Manual de Redes do SFN versão 7.6.3
Contents
1. devidamente repetido Portanto em situa es normais os resolvers da RSFN sempre ter o suas requisi es resolvidas por servidores de nomes localizados no mesmo segmento de rede local e com a ajuda do mecanismo de cache destes servidores e do correto dimensionamento dos par metros TTL dos hosts mais utilizados pode se garantir que o DNS praticamente n o ir utilizar os circuitos seriais de baixa velocidade para a resolu o de nomes de hosts na rede da RSFN Manual de Redes do SFN P gina 85 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 FERRAMENTAS DE DEPURA O DO DNS NSLOOKUP INTRODU O A RSFN necessita de uma ferramenta eficiente para se certificar do correto funcionamento de seu DNS e para auxili lo na depura o de problemas de interoperabilidade com outras redes Neste cap tulo ser o apresentados alguns comandos normalmente utilizados pelo nslookup por ser esta ferramenta distribu da sem custos adicionais com o Bind e com v rias outras aplica es de DNS tornando a uma ferramenta padr o para an lise da funcionalidade do DNS O nslookup pode ser iniciado de forma interativa ou n o interativa A forma n o interativa normalmente utilizada quando se deseja uma nica resposta A forma interativa tem prefer ncia quando se necessita verificar o comportamento do DNS para diversas quest es ACESSO N O INTERATIVO Para se iniciar uma sess o n o interativa o usu rio deve teclar nslookup segui2. nser iguala para o dom nio SPBOL n ser igual a 2 para o dom nio MESOI n ser igual a3 para o dom nio MESOZ e n ser igual a 4 para o dom nio MESO3 Exemplo no dom nio MESOI no queue manager da IF temos o canal receptor receiver C0O00038166 99999999 2 tr fego do BACEN IF 99999999 e o canal emissor sender C99999999 00038166 2 tr fego da IF ao BACEN Padr o mandat rio de endere os de hostnames Ambiente Produ o SPB01 mqgs01 sub domin o rsfn net br Ambiente Homologa o SPB01 mqs02 sub domi nio rsfn net br Ambiente PPRO SPB01 mqs02 sub dom nio rsfn net br Ambiente Produ o MES mqmo01 sub dom nio rsfn net br Ambiente Homologa o MES mqm02 sub dom nio rsfn net br Exemplo o endere o do MQSeries do Banco Central para o ambiente de produ o dos dom nios MES o mqm01 bcb rsfn net br e o endere o de homologa o o mgm02 bcb rsfn net br No dom nio SPB01 o Banco Central utilizar a porta 1414 para o ambiente de produ o As institui es utilizar o apenas as portas 1414 a 1421 O Banco Central utilizar a porta 1514 para o ambiente de homologa o e as institui es as portas 1514 a 1521 Para o ambiente PPRO o Banco Central utilizar a porta 24430 e as institui es utilizar o as portas 24430 a 24437 O ambiente PPRO somente est configurado no dom nio SPBOL No dom nio MES01 o Banco Central utilizar a porta 12422 para o ambiente de produ o As insti
3. CNAME para hosts de Clearing4 1 linha p cada endere o v lido 161 IN CNAME 161 160 191 66 218 200 in addr arpa 162 IN CNAME 162 160 191 66 218 200 in addr arpa 189 IN CNAME 189 160 191 66 218 200 i1n addr arpa 190 IN CNAME 190 160 191 66 218 200 in addr arpa Incluindo ou Excluindo Dom nios ou Sub Dom nios Reversos A RSFN pode a qualquer momento incluir ou excluir dom nios ou sub dom nios reversos de DNS em sua rede desde que respeite as regras definidas neste manual o ter um Primary Name Server PNS e no m nimo um Secondary Name Server SNS para cada zona O preparar os arquivos de configura o de forma a tornar operacional o novo dom nio tanto no PNS como no SNS o registrar os dom nios e seus respectivos servidores nos rg os competentes o considerar os tempos de converg ncia necess rios para que a rede tome conhecimento das modifica es realizadas Manual de Redes do SFN P gina 69 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 Sub Dom nios Reversos da RSFN As rvores de DNS utilizadas na RSFN est o apresentadas nas Figura 1 e Figura 2 TEE br net rsfn O D 2 T m z p o E m 0o T E E Do G G E 5 v o o O Figura 1 rvore de DNS da RSFN oo bi 77 in AL Og ia arpa seg didi S 60b00000 DO OOo 255 dd 1 06666COSSO O a RE X 7 Snn Figura 2 rvore de DNS Reverso da RSFN Manual de Redes do SFN P gina 70 de 108 RSFN Manual
4. rsfn net br rsfn net br IN NS nsl bacen com br nsl bacen com br INA 200 30 30 5 rsfn net br IN NS ns2 bacen com br ns2 bacen com br IN A 200 30 30 6 Fim do arquivo Registro dos Sub Dom nios das Entidades Os sub dom nios da RSFN indicando as Entidades Participantes n o precis o ser registrados na FAPESP A pr pria regra de delega o de direitos do DNS se encarregar de permitir a resolu o de nomes de hosts dos sub dom nios Incluindo ou Excluindo Dom nios Superiores Externos A RSFN pode a qualquer momento incluir ou excluir dom nios superiores desde que respeite as regras definidas neste relat rio o ter um Primary Name Server PNS e no m nimo um Secondary Name Server SNS para cada zona com endere os v lidos na Internet O preparar os arquivos de configura o de forma a tornar operacional o novo dom nio tanto no PNS com no SNS o registrar os dom nios externos e seus respectivos servidores nos rg os competentes o considerar os tempos de converg ncia necess rios para que a Internet tome conhecimento das modifica es realizadas rvore de DNS da Parte Externa As rvores de DNS dos dom nios superiores externos da RSFN apresentam uma estrutura similar anterior Configura o do PNS dos Sub Dom nios nsl bcb rsfn net br Este cap tulo apresenta o modelo de configura o para os servidores PNS dos sub dom nios das Entidades Arquivo etc named conf options directory v
5. 160 191 66 218 200 1n addr arpa IN NS ns2 clearing4 rsfn net br CNAME para hosts de bacenbsa 1 linha p cada endere o v lido 7 1 IN CNAME 1 0 31 66 218 200 in addr arpa 2 IN CNAME 2 0 31 66 218 200 1n addr arpa 29 IN CNAME 29 0 31 66 218 200 in addr arpa 30 IN CNAME 30 0 31 66 218 200 in addr arpa CNAME para hosts de bacenrjo 1 linha p cada endere o v lido 33 IN CNAME 33 32 63 66 218 200 in addr arpa 34 IN CNAME 34 32 63 66 218 200 in addr arpa 61 IN CNAME 61 32 63 66 218 200 in addr arpa 62 IN CNAME 62 32 63 66 218 200 in addr arpa CNAME para hosts de Clearing1 1 linha p cada endere o v lido 65 IN CNAME 65 64 95 66 218 200 in addr arpa 66 IN CNAME 65 64 95 66 218 200 in addr arpa 93 IN CNAME 93 64 95 66 218 200 in addr arpa 94 IN CNAME 94 64 95 66 218 200 in addr arpa CNAME para hosts de Clearing2 1 linha p cada endere o v lido Manual de Redes do SFN P gina 68 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 97 IN CNAME 97 96 127 66 218 200 1n addr arpa 98 IN CNAME 98 96 127 66 218 200 1n addr arpa 125 IN CNAME 125 96 127 66 218 200 1n addr arpa 126 IN CNAME 126 96 127 66 218 200 1n addr arpa CNAME para hosts de Clearing3 1 linha p cada endere o v lido 129 IN CNAME 129 128 159 66 218 200 1n addr arpa 130 IN CNAME 130 128 159 66 218 200 in addr arpa 157 IN CNAME 157 128 159 66 218 200 1n addr arpa 158 IN CNAME 158 128 159 66 218 200 in addr arpa
6. 95 218 200 1n addr arpa Tabela 5 Servidores PNS dos Dom nios Superiores da RSFN Vale lembrar que uma mesma m quina pode ser configurada como servidor prim rio de nomes para v rios dom nios como servidor secund rio de nomes para v rios dom nios e mesmo como servidor prim rio para alguns dom nios e secund rio para outros Para resolver nomes de hosts da Internet este servidor deve ser configurado para utilizar os servidores de root da Internet Servidores Secund rios dos Dom nios Superiores IRS Internals Root Servers Os servidores secund rios de nomes SNS dos dom nios superiores da RSFN est o apresentados na Tabela 6 Dom nio Superior Servidor Prim rio PNS Entidade Respons vel rsfn net br ns2 bcb rsfn net br Bacen 1rsl att rsfn net br Primesys 1rs2 att rsfn net br Primesys 1rs3 att rsfn net br Primesys 1rsl ebtrtm rsfn net br EBT RTM 1rs2 ebtrtm rsfn net br EBT RTM 1rs3 ebtrtm rsfn net br EBT RTM 64 218 200 ns2 bcb rsfn net br Bacen In addr arpa 1rsl att rsfn net br Primesys 1rs2 att rsfn net br Primesys 1rs3 att rsfn net br Primesys irs 1 ebtrtm rsfn net br EBT RTM irs2 ebtrtm rsfn net br EBT RTM irs3 ebtrtm rsfn net br EBT RTM Manual de Redes do SFN P gina 71 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 66 218 200 In addr arpa 67 218 200 In addr arpa 80 218 200 in addr arpa At 95 218 200 in addr arpa 64 218 200 in addr arpa 66 218 200 in addr
7. Manual de Redes do SFN Vers o 7 6 3 REQUISITOS PARA O MODELO OPERACIONAL DE PSTI Tendo como objetivo manter o mesmo n vel de controle e efici ncia dos sistemas de pagamento que utilizam a RSFN alguns requisitos devem ser atendidos por cada um dos envolvidos na opera o e manuten o do sistema quando utilizado o modelo operacional de Prestador de Servi o de Tecnologia da Informa o PSTI em complemento ao definido na CIRCULAR N 3 629 DE 19 DE FEVEREIRO DE 2013 Obriga es das Institui es Financeiras quando operam no modelo de PSTI e Solicita o de subdom nio DNS para a RSFN Esta solicita o servir aos operadores do suporte RSFN como controle das Institui es usu rias do PSTI e Solicita o de configura o do subdom nio da RSFN nos root servers do Banco Central do Brasil Devem ser indicados na solicita o os servidores DNS do provedor como autoritativos para o subdom nio e Prestar informa es ao DEINF quando solicitado Obriga es dos PSTIs e Configura o dos canais MQS no Banco Central do Brasil utilizando o subdom nio espec fico da Institui o e n o o subdom nio do PSTI e Fornecer mensalmente para a Ger ncia de Segundo N vel da RSFN rela o com todas as institui es interligadas ao provedor com detalhamento quanto institui es ativas institui es autorizadas e em ativa o e ou em homologa o al m das que cancelaram seus contratos com o provedor no per odo O
8. Ta dese de mied mal cede Fe mer ore ckt Frah Figura 11 Criando um Dom nio Reverso Prim rio Tela de Confirma o Windows 2000 Criando um Dom nio Direto Secund rio Para cadastrar um dom nio direto secund rio clique com o bot o direito do mouse na op o Forward Lookup Zones que est abaixo do servidor criado e selecione New Zone Na tela Zone Type selecione a op o Standard Secondary Na tela Zone Name preencha o campo Name com o nome do dom nio a ser criado e no campo Server o endere o IP do servidor que est sendo configurado Clicando no bot o Next ser apresentada a tela para a confirma o do arquivo do dom nio que est sendo criado Ap s a confirma o do nome do arquivo do dom nio digite o endere o IP do servidor Master do dom nio secund rio no campo IP Master s e clique no bot o Add para adicion lo Este campo permite que v rios servidores Masters sejam cadastrados Manual de Redes do SFN P gina 94 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 Crato nes rose for 172 16 6 120 ES IP Haea secordar mre mnl have g leag one P Mast egak UE Cau Figura 12 Definindo os Servidores Masters do Dom nio Direto Secund rio Windows 2000 A ltima tela do Wizard solicita a confirma o dos dados fornecidos para a cria o do novo dom nio Clique na op o Finish para confirmar e finalizar a cria o do dom nio direto secund rio Criando um Dom nio Revers
9. o do BIND As vers es 4 9 e 4 9 1 foram liberadas pela Digital Equipment Corporation A vers o 4 9 2 foi patrocinada por Vixie Enterprises e a partir da vers o 4 9 3 a responsabilidade de manuten o e desenvolvimento do BIND passou a ser do Internet Software Consortium ISC Em Maio de 1997 o ISC liberou a primeira vers o do BIND 8 O desenvolvimento da vers o BIND 4 foi completamente interrompido com exce o da libera o de alguns patches para assuntos relacionados seguran a A partir de agora nenhuma nova fun o dever ser adicionada ao BIND 4 Portanto natural que as novas implementa es passem a utilizar pelo menos o BIND 8 As principais caracter sticas existentes nas vers es do BIND 8 e 9 s o o suporte a atualiza es din micas de DNS DNS Dynamic Updates descrita na RFC 2136 o permite que os servidores prim rios notifiquem os secund rios das mudan as ocorridas de forma a diminuir o tempo de converg ncia da rede DNS Notify descrita na RFC 1996 o o arquivo de carga do servi o de DNS utiliza sintaxe diferente da adotada no Bind 4 permite o registro logging de certas atividades relacionadas ao DNS o permite o controle de acesso baseado no endere o IP ACL Access Control List para queries zone transfers e updates tal controle pode inclusive ser definido para uma zona espec fica Manual de Redes do SFN P gina 61 de 108 O RSFN Manual de Redes do SFN Vers o 7 6 3 o possui mecanismo
10. o do segundo prefixo 28 a partir de roteadores internos para que os CPE possam alcan ar os endere os deste prefixo a partir dos route reflectors Client Y Client gt a Rede Interna Rede Interna Servidores MQ Servidores MQ Site Principal Site Backup iBGP entre Router Reflector e Clientes iBGP entre Router Reflectors Figura 12 Topologia com dois sites quatro roteadores da Entidade e NAT interno Este modelo visa atender necessidade de uma entidade ter roteamento BGP em sua estrutura interna modelo 3 utilizando route reflectors e realizar o NAT em um dispositivo de rede interna e n o na VLAN das interfaces ethernet dos roteadores CPE utilizando ARP modelo 5 Para a RSFN ser anunciado apenas um nico prefixo no caso de IF ser o prefixo 27 e no caso de C mara BACEN Provedor PSTI ser o prefixo 26 e o grupo grupo A B ser referente ao primeiro prefixo fornecido pelo BACEN ou seja se o primeiro prefixo for grupo A o sum rio ser do grupo A Manual de Redes do SFN P gina 29 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 Caso haja roteadores entre o barramento RSFN e a rede da Entidade dever ser utilizado roteamento BGP entre todos os roteadores Um dos roteadores de cada site dever ser configurado como route reflector para reduzir o n mero de conex es IBGP ficando transparente para a concession ria a exist ncia de um ou mais roteadores da Entidade no barramento RSF
11. As configura es de roteamento da RSFN n o permitem a comunica o indiscriminada entre os participantes A conectividade na RSFN regulada conforme abaixo a permitido a todos os participantes da RSFN estabelecer comunica o direta com o Banco Central com as c maras com os prestadores de servi os de compensa o e de liquida o e com os seus respectivos Provedores de Servi os de Tecnologia da Informa o PSTIs permitido ao Banco Central s c maras e aos prestadores de servi os de compensa o e de liquida o estabelecer comunica o direta com todos os participantes da RSFN permitido aos PSTIs estabelecer comunica o direta com o Banco Central e com os participantes da RSFN que utilizam o seu servi o vedado aos participantes da RSFN estabelecer comunica o direta entre si que n o esteja prevista nos casos anteriores vedada a comunica o entre os dois sites de um mesmo participante via RSFN Recomenda es Para a implementa o da conex o com a RSFN as seguintes recomenda es s o pertinentes a b c d e Atentar para as recomenda es sobre seguran a descritas no Cap tulo Modelos de Topologia para Conex es com Redes Internas deste documento Escolha e implementa o adequadas do Modelo de Topologia para Conex es com a Rede Interna da Entidade Participante obrigat ria a utiliza o do servi o de DNS Domain Name System e a configura o do par
12. P gina 92 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 M dire Wi rand FHeaymsa Lookup mne MN pE ORD DFE E 9 SAE orae cistos Hg hags ponpas tros e addresses ano ORG names To identity he mwvane bokap gore hpa lha nabsa D o the nans d fra mra C Npaak D IE yo upa a meton he mto ID deal appes im he ore name For emampio esto TO TES maguk crese gone 169 ready spa anj mawoh ID TESLI proud coasa pre 163 maii ype m Aene koup zore narr EI AULA moid yp Tn cares Figura 10 Criando um Dom nio Reverso Prim rio Windows 2000 Clicando no bot o Next ser apresentada uma tela para a confirma o do arquivo do dom nio que est sendo criado recomend vel que se utilize o mesmo nome do dom nio atrav s da op o Create a new file with this file name para identificar o arquivo que est sendo criado Nesta mesma tela tem se a possibilidade de escolher um arquivo j existente atrav s da op o Use this existing file A ltima tela do Wizard solicita uma confirma o dos dados fornecidos para a cria o do novo dom nio reverso Clique na op o Finish para confirmar e finalizar a cria o do dom nio reverso prim rio Manual de Redes do SFN P gina 93 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 Mew Zone Wizard r x Fou Pre ucte cpied the Hen Zore wad riu npecd sd the okray igi Mama 48 63 20 0 200 mada ape Tapat aL Loko hps Ferae Fie name BEI O MO ireid spia
13. metro TTL Time to Live igual a ZERO para hosts disponibilizados na RSFN ressaltamos que a conting ncia dos servidores de MQ componente fundamental na estrutura dos dom nios SPB01 MES01 MES02 e MESO03 est baseada na utiliza o do servi o de DNS Observar as normas de endere amento e do Servi o de DNS descritas no Cap tulo Arquitetura de Endere amento IP e Anexo I deste documento Execu o de testes de funcionalidade e conting ncia da rede Manual de Redes do SFN P gina 7 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 CENTRAL DE ATENDIMENTO O servi o de comunica o entre as Entidades Participantes da RSFN est sendo provido pelas concession rias Primesys e Embratel RTM que receber o as solicita es de conex o com a RSFN informa es e abertura de chamados t cnicos referentes a problemas de conectividade encontrados pelas Entidades Participantes atrav s de suas Centrais de Atendimento pelos telefones 0800 7077288 e 0800 7077400 respectivamente Efetuada a conex o poder ser acessado o Site Web da RSFN no BACEN atrav s do endere o www rsfn net br onde est o dispon veis outros documentos relevantes incluindo a lista de escalonamento para problemas recorrentes ou n o resolvidos Manual de Redes do SFN P gina 8 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 PROCEDIMENTOS PARA ACESSO RSFN Solicita o de conex o a b c d Todos os participantes da RSFN dever o
14. responder sendo que um deles ter uma prioridade maior Para que uma concession ria n o seja mais sobrecarregada que a outra as Entidades ser o divididas em dois grupos em que um grupo preferencialmente ter como acesso ao backbone RSFN via o CPE Primesys e o outro ter acesso via o CPE EBT RTM Manual de Redes do SFN P gina 10 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 Na configura o proposta a regra se resume em o circuito Primesys ter prefer ncia na comunica o entre entidades de mesmo grupo e o circuito EBT RTM ter prefer ncia na comunica o entre entidades de grupos diferentes Desta forma o fluxo de entrada de dados depender da origem e haver balanceamento do tr fego entre as operadoras conforme demonstra a figura abaixo Institui o Financeira ou BACEN Grupo B Congiomerado ou PSTI Grupo A CPE Primesys RTM Embratel o 1 i i l f I CPE RTM CPE Primesys Institui o Financeira ou Congiomerado ou PSTI Grupo B R o CPE Primesys d4 gt Comunica o IF Bacen ou C maras de grupos diferentes comunica o IF Bacen ou C maras de grupos iguais Testes de conectividade A partir do recebimento da faixa de endere amento IP da institui o configurar uma esta o com os par metros abaixo Obs Caso a institui o opte por efetuar o teste atrav s da sua rede local deve se efetuar NAT e IP address do 10 host e Subn
15. tornando os autoritativos para seus respectivos dom nios sub dom nio rsfn net br e configurando os para apontarem para os servidores de root da Internet ou para os servidores Internos de root da RSFN conforme necess rio A Entidade pode optar tamb m pela utiliza o de servidores de DNS espec ficos para a rede RSFN e tipo de servidores que abrigar o os servi os de DNS nas Intranets das empresas o devem ser mantidos os mesmos servidores de DNS utilizados atualmente Manual de Redes do SFN P gina 60 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 e padr es de nomes de hosts servidores roteadores hubs switches etc utilizados na RSFN o foi sugerida uma regra de forma o de nomes de hosts utilizados na RSFN e os nomes dos servidores MQ dever o obedecer o seguinte padr o o SPB01 mgsNN sub dom nio rsfn net br onde NN varia de 01 a 02 Este padr o utilizado para todos os servidores MQ sendo o 01 destinado ao servidor de produ o e o 02 ao servidor de homologa o e ao servidor PPRO o MES01 MES02 e MESO3 mqgmNN sub dom nio rsfn net br onde NN varia de 01 a 02 Este padr o utilizado para todos os servidores MQ sendo o 01 destinado ao servidor de produ o e o 02 ao servidor de homologa o DNS NA RSFN O DNS Domain Name System um banco de dados distribu do que cont m informa es sobre os hosts de uma rede TCP IP permitindo a utiliza o de nomes ao inv s de endere os IP quer sej
16. 13529 MESO3 BC Homologa o 14522 IF Prestador Homologa o 14522 a 14529 FTP TCP 20 e 21 FTP TCP PASSV 1110 a 1121 Tabela 15 Nova configura o de Qualidade de Servi o na RSFN Manual de Redes do SFN P gina 58 de 108 Mensageria Produ o MES02 Mensageria Homologa o SPB01 MES01 MES02 MES03 Mensageria PPRO SPB01 Sisbacen FTP Outros Servi os RSFN Manual de Redes do SFN Vers o 7 6 3 ANEXO I CONFIGURA O DE DNS DOMAIN NAME SYSTEM INTRODU O A RSFN Rede do Sistema Financeiro Nacional permitir a comunica o direta entre o Banco Central do Brasil e as institui es autorizadas nos termos dos artigos 1 e 28 do regulamento anexo Circular n 3 629 de 19 de fevereiro de 2013 Baseada no protocolo TCP IP esta rede foi implantada considerando a utiliza o de ferramentas conceitos de Intranet aplica es cliente servidor com interface Web e correio eletr nico por exemplo Estas caracter sticas tornam a utiliza o do DNS obrigat ria Por ser tratar de um projeto l gico n o amarrado a caracter sticas f sicas da rede o projeto de Arquitetura de DNS atende tanto a topologia inicial do Backbone da RSFN conforme os itens listados a seguir bem como poder ser facilmente escalado para atender novas Entidades que se conectar o a rede posteriormente O Comit Gestor da Internet no Brasil reservou um prefixo 0 18 para a RSFN foram registrados na I
