RSFN Manual de Redes Do SFN Ver 7.3

RSFN - Manual de Redes do SFN Verso 7.
Rede do Sistema Financeiro Nacional Manual de Redes do SFN

Maro/2013 Verso 7.3
RSFN - Rede do Sistema Financeiro Nacional *
RSFN_Manual_de_Redes_do_SFN_Ver_7.3.1.docx *
Atualizao: 23/5/2013 14:24 *
Pgina 1 de 104
RSFN - Manual de Redes do SFN Verso 7.3
NDICE
NDICE ........................................................................................................................................................................... 2 CONTROLE DE VERSO ........................................................................................................................................... 5 VISO GERAL .............................................................................................................................................................. 6 ARQUITETURA DE REDE DE COMUNICAO PARA O SISTEMA FINANCEIRO .................................. 6
Apresentao ............................................................................................................................................................................. 6 RSFN - Rede do Sistema Financeiro Nacional ........................................................................................................................ 6 Sobre a Arquitetura ................................................................................................................................................................... 6 Atribuies e Responsabilidades do GT-Rede ......................................................................................................................... 7 Normas de utilizao da RSFN ................................................................................................................................................... 7 Recomendaes .......................................................................................................................................................................... 7
CENTRAL DE ATENDIMENTO ............................................................................................................................... 8 PROCEDIMENTOS PARA ACESSO RSFN .......................................................................................................... 9

Solicitao de conexo .............................................................................................................................................................. 9 Para solicitao das conexes as Entidades Solicitantes devero: ........................................................................................... 9 Questionrio: ............................................................................................................................................................................ 10 Pr-requisito: ........................................................................................................................................................................... 11 Testes de conectividade .......................................................................................................................................................... 11 Testes de contingncia ............................................................................................................................................................ 12
DESCRIO TCNICA ............................................................................................................................................ 21

Arquitetura de endereamento IP ...................................................................................................................................................... 21
ROTEAMENTO DA RSFN ........................................................................................................................................ 26

Roteamento para o Perfil A e B (Modelo 2)............................................................................................................................... 26 Roteamento para o Perfil C (Modelo 1) ..................................................................................................................................... 27 Roteamento para o Perfil D com roteadores da Entidade no barramento RSFN e NAT do 2 prefixo /28 (Modelo 6) ........ 29 Roteamento para o Perfil D com firewall da Entidade no barramento RSFN (Modelo 4) .................................................... 30 Roteamento para o Perfil D com firewall da Entidade no barramento RSFN (Modelo 5) .................................................... 31 OBSERVAO IMPORTANTE RELATIVA AOS MODELOS 4 E 5 .................................................................................... 31
MODELOS DE TOPOLOGIA PARA CONEXES COM REDES INTERNAS ............................................ 32 SERVIDOR DE TEMPO ( TIME SERVER) .............................................................................................................. 40 SERVIDOR WEB DA RSFN ...................................................................................................................................... 40 INFRA-ESTRUTURA DE MENSAGERIA .............................................................................................................. 41
Diretrizes bsicas ...................................................................................................................................................................... 41 Definies do MQseries .......................................................................................................................................................... 41
CONFIGURAO DO SERVIDOR MQ - OPO ADOPTNEWMCA........................................................... 50 CONFIGURAO DO MQ - BANCO CENTRAL ................................................................................................. 51 GERNCIA DE SEGUNDA NVEL DA RSFN ........................................................................................................ 52
Diretrizes bsicas ...................................................................................................................................................................... 52
REQUISITOS PARA O MODELO OPERACIONAL DE PSTI ............................................................................. 53

Instituio Financeira: .............................................................................................................................................................. 53 PSTI: ........................................................................................................................................................................................ 53 Rede dedicada homologada pelo BACEN de acordo com a carta-circular 3.426: ...................................................................... 53 Gerncia Integrada de Segundo Nvel: ...................................................................................................................................... 54 SPB-Registro: ........................................................................................................................................................................... 54
QUALIDADE DE SERVIO NA RSFN .................................................................................................................... 55 ANEXO I CONFIGURAO DE DNS (DOMAIN NAME SYSTEM) ............................................................... 56
INTRODUO ...................................................................................................................................................................... 56 PREMISSAS BSICAS ......................................................................................................................................................... 57 DNS NA RSFN ....................................................................................................................................................................... 58
RSFN - Rede do Sistema Financeiro Nacional * RSFN_Manual_de_Redes_do_SFN_Ver_7.3.1.docx * Atualizao: 23/5/2013 14:24 * Pgina 2 de 104

Aplicaes de DNS recomendadas ......................................................................................................................................... 59 DNS em Servidores Unix........................................................................................................................................................ 59 DNS em Servidores Windows ................................................................................................................................................ 59 ARQUITETURA DE DNS DA RSFN ................................................................................................................................... 60 Sub-Domnios da RSFN ......................................................................................................................................................... 61 Delegando Direitos Para os Sub-Domnios ............................................................................................................................ 61 Incluindo ou Excluindo Domnios ou Sub-Domnios ............................................................................................................ 62 Domnios Reversos da RSFN ................................................................................................................................................. 62 Sub-Domnios Reversos da RSFN .......................................................................................................................................... 64 Delegando Direitos Para os Sub-Domnios Reversos ............................................................................................................ 64 Incluindo ou Excluindo Domnios ou Sub-Domnios Reversos ............................................................................................ 66 Sub-Domnios Reversos da RSFN .......................................................................................................................................... 67 Servidores de DNS da RSFN .................................................................................................................................................. 68 Servidor Primrio dos Domnios Superiores IRS (Internal Root Server) ....................................................................... 68 Servidores Primrios dos Sub-Domnios ................................................................................................................................ 69 Servidores Secundrios dos Sub-Domnios ............................................................................................................................ 71 Registro dos Domnios Superiores nas Entidades Competentes ............................................................................................ 72 Registro dos Sub-Domnios das Entidades ............................................................................................................................. 73 rvore de DNS da Parte Externa ............................................................................................................................................ 73 Restries sobre a Configurao do PNS e SNS dos Sub-Domnios ..................................................................................... 79 CONFIGURAO DOS RESOLVERS ................................................................................................................................. 79 PADRONIZAO DE NOMES DE HOSTS E INTERFACES ........................................................................................... 79 Padronizao de Nomes de Usurios ...................................................................................................................................... 80 IMPACTO DO TRFEGO DO DNS NA REDE .................................................................................................................. 80 Localizao dos Servidores..................................................................................................................................................... 80 Parmetros de Temporizao do Registro SOA ..................................................................................................................... 81 Configurao dos Resolvers .................................................................................................................................................... 81
FERRAMENTAS DE DEPURAO DO DNS NSLOOKUP ............................................................................... 83

INTRODUO ...................................................................................................................................................................... 83
DNS EM SERVIDORES DA MICROSOFT ............................................................................................................. 85

INTRODUO ...................................................................................................................................................................... 85 CONFIGURAO DO DNS SERVER EM AMBIENTE WINDOWS 2000 ..................................................................... 85 Criando um Domnio Reverso Primrio ................................................................................................................................. 89 Criando um Domnio Direto Secundrio ................................................................................................................................ 91 Criando um Domnio Reverso Secundrio ............................................................................................................................. 92 Criando um Registro do Tipo A ............................................................................................................................................. 92 Criando um Registro do Tipo PTR ......................................................................................................................................... 93 Configurando os Servidores Forwarders ............................................................................................................................... 95 SERVIO DNS EM AMBIENTE WINDOWS NT 4.0 ........................................................................................................ 96 Criando um Domnio Direto Primrio .................................................................................................................................... 97 Criando um Domnio Reverso Primrio ................................................................................................................................. 98 Criando um Domnio Reverso Secundrio ............................................................................................................................. 99 Criando um Domnio Direto Secundrio .............................................................................................................................. 101 Criando um Registro do Tipo A ........................................................................................................................................... 101 Criando um Registro do Tipo PTR ....................................................................................................................................... 102 Configurando os Servidores Forwarders ............................................................................................................................. 103
Atualizao: 23/5/2013 14:24 *
Pgina 3 de 104
Figura 1 Modelo de conexo da rede RSFN _________________________________________________________ 12 Figura 2 - Dois sites com interconexo pela rede interna _______________________________________________ 14 Figura 3 - Dois sites, porm com apenas dois CPE ____________________________________________________ 16 Figura 4 - Conexo do Perfil D com roteamento iBGP _________________________________________________ 17 Figura 5 - Conexo direta do Perfil D com a clula de segurana ________________________________________ 19 Figura 6 Comunicao entre as entidades participantes da RSFN ______________________________________ 21 Figura 7 - Perfis de conexo com a RSFN ____________________________________________________________ 22 Figura 8 - Servio PSTI ___________________________________________________________________________ 23 Tabela 1 - Faixa de Endereos dos hosts TCP/IP com mscara /27_________________________________________ 24 Tabela 2- Faixa de Endereos dos hosts TCP/IP com mscara /26 _________________________________________ 24 Tabela 3 - Faixa de Endereos dos hosts TCP/IP das IF com mscara /28 _________________________________ 25 Tabela 4 - Faixa de Endereos dos hosts TCP/IP das IFs com mscara /27 _________________________________ 25 Figura 9 - Topologia com dois sites, porm com apenas dois CPE ________________________________________ 26 Figura 10 - Topologia com dois sites com interconexo pela rede interna _________________________________ 27 Figura 11 - Conexo do Perfil D com roteamento iBGP ________________________________________________ 28 Figura 12 -Topologia com dois sites, quatro roteadores da Entidade e NAT interno _________________________ 29 Figura 13 - Conexo direta do Perfil D com a clula de segurana _______________________________________ 30 Figura 14 - Topologia com dois domnios de broadcast ________________________________________________ 31 Figura 15 - Topologia de Acesso com Firewall ________________________________________________________ 32 Figura 16 - Topologia de Acesso com Roteadores, Firewall e DMZ _______________________________________ 34 Figura 17 - Topologia Redundante com Site de Contingncia ___________________________________________ 36 Figura 18 - Topologia de Redundncia Mxima Sem Site de Contingncia ________________________________ 38 Figura 19 - Topologia de Redundncia Mxima Com Site de Contingncia ________________________________ 39 Tabela 5 - Atributos Comuns a Todas as Filas ________________________________________________________ 46 Tabela 6 - Atributos de Filas Locais ________________________________________________________________ 47 Tabela 7 - Atributos de Filas Remotas ______________________________________________________________ 47 Tabela 8 - Atributos de Alias Queues ________________________________________________________________ 47 Tabela 9 - Atributos de NameLists _________________________________________________________________ 47 Tabela 10 - Atributos de Processos _________________________________________________________________ 48 Tabela 11 - Atributos de Queue Managers __________________________________________________________ 48 Tabela 12 - Atributos de Canais ___________________________________________________________________ 49
Atualizao: 23/5/2013 14:24 *
Pgina 4 de 104
CONTROLE DE VERSO
Verso 7.3.1 7.3 Descrio das Modificaes Incluso do Manual de DNS como Anexo I - Referncia Circular N 3629 de 19 de fevereiro de 2013, incluso dos Requisitos para o Modelo Operacional de PSTI e alterao do nome do Manual Tcnico. - Substituio da PRED300 e PCCS400 em Homologa e Produo - Troca de menes ao PCCS400 e acrscimo do MQConfig - Incluso dos domnios MES02 e MES03 - Incluso do domnio MES - Incluso da Gerncia de Segundo Nvel da RSFN e da Qualidade de Servio na RSFN - Incluso dos campos que comprovam a emisso do COA pelo Banco Central no item Diretrizes Bsicas da Infraestrutura de Mensageria. - Adequao Circular BACEN 3014 - alterao da redao das Normas de Utilizao da RSFN; - retirada do item Sobre o Comit Gestor da RSFN. - Incluso da obrigatoriedade do TTL igual a zeros para o nome do servidor MQ no item Recomendaes - Incluso de observao sobre perda de conectividade nos modelos 4 e 5. - Incluso do Roteiro de Testes de Contingncia da RSFN. - Incluso da configurao obrigatria do parmetro ADOPTMCA no servidor MQSeries. 3.0 - Incluso do Template para Roteamento do o Perfil D com roteadores da Entidade no barramento RSFN e NAT do 2 prefixo /28 (Modelo 6). - Incluso do captulo referente infraestrutura da mensageria. Incluso do Template para segmentao do prefixo /27 em duas VLANs: SPB (prefixo /28) e outra para NAT (prefixo /28). Data da Modificao 12 de maro de 2013 26 de fevereiro de 2013
7.2 7.1 7.0 6.1 6.0 5.0
8 de Novembro de 2012 19 de Julho de 2012 13 de Julho de 2012 9 de Abril de 2009 20 de dezembro de 2006 02 de janeiro de 2004
4.0
26 de agosto de 2003
5 de Novembro de 2001
2.0
3 de Setembro de 2001
Atualizao: 23/5/2013 14:24 *
Pgina 5 de 104
VISO GERAL ARQUITETURA DE REDE DE COMUNICAO PARA O SISTEMA FINANCEIRO

Apresentao
A Arquitetura de Rede de Comunicao de Dados entre o Banco Central do Brasil, as Instituies Financeiras e as Cmaras, foi projetada para suportar a implantao do novo Sistema de Pagamentos Brasileiro (SPB) e que deve estar preparada para agregar tambm outros servios de comunicao entre instituies do sistema financeiro. Para atingir o objetivo acima, o GT Redes avaliou as diversas alternativas tcnicas e solues dos fornecedores e concessionrias, resultando na RSFN. Este manual foi elaborado para a correta utilizao desta rede, contendo informaes tcnicas e operacionais para as Instituies Financeiras se conectarem RSFN, institudo pela Circular BACEN 3629, de 19.02.2013.
RSFN - Rede do Sistema Financeiro Nacional

A RSFN, Rede do Sistema Financeiro Nacional, que utiliza atualmente a infraestrutura de comunicao das concessionrias Primesys e Embratel / RTM (que foram as qualificadas pelo GT-Rede), tem como finalidade suportar o trfego entre as Instituies Financeiras participantes, o Banco Central do Brasil (BACEN) e as Cmaras de Liquidao (Cmaras). Baseada no protocolo TCP/IP, a rede foi implantada considerando a utilizao de ferramentas/conceitos de Intranet que suportam as aplicaes desenvolvidas para atender as necessidades do SPB, bem como agregar outros servios de comunicao entre seus participantes.
Sobre a Arquitetura
Considerando-se que as operaes dos sistemas sero processadas em regime de tempo real, esta arquitetura foi especificada partindo-se da premissa de que dever ter alta disponibilidade, desempenho, segurana e contingncia. Baseado nas premissas acima, o GT-Rede estabeleceu critrios rigorosos nas suas especificaes que, alm de adotar as melhores tecnologias disponveis atualmente, exigiu das concessionrias qualificadas a garantia de que a rede ter total aderncia s nossas especificaes e redundncia em todos os seus segmentos: no seu backbone, nos seus entroncamentos e meios fsicos, nos seus equipamentos, nos ns da rede e na sua ltima milha. Estabeleceu tambm que, futuramente, essa rede dever agregar novos servios como Voz sobre IP, interconexo entre as instituies financeiras etc., sem a necessidade de se alterar a sua arquitetura com novos investimentos.
Atualizao: 23/5/2013 14:24 *
Pgina 6 de 104
Atribuies e Responsabilidades do GT-Rede

Especificar a arquitetura da Rede. Especificar a Topologia da Rede. Especificar a Estrutura Fsica da Rede. Especificar normas e padres para conexo IP entre as redes das concessionrias e as instituies participantes. Definir a melhor tecnologia, sob os aspectos evolutivos, tendncias, segurana, contingncias e custo / beneficio. Especificar os pr-requisitos para os fornecedores e concessionrias apresentarem suas solues e propostas. Negociar custos e propostas dos fornecedores e concessionrias. Avaliar, homologar e indicar os fornecedores e concessionrias para a elaborao da nova rede. Acompanhar, auditar e avaliar o processo de operacionalizao da rede junto s concessionrias.
Normas de utilizao da RSFN

Todos os servios a serem implementados na rede devero ser submetidos aprovao e homologados pelo Grupo Tcnico de Rede (GT-Rede). Os padres de endereamento IP para cada tipo de servio so definidos exclusivamente pelo referido grupo tcnico.
Recomendaes
Para a implementao da conexo com a RSFN, as seguintes recomendaes so pertinentes: a) Atentar para as recomendaes sobre segurana descritas no Captulo Modelos de Topologia para Conexes com Redes Internas, deste documento; b) Escolha e implementao adequadas do Modelo de Topologia para Conexes com a Rede Interna da Entidade Participante; c) obrigatria a utilizao do servio de DNS (Domain Name System) e a configurao do parmetro TTL (Time to Live) igual a ZERO para hosts disponibilizados na RSFN, ressaltamos que a contingncia dos servidores de MQ, componente fundamental na estrutura do SPB e MES, est baseada na utilizao do servio de DNS; d) Observar as normas de endereamento e do Servio de DNS descritas no Captulo Arquitetura de Endereamento IP e Anexo I, deste documento; e) Execuo de testes de funcionalidade e contingncia da rede.
Atualizao: 23/5/2013 14:24 *
Pgina 7 de 104
CENTRAL DE ATENDIMENTO
O servio de comunicao entre as Entidades Participantes da RSFN est sendo provido pelas concessionrias: Primesys e Embratel/RTM, que recebero as solicitaes de conexo com a RSFN, informaes e abertura de chamados tcnicos referentes a problemas de conectividade encontrados pelas Entidades Participantes, atravs de suas Centrais de Atendimento pelos telefones 0800-7077288 e 0800-7077400, respectivamente. Efetuada a conexo, poder ser acessado o Site Web da RSFN no BACEN, atravs do endereo www.rsfn.net.br, onde esto disponveis outros documentos relevantes.
Atualizao: 23/5/2013 14:24 *
Pgina 8 de 104
PROCEDIMENTOS PARA ACESSO RSFN

Solicitao de conexo
a) b) c) d) e) Todos os participantes da RSFN devero contratar obrigatoriamente pelo menos uma conexo com a Primesys e outra com a Embratel/RTM; As conexes sero instaladas pelas concessionrias nos endereos onde os Participantes indicarem, na modalidade Turn Key, ou seja, acesso local (par metlico, fibra ptica ou rdio) e roteador configurado; Em todas as conexes, as concessionrias fornecero o Roteador devidamente homologado pelo GT- Rede, com o hardware, software e configurao necessria para suportar os servios da RSFN; Essa rede dever respeitar as especificaes estabelecidas na RFP pelo GT-Rede e de total conhecimento das concessionrias Primesys e Embratel / RTM; A no observncia das especificaes citadas no item anterior pelas concessionrias ou pelo Participante poder comprometer a conectividade e segurana deste ltimo, podendo no participar dos testes e implantao dos seus sistemas; Os roteadores sero de uso exclusivo para a RSFN e sero instalados e configurados pelas concessionrias conforme as regras de endereamento IP definidos pelo GT-Rede.
f)
Para solicitao das conexes as Entidades Solicitantes devero:

a) Contatar as concessionrias, atravs das respectivas Centrais de Atendimento, que verificaro os dados na lista fornecida pelo Banco Central e encaminharo ao responsvel administrativo do Solicitante o questionrio abaixo listado, juntamente com outras informaes que julgarem relevantes, o qual dever ser preenchido e devolvido, por meio eletrnico, para as concessionrias; As concessionrias recebero as informaes e as encaminharo para o Banco Central, por meio eletrnico, aos cuidados de spb.registro@bcb.gov.br; O Banco Central preencher a planilha de cadastro contendo a faixa de endereos IP designada para utilizao do Solicitante, que ser enviada caixa postal do responsvel tcnico do Solicitante e s duas concessionrias. Tambm ser providenciado o cadastro do nome do subdomnio informado pelo Solicitante, eventual duplicidade de nomes de subdomnio ser previamente comunicada e ser negociado um novo nome entre o Banco Central e o Solicitante; Com a informao recebida, as concessionrias estaro autorizadas a incluir a Entidade Solicitante na RSFN e tomar as providncias necessrias para liberao dos circuitos; Solicitar das concessionrias o contrato completo para aquisio da ltima milha e os seus servios.
b) c)
d) e)
Atualizao: 23/5/2013 14:24 *
Pgina 9 de 104
Questionrio:
1) Em qual das categorias abaixo se enquadra o Solicitante? a. Instituio Financeira; b. Provedor PSTI; c. Cmaras ou Outros. 2) O Solicitante tem um site backup ou pretende implant-lo no prazo mximo de um ano? 3) Se a resposta ao item 2 for positiva, definir qual ser o perfil adotado para a comunicao entre os sites, dentre as opes sugeridas no Captulo Roteamento da RSFN deste documento. 4) Qual o nome do Subdomnio pretendido pelo Solicitante (se j possuir um nome de domnio na Internet, recomenda-se utiliz-lo, este domnio ter obrigatoriamente a extenso .rsfn.net.br, p. ex., se o nome do domnio na Internet xyz.com.br, sugere-se utilizar para a RSFN o nome xyz.rsfn.net.br). 5) Se o Solicitante for uma Instituio Financeira, utilizar a estrutura de Provedor PSTI? Qual ser este provedor? 6) O Solicitante implantar o servio de DNS prprio ou utilizar o servio fornecido pela Concessionria? Caso queira utilizar o Servio de DNS de uma das Concessionrias, dever informar ao Banco Central os endereos IPs dos Servidores Autoritativos para o domnio do Solicitante.
Observao: obrigatria a utilizao do servio de DNS (Domain Name System) e a configurao do parmetro TTL (Time to Live) igual a ZERO para hosts disponibilizados na RSFN, ressaltamos que a contingncia dos servidores de MQ, componente fundamental na estrutura do SPB e MES, est baseada na utilizao do servio de DNS;
Atualizao: 23/5/2013 14:24 *
Pgina 10 de 104
Pr-requisito:
Conexo dos roteadores das duas concessionrias em barramento de rede local, conforme modelos sugeridos no Captulo Modelos de Topologia para Conexes com redes Internas deste documento.
Testes de conectividade
A partir do recebimento da faixa de endereamento IP da instituio, configurar uma estao com os parmetros abaixo. Obs.: Caso a instituio opte por efetuar o teste atravs da sua rede local deve-se efetuar NAT. IP address do 10 host Subnetmask: fornecida na documentao Gateway: Endereo do HSRP
Configurada a estao, efetuar os seguintes testes:

Ping no endereo IP 200.218.66.5 (HSRP do BACEN) Se OK, retirar o cabo ou desligar o modem da Primesys e efetuar novamente o ping Se OK, reconectar o cabo ou ligar o modem Primesys e retirar o cabo ou desligar o modem da Embratel e efetuar novamente o ping Se OK, reconectar o cabo ou ligar o modem Embratel
Caso algum dos testes falhe, abrir chamado na Central de Atendimento da Concessionria e reportar o procedimento e a falha .
Atualizao: 23/5/2013 14:24 *
Pgina 11 de 104
Testes de contingncia
Os testes de contingncia e de backbone da RSFN consistem em validar as funcionalidades das redundncias implementadas na rede pelas Concessionrias Primesys e Embratel/RTM. Sero realizados a critrio do Banco Central. A atual topologia da Rede e suas redundncias de conexo esto exemplificadas na figura 1.
Figura 1 Modelo de conexo da rede RSFN

