra óptica 62,5/125 m (duas fibras) como tipos de cabeamento para distribuição horizontal segundo a recomendação das normas, porém existe algumas observações: O cabo coaxial apesar de reconhecida não é recomendada para novas instalações. 20 Cabos híbridos (múltiplos tipos de mídia envoltos no mesmo cabo) podem ser usados se cada tipo de mídia reconhecida concordar com as exigências de transmissão e especificações de cores para este cabo além de ser necessário efetuar a distinção de cabos UTP multipares. • Critério de seleção de mídia (Media selection criteria) Para área de trabalho terão que ser equipadas com pelo menos dois armários de telecomunicações podendo-se ser associada com voz e a outra com dados, para o primeiro visa ser necessário cabo UTP 4 pares 100W, categoria 3 ou maior, e para o segundo o cabo UTP 4 pares 100MHz, categoria 5, cabo STP-A 2 pares 150MHz ou cabo óptico 2 fibras, 62,5/125 m·. 6. Área de trabalho (Work area) São definidos como componentes do panorama de trabalho, compreendidos entre cabines ou armários de telecomunicações utilizando cabos UTP 4 pares com no máximo 3m de comprimento de coords. A área de trabalho é apenas uma referência para a norma uma vez que é completamente variável e geralmente nunca são permanentes e em constante mudança. 1.8.5 Norma ANSI/TIA/EIA-569-A É uma das principais normas de cabeamento de rede tendo como foco as especificações de infra-estrutura de cabeamento estruturado, provendo especificações de projetos e direção para todas as instalações prediais. Identificando seis componentes de infraestrutura: facilidade de entrada, salas de equipamentos, rotas para backbone, disposição dos armários de telecomunicações, rotas horizontais e áreas de trabalho. 21 1. Facilidade de Entrada (Entrance Facility) Define-se pela facilidade de entrada em prédio ou backbone dos serviços de telecomunicações, podendo conter dispositivos com interface de redes públicas. Obrigatoriamente o local ser seco e perto das rotas do backbone vertical. 2. Sala de Equipamentos (Equipment Room) Sala cujo espaço destina-se para localização centralizada dos equipamentos comuns aos funcionários, sua localização e projeto têm que ser considerado à possibilidade de um aumento no número de equipamentos e em sua acessibilidade, necessitando assim de no mínimo requerido 14m². 3. Considerações Gerais de Projeto (General Design Considerations) Sala de equipamentos tende a ser um espaço centralizado para alojamento dos equipamentos de telecomunicações (PABX’s, servidores, roteadores, dentre outros) de um edifício, localizando-se próximo à rota do backbone. Seu tamanho tem como limite mínimo de 14m², porém para atender as características de específicos equipamentos, há a necessidade de efetuar de efetuar um projeto permitindo uma ocupação não uniforme do edifício, provendo de 0,07m de espaço da sala de equipamentos para cada 10m de espaço utilizável do piso. Em caso da sala de equipamentos estiver sendo projetada em andar, verificar que a capacidade do piso agüentará o peso dos equipamentos a serem instalados, bem como verificação de interferências, vibrações, altura, HVAC (equipamento dedicado à sala de equipamentos), iluminação, energia e prevenção de incêndios. 4. Rotas Inter-Edifícios (Inter-Building Pathways) Em um ambiente de campus, rotas inter-edifícios são necessárias dentre as quais efetua a conexão de edifícios separados. As listas ANSI/TIA/EIA-569-A de padrão de subsolo, aterramento, aéreo e túnel são os principais tipos de rotas usadas. 22 5. Rotas Inter-Edifício de Backbone Subterrâneo (Underground Inter-Building Backbone Pathways) Uma rota subterrânea é considerada um componenteda facilidade de entrada. Para planejamento de rota deve-se considerar as limitações vigentes na topologia, ventilação a fim de evitar acumulação de gases, tráfico de veículos para determinar a espessura da camada que cobre a rota e se a mesma deve ou não ser de concreto, se subterrâneas constituídas por conduítes, dutos e cochos, incluindo poços de inspeção. (possui continuação...) 1.9 Sistema de Distribuição Via Cabo para os Servidores Os cabos de alimentação dos servidores serão instalados sob o piso elevado e dispostos em leitos ou canaletas. Fibras e cabos coaxiais de dados que interligarão a sala de roteadores e Switches à sala de servidores terão instalação redundante, com um circuito caminhando sob o piso elevado e outro próximo aos bastidores dos servidores. Os painéis de distribuição dos cabos de dados estarão distribuídos ao longo de toda a sala dos servidores. O projeto do cabeamento é feito de acordo com padrões de cabeamento estruturado. 1.10 Sistema de Distribuição Via Cabo para WAN 23 1.10.1 Fibra Óptica Uma fibra óptica é composta basicamente de material dielétrico (em geral, sílica ou plástico), segundo uma longa estrutura cilíndrica, transparente e flexível, de dimensões microscópicas comparáveis às de um fio de cabelo. Abaixo é demonstrado os componentes da fibra óptica, esta figura foi retirada da monografia feita por Juliana de Oliveira Pinto, onde pode ser encontrada no endereço eletrônico: www.rederio.br/downloads/pdf/nt00102.pdf Figura 3 - Componentes da fibra óptica A estrutura cilíndrica da fibra óptica é formada por uma região central, chamada de núcleo, envolta por uma camada, também de material dielétrico, chamada casca, Abaixo é demonstrado a estrutura de uma fibra óptica, esta figura foi retirada da monografia feita por Juliana de Oliveira Pinto, onde pode ser encontrada no endereço eletrônico: www.rederio.br/downloads/pdf/nt00102.pdf 24 Figura 4 - Estrutura de uma fibra óptica A composição da fibra óptica oferece condições à propagação de energia luminosa através do seu núcleo, ela propaga luz por reflexões sucessivas. As fibras ópticas possuem algumas vantagens em relação a alguns dos meios físicos tradicionais, como o cabo coaxial e o par trançado. Por exemplo: - Baixas perdas de transmissão: diminui o número de repetidores. - Alta capacidade de transmissão: aumenta a quantidade de informação transportada. - Imunidade a