Projeto de Redes Top-Down Capítulo 5 Projetando a Topologia da Rede Copyright 2004 Cisco Press & Priscilla Oppenheimer

Topologia Matemática Ramo que cuida das propriedades da configuração geométrica que permanecem inalteradas quando deformadas, esticadas ou torcidas Redes de computadores Termo usado para descrever a estrutura física da rede Did you know that according to topologists, a coffee cup and donut are the same shape? If they were made of clay, for example, consider how easy it would be to mold the one to look like the other, while retaining the most significant characteristics (such as the roundedness and the hole). Just like with coffee and donuts made of clay, in the networking field, during the logical design phase, we are more concerned with the overall architecture, shape, size, and interconnectedness of a network, than with the physical details. For more information regarding topology, coffee, and donuts, see: http://en.wikipedia.org/wiki/Topology and http://msl.cs.uiuc.edu/planning/node93.html

Projeto da Topologia da Rede Hierarquia Redundância Modularidade Entradas e saídas pré-definidas Parâmetros protegidos

Por que usar um modelo hierárquico? Redução da carga de trabalho dos dispositivos de rede Evita ao máximo o tráfego entre os dispositivos Confina o domínio de broadcast Maior simplicidade e compreensão da estrutura da rede Facilita mudanças Facilita escalabilidade

Projeto de Rede Hierárquica Backbone WAN Campus A Campus B Campus C Prédio C-1 Prédio C-2 Backbone de Campus C Camada de Núcleo da Rede Camada de Distribuição Camada de Acesso

Modelo de Projeto Hierárquico da Cisco Camada de Núcleo da rede Roteadores e switches que são otimizados para maior disponibilidade de taxa de dados Camada de Distribuição Roteadores e switches que implementam mecanismos de policiamento e segmentação do tráfego Camada de Acesso Conecta usuários através de hubs, switches e outros dispositivos

Modelo plano vs Modelo Hierárquico Escritório Central Escritório 3 Escritório 2 Escritório 1 Escritório 4 Escritório Central Escritório 3 Escritório 2 Escritório 1 Topologia Plana com loop Topologia hierárquica com redundância

Topologia Mesh Topologia Mesh Parcial Topologia Mesh Total

Projeto Mesh Parcial com Hierarquia Escritório Central (Núcleo da Rede) Escritórios Regionais (Camada de Distribuição) Escritórios de Filiais (Camada de Acesso)

Topologia Hierárquica Eixo-Raios Escritório da Matriz da Corporação Escritório de Filial Escritório Doméstico Escritório de Filial

Evite Cadeias e Backdoors Camada de Núcleo da Rede Camada de Distribuição Camada de Acesso Backdoor (Porta dos Fundos) Cadeia

Como saber quando se tem um bom Projeto ? Quando você já sabe como adicionar um novo prédio, andar, ligação WAN, site remoto, serviço de e-commerce e assim por diante Quando novos serviços geram apenas mudanças locais, diretamente nos dispositivos conectados Quando sua rede pode dobrar ou triplicar de tamanho sem grandes mudanças no projeto Quando problemas são fáceis de resolver porque não há interações complexas de protocolos que podem consumir muito tempo para resolver Said by Dr. Peter Welcher, consultant and author of many networking articles in magazines, etc.

Topologia de Projeto Corporativa de Campus Campus Corporativo Provedor de Serviço de Borda Acesso aos Prédios Distribuição dos Prédios Backbone de Campus Servidores Borda da Corporação E-Commerce Conectividade Internet VPN/ Acesso Remoto WAN ISP A ISP B PSTN Frame Relay, ATM Gerência de Rede Infraestrutura de Campus Distribuição da Borda

Projeto da Topologia de Campus Use um modelo hierárquico e dividido em módulos Minimize o tamanho da largura de banda dos domínios Minimize o tamanho dos domínios de broadcast Faça uso de redundância Servidores espelhados Múltiplos caminhos para que as estações de trabalho possam chegar ao roteador em caso e falhas na rede