Observe que todas as Entidades possuem conexo com as duas nuvens: EBR/RTM e Primesys, o que dever garantir a redundncia de acesso a todos os servios disponveis na RSFN. Durante a realizao dos testes de contingncia, sero simuladas situaes de queda dessas conexes, a fim de validar as funcionalidades das redundncias e medir os tempos de convergncia na RSFN. Para tanto, foram definidos os procedimentos descritos a seguir:
Atualizao: 23/5/2013 14:24 *
Pgina 12 de 104
Descrio dos procedimentos : 1. Antes do incio dos testes : a) Ping em 2 instituies do Grupo A Deve-se efetuar, a partir de uma mquina (de preferncia o DNS) com conexo rede RSFN, comando ping utilizando o nome de, pelo menos, 100 pacotes no HSRP das instituies escolhidas . Anotar o tempo de resposta mdio na tabela . b) Ping em 2 instituies do Grupo B Deve-se efetuar, a partir de uma mquina (de preferncia o DNS) com conexo rede RSFN, comando ping utilizando o nome de, pelo menos, 100 pacotes no HSRP de uma das instituies escolhidas. Anotar o tempo de resposta mdio na tabela. c) Trace para verificao dos caminhos Efetuar trace utilizando os mesmos hosts . Anexar os resultados na tabela
2. Durante a interrupo de cada dispositivo : a) Ping nas mesmas instituies do Grupo A Deve-se efetuar, a partir de uma mquina (de preferncia o DNS) com conexo rede RSFN, comando ping (pelo nome) contnuo no HSRP das instituies escolhidas. Anotar o tempo de resposta mdio na tabela . b) Ping nas mesmas instituies do Grupo B Deve-se efetuar, a partir de uma mquina (de preferncia o DNS) com conexo rede RSFN, comando ping (pelo nome) contnuo no HSRP das instituies escolhidas . Anotar o tempo de resposta mdio na tabela . c) Verificar qual dos hosts fica indisponvel e qual o tempo de retorno Anotar o host e o tempo de retorno. d) Trace para verificao dos caminhos Efetuar trace utilizando os mesmos hosts. Anexar os resultados na tabela de testes.
3. Retorno do dispositivo : a) Verificar se ocorre indisponibilidade e qual o tempo de retorno. Anotar o host e o tempo de retorno.
Atualizao: 23/5/2013 14:24 *
Pgina 13 de 104
Modelos de Topologia
MODELO 1: Conexo entre o site Principal e Backup feita por link interno e conexo entre a RSFN e Entidade via roteadores ou Firewall.
Figura 2 - Dois sites com interconexo pela rede interna

Este modelo pode ter como variante a conexo de apenas 1 firewall por site.
Atualizao: 23/5/2013 14:24 *
Pgina 14 de 104
Testes : 1- Queda do circuito Primesys do site principal 2- Queda do circuito EBT do site principal 3- Queda do circuito Primesys do site backup 4- Queda do circuito EBT do site backup 5- Queda dos 2 circuitos do site principal 6- Queda dos 2 circuitos do site principal + Primesys site backup 7- Queda dos 2 circuitos do site principal + EBT site backup 8- Queda do roteador Primesys do site principal 9- Queda do roteador EBT do site principal 10- Queda do roteador Primesys do site backup 11- Queda do roteador EBT do site backup 12- Queda dos 2 roteadores do site principal 13- Queda dos 2 roteadores do site principal + Primesys site backup 14- Queda dos 2 roteadores do site principal + EBT site backup 15- Queda do firewall 1 do site principal 16- Queda do firewall 2 do site principal 17- Queda do firewall 1 do site backup 18- Queda do firewall 2 do site backup 19- Queda dos 2 firewalls do site principal 20- Queda dos 2 firewalls do site principal + Firewall 1 site backup 21- Queda dos 2 firewalls do site principal + Firewall 2 site backup
Atualizao: 23/5/2013 14:24 *
Pgina 15 de 104
MODELO 2: Apenas um site com dois CPE de cada concessionria ou site Principal e Backup com apenas um CPE em cada.
Figura 3 - Dois sites, porm com apenas dois CPE

Este modelo pode ter como variante a conexo dos 2 CPEs no mesmo site (sem site backup). Neste caso tambm podemos ter 1 ou 2 firewalls. Testes : 123456Queda do circuito Primesys do site principal Queda do circuito EBT do site backup Queda do roteador Primesys do site principal Queda do roteador EBT do site backup Queda do firewall do site principal Queda do firewall do site backup
Atualizao: 23/5/2013 14:24 *
Pgina 16 de 104
MODELO 3 e MODELO 6: Conexo entre o site Principal e Backup feita pela extenso do barramento LAN da RSFN e conexo entre a RSFN e Entidade via roteadores (que suportem roteamento BGP).
Figura 4 - Conexo do Perfil D com roteamento iBGP

Esse modelo pode ter como variantes 1-Apenas 2 CPEs e n roteadores BGP (onde n um nmero entre 1 e 2) ; 2 em cada site 2Sem site backup , com os n roteadores no mesmo site
Atualizao: 23/5/2013 14:24 *
Pgina 17 de 104
Testes : 1- Queda do circuito Primesys do site principal 2- Queda do circuito EBT do site principal 3- Queda do circuito Primesys do site backup 4- Queda do circuito EBT do site backup 5- Queda dos 2 circuitos do site principal 6- Queda dos 2 circuitos do site principal + Primesys site backup 7- Queda dos 2 circuitos do site principal + EBT site backup 8- Queda do roteador Primesys do site principal 9- Queda do roteador EBT do site principal 10- Queda do roteador Primesys do site backup 11- Queda do roteador EBT do site backup 12- Queda dos 2 roteadores do site principal 13- Queda dos 2 roteadores do site principal + Primesys site backup 14- Queda dos 2 roteadores do site principal + EBT site backup 15- Queda do roteador BGP 1 do site principal 16- Queda do roteador BGP 2 do site principal 17- Queda do roteador BGP 1 do site backup 18- Queda do roteador BGP 2 do site backup 19- Queda dos 2 roteador BGPs do site principal 20- Queda dos 2 roteador BGPs do site principal + Roteador BGP 1 site backup 21- Queda dos 2 roteador BGPs do site principal + Roteador BGP 2 site backup
Atualizao: 23/5/2013 14:24 *
Pgina 18 de 104
MODELO 4 e MODELO 5: Conexo entre o site Principal e Backup feita pela extenso do barramento LAN da RSFN e a conexo entre a RSFN e a Entidade via clula de segurana (equipamentos que no suportam roteamento BGP
Figura 5 - Conexo direta do Perfil D com a clula de segurana
Atualizao: 23/5/2013 14:24 *
Pgina 19 de 104
Testes : 1- Queda do circuito Primesys do site principal 2- Queda do circuito EBT do site principal 3- Queda do circuito Primesys do site backup 4- Queda do circuito EBT do site backup 5- Queda dos 2 circuitos do site principal 6- Queda dos 2 circuitos do site principal + Primesys site backup 7- Queda dos 2 circuitos do site principal + EBT site backup 8- Queda do roteador Primesys do site principal 9- Queda do roteador EBT do site principal 10- Queda do roteador Primesys do site backup 11- Queda do roteador EBT do site backup 12- Queda dos 2 roteadores do site principal 13- Queda dos 2 roteadores do site principal + Primesys site backup 14- Queda dos 2 roteadores do site principal + EBT site backup 15- Queda do firewall 1 do site principal 16- Queda do firewall 2 do site principal 17- Queda do firewall 1 do site backup 18- Queda do firewall 2 do site backup 19- Queda dos 2 firewalls do site principal 20- Queda dos 2 firewalls do site principal + Firewall 1 site backup 21- Queda dos 2 firewalls do site principal + Firewall 2 site backup
Atualizao: 23/5/2013 14:24 *
Pgina 20 de 104
DESCRIO TCNICA Arquitetura de endereamento IP

A RSFN recebeu do Comit Gestor da Internet Brasil um prefixo /18 para ser distribudo entre as Entidades Participantes, a fim de evitar conflito com o endereamento IP interno destas. A topologia lgica da RSFN composta de dois nveis hierrquicos: core e acesso. O core composto pelas Concessionrias e o acesso pelas Entidades Participantes, que so: BACEN, Cmaras, Provedores PSTI e as Instituies Financeiras (IF). O BACEN, as Cmaras e os Provedores PSTI devero ter, no mnimo, dois sites e as IF podero ter um ou mais sites. Os conglomerados que englobam mais de uma Instituio Financeira, e possuem todos os servios concentrados, sero vistos como um Provedor PSTI, de acordo com a norma vigente pelo Banco Central do Brasil. A Figura 6 ilustra a comunicao entre as Entidades Participantes da RSFN:
Figura 6 Comunicao entre as entidades participantes da RSFN

O servio de comunicao entre as Entidades Participantes da RSFN est sendo oferecido por duas concessionrias: Primesys e pela Embratel/RTM, atravs de um backbone com o servio VPN/MPLS, garantindo um isolamento lgico da RSFN.
Atualizao: 23/5/2013 14:24 *
Pgina 21 de 104
As Entidades Participantes devero ter como conexo RSFN um dos cinco perfis ilustrados na Figura 7.
Figura 7 - Perfis de conexo com a RSFN
Atualizao: 23/5/2013 14:24 *
Pgina 22 de 104
Caso o Participante adote os perfis A ou B, este receber um prefixo /28 para a VLAN de conexo com a RSFN. Para os demais perfis receber dois prefixos /28. O BACEN , as Cmaras e os Provedores PSTI utilizaro o perfil C ou D recebendo dois prefixos /27. O Provedor PSTI pode se comunicar apenas com o BACEN, as Cmaras e as IFs s quais ele presta servio, conforme apresentado na Figura 8.
Figura 8 - Servio PSTI
Atualizao: 23/5/2013 14:24 *
Pgina 23 de 104
Definio da Faixa de endereos dos Hosts de cada VLAN

Para facilitar a administrao dos endereos IP dos diferentes ns TCP/IP dentro de cada VLAN, as faixas foram padronizadas por tipo de hosts. Alm de permitir a identificao rpida do recurso, a utilizao de faixa de endereos permite definir listas de acesso e de prioridades para cada recurso da rede.
VLAN das Cmaras e dos Provedores PSTI

A VLAN das Cmaras e dos Provedores PSTI possuem no mximo 30 hosts para cada prefixo /27. As faixas de hosts recomendadas para estas subredes esto ilustradas nas Tabela 1 e Tabela 2. 1 byte X X X X X X X X X X X X X 2 byte X X X X X X X X X X X X X 3 byte X X X X X X X X X X X X X 4 byte xxx00001 xxx00010 xxx00011 xxx00100 xxx00101 xxx00110 xxx00111 xxx01000 xxx01001 xxx01010 ... xxx11101 xxx11110 host 1o. 2o. 3o. 4o. 5o. 6o. 7o. 8o. 9o. 10o. ... 29o. 30o. Tipo do host Ethernet 0/0 CPE Primesys Ethernet 0/0 CPE EBT/RTM HSRP 1o. switch 2o. switch 1o. Servidor DNS 2o. Servidor DNS 1o. Servidor MQSeries 2o. Servidor MQSeries Reservado Reservado Reservado Firewall
Tabela 1 - Faixa de Endereos dos hosts TCP/IP com mscara /27
1 byte 2 byte X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X
3 byte X X X X
4 byte Xx000001 Xx000010 Xx000011 Xx000100
host 1o. 2o. 3o. 4o.
X Xx000101 5o. X Xx000110 6o. X Xx000111 7o. X Xx001000 8o. X Xx001001 9o. X Xx001010 10o. X ... ... X xx110111 55o. X X xx111011 59o. Firewall X X xx111110 62o. Firewall Tabela 2- Faixa de Endereos dos hosts TCP/IP com mscara /26
Tipo do host Ethernet 0/0 CPE Primesys do site principal Ethernet 0/0 CPE EBT/RTM do site principal Ethernet 0/0 CPE Primesys do site backup Ethernet 0/0 CPE EBT/RTM do site backup HSRP 1o. Servidor DNS 2o. Servidor DNS 1o. Servidor MQSeries 2o. Servidor MQSeries Reservado ... Switch
Atualizao: 23/5/2013 14:24 *
Pgina 24 de 104
VLAN das IFs

A VLAN das IF possuem no mximo 14 hosts para cada prefixo /28. As faixas de hosts recomendadas para estas subredes esto ilustradas nas Tabela 3 e Tabela 4. 1 byte 2 byte 3 byte 4 byte host Tipo do host X X X xxxx0001 1o. Ethernet 0/0 CPE Primesys X X X xxxx0010 2o. Ethernet 0/0 CPE EBT/RTM X X X xxxx0011 3o. HSRP X X X xxxx0100 4o. 1o. switch X X X xxxx0101 5o. 2o. switch X X X xxxx0110 6o. 1o. Servidor DNS X X X xxxx0111 7o. 2o. Servidor DNS X X X xxxx1000 8o. 1o. Servidor MQSeries X X X xxxx1001 9o. 2o. Servidor MQSeries X X X xxxx1010 10o. Reservado X X X ... ... Reservado o X X X xxxx1101 13 . Reservado X X X xxxx1110 14o. Firewall Tabela 3 - Faixa de Endereos dos hosts TCP/IP das IF com mscara /28
1 byte X X X X X X X X X X X X X X X X
2 byte 3 byte 4 byte host Tipo do host X X xxx00001 1o. Ethernet 0/0 CPE Primesys do site principal X X xxx00010 2o. Ethernet 0/0 CPE EBT/RTM do site principal X X xxx00011 3o. Ethernet 0/0 CPE Primesys do site backup X X xxx00100 4o. Ethernet 0/0 CPE EBT/RTM do site backup X X xxx00101 5o. HSRP X X xxx00110 6o. 1o. Servidor DNS X X xxx00111 7o. 2o. Servidor DNS X X xxx01000 8o. 1o. Servidor MQSeries X X xxx01001 9o. 2o. Servidor MQSeries X X xxx01010 10o. Reservado X X ... ... ... X X xxx10111 22o. Switch X X o X X xxx11010 26 . Firewall X X X X xxx11110 30o. Firewall Tabela 4 - Faixa de Endereos dos hosts TCP/IP das IFs com mscara /27
Atualizao: 23/5/2013 14:24 *
Pgina 25 de 104
ROTEAMENTO DA RSFN
As concessionrias garantem que as rotas das VPN das Entidades Participantes da RSFN no sero divulgadas para a Internet. A concessionria no deve interferir na Poltica de Roteamento das Entidades Participantes da RSFN. O GT-Rede definiu que todo o trfego das informaes de entrada das Entidades Participantes no ter preferncia entre os circuitos das duas concessionrias; o mesmo se aplica para todo o trfego das informaes de sada das Entidades Participantes, que no tero preferncia entre os circuitos, dividindo o trfego entre as duas concessionrias. Este controle feito pelo protocolo de roteamento BGP responsvel pelo roteamento dos pacotes entre os CPE e as concessionrias.
Roteamento para o Perfil A e B (Modelo 2)

Apenas um site com dois CPE de cada concessionria ou site Principal e Backup com apenas um CPE em cada.
Figura 9 - Topologia com dois sites, porm com apenas dois CPE
Neste tipo de conexo, a Entidade receber apenas um prefixo de endereamento IP e ser cadastrado no DNS um registro com apenas um prefixo. Internamente dever ser utilizado NAT sob total controle da Entidade. Na rede local da Entidade, o segmento que interliga os CPEs e a clula de segurana protocolo de roteamento dinmico, sendo utilizado apenas roteamento esttico. no possui nenhum
Como nesse segmento de rede local existem dois roteadores, ser implementada a tecnologia HSRP. Desta forma, os hosts tero alternativas de acesso externo em caso de falha de um roteador, sem necessidade de configurao
manual. Os dois roteadores possuiro alocao de endereos das interfaces Ethernet, porm ser alocado um terceiro endereo virtual, que corresponder ao HSRP. Este endereo virtual dever ser o mesmo em ambos os roteadores e corresponder ao default gateway dos hosts deste segmento de rede.
Roteamento para o Perfil C (Modelo 1)

Conexo entre o site Principal e Backup feita por link interno e conexo entre a RSFN e Entidade via roteadores ou Firewall.
Figura 10 - Topologia com dois sites com interconexo pela rede interna
Para esta topologia, a Entidade ser cadastrada no DNS com dois registros de prefixo - um do site principal e outro do site backup. Sob o ponto de vista de roteamento IP, sero consideradas duas Entidades, isto , tanto no site principal como no site backup sero configurados dois CPE. Internamente dever ser utilizado NAT em ambos os sites sob total controle da Entidade. Isto significa que o pacote que sair do site backup ter um endereo diferente em relao ao site principal. Como o roteamento est ativo em ambos os sites, no caso de um dos sites ficar indisponvel, o outro continuar em funcionamento de forma transparente para a RSFN.
Atualizao: 23/5/2013 14:24 *
Pgina 27 de 104
Roteamento para o Perfil D com roteadores da Entidade no barramento RSFN (Modelo 3)

Conexo entre o site Principal e Backup feita pela extenso do barramento LAN da RSFN e conexo entre a RSFN e Entidade via roteadores (que suportem roteamento BGP).
Figura 11 - Conexo do Perfil D com roteamento iBGP

Embora neste tipo de conexo as Entidades recebam dois blocos de endereamento IP, para a RSFN ser anunciado apenas um nico prefixo (no caso de IF ser o prefixo /27 e no caso de Cmara ou Provedor PSTI ser o prefixo /26). Caso sejam utilizados roteadores entre o barramento da RSFN e a rede da Entidade, pode ser utilizado roteamento BGP entre todos os roteadores. Um dos roteadores (de cada site) dever ser configurado como routereflector (para reduzir o nmero de conexes IBGP, ficando transparente para a concessionria a existncia de um ou mais roteadores da Entidade no barramento RSFN). Os demais roteadores deste barramento sero configurados como route-reflector-client e tero como neighbor IBGP apenas os dois roteadores da Entidade (os route-reflector), como ilustrado na Figura 6 - Conexo do Perfil D com roteamento iBGP. Os roteadores das Entidades devero utilizar os endereos da interface local para as configuraes BGP, em vez de utilizar interfaces loopbacks. Desta forma, a configurao do HSRP dever ser nos roteadores da Entidade em vez de ser nos roteadores CPE.
Atualizao: 23/5/2013 14:24 *
Pgina 28 de 104
Roteamento para o Perfil D com roteadores da Entidade no barramento RSFN e NAT do 2 prefixo /28 (Modelo 6)
Conexo entre o site Principal e Backup feita pela extenso do barramento LAN da RSFN, conexo entre a rede RSFN e Entidade via roteadores (que suportem roteamento BGP) segmentando o prefixo /27 em dois prefixos /28 internamente na rede da Entidade. O primeiro prefixo ser utilizado para a VLAN das interfaces ethernet dos roteadores CPE e o segundo prefixo ser utilizado para o pool de NAT. Divulgao do segundo prefixo /28 a partir de roteadores internos para que os CPE possam alcanar os endereos deste prefixo a partir dos route-reflectors.
Figura 12 -Topologia com dois sites, quatro roteadores da Entidade e NAT interno
Este modelo visa atender necessidade de uma entidade ter roteamento BGP em sua estrutura interna (modelo 3) utilizando route-reflectors e realizar o NAT em um dispositivo de rede interna e no na VLAN das interfaces ethernet dos roteadores CPE utilizando ARP (modelo 5). Para a RSFN, ser anunciado apenas um nico prefixo (no caso de IF ser o prefixo /27 e no caso de Cmara/BACEN/Provedor PSTI ser o prefixo /26) e o grupo (grupo A/B) ser referente ao primeiro prefixo fornecido pelo BACEN (ou seja, se o primeiro prefixo for grupo A, o sumrio ser do grupo A).
Caso haja roteadores entre o barramento RSFN e a rede da Entidade, dever ser utilizado roteamento BGP entre todos os roteadores. Um dos roteadores (de cada site) dever ser configurado como route-reflector (para reduzir o nmero de conexes IBGP, ficando transparente para a concessionria a existncia de um ou mais roteadores da Entidade no barramento RSFN). Os demais roteadores deste barramento sero configurados como route-reflector-client e tero como neighbor IBGP apenas os dois roteadores da Entidade (os route-reflectors), como ilustrado na Figura 11. Os roteadores das Entidades devero utilizar os endereos da interface local para as configuraes BGP, em vez de utilizar interfaces loopbacks. Desta forma, as configuraes do HSRP, caso seja necessrio, dever ser nos roteadores da Entidade em vez de nos roteadores CPE. O route-reflector do site principal dever ter a interface de rede da VLAN RSFN com o 13 o endereo do primeiro prefixo /28 e o route-reflector do site secundrio o 14o. Apesar de, a partir dos CPE existirem dois caminhos para a o segundo prefixo /28, a opo de acesso ser tomada para o vizinho ( neighbor) com o menor endereo IP (site principal).
Roteamento para o Perfil D com firewall da Entidade no barramento RSFN (Modelo 4)

Conexo entre o site Principal e Backup feita pela extenso do barramento LAN da RSFN e a conexo entre a RSFN e a Entidade via clula de segurana (equipamentos que no suportam roteamento BGP).
Figura 13 - Conexo direta do Perfil D com a clula de segurana

A diferena entre este modelo em relao ao anterior refere-se ao fato dos equipamentos de interface entre o barramento da RSFN e o da Entidade no suportarem o protocolo de roteamento BGP (ou a Entidade optar em no utilizar este protocolo). Neste caso, dever ser configurado HSRP envolvendo os 4 CPEs (dois de cada site). O anncio do prefixo ser /27 para as IF e /26 para as demais Entidades.
Roteamento para o Perfil D com firewall da Entidade no barramento RSFN (Modelo 5)

Similar ao modelo anterior, mas segmentando o prefixo /27 em dois prefixos /28 internamente na rede da Entidade. O primeiro prefixo ser utilizado para a VLAN das interfaces ethernet dos roteadores CPE e o segundo prefixo ser utilizado para o pool de NAT. Desta forma no haver necessidade de configurar uma tabela ARP estaticamente nos firewall, sendo necessria apenas a insero de uma rota esttica nos CPE indicando o next-hop do segundo prefixo /28 . A diferena entre este modelo em relao ao modelo 4 se refere em definir dois domnios de broadcast.
Figura 14 - Topologia com dois domnios de broadcast
OBSERVAO IMPORTANTE RELATIVA AOS MODELOS 4 E 5

Tendo em vista o roteamento adotado na RSFN, os modelos 4 e 5 devero ter garantida a comunicao entre os quatro roteadores de forma a garantir que, quando ativos simultaneamente, no haja interrupo do trfego por ausncia de comunicao entre os mesmos. A interrupo da conectividade entre os dois sites, nestes modelos, poder causar perda de conectividade com a RSFN. As concessionrias devem ser consultadas para maiores detalhes sobre essa caracterstica de trfego.
Atualizao: 23/5/2013 14:24 *
Pgina 31 de 104
MODELOS DE TOPOLOGIA PARA CONEXES COM REDES INTERNAS