interferências e isolação elétrica: os dados não são corrompidos durante a transmissão. - Segurança do sinal: a fibra não irradia de forma significativa a luz propagada, dando um alto grau de segurança a informação transportada. A fibra óptica moderna apresenta largura de faixa muito grande (multigigahertz x quilômetros) com baixa atenuação e pequena dispersão dos pulsos emitidos. Por estas propriedades os sistemas à fibra são os que apresentam o menor custo por quilômetro por canal instalado. O uso da fibra óptica também possue algumas desvantagens como: - Fragilidade das fibras ópticas sem encapsulamento - Dificuldade de conexões das fibras ópticas 25 - Acopladores tipo T com perdas muito grandes - Falta de padronização dos componentes ópticos A capacidade de transmissão (banda passante) de uma fibra óptica é função do seu comprimento, da sua geometria e do seu perfil de índices de refração (n). Existem duas classes principais de fibras: monomodo e multimodo A fibra multimodo possui vários modos de propagação e de acordo com o perfil da variação de índices de refração da casca com relação ao núcleo, classificam-se em: índice degrau e índice gradual, a diferença entre eles pode ser visto na figura a seguir. O seu diâmetro é bastante elevado, entre 50 e 80 mícrons, fazendo com que o feixe luminoso sofra reflexões, limitando o alcance do sinal a cerca de 2 Km. Devido a isso as fibras ópticas multimodo são utilizadas em redes locais ou de campus. Já a fibra monomodo possui dimensões muito pequenas, e uma capacidade de transmissão superior às fibras multimodo, o seu diâmetro de 10 mícrons, permite uma propagação da onda sem reflexão. A distância é claramente mais elevada e a largura de banda disponibilizada torna-se quase ilimitada. As fibras monomodo são utilizadas, sobretudo nas redes de longa distância, isto é, nas redes metropolitanas do tipo GigabitEthernet, ou em backbones de tipo SDH ou DWDM. Existem algumas características de transmissão em fibras ópticas que influenciam fortemente no desempenho das fibras com o meio de transmissão, como o DWDM. Na escolha do tipo de fibra óptica, para operação em sistemas WDM, devem ser analisados fatores como: atenuação, dispersão e efeitos não lineares, pois eles são fundamentais para um bom desempenho do sistema. Cada tipo de fibra apresenta algum comportamento para operação em WDM que irá resultar em restrições para este tipo de operação. Estas restrições terão impacto direto na performance do sistema, limitando sua capacidade de transmissão ou diminuindo o alcance dos enlaces. 26 1.10.2 DWDM EM REDES METROPOLITANAS Uma infra-estrutura DWDM é projetada para prover uma evolução de rede significativa para provedores de serviços que buscam atender as demandas de capacidade sempre crescentes de seus clientes. O potencial de fornecer capacidade aparentemente ilimitada de transmissão é obviamente uma das maiores vantagens dessa tecnologia. A tecnologia DWDM traz vantagens tanto no aspecto técnico quanto no aspecto econômico. Os sistemas WDM possuem algumas características que devem ser exploradas de acordo com a necessidade e situação: - Flexibilidade de capacidade: migrações de 622 Mbps para 2,5 Gbps e a seguir para 10 Gbps poderão ser feitas sem a necessidade de se trocar os amplificadores e multiplexadores WDM. - Transparência aos sinais transmitidos: podem transmitir uma grande variedade de sinais. Por não haver envolvimento de processos elétricos, diferentes taxas de transmissão e sinais poderão ser multiplexados e transmitidas para o outro lado do sistema sem que seja necessária uma conversão óptico-elétrica. A mesma fibra pode transportar sinais PDH, SDH e ATM de maneira transparente. - Permite crescimento gradual de capacidade: um sistema WDM pode ser planejado para 16 canais, mas iniciar sua operação com um número menor de canais. A introdução de mais canais pode ser feita simplesmente adicionando novos equipamentos terminais. - Reuso dos equipamentos terminais e da fibra: permite o crescimento da capacidade mantendo os mesmos equipamentos terminais e a mesma fibra. Além de aumentar a capacidade disponível exponencialmente em fibra embutida, o DWDM tem a vantagem de não precisar de equipamentos finais para ser implementado. São colocados lasers de DWDM, transponders, amplificadores, multiplexadores add/drop e 27 filtros em cima de arquiteturas de redes já existentes. Outra vantagem é que esta tecnologia obedece ao padrão de fibra G.652 (monomodo) que é utilizado na maioria dos backbones de fibra óptica. 1.10.3 TOPOLOGIAS DE REDE 1.10.3.1 PONTO-A-PONTO Topologias ponto-a-ponto podem ser implementadas com ou sem filtros add and drop (OADM). Esta topologia se caracteriza pela alta velocidade, entre 10 e 40 Gbps, e pela alta integridade do sinal. A distância entre transmissores e receptores pode ser de centenas de quilômetros. Abaixo é demonstrado um modelo de uma topologia ponto-a-ponto, esta figura foi retirada da monografia feita por Juliana de Oliveira Pinto, onde pode ser encontrada no endereço eletrônico: www.rederio.br/downloads/pdf/nt00102.pdf Figura5 - Modelo de uma topologia ponto-a-ponto. 28 1.10.3.2 ANEL Topologias em anel são as mais comuns em redes metropolitanas. A taxa de transmissão está entre 622 Mbps e 10 Gbps por canal. No hub o anel é iniciado, terminado e gerenciado, e nele é feita a conexão com outras redes. Nos OADM, um ou mais comprimentos de onda são inseridos ou retirados, e o restante dos comprimentos de onda são transparentes. A desvantagem é que o sinal está sujeito a perdas e amplificadores podem ser necessários. Abaixo é demonstrado um modelo de uma topologia anel, esta figura foi retirada da monografia feita por Juliana de Oliveira Pinto, onde pode ser encontrada no endereço eletrônico: www.rederio.br/downloads/pdf/nt00102.pdf Figura 6 - Modelo de uma topologia anel 1.10.3.3 MISTA Com o desenvolvimento das redes ópticas, topologias mistas se firmarão como sendo o tipo mais difundido de arquitetura de rede. Isso será possível devido à mobilidade que os OADM trazem à rede em conjunto