17. 1rs3 att rsfn net br 1rsl ebtrtm rsfn net br 1rs2 ebtrtm rsfn net br 1rs3 ebtrtm rsfn net br nsl bcb rsfn net br ns2 bcb rsfn net br 1rsl att rsfn net br 1rs2 att rsfn net br 1rs3 att rsfn net br 1rsl ebtrtm rsfn net br 1rs2 ebtrtm rsfn net br 1rs3 ebtrtm rsfn net br nsl bcb rsfn net br ns2 bcb rsfn net br 1rsl att rsfn net br 1rs2 att rsfn net br 1rs3 att rsfn net br 1rsl ebtrtm rsfn net br 1rs2 ebtrtm rsfn net br 1rs3 ebtrtm rsfn net br nsl bcb rsfn net br ns2 bcb rsfn net br 1rsl att rsfn net br 1rs2 att rsfn net br 1rs3 att rsfn net br 1rsl ebtrtm rsfn net br 1rs2 ebtrtm rsfn net br 1rs3 ebtrtm rsfn net br nsl bcb rsfn net br ns2 bcb rsfn net br 1rsl att rsfn net br 1rs2 att rsfn net br 1rs3 att rsfn net br 1rsl ebtrtm rsfn net br 1rs2 ebtrtm rsfn net br 1rs3 ebtrtm rsfn net br nsl bcb rsfn net br ns2 bcb rsfn net br 1rsl att rsfn net br 1rs2 att rsfn net br RSFN Manual de Redes do SFN Vers o 7 6 3 Bacen Servidor Secund rio 1rs3 att rsfn net br Bacen Servidor Secund rio 1rsl ebtrtm rsfn net br Bacen Servidor Secund rio 1rs2 ebtrtm rsfn net br Bacen Servidor Secund rio 1rs3 ebtrtm rsfn net br Tabela 3 Dom nios Superiores Reversos da RSFN Sub Dom nios Reversos da RSEN Os sub dom nios reversos da RSFN refletem exatamente as faixas de endere os IP definidas para cada Entidade Participante desta rede Estes sub dom nios foram criados para identificar cada uma das Entidades Participant
18. 200 218 64 6 irs2 att rsfn net br IN A 200 218 64 38 1rs3 att rsfn net br IN A 200 218 64 70 ebtrtm rsfn net br IN NS irsl ebtrtm rsfn net br ebtrtm rsfn net br IN NS i1rs2 ebtrtm rsfn net br ebtrtm rsfn net br IN NS 1rs3 ebtrtm rsfn net br irsl ebtrtm rsfn net br IN A 200 218 64 134 iWrs2 ebtrtm rsfn net br IN A 200 218 64 166 1mrs3 ebtrtm rsfn net br IN A 200 218 64 198 Incluindo ou Excluindo Dom nios ou Sub Dom nios A RSFN pode a qualquer momento incluir ou excluir dom nios ou sub dom nios de DNS em sua rede desde que respeite as regras definidas neste manual o ter um Primary Name Server PNS e no m nimo um Secondary Name Server SNS para cada zona O preparar os arquivos de configura o de forma a tornar operacional o novo dom nio tanto no PNS como no SNS o registrar os dom nios e seus respectivos servidores nos rg os competentes o considerar os tempos de converg ncia necess rios para que a rede tome conhecimento das modifica es realizadas Dom nios Reversos da RSFN Al m dos dom nios e sub dom nios diretos descritos anteriormente a RSFN possui dom nios reversos para permitir a resolu o de nomes de hosts de DNS a partir de um dado endere o IP Esta t cnica de resolu o tem sido largamente utilizada tanto para permitir fun es de gerenciamento de rede como para controlar o acesso a aplica es espec ficas da rede Manual de Redes do SFN P gina 65 de 108 RSFN Manua
19. 38 39 45 47 48 48 48 48 49 49 50 57 58 RSFN Manual de Redes do SFN Vers o 7 6 3 CONTROLE DE VERS O li 7 6 3 3 Altera o Vis o Geral Normas de utiliza o da RSFN p 7 Altera o P gina 45 inserindo o range de portas de Homologa o do 29 de Agosto de 2014 dom nio MESI AEO do sistema de Qualidade de Servi o da RSFN 03 de dezembro de 2013 Inclus o do ambiente PPRO Altera o na configura o do Servi o FTP Altera o do e mail de contato da equipe de infraestrutura da RSFN para infra rsfn bcb gov br Inclus o de informa es sobre Pol tica de encaminhamento do tr fego 11 de setembro de 2013 de entrada e sa da de dados 7 4 Inclus o de informa o sobre transa o para acesso configura o do 5 de setembro de 2013 MES02 no MQConfig Inclus o do Manual de DNS como Anexo I 12 de mar o de 2013 Refer ncia Circular N 3629 de 19 de fevereiro de 2013 inclus o 26 de fevereiro de 2013 dos Requisitos para o Modelo Operacional de PSTI e altera o do nome do Manual T cnico Inclus o da Ger ncia de Segundo N vel da RSFN e da Qualidade de 20 de dezembro de 2006 Servi o na RSFN Inclus o dos campos que comprovam a emiss o do COA pelo 02 de janeiro de 2004 Banco Central no item Diretrizes B sicas da Infraestrutura de Mensageria Adequa o Circular BACEN 3014 26 de agosto de 2003 altera o da reda o das Normas de Utiliza o da
20. 41 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 Defini es do MQseries Ser ignorada a fila informada no campo RepiyToQO do header do MQSeries para as respostas geradas pelas aplica es Ser usada a fila de resposta padr o previamente definida A fila informada no campo RepiyToQO do header do MQ ser usada apenas para as mensagens geradas automaticamente pelo Queue Manager reports COA e COD O gerenciador de filas informado no campo ReplyToQMgr deve ser informado no formato QM ISPBRemoto seg N o ser permitida a grava o de mensagens nas filas de uma institui o definidas no BACEN por outra entidade que n o seja a pr pria exceto na situa o de conting ncia operada pelo BACEN e autorizada pela institui o Ser o aceitas para processamento apenas as mensagens contidas na s fila s da respectiva Institui o que as gerou Ou seja o BACEN processar apenas as mensagens cujo conte do seja da pr pria institui o que as emitiu exceto na situa o de conting ncia operada pelo BACEN e autorizada pela institui o N o ser utilizada a segmenta o de mensagens no mbito do MQSeries A segmenta o de mensagens quando houver ocorrer da forma disposta no Cat logo de Mensagens e Arquivos da RSFN no mbito do parser XML Os ambientes de homologa o e de produ o dever o utilizar queue managers distintos tanto no dom nio de sistema SPB quando nos dom nios de sistema MES Todas as mensagens
21. 77 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 file db 255 3 zone type hint file named ca Arquivo var named db bacen net o IN SOA nsl bcb rsfn net br root ns1 bcb rsfn net br 2001050101 N mero de S rie Sh Refresh ap s 8 horas lh Retry ap s 1 hora lw Expire ap s 1 semana ld TTLdeldia Servidores de nomes deste dom nio IN NS nsl bcb rsfn net br IN NS ns2 bcb rsfn net br Defini o dos hosts do dom nio att bacen bsa cpe IN A 200 218 66 1 ebtrtm bacen bsa cpe IN A 200 218 66 2 hsrp bacen bsa cpe IN A 200 218 66 3 swl IN A 200 218 66 4 sw2 IN A 200 218 66 5 nsl IN A 200 218 66 6 ns2 IN A 200 218 66 7 mqs01 O IN A 200 218 66 8 mqs02 O IN A 200 218 66 9 mqm01 O INA200 218 66 14 mqm02 O INA200 218 66 15 var named db 200 218 66 0 31 o IN SOA nsl bcb rsfn net br root nsl bcb rsfn net br 2001050101 N mero de S rie Sh Refresh ap s 8 horas lh Retry ap s 1 hora lw Expire ap s 1 semana ld TTLdel dia Servidores de nomes deste dom nio IN NS nsl bcb rsfn net br IN NS ns2 bcb rsfn net br Defini o dos hosts do dom nio 1 IN PTR att bacen bsa cpe bcb rsfn net br 2 IN PTR ebtrtm bacen bsa cpe bcb rsfn net br 3 IN PTR hsrp bacen bsa cpe bcb rsfn net br 4 IN PTR swl bcb rsfn net br 5 IN PTR sw2 bcb rsfn net br 6 IN PTR nsl bcb rsfn net br 7 IN PTR ns2 bcb rsfn net br 8 IN PTR mqs0l bcb rsfn n
22. CPE Primesys do site bacup x Ix Ix eooo o Ememet0 0 CPE EBTIRTM ao sire bacup xo x x foor fio se O ooo xo x x feon fso ioseiiras O O xx x feon fio osemidras ooo x fk foio feo Tio Seriaormoseis o O axor001 oo Bo Servidormoseres 10 a Pr Switch SE SOS P e ft Tm Tabela 4 Faixa de Endere os dos hosts TCP IP das IFs com m scara 27 HE x Tre Bo Be X Manual de Redes do SFN P gina 25 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 ROTEAMENTO DA RSFN As concession rias garantem que as rotas das VPN das Entidades Participantes da RSFN n o ser o divulgadas para a Internet A concession ria n o deve interferir na Pol tica de Roteamento das Entidades Participantes da RSFN O Subgrupo de Redes definiu que todo o tr fego das informa es de entrada das Entidades Participantes n o ter prefer ncia entre os circuitos das duas concession rias o mesmo se aplica para todo o tr fego das informa es de sa da das Entidades Participantes que n o ter o prefer ncia entre os circuitos dividindo o tr fego entre as duas concession rias Este controle feito pelo protocolo de roteamento BGP respons vel pelo roteamento dos pacotes entre os CPE e as concession rias Roteamento para o Perfil A e B Modelo 2 Apenas um site com dois CPE de cada concession ria ou site Principal e Backup com apenas um CPE em cada Rede Interna da Institui o Institui o J 5 Site Principal Site Back
23. E TAT E E S 94 Criando wn Dominio Reverso Secund rio pass usa a e EA A E a a aiia 95 Criando nurkResiitrodo Tipo asas EEE ER ROEE O ABA AENT E 95 Crando unm Resismodo TPO PTR usados a o e E N E E E aT a 96 Conhlisurando os Servidores Fonmvarders ess irrena AEE a EIA E E E A A R 98 SERVICO DNS EM AMBIENTE WINDOWS NIE 4 O rngccenanenin io eNe E E E 99 Crandoum Dominio Direto Priman O araoniase oina AN A T RN a a a aaas 100 Criando tm Dommo Reverso Prim rio season das ses USD TT O E AN T Na 101 Criando um Dom nio REVErso SCCUNd RIO sussa AE a E E E OE 102 Crandoum Dominio Direto Secundario enaa E E E AE TA a A E E 104 Criando um Resisto do TIPO Aneri aia E a A a A E atol d o ET A 104 Crandoum Resisrodo TPO PTR asasen a E E N A E T OON 105 Configurando Os Servidores Fonvarders srera EAE TAEAE ENEA E T E E AE EEE A ITER 107 Manual de Redes do SFN P gina 3 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 Figura 1 Modelo de conex o da rede RSFN Figura 2 Dois sites com interconex o pela rede interna Figura 3 Dois sites por m com apenas dois CPE Figura 4 Conex o do Perfil D com roteamento iBGP Figura 5 Conex o direta do Perfil D com a c lula de seguran a Figura 6 Comunica o entre as entidades participantes da RSFN Figura 7 Perfis de conex o com a RSFN Figura 8 Servi o PSTI Tabela 1 Faixa de Endere os dos hosts TCP IP com m scara 27 Tabela 2 Faixa de Endere os dos hosts TCP IP com m scara 2
24. Outro par metro que afeta a comunica o entre servidores de DNS o par metro retry Em caso de falha na comunica o entre o SNS e o PNS o SNS tentar novamente estabelecer a conex o com o PNS ap s a expira o deste temporizador Este valor tipicamente configurado como uma fra o do intervalo de refresh No caso da RSFN recomenda se que seja utilizado uma hora O temporizador mais importante para a rede RSFN ser sem d vida o TTL Este par metro o tempo de vida default para os registros do DNS de cada zona e indica quanto tempo um registro de outros dom nios ficar armazenado no cache dos servidores de nomes Deve ser definido conforme a frequ ncia de modifica es no banco de dados do DNS Valores entre 1 e 5 dias normalmente atendem s necessidades das diferentes redes Vale lembrar que este valor pode ser definido especificamente para um determinado registro A configura o deve definir este valor para 1 dia Na pr tica o par metro TTL quem far com que a utiliza o de um servidor de nomes em cada segmento de rede separado por circuitos seriais gere um tr fego muito menor do que somente a utiliza o de resolvers nestes segmentos Configura o dos Resolvers A configura o do resolver arquivo resolv conf ou resolv cfg permite que sejam especificados at tr s servidores de nomes atrav s da diretiva nameserver O resolver questionar estes servidores na ordem listada neste arquivo at receber u
25. PREMISSAS B SICAS Premissas b sicas contempladas na elabora o do Projeto de Arquitetura de DNS da RSFN e dom nios de DNS registrados junto Fapesp ou qualquer outro rg o internacional para acesso Internet o ser o considerados os seguintes dom nios diretos rsfn net br e seguinte dom nio reverso 64 218 200 in addr arpa o cada Entidade escolher o nome a ser utilizado em seu pr prio sub dom nio respeitando se as regras de unicidade do mesmo Recomenda se a ado o de um nome j utilizado e registrado na conex o Internet Ser definido um rg o respons vel pela administra o dos registros e nomea o dos sub dom nios e servidores de DNS prim rios e secund rios respons veis pelos dom nios anteriores o cada uma das concession rias dos servi os de telecomunica es Primesys e EBT RTM ter tr s segmentos de rede sendo um em S o Paulo um no Rio de Janeiro e um em Bras lia que far o parte da VPN da RSFN Estes segmentos abrigar o os servidores de DNS configurados como internal root servers para os dom nios anteriores Cada concession ria providenciar um servidor internal root server para cada segmento Estes servidores apontar o os servidores de DNS para cada um dos sub dom nios da rede e sub dom nios da rede RSFN Para facilitar a administra o da rede foi criado um sub dom nio direto e um sub dom nio reverso para cada Entidade Participante conectada rede Cada Entidade ficar
26. RSFN retirada do item Sobre o Comit Gestor da RSFN Inclus o da obrigatoriedade do TTL igual a zeros para o nome do servidor MQ no item Recomenda es Inclus o de observa o sobre perda de conectividade nos modelos 4 e 5 Inclus o do Roteiro de Testes de Conting ncia da RSFN Inclus o da configura o obrigat ria do par metro ADOPTMCA no servidor MQSeries Inclus o do Template para Roteamento do o Perfil D com roteadores da Entidade no barramento RSFN e NAT do 2 prefixo 5 de Novembro de 2001 28 Modelo 6 Inclus o do cap tulo referente infraestrutura da mensageria Inclus o do Template para segmenta o do prefixo 27 em duas 3 de Setembro de 2001 VLANs SPB prefixo 28 e outra para NAT prefixo 28 AR Manual de Redes do SFN P gina 5 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 VIS O GERAL ARQUITETURA DE REDE DE COMUNICA O PARA O SISTEMA FINANCEIRO Apresenta o A Arquitetura de Rede de Comunica o de Dados entre o Banco Central do Brasil as Institui es Financeiras e as C maras foi projetada para suportar a implanta o do novo Sistema de Pagamentos Brasileiro SPB e que deve estar preparada para agregar tamb m outros servi os de comunica o entre Institui es do sistema financeiro Para atingir os objetivos acima o Subgrupo de Redes avaliou as diversas alternativas t cnicas e solu es dos fornecedores e concession rias resultand
27. Tabela 6 Servidores SNS dos Dom nios Superiores da RSFN Servidores Prim rios dos Sub Dom nios Cada sub dom nio da RSFN ter seu pr prio servidor prim rio de nomes PNS Estes servidores estar o localizados no segmento da RSFN de cada Entidade participante da rede a qual ser respons vel pela administra o do mesmo Em situa es especiais uma determinada Entidade pode terceirizar a tarefa de administra o de seus sub dom nios com um dos provedores de servi os da rede Manual de Redes do SFN P gina 72 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 A Tabela 7 apresenta exemplo de servidores prim rios para os sub dom nios diretos da RSFN Sub Dom nio Direto da RSFN Servidor Prim rio PNS Entidade Respons vel bcb rsfn net br nsl bcb rsfn net br Bacen clearingl rsfn net br nsl clearingl rsfn net br Clearingl clearing2 rsfn net br nsl clearing2 rsfn net br Primesys opcional Provedornx21 rsfn net br nsl Provedornx21 rsfn net br Provedor nx2 1 1fl rsfn net br nsl ifl rsfn net br IFI if2 rsfn net br ns1 if2 rsfn net br EBT RTM opcional att rsfn net br 1rsl att rsfn net br Primesys ebtrtm rsfn net br 1rsl ebtrtm rsfn net br EBT RTM Tabela 7 Servidores PNS dos Sub Dom nios Diretos da RSFN A Tabela 8 apresenta exemplo de servidores prim rios para os sub dom nios reversos da RSFN Sub Dom nio Reverso da RSFN Servidor Prim rio PNS Entidade Respons vel 0 31 66 218 200 1n addr arpa nsl bcb
28. a solu o net br A administra o dos dom nios brasileiros br realizada pela FAPESP e existem algumas restri es para registros de dom nios no formato net br O registro dos diferentes dom nios superiores externos da RSFN feito atrav s da p gina httpd registro br Ap s o correto preenchimento dos dados cadastrais referentes aos dom nios ser efetuado um teste autom tico de transfer ncia de zona entre os servidores informados Caso a resposta dos servidores esteja dentro das normas que net br regem o servi o de DNS ser o gerados registros deste dom nio nos arquivos de zonas do dom nio conforme o exemplo abaixo Trechos do Arquivo de Zona do Dom nio NET BR Este arquivo administrado pela FAPESP A RSFN n o tem qualquer controle sobre ele Os nomes e endere os utilizados para servidores de DNS devem ser considerados como exemplos O exemplo considera que o PNS da Zona NET BR o servidor ns dns br net br INSOA ns dns br root ns dns br 2001050101 N mero de S rie yyyymmddss Sh Refresh ap s 8 horas lh Retry ap s 1 hora lw Expire ap s 1 semana ld TTL de 1 dia PNS e SNS do dom nio net br Manual de Redes do SFN P gina 75 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 IN NS ns dns br IN NS nsl dns br IN NS ns2 dns br Delega o de Direitos Para os dom nios administrados pela RSFN Para a documenta o ser listado apenas o dom nio
29. arpa 67 218 200 in addr arpa 80 218 200 in addr arpa at 95 218 200 in addr arpa ns2 bcb rsfn net br irs l att rsfn net br irs2 att rsfn net br irs3 att rsfn net br 1rsl ebtrtm rsfn net br 1rs2 ebtrtm rsfn net br 1rs3 ebtrtm rsfn net br ns2 bcb rsfn net br 1rsl att rsfn net br 1rs2 att rsfn net br 1rs3 att rsfn net br 1rsl ebtrtm rsfn net br 1rs2 ebtrtm rsfn net br 1rs3 ebtrtm rsfn net br ns2 bcb rsfn net br 1rsl att rsfn net br 1rs2 att rsfn net br 1rs3 att rsfn net br 1rsl ebtrtm rsfn net br 1rs2 ebtrtm rsfn net br 1rs3 ebtrtm rsfn net br 1rs2 att rsfn net br 1rs3 att rsfn net br 1rsl ebtrtm rsfn net br 1rs2 ebtrtm rsfn net br 1rs3 ebtrtm rsfn net br 1rs2 att rsfn net br 1rs3 att rsfn net br 1rsl ebtrtm rsfn net br 1rs2 ebtrtm rsfn net br 1rs3 ebtrtm rsfn net br 1rs2 att rsfn net br 1rs3 att rsfn net br 1rsl ebtrtm rsfn net br 1rs2 ebtrtm rsfn net br 1rs3 ebtrtm rsfn net br 1rs2 att rsfn net br 1rs3 att rsfn net br 1rsl ebtrtm rsfn net br 1rs2 ebtrtm rsfn net br 1rs3 ebtrtm rsfn net br Bacen Primesys Primesys Primesys EBT RTM EBT RTM EBT RTM Bacen Primesys Primesys Primesys EBT RTM EBT RTM EBT RTM Bacen Primesys Primesys Primesys EBT RTM EBT RTM EBT RTM Primesys Primesys EBT RTM EBT RTM EBT RTM Primesys Primesys EBT RTM EBT RTM EBT RTM Primesys Primesys EBT RTM EBT RTM EBT RTM Primesys Primesys EBT RTM EBT RTM EBT RTM
30. com dois registros de prefixo um do site principal e outro do site backup Sob o ponto de vista de roteamento IP ser o consideradas duas Entidades isto tanto no site principal como no site backup ser o configurados dois CPE Internamente dever ser utilizado NAT em ambos os sites sob total controle da Entidade Isto significa que o pacote que sair do site backup ter um endere o diferente em rela o ao site principal Como o roteamento est ativo em ambos os sites no caso de um dos sites ficar indispon vel o outro continuar em funcionamento de forma transparente para a RSFN Manual de Redes do SFN P gina 27 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 Roteamento para o Perfil D com roteadores da Entidade no barramento RSFN Modelo 3 Conex o entre o site Principal e Backup feita pela extens o do barramento LAN da RSFN e conex o entre a RSFN e Entidade via roteadores que suportem roteamento BGP Rede Interna da Rede Interna da Institui o Institui o Servidores MQ Servidores MQ Site Principal Site Backup iBGP entre router reflector e clientes iBGP entre router reflector Figura 11 Conex o do Perfil D com roteamento iBGP Embora neste tipo de conex o as Entidades recebam dois blocos de endere amento IP para a RSFN ser anunciado apenas um nico prefixo no caso de IF ser o prefixo 27 e no caso de C mara ou Provedor PSTI ser o prefixo 26 Caso sejam uti
31. de suporte a transfer ncia incremental de zona o suporta at 16 milh es de zonas por servidor As principais diferen as existentes entre as linhas do BIND 9 x e BIND 8 x s o apresentadas a seguir o suporte a banco de dados para maior flexibilidade na ger ncia e manuten o das informa es de nomes suporte a mecanismos de seguran a para transfer ncia e requisi es seguras mais abrangentes suporte e melhor aproveitamento de ambientes multiprocessados suporte a mecanismos de auditoria e controle suporte a caracter sticas espec ficas do IPV6 O O O O Aplica es de DNS recomendadas O projeto de DNS da RSFN recomenda como base para este servi o a utiliza o da linha BIND 8 x em virtude dos seguintes motivos o a linha BIND 8 x a linha mais utilizada atualmente em grandes redes que utilizam o TCP IP como protocolo de comunica o Desta forma natural que esta seja a aplica o de DNS mais est vel e adequada para uso nestas redes o a rede da RSFN utilizar v rios servidores de DNS em ambientes Microsoft Windows NT 4 0 e Windows 2000 dificultando a padroniza o dos servi os em torno da linha Bind 9 o o formato de configura o dos arquivos de DNS na linha BIND 9 x id ntico ao utilizado na linha BIND 8 x O que permite a migra o sem qualquer altera o significativa no projeto DNS em Servidores Unix O BIND 8 2 3 a aplica o de DNS recomendada para todos os servidores Unix da RSFN que ofer
32. definido o seguinte objeto no MQ para cada institui o qual se est conectado DEFINE QREMOTE nome da reply to queue alias escolha da institui o DESCR REPLYTOQUEUE ALIAS NAME RNAME nome da fila local de report ou QL REP ISPBRemoto ISPBLocal seqg RQMNAME QM ISPBRemoto seq ou QM ISPBRemoto ISPBLocal seq XMITO 9 REPLACE A decis o do nome do RQOMNAME baseada no nome da fila de transmiss o do queue manager remoto para o queue manager local Ou seja no ambiente do conglomerado ou aglomerado o RQOMNAME sempre QM ISPBRemoto seg e nos ambientes aos quais o conglomerado ou aglomerado est conectado QM ISPBRemoto ISPBLocal seq HEADER DO MQSERIES MQMD Alguns campos do header das mensagens que trafegam no MQSeries MQMD dever o ser formatados de acordo com o definido a seguir Report ativar requisi o dos reports do tipo COA Confirm on Arrival COD Confirm on Delivery e Report Exception MsgType usar op o request para uma requisi o reply para resposta a uma requisi o e report para um report Encoding usar valor nativo da m quina onde est o MQ op o native do MQ Persistence usar op o Persistence Format usar op o NONE CodedCharSetId usar um dos listados abaixo 37 256 273 275 2717 278 280 282 284 285 290 297 367 420 423 424 437 500 813 819 833 836 838 850 852 855 858 860 866 869 871 874 875 880 891 895 897 903 905 912 9
33. documento dever conter obrigatoriamente nome da institui o informa es como o ISPB subdom nio da RSFN e informa es de contato t cnico bem como outros dados que poder o ser acrescidos em um segundo momento e Fornecer telefone de contato t cnico do provedor PSTI tanto para seus clientes quanto para a Ger ncia de Segundo N vel para o suporte s aplica es do SPB que tenha atendimento capacitado a verificar a conectividade dos canais do STR em ambos os sentidos bem como para as demais ferramentas fornecidas aos seus clientes como parte do servi o prestado e Fornecer caderno de testes homologa o e verifica o em caso de problemas da solu o completa de mensageria desde o cliente at o Banco Central do Brasil e Fornecer ao Banco Central do Brasil e Ger ncia Integrada de 2 N vel da RSFN o modelo adotado de seguran a na comunica o entre o cliente e o provedor PSTI e Possuir centro de gerenciamento de rede que realize atividades compat veis com as realizadas pela Ger ncia de Segundo N vel tanto quanto avalia o do desempenho de rede quanto na resolu o de problemas complexos que necessitem da articula o entre diversos envolvidos e Fornecer Ger ncia de Segundo N vel documento com plano de testes de aceita o a serem realizados nos acessos no momento da ativa o Os procedimentos apresentados neste documento devem substituir os atualmente executados para os acessos ativados na RSFN de acor