Foram apresentados alguns modelos de topologia para conectar o segmento da RSFN instalado em cada Entidade Participante com suas respectivas Intranets. Os modelos so: topologia de acesso com roteadores e firewalls; topologia de acesso com roteadores, firewalls e DMZ; topologia redundante com site de contingncia; topologia de redundncia mxima sem site de contingncia; topologia de redundncia mxima com site de contingncia.
Os modelos levam em considerao os aspectos de segurana, unicidade de endereos IP, converso de endereos IP utilizados nas redes internas e na RSFN, resoluo de nomes via servio de DNS, redundncia e balanceamento de carga. A escolha de um dos modelos indicados fica a cargo de cada Entidade, levando-se em conta a anlise de custos X benefcios. Topologia de acesso com Firewall Este modelo, considerado o modelo bsico para a interligao entre o segmento da RSFN com a Intranet do Participante, apresentado na Figura 15.
Figura 15 - Topologia de Acesso com Firewall
Atualizao: 23/5/2013 14:24 *
Pgina 32 de 104
As seguintes observaes so pertinentes: em hiptese alguma, o segmento da RSFN deve estar interligado ao segmento da Intranet sem a utilizao de servidores de Firewall (servidores de Firewall especializados ou roteadores com funo de Firewall ou que suportem a configurao de listas de acesso); para evitar que o Firewall seja ponto nico de falha, a Entidade deve considerar a utilizao de equipamentos redundantes; o balanceamento de carga entre os servidores de Firewall pode estar baseado em solues de alta disponibilidade, mecanismos de Failover ou duplicao de tabelas e permisso de acesso em conjunto com protocolos de roteamento dinmico; os servidores da RSFN podem estar fisicamente instalados em um segmento isolado ou podem fazer parte dos segmentos da Intranet da Entidade; os servidores de DNS da RSFN devem fazer parte do segmento da RSFN de cada Entidade, de forma a se evitar possveis problemas de converso de endereos; somente o segmento da RSFN deve utilizar endereos no padro fornecido pela RSFN. Os demais segmentos de rede devem utilizar endereos da Intranet da Entidade; os servidores da RSFN sero configurados com endereos lgicos da RSFN no servidor de DNS de seu respectivo domnio. O servidor de Firewall dever executar a converso de endereos via NAT, no formato 1 para 1, ou seja, um endereo lgico da RSFN para cada endereo fsico utilizado na Intranet; todas as estaes de trabalho da Intranet que desejarem acessar servios da RSFN, tero seus endereos da Intranet convertidos para um nico endereo da RSFN. Esta converso tambm dever ser executada no servidor de Firewall, configurado com a funo NAT; os roteadores da Intranet devero ser configurados com rota especfica para os endereos vlidos na RSFN a serem fornecidos pelo Banco Central. Essas rotas devero apontar para o servidor de Firewall utilizado na interligao da Intranet com a RSFN; Os servidores de Firewall devero ser configurados com rota especfica para o endereo do host hsrp.sub-domnio.rsfn.net.br.
Atualizao: 23/5/2013 14:24 *
Pgina 33 de 104
Topologia de acesso com roteadores, Firewall e DMZ Este modelo bastante similar ao anterior, diferenciando-se apenas pela utilizao de roteadores internos para isolar o segmento da RSFN dos servidores de Firewall. A Figura 16 ilustra esta topologia.
Figura 16 - Topologia de Acesso com Roteadores, Firewall e DMZ

As seguintes observaes so pertinentes: so utilizados roteadores internos entre o segmento da RSFN e os servidores de Firewall; em hiptese alguma, o segmento da rede RSFN deve estar interligado ao segmento da Intranet sem a utilizao de servidores de Firewall (servidores de Firewall especializados ou roteadores com funo de Firewall ou que suportem a configurao de listas de acesso); para evitar que o Firewall seja ponto nico de falha, a Entidade deve considerar a utilizao de equipamentos redundantes; o balanceamento de carga entre os servidores de Firewall pode estar baseado em solues de alta disponibilidade, mecanismos de Failover ou duplicao de tabelas e permisso de acesso em conjunto com protocolos de roteamento dinmico; os servidores da RSFN podem estar fisicamente instalados em um segmento isolado ou podem fazer parte dos segmentos da Intranet da Entidade;
Atualizao: 23/5/2013 14:24 *
Pgina 34 de 104
os servidores de DNS da RSFN devem fazer parte do segmento da RSFN de cada Entidade, de forma a evitar possveis problemas de converso de endereos; somente o segmento da RSFN deve utilizar endereos no padro fornecido pela RSFN. Os demais segmentos de rede devem utilizar endereos da Intranet da Entidade; os servidores da RSFN sero configurados com endereos lgicos da RSFN no servidor de DNS de seu respectivo domnio. O servidor de Firewall dever executar a converso de endereos via NAT, no formato 1 para 1, ou seja, um endereo lgico da RSFN para cada endereo fsico utilizado na Intranet; todas as estaes de trabalho da Intranet que desejarem acessar servios da RSFN, tero seus endereos da Intranet convertidos para um nico endereo da RSFN. Esta converso tambm dever ser executada no servidor de Firewall, configurado com a funo NAT; os roteadores da Intranet devero ser configurados com rota especfica para os endereos vlidos na RSFN a ser fornecido pelo Banco Central. Estas rotas devero apontar para o servidor de Firewall utilizado na interligao da Intranet com a RSFN; os servidores de Firewall devero ser configurados com rota especfica para o endereo do host hsrp.sub-domnio.rsfn.net.br.
Atualizao: 23/5/2013 14:24 *
Pgina 35 de 104
Topologia redundante com site de contingncia Neste modelo so utilizados dois sites: um principal e um de contingncia, conforme ilustrado na Figura 17. Cabe Entidade definir se os dois estaro ativos ou se o site de contingncia somente ser acionado em caso de falhas no site principal.
Figura 17 - Topologia Redundante com Site de Contingncia
As seguintes observaes so pertinentes: so utilizados switches de contedo com configurao de GLB ( Global Load Balance) para realizar o balanceamento de carga entre os servidores que oferecem servios para a RSFN; em hiptese alguma, o segmento da rede RSFN deve estar interligado ao segmento da Intranet sem a utilizao de servidores de Firewall (servidores de Firewall especializados ou roteadores com funo de Firewall ou que suportem a configurao de listas de acesso); para evitar que o Firewall seja ponto nico de falha, a Entidade deve considerar a utilizao de equipamentos redundantes, neste caso um em cada localidade; o balanceamento de carga entre os servidores de Firewall pode estar baseado em solues de alta disponibilidade; a interligao entre os segmentos da rede interna pode ser executada utilizando-se diferentes tecnologias de LANs e MANs; os servidores da RSFN podem estar fisicamente instalados em um segmento isolado ou podem fazer parte dos segmentos da Intranet da Entidade;
Atualizao: 23/5/2013 14:24 *
Pgina 36 de 104
RSFN - Manual de Redes do SFN Verso 7.3 os servidores de DNS da RSFN devem fazer parte do segmento da RSFN de cada Entidade, de forma a se evitar possveis problemas de converso de endereos;
somente o segmento da RSFN deve utilizar endereos no padro fornecido pela RSFN. Os demais segmentos de rede devem utilizar endereos da Intranet da Entidade; os servidores da RSFN sero configurados com endereos lgicos da RSFN no servidor de DNS de seu respectivo domnio. O servidor de Firewall dever executar a converso de endereos via NAT, no formato 1 para 1, ou seja, um endereo lgico da RSFN para cada endereo fsico utilizado na Intranet; todas as estaes de trabalho da Intranet que desejarem acessar servios da RSFN, tero seus endereos da Intranet convertidos para um nico endereo da RSFN. Esta converso tambm dever ser executada no servidor de Firewall, configurado com a funo NAT; os roteadores da Intranet devero ser configurados com rota especfica para os endereos vlidos na RSFN a ser fornecido pelo Banco Central. Estas rotas devero apontar para o servidor de Firewall utilizado na interligao da Intranet com a RSFN; os servidores de Firewall devero ser configurados com rota especfica para o endereo do host hsrp.sub-domnio.rsfn.net.br.
Atualizao: 23/5/2013 14:24 *
Pgina 37 de 104
Topologia de redundncia mxima sem site de contingncia Neste modelo a Entidade possui contingncia de todos os equipamentos utilizados em um determinado site mas no possui site de contingncia / backup. A Figura 18 ilustra este modelo:
Figura 18 - Topologia de Redundncia Mxima Sem Site de Contingncia

As seguintes observaes so pertinentes: so utilizados switches de contedo com configurao de GLB (Global Load Balance) e FLB (Firewall Load Balance) para realizar o balanceamento de carga entre os servidores que oferecem servios para a RSFN e entre os servidores de Firewall; em hiptese alguma, o segmento da rede RSFN deve estar interligado ao segmento da Intranet sem a utilizao de servidores de Firewall (servidores de Firewall especializados ou roteadores com funo de Firewall ou que suportem a configurao de listas de acesso); para evitar que o Firewall seja ponto nico de falha, a Entidade deve considerar a utilizao de equipamentos redundantes, neste caso um em cada localidade; os servidores de DNS da RSFN devem fazer parte do segmento da RSFN de cada Entidade, de forma a se evitar possveis problemas de converso de endereos;
Atualizao: 23/5/2013 14:24 *
Pgina 38 de 104
somente o segmento da RSFN deve utilizar endereos no padro fornecido pela RSFN. Os demais segmentos de rede devem utilizar endereos da Intranet da Entidade; os servidores da RSFN sero configurados com endereos lgicos da RSFN no servidor de DNS de seu respectivo domnio. O servidor de Firewall dever executar a converso de endereos via NAT, no formato 1 para 1, ou seja, um endereo lgico da RSFN para cada endereo fsico utilizado na Intranet; todas as estaes de trabalho da Intranet que desejarem acessar servios da RSFN, tero seus endereos da Intranet convertidos para um nico endereo da RSFN. Essa converso tambm dever ser executada no servidor de Firewall, configurado com a funo NAT; os roteadores da Intranet devero ser configurados com rota especfica para os endereos vlidos na RSFN a ser fornecido pelo Banco Central. Essas rotas devero apontar para o servidor de Firewall utilizado na interligao da Intranet com a RSFN; os servidores de Firewall devero ser configurados com rota especfica para o endereo do host hsrp.sub-domnio.rsfn.net.br.
Topologia de redundncia mxima com site de contingncia Neste modelo todos os equipamentos utilizados em um determinado site so contingenciados e existe contingncia de site. Cabe Entidade definir se os dois estaro ativos ou se o site de contingncia somente ser acionado em caso de falhas no principal. A Figura 19 ilustra esta topologia.
Figura 19 - Topologia de Redundncia Mxima Com Site de Contingncia
Atualizao: 23/5/2013 14:24 *
Pgina 39 de 104
RSFN - Manual de Redes do SFN Verso 7.3 As seguintes observaes so pertinentes:
so utilizados switches de contedo com configurao de GLB ( Global Load Balance) e FLB (Firewall Load Balance) para realizar o balanceamento de carga entre os servidores que oferecem servios para a RSFN e entre os servidores de Firewall; em hiptese alguma, o segmento da rede RSFN deve estar interligado ao segmento da Intranet sem a utilizao de servidores de Firewall (servidores de Firewall especializados ou roteadores com funo de Firewall ou que suportem a configurao de listas de acesso); interligao entre os segmentos da rede interna pode ser executada utilizando-se diferentes tecnologias de LANs e MANs; os servidores da RSFN podem estar fisicamente instalados em um segmento isolado ou pode fazer parte dos segmentos da Intranet da Entidade; os servidores de DNS da RSFN devem fazer parte do segmento da RSFN de cada Entidade, de forma a se evitar possveis problemas de converso de endereos; somente o segmento da RSFN deve utilizar endereos no padro fornecido pela RSFN. Os demais segmentos de rede devem utilizar endereos da Intranet da Entidade; os servidores da RSFN sero configurados com endereos lgicos da RSFN no servidor de DNS de seu respectivo domnio. O servidor de Firewall dever executar a converso de endereos via NAT, no formato 1 para 1, ou seja, um endereo lgico da RSFN para cada endereo fsico utilizado na Intranet; todas as estaes de trabalho da Intranet que desejar acessar servios da RSFN, tero seus endereos de Intranet convertidos para um nico endereo da RSFN. Essa converso tambm dever ser executada no servidor de Firewall, configurado com a funo NAT; os roteadores da Intranet devero ser configurados com rota especfica para os endereos vlidos na RSFN a ser fornecido pelo Banco Central. Essas rotas devero apontar para o servidor de Firewall utilizado na interligao da Intranet com a RSFN; os servidores de Firewall devero ser configurados com rota especfica para o endereo do host hsrp.sub-domnio.rsfn.net.br.
SERVIDOR DE TEMPO (TIME SERVER)

Est disponvel um servidor de tempo no BACEN que poder ser utilizado pelos Participantes da RSFN para o sincronismo de horrio dos servidores MQSeries e demais servidores da RSFN atravs do protocolo NTP. Abaixo seguem descritos os dados necessrios para acesso a este Servio. Servidor: ntp.bcb.rsfn.net.br Port de acesso: 123 (UDP)
SERVIDOR WEB DA RSFN

O Banco Central disponibilizou na RSFN um servidor Web onde esto publicadas as informaes referentes RSFN. Esse servio pode ser acessado atravs da rede pelo nome www.rsfn.net.br.
Atualizao: 23/5/2013 14:24 *
Pgina 40 de 104
INFRA-ESTRUTURA DE MENSAGERIA
Diretrizes bsicas
A mensageria baseada em um software gerenciador de filas, o MQSeries (ou simplesmente MQ). Recomenda-se utilizar a verso mais atual deste software, entretanto isto no requisito de funcionamento, sendo possvel a comunicao entre diferentes verses. No ser permitida a utilizao de outros aplicativos para transferncia de mensagens, que no sejam de uso comum por todas as instituies participantes. No haver conexes do MQSeries do tipo cliente-servidor entre os participantes da RSFN, todos devero se conectar a rede usando o modo servidor-servidor. As conexes entre provedores PSTI (aglomerados, conglomerados e provedores de contingncia) e seus agregados podem ser do tipo cliente-servidor.. Para o trfego de mensagens na RSFN, foram estabelecidos quatro domnios de sistemas: SPB01, MES01, MES02 e MES03. O domnio SPB01 diz respeito ao trfego de mensagens dos grupos de servios do Sistema de Pagamentos Brasileiro. Os domnios de sistema da Mensageria Sisbacen (MES01, MES02 e MES03) contm os grupos de mensagens no relacionadas a pagamentos. Para o envio das mensagens nesses domnios, sero utilizados canais, filas, endereos (DNS) e portas especficas, ou seja, diferentes daquelas utilizadas pelo SPB01. A permisso para trfego das mensagens nos domnios dar-se- conforme regulamentado no volume 3 do Catlogo de Mensagens e de Arquivos da RSFN, para cada grupo de servios. Em todos os domnios de sistema, as instituies sero identificadas pelo CNPJ bsico de oito posies ou, no caso dos participantes da Mensageria do SPB01, pelo ISPB. O Banco Central ser identificado por seu ISPB, ou seja, 00038166. O BACEN usar um conjunto de filas (objetos MQ) para cada instituio, diferenciados de acordo com os domnios de sistema utilizado. As instituies utilizaro os mesmos certificados digitais para os domnios MES01, MES02 e MES03, observando a separao entre os ambientes de homologao e de produo. Portanto, um certificado digital ativo para o domnio MES01 estar ativo, automaticamente, nos domnios MES02 e MES03. No ser possvel ativar certificados distintos para os domnios MES01, MES02 e MES03 em um mesmo ambiente (de homologao ou de produo). Para o gerenciamento de certificados digitais, consulte o uso das mensagens do grupo de servios GEN no catlogo de mensagens e arquivos da RSFN.
Definies do MQseries
Ser ignorada a fila informada no campo ReplyToQ do header do MQSeries para as respostas geradas pelas aplicaes. Ser usada a fila de resposta padro previamente definida. A fila informada no campo ReplyToQ do header do MQ ser usada apenas para as mensagens geradas automaticamente pelo Queue Manager (reports COA e COD). O gerenciador de filas informado no campo ReplyToQMgr deve ser informado no formato QM.ISPBRemoto.seq . No ser permitida a gravao de mensagens nas filas de uma instituio definidas no BACEN por outra entidade que no seja a prpria, exceto na situao de contingncia operada pelo BACEN e autorizada pela instituio. Sero aceitas para processamento apenas as mensagens contidas na(s) fila(s) da respectiva instituio que as gerou. Ou seja, o BACEN processar apenas as mensagens cujo contedo seja da prpria instituio que as emitiu, exceto na situao de contingncia operada pelo BACEN e autorizada pela instituio.
No ser utilizada a segmentao de mensagens no mbito do MQSeries. A segmentao de mensagens, quando houver, ocorrer da forma disposta no Catlogo de Mensagens e Arquivos da RSFN, no mbito do parser XML. Os ambientes de homologao e de produo devero utilizar queue managers distintos, tanto no domnio de sistema SPB quando nos domnios de sistema MES. Todas as mensagens e arquivos trafegaro na RSFN obrigatoriamente em codificao UNICODE UTF-16 BE. A instalao que no o utiliza internamente dever providenciar a converso para cdigo interno ao receber mensagens e o contrrio ao enviar mensagens. No poder ser usada a converso automtica de cdigo provida pelo queue manager porque a mensagem cifrada. Logo, necessrio que ocorra o processo de decifragem antes da converso de cdigo. O tamanho mximo de uma mensagem ser 4 Mbytes, incluindo o header do MQSeries, o header de segurana e a codificao do texto XML em UNICODE UTF-16 BE. De acordo com o Artigo 27 do regulamento do STR, institudo pela Circular 3.488 de 18.03.2010, o COA (Confirm on Arrival) emitido pelo Banco Central o protocolo de recebimento da mensagem. Dessa forma, os campos importantes da mensagem COA (e COD, opcionalmente), emitida pelo Banco Central, que devem ser guardados pelos participantes para fins de comprovao de emisso so: MsgId (MQBYTE24) AccountingToken (MQBYTE32) ApplIdentityData (MQCHAR32) PutDate (MQCHAR8) PutTime (MQCHAR8)
Padro de nomes para objetos MQSeries que ser usado no ambiente do Banco Central, dos prestadores de servios e das demais instituies participantes do SPB01, MES01, MES02 e MES03: Filas locais (na IF):
BC/Prestador requisita IF BC/ Prestador responde IF BC/ Prestador reporta IF BC/ Prestador envia mensagens de suporte IF Filas remotas (na IF):
QL.REQ.ISPBRemoto.ISPBLocal.seq QL.RSP.ISPBRemoto.ISPBLocal.seq QL.REP.ISPBRemoto.ISPBLocal.seq QL.SUP.ISPBRemoto.ISPBLocal.seq
IF requisita ao BC/ Prestador IF responde ao BC/ Prestador IF reporta ao BC/ Prestador IF envia mensagens de suporte ao BC/ Prestador
QR.REQ.ISPBLocal.ISPBRemoto.seq QR.RSP.ISPBLocal.ISPBRemoto.seq REP.ISPBLocal.ISPBRemoto.seq QR.SUP.ISPBLocal.ISPBRemoto.seq
Atualizao: 23/5/2013 14:24 *
Pgina 42 de 104
Filas locais (no BC/Prestador):
IF requisita ao BC/Prestador IF responde ao BC/Prestador IF reporta ao BC/Prestador IF envia mensagens de suporte ao BC/Prestador Filas remotas (no BC/Prestador):
QL.REQ.ISPBRemoto.ISPBLocal.seq QL.RSP.ISPBRemoto.ISPBLocal.seq QL.REP.ISPBRemoto.ISPBLocal.seq QL.SUP.ISPBRemoto.ISPBLocal.seq
BC/Prestador requisita IF BC/Prestador responde IF BC/Prestador reporta IF BC/Prestador envia mensagens de suporte IF
QR.REQ.ISPBLocal.ISPBRemoto.seq QR.RSP.ISPBLocal.ISPBRemoto.seq QR.REP.ISPBLocal.ISPBRemoto.seq QR.SUP.ISPBLocal.ISPBRemoto.seq
Filas de Transmisso: QM.ISPBRemoto.seq
Queue Manager Alias Name: QM.ISPBLocal.seq seq ser igual a 01 para o domnio SPB01; seq ser igual a 02 para o domnio MES01; seq ser igual a 03 para o domnio MES02; e seq ser igual a 04 para o domnio MES03. BACEN a
Exemplo: no domnio MES01, a fila de requisio da instituio 99999999 no QL.REQ.99999999.00038166.02 e o queue manager da instituio 99999999 QM. 99999999.02.
Canais Sender: Receiver: CISPBLocal.ISPBRemoto.n CISPBRemoto.ISPBLocal.n
n ser igual a 1 para o domnio SPB01; n ser igual a 2 para o domnio MES01; n ser igual a 3 para o domnio MES02; e n ser igual a 4 para o domnio MES03.
Exemplo: no domnio MES01, no queue manager da IF, temos o canal receptor (receiver) C000038166. 99999999.2 (trfego do BACEN IF 99999999) e o canal emissor (sender) C99999999.00038166.2 (trfego da IF ao BACEN).
Atualizao: 23/5/2013 14:24 *
Pgina 43 de 104
Endereos de hostnames Produo SPB01: mqs01.zzzzzzz.rsfn.net.br Homologao SPB01: mqs02.zzzzzzz.rsfn.net.br Produo MES01, MES02, MES03: mqm01.zzzzzzz.rsfn.net.br Homologao MES01, MES02, MES03: mqm02.zzzzzzz.rsfn.net.br No domnio SPB01, o Banco Central utilizar para os ambientes de produo e de homologao a porta 1414. Para as instituies, apenas as portas 1414 a 1421 podero ser usadas para conexo nesse domnio. No domnio MES01, o Banco Central utilizar para os ambientes de produo e de homologao a porta 12422. Para as instituies, apenas as portas 12422 a 12429 podero ser usadas para conexo nesse domnio. No domnio MES02, o Banco Central utilizar para os ambientes de produo e de homologao a porta 13422. Apenas as portas 13422 a 13429 podero ser usadas para conexo nesse domnio. E no domnio MES03, o Banco Central utilizar para os ambientes de produo e de homologao a porta 14422. Apenas as portas 14422 a 14429 podero ser usadas para conexo nesse domnio.
Exemplo: o endereo do MQSeries do Banco Central para o ambiente de produo dos domnios MES o mqm01.bcb.rsfn.net.br, e o endereo de homologao o mqm02.bcb.rsfn.net.br. Observaes: 1) ISPBRemoto o ISPB ou o CNPJ base da instituio a qual pertence o queue manager remoto, com 8 dgitos; 2) ISPBLocal o ISPB ou o CNPJ base da instituio qual pertence o queue manager local, com 8 dgitos; 3) zzzzzzz a identificao DNS da instituio na RSFN; 4) Definir todos os objetos MQ usando letras MAISCULAS; 5) As filas de suporte so especficas para uso das equipes de suporte ao queue manager dos participantes do sistema; 6) A diferenciao dos domnios MES baseia-se na porta TCP de conexo do MQSeries, alm do endereo na RSFN; Nos domnios MES, diferentemente do SPB01, os canais emissores e receptores do BACEN no necessariamente ficaro conectados todo o tempo, ocorrendo timeout e retorno do canal ao status de inatividade em caso de trfego inexistente por determinado perodo de tempo. Para teste da conectividade, a IF deve enviar uma mensagem GEN0001.
7)
Para se conectar RSFN, cada instituio dever definir um Queue Manager Alias Name da seguinte forma: DEFINE QREMOTE (QM.ISPBLocal.seq) DESCR('QUEUE MANAGER ALIAS NAME) RNAME (' ) RQMNAME ('nome real do queue manager da instituio') XMITQ (' ) REPLACE
ATENO: Para os aglomerados e conglomerados que concentram mais de uma instituio num nico queue manager, o padro para o nome da fila de transmisso passa a ser QM.ISPBLocal.ISPBRemoto.seq. Alm disso, para esses ambientes e para os que esto
conectados a eles (BC e Prestadores), h a incluso do conceito de ReplyToQ alias para permitir o retorno dos reports solicitados. O uso do ReplyToQ alias permite que as aplicaes no precisem colocar o nome do queue manager no campo ReplyToQMgr do header do MQ e retira da aplicao a "deciso" sobre qual ReplyToQmgr apontar no MQMD para receber a resposta. Para isso, a aplicao informa o alias no ReplyToQ e deixa o ReplyToQmgr em branco, e deve ser definido o seguinte objeto no MQ para cada instituio qual se est conectado:
DEFINE QREMOTE (nome da reply -to-queue alias escolha da instituio)
DESCR('REPLYTOQUEUE ALIAS NAME) RNAME (' nome da fila local de report ou QL.REP.ISPBRemoto.ISPBLocal.seq) RQMNAME (QM.ISPBRemoto.seq ou QM.ISPBRemoto.ISPBLocal.seq) XMITQ (' ) REPLACE A deciso do nome do RQMNAME baseada no nome da fila de transmisso do queue manager remoto para o queue manager local. Ou seja, no ambiente do conglomerado ou aglomerado o RQMNAME sempre QM.ISPBRemoto.seq, e nos ambientes aos quais o conglomerado ou aglomerado est conectado, QM.ISPBRemoto.ISPBLocal.seq.
HEADER DO MQSERIES (MQMD) Alguns campos do header das mensagens que trafegam no MQSeries (MQMD) devero ser formatados de acordo com o definido a seguir: Report: ativar requisio dos reports do tipo COA (Confirm on Arrival), COD (Confirm on Delivery) e Report Exception MsgType: usar opo request para uma requisio, reply para resposta a uma requisio e report para um report Encoding: usar valor nativo da mquina onde est o MQ (opo native do MQ) Persistence: usar opo Persistence Format: usar opo NONE CodedCharSetId: usar um dos listados abaixo: 37, 256, 273-275, 277-278, 280, 282, 284-285, 290, 297, 367, 420, 423-424, 437, 500, 813, 819, 833, 836, 838, 850-852, 855-858, 860-866, 869-871, 874-875, 880, 891, 895, 897, 903-905, 912, 915-916, 920, 923-924, 1004, 1009-1021,1023, 1025-1027, 1040-1043, 1046-1047, 1051, 1088-1089, 1097, 1100-1107, 1114-1115, 1126, 1140, 1148, 1250-1256, 1275, 5348 ReplyToQ: informar o nome da fila, ou o ReplyToQ alias definido no ambiente da instituio, que receber as mensagens geradas automaticamente pelo Queue Manager, tais como COA, COD, Report Exceptions. ReplyToQMgr: informar o queue manager alias name, de acordo (QM.ISPBLocal.seq) ou deixar em branco no caso de usar ReplyToQ alias.
RSFN - Rede do Sistema Financeiro Nacional * RSFN_Manual_de_Redes_do_SFN_Ver_7.3.1.docx *
com
definido anteriormente
Pgina 45 de 104
Atualizao: 23/5/2013 14:24 *
ATRIBUTOS PARA OBJETOS DO MQSERIES
Atributos Comuns a Todas as Filas ATRIBUTO ClusterName ClusterNamelist DefBind DefPersistence DefPriority InhibitGet InhibitPut Qdesc QName QType Scope DEFAULT CONSENSO na na na YES default default default livre
NO 0 ENABLED ENABLED
QMGR
livre
Tabela 5 - Atributos Comuns a Todas as Filas