Módulos de uma Rede Corporativa de Campus Servidores Módulo de Gerência da Rede Módulo de Distribuição de Borda Conectividade com o restante do planeta Módulo de Infraestrutura de Campus Submódulo de acesso aos prédios Submódulo de distribuição aos prédios Backbone de Campus Building access submodule. Located within a campus building, this submodule contains end-user workstations and IP phones, connected to switches or wireless access points. Higher-end switches provide uplinks to the building distribution module. Services offered by this module include network access, broadcast control, protocol filtering, and the marking of packets for QoS features. Building distribution submodule. The job of this submodule is to aggregate wiring closets within a building and provide connectivity to the campus backbone via routers (or switches with routing modules). This submodule provides routing, QoS, and access control methods for meeting security and performance requirements. Redundancy and load sharing are recommended for this submodule. For example, each building distribution submodule should have two equal-cost paths to the campus backbone. Campus backbone. The campus backbone is the core layer of the campus infrastructure. The backbone interconnects the building access and distribution submodules with the server farm, network management, and edge distribution modules. The campus backbone provides redundant and fast-converging connectivity. It routes and switches traffic as fast quickly as possible from one module to another. This module usually uses high-speed routers (or switches with routing capability) and provides QoS and security features.

Topologias Redundantes no Projeto de uma Rede A disponibilidade é obtida com a redundância de enlaces e dispositivos de interconexão O objetivo é eliminar pontos únicos de falha, duplicando qualquer recurso cuja falha desabilitaria aplicações de missão crítica Pode duplicar enlaces, roteadores importantes, uma fonte de alimentação Em passos anteriores, você deve ter identificado aplicações, sistemas, dispositivos e enlaces críticos Para dispositivos muito importantes, pode-se considerar o uso de componentes "hot-swappable" A redundância pode ser implementada tanto na WAN quanto na LAN Há obviamente um tradeoff com o custo da solução

Caminhos Alternativos Para backupear enlaces primários Três aspectos são importantes Qual deve ser a capacidade do enlace redundante? É frequentemente menor que o enlace primário, oferecendo menos desempenho Pode ser uma linha discada, por exemplo Em quanto tempo a rede passa a usar o caminho alternativo Se precisar de reconfiguração manual, os usuários vão sofrer uma interrupção de serviço Mecanismo automático de recuperação de falhas pode ser mais indicado Lembre que protocolos de roteamento descobrem rotas alternativas e switches também (através do protocolo de spanning tree) O caminho alternativo deve ser testado! Não espere que uma catástrofe para descobrir que o caminho alternativo nunca foi testado e não funciona! Usar o caminho alternativo para balanceamento de carga evita isso

Um projeto simples de redundância em um Campus Host A LAN X Switch 1 Switch 2 LAN Y Host B

Pontes e Switches usam o Protocolo STP (Spanning-Tree Protocol) para evitar Loops Host A LAN X X Switch 1 Switch 2 LAN Y Host B

Pontes e Switches rodando o STP STP – Spanning Tree Protocol – Protocolo de Árvore de Cobertura Este algoritmo é usado para prevenir o loop em redes com redundância Escolhe-se um subconjunto de pontes da rede de tal forma que a topologia seja uma árvore Em situação de operação normal, algumas pontes não serão usadas A vantagem deste protocolo é que no caso de falhas não há necessidade de intervenção humana para restaurar a comunicação A própria rede recalcula a árvore usando as pontes que não estavam sendo utilizadas If all ports have equal distance to the Root Bridge, then the Designated Port is chosen by lowest sender Bridge ID. If the IDs are the same, then the port is chosen by lowest Port ID. In general, STP checks for the best information by using these four criteria in the following order: Lowest Root Bridge ID Lowest path cost to the Root Bridge Lowest sender Bridge ID Lowest Port ID See Top-Down Network Design for more details.

Construção da Árvore de Cobertura Escolhe-se uma ponte raiz: Faz-se a difusão (broadcast) do número de série da ponte (único no mundo, como endereço MAC Ethernet) A ponte com menor número de série é a raiz da árvore Cada ponte calcula o caminho mais curto até a raiz Ter uma rota de cada ponte até a raiz é equivalente a ter uma rota entre cada par de pontes Estes caminhos irão gerar a árvore de cobertura que irá determinar por onde os quadros irão passar Algumas pontes ficam fora da árvore de cobertura No caso de falha de alguma ponte, a árvore é recalculada e a(s) pontes que estavam fora da árvore poderão ser usadas

Eleição da Ponte Raiz Ponte com o menor ID é escolhida Ponte A ID = 80.00.00.00.0C.AA.AA.AA Ponte com o menor ID é escolhida Raiz Ponte A Porta 1 Porta 2 Segmento de LAN 1 100-Mbps Ethernet Custo = 19 Segmento de LAN 2 100-Mbps Ethernet Custo = 19 Porta 1 Porta 1 Ponte B Ponte C Porta 2 Porta 2 Ponte B ID = 80.00.00.00.0C.BB.BB.BB Ponte C ID = 80.00.00.00.0C.CC.CC.CC Segmento de LAN 100-Mbps Ethernet Custo = 19