34. e arquivos trafegar o na RSFN obrigatoriamente em codifica o UNICODE UTF 16 BE A instala o que n o o utiliza internamente dever providenciar a convers o para c digo interno ao receber mensagens e o contr rio ao enviar mensagens N o poder ser usada a convers o autom tica de c digo provida pelo queue manager porque a mensagem cifrada Logo necess rio que ocorra o processo de decifragem antes da convers o de c digo O tamanho m ximo de uma mensagem ser 4 Mbytes incluindo o header do MQSeries o header de seguran a e a codifica o do texto XML em UNICODE UTF 16 BE De acordo com o Artigo 27 do regulamento do STR institu do pela Circular 3 488 de 18 03 2010 o COA Confirm on Arrival emitido pelo Banco Central o protocolo de recebimento da mensagem Dessa forma os campos importantes da mensagem COA e COD opcionalmente emitida pelo Banco Central que devem ser guardados pelos participantes para fins de comprova o de emiss o s o Msgld MQBYTE24 AccountingToken MQBYTE32 ApplIdentityData MQCHAR32 PutDate MQCHARS PutTime MQCHARS Padr o de nomes para objetos MQSeries que ser usado no ambiente do Banco Central dos prestadores de servi os e das demais institui es participantes do SPB01 MESOI MES02 e MESO3 Filas locais na IF BC Prestador requisita IF QL REQ ISPBRemoto ISPBLocal seq BC Prestador responde IF QL RSP ISPBRemoto ISPBLocal seq BC Prestador reporta I
35. gina 81 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 Restri es sobre a Configura o do PNS e SNS dos Sub Dom nios Caso a Entidade conectada a RSFN opte pela utiliza o da aplica o de DNS da Microsoft n o ser poss vel utilizar o conceito de zona com type forward para executar opera es de forward espec fico por zona Se a Entidade estiver utilizando um servidor de DNS dedicado para a RSFN poder configurar o servidor para utilizar o conceito de forward gen rico que repassar qualquer requisi o de hosts de outras zonas para os servidores especificados No entanto esta op o n o funcionar caso a Entidade queira compartilhar o servidor de DNS da RSFN para tamb m resolver nomes de hosts da rede interna e da Internet CONFIGURA O DOS RESOLVERS Para que as diversas esta es da rede possam utilizar o DNS estas foram configuradas como resolvers O resolver realiza as seguintes atividades o pergunta ao servidor de nomes qual o endere o IP do nome desejado o interpreta a resposta informa es solicitadas ou erro de comunica o o repassa as Informa es para a aplica o que solicitou Os resolvers possuem somente um arquivo de configura o de DNS normalmente denominado resolv cfg ou resolv conf verificar o sistema operacional do host Este arquivo identifica o nome do dom nio ao qual pertence o host e os endere os de at tr s servidores de nomes deste dom nio Os servidores de nomes de
36. gt mqs01 bcb rsfn net br Default Server ns1 bcb rsfn net br Address 200 218 66 6 Manual de Redes do SFN P gina 86 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 Name mgqs0l bcb rsfn net br Address 200 218 66 8 gt 200 218 66 8 Default Server nsl bcb rsfn net br Address 200 218 66 6 Name mgqs0l bcb rsfn net br Address 200 218 66 8 Chaveando Para Outros Servidores de DNS s vezes necess rio chavear para um outro servidor de DNS a partir do nslookup para que seja observado o comportamento deste novo servidor A partir deste ponto o servidor ns2 passar a responder as queries desta sess o Interativa nslookup Default Server nsl bcb rsfn net br Address 200 218 66 6 gt server nsl santos rsfn net br Default Server nsl santos rsfn net br Address 200 218 80 6 Habilitando Debug Para An lise das Queries Em caso de an lise de problemas de resolu o de nomes via DNS podem ser habilitadas fun es de debug para que o nslookup mostre as queries executadas e suas respectivas respostas A op o debug mostra somente as respostas de cada query enquanto que a op o d2 mostras as queries e suas respostas nslookup Default Server nsl bcb rsfn net br Address 200 218 66 6 gt set debug gt set d2 gt set nodebug Zone Transfer Nslookup pode ser usado para transferir o arquivo completo de uma zona atrav s do comando Is nslookup Default Server nsl bcb rsfn net br Address 20
37. o servidor de DNS que est sendo utilizado na lista de servidores dispon veis com o bot o da direita do mouse e escolha a op o Properties Loman Hane Lermcs Manager e Es Deyw Ly O pise Sever gta Fides fa Mew Zora Be am E L Q q Figura 31 Configura o de Servidores de Forwarders Windows NT 4 0 Na tela apresentada selecione a pasta Forwarders Clique no item Use Forwarders para ativar a sua utiliza o e cadastre o endere o IP do servidor que ser utilizado como Forwarder Clique no bot o Add para efetivar o cadastramento e no bot o OK para fechar a tela Manual de Redes do SFN P gina 107 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 J p Figura 32 Configura o de Servidores de Forwarders Windows NT 4 0 Manual de Redes do SFN P gina 108 de 108
38. por aus ncia de comunica o entre os mesmos A interrup o da conectividade entre os dois sites nestes modelos poder causar perda de conectividade com a RSFN As concession rias devem ser consultadas para maiores detalhes sobre essa caracter stica de tr fego Manual de Redes do SFN P gina 31 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 MODELOS DE TOPOLOGIA PARA CONEX ES COM REDES INTERNAS Foram apresentados alguns modelos de topologia para conectar o segmento da RSFN instalado em cada Entidade Participante com suas respectivas Intranets Os modelos s o e topologia de acesso com roteadores e firewalls e topologia de acesso com roteadores firewalls e DMZ e topologia redundante com site de conting ncia e topologia de redund ncia m xima sem site de conting ncia e topologia de redund ncia m xima com site de conting ncia Os modelos levam em considera o os aspectos de seguran a unicidade de endere os IP convers o de endere os IP utilizados nas redes internas e na RSFN resolu o de nomes via servi o de DNS redund ncia e balanceamento de carga A escolha de um dos modelos indicados fica a cargo de cada Entidade levando se em conta a an lise de custos X benef cios Topologia de acesso com Firewall Este modelo considerado o modelo b sico para a interliga o entre o segmento da RSFN com a Intranet do Participante apresentado na Figura 15 Site A RTM Embratel s DNS A
39. que julgarem relevantes o qual dever ser preenchido e devolvido por meio eletr nico para as concession rias As concession rias receber o as informa es e as encaminhar o para o Banco Central por meio eletr nico aos cuidados de infra rsfn bcb gov br O Banco Central preencher a planilha de cadastro contendo a faixa de endere os IP designada para utiliza o do Solicitante que ser enviada caixa postal do respons vel t cnico do Solicitante e s duas concession rias Tamb m ser providenciado o cadastro do nome do subdom nio informado pelo Solicitante eventual duplicidade de nomes de subdom nio ser previamente comunicada e ser negociado um novo nome entre o Banco Central e o Solicitante Com a informa o recebida as concession rias estar o autorizadas a incluir a Entidade Solicitante na RSFN e tomar as provid ncias necess rias para libera o dos circuitos Solicitar das concession rias o contrato completo para aquisi o da ltima milha e os seus servi os Manual de Redes do SFN P gina 9 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 Question rio 1 2 3 4 5 6 Em qual das categorias abaixo se enquadra o Solicitante a Institui o Financeira b Provedores de Servi os de Tecnologia da Informa o PSTI c C maras ou Outros O Solicitante tem um site backup ou pretende implant lo no prazo m ximo de um ano Se a resposta ao item 2 for positiva definir qu
40. secund rio no campo IP Master s e clique no bot o Add para adicion lo Este campo permite que v rios servidores Masters sejam cadastrados Clique em Next para finalizar a cria o do dom nio reverso secund rio u amp Sm E x Re mp E EE Loser med Done lo 1272 0kh 8 Mi Figura 26 Configura o dos Servidores Masters da Zona Reversa Secund ria de DNS Manual de Redes do SFN P gina 103 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 Criando um Dom nio Direto Secund rio Para cadastrar um dom nio direto secund rio clique com o bot o direito do mouse no servidor que foi criado e selecione New Zone Na tela Zone Type selecione a op o Secondary preencha o campo Zone com o nome do dom nio direto e o campo Server com o endere o IP do servidor que est sendo configurado Clicando no bot o Next ser apresentada a tela Zone Info Preencha o campo Zone Name com o nome do dom nio a ser criado e pressione Tab para que o campo Zone File seja preenchido automaticamente Ap s a confirma o do nome do arquivo do dom nio digite o endere o IP do servidor Master do dom nio secund rio no campo IP Master s e clique no bot o Add para adicion lo Este campo permite que v rios servidores Masters sejam cadastrados Clique em Next para finalizar a cria o do dom nio direto secund rio Criando um Registro do Tipo A Selecione o dom nio direto no qual ser criado o novo registro com o bot o da direit
41. situa es de queda dessas conex es a fim de validar as funcionalidades das redund ncias e medir os tempos de converg ncia na RSFN Para tanto foram definidos os procedimentos descritos a seguir Manual de Redes do SFN P gina 12 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 Descri o dos procedimentos 1 Antes do in cio dos testes a Ping em 2 institui es do Grupo A Deve se efetuar a partir de uma m quina de prefer ncia o DNS com conex o rede RSFN comando ping utilizando o nome de pelo menos 100 pacotes no HSRP das institui es escolhidas Anotar o tempo de resposta m dio na tabela b Ping em 2 institui es do Grupo B Deve se efetuar a partir de uma m quina de prefer ncia o DNS com conex o rede RSFN comando ping utilizando o nome de pelo menos 100 pacotes no HSRP de uma das institui es escolhidas Anotar o tempo de resposta m dio na tabela c Traceroute para verifica o dos caminhos Efetuar traceroute utilizando os mesmos hosts Anexar os resultados na tabela 2 Durante a interrup o de cada dispositivo a Ping nas mesmas institui es do Grupo A Deve se efetuar a partir de uma m quina de prefer ncia o DNS com conex o rede RSFN comando ping pelo nome cont nuo no HSRP das institui es escolhidas Anotar o tempo de resposta m dio na tabela b Ping nas mesmas institui es do Grupo B Deve se efetuar a partir de um
42. tica de encaminhamento do tr fego de entrada e sa da de dados c e eeeree errar erane rrenan era aaareaaanoa 10 Fenes de ConecUvidade onena a a pa 11 Testes deconiinoc ie doe aa De a A A a a a a s 12 DESCRICAO TECNIC A canina an eN di a T O O 21 Arquitetura de renderecamento IR seision a E a A EN 21 ROTEAMENTO DA RSEN aduaneira ud dali a tida an nai Na 26 Roteamento para o Femi Ae B Modelo 2 eqmiisa a sis ano E DS APAE cd dd OE RET 26 Roteamento pad o PERL O Modelo Jo Ss aan atas deb a br a dc a a E alan da a 27 Roteamento para o Perfil D com roteadores da Entidade no barramento RSFN e NAT do o prefixo 28 Modelo 6 29 Roteamento para o Perfil D com firewall da Entidade no barramento RSFN Modelo 4 erre 30 Roteamento para o Perfil D com firewall da Entidade no barramento RSFN Modelo 5 e erre 31 OBSERVA O IMPORTANTE RELATIVA AOS MODELOS 4 E 5 eeeeeeeee reias 31 MODELOS DE TOPOLOGIA PARA CONEX ES COM REDES INTERNAS cceseseerenesesesrenenesess 32 SERVIDOR DE TEMPO TIME SERVER iai inn ia since dad alada dass dai data a iara tenda tina 40 SERVIDOR WEB DA RSEN asus erss ganador TENEN EAEN EENEN ONNE SEENE ETN 40 SERVIDOR FIP sua psi IEE Ia Lo AEON OTOA SNOEN OENE A 41 INERA ESTRUTURA DE MENSAGERIA asia iisinrerras ee aas N re ENEE EEEN 41 Diretrizes DASICAS car arasina tenis ha ag ii Quien a DE Aisne a dee De dead dp du de audi da id goela a aa esa dae 41 Derini es do
43. utoritativo q s Servidor de Detec o de intrusos 5 5 Servidores MQ Figura 15 Topologia de Acesso com Firewall Manual de Redes do SFN P gina 32 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 As seguintes observa es s o pertinentes e em hip tese alguma o segmento da RSFN deve estar interligado ao segmento da Intranet sem a utiliza o de servidores de Firewall servidores de Firewall especializados ou roteadores com fun o de Firewall ou que suportem a configura o de listas de acesso e para evitar que o Firewall seja ponto nico de falha a Entidade deve considerar a utiliza o de equipamentos redundantes e o balanceamento de carga entre os servidores de Firewall pode estar baseado em solu es de alta disponibilidade mecanismos de Failover ou duplica o de tabelas e permiss o de acesso em conjunto com protocolos de roteamento din mico e os servidores da RSFN podem estar fisicamente instalados em um segmento isolado ou podem fazer parte dos segmentos da Intranet da Entidade e os servidores de DNS da RSFN devem fazer parte do segmento da RSFN de cada Entidade de forma a se evitar poss veis problemas de convers o de endere os e somente o segmento da RSFN deve utilizar endere os no padr o fornecido pela RSFN Os demais segmentos de rede devem utilizar endere os da Intranet da Entidade e os servidores da RSFN ser o configurados com endere os l gicos da RSFN no servi
44. 0 218 66 6 Is d rsfn net br Manual de Redes do SFN P gina 87 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 DNS EM SERVIDORES DA MICROSOFT INTRODU O Conforme mencionado anteriormente as aplica es de DNS propriet rias da Microsoft devem ser consideradas como segunda op o para o servi o de DNS da RSFN Recomenda se prioritariamente a utiliza o da aplica o BIND 8 2 3 tanto para servidores Unix como para servidores Microsoft Windows NT 4 0 e Windows 2000 Para as institui es que optarem pela utiliza o da aplica o de DNS da Microsoft este cap tulo descreve os procedimentos para configura o deste servi o nos servidores Windows 2000 e Windows NT 4 0 atrav s da ferramenta DNS Manager Vale ressaltar que a aplica o de DNS da Microsoft funcionou corretamente no piloto da rede Partindo do princ pio que o servi o de DNS est devidamente instalado no servidor ser o descritas as instru es necess rias para a cria o de dom nios diretos dom nios reversos registro do tipo A registros do tipo PTR e a configura o para utiliza o de forwarders Todos os nomes e endere os IP utilizados nas telas de exemplo s o aleat rios e devem ser utilizados apenas para orienta o CONFIGURA O DO DNS SERVER EM AMBIENTE WINDOWS 2000 Para iniciar a ferramenta DNS Manager clique em Start Programs Settings Control Panel Administrative Tools DNS Manager Na tela inicial do DNS Manager clique em D
45. 15 916 920 923 924 1004 1009 1021 1023 1025 1027 1040 1043 1046 1047 1051 1088 1089 1097 1100 1107 1114 1115 1126 1140 1148 1250 1256 1275 5348 ReplyToQ informar o nome da fila ou o ReplyToQ alias definido no ambiente da institui o que receber as mensagens geradas automaticamente pelo Queue Manager tais como COA COD Report Exceptions ReplyToOMgr informar o queue manager alias name de acordo com o definido anteriormente Manual de Redes do SFN P gina 46 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 QM ISPBLocal seq ou deixar em branco no caso de usar ReplyToQ alias ATRIBUTOS PARA OBJETOS DO MQSERIES Airbutos ComunsaTodasasFias J a Gustenameis na Dera o o ma DefPriorty O defaut Qdese me QName o S S aque oo d S Tabela 6 Atributos Comuns a Todas as Filas Atributos de Filas Locais C ATRIBUTO DEFAULT _ _ Archive a BackoutRequeueQName l re BackoutThreshod o ve CreatonDate fo ve CreatonTime ve CurentQDepth five DefinputOpenOption ore NO InitiationQName fora Openinputcont ve O OpenOutputCount fo ve ProcessName fire Manual de Redes do SFN P gina 47 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 Retentioninterval 999999999 Shareability LO livre StorageClass DEFAUT TriggerControl Doo re Trggerdata ne TrggermsgPrornty O ie Tabela 7 Atributos de Filas Locais Atributos de Filas Remotas Arinos do rino emas ATR
46. 2 1f2 rsfn net br EBT RTM opcional irs2 att rsfn net br Primesys irs3 att rsfn net br irs2 ebtrtm rsfn net br EBT RTM irs3 ebtrtm rsfn net br Tabela 10 Servidores SNS dos Sub Dom nios Diretos da RSFN 1fl rsfn net Br 1f2 rsfn net br att rsfn net br ebtrtm rsfn net br A Tabela 11 apresenta exemplo de servidores secund rios para os sub dom nios reversos da RSFN Sub Dom nio Reverso da RSFN Servidor Secund rio SNS Entidade Respons vel 0 31 66 218 200 1n addr arpa ns2 bcb rsfn net br Bacen 64 95 66 218 200 1n addr arpa ns2 clearingl1 rsfn net br Clearingl 96 127 66 218 200 1n addr arpa ns2 clearing2 rsfn net br Primesys opcional 128 159 67 218 200 1n addr arpa ns2 Provedornx2 1 rsfn net br Provedor nx2 1 0 15 80 218 200 1n addr arpa ns2 1f1l rsfn net br IF1 16 31 80 218 200 1n addr arpa ns2 112 rsfn net br EBT RTM opcional 0 127 64 218 200 1n addr arpa 1rs2 att rsfn net br Primesys 1rs3 att rsfn net br 1rs2 ebtrtm rsfn net br EBT RTM 1rs3 ebtrtm rsfn net br Tabela 11 Servidores SNS dos Sub Dom nios Reversos da RSFN 128 255 64 218 200 1n addr arpa No entanto para que os servidores anteriores sejam capazes de resolver endere os reversos de zonas parciais de DNS uma vez que a RSFN utiliza sub redes com endere os de Classe C particionados 16 ou 32 endere os os servidores de DNS das institui es conectadas a esta rede ter o que ser configurados como servidores secund rios dos dom nios rever
47. 6 Tabela 3 Faixa de Endere os dos hosts TCP IP das IF com m scara 28 Tabela 4 Faixa de Endere os dos hosts TCP IP das IFs com m scara 27 Figura 9 Topologia com dois sites por m com apenas dois CPE Figura 10 Topologia com dois sites com interconex o pela rede interna Figura 11 Conex o do Perfil D com roteamento iBGP Figura 12 Topologia com dois sites quatro roteadores da Entidade e NAT interno Figura 13 Conex o direta do Perfil D com a c lula de seguran a Figura 14 Topologia com dois dom nios de broadcast Figura 15 Topologia de Acesso com Firewall Figura 16 Topologia de Acesso com Roteadores Firewall e DMZ Figura 17 Topologia Redundante com Site de Conting ncia Figura 18 Topologia de Redund ncia M xima Sem Site de Conting ncia Figura 19 Topologia de Redund ncia M xima Com Site de Conting ncia Tabela 5 Dom nios ambientes e portas Tabela 6 Atributos Comuns a Todas as Filas Tabela 7 Atributos de Filas Locais Tabela 8 Atributos de Filas Remotas Tabela 9 Atributos de Alias Queues Tabela 10 Atributos de NameLists Tabela 11 Atributos de Processos Tabela 12 Atributos de Queue Managers Tabela 13 Atributos de Canais Tabela 14 Atual configura o de Qualidade de Servi o na RSFN Tabela 15 Nova configura o de Qualidade de Servi o na RSFN Manual de Redes do SFN P gina 4 de 108 12 14 16 17 19 21 22 23 24 24 25 25 26 27 28 29 30 31 32 34 36
48. 6 218 200 in addr arpa o qual dever estar totalmente compat vel com a tabela de endere os IP fornecida para cada Entidade da RSFN 66 218 200 1n addr arpa IN SOA nsl bcb rsin net br spb registro bcb gov br 2001081401 N mero de S rie 28800 refresh 3600 retry 604800 expire 86400 default tt Servidores de nomes deste dom nio IN NS nsl bcb rsfn net br Manual de Redes do SFN P gina 67 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 IN NS ns2 bcb rsfn net br IN NS irsl att rsfn net br IN NS irs2 att rsfn net br IN NS irs3 att rsfn net br IN NS irsl ebtrtm rsfn net br IN NS irs2 ebtrtm rsfn net br IN NS irs3 ebtrtm rsfn net br Delega o de Direitos para Clermmgs Bacen 2 linhas p cada sub dom nio 0 31 66 218 200 1n addr arpa IN NS nsl bcb rsfn net br 0 31 66 218 200 1n addr arpa IN NS ns2 bcb rsfn net br 32 63 66 218 200 1n addr arpa IN NS nsl selic rsfn net br 32 63 66 218 200 1n addr arpa IN NS ns2 selic rsfn net br 64 95 66 218 200 1n addr arpa IN NS nsl clearingl rsfn net br 64 95 66 218 200 1n addr arpa IN NS ns2 clearingl rsfn net br 96 127 66 218 200 1n addr arpa IN NS nsl clearing2 rsfn net br 96 127 66 218 200 1n addr arpa IN NS ns2 clearing2 rsfn net br 128 159 66 218 200 1n addr arpa IN NS nsl clearing3 rsfn net br 128 159 66 218 200 1n addr arpa IN NS ns2 clearing3 rsfn net br 160 191 66 218 200 1n addr arpa IN NS nsl clearing4 rsfn net br
49. 7 6 3 SERVIDOR FTP O servi o FTP no modo ativo utiliza a porta 20 para transfer ncia de dados e a porta 21 para comandos Para a RSFN o servi o FTP em modo passivo Passive Mode utilizar o range de portas 1110 a 1121 Como exemplo o arquivo de configura o para a solu o VSFTP acrescentar os seguintes par metros e pasv enable YES e pasv min port 1110 e pasv max port 1121 e port enable YES INFRA ESTRUTURA DE MENSAGERIA Diretrizes b sicas A mensageria baseada em um software gerenciador de filas o MQSeries ou simplesmente MQ Recomenda se utilizar a vers o mais atual deste software entretanto isto n o requisito de funcionamento sendo poss vel a comunica o entre diferentes vers es N o ser permitida a utiliza o de outros aplicativos para transfer ncia de mensagens que n o sejam de uso comum por todas as Institui es participantes N o haver conex es do MQSeries do tipo cliente servidor entre os participantes da RSFN todos dever o se conectar a rede usando o modo servidor servidor As conex es entre provedores PSTI aglomerados conglomerados e provedores de conting ncia e seus agregados podem ser do tipo cliente servidor Para o tr fego de mensagens na RSFN foram estabelecidos quatro dom nios de sistemas SPB01 MES01 MES02 e MESO03 O dom nio SPBO1 diz respeito ao tr fego de mensagens dos grupos de servi os do Sistema de Pagamentos Brasileiro Os dom nios de si
50. 8 horas lh Retry ap s 1 hora lw Expire ap s 1 semana ld TTLdeldia Manual de Redes do SFN P gina 79 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 Servidores de nomes deste dom nio IN NS nsl bcb rsfn net br IN NS ns2 bcb rsfn net br Arquivo var named named ca Este arquivo ser id ntico ao arquivo named ca apresentados anteriormente Configura o do SNS dos Sub Dom nios ns2 bcb rsfn net br Este cap tulo apresenta o modelo de configura o para os servidores SNS dos sub dom nios das Entidades Arquivo etc named conf options directory var named recursion yes notify yes allow query any allow transfer any query source address port 53 listen on port 53 any j zone bcb rsfn net br type slave masters 200 218 66 1 file db bacen 3 zone 0 31 66 218 200 1n addr arpa type slave masters 200 218 66 1 file db 200 218 66 0 31 3 zone 66 218 200 1n addr arpa type slave masters 200 218 64 6 200 218 64 134 file db 200 218 66 3 zone rsfn net br type forward forward only forwarders 200 218 64 6 200 218 64 134 zone 64 218 200 in addr arpa type forward forward only forwarders 200 218 64 6 200 218 64 134 3 zone 67 218 200 1n addr arpa type forward forward only forwarders 200 218 64 6 200 218 64 134 J zone 80 218 200 in addr ar