Atributos de Filas Locais ATRIBUTO Archive BackoutRequeueQName BackoutThreshold CreationDate CreationTime CurrentQDepth DefinitionType DefInputOpenOption DistLists HardenGetBackout IndexType InitiationQName MaxMsgLength MaxQDepth MsgDeliverySequence OpenInputCount OpenOutputCount ProcessName QDepthHighEvent QDepthHighLimit QDepthLowEvent QDepthLowLimit QDepthMaxEvent QServiceInterval QServiceIntervalEvent RetentionInterval
DEFAULT livre livre livre livre livre livre livre livre livre HARDENED livre na 4M mximo FIFO livre livre livre livre livre livre livre livre livre livre livre
Pgina 46 de 104
TEMPDYN NO NO NONE 4M 5000 PRIORITY
DISABLED 80 (%) DISABLED 40(%) ENABLED 999999999 NONE 999999999

Atualizao: 23/5/2013 14:24 *
Shareability StorageClass TriggerControl TriggerData TriggerDepth TriggerMsgPriority TriggerType Usage
DEFAUT'
1 0 FIRST NORMAL
livre livre livre livre livre livre livre livre
Tabela 6 - Atributos de Filas Locais

Atributos de Filas Remotas ATRIBUTO RemoteQMgrName RemoteQName XmitQName
DEFAULT
Tabela 7 - Atributos de Filas Remotas

Atributos de Alias Queues ATRIBUTO BaseQName
DEFAULT
Tabela 8 - Atributos de Alias Queues

Atributos de NameLists ATRIBUTO AlterationDate AlterationTime NameCount NamelistDesc NamelistName Names
DEFAULT livre livre livre livre livre livre
Tabela 9 - Atributos de NameLists
Atualizao: 23/5/2013 14:24 *
Pgina 47 de 104
Atributos de Processos ATRIBUTO AlterationDate AlterationTime ApplId ApplType EnvData ProcessDesc ProcessName UserData
DEFAULT livre livre livre livre livre livre livre livre
Tabela 10 - Atributos de Processos

Atributos de Queue Managers ATRIBUTO AuthorityEvent ChannelAutoDef ChannelAutoDefEvent ChannelAutoDefExit ClusterWorkloadData ClusterWorkloadExit ClusterWorkloadLength CodedCharSetId CommandInputQName CommandLevel DeadLetterQName DefXmitQName DistLists InhibitEvent LocalEvent MaxHandles MaxMsgLength MaxPriority MaxUncommittedMsgs PerformanceEvent Platform QmgrDesc QmgrIdentifier QmgrName RemoteEvent RepositoryName RepositoryNamelist StartStopEvent SyncPoint TriggerInterval DEFAULT DISABLED DISABLED DISABLED
DISABLED DISABLED 256 4 Mb 9 10000 DISABLED
DISABLED livre ENABLED AVAILABLE 999999999
livre livre livre livre na na na livre livre na livre livre livre livre livre livre 4Mb livre livre livre livre livre livre padro livre livre livre livre livre
Tabela 11 - Atributos de Queue Managers
Atualizao: 23/5/2013 14:24 *
Pgina 48 de 104
Atributos de Canais ATRIBUTO Auto start (AUTOSTART) Batch interval (BATCHINT) Batch size (BATCHSZ) Channel name (CHANNEL) Channel type (CHLTYPE) CICS profile name Cluster (CLUSTER) Cluster namelist (CLUSNL) Connection name (CONNAME) Convert message (CONVERT) Description (DESCR) Disconnect interval (DISCINT) Heartbeat interval (HBINT) Long retry count (LONGRTY) Long retry interval (LONGTMR) LU 6.2 mode name (MODENAME) LU 6.2 transaction program name (TPNAME) Maximum message length (MAXMSGL) Maximum transmission size Message channel agent name (MCANAME) Message channel agent type (MCATYPE) Message channel agent user ident(MCAUSER) Message exit name (MSGEXIT) Message exit user data (MSGDATA) Message-retry exit name (MREXIT) Message-retry exit user data (MRDATA) Message retry count (MRRTY) Message retry interval (MRTMR) Nonpersistent message speed (NPMSPEED) Network-connection priority (NETPRTY) Password (PASSWORD) PUT authority (PUTAUT) Queue manager name (QMNAME) Receive exit name (RCVEXIT) Receive exit user data (RCVDATA) Security exit name (SCYEXIT) Security exit user data (SCYDATA) Send exit name (SENDEXIT) Send exit user data (SENDDATA) Sequence number wrap (SEQWRAP) Sequential delivery Short retry count (SHORTRTY) Short retry interval (SHORTTMR) Target system identifier Transmission queue name (XMITQ) Transport type (TRPTYPE)
DEFAULT DISABLED 0 50
NA default default padro padro livre
NO 6000 300 999999999 1200
DNS(PORTA) NO padro O default livre livre na na 4Mb na na livre livre livre livre livre livre livre livre na na na
4Mb
PROCESS
10 1000 FAST
DEFAULT padro livre livre livre livre livre livre 99.999.999 livre default default livre padro TCP
999.999.999 10 60
Tabela 12 - Atributos de Canais
Atualizao: 23/5/2013 14:24 *
Pgina 49 de 104
CONFIGURAO DO SERVIDOR MQ - OPO ADOPTNEWMCA

Foi detectada uma limitao na configurao do MQSeries que, na ocorrncia de falhas de comunicao, pode levar, eventualmente, a uma perda de conectividade entre servidores MQ, que s pode ser solucionada mediante comando STOP FORCE da conexo ou reinicializao do gerenciador de canais. Para evitar tal falha, o suporte do fabricante do produto (IBM) recomendou a configurao de alguns parmetros no MQ, com a utilizao de atributos, que, por "default", no esto ativados. Desta forma, considerando-se que tal alterao acarretar melhora na disponibilidade do servio, dever ser ativada, obrigatoriamente, a opo ADOPTNEWMCA. Seguem, abaixo, exemplos com os parmetros a serem alterados no software, para os sistemas operacionais mais utilizados. Esclarecemos que eventuais dvidas acerca dos procedimentos envolvidos na alterao devero ser sanadas diretamente junto ao suporte do fabricante do produto. Ativao da opo ADOPTNEWMCA do MQSeries no ambiente Windows: 1. 2. 3. 4. 5. 6. 7. No servidor MQseries, abrir MQseries Services; Clicar com o boto direito do mouse sobre o Qmgr a ser modificado; Selecionar Properties; Selecionar a pasta Channels; Marcar a opo ALL do parmetro AdoptNewMCA; Marcar a opo ALL do parmetro AdoptNewMCACheck Manter o tempo default dessa opo (60 segundos).
Ativao da opo ADOPTNEWMCA do MQSeries no ambiente Unix: Incluir as linhas abaixo no arquivo de configurao do queue manager (qm.ini): CHANNELS: AdoptNewMCACheck=ALL AdoptNewMCATimeout=60 AdoptNewMCA=ALL Ativao da opo ADOPTNEWMCA do MQSeries no ambiente z/OS: Incluir os parmetros abaixo na macro CSQ6CHIP do mdulo de parmetros do channel-initiator: ADOPTCHK=ALL ADOPTMCA=YES Observao: no MQSeries for OS/390 V2R1, esses parmetros so adicionados via PTF que deve ser solicitada ao fabricante.
Atualizao: 23/5/2013 14:24 *
Pgina 50 de 104
CONFIGURAO DO MQ - BANCO CENTRAL

Para que o Banco Central saiba referenciar corretamente os objetos MQ, o hostname e porta utilizados pela IF na RSFN, necessrio por parte da IF o preenchimento de cadastro conforme procedimento descrito a seguir. Procedimento relativo configurao do MQSeries no Banco Central: 1. Solicitar ao master Sisbacen de sua instituio a autorizao para a transao associada ao domnio, a saber: a) Domnio MES01: SMES400 b) Domnio MES03: SMES402 c) Domnio SPB01: SMES401 2. Acessar o site: https://www9.bcb.gov.br/mensageria/mqconfig (Homologao) ou https://www3.bcb.gov.br/mensageria/mqconfig (Produo) 3. Escolher o domnio; 4. Definir os objetos MQ equivalentes na sua instituio, de acordo com os padres estabelecidos neste manual; 5. Clicar em Salvar informaes; Observaes: No caso do domnio SPB01, dada a possibilidade de criao de objetos perante a SELIC.
Atualizao: 23/5/2013 14:24 *
Pgina 51 de 104
GERNCIA DE SEGUNDA NVEL DA RSFN

Diretrizes bsicas
A gerncia de segundo nvel da Rede do Sistema Financeiro Nacional tem como finalidades principais: a) administrao e controle de todo o trfego de mensagens, arquivos e demais servios autorizados pelo Banco Central; b) controle centralizado dos servios prestados pelas operadoras; e c) assessoramento Coordenao do GT Rede nas questes relacionadas ao funcionamento da RSFN. Este servio ser prestado por empresa contratada para este fim pelos signatrios do Instrumento de Acordo Operacional", firmado com as provedoras de telecomunicaes da RSFN, que dever ter a concordncia do Banco Central. Cabe prestadora de servios: a) cumprir os procedimentos descritos no Manual Operacional de Gerncia de Segundo Nvel; b) seguir as diretrizes estabelecidas pelo Banco Central; c) preparao de relatrios especficos sobre a RSFN solicitados pela Coordenao do GT Rede; e encaminhamento de relatrios gerenciais peridicos Coordenao do GT Rede sobre a utilizao da RSFN. Tambm fazem parte dos servios de gerenciamento de Segundo Nvel as atividades abaixo relacionadas: acompanhar as atividades de configurao e falhas da RSFN, com funes de planejamento, monitorao, execuo e documentao; garantir a manuteno e atualizao da arquitetura da RSFN, seus critrios de configurao e o cumprimento dos acordos de nveis de servios estabelecidos nos contratos entre os participantes e as provedoras; acompanhar o desempenho da rede at o n de entrada dos participantes da RSFN; acompanhar e auditar o funcionamento da RSFN e o cumprimento dos nveis de atendimento dos provedores; acompanhar e auditar todo o trfego dos participantes, comunicando ao Banco Central eventuais desvios na utilizao da RSFN; auxiliar na soluo de chamados dos participantes no atendidos pelas operadoras; pesquisar e propor melhorias para a RSFN, tanto referentes ao desempenho e estabilidade , quanto implementao de novos servios e de eventuais produtos que possam ser agregados; planejar a implantao de novos servios.
As atividades desempenhadas pela Gerncia de Segundo Nvel sero executadas no perodo das 7 s 22 horas, de segunda-feira sexta-feira, exceto quando no houver movimentao no Sistema de Transferncia de Reservas do Banco Central. Todos os participantes da Rede do Sistema Financeiro Nacional - RSFN devem assinar o termo de adeso do Contrato de Prestao de Servios de Gerncia de Segundo Nvel. A equipe da gerncia de segundo nvel estar tecnicamente ligada Coordenao do GT Rede, a quem devem ser encaminhados todos os pedidos de relatrios e informaes referentes RSFN.
Atualizao: 23/5/2013 14:24 *
Pgina 52 de 104
REQUISITOS PARA O MODELO OPERACIONAL DE PSTI

Tendo como objetivo manter o mesmo nvel de controle e eficincia dos sistemas de pagamento que utilizam a RSFN, alguns requisitos devem ser atendidos por cada um dos envolvidos na operao e manuteno do sistema. Instituio Financeira: PSTI: Configurao dos canais MQS no Banco Central do Brasil utilizando o subdomnio especfico da instituio, e no o subdomnio do PSTI; Fornecer mensalmente para a Gerncia de Segundo Nvel da RSFN, relao com todas as instituies interligadas ao provedor, com detalhamento quanto: instituies ativas, instituies autorizadas e em ativao e/ou em homologao, alm das que cancelaram seus contratos com o provedor no perodo. O documento dever conter obrigatoriamente: nome da instituio, informaes como o ISPB, subdomnio da RSFN e informaes de contato tcnico, bem como outros dados que podero ser acrescidos em um segundo momento; Fornecer telefone de contato tcnico do provedor PSTI, tanto para seus clientes quanto para a Gerncia de Segundo Nvel, para o suporte s aplicaes do SPB, que tenha atendimento capacitado a verificar a conectividade dos canais do STR, em ambos os sentidos, bem como para as demais ferramentas fornecidas aos seus clientes como parte do servio prestado; Fornecer caderno de testes/homologao, e verificao em caso de problemas, da soluo completa de mensageria desde o cliente at o Banco Central do Brasil; Fornecer ao Banco Central do Brasil e Gerncia Integrada de 2 Nvel da RSFN, o modelo adotado de segurana na comunicao entre o cliente e o provedor PSTI. Solicitao de subdomnio DNS para a RSFN. Esta solicitao servir aos operadores do suporte RSFN como controle das instituies usurias do PSTI; Solicitao de configurao do subdomnio da RSFN nos root-servers do Banco Central do Brasil. Devem ser indicados na solicitao os servidores DNS do provedor como autoritativos para o subdomnio; Prestar informaes ao DEINF
Rede dedicada homologada pelo BACEN de acordo com a carta-circular 3.426: Possuir centro de gerenciamento de rede que realize atividades compatveis com as realizadas pela Gerncia de Segundo Nvel, tanto quanto avaliao do desempenho de rede, quanto na resoluo de problemas complexos que necessitem da articulao entre diversos envolvidos; Fornecer Gerncia de Segundo Nvel documento com plano de testes de aceitao a serem realizados nos acessos no momento da ativao. Os procedimentos apresentados neste documento devem substituir os atualmente executados para os acessos ativados na RSFN de acordo com as definies do Manual Tcnico [1];
Atualizao: 23/5/2013 14:24 *
Pgina 53 de 104
Gerncia Integrada de Segundo Nvel: Controle das instituies usurias do servio do PSTI atravs das configuraes do servio de DNS, e de relatrio mensal fornecido pelo provedor; Suporte ao cliente do PSTI indiretamente, na verificao de problemas relacionados aos acessos do provedor RSFN, como ponto de contato para o suporte prprio PSTI e/ou Provedor da rede homologada; Gerenciamento do desempenho de rede apenas para o PSTI, por no ser possvel identificar comunicaes individuais dentro do trfego nos circuitos do PSTI na RSFN; Suporte ao Banco Central do Brasil para a verificao de falhas de conectividade de canal do STR at os servidores do PSTI; Realizao de auditoria in-loco para verificao da infra-estrutura do PSTI e da infra-estrutura de acesso da operadora.
SPB-Registro: Alocao de subdomnio da RSFN para a instituio solicitante; Encaminhamento de solicitaes de configurao e suporte aos servios de DNS Gerncia de Segundo Nvel da RSFN.
Atualizao: 23/5/2013 14:24 *
Pgina 54 de 104
QUALIDADE DE SERVIO NA RSFN

A funcionalidade Qualidade de Servio (QoS) na RSFN atribui parmetros e largura de banda para diferenciar os servios e garantir a performance da rede. Trs classes de servio foram definidas: INFRA-ESTRUTURA, SPBMENSAGERIA e DEFAULT. A classe de SPB-MENSAGERIA, com 65% da banda total de cada link podendo, por determinao do Banco Central do Brasil, atingir at 95%, a classe misso crtica para a RSFN. Deve ter os seguintes parmetros: a) tempo de resposta (one-way trip time) entre as portas de acesso dos CPEs de duas entidades quaisquer, apurado mensalmente com 4 medidas a cada hora entre 7 e 21 horas a cada dia (com largura de banda otimizada, sem congestionamento): inferior a 120 ms a cada mdia horria; b) taxa mdia diria de perda de pacotes (round-trip) no backbone, apurado mensalmente: inferior a 1% ao dia. A classe de INFRA-ESTRUTURA, com 5% da banda total de cada link prov uma banda mnima para o trfego de roteamento e divulgao de rotas BGP e outras aplicaes de controle de rede, como gerenciamento SNMP, sincronismo de relgio atravs do protocolo NTP, informaes de domnio DNS e acessos telnet. Essa garantia de banda necessria porque o trfego desses protocolos no beneficiado pelo mecanismo interno de PAK_PRIORITY dos roteadores da Cisco. A classe DEFAULT usada para a transferncia de arquivos atravs de FTP e demais servios expressamente autorizados pelo Banco Central do Brasil que venham a utilizar a RSFN. Essa classe a tpica classe Best Effort, na qual no h garantia de banda mnima. As marcaes de pacotes devero ser feitas de acordo com as recomendaes do fabricante dos equipamentos utilizados pela rede. A atribuio de classes de servio usando portas e access list na configurao de QoS no foi implantada no InterAs em funo de limitaes tcnicas da rede existentes na poca da implantao do QoS e por conta da baixa utilizao desses links. Os dois provedores de telecomunicaes da RSFN adotaro o padro de classe de servio definido abaixo: Classe de Servio Largura de banda Lista 102 102 102 102 102 102 Servio/ Porta (in/out) Telnet/TCP BGP/TCP NTP/UDP DOMAIN/UDP SNMP/UDP Tacacs/TCP BC: 1414 IF/Prestador: 1414 a 1421 /TCP FTP/TCP e UDP BC: 12422 IF/Prestador: 12422 a 12429 /TCP DEFAULT IF/Prestador: 13422 a 13429 /TCP BC: 14422 IF/Prestador: 14422 a 14429 /TCP Aplicao
INFRAESTRUTURA
5%
Telnet/TCP Infra-estrutura
65% SPB-MENSAGERIA 101 30%
Mensageria SPB (SPB01) FTP Mensageria Sisbacen (MES01) Mensageria Sisbacen (MES02) Mensageria Sisbacen (MES03)
Atualizao: 23/5/2013 14:24 *
Pgina 55 de 104
ANEXO I CONFIGURAO DE DNS (DOMAIN NAME SYSTEM)