com os switches. Topologias diferentes poderão ser 29 interconectadas facilmente. Tudo isso, no entanto implicará num alto grau de inteligência da rede no que se diz respeito ao gerenciamento e aproveitamento da banda disponível. Visto isso, um protocolo baseado em MPLS (MultiProtocol Label Switching) está sendo desenvolvido para dar suporte a rotas em redes puramente ópticas. Um comprimento de onda ainda não determinado deverá ser reservado para carregar mensagens de gerenciamento através dos elementos de uma rede mista. Abaixo é demonstrado um modelo de uma topologia mista, esta figura foi retirada da monografia feita por Juliana de Oliveira Pinto, onde pode ser encontrada no endereço eletrônico: www.rederio.br/downloads/pdf/nt00102.pdf Figura 7 - Modelo de uma topologia mista 1.10.3.4 EXEMPLO DE REDE 30 Na figura abaixo temos um exemplo de uma rede metropolitana puramente óptica misturando diferentes topologias e utilizando equipamentos DWDM, que são responsáveis por inserir e retirar os comprimentos de onda que serão utilizados. Por trás dos equipamentos ópticos podemos observar o uso de equipamentos de rede que não sofrem nenhum tipo de influência dos equipamentos DWDM, e desse modo podemos dizer que os equipamentos DWDM são transparentes em relação aos equipamentos de rede. Abaixo é demonstrado um modelo de uma topologia de uma rede DWDM, esta figura foi retirada da monografia feita por Juliana de Oliveira Pinto, onde pode ser encontrada no endereço eletrônico: www.rederio.br/downloads/pdf/nt00102.pdf Figura 8 - Modelo de uma topologia de uma rede DWDM 2 Segurança 31 De nada adianta utilizar os melhores aplicativos e sistemas de segurança lógica se o ambiente físico está desprotegido. O inverso também é arriscado. Entre as medidas de segurança que adotamos, estão: • Segurança Física: A segurança física é garantida através de controle de acesso aos prédios e controles em diferentes níveis em todas as áreas do IDC, usando sistemas de biometria de controle de acesso, onde todos os acessos são registrados. • Segurança Lógica: A segurança do DataCenter pode ser dividida em quatro níveis: Nível 1 - Listas de acesso - A segurança de Nível 1 é baseada em "access lists", que permitem ou negam acesso a determinado endereço ou até mesmo a serviços dentro do IDC.. Nível 2 - Listas de acesso interno - Este nível faz a filtragem por meio de VLans e Roteamento de IP interno. Desta forma, qualquer acesso não desejado proveniente do ambiente interno do IDC pode ser bloqueado. Nível 3 – Firewall - É feito por hardware específico e programas com arquitetura cliente/servidor, que promovem alto desempenho, escalabilidade e controle centralizado. Nível 4 - IDS Intrusion detection system - Por meio de servidores específicos, o IDS monitora todas as atividades, criando um ambiente de "câmeras de segurança", com a finalidade de detectar qualquer tentativa de invasão aos sistemas. Os IDCs oferecem aos seus clientes segurança física e lógica, visando manter a total integridade dos seus equipamentos e informações. A Internet tem se tornando um fator extremamente importante para a realização de acesso a serviços e comunicação entre as corporações, para realização de negócios. Com isso um desafio e necessidade se tornaram importante que é a proteção do acesso à rede interna das 32 corporações e bloqueios de determinados serviços que possam comprometer a funcionalidade da rede interna. Três fatores se tornaram importante: • Garantir a segurança da rede interna, pois contem servidores operacionais com dados confidenciais da empresa; • Controle de acesso à internet aos usuários, pois sabemos que acesso a conteúdos sem fins profissionais diminui a produtividade dos funcionários; • Minimizar os custos com banda de acesso à internet. 2.1 ISA Server O Microsoft Internet Security & Acceleration (ISA) Server 2004 é um firewall de camada de aplicação e inspeção avançada de pacotes, um servidor de rede privada virtual (VPN), solução de detecção de intrusos e uma solução de cache Web que permite aos clientes maximizarem facilmente os investimentos em TI aumentando a segurança e o desempenho da rede. Pode ser encontrados em duas edições, Standard Edition e Enterprise Edition, ambas possuindo o mesmo conjunto de funções, sendo a edição Standard voltada para servidor único, suportando até quatro processadores, enquanto a segunda é adequada para implementações em larga escala, suporte a cadeias de servidores e políticas de vários níveis com mais de quatro processadores. O Microsoft® Internet Security and Acceleration (ISA) Server fornece suporte a três tipos de clientes: • Clientes firewall são computadores clientes que possuem um software Firewall Client instalado e habilitado. 33 • Clientes SecureNAT (conversão de endereço de rede seguro) são computadores clientes que não possuem o Firewall Client instalado. • Clientes de proxy da Web são aplicativos Web clientes configurados para usar o ISA Server. Os computadores Cliente firewall e Cliente SecureNAT podem ser também Clientes de proxy da Web. Se o aplicativo da Web no computador estiver configurado explicitamente para usar o ISA Server, todas as solicitações da Web (HTTP, FTP, HTTPS e Gopher) serão enviadas diretamente ao serviço de Proxy da Web. Todas as outras solicitações serão tratadas primeiro pelo serviço de Firewall. 2.1.1 Modelo Bastion Host Topolia que utiliza o ISA Server com duas interfaces de rede, uma destinada a rede Interna e outra a rede Internet, controlando assim o tráfego de pacotes entrantes e saintes. MZ-LAN Internet 34 Figura 9 - Modelo Bastion Host 2.1.2 Modelo Three-Homed Mais conhecida como rede de perímetro, ou rede Desmilitarizada, onde o ISA Server é instalada com 3 interfaces de rede. DMZ MZ-LAN Internet Figura 10 – Modelo Three-Homed 2.1.3 Modelo Back-to-Back Topologia que utiliza 2 firewall, ou seja, cria uma redundância na proteção. 