51. A RR AR a a AR na O 59 PRENIS CASPA TCA ria a E A NA 60 PNS NARS FN oora e a a a a a a a A e 61 Aph acoes de DNS aecomendadaS sas araa Na aE Da E E E a E Me 62 DNS em servidores UN e a aa a T E E a a E a a dd 62 DNS enir Servidores WINdOWS aar N a E E E A O a re 62 AROUITETURA DE DNS DA RSEN donerien en EEN N N EEA Sa a O 63 Sub Dominios da RSF IN saarea E A A N a AETA a A A 64 De l gando Direit s P ara s SuUb DOMMI OS rreri TA Ea E EENE a AE Daa O EA EEE aa 64 Incluindo ou Excluindo Dom nios ou Sub Dom nios ciiiceeereeer erre er encerra acer e aerea een eaa rea n cen n eee nceancea a eanceaaa 65 Dominios Reversos da RSFN ariera a ans aa Dad Da nodos PG Sa De 65 Sub Dominios Reversos da RSEN sa nO Ene ERR SP E DR AS 67 Delegando Direitos Par os Sub Dom nios Reversos ss seas uuactamenaaaa adiada dade dh TRT aa Ga ant aaa dC DO AGA a 67 Incluindo ou Excluindo Dom nios ou Sub Dom nios Reversos ssesseesenseeseoreeseeseeseesseseessesseosessersreseoserseoserseeserseeserseese 69 Sub Doninos Reversos da RSEN eressero poda tr Dea O A e 70 Servidores de DNS da RSEN aau Sos E NEES E EN E E E E a Rg 71 Servidor Prim rio dos Dom nios Superiores IRS Internal Root Server osessesssessssessseessssrssserssseesseesseessserssserssseesseene 71 Servidores Prim rios dos Sub DomihiOS aaarrrki ia a NEEE AOS RD RAD A A a E AA NE a 72 Servidores Secundarios dos Sub DominiOS ss aaa ss enienssasdais n aN EE EE RSA ENEE TOELAE E
52. E EEEN EAEE ER a ad a aa 74 Registro dos Dom nios Superiores nas Entidades Competentes cci e eerererreren err area re aaa rran ea eeraareananoa 15 Rcoistrodos Sub Dominiosdas Enhdades baseando sra arredores aS 76 rvore de DNS da Parte Externa bonbo hn botoren hororon aaa aerea aeee aaa EANA eae rear eae 76 Restri es sobre a Configura o do PNS e SNS dos Sub Domfnios seseessseesseeesseessssessseressersseesssersssseesseesseessseessseeessee 82 CONFIGURA O DOS RISOLVERE EEEN ETOO EENE E OEA EEE 82 PADRONIZA O DE NOMES DE HOSTS E INTERFACES eeeaeeeeateeeeeeaeaeeeaeaereaeteereeeeneaaa 82 Padroniza o de Nonmies de USUarioS issin E E EE REE EE EE EEEE A E EE E a a 83 IMPACTO DO TR FEGO DO DNS NA REDE osssassoosesnonosoononosoororinbebortntot hno arona RAS Ta nononono nanana roroa URSS Da DADA 83 Localiza o dos Servidores rocan EE OEA EAEE E EE EOE 83 Parametros de Femporniza o do Recistro SOAs E e E E E E aa E a a Cr 84 Conhisura o doS Resolvers aesa E a a E E A T a a TEE 84 FERRAMENTAS DE DEPURA O DO DNS NSLOOKUP dievino aaa a aa 86 INTRODU O E O NEEN E EE E E E E A EA NEN 86 DNSEM SERVIDORES DA MICROSOFT osssasasaa eono iroa sadecisai oa ando canainao a a ae aiar aaa 88 INTRODUC A O a a E e E r E EE 88 CONFIGURA O DO DNS SERVER EM AMBIENTE WINDOWS 2000 eee 88 Criandoum Domino Reverso Prim rio css oa ser pos U E O E EA A O 92 Criando um Dom nio Direto Secund noO naea e
53. F QL REP ISPBRemoto ISPBLocal seq BC Prestador envia mensagens de suporte IF QL SUP ISPBRemoto ISPBLocal seq Manual de Redes do SFN P gina 42 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 Filas remotas na IF IF requisita ao BC Prestador QR REQ ISPBLocal ISPBRemoto seq IF responde ao BC Prestador QR RSP ISPBLocal ISPBRemoto seq IF reporta ao BC Prestador REP ISPBLocal ISPBRemoto seq IF envia mensagens de suporte ao BC Prestador QR SUP ISPBLocal ISPBRemoto seq Filas locais no BC Prestador Filas remotas no BC Prestador BC Prestador requisita IF QR REQ ISPBLocal ISPBRemoto seq BC Prestador responde IF QR RSP ISPBLocal ISPBRemoto seq BC Prestador reporta IF QR REP ISPBLocal ISPBRemoto seq BC Prestador envia mensagens de suporte IF QR SUP ISPBLocal ISPBRemoto seg Filas de Transmiss o QM ISPBRemoto seq Queue Manager Alias Name QM ISPBLocal seq seg ser igual a 01 para o dom nio SPBOI seg ser igual a 02 para o dom nio MESOI seq ser igual a 03 para o dom nio MESO2 e seg ser igual a 04 para o dom nio MESOS3 Exemplo no dom nio MESO1 a fila de requisi o da institui o 99999999 no BACEN a QL REQ 99999999 00038166 02 e o queue manager da institui o 99999999 QM 99999999 02 Manual de Redes do SFN P gina 43 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 Canais Sender CISPBLocal ISPBRemoto n Receiver CISPBRemoto ISPBLocal n
54. IBUTO O o o DERAUT O O RemoteQMgrName FR RemoteQName XmitQName Tabela 8 Atributos de Filas Remotas ATRIBUTO DEFAULT Basanan o Tabela 9 Atributos de Alias Queues Atributos de Nametists oo ATRIBUTO OO DEFAUT AteratonDate oo d ie O Names NamelistDesc O 7 E NamelistName ES Tabela 10 Atributos de NameLists Manual de Redes do SFN P gina 48 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 Atributos de Processos AlteratonDate oo o Atributos de Queue Managers ChamelAutoDefExt Tooo ClusterWorkloadData o Jooo ClusterWorkloadExit oo o ClusterWorkloadLength CodedCharSetld lt Z o Doo CommandinputQName CommandLevel Po q DeadLeiterQName o DefXmitQName o DistLists A MaxPriorty 9 Platform oo S y QmgrName S o RepositoryName o livre Tabela 12 Atributos de Queue Managers Manual de Redes do SFN P gina 49 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 Atributos de Canais e ATRIBUTO DEFAULT Batch interval BATCHINT o 0 default Channel name CHANNEL o Z o Z o padr o Channel type CHLTYPE Z O o o padr o CICS profilename o ie OEO Cluster CLUSTER 2 o o y O Cluster namelist CLUSNL FR Connection name CONNAME DNS PORTA Description DESCR padr o UY o Disconnect interval DISCINT 6000 O LU 6 2 mode name MODENAME Maximum message le
55. MOSES asa 20 sda ba age e Do aa ca a SG A E AD SR LEA O ERR D 42 CONFIGURA O DO SERVIDOR MQ OP O ADOPTNEWMCA ccccerereneneaesecesecneneneneneseesesesasnsnsas 51 CONFIGURA O DO MO BANCO CENTRAL secas ass ara obeac nd su easan de rA a a andina a nda da EEE ana sau dada datando 52 GERENCIA DE SEGUNDA NIVER DA RSEN asc prisp o oca a 53 Diretrizes Basle ISen E ie A A E E E 53 REQUISITOS PARA O MODELO OPERACIONAL DE PSTI eeeeccesssssecccccccsssseccccccccsseccccceccssesccececssssecceccessso 54 Obriga es das Institui es Financeiras quando operam no modelo de PSTI e eee eeereerererereraeeneranaa 54 Obricacoes dos PS TI aaen EE E EEE EEE RET ETE A E EEEE E A EE EEE E 54 Utiliza o de redededicada homologada pelo BACEN amecncrmoiinero ont rE ar E ET E ATEEN TD EA 54 Ger ncia Intestada de Secundo Nivel aranse aene an a E a IAT TE E T de pede pi ini sina 55 Mira RSEN cero An a N T o A A a e cab 55 QUALIDADE DE SERVICO NA RSEN riino aa a aaee aaaea daaa saaa eae Raai arsaa aiis 56 Configura o atual de Qualidade de Servicona RSEN osrrsiivcorioid eyda a EA iE EA a DO RUE NER A ENEA 56 Nova configura o d Qualidade de Servi o na RSEN sareei nonner an TRAE Dida e NE diese Tan Go AAE EE A 57 Manual de Redes do SFN P gina 2 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 ANEXO I CONFIGURA O DE DNS DOMAIN NAME SYSTEM esscsccccceseceocecececcccecececescecccccessccececessseo 59 INTRODUC O a O
56. Manual de Redes do SFN Vers o 7 6 3 GER NCIA DE SEGUNDA N VEL DA RSFN Diretrizes b sicas A ger ncia de segundo n vel da Rede do Sistema Financeiro Nacional tem como finalidades principais a b c Este servi o ser prestado por empresa contratada para este fim pelos signat rios do Instrumento de Acordo Operacional firmado com as provedoras de telecomunica es da RSFN que dever ter a concord ncia do Banco Central administra o e controle de todo o tr fego de mensagens arquivos e demais servi os autorizados pelo Banco Central controle centralizado dos servi os prestados pelas operadoras e assessoramento Coordena o do Subgrupo de Redes nas quest es relacionadas ao funcionamento da RSFN Cabe prestadora de servi os a b c cumprir os procedimentos descritos no Manual Operacional de Ger ncia de Segundo N vel seguir as diretrizes estabelecidas pelo Banco Central prepara o de relat rios espec ficos sobre a RSFN solicitados pela Coordena o do Subgrupo de Redes e encaminhamento de relat rios gerenciais peri dicos Coordena o do Subgrupo de Redes sobre a utiliza o da RSFN Tamb m fazem parte dos servi os de gerenciamento de Segundo N vel as atividades abaixo relacionadas acompanhar as atividades de configura o e falhas da RSFN com fun es de planejamento monitora o execu o e documenta o garantir a manuten o e atualiza o da arquitetura
57. N Os demais roteadores deste barramento ser o configurados como route reflector client e ter o como neighbor IBGP apenas os dois roteadores da Entidade os route reflectors como ilustrado na Figura 11 Os roteadores das Entidades dever o utilizar os endere os da interface local para as configura es BGP em vez de utilizar interfaces loopbacks Desta forma as configura es do HSRP caso seja necess rio dever ser nos roteadores da Entidade em vez de nos roteadores CPE O route reflector do site principal dever ter a interface de rede da VLAN RSFN com o 13 endere o do primeiro prefixo 28 e o route reflector do site secund rio o 14 Apesar de a partir dos CPE existirem dois caminhos para a o segundo prefixo 28 a op o de acesso ser tomada para o vizinho neighbor com o menor endere o IP site principal Roteamento para o Perfil D com firewall da Entidade no barramento RSFN Modelo 4 Conex o entre o site Principal e Backup feita pela extens o do barramento LAN da RSFN e a conex o entre a RSFN e a Entidade via c lula de seguran a equipamentos que n o suportam roteamento BGP RTM Embratel Primesys Rede Interna da Institui o Institui o Site Principal Site Backup Figura 13 Conex o direta do Perfil D com a c lula de seguran a A diferen a entre este modelo em rela o ao anterior refere se ao fato dos equipamentos de interface entre o barramento da RSFN e o da Entidade n o suportarem o pro
58. NS para apresentar os servidores cadastrados TETE ajai xi A Sonae Widom tino xj dio ye Da EDS o res Harme gt iCare Lockups ml Fur eder Lookin Io lEs Lo aa LM j DESPOTI a D Csched Lovtups H od Formand Look Zonas a Reverse Lodup imes Figura 3 Tela Inicial do DNS Manager em Servidores Windows 2000 Para adicionar um novo servidor clique com o bot o da direita do mouse em DNS e selecione a op o New Server Cadastre o nome ou o endere o IP do novo servidores de DNS na janela Add New Server Manual de Redes do SFN P gina 88 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 Add DNS Servei Enter the name or IP to add to the list DNS Server 200 0 20 6 Figura 4 Adicionando um Novo Servidor de DNS Windows 2000 Criando um Dom nio Direto Prim rio Para cadastrar um dom nio direto clique com o bot o direito do mouse na op o Forward Lookup Zones que est abaixo do servidor criado e selecione New Zone 8 console window tp jd an w O DBE o O casos m Cached Lookups Em m Reverse Lookup Zi Traste a new 20a Figura 5 Criando um Dom nio Direto Prim rio Windows 2000 Neste momento ser iniciado um Wizard que coordenar todo o processo de cria o do dom nio Clicando no bot o Next ser solicitado o tipo de zona que se deseja criar Clique na op o Standard Primary e em Next para continuar Ma
59. RSFN Manual de Redes do SFN Vers o 7 6 3 RSFN Rede do Sistema Financeiro Nacional Manual de Redes do SEN Maio 2015 Vers o 7 6 3 Manual de Redes do SFN P gina 1 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 NDICE INDI Porron iene da cr pr a 2 CONTROLE DE VERS O a O nd nan 5 VIS O GERAL ata aaa ae a o a a RR 6 ARQUITETURA DE REDE DE COMUNICA O PARA O SISTEMA FINANCEIRO ecererrreece 6 APESE MACAO ae asi aid a ret a tr a Rc E AD GR a E RR 6 RSEN Rede do Sistema Financeiro Nacional corason anns ol dp latas Cal E AA aa afete E aaa Dela En aS 6 SODEC A Are a anaa aa A na a EO ode E EA a E EE E A E TE 6 Atribui es e Responsabilidades do Subgrupo de Redes cec erre area er ana er area r arena re anan cr an aan rena nara raaneaea 7 Normas de unizactio da RSEN seresa urnar a E aS E E a OE 7 RECOMENdA ES ainar a e E T A a a A aa e A A E au Ro E 7 CENTRAL DE ATENDIMENTO q asauaiaerre nada EEE EEEE E E tad da 8 PROCEDIMENTOS PARA ACESSO RSFN sssssssesceccccceccccecececccceccceceecececeececececeecececeeeecececeececececeecececeeeeeeeeeeeeeeeee 9 SONCHa o dE CONEX O cassada ani ade dia cnh dia aa a ais di ar int de aaa Ea doa RR A E A Rd a E a dd Le RO dE 9 Para solicita o das conex es as Entidades Solicitantes dever o mispresi ieo reiii a a EE EET a NE aA 9 Owes ONO espa E EA EE A a A A a E E E da a E 10 Pre TOQUISILOS irao ao anota T T T E GA NE TE a e 10 Pol
60. STI utilizar o o perfil C ou D recebendo dois prefixos 27 O Provedor PSTI pode se comunicar apenas com o BACEN as C maras e as IFs s quais ele presta servi o conforme apresentado na Figura 8 Institui o Financeira Interigada ao provedor PSTI via rede RSFN O ERES Og rede homologada do Provedor PSTI Figura 8 Servi o PSTI Manual de Redes do SFN P gina 23 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 Defini o da Faixa de endere os dos Hosts de cada VLAN Para facilitar a administra o dos endere os IP dos diferentes n s TCP IP dentro de cada VLAN as faixas foram padronizadas por tipo de hosts Al m de permitir a identifica o r pida do recurso a utiliza o de faixa de endere os permite definir listas de acesso e de prioridades para cada recurso da rede VLAN das C maras e dos Provedores PSTI A VLAN das C maras e dos Provedores PSTI possuem no m ximo 30 hosts para cada prefixo 27 As faixas de hosts recomendadas para estas subredes est o ilustradas nas Tabela 1 e Tabela 2 2 byte 3 4 byte host Tipo do host pre byte X X _ xxx00001 to Ethernet 0 0 CPE Primesys E e a E EEN 30 x x x x000 6o lo Servidor DNS __ x x x kxx01000 8o __ 1o Servidor MQSeries_ x X X _ xx01001 90 20 Servidor MQSeries x x x xxxoto1o 10 Reservado x x k e e Rewo x x x xaxttioi 29 Reservado Tabela 1 Faixa de Endere os dos hosts TCP IP com m scar
61. Zona do DNS Windows 2000 Manual de Redes do SFN P gina 91 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 A ltima tela do Wizard solicita uma confirma o dos dados fornecidos para a cria o do novo dom nio Clique na op o Finish para confirmar e finalizar a cria o do dom nio direto prim rio Completing the New Zone Wizard Tou have mcrce compleded tha Her ore mrad tos apagada loray amna here piono niire br poe Prrsy Lomp ipe Foryd Fis nara pino i real br dit To chm be seca and cosas Hha mew ora cet Frah Figura 9 Criando um Dom nio Direto Prim rio Confirma o Windows 2000 Criando um Dom nio Reverso Prim rio Para cadastrar um dom nio reverso clique com o bot o direito do mouse na op o Reverse Lookup Zones que est abaixo do servidor criado e selecione New Zone Na tela Zone Type selecione a op o Standard Primary Na tela Reverse Lookup Zone existem duas op es para o preenchimento do nome do dom nio reverso Na primeira op o Network ID deve ser cadastrado o endere o de rede do dom nio reverso que est sendo criado Na segunda op o o campo Reverse lookup zone name deve ser preenchido com o endere o da rede no formato invertido adicionando se o padr o in addr arpa Para a cria o de dom nios reversos de sub redes de endere os Classe C que ser o utilizados na RSFN a segunda op o deve ser utilizada Manual de Redes do SFN
62. a 27 2 byte 3 byte 4 byte Tipo do host O principal site principal backup S A ES SS site E ES x x x fxx000101 5o JHSRP O x x x xoono 6o fiosenidndas TE x x x xon 7o 20 Servidor DNS x x x komo 80 1o Servidor MQSeries X X00100 90 20 Servidor MQSeries x x x fxx001010 100 Reservado E qu a a x x x fenon 550 _ Swith x x i iili x x x x x x i n x x p po po Free OO ao o dx ano Joa fa UUU Tabela 2 Faixa de Endere os dos TRE TCP IP com m scara 26 x x x ii x Manual de Redes do SFN P gina 24 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 VLAN das IF s A VLAN das IF possuem no m ximo 14 hosts para cada prefixo 28 As faixas de hosts recomendadas para estas subredes est o ilustradas nas Tabela 3 e Tabela 4 DX x aaor fio Eemer 00 CPE Pimeys x x x fkxxo0i0 20 _ Ethernet 0 0 CPE EBT RTM__ x x ewon fo x x x fkxo0o0 4o lo swith x x x hwo T5o x x x frsmnio Too fio Seridorbns a x x x feon 7o 20 Servidor DNS x x x kwo 80 loServidorMQSeres Xx x xxo 90 _ 20 Servidor MQSeries x x x JxxaxiOto 10 Reservado xoko ko ph e Reservado x x xxuo 13 Reservado xo x x eo 4o Firewall O Tabela 3 Faixa de Endere os dos hosts TCP IP das IF com m scara 28 x fx femomoi fio Ememet 0 0 CPE Primesys do site pameipa De TX E S 0 CPE ERTRTM do iepichal x x x fossoooni fio Ermemet 0 0
63. a convers o de endere os via NAT no formato 1 para 1 ou seja um endere o l gico da RSFN para cada endere o f sico utilizado na Intranet todas as esta es de trabalho da Intranet que desejarem acessar servi os da RSFN ter o seus endere os da Intranet convertidos para um nico endere o da RSFN Esta convers o tamb m dever ser executada no servidor de Firewall configurado com a fun o NAT os roteadores da Intranet dever o ser configurados com rota espec fica para os endere os v lidos na RSFN a ser fornecido pelo Banco Central Estas rotas dever o apontar para o servidor de Firewall utilizado na interliga o da Intranet com a RSFN os servidores de Firewall dever o ser configurados com rota espec fica para o endere o do host hsrp sub dom nio rsfn net br Manual de Redes do SFN P gina 35 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 Topologia redundante com site de conting ncia Neste modelo s o utilizados dois sites um principal e um de conting ncia conforme ilustrado na Figura 17 Cabe Entidade definir se os dois estar o ativos ou se o site de conting ncia somente ser acionado em caso de falhas no site principal Site A Site B RTM Embratel Primesys RTM Embratel s DNS 9 DNS Autoritativo Autoritativo s Servidor de Detec o de intrusos s Servidor de Detec o de intrusos Interliga o das redes interna gt 5 5 Servidores MQ Servidores MQ Fig
64. a do mouse e escolha a op o New Host Dist i ifea Teiric blmiaipei mis E Mar j ema inia 5 iist gt Cacha faci bo ato ni meto ypa as Faret lt Gm Etr xo ateh Ras Wa miadimadande dando E na quis rir seti E Higor rubendo do doem her por E 1 ZONmCOCH Figura 27 Criando um Registro do Tipo A Windows NT 4 0 Na tela New Host preencha os campos Host Name e Host IP address Selecionando se o item Create associated pointer PTR record um registro PTR associado ao endere o IP do host ser criado no dom nio reverso correspondente Para dom nios reversos de sub redes de endere amento Classe C este item n o funciona corretamente e n o deve ser marcado A cria o de registros PTR para endere os IP que fazem parte de uma sub rede de endere amento Classe C deve ser feita separadamente e ser explicada posteriormente Clique no bot o Add Host para adicionar o registro New Hoal Manual de Redes do SFN P gina 104 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 Figura 28 Definindo as Caracter sticas do Registro do Tipo A Windows NT 4 0 Criando um Registro do Tipo PTR A cria o de registros PTR de uma sub rede de endere o Classe C atrav s do utilit rio DNS Manager de servidores Windows NT 4 0 n o funciona corretamente Neste caso a cria o destes registros deve ser feita de forma manual ou seja editando se o arquivo de configura o do dom nio reverso
65. a m quina de prefer ncia o DNS com conex o rede RSFN comando ping pelo nome cont nuo no HSRP das institui es escolhidas Anotar o tempo de resposta m dio na tabela c Verificar qual dos hosts fica indispon vel e qual o tempo de retorno Anotar o host e o tempo de retorno d Trace para verifica o dos caminhos Efetuar trace utilizando os mesmos hosts Anexar os resultados na tabela de testes 3 Retorno do dispositivo a Verificar se ocorre indisponibilidade e qual o tempo de retorno Anotar o host e o tempo de retorno Manual de Redes do SFN P gina 13 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 Modelos de Topologia MODELO 1 Conex o entre o site Principal e Backup feita por link interno e conex o entre a RSFN e Entidade via roteadores ou Firewall Rede Interna da Institui o Institui o Site Principal Site Backup Figura 2 Dois sites com interconex o pela rede interna Este modelo pode ter como variante a conex o de apenas 1 firewall por site Manual de Redes do SFN P gina 14 de 108 Testes Manual de Redes do SFN P gina 15 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 1 Queda do circuito Primesys do site principal 2 Queda do circuito EBT do site principal 3 Queda do circuito Primesys do site backup 4 Queda do circuito EBT do site backup 5 Queda dos 2 circuitos do site principal 6 Queda dos 2 circuitos do site principal P
66. a pelos usu rios da rede quer seja pelas aplica es residentes nos diversos hosts desta rede Recomenda se a leitura do Anexo I para mais informa es sobre o DNS Como qualquer outra aplica o TCP IP o DNS mais uma aplica o que utiliza a arquitetura cliente servidor Nesta arquitetura a parte cliente resolver faz requisi es espec ficas queries de DNS para a parte servidora name server quando necessita resolver nomes atrav s do DNS DNS X BIND Frequentemente ocorre uma grande confus o entre o que vem a ser o DNS Domain Name System e o que vem a ser o BIND Berkeley Internet Name Domain A primeira implementa o do DNS foi chamada Jeeves e foi escrita por Paul Mockapetris Uma implementa o posterior foi chamada de BIND e foi escrita por Kevin Dunlap para o sistema operacional UNIX 4 3BSD de Berkeley Desde ent o o BIND a vers o mais popular e a mais completa implementa o de DNS encontrando se portada para a maioria dos sistemas operacionais existentes Unix VMS NT Windows 2000 Mesmo implementa es propriet rias de DNS fazem refer ncia vers o do BIND qual s o compat veis Atualmente o BIND apresenta tr s linhas de vers es BIND 4 x BIND 8 x BIND 9 x A linha 4 x utiliza arquivos de configura o de DNS com formatos diferentes das demais linhas At a vers o 4 8 3 o grupo Computer Systems Research Group da universidade de Berkeley na Calif rnia era respons vel pela manuten