INTRODUO
A RSFN (Rede do Sistema Financeiro Nacional) permitir a comunicao direta entre as Instituies Financeiras (IF), o Banco Central e as Clearings. Baseada no protocolo TCP/IP, esta rede foi implantada considerando a utilizao de ferramentas/conceitos de Intranet (aplicaes cliente-servidor com interface Web e correio eletrnico, por exemplo). Estas caractersticas tornam a utilizao do DNS obrigatria. Por ser tratar de um projeto lgico (no amarrado a caractersticas fsicas da rede), o projeto de Arquitetura de DNS atende tanto a topologia inicial do Backbone da RSFN, conforme os itens listados a seguir, bem como poder ser facilmente escalado para atender novas Entidades que se conectaro a rede posteriormente. O Comit Gestor da Internet no Brasil reservou um prefixo 0/18 para a RSFN; foram registrados na Internet domnios de nvel superior e domnio reverso, de modo a permitir a futura integrao da RSFN com a Internet; 2 provedores de servios de telecomunicaes (Primesys e o consrcio formado pelas empresas EMBRATEL e RTM, denominado EBT/RTM, os quais fornecem servios de VPN/MPLS para garantir a privacidade dos dados que trafegam nesta rede). Este Anexo, tem por objetivo apresentar a Arquitetura de DNS recomendada para a RSFN. Os seguintes itens so cobertos: apresentao da arquitetura de DNS da RSFN; apresentao do modelo de configurao do servio de DNS nesta rede; sugesto de regras para nomeao de domnios, sub-domnios e hosts desta rede, alm da metodologia para registros dos mesmos; sugesto de padro de nomes para usurios dos servios de correio eletrnico via SMTP; procedimentos para integrao dos servios de DNS necessrios para atender a Intranet de cada Entidade, sua conexo com a Internet e sua conexo com a RSFN. Ao final deste, so apresentados conceitos tcnicos do DNS, os quais sero teis para o completo entendimento deste projeto, alm dos passos que devero ser seguidos para se configurar o DNS em servidores Windows com a aplicao de DNS da Microsoft, uma vez que o corpo do relatrio ter como base a configurao do DNS em servidores Unix e utilizao da aplicao Bind.
Atualizao: 23/5/2013 14:24 *
Pgina 56 de 104
PREMISSAS BSICAS
Premissas bsicas contempladas na elaborao do Projeto de Arquitetura de DNS da RSFN: domnios de DNS registrados junto Fapesp ou qualquer outro rgo internacional, para acesso Internet: o sero considerados os seguintes domnios diretos: rsfn.net.br e seguinte domnio reverso: 64.218.200.in-addr.arpa; o cada Entidade escolher o nome a ser utilizado em seu prprio sub-domnio, respeitando-se as regras de unicidade do mesmo. Recomenda-se a adoo de um nome j utilizado e registrado na conexo Internet. Ser definido um rgo responsvel pela administrao dos registros e nomeao dos sub-domnios; servidores de DNS (primrios e secundrios) responsveis pelos domnios anteriores: o cada uma das concessionrias dos servios de telecomunicaes (Primesys e EBT/RTM) ter trs segmentos de rede (sendo um em So Paulo, um no Rio de Janeiro e um em Braslia) que faro parte da VPN da RSFN. Estes segmentos abrigaro os servidores de DNS configurados como internal root servers para os domnios anteriores. Cada concessionria providenciar um servidor internal root server para cada segmento. Estes servidores apontaro os servidores de DNS para cada um dos sub-domnios da rede; sub-domnios da rede RSFN. Para facilitar a administrao da rede, foi criado um sub-domnio direto e um sub-domnio reverso para cada Entidade Participante conectada rede. Cada Entidade ficar responsvel por administrar seus respectivos sub-domnios. Exemplos dos sub-domnios: o Primesys att.rsfn.net.br o EBT/RTM ebtrtm.rsfn.net.br terceirizao da administrao dos sub-domnios de DNS: o As Entidades ligadas RSFN podero terceirizar com as concessionrias a administrao do servio de DNS. Neste caso, as concessionrias utilizaro servidores de DNS autoritativos, servidores estes tambm localizados nos segmentos de rede que faro parte da VPN da RSFN, e que obrigatoriamente estaro em mquinas diferentes dos servidores de DNS configurados como internal root servers. Os servidores autoritativos sero configurados com informaes especficas do domnio da entidade que solicitar este servio; tipo de servidores que abrigaro os servios de DNS: o embora no seja obrigatria sua utilizao, recomendada a adoo de servidores de DNS baseados em sistema operacional Unix e uso da aplicao Bind 8.x ou 9.x. Todas as configuraes utilizaro este padro como modelo. interligao com a Internet: o foi registrado o domnio de nvel superior (direto e reverso) na Internet; interligao com as redes internas das Entidades: o Provavelmente, Entidades que fazem (ou faro) parte da RSFN, utilizaro o DNS. Tais servidores resolvem nomes das Intranets destas empresas e da Internet. Como alternativa, para conexo rede RSFN, podem ser aproveitados os mesmos servidores utilizados atualmente, tornando-os autoritativos para seus respectivos domnios (sub-domnio.rsfn.net.br) e configurando-os para apontarem para os servidores de root da Internet ou para os servidores internos de root da RSFN conforme necessrio. A Entidade pode optar tambm pela utilizao de servidores de DNS especficos para a rede RSFN; tipo de servidores que abrigaro os servios de DNS nas Intranets das empresas: o devem ser mantidos os mesmos servidores de DNS utilizados atualmente;
Atualizao: 23/5/2013 14:24 *
Pgina 57 de 104
RSFN - Manual de Redes do SFN Verso 7.3 padres de nomes de hosts (servidores, roteadores, hubs, switches, etc.) utilizados na RSFN: o foi sugerida uma regra de formao de nomes de hosts utilizados na RSFN;
os nomes dos servidores MQ devero obedecer o seguinte padro: o mqsNN.sub-domnio.rsfn.net.br, onde NN varia de 01 a 99. Este padro utilizado para todos os servidores MQ, sendo o 01 destinado ao servidor de produo e o 02 ao servidor de homologao/desenvolvimento; o mqmNN.sub-domnio.rsfn.net.br, onde NN varia de 01 a 99. Este padro utilizado para todos os servidores MQ, sendo o 01 destinado ao servidor de produo e o 02 ao servidor de homologao/desenvolvimento.
DNS NA RSFN
O DNS (Domain Name System) um banco de dados distribudo que contm informaes sobre os hosts de uma rede TCP/IP, permitindo a utilizao de nomes ao invs de endereos IP, quer seja pelos usurios da rede quer seja pelas aplicaes residentes nos diversos hosts desta rede (Recomenda-se a leitura do Anexo I para mais informaes sobre o DNS). Como qualquer outra aplicao TCP/IP, o DNS mais uma aplicao que utiliza a arquitetura cliente-servidor. Nesta arquitetura, a parte cliente (resolver) faz requisies especficas (queries de DNS) para a parte servidora (name server) quando necessita resolver nomes atravs do DNS. DNS X BIND Freqentemente, ocorre uma grande confuso entre o que vem a ser o DNS ( Domain Name System) e o que vem a ser o BIND (Berkeley Internet Name Domain). A primeira implementao do DNS foi chamada Jeeves, e foi escrita por Paul Mockapetris. Uma implementao posterior foi chamada de BIND, e foi escrita por Kevin Dunlap para o sistema operacional UNIX 4.3BSD de Berkeley. Desde ento, o BIND a verso mais popular e a mais completa implementao de DNS, encontrando-se portada para a maioria dos sistemas operacionais existentes (Unix, VMS, NT, Windows 2000). Mesmo implementaes proprietrias de DNS fazem referncia verso do BIND qual so compatveis. Atualmente o BIND apresenta trs linhas de verses: BIND 4.x BIND 8.x BIND 9.x A linha 4.x utiliza arquivos de configurao de DNS com formatos diferentes das demais linhas. At a verso 4.8.3, o grupo Computer Systems Research Group da universidade de Berkeley na Califrnia era responsvel pela manuteno do BIND. As verses 4.9 e 4.9.1 foram liberadas pela Digital Equipment Corporation. A verso 4.9.2 foi patrocinada por Vixie Enterprises, e a partir da verso 4.9.3, a responsabilidade de manuteno e desenvolvimento do BIND passou a ser do Internet Software Consortium (ISC). Em Maio de 1997, o ISC liberou a primeira verso do BIND-8. O desenvolvimento da verso BIND-4 foi completamente interrompido, com exceo da liberao de alguns patches para assuntos relacionados segurana. A partir de agora, nenhuma nova funo dever ser adicionada ao BIND-4. Portanto, natural que as novas implementaes passem a utilizar pelo menos o BIND-8. As principais caractersticas existentes nas verses do BIND 8 e 9 so: o suporte a atualizaes dinmicas de DNS - DNS Dynamic Updates, descrita na RFC 2136; o permite que os servidores primrios notifiquem os secundrios das mudanas ocorridas, de forma a diminuir o tempo de convergncia da rede - DNS Notify, descrita na RFC 1996; o o arquivo de carga do servio de DNS utiliza sintaxe diferente da adotada no Bind 4; o permite o registro (logging) de certas atividades relacionadas ao DNS; o permite o controle de acesso baseado no endereo IP ACL Access Control List para queries, zone transfers e updates; tal controle pode inclusive ser definido para uma zona especfica; o possui mecanismo de suporte a transferncia incremental de zona;
RSFN - Manual de Redes do SFN Verso 7.3 suporta at 16 milhes de zonas por servidor.
As principais diferenas existentes entre as linhas do BIND 9.x e BIND 8.x so apresentadas a seguir: o suporte a banco de dados para maior flexibilidade na gerncia e manuteno das informaes de nomes; o suporte a mecanismos de segurana para transferncia e requisies seguras mais abrangentes; o suporte e melhor aproveitamento de ambientes multiprocessados; o suporte a mecanismos de auditoria e controle; o suporte a caractersticas especficas do IPV6.
Aplicaes de DNS recomendadas

O projeto de DNS da RSFN recomenda como base para este servio a utilizao da linha BIND 8.x, em virtude dos seguintes motivos: o a linha BIND 8.x a linha mais utilizada atualmente em grandes redes que utilizam o TCP/IP como protocolo de comunicao. Desta forma natural que esta seja a aplicao de DNS mais estvel e adequada para uso nestas redes; o a rede da RSFN utilizar vrios servidores de DNS em ambientes Microsoft (Windows NT 4.0 e Windows 2000), dificultando a padronizao dos servios em torno da linha Bind 9; o o formato de configurao dos arquivos de DNS na linha BIND 9.x idntico ao utilizado na linha BIND 8.x, o que permite a migrao sem qualquer alterao significativa no projeto.
DNS em Servidores Unix

O BIND 8.2.3 a aplicao de DNS recomendada para todos os servidores Unix da RSFN que ofertaro o servio de resoluo de nomes DNS. As plataformas Unix normalmente j incluem uma verso do BIND em seu conjunto de aplicaes TCP/IP. No entanto, a verso desta aplicao depende do momento de aquisio da mquina. Para utilizar a verso mais recente do BIND, os arquivos necessrios podero ser encontrados no site www.isc.org, via Web ou no site ftp.isc.org/isc/bind, comprimidos (gz) e em formato tar. Eles devero ser descomprimidos, extrados do formato tar e compilados seguindo as orientaes contidas no pacote. A atualizao da verso do BIND poder ser feita sempre que necessrio utilizando os sites referenciados acima. O ISC vem cada vez mais facilitando o processo de atualizao das verses do BIND, atualizaes estas cada vez mais motivadas por acrscimos de funes de segurana no aplicativo.
DNS em Servidores Windows

A Microsoft disponibiliza junto com o pacote Windows 2000 uma verso proprietria e similar linha BIND 8.x. e junto com o pacote Windows NT 4.0 uma verso proprietria e similar linha BIND 4.x. A principal caracterstica das aplicaes de DNS providas pela Microsoft, para uso em servidores Windows 2000 e Windows NT 4.0, a utilizao de uma interface grfica que tem por objetivo facilitar a administrao da base de dados do DNS. A Microsoft entende tambm que redes que necessitem de resoluo de nomes TCP/IP via DNS e nomes NetBIOS via WINS, podem ter ganhos se utilizar sua aplicao de DNS. Como a rede RSFN no utilizar o protocolo NetBIOS, a vantagem pela utilizao do DNS da Microsoft restringe-se ao uso de interfaces grficas para a administrao dos servios. Desta forma, para unificar a soluo recomenda-se a adoo da aplicao BIND 8.2.3 tambm para os servidores Windows 2000 e Windows NT 4.0. Estas aplicaes tambm podem ser obtidas no site do ISC. As aplicaes de DNS proprietrias da Microsoft devem ser consideradas como segunda opo, embora tenham funcionado corretamente no piloto da rede.
Atualizao: 23/5/2013 14:24 *
Pgina 59 de 104
ARQUITETURA DE DNS DA RSFN

Domnios Superiores da RSFN
O primeiro ponto a ser definido em uma arquitetura de DNS so os domnios de nvel superior da rede. No caso especfico da RSFN, estes domnios foram definidos contemplando a integrao total desta rede com a Internet. Alm de definir os nomes dos domnios superiores, fundamental a definio da Entidade responsvel por sua administrao e os servidores de DNS que so utilizados para armazenar as informaes relativas a cada domnio. Na rede da RSFN, a administrao dos domnios superiores ser realizada pelo BACEN. Para prover balanceamento de carga e contingncia da rede, servidores secundrios sero estrategicamente espalhados nos segmentos de redes das concessionrias. A Tabela 1 apresenta os domnios superiores da RSFN, as entidades responsveis por sua administrao e seus respectivos servidores de DNS, os quais sero denominados servidores internos de root para a RSFN (Internal Root Servers IRS). A partir destes domnios sero delegados os respectivos direitos para cada sub-domnio desta rede. Sempre que houver a necessidade da criao de outros domnios superiores para a RSFN, os mesmos tero que ser registrados nos servidores internos de root desta rede.
Administrao do Domnio Bacen Servidor Primrio Bacen Servidor Secundrio Bacen Servidor Secundrio Bacen Servidor Secundrio Bacen Servidor Secundrio Bacen Servidor Secundrio Bacen Servidor Secundrio Bacen Servidor Secundrio Tabela 1 - Domnios de Nveis Superiores da RSFN
Domnio rsfn.net.br
Servidores de Nomes ns1.bcb.rsfn.net.br ns2.bcb.rsfn.net.br irs1.att.rsfn.net.br irs2.att.rsfn.net.br irs3.att.rsfn.net.br irs1.ebtrtm.rsfn.net.br irs2.ebtrtm.rsfn.net.br irs3.ebtrtm.rsfn.net.br
Atualizao: 23/5/2013 14:24 *
Pgina 60 de 104
Sub-Domnios da RSFN
Os sub-domnios foram criados para identificar cada uma das Entidades Participantes da VPN da RSFN. Cada Entidade responsvel por administrar seus respectivos sub-domnios. Cada Entidade escolher o nome a ser utilizado em seu prprio sub-domnio, respeitando-se as regras de unicidade do mesmo. Recomenda-se adoo de um nome j utilizado e registrado na conexo Internet. A Tabela 2 apresenta exemplos de nomes de sub-domnios desta rede. rsfn.net.Br Nome Completo Banco Central do Brasil Bolsa de Valores & Futuros Companhia Brasileira de Liquidao e Custdia Cmara de Custdia e Liquidao Sistema Especial de Liquidao e Custdia Bank Boston Banco Merrill Lynch Banco Sudameris Deutsche Bank Telmex Embratel Tabela 2 - Sub-Domnios da RSFN rsfn.net.br Nome Abreviado bcb.rsfn.net.br bmf.rsfn.net.br cblc.rsfn.net.br cetip.rsfn.net.br selic.rsfn.net.br bkb.rsfn.net.br ml.rsfn.net.br sudameris.rsfn.net.br db.rsfn.net.br att.rsfn.net.br ebtrtm.rsfn.net.br
Delegando Direitos Para os Sub-Domnios

O servidor primrio da zona rsfn.net.br quem tem o direito de criar e delegar direitos para seus sub-domnios. Esta delegao ocorre atravs da configurao de registros do tipo NS ( Name Servers), atrelados a registros do tipo A (Address) para cada um dos sub-domnios criados (glue records). A seguir segue um trecho para exemplificar a configurao para delegao de direitos para os sub-domnios de rsfn.net.br, os quais devero estar totalmente compatveis com a tabela de endereos IP fornecida para cada Entidade. @ IN SOA ns1.bcb.rsfn.net.br. spb_registro.bcb.gov.br. ( 2001081401 ; Nmero de Srie 28800 ; refresh 3600 ; retry 604800 ; expire 86400 ; default_ttl ) ; ; Servidores de nomes deste domnio ; IN NS ns1.bcb.rsfn.net.br. IN NS ns2.bcb.rsfn.net.br. IN NS irs1.att.rsfn.net.br. IN NS irs2.att.rsfn.net.br. IN NS irs3.att.rsfn.net.br. IN NS irs1.ebtrtm.rsfn.net.br. IN NS irs2.ebtrtm.rsfn.net.br. IN NS irs3.ebtrtm.rsfn.net.br. ; ; Delegao de Direitos para Clerings/Bacen (4 linhas p/ cada sub-domnio)
RSFN - Manual de Redes do SFN Verso 7.3 ; bcb.rsfn.net.br. IN NS ns1.bcb.rsfn.net.br. bcb.rsfn.net.br. IN NS ns2.bcb.rsfn.net.br. ns1.bacenbsa.rsfn.net.br. IN A 200.218.66.6 ns2.bacenbsa.rsfn.net.br. IN A 200.218.66.7
selic.rsfn.net.br. IN selic.rsfn.net.br. IN ns1.selic.rsfn.net.br. ns2.selic.rsfn.net.br.
NS ns1.selic.rsfn.net.br. NS ns2.selic.rsfn.net.br. IN A 200.218.66.38 IN A 200.218.66.39
clearing1.rsfn.net.br. IN NS ns1.clearing1.rsfn.net.br. clearing1.rsfn.net.br. IN NS ns2.clearing1.rsfn.net.br. ns1.clearing1.rsfn.net.br. IN A 200.218.66.70 ns2.clearing1.rsfn.net.br. IN A 200.218.66.71 ; ; Delegao de Direitos para IFs (4 linhas p/ cada sub-domnio) ; if1.rsfn.net.br. IN NS ns1.if1.rsfn.net.br. if1.rsfn.net.br. IN NS ns2.if1.rsfn.net.br. ns1.if1.rsfn.net.br. IN A 200.218.80.6 ns2.if1.rsfn.net.br. IN A 200.218.80.7 ; ; Delegao de Direitos para SPs (6 linhas p/ cada sub-domnio) ; att.rsfn.net.br. IN NS irs1.att.rsfn.net.br. att.rsfn.net.br. IN NS irs2.att.rsfn.net.br. att.rsfn.net.br. IN NS irs3.att.rsfn.net.br. irs1.att.rsfn.net.br. IN A 200.218.64.6 irs2.att.rsfn.net.br. IN A 200.218.64.38 irs3.att.rsfn.net.br. IN A 200.218.64.70 ebtrtm.rsfn.net.br. IN NS irs1.ebtrtm.rsfn.net.br. ebtrtm.rsfn.net.br. IN NS irs2.ebtrtm.rsfn.net.br. ebtrtm.rsfn.net.br. IN NS irs3.ebtrtm.rsfn.net.br. irs1.ebtrtm.rsfn.net.br. IN A 200.218.64.134 irs2.ebtrtm.rsfn.net.br. IN A 200.218.64.166 irs3.ebtrtm.rsfn.net.br. IN A 200.218.64.198
Incluindo ou Excluindo Domnios ou Sub-Domnios

A RSFN pode a qualquer momento incluir ou excluir domnios ou sub-domnios de DNS em sua rede, desde que respeite as regras definidas neste manual: o ter um Primary Name Server PNS e no mnimo um Secondary Name Server SNS para cada zona; o preparar os arquivos de configurao de forma a tornar operacional o novo domnio, tanto no PNS como no SNS; o registrar os domnios e seus respectivos servidores nos rgos competentes; o considerar os tempos de convergncia necessrios para que a rede tome conhecimento das modificaes realizadas.
Domnios Reversos da RSFN

Alm dos domnios e sub-domnios diretos descritos anteriormente, a RSFN possui domnios reversos para permitir a resoluo de nomes de hosts de DNS a partir de um dado endereo IP. Esta tcnica de resoluo tem sido largamente utilizada tanto para permitir funes de gerenciamento de rede como para controlar o acesso a aplicaes especficas da rede.
RSFN - Manual de Redes do SFN Verso 7.3 Definidos de maneira anloga a utilizada para os domnios reversos, os domnios diretos tambm apresentam subdomnios para cada Entidade Participante da rede e tambm foi contemplada a integrao total desta rede com a Internet. Portanto, tais domnios possuem os mesmos nomes de domnios que so utilizados e registrados na rede mundial, formados a partir do bloco CIDR reservado para esta rede: 200.218.64.0/18.
Na rede da RSFN, a administrao dos domnios reversos superiores ser tambm realizada pelo BACEN. Para prover balanceamento de carga e contingncia da rede, servidores secundrios sero estrategicamente espalhados nos segmentos de redes das concessionrias. A Tabela 3 apresenta os domnios superiores da RSFN, as entidades responsveis por sua administrao e seus respectivos servidores de DNS, os quais sero denominados servidores internos de root para a RSFN (Internal Root Servers IRS). A partir destes domnios foram delegados os respectivos direitos para cada sub-domnio reverso desta rede. Sempre que houver a necessidade da criao de outros domnios superiores para a RSFN, os mesmos tero que ser registrados nos servidores internos de root desta rede. Domnio 64.218.200.in-addr.arpa Administrao do Domnio Bacen Servidor Primrio Bacen Servidor Secundrio Bacen Servidor Secundrio Bacen Servidor Secundrio Bacen Servidor Secundrio Bacen Servidor Secundrio Bacen Servidor Secundrio Bacen Servidor Secundrio Bacen Servidor Primrio Bacen Servidor Secundrio Bacen Servidor Secundrio Bacen Servidor Secundrio Bacen Servidor Secundrio Bacen Servidor Secundrio Bacen Servidor Secundrio Bacen Servidor Secundrio Bacen Servidor Primrio Bacen Servidor Secundrio Bacen Servidor Secundrio Bacen Servidor Secundrio Bacen Servidor Secundrio Bacen Servidor Secundrio Bacen Servidor Secundrio Bacen Servidor Secundrio Bacen Servidor Primrio Bacen Servidor Secundrio Bacen Servidor Secundrio Bacen Servidor Secundrio Bacen Servidor Secundrio Bacen Servidor Secundrio Bacen Servidor Secundrio Bacen Servidor Secundrio Bacen Servidor Primrio Bacen Servidor Secundrio Bacen Servidor Secundrio Bacen Servidor Secundrio Bacen Servidor Secundrio Bacen Servidor Secundrio Bacen Servidor Secundrio Bacen Servidor Secundrio Bacen Servidor Primrio Bacen Servidor Secundrio Bacen Servidor Secundrio Bacen Servidor Secundrio
66.218.200.in-addr.arpa
. . .
Servidores de Nomes ns1.bcb.rsfn.net.br ns2.bcb.rsfn.net.br irs1.att.rsfn.net.br irs2.att.rsfn.net.br irs3.att.rsfn.net.br irs1.ebtrtm.rsfn.net.br irs2.ebtrtm.rsfn.net.br irs3.ebtrtm.rsfn.net.br ns1.bcb.rsfn.net.br ns2.bcb.rsfn.net.br irs1.att.rsfn.net.br irs2.att.rsfn.net.br irs3.att.rsfn.net.br irs1.ebtrtm.rsfn.net.br irs2.ebtrtm.rsfn.net.br irs3.ebtrtm.rsfn.net.br ns1.bcb.rsfn.net.br ns2.bcb.rsfn.net.br irs1.att.rsfn.net.br irs2.att.rsfn.net.br irs3.att.rsfn.net.br irs1.ebtrtm.rsfn.net.br irs2.ebtrtm.rsfn.net.br irs3.ebtrtm.rsfn.net.br ns1.bcb.rsfn.net.br ns2.bcb.rsfn.net.br irs1.att.rsfn.net.br irs2.att.rsfn.net.br irs3.att.rsfn.net.br irs1.ebtrtm.rsfn.net.br irs2.ebtrtm.rsfn.net.br irs3.ebtrtm.rsfn.net.br ns1.bcb.rsfn.net.br ns2.bcb.rsfn.net.br irs1.att.rsfn.net.br irs2.att.rsfn.net.br irs3.att.rsfn.net.br irs1.ebtrtm.rsfn.net.br irs2.ebtrtm.rsfn.net.br irs3.ebtrtm.rsfn.net.br ns1.bcb.rsfn.net.br ns2.bcb.rsfn.net.br irs1.att.rsfn.net.br irs2.att.rsfn.net.br
Atualizao: 23/5/2013 14:24 * Pgina 63 de 104
Bacen Servidor Secundrio Bacen Servidor Secundrio Bacen Servidor Secundrio Bacen Servidor Secundrio Tabela 3 - Domnios Superiores Reversos da RSFN
irs3.att.rsfn.net.br irs1.ebtrtm.rsfn.net.br irs2.ebtrtm.rsfn.net.br irs3.ebtrtm.rsfn.net.br
Sub-Domnios Reversos da RSFN

Os sub-domnios reversos da RSFN refletem exatamente as faixas de endereos IP definidas para cada Entidade Participante desta rede. Estes sub-domnios foram criados para identificar cada uma das Entidades Participantes da VPN da RSFN. Cada Entidade responsvel por administrar seus respectivos sub-domnios. O nome do sub-domnio derivado da faixa de endereos IP reservada para cada Entidade. A Tabela 4 apresenta exemplos de nomes: Entidade Exemplo de Nomes de Domnios Reversos da RSFN Bacen BSA 0-31.66.218.200.in-addr.arpa Bacen RJO (Selic) 32-63.66.218.200.in-addr.arpa Clearing1 64-95.66.218.200.in-addr.arpa Clearing2 96-127.66.218.200.in-addr.arpa Clearing3 128-159.66.218.200.in-addr.arpa Clearing4 160-191.66.218.200.in-addr.arpa IF1 0-15.80.218.200.in-addr.arpa IF2 16-31.80.218.200.in-addr.arpa IF3 32-47.80.218.200.in-addr.arpa IF4 48-63.80.218.200.in-addr.arpa IF5 64-79.80.218.200.in-addr.arpa Primesys 0-127.64.218.200.in-addr.arpa EBT/RTM 128-255.64.218.200.in-addr.arpa Tabela 4 - Exemplo de Sub-Domnios Reversos da RSFN
Delegando Direitos Para os Sub-Domnios Reversos