Determine as Portas Raiz Ponte A ID = 80.00.00.00.0C.AA.AA.AA Menor Custo Vence Raiz Ponte A Menor Custo Vence Porta 1 Porta 2 Segmento de LAN 1 100-Mbps Ethernet Custo = 19 Segmento de LAN 2 100-Mbps Ethernet Custo = 19 Porta Raiz Porta Raiz Porta 1 Porta 1 Ponte B Ponte C Porta 2 Porta 2 Ponte B ID = 80.00.00.00.0C.BB.BB.BB Ponte C ID = 80.00.00.00.0C.CC.CC.CC Segmento de LAN 100-Mbps Ethernet Custo = 19

Determine as Portas Designadas Ponte A ID = 80.00.00.00.0C.AA.AA.AA Raiz Ponte A Porta Designada Porta Designada Porta 1 Porta 2 Segmento de LAN 1 100-Mbps Ethernet Custo = 19 Segmento de LAN 2 100-Mbps Ethernet Custo = 19 Porta Raiz Porta Raiz Porta 1 Porta 1 Ponte B Ponte C Porta 2 Porta 2 Ponte B ID = 80.00.00.00.0C.BB.BB.BB Ponte C ID = 80.00.00.00.0C.CC.CC.CC Porta Designada Segmento de LAN 100-Mbps Ethernet Custo = 19 Ponte com Menor ID é escolhida

Reduza a Topologia a uma Árvore Ponte A ID = 80.00.00.00.0C.AA.AA.AA Raiz Ponte A Porta Designada Porta Designada Porta 1 Porta 2 Segmento de LAN 1 100-Mbps Ethernet Custo = 19 Segmento de LAN 2 100-Mbps Ethernet Custo = 19 Porta Raiz Porta Raiz Porta 1 Porta 1 Ponte B Ponte C Porta 2 Porta 2 X Ponte B ID = 80.00.00.00.0C.BB.BB.BB Ponte C ID = 80.00.00.00.0C.CC.CC.CC Porta Designada Porta Bloqueada Segmento de LAN 100-Mbps Ethernet Custo = 19

Reação a Mudanças Ponte A ID = 80.00.00.00.0C.AA.AA.AA Raiz Ponte A Porta Designada Porta Designada Porta 1 Porta 2 Segmento de LAN 1 100-Mbps Ethernet Custo = 19 Segmento de LAN 2 100-Mbps Ethernet Custo = 19 Porta Raiz Porta Raiz Porta 1 Porta 1 Ponte B Ponte C Porta 2 Porta 2 Ponte B ID = 80.00.00.00.0C.BB.BB.BB Ponte C ID = 80.00.00.00.0C.CC.CC.CC Porta Designada Falha (Desabilitada) Porta Bloqueada muda para o estado Ativo Segmento de LAN 100-Mbps Ethernet Custo = 19

Considerações Especiais para o Projeto de uma Topologia de Rede de Campus Os pontos principais a observar são: Manter domínios de broadcast pequenos Incluir segmentos redundantes na camada de distribuição Usar redundância para servidores importantes Incluir formas alternativas de uma estação achar um roteador para se comunicar fora da rede de camada 2

LANs Virtuais (VLANs) Uma LAN virtual (VLAN) nada mais é do que um domínio de broadcast configurável VLANs são criadas em uma ou mais switches Usuários de uma mesma comunidade são agrupados num domínio de broadcast independentemente da cabeação física Isto é, mesmo que estejam em segmentos físicos diferentes Esta flexibilidade é importante em empresas que crescem rapidamente e que não podem garantir que quem participa de um mesmo projeto esteja localizado junto Uma função de roteamento (normalmente localizada dentro dos switches) é usada para passar de uma VLAN para outra Lembre que cada VLAN é uma "rede de camada 2" e que precisamos passar para a camada 3 (rotear) para cruzar redes de camada 2

LANs Virtuais (VLANs) Há várias formas de agrupar os usuários em VLANs, dependendo das switches usadas Baseadas em portas do switches Baseadas em endereços MAC Baseadas em subnet IP Baseadas em protocolos (IP, NETBEUI, IPX, ...) VLAN para multicast VLAN criada dinamicamente pela escuta de pacotes IGMP (Internet Group Management Protocol) VLANs baseadas em políticas gerais (com base em qualquer informação que aparece num quadro) Baseadas no nome dos usuários Com ajuda de um servidor de autenticação