67. a se ado o de um nome j utilizado e registrado na conex o Internet A Tabela 2 apresenta exemplos de nomes de sub dom nios desta rede rsfn net Br rsfn net br Nome Completo Nome Abreviado Banco Central do Brasil Bolsa de Valores amp Futuros Companhia Brasileira de Liquida o e Cust dia C mara de Cust dia e Liquida o Sistema Especial de Liquida o e Cust dia Bank Boston Banco Merrill Lynch beb rsfn net br bmf rsfn net br cble rsfn net br cetip rsfn net br selic rsfn net br bkb rsfn net br ml rsfn net br sudameris rsfn net br db rsfn net br att rsfn net br ebtrtm rsfn net br Banco Sudameris Deutsche Bank Telmex Embratel Tabela 2 Sub Dom nios da RSFN Delegando Direitos Para os Sub Dom nios O servidor prim rio da zona rsfn net br quem tem o direito de criar e delegar direitos para seus sub dom nios Esta delega o ocorre atrav s da configura o de registros do tipo NS Name Servers atrelados a registros do tipo A Address para cada um dos sub dom nios criados glue records A seguir segue um trecho para exemplificar a configura o para delega o de direitos para os sub dom nios de rsfn net br os quais dever o estar totalmente compat veis com a tabela de endere os IP fornecida para cada Entidade IN SOA nsl bcb rsfn net br spb registro bcb gov br 2001081401 N mero de S rie 28800 refresh 3600 retry 604800 expire 86400 default tt Servid
68. al ser o perfil adotado para a comunica o entre os sites dentre as op es sugeridas no Cap tulo Roteamento da RSFN deste documento Qual o nome do Subdom nio pretendido pelo Solicitante se j possuir um nome de dom nio na Internet recomenda se utiliz lo este dom nio ter obrigatoriamente a extens o rsfn net br p ex se o nome do dom nio na Internet xyz com br sugere se utilizar para a RSFN o nome xyz rsfn net br Se o Solicitante for uma Institui o Financeira utilizar a estrutura de Provedor PSTI Qual ser este provedor O Solicitante implantar o servi o de DNS pr prio ou utilizar o servi o fornecido pela Concession ria Caso queira utilizar o Servi o de DNS de uma das Concession rias dever informar ao Banco Central os endere os IPs dos Servidores Autoritativos para o dom nio do Solicitante Pr requisito Conex o dos roteadores das duas concession rias em barramento de rede local conforme modelos sugeridos no Cap tulo Modelos de Topologia para Conex es com redes Internas deste documento Pol tica de encaminhamento do tr fego de entrada e sa da de dados Segundo a defini o do comit gestor do grupo de redes da RSFN o crit rio de escolha do caminho de sa da de cada Entidade ser definido pela configura o HSRP Hot Standby Router Protocol Nesta configura o todos os Hosts da VLAN dever o apontar para um default gateway virtual onde os roteadores CPE EBT RTM e PRIMESYS ir o
69. ante Encaminhamento de solicita es de configura o e suporte aos servi os de DNS Ger ncia de Segundo N vel da RSFN Manual de Redes do SFN P gina 55 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 QUALIDADE DE SERVI O NA RSFN Configura o atual de Qualidade de Servi o na RSFN A funcionalidade Qualidade de Servi o QoS na RSFN atribui par metros e largura de banda para diferenciar os servi os e garantir a performance da rede Tr s classes de servi o foram definidas INFRA ESTRUTURA SPB MENSAGERIA e DEFAULT A classe de SPB MENSAGERIA com 65 da banda total de cada link podendo por determina o do Banco Central do Brasil atingir at 95 a classe miss o cr tica para a RSFN Deve ter os seguintes par metros a tempo de resposta one way trip time entre as portas de acesso dos CPEs de duas entidades quaisquer apurado mensalmente com 4 medidas a cada hora entre 7 e 21 horas a cada dia com largura de banda otimizada sem congestionamento inferior a 120 ms a cada m dia hor ria b taxa m dia di ria de perda de pacotes round trip no backbone apurado mensalmente inferior a 1 ao dia A classe de INFRA ESTRUTURA com 5 da banda total de cada link prov uma banda m nima para o tr fego de roteamento e divulga o de rotas BGP e outras aplica es de controle de rede como gerenciamento SNMP sincronismo de rel gio atrav s do protocolo NTP informa es de dom nio DNS e acessos telnet Es
70. ar named recursion yes notify yes allow query any allow transfer any query source address port 53 listen on port 53 any 5 zone bcb rsfn net br type master file db bacen E Manual de Redes do SFN P gina 76 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 zone 0 31 66 218 200 1n addr arpa type master file db 200 218 66 0 31 3 zone 66 218 200 1n addr arpa type slave masters 200 218 64 6 200 218 64 134 file db 200 218 66 3 zone rsfn net br type forward forward only forwarders 200 218 64 6 200 218 64 134 3 zone 64 218 200 1n addr arpa type forward forward only forwarders 200 218 64 6 200 218 64 134 j zone 67 218 200 1n addr arpa type forward forward only forwarders 200 218 64 6 200 218 64 134 3 zone 80 218 200 1n addr arpa type forward forward only forwarders 200 218 64 6 200 218 64 134 5 Configurar todas as zonas reversas at 95 218 200 1n addr arpa zone 95 218 200 1n addr arpa type forward forward only forwarders 200 218 64 6 200 218 64 134 E zone 0 0 127 in addr arpa type master file named rev zone localhost type master file named local zone 0 in addr arpa type master file db 0 J zone 255 1n addr arpa type master Manual de Redes do SFN P gina
71. contratar obrigatoriamente pelo menos uma conex o com a Primesys e outra com a Embratel RTM As conex es ser o instaladas pelas concession rias nos endere os onde os Participantes indicarem na modalidade Turn Key ou seja acesso local par met lico fibra ptica ou r dio e roteador configurado Em todas as conex es as concession rias fornecer o o Roteador devidamente homologado pelo Subgrupo de Redes com o hardware software e configura o necess ria para suportar os servi os da RSFN Essa rede dever respeitar as especifica es estabelecidas na RFP pelo Subgrupo de Redes e de total conhecimento das concession rias Primesys e Embratel RTM A n o observ ncia das especifica es citadas no item anterior pelas concession rias ou pelo Participante poder comprometer a conectividade e seguran a deste ltimo podendo n o participar dos testes e implanta o dos seus sistemas Os roteadores ser o de uso exclusivo para a RSFN e ser o instalados e configurados pelas concession rias conforme as regras de endere amento IP definidos pelo Subgrupo de Redes Para solicita o das conex es as Entidades Solicitantes dever o a b c d e Contatar as concession rias atrav s das respectivas Centrais de Atendimento que verificar o os dados na lista fornecida pelo Banco Central e encaminhar o ao respons vel administrativo do Solicitante o question rio abaixo listado juntamente com outras informa es
72. correspondente Para isso necess rio que o servi o de DNS esteja parado Para finalizar o servi o de DNS clique em Start Settings Control Panel Services selecione o servi o Microsoft DNS Server e clique no bot o Stop Os arquivos de configura o encontram se no diret rio ciwinnhsystem32Mdns E possuem a exten o dns Utilize o notepad ou qualquer ferramenta de edi o de arquivos texto para edit los Um exemplo de um arquivo de configura o de um dom nio reverso est descrito a seguir IN SOA nsl bcb rsfn net br spb registro bcb rsfn net br 2001040901 N mero de S rie 8h Refresh ap s 8 horas lh Retry ap s 1 hora lw Expire ap s 1 semana ld TTLdeldia Servidores de nomes deste dom nio IN NS nsl bcb rsfn net br IN NS ns2 bcb rsfn net br Equipamentos alocados neste dominio 1 IN PTRAatt bacen bsa cpe bcb rsfn net br 2 IN PTR ebtrtm bacen bsa cpe bcb rsfn net br 3 IN PTR hsrp bacen bsa cpe bcb rsfn net br 6 IN PTR pns bcb rsfn net br Ap s a inclus o dos registros PTR no arquivo de configura o reinicie o servi o de DNS Os registros PTR cadastrados manualmente dever o aparecer no DNS Manager Caso o registro PTR a ser criado n o perten a a uma sub rede de endere amento Classe C a ferramenta DNS Manager poder ser utilizada Dessa forma selecione o dom nio reverso no qual ser criado o novo registro com o bot o da direita do mouse e escolha a op o New Poin
73. d ncia em todos os seus segmentos no seu backbone nos seus entroncamentos e meios f sicos nos seus equipamentos nos n s da rede e na sua ltima milha Estabeleceu tamb m que futuramente essa rede dever agregar novos servi os como Voz sobre IP interconex o entre as institui es financeiras etc sem a necessidade de se alterar a sua arquitetura com novos Investimentos Manual de Redes do SFN P gina 6 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 Atribui es e Responsabilidades do Subgrupo de Redes Especificar a arquitetura da Rede Especificar a Topologia da Rede Especificar a Estrutura F sica da Rede Especificar normas e padr es para conex o IP entre as redes das concession rias e as institui es participantes Definir a melhor tecnologia sob os aspectos evolutivos tend ncias seguran a conting ncias e custo beneficio Especificar os pr requisitos para os fornecedores e concession rias apresentarem suas solu es e propostas Negociar custos e propostas dos fornecedores e concession rias Avaliar homologar e indicar os fornecedores e concession rias para a elabora o da nova rede Acompanhar auditar e avaliar o processo de operacionaliza o da rede junto s concession rias Normas de utiliza o da RSEN Todos os servi os a serem implementados na rede dever o ser homologados pelo Subgrupo de Redes que definir os padr es de endere amento IP para cada tipo de servi o
74. da RSFN seus crit rios de configura o e o cumprimento dos acordos de n veis de servi os estabelecidos nos contratos entre os participantes e as provedoras acompanhar o desempenho da rede at o n de entrada dos participantes da RSFN acompanhar e auditar o funcionamento da RSFN e o cumprimento dos n veis de atendimento dos provedores acompanhar e auditar todo o tr fego dos participantes comunicando ao Banco Central eventuais desvios na utiliza o da RSFN auxiliar na solu o de chamados dos participantes n o atendidos pelas operadoras pesquisar e propor melhorias para a RSFN tanto referentes ao desempenho e estabilidade quanto implementa o de novos servi os e de eventuais produtos que possam ser agregados planejar a implanta o de novos servi os As atividades desempenhadas pela Ger ncia de Segundo N vel ser o executadas no per odo das 7 s 22 horas de segunda feira sexta feira exceto quando n o houver movimenta o no Sistema de Transfer ncia de Reservas do Banco Central Todos os participantes da Rede do Sistema Financeiro Nacional RSFN devem assinar o termo de ades o do Contrato de Presta o de Servi os de Ger ncia de Segundo N vel A equipe da ger ncia de segundo n vel estar tecnicamente ligada Coordena o do Subgrupo de Redes a quem devem ser encaminhados todos os pedidos de relat rios e informa es referentes RSFN Manual de Redes do SFN P gina 53 de 108 RSFN
75. de Redes do SFN Vers o 7 6 3 Servidores de DNS da RSFN Cada dom nio ou sub dom nio da RSFN possui um servidor prim rio de nomes com autoridade sobre sua respectiva zona Todas as altera es nos bancos de dados do DNS s o feitas nestes servidores Para resolver problemas de conting ncia divis o de carga e performance da rede cada dom nio ter pelo menos um servidor secund rio de nomes Estes servidores manter o uma r plica dos bancos de dados dos servidores prim rios e periodicamente e automaticamente contatar o os servidores prim rios para atualiza o dos seus bancos de dados Desde que todas as vers es de DNS utilizadas na rede suportem a fun o DNS Notify RFC 1996 os servidores prim rios podem enviar imediatamente ap s qualquer mudan a no banco de dados do DNS uma notifica o para os servidores secund rios solicitando que estes iniciem o processo de Zone Transfer diminuindo o tempo de converg ncia das modifica es de DNS na rede Servidor Prim rio dos Dom nios Superiores IRS Internal Root Server Os servidores prim rios de nomes PNS dos dom nios superiores da RSFN est o apresentados na Tabela 5 Servidor Prim rio PNS Entidade Respons vel rsfn net br nsl bcb rsfn net br Bacen 64 218 200 1n addr arpa nsl bcb rsfn net br Bacen 66 218 200 1n addr arpa nsl bcb rsfn net br Bacen 67 218 200 1n addr arpa nsl bcb rsfn net br Bacen 80 218 200 1n addr arpa at nsl bcb rsfn net br Bacen
76. do com as defini es do Manual T cnico 1 Utiliza o de rede dedicada homologada pelo BACEN e Somente por meio da RSFN ou de rede dedicada homologada pelo Banco Central do Brasil permitida a troca de informa es entre o PSTI e as institui es detentoras de conta Reservas Banc rias que dele se utilizam e entre o PSTI e os demais participantes do STR e A troca de informa es entre o PSTI e os demais participantes do STR deve ocorrer por meio da RSFN Manual de Redes do SFN P gina 54 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 Ger ncia Integrada de Segundo N vel Controle das institui es usu rias do servi o do PSTI atrav s das configura es do servi o de DNS e de relat rio mensal fornecido pelo provedor Suporte ao cliente do PSTI indiretamente na verifica o de problemas relacionados aos acessos do provedor RSFN como ponto de contato para o suporte pr prio PSTI e ou Provedor da rede homologada Gerenciamento do desempenho de rede apenas para o PSTI por n o ser poss vel identificar comunica es individuais dentro do tr fego nos circuitos do PSTI na RSFN Suporte ao Banco Central do Brasil para a verifica o de falhas de conectividade de canal do STR at os servidores do PSTI Realiza o de auditoria in loco para verifica o da infra estrutura do PSTI e da infra estrutura de acesso da operadora Infra RSFN Aloca o de subdom nio da RSFN para a institui o solicit
77. do pelo nome a ser resolvido no promtp do servidor Unix nslookup mqgs01 bcb rsfn net br Default Server ns1 bcb rsfn net br Address 200 218 66 6 Name mqs01 bcb rsfn net br Address 200 218 66 8 ACESSO INTERATIVO Para se iniciar uma sess o interativa o usu rio deve simplesmente teclar nslookup no promtp do servidor Unix nslookup Default Server ns1 bcb rsfn net br Address 200 218 66 6 O servidor default ser o primeiro servidor configurado com a diretiva nameserver no arquivo resolv conf Somente este servidor ser utilizado para a resolu o das queries descritas nesta sess o interativa Vale lembrar que todos os nomes que n o terminem com o ponto ter o acrescido o nome de dom nio ou as listas de pesquisa search tamb m definidas no arquivo resolv conf Solicitando Ajuda O nslookup possui um help pr prio que pode ser acionado sempre que houver d vidas sobre os comandos suportados nslookup Default Server ns1 bcb rsfn net br Address 200 218 66 6 gt ou help Resolu o Direta de Nomes e Endere os Uma das maiores utiliza es do nslookup encontrar o endere o IP de um determinado nome ou o nome a partir de um determinado endere o Estes tipos de queries devem ser utilizados sempre que um novo host for inclu do no DNS de forma que o administrador possa se certificar do correto funcionamento do DNS para este host nslookup Default Server ns1 bcb rsfn net br Address 200 218 66 6
78. dor de DNS de seu respectivo dom nio O servidor de Firewall dever executar a convers o de endere os via NAT no formato 1 para 1 ou seja um endere o l gico da RSFN para cada endere o f sico utilizado na Intranet e todas as esta es de trabalho da Intranet que desejarem acessar servi os da RSFN ter o seus endere os da Intranet convertidos para um nico endere o da RSFN Esta convers o tamb m dever ser executada no servidor de Firewall configurado com a fun o NAT e os roteadores da Intranet dever o ser configurados com rota espec fica para os endere os v lidos na RSFN a serem fornecidos pelo Banco Central Essas rotas dever o apontar para o servidor de Firewall utilizado na interliga o da Intranet com a RSFN e Os servidores de Firewall dever o ser configurados com rota espec fica para o endere o do host hsrp sub dom nio rsfn net br Manual de Redes do SFN P gina 33 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 Topologia de acesso com roteadores Firewall e DMZ Este modelo bastante similar ao anterior diferenciando se apenas pela utiliza o de roteadores internos para isolar o segmento da RSFN dos servidores de Firewall A Figura 16 ilustra esta topologia Site A RTM Embratel Primesys DNS Autoritativo t Servidor de Detec o de intrusos Firewalls Servidores MQ Figura 16 Topologia de Acesso com Roteadores Firewall e DMZ As seguintes observa e
79. e Redund ncia M xima Com Site de Conting ncia Manual de Redes do SFN P gina 39 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 As seguintes observa es s o pertinentes e s o utilizados switches de conte do com configura o de GLB Global Load Balance e FLB Firewall Load Balance para realizar o balanceamento de carga entre os servidores que oferecem servi os para a RSFN e entre os servidores de Firewall e em hip tese alguma o segmento da rede RSFN deve estar interligado ao segmento da Intranet sem a utiliza o de servidores de Firewall servidores de Firewall especializados ou roteadores com fun o de Firewall ou que suportem a configura o de listas de acesso e interliga o entre os segmentos da rede interna pode ser executada utilizando se diferentes tecnologias de LANs e MANS e os servidores da RSFN podem estar fisicamente instalados em um segmento isolado ou pode fazer parte dos segmentos da Intranet da Entidade e os servidores de DNS da RSFN devem fazer parte do segmento da RSFN de cada Entidade de forma a se evitar poss veis problemas de convers o de endere os e somente o segmento da RSFN deve utilizar endere os no padr o fornecido pela RSFN Os demais segmentos de rede devem utilizar endere os da Intranet da Entidade e os servidores da RSFN ser o configurados com endere os l gicos da RSFN no servidor de DNS de seu respectivo dom nio O servidor de Firewall dever executar a convers
80. e falhas de comunica o pode levar eventualmente a uma perda de conectividade entre servidores MQ que s pode ser solucionada mediante comando STOP FORCE da conex o ou reinicializa o do gerenciador de canais Para evitar tal falha o suporte do fabricante do produto IBM recomendou a configura o de alguns par metros no MQ com a utiliza o de atributos que por default n o est o ativados Desta forma considerando se que tal altera o acarretar melhora na disponibilidade do servi o dever ser ativada obrigatoriamente a op o ADOPTNEWMCA Seguem abaixo exemplos com os par metros a serem alterados no software para os sistemas operacionais mais utilizados Esclarecemos que eventuais d vidas acerca dos procedimentos envolvidos na altera o dever o ser sanadas diretamente junto ao suporte do fabricante do produto Ativa o da op o ADOPTNEWMCA do MOSeries no ambiente Windows No servidor MQseries abrir MOseries Services Clicar com o bot o direito do mouse sobre o Qmgr a ser modificado Selecionar Properties Selecionar a pasta Channels Marcar a op o ALL do par metro AdoptNewMCA Marcar a op o ALL do par metro AdoptNewMCACheck Manter o tempo default dessa op o 60 segundos q O a Ri Ativa o da op o ADOPTNEWMCA do MQSeries no ambiente Unix Incluir as linhas abaixo no arquivo de configura o do queue manager qm 1n1 CHANNELS AdoptNewMCACheck ALL AdoptNewMCA Timeou
81. es da VPN da RSFN Cada Entidade respons vel por administrar seus respectivos sub dom nios O nome do sub dom nio derivado da faixa de endere os IP reservada para cada Entidade A Tabela 4 apresenta exemplos de nomes Bacen BSA 0 31 66 218 200 1n addr arpa Bacen RJO Selic 32 63 66 218 200 1n addr arpa i 64 95 66 218 200 in addr arpa 96 127 66 218 200 in addr arpa 128 159 66 218 200 in addr arpa 160 191 66 218 200 in addr arpa 0 15 80 218 200 in addr arpa 16 31 80 218 200 in addr arpa 32 47 80 218 200 in addr arpa 48 63 80 218 200 in addr arpa 64 79 80 218 200 in addr arpa 0 127 64 218 200 in addr arpa 128 255 64 218 200 in addr arpa Tabela 4 Exemplo de Sub Dom nios Reversos da RSFN Delegando Direitos Para os Sub Dom nios Reversos O servidor prim rio das zonas 64 218 200 in addr arpa at 95 218 200 in addr arpa quem tem o direito de criar e delegar direitos para seus sub dom nios Esta delega o ocorre atrav s da configura o de registros do tipo NS Name Servers atrelados a registros do tipo A Address para cada um dos sub dom nios criados Adicionalmente como s o utilizadas zonas com endere os quebrados 14 ou 30 endere os v lidos os respons veis por cada zona de endere amento reverso tem que criar um registro CNAME para cada endere o dispon vel de cada Entidade Participante da rede A seguir apresentado o exemplo da configura o para delega o de direitos para o sub dom nio de 6
82. et br 9 IN PTR mqs02 bcb rsfn net br 14 INPTRmqmo0l bcb rsfn net br Manual de Redes do SFN P gina 78 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 15 INPTRmqm02 bcb rsfn net br var named db 200 218 66 Este arquivo ser atualizado automaticamente Arquivo var named named local o IN SOA nsl bcb rsfn net br root nsl bcb rsfn net br 2001050101 N mero de S rie 8h Refresh ap s 8 horas lh Retry ap s 1 hora lw Expire ap s 1 semana ld TTLdeldia Servidores de nomes deste dom nio IN NS nsl bcb rsfn net br IN NS ns2 bcb rsfn net br Servidor local localhost IN A 127 0 0 1 Arquivo var named db 1277 o IN SOA nsl bcb rsfn net br root nsl bcb rsfn net br 2001050101 N mero de S rie Sh Refresh ap s 8 horas lh Retry ap s 1 hora lw Expire ap s 1 semana ld TTLdeldia Servidores de nomes deste dom nio IN NS nsl bcb rsfn net br IN NS ns2 bcb rsfn net br Servidor local 1 IN PTR localhost Arquivo var named db 255 o IN SOA nsl bcb rsfn net br root nsl bcb rsfn net br 2001050101 N mero de S rie 8h Refresh ap s 8 horas lh Retry ap s 1 hora lw Expire ap s 1 semana ld TTLdeldia Servidores de nomes deste dom nio IN NS nsl bcb rsfn net br IN NS ns2 bcb rsfn net br Arquivo var named db 0 o IN SOA nsl bcb rsfn net br root nsl bcb rsfn net br 2001050101 N mero de S rie 8h Refresh ap s
83. etmask fornecida na documenta o e Gateway Endere o do HSRP Configurada a esta o efetuar os seguintes testes e Ping no endere o IP 200 218 66 5 HSRP do BACEN e Se OK retirar o cabo ou desligar o modem da Primesys e efetuar novamente o ping e Se OK reconectar o cabo ou ligar o modem Primesys e retirar o cabo ou desligar o modem da Embratel e efetuar novamente o ping e Se OK reconectar o cabo ou ligar o modem Embratel Caso algum dos testes falhe abrir chamado na Central de Atendimento da Concession ria e reportar o procedimento e a falha Manual de Redes do SFN P gina 11 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 Testes de conting ncia Os testes de conting ncia e de backbone da RSFN consistem em validar as funcionalidades das redund ncias implementadas na rede pelas Concession rias Primesys e Embratel RTM Ser o realizados a crit rio do Banco Central A atual topologia da Rede e suas redund ncias de conex o est o exemplificadas na figura 1 CPE Primesys CPE Primesys CPE Primesys Institui o Financeira ou Institui o Financeira ou Institui o Financeira ou Conglomerado Congiomerado Il Congiomerado n Figura 1 Modelo de conex o da rede RSFN Todas as Entidades possuem conex o com as duas nuvens EBR RTM e Primesys o que dever garantir a redund ncia de acesso a todos os servi os dispon veis na RSFN Durante a realiza o dos testes de conting ncia ser o simuladas