O servidor primrio das zonas 64.218.200.in-addr.arpa at 95.218.200.in-addr.arpa quem tem o direito de criar e delegar direitos para seus sub-domnios. Esta delegao ocorre atravs da configurao de registros do tipo NS (Name Servers), atrelados a registros do tipo A (Address) para cada um dos sub-domnios criados. Adicionalmente, como so utilizadas zonas com endereos quebrados (14 ou 30 endereos vlidos), os responsveis por cada zona de endereamento reverso tem que criar um registro CNAME para cada endereo disponvel de cada Entidade Participante da rede. A seguir apresentado o exemplo da configurao para delegao de direitos para o sub-domnio de 66.218.200.in-addr.arpa, o qual dever estar totalmente compatvel com a tabela de endereos IP fornecida para cada Entidade da RSFN. 66.218.200.in-addr.arpa. IN SOA ns1.bcb.rsfn.net.br. spb_registro.bcb.gov.br. ( 2001081401 ; Nmero de Srie 28800 ; refresh 3600 ; retry 604800 ; expire 86400 ; default_ttl ) ; ; Servidores de nomes deste domnio ; IN NS ns1.bcb.rsfn.net.br.
RSFN - Manual de Redes do SFN Verso 7.3 IN NS ns2.bcb.rsfn.net.br. IN NS irs1.att.rsfn.net.br. IN NS irs2.att.rsfn.net.br. IN NS irs3.att.rsfn.net.br. IN NS irs1.ebtrtm.rsfn.net.br. IN NS irs2.ebtrtm.rsfn.net.br. IN NS irs3.ebtrtm.rsfn.net.br. ; ; Delegao de Direitos para Clerings/Bacen (2 linhas p/ cada sub-domnio) ; 0-31.66.218.200.in-addr.arpa. IN NS ns1.bcb.rsfn.net.br. 0-31.66.218.200.in-addr.arpa. IN NS ns2.bcb.rsfn.net.br.
32-63.66.218.200.in-addr.arpa. IN NS ns1.selic.rsfn.net.br. 32-63.66.218.200.in-addr.arpa. IN NS ns2.selic.rsfn.net.br. 64-95.66.218.200.in-addr.arpa. IN NS ns1.clearing1.rsfn.net.br. 64-95.66.218.200.in-addr.arpa. IN NS ns2.clearing1.rsfn.net.br. 96-127.66.218.200.in-addr.arpa. IN NS ns1.clearing2.rsfn.net.br. 96-127.66.218.200.in-addr.arpa. IN NS ns2.clearing2.rsfn.net.br. 128-159.66.218.200.in-addr.arpa. IN NS ns1.clearing3.rsfn.net.br. 128-159.66.218.200.in-addr.arpa. IN NS ns2.clearing3.rsfn.net.br. 160-191.66.218.200.in-addr.arpa. IN NS ns1.clearing4.rsfn.net.br. 160-191.66.218.200.in-addr.arpa. IN NS ns2.clearing4.rsfn.net.br. ; ; CNAME para hosts de bacenbsa (1 linha p/ cada endereo vlido) ; 1 IN CNAME 1.0-31.66.218.200.in-addr.arpa. 2 IN CNAME 2.0-31.66.218.200.in-addr.arpa. . . . 29 IN CNAME 29.0-31.66.218.200.in-addr.arpa. 30 IN CNAME 30.0-31.66.218.200.in-addr.arpa. ; ; CNAME para hosts de bacenrjo (1 linha p/ cada endereo vlido) ; 33 IN CNAME 33.32-63.66.218.200.in-addr.arpa. 34 IN CNAME 34.32-63.66.218.200.in-addr.arpa. . . . 61 IN CNAME 61.32-63.66.218.200.in-addr.arpa. 62 IN CNAME 62.32-63.66.218.200.in-addr.arpa. ; ; CNAME para hosts de Clearing1 (1 linha p/ cada endereo vlido) ; 65 IN CNAME 65.64-95.66.218.200.in-addr.arpa. 66 IN CNAME 65.64-95.66.218.200.in-addr.arpa. . . . 93 IN CNAME 93.64-95.66.218.200.in-addr.arpa. 94 IN CNAME 94.64-95.66.218.200.in-addr.arpa. ; ; CNAME para hosts de Clearing2 (1 linha p/ cada endereo vlido) ;
RSFN - Manual de Redes do SFN Verso 7.3 97 IN CNAME 97.96-127.66.218.200.in-addr.arpa. 98 IN CNAME 98.96-127.66.218.200.in-addr.arpa. . . . 125 IN CNAME 125.96-127.66.218.200.in-addr.arpa. 126 IN CNAME 126.96-127.66.218.200.in-addr.arpa. ; ; CNAME para hosts de Clearing3 (1 linha p/ cada endereo vlido) ; 129 IN CNAME 129.128-159.66.218.200.in-addr.arpa. 130 IN CNAME 130.128-159.66.218.200.in-addr.arpa. . . . 157 IN CNAME 157.128-159.66.218.200.in-addr.arpa. 158 IN CNAME 158.128-159.66.218.200.in-addr.arpa. ; ; CNAME para hosts de Clearing4 (1 linha p/ cada endereo vlido) ; 161 IN CNAME 161.160-191.66.218.200.in-addr.arpa. 162 IN CNAME 162.160-191.66.218.200.in-addr.arpa. . . . 189 IN CNAME 189.160-191.66.218.200.in-addr.arpa. 190 IN CNAME 190.160-191.66.218.200.in-addr.arpa.
Incluindo ou Excluindo Domnios ou Sub-Domnios Reversos

A RSFN pode a qualquer momento incluir ou excluir domnios ou sub-domnios reversos de DNS em sua rede, desde que respeite as regras definidas neste manual: o ter um Primary Name Server PNS e no mnimo um Secondary Name Server SNS para cada zona; o preparar os arquivos de configurao de forma a tornar operacional o novo domnio, tanto no PNS como no SNS; o registrar os domnios e seus respectivos servidores nos rgos competentes; o considerar os tempos de convergncia necessrios para que a rede tome conhecimento das modificaes realizadas.
Atualizao: 23/5/2013 14:24 *
Pgina 66 de 104
Sub-Domnios Reversos da RSFN

As rvores de DNS utilizadas na RSFN esto apresentadas nas Figura 1 e Figura 2:
Figura 1 - rvore de DNS da RSFN
Figura 2 rvore de DNS Reverso da RSFN

Servidores de DNS da RSFN

Cada domnio ou sub-domnio da RSFN possui um servidor primrio de nomes com autoridade sobre sua respectiva zona. Todas as alteraes nos bancos de dados do DNS so feitas nestes servidores. Para resolver problemas de contingncia, diviso de carga e performance da rede, cada domnio ter pelo menos um servidor secundrio de nomes. Estes servidores mantero uma rplica dos bancos de dados dos servidores primrios, e periodicamente e automaticamente contataro os servidores primrios para atualizao dos seus bancos de dados. Desde que todas as verses de DNS utilizadas na rede suportem a funo DNS Notify (RFC 1996), os servidores primrios podem enviar imediatamente aps qualquer mudana no banco de dados do DNS, uma notificao para os servidores secundrios solicitando que estes iniciem o processo de Zone Transfer, diminuindo o tempo de convergncia das modificaes de DNS na rede.
Servidor Primrio dos Domnios Superiores IRS (Internal Root Server)

Os servidores primrios de nomes (PNS) dos domnios superiores da RSFN esto apresentados na Tabela 5: Domnio Superior rsfn.net.br 64.218.200.in-addr.arpa 66.218.200.in-addr.arpa 67.218.200.in-addr.arpa 80.218.200.in-addr.arpa at 95.218.200.in-addr.arpa Servidor Primrio (PNS) ns1.bcb.rsfn.net.br ns1.bcb.rsfn.net.br ns1.bcb.rsfn.net.br ns1.bcb.rsfn.net.br ns1.bcb.rsfn.net.br Entidade Responsvel Bacen Bacen Bacen Bacen Bacen
Tabela 5 - Servidores PNS dos Domnios Superiores da RSFN Vale lembrar que uma mesma mquina pode ser configurada como servidor primrio de nomes para vrios domnios, como servidor secundrio de nomes para vrios domnios e mesmo como servidor primrio para alguns domnios e secundrio para outros. Para resolver nomes de hosts da Internet, este servidor deve ser configurado para utilizar os servidores de root da Internet. Servidores Secundrios dos Domnios Superiores IRS (Internals Root Servers) Os servidores secundrios de nomes (SNS) dos domnios superiores da RSFN esto apresentados na Tabela 6: Domnio Superior rsfn.net.br Servidor Primrio (PNS) ns2.bcb.rsfn.net.br irs1.att.rsfn.net.br irs2.att.rsfn.net.br irs3.att.rsfn.net.br irs1.ebtrtm.rsfn.net.br irs2.ebtrtm.rsfn.net.br irs3.ebtrtm.rsfn.net.br ns2.bcb.rsfn.net.br irs1.att.rsfn.net.br irs2.att.rsfn.net.br irs3.att.rsfn.net.br irs1.ebtrtm.rsfn.net.br irs2.ebtrtm.rsfn.net.br irs3.ebtrtm.rsfn.net.br
RSFN - Rede do Sistema Financeiro Nacional * RSFN_Manual_de_Redes_do_SFN_Ver_7.3.1.docx *
64.218.200. in-addr.arpa
Entidade Responsvel Bacen Primesys Primesys Primesys EBT/RTM EBT/RTM EBT/RTM Bacen Primesys Primesys Primesys EBT/RTM EBT/RTM EBT/RTM
Atualizao: 23/5/2013 14:24 *
Pgina 68 de 104
RSFN - Manual de Redes do SFN Verso 7.3 66.218.200. ns2.bcb.rsfn.net.br in-addr.arpa irs1.att.rsfn.net.br irs2.att.rsfn.net.br irs3.att.rsfn.net.br irs1.ebtrtm.rsfn.net.br irs2.ebtrtm.rsfn.net.br irs3.ebtrtm.rsfn.net.br 67.218.200. ns2.bcb.rsfn.net.br in-addr.arpa irs1.att.rsfn.net.br irs2.att.rsfn.net.br irs3.att.rsfn.net.br irs1.ebtrtm.rsfn.net.br irs2.ebtrtm.rsfn.net.br irs3.ebtrtm.rsfn.net.br 80.218.200. ns2.bcb.rsfn.net.br in-addr.arpa At irs1.att.rsfn.net.br 95.218.200. irs2.att.rsfn.net.br in-addr.arpa irs3.att.rsfn.net.br irs1.ebtrtm.rsfn.net.br irs2.ebtrtm.rsfn.net.br irs3.ebtrtm.rsfn.net.br 64.218.200. irs2.att.rsfn.net.br in-addr.arpa irs3.att.rsfn.net.br irs1.ebtrtm.rsfn.net.br irs2.ebtrtm.rsfn.net.br irs3.ebtrtm.rsfn.net.br 66.218.200. irs2.att.rsfn.net.br in-addr.arpa irs3.att.rsfn.net.br irs1.ebtrtm.rsfn.net.br irs2.ebtrtm.rsfn.net.br irs3.ebtrtm.rsfn.net.br 67.218.200. irs2.att.rsfn.net.br in-addr.arpa irs3.att.rsfn.net.br irs1.ebtrtm.rsfn.net.br irs2.ebtrtm.rsfn.net.br irs3.ebtrtm.rsfn.net.br 80.218.200. irs2.att.rsfn.net.br in-addr.arpa at irs3.att.rsfn.net.br 95.218.200. irs1.ebtrtm.rsfn.net.br in-addr.arpa irs2.ebtrtm.rsfn.net.br irs3.ebtrtm.rsfn.net.br Tabela 6 - Servidores SNS dos Domnios Superiores da RSFN
Bacen Primesys Primesys Primesys EBT/RTM EBT/RTM EBT/RTM Bacen Primesys Primesys Primesys EBT/RTM EBT/RTM EBT/RTM Bacen Primesys Primesys Primesys EBT/RTM EBT/RTM EBT/RTM Primesys Primesys EBT/RTM EBT/RTM EBT/RTM Primesys Primesys EBT/RTM EBT/RTM EBT/RTM Primesys Primesys EBT/RTM EBT/RTM EBT/RTM Primesys Primesys EBT/RTM EBT/RTM EBT/RTM
Servidores Primrios dos Sub-Domnios

Cada sub-domnio da RSFN ter seu prprio servidor primrio de nomes (PNS). Estes servidores estaro localizados no segmento da RSFN de cada Entidade participante da rede, a qual ser responsvel pela administrao do mesmo. Em situaes especiais, uma determinada Entidade pode terceirizar a tarefa de administrao de seus sub-domnios com um dos provedores de servios da rede.
A Tabela 7 apresenta exemplo de servidores primrios para os sub-domnios diretos da RSFN: Sub-Domnio Direto da RSFN Servidor Primrio (PNS) bcb.rsfn.net.br ns1.bcb..rsfn.net.br clearing1.rsfn.net.br ns1.clearing1.rsfn.net.br clearing2.rsfn.net.br ns1.clearing2.rsfn.net.br Provedornx21.rsfn.net.br ns1.Provedornx21.rsfn.net.br if1.rsfn.net.br ns1.if1..rsfn.net.br if2.rsfn.net.br ns1.if2..rsfn.net.br att.rsfn.net.br irs1.att.rsfn.net.br ebtrtm.rsfn.net.br irs1.ebtrtm.rsfn.net.br Tabela 7 - Servidores PNS dos Sub-Domnios Diretos da RSFN Entidade Responsvel Bacen Clearing1 Primesys (*opcional) Provedor nx2 1 IF1 EBT/RTM (*opcional) Primesys EBT/RTM
A Tabela 8 apresenta exemplo de servidores primrios para os sub-domnios reversos da RSFN: Sub-Domnio Reverso da RSFN Servidor Primrio (PNS) 0-31.66.218.200.in-addr.arpa ns1.bcb.rsfn.net.br 64-95.66.218.200.in-addr.arpa ns1.clearing1.rsfn.net.br 96.127.66.218.200.in-addr.arpa ns1.clearing2.rsfn.net.br 128.159.67.218.200.in-addr.arpa ns1.Provedornx21.rsfn.net.br 0-15.80.218.200.in-addr.arpa ns1.if1.rsfn.net.br 16-31.80.218.200.in-addr.arpa ns1.if2.rsfn.net.br 0-127.64.218.200.in-addr.arpa irs1.att.rsfn.net.br 128-255.64.218.200.in-addr.arpa irs1.ebtrtm.rsfn.net.br Tabela 8 - Servidores PNS dos Sub-Domnios Reversos da RSFN Entidade Responsvel Bacen Clearing1 Primesys (*opcional) Provedor nx2 1 IF1 EBT/RTM (*opcional) Primesys EBT/RTM
No entanto, para que os servidores anteriores sejam capazes de resolver endereos reversos de zonas parciais de DNS, uma vez que a RSFN utiliza sub-redes com endereos de Classe C particionados (16 ou 32 endereos), os servidores de DNS das instituies conectadas a esta rede tero que ser configurados como servidores secundrios dos domnios reversos correspondentes Classe C cheia da qual faz parte sua faixa de endereos. A Tabela 9 apresenta a configurao adicional como SNS para que os servidores primrios para os sub-domnios reversos da RSFN sejam capazes de resolver endereos reversos: Sub-Domnio Reverso da RSFN Servidor Primrio (PNS) Entidade Responsvel 66.218.200.in-addr.arpa ns1.bcb.rsfn.net.br Bacen 66.218.200.in-addr.arpa ns1.clearing1.rsfn.net.br Clearing1 66.218.200.in-addr.arpa ns1.clearing2.rsfn.net.br Primesys (*opcional) 67.218.200.in-addr.arpa ns1.Provedornx21.rsfn.net.br Provedor nx2 1 80.218.200.in-addr.arpa ns1.if1.rsfn.net.br IF1 80.218.200.in-addr.arpa ns1.if2.rsfn.net.br EBT/RTM (*opcional) 64.218.200.in-addr.arpa irs1.att.rsfn.net.br Primesys 64.218.200.in-addr.arpa irs1.ebtrtm.rsfn.net.br EBT/RTM Tabela 9 - Servidores SNS dos Sub-Domnios de Classe C Completos da RSFN Para resolver nomes de hosts de outros sub-domnios diretos ou reversos da RSFN, uma das seguintes alternativas ter que ser utilizada: o opo A RSFN no conectada Internet e Entidade utiliza um servidor de DNS dedicado para a RSFN. Basta configurar o servidor de DNS da Entidade para enviar requisies para outros domnios atravs da diretiva forwarder. Esta diretiva deve apontar para todos os 6 servidores internos de root apresentados anteriormente; o opo B RSFN no conectada Internet e Entidade utiliza um servidor de DNS compartilhado para a RSFN, Intranet e conexo com a Internet. Neste caso a diretiva forwarder genrica no funcionar, caso contrrio, o servidor no mais ser capaz de resolver nomes de hosts da Internet. Neste caso, ser necessrio criar uma zona com type forward para os demais Endereos cheios de Classe C da RSFN, alm da prpria zona rsfn.net.br. Esta configurao conhecida como forward especfico; o opo C RSFN conectada Internet configurao idntica a utilizada na opo B;
Atualizao: 23/5/2013 14:24 *
Pgina 70 de 104
nas trs opes anteriores, a seguinte regra de configurao deve ser utilizada: instituies do Grupo A devem ser configuradas tendo como primeiro servidor de forwarder um servidor da Primesys e como segundo servidor de forwarder um servidor da EBT/RTM. Por sua vez, instituies do grupo B devem ser configuradas com a ordem contrria. Problemas com as opes B e C: a soluo de DNS da Microsoft no suporta opo de forward para uma zona especfica, exigindo o uso da aplicao BIND.
Servidores Secundrios dos Sub-Domnios

Cada sub-domnio da RSFN dever ter pelo menos um servidor secundrio (SNS). Estes servidores estaro localizados no segmento da RSFN de cada Entidade Participante da rede, a qual ser responsvel pela administrao do mesmo. Em situaes especiais, uma determinada Entidade pode terceirizar a tarefa de administrao de seus sub-domnios com um dos provedores de servios da rede. A Tabela 10 apresenta exemplo de servidores secundrios para os sub-domnios diretos da RSFN: Servidor Secundrio (SNS) ns2.bcb.rsfn.net.br ns2.clearing1.rsfn.net.br ns2.clearing2.rsfn.net.br ns2.Provedornx21.rsfn.net.br ns2.if1.rsfn.net.br ns2.if2.rsfn.net.br irs2.att.rsfn.net.br irs3.att.rsfn.net.br ebtrtm.rsfn.net.br irs2.ebtrtm.rsfn.net.br irs3.ebtrtm.rsfn.net.br Tabela 10 - Servidores SNS dos Sub-Domnios Diretos da RSFN Sub-Domnio Direto da RSFN bcb.rsfn.net.br clearing1.rsfn.net.br clearing2.rsfn.net.br Provedornx21.rsfn.net.br if1.rsfn.net.Br if2.rsfn.net.br att.rsfn.net.br Entidade Responsvel Bacen Clearing1 Primesys (*opcional) Provedor nx2 1 IF1 EBT/RTM (*opcional) Primesys EBT/RTM
A Tabela 11 apresenta exemplo de servidores secundrios para os sub-domnios reversos da RSFN: Servidor Secundrio (SNS) ns2.bcb.rsfn.net.br ns2.clearing1.rsfn.net.br ns2.clearing2.rsfn.net.br ns2.Provedornx21.rsfn.net.br ns2.if1.rsfn.net.br ns2.if2.rsfn.net.br irs2.att.rsfn.net.br irs3.att.rsfn.net.br 128.255.64.218.200.in-addr.arpa irs2.ebtrtm.rsfn.net.br irs3.ebtrtm.rsfn.net.br Tabela 11 - Servidores SNS dos Sub-Domnios Reversos da RSFN Sub-Domnio Reverso da RSFN 0-31.66.218.200.in-addr.arpa 64-95.66.218.200.in-addr.arpa 96.127.66.218.200.in-addr.arpa 128-159.67.218.200.in-addr.arpa 0-15.80.218.200.in-addr.arpa 16-31.80.218.200.in-addr.arpa 0-127.64.218.200.in-addr.arpa Entidade Responsvel Bacen Clearing1 Primesys (*opcional) Provedor nx2 1 IF1 EBT/RTM (*opcional) Primesys EBT/RTM
No entanto, para que os servidores anteriores sejam capazes de resolver endereos reversos de zonas parciais de DNS, uma vez que a RSFN utiliza sub-redes com endereos de Classe C particionados (16 ou 32 endereos), os servidores de DNS das instituies conectadas a esta rede tero que ser configurados como servidores secundrios dos domnios reversos correspondentes Classe C cheia da qual faz parte sua faixa de endereos. A Tabela 12 apresenta a configurao adicional como SNS para que os servidores primrios para os sub-domnios reversos da RSFN sejam capazes de resolver endereos reversos: Sub-Domnio Reverso da RSFN 66.218.200.in-addr.arpa 66.218.200.in-addr.arpa 66.218.200.in-addr.arpa 67.218.200.in-addr.arpa
Servidor Secundrio (SNS) ns2.bcb.rsfn.net.br ns2.clearing1.rsfn.net.br ns2.clearing2.rsfn.net.br ns2.Provedornx21.rsfn.net.br
Entidade Responsvel Bacen Clearing1 Primesys (*opcional) Provedor nx2 1

Atualizao: 23/5/2013 14:24 * Pgina 71 de 104
ns2.if1.rsfn.net.br ns2.if2.rsfn.net.br irs2.att.rsfn.net.br irs3.att.rsfn.net.br 64.218.200.in-addr.arpa irs2.ebtrtm.rsfn.net.br irs3.ebtrtm.rsfn.net.br Tabela 12 - Servidores SNS dos Sub-Domnios de Classe C Completos da RSFN
80.218.200.in-addr.arpa 80.218.200.in-addr.arpa 64.218.200.in-addr.arpa
IF1 EBT/RTM (*opcional) Primesys EBT/RTM
Para resolver nomes de hosts de outros sub-domnios diretos ou reversos da RSFN, uma das seguintes alternativas ter que ser utilizada: o opo A RSFN no conectada Internet e Entidade utiliza um servidor de DNS dedicado para a RSFN. Basta configurar o servidor de DNS da Entidade para enviar requisies para outros domnios atravs da diretiva forwarder. Esta diretiva deve apontar para todos os 6 servidores internos de root apresentados anteriormente; o opo B RSFN no conectada Internet e Entidade utiliza um servidor de DNS compartilhado para a RSFN, Intranet e conexo com a Internet. Neste caso a diretiva forwarder genrica no funcionar, caso contrrio, o servidor no mais ser capaz de resolver nomes de hosts da Internet. Neste caso, ser necessrio criar uma zona com type forward para os demais Endereos cheios de Classe C da RSFN, alm da prpria zona rsfn.net.br. Esta config urao conhecida como forward especfico; o opo C RSFN conectada Internet configurao idntica a utilizada na opo B. nas trs opes anteriores, a seguinte regra de configurao deve ser utilizada: instituies do Grupo A devem ser configuradas tendo como primeiro servidor de forwarder um servidor da Primesys e como segundo servidor de forwarder um servidor da EBT/RTM. Por sua vez, instituies do grupo B devem ser configuradas com a ordem contrria. Problemas com as opes B e C: a soluo de DNS da Microsoft no suporta opo de Forward para uma zona especfica, exigindo o uso da aplicao BIND.
Registro dos Domnios Superiores nas Entidades Competentes