35 MZ-LAN Internet DMZ Figura 11 - Modelo Back-to-Back 2.2 Concorrentes OpenSources do ISA Server Para implementar todos os recursos que são encontrados no ISA Server utilizando o Opensource, deveremos utilizar ferramentas autônomas que gerarão resultados parecidos com os encontrados no ISA Server. Abaixo estão à relação de recursos utilizados no mundo opensource: • Sniffer – A maioria das distribuições opensources por padrão traz sniffers poderosos como tcpdump, ngrep, sendo estes utilizados em modo console.Para o modo gráfico podemos destacar o Ethereal, Netpeek, Netdude e Etherape. 36 • Análise de vulnerabilidade – Alguns programas são utilizados para analisar portas abertas que podem danificar a rede, problema no SMTP, Backdoors, Denial of Services e outros. O Nessus é um programa utilizado tanto no modo console quanto no gráfico para exibir vulnerabilidades encontradas na rede. O Nessus exibe os resultados em um relatório que pode ser gerado por vulnerabilidades especificas que foi solicitada pelo Administrador. • Firewall – Para a proteção contra invasões na rede é utilizado o firewall IPTables que utiliza o modo Pacote Stateful , onde o host X ao requisitar o uso da porta X com o host Y, ao receber a resposta o host Y não precisa fazer uma outra requisição pois o caminho já foi decorado pelo Firewall. • IDS – Para a identificação de intrusão é utilizada o SNORT uma ferramenta open- source poderosa de IDS, que trabalha com uma base de assinaturas de ataques em vários sistemas operacionais e serviços entre quais podemos destacar: IIS, SQL Server, Trojans (Subseven, BO2K, NetBus). • Controle de Conteúdo e Web Caching - Para o controle de lista negra, Controle temporizado, Controle por usuário, grupo e ou máquina, Definindo conteúdo em específico, Relatório legível das atividades (html), Controle de banda por usuário Cache de página para todos os usuários é utilizado o proxy Squid. • VPN - Permitir controle de acesso, integridade, confiabilidade, confidencialidade e autenticação no nível de rede através de criptografia forte.usando IPSEC padrão aberto proposto pelo IETF, suporte a X.509 certificate e compatibilidade com outros produtos de VPN (Win/2k/Check Point/ Cisco) Solução de segurança fim-a- 37 fim entre roteadores, firewalls, estações de trabalho e servidores. Implementação em Linux com custo inferior a qualquer solução similar em outra plataforma. A ferramenta mais popular para VPN na comunidade Linux é o projeto FreeSwan Kernel 2.4 ou Kame Kernel 2.6. 38 3 Redundância O Data Centers utiliza somente equipamentos e software de última geração e altíssima qualidade. Além disso, sua composição, climatização e energia são estruturadas em cadeias de redundância. Desta forma, caso haja falha em algum dos componentes ou equipamentos, imediatamente um outro entrará em atividade de forma a manter o funcionamento ininterrupto de todos os itens em um ambiente constantemente estável. Entre as soluções oferecidas por nosso sistema, estão: firewalls, roteadores, switches, geradores reserva e redundância de circuito elétrico. Abaixo temos uma figura ilustrativa de como podemos ter uma redundância de uma rede de computadores,levando em consideração balanceamento de carga, posicionamento dos equipamentos e cabeamento adequado, este projeto é implementado pela Cyber Data Center, podendo ser encontrado no endereço eletrônico: http://www.cydc.com.br/pt/infraestrutura/infraestrutura_redundancia.asp: 39 Figura 12 - Redundância de uma rede de computadores. 3.1 Entendendo Segmentação da Rede Em uma rede onde o domínio de broadcast tenha um numero maior de 500 hosts, será necessário fazer uma segmentação, pois se o numero for maior que 500 hosts a rede começa a ficar muito lenta e o número de colisões será muito maior. Abaixo uma breve descrição sobre os termos a serem empregados na rede: • Domínios de Colisão: Colisões são naturais em redes Ethernet, e até mesmo os erros oriundos de colisões são previstas e, quando dentro dos índices normais, perfeitamente aceitáveis. Redes onde o meio físico é compartilhado pelos computadores para que haja a transmissão dos dados, como é o caso de redes com HUBs, as colisões poderão tornar-se um grande problema, caso o tamanho do domínio de colisão seja muito grande. Caso uma rede possua 5 hubs interconectados, estes 5 hubs formarão um único domínio de colisão. Havendo muitas estações conectadas nestes 5 hubs, e dependendo do volume de tráfego gerado por estas estações, a performance da rede poderá ser severamente degradada. A solução para isto é a inserção de uma tecnologia para a micro- 40 segmentação da rede Ethernet. Uma vez que Swithes Ethernet consolidaram todos os recursos de uma bridge, além de trazerem muito mais performance e opções de configuração, fica claro que a solução ideal para a micro-segmentação trata-se, na verdade, de um bom switch para redes Ethernet. Com o hardware especializado do switch, é possível segmentarmos redes Ethernet para usufruírmos o máximo de performance, pois cada porta do switch é considerada um único domínio de colisão. Portanto, se um determinado switch possuir 24 portas, teremos no total 24 domínios de colisão. Note que há mais domínios, porém a tendência e reduzir o tamanho de cada um deles, tornando a rede muito mais produtiva. O problema dos switches, como você já deve saber, é que estes não são capazes de filtrar o tráfego broadcast (switches modernos possuem recursos que permitem "controlar" os broadcasts), e isto inclui também o tráfego multicast. A solução para o problema do domínio de broadcast é a inserção de um componente de camada 3 ("Network" ou "Rede", do RM-OSI). • Domínios de Broadcast: O problema do domínio de broadcast é que a maioria das estações normalmente recebe pacotes inúteis. Muitos protocolos de comunicação e aplicações fazem o envio de pacotes para "todos", mesmo que o objetivo seja alcançar somente um único host. Uma vez que "todos" recebem pacotes de "todos", a todo instante, há uma redução significativa na performance da rede, pois os computadores gastam banda e recursos de rede, inultimente. Sem contar que ao receber um broadcast, o computador interromperá ciclos de CPU apenas para tomar conhecimento de que aquele pacote deverá ser