84. finidos neste arquivo podem ser tanto prim rio como secund rio Os clientes de DNS n o fazem qualquer restri o a isto Os clientes de DNS dever o ser configurados da seguinte forma o o primeiro servidor de nomes da lista deve estar na mesma rede do host em quest o o o segundo servidor de nomes da lista tamb m deve pertencer ao sub dom nio respectivo podendo ou n o estar na mesma sub rede O exemplo a seguir mostra a configura o de um resolver do sub dom nio bcb rsfn net br domain bcb rsfn net br nameserver 200 218 66 6 endere o do primeiro servidor de DNS nameserver 200 218 66 7 endere o do segundo servidor de DNS PADRONIZA O DE NOMES DE HOSTS E INTERFACES O padr o de nomes de hosts utilizados da RSFN apresentado na tabela seguinte A qualquer momento o Grupo de Redes da RSFN poder optar pela altera o deste padr o Tipo de host Tipo de host Roteador CPE Telmex att sub dom nio localidade cpe Roteador CPE EBTRTM ebtrtm sub dom nio localidade cpe HSRP hsrp sub dom nio localidade cpe 1 switch sw01 2 switch sw02 1 Servidor de DNS nsl 2 Servidor de DNS ns2 1 Servidor MQSeries SPB Produ o mqgs01 1 Servidor MQSeries SPB Homologa o mqs02 1 Servidor MQSeries MES Produ o mqm01 2 Servidor MQSeries MES Homologa o mqm02 3 Esta o de trabalho wks03 1 Firewall fw01 2 Firewall fw02 Tabela 13 Padroniza o de host Manual de Redes do SFN P gina 82 de 108 RSFN Ma
85. ganhos se utilizar sua aplica o de DNS Como a rede RSFN n o utilizar o protocolo NetBIOS a vantagem pela utiliza o do DNS da Microsoft restringe se ao uso de interfaces gr ficas para a administra o dos servi os Desta forma para unificar a solu o recomenda se a ado o da aplica o BIND 8 2 3 tamb m para os servidores Windows 2000 e Windows NT 4 0 Estas aplica es tamb m podem ser obtidas no site do ISC As aplica es de DNS propriet rias da Microsoft devem ser consideradas como segunda op o embora tenham funcionado corretamente no piloto da rede Manual de Redes do SFN P gina 62 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 ARQUITETURA DE DNS DA RSEN Dom nios Superiores da RSFN O primeiro ponto a ser definido em uma arquitetura de DNS s o os dom nios de n vel superior da rede No caso espec fico da RSFN estes dom nios foram definidos contemplando a integra o total desta rede com a Internet Al m de definir os nomes dos dom nios superiores fundamental a defini o da Entidade respons vel por sua administra o e os servidores de DNS que s o utilizados para armazenar as informa es relativas a cada dom nio Na rede da RSFN a administra o dos dom nios superiores ser realizada pelo BACEN Para prover balanceamento de carga e conting ncia da rede servidores secund rios ser o estrategicamente espalhados nos segmentos de redes das concession rias A Tabela 1 apresenta os do
86. gina 73 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 nas tr s op es anteriores a seguinte regra de configura o deve ser utilizada institui es do Grupo A devem ser configuradas tendo como primeiro servidor de forwarder um servidor da Primesys e como segundo servidor de forwarder um servidor da EBT RTM Por sua vez Institui es do grupo B devem ser configuradas com a ordem contr ria Problemas com as op es B e C a solu o de DNS da Microsoft n o suporta op o de forward para uma zona espec fica exigindo o uso da aplica o BIND Servidores Secund rios dos Sub Dom nios Cada sub dom nio da RSFN dever ter pelo menos um servidor secund rio SNS Estes servidores estar o localizados no segmento da RSFN de cada Entidade Participante da rede a qual ser respons vel pela administra o do mesmo Em situa es especiais uma determinada Entidade pode terceirizar a tarefa de administra o de seus sub dom nios com um dos provedores de servi os da rede A Tabela 10 apresenta exemplo de servidores secund rios para os sub dom nios diretos da RSFN Sub Dom nio Direto da RSFN Servidor Secund rio SNS Entidade Respons vel bcb rsfn net br ns2 bcb rsfn net br Bacen clearingl rsfn net br clearing2 rsfn net br Provedornx21 rsfn net br ns2 clearingl1 rsfn net br ns2 clearing2 rsfn net br ns2 Provedornx21 rsfn net br Clearingl Primesys opcional Provedor nx2 1 ns2 1fl rsfn net br IFI ns
87. incipal Primesys site backup 7 Queda dos 2 circuitos do site principal EBT site backup 8 Queda do roteador Primesys do site principal 9 Queda do roteador EBT do site principal 10 Queda do roteador Primesys do site backup 11 Queda do roteador EBT do site backup 12 Queda dos 2 roteadores do site principal 13 Queda dos 2 roteadores do site principal Primesys site backup 14 Queda dos 2 roteadores do site principal EBT site backup 15 Queda do firewall 1 do site principal 16 Queda do firewall 2 do site principal 17 Queda do firewall 1 do site backup 18 Queda do firewall 2 do site backup 19 Queda dos 2 firewalls do site principal 20 Queda dos 2 firewalls do site principal Firewall 1 site backup 21 Queda dos 2 firewalls do site principal Firewall 2 site backup Manual de Redes do SFN P gina 20 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 DESCRI O T CNICA Arquitetura de endere amento IP A RSFN recebeu do Comit Gestor da Internet Brasil um prefixo 18 para ser distribu do entre as Entidades Participantes a fim de evitar conflito com o endere amento IP interno destas A topologia l gica da RSFN composta de dois n veis hier rquicos core e acesso O core composto pelas Concession rias e o acesso pelas Entidades Participantes que s o BACEN C maras Provedores PSTI e as Institui es Financeiras IF O BACEN as C maras e os Provedores PSTI dever o ter no m nimo dois site
88. ireita do mouse no cone Server List e selecione a op o New Server Cadastre o nome ou o endere o IP do novo servidor de DNS na janela Add New Server Manual de Redes do SFN P gina 99 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 Add DNS Server Figura 20 Adicionando Servidores de DNS em Servidores Windows NT 4 0 Criando um Dom nio Direto Prim rio Para cadastrar um dom nio direto clique com o bot o direito do mouse no servidor que foi criado e selecione New e I r liman Mame Snivyn Wanagiri Emsis a new zarm to the sadachad sere To Figura 21 Criando Nova Zona de DNS em Servidores Windows NT 4 0 Na tela Zone Type selecione a op o Primary e clique no bot o Next Manual de Redes do SFN P gina 100 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 Creaking nes cone for 172 16 5 120 Figura 22 Definindo a Nova Zona de DNS como Prim ria Servidores Windows NT 4 0 Na tela Zone Info preencha o campo Zone Name com o nome do dom nio a ser criado e pressione Tab para que o campo Zone File seja preenchido automaticamente Clique em Next para finalizar a cria o do dom nio direto Coen res poe Jos 1772 16 5 120 ES Figura 23 Definindo a Nova Zona de DNS como Prim ria Servidores Windows NT 4 0 Criando um Dom nio Reverso Prim rio Para cadastrar um dom nio reverso clique com o bot o direito do mouse no se
89. l de Redes do SFN Vers o 7 6 3 ET eriakh ro ajad Pri uam j omar JH LET it aoa aciad Pri Mueni aD Cha conhupe T adt ema aviati Pri Purroy i G Pora Lovhug ie D h e akh pa Tyrii Pri Aurea n D eversa Lodia Dormi ad O dh ris S Aurere j e a wa A 177 mkt apa 4 Tm m ad apa Ro gerem mero Lis Serv Dita e Mer Dara E J Crua mem peitos rosas Pere ati TT OS Crede a res preta 1a Es Figura 15 Criando um Registro do Tipo PTR Windows 2000 Na tela New resource record cadastre no campo Host IP number o ltimo octeto do endere o IP e no campo Host Name preencha com o nome completo nome do host dom nio do servidor Clique em OK para finalizar a cria o do registro PTR er Erespnte Record pras rar et bo T es aeee Do Figura 16 Definindo as Caracter sticas do Registro do Tipo PTR Windows 2000 Manual de Redes do SFN P gina 97 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 Configurando os Servidores Forwarders Conforme mencionado anteriormente o DNS da Microsoft n o permite a utiliza o da op o Forward para um dom nio espec fico Para contornar esta limita o devem ser cadastrados os servidores gen ricos de forward que ser o consultados quando uma query n o for resolvida localmente Para cadastrar um Forwarder atrav s do DNS Manager selecione o servidor de DNS que est sendo utilizado na lista de servidores dispon
90. l de Redes do SFN Vers o 7 6 3 Definidos de maneira an loga a utilizada para os dom nios reversos os dom nios diretos tamb m apresentam sub dom nios para cada Entidade Participante da rede e tamb m foi contemplada a integra o total desta rede com a Internet Portanto tais dom nios possuem os mesmos nomes de dom nios que s o utilizados e registrados na rede mundial formados a partir do bloco CIDR reservado para esta rede 200 218 64 0 18 Na rede da RSFN a administra o dos dom nios reversos superiores ser tamb m realizada pelo BACEN Para prover balanceamento de carga e conting ncia da rede servidores secund rios ser o estrategicamente espalhados nos segmentos de redes das concession rias A Tabela 3 apresenta os dom nios superiores da RSFN as entidades respons veis por sua administra o e seus respectivos servidores de DNS os quais ser o denominados servidores internos de root para a RSFN Internal Root Servers IRS A partir destes dom nios foram delegados os respectivos direitos para cada sub dom nio reverso desta rede Sempre que houver a necessidade da cria o de outros dom nios superiores para a RSFN os mesmos ter o que ser registrados nos servidores internos de root desta rede Dom nio Administra o do Dom nio Servidores de Nomes 64 218 200 1n addr arpa 66 218 200 1n addr arpa 67 218 200 1n addr arpa 80 218 200 1n addr arpa 95 218 200 1n addr arpa Bacen Servidor Prim rio Bace
91. lizados roteadores entre o barramento da RSFN e a rede da Entidade pode ser utilizado roteamento BGP entre todos os roteadores Um dos roteadores de cada site dever ser configurado como route reflector para reduzir o n mero de conex es IBGP ficando transparente para a concession ria a exist ncia de um ou mais roteadores da Entidade no barramento RSFN Os demais roteadores deste barramento ser o configurados como route reflector client e ter o como neighbor IBGP apenas os dois roteadores da Entidade os route reflector como ilustrado na Figura 6 Conex o do Perfil D com roteamento iBGP Os roteadores das Entidades dever o utilizar os endere os da interface local para as configura es BGP em vez de utilizar interfaces loopbacks Desta forma a configura o do HSRP dever ser nos roteadores da Entidade em vez de ser nos roteadores CPE Manual de Redes do SFN P gina 28 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 Roteamento para o Perfil D com roteadores da Entidade no barramento RSFN e NAT do 2 prefixo 28 Modelo 6 Conex o entre o site Principal e Backup feita pela extens o do barramento LAN da RSFN conex o entre a rede RSFN e Entidade via roteadores que suportem roteamento BGP segmentando o prefixo 27 em dois prefixos 28 internamente na rede da Entidade O primeiro prefixo ser utilizado para a VLAN das interfaces ethernet dos roteadores CPE e o segundo prefixo ser utilizado para o pool de NAT Divulga
92. m nios superiores da RSFN as entidades respons veis por sua administra o e seus respectivos servidores de DNS os quais ser o denominados servidores internos de root para a RSFN Internal Root Servers IRS A partir destes dom nios ser o delegados os respectivos direitos para cada sub dom nio desta rede Sempre que houver a necessidade da cria o de outros dom nios superiores para a RSFN os mesmos ter o que ser registrados nos servidores internos de root desta rede Dom nio Administra o do Dom nio Servidores de Nomes rsfn net br Bacen Servidor Prim rio nsl bcb rsfn net br Bacen Servidor Secund rio ns2 bcb rsfn net br Bacen Servidor Secund rio 1rsl att rsfn net br Bacen Servidor Secund rio 1rs2 att rsfn net br Bacen Servidor Secund rio 1rs3 att rsfn net br Bacen Servidor Secund rio 1rsl ebtrtm rsfn net br Bacen Servidor Secund rio 1rs2 ebtrtm rsfn net br Bacen Servidor Secund rio 1rs3 ebtrtm rsfn net br Tabela 1 Dom nios de N veis Superiores da RSFN Manual de Redes do SFN P gina 63 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 Sub Dom nios da RSEN Os sub dom nios foram criados para identificar cada uma das Entidades Participantes da VPN da RSFN Cada Entidade respons vel por administrar seus respectivos sub dom nios Cada Entidade escolher o nome a ser utilizado em seu pr prio sub dom nio respeitando se as regras de unicidade do mesmo Recomend
93. ma alguma a opera o da rede RSFN Manual de Redes do SFN P gina 83 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 Par metros de Temporiza o do Registro SOA O registro SOA cont m par metros de temporiza o que definem o modo de comunica o entre os diferentes servidores de nomes de uma rede corporativa O par metro refresh indica a frequ ncia em que o servidor secund rio de nomes SNS verifica a acur cia dos seus dados junto ao servidor prim rio PNS Este valor deve ser definido para o per odo m ximo que o cliente considere adequado para que o SNS permane a com os dados desatualizados Um valor entre 2 e 12 horas recomendado para a maior parte das configura es Considerando que a maioria das modifica es na rede devam ser executadas fora do hor rio de produ o normalmente no per odo noturno entende se que a defini o deste par metro para 8 horas concentrar todas as opera es de Zone Transfer no per odo noturno e em situa es normais tal transfer ncia de zona ocorrer no m ximo uma nica vez a cada dia As vers es mais recentes do BIND permitem que o PNS automaticamente notifique os secund rios sobre modifica es verificadas em seu banco de dados de DNS Desta forma os servidores secund rios poder o iniciar as opera es de Zone Transfer imediatamente diminuindo o tempo de converg ncia da rede enquanto pode aumentar o tr fego entre opera es de transfer ncias de zonas
94. ma resposta ou at que o intervalo de timeout se expire Na rede RSFN cada resolver ser configurado com dois ou tr s servidores de nomes o primeiro estando obrigatoriamente na mesma sub rede do cliente Caso a sub rede do cliente tenha pelo menos dois servidores de nomes o segundo servidor do cliente tamb m estar na rede local e o terceiro remoto na rede do concentrador regional mais pr ximo Se existir somente um servidor de nomes na sub rede o servidor de nomes localizado no concentrador regional mais pr ximo ser o segundo servidor do cliente Com mais do que um servidor de nomes configurado no cliente o comportamento deste ocorrer da seguinte forma o resolver iniciar o processo de resolu o de nomes questionando o primeiro servidor de nomes de sua lista servidor local com um timeout de 5 segundos Se o per odo de timeout expirar ou se o cliente receber uma mensagem de erro indicando que o processo servidor de nomes n o est ativo no primeiro servidor o resolver ent o questionar o pr ximo servidor da lista tamb m com um timeout de 5 segundos Ap s questionar todos os servidores listados se o resolver n o receber nenhuma resposta dentro deste intervalo de tempo os per odos de timeout ser o sucessivamente aumentados para 10 20 e Manual de Redes do SFN P gina 84 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 40 segundos sendo que em cada ciclo o questionamento a cada um dos servidores de nomes ser
95. n Servidor Secund rio Bacen Servidor Secund rio Bacen Servidor Secund rio Bacen Servidor Secund rio Bacen Servidor Secund rio Bacen Servidor Secund rio Bacen Servidor Secund rio Bacen Servidor Prim rio Bacen Servidor Secund rio Bacen Servidor Secund rio Bacen Servidor Secund rio Bacen Servidor Secund rio Bacen Servidor Secund rio Bacen Servidor Secund rio Bacen Servidor Secund rio Bacen Servidor Prim rio Bacen Servidor Secund rio Bacen Servidor Secund rio Bacen Servidor Secund rio Bacen Servidor Secund rio Bacen Servidor Secund rio Bacen Servidor Secund rio Bacen Servidor Secund rio Bacen Servidor Prim rio Bacen Servidor Secund rio Bacen Servidor Secund rio Bacen Servidor Secund rio Bacen Servidor Secund rio Bacen Servidor Secund rio Bacen Servidor Secund rio Bacen Servidor Secund rio Bacen Servidor Prim rio Bacen Servidor Secund rio Bacen Servidor Secund rio Bacen Servidor Secund rio Bacen Servidor Secund rio Bacen Servidor Secund rio Bacen Servidor Secund rio Bacen Servidor Secund rio Bacen Servidor Prim rio Bacen Servidor Secund rio Bacen Servidor Secund rio Bacen Servidor Secund rio Manual de Redes do SFN P gina 66 de 108 nsl bcb rsfn net br ns2 bcb rsfn net br 1rsl att rsfn net br 1rs2 att rsfn net br
96. n TCP MES03 Tabela 14 Atual configura o de Qualidade de Servi o na RSFN Nova configura o de Qualidade de Servi o na RSFN O Subgrupo de Redes decidiu em reuni o ocorrida no dia 30 de outubro de 2013 que a configura o atual de QoS ser alterada para tratar adequadamente os novos servi os que trafegam na RSFN O projeto de migra o para a nova configura o de QoS encontra se em andamento Ap s a conclus o da migra o a configura o de QoS ser a representada na tabela abaixo Classe de Servi o Largura Lista Servi o Porta Aplica o de banda Telnet TCP Telnet INFRA BGP TCP DNS NTP UDP ESTRUTURA DOMAIN UDP NTP SNMP UDP Ger ncia Tacacs TCP BC Produ o 1414 Mensageria SPB01 Mensageria IF Prestador Produ o 1414 a 1421 TCP Produ o SPB01 BC Produ o 12422 Mensageria MES01 Mensageria IF Prestador Produ o 12422 a 12429 TCP Produ o MES01 MES03 Mensageria BC Produ o 14422 Mensageria IF Prestador Produ o 14422 a 14429 TCP Produ o Manual de Redes do SFN P gina 57 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 SPBO1 BC Homologa o 1514 IF Prestador Homologa o 1514 a 1521 BC PPRO 24430 IF Prestador PPRO 24430 a 24437 MESO1 BC Homologa o 12522 IF Prestador Homologa o 12522 a 12529 DEFAULT MES02 BC Produ o 13422 BC Homologa o 13522 IF Prestador Produ o 13422 a 13429 IF Prestador Homologa o 13522 a
97. ngth MAXMSGL Maximum transmission size Doo Message channel agent name MCANAME LU 6 2 transaction program name na TPNAME HS oa na Message channel agent user livre ident MCAUSER Message exit name MSGEXIT O oie Message exit user data MSGDATA Message retry exit name MREXIT ie _ O C Message retry exit user data MRDATA liwe _ Message retry count MRRTY Message retry interval MRTMR 1000 Nonpersistent message speed FAST NPMSPEED PUT authority PUTAUT DEFAULT na Network connection priority NETPRTY Toma Y O Password PASSWORD ma y O O Queue manager name QMNAME Ooo padr o Receive exit name RCVEXIT o me O Receive exit user data RCVDATA Oo me Security exit name SCYEXIT Do livre Security exit user data SCYDATA livre Send exit name SENDEXIT livre Yo Send exit user data SENDDATA livre Yo Sequence number wrap SEQWRAP 999 999 999 99 999 999 Sequential delivery o ive Short retry count SHORTRTY default Short retry interval SHORTTMR 60 defaut Target system identifier oie O Z o Transmission queue name XMITQ padr o Transport type TRPTYPE Ter o Tabela 13 Atributos de Canais Manual de Redes do SFN P gina 50 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 CONFIGURA O DO SERVIDOR MQ OP O ADOPTNEWMCA Foi detectada uma limita o na configura o do MQSeries que na ocorr ncia d
98. nternet dom nios de n vel superior e dom nio reverso de modo a permitir a futura integra o da RSFN com a Internet 2 provedores de servi os de telecomunica es Primesys e o cons rcio formado pelas empresas EMBRATEL e RTM denominado EBT RTM os quais fornecem servi os de VPN MPLS para garantir a privacidade dos dados que trafegam nesta rede Este Anexo tem por objetivo apresentar a Arquitetura de DNS recomendada para a RSFN Os seguintes itens s o cobertos e apresenta o da arquitetura de DNS da RSFN e apresenta o do modelo de configura o do servi o de DNS nesta rede e sugest o de regras para nomea o de dom nios sub dom nios e hosts desta rede al m da metodologia para registros dos mesmos e sugest o de padr o de nomes para usu rios dos servi os de correio eletr nico via SMTP e procedimentos para integra o dos servi os de DNS necess rios para atender a Intranet de cada Entidade sua conex o com a Internet e sua conex o com a RSFN Ao final deste s o apresentados conceitos t cnicos do DNS os quais ser o teis para o completo entendimento deste projeto al m dos passos que dever o ser seguidos para se configurar o DNS em servidores Windows com a aplica o de DNS da Microsoft uma vez que o corpo do relat rio ter como base a configura o do DNS em servidores Unix e utiliza o da aplica o Bind Manual de Redes do SFN P gina 59 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3
99. nual de Redes do SFN P gina 89 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 Segs duto Wc rosa can clear and doe sore rioan m res dhea mess Sabe tha ppa of corm you mari do comale E o EE A A RR PE e Tha gg on prade saques ucdyes and nie oaze edad Tha opam iaig fa Moa E IA smeti lhg uie best based sr se Sanji secorday Case scop o sn esing zona Thay opion feios bsisnce fre proca org losd C DEAL seres gd paradas Es hse Figura 6 Definindo o Tipo de Zona de DNS Windows 2000 No campo Name preencha com o nome do dom nio a ser criado e clique em Next para continuar ur Zone Wiari Tore Nann yata do pia vaari bo name fie mew ZONE T Tape lhe nases gi the pone hor esampls esri erot com t Nare piia roteado b Figura 7 Definindo o Nome de Zona de DNS Windows 2000 Manual de Redes do SFN P gina 90 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 Ser apresentada uma tela para a confirma o do arquivo da zona que est sendo criada recomend vel que se o utilize o mesmo nome da zona para o arquivo que est sendo criado atrav s da op o Create a new file with this file name Nesta mesma tela tem se a possibilidade de escolher um arquivo j existente Ap s a defini o do nome do arquivo clique na op o Next Ww for Lars TD Cam CHEN a rasa cora fla ci cs ade co a hor ari orps Figura 8 Definindo o Nome do Arquivo de