VLANs vs LANs Reais Switch A Switch B To understand VLANs, it helps to think about real (non-virtual) LANs first. Imagine two switches that are not connected to each other in any way. Switch A connects stations in Network A and Switch B connects stations in Network B, When Station A1 sends a broadcast, Station A2 and Station A3 receive the broadcast, but none of the stations in Network B receive the broadcast, because the two switches are not connected. This same configuration can be implemented through configuration options in a single switch, with the result looking like the next slide. Estação A1 Estação A2 Estação A3 Estação B1 Estação B2 Estação B3 Rede A Rede B

Um Switch com VLANs Estação A1 Estação A2 Estação A3 VLAN A Estação B1 VLAN B Through the configuration of the switch there are now two virtual LANs implemented in a single switch, instead of two separate physical LANs. This is the beauty of VLANs. The broadcast, multicast, and unknown-destination traffic originating with any member of VLAN A is forwarded to all other members of VLAN A, and not to a member of VLAN B. VLAN A has the same properties as a physically separate LAN bounded by routers. The protocol behavior in this slide is exactly the same as the protocol behavior in the previous slide.

VLANs com Switches Switch A Estação B1 Estação B2 Estação B3 Switch B Estação A1 Estação A2 Estação A3 Estação A4 Estação A5 Estação A6 VLAN B VLAN A VLANs can span multiple switches. In this slide, both switches contain stations that are members of VLAN A and VLAN B. This design introduces a new problem, the solution to which is specified in the IEEE 802.1Q standard and the Cisco proprietary Inter-Switch Link (ISL) protocol. The problem has to do with the forwarding of broadcast, multicast, or unknown-destination frames from a member of a VLAN on one switch to the members of the same VLAN on the other switch. In this slide, all frames going from Switch A to Switch B take the same interconnection path. The 802.1Q standard and Cisco's ISL protocol define a method for Switch B to recognize whether an incoming frame belongs to VLAN A or to VLAN B. As a frame leaves Switch A, a special header is added to the frame, called the VLAN tag. The VLAN tag contains a VLAN identifier (ID) that specifies to which VLAN the frame belongs. Because both switches have been configured to recognize VLAN A and VLAN B, they can exchange frames across the interconnection link, and the recipient switch can determine the VLAN into which those frames should be sent by examining the VLAN tag. The link between the two switches is sometimes called a trunk link or simply a trunk. Trunk links allow the network designer to stitch together VLANs that span multiple switches. A major design consideration is determining the scope of each VLAN and how many switches it should span. Most designers try to keep the scope small. Each VLAN is a broadcast domain. In general, a single broadcast domain should be limited to a few hundred workstations (or other devices, such as IP phones).

WLANs e VLANs Uma LAN sem fio (WLAN) é geralmente implementada como uma VLAN Vantagens Facilita o roaming (transição entre APs) O usuário é mantido na mesma VLAN e endereço IP de subrede mesmo quando ele faz o roaming, isto é, não há necessidade de alterar as suas informações de endereçamento Além disso fica mais fácil configurar filtros e ACLs (Lista de Controle de Acesso) para proteger a parte cabeada da rede de eventuais invasões através da rede sem fio

WLANs e VLANs

Comunicação entre a estação de trabalho e o roteador Opções: Implementação de um Proxy ARP (boa opção) Escuta por anúncios de rota (não recomendado) Solicitações de ICMP pelo roteador (não muito utilizado) Gateway default implementado por DHCP (melhor opção, porém sem redundância) Uso de HSRP (Hot Standby Router Protocol - Protocolo de Roteamento Hot Standby) para redundância

HSRP Rede Corporativa Roteador Ativo Roteador Virtual Estação de Trabalho Roteador Standby

Múltiplas Conexões de Internet ISP 1 ISP 1 Corporação SP RJ Corporação Opção A Opção C ISP 1 ISP 2 ISP 1 ISP 2 Corporação SP RJ Corporação Opção B Opção D

Topologias de Segurança DMZ Rede Corporativa Internet Servidores Web, Arquivos, DNS, Correio

Topologias de Segurança Internet Firewall DMZ Servidores Servidores Web, Arquivos, DNS, Correio

Summary Use a systematic, top-down approach Plan the logical design before the physical design Topology design should feature hierarchy, redundancy, modularity, and security

Review Questions Why are hierarchy and modularity important for network designs? What are the three layers of Cisco’s hierarchical network design? What are the major components of Cisco’s enterprise composite network model? What are the advantages and disadvantages of the various options for multihoming an Internet connection?