descartado; pois o este computador não era o destinatário para aquele pacote. Obviamente, broadcasts em muitos casos são necessários. Como fazer com que os broadcasts possam fluir naturalmente, quando necessário, sem gastar tanto os recursos de uma rede? A melhor maneira é "contê-los", ou melhor, confiná-los em pequenas áreas para que muitos hosts não sejam prejudicados desnecessariamente. Isto é concebido através da utilização de roteadores ou multilayer switches, pois estes dispositivos possuem componentes que operam na camada 3 do RM-OSI. 41 3.1.1 Motivo pelo qual devemos segmentar uma rede • Evitar o desperdício dos recursos de rede: A contenção do tráfego permite-nos preservar a banda e também os ciclos de CPU dos hosts. • Segurança: É possível criar domínios de broadcast para atender as necessidades mais específicas. Por exemplo, o departamento de finanças poderia ser confinado em seu próprio domínio de broadcast, assim como os Recursos Humanos de uma empresa poderia ficar confinado em seu próprio domínio de broadcast. Como não é possível haver a comunicação de dois domínios de broadcast sem o auxílio de um dispositivo de camada 3, é nesta parte onde entram os routers e firewalls. Implementar a segurança em redes nestas condições fica muito mais fácil e viável. Vale lembrar que o 2 computadores localizados em VLANs distintas NÃO compartilham o mesmo domínio de broadcast; daí a segurança adicional proporcionada pela inclusão de VLANs. • Controle de erros de transmissão de dados. Com os domínios de broadcast bem controlados, é possível reduzir a extensão dos danos causados por componentes físicos faltosos (cabos, placas de rede...) • Redução de custos. Em diversas ocasiões, a utilização de VLANs evita a compra desnecessária de diversos equipamentos(especialmente switches) para acomodar os computadores em uma rede. Além disto, existe uma facilidade enorme para o gerenciamento de uma rede com VLANs, o que reduz ainda mais o TCO destas redes. Em outras palavras, há uma redução significativa dos chamados "MAC" (Moves, Adds and Changes), uma tarefa bem conhecida dos administradores de redes. Na questão "Moves, Adds and Changes", é onde experimentamos um dos maiores benefícios de termos VLANs: ao invés de ter que realocar a conexão física de rede de um host (leia-se: cabo) para uma nova rede, simplesmente poderíamos 42 acessar o switch (telnet ou ssh), e alterar a VLAN para a porta correspondente ao host desejado. Bem simples assim, sem ter que sair de sua mesa. • Performance: Com as VLANs, temos os domínios de broadcast. Dimensionando estes domínios adequadamente, teremos uma redução do volume de broadcasts recebidos pelos computadores conectados aos switches, o que resultaria em performance. 3.1.2 Entendendo VLAN VLANs foram criadas para atender as mesmas necessidades citadas no cenário mostrado anteriormente, com a adição de alguns recursos extras que permitem uma flexibilidade muito superior aos demais modelos. A maior vantagem de termos VLANs é que podemos espalhar grupos inteiros entre demais switches ou localidades físicas. 3.1.2.1 Tipo de VLAN • ISL: Proprietário Cisco. O ISL adiciona um header e um trailer para o frame Ethernet, acrescentando 30 bytes. Por este motivo o ISL é conhecido por executar o "external tag" ou "encapsulation" sobre os frames Ethernet percorrendo em um trunk que liga dois switches Cisco. 43 • IEEE 802.1q: Também conhecido como "dot1q", executa o chamado "internal tag", onde é adicionado apenas 1 field para o frame Ethernet. É compatível com todos os switches, justamente por ser padrão IEEE. 3.1.2.2 - Trunking Com a utilização de trunking é possível passar o tráfego de múltiplas VLANs em um único link. Os cenários possíveis incluem o interVLAN routing e o gerenciamento de VLANs através de switches Cisco interligados por trunks. 1. ISL: Proprietário Cisco para redes Ethernet 2. 802.1Q (ou dot1q): Padrão criado pelo IEEE para redes Ethernet 3. 802.10: Padrão criado pelo IEEE para redes FDDI 4. ATM LANE: Para redes ATM 3.1.2.3 VLAN Trunking Protocol (VTP) O VTP é um protocolo proprietário da Cisco, cujo objetivo é manter a consistência da configuração das VLANs nos switches Cisco, em adição as características de 44 gerenciamento (adicionar, remover, renomear) VLANs através de vários switches espalhados pela rede. Com o VTP é possível reduzir drasticamente os esforços para a manutenção das VLANs em uma rede Cisco, especialmente quando esta rede é grande, e há uma constante atualização das VLANs. Entre outros benefícios, é possível identificar erros de nomeação, tipo de VLAN e violações de segurança. De fato, o VTP é uma mão- na-roda, especialmente quando lidando com redes grandes. 3.1.2.4 Introdução ao protocolo Spanning Tree (STP) O Spanning Tree Protocol, ou simplesmente "STP", é um protocolo orientado à camada 2 do RM-OSI (Data-Link, ou "Enlace de Dados"), que permiti a comunicação entre os switches participantes em uma rede Ethernet, cujo seu propósito é oferecer a redundância necessária ao mesmo tempo em que evitando a ocorrência de loops na rede. Em redes de Camada 3 (Network ou Rede), o protocolo de roteamento é o elemento responsável pela convergência de links faltosos, ao mesmo tempo em que estes protocolos oferecem mecanismos para evitar o loop na rede. 45 3.1.2.5 HEARTBEAT O Heartbeat é usado para construir uma comunicação de altíssima disponibilidade. Ele pode fazer 2 nodos IP com capacidade de assumirem os recursos e serviços de um número ilimitado de interfaces IP. Ele trabalha enviando um ‘heartbeat’ entre 2 maquinas através de uma ligação serial, ethernet, ou ambas. Se o heartbeat falhar, a maquina secundária irá detectar que a primária falhou, e assumir os serviços que estavam rodando na maquina primária. Nesta implementação estaremos utilizando duas interfaces ethernet para divulgação dos pacotes de heartbeat. A interface disponível aos usuários (eth0) e uma interface dedicada de conexão entre os dois nodos do servidor. O heartbeat será o responsável pela alta disponibilidade do serviço de balanceador de carga e replicação de discos. Vlans Criadas: - SEGMENTO#1 - SEGMENTO#2 - SEGMENTO#3 - SEVER_ MATRIZ Servidores Tr un ki ng Tr u nk in g Tr u n ki n g Tr un ki ng Tr un ki n g Trunking Trunking Trunking ST P STP STP STP ST P Core Distribuition Access Redudancia para os servidores 46 3.2 Contigência WAN Para que uma rede esteja sempre disponível será necessário utilizar métodos que façam com que a rede não fique inoperante e não prejudique todo o conjunto corporativo. Assim, será necessário criar uma redundância (contigência WAN). Para que haja a redundância será necessário utilizar o método mais adequado e claro mais barato, porém este barato não deve deixar a duvidar sobre a sua integridade e funcionalidade, sendo assim iremos utilizar o protocol VRRP que é um padrão de fato e claro que é configurável nos roteadores da Cisco. 