100. nual de Redes do SFN Vers o 7 6 3 Padroniza o de Nomes de Usu rios Outra padroniza o importante num projeto de DNS a de nomes de usu rios Foi proposto que seja utilizado o padr o recomendado pela WEMA Worldwide Electronic Messaging Association para facilitar a convers o de nomes entre os diferentes sistemas de correio eletr nico Tal padr o prioriza a identifica o do usu rio atrav s de tr s vari veis at se formar um nome nico na empresa Primeiro Nome Sobrenome e Iniciais dos nomes do meio Por exemplo o usu rio Jos Roberto Teixeira poderia ter seu nome de usu rio definido da seguinte forma Primeiro Nome Jos Sobrenome Teixeira Iniciais Intermedi rias R Nome de usu rio Jose Teixeira O bacen rsfn net br ou Jose R Teixeira bacen rsfn net br Uma outra alternativa seria Primeiro Nome Jos Sobrenome Teixeira Nome do Meio Roberto Nome do usu rio Jose Roberto Teixeira bacen rsfn net br IMPACTO DO TR FEGO DO DNS NA REDE O DNS deve ser encarado como uma ferramenta de aux lio ao uso e administra o da rede e n o pode em hip tese alguma comprometer a efici ncia da rede atrav s da gera o de tr fego excessivo na rede Para garantir que o tr fego de DNS n o influenciar negativamente a performance da rede os seguintes pontos devem ser cuidadosamente observados o localiza o dos servidores de DNS o configura o dos par metros de temporiza o do registro SOA o config
101. o MQSeries al m do endere o na RSFN 7 Nos dom nios MES diferentemente do SPBOI os canais emissores e receptores do BACEN n o necessariamente ficar o conectados todo o tempo ocorrendo timeout e retorno do canal ao status de inatividade em caso de tr fego inexistente por determinado per odo de tempo Para teste da conectividade a IF deve enviar uma mensagem GENO001 Para se conectar RSFN cada institui o dever definir um Queue Manager Alias Name da seguinte forma DEFINE QREMOTE QM ISPBLocal seq DESCR QUEUE MANAGER ALIAS NAME RNAME RQMNAME nome real do queue manager da institui o XMITO 5 REPLACE ATEN O Para os aglomerados e conglomerados que concentram mais de uma institui o num nico queue manager o padr o para o nome da fila de transmiss o passa a ser Manual de Redes do SFN P gina 45 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 QM ISPBLocal ISPBRemoto seq Al m disso para esses ambientes e para os que est o conectados a eles BC e Prestadores h a inclus o do conceito de ReplyToO alias para permitir o retorno dos reports solicitados O uso do ReplyToO alias permite que as aplica es n o precisem colocar o nome do queue manager no campo ReplyToOMgr do header do MQ e retira da aplica o a decis o sobre qual Reply ToQmgr apontar no MQMD para receber a resposta Para isso a aplica o informa o alias no Reply ToQ e deixa o ReplyToQmgr em branco e deve ser
102. o Secund rio Para cadastrar um dom nio reverso secund rio clique com o bot o direito do mouse na op o Reverse Lookup Zones que est abaixo do servidor criado e selecione New Zone Na tela Zone Type selecione a op o Standard Secondary Na tela Reverse Lookup Zone existem duas op es para o preenchimento do nome do dom nio reverso Na primeira op o Network ID deve ser cadastrado o endere o da rede para a qual o dom nio reverso est sendo criado Na segunda op o o campo Reverse lookup zone name deve ser preenchido com o endere o da rede no formato invertido adicionando se o padr o in addr arpa Para a cria o de dom nios reversos de sub redes de endere amento Classe C que ser o utilizados na rede RSFN a segunda op o deve ser utilizada Clicando no bot o Next ser apresentada a tela para a confirma o do arquivo do dom nio que est sendo criado recomend vel que se o utilize o nome do dom nio atrav s da op o Create a new file with this file name para identificar o arquivo que est sendo criado Nesta mesma tela tem se a possibilidade de escolher um arquivo j existente atrav s da op o Use this existing file A ltima tela do Wizard solicita uma confirma o dos dados fornecidos para a cria o do novo dom nio reverso Clique na op o Finish para confirmar e finalizar a cria o do dom nio reverso prim rio Criando um Registro do Tipo A Selecione o dom nio direto no qual ser c
103. o de endere os via NAT no formato 1 para 1 ou seja um endere o l gico da RSFN para cada endere o f sico utilizado na Intranet e todas as esta es de trabalho da Intranet que desejar acessar servi os da RSFN ter o seus endere os de Intranet convertidos para um nico endere o da RSFN Essa convers o tamb m dever ser executada no servidor de Firewall configurado com a fun o NAT e os roteadores da Intranet dever o ser configurados com rota espec fica para os endere os v lidos na RSFN a ser fornecido pelo Banco Central Essas rotas dever o apontar para o servidor de Firewall utilizado na interliga o da Intranet com a RSFN e os servidores de Firewall dever o ser configurados com rota espec fica para o endere o do host hsrp sub dom nio rsfn net br SERVIDOR DE TEMPO TIME SERVER Est dispon vel um servidor de tempo no BACEN que poder ser utilizado pelos Participantes da RSFN para o sincronismo de hor rio dos servidores MQSeries e demais servidores da RSFN atrav s do protocolo NTP Abaixo seguem descritos os dados necess rios para acesso a este Servi o Servidor ntp bcb rsfn net br Port de acesso 123 UDP SERVIDOR WEB DA RSFN O Banco Central disponibilizou na RSFN um servidor Web onde est o publicadas as informa es referentes RSFN Esse servi o pode ser acessado atrav s da rede pelo nome www rsfn net br Manual de Redes do SFN P gina 40 de 108 RSFN Manual de Redes do SFN Vers o
104. o de intrusos 5 5 Servidores MQ Figura 18 Topologia de Redund ncia M xima Sem Site de Conting ncia As seguintes observa es s o pertinentes s o utilizados switches de conte do com configura o de GLB Global Load Balance e FLB Firewall Load Balance para realizar o balanceamento de carga entre os servidores que oferecem servi os para a RSFN e entre os servidores de Firewall em hip tese alguma o segmento da rede RSFN deve estar interligado ao segmento da Intranet sem a utiliza o de servidores de Firewall servidores de Firewall especializados ou roteadores com fun o de Firewall ou que suportem a configura o de listas de acesso para evitar que o Firewall seja ponto nico de falha a Entidade deve considerar a utiliza o de equipamentos redundantes neste caso um em cada localidade os servidores de DNS da RSFN devem fazer parte do segmento da RSFN de cada Entidade de forma a se evitar poss veis problemas de convers o de endere os Manual de Redes do SFN P gina 38 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 e somente o segmento da RSFN deve utilizar endere os no padr o fornecido pela RSFN Os demais segmentos de rede devem utilizar endere os da Intranet da Entidade e os servidores da RSFN ser o configurados com endere os l gicos da RSFN no servidor de DNS de seu respectivo dom nio O servidor de Firewall dever executar a convers o de endere os via NAT no formato 1 para 1 ou
105. o na RSFN Este manual foi elaborado para a correta utiliza o desta rede contendo informa es t cnicas e operacionais para as Institui es Financeiras se conectarem RSFN institu do pela Circular BACEN 3 629 de 19 02 2013 RSFN Rede do Sistema Financeiro Nacional A RSFN Rede do Sistema Financeiro Nacional que utiliza atualmente a infraestrutura de comunica o das concession rias Primesys e Embratel RTM que foram as qualificadas pelo Subgrupo de Redes tem como finalidade suportar o tr fego entre as Institui es Financeiras participantes o Banco Central do Brasil BACEN e as C maras de Liquida o C maras Baseada no protocolo TCP IP a rede foi implantada considerando a utiliza o de ferramentas conceitos de Intranet que suportam as aplica es desenvolvidas para atender as necessidades do SPB bem como agregar outros servi os de comunica o entre seus participantes Sobre a Arquitetura Considerando se que as opera es dos sistemas ser o processadas em regime de tempo real esta arquitetura foi especificada partindo se da premissa de que dever ter alta disponibilidade desempenho seguran a e conting ncia Baseado nas premissas acima o Subgrupo de Redes estabeleceu crit rios rigorosos nas suas especifica es que al m de adotar as melhores tecnologias dispon veis atualmente exigiu das concession rias qualificadas a garantia de que a rede ter total ader ncia s nossas especifica es e redun
106. ores de nomes deste dom nio IN NS nsl bcb rsfn net br IN NS ns2 bcb rsfn net br IN NS irsl att rsfn net br IN NS irs2 att rsfn net br IN NS irs3 att rsfn net br IN NS irsl ebtrtm rsfn net br IN NS irs2 ebtrtm rsfn net br IN NS irs3 ebtrtm rsfn net br Delega o de Direitos para Clermmgs Bacen 4 linhas p cada sub dom nio Manual de Redes do SFN P gina 64 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 beb rsfn net br IN NS nsl bcb rsfn net br beb rsfn net br IN NS ns2 bcb rsfn net br nsl bacenbsa rsfn net br IN A 200 218 66 6 ns2 bacenbsa rsfn net br IN A 200 218 66 7 selic rsfn net br IN NS nsl selic rsfn net br selic rsfn net br IN NS ns2 selic rsfn net br nsl selic rsfn net br IN A 200 218 66 38 ns2 selic rsfn net br IN A 200 218 66 39 clearingl rsfn net br IN NS nsl clearingl rsfn net br clearingl rsfn net br IN NS ns2 clearingl rsfn net br nsl clearingl rsfn net br IN A 200 218 66 70 ns2 clearingl rsfn net br IN A 200 218 66 71 Delega o de Direitos para IFs 4 linhas p cada sub dom nio ifl rsfn net br IN NS nslafl rsfn net br ifl rsfn net br IN NS ns2afl rsfn net br nsl ifl rsfn net br IN A 200 218 80 6 ns2 1flirsfn net br IN A 200 218 80 7 Delega o de Direitos para SPs 6 linhas p cada sub dom nio att rsfn net br IN NS irsl att rsfn net br att rsfn net br IN NS irs2 att rsfn net br att rsfn net br IN NS irs3 att rsfn net br irsl att rsfn net br IN A
107. oteadores do site principal 13 Queda dos 2 roteadores do site principal Primesys site backup 14 Queda dos 2 roteadores do site principal EBT site backup 15 Queda do roteador BGP 1 do site principal 16 Queda do roteador BGP 2 do site principal 17 Queda do roteador BGP 1 do site backup 18 Queda do roteador BGP 2 do site backup 19 Queda dos 2 roteador BGPs do site principal 20 Queda dos 2 roteador BGPs do site principal Roteador BGP 1 site backup 21 Queda dos 2 roteador BGPs do site principal Roteador BGP 2 site backup Manual de Redes do SFN P gina 18 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 MODELO 4 e MODELO 5 Conex o entre o site Principal e Backup feita pela extens o do barramento LAN da RSFN e a conex o entre a RSFN e a Entidade via c lula de seguran a equipamentos que n o suportam roteamento BGP HSRP A Firewall com NAT Rede Interna da Rede Interna da Institui o Institui o Servidores MQ Servidores MQ Site Principal Site Backup Figura 5 Conex o direta do Perfil D com a c lula de seguran a Manual de Redes do SFN P gina 19 de 108 Testes RSFN Manual de Redes do SFN Vers o 7 6 3 1 Queda do circuito Primesys do site principal 2 Queda do circuito EBT do site principal 3 Queda do circuito Primesys do site backup 4 Queda do circuito EBT do site backup 5 Queda dos 2 circuitos do site principal 6 Queda dos 2 circuitos do site pr
108. pa type forward Manual de Redes do SFN P gina 80 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 forward only forwarders 200 218 64 6 200 218 64 134 j Configurar todas as zonas reversas at 95 218 200 1n addr arpa zone 95 218 200 1n addr arpa type forward forward only forwarders 200 218 64 6 200 218 64 134 zone 0 0 127 in addr arpa type master file named rev 3 zone localhost type master file named local 3 zone O in addr arpa type master file db 0 zone 255 1n addr arpa type master file db 255 3 mm zone type hint file named ca j Arquivo var named db bacen net Este arquivo ser atualizado automaticamente var named db 200 218 66 0 31 Este arquivo ser atualizado automaticamente var named db 200 218 66 Este arquivo ser atualizado automaticamente Arquivo var named named local Este arquivo ser id ntico ao arquivo do PNS para este sub dom nio Arquivo var named db 127 Este arquivo ser id ntico ao arquivo do PNS para este sub dom nio Arquivo var named db 255 Este arquivo ser id ntico ao arquivo do PNS para este sub dom nio Arquivo var named db 0 Este arquivo ser id ntico ao arquivo do PNS para este sub dom nio Arquivo var named named ca Este arquivo ser id ntico ao arquivo named ca apresentados anteriormente Manual de Redes do SFN P
109. principal 6 Queda do firewall do site backup Manual de Redes do SFN P gina 16 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 MODELO 3 e MODELO 6 Conex o entre o site Principal e Backup feita pela extens o do barramento LAN da RSFN e conex o entre a RSFN e Entidade via roteadores que suportem roteamento BGP RTM Embratel Primesys E Rede Interna da Institui o Servidores MQ Site Principal Rede Interna da Institui o Servidores MQ Site Backup iBGP entre router reflector e clientes iBGP entre router reflector Figura 4 Conex o do Perfil D com roteamento iBGP Esse modelo pode ter como variantes l Apenas 2 CPEs e n roteadores BGP onde n um n mero entre 1 e 2 2 em cada site 2 Sem site backup com os n roteadores no mesmo site Manual de Redes do SFN P gina 17 de 108 Testes RSFN Manual de Redes do SFN Vers o 7 6 3 1 Queda do circuito Primesys do site principal 2 Queda do circuito EBT do site principal 3 Queda do circuito Primesys do site backup 4 Queda do circuito EBT do site backup 5 Queda dos 2 circuitos do site principal 6 Queda dos 2 circuitos do site principal Primesys site backup 7 Queda dos 2 circuitos do site principal EBT site backup 8 Queda do roteador Primesys do site principal 9 Queda do roteador EBT do site principal 10 Queda do roteador Primesys do site backup 11 Queda do roteador EBT do site backup 12 Queda dos 2 r
110. respons vel por administrar seus respectivos sub dom nios Exemplos dos sub dom nios o Primesys att rsfn net br o EBT RTMebtrtm rsfn net br e terceiriza o da administra o dos sub dom nios de DNS o As Entidades ligadas RSFN poder o terceirizar com as concession rias a administra o do servi o de DNS Neste caso as concession rias utilizar o servidores de DNS autoritativos servidores estes tamb m localizados nos segmentos de rede que far o parte da VPN da RSFN e que obrigatoriamente estar o em m quinas diferentes dos servidores de DNS configurados como internal root servers Os servidores autoritativos ser o configurados com informa es espec ficas do dom nio da entidade que solicitar este servi o e tipo de servidores que abrigar o os servi os de DNS o embora n o seja obrigat ria sua utiliza o recomendada a ado o de servidores de DNS baseados em sistema operacional Unix e uso da aplica o Bind 8 x ou 9 x Todas as configura es utilizar o este padr o como modelo e interliga o com a Internet o foi registrado o dom nio de n vel superior direto e reverso na Internet e interliga o com as redes internas das Entidades o Provavelmente Entidades que fazem ou far o parte da RSFN utilizar o o DNS Tais servidores resolvem nomes das Intranets destas empresas e da Internet Como alternativa para conex o rede RSFN podem ser aproveitados os mesmos servidores utilizados atualmente
111. riado o novo registro com o bot o direito do mouse e escolha a op o New Host Manual de Redes do SFN P gina 95 de 108 RSFN Manual de Redes do SEN Vers o 7 6 3 2 Guests umie ijy all o kin dem e a XTAB j PI WE Bicara a pawr cida ER t debe lat d E CENT miiia ds pa foide W5 dispol 4 deuse 1 Caded Lookups i ad Frem Lock lotes a daims mn ret br m Eai espiada ET Caa E charge NR P Othar Mew Econ j Gearan hirens ies Jp di Ee Figura 13 Criando um Registro do Tipo A Windows 2000 Na tela New Host preencha os campos Name e IP address Selecionando se o item Create associated pointer PTR record um registro PTR associado ao endere o IP do host ser criado no dom nio reverso correspondente Para dom nios reversos de sub redes de endere amento Classe C este item n o funciona corretamente e n o deve ser marcado A cria o de registros PTR para endere os IP que fazem parte de uma sub rede de endere amento Classe C deve ser feita separadamente e ser explicada posteriormente Clique no bot o Add Host para adicionar o registro L Hi rsin net br Figura 14 Definindo as Caracter sticas do Registro do Tipo A Windows 2000 Criando um Registro do Tipo PTR Selecione o dom nio reverso no qual ser criado o novo registro com o bot o da direita do mouse e escolha a op o New Pointer Manual de Redes do SFN P gina 96 de 108 RSFN Manua
112. rimesys site backup 7 Queda dos 2 circuitos do site principal EBT site backup 8 Queda do roteador Primesys do site principal 9 Queda do roteador EBT do site principal 10 Queda do roteador Primesys do site backup 11 Queda do roteador EBT do site backup 12 Queda dos 2 roteadores do site principal 13 Queda dos 2 roteadores do site principal Primesys site backup 14 Queda dos 2 roteadores do site principal EBT site backup 15 Queda do firewall 1 do site principal 16 Queda do firewall 2 do site principal 17 Queda do firewall 1 do site backup 18 Queda do firewall 2 do site backup 19 Queda dos 2 firewalls do site principal 20 Queda dos 2 firewalls do site principal Firewall 1 site backup 21 Queda dos 2 firewalls do site principal Firewall 2 site backup RSFN Manual de Redes do SFN Vers o 7 6 3 MODELO 2 Apenas um site com dois CPE de cada concession ria ou site Principal e Backup com apenas um CPE em cada RTM Embratel Rede Interna da Institui o Institui o Site Principal Site Backup Figura 3 Dois sites por m com apenas dois CPE Este modelo pode ter como variante a conex o dos 2 CPE s no mesmo site sem site backup Neste caso tamb m podemos ter 1 ou 2 firewalls Testes 1 Queda do circuito Primesys do site principal 2 Queda do circuito EBT do site backup 3 Queda do roteador Primesys do site principal 4 Queda do roteador EBT do site backup 5 Queda do firewall do site
113. rsfn net br Bacen 64 95 66 218 200 1n addr arpa nsl clearingl rsfn net br Clearingl 96 127 66 218 200 1n addr arpa nsl clearing2 rsfn net br Primesys opcional 128 159 67 218 200 1n addr arpa nsl Provedornx21 rsfn net br Provedor nx2 1 0 15 80 218 200 1n addr arpa nslfl rsfn net br IF1 16 31 80 218 200 1n addr arpa ns l if2 rsfn net br EBT RTM opcional 0 127 64 218 200 1n addr arpa 1rsl att rsfn net br Primesys 128 255 64 218 200 1n addr arpa irs 1 ebtrtm rsfn net br EBT RTM Tabela 8 Servidores PNS dos Sub Dom nios Reversos da RSFN No entanto para que os servidores anteriores sejam capazes de resolver endere os reversos de zonas parciais de DNS uma vez que a RSFN utiliza sub redes com endere os de Classe C particionados 16 ou 32 endere os os servidores de DNS das institui es conectadas a esta rede ter o que ser configurados como servidores secund rios bN dos dom nios reversos correspondentes Classe C cheia da qual faz parte sua faixa de endere os A Tabela 9 apresenta a configura o adicional como SNS para que os servidores prim rios para os sub dom nios reversos da RSFN sejam capazes de resolver endere os reversos Sub Dom nio Reverso da RSFN Servidor Prim rio PNS Entidade Respons vel 66 218 200 in addr arpa ns1 bcb rsfn net br Bacen 66 218 200 1n addr arpa nsl clearingl rsfn net br Clearingl 66 218 200 1n addr arpa nsl clearing2 rsfn net br Primesys opcional 67 218 200 1n addr arpa n
114. rvidor que foi criado e selecione New Zone Na tela Zone Type selecione a op o Primary e clique no bot o Next A tela Zone Info ser apresentada Manual de Redes do SFN P gina 101 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 preencha o campo Zone Name com o nome do dom nio a ser criado e pressione Tab para que o campo Zone File seja preenchido automaticamente Clique em Next para finalizar a cria o do dom nio direto Figura 24 Definindo a Nova Zona Reversa de DNS Servidores Windows NT 4 0 Criando um Dom nio Reverso Secund rio Para cadastrar um dom nio reverso clique com o bot o direito do mouse no servidor que foi criado e selecione New Zone Na tela Zone Type selecione a op o Secondary e preencha o campo Zone com o endere o do dom nio reverso a ser criado em formato invertido mais o padr o in addr arpa e no campo Server preencha com o endere o IP do servidor que est sendo configurado Manual de Redes do SFN P gina 102 de 108 Trnaling nem sore for 172165 120 Figura 25 Definindo uma Zona Reversa Secund ria de DNS Servidores Windows NT 4 0 Clicando no bot o Next ser apresentada a tela Zone Info Preencha o campo Zone Name com o nome do dom nio a ser criado e pressione Tab para que o campo Zone File seja preenchido automaticamente Ap s a confirma o do nome do arquivo do dom nio digite o endere o IP do servidor Master do dom nio
115. s e as IF poder o ter um ou mais sites Os conglomerados que englobam mais de uma Institui o Financeira e possuem todos os servi os concentrados ser o vistos como um Provedor PSTI de acordo com a norma vigente pelo Banco Central do Brasil A Figura 6 ilustra a comunica o entre as Entidades Participantes da RSFN CPE Primesys 3 Institui o Financeira ou Institui o Financeira ou Institui o Financeira ou Conglomerado Conglomerado II Conglomerado n Figura 6 Comunica o entre as entidades participantes da RSFN O servi o de comunica o entre as Entidades Participantes da RSFN est sendo oferecido por duas concession rias Primesys e pela Embratel RTM atrav s de um backbone com o servi o VPN MPLS garantindo um isolamento l gico da RSFN Manual de Redes do SFN P gina 21 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 As Entidades Participantes dever o ter como conex o RSFN um dos cinco perfis ilustrados na Figura 7 CPE Primesys CPE RTM CPE Primesys CPE RTM CPE Primesys CPE Primesys CPE RTM CPE Primesys CPE RTM CPE Primesys CPE RTM CPE Primesys Figura 7 Perfis de conex o com a RSFN Manual de Redes do SFN P gina 22 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 Caso o Participante adote os perfis A ou B este receber um prefixo 28 para a VLAN de conex o com a RSFN Para os demais perfis receber dois prefixos 28 O BACEN as C maras e os Provedores P
116. s s o pertinentes s o utilizados roteadores internos entre o segmento da RSFN e os servidores de Firewall e em hip tese alguma o segmento da rede RSFN deve estar interligado ao segmento da Intranet sem a utiliza o de servidores de Firewall servidores de Firewall especializados ou roteadores com fun o de Firewall ou que suportem a configura o de listas de acesso e para evitar que o Firewall seja ponto nico de falha a Entidade deve considerar a utiliza o de equipamentos redundantes e o balanceamento de carga entre os servidores de Firewall pode estar baseado em solu es de alta disponibilidade mecanismos de Failover ou duplica o de tabelas e permiss o de acesso em conjunto com protocolos de roteamento din mico e os servidores da RSFN podem estar fisicamente instalados em um segmento isolado ou podem fazer parte dos segmentos da Intranet da Entidade Manual de Redes do SFN P gina 34 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 os servidores de DNS da RSFN devem fazer parte do segmento da RSFN de cada Entidade de forma a evitar poss veis problemas de convers o de endere os somente o segmento da RSFN deve utilizar endere os no padr o fornecido pela RSFN Os demais segmentos de rede devem utilizar endere os da Intranet da Entidade os servidores da RSFN ser o configurados com endere os l gicos da RSFN no servidor de DNS de seu respectivo dom nio O servidor de Firewall dever executar