Para que a comunidade Internet saiba quem so os servidores de nomes dos domnios existentes na RSFN, todos estes servidores (primrios e secundrios) tm que estar definidos nos domnios de nveis superiores relacionados com a soluo (net.br.). A administrao dos domnios brasileiros (.br) realizada pela FAPESP, e existem algumas restries para registros de domnios no formato net.br. O registro dos diferentes domnios superiores externos da RSFN feito atravs da pgina httpd://registro.br. Aps o correto preenchimento dos dados cadastrais referentes aos domnios, ser efetuado um teste automtico de transferncia de zona entre os servidores informados. Caso a resposta dos servidores esteja dentro das normas que net.br. regem o servio de DNS, sero gerados registros deste domnio nos arquivos de zonas do domnio conforme o exemplo abaixo: ; ; Trechos do Arquivo de Zona do Domnio NET.BR. ; Este arquivo administrado pela FAPESP. A RSFN no tem ; qualquer controle sobre ele. ; Os nomes e endereos utilizados para servidores de DNS devem ser ; considerados como exemplos. ; O exemplo considera que o PNS da Zona NET.BR. o servidor ns.dns.br ; net.br. IN SOA ns.dns.br. root.ns.dns.br. ( 2001050101 ; Nmero de Srie (yyyymmddss) 8h ; Refresh aps 8 horas 1h ; Retry aps 1 hora 1w ; Expire aps 1 semana 1d ) ; TTL de 1 dia ; ; PNS e SNS do domnio net.br.
RSFN - Manual de Redes do SFN Verso 7.3 ; IN NS ns.dns.br. IN NS ns1.dns.br. IN NS ns2.dns.br. ; ; Delegao de Direitos Para os domnios administrados pela RSFN ; Para a documentao, ser listado apenas o domnio ; rsfn.net.br ; rsfn.net.br. IN NS ns1.bacen.com.br. ns1.bacen.com.br. IN A 200.30.30.5 rsfn.net.br. IN NS ns2.bacen.com.br. ns2.bacen.com.br. IN A 200.30.30.6 ; ; Fim do arquivo ;
Registro dos Sub-Domnios das Entidades

Os sub-domnios da RSFN indicando as Entidades Participantes no preciso ser registrados na FAPESP. A prpria regra de delegao de direitos do DNS se encarregar de permitir a resoluo de nomes de hosts dos subdomnios. Incluindo ou Excluindo Domnios Superiores Externos A RSFN pode a qualquer momento incluir ou excluir domnios superiores, desde que respeite as regras definidas neste relatrio: o ter um Primary Name Server PNS e no mnimo um Secondary Name Server SNS para cada zona com endereos vlidos na Internet; o preparar os arquivos de configurao de forma a tornar operacional o novo domnio, tanto no PNS com no SNS; o registrar os domnios externos e seus respectivos servidores nos rgos competentes; o considerar os tempos de convergncia necessrios para que a Internet tome conhecimento das modificaes realizadas.
rvore de DNS da Parte Externa

As rvores de DNS dos domnios superiores externos da RSFN apresentam uma estrutura similar anterior. Configurao do PNS dos Sub-Domnios ns1.bcb.rsfn.net.br Este captulo apresenta o modelo de configurao para os servidores PNS dos sub-domnios das Entidades. Arquivo /etc/named.conf options { directory "/var/named"; recursion yes; notify yes; allow-query { any; }; allow-transfer { any; }; query-source address * port 53; listen-on port 53 { any; }; }; zone "bcb.rsfn.net.br" { type master; file "db.bacen"; };
RSFN - Manual de Redes do SFN Verso 7.3 zone "0-31.66.218.200.in-addr.arpa" { type master; file "db.200.218.66.0-31"; };
zone "66.218.200.in-addr.arpa" { type slave; masters { 200.218.64.6; 200.218.64.134; }; file "db.200.218.66"; }; zone "rsfn.net.br" { type forward; forward only; forwarders { 200.218.64.6; 200.218.64.134; }; }; zone "64.218.200.in-addr.arpa" { type forward; forward only; forwarders { 200.218.64.6; 200.218.64.134; }; }; zone "67.218.200.in-addr.arpa" { type forward; forward only; forwarders { 200.218.64.6; 200.218.64.134; }; }; zone "80.218.200.in-addr.arpa" { type forward; forward only; forwarders { 200.218.64.6; 200.218.64.134; }; }; /* Configurar todas as zonas reversas at 95.218.200.in-addr.arpa */ zone "95.218.200.in-addr.arpa" { type forward; forward only; forwarders { 200.218.64.6; 200.218.64.134; }; }; zone "0.0.127.in-addr.arpa" { type master; file "named.rev"; }; zone "localhost" { type master; file "named.local"; }; zone 0.in-addr.arpa { type master; file db.0; }; zone 255.in-addr.arpa { type master;
file db.255; }; zone "." { type hint; file "named.ca"; }; Arquivo /var/named/db.bacen.net @ IN SOA ns1.bcb.rsfn.net.br. root.ns1.bcb.rsfn.net.br. ( 2001050101 ; Nmero de Srie 8h ; Refresh aps 8 horas 1h ; Retry aps 1 hora 1w ; Expire aps 1 semana 1d ) ; TTL de 1 dia ; ; Servidores de nomes deste domnio ; IN NS ns1.bcb.rsfn.net.br. IN NS ns2.bcb.rsfn.net.br. ; ; Definio dos hosts do domnio. ; att-bacen-bsa-cpe IN A 200.218.66.1 ebtrtm-bacen-bsa-cpe IN A 200.218.66.2 hsrp-bacen-bsa-cpe IN A 200.218.66.3 sw1 IN A 200.218.66.4 sw2 IN A 200.218.66.5 ns1 IN A 200.218.66.6 ns2 IN A 200.218.66.7 mqs01 0 IN A 200.218.66.8 mqs02 0 IN A 200.218.66.9 mqm01 0 IN A 200.218.66.14 mqm02 0 IN A 200.218.66.15 /var/named/db.200.218.66.0-31 @ IN SOA ns1.bcb.rsfn.net.br. root.ns1.bcb.rsfn.net.br. ( 2001050101 ; Nmero de Srie 8h ; Refresh aps 8 horas 1h ; Retry aps 1 hora 1w ; Expire aps 1 semana 1d ) ; TTL de 1 dia ; ; Servidores de nomes deste domnio ; IN NS ns1.bcb.rsfn.net.br. IN NS ns2.bcb.rsfn.net.br. ; ; Definio dos hosts do domnio. ; 1 IN PTR att-bacen-bsa-cpe.bcb.rsfn.net.br 2 IN PTR ebtrtm-bacen-bsa-cpe.bcb.rsfn.net.br 3 IN PTR hsrp-bacen-bsa-cpe.bcb.rsfn.net.br 4 IN PTR sw1.bcb.rsfn.net.br 5 IN PTR sw2.bcb.rsfn.net.br 6 IN PTR ns1.bcb.rsfn.net.br 7 IN PTR ns2.bcb.rsfn.net.br 8 IN PTR mqs01.bcb.rsfn.net.br 9 IN PTR mqs02.bcb.rsfn.net.br 14 IN PTR mqm01.bcb.rsfn.net.br
15
RSFN - Manual de Redes do SFN Verso 7.3 IN PTR mqm02.bcb.rsfn.net.br
/var/named/db.200.218.66 Este arquivo ser atualizado automaticamente. Arquivo /var/named/named.local @ IN SOA ns1.bcb.rsfn.net.br. root.ns1.bcb.rsfn.net.br. ( 2001050101 ; Nmero de Srie 8h ; Refresh aps 8 horas 1h ; Retry aps 1 hora 1w ; Expire aps 1 semana 1d ) ; TTL de 1 dia ; ; Servidores de nomes deste domnio ; IN NS ns1.bcb.rsfn.net.br. IN NS ns2.bcb.rsfn.net.br. ; ; Servidor local ; localhost. IN A 127.0.0.1 Arquivo /var/named/db.127 @ IN SOA ns1.bcb.rsfn.net.br. root.ns1.bcb.rsfn.net.br. ( 2001050101 ; Nmero de Srie 8h ; Refresh aps 8 horas 1h ; Retry aps 1 hora 1w ; Expire aps 1 semana 1d ) ; TTL de 1 dia ; ; Servidores de nomes deste domnio ; IN NS ns1.bcb.rsfn.net.br. IN NS ns2.bcb.rsfn.net.br. ; ; Servidor local ; 1 IN PTR localhost. Arquivo /var/named/db.255 @ IN SOA ns1.bcb.rsfn.net.br. root.ns1.bcb.rsfn.net.br. ( 2001050101 ; Nmero de Srie 8h ; Refresh aps 8 horas 1h ; Retry aps 1 hora 1w ; Expire aps 1 semana 1d ) ; TTL de 1 dia ; ; Servidores de nomes deste domnio ; IN NS ns1.bcb.rsfn.net.br. IN NS ns2.bcb.rsfn.net.br. Arquivo /var/named/db.0 @ IN SOA ns1.bcb.rsfn.net.br. root.ns1.bcb.rsfn.net.br. ( 2001050101 ; Nmero de Srie 8h ; Refresh aps 8 horas 1h ; Retry aps 1 hora 1w ; Expire aps 1 semana 1d ) ; TTL de 1 dia ;
RSFN - Manual de Redes do SFN Verso 7.3 ; Servidores de nomes deste domnio ; IN NS ns1.bcb.rsfn.net.br. IN NS ns2.bcb.rsfn.net.br.
Arquivo /var/named/named.ca Este arquivo ser idntico ao arquivo named.ca apresentados anteriormente. Configurao do SNS dos Sub-Domnios ns2.bcb.rsfn.net.br Este captulo apresenta o modelo de configurao para os servidores SNS dos sub-domnios das Entidades. Arquivo /etc/named.conf options { directory "/var/named"; recursion yes; notify yes; allow-query { any; }; allow-transfer { any; }; query-source address * port 53; listen-on port 53 { any; }; }; zone "bcb.rsfn.net.br" { type slave; masters { 200.218.66.1; }; file "db.bacen"; }; zone "0-31.66.218.200.in-addr.arpa" { type slave; masters { 200.218.66.1; }; file "db.200.218.66.0-31"; }; zone "66.218.200.in-addr.arpa" { type slave; masters { 200.218.64.6; 200.218.64.134; }; file "db.200.218.66"; }; zone "rsfn.net.br" { type forward; forward only; forwarders { 200.218.64.6; 200.218.64.134; }; }; zone "64.218.200.in-addr.arpa" { type forward; forward only; forwarders { 200.218.64.6; 200.218.64.134; }; }; zone "67.218.200.in-addr.arpa" { type forward; forward only; forwarders { 200.218.64.6; 200.218.64.134; }; }; zone "80.218.200.in-addr.arpa" { type forward;
RSFN - Manual de Redes do SFN Verso 7.3 forward only; forwarders { 200.218.64.6; 200.218.64.134; }; };
/* Configurar todas as zonas reversas at 95.218.200.in-addr.arpa */ zone "95.218.200.in-addr.arpa" { type forward; forward only; forwarders { 200.218.64.6; 200.218.64.134; }; }; zone "0.0.127.in-addr.arpa" { type master; file "named.rev"; }; zone "localhost" { type master; file "named.local"; }; zone 0.in-addr.arpa { type master; file db.0; }; zone 255.in-addr.arpa { type master; file db.255; }; zone "." { type hint; file "named.ca"; }; Arquivo /var/named/db.bacen.net Este arquivo ser atualizado automaticamente. /var/named/db.200.218.66.0-31 Este arquivo ser atualizado automaticamente. /var/named/db.200.218.66 Este arquivo ser atualizado automaticamente. Arquivo /var/named/named.local Este arquivo ser idntico ao arquivo do PNS para este sub-domnio. Arquivo /var/named/db.127 Este arquivo ser idntico ao arquivo do PNS para este sub-domnio. Arquivo /var/named/db.255 Este arquivo ser idntico ao arquivo do PNS para este sub-domnio. Arquivo /var/named/db.0 Este arquivo ser idntico ao arquivo do PNS para este sub-domnio. Arquivo /var/named/named.ca Este arquivo ser idntico ao arquivo named.ca apresentados anteriormente.
Restries sobre a Configurao do PNS e SNS dos Sub-Domnios

Caso a Entidade conectada a RSFN opte pela utilizao da aplicao de DNS da Microsoft, no ser possvel utilizar o conceito de zona com type forward, para executar operaes de forward especfico por zona. Se a Entidade estiver utilizando um servidor de DNS dedicado para a RSFN, poder configurar o servidor para utilizar o conceito de forward genrico, que repassar qualquer requisio de hosts de outras zonas para os servidores especificados. No entanto, esta opo no funcionar caso a Entidade queira compartilhar o servidor de DNS da RSFN para tambm resolver nomes de hosts da rede interna e da Internet.
CONFIGURAO DOS RESOLVERS

Para que as diversas estaes da rede possam utilizar o DNS, estas foram configuradas como resolvers. O resolver realiza as seguintes atividades: o pergunta ao servidor de nomes qual o endereo IP do nome desejado; o interpreta a resposta (informaes solicitadas ou erro de comunicao); o repassa as informaes para a aplicao que solicitou. Os resolvers possuem somente um arquivo de configurao de DNS, normalmente denominado resolv.cfg ou resolv.conf (verificar o sistema operacional do host). Este arquivo identifica o nome do domnio ao qual pertence o host e os endereos de at trs servidores de nomes deste domnio. Os servidores de nomes definidos neste arquivo podem ser tanto primrio como secundrio. Os clientes de DNS no fazem qualquer restrio a isto. Os clientes de DNS devero ser configurados da seguinte forma: o o primeiro servidor de nomes da lista deve estar na mesma rede do host em questo; o o segundo servidor de nomes da lista tambm deve pertencer ao sub-domnio respectivo, podendo ou no estar na mesma sub-rede. O exemplo a seguir mostra a configurao de um resolver do sub-domnio bcb.rsfn.net.br. domain bcb.rsfn.net.br nameserver 200.218.66.6 ;endereo do primeiro servidor de DNS nameserver 200.218.66.7 ;endereo do segundo servidor de DNS
PADRONIZAO DE NOMES DE HOSTS E INTERFACES

O padro de nomes de hosts utilizados da RSFN apresentado na tabela seguinte. A qualquer momento o Grupo de Redes da RSFN poder optar pela alterao deste padro. Tipo de host Roteador CPE Telmex Roteador CPE EBTRTM HSRP 1 switch 2 switch 1 Servidor de DNS 2 Servidor de DNS 1 Servidor MQSeries SPB Produo 1 Servidor MQSeries SPB Homologao 1 Servidor MQSeries MES Produo 2 Servidor MQSeries MES Homologao 3 Estao de trabalho 1 Firewall 2 Firewall Tabela 13 - Padronizao de host Tipo de host att-sub-domnio-localidade-cpe ebtrtm-sub-domnio-localidade-cpe hsrp-sub-domnio-localidade-cpe sw01 sw02 ns1 ns2 mqs01 mqs02 mqm01 mqm02 wks03 fw01 fw02
Atualizao: 23/5/2013 14:24 *
Pgina 79 de 104
Padronizao de Nomes de Usurios

Outra padronizao importante num projeto de DNS a de nomes de usurios. Foi proposto que seja utilizado o padro recomendado pela WEMA ( Worldwide Electronic Messaging Association) para facilitar a converso de nomes entre os diferentes sistemas de correio eletrnico. Tal padro prioriza a identificao do usurio atravs de trs variveis at se formar um nome nico na empresa: Primeiro Nome, Sobrenome e Iniciais dos nomes do meio. Por exemplo, o usurio Jos Roberto Teixeira poderia ter seu nome de usurio definido da seguinte forma: Primeiro Nome Jos Sobrenome Teixeira Iniciais Intermedirias R Nome de usurio Jose.Teixeira@bacen.rsfn.net.brou Jose.R.Teixeira@bacen.rsfn.net.br Uma outra alternativa seria: Primeiro Nome Jos Sobrenome Teixeira Nome do Meio Roberto Nome do usurio Jose.Roberto.Teixeira@bacen.rsfn.net.br
IMPACTO DO TRFEGO DO DNS NA REDE

O DNS deve ser encarado como uma ferramenta de auxlio ao uso e administrao da rede, e no pode, em hiptese alguma, comprometer a eficincia da rede, atravs da gerao de trfego excessivo na rede. Para garantir que o trfego de DNS no influenciar negativamente a performance da rede, os seguintes pontos devem ser cuidadosamente observados: o localizao dos servidores de DNS; o configurao dos parmetros de temporizao do registro SOA; o configurao dos Resolvers; o tamanho dos arquivos de cada zona.
Localizao dos Servidores

Conforme dito no decorrer deste manual, os servidores de nomes so os responsveis por armazenar informaes sobre uma determinada regio do address space do DNS (Zona). Quando os resolvers (clientes do DNS) precisarem resolver nomes de um determinado host da rede corporativa, perguntaro a estes servidores. Caso os servidores sejam concentrados somente em algumas localidades, a maioria das requisies dos resolvers atravessaria os circuitos seriais de baixa velocidade, o que implicaria em problemas de performance nestes circuitos, normalmente j superutilizados com o trfego da rede. Para resolver esta questo, o projeto definiu a utilizao de pelo menos um servidor de nomes (primrio ou secundrio) em cada localidade remota interligada RSFN por meio de circuitos seriais de telecomunicaes (circuitos de WAN). Desta forma, este servidor responder localmente por todas as requisies para resoluo de nomes originadas pelos resolvers de sua rede local. Naturalmente, quando este servidor receber requisies para nomes de hosts localizados fora de sua zona, estas requisies sero repassadas para os servidores Mestres RSFN. No entanto, como os servidores de nomes utilizam tcnicas de cache, tais requisies implicam em trfego consideravelmente menor quando comparado com todas as requisies dos clientes, no prejudicando de forma alguma a operao da rede RSFN.
Atualizao: 23/5/2013 14:24 *
Pgina 80 de 104
Parmetros de Temporizao do Registro SOA

O registro SOA contm parmetros de temporizao que definem o modo de comunicao entre os diferentes servidores de nomes de uma rede corporativa. O parmetro refresh indica a frequncia em que o servidor secundrio de nomes (SNS) verifica a acurcia dos seus dados junto ao servidor primrio (PNS). Este valor deve ser definido para o perodo mximo que o cliente considere adequado para que o SNS permanea com os dados desatualizados. Um valor entre 2 e 12 horas recomendado para a maior parte das configuraes. Considerando que a maioria das modificaes na rede devam ser executadas fora do horrio de produo (normalmente no perodo noturno), entende-se que a definio deste parmetro para 8 horas concentrar todas as operaes de Zone Transfer no perodo noturno, e em situaes normais, tal transferncia de zona ocorrer no mximo uma nica vez a cada dia. As verses mais recentes do BIND permitem que o PNS automaticamente notifique os secundrios sobre modificaes verificadas em seu banco de dados de DNS. Desta forma, os servidores secundrios podero iniciar as operaes de Zone Transfer imediatamente, diminuindo o tempo de convergncia da rede enquanto pode aumentar o trfego entre operaes de transferncias de zonas. Outro parmetro que afeta a comunicao entre servidores de DNS o parmetro retry. Em caso de falha na comunicao entre o SNS e o PNS, o SNS tentar novamente estabelecer a conexo com o PNS aps a expirao deste temporizador. Este valor tipicamente configurado como uma frao do intervalo de refresh. No caso da RSFN, recomenda-se que seja utilizado uma hora. O temporizador mais importante para a rede RSFN ser sem dvida o TTL. Este parmetro o tempo de vida default para os registros do DNS de cada zona e indica quanto tempo um registro de outros domnios ficar armazenado no cache dos servidores de nomes. Deve ser definido conforme a frequncia de modificaes no banco de dados do DNS. Valores entre 1 e 5 dias normalmente atendem s necessidades das diferentes redes. Vale lembrar que este valor pode ser definido especificamente para um determinado registro. A configurao deve definir este valor para 1 dia. Na prtica, o parmetro TTL quem far com que a utilizao de um servidor de nomes em cada segmento de rede separado por circuitos seriais gere um trfego muito menor do que somente a utilizao de resolvers nestes segmentos.
Configurao dos Resolvers

A configurao do resolver (arquivo resolv.conf ou resolv.cfg) permite que sejam especificados at trs servidores de nomes atravs da diretiva (nameserver). O resolver questionar estes servidores, na ordem listada neste arquivo, at receber uma resposta ou at que o intervalo de timeout se expire. Na rede RSFN, cada resolver ser configurado com dois ou trs servidores de nomes, o primeiro estando obrigatoriamente na mesma sub-rede do cliente. Caso a sub-rede do cliente tenha pelo menos dois servidores de nomes, o segundo servidor do cliente tambm estar na rede local, e o terceiro remoto (na rede do concentrador regional mais prximo). Se existir somente um servidor de nomes na sub-rede, o servidor de nomes localizado no concentrador regional mais prximo ser o segundo servidor do cliente. Com mais do que um servidor de nomes configurado no cliente, o comportamento deste ocorrer da seguinte forma: o resolver iniciar o processo de resoluo de nomes questionando o primeiro servidor de nomes de sua lista (servidor local), com um timeout de 5 segundos. Se o perodo de timeout expirar ou se o cliente receber uma mensagem de erro indicando que o processo servidor de nomes no est ativo no primeiro servidor, o resolver ento questionar o prximo servidor da lista, tambm com um timeout de 5 segundos. Aps questionar todos os servidores listados, se o resolver no receber nenhuma resposta dentro deste intervalo de tempo, os perodos de timeout sero sucessivamente aumentados para 10, 20 e
RSFN - Manual de Redes do SFN Verso 7.3 40 segundos, sendo que em cada ciclo, o questionamento a cada um dos servidores de nomes ser devidamente repetido.
Portanto, em situaes normais, os resolvers da RSFN sempre tero suas requisies resolvidas por servidores de nomes localizados no mesmo segmento de rede local, e com a ajuda do mecanismo de cache destes servidores e do correto dimensionamento dos parmetros TTL dos hosts mais utilizados, pode-se garantir que o DNS praticamente no ir utilizar os circuitos seriais de baixa velocidade para a resoluo de nomes de hosts na rede da RSFN.
Atualizao: 23/5/2013 14:24 *
Pgina 82 de 104
FERRAMENTAS DE DEPURAO DO DNS NSLOOKUP
INTRODUO
A RSFN necessita de uma ferramenta eficiente para se certificar do correto funcionamento de seu DNS e para auxili-lo na depurao de problemas de interoperabilidade com outras redes. Neste captulo sero apresentados alguns comandos normalmente utilizados pelo nslookup, por ser esta ferramenta distribuda sem custos adicionais com o Bind e com vrias outras aplicaes de DNS, tornando-a uma ferramenta padro para anlise da funcionalidade do DNS. O nslookup pode ser iniciado de forma interativa ou no interativa. A forma no interativa normalmente utilizada quando se deseja uma nica resposta. A forma interativa tem preferncia quando se necessita verificar o comportamento do DNS para diversas questes. ACESSO NO INTERATIVO Para se iniciar uma sesso no interativa, o usurio deve teclar nslookup seguido pelo nome a ser resolvido, no promtp do servidor Unix. % nslookup mqs01.bcb.rsfn.net.br Default Server: ns1.bcb.rsfn.net.br Address: 200.218.66.6 Name: mqs01.bcb.rsfn.net.br Address: 200.218.66.8 ACESSO INTERATIVO Para se iniciar uma sesso interativa, o usurio deve simplesmente teclar nslookup no promtp do servidor Unix. % nslookup Default Server: ns1.bcb.rsfn.net.br Address: 200.218.66.6 O servidor default ser o primeiro servidor configurado com a diretiva nameserver no arquivo resolv.conf. Somente este servidor ser utilizado para a resoluo das queries descritas nesta sesso interativa. Vale lembrar que todos os nomes que no terminem com o ponto, tero acrescido o nome de domnio ou as listas de pesquisa (search), tambm definidas no arquivo resolv.conf. Solicitando Ajuda O nslookup possui um help prprio que pode ser acionado sempre que houver dvidas sobre os comandos suportados: % nslookup Default Server: ns1.bcb.rsfn.net.br Address: 200.218.66.6 > ? ou help Resoluo Direta de Nomes e Endereos Uma das maiores utilizaes do nslookup encontrar o endereo IP de um determinado nome ou o nome a partir de um determinado endereo. Estes tipos de queries devem ser utilizados sempre que um novo host for includo no DNS, de forma que o administrador possa se certificar do correto funcionamento do DNS para este host. % nslookup Default Server: ns1.bcb.rsfn.net.br Address: 200.218.66.6 > mqs01.bcb.rsfn.net.br Default Server: ns1.bcb.rsfn.net.br Address: 200.218.66.6
Name: mqs01.bcb.rsfn.net.br Address: 200.218.66.8 > 200.218.66.8 Default Server: ns1.bcb.rsfn.net.br Address: 200.218.66.6 Name: mqs01.bcb.rsfn.net.br Address: 200.218.66.8 Chaveando Para Outros Servidores de DNS s vezes necessrio chavear para um outro servidor de DNS a partir do nslookup, para que seja observado o comportamento deste novo servidor. A partir deste ponto, o servidor ns2 passar a responder as queries desta sesso interativa. % nslookup Default Server: ns1.bcb.rsfn.net.br Address: 200.218.66.6 > server ns1.santos.rsfn.net.br Default Server: ns1.santos.rsfn.net.br Address: 200.218.80.6 Habilitando Debug Para Anlise das Queries Em caso de anlise de problemas de resoluo de nomes via DNS, podem ser habilitadas funes de debug para que o nslookup mostre as queries executadas e suas respectivas respostas. A opo debug, mostra somente as respostas de cada query, enquanto que a opo d2 mostras as queries e suas respostas. % nslookup Default Server: ns1.bcb.rsfn.net.br Address: 200.218.66.6 > set debug > set d2 > set nodebug Zone Transfer Nslookup pode ser usado para transferir o arquivo completo de uma zona atravs do comando ls. % nslookup Default Server: ns1.bcb.rsfn.net.br Address: 200.218.66.6 ls d rsfn.net.br
Atualizao: 23/5/2013 14:24 *
Pgina 84 de 104
DNS EM SERVIDORES DA MICROSOFT