3.2.1 Hot Standby Router Protocol (HSRP) O Host Standby Router Protocol (HSRP) é uma solução proprietária da Cisco para oferecer alta disponibilidade em redes compostas por roteadores e multilayer switches Cisco. Oferecendo serviços similares ao VRRP (também suportado pela Cisco), o HSRP garante a alta disponibilidade através da criação e manutenção de um endereço IP em um gateway "virtual". Desta forma, os computadores em uma rede não dependem de um único router para garantir a continuidade da comunicação entre os sistemas em operação. 3.2.2 Virtual Router Redundanci Protocol (VRRP) 47 Uma solução de alta disponibilidade em redes de computadores atualmente é muito importante para empresas que prestam e vendem serviços utilizando a Internet. Quando possuímos um ponto de falha na rede as empresas buscam medidas de redundância (duplicidade de equipamentos) para estes pontos. O VRRP é o protocolo padrão definido pela RFC 3768, ou seja, os fabricantes de equipamentos devem possuir este protocolo para que esta solução seja capaz de interligar equipamentos de diferentes fabricantes. Os outros protocolos (HSRP, ESRP entre outros) são proprietários de fabricantes. Estes protocolos têm a função de alta disponibilidade aplicada como gateway de redes e cluster de servidores. O VRRP is designado para eliminar pontos de falhas criados por default- gateway de rede LAN (LOCAL AREA NETWORK). Estas redundâncias devem possuir dois ou mais elementos idênticos ao equipamento que se quer ter alta disponibilidade. Após a replicação de equipamentos utilizamos um protocolo que forneça a disponibilidade atuando entre os equipamentos, por exemplo, dois roteadores sendo usados como a saída para a internet. O VRRP fornece um caminho de saída alternadas em uma rede LAN para as estações sem precisar que estas mudem o endereço IP de gateway conhecido. Entender porque o HSRP e o VRRP são componentes que oferecem alta disponibilidade não é muito complicado. Existem diversas formas para concebermos um certo nível de redundância em redes de computadores, mas a maioria dos métodos mais conhecidos (e disponíveis) sequer apresentam metade dos benefícios do HSRP e do VRRP. É comum encontrarmos redes altamente redundantes, repletas de links alternativos onde o tráfego poderá ser facilmente encaminhado para estes links em eventos onde o link primário tornar- se indisponível. Imagineuma rede totalmente redundante. Agora pare e pense: O que é necessário para um computador poder se comunicar (enviar/receber dados) em uma rede TCP/IP? Cada computador precisará de: • Endereço IP • Máscara de subrede • Rota default 48 Mas como o TCP/IP indica que somente um único endereço IP deverá constar como "default gateway" em um computador, o que aconteceria caso o referido roteador (default gateway) ficasse indisponível? Por mais que você possua roteadores redundantes em sua camada de acesso, os computadores presentes nesta só poderão ter um único default gateway, e, caso este default gateway torne-se indisponível, os demais roteadores alternativos não seriam utilizados, pois para isto você precisaria alterar o parâmetro sobre o default gateway em cada computador em sua rede. E este é o grande problema no que diz respeito a redundância na camada de acesso em uma rede de computadores. O HSRP e o VRRP entram justamente aí neste cenário. Ao invés de fornecermos o IP da interface física do roteador designado para exercer a função "default gateway", para os computadores em uma rede, forneceremos um endereço IP virtual que será utilizado por um pool de roteadores em condições de oferecer o serviço "default gateway", para estes computadores, presentes na camada de acesso. Este endereço IP virtual será utilizado por um destes roteadores, devendo os demais apenas monitorar a disponibilidade deste roteador primário, portanto permanecendo em uma condição "standby" ou "backup". Caso o roteador primário sofra alguma paralisação, um dos roteadores que estiver na condição "standby" assumirá o IP e MAC address virtuais, garantindo a rápida recuperação do serviço. Em 99.9% dos casos, os usuários sequer notam que houve um problema na rede 3.2.3 BGP (Border Gateway Protocol) Conforme artigo escrito no site da RNP por Alex Soares de Moura, no endereço http://www.rnp.br/newsgen/9705/n1-1.html#ng-bgp, a definição de BGP é: O BGP [RFCs 1771,1772,1773,1774,1657] assim como o EGP, é um protocolo de roteamento interdomínios, criado para uso nos roteadores principais da Internet. 49 O BGP foi projetado para evitar loops de roteamento em topologias arbitrarias, o mais serio problema de seu antecessor, o EGP (Exterior Gateway Protocol). Outro problema que o EGP nao resolve - e é abordado pelo BGP - é o do Roteamento Baseado em Politica (policy-based routing), um roteamento com base em um conjunto de regras não-técnicas, definidas pelos Sistemas Autônomos. A ultima versão do BGP, o BGP4, foi projetado para suportar os problemas causados pelo grande crescimento da Internet. 3.3 Topologia Final do Data Center 50 Internet BGP Rádio Telefonica Fibra Óptica HSRP Heart Beat VRRP Blocos: X1/24 X2/24 X3/24 X1.10 X2.0 X3.10 X1.0 X2.10 X3.0 X1.1 X2.1 X3.1 X1 X2 X3 Segurança Primária Compartilhada X1 X2 X3 X1.1/26 – Cliente A X1.2/26 – Cliente B VRRP Figura 14 - Topologia Final do Data Center O nosso Data Center contêm 2 links sendo um via Rádio e o outro via Fibra, tornando-o reduntante. 