117. sa garantia de banda necess ria porque o tr fego desses protocolos n o beneficiado pelo mecanismo interno de PAK PRIORITY dos roteadores da Cisco A classe DEFAULT usada para a transfer ncia de arquivos atrav s de FTP e demais servi os expressamente autorizados pelo Banco Central do Brasil que venham a utilizar a RSFN Essa classe a t pica classe Best Effort na qual n o h garantia de banda m nima As marca es de pacotes dever o ser feitas de acordo com as recomenda es do fabricante dos equipamentos utilizados pela rede A atribui o de classes de servi o usando portas e access list na configura o de QoS n o foi implantada no InterAs em fun o de limita es t cnicas da rede existentes na poca da implanta o do QoS e por conta da baixa utiliza o desses links Os dois provedores de telecomunica es da RSFN adotar o o padr o de classe de servi o definido abaixo Manual de Redes do SFN P gina 56 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 Classe de Servi o Largura de banda Servi o Porta in out Aplica o Telnet TCP BGP TCP INFRA NTP UDP Telnet TCP ESTRUTURA DOMAIN UDP Infra estrutura SNMP UDP Tacacs TCP 102 SPB MENSAGERIA IF Prestador 1414 a 1421 SPB TCP SPBO1 BC 12422 Mensageria IF Prestador 12422 a 12429 Sisbacen TCP MES01 DEFAULT Mensageria IF Prestador 13422 a 13429 Sisbacen TCP MES02 BC 14422 Mensageria IF Prestador 14422 a 14429 Sisbace
118. seja um endere o l gico da RSFN para cada endere o f sico utilizado na Intranet e todas as esta es de trabalho da Intranet que desejarem acessar servi os da RSFN ter o seus endere os da Intranet convertidos para um nico endere o da RSFN Essa convers o tamb m dever ser executada no servidor de Firewall configurado com a fun o NAT e os roteadores da Intranet dever o ser configurados com rota espec fica para os endere os v lidos na RSFN a ser fornecido pelo Banco Central Essas rotas dever o apontar para o servidor de Firewall utilizado na interliga o da Intranet com a RSFN e os servidores de Firewall dever o ser configurados com rota espec fica para o endere o do host hsrp sub dom nio rsfn net br Topologia de redund ncia m xima com site de conting ncia Neste modelo todos os equipamentos utilizados em um determinado site s o contingenciados e existe conting ncia de site Cabe Entidade definir se os dois estar o ativos ou se o site de conting ncia somente ser acionado em caso de falhas no principal A Figura 19 ilustra esta topologia Site A Site B RTM Embratel Primesys RTM Embratel Primesys q O Autoritativo 9 DNS Autoritativo g Servidor de Detec o de intrusos O Autoritativo S3 DNS Autoritativo Servidor de Detec o de intrusos Interliga o redes interna 5 9 Servidores MQ 5 5 Servidores MQ Figura 19 Topologia d
119. sl Provedornx21 rsfn net br Provedor nx2 1 80 218 200 1n addr arpa nslfl rsfn net br IF1 80 218 200 1n addr arpa ns l if2 rsfn net br EBT RTM opcional 64 218 200 1n addr arpa 1rsl att rsfn net br Primesys 64 218 200 1n addr arpa irs 1 ebtrtm rsfn net br EBT RTM Tabela 9 Servidores SNS dos Sub Dom nios de Classe C Completos da RSFN Para resolver nomes de hosts de outros sub dom nios diretos ou reversos da RSFN uma das seguintes alternativas ter que ser utilizada o op o RSFN n o conectada Internet e Entidade utiliza um servidor de DNS dedicado para a RSFN Basta configurar o servidor de DNS da Entidade para enviar requisi es para outros dom nios atrav s da diretiva forwarder Esta diretiva deve apontar para todos os 6 servidores internos de root apresentados anteriormente o op o B RSFN n o conectada Internet e Entidade utiliza um servidor de DNS compartilhado para a RSFN Intranet e conex o com a Internet Neste caso a diretiva forwarder gen rica n o funcionar caso contr rio o servidor n o mais ser capaz de resolver nomes de hosts da Internet Neste caso ser necess rio criar uma zona com type forward para os demais Endere os cheios de Classe C da RSFN al m da pr pria zona rsfn net br Esta configura o conhecida como forward espec fico o op o C RSFN conectada Internet configura o id ntica a utilizada na op o B Manual de Redes do SFN P
120. sos correspondentes Classe C cheia da qual faz parte sua faixa de endere os A Tabela 12 apresenta a configura o adicional como SNS para que os servidores prim rios para os sub dom nios reversos da RSFN sejam capazes de resolver endere os reversos Sub Dom nio Reverso da RSFN Servidor Secund rio SNS Entidade Respons vel ns2 bcb rsfn net br Bacen ns2 clearingl rsfn net br Clearingl ns2 clearing2 rsfn net br Primesys opcional ns2 Provedornx2 1 rsfn net br Provedor nx2 1 Manual de Redes do SFN P gina 74 de 108 66 218 200 1n addr arpa 66 218 200 1n addr arpa 66 218 200 1n addr arpa 67 218 200 1n addr arpa RSFN Manual de Redes do SFN Vers o 7 6 3 80 218 200 1n addr arpa ns2 1f1l rsfn net br IF1 80 218 200 1n addr arpa ns2 1f2 rsfn net br EBT RTM opcional 64 218 200 1n addr arpa 1rs2 att rsfn net br Primesys 1rs3 att rsfn net br 64 218 200 1n addr arpa 1rs2 ebtrtm rsfn net br EBT RTM 1rs3 ebtrtm rsfn net br Tabela 12 Servidores SNS dos Sub Dom nios de Classe C Completos da RSFN Para resolver nomes de hosts de outros sub dom nios diretos ou reversos da RSFN uma das seguintes alternativas ter que ser utilizada o op o RSFN n o conectada Internet e Entidade utiliza um servidor de DNS dedicado para a RSFN Basta configurar o servidor de DNS da Entidade para enviar requisi es para outros dom nios atrav s da diretiva forwarder Esta diretiva deve apontar para todos os 6 ser
121. stema da Mensageria Sisbacen MES01 MES02 e MES03 cont m os grupos de mensagens n o relacionadas a pagamentos Para o envio das mensagens nesses dom nios ser o utilizados canais filas endere os DNS e portas espec ficas ou seja diferentes daquelas utilizadas pelo SPB01 A permiss o para tr fego das mensagens nos dom nios dar se conforme regulamentado no volume 3 do Cat logo de Mensagens e de Arquivos da RSFN para cada grupo de servi os Em todos os dom nios de sistema as institui es ser o identificadas pelo CNPJ b sico de oito posi es ou no caso dos participantes da Mensageria do SPBO1 pelo ISPB O Banco Central ser identificado por seu ISPB ou seja 00038166 O BACEN usar um conjunto de filas objetos MQ para cada institui o diferenciados de acordo com os dom nios de sistema utilizado As Institui es utilizar o os mesmos certificados digitais para os dom nios MES01 MES02 e MESO3 observando a separa o entre os ambientes de homologa o e de produ o Portanto um certificado digital ativo para o dom nio MESO1 estar ativo automaticamente nos dom nios MES02 e MESO3 N o ser poss vel ativar certificados distintos para os dom nios MESO1 MES02 e MESO3 em um mesmo ambiente de homologa o ou de produ o Para o gerenciamento de certificados digitais consulte o uso das mensagens do grupo de servi os GEN no cat logo de mensagens e arquivos da RSFN Manual de Redes do SFN P gina
122. t 60 AdoptNewMCA ALL Ativa o da op o ADOPTNEWMCA do MQOSeries no ambiente z OS Incluir os par metros abaixo na macro CSQ6CHIP do m dulo de par metros do channel initiator ADOPTCHK ALL ADOPTMCA YES Observa o no MQSeries for OS 390 V2RI esses par metros s o adicionados via PTF que deve ser solicitada ao fabricante Manual de Redes do SFN P gina 51 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 CONFIGURA O DO MQ BANCO CENTRAL Para que o Banco Central saiba referenciar corretamente os objetos MQ o hostname e porta utilizados pela IF na RSFN necess rio por parte da IF o preenchimento de cadastro conforme procedimento descrito a seguir Procedimento relativo configura o do MQSeries no Banco Central 1 Solicitar ao master Sisbacen de sua Institui o a autoriza o para a transa o associada ao dom nio a saber a Dom nio MESO1 SMES400 b Dom nio MES02 SMES402 c Dom nio MESO3 SMES403 d Dom nio SPBOl SMES401 2 Acessar o site https www9 bcb gov br mensageria mgconfig Homologa o ou https www3 bcb gov br mensageria mqcontig Produ o 3 Escolher o dom nio 4 Definir os objetos MQ equivalentes na sua Institui o de acordo com os padr es estabelecidos neste manual 5 Clicar em Salvar informa es Observa es e No caso do dom nio SPBOlI dada a possibilidade de cria o de objetos perante o SELIC Manual de Redes do SFN P gina 52 de 108 RSFN
123. tar o o servi o de resolu o de nomes DNS As plataformas Unix normalmente j incluem uma vers o do BIND em seu conjunto de aplica es TCP IP No entanto a vers o desta aplica o depende do momento de aquisi o da m quina Para utilizar a vers o mais recente do BIND os arquivos necess rios poder o ser encontrados no site www isc org via Web ou no site ftp isc org isc bind comprimidos gz e em formato tar Eles dever o ser descomprimidos extra dos do formato tar e compilados seguindo as orienta es contidas no pacote A atualiza o da vers o do BIND poder ser feita sempre que necess rio utilizando os sites referenciados acima O ISC vem cada vez mais facilitando o processo de atualiza o das vers es do BIND atualiza es estas cada vez mais motivadas por acr scimos de fun es de seguran a no aplicativo DNS em Servidores Windows A Microsoft disponibiliza junto com o pacote Windows 2000 uma vers o propriet ria e similar linha BIND 8 x e junto com o pacote Windows NT 4 0 uma vers o propriet ria e similar linha BIND 4 x A principal caracter stica das aplica es de DNS providas pela Microsoft para uso em servidores Windows 2000 e Windows NT 4 0 a utiliza o de uma interface gr fica que tem por objetivo facilitar a administra o da base de dados do DNS A Microsoft entende tamb m que redes que necessitem de resolu o de nomes TCP IP via DNS e nomes NetBIOS via WINS podem ter
124. ter Manual de Redes do SFN P gina 105 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 Doman Wane termica Mans f Seve List j Jana aia 3 17216513 Cache Fies fer OJ 20020 madh sema C ap Al Ros Sj pion in rest b T 0 71 20 0 200 inadci a HS ahbagaihi mulisede com bi E Finas SO nadi a Sil chato redda com lr adm Post Fis ira Deke Dor poena Coedl b rew touit boid dd thi mode Figura 29 Criando um Registro do Tipo PTR Windows NT 4 0 Na tela New resource Record selecione PTR Record na janela Record Type cadastre no campo IP Address o endere o IP e no campo Host DNS Name preencha com o nome completo nome do host dom nio do servidor Clique em OK para finalizar a cria o do registro PTR Her Heniuice Kerail HS Recon TXT Record Host DNS Name pre pinos reim Descipion IF Addes to Mame ET Cores Figura 30 Definindo as Caracter sticas do Tipo PTR Windows NT 4 0 Manual de Redes do SFN P gina 106 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 Configurando os Servidores Forwarders Conforme mencionado anteriormente o DNS da Microsoft n o permite a utiliza o da op o Forward para um dom nio espec fico Para contornar esta limita o devem ser cadastrados os servidores gen ricos de forward que ser o consultados quando uma query n o for resolvida localmente Para cadastrar um Forwarder atrav s do DNS Manager selecione
125. tocolo de roteamento BGP ou a Entidade optar em n o utilizar este protocolo Neste caso dever ser configurado HSRP envolvendo os 4 CPEs dois de cada site O an ncio do prefixo ser 27 para as IF e 26 para as demais Entidades Manual de Redes do SFN P gina 30 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 Roteamento para o Perfil D com firewall da Entidade no barramento RSFN Modelo 5 Similar ao modelo anterior mas segmentando o prefixo 27 em dois prefixos 28 internamente na rede da Entidade O primeiro prefixo ser utilizado para a VLAN das interfaces ethernet dos roteadores CPE e o segundo prefixo ser utilizado para o pool de NAT Desta forma n o haver necessidade de configurar uma tabela ARP estaticamente nos firewall sendo necess ria apenas a inser o de uma rota est tica nos CPE indicando o next hop do segundo prefixo 28 A diferen a entre este modelo em rela o ao modelo 4 se refere em definir dois dom nios de broadcast RTM Embratel Firewall com NAT Rede Interna da Rede Interna da Institui o Institui o Servidores MQ Servidores MQ Site Principal Site Backup Figura 14 Topologia com dois dom nios de broadcast OBSERVA O IMPORTANTE RELATIVA AOS MODELOS 4 E 5 Tendo em vista o roteamento adotado na RSFN os modelos 4 e 5 dever o ter garantida a comunica o entre os quatro roteadores de forma a garantir que quando ativos simultaneamente n o haja interrup o do tr fego
126. tui es utilizar o apenas as portas 12422 a 12429 O Banco Central utilizar a porta 12522 para o ambiente de homologa o e para as Institui es as portas 12522 a 12529 No dom nio MESO2 o Banco Central utilizar a porta 13422 para o ambiente de produ o As institui es utilizar o apenas as portas 13422 a 13429 O Banco Central utilizar a porta 13522 para o ambiente de homologa o e para as Institui es as portas 13522 a 13529 No dom nio MESO3 o Banco Central utilizar a porta 14422 para o ambiente de produ o As institui es utilizar o apenas as portas 14422 a 14429 O Banco Central utilizar a porta 14522 para o ambiente de homologa o e para as institui es as portas 14522 a 14529 Manual de Redes do SFN P gina 44 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 SPB0 MES01 MES02 MES03 Tabela 5 Dom nios ambientes e portas Observa es 1 ISPBRemoto o ISPB ou o CNPJ base da institui o a qual pertence o queue manager remoto com 8 d gitos 2 ISPBLocal o ISPB ou o CNPJ base da institui o qual pertence o queue manager local com 8 d gitos 3 Sub dom nio a identifica o DNS da institui o na RSFN 4 Definir todos os objetos MQ usando letras MAI SCULAS 5 As filas de suporte s o espec ficas para uso das equipes de suporte ao queue manager dos participantes do sistema 6 A diferencia o dos dom nios MES baseia se na porta TCP de conex o d
127. up Figura 9 Topologia com dois sites por m com apenas dois CPE Neste tipo de conex o a Entidade receber apenas um prefixo de endere amento IP e ser cadastrado no DNS um registro com apenas um prefixo Internamente dever ser utilizado NAT sob total controle da Entidade Na rede local da Entidade o segmento que interliga os CPEs e a c lula de seguran a n o possui nenhum protocolo de roteamento din mico sendo utilizado apenas roteamento est tico Como nesse segmento de rede local existem dois roteadores ser implementada a tecnologia HSRP Desta forma os hosts ter o alternativas de acesso externo em caso de falha de um roteador sem necessidade de configura o Manual de Redes do SFN P gina 26 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 manual Os dois roteadores possuir o aloca o de endere os das interfaces Ethernet por m ser alocado um terceiro endere o virtual que corresponder ao HSRP Este endere o virtual dever ser o mesmo em ambos os roteadores e corresponder ao default gateway dos hosts deste segmento de rede Roteamento para o Perfil C Modelo 1 Conex o entre o site Principal e Backup feita por link interno e conex o entre a RSFN e Entidade via roteadores ou Firewall Rede Interna da Institui o Institui o Site Principal Site Backup Figura 10 Topologia com dois sites com interconex o pela rede interna Para esta topologia a Entidade ser cadastrada no DNS
128. ura o dos Resolvers o tamanho dos arquivos de cada zona Localiza o dos Servidores Conforme dito no decorrer deste manual os servidores de nomes s o os respons veis por armazenar informa es sobre uma determinada regi o do address space do DNS Zona Quando os resolvers clientes do DNS precisarem resolver nomes de um determinado host da rede corporativa perguntar o a estes servidores Caso os servidores sejam concentrados somente em algumas localidades a maioria das requisi es dos resolvers atravessaria os circuitos seriais de baixa velocidade o que implicaria em problemas de performance nestes circuitos normalmente j superutilizados com o tr fego da rede Para resolver esta quest o o projeto definiu a utiliza o de pelo menos um servidor de nomes prim rio ou secund rio em cada localidade remota interligada RSFN por meio de circuitos seriais de telecomunica es circuitos de WAN Desta forma este servidor responder localmente por todas as requisi es para resolu o de nomes originadas pelos resolvers de sua rede local Naturalmente quando este servidor receber requisi es para nomes de hosts localizados fora de sua zona estas requisi es ser o repassadas para os servidores Mestres RSFN No entanto como os servidores de nomes utilizam t cnicas de cache tais requisi es implicam em tr fego consideravelmente menor quando comparado com todas as requisi es dos clientes n o prejudicando de for
129. ura 17 Topologia Redundante com Site de Conting ncia As seguintes observa es s o pertinentes e s o utilizados switches de conte do com configura o de GLB Global Load Balance para realizar o balanceamento de carga entre os servidores que oferecem servi os para a RSFN e em hip tese alguma o segmento da rede RSFN deve estar interligado ao segmento da Intranet sem a utiliza o de servidores de Firewall servidores de Firewall especializados ou roteadores com fun o de Firewall ou que suportem a configura o de listas de acesso e para evitar que o Firewall seja ponto nico de falha a Entidade deve considerar a utiliza o de equipamentos redundantes neste caso um em cada localidade e o balanceamento de carga entre os servidores de Firewall pode estar baseado em solu es de alta disponibilidade e a interliga o entre os segmentos da rede interna pode ser executada utilizando se diferentes tecnologias de LANs e MANS e os servidores da RSFN podem estar fisicamente instalados em um segmento isolado ou podem fazer parte dos segmentos da Intranet da Entidade Manual de Redes do SFN P gina 36 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 os servidores de DNS da RSFN devem fazer parte do segmento da RSFN de cada Entidade de forma a se evitar poss veis problemas de convers o de endere os somente o segmento da RSFN deve utilizar endere os no padr o fornecido pela RSFN Os demais segmentos de rede de
130. veis com o bot o da direita do mouse e escolha a op o Properties alax l ET medd E3 2 mE spi FZ Pla Eure BED O mad FM arcar Pr EUa DDAF eih ma snm em id Eur o p E DEE meme mr Figura 17 Definindo as Configura es de Servidores de Forward Gen ricos Windows 2000 Na tela apresentada selecione a pasta Forwarders Clique no item Enable Forwarders para ativar a sua utiliza o e cadastre no campo IP address o endere o IP do servidor que ser utilizado como Forwarder Clique no bot o Add para efetivar o cadastramento e no bot o OK para fechar a tela Manual de Redes do SFN P gina 98 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 DESPOTI Propertie I E Fix mimics Fomises astoarced Nop Mama Losggevg Noraneg tagia ha e arm UM part rd sete est a a he Eaamie kimoja Ta adja kiacija bos de TP alia pjt dd EM A Pa i TIES A cm ces a Figura 18 Definindo as Configura es de Servidores de Forward Gen ricos Windows 2000 SERVI O DNS EM AMBIENTE WINDOWS NT 4 0 Para iniciar a ferramenta DNS Manager clique em Start Programs Administrative Tools DNS Manager Na tela inicial do DNS Manager clique no cone Server List para apresentar os servidores cadastrados Duman Mame Serye Manager Figura 19 Tela Inicial do DNS Manager em Servidores Windows NT 4 0 Para adicionar um novo servidor clique com o bot o da d
131. vem utilizar endere os da Intranet da Entidade os servidores da RSFN ser o configurados com endere os l gicos da RSFN no servidor de DNS de seu respectivo dom nio O servidor de Firewall dever executar a convers o de endere os via NAT no formato 1 para 1 ou seja um endere o l gico da RSFN para cada endere o f sico utilizado na Intranet todas as esta es de trabalho da Intranet que desejarem acessar servi os da RSFN ter o seus endere os da Intranet convertidos para um nico endere o da RSFN Esta convers o tamb m dever ser executada no servidor de Firewall configurado com a fun o NAT os roteadores da Intranet dever o ser configurados com rota espec fica para os endere os v lidos na RSFN a ser fornecido pelo Banco Central Estas rotas dever o apontar para o servidor de Firewall utilizado na interliga o da Intranet com a RSFN os servidores de Firewall dever o ser configurados com rota espec fica para o endere o do host hsrp sub dom nio rsfn net br Manual de Redes do SFN P gina 37 de 108 RSFN Manual de Redes do SFN Vers o 7 6 3 Topologia de redund ncia m xima sem site de conting ncia Neste modelo a Entidade possui conting ncia de todos os equipamentos utilizados em um determinado site mas n o possui site de conting ncia backup A Figura 18 ilustra este modelo gt Site A RTM Embratel Primesys DNS A utoritativo utoritativo Switch Servidor de Detec
132. vidores internos de root apresentados anteriormente o op o B RSFN n o conectada Internet e Entidade utiliza um servidor de DNS compartilhado para a RSFN Intranet e conex o com a Internet Neste caso a diretiva forwarder gen rica n o funcionar caso contr rio o servidor n o mais ser capaz de resolver nomes de hosts da Internet Neste caso ser necess rio criar uma zona com type forward para os demais Endere os cheios de Classe C da RSFN al m da pr pria zona rsfn net br Esta configura o conhecida como forward espec fico o op o C RSFN conectada Internet configura o id ntica a utilizada na op o B nas tr s op es anteriores a seguinte regra de configura o deve ser utilizada institui es do Grupo A devem ser configuradas tendo como primeiro servidor de forwarder um servidor da Primesys e como segundo servidor de forwarder um servidor da EBT RTM Por sua vez Institui es do grupo B devem ser configuradas com a ordem contr ria Problemas com as op es B e C a solu o de DNS da Microsoft n o suporta op o de Forward para uma zona espec fica exigindo o uso da aplica o BIND Registro dos Dom nios Superiores nas Entidades Competentes Para que a comunidade Internet saiba quem s o os servidores de nomes dos dom nios existentes na RSFN todos estes servidores prim rios e secund rios t m que estar definidos nos dom nios de n veis superiores relacionados com
Download Pdf Manuals
Related Search