INTRODUO
Conforme mencionado anteriormente, as aplicaes de DNS proprietrias da Microsoft devem ser consideradas como segunda opo para o servio de DNS da RSFN. Recomenda-se prioritariamente a utilizao da aplicao BIND 8.2.3, tanto para servidores Unix como para servidores Microsoft (Windows NT 4.0 e Windows 2000). Para as instituies que optarem pela utilizao da aplicao de DNS da Microsoft, este captulo descreve os procedimentos para configurao deste servio nos servidores Windows 2000 e Windows NT 4.0, atravs da ferramenta DNS Manager. Vale ressaltar que a aplicao de DNS da Microsoft funcionou corretamente no piloto da rede. Partindo do princpio que o servio de DNS est devidamente instalado no servidor, sero descritas as instrues necessrias para a criao de domnios diretos, domnios reversos, registro do tipo A, registros do tipo PTR e a configurao para utilizao de forwarders. Todos os nomes e endereos IP utilizados nas telas de exemplo so aleatrios e devem ser utilizados apenas para orientao.
CONFIGURAO DO DNS SERVER EM AMBIENTE WINDOWS 2000

Para iniciar a ferramenta DNS Manager, clique em Start/Programs/Settings/Control Panel/Administrative Tools/DNS Manager. Na tela inicial do DNS Manager, clique em DNS para apresentar os servidores cadastrados.
Figura 3 - Tela Inicial do DNS Manager em Servidores Windows 2000 Para adicionar um novo servidor, clique com o boto da direita do mouse em DNS e selecione a opo New Server. Cadastre o nome ou o endereo IP do novo servidores de DNS na janela Add New Server.
Atualizao: 23/5/2013 14:24 *
Pgina 85 de 104
Figura 4 - Adicionando um Novo Servidor de DNS Windows 2000 Criando um Domnio Direto Primrio Para cadastrar um domnio direto, clique com o boto direito do mouse na opo Forward Lookup Zones que est abaixo do servidor criado, e selecione New Zone.
Figura 5 - Criando um Domnio Direto Primrio Windows 2000 Neste momento ser iniciado um Wizard que coordenar todo o processo de criao do domnio. Clicando no boto Next, ser solicitado o tipo de zona que se deseja criar. Clique na opo Standard Primary e em Next para continuar.
Atualizao: 23/5/2013 14:24 *
Pgina 86 de 104
Figura 6 - Definindo o Tipo de Zona de DNS Windows 2000 No campo Name, preencha com o nome do domnio a ser criado e clique em Next para continuar.
Figura 7 - Definindo o Nome de Zona de DNS Windows 2000

Ser apresentada uma tela para a confirmao do arquivo da zona que est sendo criada. recomendvel que se o utilize o mesmo nome da zona para o arquivo que est sendo criado atravs da opo Create a new file with this file name. Nesta mesma tela, tem-se a possibilidade de escolher um arquivo j existente. Aps a definio do nome do arquivo, clique na opo Next.
Figura 8 - Definindo o Nome do Arquivo de Zona do DNS Windows 2000
Atualizao: 23/5/2013 14:24 *
Pgina 88 de 104
A ltima tela do Wizard solicita uma confirmao dos dados fornecidos para a criao do novo domnio. Clique na opo Finish para confirmar e finalizar a criao do domnio direto primrio.
Figura 9 - Criando um Domnio Direto Primrio Confirmao Windows 2000
Criando um Domnio Reverso Primrio

Para cadastrar um domnio reverso, clique com o boto direito do mouse na opo Reverse Lookup Zones que est abaixo do servidor criado, e selecione New Zone. Na tela Zone Type selecione a opo Standard Primary. Na tela Reverse Lookup Zone, existem duas opes para o preenchimento do nome do domnio reverso. Na primeira opo, Network ID, deve ser cadastrado o endereo de rede do domnio reverso que est sendo criado. Na segunda opo, o campo Reverse lookup zone name deve ser preenchido com o endereo da rede no formato invertido, adicionando-se o padro in-addr.arpa. Para a criao de domnios reversos de sub-redes de endereos Classe C, que sero utilizados na RSFN, a segunda opo deve ser utilizada.
Atualizao: 23/5/2013 14:24 *
Pgina 89 de 104
Figura 10 - Criando um Domnio Reverso Primrio Windows 2000 Clicando no boto Next, ser apresentada uma tela para a confirmao do arquivo do domnio que est sendo criado. recomendvel que se utilize o mesmo nome do domnio, atravs da opo Create a new file with this file name, para identificar o arquivo que est sendo criado. Nesta mesma tela, tem-se a possibilidade de escolher um arquivo j existente, atravs da opo Use this existing file. A ltima tela do Wizard solicita uma confirmao dos dados fornecidos para a criao do novo domnio reverso. Clique na opo Finish para confirmar e finalizar a criao do domnio reverso primrio.
Atualizao: 23/5/2013 14:24 *
Pgina 90 de 104
Figura 11 - Criando um Domnio Reverso Primrio Tela de Confirmao Windows 2000
Criando um Domnio Direto Secundrio

Para cadastrar um domnio direto secundrio, clique com o boto direito do mouse na opo Forward Lookup Zones que est abaixo do servidor criado, e selecione New Zone. Na tela Zone Type, selecione a opo Standard Secondary. Na tela Zone Name, preencha o campo Name com o nome do domnio a ser criado, e no campo Server, o endereo IP do servidor que est sendo configurado. Clicando no boto Next, ser apresentada a tela para a confirmao do arquivo do domnio que est sendo criado. Aps a confirmao do nome do arquivo do domnio, digite o endereo IP do servidor Master do domnio secundrio no campo IP Master(s) e clique no boto Add para adicion-lo. Este campo permite que vrios servidores Masters sejam cadastrados.
Atualizao: 23/5/2013 14:24 *
Pgina 91 de 104
Figura 12 - Definindo os Servidores Masters do Domnio Direto Secundrio- Windows 2000 A ltima tela do Wizard solicita a confirmao dos dados fornecidos para a criao do novo domnio. Clique na opo Finish para confirmar e finalizar a criao do domnio direto secundrio.
Criando um Domnio Reverso Secundrio

Para cadastrar um domnio reverso secundrio, clique com o boto direito do mouse na opo Reverse Lookup Zones, que est abaixo do servidor criado, e selecione New Zone. Na tela Zone Type, selecione a opo Standard Secondary. Na tela Reverse Lookup Zone, existem duas opes para o preenchimento do nome do domnio reverso. Na primeira opo, Network ID, deve ser cadastrado o endereo da rede para a qual o domnio reverso est sendo criado. Na segunda opo, o campo Reverse lookup zone name deve ser preenchido com o endereo da rede no formato invertido, adicionando-se o padro in-addr.arpa. Para a criao de domnios reversos de sub-redes de endereamento Classe C, que sero utilizados na rede RSFN, a segunda opo deve ser utilizada. Clicando no boto Next, ser apresentada a tela para a confirmao do arquivo do domnio que est sendo criado. recomendvel que se o utilize o nome do domnio, atravs da opo Create a new file with this file name, para identificar o arquivo que est sendo criado. Nesta mesma tela, tem-se a possibilidade de escolher um arquivo j existente, atravs da opo Use this existing file. A ltima tela do Wizard solicita uma confirmao dos dados fornecidos para a criao do novo domnio reverso. Clique na opo Finish para confirmar e finalizar a criao do domnio reverso primrio.
Criando um Registro do Tipo A

Selecione o domnio direto no qual ser criado o novo registro com o boto direito do mouse e escolha a opo New Host.
Atualizao: 23/5/2013 14:24 *
Pgina 92 de 104
Figura 13 - Criando um Registro do Tipo A Windows 2000 Na tela New Host, preencha os campos Name e IP address. Selecionando-se o item Create associated pointer (PTR) record, um registro PTR associado ao endereo IP do host ser criado no domnio reverso correspondente. Para domnios reversos de sub-redes de endereamento Classe C, este item no funciona corretamente e no deve ser marcado. A criao de registros PTR para endereos IP que fazem parte de uma sub-rede de endereamento Classe C deve ser feita separadamente e ser explicada posteriormente. Clique no boto Add Host para adicionar o registro.
Figura 14 - Definindo as Caractersticas do Registro do Tipo A Windows 2000
Criando um Registro do Tipo PTR

Selecione o domnio reverso no qual ser criado o novo registro com o boto da direita do mouse e escolha a opo New Pointer.
Atualizao: 23/5/2013 14:24 *
Pgina 93 de 104
Figura 15 - Criando um Registro do Tipo PTR Windows 2000 Na tela New resource record, cadastre no campo Host IP number o ltimo octeto do endereo IP e no campo Host Name preencha com o nome completo (nome do host + domnio) do servidor. Clique em OK para finalizar a criao do registro PTR.
Figura 16 - Definindo as Caractersticas do Registro do Tipo PTR Windows 2000
Atualizao: 23/5/2013 14:24 *
Pgina 94 de 104
Configurando os Servidores Forwarders

Conforme mencionado anteriormente, o DNS da Microsoft no permite a utilizao da opo Forward para um domnio especfico. Para contornar esta limitao, devem ser cadastrados os servidores genricos de forward, que sero consultados quando uma query no for resolvida localmente. Para cadastrar um Forwarder atravs do DNS Manager, selecione o servidor de DNS que est sendo utilizado na lista de servidores disponveis com o boto da direita do mouse e escolha a opo Properties.
Figura 17 - Definindo as Configuraes de Servidores de Forward Genricos Windows 2000 Na tela apresentada, selecione a pasta Forwarders. Clique no item Enable Forwarders para ativar a sua utilizao e cadastre no campo IP address o endereo IP do servidor que ser utilizado como Forwarder. Clique no boto Add para efetivar o cadastramento e no boto OK para fechar a tela.
Atualizao: 23/5/2013 14:24 *
Pgina 95 de 104
Figura 18 - Definindo as Configuraes de Servidores de Forward Genricos Windows 2000
SERVIO DNS EM AMBIENTE WINDOWS NT 4.0

Para iniciar a ferramenta DNS Manager, clique em Start/Programs/Administrative Tools/DNS Manager. Na tela inicial do DNS Manager, clique no cone Server List para apresentar os servidores cadastrados.
Figura 19 - Tela Inicial do DNS Manager em Servidores Windows NT 4.0 Para adicionar um novo servidor, clique com o boto da direita do mouse no cone Server List e selecione a opo New Server. Cadastre o nome ou o endereo IP do novo servidor de DNS na janela Add New Server.
Figura 20 - Adicionando Servidores de DNS em Servidores Windows NT 4.0
Criando um Domnio Direto Primrio

Para cadastrar um domnio direto, clique com o boto direito do mouse no servidor que foi criado e selecione New Zone.
Figura 21 - Criando Nova Zona de DNS em Servidores Windows NT 4.0 Na tela Zone Type selecione a opo Primary e clique no boto Next.
Atualizao: 23/5/2013 14:24 *
Pgina 97 de 104
Figura 22 - Definindo a Nova Zona de DNS como Primria - Servidores Windows NT 4.0 Na tela Zone Info, preencha o campo Zone Name com o nome do domnio a ser criado e pressione Tab para que o campo Zone File seja preenchido automaticamente. Clique em Next para finalizar a criao do domnio direto.
Figura 23 - Definindo a Nova Zona de DNS como Primria - Servidores Windows NT 4.0
Criando um Domnio Reverso Primrio

Para cadastrar um domnio reverso, clique com o boto direito do mouse no servidor que foi criado e selecione New Zone. Na tela Zone Type selecione a opo Primary e clique no boto Next. A tela Zone Info ser apresentada,
RSFN - Manual de Redes do SFN Verso 7.3 preencha o campo Zone Name com o nome do domnio a ser criado e pressione Tab para que o campo Zone File seja preenchido automaticamente. Clique em Next para finalizar a criao do domnio direto.
Figura 24 - Definindo a Nova Zona Reversa de DNS - Servidores Windows NT 4.0
Criando um Domnio Reverso Secundrio

Para cadastrar um domnio reverso, clique com o boto direito do mouse no servidor que foi criado e selecione New Zone. Na tela Zone Type, selecione a opo Secondary e preencha o campo Zone com o endereo do domnio reverso a ser criado, em formato invertido, mais o padro in-addr.arpa, e no campo Server, preencha com o endereo IP do servidor que est sendo configurado.
Atualizao: 23/5/2013 14:24 *
Pgina 99 de 104
Figura 25 - Definindo uma Zona Reversa Secundria de DNS - Servidores Windows NT 4.0 Clicando no boto Next, ser apresentada a tela Zone Info. Preencha o campo Zone Name com o nome do domnio a ser criado e pressione Tab para que o campo Zone File seja preenchido automaticamente. Aps a confirmao do nome do arquivo do domnio, digite o endereo IP do servidor Master do domnio secundrio no campo IP Master(s) e clique no boto Add para adicion-lo. Este campo permite que vrios servidores Masters sejam cadastrados. Clique em Next para finalizar a criao do domnio reverso secundrio.
Figura 26 - Configurao dos Servidores Masters da Zona Reversa Secundria de DNS
Atualizao: 23/5/2013 14:24 *
Pgina 100 de 104
Criando um Domnio Direto Secundrio

Para cadastrar um domnio direto secundrio, clique com o boto direito do mouse no servidor que foi criado e selecione New Zone. Na tela Zone Type, selecione a opo Secondary, preencha o campo Zone com o nome do domnio direto, e o campo Server com o endereo IP do servidor que est sendo configurado. Clicando no boto Next, ser apresentada a tela Zone Info. Preencha o campo Zone Name com o nome do domnio a ser criado e pressione Tab para que o campo Zone File seja preenchido automaticamente. Aps a confirmao do nome do arquivo do domnio, digite o endereo IP do servidor Master do domnio secundrio no campo IP Master(s) e clique no boto Add para adicion-lo. Este campo permite que vrios servidores Masters sejam cadastrados. Clique em Next para finalizar a criao do domnio direto secundrio.
Criando um Registro do Tipo A

Selecione o domnio direto no qual ser criado o novo registro com o boto da direita do mouse e escolha a opo New Host.
Figura 27 - Criando um Registro do Tipo A Windows NT 4.0 Na tela New Host, preencha os campos Host Name e Host IP address. Selecionando-se o item Create associated pointer (PTR) record, um registro PTR associado ao endereo IP do host ser criado no domnio reverso correspondente. Para domnios reversos de sub-redes de endereamento Classe C, este item no funciona corretamente e no deve ser marcado. A criao de registros PTR para endereos IP que fazem parte de uma subrede de endereamento Classe C deve ser feita separadamente e ser explicada posteriormente. Clique no boto Add Host para adicionar o registro.
Figura 28 - Definindo as Caractersticas do Registro do Tipo A Windows NT 4.0

Criando um Registro do Tipo PTR

A criao de registros PTR de uma sub-rede de endereo Classe C, atravs do utilitrio DNS Manager de servidores Windows NT 4.0, no funciona corretamente. Neste caso, a criao destes registros deve ser feita de forma manual, ou seja, editando-se o arquivo de configurao do domnio reverso correspondente. Para isso, necessrio que o servio de DNS esteja parado. Para finalizar o servio de DNS, clique em Start/Settings/Control Panel/Services, selecione o servio Microsoft DNS Server, e clique no boto Stop. Os arquivos de configurao encontram-se no diretrio c:\winnt\system32\dns. E possuem a exteno .dns. Utilize o notepad ou qualquer ferramenta de edio de arquivos texto para edit-los. Um exemplo de um arquivo de configurao de um domnio reverso est descrito a seguir: @ IN SOA ns1.bcb.rsfn.net.br. spb_registro.bcb.rsfn.net.br. ( 2001040901 ; Nmero de Srie 8h ; Refresh aps 8 horas 1h ; Retry aps 1 hora 1w ; Expire aps 1 semana 1d ) ; TTL de 1 dia ; ; Servidores de nomes deste domnio ; IN NS ns1.bcb.rsfn.net.br. IN NS ns2.bcb.rsfn.net.br. ; ; Equipamentos alocados neste dominio ; 1 IN PTR att-bacen-bsa-cpe.bcb.rsfn.net.br. 2 IN PTR ebtrtm-bacen-bsa-cpe.bcb.rsfn.net.br. 3 IN PTR hsrp-bacen-bsa-cpe.bcb.rsfn.net.br. 6 IN PTR pns.bcb.rsfn.net.br. Aps a incluso dos registros PTR no arquivo de configurao, reinicie o servio de DNS. Os registros PTR cadastrados manualmente devero aparecer no DNS Manager. Caso o registro PTR a ser criado no pertena a uma sub-rede de endereamento Classe C, a ferramenta DNS Manager poder ser utilizada. Dessa forma, selecione o domnio reverso no qual ser criado o novo registro com o boto da direita do mouse e escolha a opo New Pointer.
Atualizao: 23/5/2013 14:24 *
Pgina 102 de 104
RSFN - Manual de Redes do SFN Verso 7.3 Figura 29 - Criando um Registro do Tipo PTR Windows NT 4.0
Na tela New resource Record, selecione PTR Record na janela Record Type, cadastre no campo IP Address o endereo IP, e no campo Host DNS Name, preencha com o nome completo (nome do host + domnio) do servidor. Clique em OK para finalizar a criao do registro PTR.
Figura 30 - Definindo as Caractersticas do Tipo PTR Windows NT 4.0
Configurando os Servidores Forwarders

Conforme mencionado anteriormente, o DNS da Microsoft no permite a utilizao da opo Forward para um domnio especfico. Para contornar esta limitao, devem ser cadastrados os servidores genricos de forward, que sero consultados quando uma query no for resolvida localmente. Para cadastrar um Forwarder atravs do DNS Manager, selecione o servidor de DNS que est sendo utilizado na lista de servidores disponveis com o boto da direita do mouse e escolha a opo Properties.
Atualizao: 23/5/2013 14:24 *
Pgina 103 de 104
Figura 31 - Configurao de Servidores de Forwarders Windows NT 4.0 Na tela apresentada, selecione a pasta Forwarders. Clique no item Use Forwarders para ativar a sua utilizao e cadastre o endereo IP do servidor que ser utilizado como Forwarder. Clique no boto Add para efetivar o cadastramento e no boto OK para fechar a tela.
Figura 32 - Configurao de Servidores de Forwarders Windows NT 4.0
Atualizao: 23/5/2013 14:24 *
Pgina 104 de 104

RSFN Manual de Redes Do SFN Ver 7.3

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

RSFN Manual de Redes Do SFN Ver 7.3

Uploaded by

Copyright:

Available Formats

RSFN - Manual de Redes do SFN Verso 7.

Rede do Sistema Financeiro Nacional Manual de Redes do SFN

RSFN - Rede do Sistema Financeiro Nacional *

Atualizao: 23/5/2013 14:24 *

RSFN - Manual de Redes do SFN Verso 7.3

CENTRAL DE ATENDIMENTO ............................................................................................................................... 8 PROCEDIMENTOS PARA ACESSO RSFN .......................................................................................................... 9

DESCRIO TCNICA ............................................................................................................................................ 21

ROTEAMENTO DA RSFN ........................................................................................................................................ 26

REQUISITOS PARA O MODELO OPERACIONAL DE PSTI ............................................................................. 53

RSFN - Manual de Redes do SFN Verso 7.3

FERRAMENTAS DE DEPURAO DO DNS NSLOOKUP ............................................................................... 83

DNS EM SERVIDORES DA MICROSOFT ............................................................................................................. 85

RSFN - Rede do Sistema Financeiro Nacional *

Atualizao: 23/5/2013 14:24 *

RSFN - Manual de Redes do SFN Verso 7.3

RSFN - Rede do Sistema Financeiro Nacional *

Atualizao: 23/5/2013 14:24 *

RSFN - Manual de Redes do SFN Verso 7.3

7.2 7.1 7.0 6.1 6.0 5.0

RSFN - Rede do Sistema Financeiro Nacional *

Atualizao: 23/5/2013 14:24 *

RSFN - Manual de Redes do SFN Verso 7.3

VISO GERAL ARQUITETURA DE REDE DE COMUNICAO PARA O SISTEMA FINANCEIRO

RSFN - Rede do Sistema Financeiro Nacional

RSFN - Rede do Sistema Financeiro Nacional *

Atualizao: 23/5/2013 14:24 *

RSFN - Manual de Redes do SFN Verso 7.3

Atribuies e Responsabilidades do GT-Rede

Normas de utilizao da RSFN

RSFN - Rede do Sistema Financeiro Nacional *

Atualizao: 23/5/2013 14:24 *

RSFN - Manual de Redes do SFN Verso 7.3

RSFN - Rede do Sistema Financeiro Nacional *

Atualizao: 23/5/2013 14:24 *

RSFN - Manual de Redes do SFN Verso 7.3

PROCEDIMENTOS PARA ACESSO RSFN

Para solicitao das conexes as Entidades Solicitantes devero:

RSFN - Rede do Sistema Financeiro Nacional *

Atualizao: 23/5/2013 14:24 *

RSFN - Manual de Redes do SFN Verso 7.3

RSFN - Rede do Sistema Financeiro Nacional *

Atualizao: 23/5/2013 14:24 *

RSFN - Manual de Redes do SFN Verso 7.3

Configurada a estao, efetuar os seguintes testes:

RSFN - Rede do Sistema Financeiro Nacional *

Atualizao: 23/5/2013 14:24 *

RSFN - Manual de Redes do SFN Verso 7.3

Figura 1 Modelo de conexo da rede RSFN

RSFN - Rede do Sistema Financeiro Nacional *

Atualizao: 23/5/2013 14:24 *

RSFN - Manual de Redes do SFN Verso 7.3

RSFN - Rede do Sistema Financeiro Nacional *

Atualizao: 23/5/2013 14:24 *

RSFN - Manual de Redes do SFN Verso 7.3

Figura 2 - Dois sites com interconexo pela rede interna

RSFN - Rede do Sistema Financeiro Nacional *

Atualizao: 23/5/2013 14:24 *

RSFN - Manual de Redes do SFN Verso 7.3

RSFN - Rede do Sistema Financeiro Nacional *

Atualizao: 23/5/2013 14:24 *

RSFN - Manual de Redes do SFN Verso 7.3

Figura 3 - Dois sites, porm com apenas dois CPE

RSFN - Rede do Sistema Financeiro Nacional *