51 Uma faixa de ip foi comprado junto a FAPESP e foi criado sub-redes para alocar os servidores de acesso público, além de possibilitar um melhor balanceamento de carga utilizando Switchs de Nível 7 e o Linux Virtual Server (LVS). A legenda Blocos, representa as sub-redes que foram criadas com a faixa de IP´s que foi comprado junto a FAPESP. A legenda x1.0, X2.10 e X3.0, representa a prioridade que vai ser dada a solicitação do usuário externo, para que assim acha o balanceamento de carga, onde a priordade maior será dada ao link óptico, pois a prioridade 0 é respeitada. A legenda X1, X2 e X3, representa as sub-redes criadas, sendo este exemplo hipotético para representar o caminho que cada sub-rede faz até chegar aos servidores. A legenda X1.1/26 “cliente A” e a X1.2 “cliente B” representam cada sub-rede e a segmentação, pois quando um cliente contrata nossos serviços para alocar um servidor de domínio publico ele terá um IP válido para a Internet. Cada cliente estará em uma rede diferente do outro cliente, assim manterá a integridade da informação. 4 Alta Disponibilidade de Dados 52 4.1 Storage Esse serviço oferece ao cliente uma solução de armazenamento com redundância numa arquitetura robusta de alta disponibilidade em disco virtual. Isso porque a disponibilidade de dados, a compatibilidade e a escalabilidade dos dados são fatores primordiais para o melhor desempenho de seus negócios. Abaixo modelo da topologia implementada no nosso Data Center: 53 Banco de Dados Heart Beat VRRP DWDM DWDM OSPF HSRP OSPF Heart Beat VRRP STORAGE HSRP Switch Óptico Switch Óptico Gigabit Gigabit Gigabit Figura 15 - Alta Disponibilidade de Dados 54 4.2 Backup Os backups são cópias de segurança que permitem à organização empresa ou usuário estar seguro de que, se uma falha grave ocorrer nos computadores assim como nos servidores, esta não implicará a perda total da informação contida no sistema que, ao contrário do que acontece com o hardware, não é substituível. Uma boa arquitetura de backup e recuperação deve incluir um plano de prevenção de desastres, procedimentos e ferramentas que ajudem na recuperação de um desastre ou falha de energia, além de procedimentos e padrões para realizar a recuperação. Podemos distinguir dois tipos de backup, os backups físicos e os backups lógicos. Os backups físicos são os locais onde estão guardadas todas as informações do banco de dados. Geralmente essas unidades são chamadas de "fitas de backup", apresentando uma grande capacidade de armazenamento físico, podendo ser reposto a qualquer momento. Já o backup lógico é apenas o "salvamento" dos dados do banco de dados, porém não será armazenado em forma física e sim virtual. O serviço de backup pode restaurar rapidamente o sistema operacional, os dados e as aplicações, minimizando ao máximo o período de down-time, caso ocorra uma falha parcial ou mesmo uma falha total no equipamento do cliente hospedado no nosso DataCenter. 4.3 Armazenamento de Dados O backup de dados pode ter sua segurança comprometida se os dispositivos de armazenamento estiverem no mesmo local físico. O ideal é que as mídias e demais 55 dispositivos estejam localizados em local que obedeça às condições de segurança de acesso e de armazenamento e que permita, em caso emergencial, que esses recursos possam ser utilizados para restauração em um outro dispositivo obtido emergencialmente no mercado ou disponibilizado por um Data Center, como é o nosso caso, onde seremos contratado para tal contingência. Existem no mercado técnicas diferentes de apoio nos processos de backup e recuperação. Entre elas fornecemos as seguintes: ● ASPs (Auxiliary Storage Pool) - Os discos podem ser separados em conjuntos específicos denominados ASPs o que permite isolar objetos do cliente. Quando houver falha nos discos de uma ASP, os outros ASPs não são afetados, reduzindo, assim, a possibilidade de perda dos dados; ● Clustering - Um cluster pode ser definido como uma configuração ou um grupo de servidores independentes que aparecem na rede como uma simples máquina. Ele é desenhado de tal forma que uma falha em um dos componentes seja transparente aos usuários; ● Mirrored (espelhamento) - É a técnica onde os discos são espelhados, ou seja, é feita uma cópia exata de cada um em servidores diferentes. Em caso de falhas ou perda de um disco, o outro assume inteiramente o papel até a substituição do disco com problemas. O segundo servidorpode estar localizado a qualquer distância do primeiro (outra sala, outra cidade, outro estado ou mesmo outro país). Apresenta como vantagem não gastar tempo para a cópia, pois ocorre em tempo real, mas necessita de backup em caso de falha nos dados do servidor principal, além da necessidade de se ter dois servidores. ● Device Parity Protection - O device parity tem a tecnologia similar ao do RAID-5 (redundant array of independent disks) e permite a manutenção concorrente quando houver falha em um dos discos; ● Dual System – Semelhante ao espelhamento, temos dois sistemas onde um deles (primário) atualiza constantemente o outro (secundário), permitindo assim a existência 56 de uma base de dados duplicada e atualizada. Quando o sistema primário falha, o sistema secundário assume o seu papel; ● Contingência - Todo o sistema pode ser transferido para a nossa instalação. Essa mudança envolve o chaveamento dos links de comunicação entre o nosso Data Center e todas as filiais do cliente; 4.4 Disaster Recovery/Restore Através do serviço disaster recovery/restore o sistema operacional, dados e aplicações podem ser restaurados em poucas horas. Assim, o período de down-time é minimizado ao máximo, caso ocorra uma falha parcial ou mesmo uma falha total no equipamento do cliente hospedado no nosso DataCenter. 4.5 Load Balancing O balanceamento de carga entre servidores faz parte de uma solução abrangente em uma explosiva e crescente utilização da rede e da Internet. Provendo um aumento na capacidade da rede, melhorando a performance. Um consistente balanceamento de carga mostra-se hoje, como parte integrante de todo o projeto de Web Hosting e comércio eletrônico. Os sistemas baseado em balanceamento de carga integram seus nodos para que todas as requisições provenientes dos clientes sejam distribuídas de maneira equilibrada entre os nodos. Os sistemas não trabalham junto em um único processo, mas redirecionando as requisições de forma independente assim que chegam baseados em um escalonador e um algoritmo próprio. 57 Adicionalmente, para que um servidor seja escalável, tem que assegurar que cada servidor seja utilizado completamente. Quando não fazemos o balanceamento de carga entre servidores que possuem a mesma capacidade de resposta a um cliente, começamos a ter problemas, pois um ou mais servidores podem responder a requisição feita e a comunicação fica prejudicada. Por isso devemos colocar o elemento que fará o balanceamento entre os servidores e os usuários e configurá-lo para isso, entretanto podemos colocar múltiplos servidores de um lado que, para os clientes, eles parecerão ser somente um endereço. Um exemplo clássico seria o Linux Virtual Server, ou simplesmente preparar um load balancer de DNS. O elemento de balanceamento terá um endereço, por onde os clientes tentarão fazer contato, chamado de Virtual Server (VS), que redirecionará o tráfego para um servidor do pool de servidores. Esse elemento deverá ser um software dedicado a fazer todo esse gerenciamento, ou poderá ser um equipamento de rede que combine performance do hardware e software para fazer a passagem dos pacotes e o balanceamento de carga em um só equipamento. Devemos salientar alguns pontos principais para que uma implementação em um ambiente de sucesso com balanceamento de carga nos servidores: O algoritmo usado para o balanceamento de carga, levando-se em consideração como é feito o balanceamento entre os servidores e quando um cliente fizer uma requisição para o endereço virtual (VS), todo o processo de escolha do servidor e resposta do servidor deve ocorrer de modo transparente e imperceptível para o usuário como se não existisse o balanceamento. Criar um método usado para checar se os servidores estão vivos e funcionando, vital para que a comunicação não seja redirecionada para um servidor que acabou de ter uma falha (keepalive). Um método usado para se ter certeza que um cliente acessar o mesmo servidor quando quiser. 58 Balanceamento de carga é mais que um simples redirecionamento do tráfego dos clientes para outros servidores. Para implementação correta, o equipamento que fará o balanceamento precisa ter características como verificação permanente da comunicação, checagem dos servidores e redundância. Todos esses itens são necessários para que suporte a escalabilidade do volume de tráfego das redes sem vir a se tornar um gargalo ou um ponto único de falha. Os algoritmos para balanceamento são um dos fatores de maior importância neste contexto, vamos então explanar três métodos básicos: • Least Connections - Esta técnica redireciona as requisições para o servidor baseado no menor número de requisições/conexões. Por exemplo, se o servidor 1 está controlando atualmente 50 requisições/conexões, e o servidor 2 controla 25 requisições/conexões, a próxima requisição/conexão será automaticamente direcionada para o servidor 2, desde que atualmente o servidor tenha um número menor de requisições/conexões ativas. • Weighted Least Connection: Similar ao Least Connection, só que com pesos. O número de conexões ativas é ponderado pelo peso antes de se decidir para qual servidor a requisição vai ser encaminhada. Por xemplo, em um ambiente com as máquinas m1 e m2 com peso 1 e a máquina m3 com peso 2. Se o número de requisições ativas for, respectivamente 50, 60 e 70, o número de conexões efetivas é igual à Nconexões/Peso, ou seja, 50, 60 e 35. A próxima requisição vai para a máquina m3, pois esta máquina apresenta a menor relação número de requisições por peso de processamento. • Round Robin: O Round Robin funciona da seguinte forma. Uma pequena unidade de tempo, denominada timeslice ou quantum, é definida. Todos os processos são armazenados em uma fila circular. O escalonador da CPU percorre a fila, alocando a CPU para cada processo durante um quantum (previamenmte definido). Mais precisamente, o escalonador retira o primeiro processo da fila e procede à sua 59 execução. Se o processo não termina após um quantum, ocorre uma preempção, e o processo é inserido no fim da fila. Se o processo termina antes de um quantum, a CPU é liberada para a execução de novos processos. Em ambos os casos, após a liberação da CPU, um novo processo é escolhido na fila. Novos processos são inseridos no fim da fila. Quando um processo é retirado da fila para a CPU, ocorre uma troca de contexto, o que resulta em um tempo adicional na execução do processo. • Weighted Round Robin: Semelhante a uma política FIFO, porém com pesos. Normalmente se deseja que um servidor com mais recursos computacionais aceite mais requisições do que um servidor com menos recursos. O servidor vai entrar na fila proporcionalmente ao seu peso. Assim, se as máquinas m1, m2, m3 e m4 tiverem o mesmo poder computacional e a máquina m5 tiver o dobro, seria uma boa idéia colocar peso 1 para as máquinas m1, m2, m3 e m4 e peso 2 para a máquina m5. Um possível escalonamento de tarefas, neste caso seria m1, m2, m5, m3, m4, m5, m1, m2, m5, m3, m4, m5. • Weighted Fair: Esta técnica dirige os pedidos para os servidores baseados na carga de requisições de cada um e na capacidade de resposta dos mesmos (performance) Por exemplo, se o servidor 1 é quatro vezes mais rápido no atendimento aos pedidos do que o servidor 2, o administrador coloca um peso maior de trabalho para o servidor 1 do que o servidor 2. • Locality Based Least Connection: Este algoritmo atribui os trabalhos com o mesmo endereço de destino sempre ao mesmo servidor a menos que ele esteja sobrecarregado ou indisponível n ol momento. No caso
Compartilhar